引論:我們為您整理了13篇安全網絡論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1.2釣魚網站為金融信息的安全帶來較大風險
隨著互聯網信息的不斷發展,各種網絡技術都在不斷成熟。在這種背景下,通過百度、谷歌等搜索引擎就可以了解到一定的用戶信息,因為在當前的環境下,很多人都習慣于借助各種搜索引擎來對各種特定的金融信息加以了解。因此也就有人利用這些系統當中存在的漏洞來對客戶的一些金融信息和金融資料加以盜取,或者是做成釣魚網站。所謂的釣魚網站是通過互聯網技術以某種特定的方式在互聯網上進行信息的,通過某些具有吸引力的信息來誘導用戶加以訪問,以此方式來對用戶重要的個人信息逐條盜取,最后再對客戶進行各項敲詐活動,這為廣大網民的安全上網和個人利益造成了非常嚴重的損害。雖然說釣魚網站的技術含量很低,但是其門檻也很低,通常而言也很難識別,這對金融行業產生了很嚴重的影響。從我國反釣魚網站聯盟在2014年6月的釣魚網站處理簡報上看,截止到2014年6月份,聯盟共計處理了釣魚網站8186個,累計認定并處理釣魚網站192914個。從中分析可以得出,電子商務和金融證券類的通信安全問題依然是主要問題,隨著“網銀”的不斷普及,金融信息泄露等事件而造成的用戶財產損失將會成為威脅網絡金融體系的主要問題。
2網絡經濟環境下的金融安全防范探究
2.1金融機構信息安全保障機制的構建
在當前,我們將政策性銀行、大型商業銀行和股份制銀行作為銀行業的金融信息集散中心,防范金融機構信息泄露是金融安全防范的重點問題,其根本在于對其安全保障機制加以完善。對金融信息的安全保障機制做出完善,需要建立在金融信息安全政策和安全標準的前提之下,對金融機構內部的信息安全管理機制做出規范和調整,在此基礎上創新信息安全技術和信息安全運行機制。因為各種因素的影響,很多中小型的金融機構在在金融安全管理方面一直都存在著諸多的問題。所以對于中小型金融機構而言,需要構建出一個合理的管理手段和技術手段相結合的度層次、全方位信息安全防范體系。這樣才能夠為金融業的發展提供必要的信息化基礎保障。所以在對中小型金融機構信息安全保障機構進行構建的時候需要對金融機構的相關做法加以參考,要重視從聯合結構和外包服務等層面來對相關問題做出思考。
2.2健全金融機構的信息安全服務體系
總管金融信息網絡的傳播途徑,信息安全隱患主要是因為交互過程中對信息的非法索取有關,此外通過客戶端進行身份識別、通過數字簽名、密鑰管理、終端病毒和訪問權限等也能夠在技術層面上對相關客戶的信息資料加以盜取。所以在這些方面進行有效的保障是彌補網絡安全技術缺陷的主要環節。按照人們的常規思維來講,只有開發出先進的金融安全技術才能夠更好地對金融風險做出防范,而現階段對于網絡信息安全的防范技術主要是通過相關的技術隔離和技術加密來實現數字簽名的相關內容。所以金融服務濟公應該重視在技術上對相關的網絡安全服務體系做出防范,適當的時候需要提供相關的軟件升級服務,進行更為嚴格保密的加密和相關的數字簽名服務。只有這樣才能夠通過信息備份和信息回復來使相關的安全技術得到認證,這對于客戶本人而諾言,具有很高的保護效果,能夠幫助客戶提供對金融信息風險防范的識別,進而更好地杜絕可能造成用戶信息泄露的風險源為用戶帶來的危害。
篇2
2.1加強網絡信息安全管理網絡信息安全實質就是一個管理方面的問題,特別是在我國網絡信息安全行業剛剛發展初期,做好網絡信息安全的管理工作更顯得尤為重要。①嚴格根據管理流程實施管理操作。對網絡進行微觀操作,這是網絡內網產生不安全的主要原因,因此,對業務不得進行越權查看及使用,不許私自對數據庫或某些機密文件進行修改,以此來杜絕內網中計算機及網絡受到惡意攻擊。②實施連續性管理網絡系統。作為網絡管理人員,一定要把系統恢復和系統備份策略應用于網絡系統,這不僅可實現連續性管理系統的要求,而且還可有效避免因惡意破壞、自然災害等原因使設備遭到破壞、無法正常提供服務的問題發生。③加強管理人員的日常操作管理。要有效對系統進行管理,最為重要的在于管理人員,因此,作為網絡系統管理人員,一定要具備超強的技術能力,此外,還必須具備一定的網絡信息安全意識。不管是企業,還是公司,在進行網絡管理人員選拔時,一定要綜合考慮有關技術能力和安全意識等方面的因素;同時,還要創造條件對這些網絡管理人員實施一定的職業培訓以及網絡信息安全教育,以此來讓網絡管理人員切實懂得網絡信息安全的重要性,并讓他們明白在維護網絡信息安全中他們個人所應承擔的責任。此外,對于網絡信息的相關操作管理,一定要讓網絡管理人員熟練掌握,對于安全的網絡管理策略能予以正確的執行和落實,這樣,就可最大限度避免因人為原因所帶來的網絡信息安全漏洞。
2.2設置防火墻網絡威脅絕大多數是從互聯網來的,應用防火墻來判斷與辨別進出網絡的各種信息,能夠有效避免內網或計算機系統遭到病毒和木馬的攻擊;所以,要對網絡信息安全進行有效保護,一定要選擇一個防火墻來進行保護,而且要讓所選擇的防火墻,不僅要技術性強,而且防御功能要足夠強大。
2.3安裝vpn設備所謂vpn設備,其實就是一個服務器,電腦在進行網絡信息傳遞過程中,要使網絡信息先向vpn服務器進行傳遞,然后再通過vpn設備向目的主機進行傳遞,這樣就可讓計算機不直接連接于物聯網,從而讓網絡黑客無法得到真正的ip地址,無法完成對網絡進行攻擊,這樣就有效對網絡信息安全起到了保護作用。
篇3
(2)網絡通信結構不完善。網間網的技術給網絡通信提供了技術基礎,用戶通過IP協議或TCP協議得到遠程授權,登錄相關互聯網系統,通過點與點連接的方式來進行信息的傳輸。然而,網絡結構間卻是以樹狀形式進行連接的,當用戶受到黑客入侵或攻擊時,樹狀結構為黑客竊聽用戶信息提供了便利。
(3)相關網絡維護系統不夠完善。網絡維護系統的不完善主要表現軟件系統的安全性不足,我們現在所使用的計算機終端主要是依靠主流操作系統,在長時間的使用下需下載一些補丁來對系統進行相關的維護,導致了軟件的程序被泄露。
2對于網絡通信中存在的信息安全問題的應對方案
對于上述的種種網絡通信當中存在的信息安全問題,我們應當盡快地采取有效的對策,目前主要可以從以下幾個方面入手:
(1)用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯網用戶的最主要目標。在用戶進行網絡信息傳輸時,交換機是進行信息傳遞的重要環節,因此,用戶可以利用對網絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外,對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。
(2)對信息進行加密。網絡通信中出現的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中,黑客通過竊聽傳輸時的信息、盜取互聯網用戶的相關資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網絡通信當中信息的安全做出威脅。互聯網用戶如果在進行信息傳遞與存儲時,能夠根據具體情況選用合理的方法來對信息進行嚴格的加密處理,那么便可以有效地防治這些信息安全問題的產生。
(3)完善身份驗證系統。身份驗證是互聯網用戶進行網絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存,可以適當地使用一次性密碼,同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發展,目前一些指紋驗證、視網膜驗證等先進生物檢測方法也慢慢得到了運用,這給網絡通信信息安全提供了極大的保障。
篇4
一、網絡的開放性帶來的安全問題
眾所周知,Internet是開放的,而開放的信息系統必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
(一)每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
(二)安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
(三)系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
(四)只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
(五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
(一)認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。
(二)數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
1.私匙加密。私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2.公匙加密。公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
(三)防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
(四)入侵檢測系統
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(五)虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
(六)其他網絡安全技術
1.智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
2.安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
3.網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
4.IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。
篇5
1.國家安全將遭受到威脅
網絡黑客攻擊的目標常包括銀行、政府及軍事部門,竊取和修改信息。這會對社會和國家安全造成嚴重威脅,有可能帶來無法挽回的損失。
2.損失巨大
很多網絡是大型網絡,像互聯網是全球性網絡,這些網絡上連接著無數計算機及網絡設備,如果攻擊者攻擊入侵連接在網絡上的計算機和網絡設備,會破壞成千上萬臺計算機,從而給用戶造成巨大經濟損失。
3.手段多樣,手法隱蔽
網絡攻擊所需設備簡單,所花時間短,某些過程只需一臺連接Internet的PC即可完成。這個特征決定了攻擊者的方式多樣性和隱蔽性。比如網絡攻擊者既可以用監視網上數據來盜取他人的保密信息;可以通過截取他人的帳號和口令潛入他人的計算機系統;可以通過一些方法來繞過或破壞他人安裝的防火墻等等。
網絡安全防范技術
1.病毒的防范
計算機病毒變得越來越復雜,對計算機信息系統構成極大的威脅。在網絡環境中對計算機病毒的防范是網絡安全性建設中重要的一環。它的入侵檢測技術包括基于主機和基于網絡兩種。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。對網絡病毒的防范主要包括預防病毒、檢測病毒和殺毒三種技術。網絡版防病毒系統包括:(1)系統中心:系統中心實時記錄計算機的病毒監控、檢測和清除的信息,實現對整個防護系統的自動控制。(2)服務器端:服務器端為網絡服務器操作系統應用而設計。(3)客戶端:客戶端對當前工作站上病毒監控、檢測和清除,并在需要時向系統中心發送病毒監測報告。(4)管理控制臺:管理控制臺是為了網絡管理員的應用而設計的,通過它可以集中管理網絡上所有已安裝的防病毒系統防護軟件的計算機。
2.防火墻的配置
首先我們了解防火墻所處的位置決定了一些特點包括(1)所有的從外部到內部的通信都必須經過它(。2)只有有內部訪問策略授權的通信才能被允許通過。(3)系統本身具有很強的高可靠性。所以防火墻是網絡安全的屏障,配置防火墑是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個組成部分。它在內部信任網絡和其他任何非信任網絡上提供了不同的規則進行判斷和驗證,確定是否允許該類型的信息通過。一個防火墻策略要符合4個目標,而每個目標通常都不是通過一個單獨的設備或軟件來實現的。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。也可對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時,也能提供網絡使用情況的統計數據。當有網絡入侵或攻擊時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次,利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響,防止內部信息的外泄。
3.數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密包括傳輸過程中的數據加密和存儲數據加密,對于傳輸加密,一般有硬件加密和軟件加密兩種方法實現。網絡中的數據加密,要選擇加密算法和密鑰,可以將這些加密算法分為對稱密鑰算法和公鑰密鑰算法兩種。對稱密鑰算法中,收發雙方使用相同的密鑰。比較著名的對稱密鑰算法有:美國的DES、歐洲的IDEA等。
4.應用入侵檢測技術
入侵檢測系統是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析入侵特征的網絡安全系統。入侵檢測系統的功能包括:監控和分析系統、用戶的行為;評估系統文件與數據文件的完整性,檢查系統漏洞;對系統的異常行為進行分析和識別,及時向網絡管理人員報警;跟蹤管理操作系統,識別無授僅用戶活動。具體應用就是指對那些面向系統資源和網絡資源的未經授權的行為進行識別和響應。入侵檢測通過監控系統的使用情況,來檢測系統用戶的越權使用以及系統外部的人侵者利用系統的安全缺陷對系統進行入侵的企圖。目前主要有兩類入侵檢測系統基于主機的和基于網絡的。前者檢查某臺主機系統日志中記錄的未經授權的可疑行為,并及時做出響應。后者是在連接過程中監視特定網段的數據流,查找每一數據包內隱藏的惡意入侵,并對發現的人侵做出及時的響應。
5.規范安全管理行為
篇6
2局域網網絡安全研究
局域網網絡安全是業內人士討論的經典話題,而且隨著互聯網攻擊的日益頻繁,以及病毒種類的不斷增加與衍生,使人們不得不對局域網安全問題進行重新審視。采取何種防范手段確保局域網安全仍是人們關注的重點。那么為確保局域網網絡安全究竟該采取何種措施呢?接下來從物理安全與訪問控制兩方面進行探討。
1)物理安全策略。物理安全策略側重在局域網硬件以及使用人員方面對局域網進行保護。首先,采取針對性措施,加強對局域網中服務器、通信鏈路的保護,尤其避免人為因素帶來的破壞。例如,保護服務器時可設置使用權限,避免無權限的人員使用服務器,導致服務器信息泄露;其次,加強局域網使用人員的管理。通過制定完善的工作制度,避免外來人員使用局域網,尤其禁止使用局域網時隨意安裝相關軟件,拆卸局域網硬件設備;最后,提高工作人員局域網安全防范意識。通過專業培訓普及局域網安全技術知識,使局域網使用者掌握有效的安全防范技巧與方法,從內部入手做好局域網安全防范工作。
2)加強訪問控制。訪問控制是防止局域網被惡意攻擊、病毒傳染的有效手段,因此,為進一步提高局域網安全性,應加強訪問控制。具體應從以下幾方面入手實現訪問控制。首先,做好入網訪問控制工作。當用戶試圖登錄服務器訪問相關資源時,應加強用戶名、密碼的檢查,有效避免非法人員訪問服務器;其次,給用戶設置不同的訪問權限。當用戶登錄到服務器后,為防止無關人員獲取服務器重要信息,應給予設置對應的權限,即只允許用戶在權限范圍內進行相關操作,訪問相關子目錄、文件夾中的文件等,避免其給局域網帶來安全威脅;再次,加強局域網的監測。網絡管理員應密切監視用戶行為,詳細記錄其所訪問的資源,一旦發現用戶有不法行為應對其進行鎖定,限制其訪問;最后,從硬件方面入手提高網絡的安全性。例如,可根據保護信息的重要程度,分別設置數據庫防火墻、應用層防火墻以及網絡層防火墻。其中數據庫防火墻可對訪問進行控制,一旦發現給數據庫構成威脅的行為可及時阻斷。同時,其還具備審計用戶行為的功能,判斷中哪些行為可能給數據庫信息構成破壞等。應用層防火墻可實現某程序所有程序包的攔截,可有效防止木馬、蠕蟲等病毒的侵入。網絡層防火墻工作在底層TCP/IP協議堆棧上,依據制定的規則對訪問行為進行是否允許訪問的判斷。而訪問規則由管理員結合實際進行設定。
3)加強安全管理。網絡病毒由來已久而且具有較大破壞性,因此,為避免其給網絡造成破壞,管理員應加強管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件,不擅自下載、安裝可疑軟件。另一方面,在使用U盤、軟盤時應先進行病毒查殺。另外,安裝專門的殺毒軟件,如卡巴斯基、360殺毒等并及時更新病毒庫,定期對系統進行掃描,以及時發現病毒將其殺滅。另外,安裝入侵檢測系統。該系統可即時監視網絡傳輸情況,一旦發現可疑文件傳輸時就會發出警報或直接采用相關措施,保護網絡安全。依據方法可將其分為誤用入侵檢測與異常入侵檢測,其中異常檢測又被細分為多種檢測方法,以實現入侵行為檢測,而誤用入侵檢測包括基于狀態轉移分析的檢測法、專家系統法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數據路中的網絡入侵信息進行對比,以及時發現入侵行為。
篇7
當前,我國較多局域網體系沒有單獨創建針對服務器的安全措施,雖然簡單的設置可令各類數據信息位于網絡系統中高效快速的傳播,然而同樣為病毒提供了便利的傳播感染渠道。局域網之中雖然各臺計算機均裝設了預防外界攻擊影響的安全工具,制定了防范措施,然而該類措施恰恰成為網絡安全的一類薄弱環節。在應對局域網絡內部影響攻擊時,效果不佳,尤其在其服務器受到病毒侵襲影響,會令全網系統不良崩潰。為此,對其服務器獨立裝設有效防護措施尤為重要。我們應在服務器內部安裝單獨的監控網內系統、各類病毒庫的實時升級系統,令其在全過程的實時安全監督、優化互補管控之下安全快速的運行。當發覺網內計算機系統受到病毒侵襲時,應快速將聯系中斷,并面向處理中心報告病毒種類,實施全面系統的殺毒處理。而當服務器系統被不良攻擊影響時,則可利用雙機熱備體系、陣列系統安全防護數據信息,提升整體系統安全水平。
樹立安全防范意識,提升應用者防毒水平
局域網產生的眾多安全問題之中,較多由于內網操作應用人員沒有樹立安全防范意識,令操作失誤頻繁發生。例如操作控制人員沒有有效進行安全配置令系統存在漏洞、或是由于安全防范意識不強,令外網攻擊借機入侵。在選擇口令階段中由于操作不慎,或將自身管理應用賬號隨意的借他人應用,均會給網絡安全造成不良威脅影響。另外,網絡釣魚也成為影響計算機局域網絡安全的顯著隱患問題。不法分子慣用該類方式盜取網絡系統賬號、竊用密碼,進而獲取滿足其利益需求的各類重要資訊、信息,還直接盜取他人經濟財產。一些網絡罪犯基于局域網絡系統資源信息全面共享的客觀特征而采取各類方式手段實施數據信息的不良截獲,或借助垃圾郵件群發、發送不明數據包、危險鏈接等誘導迷惑方式,令收信方進行點擊,對于計算機局域網絡系統的優質安全管理運行形成了較大的隱患威脅。為此,應用管理局域網人員應明晰自身責任重大性,以身作則,對于陌生人傳輸信息、不明郵件不應理睬,還可利用刪除、截獲、屏蔽、權限管控等手段阻斷釣魚者侵入通道,不給他們以可乘之機,進而凈化網絡環境。
3實施制度化的文件信息備份管理,預防不可逆損失
篇8
1.2風險威脅與安全防護相適應原則商業銀行面對的是極其復雜的金融環境,要面臨多種風險和威脅,然而商業銀行計算機網絡不容易實現完全的安全。需要對網絡及所處層次的機密性及被攻擊的風險性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統性原則商業銀行計算機網絡的安全防御必須合理使用系統工程的理論進而全面分析網絡的安全及必須使用的具體方法。第一,系統性原則表現在各類管理制度的制定、落實和補充和專業方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關注每個鏈路和節點的安全性,建立系統安防體系。
2計算機網絡安全采取的措施
商業銀行需要依據銀監會的《銀行業金融機構信息系統風險管理指引》,引進系統審計專家進行評估,結合計算機網絡系統安全的解決原則,建立綜合計算機網絡防護措施。
2.1加強外部安全管理網絡管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網絡安全方法,防止黑客發起的攻擊行為,特別是針對于金融安全的商業銀行網絡系統。通過防火墻、入侵檢測系統,組成多層次網絡安全系統,確保金融網絡安全。入侵檢測技術是網絡安全技術和信息技術結合的新方法。通過入侵檢測技術能夠實時監視網絡系統的相關方位,當這些位置受到進攻時,可以馬上檢測和立即響應。構建入侵檢測系統,可以馬上發現商業銀行金融網絡的非法入侵和對信息系統的進攻,可以實時監控、自動識別網絡違規行為并馬上自動響應,實現對網絡上敏感數據的保護。
2.2加強內部安全管理內部安全管理可以利用802.1X準入控制技術、內部訪問控制技術、內部漏洞掃描技術相結合,構建多層次的內部網絡安全體系。基于802.1x協議的準入控制設計強調了對于交換機端口的接入控制。在內部用戶使用客戶端接入局域網時,客戶端會先向接入交換機設備發送接入請求,并將相關身份認證信息發送給接入交換機,接入交換機將客戶端身份認證信息轉發給認證服務器,如果認證成功該客戶端將被允許接入局域網內。如認證失敗客戶端將被禁止接入局域網或被限制在隔離VLAN中。[4]內部訪問控制技術可以使用防火墻將核心服務器區域與內部客戶端區域隔離,保證服務器區域不被非法訪問。同時結合訪問控制列表(ACL)方式,限制內部客戶端允許訪問的區域或應用,保證重要服務器或應用不被串訪。同時結合內部漏洞掃描技術,通過在內部網絡搭建漏洞掃描服務器,通過對計算機網絡設備進行相關安全掃描收集收集網絡系統信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發現的漏洞加以防范。
2.3加強鏈路安全管理對于數據鏈路的安全管理目前常用方法是對傳輸中的數據流進行加密。對于有特殊安全要求的敏感數據需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務器端對端的加密兩種。前者側重在線路上而不考慮信源與信宿,通過在線路兩端設置加密機,通過加密算法對線路上傳輸的所有數據進行加密和解密。后者則指交易數據在服務器端通過調用加密軟件,采用加密算法對所發送的信息進行加密,把相應的敏感信息加密成密文,然后再在局域網或專線上傳輸,當這些信息一旦到達目的地,將由對端服務器調用相應的解密算法解密數據信息。隨著加密技術的不斷運用,針對加密數據的破解也越來越猖獗,對數據加密算法的要求也越來越高,目前根據國家規定越來越多的商業銀行開始使用國密算法。
篇9
1.1插入攻擊插入攻擊以部署非授權的設備或創建新的無線網絡為基礎,這種部署或創建往往沒有經過安全過程或安全檢查。可對接入點進行配置,要求客戶端接入時輸入口令。如果沒有口令,入侵者就可以通過啟用一個無線客戶端與接入點通信,從而連接到內部網絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。
1.2漫游攻擊者攻擊者沒有必要在物理上位于企業建筑物內部,他們可以使用網絡掃描器,如Netstumbler等工具。可以在移動的交通工具上用筆記本電腦或其它移動設備嗅探出無線網絡,這種活動稱為“wardriving”;走在大街上或通過企業網站執行同樣的任務,這稱為“warwalking”。
1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網絡所有者的許可或知曉的情況下,就設置或存在的接入點。一些雇員有時安裝欺詐性接入點,其目的是為了避開已安裝的安全手段,創建隱蔽的無線網絡。這種秘密網絡雖然基本上無害,但它卻可以構造出一個無保護措施的網絡,并進而充當了入侵者進入企業網絡的開放門戶。
1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”,雙面惡魔其實就是一個以鄰近的網絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點,然后竊取個別網絡的數據或攻擊計算機。
1.5竊取網絡資源有些用戶喜歡從鄰近的無線網絡訪問互聯網,即使他們沒有什么惡意企圖,但仍會占用大量的網絡帶寬,嚴重影響網絡性能。而更多的不速之客會利用這種連接從公司范圍內發送郵件,或下載盜版內容,這會產生一些法律問題。
1.6對無線通信的劫持和監視正如在有線網絡中一樣,劫持和監視通過無線網絡的網絡通信是完全可能的。它包括兩種情況,一是無線數據包分析,即熟練的攻擊者用類似于有線網絡的技術捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分,而其數據一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶,并劫持用戶會話和執行一些非授權的命令等。第二種情況是廣播包監視,這種監視依賴于集線器,所以很少見。
二、保障無線網絡安全的技術方法
2.1隱藏SSIDSSID,即ServiceSetIdentifier的簡稱,讓無線客戶端對不同無線網絡的識別,類似我們的手機識別不同的移動運營商的機制。參數在設備缺省設定中是被AP無線接入點廣播出去的,客戶端只有收到這個參數或者手動設定與AP相同的SSID才能連接到無線網絡。而我們如果把這個廣播禁止,一般的漫游用戶在無法找到SSID的情況下是無法連接到網絡的。需要注意的是,如果黑客利用其他手段獲取相應參數,仍可接入目標網絡,因此,隱藏SSID適用于一般SOHO環境當作簡單口令安全方式。
2.2MAC地址過濾顧名思義,這種方式就是通過對AP的設定,將指定的無線網卡的物理地址(MAC地址)輸入到AP中。而AP對收到的每個數據包都會做出判斷,只有符合設定標準的才能被轉發,否則將會被丟棄。這種方式比較麻煩,而且不能支持大量的移動客戶端。另外,如果黑客盜取合法的MAC地址信息,仍可以通過各種方法適用假冒的MAC地址登陸網絡,一般SOHO,小型企業工作室可以采用該安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱,所有經過WIFI認證的設備都支持該安全協定。采用64位或128位加密密鑰的RC4加密算法,保證傳輸數據不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼,部署比較麻煩;使用靜態非交換式密鑰,安全性也受到了業界的質疑,但是它仍然可以阻擋一般的數據截獲攻擊,一般用于SOHO、中小型企業的安全加密。
2.4AP隔離類似于有線網絡的VLAN,將所有的無線客戶端設備完全隔離,使之只能訪問AP連接的固定網絡。該方法用于對酒店和機場等公共熱點HotSpot的架設,讓接入的無線客戶端保持隔離,提供安全的Internet接入。
2.5802.1x協議802.1x協議由IEEE定義,用于以太網和無線局域網中的端口訪問與控制。802.1x引入了PPP協議定義的擴展認證協議EAP。作為擴展認證協議,EAP可以采用MD5,一次性口令,智能卡,公共密鑰等等更多的認證機制,從而提供更高級別的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的簡稱,下一代無線規格802.11i之前的過渡方案,也是該標準內的一小部分。WPA率先使用802.11i中的加密技術-TKIP(TemporalKeyIntegrityProtocol),這項技術可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協議,而且TKIP加密仍不能滿足高端企業和政府的加密需求,該方法多用于企業無線網絡部署。
2.7WPA2WPA2與WPA后向兼容,支持更高級的AES加密,能夠更好地解決無線網絡的安全問題。由于部分AP和大多數移動客戶端不支持此協議,盡管微軟已經提供最新的WPA2補丁,但是仍需要對客戶端逐一部署。該方法適用于企業、政府及SOHO用戶。
篇10
2加強計算機管理技術在網絡安全中的應用方法
2.1要裴炎高素質的計算機網絡維護人才,畢竟現代社會是知識經濟時代,擁有專業知識的人才對國家和企業的發展是十分重要的,因此就要引進和培養一批懂計算機的專業人才來服務國家和企業,防止一些不法分子利用一些邪門歪道來竊取重要的信息。計算機專業人才因為學過這方面的專業知識,他們會熟練的使用計算機管理技術來實現整個局域網的安全,隨著計算機不斷的發展,專業人才的知識也在不斷的更新,他們能掌握計算網絡當中一些重要的信息,熟練操作一些重要的軟件和數據庫,從而讓計算機網絡平穩的運行。因此,人才的引進是十分重要的,只有擁有軟實力,才能在今后的競爭中占據有利的位置,不斷適應時展的潮流。
2.2要做好計算機網絡的信息安全管理工作,首先就要建立起一套安全的網絡信息實施計劃,并要根據計劃一步一步的實施,要給社會營造一種綠色的上網環境,同時要在計劃當中增加一些科學的元素,在實際的使用過程中,要構建一個管理模型,要多向先進的管理團隊看齊,掌握好計算網絡管理的中堅技術,這個時候計算網絡信息系統就顯得十分的重要,在面臨問題的時候,可以系統中的步驟一步一步的拯救和改善,這樣才能合理并安全的實現計算機信息網絡的安全,相關的技術人員也要認真對待自身的本職工作,只有通過這樣將責任個人化,才能使得計算機網絡信息安全得到保障。
2.3在日常使用計算網絡進行工作的時候,為了防止計算機網絡出現漏洞,就必須要定期給計算機進行檢查,使用一些計算機安全軟件實時保護和監視計算機的基本情況,如果計算機出現問題,就要對存在的問題進行分析和采取一些措施來補救,不能拖延的太久,越拖得久,計算機積累的垃圾也就越多。與此同時,要針對不同的用戶制定不一樣的登錄口令和驗證碼,避免一些不法分子很輕易的就用一些軟件破譯計算機的登錄密碼,做好計算機的網絡信息管理工作,要將防范的范圍擴大化,重視計算機軟硬件之間的結合工作,做好細節的防范工作是保護重要信息不被竊取的重要途徑之一。
2.4要提高計算信息信息管理的水平,最重要的一點就是引起足夠的重視,對一些微乎其微的問題也要杜絕,時刻保持安全防范的意識,在工作中多加注意每個小細節,對于一些不良的信息要及時的清理,避免存在一些病毒從而竊取機密信息,企業和各個機關單位也要組建一批高素質的技術人員,并要培訓這些計算機技術人員的計算機安全防范意識和管理能力,讓他們從思想上牢固樹立計算機安全防范意識,在工作中將這種思想傳播給更多的人,畢竟做好計算機信息網絡管理工作是一項相當緊迫的任務,因此,一旦信息系統受到黑客和病毒的進攻,各種隱私材料將在非常短的時間內消失,會給企業和機關單位帶來慘重的災難,因此,提高防范的警惕性是非常重要的。
篇11
一方面,電力調度自動化具有復雜性,也正是因為它的這種復雜性,讓電力調度人員在對電力調度自動化的網絡系統進行管理的時候,出現了難以對其進行管理的現象。另一方面,隨著互聯網的不斷發展,更是增強了一些惡意軟件和黑客的技術手段,這就從很大程度上增加了電力調度自動化的網絡安全問題。隨著電力調度自動化網絡安全問題的加深,電力調度自動化在運行的過程當中,就會出現越來越多的問題,從而導致整個電力調度自動化不能正常的進行運轉。
3電力調度人員沒有盡到該盡的責任
電力調度人員自身的素質,在電力調度自動化管理的過程當中起著決定性的作用。因此,電力調度人員要是不具備很高的個人素質,那么他在工作的整個過程當中,就不會用嚴謹的態度去履行工作的義務,那就更別說是承擔起相應的責任了。于是,一旦網絡安全出現問題,他們也就無法及時找到造成這些問題出現的因素,從而導致問題越來越嚴重,以致于最后危及到了整個電力調度自動化的運行。
4探究解決電力調度自動化網絡安全問題的方法
通過對電力調度自動化的網絡安全問題進行仔細的分析和探究,現將能夠有效解決這一問題的方法列舉出來:
4.1為電力調度自動化建造一個基于科學之上的網絡結構
建設人員在為電力調度自動化建立網絡結構的時候,要嚴格的按照網絡安全中所規定的去進行,以確保網絡結構的一致性和完整性。
4.2安排專業的技術人員對電力調度自動化的網絡系統進行管理
當電力調度自動化在運行的時候,電力企業要安排專業的技術人員,對電力調度自動化網絡系統進行實時的監控和管理。一旦網絡系統出現了問題,那么技術人員就可以及時的發現,并找出造成這一問題出現的原因,然后對其進行全面的分析和探究,最后總結出一個能夠有效解決這一問題的辦法。其次,電力企業還要對這些技術人員進行定期的網絡安全管理知識的培訓,以提高他們的網絡管理水平。
4.3對電力調度自動化的網絡系統進行定期的維護
對網絡系統進行定期的維護,可以有效的減少網絡系統出現問題的概率。當然,在對網絡系統進行維護的時候,要對網絡系統進行全方位的檢查和維護,比如:可以用殺毒軟件清理網絡系統中的垃圾、對需要升級的軟件進行升級和檢查網絡系統中的信息等等。只有加強了對網絡系統的維護,才能夠從很大程度上避免網絡系統在運行的過程當中出現安全性問題。
篇12
1.通過偽裝發動攻擊
利用軟件偽造IP包,把自己偽裝成被信任主機的地址,與目標主機進行會話,一旦攻擊者冒充成功,就可以在目標主機并不知曉的情況下成功實施欺騙或入侵;或者,通過偽造IP地址、路由條目、DNS解析地址,使受攻擊服務器無法辨別這些請求或無法正常響應這些請求,從而造成緩沖區阻塞或死機;或者,通過將局域網中的某臺機器IP地址設置為網關地址,導致網絡中數據包無法正常轉發而使某一網段癱瘓。
2.利用開放端口漏洞發動攻擊
利用操作系統中某些服務開放的端口發動緩沖區溢出攻擊。這主要是由于軟件中邊界條件、函數指針等方面設計不當或缺乏限制,因而造成地址空間錯誤的一種漏洞。利用軟件系統中對某種特定類型的報文或請求沒有處理,導致軟件遇到這種類型的報文時運行出現異常,從而導致軟件崩潰甚至系統崩潰。
3.通過木馬程序進行入侵或發動攻擊
木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點,一旦被成功植入到目標主機中,計算機就成為黑客控制的傀儡主機,黑客成了超級用戶。木馬程序可以被用來收集系統中的重要信息,如口令、賬號、密碼等。此外,黑客可以遠程控制傀儡主機對別的主機發動攻擊,如DDoS攻擊就是大量傀儡主機接到攻擊命令后,同時向被攻擊目標發送大量的服務請求數據包。
4.嗅探器和掃描攻擊
嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息,它對網絡安全的威脅來自其被動性和非干擾性,使得網絡嗅探具有很強的隱蔽性,往往讓網絡信息泄密變得不容易被發現。掃描,是指針對系統漏洞,對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機的有用信息,作為實施下一步攻擊的前奏。
為了應對不斷更新的網絡攻擊手段,網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術,入侵檢測、入侵防
御和漏洞掃描屬主動檢測技術,這些技術領域的研究成果已經成為眾多信息安全產品的基礎。
二、網絡的安全策略分析
早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括:
1.防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.VPN
VPN(VirtualPrivateNetwork)即虛擬專用網絡,它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。為了保障信息的安全,VPN技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。VPN技術可以在不同的傳輸協議層實現,如在應用層有SSL協議,它廣泛應用于Web瀏覽程序和Web服務器程序,提供對等的身份認證和應用數據的加密;在會話層有Socks協議,在該協議中,客戶程序通過Socks客戶端的1080端口透過防火墻發起連接,建立到Socks服務器的VPN隧道;在網絡層有IPSec協議,它是一種由IETF設計的端到端的確保IP層通信安全的機制,對IP包進行的IPSec處理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)兩種方式。
3.防毒墻
防毒墻是指位于網絡入口處,用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作,阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址,以及TCP/UDP端口和協議。
三、網絡檢測技術分析
人們意識到僅僅依靠防護技術是無法擋住所有攻擊,于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有:
1.入侵檢測
入侵檢測系統(IntrusionDetectionSystem,IDS)是用于檢測任何損害或企圖損害系統的保密性、完整性或可用的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充,入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。
2.入侵防御
入侵防御系統(IntrusionPreventionSystem,IPS)則是一種主動的、積極的入侵防范、阻止系統。IPS是基于IDS的、建立在IDS發展的基礎上的新生網絡安全技術,IPS的檢測功能類似于IDS,防御功能類似于防火墻。IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而IPS部署在網絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為IPS就是防火墻加上入侵檢測系統,但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于TCP/IP協議的過濾方面表現出色,同時具備網絡地址轉換、服務、流量統計、VPN等功能。
3.漏洞掃描
漏洞掃描技術是一項重要的主動防范安全技術,它主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(Honeypot)系統,它是故意讓人攻擊的目標,引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析,來發現攻擊者的攻擊方法及系統存在的漏洞。
四、結語
盡管傳統的安全技術在保障網絡安全方面發揮了重要作用,但在一個巨大、開放、動態和復雜的互聯網中技術都存在著各種各樣的局限性。安全廠商在疲于奔命的升級產品的檢測數據庫,系統廠商在疲于奔命的修補產品漏洞,而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統的防病毒軟件只能用于防范計算機病毒,防火墻只能對非法訪問通信進行過濾,而入侵檢測系統只能被用來識別特定的惡意攻擊行為。在一個沒有得到全面防護的計算機設施中,安全問題的炸彈隨時都有爆炸的可能。用戶必須針對每種安全威脅部署相應的防御手段,這樣使信息安全工作的復雜度和風險性都難以下降。為了有效地解決日益突出的網絡安全問題,網絡安全研究人員和網絡安全企業也不斷推出新的網絡安全技術和安全產品。
參考文獻:
[1]周碧英:淺析計算機網絡安全技術[J].甘肅科技,2008,24(3):18~19
[2]潘號良:面向基礎設施的網絡安全措施探討[J].軟件導刊,2008,(3):74~75
篇13
在網絡信息系統中,安全標記是強制訪問控制實施的基礎。實現安全標記與課堂之間的綁定是多級安全網絡中實現數據安全共享的關鍵。實現安全標記與客體的綁定包括信息客體、進程等,當前的安全標記與客體的綁定并不能夠滿足多級安全控制的需要,需要對存在的問題進行分析,在此基礎上提出基于數據樹統一化描述的安全標志與課堂的綁定方式,從而實現了綁定的統一性,確保了安全標記的安全性,為實施更為細粒度的訪問控制提供了保障。
三、信息客體聚合推導控制方法
多級安全網絡中存在著客體信息聚合導致了信息泄密問題。需要對客體之間的關系進行分析,通過多級安全網絡信息課堂聚合推導控制方法實現對多級安全網絡訪問控制策略的制定。通過對關聯客體與相似客體的角度研究了客體聚合推導控制。信息客體聚合推導控制方法包括兩個方面,一方面是基于屬性關聯的客體聚合信息級別推演方法,另一方面是基于聚類分析的客體聚合信息級別推演方法。通過這兩種方式實現多級安全網絡防護基本原則的改變,對多級安全網絡中主體對客體的訪問進行有效的控制,降低或者消除泄密的風險。
四、通信協議簇設計
通信的基礎就是協議,只有通過安全協議才能夠實現安全互聯。在多級安全網絡中,存在著通信關系比較復雜的現象,其靈活性較差。尤其是在實現了信息系統互聯之后,容易引起攻擊者興趣的往往是具有了一定安全級別的信息。在對多級安全網絡的特點進行分析了基礎上,對多級安全網絡的通信協議簇進行了設計,產生了MLN-SCP,這種通信協議簇包括兩個方面,一方面是多級安全通道建立協議ML-STEP,主要的作用是建立多級安全通道,對通道的秘鑰材料進行協商,從而確保數據傳輸過程中的安全,另一方面是多級安全網絡傳輸協議MLN-STP,主要的作用是通過安全通道模式與UDP封裝通道模式實現數據的安全封裝與安全標記的攜帶,對通道內數據傳輸的安全進行保障。通信協議簇MLN-SCP更加適合與多級安全網絡信息系統之間的安全互聯。
