網絡信息安全與防范論文
網絡信息安全與防范論文【1】
【摘 要】網絡發展的早期,人們更多地強調網絡的方便性和可用性,而忽略了網絡的安全性。
當網絡僅僅用來傳送一般性信息的時候,當網絡的覆蓋面積僅僅限于一幢大樓、一個校園的時候,安全問題并沒有突出地表現出來。
但是,當在網絡上運行關鍵性的如銀行業務等,當企業的主要業務運行在網絡上,當政府部門的活動正日益網絡化的時候,計算機網絡安全就成為一個不容忽視的問題。
面對眾多的網絡安全問題,如何讓企業的員工在信息化社會擁有一個安全的辦公環境是應給予關注的問題。
通過組策略技術的應用,集中發布、刪除企業應用軟件,防止員工用濫電腦娛樂和病毒的肆意傳播,從而實現企業網絡的安全。
提高員工工作效率,加強公司電腦的管理。
管理員通過對組策略的學習,工作效率大幅度提高,不再疲于奔命對每一臺域中電腦反復配置。
隨著技術的發展,網絡克服了地理上的限制,把分布在一個地區、一個國家,甚至全球的分支機構聯系起來。
它們使用公共的傳輸信道傳遞敏感的業務信息,通過一定的方式可以直接或間接地使用某個機構的私有網絡。
組織和部門的私有網絡也因業務需要不可避免地與外部公眾網直接或間接地聯系起來,以上因素使得網絡運行環境更加復雜、分布地域更加廣泛、用途更加多樣化,從而造成網絡的可控制性急劇降低,安全性變差。
隨著組織和部門對網絡依賴性的增強,一個相對較小的網絡也突出地表現出一定的安全問題,尤其是當組織的部門的網絡就要面對來自外部網絡的各種安全威脅。
第1章 緒論
1.1 課題背景
隨著計算機網絡技術的飛速發展,信息網絡已經成為社會發展的重要保證。
信息網絡涉及到國家的政府、軍事、文教等諸多領域,存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要的信息。
其中有很多是敏感信息,甚至是國家機密,所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。
通常利用計算機犯罪很難留下犯罪證據,這也大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪率的迅速增加,使各國的計算機系統特別是網絡系統面臨著很大的威脅,并成為嚴重的社會問題之一,從而構成了對網絡安全的迫切需求。
1.1.1計算機網絡安全威脅及表現形式
計算機網絡具有組成形式多樣性、終端分布廣泛性、網絡的開放性和互聯性等特征,這使得網絡容易受到來自黑客、惡意軟件、病毒木馬、釣魚網站等的攻擊。
1.1.1.1常見的計算機網絡安全威脅
(1) 信息泄露
信息被透漏給非授權的實體。
它破壞了系統的保密性。
能夠導致信息泄露的威脅有網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵弛、物理侵入、病毒、術馬、后門、流氓軟件、網絡釣魚等。
(2) 完整性破壞
通過漏洞利用、物理侵犯、授權侵犯、病毒、木馬、漏洞等方式文現。
(3) 拒絕服務攻擊
對信息或資源可以合法地訪問,卻被非法地拒絕或者推遲與時間密切相關的操作。
(4) 網絡濫用
合法用戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
1.1.1.2常見的計算機網絡安全威脅的表現形式
(1)自然災害
計算機信息系統僅僅是一個智能的機器,易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響。
目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統也疏于周到考慮,抵御自然災害和意外事故的能力較差。
日常工作中因斷電而設備損壞、數據丟失的現象時有發生。
由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。
(2)網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。
另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設想。
(3) 黑客的威脅和攻擊
這是計算機網絡所面臨的最大威脅。
黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。
非破壞性攻擊一般是為了擾亂系統的運行,并不盜竊系統資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。
黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、釣魚網站的欺騙技術和尋找系統漏洞等。
(4) 垃圾郵件和間諜軟件
一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。
與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。
(5) 計算機犯罪
計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪w、盜竊、詐騙和金融犯罪等活動。
在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。
他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。
不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。
使得針對計算機信息系統的犯罪活動日益增多。
(8) 計算機病毒
20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。
它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統中進行擴散。
計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
第2章 網絡信息安全防范策略
2.1 防火墻技術
防火墻,是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。
防火墻是指位于計算機和它所連接的網絡之間的硬件或軟件,也可以位于兩個或多個網絡之間,比如局域網和互聯網之間,網絡之間的所有數據流都經過防火墻。
通過防火墻可以對網絡之間的通訊進行掃描,關閉不安全的端口,阻止外來的DOS攻擊,封鎖特洛伊木馬等,以保證網絡和計算機的安全。
一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全,提供方便。
2.2 數據加密技術
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。
主要存在兩種主要的加密類型:私匙加密和公匙加密。
2.2.1私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。
私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建加密一條有效的消息。
這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2.2.2公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。
公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3 訪問控制
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。
訪問控制決定了誰能夠訪問系統,能訪問系統的何種資源以及如何使用這些資源。
適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據。
訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權、授權核查、 日志和審計。
它是維護網絡安全,保護網絡資源的主要手段,也是對付黑客的關鍵手段。
2.4 防御病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。
在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。
單機防病毒軟件一般安裝在單臺PC機上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。
網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其他資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。
病毒的侵入必將對系統資源構成威脅,因此用戶要做到“先防后除”。
很多病毒是通過傳輸介質傳播的,因此用戶一定要注意病毒的介質傳播。
在日常使用計算機的過程中,應該養成定期查殺病毒的習慣。
用戶要安裝正版的殺毒軟件和防火墻,并隨時升級為最新版本。
還要及時更新windows操作系統的安裝補丁,做到不登錄不明網站等等。
2.5 安全技術走向
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。
但因信息網絡安全領域是一個綜合、交錯的學科領域,它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。
由于計算機運算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術正處于探索之中。
因此網絡安全技術在21世紀將成為信息網絡發展的關鍵技術
第3章 企業網絡中組策略的應用
3.1 利用組策略管理用戶環境
管理用戶環境-控制用戶在登錄網絡時有哪些權力。
可以通過控制用戶的桌面、網絡連接和用戶界面來控制用戶權力。
用戶環境-為用戶或計算機設置的。
3.2 組策略設置的結構
專業名稱表(Subject)的設計
組策略的設置總體分為:計算機配置和用戶配置
計算機配置和用戶配置下面又有三個子層:
(1)軟件設置-統一管理所有軟件,Windows設置
(2)計算機配置:腳本、安全設置
用戶配置:IE維護、腳本、安全設置、遠程安裝服務、文件夾重定向
(3)管理模板-解決用戶環境的問題
計算機配置:Windows組件、系統、網絡、打印機
用戶配置:Windows組件、系統、網絡、桌面、控制面板、任務欄和開始菜單
3.2.1 計算機配置中的Windows配置
1.添加腳本
組策略腳本設置的功能是可以集中配置腳本,在計算機啟動或關閉時,自動運行。
指定在Windows 2003上運行任何腳本,包括批處理文件、可執行程序等。
如果同時添加多個腳本,則Windows 2003按照從上到下的順序執行;如果多個腳本之間有沖突,則最后處理的腳本有效。
配置步驟如下:
1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
2)計算機配置-Windows設置-腳本-右擊“啟動”-單擊“添加”
3)單擊“瀏覽”,選定要運行的腳本或可執行文件
2.計算機中的安全設置
安全設置包括:帳號策略、本地策略、事件日志、無限制的組、系統服 務、注冊表、文件系統、公鑰策略、IP安全策略。
配置步驟如下:
1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯” 2)計算機配置-Windows設置-安全設置-右擊“登錄屏幕不要顯示上次登錄的用戶名”
3)選擇“安全性”-選中“定義這個策略設置”和“已啟用”
3.2.2 計算機配置中的管理模板
(1)計算機配置中的管理模板-控制計算機桌面的外觀和行為
管理模板包括:Windows組件、系統、網絡。
Windows組件中規定了一些操作系統自帶的組件,如:IE、Netmeeting、 若任務計劃等。
(2)設置Windows組件。
步驟如下:
1)控制面板-任務計劃-添加一個任務計劃
2)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
3)計算機配置-管理模板-Windows組件-選中“任務計劃程序”項
4)右擊“禁用‘創建新任務’”-選擇“屬性”-在“策略”選項卡中選中“啟用”
管理模板是基于注冊表的策略。
在計算機和用戶配置中都可以設置管理模板的內容。
管理模板是組策略中可以使用的對系統進行管理最靈活的一種手段。
3.2.3 網絡子樹
網絡子樹包括:脫機文件(處理與脫機文件夾有關的事項);網絡及撥號連接
禁用網絡連接共享。
配置步驟如下:
1)新建一個撥號連接,設置共享
2)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
3)計算機配置-管理模板-網絡-網絡及撥號連接
4)右擊“允許連接共享”-選中“禁用”
3.2.4 用戶配置中的Windows配置
Windows配置中包括:IE維護、腳本、安全設置、遠程安裝服務、文件夾重定向
(1)用用戶策略中的IE維護為用戶指定默認主頁。
步驟如下:
1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
2)用戶配置-Windows設置-IE維護-URL
3)右擊“重要URL”-選擇“屬性”-選中“自定義主頁URL”-輸入網址
3.2.5 文件夾重定向
重定向文件夾。
步驟如下:
1)用戶配置-Windows設置-文件夾重定向-右擊“My Document”子樹-選擇“屬性”
2)在“目標”選項卡中,選擇“基本”,來為每個用戶在服務器上建立一個個人文件夾,文件夾名即用戶名
3)在目標文件夾的位置輸入路徑:服務器名共享文件夾名\%用戶名%
4)在“設置”選項卡中設置:只有用戶和系統能夠訪問該文件夾
文件夾重定向的功能:將用戶常用的文件夾重定向到網絡中的某臺服務器的共享文件夾中。
對用戶最終的效果是:無論用戶在那一臺計算機上打開它自己的這些文件夾,看到的都是相同的內容。
需要注意的是,文件夾重定向只是重定向用戶自己創建的數據文檔,而不會把系統數據重定向到網絡服務器上。
3.2.6 用戶配置中的管理模板-控制用戶環境
用戶配置的管理模板包含:Windows組件、任務欄和開始菜單、桌面、控制面板、網絡、系統。
資源管理器中的策略(使資源管理器中的文件夾選項消失)
1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
2)用戶配置-管理面板-Windows組件-Windows資源管理器
3)右擊“從‘工具’菜單中刪除‘文件夾選項’菜單”,選擇“啟用”任務欄和開始菜單-控制任務欄和開始菜單中的各種環境
3.3 使用組策略管理軟件
管理和維護軟件可能使大多數管理員都要面對的,客戶經常會問管理員他使用的軟件為什么不能使用了、新軟件如何安裝。
怎么進行軟件升級等。
利用Windows server 2003的軟件分發功能可以很輕松的實現這些需求,這位我們的管理工作帶來了極大的方便。
軟件分發是指通過組策略讓用戶或計算機自動進行軟件的安裝、更新或卸載。
在Windows server 2003中,可以通過使用一個站點、域、組織單元內的用戶和計算機的組策略設置,來為這個站點、域、組織單元的用戶和計算機自動安裝、升級或刪除軟件。
3.3.1 軟件布置(安裝和維護)的步驟
(1)準備階段
準備一個文件,以便一個應用程序能用組策略布置。
為完成這個,應將用于應用程序的Windows安裝程序包文件(*.msi *.zap)復制到一個軟件分布點,它可能是一個共享文件夾或服務器。
(2)布置階段
管理員創建一個在計算機上安裝軟件并將GPO鏈接到相應的活動類別容器內的組策略對象(GPO)。
實際上,軟件是在計算機啟動或用戶激活應用程序時安裝。
(3)維護階段
用新版本的軟件升級軟件或用一個補丁包來重新布置軟件。
當計算機啟動時或用戶激活應用程序時將自動升級或重新布置軟件。
(4)刪除階段
為刪除不再使用的軟件,從開始布置軟件的GPO中刪除軟件包設置。
當計算機啟動或用戶登錄時軟件將被自動刪除。
3.3.2 發布和分配軟件
用組策略統一給客戶端安裝軟件,有兩種形式:發布、分配(指派)發布和分配軟件,所有發布的軟件都需要用控制面板中的“添加/刪除程序”工具來安裝;也可以通過文檔激活自動安裝。
只能將軟件發布給用戶,而不給計算機。
分配軟件可以將軟件分配用戶和計算機。
通過分配軟件,可以確保:
(1)軟件對用戶總是可用的。
可以采用文檔激活方法安裝,如使用Word、Excel等應用程序的用戶。
(2)軟件是有彈性的。
如果缺少某些文件,當用戶下次登錄并激活應用程序時,將重新安裝。
(3)當給用戶分配軟件時,軟件將出現在用戶的桌面上,但是在用戶雙擊其圖標或打開與應用程序關聯的文件之前,安裝不會開始。
(4)當給計算機分配軟件時,在計算機啟動時,軟件將被自動安裝。
注:如果計算機是一個域控制器,分配軟件給計算機將不起作用。
3.3.3 用組策略布置軟件包
用組策略布置軟件包(以用戶配置中的軟件設置為例)。
步驟如下:
1)打開組策略控制臺-選中需要編輯的組策略-單擊“編輯”
2)用戶配置-軟件設置-右擊“軟件安裝”-選擇“新建”-單擊“程序包”
3)選擇安裝程序包(*.msi *.zap)-單擊“打開”
4)選擇布置方法為“已發行”
5)再選擇另一個安裝程序包,選擇布置方法為“已指派”
6)在域中另一臺計算機上登錄,控制面板-添加/刪除程序-添加新程序
注:該安裝程序包所在目錄必須是共享的,客戶機一定要指向DNS。
結論
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。
我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。
世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
通過組策略技術的應用,防止病毒通過移動設備傳播,來實現企業網絡的安全。
通過對機房及域中每一臺電腦的控制,禁止員工用電腦做與工作無關的娛樂項目,提高員工工作效率。
對域中電腦集中發布、刪除軟件,加強公司電腦整體環境的管理。
有了組策略,管理員的工作更加效率,掌握了組策略技術,管理員的工作得心應手。
網絡信息安全技術論文【2】
摘 要: 在網絡高速發展的信息化時代,網絡信息的安全成了我們比較關心的問題,闡述研究網絡安全技術的重要性,具體分析在實際應用中網絡安全的技術手段。
最后探討網絡安全與安全產品研究現狀及發展趨勢。
關鍵詞: 信息安全;防火墻 ;加密;數字簽名
1 概述
隨著網絡信息技術的迅猛發展,我們已進入信息化時代,互聯網給我們的生活帶來了極大的方便,改變了我們感知世界了解世界的渠道,同時,由于互聯網連接方式多樣性、終端分布廣泛性和網絡的開放性等也對我們的信息安全構成威脅。
網絡信息安全是一個包含計算機應用技術、網絡通信技術、密碼信息技術、信息安全技術、應用工程數學、數論、信息方法論等技術的綜合學科。
要想能夠提出完整的、系統的、協同的處理方案來,我們就要在平時對上述學科進行知識積累,只有這樣我們才能保證信息的有效共享和相對安全。
一般情況下,網絡信息安全可簡單的歸納為以下三方面。
1.1 網絡服務的可用性
網絡服務的可用性是指所有資源在適當的時候可以被授權方訪問,防止由于計算機病毒或其它人為因素而造成網絡系統的“拒絕服務”,簡稱DoS,其目的是使計算機或網絡無法提供正常的服務。
最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。
加大對網絡信息訪問的控制,可以有效防止“拒絕服務”的發生。
“防火墻”是近近幾年網絡安全技術的重要技術之一,它是網絡信息通信的咽喉,只有通過安全策略的相關信息才允許通過防火墻,如果網絡中加入防火墻,我們的網絡環境就會變得相對安全。
然而,網絡環境的安全常常是和互聯網的靈活性、開放性和便利性相矛盾的。
雖然防火墻的阻斷功能在加強內部局域網絡安全方面起到積極作用,可是也阻礙了內部網絡信息與外界網絡信息的有效交流。
1.2 網絡信息的保密性
網絡信息的保密性是指信息按指定要求不透露給未經授權的個人、實體或過程,或提供其利用的特性。
應用訪問控制技術,能有效地防止網絡信息資源不被非法使用和訪問。
訪問控制技術包括入網訪問控制、網絡權限控制、服務器控制等。
入網訪問控制是網絡訪問的首層訪問控制,通過用戶身份判斷來獲取相關網絡資源,控制準許用戶入網的時間和準許他們入網地點;網絡的權限控制通過對不同身份的用戶或用戶組賦予不同的權限,對不同權限的用戶或用戶組對信息資源的操作進行有效的限制;網絡服務器的安全控制包括:可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
1.3 網絡信息的完整性
網絡信息的完整性是指所有資源只能由授權方或以授權的方式進行修改,完整性具有三個特殊方面:被授權行為;資源分離和保護;以及錯誤的檢測和糾正。
其目的在于防止信息被未經授權的用戶篡改。
由于公用網絡的開放性,信息在網絡傳送過程中會遭遇類似黑客的截取、中斷、篡改和偽造等方法的破壞,造成數據的失真、丟失和不可用。
采用加密的手段可以增強重要信息的安全性,即使信息在傳輸過程中被非法用戶攻擊,加密后的信息也不易泄漏,加密技術解決了數據的機密性要求,同時也可以用來保護數據完整性。
但也不能過高估計加密的重要性,加密不能解決所有的安全問題。
不當加密可能對安全毫無作用甚至降低整個系統的性能。
2 目前主要網絡安全技術
2.1 病毒防護技術
計算機病毒是一種能夠在計算機運行過程中實現損壞本機或者傳染給其他計算機系統,導致計算機工作異常的一種程序。
比如向計算機系統中侵入病毒、蛀蟲、特洛伊木馬、陷門、邏輯炸彈;或通過竊ting、冒充等方式來破壞系統正常工作。
現在,成熟的反病毒技術已經能夠做到對已知病毒的徹底預防和殺除,這主要涉及以下三大技術[1 2]。
1)實時監控技術。
這種技術可為計算機系統構建一道動態、實時的反病毒體系,通過修改系統程序,使其本身具備防范病毒入侵的能力,拒病毒于計算機系統之外。
2)自動解壓縮技術。
目前在因特網、光盤以及Windows系統中接觸到的大多數文件都以壓縮狀態存放,以便節省傳輸時間或節約存放空間,這就使得各類壓縮文件成為計算機病毒傳播的溫床。
3)全平臺防范病毒技術。
目前我們常用的操作系統有:Windows XP、Windows 7、Windows serve、LINUX、UNIX等。
為了提高反病毒軟件查殺病毒的有效性,做到與系統的底層無縫連接,必須在不同的操作系統上使用相應的殺毒軟件。
2.2 防火墻技術
防火墻是介于兩或多個網絡之間,實現網絡訪問控制的組件集合體,它的主要功能是過濾。
防火墻甚至可以檢查一個包的所有內容,包括數據部分。
從實現原理上分,防火墻的技術大致包括四大類:網絡級防火墻、應用級網關、電路級網關和規則檢查防火墻[3]。
2.2.1 網絡級防火墻。
數據包過濾技術是防火墻為系統提供安全保障的主要技術, 它通過設備對進出網絡的數據流進行有選擇地控制與操作[4]。
包是網絡上信息流動的其本單位, 它由數據負載和協議頭兩個部分組成。
包過濾操作一般都是在選擇路由的同時對網絡層數據包進行挑選或過濾。
選擇是根據系統內設置的過濾邏輯進行的, 被稱為訪問控制表或規則表。
規則表指定允許哪些類型的數據包可以流入或流出內部網絡。
2.2.2 應用級防火墻。
應用級網關可對進出的數據包進行檢查,由網關通過復制傳送信息,阻斷在安全服務器、終端機機與非法的主機間建立直接聯系。
應用級網關能夠解析應用層上的協議,可以設置復雜的訪問控制,能夠實現精密的注冊和稽核。
它針對數據過濾協議,能夠對數據包進行分析并形成相應的分析的報告。
應用級網關對有些不安全登錄和控制所有進出的通信的環境進行嚴密監控,防止有價值的信息或程序被盜取。
2.2.3 電路級網關。
電路級網關主要功能是監控可信的服務器或客戶機與不安全的主機間的TCP握手信息,通過這種方法來確定此次會話的合法性,它在會話層上進行數據包過濾,它比網絡級防火墻高出二層。
另外它還提供理服務器功能。
這種代理服務指派管理人員批準或拒絕特定的應用程序或一個應用的特定功能。
2.2.4 規則檢查防火墻。
該防火墻結合了以上幾種防火墻的特點。
其不同之處在于,它并不打破客戶機和服務器模式來分析應用層的數據,它允許安全的客戶機和非法的主機直接建立連接。
規則檢查防火墻不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
2.3 網絡加密技術
加密技術的基本過程就是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法竊取、閱讀的目的。
該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程。
按加密密鑰與解密密鑰的對稱性,加密技術可分為對稱型加密、不對稱型加密、不可逆加密。
1)對稱型加密:是一種相對傳統的加密方法,其原理是使用單一得密鑰對數據進行加密和解密。
信息發送方利用用密鑰將信息加密,然后通過網絡傳給信息接收方,接收方再利用同一密鑰將信息進行解密。
其特點是計算量比較小、加密效率相對較高,即便傳輸網絡不安全,信息被截取,由于信息進行了加密,信息也是安全的。
然而這種算法應用在分布式系統上比較困難,主要是由于在于分布式的系統中密鑰管理很困難,使用比較復雜。
2)不對稱型加密:其特點是有兩個密鑰:一個是公共密鑰,一個是私有密鑰,公共密鑰是公開的,是用來對元數據進行加密的,私有密鑰是個人單獨擁有的。
要想完成整個加密和解密過程,必須把兩者結合起來使用。
在使用這種加密方法的時后我們要注意有效的管理和如何確認公共密鑰的真實性、合法性。
3)不可逆加密:其特點是整個加密過程不用密鑰,數據一旦被加密將無法解密,只有采用相同的輸入數據經過相同的不可逆加密算法才能得到相同的加密數據。
這種加密算法不存在密鑰分發和管理的問題,可是它的加密計算工作異常復雜,只適合對數據量較小的情況經行加密。
2.4 入侵檢測技術[5]
入侵檢測系統是一種安置在受保護網絡內部的設備,用來監視網絡中發生了什么事情。
可以在攻擊的開始、進行過程中或者攻擊發生以后對攻擊進行檢測。
入侵檢測可分為如下若干類:
1)基于主機的入侵檢測(也稱HIDS):將其安裝在要保護的服務器上用于保護單臺主機不受網絡入侵。
它通過檢測系統文件、進程記錄等信息,幫助系統管理人員記錄或發現攻擊行為或攻擊企圖,以便制定相應策略。
HIDS 檢測的準確度較高,能夠檢測到無明顯行為特征的攻擊,可對各種操作系統進行有針對性的檢測,適合用于加密和交換環境,成本低,不受網絡環境影響。
主要缺點是它檢測時效性較差,占主機資源大,能夠檢測的攻擊類型少,檢測效果取決于日志系統制約,并且隱蔽性較差。
2)基于網絡的入侵檢測(NIDS):主要用于防止對某個網絡的攻擊,結合防火墻使用,利用原始的網絡分組數據包來作為進行攻擊分析的數據源,通過網絡適配器來實時監控和分析所有通過網絡進行傳輸的通信。
當檢測到入侵行為時,入侵檢測系統通過報警、中斷連接等方式做出回應。
NIDS可對網絡上的端口進行掃描、IP欺騙等常見的攻擊行為進行監控,在保護多臺主機的同時不影響被保護對象的性能,具有很好的隱蔽性,對入侵證據起到保護作用。
缺點是防入侵欺騙能力較差,檢測受硬件條件限制較大,不能對加密后的數據進行處理等。
3)分布式入侵檢測:其模式是采用分布式智能代理結構,由一個中央智能代理和多個分布在各地網絡的地方代理組成。
其中每個地方代理都負責監控網絡信息流的某一方面,多個地方代理互相協作、分布檢測來共同完成一項監測任務;中央代理負責調控各個地方代理的工作,從整體上完成對網絡事件進行綜合分析的任務。
3 網絡信息安全與安全產品研究現狀及發展趨勢
網絡信息安全是信息安全中的研究重點之一,也是當前信息安全領域中的研究熱點。
研究內容包括:網絡信息安全的主要技術和解決方案、網絡安全產品的研發等。
網絡信息安全包括物理安全和邏輯安全。
物理安全指網絡信息在通信、計算機設備及相關設施的物理保護,免于破壞、丟失等。
邏輯安全包含信息完整性、保密性、非否認性和可用性等,它是一個涉及網絡安全、操作系統、數據庫、應用系統、人為因素等方方面面的事情,必須綜合考慮。
目前,在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:防火墻、安全路由器、虛擬專用網(VPN)、安全服務器、電子簽證機構-用戶認證產品、入侵-CA和PKI產品、安全管理中心、檢測系統(IDS)、安全數據庫和安全操作系統。
在上述所有主要的發展方向和產品種類上,都包含了密碼技術的應用,并且是非常基礎性的應用。
目前密碼技術與通信技術、計算機技術以及芯片技術的融合正日益緊密,其產品的分界線越來越模糊,彼此也越來越不能分割。
網絡安全的解決是一個綜合性問題,涉及諸多因素,包括技術、產品和管理等[6]。
網絡信息安全問題已成為世界性的問題。
它不但應用于普通的電子商務,而且應用于政府和軍方,關系到整個國家的經濟安全和國防安全。
信息技術已經成為整個社會經濟發展的重要基礎,在國計民生占有不可估量的地位;另外,政府主管機構、國防建設對信息技術的安全性、穩定性、可維護性和可發展性提出了越來越迫切的要求,因此,從社會經濟發展和國家安全角度來講,加大發展信息安全技術是我們今后一項長期而艱巨的任務。
竊ting
[1]白碩,網絡條件下計算機病毒的防范[J].網絡安全技術與應用,2002.
[2]張震國,構建完善的病毒防護體系[J].網絡安全技術與應用,2002.
[3]吳海燕、石磊、李清玲,網絡信息安全技術綜述[J].電腦知識與技術,2005,12:55-57.
[4]劉宏月,訪問控制技術研究進展[J].小型微型計算機系統,2004,25(1):56-59.
[5]http://***/1148666.htm.
[6]覃肖云,信息安全技術的研究現狀與發展趨勢[J].廣西醫科大學學報,2008,S1:93-94.
【網絡信息安全與防范論文】相關文章:
05-23
05-25
05-24
05-26
03-22
03-22
04-27
04-01
03-22