首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 安全网络策略范文

安全网络策略范文

安全网络策略

安全网络策略范文第1篇

【关键词】网络安全威胁因素有效策略

中图分类号:TN711文献标识码:A 文章编号:

随着计算机网络规模的不断扩大以及新的应用(如电子商务、远程医疗等) 不断涌现, 威胁网络安全的潜在危险性也在增加, 使得网络安全问题日趋复杂。对网络系统及其数据安全的挑战也随之增加。网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。网络安全问题往往具有伴随性, 即伴随网络的扩张和功能的丰富,网络安全问题会随之变得更加复杂和多样, 网络系统随时都会面临新出现的漏洞和隐患, 所以网络安全问题是为保障信息安全随时需要考虑的问题。

一、网络安全面临的主要威胁因素

随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,从而引起大范围的瘫痪和损失,另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足, 这些风险正日益加重。常见的威胁主要来自以下几个方面:

1、自然威胁

自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。

2、非授权访问

指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问,侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。

3、后门和木马程序

从最早计算机被入侵开始,黑客们就已经发展了“后门”这门技术,利用这门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做“trojian horse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马里一般有两个程序,一个是服务器程序,一个是控制器程序。如果一台电脑被安装了木马服务器程序,那么,黑客就可以使用木马控制器程序进入这台电脑,通过命令服务器程序达到控制你的电脑的目的。

4、计算机病毒

计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体, 利用操作系统和应用程序的漏洞主动进行攻击, 是一种通过网络传统的恶性病毒。它具有病毒的一些共性, 如传播性、隐蔽性、破坏性和潜伏性等等, 同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。

二、加强网络安全的有效策略

1、访问权限的控制

访问权限控制是实现网络安全防范和保护的重要措施之一,其基本任务是在身份认证的基础上,防止非法用户进入系统及防止合法用户对系统资源的非法使用。访问控制的基本目的是防止未授权的用户非法访问受保护的资源,保证合法用户可以正常访问信息资源。访问控制的内容包括:用户身份的识别和认证;对访问的控制;审计跟踪。

2、防火墙技术

采用防火墙技术是解决网络安全问题的主要手段之一。防火墙常被安装内部受保护的网络连接到外部Internet 的结点上, 用于逻辑隔离内部网络和外部网络。它是一种加强网络之间访问控制的网络设备,它能够保护内部网络信息不被外部非法授权用户访问。防火墙之所以能够保障网络安全,是因为防火墙具有如下的功能:它可以扫描流经它的网络通信数据,对一些攻击进行过滤;防火墙可以通过关闭不使用的端口,还可以禁止来自特殊站点的访问,从而防止来自非法闯入者的任何不良企图;可以记录和统计有关网络使用滥用的情况。防火墙技术可以综合身份认证、加密技术和访问控制技术、以及支持多种现有的安全通信协议来达到更高的安全性,因此网络管理员可将防火墙技术与其他安全技术配合使用,以达到提高网络安全性的目的。但是防火墙技术只能防外不防内,不能防范网络内部的攻击,也不能防范病毒,且经伪装通过了防火墙的入侵者可在内部网上横行无阻。

3、数据加密技术

数据加密技术是保护网络上传输的信息不被恶意者篡改截取一种重要措施和方法,可以将被传送的信息进行加密,使信息以密文的形式在网络上传输。这样,即使攻击者截获了信息,也无法知道信息的内容。通过这种方法,我们可以达到一些敏感的数据只能被相应权限的人访问的目的,防止被一些怀有不良用心的人看到或者破坏。按照接收方和发送方的密钥是否相同,可将加密算法分为对称算法和公开密钥算法。在对称算法中,加密密钥和解密密钥相同或者加密密钥能够从解密密钥中推算出来,反之也成立。对称算法优点是速度快,算法易实现,但是其密钥必须通过安全的途径传送,因此其密钥管理成为系统安全的重要因素。在公开密钥算法中,加密密钥和解密密钥互不相同,并且几乎不可能从加密密钥推导出解密密钥。公开密钥算法较对称密钥算法相比容易实现密钥管理,但是算法较复杂,加密解密花费时间长。在维护网络安全的工作中,我们可以结合使用这两种加密算法,互补长短。

4、侵检测技术

入侵检测是继“防火墙”、“数据加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。目前,入侵检测技术按照检测方法的不同可分为误用检测、异常检测以及混合型入侵检测系统。异常检测主要通过对计算机网络用户的不正常行为以及计算机网络资源的非正常使用情况进行检测,从而发现并指出不法入侵行为。异常检测虽然具有响应速度快、可以检测到新的未知攻击,但是误报率较高。误用检测根据已知的攻击方法事先定义好入侵模式库,通过判断模式库中的模式出现与否来判定入侵。该方法对已知的攻击模式非常有效,但它对新的入侵攻击却几乎无能为力。混合型入侵检测系统:由于的两种入侵检测系统各有其优点和不足,因而在很多实际的入侵检测系统中同时采用了异常入侵检测和误用检测这两种方法,采用两种不同的入侵检测方法的入侵检测系统我们将之称为混合型入侵检测系统。

入侵检测技术具有以下几方面功能: 审计系统的配置和安全漏洞;检测和分析系统和用户的活动,查找非法用户和合法用户的违规操作;非正常行为的统计分析,以发现攻击行为的规律性;实时检测入侵行为,迅速做出反应加以识别;检测系统程序以及数据文件是否正确。

为了达到网络安全的目的,除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,例如安全审计、可靠系统设计、系统脆弱性评估等。

总之,解决安全的措施有很多,仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施,尽可能提高网络系统的安全可靠性,使网络系统更安全地为大家服务。

参考文献:

[1] 张云勇,陈清金,潘松柏,魏进武.云计算安全关键技术分析[J]. 电信科学. 2010(09)

[2] 包延芳.浅析网络防火墙技术[J]. 今日科苑. 2008(02)

[3] 王玲.网络信息安全的数据加密技术[J]. 信息安全与通信保密. 2007(04)

安全网络策略范文第2篇

【 关键词 】 防火墙技术;移动IP;安全性;加密

【 Abstract 】 The information net Internet oneself as a biggest world use scope negotiates of open sex biggest place then various calculator connect a net and opened widely to share a resources.But, because of negotiating to design in the network in earlier period up for neglecting safe problem, and in the management and the anarchy on the use, make the Internet oneself safety be subjected to severity threat gradually, the safe trouble having something to do with it often has occurrence.Therefore this thesis is from the network fire wall strategy, obstruct a control and move a few aspect synopsises of IP network safety control etc.s analysis network safety control.

【 Keywords 】 firewall technology;mobile ip;safety;encryption

1 引言

具有让世界上任何地方任何计算机相连的能力是一件喜忧参半的事。对于坐在家中环游因特网的人来说,是乐趣无穷,但对于公司的安全性主管,这是一个噩梦。大多数公司在网上都有大量的机密信息――商务秘密、产品开发计划、商场战略、经济分析等,让竞争者知道这些信息会产生难以预料的后果。

2 防火墙技术

除了信息外泄的危险,还有信息渗入的危险。特别是,病毒等各种数字害虫(Kaufman)会破坏机密,毁掉有价值的数据,并浪费管理员大量的时间清理它们留下的垃圾。一种方法是加密,这种办法可以保护数据在两个安全点之间的传送。但是,加密并不能防止数字害虫和黑客的入侵。要达到这一目的,我们要用要防火墙。对于拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过防火墙。防火墙通常由两个组成部分:两个用作分组筛选的路由器和一个应用程序网关。也有更简单的配置,但这种设计的优点在于,每个进出的分组都必须经过两个筛选器和一个应用程序网关,不再有其他的路由器。每个分组筛选器(Packet Filter)是一个装备有额外功能的标准路由器,这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。

如图1所示,很有可能位于内部LAN的分组筛选器检查外出分组,而位于外部LAN的分组筛选器检查进入分组。通过第一道关卡的分组再送入应用程序网关作进一步的检查。将两个分组筛选器分别放到两个网络上的原因,是为了保证没有进出分组能不经过应用程序网关,也就是说没有可绕过它的路由可走。

可以为特殊的应用程序安装一个或多个应用程序网关,但往往谨慎的机构只允许电子函件的进出和使用万维网,其他的应用被认为太危险而禁止使用。结合加密和分组筛选,可提供有限的安全性,其代价是有些不方便。值得一提的是设计一个逻辑上完全安全的系统很容易,但实际上可能像筛子一样漏洞百出。如果有些机器是无线上网的,并且使用微波通信,正好从两个方向上绕过了防火墙,就会出现上述情形。

3 拥塞控制

资源耗尽,某一资源被故意超负荷使用,导致其他用户的服务被中断通常,这就是网络拥塞。拥塞分源端和目的端,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个Unix设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成。端口表明希望得到什么样的服务。

拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多分组筛选器只是拦截UDP分组流。

4 移动IP网络安全控制

很多公司用户都有便携式计算机,并希望他们在外地甚至在路上时都能保持与因特网的联系。遗憾的是,IP地址系统的异地工作是说起来容易做起来难。

真正的阻碍是编址方案本身。每个IP地址有3个字段:类别、网络号和主机号。例如,假设机器的IP地址是160.80.40.20,其中160.80给出类别(B)和网络号(8 272);40.20是主机号(10 260)。全世界路由器的路由选择表都给出了160.80的线路。当一个目的地IP地址形如160.80.xxx.yyy的分组到来时,它就被放到该线路上。

如果忽然一下,拥有这个地址的机器搬到了某个远程节点,给它的分组仍将继续送到其原地LAN(或路由器)。机器拥有者将不能再获取电子函件等。根据它的新位置再给该机器一个新的IP地址也不太可取,因为要将这个变化通知大量的人、程序以及数据库。

另一个方法是让路由器利用完整IP地址作路由选择,而不是仅仅只用类别和网络号。但这种策略需要每个路由器有上千万的表项,其开销对因特网来说是个天文数字。解决移动IP带来的安全问题,我们可以选用方案:(1)每个移动主机必须能在任何地方使用其原地IP地址;(2)不允许对固定主机的软件作修改;(3)不允许对路由器的软件和表作修改;(4)大部分给移动主机的分组不能绕道传送;(5)当移动主机在原地时不能增加开销。

每个允许其用户漫游的网络先创建一个原地。每个允许游客加入的网络

再创建一个外地。当一个移动主机出现在一个外部网点中时,它与处在那儿的外地主机联系,并进行登记,外地主机再与用户的原地联系,并给它一个关照地址,通常是外地自己的IP地址。

当一个分组到达用户的原地LAN,它进入与该LAN相连的某个路由器。该路由器便试着用通常的办法来定位主机,广播一个ARP分组,比方说,问:“160.80.40.20的以太网地址是什么?”原地通过给出它自己的以太网地址来回答这个询问。路由器便将发给160.80.40.20的分组传给原地,然后,原地将分组包装进IP分组的有效载荷字段,通过隧道将它发向拥有关照地址的外地,然后外地取出分组并将其发往移动主机的数据链路层地址。此外,原地还将关照地址传给发送者,因此以后的分组可以通过隧道直接送到外地。这一方案满足上述所有要求。

如何实现安全性,何处实现安全性,若将它置于网络层,它变成了标准服务,而不必再进行任何预处理。真正的安全性应用程序通常需要至少具有端到端加密功能,其中源端应用程序加密,目的端应用程序再解密。任何一端出了问题,用户就处在他不能控制的网络层应用的潜在错误的威胁之下。这类应用程序完全可以不使用IP的安全特性,由它自己完成相应的工作。

5 结束语

网络安全的多变性、复杂性及信息系统的脆弱性,决定了网络安全威胁的客观存在,同时也是也是安全管理的问题。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。希望在不久的将来,我国信息安全工作能跟随信息化发展。

参考文献

[1] 刘远生.计算机网络安全[M].北京:清华大学出版社,2009.

[2] 王凤英.网络与信息安全[M].北京:中国铁道出版社,2006.

[3] 孙建国.网络信息安全实训[M].北京:人民邮电出版社,2013.

[4] 诸葛建伟.网络攻防技术与实践[M].北京:电子工业出版社,2011.

安全网络策略范文第3篇

关键词:移动网 安全 IP化改造 LTE

中图分类号:TN929 文献标识码:A 文章编号:1672-3791(2015)04(c)-0015-01

随着现代通信技术越来越深入的影响人们的生活,通信甚至和喝水吃饭一样成为了人们日常生活的不可或缺的一部分,而其中以3G、4G为代表移动通信技术更是成为其中与人们日常生活联系最紧密的通信技术。在这样的背景下,对移动通信网络的安全性提出了更高的要求。但另一方面随着用户越来越多,业务越来越多,网络规模也越来越大、越来越复杂。庞大复杂的网络和安全性的高要求形成矛盾,依靠主备容灾、倒换等传统的安全策略已经难以对新型的网络提供高效的安全保障,于是客观要求我们提出保障移动网络安全的新策略。

1 移动网络IP化―― 安全新策略的承载基础

传统的网络大都以电路承载为主要,但随着网络的演进,电路承载投资巨大,后续演进困难等弊端逐一显现,基本上所有的主流运营商都选择了网络IP化的演进方向。所谓移动网IP化就是以IP承载方式替代传统电路承载,实现移动网各个接口的IP化改造。IP化改造不仅本身提高了网络的安全性,更为后续的安全策略提供了承载保障。后续的网络演进几乎都是建立在网络IP化的基础之上。对于移动网络安全至关重要的是核心网的IP化改造,其中包括:Nc接口、Mc接口、Nb接口。

IP承载方式的具有天然的多路由选择性,较之点到点电路承载方式更为安全。IP承载方式能够有效降低传输负荷,对整个传输网络的安全具有很大的提升作用。在IP承载方式的基础之上网络安全策略有了很大的提升空间。

2 打破大区制――网状长途网的建立

2.1 传统大区制长途网络结构

对中国这样幅员辽阔的国家,长途网对于通信网尤为重要,长期以来我国的长途网都是采用大区制。即全国分为若干个大区,每个大区都设大区节点,下带若干个省份。大区下带省份的出省入省话务均由大区节点所在省份汇接。

2.2 大区制长途网络的安全隐患

在传统长途网中,大区节点间点对点相连,大区内各省份话务均由大区节点转接,这样一旦某大区节点故障,将会对整个大区话务产生影响,造成数省大规模通信中断。同时,大区制长途网络中,由于节点单一,某省话务量激增会导致大区节点负荷激增,进而影响整个大区通信安全。

2.3 网状软交换长途网络的建立

由于传统长途网存在的安全隐患,加之传统长途网基于电路传输扩容投资成本巨大,于是各大运营商纷纷建立起以IP为承载的新型软交换长途网络。

新型软交换长途网络有几个区别于传统长途网络的特点。

(1)使用软交换设备。

与传统长途网络由传统交换机搭建不同,新型长途网络使用软交换设备,控制与承载分离。

(2)IP承载。

与传统长途网络使用电路承载不同,新型长途网络承载与IP承载网之上,其Nb接口、Nc接口、Mc接口均实现IP化。

(3)网状网连接。

新型长途网络打破了层层转接的大区制组网模式,实现了网状网连接,安全型大大提升。

长途网通过新型软交换网状长途网络的建立,安全性得到了很大的提升,和用户日常通信更为紧密的本地网则提出了MSC Pool的概念。

3 MSC Pool――本地网池组化改造

MSC Pool是一种通过采用Iu/A-Flex技术,一个BSC/RNC可以归属于多个MSC,同时将多个MSC构成一组资源池,从而实现MSC资源共享的特性组网方案。

MSC Pool组网相比传统本地网组网安全性能大为提高,主要表现为以下几点。

(1)MSC Pool中无线侧BSC和RNC与多个CN节点连接组网,A口或Iu口的安全性大大提高。

(2)MSC Pool组网方式下,通过负荷均衡技术,在同一MSC池区内能够保证每个MSC接入用户数大体相当。这样有效避免了传统组网方式下,某区域内用户突然激增造成的整个MSC负荷激增的危险情况。

(3)MSC Pool具有良好的容灾能力,一方面MSC Pool的负荷分担机制已经具备了一定的MSC级的容灾能力,另一方面MSC Pool组网模式还能够提供良好的主被叫容灾方案。

(4)由于MSC Pool内没有局间切换和局间位置更新,所以信令流量和系统负荷大为减少,相应的网络安全性得到了提升。

在3G网络中引入的IP化改造、网状长途网、MSC Pool组网等新技术新概念,使得移动网安全性能大为提高。

4 面向4G的归属位置寄存器――分布式HLR的建立

分布式HLR与传统HLR最大的区别是将传统HLR的信令接入及处理模块和用户数据库模块分离,分别成为分布式HLR的前端(FE)和后端(BE)。FE实现协议接入与业务处理功能,BE实现用户数据的存储、访问、管理、接入控制、同步等功能。分布式HLR系统由前端和用户数据库功能实体构成。

分布式HLR具有完备的容灾方案,一般建议的容灾方式有以下几点。

(1)FE可采用N+1备份方式(N>=1);当N=1时,可采用1+1主备或1+1互备;当N>=2时,应采用N+1主备方式。当主用FE故障时,信令消息自动/手动切换到备用FE;当FE恢复后,信令消息再恢复到FE。

(2)BE一般采用1+1主备方式,每个BE都可对FE提供数据访问服务,形成BE的容灾系统。每个BE中保存所有用户数据,一个BE故障,另外一个BE自动接管,提供服务。

分布式HLR的优点主要体现在设备容量大、组网能力强、容灾方案完善、设备利用率高、可靠性强、可平滑演进的特性 。HLR在移动网中具有举足轻重的作用,直接关系到网络安全。分布式HLR的建立对加强移动网的安全起到了至关重要的作用。

5 高效安全的第四代移动通信网――扁平化的LTE网络

LTE的全称是3GPP Long Term Evolution,其采用优化的UTRAN结构。LTE根据双工方式的不同,分为FDD和TDD两种模式。

LTE网络最大的结构特点就是采用扁平化的网络结构

LTE架构在安全提升方面有几个明显优势。

(1)LTE采用了扁平化的网络结构,使网络结构进一步简化。

(2)网络扁平化使得系统延时减少,从而改善用户体验,可开展更多业务。

(3)网元数目减少,使得网络部署更为简单,网络的维护更加容易。

(4)取消了RNC的集中控制,避免单点故障,有利于提高网络稳定性。

今天,移动通信已经几乎已经融入到了生活的方方面面,对于电信级的通信网络,网络安全是其生命线。随着通信网络的升级,越来越多的安全新策略被应用,我们一定能够给亿万用户提供一个越来越先进、越来越安全的通信网络。

参考文献

安全网络策略范文第4篇

计算机网络的安全问题从计算机网络产生伊始,就已经成为信息技术领域中一个让人头疼的问题,其主要原因是因为计算机网络的公开性和自身的脆弱性以及各领域对计算机的使用和计算机网络的依赖性日趋严重,一旦发生较大的网络安全破坏事件,将造成不可估量的损失。与此同时,威胁网络安全的手段日益多样和先进,尤其是最近愈演愈烈的计算机病毒,包括不断升级的黑客攻击手段不断威胁着计算机网络的安全。特别是全球联网的今天,如果一次恶意的黑客攻击成功实现,将会对整个系统网络造成巨大的破坏,严重时还会造成整个网络的中断以致于系统的最终瘫痪,这方面的报道可以说层出不穷。从计算机网络安全的目前发展来看,其态势依然不容乐观,可谓任重而道远,尤其是,威胁计算机网络安全的黑客在攻击技术水平层面越来越高级,具有了更强的攻击性和破坏性和自我防御性,其攻击目标也向网络的核心层过渡和转移,这些都是网络安全面临的急需解决的问题,如何有效应对这些网络安全威胁,制定有效的计算机网络安全策略也是计算机网络安全领域研究的重点课题。

2计算机网络安全面临的主要问题

根据计算机网络安全调查显示,目前计算机网络安全主要面临以下几个主要威胁:首先是,在计算机软件设计上存在的漏洞和缺陷,为非法入侵者提供了可乘之机,特别是程序设计过程中留有后门,一旦相关信息因保护不当而泄漏,任何人都可以使用浏览器从网络上进行各类系统信息的收集和整理,借助对源码的篡改,进而对系统进行攻击。我们知道由于技术条件等方面的原因,每一个软件在设计时,难免会存在一些漏洞或缺陷,这些设计上的缺陷目前已经成为威胁网络安全的隐患,即使通过后期的改造升级,但由于其自身存在的周期性和被动性,使得其依然是被攻击的目标之一。其次,大量网络用户对网络安全防护意识淡薄。以中国为例,作为一个计算机网络大国,我们拥有着庞大的计算机网络使用人群。虽然目前,我们在计算机网络的应用方面,例如网上办公以及电子商务等领域已经取得了初步的成就,但由于相关技术设施和经验的缺乏,以及网络安全教育的不足甚至缺失,大多数计算机网络用户的观念还仍然停留在对计算机病毒的普通防范方面,对整体网络安全的防护意识以及网络安全受到破坏所带来的问题的严重性还没有得到足够的重视。再次,计算机网络物理配置的不足或不当。现在互联网的便利性满足了用户在生产、生活方面的各种需求,可关于其安全性能的配置,尤其是与计算机网络安全息息相关的一系列的网络物理配置,出现缺失或滞后的现象,其抵御各类非法入侵包括病毒破坏和黑客攻击等方面的能力不足,这些为计算机网络安全的维护埋下了严重的隐患。最后,计算机网络安全人才的缺乏和科研创新的相对落后。从目前来看,我国计算机网络安全建设已经取得了较大成就,但是与欧美等发达国家之间还有很大的差距。其主要制约因素有两方面。一方面是人才的缺乏。尽管我国是一个人口大国,但参与计算机网络安全领域的研究人数较少,特别是缺乏一批具有创新、开拓精神的高质量的尖端人才,我们知道,二十一世纪的竞争从本质上讲是人才的竞争,所以培养和引进计算机网络安全领域的高科技人才显得尤为重要。另一方面是我国在计算机网络安全领域的关键技术等方面还面临很大挑战。很长一段时间以来,我国在计算机网络安全领域的关键技术方面一直是“模仿有余,但创新不足”这一点我们和欧美等发达国家之间有着至少十余年的差距。创新是一个民族进步的灵魂,只有大力加大对关键技术、关键领域的研发力度,鼓励改革创新才能在未来的计算机网络安全领域的全球合作中,拥有更多的话语权和主动权。

3计算机网络安全策略

一般来说策略是描述的一般性的规范,这种描述一般侧重于事情或事物本身的重点,它强调了问题的重点,并没有明确说明实现这些重点问题的具体路径[1]和方法,但是从宏观上进行科学的把握,可以说针对计算机网络安全制定安全策略是对其最高级别的表达。安全策略是针对有关敏感或信息的、保护和管理而制定的一系列的法律法规和实施准则。从计算机网络安全的概念可以看出,制定其安全策略应该从计算机本身的物理配置以及信息的访问权限和加密传输等方面来制定。首先,保障计算机网络安全的物理配置。具体来说一方面要避免不利的自然的环境对计算机硬件和通信数据线路的影响和破坏,也就是保障系统服务器,打印机等物理设备的正常工作,减少各种自然或人为因素对其进行的破坏和影响[2]。另一方面,要为计算机网络的正常运营提供相对安全的物理环境,这种环境可以有效降低和避免各类电磁信号对计算机系统正常运营的电磁干扰。其次,对计算机网络安全的访问权限进行控制。从目前来看,这种策略可以有效的维护计算机网络的安全,该策略主要是通过对入网访问资格的设定,入网访问内容的设定以及对入网访问进行检测等方面来实现的。具体来说,对入网访问资格进行审查和设定,可以实现对入网访问的控制,这种设定对用户的访问资格进行初步的审查,并对其访问时间和入网的工作站类型进行一定的控制,可以避免不明身份入网者的非法登录。对入网访问内容的设定主要是对访问目录进行一定的级别控制,这种权限的设定对入网者的访问数据以及其它网络资源的使用和操作进行了权限控制[3]。对入网访问的过程进行实时检测是通过对服务器的控制来避免非法访问者对各类数据的篡改和破坏,这种检测可通过报警的方式来完成,并对这一用户的访问权限进行限制和锁定从而避免其对网络安全的破坏,现在已经执行的实名制上网可以更有利于这种检测的顺利实施。需要额外补充的是在上述访问权限控制策略中,有一种防火墙技术已经被大力推广并取得了较好的效果。这种技术对计算机网络与外界之间建立了一个较为安全的网络保护屏障。具体来说,这种保护屏障是一系列计算机物理配置与各类软件的组合。它可以有效的设定外界与内部访问者及管理人员对网络的访问权限,通过设定不同的权限和分区隔离等措施来实现对网络全局安全的保障。与此同时,这种防火墙技术通过以其为中心所建立的安全保障可以有效抵挡和过滤各种计算机病毒,从而保障系统运营的安全性与稳定性。与此同时,该技术将各种安全配置进行综合集成,包括对访问人员访问权限和内容的实时检测和记录,具有较强的预警性。最后,对网络信息的加密设计。网络信息的加密设计是密码学在计算机技术领域中的应用。作为计算机技术与数学的交叉学科,密码学已经随着网络的普及应用而越来越被人所关注,在欧美某些国家,这种技术已经成为计算机安全领域中的重要研究课题。从使用方式上来说,用户可根据自己需求的不同来选择不同的加密方式,来实现对网络数据和网上传输的有效保护。针对加密的方法目前可以说五花八门,但总结来说,按照密钥的一致性与否可以分为常规密码和公钥密码。所谓常规密码是指在网络信息传递过程中,信息传递双方所使用的密钥是一致的,也就是他们加密或者解密的方法是一致的,这种加密方法保密性较强,但对密钥的安全传递具有较高的要求。相比较而言,公钥密码使用双方所使用的是不同的密钥,这种加密方法适用于开放的网络环境,具有很好的密钥管理优势,但是较常规密码加密而言其加密的速率较低,但从应用上来看,在未来,随着密码技术的不断发展也会有着更广阔的发展前景。事实上,越来越多的网络使用者,趋于两种加密方法的结合,从而更好地来实现网络信息的安全。在制定计算机网络安全策略过程中,我们一方面要重视各种先进的计算机技术的应用,还不应忽视各种相关计算机网络安全的法律、法规的制定,只有不断加强管理,按章执行,计算机网络安全的保障才能更为可靠地完善。

4结语

安全网络策略范文第5篇

计算机技术和信息技术的发展给人们的生活与工作带来了极大的便捷,但同时也引发不少的安全性风险,例如:网络银行账户丢失、身份信息盗用以及网络攻击等。面对这样的风险,本文对目前常见的几种防控策略进行阐述,表明了网络安全防控的重要性,希望社会各界可以引起重视,提高对网络风险的防范和控制。

关键词:

计算机;网络安全;威胁;防控

0引言

互联网+时代的到来,给我国经济形成了一股巨大的推力,不仅有效融合了线上和线下,更让人们的生活提供了更多的服务和功能。与此同时,互联网信息技术在紧密联系人们生活的同时也埋下了信息丢失的风险,诸如:黑客、病毒、以及系统内部泄密者等。目前,各国都在不断的丰富系统防控软件和技术,最主要的包括了防火墙、服务器以及通道控制机制等。然而,尽管如此,无论是发达国家,或是发展中国家,都或多或少的受到了来自于黑客活动的威胁,而且这类行为还有愈演愈烈的趋势,极大的危害了社会稳定性。因此,网络完全的防护就显得至关重要。不仅仅针对各种网络安全威胁进行治理,更是提升网络安全的防护水平,保障用户在网络上的数据和个人信息安全。

1网络安全性危害

1.1不良网络信息传播

计算机网络可以在其覆盖的范围内进行信息和数据的急速传播,而且具有很大程度的隐藏性特点,这使得计算机网络的监管十分困难。而各式各样不良信息和言论的网络传播也会正常社会价值观的养成,甚至误导青少年。因为青少年正处于人生观尚未形成的时期,当受到网络言论冲击和误导时,往往难以有效的进行辨别,最终会形成与社会发展相悖的道德观念,进而发生危害社会公众安全的状况。除此之外,网络信息传播还有不少的虚假广告和信息来误导人们的消费理念,或是欺骗用户的资金,造成严重的社会危害。

1.2计算机病毒传播的危害

病毒是人为创造的一种危害性计算机程序,通常会依附在计算机之中,并且通过不断的自我复制和传播在计算机网络中蔓延。这种传播相当迅速,而波及范围大,如果不加干预就会在很短的时间内造成大范围的破坏。一般情况下,计算机病毒的传播主要是通过程序或是文件下载、接受未知电子邮件以及已经感染病毒的U盘等方式,最终造成系统崩溃的结果,同时也会造成信息丢失或被盗用。

1.3防御信息库被入侵的危害

计算机网络的发展丰富了人们对信息的接受渠道,加快了信息的传接速率。然而,部分不法人士为了满足自身的利益,往往利用技术对数据库信息库进行攻击,对其中的数据信息进行删改。而这些行为往往在受害人没有注意的情况下进行,从而造成了使用者的利益受到极大的损害。

2网络安全防控的具体策略

2.1计算机网络安全访问控制策略

计算机网络安全的访问控制策略是一个很大的范围,需要从包括入网访问、网络使用、目录级安、属性、网络服务器以及网络端口和节点等在内的多个环节进行控制,这也是整个计算机网络安全的第一层安全保障。因此,为了保障对各个环节进行科学合理的控制,用户具有登录、进入服务器并获取网络信息资源的权利,同时还应对该类准许用户的网络访问时间与具体访问站点进行精准的控制。除此之外,计算机的网络还需要对服务器与用户端的访问申请进行审核,需要对申请用户的身份和全新进行验证,这也是用户在访问中必须拥有身份验证卡和密码发生器等标志的原因,用户则需要在身份和权限被验证之后才能进入到用户端。

2.2计算机网络信息加密策略

信息加密策略是目前一种比较常见的网络安全防护手段,可以有效的保护系统网内各信息数据、密令以及文件的安全,并且还能起到规范上传操作的作用。目前,比较常用的网络加密方式主要是链路加密、节点及端点加密等。网络加密方式主要是对连接网络各节点之间的信息链路进行保护,而端点加密则可以有效的保护各个源端用户的信息数据安全,而节点加密用于对源节点直至目的节点间传输链路提供的合理保护。因此,实际的应用过程中,需要各个网络安全管理人员根据系统的实际需求选择科学合理的加密方式,提高整个的安全防护级别,保障信息的安全。

2.3针对病毒攻击的防控策略

计算机网络所造成的环境具有高度的自由性、开放性、综合性以及共享性,这也使得该环境极易受到来自于病毒的影响,加速了病毒传播与影响的速度,因此,目前仅仅利用单机类型的防毒软件已经难以发挥预期的效果了。这样就需要防毒软件具有应对网络病毒高速传播和影响的特性,并且在不同的操作系统中也能发挥应有作用。对于一项长期运行的网络防毒软件而言,在进行杀毒和扫描的过程中,还需要对系统的网关进行控制,才能提高计算的网络安全防控水准,保障自身对综合配置的定期升级和更新处理。除此之外,用户在日常管理和应用中还需要养成自身良好的习惯,不仅需要提高对防病毒软件的功能熟悉,还需要减少病毒感染的渠道、及时进行系统软件和防毒软件的升级、减少非法复制的行为等。在进行软件下载的过程中一定要引起重视,不仅需要及时开启反病毒的监控软件,还需要在下载完成后对该文件进行及时扫描。

2.4系统漏洞攻击的应对策略

系统漏洞是系统在构建过程中是固有的一种属性,因此,通常可以利用需要通过专线监测、系统实时升级和补丁修复等方式来减少系统漏洞。通常来看,计算机网络系统会包含许多不同的服务,而其中对用户开放的功能越多,就会有越多几率产生系统漏洞,可以被不法分子所利用的漏洞也就越多。因此,系统在实际运行的过程中需要进行严格的管理,对于需求不强的功能要科学合理的进行关闭,不仅可以提高系统资源的利用效率,而且可以有效减少系统中存在的不良安全隐患。除此之外,还可以借助于系统防火墙的作用,对于多数端口的外部访问进行有效的隔断,减少来自于多余端口服务漏洞的不良影响。

2.5针对黑客攻击的应对策略

在面对网络黑客的攻击时,为了更好的进行防护和风险控制,需要综合利用防火墙技术、入侵检测技术以及加密型网络安全控制技术等,结合系统的实际运行状况,构建完整的防护体系。首先,在网络通信环节需要通过对防火墙控制技术的应用来辨识用户的身份和权限,在辨识合格之后才可以使之进入系统访问;而其中未能通过身份和权限审核的用户将会被限制在系统之外.这样一来,就可以减少来自于网络黑客的入侵和攻击行为。同时,入侵检测技术的应用也可以对提高对未获授权入侵行为的反应速率。因此,安全防控系统的构建人员需要强化对于审核记录和识别技术的开发,对系统中的不良活动进行有效鉴别,并且尽快限制其中的不法侵入行为,真切的发挥对计算机网络系统安全的保护功能。除此之外,还有必要融入计算机思想混合的检测技术,对具有入侵性和攻击性的行为进行有效的甄别。该项技术的实现主要是通过网络管理对网络与主机进行同时的行为检测,这使得应对黑客攻击的防御体系变得更加完备而高效。除了将身份和权限不符合的用户隔离在外,还需要对防火墙技术为主的被动防御型网络进行强化,这一想法主要是通过强化数据加密为主的开放型计算机网络安全保障体系来实现。而且,该类系统主体在应用了现代化的数据加密技术之后,也可以对系统内部的各用户数据进行保障,强化了对用户权限的审核与匹配,减少了对特殊安全性防护的要求,基本上可以满足网络系统安全对网络服务可用性及信息完整性的充分需求。

3结束语

防范网络安全问题不仅仅需要从技术层面采取措施,还需要强化用户和网管的安全责任意识。除此之外,综合防控体系的构建和完善还需要社会各界人士的支持,才能减少网络安全问题的出现频率。

作者:戴勇 单位:湖南工程职业技术学院

引用:

[1]郭仲侃.计算机网络安全防控技术实施策略探索[J].产业与科技论坛,2016.

[2]赵曼姿.网络安全犯罪防控问题研究[J].赤峰学院学报(汉文哲学社会科学版),2016.

[3]于志刚.网络安全对公共安全、国家安全的嵌入态势和应对策略[J].法学论坛,2014.

安全网络策略范文第6篇

1.影响网络信息安全的主要因素

1.1 导致互联网脆弱性的原因。

(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。

(2)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。

1.2 安全管理困难性。

虽然安全事件通常是不分国界的,但是安全管理却受国家等多种因素的限制。安全管理也非常复杂,经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间,跨国界的安全事件的追踪就非常困难。

2.网络安全的主要技术

2.1 防火墙技术。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。

2.1.1 网络安全的屏障。

防火墙可通过过滤不安全的服务而减低风险,极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络,使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文,并将情况及时通知防火墙管理员。

2.1.2 强化网络安全策略。通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如,在网络访问时,一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

2.2 数据加密技术。

2.2.1 常用的数据加密技术。

目前最常用的加密技术有对称加密技术和非对称加密技术。

2.2.2 数据加密技术的含义。

所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。

3.网络安全具有的功能

3.1 身份识别。

身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。

3.2 存取控制。

存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面,主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一,它一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,以实现不同安全级别的信息分级管理。

4.常见网络攻击方法

4.1 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

第一:搜索

第二:扫描

第三:获得权限

第四:保持连接

第五:消除痕迹

4.2 网络攻击的常见方法。

(1)口令入侵

(2)电子邮件攻击

(3)木马程序

(4)漏洞攻击

5.网络安全应对策略

(1)使用防火墙软件

(2)提高网络安全意识

(3)隐藏自己的IP地址

(4)备份资料

(5)提高警惕

我国面对网络威胁采取的主要策略:

5.1 完善管理机制。

一个完善的计算机网络信息系统安全方案至少应该包括以下几个方面:访问控制、检查安全漏洞、攻击监控、加密、备份和恢复、多层防御、建立必要的管理机制。随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性显得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免地存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。

5.2 逐步消除网络安全隐患。

(1)每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则。

安全网络策略范文第7篇

关键词:网络安全;防范测量;研究

近年来,由于网络技术和信息技术的不断发展,计算机网络已经遍布各个角落,给我们带来便捷的同时,网络安全问题也给我们带来一定的困扰。而大多数的网络入侵事件是由于用户没有及时修补系统漏洞或系统安全措施不完善造成的。因此,了解影响网络安全的因素,只有针对这些网络威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。

1 网络安全面临的威胁

1.1黑客的攻击

计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类,而且许多攻击都是致命的[1]。常见的黑客攻击方式有:① 通过服务端口发动攻击 这主要是因为对软件中的边界条件、函数指针等设计不当造成的地址空间错误,产生了漏洞。如利用软件系统对某种特定类型的请求没有处理,导致软件遇到这种请求时运行异常,造成软件甚至系统的崩溃。如OOB攻击,攻击者向Windows系统TCP端口l394发送随机数来攻击操作系统,造成CPU一直处于繁忙状态。② 利用传输协议进行攻击。攻击者利用传输协议的漏洞,恶意请求资源导致服务超载,造成攻击目标无法正常工作。如利用TCP/IP协议的“三次握手”的漏洞发动SYN Flood攻击。③采用伪装技术攻击。攻击者通过伪造IP地址、DNS解析地址,使得受攻击目标服务器无法辨别或正常响应请求,造成缓冲区阻塞或死机;④ 利用木马入侵。攻击者通过向目标主机中植入木马来收集目标系统中的重要数据。⑤ 网络嗅探。攻击者利用嗅探器查看通过Internet的数据包,以获取信息。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令[2]。

1.2计算机病毒

目前计算机病毒则是数据安全的头号大敌,它是编制者在计算机程序中插入的破坏计算机的功能或是数据,影响硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。然而它具有病毒的一些共性,如:传播性、破坏性、隐蔽性和潜伏性等,同时也具有自己的一些特征,如:不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务以及和黑客技术相结合等。

2 网络安全防范策略

计算机网络安全技术主要包括几个方面:防病毒、防火墙、数据加密、入侵检测等,这几个方面的技术需要综合运用,单独的某一方面的技术难以确保网络安全,以下对这几项网络安全技术进行介绍。

2.1防火墙技术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络环境的特殊网络互联设备。它是对不同的网络之间传输的数据包按照某种安全策略进行检查,以决定是否允许通信,并对网络运行状态进行监视。对计算机配置防火墙是最基本、最有效的安全措施之一,它能有效的防止非法用户的入侵,监控网络存取和访问,对访问做出日志记录,当网络发生可疑监测或攻击时能及时报警。

2.2防病毒技术

随着计算机技术的不断发展,计算机病毒的危害性、多样性、隐蔽性都得到了提高,给网络终端用户造成了极大的威胁。利用防病毒软件可以对计算机病毒进行有效的查杀。一般从功能上可以将防病毒软件分为网络防病毒软件和单机防病毒软件。

单机防病毒软件是对本地资源进行分析和扫描,对检测到的计算机病毒进行清除;网络防病毒软件则是侧重于网络资源的检测。常用的杀毒软件有瑞星、卡巴斯基、360杀毒以及金山等。

2.3数据加密技术

数据加密技术是为提高信息系统及数据的安全性和保密性,防止机密数据被外部窃取的重要手段。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须要秘密的保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。

2.4入侵检测技术

网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出相应的反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙有益的补充,可在不影响网络性能的情况下对网络进行监听,从而提供对内、外部攻击和误操作的实时保护,从而大大的提高了网络的安全性。

3 结语

网络环境的复杂性,使得网络安全面临一定的威胁,保障网络安全需要用户提高网络安全意识,积极采取防火墙技术、防病毒技术、入侵检测技术以及数据加密技术等,避免因偶然因素或恶意的攻击造成的系统破坏、数据泄漏等,保证系统连续可靠正常地运行。

参考文献:

[l]陆亚华.计算机网络安全防范技术带来的探讨[J].数字技术与应用,2012,01:182~182.

[2]叶灯洲.计算机网络中的黑客攻击与防御剖析[J].电脑知识与技术,2005,29:37―39.

安全网络策略范文第8篇

4G通信网络,接入了2/3G、蓝牙、WIFI、WLAN、传统的有线网络、广电接入系统、卫星系统等,使得各个通信子系统的信息互联互通,从而实现网络无缝连接。4G通信通过对不同的无线通信系统和技术进行融合,支持多种无线通信技术系统共存,输出更高传输速率,用户日益增长的无线网络需求也能得到满足,与此同时,4G通信系统技术的变革对接入认证、网络安全等方面提出了更新的技术要求。

24G网络通信存在的安全问题

4G通信系统作为全IP网络,实现了无线平台与跨不同频带的无线网络的互通,用户可以随时随地无缝地接入网络。南方某运营商的双4G双百兆网络,经现场工作人员实地演示下载速率可达260Mbps,视频播放下载速率可达1.3Gbps,真正让用户体验到语音、图像、数据的高效性。但在4G网络系统运行的过程中,也面临着安全威胁,比如:

2.1智能终端上隐藏的安全威胁

随着4G系统的智能终端与用户的密切性逐渐加深,终端上能被执行的恶意程序的数量也逐步增多,恶意程序所形成的破坏力逐渐变大,易出现移动终端操作系统的漏洞、造成病毒攻击、通信接口防护不严密等,这些都是智能终端存在的安全隐患。

2.2有线链路和无线网络存在的安全威胁

因internet、WIFI、4G通信网络的快速发展,使得有线链路或无线将面临很大的安全隐患:①打着运营商幌子,通过变换号码的手段进行诈骗行为会愈发频繁,恶意程序伪装为应用软件等,借由服务网络而故意扣掉用户的接入费用,造成不合理的用户费用;②黑客通过技术手段窃取用户资料,伪装成合法的使用者,进入网络,从而威胁网络通信的用户资料和数据的安全性;③4G网络的容错性待提升;④无线网络接入的信道数量和带宽的有限性,利用窃听、修改、删除、插入链路上数据等攻击方式成功威胁网络安全的概率将会增大。

34G通信技术的安全策略研究

4G通信技术的安全策略需深入研究,本文浅析策略:①被访问网络的安全防护措施给予透明化;②用户对所使用的业务可以设置安全防护措施;③用户在使用网络时被防御系统告知当前被访问网络所使用的安全级别、对应的防户措施、使用的安全协议和加密算法等内容;④为了缩短通信时延,需要尽量减少安全协议交互的信息量,同时制定对应安全防御措施,能满足网络设备及用户的大规模持续增长。

3.1可配置机制

移动智能终端在接入无线网络环境时,设置能自行协商安全协议的有效机制,能阻隔伪造者的进入。设置混合策略机制,即是根据不同的安全机制需求提出对应的保护措施。例如把生物密码和数字口令,用户接入时能有效识别身份信息;将公钥与私钥结合使用,以公钥的可扩展性保障系统的兼容性,以私钥的高效性保障用户的可移动性,在高速移动环境下智能终端可获得高速的数字、媒体内容下载。

3.2移动通信进行数据加密

随着密码学的高速发展,密码算法不再会轻易地被黑客破解,将椭圆曲线密码技术、生物识别技术、量子密码学等新兴密码技术应用于4G通信网络中,建设更强大的防御体系。针对不同的应用场景,提出相应的安全防护措施和加密算法。为保障4G网络的通信安全,需安装防火墙、实时更新网络通信设备服务器的版本、建立数字证书等多重身份认证机制、采用入侵检测等手段提高网络安全性。例如,接入网络的认证可以充分利用实时短信、口令卡等双重验证信息,当再次接入网络认证时,切换认证即可利用前一次的验证信息来节约成本,提高接入效率的同时能保障网络安全。

3.3移动通信网络的鉴权认证

目前消费者所使用的移动通信网络,其鉴权认证已实现了用户与网络的互联认证,但4G通信网络内部的各网元之间的鉴权认证机制缺乏。这些核心网侧的EPC/HSS等核心网元设备基本上是集中建设在运营商的核心大楼机房内,受到7×24小时全方位的监控,进入门禁系统也是严格管理的。但是基站设备则分布在各地方的末端节点机房内,比如山上、村镇上等各地以实现网络的全名覆盖。一旦黑客伪装为基站设备或成功入侵基站末端机房,就能对核心网元(HSS/EPC/VLR等)的存储设备进行攻击,窃取大量用户信息。因此需要加强核心网侧网元对基站设备的鉴权,基站信息与对应的核心网设备的信息一致,认证通过。另外,4G通信网络还应重视安全传输,保证传输线路不被盗采。

3.4加强internet与4G通信的网络统一性

Internet与4G通信的网络进行统一,可以有效地提高网络安全性。影响4G网络安全的主要因素包括移动和固网的安全问题。移动网络通过加强网元监测、身份鉴权等手段加强网络的安全性。那么,固网与计算机网络安全相似,即计算机网络可能出现的安全问题也有可能会出现在固网系统上,技术人员可根据计算机网络安全解决方式来处理,加强固网的安全系统建设。

4结束语

4G通信网络的数据加密技术发展越来越快,也许能将多密码并存、随机选择加密算法等加密技术对数据进行加密,提高破解密码的难度,保障网络安全。本文简略提出的几点相关应对措施,希望有益于提高4G通信网络的安全防护能力,共同努力营造一个安全、健康的移动互联网发展生态环境。

作者:黄宇 李妮琛 单位:中讯邮电咨询设计院有限公司

参考文献:

安全网络策略范文第9篇

[关键词] 计算机网络; 信息安全; 保障策略; 防火墙; 预防措施

1网络信息安全定义及研究意义

1.1网络信息安全定义

网络安全从本质上来讲就是指网络系统中流动和保存的数据,不受到偶然的或者恶意的破坏、泄露、更改,系统能连续正常工作,网络服务不中断。而从广义上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。

1.2网络信息安全研究意义

网络信息安全保障手段的研究和应用,对于保证信息处理和传输系统的安全,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失;保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为;保护国家的安全、利益和发展,避免非法、有害的信息传播所造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控等方面都有非常重大的意义。

2网络信息安全现状

2.1物理传输对网络信息安全的威胁

网络通信都要通过通信线路、调制解调器、网络接口、终端、转换器和处理机等物理部件,这些往往都是黑客、攻击者的切入对象。主要有以下几方面的入侵行为:

(1) 电磁泄露:无线网络传输信号被捕获,对于一些通用的加密算法,黑客和攻击者已有一整套完备的破解方案,能够较轻易地获取传输内容。

(2) 非法终端:在现有终端上并接一个终端,或合法用户从网上断开时,非法用户乘机接入并操纵该计算机通信接口,或由于某种原因使信息传到非法终端。

(3) 非法监听:不法分子通过通信设备的监听功能对传输内容进行非法监听或捕获,由于是基于通信设备提供的正常功能,一般使用者很难察觉。

(4) 网络攻击:如arp风暴等小包攻击交换机等通信设备,引起网络拥塞或导致通信主机无法处理超量的请求,轻则网络服务不可用,重则整个系统死机瘫痪。

2.2软件对网络信息安全的威胁

现代通信系统如atm、软交换、ims、epon、pos终端、手机等都使用大量的软件进行通信控制,因此软件方面的入侵也相当普遍。

(1) 网络软件的漏洞或缺陷被利用。软件漏洞分为两种:一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其他技术原因而留下的漏洞。

(2) 软件病毒入侵后打开后门,并不断繁殖,然后扩散到网上的计算机来破坏系统。轻者使系统出错,重者可使整个系统瘫痪或崩溃。

(3) 通信系统或软件端口被暴露或未进行安全限制,导致黑客入侵,进而可以使用各种方式有选择地破坏对方信息的有效性和完整性,或者在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得对方重要的机密信息。

2.3工作人员的不安全因素

内部工作人员有意或无意的操作或多或少存在信息安全隐患。

(1) 保密观念不强,关键信息或资产未设立密码保护或密码保护强度低;文档的共享没有经过必要的权限控制。

(2) 业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。

(3) 熟悉系统的工作人员故意改动软件,或用非法手段访问系统,或通过窃取他人的口令字和用户标识码来非法获取信息。

(4) 利用系统的端口或传输介质窃取保密信息。

3网络信息安全保障策略

针对以上信息安全隐患,可以采用一些技术手段,对攻击者或不法分子的窃密、破坏行为进行被动或主动防御,避免不必要的损失。

3.1物理传输信息安全保障

(1) 减少电磁辐射。传输线路应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误。对无线传输设备应使用高可靠性的加密手段,并隐藏链接名。

(2) 采用数据加密技术,对传输内容使用加密算法将明文转换成无意义的密文,防止非法用户理解原始数据。数据加密技术是一种主动的信息安全防范措施,可大大加强数据的保密性。

(3) 使用可信路由、专用网或采用路由隐藏技术,将通信系统隐匿在网络中,避免传输路径暴露,成为网络风暴、ddos等攻击对象。

3.2软件类信息安全保障

安装必要的软件,可以快速有效地定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确地切断安全事件发生点和网络。

(1) 安装可信软件和操作系统补丁,定时对通信系统进行软件升级,及时堵住系统漏洞避免被不法分子利用。

(2) 使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流。且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施,是目前保护网络免遭黑客袭击的有效手段。

(3) 使用杀毒软件,及时升级杀毒软件病毒库。小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,可以有效地清除病毒,扼杀木马。

(4) 使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。基于网络的入侵检测系统,将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。基于主机的入侵检测系统对通信系统进行实时监控,通过监视不正当的系统设置或系统设置的不正当更改实现入侵检测功能。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。但在数据提取的实时性、充分性、可靠性方面,基于主机日志的入侵检测系统不如基于网络的入侵检测系统。 另外还有分布式入侵检测、应用层入侵检测、智能的入侵检测等信息安全保障手段可以使用。

3.2内部工作人员信息安全保障

(1) 加强安全意识和安全知识培训,让每个工作人员明白数据信息安全的重要性, 理解保证数据信息安全是所有系统使用者共同的责任。

(2) 加强局域网安全控制策略,使网络按用户权限进行隔离或授权访问。它能控制以下几个方面的权限: 防止用户对目录和文件的误删除,执行修改、查看目录和文件,显示向某个文件写数据,拷贝、删除目录或文件,执行文件,隐含文件,共享,系统属性等。控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限, 网络控制用户和用户组可以访问的目录、文件和其他资源, 可以指定用户对这些文件、目录、设备能够执行的操作,权限按照最小化原则进行分配。

(3) 利用桌面管理系统控制操作终端的系统配置、软件合法性、病毒库、防火墙等。若用户使用的终端或系统没有按照要求按照合法软件,则限制用户接入网络。若用户的系统、防火墙、防毒软件未及时更新,则强制用户进行更新操作。使用桌面管理系统可以最大化净化网络环境,避免操作人员的终端引入信息安全隐患。

(4) 启用密码策略, 强制计算机用户设置符合安全要求的密码, 包括设置口令锁定服务器控制台, 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据, 提高系统安全性, 对密码不符合要求的计算机在多次警告后阻断其连网。

4结束语

计算机软件技术的发展使得计算机应用日益广泛与深入,同时也使计算机系统的安全问题日益复杂和突出,各种各样的威胁模式也不断涌现。网络信息安全是一个综合性的课题,涉及技术、管理、使用等许多方面,只有将各种方面的保障策略都结合起来,才能形成一个高效、通用、安全的网络系统。

主要参考文献

[1] 李淑芳,双娜,等. 网络安全浅析[j]. 科技,2006(2).

[2] 林志臣. 计算机网络安全及防范技术[j]. 科技咨询导报,2007(11).

[3] 殷伟. 计算机安全与病毒防治[m]. 合肥:安徽科学技术出版社,2004.

[4] 刘晓辉. 网络安全管理实践(网管天下)[m]. 北京:电子工业出版社,2007.

安全网络策略范文第10篇

[关键词] 网络安全 计算机网络 入侵检测

引言

计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。

一、常见的几种网络入侵方法

由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:

1.通过伪装发动攻击

利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。

2.利用开放端口漏洞发动攻击

利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。

3.通过木马程序进行入侵或发动攻击

木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。

4.嗅探器和扫描攻击

嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。

为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。

二、网络的安全策略分析

早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:

1.防火墙

防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。

2.VPN

VPN(Virtual Private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(Authentication Header)和ESP(Encapsulating Security Payload)两种方式。

3.防毒墙

防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。

三、网络检测技术分析

人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:

1.入侵检测

入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。

2.入侵防御

入侵防御系统(Intrusion Prevention System,IPS)则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IPS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换、服务、流量统计、VPN等功能。

3.漏洞扫描

漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。

四、结语

尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。

参考文献

[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19

[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75

[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77

安全网络策略范文第11篇

【关键词】网络信息安全;防范策略

随着信息技术的飞速发展,信息网络已经成为社会发展和人们生活的重要基础保证,已经渗透到社会的方方面面。信息内容涉及到政府、军事、文教等诸多领域,其中有很多甚至是国家机密,所以难免吸引来各种人为攻击。计算机网络犯罪率迅速增加,使得计算机网络系统面临很大的威胁,并成为严重的社会问题。

一、网络信息安全的脆弱性

互联网已遍及世界绝大多个国家,为广大用户提供了多样化的信息服务。网络信息系统已经在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富信息高度集中于计算机网络系统中。这些信息都依靠计算机网络接收和处理,实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作和生活方式,成为当今社会发展的一个主题。然而,伴随着信息产业发展而产生的网络信息的安全问题,也已成为有关部门、行业和企事业领导人关注的热点问题。网络本身也是非常脆弱的,原因主要是:

1.1 网络是开放的,TCP/IP协议是通用的

各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束,迅速通过互联网影响到世界的每一个角落。

1.2 互联网的自身的安全缺陷

互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,由于最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的不可避免的安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞相应的也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。比如,计算机系统的缺省安装和弱口令是大量攻击成功的原因之一。

1.3 互联网威胁的普遍性

随着互联网的发展,网络攻击工具的功能越来越强,对攻击者的知识水平要求越来越低,网络攻击的手段也越来越简单、越来越普遍,因此攻击者也更为普遍。此外,网络业务发展快,人员流动频繁,技术更新快,管理方面的困难等,也是互联网安全问题的重要原因。

近年来,网络信息泄漏防范成为一个新兴的产业。据IDC 的估计,全球信息泄漏防范市场(IDC 称之为OCC,即Outbound Content Compliance)的总值在2006 年将接近6 亿美元,并以每年约50%的速度增长,到2009 年将接近19 亿美元。这正是因为网络信息安全的脆弱性所致。

二、常见的网络攻击

网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对计算机系统和网络资源进行攻击的。几种常见的网络攻击如下。

2.1 口令入侵

所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。

2.2 放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等,诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会保留在用户的电脑中,并在用户的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当用户连接到因特网上时,这个程序就会通知攻击者,报告用户的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

2.3 WWW的欺骗技术

在网上用户可以利用浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。

2.4 电子邮件攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。

2.5 网络监听

网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay、Sniffer、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。

2.6 安全漏洞攻击

许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。

三、网络攻击防范和安全应对策略

在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨绸缪,预防为主,将重要的数据备份并时刻注意系统运行状况。

3.1 建立网络安全长效机制

强化信息网络安全保障体系建设,建立规范的网络秩序,需要不断完善法制,探索网络空间所体现的需求和原则,为规范网络空间秩序确定法律框架;建立规范的网络秩序,还要在道德和文化层面确定每个使用网络者的义务,每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则;建立规范的网络秩序,需要在法制基础上建立打击各类网络犯罪有效机制和手段。

3.2 提高安全意识,使用数据加密技术

不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序;尽量避免从Internet下载不知名的软件、游戏程序;密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举;及时下载安装系统补丁程序;不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。

所谓数据加密技术就是使用数字方法来重新组织数据,使得除了合法受者外,任何其他人想要恢复原先的"消息"是非常困难的。这种技术的目的是对传输中的数据流加密,常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,这些文件内容是一些看不懂的代码),然后进入TCP/IP数据包封装穿过互联网,当这些信息一旦到达目的地,将由收件人运用相应的密钥进行解密,使密文恢复成为可读数据明文。

3.3 使用防火墙技术,加强访问控制

"防火墙"是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(security gateway),从而保护内部网免受非法用户的侵入,它其实就是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。坚持使用防火墙,并定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。对于重要的个人资料做好严密的保护,并养成资料备份的习惯。并通过身份验证、存取控制等,来控制访问对象,以免遭受攻击。

3.4 设置服务器,隐藏自己的IP地址

保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。

上面,我们从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。

【参考文献】

[1]杨海平:网络信息安全研究[J],情报科学,2000(10)

[2]刘庆华:信息安全技术[M],科学出版社,2005

[3]綦朝辉:Internet安全技术[M],国防工业出版社,2005

[4]黎连业:计算机网络与工程实践教程[M],科学出版社,2007

作者简介:汪顶武(1970--)男,本科,装备指挥技术学院信息管理中心工程师,研究方向:计算机网络管理与应用、教育技术应用与管理等领域

韩平(1973--)女,硕士,装备指挥技术学院信息管理中心高级工程师,研究方向:计算机网络管理与应用、教育技术应用与管理等领域

安全网络策略范文第12篇

【关键词】计算机;网络信息安全;发展趋势

随着Internet的普及和发展,计算机网络已经和人们的学习、工作紧密地联系在一起,人们在享受网络带来的巨大便利的同时,网络安全也正受到前所未有的考验,网络安全所引发的数据丢失、系统被破坏、机密被盗等问题也在困扰着人们,因此解决网络安全问题势在必行。

1.网络安全

1.1 网络安全威胁的类型

网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。网络安全威胁的种类有:窃听、假冒、重放、流量分析、数据完整性破坏、拒绝服务、资源的非授权使用等。

1.2 网络安全机制应具有的功能

采取措施对网络信息加以保护,以使受到攻击的威胁减到最小是必须的。一个网络安全系统应有如下的功能:身份识别、存取权限控制、数字签名、保护数据完整性、审计追踪、密钥管理等。

2.常用网络安全技术

2.1 防火墙技术

尽管近年来各种网络安全技术不断涌现,但目前防火墙仍是网络系统安全保护中最常用的技术。防火墙系统是一种网络安全部件,它可以是软件,也可以是硬件,还可以是芯片级防火墙。这种安全部件处于被保护网络和其他网络的边界,接收进出于被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其他操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截被保护网络向外传送有价值的信息[1]。

(1)软件防火墙软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,一般来说,这台计算机就是整个网络的网关,俗称”个人防火墙”。软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用Checkpoint防火墙,需要网管对所操作的系统平台比较熟悉。

(2)硬件防火墙硬件防火墙是指基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,就是说,和普通家庭用的PC机没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有旧版本的Unix、Linux和FreeBSD系统。但是由于此类防火墙采用的依然是其他内核,因此依然会受到OS(操作系统)本身的安全性影响。

(3)芯片级防火墙芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。芯片级防火墙厂商主要有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高。

2.2 数据加密技术

在计算机网络中,加密技术是信息安全技术的核心,是一种主动的信息安全防范措施,信息加密技术是其他安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密),对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。

数据加密的方法很多,常用的是加密算法,它是信息加密技术的核心部分,按照发展进程来看,加密算法经历了古典密码、对称密钥密码和公开密钥密码3个阶段。古典密码算法有替代加密、置换加密;对称加密算法包括DES和AES;非对称加密算法包括RSA、背包密码、McEliece密码、Rabin、椭圆曲线、EIGamal D H等。目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同时随着技术的进步,加密技术正结合芯片技术和量子技术逐步形成密码专用芯片和量子加密技术[2]。

2.3 入侵检测技术

网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库等比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。因此入侵检测是对防火墙及其有益的补充。可在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。

2.4 网络安全扫描技术

网络安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级[3]。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。

3.网络安全策略

随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但网上信息的安全和保密是一个至关重要的问题。网络必须有足够强的安全措施,否则该网络将无用,甚至会危及国家安全。因此,网络的安全措施应是能全方位针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

3.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。目前的主要防护措施有两类:一类是对传导发射的防护,另一类是辐射的防护。

3.2 政策保护策略

有效的政策制度环境,是保障网络安全、促进互联网健康发展的重要基础。网络安全需要政府综合运用各种手段,解决发展需要解答的一系列问题。政府要针对不同网络安全问题,采取有效的措施,不断提高防范和保障能力,为人们创造一个安全的网络应用环境。网络安全已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面。

4.网络安全技术发展趋势

近年来随着网络攻击技术发展,网络攻击技术手段也由原来的单一攻击手段,向多种攻击手段相结合的综合性攻击发展。这也是目前网络安全信息技术面临的挑战,也预示着未来网络信息安全技术的发展趋势。使其从过去的单一功能向全方位功能转变,进一步完善和提升网络信息的安全性。采用"积极防御,综合防范"的理念,结合多种信息安全技术,建立起更全面的网络信息防护体系,从而更好的保护用户的网络安全[4]。

参考文献

[1]杨彬.浅析计算机网络信息安全技术研究及发展趋势[J].应用科技,2010(20):221-223.

[2]任志勇,张洪毅,孟祥鑫.网络信息安全技术的发展[J].信息与电脑,2013(8):91-93.

安全网络策略范文第13篇

关键词:网络安全;防火墙技术;策略

中图分类号:TP3文献标识码:A

文章编号:1009-0118(2012)04-0221-02

计算机网络的普及,不仅使我们的工作、生活和学习更加方便快捷、丰富多彩,同时也在国防、电信、经济等方面得到了广泛的应用。然而,我们在充分享受网络优越性的同时,也应看到,计算机网络虽然性能很强大,但也存在其容易受到攻击的方面。计算机网络安全问题已经十分严重,应当引起我们的重视,并积极采取相关措施,维护网络的安全运行。

一、网络安全的概念及特征

(一)网络安全的概念

网络安全是指通过采用各种方法和手段,使计算机网络系统的硬件、软件及其系统中的数据受到保护,系统连续运行,网络正常服务,从而确保网络数据的可用性、完整性和保密性。

(二)网络安全的特征

网络安全具有以下五个方面的特征:

保密性:信息不随便泄露给授权用户之外的他人或被他人利用的特性。

完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

可用性:当需要时能否存取所需网络安全解决措施的信息。

控制性:对信息的传播及内容具有控制能力。

可审性:出现安全问题时提供依据与手段。

虽然网络已经成为生活中不可或缺的一部分,然而其安全却被我们忽视。网络安全性差就会给我们带来许多不必要的麻烦,所以我们应该关于网络安全进行能更多的探讨和研究。

二、网络安全问题现状分析

(一)网络安全的严峻形势

计算机网络所建立的信息通道,使全世界对信息的交流、共享更加方便、快捷,从而大大助推了经济的发展,但是随之而来的问题是网络信息安全也面临着威胁,网络安全逐渐成为影响社会与经济正常发展的关键要素。

美国联邦调查局公布的数字显示,美国每年因网络安全所造成的经济损失就高达75亿美元,而全世界平均每20秒钟就发生一起Internet计算机侵入事件。在我国,由于黑客入侵、计算机病毒的原因造成的经济损失也是巨大的,正如CEAC主任高骐在接受采访时说:“目前,我国的网络系统还比较脆弱,需要构筑我们自己的数字‘长城’来保卫网络的安全。”[1]

(二)威胁网络安全的方式

随着计算机技术的快速发展,威胁计算机网络安全的方式和手段也呈现出多样化的特征。目前网络中存在的安全威胁主要有以下几种:

1、计算机病毒

计算机病毒是编制者在计算机程序中插入的,影响计算机正常使用并且能进行扩展的计算机指令或代码。计算机病毒主要是通过复制、传送数据包以及运行程序等操作进行传播,在日常的生活中,硬盘、光盘和网络等都是传播计算机病毒的途径。

2、木马程序

木马程序的全称叫特洛伊木马,是指潜伏在电脑中,受外部用户控制以窃取本机信息或者控制权的程序,英文叫做“Trojan horse”。木马程序的危害在于多数有恶意企图,例如占用系统资源,降低电脑效能,危害本机信息安全(盗取QQ帐号、游戏帐号甚至银行帐号),将本机作为工具来攻击其他设备等。

3、拒绝服务攻击

拒绝服务攻击就是攻击者采取办法使合法用户不能进行正常的网络服务,阻止合法用户对网络资源的访问,以实现其不可告人的目的。攻击者进行拒绝服务攻击,实际上是要实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。

4、黑客攻击

黑客攻击是黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类:非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。网络黑客技术的发展已经严重威胁网络的安全。[2]

5、软件漏洞

软件开发者开发软件时的疏忽,或者是编程语言的局限性,使其自身的设计和结构始终会出现问题,而这些漏洞会被计算机病毒和恶意程序所利用,这就使计算机处于非常危险的境地,一旦连接入互联网,危险就悄然而至。缓冲区溢出就是一种常见的软件漏洞。

(三)影响网络安全的因素

造成计算机网络安全问题严重的因素是多方面的,既有计算机系统自身的缺陷,也有我们在使用和维护过程中存在的不足和疏忽。总结起来,主要有如下因素:

1、网络系统安全性差

计算机网络系统的安全性差是由计算机网络自身的特殊性所决定的,也是其无法摆脱的缺点,这也决定了在网络技术的发展中,网络安全性未能得到相应的提高和改善。怎样在让计算机网络技术更好更快发展的同时使其更加安全,是一个长期困惑我们的难题,也是未来需要我们继续探索的重要难题。

2、计算机网络系统自身的问题

网络系统在稳定性和可扩充性方面存在问题:

(1)由于设计的系统不规范、不合理以及缺乏安全性考虑,计算机网络的稳定性较差。正如网络安全专家、CEAC首席讲师周谷所说,“中国的网络安全最大的隐患是因为计算机系统有3个先天缺陷:使用外国的CPU芯片,使用外国的操作系统、数据库和使用外国网管软件。这就造成了我国的网络很大程度上收到外国网络的影响。

(2)网络硬件存在缺陷。比如服务器和网卡,其设计欠缺周密,这些导致网络的安全性能差。

3、网络安全意识淡薄,安全措施缺乏

据调查,信息网络用户缺乏安全防范意识和防范知识,管理人员缺乏培训,缺少安全预警信息是信息网络安全存在的主要问题。尽管大多数用户都使用了防火墙和防病毒产品,但其他类型安全产品的使用率几乎都低于20%。许多站点在防火墙配置上无意中扩大访问权限,却忽视了这些权限可能会被某些人员滥用。管理制度不健全,网络的管理和维护也不到位,也造成了网络安全问题的严重化。

三、提高网络安全的策略

(一)提高安全防范意识

多数网络安全事件的发生都和缺乏安全防范意识有直接关系,所以较强的网络安全意识是保证网络安全的重要前提。当前网络技术发展迅速,网络安全事故频繁发生给我们的经济以及社会各方面造成巨大损失,引起人们对网络安全的极大关注。因而,从思想上提高对计算机网络安全重要性的认识,增强内部网络治理人员以及使用人员的安全意识,是网络安全工作的第一任务。

(二)严格网络管理

并不是每一个网站都是安全的,但是需要提出的是,现在相当一部分用户在积极享用网络服务的时候,只注重使用方便,却忽视了安全问题,这种做法将会带来严重的后果。目前我们搞好网络安全的重点,首先是要严格落实平时的网络管理,将日常网络管理落实到每一个细节当中;其次,还要加强对计算机网络操作岗位的人员管理,对他们进行深入的网络安全教育和相关法律学习,并经常进行检查和组织学习;此外,还要尽快建立反击网络病毒和反击黑客的应急部门,培养一批掌握相关知识和技术的人才。

(三)积极采取防范措施

1、网络防火墙技术

网络防火墙技术是一种网络安全保护手段,是网络通信时执行的一种访问控制尺度,通过控制入、出一个网络的权限,并迫使所有的连接都经过检查,从而防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部资源,以达到保护内部网络操作环境和设备之目的。虽然防火墙也有一些不足之处,但它是当前保护网络免受袭击的有效手段,对保障网络安全起到很大的作用。[3]

2、安全加密技术

安全加密技术是利用技术手段将重要的数据进行加密传送,在到达终点后再对其进行解密,这是最常用的安全保密手段,也是电子商务采取的主要安全保密措施。加密技术的出现使基于Internet上的电子交易系统成为了可能,为全球电子商务提供了保证,无论是对称加密还是非对称加密技术都对维护电子交易的安全发挥了很大作用,因而仍是当前电子交易安全措施的主流。[4]未来,我们也应对此进行改进,使其更加完善,发挥更强的功效。

四、结语

随着社会和经济的发展,网络安全会显得更加重要,必将引起我们更多的关注。然而,网络安全是一个涉及科技、法律等诸方面的多学科话题。因此,要达到充分维护网络安全的目的,必须对其进行长期而深入的研究,从多处着手,建立一个完善而又科学的网络安全维护体系,采取积极有效的措施,并严格执行各项安全策略,建立安全稳定的网络环境,为社会和经济的长足进步提供支持。

参考文献:

\[1\]余志松.浅谈网络安全的技术控制\[J\].科技资讯,2007,(6):6-7.

\[2\]王淑琴,海丽军.对计算机网络安全技术的探讨\[J\].内蒙古科技与经济,2007,(10):3-5.

安全网络策略范文第14篇

通常来说,计算机通信网络的安全维护工作主要内容包含受到通信网络威胁的资料备份、通信网络的风险性评估以及通信网络的等级性安全保护等。现阶段,针对计算机通信网络的安全维护仍然停留在提前预防的环节,即采用对应的措施来评估通信网络的安全性,根据评估实施对应道德安全防护措施来防止、限制以及控制通信网络当中对于计算机通信网络构成威胁的信息资源,从而有效保护计算机通信网络的数据信息、软件、影响以及系统。除此之外,计算机通信网络的安全还包含传输资源的安全维护、电脑的设施安全以及用户个人的信息安全等。

2计算机通信网络安全维护策略探讨

2.1构建防火墙防御技术设计防火墙的目的主要在于预防通信网络的信息泄露,其通过提前制定的网络安全措施,真多通信网络内外进行强制性的访问监控,从而有效保障通信网络的安全。其针对通信网络间传输的各种信息、数据实施安全检查,时刻监管通信网络的运行情况。一个健全的防火墙保护系统能够有效的阻挡威胁到用户及信息的相关程序,阻挡网络黑客采用病毒程序来访问通信网络中的资源,预防网络中的不安全资源进入到通信网络所在的局域网络当中。应当将通信网络当中用户所使用的账户密码设置到最高级别,禁用或者删除一些无用的帐号,定期或者不定期修改账户的密码都能够有效预防病毒的入侵。因为网络黑客、病毒等具有动态性与实时性的特点,因此,通信网络当中的防火墙软件必须要能够达到实时监控的目标,通过实时监控技术来过滤到之前使用过的一些程序,查杀网络当中的可疑资源与程序,从而有效保障通信网络的实时安全。2.2通信网络的身份认证技术所谓计算机通信网络当中的身份认证技术,其主要指的是做出基于身份的认证,将其用在各类身份的认证体系当中。通过采用身份认证技术能够保证通信网络中客户信息的不可否认性、可控性、机密性以及完整性。2.3通信网络的检测入侵技术防火墙防御技术能够有效保障通信网络内部信息不会遭受外部网络信息资源的入侵,然而防火墙防御技术在通信网络内部非法活动监控方面还较为欠缺,这就需要运用检测入侵技术来进行弥补,通过与防火墙进行有机结合,主动面对操作失误、内网攻击以及外网攻击所造成的信息损失,其能够在通信网络系统遭受入侵以前实施有效的拦截,从而有效提升通信网络的安全性。2.4通信网络的加密技术通过运用通信网络加密技术能够有效预防公有的、私有的信息遭到窃取、拦截,其属于通信网络安全维护的重要内容。通过通信网络的加密技术,能够有效加密与封装通信网络当中的IP传输包,使得信息传输的保密性与完整性得到保障。通信网络加密技术不仅能够处理公网当中信息的安全问题,同时还能够处理远程用户进入到内网的安全性问题。

3结语

安全网络策略范文第15篇

关键词:校园网;安全问题;安全策略

1 引言

随着Internet技术和信息化建设的迅速发展,计算机网络已经普遍地应用在各类院校。因此校园网的网络安全日益得到大家的重视。电子邮件系统传播着大量垃圾邮件和病毒邮件,在进行文件共享的同时又传播着病毒程序、黑客程序,黑客攻击时有发生。由于安全意识淡薄没有对接入网络的计算机采取基本保护措施,造成文档资源流失、泄密等。

2 影响计算机网络安全的主要因素

(1) 操作系统的安全问题

目前经常使用的网络操作系统有UNIX、WINDOWS和Linux等,所存在的系统漏洞都会引起系统安全问题,操作系统的漏洞被很多计算机的新型病毒利用进行传染。所以要对操作系统及时地进行更新,弥补系统的各种漏洞,避免计算机有杀毒软件也不安全的问题。

(2) 病毒的破坏

计算机病毒影响计算机系统的正常运行,破坏系统软件、文件系统和网络资源,使网络效率急剧下降,甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。

(3) 黑客

黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具进行入侵。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。

(4) 口令入侵

为方便管理和计费,在一般情况下,学校教师和学生被分配一个账号,并根据其申请,分配适当的权限。为了访问超出权限的内容和逃避接入互联网的费用,一些人通过不正当手段窃取他人的密码,造成了学校和个人的损失,也侵害了个人的利益。

(5) 不良信息的传播

互联网接入校园,学生可通过校园计算机网络接入互联网。目前的互联网,存在着各种不同的信息,如色情、暴力、等内容在网络中传播。这些不良信息有违道德标准和违反有关法律、法规;并且对还为形成成熟的世界观和人生观的学生危害很大。

3 计算机网络安全的防范对策

(1) 网络加密技术

网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有3种:①链接加密:在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码;②节点加密:与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中;③首尾加密:对进入网络的数据加密,然后待数据从网络传送出后再进行解密。

(2) 防火墙技术

防火墙的主要功能是进行访问控制,其主要作用是对安全的和不安全的网站进行隔离,信任和不信任的网络隔离,并控制它们之间的访问。它的位置一般都在两个不同网络或者不同安全域之间的连接处,使它们之间传输数据必须通过防火墙,以便防火墙对这些数据进行数据检查和过滤。在校园中,防火墙在校园网和互联网之间,来分析这些数据包的性质,控制网络中对主机的访问,允许与业务有关的访问通过校园网,而其他的则拒绝访问,还可以对某些特定的服务请求强制性认证,要通过认证后,才能访问主机。

(3) 入侵检测系统

入侵检测系统为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段。入侵监测系统可以记录和禁止网络活动,可以和防火墙、路由器配合工作,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的处理,实现对网络信息的实时保护;通过它可以从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到攻击的迹象;利用它通过扫描当前网络的活动,监视和记录网络的流量,并根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。

(4) 网络防病毒技术

校园网网络信息安全系统最理想的状态是在整个局域网内杜绝病毒的感染、传播和发作。所以要在校园网中部署网络版杀毒产品。在学校网络中心配置一台高效的服务器,安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机,然后在各主机节点分别安装网络版杀毒软件的客户端。管理员控制台对网络中所有客户端进行定时查杀病毒的设置,网络中心则负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件,然后自动将最新的升级文件分发到其他各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。

(5) 安全管理

校园网是为了推进全校教学、科研和行政管理的现代化和信息化而建立的计算机信息网络。应该制定一些使学校网络向着制度化、规范化方向发展的制度,这些制度的制订应有效地加强学校校园网的运行和管理,确保网络安全、可靠、稳定地运行,促进校园网的健康发展。

4 总结

随着网络自身不断发展,必将出现新的安全问题,我们必须根据情况的变化,不断对网络系统进行及时地维护和更新,细化各种管理制度,不断提高校园网管理人员的技术水平,才能保证网络高效、安全地为全校师生的工作和学习服务。

参考文献

[1]王秀和,杨明.计算机网络安全技术浅析[J].中国教育技术设备,2007,5.

[2]李辉.计算机网络安全与对策[J].潍坊学院学报,2007,3.

[3]周扬玲.校园网安全问题及防范策略[J].四川职业技术学院学报,2008,3.

精品推荐
扩展阅读
推荐期刊