时间:2023-09-13 17:14:54
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全漏洞评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】客运专线;CTC网络安全防御系统;功能研究
1引言
CTC又名分散自律调度系统,该系统的功能主要是确保列车安全正常地行驶,调度生产业务系统。这一系统具有2大特点,即独立成网及封闭运行,并且其主要组件并不强大[1]。客运专线的行车安全主要在于系统的保密性、完整性、可用性3点,按照我国等级保护防御区划分原则和信息系统的功能、安全性能等标准,客运专线CTC系统必须具备防火墙、入侵检测、动态口令、安全漏洞、SAV网络病毒防护5个安全系统。
2防火墙及入侵检测系统
CTC的安全防御系统中,防火墙和入侵检测系统属于基本安全设施,这对于构建安全密实的网络系统十分必要。防火墙的功能是过滤数据包,对链接状态进行检查,并检查入侵的行为和会话。防火墙按照用户定义对一些数据实行允许进入或阻拦,以确保内部网络设备及系统不会遭受非法攻击,从而影响访问。此外,可以实现每个通过防火墙的链接都可以快速地建立对应的状态表。如果链接异常,会话遭到威胁或攻击后,防火墙可以很快地阻断非法链接。通过入侵行为的特点,入侵系统可以及时地对每一个数据包进行认真检查,如果数据包对系统存在攻击性,入侵检测系统必须及时断开这一链接,并且由管理人员定义的处理系统会尽快获取幕后攻击者的详细信息,同时,为要得到处理的事件提供对应数据。CTC网络的结构性质为双通道冗余结构,CTC中心和沿线的各个车站数量庞大,并且有着海量的数据流量,业务连接安全性要求很高,CTC中心和沿线车站的各个接口都安置了4台中心防火墙,每网段安置2台;CTC中心和其他系统接口各安置2台防火墙,采用透明模式进行接入。客运专线CTC系统防火墙详见图1。
3安全漏洞评估
安全漏洞的评估系统是一个漏洞及风险评估的有效工具,主要用来对网络的安全漏洞进行发现、报告以及挖掘,主要作用是对目标网络设备安全漏洞实行检测,并提出具体检测报告以及安全可行的漏洞解决方案,使系统管理员可以提前修补可能引发黑客进入的多个网络安全漏洞,避免黑客入侵带来损失。客运专线CTC系统中心完整地部署了一整套安全漏洞评估系统,基于全面以及多角度的网络关键服务器漏洞分析的评估基础,确保CTC以及TDCS等系统安全运行。还能对黑客的进攻方式进行模拟,并提交相应的风险评估报告,提出对应的整改措施。预防性的安全检查暴露了目前网络系统存在的安全隐患,对此必须实行相应的整改,最大程度地降低网络的运行风险。漏洞评估组需要在网络安全集中管理平台下实现统一监测,并且汇总漏洞威胁时间,结合实际情况及设施制定相应的安全策略。当前存在的安全漏洞扫描一定要从技术底层实现有效划分,分别对主机及网络漏洞进行扫描。主机漏洞评估EVP,针对文件权限、属性、登录设置的值和使用者账号等使用主机型漏洞评估扫描器进行评估。网络型漏洞扫描器NSS,在网络漏洞基础上的评估扫描器采用黑客入侵观点,自动对网上系统和服务实行扫描,对一般性的入侵和具体入侵场景实行真实模拟,最重要的是测试网络基础设施的安全漏洞,会提供相应的修补漏洞意见,扫描图形视图的完整显示过程,扫描相应漏洞而且对漏洞的出现原因进行查找,提供具有实际执行可行性的管理报告,针对多个系统实施扫描。
4反病毒网络系统
根据病毒具有的特征以及多层保护需求,客运专线CTC系统必须要统一、集中监控、多面防护,正对整体以及全面反病毒系统实现积极有效的安排,并融合各层面,覆盖CTC中心、下属车站等。并且还要在客运专线的中心部署2台SAV反病毒服务器,二者相互辅助。对服务器设备和车站终端等实施统一的SAV客户端,并且对网络内存的所有病毒实行统管理、分析,监控、查杀[2]。以整体反病毒解决方案为依据,网络反病毒系统的部署具体要从下面几项开展,多操作系统的服务器、反病毒软件、集中监管的多个系统。
5动态口令
身份认证属于安全防御线的第一道保护。我国的CTC安全建设在最初的使用中运用的是静态密码认证,每一系统和设备都具备自身的专属密码,管理很不方便。大量的管理和维护导致操作人员难以实现方便快捷的使用,因此,出于使用便利,会将设备密码设置为统一密码,系统内各种网络设备和服务器的密码基本上人人都知道;另外,静态口令极易被人猜出、截获、破解,黑客可以通过对密码的猜测或使用成熟破译软件破解用户口令,导致CTC面临极大的隐患。在CTC系统网络中,对CTC系统中心设置相应的动态口令,随后客户端认证请求会自动地分配到认证服务器,该模式充分降低了服务器的工作负荷,提升了系统性能。身份证的依据和访问控制组能通过网络安全集中管理平台发挥监测、报警等功能。安全策略的集中配备,对安全事件进行统一响应,并且充分实现分层、统一用户管理、访问认证授权AAA等策略。动态口令身份认证在AAA认证中的功能为双因素认证,有效解决了静态口令存在的多种问题,提升了系统的安全性。客运专线CTC系统运用动态口令后,实现了对整个网络、运用和主机等的统一覆盖,实现了安全的身份认证控制访问组件,统一身份认证和授权统一,同时还提供了集中身份认证等,通过授权严格对多个访问资源权限实施限制。
6结语
目前,客运专线CTC中心网络运用安全,正处于建立知识信息安全系统和确保信息化的重要阶段,在这一进程的后期阶段还要满足国家等级保护政策需求,对纵深防护体系进行深入研究,确保铁路运输生产业务顺利开展,充分实现铁路信息化运行,将铁路运行的安全性实现提升。
【参考文献】
【1】戴启元.客运专线CTC系统网络安全设计[J].铁道通信信号,2010,46(4):66-68.
关键词:计算机;网络安全;漏洞检测;攻击图构建
通常情况下,计算机网络安全漏洞具有一定长久性、易被攻击性和威胁性,给计算机用户带来很多烦恼。因此,对计算机网络安全漏洞检测与攻击图构建有比较全面的了解,可以更好的防范各种不安全因素,从而为计算机网络安全提供可靠保障。
1计算机网络安全漏洞的表现形式
总的来说,计算机网络正常运行过程中,安全漏洞的表现形式主要有如下几个方面。
1.1应用软件方面
在用户进行正常的计算机操作时,会通过各种应用软件来完成相关操作,而在代码编写、逻辑设计等方面会出现各种错误,使得安全漏洞成为黑客攻击的主要途径。一般不法分子会向计算机传输木马和各种病毒,使得计算机整个系统纵,最终造成信息泄露问题。
1.2操作系统方面
在计算机的正常使用过程中,各种操作系统发挥着非常重要的作用,因此,操作系统的安全性与应用程序的安全性,是保障计算机信息安全的重要因素,必须对此给以高度重视。但是,在实际运行过程中,各种非法访问、系统自身的缺陷等都为给计算机网络带来安全威胁。
1.3电子邮件方面
现展中,电子邮件已经成为企业、个人互相来往的重要沟通方式,在各个领域都有若非常重要的影响。一般在用户发送或接受某个邮件的时候,如果遇到恶意攻击,并且户不具有较高安全意识的情况下,则会将病毒带入计算机,从而破坏计算机整个系统,最终威胁计算机网络安全。
1.4远程登录方面
随着计算机应用的不断推广远程登录已经成为重要的联系方式,给人们的生活、工作带来了很多便利,但同时也给计算机网络带来很多安全威胁。一般在进行远程登录时,需要完成各种输入口令才能有效登录,使得各种信息在输入的过程中受到安全威胁,最终造成各种数据信息的泄露。
2计算机网络安全漏洞的检测方法
2.1文件内容、保护机制方面
通常情况下,最容易出现各种病毒、最重要被攻击的部分,是计算机中的各种命令文件和系统工具,如果出现上述情况,文件的内容会被迅速篡改,最终使计算机系统的整个安全遭到威胁。因此,注重文件内容方面的有效检测,采取有效保护机制,才能拥有权限的用户可以正常使用各种文件,从而避免各种安全问题出现。在实践过程中,对文件内容、访问权限等进行有效检测,是安全漏洞检测的重要基础,对于提高文件的安全性、确保内容完整性有着重要影响。
2.2配置文件方面
在计算机系统的正常运行中,各种配置文件都具有极高的复杂性,如果出现缺省情况,则会引起各种安全漏洞,从而威胁整个计算机网络的安全。根据相关分析发现,目前计算机网络存在的安全漏洞,主要是因为计算机运行环境不良好引起的,特别是各种配置文件的安全漏洞检测不及时和不准确,严重威胁计算机系统的安全。因此,合理的对配置文件进行安全漏洞检测,可以获得各种配置信息,从而在对各种配置信息进行全面分析的情况下,对计算机系统可能存在的安全漏洞问题进行准确预测,最终在各种配置文件问题出现之前,及时消除相关安全漏洞。由此可见,加强配置文件的安全漏洞检测,可以有效降低配置文件出错的可能性,从而提高配置文件的安全性,真正为计算机系统一个稳定、健康的网络。
2.3差别检测方法
在实际应用过程中,如果采用差别检测方法,则具有一定被动性,以在文件没有被修改、不注重各种时间和期限等情况下,对文件存在的安全漏洞进行检测。在运用差别检测法时,文件被修改的部分或者是程序发生改变的部分不能得到还原,但可以对文件是否被修改给以准确的判定,有着非常显著的检测效果,并且,还可以对系统中的特洛木马进行有效检测。根据计算机网络的运行情况来看,差别检测方法需要经常使用,才能确保检测结构的准确性,从而有效防范各种不安全因素带来的安全威胁。
2.4错误修正方面
在计算机系统出现各种操作错误时,网络黑客、违法分子会乘机进行网络攻击,从而今日用户的计算机系统,致使各种密码、信息、机密文件等丢失,严重的还会给计算机用户带来重大经济损失。目前,在处理上述问题时,一般采用安装修正错误补丁的方式,也可以采用安全杀毒软件的方式,可以取得很好的防范效果。因此,在实际应用过程中,要事先安装补丁程序,才能避免计算机网络安全受到威胁。目前,错误修正检测技术主要包括主动检测和被动检测两种,其中,主动监测可以对系统存在的各种安全漏洞进行有效检测,并及时采取各种有效对策,从而防止安全漏洞给计算机系统带来影响;而被动检测主要是指安装各种纠正补丁程序,以对各种安全漏洞进行及时防范。通过合理采用错误修正检测方法,计算机的检验程序可以自动完成各种操作,大大节省了检测时间,在提高安全漏洞检测效率的同时,还能种安全漏洞带来的问题得到有效解决。
3计算机网络攻击图构建相关分析
3.1计算机网络攻击逻辑图
在计算机系统的正常运行中,各种安全漏洞会给计算机运行带来极大安全威胁,使得相关数据、信息出现丢失情况。因此,计算机网络攻击图的有效构建,是在对各种网络攻击进行全面分析的基础上,对计算机网络存在的问题进行合理预测,以制定合适的安全防范措施和弥补措施,最终确保计算机网络安全。由于计算机网络所遭受的安全攻击类型比较多,使得攻击图的构建方式也有很多种,如逻辑攻击类型,需要对逻辑攻击图进行推导、制定相关规则,才能真正起到防范作用。在进行推导的时候,必须对攻击产生的原因、经过、和会产生的后果进行全面预测,才能避免逻辑类型的攻击给计算机系统的安全带来严重影响。
3.2计算机安全攻击图分析
随着高科技信息技术的不断发展,早期的攻击图已经不能很好的满足各种安全漏洞给计算机系统带来的安全威胁需求,因此,必须注重先进技术的引进和利用,不断完善各种信息技术设备,才能更好的防范各种新的安全漏洞,从而构建更完善的计算机安全攻击图。目前,使用比较普遍的攻击图是聚居攻击图,可以对各种攻击行为进行更明确、更清晰的分析,从而有效降低安全漏洞给计算机系统带来的影响,对于减少计算机网络故障问题发挥着重要作用。根据攻击图的构建情况和实际应用情况可知,通过合理的、科学的对网络环境进行评估和预测,可以使计算机系统当前存在的安全问题得到有效解决,并及时防范各种安全漏洞的出现,最终不断增强计算机网络系统的抗攻击能力,对于提高我国计算机网络系统的整体防范能力有着重要影响。与此同时,在实际应用过程中,安全攻击图的不断完善,还可以对各种网络入侵行为进行有效预警,从而避免文件内容被篡改情况出现,对于构建稳定、健康的网络环境发挥着重要作用。
关键词:网络;安全;方案
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
1 网络安全评估分析系统
1.1 网络安全评估分析系统的必要性
面对用户网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合用户网络应用的安全策略显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。
检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
目前大多数的病毒都已经不是简单的复制和占据资源的概念,其已经演变为通过利用系统漏洞和脆弱性,破坏和盗取信息为目的软件。所以,通过安全评估分析系统,在网络受到感染以前,及时地修补系统漏洞,从而更有效的保护局域网。
1.2 网络安全评估分析系统选型
安全评估系统(扫描对象包括网络设备、主机、数据库系统)使用户有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况做出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。
在用户网络系统中,部署一台百兆硬件网络安全评估分析系统,它通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。能同时对网络中的网络设备(如路由器、交换机、防火墙等)、小型机、PC SERVER和PC机操作系统(如Windows)和应用程序(如IIS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),将风险分为高,中,低三个等级并且生成大范围的有意义的报表,从以管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
(1)全面的产品资质认定
网络安全评估系统具有如下的产品资质认证,为用户提供满意的产品:
公安部《计算机信息系统安全专用产品销售许可证》
国家保密局《科学技术成果鉴定证书》
国家信息安全测评认证中心《国家信息安全产品认证产品型号证书》
(2)易用性
网络安全评估分析系统应该充分考虑了中国人的使用习惯,具有良好的易用性。安装和使用界面全中文化,操作使用符合标准的WINDOWS风格,用户大部分只要通过电击鼠标就可以达到目的。管理工作更加方便,其输出也更加有价值。
(3)产品扩展性
网络安全评估分析系统的测试方法库采用插件方式,升级极为容易,添加新的插件就可以使软件增加新的功能,扫描更多漏洞。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
1.3 网络安全评估分析系统部署
网络安全评估分析系统可以定期连入管理中心网络的网管交换机或者中心交换机上,对网络设备进行网络安全评估,比如小型机、PC SERVER、网络设备(交换机、路由器等)、安全设备(如防火墙)及内网各工作站系统,进行周期性的安全评估,得出安全评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。
1.4 网络安全评估分析系统部署后作用
(1)安全评估是本系统的主要功能,也称为“脆弱性分析”或者“网络安全扫描”,通过本网络安全评估分析系统的部署,可以对网络内计算机系统或者网络设备进行安全测试与评估,获得相关安全信息,找出安全隐患和可被黑客利用的漏洞。
(2)设备可以结合CVSS(通用脆弱性评级体系)和等级保护方法的理论,科学的给出相应的安全分析和可操作的修补处理建议,为网络管理人员提供修补漏洞的方法,使得管理可以及时修补网络隐患,做到防患于未然。
(3)自评估部分还可以协助管理员对设备进行问题的自动修补。
2 应用防护
2.1 Web应用防护系统的必要性
随着越来越多的应用系统以WEB的方式被部署,这些系统的敏感数据如用户信息等被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击,很多都是利用了WEB应用漏洞。实施这些攻击的人,既有来自外部的黑客,也有来自内部的不怀好意的用户。
因为基于WEB的应用系统可以通过任意浏览器进行访问,用户往往更容易访问到这些系统,从而在一定程度上可以通过这些系统绕过内部的安全控制。
对大多数公司来说,WEB应用系统已经成为安全的边界。使用WEB安全网关是确保这些系统安全的唯一途径。然而,考虑到WEB应用的多样性,WEB安全网关往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的WEB安全网关往往会阻断合法用户对系统的正常访问,甚至没能起到应有的左右而让黑客长驱直入。
WEB安全网关是一种新型的可以保护WEB系统免遭攻击的网络及应用安全设备。它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。得益于WEB安全网关所使用的突破性技术,这些安全策略能够非常容易地适应各种WEB应用系统,从而满足所有的安全需要。
WEB 安全网关为WEB应用提供了全面的应用层保护,它不但能抵御目前已知的攻击及其变种,还能抵御未知的攻击。
需要特别指出的是,WEB安全网关通过自己独特的WEB对象混淆技术,大大提高了攻击者的技术门槛,甚至能使大部分的普通攻击者无从下手;独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。由于攻击者无法篡改和伪造WEB请求数据,攻击便无法实施。此外,通过与WEB应用紧密相连的安全策略的配合,WEB安全网关能严格限制合法用户的行为,避免了对系统受限资源非法的访问。
融合可靠的应用层过滤技术和先进的数据加密技术, WEB安全网关完全能为企业级的WEB应用提供完整的安全解决方案。
2.2 Web安全网关的选型
根据用户网络的应用需求,推荐使用Web安全网关产品可以满足了网络需求,很好的解决了对Web服务器的防护和管理功能。
具体功能如下:
2.2.1 基于黑名单的攻击过滤器能阻断目前大部分的常见攻击
(1)SQL注入
(2)跨站脚本攻击
(3)已知的蠕虫和系统漏洞
(4)对敏感资源和数据的非法访问
(5)其他系统溢出攻击
2.2.2 基于白名单的防御引擎能阻断任何非法的攻击
(1)伪造用户输入数据
(2)非法的应用访问流程
(3)Cookie滥用
(4)HTTP请求劫持
2.2.3 完备的网络层安全和服务提供整体防御
(1)状态检测防火墙
(2)IP/端口过滤
(3)应用层DDOS防护
(4)SSL 加速
2.2.4 灵活多变的伪装技术使系统逃避探测和攻击
(1)防止对服务器操作系统和WEB服务器的指纹探测
(2)自定义错误页面防止敏感信息泄露
(3)删除网页开发工具信息以及代码注释,使黑客无法获取重要的信息
(4)防止服务器端代码泄露
2.2.5 丰富的日志提供强大的报表和审计功能
(1)详细的系统日志和访问控制日志
(2)丰富的WEB资源访问统计报表
(3)详细的攻击统计报表
(4)支持标准的syslog日志服务器
(5)基于XML的日志数据便于与外部系统集成
2.3 Web安全网关的部署
WEB安全网关能根据用户的需要采用多种部署方式。标准的设备部署在Web服务器前面,配置过程可以在几个小时内完成,WEB安全网关可以抵抗绝大部分常见的攻击。通过在标准部署基础上进行高级的安全策略调整,可以根据需要提供最高级别的安全,彻底杜绝攻击发生的可能。
2.4 Web安全网关的作用
2.4.1 最大可能地减少针对WEB的攻击
随着越来越多的基于WEB的应用系统投入使用,越来越多的敏感数据被暴露在当前的系统无法解决的安全威胁之下。一旦攻击得逞,损失便大的无法接受。使用WEB安全网关能最大可能地减少针对WEB应用的攻击。
2.4.2 避免敏感信息被盗,符合行业安全规范
当今很多行业如银行和电子商务等行业都有自己的安全规范,符合这些安全规范是业务正常开展的基础。目前WEB应用系统是黑客们为了获取诸如客户信息等敏感数据而寻找的最主要的攻击目标,每年因为针对应用层的攻击而导致的损失都高达己亿美元。WEB安全网关是解决敏感数据经由WEB系统被盗窃这一棘手的安全问题的最重要也是最有效的途径。
2.4.3 无须安全补丁,保护已有投资
因为知道应用系统容易遭受各种攻击,IT部门需要不间断地监控各站点并且安装各种最新的补丁。因为如前所述,WEB安全网关能阻止各种针对WEB应用和WEB服务器的攻击,从而大大降低了系统对补丁的依赖性。此外,对于存在安全漏洞但是因为其他原因无法进行升级的旧有系统,WEB安全网关也能保证系统能安全地运行,从而保护了客户的投资。
2.4.4 安全便捷,使用简单
WEB 防火墙部署非常容易,通过向导可以很快地完成设备的初次安装。因为WEB安全网关是网络层的设备,因此可以和任何WEB服务器配合使用,并且对WEB应用是透明的。
1.1网络信息安全中的漏洞
操作系统是计算机运行的支撑软件,它为用户提供了一个能够使得程序或其他的应用系统能在计算机正常运行的平台。有些安装程序经常会附带一些可执行文件,一旦某个部分有漏洞,可能导致整个操作系统的崩溃;同时操作系统还具备一些远程调用作用,能够提交程序为远程服务器服务。远程调用必然需要通过众多的通讯环节,在中间环节有可能会出现被人监控等安全的隐患。
1.2网络的开放性
就网络的开放性而言,因为网络技术是全开放的,导致其所面临的网络攻击来源几步确定:可能来源于物理层对传输线路的攻击,也可能来源于来网络层对通信协议的攻击,还可能来源于应用层对计算机软件与硬件的漏洞进行的攻击;就网络的自由性而言,大部分的网络对用户的使用来说,通常并没有技术上的限制,同时也容易造成信息泄露。
2网络安全技术应用中的完善措施
2.1防火墙
常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过,是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.2数据加密
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
2.3健全的管理
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
2.4漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点,面对大型网络的复杂性和不断变化的情况仅仅依靠网络管理员的技术和经验寻找安全漏洞做出风险评估显然是不现实的。解决的方案是寻找一种能查找网络安全漏洞,评估并提出修改建议的网络,安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
3结语
【关键词】维护;数据通信网络;网络安全问题
随着数据库、计算机网络及通信技术的高速发展,人们从计算机网络系统中获取通信数据已成为获取数据的主要方式。由于互联网和计算机网络技术的高速发展,越来越多的人们选择用网络传输信息,但由此引发的网络安全问题也成为人们日渐关注的话题。不少企业在建立通信网络系统时,多数是通过局域网获取各通讯数据。数据通信网络在给人们日常生活带来极大便利的同时,也不排除存在各种各样的网络安全问题和网络维护问题。
一、数据通信网络与网络安全的定义
1、数据通信网络的定义。数据通信是计算机通过光纤或电话等传输途径与客户之间进行数据传递,借助网络实现数据共享,同时客户还可将接收到的信息进行更改与处理等操作。按地理位置分,数据通信网络包括国际网、广域网及局域网[1]。如,学校、企业及单位建立的网络是局域网,虽覆盖面积小,但网络较稳定,在方便单位或企业管理的同时,也利用做好数据信息加密处理。
2、网络安全的定义。网络是由多个服务器终端与节点构成,每一段的信息和数据传递都理应收到保护,网络传输数据时,多数信息与数据都是极为私密的,不可对外共享。网络安全是确保传递数据与信息不受泄露基础上,网络系统仍可稳定运行。如,企业的局域网络遭受不良攻击,企业易受到商业泄密等问题困扰。
二、数据通信维护网络安全的重要性
1、通信网络的稳定性。缺乏稳定性的数据通信网络,在数据传输过程中,极易导致数据丢失或延误等情况,这样的丢失和延误易导致企业出现决策上的延误,让企业面临重大损失的风险。
2、通信网络的安全性。不少企业数据通信网络存在漏洞情况,不法分子利通过漏洞,可对企业局域网展开恶意攻击,这给企业大量重大经济损失风险。为保证自身用户信息和财产安全,需确保整个网络的安全。因此,需切实制定有效可行的数据通信维护措施,及时修补漏洞,在减少漏洞出现的同时,提升通信网络的可靠性与安全性。
三、数据通信网络维护网络安全的途径
1、安全性进行妥善评估。为实现数据通信与信息资源共享,很多企业、单位构建自己的平台,为确保其安全性,需对其网络安全性进行妥善评估。网络完全性评估主要包括检查局域性的数据通信网络、评估网络系统内部是否存在安全系数和安全威胁及制定相关维修工作。由专业评估维修人员对数据网络中的硬、软件数据信息进行合理分析,并作出详细且全面的评价。
2、并分析数据通信网络中的漏洞与威胁因素。在评估某一局域网安全性时,如发现该网络安全系数较低,需对该网络的硬、软件设备和数据通信信息进行详细的研究与分析,查找出网络可能存在的威胁与漏洞。
3、核实重要数据通信信息。评估人员需对重要数据进行有效检查,查看其是否存在被入侵情况,如有入侵情况,需提升网络安全等级,可通过增设访问权限、限制访问IP等方式解决。
4、对网络内的硬、软见进行详细检查。主要检查网络内各硬软件是否存在干扰信息与隐藏病毒,同时对设备的性能也进行有效评估。对网络内部系统进行整体评估,准确找到安全漏洞与网络威胁,并进行能合理维护,可有效提升数据通信信息的安全性。
5、修复漏洞、消除威胁因素。查找到相关网络威胁与安全漏洞后,制定具有针对性的修复和消除措施。如利用服务器对数据的分析作用,将具有漏洞查找出来,并进行及时修补;为预防或消除病毒攻击,可利用专业或有效的杀毒软件;为增加病毒的可靠性防御,可设立防火墙。
6、加密与身份认证技术。确保数据通信网络安全的一个重要手段就是数据加密技术,受互联网自身性质决定,数据或文件需进行口令加密和通信数据加密[2]。身份认证技术也称身份识别,是网络对用户身份确认操作的过程,是为了确保用户的真实身份与数字认证身份的一致的技术,它有利于提高用户的安全和用户身份的准确性。
论文摘要:在介绍网络安全概念及其产生原因的基础上,介绍了各种信息技术及其在局域网信息安全中的作用和地位。
随着现代网络通信技术的应用和发展,互联网迅速发展起来,国家逐步进入到网络化、共享化,我国已经进入到信息化的新世纪。在整个互联网体系巾,局域网是其巾最重要的部分,公司网、企业网、银行金融机构网、政府、学校、社区网都属于局域网的范畴。局域网实现了信息的传输和共享,为用户方便访问互联网、提升业务效率和效益提供了有效途径。但是由于网络的开放性,黑客攻击、病毒肆虐、木马猖狂都给局域网的信息安全带来了严重威胁。
信息技术是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论诸多学科的技术。信息技术的应用就是确保信息安全,使网络信息免遭黑客破坏、病毒入侵、数据被盗或更改。网络已经成为现代人生活的一部分,局域网的安全问题也闲此变得更为重要,信息技术的应用必不可少。
1网络安全的概念及产生的原因
1.1网络安全的概念
计算机网络安全是指保护计算机、网络系统硬件、软件以及系统中的数据不因偶然的或恶意的原因而遭到破坏、更改和泄密,确保系统能连续和可靠地运行,使网络服务不巾断。从本质上来讲,网络安全就是网络上的信息安全。网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击,网络中的敏感信息有可能泄露或被修改。从内部网向公共网传送的信息可能被他人窃听或篡改等等。典型的网络安全威胁主要有窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
网络安全包括安全的操作系统、应用系统以及防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复和完全扫描等。它涉及的领域相当广泛,这是因为目前的各种通信网络中存在着各种各样的安全漏洞和威胁。从广义上讲,凡是涉及网络上信息的保密性、完整性、可性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全归纳起来就是信息的存储安全和传输安全。
1.2网络安全产生的原因
1.2.1操作系统存在安全漏洞
任何操作系统都不是无法摧毁的“馒垒”。操作系统设计者留下的微小破绽都给网络安全留下了许多隐患,网络攻击者以这些“后门”作为通道对网络实施攻击。局域网中使用的操作系统虽然都经过大量的测试与改进,但仍有漏洞与缺陷存在,入侵者利用各种工具扫描网络及系统巾的安全漏洞,通过一些攻击程序对网络进行恶意攻击,严重时造成网络的瘫痪、系统的拒绝服务、信息的被窃取或篡改等。
1.2.2 TCP/lP协议的脆弱性
当前特网部是基于TCP/IP协议,但是陔协议对于网络的安全性考虑得并不多。且,南于TCtVIP协议在网络上公布于众,如果人们对TCP/IP很熟悉,就可以利川它的安全缺陷来实施网络攻击。
1.2.3网络的开放性和广域性设计
网络的开放性和广域性设计加大了信息的保密难度.这其巾还包括网络身的布线以及通信质量而引起的安全问题。互联网的全开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击;互联网的同际性给网络攻击者在世界上任何一个角落利州互联网上的任何一个机器对网络发起攻击提供机会,这也使得网络信息保护更加难。
1.2.4计算机病毒的存在
计算机病毒是编制或者存计箅机程序巾插入的一组旨在破坏计箅机功能或数据,严重影响汁算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。大量涌现的病毒在网上传播极快,给全球地嗣的网络安全带来了巨大灾难。
1.2.5网络结构的不安全性
特网是一个南无数个局域网连成的大网络,它是一种网问网技术。当l主机与另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多机器重重转发,这样攻击者只要利用l台处于用户的数据流传输路径上的主机就有可能劫持用户的数据包。
2信息技术在互联网中的应用
2.1信息技术的发展现状和研究背景
信息网络安全研究在经历了通信保密、数据保护后进入网络信息安全研究阶段,当前已经…现了一些比较成熟的软件和技术,如:防火墙、安全路由器、安全网关、黑客人侵检测、系统脆弱性扫描软件等。信息网络安全是一个综合、交叉的学科,应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面综合开展研究,使各部分相互协同,共同维护网络安全。
国外的信息安全研究起步较早,早在20世纪70年代美国就在网络安全技术基础理论研究成果“计算机保密模型(Beu&Lapaduh模型)”的基础上,提出了“可信计箅机系统安全评估准则(TESEC)”以及后来的关于网络系统数据库方面的相关解释,彤成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,处于发展提高阶段,仍存在局限性和漏洞。密码学作为信息安全的关键技术,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。自从美国学者于1976年提出了公开密钥密码体制后,成为当前研究的热点,克服了网络信息系统密钥管理的闲舴,同时解决了数字签名问题。另外南于计箅机运算速度的不断提高和网络安全要求的不断提升,各种安全技术不断发展,网络安全技术存21世纪将成为信息安全的关键技术。
2.2信息技术的应用
2.2.1网络防病毒软件
存网络环境下,病毒的传播扩散越来越快,必须有适合于局域网的全方位防病毒产品。针对局域网的渚多特性,应该有一个基于服务器操作系统平的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连,则川到网大防病毒软件来加强上网计算机的安全。如果使用邮件存网络内部进行信息交换.则需要安装基于邮件服务器平的邮件防病毒软件,用于识别出隐藏在电子邮件和附件巾的病毒最好的策略是使川全方位的防病毒产品,针对网络巾所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期地动升级,保护局域网免受病毒的侵袭。
2.2.2防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础;上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境巾,尤其以接入lnlernel网络的局域网为典型。防火墙是网络安全的屏障:一个防火墙能檄大地提高一个内部网络的安全性,通过过滤不安全的服务而降低风险。南于只有经过精心选择的应州协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
防火墙技术是企业内外部网络问非常有效的一种实施访问控制的手段,逻辑上处于内外部网之问,确保内部网络正常安全运行的一组软硬件的有机组合,川来提供存取控制和保密服务。存引人防火墙之后,局域网内网和外部网之问的通信必须经过防火墙进行,某局域网根据网络决策者及网络擘家共同决定的局域网的安全策略来设置防火墙,确定什么类型的信息可以通过防火墙。可见防火墙的职责就是根据规定的安全策略,对通过外部网络与内部网络的信息进行检企,符合安全策略的予以放行,不符合的不予通过。
防火墙是一种有效的安全工具,它对外屏蔽内部网络结构,限制外部网络到内部网络的访问。但是它仍有身的缺陷,对于内部网络之问的入侵行为和内外勾结的入侵行为很难发觉和防范,对于内部网络之间的访问和侵害,防火墙则得无能为力。
2.2.3漏洞扫描技术
漏洞扫描技术是要弄清楚网络巾存在哪些安全隐患、脆弱点,解决网络层安全问题。各种大型网络不仅复杂而且不断变化,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题,必须寻找一种能金找网络安全漏洞、评估并提…修改建议的网络安全扫描工具,利刖优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。存网络安全程度要水不高的情况下,可以利用各种黑客工具对网络实施模拟攻击,暴露出:网络的漏洞,冉通过相关技术进行改善。
2.2.4密码技术
密码技术是信息安全的核心与关键。密码体制按密钥可以分为对称密码、非对称密码、混合密码3种体制。另外采用加密技术的网络系统不仅不需要特殊网络拓扑结构的支持,而且在数据传输过程巾也不会对所经过网络路径的安全程度做出要求,真正实现了网络通信过程端到端的安全保障。非对称密码和混合密码是当前网络信息加密使川的主要技术。
信息加密技术的功能主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密的方法有3种,一是网络链路加密方法:目的是保护网络系统节点之间的链路信息安全;二是网络端点加密方法:目的是保护网络源端川户到口的川户的数据安全;二是网络节点加密方法:目的是对源节点到目的节点之间的传输链路提供保护川户可以根据实际要求采川不同的加密技术。
2.2.5入侵检测技术。
入侵检测系统对计算机和网络资源上的恶意使川行为进行识别和响应。入侵检测技术同时监测来自内部和外部的人侵行为和内部刚户的未授权活动,并且对网络入侵事件及其过程做fIj实时响应,是维护网络动态安全的核心技术。入侵检测技术根据不同的分类标准分为基于行为的入侵检测和基于知识的人侵检测两类。根据使用者的行为或资源使状况的正常程度来判断是否发生入侵的称为基于行为的入侵检测,运用已知的攻击方法通过分析入侵迹象来加以判断是否发生入侵行为称为基于知识的入侵检测。通过对迹象的分析能对已发生的入侵行为有帮助,并对即将发生的入侵产生警戒作用
3结语
1国内互联网网络安全态势
1.1 传送内容安全传送内容安全:对于国内互联网网络安全中的传送内容安全主要是针对节点传送内容安全而言,我们可以发现节点传送安全是指,当我们在指定的节点发出的信息内容,这个节点所发出的信息对于整个网络系统而言,是完全安全的没有任何威胁,在这里我们所提到的传送内容,主要是指那些影响网络运行的控制信息。对于我们现有的互联网网络安全中,危国内互联网网络安全问题的分析文/刘泉生随着科技的不断进步,我国国内互联网的普及速度远远超过了现阶段的经济发展速度,在这种高速的发展过程中,我们需要对国内互联网网络安全问题进行特别的关注,虽然我们现阶段的互联网网络安全处于一个较为平缓的阶段,没有特别突出的危害互联网网络安全的现象发生,但是我们应该时刻对互联网网络安全问题保持较高警惕。本文主要针对国内互联网网络安全问题进行相应的分析。摘要害我们的节点传送内容安全主要是指大多数路由节点上的网络安全设置低,这就使得虚假路由可达性信息很容易通过,这样一来回危害整个网络的安全,甚至导致整个网络安全的瘫痪以至于不能正常的使用。对于传送内容安全而言,我们不仅仅要从人为的方面找原因,节点自身的协议漏洞也是一个方面。1.2 身份认证的安全身份认证的安全:对于身份认证的安全而言,其指的是对于一些像交换机、路由器之类的终端的身份的认证。对于国内互联网网络安全而言,身份认证的安全是我们互联网网络安全的根基,对于我们之前所谓的互联网网络安全节点的身份认证而言,一个节点通常(IP地址)具有两种属性,分别为我们所说的身份特性和节点的位置特性,对于我们现阶段的互联网协议而言,开放性是其基本特性,我们从节点的IP特定可以了解到,一个其他方节点很轻松的就能狗得到一个通信方和接收方的基本身份信息和相应的位置地点,然后在进行一定的伪造通过进行适当的伪装,对双方的安全造成威胁,通常造成了一定的经济损失。1.3 节点网络行为安全节点网络行为安全:通过以上两个方面的分析,我们仅仅分析了互联网网络传输过程和基本身份信息的安全,并没有对一些网络安全行为进行分析,在此我们对节点网络行为安全进行说明。对于这种节点网络行为安全通常指的是那些危害网络安全的不合法行为,例如恶意下载、恶意上传等在短时间内进行大量的非法操作,比如说在2010年爆发了对某贴吧的恶意破吧就属于节点网络行为安全的一种,这种不良的网络行为严重影响了网络的正常运行,对网络产生影响。对于现阶段的网络安全协议是指在20世纪末形成的网络协议,并没有将这些情况考虑到设计的过程中去,因此而言现阶段的ARP等的网络安全漏洞,导致网络的过度使用。通过我们对传送内容安全、身份认证的安全、网络行为的安全这三个部分国内互联网网络安全的分析有利我们对整个网络安全的认识和深度理解。下面我们主要针对公共互联网网络安全进行分析。
2公共互联网网络安全
通过我们对互联网网络安全的三个方面进行分析,我们发现在我们信息时代虽然科技不断发展但是我们仍然面临着许多无形的、潜在的危害。2.1 DDOS攻击严重影响互联网网络安全DDOS攻击严重影响互联网网络安全:自从2012年6月以来,DDOS攻击主要有两种主流的攻击方式,这两种攻击方式非别为虚假的源头的IP地址对节点的攻击,以及“嫁接”方式对我们的网络节点进行攻击。我们可以从2012年发生在我国某重要的国际城市政府网站的事件可以发现。2012年下半年,此政府的网站短时间内遭到多次的恶意攻击,经过一段时间的调查发现,是某知名公司的下属网站在遭到黑客攻击之后将其域名更改为该系统的域名,这就是我们所谓的“嫁接”方式网络攻击。对于虚假的源头的IP地址攻击而言,顾名思义我们可以发现这种攻击方式主要针对攻击一方采用伪装IP地址的形式,这种方式在查找的过程中给网络警察带来了很大的不便。2.2 木马程序和僵尸程序影响互联网网络安全最传统的两种方式危害互联网网络安全:木马程序和僵尸程序,这两种方式依然是危害互联网网络安全最传统的方式之一。据相关组织不完全统计在2013年下半年,共发现651万多个主机遭到了不同程度的攻击,特别是发生在10月的木马程序和僵尸程序攻击时其他几个月平均攻击的2倍之余。2.3 漏洞是危害互联网网络安全的一个根本要素不能忽略的网络安全漏洞是危害互联网网络安全的一个根本要素。对于现阶段存在的较多的网络安全漏洞主要以3种特点存在,分别是存量漏洞多、漏洞影响大危害深、漏洞增速快。存量漏洞多:据国外的媒体对我国的漏洞进行报道发现,我国的漏洞已发现的已超过5万个(自2003年到2013年底),由于漏洞修复具有一定的时间,而且漏洞的衍变形式较为丰富,因此而言,漏洞的危害相当的大,不断上升的漏洞信息给我们的信息安全造成了重大的危害。漏洞影响大危害深:由于现阶段我们国内的互联网快速普及,而且玩罗德受众群体相当之大,一旦某大型网站受到危害,其信息将会遭到泄露。漏洞增速快:根据我们国家信息安全漏洞共享平台公布的信息发现,自从2013年整整一年之内,我国的网络漏洞的增加速度平均每天增长在10个以上,这种高速增长的网络安全漏洞是我们现阶段网络安全问题的一个重要的组成部分。对于网络安全服务要实现主动性的安全架构,必须具有4个方面,如下图1主动性的安全架构所示。分别是:防火墙,其包括身份验证、身份加密、相应的防毒网络、防火墙、已经对应的入侵检测盒VPN;其次是相应的阶段,包括对于相应内容的实时更新和安全相应、全球的网络系统支持、以及攻击回复服务;第三,管理阶段主要包括策略的一致性、事件与事故管理、访问控制与相应的授权、身份的管理、配置的管理等;最后是警报阶段,这就包括蜜罐与诱引技术、漏洞的实时评估、威胁管理与预警。
3结论
通过我们对国内互联网网络安全问题的分析,我们发现对于国内互联网网络安全态势主要分为三个方面分别是传送内容安全、身份认证的安全、网络行为的安全,这三个方面是影响网络态势安全的重要物理诱因;对于影响我们公共互联网网络安全的根本因素同样有3个方面分别是DDOS攻击、木马程序和僵尸程序、漏洞;最后我们对网络安全服务要实现主动性的安全架构进行了浅要的分析和说明,其主要有四个方面组成,通过我们对国内互联网网络安全问题的分析我们发现,现阶段我们对于互联网网络安全已经重视了许多,但是仍然有许多地方需要改进,只有对网络安全常抓不懈,才能最大限度避免网络安全事件所带来的危害。
作者:刘泉生 单位:广西壮族自治区南宁市
关键词: 网络攻击 网络安全 防火墙 安全防护
一、校园网现状
目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实:未来教育将从传统“课堂”教育向网上教育发展,而校园网的建设正是这一重大转变的开端。教育也要“上网”在世界各发达国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生,非更改考试成绩;更改英语全国四、六级统考成绩;更改考研成绩;非法盗取学校招生、分配机密……
二、校园网中主要安全隐患
校园网中主要安全隐患主要为以下几个方面:(1)病毒的危害。(2)黑客攻击。(3)不良信息的传播。(4)设备的损坏。
网络必须有足够强的安全措施。无论是公众网还是校园网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
三、校园网络安全
作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等。也无时无刻不在威胁教育网络的健康发展,成为教育信息化建设中不容忽视的问题。与其他网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,冒充合法用户,破坏数据的完整性,干扰系统正常运行,减慢系统的响应时间等;病毒与恶意攻击,线路窃听。许多校园网络由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
四、校园网安全防御措施
1.防火墙设置
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵。设计防火墙的目的就是不让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如LAN或WAN,而仍能允许本地网络上的你以及其他用户访问因特网服务。大多数防火墙就是一些路由器,它们根据数据报的源地址、目的地址、更高级的协议,专用标准或安全策略来过滤进入网络的数据报。
2.采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
3.漏洞扫描系统
基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
4.网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网(校园网络)的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件,防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使校园网络免受病毒的侵袭。
【关键词】计算机,网络,安全,防范
一、计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
二、计算机网络不安全因素
1、每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,指的是一个由软件和硬件设备组合而成,在内部网和外部网之间,专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。
2、操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。
4)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。
5)操作系统的后门和漏洞。
6)尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。
3、只要有程序,就可能存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
4、黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
三、计算机网络安全的对策
现阶段为了保证网络工作顺通常用的方法如下:
1、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
3、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
4、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
5、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
【关键词】 浅析 计算机网络 管理 防范
一、目前计算机网络安全现状
在国际上,我国属于计算机所用的的软硬件都需要进口,特别是核心设备,像操作系统,交换机等,国内缺少自主研究的核心技术,所以很容易出现计算机网络安全隐患。我国也是安全防护等级最低的国家之一,所以我国计算机网络的基础设施安全问题非常严峻。我国甚至也出现了很多网络安全事件。即使有网络等媒体的报道,仍没有受到重视。使用计算机的人缺少安全意识。
因为很多人不够重视自身的网络安全,只是一味关注使用计算机网络的工作,娱乐和学习,将一些密码和口令告知他人,缺乏安全意识,以为计算机上有使用防火墙和杀毒软件就行,导致黑客轻而易举地将文件盗走,破坏计算机网络系统安全。计算机网络安全隐患层出不穷,就是因为很多使用者都是这种意识。
二、影响计算机网络安全的因素
2.1 网络操作系统的设计与漏洞问题
目前我国流行的很多操作系统本身所存在网络安全漏洞,黑客非常快速地利用这些操作系统本身所存在的安全漏洞侵入系统。而计算机网络的安全管理没有认证,没计的网络系统不合理,不规范以及缺乏安全性,因而非常容易就被他人滥用,因而造成网络安全的隐患。对于网络系统自身而言,并没有规范管理网络系统,一直处在一个无人组织的状态,任何一位用户都可以自由上网,并不会受到任何的限制,使很多企业内部资料信息和个人的加密信息泄露,导致企业或个人都受到不同程度的伤害。还有因为外界因素的影响,如黑客对计算机系统的攻击。
而黑客攻击主要针对尚未修复网络系统漏洞的计算机,通过从系统漏洞攻击网络安全系统,没有及时跟上的安全性防范上的技术发展,使黑客有机可乘。
2.2 对于网络系统的安全性缺少有效的手段
网络安全评估系统的安全性不高。整个网络的安全防护性能缺少使用硬件设备作出准确,科学,安全的分析评估,容易出现网络安全问题。
无法保障正在进行的安全策略经济上的可行,技术上的实现和组织上的执行。对电脑配置进行安全安装时,因为选择的配置不适当英气计算机网络出现系统漏洞,或者计算机用户在使用计算机工程中缺乏网络安全意识,在计算机的网络系统出现安全漏洞时未及时修补等等,导致黑客入侵计算机网络系统,盗取用户的数据信息。
2.3 黑客攻击网络系统的手段不断更新
目前黑客的攻击手段已经超过了计算机本身病毒的种类,他们的攻击源相对集中,入侵手段和方法都比较灵活,先进,而且许多攻击都是致命的。病毒可以进入黑客无法到达的企业私有的网络当中,为黑客安装后门或盗取机密信息,他们的攻击方法次数越来越多,进行混合攻击,攻击效果更加显著。黑客一直可以用安全,先进的工具,意想不到的手段进行攻击,我国也缺少有效的预防措施,因而加大了网络安全问题的出现。
2.4 计算机本身的病毒
本身的病毒攻击是危害计算机网络安全的主要因素之一,将会导致计算机系统瘫痪,数据和程序严重破坏甚至被盗取,致使计算机网络的效率降低,很多功能不敢使用,以及无法使用。另外,计算机病毒的潜伏性和隐蔽性很强。如果计算机遭受病毒轻微攻击,计算机整个系统都会受到影响,若受到严重攻击,则会使系统崩溃,导致计算机的中药数据丢失。
各种各样的计算机病毒活跃地存在于计算机网络的任何角落,已经给我们的工作,生活造成过扬中威胁。而且计算机病毒式一种很容易在不同计算机之间传播的病毒,一旦进入计算机内,会复制计算机内一部分资源文件,或会造成计算机内一部分的重要数据丢失,造成严重的安全问题。
三、保证计算机网络的的防范措施
3.1 网络设计和操作系统
计算机使用者必须使用正版软件,对于系统出现的漏洞,这样就可以及时对系统漏洞打补丁,更需要优化系统配置稻作及时弥补最新的安全漏洞,消除安全隐患。在计算机网络中,应该建立起统一的身份认证,为各种应用系统提供使用,实现统一认证,授权以及管理。操作员和网络管理员根据本人的权限,输入不同的口令,对应用程序必须进行合法操作,这样一来,其他非法操作者就无法操作计算机,只有计算机用户自己根据计算机网络口令才能使用计算机,保证计算机个人信息的安全性,防止用户越权访问数据和使用网络资源。
3.2 评估安全性
必须做到准确,及时地进行安全性评估。建立完善健全计算机网络安全管理制度并严格执行操作规程,加强计算机网络各级使用人员的网络管理教育。这样以便于网络管理人员对整个网络的安全防护性能进行检查,查找其中是否有被黑客可以利用的漏洞,对系统安全性状况进行分析与评估,并对所发现的问题及时提出建议,从而增强网络安全系统性的能的提高。
为了能够更好地保证计算机网络系统中的数据安全性能,就必须对数据增设一个密码,尤其是一些重要的私人信息,最好通过密码技术来对这些私密信息进行全方位的安全管理,做到有效地降低信息被泄露的概率。主要密码增设技术包括:链路之间的加密,节点之间的加密和端对端的加密等等。
3.3 黑客的防范
对于计算机的真正黑客,需要做到有效、及时的防范。网络外部的入侵,我们可以安装防火墙解决。在进行网络通讯时执行一种访问控制规则,防火墙允许同意访问的数据以及人进入自己的内部网络,也同时限制和拒绝了不允许的数据和用户,防止黑客访问自己的网络并阻止他们移动、更改甚至删除网络上的重要信息。阻止黑客对网络内部的入侵,我们可以在各个子网编一个具有一定功能的监听程序,让网络管理人员可以提供依据分析自己网络运作的状态。计算机内部的入侵检测技术室一种网络安全防范技术,有一定的预测性,对黑客的侵袭有一种预知。该技术对计算机的应用程序系统和操作系统进行检测时,会分析是否存在一些不法行为。一旦有不法行为发生时,它就会及时切断线路,并对其进行举报。该技术对计算机的出事数据可以进行有效地保护,并可以保证计算机本身能正常运行。
而平常比较使用的入侵检测技术则是误用检测和异常检测。误用检测是靠知识为基础,在检测过程中需要加载模块。该技术在非法的入侵对象时,可以初步是计算机网络的非法行为。
而异常检测主要对没有按照标准进行使用的网络信息和非法操作行为进行检测,该技术所需时间长,可检测的速度快,效率也很高。
3.4 网络本身病毒的防范
在计算机网络的环境下,病毒传播速度极快,仅靠单机防病毒的产品很难彻底清除网络病毒,必须得拥有一款适合于局限网的全方位防病毒新产品。目前,防范计算机网络病毒的措施有很多。如:养成良好使用计算机的习惯,使用防病毒芯片,在文件和网络目录上设置访问权限,或对文件做到及时,定期的额扫描和检测。
关键词:网络技术;安全问题;途径
中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Analyze Calculator Communication Networks Security Issues
Zhang Xiaolin
(Tianjin Polytechnic University,Institute of Information&Communication Engineering,Tianjin300160,China)
Abstract:Based on the impact of network safety factor analysis,this paper expounds the ways to solve the network security.From the aspects of management and technology,different security strategy to safety requirements.
Keywords:Internet technology;Security issues;Way
随着网络技术和网络商业化的不断发展,网络安全问题也随之而来,网络安全越来越多的重视。网络技术的信息平台的安全性显得尤为重要。Internet网络环境具有网上商务不断发展;网络设备会随时间增减、替换;网上协议、应用程序本身不安全;网上用户水平参差不齐;不可避免的硬操作;系统配置的不断变化;分别来自内外部的有目的黑客攻击;其它无法预料的因素等特点,这些特点都存在着潜在的安全隐患。
一、影响网络安全的因素
网络安全不可能是一个静态的结果而是动态变化的,需要随着网络环境的变化而及时变更,同时要结合各种有可能出现影响安全的因素来制定网络的安全策略。根据通讯网络的结构,可以将网络安全问题定位在以下四个方面:1.物理方面,物理层的安全主要由硬件设备及机房的设计来保证。2.网络结构方面,网络结构的安全主要有网络拓扑结构设计及网络协议的选用来保证,通过设计双路由或环型网络结构,使整个网络不会由于局部的故障而导致瘫痪。3.操作系统方面,该层次的安全问题来自网络内部采用的各种操作系统,如运行各种UNIX操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序带来的威胁。4.应用程度方面,该层次的安全威胁来自网络自身的防火墙的配置、网上交易、内外Web站点的服务、传真服务及对数据库、Email服务、拨号服务的保护。
二、解决网络安全的途径
要解决网络安全问题,首先要指定网络安全设计目标,通过对网络安全需求的了解,采用相应的安全策略,在确保关键设备获得最大可靠性以及网络安全领域的相关指数正常的情况下达到安全目标。解决网络安全问题可以从以下几个方面着手:
(一)操作系统安全
当前网络安全中最为重要且复杂的问题的就是操作系统的安全问题。UNIX,是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时操作系统。由于网络及UNIX从体系结构到通信协议的广泛开放性,一些安全漏洞就不可避免的暴露给了网络黑客,并且被其广泛的传播,这就造成了很多网络安全问题。事实上大部分的安全问题都是由于系统管理所导致的,例如:系统权限设置不合理,密码设置不当活着长期不做修改等。安全策略必须在信息安全和信息可用性之间寻觅一合适的平衡点。一般讲来,可以利用系统安全扫描仪找出系统内部的隐患漏洞,从而有效控制安全策略的实施。
(二)应用程序的安全
应用程序层次的安全主题包含很多方面,因此需要一个全面的实施策略解决多方面的问题。解决方案是采用一套熟悉整个网络、可对多种应用程序进行扫描评估的安全产品。在应用程序中Web应用是比较重要的一部分,也经常被黑客视为攻击的重点对象,许多Web服务器CGI脚本能在没有Webmaster的情况下装进网络,甚至当知道它们含有能通过Web激活的安全漏洞时,都进行安装。因此,用户的CGI脚本也应受到类似的安全漏洞测试。
(三)用户安全
1.用户密码的安全。
用户的密码是用户通过认证/授权系统验证、进入系统的关键数据,因此是黑客经常攻击的对象。我们应采用数据加密技术,在存储和传输中给予保护。
2.电子身份证的安全。
电子身份证(COOKIE)是用户经过系统验证通过后,系统为用户发放的用于标明其身份的证件。对它的保护重点在于防止被“伪造”,因此主要采用签名技术。做到以下两点:
(1)存储环节的保护电子身份证存储于用户的客户端Browser中。
(2)传输环节的保护。
(四)分级防护策略
虽然可适应性安全策略可顾及到网络的各个方面,但在网络中有些部分由于保留有重要的信息和数据,如用户数据、认证信息等,需要更严格的策略保护。
防火墙存在诸多优点,它负责管理Internet和机构内部网络之间的访问,集中的网络安全可作为中心“扼制点”产生安全报警监视并记录Internet的使用。Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如黑客、网络破坏者等进入内部网络。由此,建议将需要防护的服务器放置在硬件防火墙后,由网络安全管理员制定安全策略,对通过的数据包进行过滤。
随着网络技术的不断发展我们意识到网络安全防护永远不是绝对的,新的黑客攻击技术、新的安全漏洞还会出现,一方面要求网络安全策略和安全防护产品不断升级,另一方面也要求网络安全管理员不断提高安全警惕性和技术水平,防止由于人为因素造成安全漏洞,保障网络的安全。
参考文献:
[1]陈宁.基于层次分析法构建网络安全系统的方法[J].成都教育学院学报,2005,11
[2]解季萍,吴家萍.基于Web的远程教学系统安全性研究[J].中国远程教育,2002,5
关键词:信息安全 防火墙 CGI ARP
目前,电子政务的发展方兴未艾,已经进入了符合Internet/Intranet技术标准的平台应用阶段。在这一阶段,电子政务系统不仅在技术上有了很大进步,而且应用范围已从部门内部、部门之间扩展到行业/系统内部,乃至跨部委跨系统。这样的一个庞大系统,不仅要考虑其可靠性、开放性、可维护性和可管理性,更应考虑其安全性。没有安全性,这个系统就失去了存在的意义,而且随着技术的发展,安全问题已经成为电子政务的核心问题,它将伴随着电子政务的发展而发展。
在安全性方面,除了要制定严密的入网、使用制度外,更应该从技术上保障系统的安全。通过多年网络管理、维护的实践,并借鉴网络战的相关战法,笔者总结了几点安全性措施,以供同行参考。
一、查漏强网法
查漏强网法,是指要经常或定期对己方网络进行网络安全漏洞检测和修补,提高己方网络抵御黑客攻击的能力。
网管应该时刻牢记:在完成一个网络补丁的同时,可能又产生新的漏洞。这些漏洞即使我们不去研究,黑客也会去研究的,我们应该把研究网络安全漏洞看成是建立网络防御体系的关键所在;要尽量减少漏洞发现与漏洞修补之间的“时间差”。这个“时间差”越小,黑客能利用我方网络安全漏洞的机会就越少,反之我方网络面临的安全威胁越大。
通过多起泄密案例分析,堡垒往往是从内部攻破的。因此,网管也应抓好硬件、软件和人员的管理。一个好的规章制度其隐性的作用往往胜过好的防火墙。
在查漏方面,CGI脚本是主页安全漏洞的主要来源,推荐过滤“& ;` " ” | * ? ~ ^ ( ) [ ] { } $ # ”等特殊字符;在设计CGI脚本时,其对输入数据的长度有严格限制;使用C编写CGI程序时,一定要使用安全的函数;实现功能时制定安全合理的策略,CGI程序还应具有检查异常情况的功能,在检查出陌生数据后CGI应能及时处理这些情况。在保护FTP服务器时,设置站点为不可视和设置用户登陆频率行之有效。
二、监测反黑法
监测反黑法,是指在己方网络运行过程中,动态监视网络运行状态和用户行为,当发现异常情况和黑客攻击行为时,及时报警并采取应对措施,对付黑客的攻击。
一名好的网络安全人员,应该从两个不同的角度对网络进行安全评估:第一,从黑客角度进行思考,寻找现有的网络漏洞,对网络资源加以保护;第二,从安全管理者的角度进行思考,寻找既可保障安全又不影响网络运行效率的最佳途径。
计算机网络防御不是采用安全措施就万事大吉的静态过程,而是一个包括网络防护、监测、响应、恢复等四个环节的连续、反复的动态过程。具体实施有:第一,要选择符合安全标准和通过安全认证的网络安全技术手段和设备,如选择安全级别较高的网络操作系统、数据库系统、服务器、路由器和防火墙等,构建一个全方位、多层次、立体化的动态防护体系,构建网络防御的第一道防线。第二,要采用网络入侵检测216系统及时发现黑客攻击行为,及时报警。第三,当发生报警时应及时分析原因,采用应急响应和处置措施,断开网络连接、堵塞漏洞、跟踪攻击或进行反攻,及时把敌人入侵的手段、特点向上级报告和向友邻单位通报。第四,要及时对网络系统的软件和数据进行备份;当网络系统遭到破坏时,应能够及时对软件和数据进行恢复。
对于目前危害很大的ARP病毒攻击,可以使用以下的方法进行防御:
使用可防御ARP攻击的三层交换机,绑定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大地减少该问题的发生。
在发生ARP攻击时,及时找到病毒攻击源头,并收集病毒信息,使用TrendLabs软件进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。
三、筑墙护网法
筑墙护网法,是指通过身份认证、访问控制、数据加密和防火墙等手段在网络边界和网络内部主机上构建一道一道的防火墙,以防止黑客进行网络渗透或入侵,窃取情报。
网络防火墙是一种保护计算机网络系统安全的技术性措施,它是将计算机内部网络和外部网络分开的方法,实际上是一种隔离技术,它可以阻止网络中的黑客来攻击和破坏内部网络。目前网络防火墙主要有以下四种类型:包过滤防火墙、防火墙、双穴主机防火墙和检测型防火墙。不同类型的防火墙,其效果是不同的。需要注意的是,监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在使用中的防火墙产品仍然以型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。
四、以攻协防法
以攻协防法,即在防御中抓住有利的战机对黑客计算机网络系统实施攻击,以积极的攻势行动保护己方计算机网络系统安全的方法。这种方法在网络战中经常使用。
进攻就是最好的防御。人不犯我,我不犯人。目前网络泄密已经给我们各行各业造成了巨大的损失,对敌对势力进行必要的教训是应该的。通过对黑客实施计算机网络侦察,了解黑客对我实施计算机网络进攻的组织和实施方案,以及黑客计算机网络系统的相关信息,一方面便于我方采取得当的隐蔽对策实施防护,另一方面可以通过了解的情报,对黑客计算机网络系统实施反击,从而达到保护我方计算机网络系统的目的。
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。目前我国政府、相关部门和有识之士都把网络监管提到新的高度,例如上海市负责信息安全工作的部门就提出了采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。我们衷心希望在不久的将来,我国信息安全工作能跟随信息化的逐步深入,上一个新台阶。
作者简介:
