- 相关推荐
计算机网络的防御策略的描述语言
计算机网络的防御策略有多种描述语言,其中CNDPSL语言具有比较高的使用灵活性能,可扩展领域也非常广,同时还具有很好的适应性。
计算机网络的防御策略的描述语言【1】
摘要:该文主要介绍了一种计算机网络系统的具有防御策略性的描述性语言,它对相应的计算机策略具有即时的响应、检测和保护的特征,总体来看是面向CNDPM模型机制,并在此模型中利用先进的科学技术将比较抽象的计算机策略转化为形象具体的规则原理,同时运用形式化的办法对这一策略进行了验证,表明其具有较高的完整性和统一性,并能够为实践的操作带来实际的功效。
关键词: 计算机网络;防御策略;描述的具体语言;应用分析
计算机网络的防御策略有多种描述语言,其中CNDPSL语言具有比较高的使用灵活性能,可扩展领域也非常广,同时还具有很好的适应性。
总体来看,它是一种声明式的计算机语言,对网络控制的行为可以起到很好的控制与监督作用。
另外在计算机网络技术仿真平台的实验中,利用这种防御性策略的描述语言可以实现技术规则转化为防御效能的自动化,更加提高了运用的效率。
1 计算机网络防御策略描述语言的概述
计算机网络攻防演练的组成结构非常复杂涉及的环节比较多,其中网络防御是非常重要的内容,同时也是计算机网络信息对抗的关键构成部分,在实际的应用中起着举足轻重的影响作用。
设置计算机网络防御策略通常的目的是要保护计算机工作系统的稳定性与安全性。
具体的策略一般是由一些具有特定防御功能的规则和程序构成的。
依据PPDR 的虚拟模型,制定的防御策略主要包括三种策略,第一种是保护策略,第二种是检测策略,第三种是响应策略。
在计算机系统网络常规的攻防演练中,一般有两种模式,真实的演练和模拟的演练,这两种模式的应用效果有所不同,在具体的应用中应该具体问题具体分析。
模拟仿真方案在实际的使用过程中具有很多的优势,因而使用的范围也比较广阔,开发出的工具也非常多样,常见的有VNS,RINSE等,在这些工具的具体应用中,一般都是比较侧重于防火墙的仿真模拟以及IDS的仿真模拟等,使用的方法也会根据实际的需求有所调整。
计算机网络防御策略的实际演练过程,需要使用很多的安全措施来抵御外界对网络系统的攻击。
在选用具体的防御措施前,防御的策略起到一定的指导效用。
很多计算机防御策略的描述语言都是建立在人类抽象思维策略基础之上的,因而要在使用时产生技术级的措施,就要通过人的翻译。
这样的过程在计算机网络防御策略的应用中进行的次数非常多,利用的是高级思维能力,但是也有一定的局限性。
这是因为高层思维在使用低层工具进行代换的时候,对翻译的正确性难以在很短的时间内进行有效的评估,运用不当也会导致翻译差异性的出现,或者是思维语义上的误解和损失,同时这种损失究竟到什么程度是不确定的。
可见计算机的自然语言存在着二义性,那么计算机的实际配置就会呈现出结构复杂、效率低下、程序运行出错频率高的特征,严重影响着计算机网络的安全性,需要采用策略性强的形式化描述语言,提高系统接收数据信息的能力,将抽象的策略转化为具有高效性和准确性的语言来使用,同时还要体现出系统的伸缩性与灵活性,这样才能达到预期的防御目的。
2 计算机网络防御策略的描述语言的设计要求
常见的计算机防御策略语言具有其独特的使用特点,不仅有优势,也有不足之处,在对优点和缺点进行描述的时候,要从全面立体的角度出发去考虑,兼顾描述的具体内容和抽象层次应用两个方面。
PCIM把具体的策略描述成条件动作的特有方式,计算机系统的防御安全领域中,在PCIM基础上进一步拓展出的语言包括CPIM,SPSL,NSPIM等,每一种语言都有其特殊性,但在实际应用上又有着同一性。
具体来看,SPSL现阶段支持的防御策略主要包括系统过滤、IKE交换等;NSPIM的具体描述内容包括计算机系统的访问控制层,同时还要对防御策略进行必要的检测和管理,以提高其工作效率。
从层次应用方面来讲,PCIM和ACL列表的功能有着很大的相似之处,所以在实际的应用中,欠缺对防御策略的高效管理性,在自动化方面也有待于进一步改善。
TPL在使用的过程中会经过XML的检验来表示认证策略,然而XML的编程语言非常复杂,实际使用时,不具备高效的可读性,在其抽象层次的应用中也与防御策略的描述语言存在着很多的差异。
上述的这些语言的综合特点就是直接对网络层的实体进行研究,描述策略的拓展性有限,所以在抽象的层次上也会有一定的局限性,具体描述的内容也需要进一步加强。
基于上述的不足之处,CNDPSL的设计要点就要不断克服这些不足之处,保证运行效率的显著提高。
具体来看,这种防御策略的描述语言要起着对抽象网络防御控制行为的操控能力,在语法的设置上必须清晰了然,具有很强的直观性才能保证操作的具体化,利用这样的语言借助计算机引擎的作用,可以将防御策略有效地转化为实际可行的防御规则,提高操作性。
同时要求这种语言可以访问控制领域相关策略的同时,也可以对其他的保护策略进行准确地描述,在此基础上还能够对检测的配置以及规则的使用情况进行相应的监督,从而起到一定的控制效应。
3 计算机网络防御策略模型的建构
计算机网络防御策略模型最为常见的类型是在RBAC基础上建立起来的模型以及在计算机组织结构访问方式的基础上建立起来的模型。
前者在运行的过程中经常将描述的主体定位为具体的角色,也没有对权限进行抽象。
后者主要是把描述主体与客体以及描述的动作分别进行科学准确的抽象。
以上两种模型的研究也存在很多的不足之处,为此次建立计算机网络的防御策略描述语言的模型要克服这些缺陷,不断拓宽访问的控制领域,将每一语言概念之间的关系进行仔细地梳理,把握好每一环节的特点,将角色的分配方式落实到位,降低系统出现错误的几率,提高运行的效率。
参照在计算机组织结构访问方式的基础上建立起来的模型,进行科学合理地改进与拓展,具体来看,CNDPM的模型构造图如下所示:
图1(实线箭头表示relation,虚线箭头表示include)
在模型的建构中涉及到的策略与规则主要包括以下四个方面:第一点是系统要具备比较丰富的防御性语言表达能力,同时要面向CNDPM的各种应用需求,对每一种保护、检测以及系统的响应策略。
第二点是要保证程序的简洁性与灵活性,不仅是要求语法形式的简单性,还要在具体的内容上也体现出简洁与直观性。
第三点是要保证一定的无关性,可以让系统自动解析成可以执行部件某种规定的防御性的规则。
第四点是要保证防御性的语言具有可扩展性,这样就可以逐渐提高其防御的效率。
以下给出CNDPSL的EBNF的具体范式:
: : =<语句块><3cndpsl><语句块>
<语句块>: : =<组织声明>| (<组织名>|<组织声明>) <策略语句
块>|<组织名><策略>|<策略信息显示>
<策略语句块>: : = ‘{’<策略语句>{<策略语句>} ‘}’
<策略语句>: : =<角色语句>||<视图语句>|<活动语句>
|<策略>|<上下文>
1)组织
组织是CNDPM模型的核心概念,通过搜索网络配置想定目录服务器的同名域建立,以下是组织的EBNF范式:
<组织声明>: : =org<组织名>[ <组织继承>]
<组织名>: : =|<组织名>. //组织名为点分字符串
<组织继承>: : = sub_org<组织名>{<组织名>} //组织的包含关系
2)策略
由于策略可以封装在组织中,策略表示成五元组的形式,有配置和删除两种操作。
<策略>: : =(policy| delete-policy) <措施><角色名><活动名><视图短语>(<上下文名>| default)
其中,视图可以通过角色的转换得到,语法如下:
<视图短语>: : =<视图名>|
角色、视图、活动都包括声明、层次、定义和分配四种语句,其中声明需指出相应的类型,而其余三种无须给出,但名字必须是声明过的。
4 计算机网络防御策略语言的具体特征和实施机制
计算机网络防御描述语言CNDPSL具有很高的应用性能,它是在CNDPM的模型上建立起来的,通过计算机网络防御策略形成的语言描述系统,经常使用的范式是EBNF,经过计算机的仿真验证,明确表示该种语言的使用功能很有效,完全可以为计算机的攻防演练提供有效的支持。
在CNDPSL的描述内容中,主要的描述内容包括计算机防御的组织架构、策略定位、功能防御角色、视图效果、具体活动、上下文的转换和连接、防御措施的具体说明、计算机防御语言的声明以及定位、各个组成部位的功能分配以及相关的继承关系,这些内容之间是相互联系的,对于具体的设计要求的落实,一方面要先确立好计算机网络防御的描述语言的设计目标,这样才好做好下一步的部署工作。
通常情况下,这种防御策略的描述语言要具有比较丰富的表达能力,在具体的设计上要与CDNPM模型保持一致性,这样才能够很好地将保护、检测、响应策略有机统一在一起。
语言的简洁灵活性、语法形式的简单性和形象直观性可以为防御策略的运作提供更好的运行环境。
同时要实现无关性的建设机制,使得系统可以自动化地形成具体的执行环节,对一些防御规则的运用有着独到的地方,不仅可以提高运行的质量,还可以提高运行的速度,以便使计算机的防御系统更具有安全性和可靠性。
计算机防御策略的语言可拓展性对系统的运作效率也有着很大的影响。
在CNDPSL语言格式的实施策略中,通常都要将比较的抽象的模型转化为具体的防御规则。
这就需要经过特定的推理,在模型实践的过程中,通常会有两种推理形式:第一种推理认为,每一组织中的任何一种角色或者是任何的主体具有相关性,主体同时可以作为角色,那么就用D1表示,分配的机制为:
Employ(or g,s)ΛDef ine(r,ch) Λ
Own(s,ch)→As(s,r)
这样的分配方式可以运用到活动和视图的分配过程中来。
另一种推理方式将组织雇佣为主体作为角色,用客体来作为视图的内容,在活动的措施中对相关的防御策略进行评估。
例如在计算机信息安全系统的攻防模拟演练中,很多的CNDPSL格式的策略文件在具体的使用过程中,都要先经过计算机引擎的处理,与防御策略的信息库进行交换处理,转化为与之相关的各种有效的防御命令,然后再经过RTI的传送,将命令进一步转化为防御的具体动作。
对一些策略信息库的传送,通常要处理的是实体与实体之间的关系,先要对各部分的工作模块进行划分,对防御策略描述语言的语法、语义、词法进行分析与判读,将这些信息存入固定的防御信息库中,然后依据网络的信息将各种策略描述准确地提炼出来,在这一过程中将完成转化的模块依据相应的推导规则,将防御的策略映射为防御的具体规则,然后根据分发的模块将防御的策略信息进行相应的推导,最终将分析所得的信息发送给防御节点,这样就形成了CNDDL的防御命令。
5 结束语
综上所述,计算机网络防御策略的描述语言在实际应用中的作用是非常强大的,在进行模型建立和具体实施的时候,要根据具体的实践需要,从以往的描述语言中和模型建构中寻找经验,克服其不足之处,建立其具有使用性语言机制,CNDPSL防御策略的具有非常强的操作性,并且在实际的应用中效能比较高,拓展的领域比较宽广,因而应该得到广泛的推广。
参考文献:
[1] 魏玉娣,夏春和.一种计算机网络防御策略描述语言[J].计算机研究与应用,2008(8).
[2] 吴秀敏,王晓兰.EDA技术在计算机硬件设计中的应用与研究[J].计算机与数字工程,2010(10).
[3] 夏春和,李肖坚.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(1).
[4] 朱小龙.EDA实践教学与学生工程实践素质的培养[J].教育与职业,2010(33).
[5] 杨莲红.EDA技术在模拟电子技术教学中的应用[J].高师理科学刊,2010(1).
[6] 田文英.计算机网络防御策略描述语言研究[J].科技传播,2012(7).
[7] 曹立杰,李松松.数字电子技术与EDA技术相结合的探讨[J].现代电子技术,2009(20).
[8] 崔国玮.基于EDA技术的数电课程设计新模式的探索与实践[J].实验技术与管理,2008(1).
[9] 朱怡健.简单高性能微处理器的设计[J].电气电子教学学报,2004(2).
[10] 高三红,吕勇.计算机体系结构的发展趋势分析[J].飞行器测控学报,2003(2).
[11] 陈智勇.机群计算中的负载共享策略[J].桂林电子工业学院学报,2001(4).
计算机网络防御策略描述语言【2】
【摘 要】随着计算机信息网络的不断发展,人们在享受计算机给人们带来的便利同时,越来越意识到网络安全问题所带来的危害,计算机网络已成为社会基础设施建设的重要组成部分,社会生活对计算机及网络系统的依赖性也越来越大,本文就计算机网络防御策略描述语言进行了分析及探讨。
【关键词】计算机;网络防御;策略;描述语言
计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域,从本质上讲网络安全即是网络信息安全,尽管网络安全已经被信息社会各领域重视了,可因为计算机网络本身就存在着一些潜在威胁因素,这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击,为了确保计算机网络的安全及可靠,计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。
一、计算机网络安全漏洞及攻击分析
由于计算机网络自身因素所造成的安全漏洞,主要有三个方面的因素,一是网络结构不安全性,Internet是种网络与网络间的技术,主要有主机和自治系统所连接成的庞大网络,在两台主机进行端与端通信的时候,相互传输的数据流一定会通过许多主机进行发送,这样的话就给那些攻击者带来了便利,当他有一台数据流传输中的主机,对用户的数据包进行挟持就易如反掌了。
二是TCP/IP体系间的脆弱性,在上个世纪的70年代,当美国的国防部制定有关DARPA计划时,并沒有想到会在全球范围内使用,因此,TCP/IP协议所考虑的网络安全性并不是很多,而且TCP/IP协议是开放的,当有人对这个协议很熟悉的时候,就有可能运用其安全缺陷实施网络攻击。
三是计算机用户的安全意识较为缺乏,尽管在网络中设置了较多的安全壁垒保护屏障,可人们的安全意识普遍不强,这些保护措施很多时候形同虚设,像用户口令的选择不够谨慎,以及打开了来历不明E-mail,这些都会给网络带来安全隐患,有些人为了避开有关防火墙的代理服务器额外认证,就会直接进行PPP连接,这样也就避开了防火墙保护,还有些人是直接进行浏览器页面的关闭,这些操作均给病毒及黑客入侵带来了便利。
现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的,其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同,但这些都给计算机的网络安全带来了较大的隐患。
二、有关计算机网络的防御策略描述语言
1.CNDPSL概述
计算机网络的防御策略所指的是为了实现特定安全目标,其网络及信息系统依据一定条件来选择防御措施规则,进行计算机防御就需要大量措施应对各种网络攻击,用人工配置的方法是比较复杂、低效及易错的,运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点。
这种策略具有较多的优点,已经被广泛应用在网络防御中了,并且是网络防御核心,其检测、保护及响应均是依据策略进行实施的,这种思想也被称为PPDR模型思想,可由于这种模型的策略粒度有些太大,沒有办法实现基于策略防御,依据这个先天不足,策略树把防御策略表示成了目标/措施的形式,可并沒有实施机制,并且兼容性不是很好,层次也不是很清楚的问题。
而计算机网络防御策略描述语言简称为CNDPSL,它所面向的是计算机网络防御策略模型(CNDPM),能够统一地对检测、保护及响应策略进行描述,并能够把抽象策略细化成具体的规则,还能够以形式化方法来验证策略一致性、完备性及有效性。
对于计算机网络防御策略描述语言(CNDPSL)来说,它是一种声明式的语言,对网络防御控制行为进行了抽象,而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性,通过实验表明,这种描述语言能够将抽象的策略自动地转为具体技术规则,且实现表达防御效能。
在CNDPSL设计中,需要满足下列要求,一是语法简洁直观,能够抽象网络防御控制行为,并且能够细化成有效及可实施防御的规则。
二是能够表示访问控制领域策略,也能够对保密等其他保护策略进行描述,并控制响应及检测规则配置。
2.计算机网络防御策略模型描述
这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC,前者仅是把主体抽象成了角色,并沒有对权限给予抽象,后者则对客体、主体及动作等都给予了抽象,但它们仅是一些框架及概念,并沒有进行实际的应用防御。
而CNDPM是在Or-BAC的基础上进行了扩展,引入了措施概念,把策略及具体规则统一成了元组形式,把Or-BAC中有关规则及策略的8个谓词进行了去除,且给出了推导规则,概念间的关系进行了简化,把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词,从而对应成了十种关系。
同时引入了特性的定义机制,把视图、角色及活动自动地分配给了客体、主体及动作。
并将策略结构转化为了6元组,Policey:,其表示为在组织(org)中其角色(r)能够对视图(v)的活动(a)上下文(c)环境中采取相应措施(m)。
其具体规则结构化成了5元组,Rule:,这里所表示的是在组织(org)里主体(s)能够对客体(o)的动作(a)运用措施(m)。
3.防御策略性质
计算机网络防御策略性质主要包括有效性、完备性及一致性。
有效性所指的是当任何策略预期风险均在可接受范围之内时,这个策略集就能够被称之为有效的了。
策略的有效性是依据上限值及评估函数进行决定的,当给定一个风险后,就应该选取合适策略,把威胁限制在能够接受的范围内。
完备性所指的是任何组织及任何一个事件至少应该对应一条策略,那么称这个策略集为完备的,它所表示的在任意攻击事件中,都可以在策略集里找到响应及检测策略,有些已知攻击响应策略可能并沒有定义,依据这种情况,可在每个组织中,定义出一条缺省的策略来实现策略集完备性,这样对于未知的攻击就会存在着漏检情况,仅有当未知的攻击转变成了已知攻击的时候,才能进行相关检测及响应策略扩展。
当两条策略组织及上下文相同的时候,并且视图、角色及活动都存在交集的时候,采用了相冲突措施,像许可和禁止,这时策略集出现了不一致现象,而检测一致性所指的是在某个策略集中,任意两条不同策略,其组织不同、上下文不同、视图不重叠、角色不重叠或者活动沒有重叠,那么这个策略集就是一致的。
三、CNDPSL设计及实施机制
CNDPSL是依据CNDPM模型而实现的一种策略描述语言,把计算机网络防御策略所涉及的内容按照语言描述了出来,并给出了EBNF的范式,且通过仿真来验证该语言是否有效,为攻防模拟的演练给予了支持。
CNDPSL所需要描述的内容主要有组织机构、角色、策略、活动、视图、定义、上下文、措施声明、分配和继承关系等,其中,组织结构为CNDPM模型核心的概念,并运用搜索网络配置来设定目录服务器同名域的建立,这些内容有效地反映了有关CNDPM的思想。
在计算机攻防的模拟演练之中,人机交互命令或者CNDPSL格式策略文件,通过策略引擎及防御策略的信息库进行交互处理,并转化成相应CNDDL的防御命令,再通过RT1传送至GTNetS仿真联邦成员中,且有CNDDL解释器把命令转成防御动作,完成了对防御策略部署。
其执行系统总体设计主要包括策略引擎及防御策略的信息库。
防御策略的信息库主要是通过1dap来存储策略需要的实体关系及实体信息。
其引擎具体工作原理为:先对模块进行解析,主要是通过Yacc和Lex对CNDPSL的语法、词法及语义进行分析,并从信息库里读出策略描述需要的客体、主体及动作,且存入防御策略的信息库里,接着依照模型推导规则将模块的防御策略映射成相应规则,并由分发模块对防御策略信息库查找,且把规则分发到相应防御节点上,最终转化成了CNDDL的防御命令。
其中,访问允许策略定要递归地在每个父组织防御节点上部署,这是由于数据包必定经过所有防火墙。
四、结束语
CNDPSL作为一种计算机防御策略描述语言,能够在很多环境中,对计算机网络的防御措施给予选择,随着新防御措施的出现,仅需要将措施集里加入相应描述就可以被策略发现及选择了,而防御策略图形化界面的提供,必将进一步加强计算机网络防御的功能及可操作性。
参考文献:
[1]杨鹏,杨帆.一种计算机网络防御策略描述语言[J].硅谷,2011(13).
[2]吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11).
[3]夏春和,魏玉娣,李肖坚,王海泉,何巍.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(01).
[4]于晶.浅析计算机的网络安全及攻击的防御措施[J].电脑知识与技术,2009(18).
计算机网络安全的防御策略【3】
摘 要 随着计算机技术和网络通信技术的快速发展,计算机网络已经深入到国民生活的方方面面,信息化已成为人类发展的必然趋势,网络安全问题也受到越来越多的高度重视,计算机网络安全面临着巨大的挑战,如何提高计算机网络的防御能力,确保在计算机网络安全稳定运行,已经成为现阶段急需解决的问题之一。
该文从介绍计算机网络的安全要求,及对影响计算机网络安全的主要因素进行了归纳和详细阐述,提出了有效的防御策略,目的是为了计算机网络能够对人们生产、生活发挥出更大更好的作用。
关键词 计算机网络;网络安全;防御策略
计算机网络技术的迅速发展和应用,在给人们工作和生活带来方便和物质享受的同时,也给人们带来了来自网络的安全威胁,计算机网络的联结形式具有复杂多样性、开放性及网络边界的不确定性等特征,使网络数据容易遭受到破坏、更改、泄露、网络容易受到黑客的攻击,所以网络安全密是一个非常重要的课题,研究计算机网络安全的防御策略就成了必然。
1计算机网络概述
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统[1]。
2 网络安全的概述及要求
网络安全是指网络体系的软件系统、硬件系统及其系统中的数据受到安全保护,网络系统资源不受偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统能够可靠稳定正常运行。
广义来说凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
2.1网络安全的要求
1)数据完整性:指数据的精确性和可靠性,未经授权不能进行改变的特性,数据在网络中存储或传输的过程中不遭受任何形式的修改、破坏和丢失的特性;
2)数据保密性:保护数据不被未授权者访问,数据不泄露给未授权者并进行利用的特性;
3)数据可用性:可被授权用户访问并按需求使用的特性,在要求的数据资源得到保证的前提下,在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。
是数据完整性、保密性和真实性的综合反映;
4)数据可控性:是指数据的流向以及行为方式可以控制在授权范围内,并对数据的传播及内容具有控制能力;
5)可审查性:对出现的网络安全问题提供调查的依据和手段。
3影响计算机网络安全的主要因素
对计算机信息构成不安全的因素很多,包括网络系统本身的问题,如操作系统存在网络安全漏洞、网络的开放性、自由性等;内部网络安全威胁认识不足问题,局域网内部用户未采取科学的防范措施,导致来自于内部的网络安全事故逐年增加;网络安全管理机制不健全等因素:
1)计算机网络的不安全性,计算机网络的多样性、开放性和自由性的特性给网络用户提供了便捷的信息服务,同时也带来了许多的网络安全隐患,计算机网络是全开放的,这就致使网络易受来自多方面攻击,意味着对网络的攻击不仅是来自于本地网络的用户,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击,大多数的网络对用户的使用没有技术上的约束,目前的技术难以对外部服务请求实现完全隔离,非授权者利用服务请求的机会很容易获取网络敏感信息;
2)防火墙的局限性,防火墙指的是一个由软件和硬件设备组合而成、它能增强机构内部网络的安全性。
它是内部网络与外部公共网络之间的第一道屏障、安全策略的一个部分,防止非法用户、黑客、网络破坏者等进入内部网络。
禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。
虽然防火墙是目前保护内部网络免遭黑客袭击的有效屏障,但也有它的局限性,它难以防范网络内部的攻击和病毒的侵犯,不能防止来自内部变节者和不经心的用户们带来的威胁,它甚至不能保护你免受所有那些它能检测到的攻击,不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击;
3)网络中的设备包括计算机、网络通信设备、传输设备、存储设备、防火墙、网络环境都是网络安全的重要保障,易遭受到自然环境的影响,每个环节设备出现问题,都会造成网络故障;
4)网络安全管理的缺失,网络安全意识不强,也会对网络安全造成威胁,计算机网络的安全管理,不仅要做到物理硬件的安全,逻辑软件和数据资源的安全,还必须有人的配合、遵守和协助[2]。
4计算机网络安全的防御策略
4.1网络安全技术防御策略
计算机网络安全技术主要有网络访问控制技术、计算机网络入侵监测技术、信息加密技术、防火墙、认证的防范技术和系统安全管理技术。
综合起来可以采取以下策略:
1)网络访问控制。
是对网络信息系统资源进行保护的重要措施,是网络安全防御和保护的主要策略。
通过对IP地址段限制、授权访问服务控制体系,允许对限定资源的授权访问,保证网络资源不被非法使用和非授权访问。
访问控制不仅提供主动网络安全防范和保护,而且还能维护网络系统安全,对网络资源起到安全隔离的作用。
访问控制是对外部访问过滤的关键技术,是实现数据保密性和完整性机制的主要手段;
2)计算机网络入侵监测技术。
基于检测技术上的报警和监测系统,是一种针对计算机入侵的技术措施,按照报警的数据来源来看,入侵报警可以分为对事件入侵的报警、基于流量入侵的报警这两大类。
在事件基础上的入侵报警的技术是通过分析网络中正在发生或者数次发生的入侵事件。
通过对这些入侵进行实时而详细的监控和记录来发现入侵事件的规律性,然后进行报警并预测其未来发生的威胁;
3)建立完善的备份及恢复机制。
为了防止数据的存储设备异常损坏,根据数据本身的重要程度、保密性要求、对业务连续性的影响程度、更新和使用频率、面临的风险等等,制定完善的数据备份策略和备份计划,或者可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份,以保障数据安全性和完整性; 4)信息加密技术。
信息加密技术是信息安全核心技术,通过对敏感数据信息实施加密处理,可以维护数据信息的安全,实现网上数据的安全传输[3]。
常用的方针有线路加密和端到端加密两种。
不同的加密技术可以应用到不同的情况,对保密信息通过各线路采用不同的加密密钥提供安全保护,防止非法用户存取数据或合法用户越权存取数据;
5)通过安装病毒防火墙,进行实时过滤。
对网络服务器中的文件进行频繁扫描和监测,在服务器和各客户主机上分别布设防火墙是网络安全防范的必要技术,加强网络目录和文件访问权限的设置,实现安全隐患的提前判断和拦截;
6)局域网内用户计算机IP地址、MAC地址绑定技术,在网络安全协议中,每一个网络终端都有一个独一无二的MAC地址,在局域网内将计算机IP地址、MAC地址绑定,防止IP 被盗用。
4.2网络安全管理防御策略
网络安全的关键在于安全管理,而安全管理的保证依赖于网络安全技术[4]。
技术与管理是网络安全的两个重要组成部分,网络安全必须依靠安全管理与安全技术来进行保证。
建立完善的网络安全管理系统,要防止外部入侵,也要防范内部人员泄密可能。
建立健全安全管理方面的体制,加大全面管理的力度,要对安全管理足够的重视。
管理是网络安全中最为关键的部分,以防一些重要信息有意或无意的被泄漏。
建立安全管理制度,制定和完善相关法律、法规。
加强对网络管理人员的技术培训,提高网络系统管理员和网络用户的职业道德修养和法律意识,明确责任,强化监督,维护计算机及网络系统的安全,同时建立应急管理机制,加强应急管理,制定应急事件出现时的详细应急预案,并定期开展应急演练,提高应对网络安全事件的能力和水平,确保事件发生时能够从容应对。
5结论
综上所述,计算机网络安全是一项复杂的系统工程,网络安全随着网络技术的发展将面临更为严重的挑战,所以我们要增大计算机网络安全管理的投入,加强安全意识教育,进行相关技术培训,并建立完善的计算机管理制度和监督机制,采取强有力的安全策略预防安全问题的出现,只有这样才能真正的提高计算机网络安全性,使计算机网络能够更好的为人们服务。
参考文献
[1]满昌勇.计算机网络基础知识[J].清华大学出版社,2010(10):11-12.
[2]陈欣.安全网络体系[N].中国计算机报,2004.
[3]俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社,2008.
[4]王小芹.计算机网络安全的防范技术及策略[J].内蒙古科技与经济,2005(5).
【计算机网络的防御策略的描述语言】相关文章:
计算机网络防御策略模型10-26
计算机网络的防御策略技术论文10-09
计算机网络防御策略论文10-09
计算机网络防御策略关键技术分析论文10-09
计算机网络防御策略求精的关键技术论文10-08
计算机网络防御策略求精关键技术探究论文10-09
网络安全管理策略与防御措施10-06
计算机网络攻击与防御10-05
计算机安全问题的防御策略论文10-08