网络安全的构建范文

时间:2023-11-06 17:57:53

导语:如何才能写好一篇网络安全的构建,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全的构建

篇1

关键词电力系统网络安全

Abstract:Along with the advancement of reform, the Chinese power industry formed the factory, nets separation and grid by region of the new pattern. And the development of the computer network technology for power management and scheduling of provide for the advanced service and support for the electric power means, new business (such as electric power market applications, electric power marketing business, etc.) that will provide the conditions. From the state power company to subordinate the power subsidiaries are information network in advance of work, based on the various business applications, such as electric power management, enterprise information management ERP, financial information management, etc.) is gradually developed.

加强电力系统网络安全的意义:

电力行业是技术密集和装备密集型产业,其独特的生产与经营方式决定了其信息化发展的模式。通过信息化渠道开展电力业务,具有便捷、实时的巨大优势,但是非法用户的访问、内部人员的操作失误、信息传递的失误等问题也相伴而来,尤其各变电站要实现少人或无人值守以提高生产效益,安全的信息技术势必要大规模地运用到电力行业中。而且,随着电力调度业务、电力市场业务等越来越广泛地开展,电力企业网和Internet的联系也越来越紧密,而网络的自由性和不安全性则会给电力企业安全运行带来越来越严重的隐患,并且有可能对电力业务造成极大的破坏。为躲避潜在的计算机网络风险,使网络系统能够安全及高效运行,就必须保证网络安全,系统安全,同时还要兼顾系统的高效和通畅。当前,我们必须把安全问题作为网络建设和网络优化的关键来抓,建立一套完整的、符合实际应用的、高性价比的信息安全机制。因此可以说,过去十年电力信息技术的发展主要是致力于如何实现互联,而未来十年电力信息技术的发展将侧重于安全防护。

我国电力网络系统的现状:

在电力信息化建设的推动下,我国电力行业的电网管理水平、企业管理水平、发电生产管理信息化水平、电力规划设计等能力

都得到了显著提高。但是由于对网络化认识上的误区,部分电力企业认为搞网络化主要就是买机器、建网络。近几年,电力企业虽然加大了网络信息化的投入,但是将资金主要用在了硬件设备的购置上,相应的软件系统的投入却明显不够,认为硬件设施是有形的固定资产,而软件却是无形的,价值不容易度量,表现出一定程度的“重硬轻软”情结。这种做法的结果是硬件设施脱离了软件系统,从而硬件也发挥不出应有的作用。对网络安全也缺乏统一长远的规划,电力网络中还缺乏诸多的安全隐患。

目前的主要问题是:

①缺乏统一的信息安全管理规范:电力系统急需一套统一、完善的能够用于指导整个电力系统信息网络系统安全运行的管理规范。

②电力职工的网络安全意识有待提高:随着信息技术高速发展,信息安全策略和技术取得了非常大的进步,但是我们目前的认识与实际差距较大,对新出现的信息安全问题认识不足。

③需要建立一套适合电力企业其自身特点的信息安全体系:电力信息网络应用可分为四大类:管理信息类、生产控制类、话音视频类、经营类,以确保实时电力网络系统的安全运行。

总之,在网络安全问题上不断的存在攻与防的一对矛盾,他们此消彼涨、此涨彼消,在相互斗争中不断发展。但是,电力企业信息网络这样一个年轻的又特殊的网络来说,又其特殊性,同时它所面临的安全威胁是比较严重的,稍有不慎,就有可能对电力安全生产造成影响,进而影响国家经济和百姓的日常生活。但反过来说我们可以应对的手段也是十分先进的,包括先进的企业版防火墙、先进的密码编码方式和算法等都可以有效防御,只要应对得当,足以有效保护电力系统信息网络安全,保障电力生产经营活动的安全。

加强电力系统网络安全的措施:

应该说,网络上的安全威胁,在拥有先进手段的前提下,对于网络安全问题来说最重要的应该是网络安全思想,可以说有好的安全思想可以避免绝大多数的安全问题,所以安全思想意识应放在网络安全的首要位置。在将来我们可以采用更加先进的网络安全体系架构、密码算法、防火墙、工DS和病毒防治软件等来保卫电力系统的信息安全。比如那些技术层次上安全措施更为重要的是有一套良好的安全制度和安全思想,它们才是确保系统安全的根本。

有以下的几点安全建议,它们也是我们平时最容易忽视的安全漏洞:

1、科学安全的设置和保管密码。密码安全可以说是网络安全中最为重要的。一旦密码被泄漏,非法用户可以很轻易的进入你的系统。由于穷举软件的流行,对密码的要求最少要10位,一般用户的密码要求最少要8位,并且应该有英文字母大小写以及数字和其他符号进行不规则的设置。同时不要选取如生日、名字等熟悉的信息作为密码。

2、加强人员的安全意识和管理。思想意识松懈造成的系统隐患要远大于系统自身的漏洞。将不知是否有病毒的软盘随意的插入计算机中、不当的设置密码、将密码写下来或存入计算机的文件中、长期不改密码、随意的从网上下载不明文件或内部合法用户本身的非法活动等都给企业信息网络带来最大的威胁。

3、实时的监控网络端口和节点的信息流向,定期对企业信息网络进行安全检查、日志审计和病毒扫描,对相关重要数据进行备份以及在全网络范围内建立一套科学的安全管理体系同样对企业信息网络的安全运行有着很重要的意义。

4、合理配置防火墙在水电站 MIS 系统与 Internet 的边界应安装防火墙装置,并实施相控制。另外,如果对外网提供信息查询等服务,就要为访问关键服务器提供控制手段。建议将对外公开服务器集合起来划分为一个专门的服务器子网,设置专用的防火墙来控制外来的访问。利用防火墙技术,经过仔细的配置,通常能够在内网和外网之间提供安全的网络保护。

参考文献:

篇2

关键词 高校图书馆;网络构建;安全保障;体系构建

中图分类号G251 文献标识码 A 文章编号 1674-6708(2014)123-0209-02

所谓高校图书馆网络安全,是指网络上的信息安全即为数据处理系统建立以及其在技术和管理方面所采取的安全保护措施,从而在增强高校图书管内部资源密集度、关联紧密性、层次先进性的基础上,保障计算机软件、硬件和数据等资源不因受到偶然或者人为的原因,而遭到破坏、损伤和外泄。因此,在高校图书馆网络安全体系构建过程中,教师应在完善原有网络安全的基础上,及时更新、提升图书管理系统,从而确保图书网络安全体系的稳定性、层次性和科学性。

1高校图书馆网络安全问题的主要体现

1.1管理不完善,人为攻击防御性低

众所周知,高校图书馆网络资源是向本校学生或经授权的人群开放的一个知识储备量大、信息量广、更新及时的数字化信息系统。由于高校图书馆网络是基于电子信息技术而存在的信息反应,其在存储媒体、传输通道、反馈信息等方面就存在着信息密闭性不完善、密码组合简单等漏洞,这为一些人为的窃取型攻击提供了可乘之机。此外,由于高校图书网络系统多用于学校的教学、科研等方面,其在管理手段、管理方式、管理层次等方面是相对宽松的,这也暴露了网络信息系统脆弱性、开放性和易受攻击性。

此外,由于使用图书馆网络的大部分是学生,很多学生在毕业后就无法享受学校图书馆网络系统带来的便利性、快捷性,当其需要查询资料、开展学习时,通常会借助校园内学弟学妹的IP地址,来攻击学校图书馆内网系统。由于学校图书馆网络系统对于他们来说曾经是内网,其对学校图书馆网络系统的运行特点、运行时段和运行规律等有较为充足的把握。

1.2构建系统存在漏洞,易感染病毒

计算机网络病毒,是一种具有自我复制性能力的程序。其具有较强的破坏性、传播性和潜伏性,因此,其在扩散层面、控制难度和传播速度上也存在着破坏力强、传染性高、潜伏性高等特点,其可能通过存储介质受 到网络上的攻击,如:电子邮件、木马病毒、恶意网页、网络下载等,这些隐蔽性强、分散性高的网络病毒,很容易使得原本就脆弱的高校图书馆网络安全系统崩盘。

此外,由于学生是高校图书馆网络体系的主要使用者,其携带工具的健康与否也直接关系到了图书馆网络安全体系的健康与否。众所周知,学生在使用图书馆网络时,通常会采用插U盘下载资料、采用云上传等方式来保留住自己需要的资料。由于学生的U盘可能在网吧、论坛等地方下载过资料,U盘自身存在着潜伏的病毒,当学生无意中将U盘插入学校图书馆的电脑时,病毒可能会随之进入到图书馆网络系统中,并在某种条件的激发爆发出其危害性。

2高校图书馆网络安全体系的构建措施

2.1加强安全意识,提高加密措施

在很多高校中,由于图书馆员的安全意识淡薄,导致网络系统故障频发。因此,在高校图书馆网络安全体系的构建过程中,加强管理人员的网络安全意识和网络风险防治技能,是提高高校图书馆网络安全体系的前提和基础。因此,在高校图书馆网络安全体系构建实践中,高校应对管理员在业务素养、网络安全意识和网络安全防御措施等方面的培训和提升,从而在网络安全体系出现问题时,图书管理员能做到临危不乱、有理有节的开展网络防治工作。

此外,高校还应从图书馆网络安全体系自身做起,加强其对非限定范围内的信息的甄别能力、阻止能力和排除能力,确保图书馆信息在网络传输过程中被恶意篡改、截获和假冒。与此同时,高校可以从数据传输、数据存储、数据下载等方面入手,来提升高校图书馆的网络安全系数,从而在完善网络系统严密性、层次性和完善性的同时,来提高高校图书馆网络安全的层次、档次和系数。

2.2提高病毒防范性,提高安全检测系统

毋容置疑,从源头上,提高对病毒的预防措施,是提高网络安全系数的前提和基础。由此可见,在高校图书馆网络安全体系构建中,高校应顺应网络系统发展的趋势、形势和动态,选取一些专业的反病毒软件,来预防、阻止病毒的繁殖、传染和发作。同时,高级的网络安全检测系统也会为移动存储介质的使用、来历不明的新软件检测、病毒防治等方面,发挥着不可替代的作用,利用网络安全系统,可以从源头上减少、杜绝不良病毒的发生、发散和扩张。

设置网络安全检测系统,安装服务包和补丁程度,以针对来自内部用户的恶意攻击。并结合评估效果,对高校图书馆的网络安全体系做出适当的修补、提升和改进措施。同时,同时,充分利用各软件的安全机制来减少内部网络用户利用系统漏洞实施攻击的机会,尽可能剔除一切潜在性的网络风险和危害。具体运行过程如下图所示:

安全评估――检测病毒是否存在――发现问题----排除程度――未发现问题――进行安全评估――评估系数低――修补程序――再次评估。

这种层次分明、区别对待的网络安全体系构建,不仅能有效提升和完善高校图书馆网络安全体系,同时也为图书馆网络体系自身反攻击、反病毒提供了良好的途径。

3结论

计算机网络技术一直处在不断变化、发展的阶段。因此,在高校图书馆网络安全体系构建中,高校应加强对网络安全问题严重性和紧迫性等方面的考量,在加强对在职人员的网络安全意识培训的同时,紧跟时代潮流积极研究网络安全体系中出现的新问题、新情况,从而在不断完善、加强自身网络安全体系建设的同时,提升对网络病毒、人为破坏的抵抗力和反击

能力。

参考文献

篇3

关键词: 计算机网络安全 构建策略 防护体系

计算机网络从进入生活起,我们就渐渐离不开它带来的便利。随着对计算机网络的依赖性越来越强,大量信息存储在网络中,因此,对计算机网络安全的威胁不容忽视。一旦网络安全出现问题,若不妥善解决,则不仅会影响计算机技术的进步,还会对我国建设产生一定的影响。

1.计算机网络安全体系概述

在分析计算机网络安全前,首先要对网络信息安全有一定的了解。信息安全主要指对数据处理系统和相关技术、管理的防护,防止计算机网络系统遭到偶然或恶意的入侵,以免储存在计算机系统中的数据被显露、破坏、更改。如果要建立良好的计算机网络安全体系,则不仅要保护计算机的信息安全,还要保护相关设备,保证计算机信息系统的安全。

2.计算机网络净化安全防护体系组成

2.1防火墙建设

防火墙是一种形象的比喻,不是真的墙,而是被保护的网络的入门关卡。因特网存在一定的风险区域,防火墙能起到隔离作用,以此增强内部的网络安全。防火墙有网络级别和应用级别两种。网络级别的防火墙主要是对数据包中的信息(端口、目标地址、源地址等)与规则表进行对比。在防火墙系统中设置了许多规则用以判断是否允许包的通过。还有一种应用级别的防火墙,也就是服务器。服务器主要根据IP地址禁止外部访问,如果内部人员对外部进行访问,则无法阻止。应用级防火墙主要阻隔内外的数据交换,如果要交换,则必须通过服务器,由其完成。

防火墙有硬件、软件两种。上述为硬件防火墙,它通过硬件、软件两种方式隔离。虽然它的隔离效果好,但是价格比较昂贵,一般个人和规模较小的企业难以承担。软件防火墙则通过应用程序达到隔离目的,虽然价格比较便宜,但是只有限制访问这一项功能。现在软件防火墙有很多种,可以根据使用配置加以选择。

2.2入侵检测系统(IDS)的架设

入侵检测用来监督监测网络系统中有无违背计算机制定的安全策略或危及系统安全的攻击。入侵检测系统是一种被动的检测,但是有存在的必要。设置时,入侵检测系统被放置在防火墙后,用于监测通过防火墙之后所有的包,捕捉这些包内的信息是否存在危险或恶意动作。入侵检测系统因为检测、记录的信息比较庞大,所以制定的规则需要符合入侵检测系统的配置。规则制定好后,入侵检测系统筛选网卡到网线上的流量,及时发出警告。入侵检测系统的安全管理通过识别攻击进行响应,提高计算机网络安全防护体系的完整性。

2.3防病毒系统

对病毒的防护主要使用病毒防护软件。病毒的防护有针对单机系统的和针对网络系统的。单击系统的病毒防护注重保护本地计算机系统的数据信息,而网络系统的病毒防护注重保护网络系统的数据信息。病毒防护软件建立一个保护机制,通过实时监测蠕虫、病毒和后门程序,及时更新病毒库,以检测、清除计算机网络中的恶意代码,达到检测、预防、清除病毒的目的。

3.计算机网络净化安全防护体系的构建

建立安全防护体系首先要有一个安全策略,要考虑初期建设网络时的问题。设置用户权限是第一步,这种方式能够保证计算机系统的内部、外部用户对系统的访问在安全策略的要求内,对用户的访问进行控制和限制。加密技术是对系统内资源的保护,保护系统资源的完整性和保密性。加密技术通过一定的运算规则进行密文和明文转换,目前使用VPN(虚拟专用网)这个通道保护数据传递过程中的安全。但是,也要考虑安全策略被破坏的状况。如计算机系统并没有安装保护系统的软件(防火墙、防病毒软件),而是使用了点对点的数据传输方式(Napster、BT等)与即时消息软件等,这些是系统中的安全隐患。因此,安装病毒防护软件和开启系统防火墙是强制性的,必要时卸载点对点的软件和其他漏洞软件。

主机系统的配置是建立一个安全的操作平台。在使用操作系统的过程中,注意是否存在漏洞。为防止漏洞出现,要时常进行系统补丁或使用其他方式修补漏洞。特别在无线网络系统中,必须开启加密功能,并设置最高级别,注意时常更改密码。

4.结语

由于全球化脚步的不断加快,许多资源信息存储在计算机网络中,因此加强网络安全、设置保护屏障是必不可少的。防火墙、入侵检测系统、防病毒软件是计算机网络安全防护体系的基础,加上良好的安全策略则是相对安全的方式。信息技术不断更新,防护系统也需跟进,以防黑客等的攻击。

参考文献:

篇4

关键词:技术 管理 法规 网络信息安全

中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2013)02-0178-02

1 网络信息安全现状

今年10月份“网络空间国际会议”在匈牙利闭幕,“网络空间”继伦敦会议后,再一次作为全球焦点被世界多国研究讨论,会议最终呼吁各国在构建安全的网络空间方面进行合作。由此可见网络空间的安全问题已成为世界多个国家普遍存在且需全球协作的共性问题。互联网自诞生之日起就将世界联系成为一体,经过30多年的发展,网络技术在促进经济繁荣、科技进步、思想传播等方面改变着人们的生产和生活方式,并逐渐的渗透到人类生存的各个环节中,各国政府也高度依赖由网络联结的政务、电力、交通、能源、通信、航空、金融、传媒、军事等“关键基础设施”,实施经济治理和社会管理,网络已成为国家政治、经济和军事的战略支点。但与此协同的安全问题却没有跟上网络发展的步伐,在日益普及的网络应用空间中,安全问题已成为21世纪世界面临的严重挑战。

我国互联网起步较晚,但发展速度十分惊人。据2012年7月中国互联网信息中心的数据显示,我国的网民数量已达到5.38亿,其中低学历人群增长较为明显;互联网普及率为39.9%,其中农村人口占到51.8%;IPv6地址数达12499块/32,跃居全球第三。同时,根据国家互联网应急中心的数据,2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器,控制我国境内近890万台主机,近3000个政府网站被篡改。日益庞大的网络空间和终端用户的低安全性造成我国网络空间的安全问题更显突出。

2 技术、管理、法规安全机制主要内容

网络与信息安全机制的研究从网络产生时就一直没有间断过,它与网络技术的发展息息相关。当前网络与信息的安全机制主要有:加密机制、安全认证机制、访问控制机制、完整性机制、不可否认机制、公证机制和路由控制机制等。结合安全机制产生的网络信息安全服务也基本涵盖了应用领域的各个方面[1]。但是这些防范技术总是很难和安全管理有效的结合,或者说是用技术实现管理的执行力不强。究其原因,我觉得是在技术和管理之间缺少一个强有力的约束框架,为此我们在网络信息安全“技术+管理”的模式中,独立出一个法规标准,提出了技术、管理、法规三维一体的网络信息安全体系,以技术为基础,用法规作保障,实现网络空间的自主管理。如图一所示:

(1)技术机制:网络与信息安全机制采取在国家网络空间尽远端保护,中间处保障,核心端强调可生存性的三级安全防护措施。1)尽远端保护采取常规的安全措施,划分明确的网络空间边界,利用加密、认证、访问控制等技术手段,在网络空间边界上阻止非法入侵,达到信息安全的目的。在尽远端保护中要着力解决两个难题:一是网络空间边界不像陆、海、空、天等实体一样,有清晰明确的边界线,这就需要安全防护措施能够根据自主识别动态变化的敌我双方边界,合理有效的实施安全防护;二是网络和信息领域的攻击手段和技术发展很快,各种保护措施需保证跟的上敌对方的发展速度,及时地调整安全防护机制。2)中间处安全保障采取以入侵检测技术为核心,以恢复技术为后盾的入侵检测恢复机制。该机制融合保护、检测、响应、恢复四大技术,通过对网络流量或主机运行状态的检测来发现对网络空间攻击及破坏行为,实现对网络信息空间状态的动态检测,并对各种恶意的入侵行为做出响应。在实施入侵检测机制时,要能够快速有效的分辨出攻击行为,以便后续响应措施的实施,另外还要能够及时的恢复网络和信息到攻击前的正常状态。3)核心端生存性技术是指在国家网络空间核心处受到攻击或意外事故发生时,在限定时间内恢复到正常状态的能力。这里主要关注的是“容忍”技术,即入侵或故障发生时,网络空间仍可以正常工作,在后续的时间内逐渐的排除故障,确保核心端数据的完整性、机密性和可用性[2][3]。容忍概念的提出到现在经历了从容忍错误到容忍入侵的过渡,但是目前应用还很少,特别是国内,理论研究多而实际项目少,在下一步的网络信息安全技术中,应加大发展力度。4)安全防护设备信息融合机制。当前存在有防火墙、入侵检测、漏洞扫描等各自独立的安全防护设备,彼此间信息不能共享。而在现实中,各个安全防护设备的信息可以互相利用,甚至有时候还可以成为对方的核心数据。因此,要建立防护设备信息融合机制,将攻击信息有效整合起来,实现信息的充分利用。

(2)管理机制:网络信息安全常说的一句话是“三分技术,七分管理”。的确是这样,再完美的防范技术,如果没有很好的执行和落实,到最后也发挥不了作用。这里我们提出的管理机制,不仅有网络空间维护人员的管理,还有对众多网络空间使用人员的管理。1)末端宣传教育机制。加大网络空间安全意识的宣传力度,普及安全使用网络的基础知识,在一些机关或企事业单位,适当的开展网络信息安全的培训,提升我国众多网民安全防护意识和安全使用网络的能力。网络空间安全意识作为一种机制,要形成常态化,并通过法规制度,提升各级单位的重视程度。现在的信息技术是先进的,但也需要会使用先进技术的网民,这样才能在末端接入处提高网络空间的安全,从根本上解决隐患。2)中段管理人员的归口负责,把零散的“点”的管理转向系统性、有序的“面”的管理。早在1997年我国就成立了信息技术和安全技术委员会,各级各类的安全部门也相应成立,但这些安全管理人员信息分散,彼此间没有统一协调的部署和指挥,在面临突况时很难有效整合。因此,对管理人员要建立系统组织机构,做到分工明确,职责清晰,建立健全网络应急处理的协调机制。3)国家安全一票否决制。在网络空间,处理一些具有安全隐患问题时,采取一票否决制,即只要有危害国家信息安全的潜在风险因素,就直接否决。其主要针对于应用国外的网络设备或软硬件商品。如同美国在通信设备中拒绝使用华为和中兴设备;禁止华为收购美国3Com的理由是一样。在技术含量高的网络空间产业的竞争,一般的反倾销、反补贴等贸易救济措施抑制效果有限,且还要受到世界贸易组织争端解决机制制约。相比之下,合理的使用一票否决制,可有效将存在潜在威胁的企业或商品挡在国门之外。

(3)法规机制:安全技术领域需要有各类标准,安全管理需要有行为规范,维护网络空间需要有法律,处理安全事故责任需要有依据,在网络信息空间新领域里要重视标准和法规制度的建设,及时更新修改,有效保障管理措施。1)尽快制定我国《国家网络安全战略》,将网络空间安全问题上升为国家战略问题进行通盘考虑和研究。在国家战略背景下,逐步建立各类安全技术的评判标准和网络信息安全体系构建标准,指导网络空间安全建设。要加强与世界其他国家的沟通交流与合作,特别是先进发达国家,吸取经验教训,指导科学合理的战略规划[5]。2)结合当前的网络安全技术建立各级各类人员的行为规范,大力加快信息安全相关法规建设,通过法律法规来明确各自的义务、权益、责任和处事流程,并制定相关的处罚措施,让管理能有章可循,有据可查。积极参与制定国际网络冲突行为准则,在国际网络空间事务中发挥话语权的作用,为捍卫我国在网络空间的提供有力依据。3)紧跟时代,注重技术标准的建设。使国家网络空间相关人员能够参与到国际信息安全技术标准建设中去,通过对其他先进国家的学习,加快自身技术研究的发展,在国际网络空间标准制定中发挥一定的作用,从而更好的指导本国网络安全的基础建设。

3 结语

综上所述,在网络空间信息安全的范畴内,技术是基础、法规是依据,管理是重心。随着网络技术的不断发展,网络空间的安全防范技术也需不断革新,这里提出的可生存性就是一个新的发展方向;而法规制度虽然是网络行为的评判标准,但它自身建设也必须根据安全防范的新技术时时更新、积极建设,才能为管理提供有效依据;管理要以法规为依据,通过运用各种技术手段来维护网络信息的安全,特别是全国性组织机构的建立,有效整合资源,总体发挥合力。

参考文献

[1]彭新光,吴兴兴.计算机网络安全技术与应用.科学出版社,2005

[2]赖积保,王慧强,王健等.系统可生存性研究综述[J].计算机科学,2007,34(3):237-239,275.

[3]张鸿志,张玉清,李学干等.网络可生存性研究进展[J].计算机工程,2005,31(20): 3-5.

篇5

关键词: 计算机网络;安全漏洞检测;攻击图构建;计算机技术

中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2014)05-0189-02

0 引言

当今计算机网络已经完全普及,几乎在每个角落,人们都能够享受到网络所带来的便利,但也因其安全问题产生困扰。特别是在我国,计算机的主流操作系统并不能进行安全检测验证,所使用的计算机网络通信协议也几乎全是国外开发的产品,可靠性得不到很好的保证,安全漏洞隐患问题非常突出。因此,进行计算机网络安全漏洞的检测,是当今保护人们的计算机信息安全的主要途径。

1 计算机网络安全漏洞检测的主要方法

1.1 配置文件的安全漏洞检测方法 配置文件太复杂,或采取了缺省值,是造成系统存在漏洞的主要原因。系统的运行环境不安全,有绝大部分的原因都是配置文件所造成的。进行配置文件的检测,可以读取系统配置信息,并解释配置信息可能带来的系统漏洞现象,让用户在系统发生配置错误,导致系统出错或者影响了系统的性能表现时,能够及时发现漏洞和降低系统安全性的一些错误配置并加以纠正。

1.2 文件内容以及保护机制的安全漏洞检测 系统中的命令文件以及系统工具是整个系统正常运行的关键,同样也是许多木马最容易入侵的地方。当木马入侵了命令文件之后,会对文件内容进行篡改,从而影响了整个系统的正常运行。通常为了防止木马对系统中命令文件的篡改,需要对文件保护机制中薄弱的地方进行检测,对保护机制中存在的漏洞进行及时的处理,保证拥有权限的用户才能够更改命令文件的内容。比如对命令文件进行访问控制设置方面的检测,就是进行文件内容以及保护机制的安全漏洞检测最为基础的一步。

1.3 错误修正检测方法 当操作系统发生错误时,一些擅闯系统权限的外界攻击就会乘虚而入,造成严重的计算机信息安全问题。在一般情况下,用户可以通过安装修正错误的补丁程序来达到防止攻击的目的,但很多用户通常并不会在第一时间安装补丁程序,就使得外界攻击侵入系统。而通过错误修正检测,则可以较好地解决系统中因发生错误而存在的漏洞问题。进行错误修正检测,可以直接通过计算机检验程序来自动完成,检测效率非常高。通常错误修正检测可以分为两种类型,一种称之为主动型检测,找出系统中存在的错误,并对系统漏洞做出一定的应对措施;另一种称之为被动型检测,这种检测主要发生在安装纠错补丁程序时,作为判断补丁程序是否安装到位的一项依据。

1.4 差别检测方法 差别检测在系统中具有非常重要的作用,但也具有非常鲜明的特点。和其他检测方法不同,差别检测是一种被动型的检测方法,对系统中的命令文件与工具起着监控保护的作用。这种检测方法一方面不能对外界攻击进行阻止,另一方面也不能对已经被修改的程序进行修正,但却能够非常准确地反映出程序是否发生了改变,对于判断系统是否受到攻击非常有效。为了增加检测的准确度,可以将差别检测相关的文件通过存放在脱离网络的硬盘中,或者对其进行加密处理,代表性的文件包括校验方法与结果等。

另外,在当今的计算机系统中,漏洞扫描技术得到了较为广泛的应用。该技术通过对计算机中每一个部分的扫描,来达到及时发现漏洞,并修补漏洞的目的。目前进行漏洞扫描主要包括了两种类型,一类是以计算机主机为基础进行扫描,另一类是以计算机网络为基础进行扫描,用户可以根据自身的需求以及计算机使用的实际情况来选择不同的漏洞扫描方式。

2 攻击图构建的分析

攻击图的构建主要为了根据攻击图进行分析,判断目标网络所面临的主要安全问题,从而分析计算网络中存在的主要安全漏洞,并对网络的安全采取一定的弥补措施。目前的攻击图种类非常多样,不同类型攻击图所具有的分析攻击行为的能力也有所不同。比如在一次对计算机网络的攻击行为中,可将攻击行为用具体的逻辑攻击图表示出来。逻辑攻击图包括了推导规则、推导事实、以及原始事实三个类型的节点。由原始事实,经过推导规则,可以产生推导事实,由产生的推导事实,经过推导规则,又可以产生新的推导规则,并进而产生一系列的连锁改变。具体的攻击行为可以表示为如图1所示的图形。

在图1中,空心圆代表推导事实的节点,实心圆代表原始事实的节点,方框表示推导规则的节点。在整个逻辑攻击图中,推导规则其实也就是原子攻击工具。该图能够非常具体地表示出各个原子攻击之间的依赖关系,但却不是非常直观明了,不便于对攻击行为进行形象的理解。因此,业界又研发了状态攻击图、属性攻击图、渗透依赖攻击图、属性依赖攻击图、聚合攻击图等多个不同的攻击图。其中,最具代表性的是聚合攻击图(如图2所示)。这种攻击图构建方法的核心思想是提出多个聚合规则,对攻击图用不同的粒度进行抽象的聚合与展示。

通过构建攻击图,一方面可以对网络安全的定量评估提供依据,另一方面,也可以应用于网络安全问题的优化措施中,使网络系统的抗攻击能力得到改善。另外,构建攻击图还可以对网络入侵进行及时的预警,避免系统受到严重的篡改。

3 结束语

安全漏洞检测是防范计算机网络风险的一项有效策略。目前除了一般的计算网络安全漏洞检测方法之外,构建网络攻击图对于分析网络漏洞也具有非常重要的意义,网络攻击图能够更加清晰地表现复杂的攻击行为。另外,人们在充分享受着计算机网络所带来的便利的同时,也应该注意进行网络安全的保护,才能够使自身的利益不受到侵犯。

参考文献:

[1]吴金宇.网络安全风险评估关键技术研究[D].北京邮电大学,2013.

篇6

【关键词】计算机 网络技术 安全维护

与计算网络技术一起迅速发展的技术有网络入侵技术、木马技术等技术,这些技术的发展对计算机网络技术安全有着重大影响。因此,如何才能保证计算机网络技术的安全是一个值得深思的问题,也值得探讨。

1 计算机网络技术存在隐患的原因

在现代,据笔者调研资料显示,计算机网络技术存在隐患的原因主要是两个,一方面是网络系统自身问题,另一方面是人为的原因。

1.1 网络系统原因

第一,由于技术等原因,网络操作系统自身存在不完善的地方,甚至是存在部分漏洞。第二,网络协议存在不完善的部分,甚至是存在漏洞。第三,网络的开放特性带来诸多未受到保护的数据和信息。

1.2 人为原因

黑客侵袭和病毒攻击是人为原因威胁计算机网络技术安全的两个方式。黑客侵袭主要是为进入用户系统盗取有价值信息;病毒攻击的主要后果是使得计算机网络陷入瘫痪状态。在现代,由于计算机网络技术管理制度欠缺完善,计算机网络安全受到威胁的概率仍然较大。

2 计算机网络技术如何进行安全维护

近年来,计算机网络入侵检测技术、防火墙技术和加密系统技术得到较高程度的发展。

2.1 计算机网络入侵检测技术的使用

什么是计算机网络入侵检测技术?简单来说,入侵检测技术是关于计算机的专业技术,主要任务是对检测到闯入或有企图闯入系统信息进行威慑、攻击或者支持。在现代,计算机在使用过程中经常会受到网络上某些病毒攻击,这无时不刻地威胁着计算机网络的安全。在此时,计算机网络入侵检测技术就可以为保护计算机安全发挥作用。入侵检测技术的工作程序是通过对计算机硬件和软件对网络信息实行实时检测,同时将检测结果与入侵数据库进行比较,进而及时发现计算机网络是否被攻击。若是发现计算机网络具备被攻击现象,则会运用防火墙切断网络连接,对计算机网络进行保护。

2.2 计算机网络防火墙技术的使用

什么是计算机网络防火墙技术?简单来说,防火墙技术是针对网络危险因素而设置的保方式,其由软件和硬件组合而成,主要起到保护屏障的作用。在现代,面对计算机网络威胁因素,使用防火墙技术不仅可以通过软件与硬件组成使用来达到保护计算机网络的目的,还可以通过单独使用软件或者硬件来实现保护计算机的目的。防火墙技术根据用户的个性化设置,对不属于设定范围内数据进行阻拦。

2.3 数据加密技术的使用

什么是计算机网络数据加密技术?简而言之,数据加密技术是运用密钥匙和加密函数将一个信息转换为密文。由此可知,计算机网络数据加密技术是网络安全技术的基石。众所周知,计算机网络存在风险的过程包括信息的传输和信息的存储。在此时,使用数据加密技术则可以对网络信息的安全起到保护作用。若是没有使用数据加密技术,那么在传输和存储信息时,一些机密信息尤其是国家的机密文件或者大型企业的机密文件则存在泄露的风险。

2.4 访问控制技术的使用

什么是访问控制技术?访问控制是一种限制其数据资源能力的手段,其主要目的是限制访问主体,从而保护计算机网络安全。在计算机网络运行过程中,如果使用访问控制技术则会有效且合理地控制访问客体,这样则会降低网络安全隐患。

3 计算机网络管理技术的内容是什么

3.1 计算机网络故障管理技术

计算网络故障管理内涵是检测计算网络的故障所在,并为解决故障提供方案,为网络的通常运行提供保证。由此可知,故障管理技术是计算机网络管理技术的基础,是保证网络环境通畅的核心技术。那么如何对网络故障进行管理呢,先要对网络故障进行分析,找出发生故障原因,随后给出合理且便捷的解决方案,最后恢复网路。对网络故障原因要进行总结,尤其是比较严重的或者具备普遍性的网络故障,应该对其进行总结,以便进行经验分享,避免下次再发生类似故障。

3.2 计算网络配置管理技术

计算机网络配置管理技术的内涵是通过网络初始化实现对网络的配置从而提供服务。网络配置主要由监视系统、辨别系统、定义系统和控制系统组成,通过这几个系统合理配合工作来保证网络配置功能的实现,进而改善计算机网路性能。

3.3 计算机网络性能管理技术

计算机网络性能管理技术的内涵是对计算机网络进行性能服务。通过这项技术可以实现对计算机网络进行非常有效的监控和分析评估,借助分析评估结果对不完善处进行改善,这对提供高质量的网络性能服务有重要的意义。

3.4 计算机网络安全管理技术

现代计算机具备开放性和互动性的特点,这缩小各地之间的距离,使得信息传播更加迅速,但是也为计算机网络安全带来了隐患。例如,一部分不法分子利用不同的手段对计算机网络进行侵犯,攻击网络资源。因此,通过计算机安全管理技术对计算机网络实施安全保护有重要的意义。

4 结束语

总上文所述可知,计算机技术的发展,带动了通讯技术和网络技术的迅速发展,这些技术的发展为社会的进度、国家的发展做出了特殊的贡献。但是,在使用计算机网络的过程中,也存在诸多的安全隐患。因此对计算机网络技术的构建和安全维护的分析及研究非常必要。在上文中,笔者从计算机网络技术存在隐患的原因、计算机网络技术如何进行安全维护和计算机网络管理技术的内容是什么等三个方面进行分析和探究,希望对维护计算机网络安全有所帮助和启发。

参考文献

[1]瞿小宁.路由与交换技术课程实践教学的研究与实现[J].计算机光盘软件与应用,2011(24).

[2]陈新华,孙雅妮.基于项目化教学法的路由交换技术课程实践[J].价值工程,2013(32).

[3]潘锋.基于网站服务器的计算机安全维护研究[J].煤炭技术,2013,32(2).

[4]郑晓伟.计算机网络安全隐患与应急响应技术研究[J].信息通信,2014(07).

篇7

关键词:内容安全加速卡;特征匹配;正则表达式匹配

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)35-0013-04

经过几十年的飞速发展,互联网已经深入到社会的方方面面,对网络内容的监控和管理成为当今时代的必然要求,也是社会治安管理的重要保障。基于底层网络硬件设备,是确保网络信息安全的重点,针对计算机协议中应用层和网络层的安全侧罗,监控和辨别网络中传递的信息。深度包检测技术,此技术是以应用层流量检测和控制技术为基础的,一般用于网络包不良内容的检测,通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作,通过深度检测报文内容,可对网络间的行为有更好的感知。匹配报文载荷与预定义的模式集合来实现报文内容检测。

正则表达式有很强的表示字符串的能力,因此基于正则表达式的特征匹配成为一个热门的研究课题。例如,检测入侵系统Snort[1]和Bro[2]的规则集都满足基于正则表达式的描述规则,应用于应用层协议的识别系统L7-filter[2]也采用正则表达式的描述规则。对检测入侵系统Snort的测试结果表明,特征匹配占用了整个系统超过30%的处理时间。以网络应用为主的网络数据,特征匹配的占用系统时间则更长达80%[3]。因此,可以看出基于正则表达式的特征匹配很消耗计算资源的空间与时间。

随着网络数据飞速的增长,基于软件算法的实现难以满足高速网络的性能要求,也难以缩减特征匹配的占用时间。目前的解决办法就是设计专用网络安全系统的内容安全硬件才能有效实现特征匹配加速。基于FPGA方式的实现一般采用NFA。2001年,Sidhu R等[4]采用NFA 实现正则表达式匹配, 将正则表达式的表达式转换为触发器中与或门逻辑电路。在此基础上,Sutton P等[5]做出了修改,应用部分字符解码的方式来优化正则表达式的实现。文献[6] 于2006年,通过减少NFA中重复多余的与门和状态减少了50 %的FPGA资源。采用DFA方法实现的正则匹配通常采用存储器,Kumar S等[7]采用对多个模式进行分组的思想,每个分组分配单独正则匹配引擎的方式可明@降低DFA 状态转移表的大小。Kumar S等[7,8]提出将DFA 中一个状态的多条边用单个缺省边代替,引入输入延迟的DFA(D2 FA)来减少边的存储空间的方法,并解决了一个字节多次访存的问题,达到了提高DFA 的性能。

本文提出了构建一个主从协同处理的特征匹配结构模型,并且根据此模型设计并实现了一款内容安全匹配加速卡,该加速卡通过PCI协议与主机通讯,采用Xilinx FPGA实现字符串匹配与正则表达式匹配,通过访问SRAM/DDR存储器读取转换规则进行状态切换。此模块的使用,对硬件结构在网络安全系统中应用时的系统修改大大降低了,数据交换效率改善效果明显,系统整体性能得到提升,在实际系统中,提供了完整的硬件加速。

1相关工作

字符串和正则表达式两种形式是笔者所研究的“特征”,而字符串只是正则表达式的另一种特殊形式。正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。

特征匹配就是查找输入信息中是否存在特征集中某些特征的问题。其征集是以正则表达式的形式定义,输入信息是文本格式,输出匹配的结果。如图1所示,本文设计了特征匹配操作。

图1 特征匹配示意图

特征匹配硬件结构的研究可分成基于FPGA特征匹配结构的研究和面向ASIC的特征匹配结构研究两大类,都应用于入侵检测和系统防御,这两类方法的根本不同在于特征的存储方式。基于FPGA的特征匹配结构[9-11]的实现方式是使用FPGA内部的逻辑单元来进行特征匹配,FPGA的优点在于具有很强的灵活性、执行速度快、集成度比较高,而且方便重新配置,其明显的不足是更新特征时要重新产生FPGA下载文件,难以满足计算机网络安全中频繁更新特征的需求。ASIC的特点是面向特定用户的需求,ASIC在批量生产时与通用集成电路相比具有体积更小、功耗更低、可靠性提高、性能提高、保密性增强、成本降低等优点。面向ASIC的匹配特点是将特征通过软件编译器产成一个中间数据结构,然后将其保存至外部存储器中,通过访问内存判断是否符合特征,该方式是用硬件电路来实现具体操作。

在计算机网络安全系统中采用专有内容安全硬件结构时,以IP 核、FPGA 或ASIC 的方式工作[12-15]是一般性的硬件结构,研究有3种不同的方法: 第1种是采用主机和加速卡的工作模式,这也是本文采用的方法;第2种是采用主处理器和协处理器的运行方式;第3种是内处理器核与专用IP核共同工作模式。

笔者使用上述三种方案的第一种,在第一种方案中,主控方通用微处理器,在加速卡中实现特征匹配。加速卡与主控方通讯的方式,一般采用PCI(Peripheral Component Interconnect,部件互连总线)等标准接口协议。主控方和特征匹配分离,两者之间相互不干扰,如有报文需要特征匹配,主控方只需调用加速卡提供的函数接口即可完成特征匹配,这是这种方案的优点;缺点是模型受到标准接口协议的限制,而且实现较为复杂,性能不高。

2 主从协同处理模型

2.1 整体架构

内容安全加速卡的整体架构如图2所示,分为硬件部分和软件部分两大部分,软件部分又虚线表示,包括特征集的提前处理、系统调用的接口函数和加速卡的驱动程序;实线部分是表示硬件部分,包括加速卡、存储器,负责对数据进行存储以及特征匹配并输出结果。

内容安全匹配加速卡的工作流程如下:

(1)特征集集合经过预处理之后,得到规则化的存储文件

(2)主控方加载加速卡的驱动程序

(3)将特征匹配硬件逻辑通过电子设计自动化工具编译成FPGA下d文件,并下载到FPGA中

(4)将具有初始化逻辑的存储文件保存至存储器,用于加速卡进行匹配。

(5)主控方通过接口函数将测试数据送入加速卡,加速卡内部的FPGA访问外部存储器,读取转换规则并进行特征匹配,判断是否匹配。

(6)匹配完成之后,由缓存区来保存输出的结果,主控方通过接口函数取回匹配结果。

2.2 主从协同处理模型

通过研究特征匹配结构的工作流程,很容易发现,主控方将等待匹配的信息传送到输入缓冲区,加速卡获取信息后,开始进行特征匹配,此时输出缓冲区得到传送来的匹配结果,最后通过接口函数到达主控方。这个过程中,主控方通过接口函数往输入缓冲区传递等待匹配的信息和通过接口函数从输出缓冲区取出匹配结果的过程中,主控方一直处于运行状态,加速卡处于闲置状态。同样,进行特征匹配操作时,加速卡处于工作状态,主控方处于闲置状态。这整个过程类似于进程上的串行执行,主控方和加速卡无法同时工作,很大程度上浪费资源,降低了系统的性能。

为了避免上述情况,文献[16]提出双流优化模型,且对双流化模型的性能进行了测试与分析,证明了其方法的可行性。本文采用相同的方法,缓冲区A和B是采用两套输入/输出来实现,图3为具体运行流程。主控方通过接口函数将等待匹配的数据送到输入缓冲区A中,特征匹配结构接收输入缓冲区A的数据后,进行特征匹配处理,同时主控方通过接口函数将等待匹配的新信息送到输入缓冲区B中,特征匹配结构处理完A数据后,送到输出缓冲区A,接着处理输入缓冲区B中的数据,同时主控方通过接口函数接收输出缓冲区A中的匹配结果,紧接着主控方再次通过接口函数将等待匹配的信息送到输入缓冲区A中,特征匹配结构处理完输入缓冲区的数据,送到输出缓冲区B中,接着处理输入缓冲区A中的数据,同时主控方接收输出缓冲区B中的匹配结果。这样循环运行,能够提高各个部分的运行效率,减少各个部分的闲置时间,大幅度提高了系统性能。

对特征匹配相关信息研究表明,特征匹配的相关算法提供一个外部接口函数,首先整个系统对算法进行初始化,产生相关的信息,接着在需要时候调用相关的函数,输入等待匹配的信息,然后通过接口获取匹配的结果。特征匹配硬件结构的设计上需要最大可能地满足与软件算法的操作一致,如此能够减少现有系统从软件算法转向硬件结构时所需要做的修改。

结合双输入/输出处理流程,本文将主从协同处理模型设计成如图4所示,主要模块为5个,分别为:(1)函数接口;(2)输入输出FIFO(First Input First Output, 先入先出队列);(3)数据交换控制单元;(4)输入输出缓冲区;(5)寄存器。以下分别为5个模块的功能:完成数据交换,以及完成特征匹配结构和主控方之间的信息传输和特征匹配功能。特征匹配硬件结构一般有两种不同工作模式,即初始化和匹配模式,下面具体介绍一下这两种模式下的工作流程。

第一,初始化的状态下:

(1)主控方将需配置的寄存器相关主控方信息,通过输入输出的接口函数,经由数据交换控制单元,传送到相应寄存器,初始化特征匹配结构的同时,将相应的信息反馈给主控方;

(2)接着主控方再通过输入输出接口函数(FIFO)传输特征初始化的信息,数据交换控制单元将该信息传输到相应存储位置,主控方得到相应状态信息的反馈,同时得到完成初始化操作的口令。

第二,匹配状态下:

(1)主控方通过输入输出接口函数传输匹配状态所需相关信息,接着通过数据交换控制单元将该信息传输到相应寄存器,特征匹配结构转换至匹配状态,并将相关的状态信息反馈给主控方;

(2)主控方在每轮的匹配操作过程中,首先需通过输入输出接口函数传递输入数据需配置的寄存器内容,数据交换控制单元将该信息传送到相应寄存器,然后再通过输入输出接口函数传入等待匹配信息,经过格式转换将其传送到输入缓冲区中,特征匹配结构对输入缓冲区中数据进行匹配,并将匹配结果通过输入输出端口传送到输出缓冲区中,并将处理完后的信息返回给主控方,主控方通过输入输出接口取走输出缓冲区中匹配结果,最后主控方将输出结果需配置的寄存器内容传输进来,数据交换控制单元将其传输到相应寄存器,这样就完成了本轮测试信息的特征匹配。连续进行1 次或多次循环,直到所有等待匹配的信息都匹配完。

3 设计实现

3.1实现方案

在主从协同处理的特征匹配结构模型基础上,内容安全加速卡的设计和实施,为针对网络安全系统的硬件特征匹配提供了良好的解决方式。图5为加速卡硬件结构设计,主要包括:(1)FPGA硬件模块:负责实现硬件特征匹配功能,存储模块存储状态机转换规则;(2)PCI接口:PCI总线负责特征匹配结构与主控方的数据通讯;(3)存储部分。

系统工作时,主控方将信息通过PCI传输到加速卡,采用DMA 方式传输数据,信息经过FPGA处理完毕之后,传送中断请求到主控方,中断请求被响应后,主控方取回匹配结果。

3.2 加速卡实现

加速卡采用PCI 9054接口芯片,它提供2个独立的可编程DMA控制器,可以通过编程实现多种数据宽度,传输速度可达1Gbit/s( 32bit* 33MHz),并使用先进的数据管道结构技术。加速卡采用2种存储器,分别是静态存储器和双倍速率同步动态随机存储器(DDR),静态存储器选用CY7C1461AV33。内存芯片颗粒DDR动态存储器采用2. 5 V工作电压,允许在时钟脉冲的上升沿和下降沿传输数据,在不需提高时钟频率的条件下加倍提高访问速度,本加速卡选用MT46V32 M16P内存芯片颗粒,单片大小为512Mbit。表1展示了加速卡的主要部件。

4 结束语

面对大数据量下的信息检测,软件算法的特征匹配无法正常满足需求,也无法满足数据处理的速度要求,所以使用专用硬件实现特征匹配加速。本文提出了基于主从协同处理模式的硬件特征匹配结构,并对特征匹配的工作流程进行了改进,采用文献[16]的双流优化模型,提高硬件特征匹配的处理性能,减少数据交换带来的性能下降。特征结构是处于被动模式,需要主控方通过初始化设置和待匹配数据进行控制特征匹配硬件结构的I/O操作、初始化和系统结束等操作。本文最终设计和实现了一款内容安全加速卡,通过PCI协议与主控方通讯,在FPGA上实现硬件特征匹配。

参考文献:

[1]SNORT Network Intrusion Detection System [EB/OL]. [ 2007-05-18] http://.

[2] Bro Intrusion Detection System [EB /OL] . [ 2007-03-15] .http:// .

[3] Roesch M. Snort: lightweight intrusion detection for networks [C]//Proc of the 1999 USENIX LISA Systems Administration Conference,1999.

[4]Sidhu R, Pras anna V K .Fast Regular Expression Matching using FPGAs[ C] //Proc of the 9 th Annual IEEE Symp on FCCM, 2001:227-238 .

[5] Sutton P, Partial Character Decoding f or Improved Regular Expression Matching in FPGAs[ C] //Proc of IEEE Int' lConf on Field-Programmable Technology , 2004 :25-32 .

[6] Katashita T .Highly Efficient String Matching Circuit for IDS with FPGA[C] //Proc of the 14th Annual IEEE Symp on FCCM , 2006 :285-286 .

[7] Kumar S, Dharmapurikar S , Fang Yu , Algorithms to Accelerate Multiple Regular Expressions Matching for Deep Packet Inspect ion[ C] //Proc of S IGCOMM' 06 , 2006 :11-15.

[8] Kumar S, Turner J , Williams J .Advanced Algorithms for Fast and Scalable Deep Packet Inspection [C]// Proc of ANCS' 06, 2006 :81-92.

[9] Sourdis I, Pnevmatikaos D. Fast, large-scale string matching for a 10Gbps FPGA-based network intrusion detection system [C] //The 13th International Conference on Field Programmable Logic and Applications, FPL 03 Lisbon, Portugal:[s.n.], 2003.

[10] Baker Z K, Prasanna V K. High-throughput linked-pattern matching for intrusion detection systems [C] //The 1st Symposium on Architecture for Networking and Communications Systems, ANCS’ 05 Princeton, New Jersey, USA:[s.n.], 2005:193-202.

[11] Katashita T, Maeda A, Toda K, et al. Highly efficient string matching circuit for IDS with FPGA [C] //The 14th Annual IEEE Symposium on Field-Programmable Custom Computing Machines. FCCM06, 2006:285-286.

[12] LIANG Heling, LI Shuguo. Design of an Internet security protocol acceleration card with pci and usb dual interface [J].Microelectronics and Computer, 2009,26(2) :155-162.

[13] Zhang Peiheng, Liu Xinchun, Jiang Xianyang. An implementation of reconfigurable computing accelerator card oriented bioinformatics [J].Journal of Computer Research and Development, 2005, 42(6): 930-937.

[14] DUAN Bo, WANG Wendi, ZHANG Chunming, et al. A computing accelerate platform based on reconfigurable data-path [C] // Proceeding of the 15th National Conference on Computer Engineering and Technology and the 2nd Microprocessor Forum.

篇8

关键词:网络安全;病毒防范;防火墙

        0  引言

        如何保证合法网络用户对资源的合法访问以及如何防止网络黑客的攻击,已经成为网络安全的主要内容。

        1  网络安全威胁

        1.1 网络中物理的安全威胁  例如空气温度、湿度、尘土等环境故障、以及设备故障、电源故障、电磁干扰、线路截获等。

        1.2 网络中信息的安全威胁  ①蠕虫和病毒。计算机蠕虫和病毒是最常见的一类安全威胁。蠕虫和病毒会严重破坏业务的连续性和有效性。随着病毒变得更智能、更具破坏性,其传播速度也更快,甚至能在片刻间使信息处理处于瘫痪状态,而要清除被感染计算机中的病毒所要耗费的时一间也更长。②黑客攻击。“黑客”一词由英语hacker英译而来,原意是指专门研究、发现计算机和网络漏洞的计算机爱好者。现如今主要用来描述那些掌握高超的网络计算机技术窃取他人或企业部门重要数据从中获益的人。黑客攻击主要包括系统入侵、网络监听、密文破解和拒绝服务(dts)攻击等。

        2  网络安全技术

        为了消除上述安全威胁,企业、部门或个人需要建立一系列的防御体系。目前主要有以下几种安全技术:

        2.1 密码技术  在信息传输过程中,发送方先用加密密钥,通过加密设备或算法,将信息加密后发送出去,接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,也只能得到无法理解的密文,从而对信息起到保密作用。

        2.2 身份认证技术  通过建立身份认证系统可实现网络用户的集中统一授权,防止未经授权的非法用户使用网络资源。在网络环境中,信息传至接收方后,接收方首先要确认信息发送方的合法身份,然后才能与之建立一条通信链路。身份认证技术主要包括数字签名、身份验证和数字证明。

        2.3 病毒防范技术  计算机病毒实际上是一种恶意程序,防病毒技术就是识别出这种程序并消除其影响的一种技术。从防病毒产品对计算机病毒的作用来讲,防病毒技术可以直观地分为病毒预防技术、病毒检测技术和病毒清除技术。   

        ①病毒预防技术。计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。病毒预防技术包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。②病毒检测技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身校验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性己遭到破坏,感染上了病毒,从而检测到病毒的存在。③病毒清除技术。计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一个逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,杀毒软件有其局限性,对有些变种病毒的清除无能为力。

        2.4 入侵检测技术  入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术,也是一种用于检测计算机网络中违反安全策略行为的技术。

        入侵检测系统所采用的技术可分为特征检测与异常检测两种。

        ①特征检测的假设是入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将己有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。②异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

        2.5 漏洞扫描技术  漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。漏洞检测技术就是通过对网络信息系统进行检查,查找系统安全漏洞的一种技术。它能够预先评估和分析系统中存在的各种安全隐患,换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客人侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的评估报告,它指出了哪些攻击是可能的,因此成为网络安全解决方案中的一个重要组成部分。

        漏洞扫描技术主要分为被动式和主动式两种:

        ①被动式是基于主机的检测,对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查。②主动式则是基于对网络的主动检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。

        2.6 防火墙技术  防火墙是指设置在不同网络(如可信任的企业内部网络和不可信的公共网络)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业部门的安全策略控制(允许、拒绝、监测)出人网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是个分离器,是个限制器,也是个分析器,有效地监控了内部网络和internet之间的任何活动,保证了内部网络的安全。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

篇9

安全体系模型

针对目前计算机网络中所存在的严重安全问题,各种网络安全应用起到了一定的作用。但对于计算机网络安全问题需要综合考虑网络中所存在的各种安全隐患,建立整体的安全架构,使计算机网络的安全防护成为一个安全体系,具备自防御的功能。根据目前网络的特点,安全体系的设计应突出防范重点、保护重点、策略分布重点。网络安全的建立需要对整体网络进行统一的规划。在各个重点中,以策略为中心的安全模型可以更充分地发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优四个部分对安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面地发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。针对这种模型,具体应用到实际的网络环境中,安全体系架构包含四个模块,分别为企业互联网接入模块、企业园区网模块、企业网互联模块、企业广域网模块。这种结构化的设计,有利于在不同的网络功能模块之间更好地划分安全防范的重点,并具有良好的扩展性,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。

企业应用

根据企业安全的基本模型,对某企业的网络实施以防火墙、入侵监测设备、漏洞扫描设备为安全模块设备,安全策略为核心的企业安全体系的架构。整个架构共包含以下三个部分。

1.企业Internet接入模块

企业Internet接入模块主要是预防Internet攻击的第一道门户,是防范Internet上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略实现最严格的限制与最少的漏洞,同时保证最快的转发速度。

2.企业园区网模块

企业园区网是企业内部网的核心,保护着包括内网用户、重要服务器的安全。企业园区网由一台防火墙、两台互为冗余的主干交换机、企业内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙作为安全防护的中心,其安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分访问的具体范围。

3.企业间互联模块

随着各单位间的合作越来越紧密,信息化建设也是围绕着生产发展的需要而进行不断的调整与适应的。因各个单位都有自己的Internet出口,为了保证互联后的网络安全,在进行设计时需要在各自的接入端安装仅对外开放需要使用端口的防火墙设备。

篇10

关键词 虚拟局域网;校园网络;安全体系

中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0202-02

1 网络安全体系的定义

通常情况下,为了能够保证校园网络运行的安全稳定,校园网的大部分数据资源都只允许在内部中完成访问。例如校园网络的OA系统、校内邮件系统等等,这些系统的访问和使用都必须在校园网内部操作,严重制约了教师、学生在个人家庭中通过访问校园网来收取学校通知、查看个人成绩、浏览校园新闻等功能。如果校园网内部应用服务器一旦发生了故障,如果专业管理人员此时也没有在学校时,就无法完成对校园网的维护操作,如果部分教师由于需要出差完成科研交流等工作时,也无法查看关于科研项目的校内数据资源。

网络安全体系指的是一套完整的计划设计,主要包括能够为网络用户提供安全稳定的服务;能够保证网络中所有系统的正常运行服务;对网络中系统的安全级别提出要求并完成设置。一套完整的网络安全体系中的必备设计原则有数据传输安全、计算机系统安全、网络用户安全、网络管理安全、物理架构安全等等,既要能够对恶意的外界入侵行为进行制止,还要能够同时应对网络中的其他安全威胁。

2 虚拟局域网关键技术

2.1用户认证技术

虚拟局域网中的用户身份核实确认大部分都是通过用户认证技术实现的,对系统用户进行相应授权之后能够保证控制访问资源。一般情况下,网络认证协议采用的都是报文摘要技术,主要是用于验证数据信息的完整性和对用户身份进行认证,通过利用哈希(HASH)函数将数据报文的长度进行一系列变换,使其能够成为固定长度的报文摘要,但是由于哈希函数自身的特性又难以在不同的报文信息中将报文摘要变换成固定长度。

2.2数据加密技术

虚拟局域网数据传输的过程中主要应用的是数据加密技术,来实现对数据的伪装和隐藏。但是,如果在传输的过程中数据信息经过互联网产生了安全威胁,那么即使已经通过了用户认证,也不能保证数据信息的安全传输。因此,在网络发送端应该将用户认证进行加密之后再完成数据信息的传输,在网络接收端通过用户认证之后再对数据信息进行解密。密钥类型主要包括对称加密和非对称加密两种,在实际应用中大多数采用的都是对称加密措施,如果是机密数据信息则采取公钥加密技术。

2.3访问控制技术

访问控制技术主要是对用户是否能够对系统发起访问进行控制,运行具有相应授权的用户访问系统资源,对没有授权的用户对系统资源发起访问和获取时立刻进行阻止。

3 校园网络安全体系设计

本文设计提出的基于虚拟局域网技术的校园网络安全体系设计方案主要是为了解决某高校老校区与新校区之间信息互通、资源共享、专网整合的问题,由此构建出一条专用的虚拟局域网安全通道,从而保证这些重要数据资源能够在校园网中安全稳定地传输。

3.1系统设计原则

1)安全保障

虚拟局域网系统的重要职能就是保证网络的安全稳定,以及在互联网传输过程中数据信息的安全可靠,因此,虚拟局域网系统的安全保证必须包括用户身份认证、数据信息保密和数据信息完整。

2)多平台兼容

虚拟局域网系统的关键功能就是要保证用户不受时间和地域的限制对系统资源发起访问,以及当用户进行移动办公时要保证网络连接的安全可靠。

3)访问控制权限

校园网的虚拟局域网系统主要是为多个应用程序提供保护的,因此要设置不同的用户访问控制策略,使得拥有不同权限的用户能够访问相应的系统资源。

4)平台管理简洁

虚拟局域网服务器应该为用户和系统管理员提供良好的应用管理操作界面,在方便用户对系统资源进行访问操作的同时,还要保证系统管理员的安全维护操作简单便捷,更要为服务器与用户之间的通问、安全日志等做好记录。

3.2系统功能模型

根据校园网络的实际安全需求和虚拟局域网系统的设计原则,虚拟局域网系统的功能模型主要包括用户身份认证模块、数据传输模块、访问控制模块和系统管理模块。

1)用户身份认证模块

虚拟局域网系统客户端通过采取数字证书的认证方式对用户身份进行核实;服务器对系统客户端进行认证时需要采取不同的认证方法,如果用户通过远程网络连接到虚拟局域网中,服务器则采用用户名+密码的认证方式对用户合法身份进行识别,在校园网内部则采取数字证书的方式对用户身份进行识别。

2)数据传输模块

数据传输模块的主要功能是采取相应加密算法对数据进行加密之后传输给接收方,以及对接收到的数据进行解密。

3)访问控制模块

访问控制模块主要是根据已经设置完成的访问控制策略来控制系统中的资源是否能够被用户进行访问和操作。

4)系统管理模块

系统管理模块主要负责对虚拟局域网系统服务器的日常服务信息进行记录,包括访问日期、访问时间、网络使用情况等等,并生成对应的日志报告。

3.3系统详细设计

本文提出的基于虚拟局域网技术的校园内部网设计方案如图1所示。

学校的新校区和老校区之间通过采用虚拟局域网技术,建立起一道校园内部虚拟局域网通道,将新校区与老校区利用光纤实现网络连接,将网络的出口端设置在新校区。校园网中的财务管理系统、人事管理系统和一卡通管理系统都需要通过同一个链路与新校区进行连接,因此,我们采用虚拟局域网网络安全标准对链路进行数据加密,从而保证通过这条链路传输的数据能够安全可靠。

校园网中的一般用户的访问控制策略安全级别的设置可以相对较低,一般用户安全级别如果设置过高则会耗费大量的系统资源,造成无法访问或网络瘫痪的情况出现。对于校园网中的财务管理部门、人事管理部门和后勤服务部门来说,应该采取两层架构隔离的方法接入到校园网中,再通过内部网关协议与核心交换机连接,从而保证在新校区与老校区之间实现数据加密传输。

4结论

综上所述,本文从校园网实际需求角度出发,将虚拟局域网技术应用到校园网建设当中,提出了一套校园网络安全体系设计方案,能够有效保证新校区与老校区之间的数据通信、数据共享和数据整合安全,具有较强的理论指导意义。

参考文献