网络安全技术对策范例(12篇)
网络安全技术对策范文篇1
【关键词】网络数据库;安全防护策略;网络加密技术
【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0105-01
1网络数据库安全性概述
网络数据库一般采用客户机/服务器(Client/Server)模式。在客户机/服务器结构中,客户机向服务器发出请求,服务器为客户机提供完成这个请求的服务。例如,当某用户查询信息时,客户机将用户的要求转换成一个或多个标准的信息查询请求,通过计算机网络发给服务器,服务器接到客户机的查询请求后,完成相应操作,并将查出的结果通过网络回送给客户机。
对网络数据库系统运行环境的分析,网络数据库系统正常运行的管理包括:硬件组成的网络拓扑结构的管理、网络操作系统及网络数据库系统的管理、日常工作中制度和人的管理。它的安全性问题相应包括三个方面的内容:
(1)运行网络数据库系统的硬件安全性,即物理安全。包括服务器、交换机、网线、电源等设备故障、水灾、火灾等环境事故。
(2)运行网络数据库系统的网络安全性。主要指网络数据库系统自身安全性以及网络数据库所处的网络环境面临的安全风险。如病毒入侵和黑客攻击、网络操作系统及应用系统的安全,主要表现在开发商的后门(Back-door)以系统本身的漏洞上。
(3)运行网络数据库系统的管理安全性。主要包括管理不善、人员操作失误、制度不健全,造成日常管理中出现安全风险。
通过分析网络数据库系统的不安全因素,针对不同因素,给出网络数据库系统安全的主要防范技术和措施。它们是相辅相承的,应统筹考虑,以确保数据的安全。
2网络数据库安全策略
2.1物理安全防护策略
物理安全保证重要数据免受破坏或受到灾难性破坏时及时得到恢复,防止系统信息空间的扩散。在物理安全方面主要采用如下措施:
(1)网络安全设计方案符合国家网络安全方面的规定
(2)建立良好的电磁兼容环境,安装防电磁辐射产品,如辐射干扰机。
(3)产品采购、运输、安装等方面的安全措施。
(4)对重要设备和系统设置备份系统。
(5)网络数据库系统运行的服务器、网络设备、安全设备的防范,主要包括防水火、防静电等。
2.2网络安全防护策略
网络系统是网络数据库应用的基础,网络数据库系统要发挥其强大作用,离不开网络系统的支持。网络系统的安全是网络数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始。
(1)网络数据库系统的安全防护策略。主要表现在对数据的存取控制上,对不同用户设置不同权限,限制一些用户的访问和操作,避免数据丢失或泄露。
(2)防火墙技术。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,目前越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合系统,包括硬件和软件两个部分。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业单位的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙可以是一个分离器、一个限制器、一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙主要功能体现在可以强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄等方面。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类:分组过滤(Packetfiltering)和应用(ApplicationProxy)。
(3)网络防病毒技术。对于复杂的网络环境,系统的错误和漏洞是难以避免的,病毒就是利用这一特点,进行网络攻击或信息窃取,构成对网络安全的巨大威胁,因此必须严防计算机病毒对网络的侵袭。网络防病毒技术包括预防病毒、检测病毒和消除病毒等三个方面。管理上加强对工作站和服务器操作的要求,防止病毒从工作站侵入;技术上可以采取带防毒芯片的网卡,安装网络防病毒软件,配备专用病毒免疫程序来进行预防,采用多重技术,互为补充。
(4)入侵检测(InstrusionDetection)。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,可以说入侵监测系统是防火墙的延续。它们可以和防火墙、路由器配合工作。入侵检测是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码推理等技术和方法。入侵监测系统IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时监控和报警。
(5)网络加密技术。随着网络技术的发展,网络安全也就成为当今网络社会的焦点,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。采用网络加密技术,可实现数据传输入的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
2.3管理安全防护策略
网络和网络数据库系统的使用、维护和安全运行,归根结底都离不开人,所以要时刻加强对操作人员管理与培训。
(1)根据国家、行业等相关标准,结合实际机房、硬件、软件、数据和网络等各个方面的安全问题,制定切实可行的规章制度。
(2)对操作人员进行培训,提高技术水平,对系统进行及时的升级并利用最新的软件工具制定、分配、实施和审核安全策略。
(3)进行安全宣传教育。对操作人员结合实际安全问题进行安全教育,严格执行操作规章,提高操作人员责任心。
(4)加强内部管理,建立审计和跟踪体系,提高信息安全意识。
3结论
保障网络数据库系统安全,不仅涉及应用技术,还包括管理等层面上的问题,是各个防范措施综合应用的结果,是物理安全、网络安全、管理安全等方面的防范策略有效的结合。在具体实施时,应根据实际、因地制宜进行分析和采取相应有效措施保护网络数据库系统乃至整个网络系统的安全。
随着网络数据库系统的发展,对网络数据库系统的攻击方式也不断改变,网络数据库系统的安全和维护工作也要与时俱进、合理升级更新技术、加强网络检测与加密技术,确保网络数据库系统运行安全。
网络安全技术对策范文篇2
计算机技术和互联网业务的发展将人类带入了网络时代,网络技术对人们的工作和生活等各个方面产生影响。计算机网络已应用于军事、旅行、购物、金融、商业等等越来越多的行业。人类对计算机网络的依赖达到空前地步。计算机网络的安全也随之变得异常重要。计算机网络遭受攻击或瘫痪将带来系类的经济和社会问题。因此,对计算机网络安全及其防护策略进行研究对维护社会稳定具有重要意义。
一、计算机通信网络安全概述
(一)计算机网络安全概念
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护,包括数据的泄露、更改、破坏或被非系统辨认控制等。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。
网络安全具有保密性、完整性、可用性、可控性和可审查性等五个特征:保密性指信息不泄露给非授权用户、实体或过程,或供其利用的特性;完整性指数据未经授权不能进行改变的特性,也即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性指可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息;可控性指对信息的传播及内容具有控制能力;可审查性指出现的安全问题时提供依据与手段
(二)网络安全现状
前文提及随着人类对计算机网络的依赖增强,网络安全维护成为迫在眉睫的问题。网络安全将影响到经济的发展和社会的稳定。目前,发达国家都加大了网络完全的防范和治理工作,而我国面对的网络安全问题也十分严峻:
1.信息安全意识淡薄
我国的计算机网络安全防护意识淡薄,对网络安全知识也十分有限。有的个人或企业认为花重金进行网络安全防护没必要;要不认为装个防火墙或杀毒软件就能保障网络安全。总体而言,我国的网络安全意识才起,缺乏系统的网络安全管理措施。
2.基础信息产业
从计算机硬件和软件方面来看,我国计算机制造业虽很发达。但缺乏创新和具有知识产权产品,核心件、核心技术等严重依赖国外。
3.人才培养
网络安全需要经过专业的培训和学习,对人才的专业素质等要求更高。总体而言,我国网络安全工作起步较晚,对专业人才的培养不能满足对信息安全人才的需求。
二、影响计算机通信网络安全的因素分析
计算机通信网络信息的安全涉及到计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论信息论等多种学科。它主要是指保护网络系统的硬件、软件及其系统中的数据,使之不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。具体而言影响网络安全的因素包括:自然威胁、网络攻击、计算机病毒、软件漏洞和管理缺乏等方面。
(一)自然威胁
自然灾害如地震、风暴、洪水以及温度、湿度、震动等都会对计算机网络安全产生影响。
(二)网络攻击
计算机网络安全不仅受到自然环境的影响,还有来自于人祸”。网络攻击构成影响网络安全最主要的方面。网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞
实施攻击。具体包括:借助系统命令进行攻击,通过IP欺骗”发起攻击、破解密码攻击”、拒绝服务”欺骗式攻击和通过系统应用层攻击”等方面。
(三)计算机病毒
计算机病毒是段可执行程序,通过像生物性病毒一样在文件之间复制和传递,影响网络安全。因其具有一定的传染性和潜伏性,轻则影响机器运转速度,重则使用户机器瘫痪,给用户带来不可估量之损失。
(四)软件漏洞
常用的操作系统、TCP/IP及其许多相关的协议在设计时为了方便使用、开发或对资源共享及远程控制,存在后门”,这就存在安全漏洞或错误。如果没有对安全等级鉴别或采取防护措施,攻击者可直接进入网络系统,破坏或窃取信息,危机网络系统安全。
(五)管理缺乏
计算机网络系统硬件和软件再完备,倘若缺乏必要的网络通信完全管理,一方面不能协调配合发挥物理性资源优势;另一方面不能做好安全防范规划,当网络攻击等威胁来临时不能及时应对。
三、计算机通信网络的防护方法
针对计算机网络系统存在的威胁,从硬件策略、软件策略和管理策略等三个方面进行:
(一)硬件策略
硬件系统是构成计算机网络最基本的物质。要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:计算机系统环境应严格执行包括温度、湿度、振动、电气干扰等标准;建设机房应选取外部环境安全可靠,抗电磁干扰、避免强振动源的环境;建立机房安全防护制度,针对物理性灾害和防止未授权个人或团体破坏、篡改或盗窃网络设施等对策。
(二)软件策略
软件策略主要保护计算机网络数据传输的有效性,保障数据的安全性、完整性等。具体包括反病毒技术、防火墙技术、加密技术、虚拟专有网络技术和入侵检测防卫技术等几方面:
1.反病毒技术
病毒具有传播性和潜伏性等特点,造成计算机变慢,甚至是瘫痪,进而带来数据丢失等危害。病毒防范技术是过对网络上流通的数据、计算机内的文件、内存和磁盘进行扫描,发现病毒并清除的技术。现在世界上成熟的反病毒技术已经完全可以作到对所有的已知病毒彻底预防、彻底杀除,主要涉及实施监视技术、自动解压缩技术和全平台反病毒技术等。
2.防火墙技术
防火墙是一个或一组实施访问控制策略的系统,在内部局域网与Internet之间的形成的一道安全保护屏障,防止非法用户访问内部网络上的资源和非法向外传递内部消息,同时也防止这类非法和恶意的网络行为导致内部网络受破坏。防火墙可能是软件,也可能是硬件或两者都有。根据防火墙应用在网络中的层次不同进行划分,可分为:网络层防火墙、应用层防火墙、复合型防火墙,它们之间各有所长,具体使用哪一种,要看网络的具体需要。
3.加密技术
加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用,深受广大用户的喜爱。
4.虚拟专有网络
虚拟专有网络是在公共通信网络上建立专用网络,数据在公共通信网络上构建,包括路由过滤技术和隧道技术。
5.入侵检测和主动防卫技术
入侵检测是对入侵行为的发觉,主要通过关键点信息收集和分析,发现网络中违反安全策略和被攻击的迹象。而入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测系统可分为事件产生器、事件分析器、响应单元和事件数据库等四个方面。
(三)管理策略
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
网络安全技术对策范文篇3
1网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2网络安全技术介绍
2.1安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3企业网络安全管理系统架构设计
3.1系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3系统架构特点
3.3.1统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
网络安全技术对策范文篇4
关键词:中小学网络安全
在自然资源相对短缺,设备、技术力量相对薄弱的情况下,信息的滞后也是影响中小学发展的一个主要因素。所以,中小学对计算机网络的需求已迫在眉睫。虽然存在着经济等各方面条件的制约,但是信息网络的建立能够促进中小学的发展,为中小学新产品的开发提供大量信息,提高中小学教职员工的知识水平和技术能力,丰富职工生活。
办公自动化的应用,可以极大地提高工作效率,减少重复劳动的工作量,节约一定的资金;产品和技术开发的现代化应用,可以极大地提高技术研发的速度和竞争能力;网络资源的共享,可以为中小学的生产、技术、继续教育学习提供丰富的资源。中小学的发展离不开这些业务的需求。网络建设目的是为了创造更多的效益和利润,相反,网络的不安全因素可能造成中小学机密的泄漏,网络系统受到破坏,数据文件遭到破坏等都会给中小学造成不同程度的损失。所以,必须把网络建设的需求和网络安全的需求摆在相同的位置。
1.解决中小学网络安全的整体措施
为了确保网络安全,应建立中小学网络安全管理规章制度,组织现有中小学的安全管理技术人员和网络安全管理人员,成立“安全管理监督机构”,负责审核“网络安全管理制度”、“网络安全检查制度”、“网络安全审计制度”和“安全日志登记制度”。在制度的保障下,实施以下安全措施。
(1)制定“分级安全策略”,即分层次制定安全实施策略,划分安全项目,细分安全存在的隐患,制定相应的解决对策,确定安全等级,建立安全检查表或安全检查数据库。基本表结构如表1.1所示。有条件的情况下成立安全小组,采用分工负责制。
(2)策略审核。对“分级安全策略”进一步采取实验进行验证,在初次系统安装和网络集成过程中,以审核的安全策略为标准,检测系统的安全性。在网络运行过程中,对发现的新的安全问题及时作出响应。了解网络技术动态和Internet上关于网络安全的最新报道,依据所获得的有关新的安全报道和安全实施策略,进一步鉴别并作出响应措施。针对每一个安全响应,及时更新和完善安全策略,为后续网络检测提供新的措施和方法。
(3)安全监控。利用现有和最新安全检测技术,如网络扫描、流量监控等,通过扫描报告或流量记录分析判断网络是否正常,及时发现网络存在的入侵或安全漏洞。安全扫描是网络安全防御中的一项重要技术,其原理是采用仿真黑客入侵的手法测试系统上有没有安全上的漏洞,对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告。
扫描器基本上包含以下三种类型:
端口扫描工具,如端口扫描器NMAP等,它不仅能检测操作系统类型,也支持隐藏性扫描。但不能检测漏洞。漏洞扫描工具,如web脆弱性扫描器Whisker2.0版。该工具检测己知的基于web技术的安全漏洞,如CGI、ASP等。新版本包括内置的SSL支持,易用性更强。
中小学级的分布式安全检测评估系统,如CCNNSScanner,能从浏览器直接提交申请,实现多扫描用户权限管理。最终得出的安全报告能协助系统管理员了解系统上的安全漏洞和如何去修补这些漏洞,并能提供本地下载的升级程序补丁。
(4)安全响应。针对发现的问题,分析和检查原因,找出解决的办法,及时作出安全响应。设计一系列安全响应的常规措施、办法和紧急处理办法,处理一般问题应保证网络的正常运行,对于造成较大或重大损失的安全问题,可采取切断与Internet连接的特殊手段。安全响应的速度要快,办法必须有利,措施必须得当。
(5)安全日志登记。安全日志登记是网络安全管理基本手段,定期(不超过一天)登记安全检查记录,对出现的不安全因素应及时登记,为后续的安全工作提供方便。
(6)跟踪最新网络安全技术。充分利用Internet网络技术资源,及时了解网络技术发展动态,特别是国家和权威网站提供的网络安全资料和技术解决方案,补充和完善网络自己的安全策略。为中小学用户提供安全通告和技术支持。如下列网站可提供相关的网络资料。
国家计算机病毒应急处理中心:省略.cn/
国家计算机网络入侵防范中心:省略.省略
瑞星反病毒咨询网:省略
(7)动态完善安全策略。完善安全策略是网络安全检测的一部分工作。根据新的安全问题和Internet最新安全信息,及时更新和完善网络安全策略,利用新的安全策略实施新的网络安全检测,采用更新完善策略―网络检测―再更新完善―再检测的动态安全检测机制。
2.安全防范方案设计
根据网络安全防范体系的基本原则,综合层出不穷的安全问题,我们设计了中小学网络安全动态实施流程,如图2所示。
本方案的核心是网络安全技术人员,即坚持以人为本的策略。对于网络安全设备性能相对弱的网络系统,实施这种多层次、多方位、动态的网络安全实施策略,能够使网络安全达到最优化。
在当前网络安全技术人员短缺的情况下,要保证中小学网络安全健康发展,必须注重安全意识。安全的核心在于人,中小学必须培养自己的安全技术人员,把安全的投资作为中小学网络建设投资的一部分是中小学网络安全的基础。
网络发展建设迫在眉睫,网络建设随后带来的安全性问题就成为一个艰巨而又长期的问题。而在目前网络管理安全技术人员短缺、安全意识相对淡薄的情况下,中小学要能够在网络建设初期或正在建设过程中尽早使教员工建立起网络安全意识,了解网络安全存在的威胁,就必须选拔和培养自己的技术人才。新的技术人员能够了解和掌握基本安全防范措施,制定适合本单位网络安全的安全实施计划,最大限度地避免和减少网络威胁给本单位带来的不必要的损失。本课题研究的目的和意义就是:在以上这些方面,为中小学网络建设及网络安全管理提供参考指导和帮助,同时,在一些安全技术上,给出分析和经过具体实践的解决方案。
随着计算机技术和网络技术的不断发展,网络安全的技术会不断提高,但是,网络的应用范围会更加广阔,网络入侵的途径也会增多,网络安全也会不断出现新的问题,作为在网络安全上负有一定责任的人,需要站在技术的制高点来面对一切入侵和挑战,才可能永不言败。
参考文献:
[1]朱新生,张杨.网上考试系统的研究和开发[J].辽宁大学学报:自然科学版,2007,34,(3):229-232.
[2]刘必雄.多校区高校学生管理系统设汁方案研究[J].福建电脑,2006,(8):68-159.
[3]段建详,蔡腾跃.IP网络安全若干技术研究及其应用.现代电信科技,2003.8.
[4]高正宪,李中学.Web环境下基于角色的访问控制策略及实现.计算机工程,2004.4.
[5]陈钟.信息与网络安全.北京大学信息学院.电子教材,2004.
网络安全技术对策范文篇5
信息技术的逐渐普及为企业日常业务发展搭建了一个广阔平台。在其给企业带来便利条件的同时,也给企业发展带来了巨大挑战,网络病毒多样化、黑客公开化等问题的出现便是一个有力佐证。虽然多数企业已经意识到网络系统安全的重要性,但是受到企业成本约束,网络环境变化迅速、企业管理制度有待完善、网络系统安全管理人员综合素质参差不齐等因素的影响,部分企业网络安全与现实要求存在较大差距。本文就某企业信息网络安全系统进行了分析,并对研究过程中设计的概念及关键技术进行了探讨分析,以便对企业信息网络安全系统加以完善。
1信息网络安全策略
信息系统安全策略,是为了确保系统安全运行,所采取的以先进技术为支撑的常见信息网络安全技术手段。就现阶段所采取的信息网络安全策略而言,主要包括文档加密、安全操作系统升级、采取先进的信息网络安全技术、强化安全管理等措施。
2信息网络安全技术
信息网络安全技术包括防火墙、病毒技术、密码技术等,而在网络安全技术的实际应用过程中多是通过合理配置多项技术来强化信息网路的良好运行。
2.1防火墙技术
该项技术是进阶段逐渐发展起来的一项技术,通过对网络拓扑结构与服务类型上的隔离来加强网络安全,形成一道安全屏障,阻止非法访问,确保内网数据安全。而就防火墙的关键控制措施而言,主要由过滤包、应用网关、服务等组成。从防火墙的功能技术经济合理性分析,其管理方式安全性较高、较为经济合理。就其具体的功能作用而言,首先是对内部网络进行划分,隔离关键网段,限制不符合规则的数据包通过,以避免因局部网络出现问题而使整个网络受到影响,降低了内部网络安全风险;其次,防火墙能够在日常的隔离过滤过程中形成访问日志,并形成自己的统计数据,在出现可疑情况时,其能做出快速响应,为网络是否受到检测与攻击提供详细的数据支持,从而为管理员合理分配网络资源提供决策依据。
2.2VPN技术
VPN(virtualPrivateNetwork,虚拟专用网)也是一种较为新颖的网络技术,以公共网络为媒介,通过对内部局域网的扩展,将分步在不同位置的网络构建成一个虚拟专用网。这种连接方式能够完成远程客户和企业内网临时虚拟连接,为远程用户以及企业分机构提供安全连接,在保障安全运输的同时,降低关于局域网与远程网络连接费用。对于VPN技术而言,通过运用防火墙、数据加密以及身份验证等技术,实现数据传输效率的大幅提升,并并确保数据传输安全。
2.3其他几项信息网络安全技术
就常用的信息网络安全技术而言,除了防火墙技术与VPN技术之外,还包括以下几种技术:防病毒技术、密码技术、入侵检测技术、身份认证技术以及安全漏洞检测技术等。(1)防病毒技术。从技术层面而言,多是从预防、检测、杀毒、免疫等四个不同技术角度对系统加以维护。(2)密码技术。数据加密是网络安全的基础手段,通过改变所传输内容加密钢的方式,实现在没有密钢的条件下对信息内容解析。(3)入侵检测技术。入侵检测系统(IntrusionDetectionSystem)简称IDS。该技术是一种自动监测信息保护防护技术,分别以主机型、网络型和混合型的形式,分析信息源的收集方式。(4)身份认证技术。该项技术分为身份识别和身份认证两个部分。其技术的难点在于身份认证环节。在这一过程中,系统需要准确对用户加以辨别,而用户也要准确向系统表明身份。(5)安全漏洞检测技术。安全漏洞检测技术按照定义的策略扫描系统,对系统网络服务所存在的漏洞进行扫描,对其进行详细的数据分析之后,形成漏洞报告,并及时想系统管理员反馈信息,由系统管理员根据漏洞报告提供有针对性的修补方案,进而以软件升级、关闭软件等形式确保系统免受攻击。
3企业信息网络安全技术框架
从实际运行需求而言,为确保网络系统中软硬件和有关数据受到良好保护,企业就应该加强关于信息网络安全管理,对系统所处物理环境进行分析,明确其安全现状之后,对企业信息网络安全系统框架加以调整,并根据安全系统子模块和相应功能重新划分。但是,值得一提的是,在对其调整之前,首先应明确调整框架的原则,即高性能和稳定性、扩展性、经济和时效性、安全性和保密性、标准化和开放性。在遵循了这五项原则之后,对其信息网络安全系统框架设计加以调整。现从信息网络安全系统的安全管理部分和安全技术部分两个方面进行阐述:
3.1安全管理部分
安全管理部分包含组织机构、人员管理、策略管理和运营管理等四个功能不一的子模块:(1)组织机构:建立一套满足企业信息网络系统安全需求的组织机构,确保组织的正常、有序运作,为信息网络安全系统的安全运行提供组织保障;(2)人员管理:在这一模块,对信息网络安全系统涉及的管理人员进行系统管理,提升他们的安全管理意识与业务能力,确保各项工作有序开展。(3)安全策略:就本模块而言,其目的是从宏观层面建立一套信息网络安全制度,从政策层面指导各项工作的有序开展,就具体的制度内容而言主要包括安全管理体制与安全管理制度两个方面。(4)运营管理:在该模块操作过程中,从微观层面出发,将各项制度落实到每一个环节中去,与安全管理策略相互配合,确保系统安全运营。
3.2安全技术部分
就安全技术部分而言,是从业务的角度出发,由漏洞管理、安全控制、响应管理、风险管理和资产管理四个模块组成,每一个模块都有不同的功能,而每一个子模块都由不同功能模块组合而成。就具体的组成模块而言:(1)漏洞管理包括入侵检测、漏洞扫描、网络监控及安全审计。(2)安全控制包括防病毒、防火墙、反垃圾邮件和防拒绝访问。(3)响应管理包括管理平台、产品响应和人工响应。(4)风险管理包括风险识别、风险监控、风险控制、风险避免、风险转移和风险评估。(5)资产管理包括物理环境、网络设备、服务器、主机系统、用户终端和应用系统。
4企业安全需求分析
在笔者对企业的信息网络安全系统分析之后,结合其安全信息现状,对其安全需求进行了归纳总结。认为其在网络安全实际建设过程中,需做出以下调整:(1)重构安全技术与安全控制架构;(2)重新划分安全区域;(3)配置网络威胁检测;(4)配置集中认证审计系统;(5)升级改造VPN系统和防火墙系统。
5企业信息网络安全系统部署思路
企业将其内部网络连接至Internet网络时,其网络安全问题自然会成为企业所关注的焦点问题。为保障企业内部网络安全,在避免企业内部用户提供非法网络服务同时,预防外界网络攻击,企业应当采取相应的安全措施防止外界对机构网络资源的非法利用。为此,企业需对网络结构加以优化,并且注重安全设备部署,有针对性制定控制策略。因此,对企业信息网络安全系统部署,需要从多个方面综合考虑,采取防病毒技术、密码技术、入侵检测技术、身份认证技术以及安全漏洞检测技术等综合技术手段确保信息网络安全系统的正常运行。
6结语
本文在介绍了信息网络安全的关键应用技术之后,就某企业信息网络安全技术框架的构建进行了探讨分析,并提出了相应的信息网络安全系统部署思路。为此,在今后的信息网络安全系统运行维护过程中,应从企业实际情况出发,明确其安全系统现状与安全需求,并充分结合相关理论与应用技术,优化信息网络安全管理系统,实现对其设计与部署的优化,确保企业信息网络系统安全稳定运行,为企业经营、管理以及业务不断发展壮大提供不竭动力。
引用:
[1]姚汝,肖尧.网络安全技术在校园网中的应用研究[J].网络安全技术与应用,2014.
[2]王蔚苹.网络安全技术在某企业网中应用研究[D].电子科技大学,2010.
[3]王柳人.计算机信息管理技术在网络安全应用中的研究[J].网络安全技术与应用,2014.
[4]杨曙光.计算机信息管理技术在网络安全中的应用[J].网络安全技术与应用,2015.
网络安全技术对策范文1篇6
关键词安全隐患;网络安全;防火墙;防病毒;入侵检测;安全评估
Abstract:byanalyzingtheinformationnetworksecuritymanagementarepotentialsafetyproblems,andputforwardthenetworksecuritymanagementandvarioustechnicalmeasures,securitynetworkandinformationsecurity.Networksecurityisadynamic,overallsystemengineering,willfromtheinformationnetworksecuritymanagement,theproblemsofnetworkinformationsecuritycompanyinreferencetotheapplication,andbyestablishingasoundmanagementsystemanduseofvarioustechnology,comprehensiveimprovecomputernetworkinformationsafetyoverallsolutionsarediscussed.
Keywordssecurityhiddendanger;Networksecurity;Firewall;Thevirus;Intrusiondetection;Safetyassessment
中图分类号:TU714文献标识码:A文章编号:
随着网络安全技术的不断发展,网络恶意攻击者的技术也在不断的改进和创新。网络信息安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、灾难恢复等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。以前简单的网络边界安全解决方案,已经不能从整体上解决企业网络安全隐患,因此在公司单位制定一套合理的整体网络安全规划,显得尤为重要。
一、信息网络安全管理存在的安全隐患
(1)外部非法接入。包括客户、访客、合作商、合作伙伴等在不经过部门信息中心允许情况下与公司网络的连接,而这些电脑在很多时候是游离于企业安全体系的有效管理之外的。
(2)局域网病毒、恶意软件的泛滥。公司内部员工对电脑的了解甚少,没有良好的防范意识,造成病毒、恶意软件在局域网内广泛传播以至于影响到正常的日常办公。
(3)资产管理失控。网络中终端用户随意增减调换,每个终端硬件配备(硬盘、内存等)肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载,各种外设无节制使用。
(4)网络资源滥用。IP地址滥用,流量滥用,甚至工作时间聊天、游戏、疯狂下载等行为影响工作效率,影响网络的正常使用。
(5)内部非法外联。内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网等,或违反规定将专网专用计算机带出网络进入其它网络。
(6)重要信息泄密。因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄漏或毁灭,造成不可弥补的重大企业损失。
(7)补丁管理混乱。终端用户不了解系统补丁的状态,不能及时打补丁,也没有办法统一进行补丁的下载、分析、测试和分发,从而为蠕虫与黑客入侵保留了通道。
(8)“灰色网络”的存在。即单位信息网络管理人员对自己所拥有的网络不是太了解,不能识别可能被利用的已知弱点,选择合适的网络安全设备并及时保证设备的策略符合性;工作中疏忽大意等造成对网络的影响。
(9)没有建立完善的管理体系。配置再完善的防火墙、功能再强大的入侵检测系统、结构再复杂的系统密码等也挡不住内部人员从网管背后的一瞥。在公司各单位存在信息网络安全管理制度不明确合理、宣传不力、管理不善等现象,造成执行者执行手段匮乏或执行艰难。
二、网络安全管理应对措施探讨
对严峻的网络安全形势,如何保证网络安全并有效防止入侵事件的发生,成为摆在每个网络管理人员面前的难题。
(1)根据需求部署安全产品。首先要部署防火墙。它是执行安全策略的主要手段。其次,可以考虑IDS(入侵检测系统),以便对发生在防火墙后面的违规行为进行检测,做出反应。其他的比如防病毒软件、VPN产品、IPS等,对企业网络的安全防护也都起着重要的作用。
(2)制定完整的安全策略。安全策略是制定所有安全决策的基础,一个完整的安全策略会帮助企业网络使用者校正一些日常但有威胁性的纰漏,并使之在保护网络安全时做出一定的决定。强制执行的安全策略提供贯彻组织机构的连续性;当对攻击行为做出响应时,安全策略是首先考虑的资源;安全策略可以变动,也可以根据需要随时更新;当安全策略变化时,要让所有员工知道其重要性并遵守。
(3)制定完善的日志策略。日志是网络管理员调查网络入侵行为的必要工具,可以报告网络异常,跟踪入侵者的踪迹,因此制定一个完善的日志策略对企业网络安全很重要。
(4)进行定期的安全评估。相应的安全策略制定完成并实施后,就应当对企业网络进行定期的安全评估。可以定期的请第三方网络安全公司进行网络安全咨询,找出漏洞、分析漏洞及时降低风险。
(5)建立有效的应急响应机制。要拟定一份紧急事件应变措施,以便在事情发生、安全体系失效时发挥作用。应急措施应说明:紧急事件发生时报告给谁?谁负责回应?谁做决策?应急措施的制定要本着“企业损失最小化”的原则,体现出在业务中断时间尽量短、数据丢失尽量少、网络恢复尽量快等方面。
三、采取多种技术措施,保障网络与信息安全
(1)防火墙技术。安装防火墙,实现局域网与互联网的逻辑隔离。通过包过滤技术实现允许或阻止访问与被访问的对象,对通过内容过滤保护网络用户合法有效地使用各种网络对象;通过NAT技术实现动态地址转换,使受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址,这不仅可以对外屏蔽内部网络结构和IP地址,也可以保护内部网络的安全。
(2)入侵检测系统检测的主要方法。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。静态配置分析:通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏;异常性检测方法:是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法;基于行为的检测方法:通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。
(3)防病毒方面。应用防病毒技术,建立全面的网络防病毒体系;在核心机房和部分二级单位选择部署诸如Symantec等防病毒服务器,按照分级方式,从总部、地区、下属单位逐级安装病毒服务器,实行服务器到终端机强制管理方式,实现逐级升级病毒定义文件,制定定期病毒库升级与扫描策略,建立系统运行维护和公司防病毒技术支持相关人员,为公司员工使用的计算机终端加强了防病毒与查杀病毒的能力。
(4)桌面安全管理系统。桌面安全管理系统可以从技术层面帮助管理人员处理好繁杂的客户端问题。其目标是要建立全面可靠的桌面安全防护体系,管理和保护桌面软件系统,为各应用系统创造稳定、可靠和安全的终端使用环境,有力支撑企业的业务和信息化发展,确保信息安全。
(5)网络安全评估。建议每年定期请专业的安全咨询公司对企业内部的网络安全、关键服务器群、物理安全等方面做整体的安全体系的评估与安全加固,并提出一系列应对策略和应急方案,及时发现存在的各类威胁并进行有效整改,提高网络的安全级别。网络安全评估是建立安全防护体系的前提工作,是信息安全工作的基础和重点。
(6)操作系统安全策略管理。由企业相关技术部门制定出一套操作系统安全管理策略配置说明书,详细讲解对操作系统安全策略的配置和管理,包括帐户密码策略、帐户锁定策略、审核策略、目录共享策略、屏保策略、补丁分发策略等,对客户端操作系统的安全性进行必要的设置,使其能够关闭不必要的服务和端口、避免弱口令、删除默认共享、及时更新系统补丁等,消除操作系统级的安全风险。
(7)信息的安全存储与安全传输。信息的存储安全是各业务系统的重点,信息的安全传输是机密信息交换的保证。对于数据存储量较大的应用系统,可合理地选择存储架构,如采用存储区域网(storageareanetwork,SAN),实现最大限度的数据共享和可管理性;采用RAID技术,合理的冗余硬件来保证存储介质内数据的可靠性;采用合理的备份策略,如定期完全备份、实时增量备份、异地容灾备份、多介质备份等来保证信息的可用性、可靠性、可管理性、可恢复性;制定和实施严密的数据使用权限;针对机密信息的网上传输、数据交换采取加密后传输。
(8)安全管理。网络信息安全是一项复杂的系统工程,安全技术和安全设备的应用可起到一定的作用。建立和完善各种安全使用、管理制度,明确安全职责;建立如突发事件的应对预案;加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患;建设一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。
(9)应用网络信息安全管理技术正确面对网络信息安全漏洞。目前,市场上各类网络管理设备(网络交换机、防火墙、入侵检测/防护系统、防病毒系统等)从技术角度来讲都已经成熟,我们只要选择知名品牌的信得过产品,对其进行合理的利用,对保障企业的网络信息安全能够起到积极作用。
五、结束语
建立完善的安全制度和安全响应方案,尽快建立起有效的信息安全防护体系,管理员加强自身学习和责任感,并不断加强和培养员工的安全意识,让公司每一位员工在意识和行动上都成为安全的“卫士”。只有这样,我们才能共同保障好企业的信息网络安全。通过网络软件与硬件产品的结合,正确合理地使用各种安全策略和实施手段,相信会建立一套全面、安全、易于使用管理的配套设施,将网络信息安全隐患减至最小。只有这样,才能确保公司的网络信息畅通、信息安全,才能实现公司信息化建设更好的服务公司的生产经营。
参考文献:
网络安全技术对策范文
【关键词】网络安全管理技术措施
现在的网络安全环境比较复杂,通常情况下的安全体系都是由独立的安全产品组成,这在管理上很不方便,同时又对整体的安全性能没有足够的了解,从而很难正确的判断并维护安全防护措施。在遇到较复杂的网络攻击时,由于系统的协调性能不足经常造成系统瘫痪,迫切需要一种智能的安全管理方案来解决这一问题[1]。
一、影响网络安全的因素
(1)网络系统因素。由于网络系统处于一个监管乏力的状态,没有相应的专业人员进行管理。通过一条网线或者无线连接,每个用户都可以在互联网上没有约束的活动,所以个人信息或者企业信息可能在不经意间就暴露给别人,这样就造成了信息的泄漏。另外网络系统本身存在着许多漏洞,这些漏洞在被拥有相关技术的人员利用之后,可以对别人的信息以及网络使用上造成一定的损害。(2)病毒、木马以及黑客攻击。通过病毒、木马和黑客攻击很容易使本就脆弱的安全系统受到毁灭性的打击从而使更多的信息暴露在互联网上,信息技术本身就是防御与攻击并存,所以在信息技术的发展上不可能只发展防御技术,这样就为黑客提供了便利条件[2]。(3)用户原因。由于用户本身缺乏网络安全意识,对私人信息或者重要信息的保护不够,或者对加密信息的泄漏造成别人轻易进入系统,对信息安全造成破坏。
二、常见网络安全问题
(1)网络物理层安全隐患。通过对网络物理层实施电磁干扰、通讯线路破坏以及对物理设备进行监听可以窃取网络上传播的信息。这里不仅可以针对传输线路,甚至还包括交换机、路由器以及网络终端等[3]。(2)网络层安全隐患。在对计算机进行安全配置过程中,可能由于疏忽造成安全策略等级不够,或者网络设备在启用时安全策略设置等级过低都可能对网络安全造成影响,埋下隐患。(3)操作系统安全隐患。操作系统是一个底层软件系统,负责协调软硬件的合理运行,但只要是软件就会存在漏洞,这个漏洞是不可避免的,只是有没有人发现而已。比如说近阶段微软宣布停止对windowsXP系统的补丁更新,就意味着以后windowsXP系统再被发现的漏洞都极有可能成为黑客攻击的目标。(4)网络数据安全隐患。在网络数据传输过程中,有很多都是通过明文传输,这就增加了数据被窃取的风险。还有一部分简单加密的数据同样也只是起心理安慰作用罢了,在真正的黑客面前这样的加密简直是“纸糊的防御系统”。另外IP欺骗技术也不是什么复杂的技术,通过IP欺骗非常容易截取数据。
三、网络安全管理技术
(1)策略模型。制定正确的策略模型是网络安全管理系统最基本的步骤,这可以直接影响安全系统的实用性。通过安全策略可以描述安全模块的结构和信息,并通过一定的方案实施,在信息传递过程中进行解析和后续安排,这就有效的方便了系统各个模块的协调工作。(2)策略表示。策略表示与策略模型不同之处就是在策略表示中会对安全策略进行详细描述,其中涵盖的信息更加吩咐。这里可以采用的描述语言包括以下三种:RDL语言、SPL语言和Ponder语言。(3)策略机制。在设计与实现策略机制时进行相应的分析是重中之重,这里对目标一致性以及防止冗余有重要的作用,从而提高安全策略的实用性。同时可以解决策略冲突问题,一般包括形式冲突、应用冲突和服务冲突;采用的解决方法包括手动解除和静态解除,两种方法都是由系统进行判断,但是区别在于后一种方法采用的是系统直接解除,不需要人工干预。还有一种特殊的解除方法是根据系统的优先级,设置安全策略的优先级为最高,如果发生与安全策略冲突的情况,直接解除当前情况,执行系统最高安全级。
四、总结
通过以上分析,网络安全管理最基本的是用户要有足够的网络安全意识,只有这样才能保证不会由于基础信息泄漏而产生网络安全隐患。其次就是加强网络安全管理系统的建设,通过技术与软硬件相结合的方式增加服务器的处理能力,同时对相应的安全管理软件和硬件正确的使用可以应对更多的攻击形式,这样才能有效管理网络安全,为用户提供高质量的安全服务。
参考文献
[1]马琳茹,陈汉章,杨承侠.基于组建技术的网络安全管理架构研究[J].信息安全与通信保密,2010(04)
网络安全技术对策范文篇8
关键词:网络;安全管理;技术
随着科学技术的迅猛发展,网络信息技术的全球化运转,网络信息技术已经深入了各行各业的运营管理发展中。网络信息技术具有快速、准确、系统等多方面的信息传递优势,运用网络信息技术进行企业经营管理,直接影响了整个企业的经济效益和经营管理效率。但是,随着企业管理网络的不断扩大和衍生,网络安全管理难度系数越来越大,经常会因为各种网络安全问题导致企业网络瘫痪,企业一旦遭遇网络瘫痪的症状,会对企业的经营管理造成极大的影响,直接损坏了企业的经济效益[1]。因此,各企业运营中越来越重视其网络安全管理工作,本文重点分析了网络安全管理技术问题,并提出了解决方案。
1网络安全管理主要解决的问题
网路安全管理对企业网络系统的正常运营具有重大意义,其安全管理工作包括防火墙的设置、网络密码加密、电子服务器认证系统以及病毒防控等内容,在安全管理工作当中一旦忽略了当中某一个安全管理环节,会导致网络安全出现漏洞,严重影响整个网络系统的正常运营工。因此,如何保证网络安全管理工作备受业界关注。目前网络安全管理工作需要解决的主要问题包括:
⑴进行严密的安全监控是网络安全管理工作的一个重要部分。通过安全监控工作企业可以及时了解企业内部网络的安全状况,一旦出现问题,可以及时发现并采取相应的措施进行监控。
⑵对企业网络进行补丁管理的配置,在网络安全监控工作中一旦出现企业安全漏洞,可以通过补丁快速进行修复,这样一方面可以大大提高网络系统安全防御能力,同时又能较好的控制企业用户的授权问题。
⑶对企业网络进行集中策略的管理,通过以网络系统为主单位,建议一个自上而下的安全管理策略,将安全管理策略融入到企业网络系统的不同执行点当中,对网络安全管理工作具有重要意义。
2网络安全管理的核心要素
网络安全管理的主要包括安全策略、安全配置以及安全事件等元素,其具体内容包括以下几个方面:
2.1安全策略
在网络安全管理技术当中实施安全策略是网络安全的首要因素。通过网络安全管理策略的制定,可以明确网络安全系统建立的理论原因,明确网络安全管理的具体内容以及可以得到什么样的保护。通过安全策略对网络管理规定的安全原则,来定义网络安全管理的对象、安全管理方法以及网络安全状态。另外安全策略指定的过程中要遵守安全管理工作的一致性,避免系统内部安全管理工作当中出现冲突和矛盾,否则容易造成网络安全管理工作的失控[2]。
2.2安全配置
网络安全配置是指构建网络安全系统的各种设置、网络系统管理的安全选项、安全策略以及安全规则等配置,对网络安全管理具有重要意义。一般情况下,网络安全管理配置主要包括网络运营系统中的防火墙设置、网络数据库系统、操作系统等安全设置,在实际运营过程当中要对网络安全配置进行严格的控制和管理,禁止任何人对网络安全配置进行更改操作。
2.3安全事件
网络安全事件主要是指影响网络安全以及整个计算机系统的恶意行为。主要包括计算机网络遭到恶意攻击和非法侵入,网络遭遇恶意攻击和非法入侵会导致企业利用网络进行的商业活动被迫终止,程序停止运营,极大程度上影响了企业网络安全管理工作[3]。破坏网络安全的恶意行为通常表现为,利用木马病毒的入侵复制、盗窃企业内部资料和信息;组织企业利用网络进行的商业活动;终止企业运营过程中需要用到的网络资源;监控企业的实际运营管理工作,这给企业正常经营管理工作带来极大的影响。
3网络安全管理发展趋势
现阶段网络安全管理技术还比较单调,尚未形成一个系统的安全管理机制,在实际管理工作当中还存在许多不足。随着网络技术的不断发展和进步,网络安全管理技术也将得到快速发展,网络安全管理体系将对安全软件以及安全设备进行集中化管理,通过对网络安全的全面监控,切实保障网络安全的可靠性,及时发现运营过程中存在的网络安全隐患;同时,网络安全管理技术将实现系统动态反应以及应急处理中心,实现对突发网络安全事件进行有效预案处理;另外,企业网络安全管理还将对网络系统的相关管理人员、软件、硬件等安全设置集中管理中心,完善安全管理系统[4]。
因此,企业要加强对网络信息技术的安全管理,采取措施严格控制病毒、黑客对企业网络系统的攻击,维护企业网络系统的安全性,保证企业在激烈的竞争环境中长远发展下去。
[参考文献]
[1]中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会.信息技术安全技术.信息安全管理实用规则[s].中国高新技术企业,2010,(1):121-122.
[2]wimmasat山ngs,著,杨明,青光辉,齐东望,等,译.密码编码学与网络安全:原理与实践(第二版),电子工业出版社,2001.4.
网络安全技术对策范文篇9
SDN物联网网络安全安全策略
1引言
物联网概念于1999年由美国麻省理工学院Auto-ID中心的KevinAshton教授[1]首次提出,它是指通过射频识别(RFID,RadioFrequencyIdentificationTechnology)、红外传感器、全球定位系统、激光扫描器等信息传输设备,按约定的协议,把任何物品与互联网连接起来进行信息交互,以实现智能识别、定位、跟踪、监控、和管理的一种网络。物联网实际上是物物相连的互联网,它是在互联网基础上的延伸和拓展。通过物联网,任何物品可以相互连接,进行信息交换和通讯。当前,物联网技术正在蓬勃发展,小到智能家居,大到智慧地球,各行各业都在发展和利用物联网技术、物联网概念[2]。随着物联网用户和终端的高速增长,基础设施和网络结构面临着巨大的挑战,网络的结构、协议、安全及管理等变得日趋复杂。由于物联网末端传感网络规模庞大,部署环境复杂多样,以及物联网用户缺乏专业能力,确保数十亿物联网设备的网络安全已经变得越来越困难。传统的安全机制如防病毒、网络机制等,不足以解决物联网网络[3]所带来的网络安全挑战。
SDN技术的运用为解决物联网面临的网络安全问题提供了一种创新的解决途径。SDN技术由斯坦福大学的研究机构[4]首先提出,实现了控制与转发相分离、控制层逻辑集中、网络功能可编辑等功能,随着SDN技术的不断发展和完善,SDN技术可以为网络提供统一的管理接口和运行环境,具备网络虚拟化NFV和资源调度系统功能。本文提出一种基于SDN的物联网安全架构,在物联网的网络和应用层应用SDN技术,实现网络控制与业务转发相分离,实现网络功能部署的软件化,同时将网络安全作为一种应用面向物联网用户提供服务,实现对网络安全资源的集中调度、网络安全标准的统一整合、网络安全策略的灵活配合。
2IoT面临的主要安全问题
IoT逐步应用于社会的各个行业,IoT的网络安全问题变得日趋重要。由于IoT众多信息普遍通过无线方式实现互通,信息安全面临严峻挑战。IoT的传感器数量庞大,功能各异,而且采集传递着大量的身份识别、监控数据、支付信息等高等级安全信息,因此传感器网络的安全问题变得极其重要,这也是IoT网络安全与互联网网络安全的主要差别所在。
IoT的无线传感器网络由多个传感器节点、节点网关、可以充当通信基站的设备及后台系统组成。通信链路存在于传感器与传感器之间、传感器与网关节点之间和网关节点与后台系统之间。对于攻击者来说,这些设备和通信链路都有可能成为攻击对象,所以IoT网络面临的安全问题与传统网络相比有其独有的特点,图1为IoT网络攻击模型示意图:
由于具备了无线的信道、有限的能量、分布式控制等特点,使得无线传感器网络更容易受到攻击。被动窃听、主动入侵、拒绝服务则是这些攻击的常见方式,无线传感器网络可能遭到的安全挑战[5]包括下列情况:
(1)网络的网关节点被敌手控制,则安全性全部丢失;
(2)网络的普通节点被敌手控制;
(3)网络的普通节点被敌手捕获;
(4)网络的节点受来自网络的拒绝服务攻击;
(5)接入到物联网的超大量传感节点的标识、识别、认证和控制问题。
此外,IoT网络还拥有大量RFID系统,主要由电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道等组成。RFID系统也是IoT网络遭受攻击的主要对象,主要包括被动攻击、主动攻击、物理攻击等:
(1)被动攻击。被动攻击不对系统数据做任何修改,而是通过窃听截获电子标签中的关键数据,再结合被窃听对象的其他信息及窃听的时间、地点等数据,就可以分析出大量有价值的信息。
(2)主动攻击。主动攻击涉及对系统数据的篡改或增加虚假的数据,其手段主要包括假冒、重放、篡改、拒绝服务和病毒攻击等。
(3)物理攻击。物理攻击需要接触系统的软/硬件,并对其进行破解或破坏。对于RFID系统而言由于标签数量巨大,难以控制,所以物理攻击是RFID系统面临的最大的安全威胁。
3基于SDN的物联网安全架构
基于SDN物联网的系统架构是在SDN技术应用层、控制层、转发层三层基本架构下,增加由传感器组成的感知层。将SDN技术用于物联网架构,运用控制层面与转发层面相分离的特性和可编辑的网络功能部署能力,可以最大程度地利用网络资源能力,精确地监测网络安全状态,简化安全设备的设置,并根据业务和网络安全变化趋势自适应地调整和部署网络安全策略,为解决物联网面临的安全问题提供了新的途径。基于SDN的物联网安全架构是在SDN物联网四层架构的基础上,在控制层和应用层增加网络安全控制器、网络安全策略服务器、网络安全应用服务等功能模块,整合网络安全服务资源能力,构建面向用户的网络安全服务体系,具体架构如图2所示。
(1)应用层,网络管理人员可以通过可编程接口实现网络监控管理功能,包括路由管理、接入控制、Э矸峙洹⒘髁抗こ獭QoS保障、网络安全、计算和存储等,应用开发人员还可以通过SDN控制器提供的网络全局信息,根据用户需求开发相应的应用程序。在应用层增加网络安全应用,利用云计算的软件即服务模式(SaaS,Software-as-a-Service),构建虚拟防火墙、虚拟入侵检测、虚拟入侵防御等网络安全服务,末端用户通过订阅的方式获取网络安全服务,最大限度地简化安全设备配置、安全策略分析和安全参数设置等末端网络安全管理业务。
(2)控制层,由多个SDN控制器组成,SDN控制器部署网络操作系统,网络所有的控制功能被集中设置在此层,SDN控制器通过标准化的南向接口协议OpenFlow管理底层的物理网络和设置的虚拟网络,通过北向API接口向上层提供服务,并向上层服务提供抽象的网络设备,屏蔽了具体物理设备的细节。在控制层增加网络安全系统模块,主要包括网络安全控制器和安全策略服务器,网络安全控制器是一个安全服务执行单元,监控下层网络的安全状态,并根据网络和用户需要执行相应的安全策略等。安全策略服务器主要负责根据用户申请的业务情况向上层的安全应用订阅相关服务,并存储上层应用提供的安全策略,提供给网络安全控制器查询使用。
(3)转发层,包含所有的网络设备,与传统网络交换设备不同,SDN的网络交换设备不具备网络控制功能,控制功能被统一提升至控制层,网络基础设施通过SDN控制器的南向接口与控制层连接。基于SDN的物联网在转发层增加了OpenFlowAP等接入设备,为感知层传感器接入网络提供接口。传统网络的防火墙、入侵检测等设备也可以通过开放相关接口,为上层提供网络安全状态监控信息,同时也可以接收网络安全控制器下发的安全策略和相关设备配置信息。
(4)感知层,在物联网体系结构中处于底层,承担信息感知的重任。主要由RFID系统和无线传感器网络组成。RFID系统需要采用访问控制、身份认证和数据加密等安全措施;无线传感器网络需要有效的密钥管理机制,并采用安全路由和入侵检测等传统网络安全技术。
4各层的安全模块及策略
4.1控制层网络安全模块
由于SDN控制层具备对网络进行集中管控的能力,通过在控制层设置网络安全控制器和策略服务器等网络安全模块,可以在安全策略的细粒度、实时推送和流量监控等方面相比较传统网络安全体系具有较大优势。网络安全控制器部署在开源的SDN控制器之上,如NOX、Onix[6-7]等,由安全执行内核和资源控制器两部分组成,网络安全控制器通过运行不同的Module安全模块,实现对SDN控制器流表的安全策略控制[8],网络安全控制器集成了大量API接口,并能够与传统的安全工具进行通信;资源控制器用于监控OpenFlow交换机和OpenFlowAP的状态,并删除交换机和AP流表中废弃的流规则,及时清理流表空间。Module安全模块存储在安全策略服务器上,不同的Module模块用于提供不同的安全功能,这些模块可以被共享或组合,以提供更加复杂的安全防护功能[9]。此外,安全策略服务器还提供了由Python脚本语言编写的API接口,使得研究人员可以自己编写具有安全监控和威胁检测功能的Module安全模块,安全策略服务器还可以向应用层订阅相关的网络安全服务。控制层网络安全控制器和安全策略服务器的设置情况如图3所示。
4.2应用层网络安全服务
在基于SDN物联网的应用层部署基于云的安全分析处理服务(CbSA,Cloud-basedSecurityAnalyzer)[10],当控制层的安全策略服务器无法匹配接入网络申请的网络安全服务请求时,通过安全和管理服务(SMS,SecurityandManagementService)[11]的方式,向CbSA订阅相应的网络安全服务策略,图4表示了CbSA的体系结构和流程示意,其中云服务管理器负责处理来自控制层的流量分析请求,当收到一个新的分析请求时,云服务管理器首先对SMS的请求进行认证,然后根据用户参数和安全服务请求内容计算查找匹配的安全策略,最后将策略返回给控制层安全策略服务器,从而为用户提供虚拟防火墙、虚拟入侵检测、虚拟入侵防御等服务。此外,通过云平台还可以为网络提供恶意软件、僵尸网络、垃圾邮件等多种网络安全检测服务。
CbSA可以通过部署虚拟软件中间件的方式为控制层分析特征用户的流量并提供自动安全配置更新,云服务管理器可以要求中间件管理器提供一个中间件实例来处理特征用户流量,通过这个中间件来作为流量隧道以便分析特征用户的实时流量,计算分析用户的网络安全风险,并给出相应的安全策略[12]。CbSA可以从所有连接的控制层安全控制器和策略服务器接收网络安全监测数据,它将这些数据与病毒特征数据库、恶意软件数据库等外部资源数据进行整合,从全网的视角透视分析网络安全风险,并计算生成相应的安全配置策略。这种方法特别有助于检测恶意流量的微小痕迹,而这对于传统部署在网络边界的安全系统来说很难实现。
4.3感知层的安全策略
(1)RFID安全策略
现有提出关于RFID技术的安全策略主要包括访问控制、身份认证和数据加密。其中身份认证和数据加密有可能被组合运用,其特点是需要一定的密码学算法配合,因此这里将身份认证和数据加密机制统称为密码学机制。
1)访问控制。访问控制机制主要用于防止隐私泄露,使得RFID标签中的信息不能被随意读取,包括标签失效、法拉第笼、阻塞标签、天线能量分析等措施。这些措施的优点是比较简单,也容易实施;缺点是普适性比较欠缺,必须根据不同的物品进行选择。
2)密码相关技术。密码相关技术除了可实现隐私保护,还可以保护RFID系统的机密性、真实性和完整性,并且密码相关技术具有广普性,在任何标签上均可实施。但完善的密码学机制一般需要较强的计算能力,标签的功耗和成本是一个比较大的挑战。
(2)o线传感器网络安全策略
在无线传感器网络内部,需要有效的密钥管理机制用于保障网络内部通信安全。网络内部的安全路由、联通性解决方案等都可以相对独立地使用。由于网络类型的多样性,很难统一要求有哪些安全服务,但机密性和认证性都是必要的。机密性需要在通信时建立一个临时会话密钥,而认证性可以通过对称密码或非对称密码方案解决。安全路由和入侵检测等也是无线传感器网络应具有的性能。
由于鞲衅魍络的安全一般不涉及其他网络安全,因此是相对较独立的问题,有些已有的安全解决方案在物联网环境中也同样适用。但由于物联网环境中传感网遭受外部攻击的机会增大,因此用于独立传感器网络的传统安全解决方案需要提升安全等级后才能适用。相应地,传感器网络的安全需求所涉及的密码技术包括轻量级密码算法、轻量级密码协议、可设定安全等级的密码技术等。
5结论
随着SDN技术的应用与发展,SDN技术已经被采纳成为5G系统承载网络标准,并逐渐成为构建新一代网络系统架构的关键技术之一,物联网的承载网络也会逐步应用SDN技术。本文提出了基于SDN的物联网安全架构,分析了各个层面的安全模块和策略,下一步还需从以下方面开展相关研究:
(1)在应用层方面,研究开发基于SaaS的网络安全服务应用,拓展针对物联网安全风险的分析能力,同时进一步标准化应用层与控制层之间的接口和交互流程。
(2)在控制层方面,研究开放的安全控制器内核,使其可以与更多的SDN控制器操作系统向融合,开发功能丰富的中间件,最大限度地优化现有网络安全资源。
(3)在接入层方面,研究拓展OpenFlow流表对网络安全策略的匹配方法,研究端到端网络安全策略部署的一致性等问题,进一步丰富网络安全状态监控和报告手段。
参考文献:
[1]彭瑜.物联网技术的发展及其工业应用方向[J].自动化仪表,2011(32):1-7.
[2]何立民.什么是物联网[J].单片机与嵌入式系统应用,2011(10):79-81.
[3]YuT,SekarV,SeshanS,etal.HandlingaTrillion(unfixable)FlawsonaBillionDevices:RethinkingNetworkSecurityfortheInternet-of-Things[M].ACMWorkshop,2015:1-7.
[4]MckeownN,AndersonT,BalakrishnanH,etal.OpenFlow:EnablingInnovationinCampusNetworks[J].AcmSigcommComputerCommunicationReview,2008,38(2):69-74.
[5]何明,陈国华,梁文辉,等.军用物联网研究综述[J].指挥控制与仿真,2012,34(1):6-10.
[6]GudeN,KoponenT,PettitJ,etal.NOX:towardsanoperatingsystemfornetworks[J].AcmSigcommComputerCommunicationReview,2008,38(3):105-110.
[7]KoponenT,CasadoM,GudeN,etal.Onix:ADistributedControlPlatformforLarge-ScaleProductionNetworks[A].Proceedingsofthe9thUSENIXConferenceonOperatingSystemsDesignandImplementation[C].2010:351-364.
[8]NayakAK,ReimersA,FeamsterN,etal.Resonance:DynamicAccessControlforEnterpriseNetworks[A].Proceedingsofthe1stACMWorkshoponResearchonEnterpriseNetworking[C].2009:11C18.
[9]JafarianJH,Al-ShaerE,DuanQ.OpenFlowRandomHostMutation:TransparentMovingTargetDefenseUsingSoftwareDefinedNetworking[A].Proceedingsofthe1stACMWorkshoponHotTopicsinSoftwareDefinedNetworks[C].2012:127C132.
[10]Brewer,Eric.KubernetesandthePathtoCloudNative[A].InProceedingsoftheSixthACMSymposiumonCloudComputing[C].2015:167.
网络安全技术对策范文1篇10
关键词:计算机;网络;应用;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599(2011)23-0000-01
ComputerNetworksSecurityIssuesandStrategyAnalysis
ShaoChao
(SchoolofComputer,SoochowUniversity,Suzhou215006,China)
Abstract:Inrecentyears,China'spolitical,economic,culturalandmilitarybeganwidespreaduseofcomputernetworktechnology,atthesametime,computernetworks,securityissueshavebeguntoattractmoreandmoreattention.Thispaperfirstdiscussedthecurrentcomputernetworkapplicationsecurityissuesincommon,thenexplorestherelatedprotectionstrategies,hasacertainpracticalsignificanceandsignificance.
Keywords:Computer;Network;Application;Security
进入21世纪以来,科学技术迅猛发展,计算机网络技术开始得到越来越广泛的使用。它在极大方便人民生产生活,提高人们生活水平和生活质量的同时,其隐藏的安全问题也不容忽视。现代计算机网络应用技术是一项极其开放和自由的技术,所以要对其基本安全问题进行防范,防患于未然。本文先探讨目前计算机网络应用中常见的安全问题,接着探讨相关防护策略,具有一定的现实意义和指导意义。
一、计算机网络应用的常见安全问题
众所周知,计算机网络应用具有互联性和开放性等基本特征,从而为黑客攻击、病毒侵入提供了机会。一般而言,计算机网络应用中常见的安全问题有几下几种:
(一)威胁系统安全
如果网络软件或操作系统在设计上存在任何一点小缺陷,都会成为计算机网络应用的安全隐患问题,让不法者非法利用,通过一些恶意代码进入计算机系统,从而对主机进行控制或攻击。
(二)黑客侵犯
所谓黑客,就是指利用系统安全漏洞对网络进行攻击破坏或窃取资料的人。如果黑客侵入电脑,就会窃取电脑中存贮的密码、账号、口令等私密文件,进行电子邮件骚扰、破坏电脑程序、篡改网页等行为,这对用户的主机安全会造成极其严重的影响。所以,从某种角度而言,黑客对计算机网络安全的危害大于网络病毒攻击。
(三)欺骗技术攻击
欺骗技术攻击即通过欺骗IP地址、DNS解析地址等,使电脑服务器无法辨别这些请求或无法正常响应这些请求,以此来攻击服务器,从而造成电脑死机或缓冲区资源阻塞,这种情况会损坏电脑主机,也会带入安全问题。
(四)计算机病毒攻击
危害网络安全的因素中,病毒攻击算是最严重的因素了。它具有传染性、隐蔽性、破坏性等基本特征、计算机感染病毒,轻则降低系统工作效率,重则造成系统崩溃,数据丢失,从而带来不可弥补的损失。
(五)网络物理设备故障问题
网络设备包括网络通信设备、存储设备、防雷系统、传输设备和抗电磁干扰设备等,这些网络环境是计算机网络安全的重要保障,任何一个环节设备出现问题,都会出现网络故障,造成网络安全问题。
二、计算机网络安全问题的常用策略
(一)采取数据加密策略
想要保障计算机数据信息,以及在网络传输过程中的私密信息不被非授权用户删除、窃取和更改,就必须对这些数据信息采取加密技术,就算数据被非法者截获了,如果没有安全密钥,也不能被还原为原始数据。这样可以有效保证网络数据的安全性。
(二)采用病毒防护策略
如果仅仅使用单机防病毒方法或产品,是很难从根本上消除病毒的。所以要采用适合网络全方位的防病毒方法和产品。比如用于电子邮件服务器平台中的邮件防病毒软件,互联网相连中的网关防病毒软件或局域网中用于服务器操作系统平台的防病毒软件等。只有构建起一个科学、合理、完备的防病毒体系,才能有效防范计算机遭到不法侵入者的攻击。
(三)利用网络防火墙策略
作为一种有效的隔离控制技术,防火墙可以决定网络之间的通信是否被允许,并监视计算机网络的运行状态。通过检测由外部传输而来的信息,可以最大限度地组织黑客控制自己的电脑网络,保障电脑安全。
(四)利用漏洞扫描策略
所谓漏洞扫描,是指自动检测本地或者异地主机安全脆弱点的技术。实际上是一门网络安全扫描工具,对电脑中的特定项目的有用信息进行有效分析,进而发现漏洞,使用户及早发现电脑中存在的安全问题。
(五)运用入侵检测策略
入侵检测技术不仅可以检测电脑外部的入侵行为,还可以检测内部用户中未授权的行为,通过日志管理来限制那些违反安全策略的行为活动,从而保证电脑系统的安全。
参考文献:
[1]王世伦,林江莉,杨小平.计算机网络安全问题与对策探讨[J].西南民族大学学报(自然科学版).2005(06)
网络安全技术对策范文篇11
关键词:网络安全;安全策略;安全技术;军队校园网
中图分类号:TP309文献标识码:A文章编号:1672-7800(2012)005-0130-02
1军校网络安全概述
军队院校的校园网络有着军队网络和校园网络的双重特点。从保密要求来看,军校的网络中承载着许多的信息;从网络应用的角度来看,军校的网络又跟普通的校园网一样,需要开放、便利的网络服务。军队院校下属部门较多,校园网络作为军队院校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。
1.1军校网络的功能与特点
军校网络具有教学、管理以及其它一些网络应用等功能,从功能架构上来分,大致分为对内、对外和信息中心3部分。对内部分主要是指校园Intranet,主要包括院校机关、教员办公楼、多媒体教室、机房、电子图书馆和各专修室的内部网络连接,它主要服务于院校的教学和管理;对外部分包括与军事信息综合网和其它兄弟院校及单位的连接,提供信息共享服务等;而网管中心则是这两部分的桥梁和核心,担负着整个校园网络系统的管理和安全工作。
军校网络是一种特殊的网络,除了具有基本广域网应有的功能与特点外,还具有网络规模巨大、计算机系统管理比较复杂、用户群体比较活跃等特点。
1.2军校网络安全风险
从网络部件的安全风险因素分析,网络系统的易欺骗性和易被监控性,加上薄弱的认证环节以及局域网服务的缺陷和系统主机的复杂设置与控制,使得计算机网络容易遭受威胁和攻击;网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。
从网络软件的安全威胁因素来看,网络软件的漏洞及缺陷容易被利用,从而对网络进行入侵和损坏;计算机病毒不断侵入网络并繁殖。
大多数军校网管还是采用单一、被动、缺乏主动性、灵活性的安全策略,根本无法适应现行的网络规范。
此外网络管理方面,责权不明,安全管理制度不健全及缺乏可操作性等因素都可能引起网络安全的风险。
1.3军校网络安全的设计目标和原则
对军校网络,网络信息安全的主要目标应表现为系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性6个方面。具体来讲就是确保信息经网络传输到目的计算机时没有任何改变或丢失,使信息的机密性、完整性及可使用性得到保护;设备要具有最大的可靠性,网络具有监控、分析和自动响应等功能,同时网络安全领域的相关指数都要正常。根据上述目标,我们制定以下设计原则:
(1)先进性与现实性。技术上的先进性将保证处理数据的高效率。
(2)系统与软件的可靠性。对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。(3)系统安全性与保密性。要从内部访问控制和外部防火墙两方面保证校园网系统的安全。
(4)易管理与维护。要尽量使用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。
(5)易扩充性。校园网的建设要方便扩充和升级。
2军校网络安全防护策略及关键技术
2.1网络安全防护策略
网络安全策略是军队院校在网络安全工作中的法律。网络安全工作要有法可依,它使网络建设和管理过程中的安全工作避免盲目性。在网络安全的实施中,还应该先对网络安全管理有个清晰的概念,然后制定翔实的安全策略。
概括起来,网络安全策略包括:环境安全策略、信息加密策略、网络防病毒策略、系统备份与灾难恢复、网络安全管理策略等。
2.2网络安全关键技术
网络安全关键技术包括很多,如防火墙(Firewall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一;网络加密技术是一种常用网络安全手段;入侵检测技术是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术;计算机病毒防护技术是网络安全的一个重要领域;身份认证技术是保证网络安全的重要技术手段,其主要功能是在通信过程中保证通信双方的身份始终都是可信赖的;VPN技术是在公共网络上建立安全专用隧道的技术,等等。
3军校网络安全体系的应用
3.1军校网络安全需求
军队院校网络内部要保护网络设备的正常运行,维护主要业务系统的安全,是校园网络的基本安全需求。根据军队院校网络的现状,目前具体的网络需求包括有:
(1)建立一个以光纤为主干、覆盖全校的宽带网,主干1000M,100M至桌面。需要考虑网络运行的高效、可靠、安全以及智能化管理的方便。
(2)实现校园Intranet同军事综合信息网的互联互通,校内可以方便快捷地访问军内外信息,以满足查询、通讯、资源共享、远程教学等需要;建立学院自主的服务器组群。
(3)建立网络教学系统,提供教员电子备课、课件制作、多媒体演示、学生多媒体交互学习、网络考试、自动教学评估等功能。
(4)建立基于网络的教育管理及自动化办公系统,包括行政、教学教务、科研、后勤、财务等系统,以满足学院管理现代化的需要。
3.2网络安全总体设计
校园网络总体规划建设是一项庞大的技术性很强的综合工程,一般需要经过网络调研、系统设计、可行性分析、设备选型、工程招标、硬件施工、软件环境的建立、人员培训、联调测试和系统验收等9个阶段。要有安全维护运行体系框架设计,安全运行与维护体系的重点是保障信息系统的运行安全。
3.3网络安全部署方案
(1)防火墙技术采用安全性最好的被屏蔽子网结构.外部路由器起到保护周边网的作用。在网络中,选择实施DMZ区域设计方案来保护校园网络。
(2)在校园网与外部网络之间设置Cisco入侵测系统(IDSM-2),它与防火墙并行接入网络中,监测来自网络的攻击行为。当有入侵行为时,主动通知防火墙阻断攻击源;此外还可部署基于网络的SymantecClientSecurity,从而帮助网络管理员更好地完成网络防病毒工作;在校园网络中,还应部署身份认证系统,通过安全管理平台,网络管理员可以为网络中的主机设备定义一个统一的网络安全接入标准,只有满足这个接入标准的主机才能接入并使用网络。使用IPRMS(IP资源管理系统)来进行IP地址绑定;在数据备份及恢复系统中,采用NEO2000磁带库,同时连接至多个不同的服务器,分别运行不同操作系统和磁带应用,对所有服务器数据进行备份。
(3)通过一些安全配置,使服务器的安全性得到进一步提高。
当然,还有其它安全防范措施,如:过滤不良网络信息、拒绝垃圾邮件等。
4结束语
军校网络完全遵循安全体系的设计目标及原则,并实施上述网络安全部署方案,综合运用各种安全措施后,确实能提高军校网络的安全性,使校园网络具高可靠性、开放性、兼容性及可扩展性等特性。从实际运行情况来看,效果良好。
参考文献:
\[1\]龚静.高校校园网络的安全与防护研究\[J\].教育信息化,2005(10).
网络安全技术对策范文
【关键词】4G通信技术网络安全
一、4G通信技术中存在的网络安全问题
1、由于缺少改造更新通信的基本设施产生的网络安全问题。如果要让4G通信技术真正的运用到日常的生产生活中,就必须更新原有的基本通信设施。但现在3G通信的无线基本设备几乎覆盖着地球的大多数地方,如果要对原有的通信设备进行改造更新,那必然需要消耗大量的人力财力以及漫长的时间。
2、由于4G通信技术的不完善产生的网络安全问题。4G通信技术的不完善主要表现在容量被限制与技术上的缺陷。首先是容量被限制。在理论上,4G通信能够达到的速率不低于20Mbit/s,是3G通信手段能够达到的速率的10倍。但在实际操作中很难将4G通信系统的容量扩大到理想状态。其次就是技术上的缺陷。在4G通信的技术层面进行研究,4G通信将在数据的传输上高出目前的3G通信一个层次,虽然理论上能够达到,但是在实际操作中却存在很大的困难。另外,4G通信系统所需要的网络架构极其复杂,解决这一问题势必需要很长一段时间。
3、由于不断变化的网络攻击手段产生的网络安全问题。随着4G通信系统的逐渐普及,我们将面临更大的安全威胁。相较于以前的网络系统,4G通信系统将具备更大的存储与计算能力,相应的该系统也就更容易感染一些移动终端。正式因为这个原因,导致4G通信网络的安全遭受到很大的威胁,比如来自手机病毒的威胁。一般来说,手机病毒可以分为短信类病毒、炸弹类病毒、蠕虫累病毒以及木马类病毒。
4、由于4G通信技术的相关配套措施不完善产生的网络安全问题。首先是服务区域不完善的问题。虽然用户们都希望自己的终端能够运用无线网络,但是因为终端的天线尺寸或者其自身功率的原因,实现流畅的上网还是存在一些问题的。其次就是4G通信的收费不是太合理。目前,3G无线网络收费的标准是依据用户所使用的流量的多少与实践的长短进行计费的,如果依旧按照现在的收费标准进行收费,那么绝大多数的4G用户将很难承受如此高昂的上网费用。所以现今必须谨慎认真的研发出一套相对合理的收费标准。
二、关于4G通信技术的网络安全问题的对策
1、构建科学合理的4G通信系统的安全结构的模型。在该模型中,应该能够基本的体现出网络通信系统的各种安全问题,以及相应的解决方案等。
2、转变现行的密码体制。在4G通信系统中,面对各不相同的服务类别以及特征,最好应转变现行的密码体制,即也就是私钥性质的密码体制改变成为混合性质的密码体制,然后创建相应的认证安全的体系。
3、将4G通信系统的安全体系做到透明化。在未来的应用中,4G通信系统的安全核心应该具备相对独立的设备,能够较为独立的完成对终端与网络端的识别与加密,通信系统内部的工作人员应该能够完全看到该过程的进行。
4、应用新兴的密码技术。随着科技的不断发展,相应的终端处理数据的能力将越来越强,因此应该在4G通信网络系统中运用合适的新兴的密码技术。这些新兴的密码技术能够在很大程度上加强系统抵抗恶意攻击的能力。
5、保证用户可以参与到安全措施的制定中来。用户在通过4G通信系统进行上网的过程中,应该有权自行设定安全密码的级别,相应的那些关于安全的参数应该不仅可以由系统进行默认,而且用户也可以自行进行设定。
6、使4G通信网络与互联网能够相互契合。4G网络系统的安全问题大致可以归分为移动方面的安全问题与固网方面的安全问题。在关于安全的概念上,固网与计算机的网络大致相同,所以那些针对计算机的网络问题以亦基本在固网上得到了相应的体现,相应的在固网上遇到的那些网络安全问题可以依照计算机的方式进行解决。
三、结语
虽然目前我们国家的某家通讯公司已经开展4G通信业务,但是我们应该意识到4G通信技术发展的还不够完善,在很多方面还存在缺陷。在实验研究阶段,我们应该对那些可能会出现的或者已经初露端倪的威胁采取相应的保护措施,同时,我们亦应该加强巩固现有的安全防范措施,以此保证网络系统的正常运行。只有这样,才能促进4G通信技术早日应用到人们的日常生活中,为人们的工作生活带来更大的便利。
参考文献
[1]徐静.第四代移动通信系统中的智能终端[J].移动通信.2004(10)
