网络信息安全与防范论文
网络信息安全与防范论文【1】
【摘 要】网络发展的早期,人们更多地强调网络的方便性和可用性,而忽略了网络的安全性。
当网络仅仅用来传送一般性信息的时候,当网络的覆盖面积仅仅限于一幢大楼、一个校园的时候,安全问题并没有突出地表现出来。
但是,当在网络上运行关键性的如银行业务等,当企业的主要业务运行在网络上,当政府部门的活动正日益网络化的时候,计算机网络安全就成为一个不容忽视的问题。
面对众多的网络安全问题,如何让企业的员工在信息化社会拥有一个安全的办公环境是应给予关注的问题。
通过组策略技术的应用,集中发布、删除企业应用软件,防止员工用滥电脑娱乐和病毒的肆意传播,从而实现企业网络的安全。
提高员工工作效率,加强公司电脑的管理。
管理员通过对组策略的学习,工作效率大幅度提高,不再疲于奔命对每一台域中电脑反复配置。
随着技术的发展,网络克服了地理上的限制,把分布在一个地区、一个国家,甚至全球的分支机构联系起来。
它们使用公共的传输信道传递敏感的业务信息,通过一定的方式可以直接或间接地使用某个机构的私有网络。
组织和部门的私有网络也因业务需要不可避免地与外部公众网直接或间接地联系起来,以上因素使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化,从而造成网络的可控制性急剧降低,安全性变差。
随着组织和部门对网络依赖性的增强,一个相对较小的网络也突出地表现出一定的安全问题,尤其是当组织的部门的网络就要面对来自外部网络的各种安全威胁。
第1章 绪论
1.1 课题背景
随着计算机网络技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。
其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。
通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一,从而构成了对网络安全的迫切需求。
1.1.1计算机网络安全威胁及表现形式
计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征,这使得网络容易受到来自黑客、恶意软件、病毒木马、钓鱼网站等的攻击。
1.1.1.1常见的计算机网络安全威胁
(1) 信息泄露
信息被透漏给非授权的实体。
它破坏了系统的保密性。
能够导致信息泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、术马、后门、流氓软件、网络钓鱼等。
(2) 完整性破坏
通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。
(3) 拒绝服务攻击
对信息或资源可以合法地访问,却被非法地拒绝或者推迟与时间密切相关的操作。
(4) 网络滥用
合法用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
1.1.1.2常见的计算机网络安全威胁的表现形式
(1)自然灾害
计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。
目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。
日常工作中因断电而设备损坏、数据丢失的现象时有发生。
由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
(2)网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。
另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。
(3) 黑客的威胁和攻击
这是计算机网络所面临的最大威胁。
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。
非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、钓鱼网站的欺骗技术和寻找系统漏洞等。
(4) 垃圾邮件和间谍软件
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。
与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。
(5) 计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪w、盗窃、诈骗和金融犯罪等活动。
在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。
他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。
不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。
使得针对计算机信息系统的犯罪活动日益增多。
(8) 计算机病毒
20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。
它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。
计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
第2章 网络信息安全防范策略
2.1 防火墙技术
防火墙,是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之间,网络之间的所有数据流都经过防火墙。
通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DOS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。
一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全,提供方便。
2.2 数据加密技术
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。
主要存在两种主要的加密类型:私匙加密和公匙加密。
2.2.1私匙加密
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。
私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建加密一条有效的消息。
这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.2.2公匙加密
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。
公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
2.3 访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。
适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。
访问控制的手段包括用户识别代码、口令、登录控制、资源授权、授权核查、 日志和审计。
它是维护网络安全,保护网络资源的主要手段,也是对付黑客的关键手段。
2.4 防御病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。
在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。
网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。
病毒的侵入必将对系统资源构成威胁,因此用户要做到“先防后除”。
很多病毒是通过传输介质传播的,因此用户一定要注意病毒的介质传播。
在日常使用计算机的过程中,应该养成定期查杀病毒的习惯。
用户要安装正版的杀毒软件和防火墙,并随时升级为最新版本。
还要及时更新windows操作系统的安装补丁,做到不登录不明网站等等。
2.5 安全技术走向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。
但因信息网络安全领域是一个综合、交错的学科领域,它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。
因此网络安全技术在21世纪将成为信息网络发展的关键技术
第3章 企业网络中组策略的应用
3.1 利用组策略管理用户环境
管理用户环境-控制用户在登录网络时有哪些权力。
可以通过控制用户的桌面、网络连接和用户界面来控制用户权力。
用户环境-为用户或计算机设置的。
3.2 组策略设置的结构
专业名称表(Subject)的设计
组策略的设置总体分为:计算机配置和用户配置
计算机配置和用户配置下面又有三个子层:
(1)软件设置-统一管理所有软件,Windows设置
(2)计算机配置:脚本、安全设置
用户配置:IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(3)管理模板-解决用户环境的问题
计算机配置:Windows组件、系统、网络、打印机
用户配置:Windows组件、系统、网络、桌面、控制面板、任务栏和开始菜单
3.2.1 计算机配置中的Windows配置
1.添加脚本
组策略脚本设置的功能是可以集中配置脚本,在计算机启动或关闭时,自动运行。
指定在Windows 2003上运行任何脚本,包括批处理文件、可执行程序等。
如果同时添加多个脚本,则Windows 2003按照从上到下的顺序执行;如果多个脚本之间有冲突,则最后处理的脚本有效。
配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)计算机配置-Windows设置-脚本-右击“启动”-单击“添加”
3)单击“浏览”,选定要运行的脚本或可执行文件
2.计算机中的安全设置
安全设置包括:帐号策略、本地策略、事件日志、无限制的组、系统服 务、注册表、文件系统、公钥策略、IP安全策略。
配置步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑” 2)计算机配置-Windows设置-安全设置-右击“登录屏幕不要显示上次登录的用户名”
3)选择“安全性”-选中“定义这个策略设置”和“已启用”
3.2.2 计算机配置中的管理模板
(1)计算机配置中的管理模板-控制计算机桌面的外观和行为
管理模板包括:Windows组件、系统、网络。
Windows组件中规定了一些操作系统自带的组件,如:IE、Netmeeting、 若任务计划等。
(2)设置Windows组件。
步骤如下:
1)控制面板-任务计划-添加一个任务计划
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-Windows组件-选中“任务计划程序”项
4)右击“禁用‘创建新任务’”-选择“属性”-在“策略”选项卡中选中“启用”
管理模板是基于注册表的策略。
在计算机和用户配置中都可以设置管理模板的内容。
管理模板是组策略中可以使用的对系统进行管理最灵活的一种手段。
3.2.3 网络子树
网络子树包括:脱机文件(处理与脱机文件夹有关的事项);网络及拨号连接
禁用网络连接共享。
配置步骤如下:
1)新建一个拨号连接,设置共享
2)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
3)计算机配置-管理模板-网络-网络及拨号连接
4)右击“允许连接共享”-选中“禁用”
3.2.4 用户配置中的Windows配置
Windows配置中包括:IE维护、脚本、安全设置、远程安装服务、文件夹重定向
(1)用用户策略中的IE维护为用户指定默认主页。
步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-Windows设置-IE维护-URL
3)右击“重要URL”-选择“属性”-选中“自定义主页URL”-输入网址
3.2.5 文件夹重定向
重定向文件夹。
步骤如下:
1)用户配置-Windows设置-文件夹重定向-右击“My Document”子树-选择“属性”
2)在“目标”选项卡中,选择“基本”,来为每个用户在服务器上建立一个个人文件夹,文件夹名即用户名
3)在目标文件夹的位置输入路径:服务器名共享文件夹名\%用户名%
4)在“设置”选项卡中设置:只有用户和系统能够访问该文件夹
文件夹重定向的功能:将用户常用的文件夹重定向到网络中的某台服务器的共享文件夹中。
对用户最终的效果是:无论用户在那一台计算机上打开它自己的这些文件夹,看到的都是相同的内容。
需要注意的是,文件夹重定向只是重定向用户自己创建的数据文档,而不会把系统数据重定向到网络服务器上。
3.2.6 用户配置中的管理模板-控制用户环境
用户配置的管理模板包含:Windows组件、任务栏和开始菜单、桌面、控制面板、网络、系统。
资源管理器中的策略(使资源管理器中的文件夹选项消失)
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-管理面板-Windows组件-Windows资源管理器
3)右击“从‘工具’菜单中删除‘文件夹选项’菜单”,选择“启用”任务栏和开始菜单-控制任务栏和开始菜单中的各种环境
3.3 使用组策略管理软件
管理和维护软件可能使大多数管理员都要面对的,客户经常会问管理员他使用的软件为什么不能使用了、新软件如何安装。
怎么进行软件升级等。
利用Windows server 2003的软件分发功能可以很轻松的实现这些需求,这位我们的管理工作带来了极大的方便。
软件分发是指通过组策略让用户或计算机自动进行软件的安装、更新或卸载。
在Windows server 2003中,可以通过使用一个站点、域、组织单元内的用户和计算机的组策略设置,来为这个站点、域、组织单元的用户和计算机自动安装、升级或删除软件。
3.3.1 软件布置(安装和维护)的步骤
(1)准备阶段
准备一个文件,以便一个应用程序能用组策略布置。
为完成这个,应将用于应用程序的Windows安装程序包文件(*.msi *.zap)复制到一个软件分布点,它可能是一个共享文件夹或服务器。
(2)布置阶段
管理员创建一个在计算机上安装软件并将GPO链接到相应的活动类别容器内的组策略对象(GPO)。
实际上,软件是在计算机启动或用户激活应用程序时安装。
(3)维护阶段
用新版本的软件升级软件或用一个补丁包来重新布置软件。
当计算机启动时或用户激活应用程序时将自动升级或重新布置软件。
(4)删除阶段
为删除不再使用的软件,从开始布置软件的GPO中删除软件包设置。
当计算机启动或用户登录时软件将被自动删除。
3.3.2 发布和分配软件
用组策略统一给客户端安装软件,有两种形式:发布、分配(指派)发布和分配软件,所有发布的软件都需要用控制面板中的“添加/删除程序”工具来安装;也可以通过文档激活自动安装。
只能将软件发布给用户,而不给计算机。
分配软件可以将软件分配用户和计算机。
通过分配软件,可以确保:
(1)软件对用户总是可用的。
可以采用文档激活方法安装,如使用Word、Excel等应用程序的用户。
(2)软件是有弹性的。
如果缺少某些文件,当用户下次登录并激活应用程序时,将重新安装。
(3)当给用户分配软件时,软件将出现在用户的桌面上,但是在用户双击其图标或打开与应用程序关联的文件之前,安装不会开始。
(4)当给计算机分配软件时,在计算机启动时,软件将被自动安装。
注:如果计算机是一个域控制器,分配软件给计算机将不起作用。
3.3.3 用组策略布置软件包
用组策略布置软件包(以用户配置中的软件设置为例)。
步骤如下:
1)打开组策略控制台-选中需要编辑的组策略-单击“编辑”
2)用户配置-软件设置-右击“软件安装”-选择“新建”-单击“程序包”
3)选择安装程序包(*.msi *.zap)-单击“打开”
4)选择布置方法为“已发行”
5)再选择另一个安装程序包,选择布置方法为“已指派”
6)在域中另一台计算机上登录,控制面板-添加/删除程序-添加新程序
注:该安装程序包所在目录必须是共享的,客户机一定要指向DNS。
结论
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
通过组策略技术的应用,防止病毒通过移动设备传播,来实现企业网络的安全。
通过对机房及域中每一台电脑的控制,禁止员工用电脑做与工作无关的娱乐项目,提高员工工作效率。
对域中电脑集中发布、删除软件,加强公司电脑整体环境的管理。
有了组策略,管理员的工作更加效率,掌握了组策略技术,管理员的工作得心应手。
网络信息安全技术论文【2】
摘 要: 在网络高速发展的信息化时代,网络信息的安全成了我们比较关心的问题,阐述研究网络安全技术的重要性,具体分析在实际应用中网络安全的技术手段。
最后探讨网络安全与安全产品研究现状及发展趋势。
关键词: 信息安全;防火墙 ;加密;数字签名
1 概述
随着网络信息技术的迅猛发展,我们已进入信息化时代,互联网给我们的生活带来了极大的方便,改变了我们感知世界了解世界的渠道,同时,由于互联网连接方式多样性、终端分布广泛性和网络的开放性等也对我们的信息安全构成威胁。
网络信息安全是一个包含计算机应用技术、网络通信技术、密码信息技术、信息安全技术、应用工程数学、数论、信息方法论等技术的综合学科。
要想能够提出完整的、系统的、协同的处理方案来,我们就要在平时对上述学科进行知识积累,只有这样我们才能保证信息的有效共享和相对安全。
一般情况下,网络信息安全可简单的归纳为以下三方面。
1.1 网络服务的可用性
网络服务的可用性是指所有资源在适当的时候可以被授权方访问,防止由于计算机病毒或其它人为因素而造成网络系统的“拒绝服务”,简称DoS,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
加大对网络信息访问的控制,可以有效防止“拒绝服务”的发生。
“防火墙”是近近几年网络安全技术的重要技术之一,它是网络信息通信的咽喉,只有通过安全策略的相关信息才允许通过防火墙,如果网络中加入防火墙,我们的网络环境就会变得相对安全。
然而,网络环境的安全常常是和互联网的灵活性、开放性和便利性相矛盾的。
虽然防火墙的阻断功能在加强内部局域网络安全方面起到积极作用,可是也阻碍了内部网络信息与外界网络信息的有效交流。
1.2 网络信息的保密性
网络信息的保密性是指信息按指定要求不透露给未经授权的个人、实体或过程,或提供其利用的特性。
应用访问控制技术,能有效地防止网络信息资源不被非法使用和访问。
访问控制技术包括入网访问控制、网络权限控制、服务器控制等。
入网访问控制是网络访问的首层访问控制,通过用户身份判断来获取相关网络资源,控制准许用户入网的时间和准许他们入网地点;网络的权限控制通过对不同身份的用户或用户组赋予不同的权限,对不同权限的用户或用户组对信息资源的操作进行有效的限制;网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
1.3 网络信息的'完整性
网络信息的完整性是指所有资源只能由授权方或以授权的方式进行修改,完整性具有三个特殊方面:被授权行为;资源分离和保护;以及错误的检测和纠正。
其目的在于防止信息被未经授权的用户篡改。
由于公用网络的开放性,信息在网络传送过程中会遭遇类似黑客的截取、中断、篡改和伪造等方法的破坏,造成数据的失真、丢失和不可用。
采用加密的手段可以增强重要信息的安全性,即使信息在传输过程中被非法用户攻击,加密后的信息也不易泄漏,加密技术解决了数据的机密性要求,同时也可以用来保护数据完整性。
但也不能过高估计加密的重要性,加密不能解决所有的安全问题。
不当加密可能对安全毫无作用甚至降低整个系统的性能。
2 目前主要网络安全技术
2.1 病毒防护技术
计算机病毒是一种能够在计算机运行过程中实现损坏本机或者传染给其他计算机系统,导致计算机工作异常的一种程序。
比如向计算机系统中侵入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹;或通过窃ting、冒充等方式来破坏系统正常工作。
现在,成熟的反病毒技术已经能够做到对已知病毒的彻底预防和杀除,这主要涉及以下三大技术[1 2]。
1)实时监控技术。
这种技术可为计算机系统构建一道动态、实时的反病毒体系,通过修改系统程序,使其本身具备防范病毒入侵的能力,拒病毒于计算机系统之外。
2)自动解压缩技术。
目前在因特网、光盘以及Windows系统中接触到的大多数文件都以压缩状态存放,以便节省传输时间或节约存放空间,这就使得各类压缩文件成为计算机病毒传播的温床。
3)全平台防范病毒技术。
目前我们常用的操作系统有:Windows XP、Windows 7、Windows serve、LINUX、UNIX等。
为了提高反病毒软件查杀病毒的有效性,做到与系统的底层无缝连接,必须在不同的操作系统上使用相应的杀毒软件。
2.2 防火墙技术
防火墙是介于两或多个网络之间,实现网络访问控制的组件集合体,它的主要功能是过滤。
防火墙甚至可以检查一个包的所有内容,包括数据部分。
从实现原理上分,防火墙的技术大致包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙[3]。
2.2.1 网络级防火墙。
数据包过滤技术是防火墙为系统提供安全保障的主要技术, 它通过设备对进出网络的数据流进行有选择地控制与操作[4]。
包是网络上信息流动的其本单位, 它由数据负载和协议头两个部分组成。
包过滤操作一般都是在选择路由的同时对网络层数据包进行挑选或过滤。
选择是根据系统内设置的过滤逻辑进行的, 被称为访问控制表或规则表。
规则表指定允许哪些类型的数据包可以流入或流出内部网络。
2.2.2 应用级防火墙。
应用级网关可对进出的数据包进行检查,由网关通过复制传送信息,阻断在安全服务器、终端机机与非法的主机间建立直接联系。
应用级网关能够解析应用层上的协议,可以设置复杂的访问控制,能够实现精密的注册和稽核。
它针对数据过滤协议,能够对数据包进行分析并形成相应的分析的报告。
应用级网关对有些不安全登录和控制所有进出的通信的环境进行严密监控,防止有价值的信息或程序被盗取。
2.2.3 电路级网关。
电路级网关主要功能是监控可信的服务器或客户机与不安全的主机间的TCP握手信息,通过这种方法来确定此次会话的合法性,它在会话层上进行数据包过滤,它比网络级防火墙高出二层。
另外它还提供理服务器功能。
这种代理服务指派管理人员批准或拒绝特定的应用程序或一个应用的特定功能。
2.2.4 规则检查防火墙。
该防火墙结合了以上几种防火墙的特点。
其不同之处在于,它并不打破客户机和服务器模式来分析应用层的数据,它允许安全的客户机和非法的主机直接建立连接。
规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
2.3 网络加密技术
加密技术的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。
该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
按加密密钥与解密密钥的对称性,加密技术可分为对称型加密、不对称型加密、不可逆加密。
1)对称型加密:是一种相对传统的加密方法,其原理是使用单一得密钥对数据进行加密和解密。
信息发送方利用用密钥将信息加密,然后通过网络传给信息接收方,接收方再利用同一密钥将信息进行解密。
其特点是计算量比较小、加密效率相对较高,即便传输网络不安全,信息被截取,由于信息进行了加密,信息也是安全的。
然而这种算法应用在分布式系统上比较困难,主要是由于在于分布式的系统中密钥管理很困难,使用比较复杂。
2)不对称型加密:其特点是有两个密钥:一个是公共密钥,一个是私有密钥,公共密钥是公开的,是用来对元数据进行加密的,私有密钥是个人单独拥有的。
要想完成整个加密和解密过程,必须把两者结合起来使用。
在使用这种加密方法的时后我们要注意有效的管理和如何确认公共密钥的真实性、合法性。
3)不可逆加密:其特点是整个加密过程不用密钥,数据一旦被加密将无法解密,只有采用相同的输入数据经过相同的不可逆加密算法才能得到相同的加密数据。
这种加密算法不存在密钥分发和管理的问题,可是它的加密计算工作异常复杂,只适合对数据量较小的情况经行加密。
2.4 入侵检测技术[5]
入侵检测系统是一种安置在受保护网络内部的设备,用来监视网络中发生了什么事情。
可以在攻击的开始、进行过程中或者攻击发生以后对攻击进行检测。
入侵检测可分为如下若干类:
1)基于主机的入侵检测(也称HIDS):将其安装在要保护的服务器上用于保护单台主机不受网络入侵。
它通过检测系统文件、进程记录等信息,帮助系统管理人员记录或发现攻击行为或攻击企图,以便制定相应策略。
HIDS 检测的准确度较高,能够检测到无明显行为特征的攻击,可对各种操作系统进行有针对性的检测,适合用于加密和交换环境,成本低,不受网络环境影响。
主要缺点是它检测时效性较差,占主机资源大,能够检测的攻击类型少,检测效果取决于日志系统制约,并且隐蔽性较差。
2)基于网络的入侵检测(NIDS):主要用于防止对某个网络的攻击,结合防火墙使用,利用原始的网络分组数据包来作为进行攻击分析的数据源,通过网络适配器来实时监控和分析所有通过网络进行传输的通信。
当检测到入侵行为时,入侵检测系统通过报警、中断连接等方式做出回应。
NIDS可对网络上的端口进行扫描、IP欺骗等常见的攻击行为进行监控,在保护多台主机的同时不影响被保护对象的性能,具有很好的隐蔽性,对入侵证据起到保护作用。
缺点是防入侵欺骗能力较差,检测受硬件条件限制较大,不能对加密后的数据进行处理等。
3)分布式入侵检测:其模式是采用分布式智能代理结构,由一个中央智能代理和多个分布在各地网络的地方代理组成。
其中每个地方代理都负责监控网络信息流的某一方面,多个地方代理互相协作、分布检测来共同完成一项监测任务;中央代理负责调控各个地方代理的工作,从整体上完成对网络事件进行综合分析的任务。
3 网络信息安全与安全产品研究现状及发展趋势
网络信息安全是信息安全中的研究重点之一,也是当前信息安全领域中的研究热点。
研究内容包括:网络信息安全的主要技术和解决方案、网络安全产品的研发等。
网络信息安全包括物理安全和逻辑安全。
物理安全指网络信息在通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。
逻辑安全包含信息完整性、保密性、非否认性和可用性等,它是一个涉及网络安全、操作系统、数据库、应用系统、人为因素等方方面面的事情,必须综合考虑。
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网(VPN)、安全服务器、电子签证机构-用户认证产品、入侵-CA和PKI产品、安全管理中心、检测系统(IDS)、安全数据库和安全操作系统。
在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。
目前密码技术与通信技术、计算机技术以及芯片技术的融合正日益紧密,其产品的分界线越来越模糊,彼此也越来越不能分割。
网络安全的解决是一个综合性问题,涉及诸多因素,包括技术、产品和管理等[6]。
网络信息安全问题已成为世界性的问题。
它不但应用于普通的电子商务,而且应用于政府和军方,关系到整个国家的经济安全和国防安全。
信息技术已经成为整个社会经济发展的重要基础,在国计民生占有不可估量的地位;另外,政府主管机构、国防建设对信息技术的安全性、稳定性、可维护性和可发展性提出了越来越迫切的要求,因此,从社会经济发展和国家安全角度来讲,加大发展信息安全技术是我们今后一项长期而艰巨的任务。
窃ting
[1]白硕,网络条件下计算机病毒的防范[J].网络安全技术与应用,2002.
[2]张震国,构建完善的病毒防护体系[J].网络安全技术与应用,2002.
[3]吴海燕、石磊、李清玲,网络信息安全技术综述[J].电脑知识与技术,2005,12:55-57.
[4]刘宏月,访问控制技术研究进展[J].小型微型计算机系统,2004,25(1):56-59.
[5]http://***/1148666.htm.
[6]覃肖云,信息安全技术的研究现状与发展趋势[J].广西医科大学学报,2008,S1:93-94.
【网络信息安全与防范论文】相关文章:
网络信息安全威胁与防范措施论文03-18
网络与信息安全论文12-25
林场局域网络信息安全与防范01-31
个人信息安全风险与防范论文03-22
关于信息安全与网络安全的论文12-01
网络信息安全论文12-25
计算机网络信息安全与防范措施简析论文04-08
医院网络与信息安全探讨论文10-29
网络信息安全控制与评价的论文03-27