緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡安全論文���,愿這些內(nèi)容能夠啟迪您的思維��,激發(fā)您的創(chuàng)作熱情�����,歡迎您的閱讀與分享!
篇1
1.1五層體系架構設計
隨著互聯(lián)網(wǎng)的飛速發(fā)展��,城市人民的生活基本進入信息化時代�,人們不管是網(wǎng)上購物�,還是在線聊天等�,或多或少了一些個人信息�。甚至我國很大一部分的企業(yè)關鍵信息都存儲于網(wǎng)絡����,因此網(wǎng)絡是信息傳遞和存儲的載體,它的正常運行有效地保證了用戶信息的安全����。網(wǎng)絡信息安全主要涵蓋網(wǎng)絡信息安全、傳輸安全和內(nèi)容安全三個方面���,網(wǎng)絡數(shù)據(jù)傳播的渠道方式以及傳播的信息內(nèi)容是否真實可靠���?����;谖覈?a href="http://www.hapx.net/haowen/36906.html" target="_blank">網(wǎng)絡安全基本情況�����,所謂網(wǎng)絡安全�����,主要體現(xiàn)在從以下四個方面:網(wǎng)絡信息數(shù)據(jù)的完整性�����、保密性以及共享數(shù)據(jù)的可控性和可用性。每一個安全特征都需要每個網(wǎng)絡用戶自覺維護����,才能實現(xiàn)。本文根據(jù)網(wǎng)絡安全要求及其特征�,對目前網(wǎng)絡安全做了體現(xiàn)架構分析�。根據(jù)用戶群體的不同將網(wǎng)絡劃分為五個層次�,分別為應用和保密基礎層�、應用群體�、用戶群體�����、系統(tǒng)群體以及網(wǎng)絡群體���。目前���,本文所提的五層網(wǎng)絡安全體系在全球范圍內(nèi)已經(jīng)得到了公認�����,并且也已經(jīng)成功應用在網(wǎng)絡安全產(chǎn)品之中�����,五層網(wǎng)絡安全體系主要涵蓋五層�,下面針對每層的安全性問題做簡要分析�����。
1.1.1網(wǎng)絡層的安全性
網(wǎng)絡信息和傳輸是否能得到控制是網(wǎng)絡層安全性的核心問題,網(wǎng)絡用戶通過固定的IP地址進入網(wǎng)絡系統(tǒng),而網(wǎng)絡則對此IP地址傳輸?shù)臄?shù)據(jù)進行檢查�����,查看信息內(nèi)容是否安全���,安全則允許傳輸��,否則屏蔽����。目前網(wǎng)絡安全性提高方法主要由兩種:防火墻產(chǎn)品和VPN(虛擬專用網(wǎng))���。
1.1.2系統(tǒng)的安全性
網(wǎng)絡系統(tǒng)中的安全性主要包括兩個方面:第一是非法黑客對網(wǎng)絡系統(tǒng)的入侵和破壞;第二是傳統(tǒng)病毒對網(wǎng)絡系統(tǒng)的入侵和破壞�����。病毒是一種可復制性���、具有攻擊型可執(zhí)行文件�,這些病毒的源頭是非法程序員通過網(wǎng)絡散布的、破壞正常文件的可執(zhí)行文件�;黑客是通過非法渠道進入網(wǎng)絡系統(tǒng)竊取他人資料;這兩種方式都是破壞系統(tǒng)安全性的渠道�。
1.1.3用戶操作安全性
目前�����,網(wǎng)絡數(shù)據(jù)主要分為兩種����,一種是靜態(tài)數(shù)據(jù)�����;一種是動態(tài)數(shù)據(jù)���;而用戶都是通過靜態(tài)數(shù)據(jù)進行校驗,登錄系統(tǒng),但往往由于用戶操作失誤或遺失賬號密碼�,導致系統(tǒng)出現(xiàn)漏洞��,給非法用戶提供了侵入系統(tǒng)接口�����。
1.1.4應用程序的安全性
應用程序安全性主要涉及兩個方面的問題:一是應用程序?qū)?shù)據(jù)的合法權限����;二是應用程序?qū)τ脩舻暮戏嘞?����。即合法用戶通過應用程序操作合法數(shù)據(jù)��。
1.1.5數(shù)據(jù)的安全性
數(shù)據(jù)作為整個架構層次的核心部分�,其保存前���、中和后都需要進行加密�,充分保證數(shù)據(jù)的安全性����,即使在數(shù)據(jù)被竊后。通過數(shù)據(jù)加密等措施����,即使數(shù)據(jù)丟失��,也可以讓非法入侵者得到的是加密文件��,無法了解其信息內(nèi)容����。上述的五層安全體系并非孤立分散�����。他們是有機的結合體��,通過互相的數(shù)據(jù)共享和聯(lián)通,形成整個網(wǎng)絡體系架構�����,以上便是本文所設計及介紹的五層網(wǎng)絡安全體系���。
1.2安全技術分析
從上個世紀網(wǎng)絡盛行時�,網(wǎng)絡安全就被世人所關注�,針對網(wǎng)絡漏洞和病毒���,科學家和研究者制定出各種協(xié)議和規(guī)則�����,甚至研究出各種網(wǎng)絡安全技術,下面就幾種成熟的網(wǎng)絡安全技術進行分別介紹��。
(1)防火墻技術。
防火墻作為一種網(wǎng)絡數(shù)據(jù)核查軟件���,很好的杜絕了網(wǎng)絡用戶通過非法渠道獲取其他網(wǎng)絡用戶信息�,它通過分包和IP地址并行校驗機制���,對外來數(shù)據(jù)進行一一檢查���,此種技術很好的保障了內(nèi)部數(shù)據(jù)的安全性���。目前,防火墻技術主要是分組過濾和服務兩種類型�����,它們的主要宗旨是保護外來非法數(shù)據(jù)對本地數(shù)據(jù)的入侵和破壞����,防火墻技術是一種真正保證本地數(shù)據(jù)的有效工具����,它通過固定的網(wǎng)絡協(xié)議對往來電子郵件進行過濾�����,使進出數(shù)據(jù)都得到了很好的檢驗。
(2)應用網(wǎng)關����。
應用網(wǎng)關主要是針對網(wǎng)絡數(shù)據(jù)傳輸過程中的數(shù)據(jù)包進行過濾�����,一般與防火墻技術組合使用��,防火墻將數(shù)據(jù)包送至應用網(wǎng)關����,應用網(wǎng)關可以被用來處理電子郵件�����,遠程登錄����,及文件傳輸。
(3)虛擬私人網(wǎng)絡�。
虛擬網(wǎng)絡主要是為一些用戶專門訪問而成立的技術,因此可以在Internet上建立自己的虛擬私人網(wǎng)絡是一個安全的策略����。通過路由器�����,虛擬鏈接就形成了。這樣就可以由用戶建立一個專內(nèi)網(wǎng)絡���,進行數(shù)據(jù)交換��,形成內(nèi)部網(wǎng)絡�。由此可見,通過這種手段來保護數(shù)據(jù)的安全����。
(4)數(shù)據(jù)加密技術��。
為防止數(shù)據(jù)被外部非法用戶所竊取的另外一個重要技術就是數(shù)據(jù)加密技術,它也是目前最為常用,而且安全性和可靠性非常高���,數(shù)據(jù)加密技術主要包括密鑰機制�����、數(shù)據(jù)傳輸�、存儲和完整性等��。數(shù)據(jù)傳輸加密技術��。數(shù)據(jù)存儲加密技術���。數(shù)據(jù)完整性鑒別技術����。密鑰管理技術。
(5)智能卡技術�����。
智能卡技術主要是對存儲數(shù)據(jù)的磁盤進行管理���,在存儲空間設置授權機制,非授權數(shù)據(jù)和非授權的操作用戶都將無法與智能卡進行交互,這種方式充分保障了智能卡總的數(shù)據(jù)安全性�����,適合獨立和重要數(shù)據(jù)保護應用技術之一��。
2.數(shù)據(jù)加密
2.1數(shù)據(jù)加密技術
加密技術是保證某些信息只有目標接收人才能讀懂其含義的一種方法。所有的加密技術都要使用算法�,算法是一種復雜的數(shù)字規(guī)則,被設計用來攪亂信息����,以防止第三者對信息的截獲���。密碼體制技術是研究通信安全保密的學科����,它由密碼編碼學和密碼分析學兩部分組成。密碼編碼學是研究對信息進行變換�����,以保護信息在傳送過程中不被第三方竊取���、解讀和利用的方法�,它涉及對數(shù)據(jù)的保護��、控制和標識���。密碼分析學研究如何分析和破譯密碼�����,二者既相互對立,又相互促進��。加密算法的抗攻擊能力可用加密強度來衡量�����,加密強度由三個因素組成:算法強度��、密鑰的保密性�����、密鑰長度。加密技術是信息安全系統(tǒng)中常用的一種數(shù)據(jù)保護工具����,而這種加密技術可用在交易過程中使用�����,加密體制無外乎分為兩種,一種是對稱加密����,另一種是非對稱加密體制。除了這兩種加密體制外���,還包括了哈希技術和數(shù)字簽名技術�。這些加密技術都在五層體系架構中發(fā)揮著重要的作用。
(1)對稱加密/對稱密鑰加密/專用密鑰加密體制。
如果使用對稱加密方式�����,相同的密鑰被使用在信息加密和解密的過程中,加密算法可以通過使用對稱加密方法將其簡化����,每個貿(mào)易方都采用相同的加密算法并只交換共享的專用密鑰���,而不必彼此研究和交換專用的加密算法��。
(2)非對稱加密/公開密鑰加密�����。
非對稱加密和公開密鑰加密同屬一個意思�。即在這種加密體制中����,密鑰被分解為一個加密密鑰和一個專用的解密密鑰�。非對稱加密算法中最著名的就是RSA算法�����,它的優(yōu)點是加密復雜度高����,不易破解�,但他的缺點是運行速度慢�。因此在實際加密過程中基本不采用此種加密算法����。對應加密量大的應用,公開密鑰加密算法通常用于對稱加密方法密鑰的加密��。
2.2密鑰安全分析
密鑰是數(shù)據(jù)加密技術中的核心算法點���,本文所討論的五層架構體系中所有的數(shù)據(jù)傳輸和存儲及訪問����,都基于數(shù)據(jù)加密技術的支持,隨著技術的發(fā)展,加密技術不斷完善���,但完成安全的數(shù)據(jù)通訊���,僅僅有加密和解密算法還是不夠的����,還需要有安全的密鑰分配協(xié)議的支持�。在網(wǎng)絡數(shù)據(jù)傳輸過程中,采用公鑰密碼系統(tǒng)有較好的安全性,但加密解密的速度慢��,而私鑰雖然速度快,但不安全��,因此密鑰分配協(xié)議(簡稱KDP)是一種增強加密和解密的安全性����。目前�,世界存在的密鑰分配協(xié)議有兩種���,一種是基于單一網(wǎng)絡的密鑰分配協(xié)議�����;一種是基于網(wǎng)絡時鐘同步的網(wǎng)絡密鑰分配協(xié)議���;還有一種是基于層次的KDP��。但這三種協(xié)議由于種種原因(必要前提、不可修補等)而不能長時間應用與數(shù)據(jù)加密技術中�。
2.3可修補密鑰分配協(xié)議
本文基于數(shù)據(jù)加密技術和網(wǎng)絡安全的五層體系架構考慮��,設計一種可替補的密鑰分配協(xié)議方法,通過此協(xié)議��,增加數(shù)據(jù)加密密鑰的合理性和減小密鑰丟失的風險性�,提高網(wǎng)絡安全性能���。所謂密鑰可修補分配協(xié)議的重點在于當一個密鑰由于病毒��、黑客或用戶誤操作而導致的系統(tǒng)漏洞����,因此系統(tǒng)就出現(xiàn)各種被惡意破壞的可能存在,目前部分密鑰分配協(xié)議中采用新密鑰代替被泄露的密鑰�����,但也無法保證沒有了安全漏洞���。而本文所設計的密鑰分配協(xié)議不僅能取代泄露的密鑰,而且可使系統(tǒng)恢復至初始��,此種協(xié)議被稱為可替補協(xié)議���。
3.總結
篇2
網(wǎng)絡安全通信是實現(xiàn)信息系統(tǒng)互聯(lián)互通的主要手段���,因此建立多級安全網(wǎng)絡通信模型是實現(xiàn)網(wǎng)絡信息系統(tǒng)安全互聯(lián)的重要保障��。當前����,雖然正對多級安全模型的研究已經(jīng)取得了一定的效果�,但是依舊不能夠滿足多級安全網(wǎng)絡通信的實際需求�����,存在著靈活性較差���、客體信息聚合推導泄密、傳輸信息泄密干擾等問題�。因此,實現(xiàn)多級安全網(wǎng)絡信息系統(tǒng)間的安全互聯(lián)互通的關鍵是支持具有多級安全屬性的網(wǎng)絡通信安全機制。
二�、安全標記綁定技術
在網(wǎng)絡信息系統(tǒng)中���,安全標記是強制訪問控制實施的基礎。實現(xiàn)安全標記與課堂之間的綁定是多級安全網(wǎng)絡中實現(xiàn)數(shù)據(jù)安全共享的關鍵���。實現(xiàn)安全標記與客體的綁定包括信息客體�����、進程等�,當前的安全標記與客體的綁定并不能夠滿足多級安全控制的需要,需要對存在的問題進行分析�,在此基礎上提出基于數(shù)據(jù)樹統(tǒng)一化描述的安全標志與課堂的綁定方式���,從而實現(xiàn)了綁定的統(tǒng)一性�,確保了安全標記的安全性�����,為實施更為細粒度的訪問控制提供了保障���。
三��、信息客體聚合推導控制方法
多級安全網(wǎng)絡中存在著客體信息聚合導致了信息泄密問題�����。需要對客體之間的關系進行分析���,通過多級安全網(wǎng)絡信息課堂聚合推導控制方法實現(xiàn)對多級安全網(wǎng)絡訪問控制策略的制定����。通過對關聯(lián)客體與相似客體的角度研究了客體聚合推導控制�����。信息客體聚合推導控制方法包括兩個方面���,一方面是基于屬性關聯(lián)的客體聚合信息級別推演方法�,另一方面是基于聚類分析的客體聚合信息級別推演方法。通過這兩種方式實現(xiàn)多級安全網(wǎng)絡防護基本原則的改變����,對多級安全網(wǎng)絡中主體對客體的訪問進行有效的控制,降低或者消除泄密的風險����。
四、通信協(xié)議簇設計
通信的基礎就是協(xié)議,只有通過安全協(xié)議才能夠?qū)崿F(xiàn)安全互聯(lián)����。在多級安全網(wǎng)絡中,存在著通信關系比較復雜的現(xiàn)象�����,其靈活性較差����。尤其是在實現(xiàn)了信息系統(tǒng)互聯(lián)之后�����,容易引起攻擊者興趣的往往是具有了一定安全級別的信息����。在對多級安全網(wǎng)絡的特點進行分析了基礎上��,對多級安全網(wǎng)絡的通信協(xié)議簇進行了設計�����,產(chǎn)生了MLN-SCP�����,這種通信協(xié)議簇包括兩個方面�,一方面是多級安全通道建立協(xié)議ML-STEP����,主要的作用是建立多級安全通道��,對通道的秘鑰材料進行協(xié)商,從而確保數(shù)據(jù)傳輸過程中的安全,另一方面是多級安全網(wǎng)絡傳輸協(xié)議MLN-STP����,主要的作用是通過安全通道模式與UDP封裝通道模式實現(xiàn)數(shù)據(jù)的安全封裝與安全標記的攜帶�,對通道內(nèi)數(shù)據(jù)傳輸?shù)陌踩M行保障�。通信協(xié)議簇MLN-SCP更加適合與多級安全網(wǎng)絡信息系統(tǒng)之間的安全互聯(lián)。
五、總結
篇3
1.1系統(tǒng)功能
在網(wǎng)絡安全態(tài)勢感知系統(tǒng)中��,網(wǎng)絡服務評估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一��。一方面���,它能向上層管理者提供目標網(wǎng)絡的安全態(tài)勢評估。另一方面��,服務數(shù)據(jù)源為其它傳感器(Log傳感器�、SNMP傳感器��、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)[1]����。
1.2主要功能
(1)風險評估���,根據(jù)國家安全標準并利用測試系統(tǒng)的數(shù)據(jù)和主要的風險評估模型�����,獲取系統(tǒng)數(shù)據(jù),定義系統(tǒng)風險�����,并提出應對措施[2]。
(2)安全態(tài)勢評估與預測����,利用得到的安全測試數(shù)據(jù)�����,按照預測����、隨機和綜合量化模型�����,對信息系統(tǒng)作出安全態(tài)勢評估與預測����,指出存在的安全隱患并提出安全解決方案���。
(3)建立數(shù)據(jù)庫支撐,包括評估模型庫�、專家知識庫����、標準規(guī)范庫等�。
(4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評估結果��。
2系統(tǒng)組成和總體架構
2.1系統(tǒng)組成
網(wǎng)絡安全評估系統(tǒng)態(tài)勢評估系統(tǒng)是在Windows7平臺下��,采用C++builder2007開發(fā)的。它的數(shù)據(jù)交互是通過核心數(shù)據(jù)庫來運行的��,為了使評估的計算速度和讀寫數(shù)據(jù)庫數(shù)據(jù)更快,應將子系統(tǒng)與核心數(shù)據(jù)庫安裝在同一機器上���。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項目數(shù)據(jù)交互和結果數(shù)據(jù)交互��。前者分發(fā)采用移動存儲的形式進行�,而后者的提交獲取是通過核心數(shù)據(jù)庫運行�����。
2.2總體架構
系統(tǒng)包括人機交互界面���、控制管理�����、數(shù)據(jù)整合����、漏洞掃描����、安全態(tài)勢評估和預測�、本地數(shù)據(jù)庫等六個模塊組成�。網(wǎng)絡安全評估系統(tǒng)中的漏洞掃描部分采用插件技術設計總體架構�����。掃描目標和主控臺是漏洞掃描子系統(tǒng)的主要部分,后者是漏洞掃描子系統(tǒng)運行的中心�����,主控臺主要是在用戶打開系統(tǒng)之后��,通過操作界面與用戶進行交流�����,按照用戶下達的命令及調(diào)用測試引擎對網(wǎng)絡上的主機進行漏洞測試����,測試完成后調(diào)取所占用的資源��,并取得掃描結果�����,最后形成網(wǎng)絡安全測試評估報告�����,通過這個測試,有利于管理人員發(fā)現(xiàn)主機有可能會被黑客利用的漏洞,在這些薄弱區(qū)被黑客攻擊之前對其進行加強整固����,從而提高主機網(wǎng)絡系統(tǒng)的安全性�����。
3系統(tǒng)工作流程
本系統(tǒng)首先從管理控制子系統(tǒng)獲取評估任務文件[3],然后根據(jù)任務信息從中心數(shù)據(jù)庫獲取測試子系統(tǒng)的測試數(shù)據(jù),再對這些數(shù)據(jù)進行融合(加權��、去重)�����,接著根據(jù)評估標準����、評估模型和支撐數(shù)據(jù)庫進行評估[4]���,評估得到網(wǎng)絡信息系統(tǒng)的安全風險��、安全態(tài)勢�,并對網(wǎng)絡信息系統(tǒng)的安全態(tài)勢進行預測���,最后將評估結果進行可視化展示,并生成相關評估報告���,以幫助用戶進行最終的決策[5]。
4系統(tǒng)部分模塊設計
4.1網(wǎng)絡主機存活性識別的設計
“存活”是用于表述網(wǎng)絡主機狀態(tài)[6],在網(wǎng)絡安全評估系統(tǒng)中存活性識別流程對存活主機識別采用的方法是基于ARP協(xié)議���。它的原理是當主機或路由器正在尋找另外主機或路由器在此網(wǎng)絡上的物理地址的時候�����,就發(fā)出ARP查詢分組���。由于發(fā)送站不知道接收站的物理地址��,查詢便開始進行網(wǎng)絡廣播�。所有在網(wǎng)絡上的主機和路由器都會接收和處理分組����,但僅有意圖中的接收者才會發(fā)現(xiàn)它的IP地址�����,并響應分組��。
4.2網(wǎng)絡主機開放端口/服務掃描設計
端口是計算機與外界通訊交流的出口[7]���,軟件領域的端口一般指網(wǎng)絡中面向連接服務的通信協(xié)議端口�,是一種抽象的軟件結構����,包括一些數(shù)據(jù)結構和FO(基本輸入輸出)緩沖區(qū)[8]�����。
4.3網(wǎng)絡安全評估系統(tǒng)的實現(xiàn)
該實現(xiàn)主要有三個功能����,分別是打開��、執(zhí)行和退出系統(tǒng)[9]����。打開是指打開系統(tǒng)分發(fā)的評估任務,顯示任務的具體信息;執(zhí)行任務指的是把檢測數(shù)據(jù)融合���,存入數(shù)據(jù)庫;退出系統(tǒng)是指關閉系統(tǒng)。然后用戶在進行掃描前可以進行選擇掃描哪些項��,對自己的掃描范圍進行設置����。進入掃描后����,界面左邊可以顯示掃描選項���,即用戶選中的需要掃描的項[10]�����。界面右邊顯示掃描進程���。掃描結束后����,用戶可以點擊“生成報告”�����,系統(tǒng)生成用戶的網(wǎng)絡安全評估系統(tǒng)檢測報告,最終評定目標主機的安全等級[11]����。
5結束語
(1)系統(tǒng)研究還不夠全面和深入���。網(wǎng)絡安全態(tài)勢評估是一門新技術[12],很多問題如規(guī)劃和結構還沒有解決�����。很多工作僅限于理論�,設計方面存在爭論��,沒有統(tǒng)一的安全態(tài)勢評估系統(tǒng)模型[13]。
(2)網(wǎng)絡安全狀況評估沒有一致的衡量標準�。網(wǎng)絡安全是一個全面統(tǒng)一的概念[14],而網(wǎng)絡安全態(tài)勢的衡量到現(xiàn)在還沒有一個全面的衡量機制[15]。這就導致現(xiàn)在還沒有遵守的標準�,無法判斷方法的優(yōu)劣���。
篇4
可以從不同角度對網(wǎng)絡安全作出不同的解釋����。一般意義上�����,網(wǎng)絡安全是指信息安全和控制安全兩部分��。國際標準化組織把信息安全定義為“信息的完整性��、可用性�、保密性和可靠性”����;控制安全則指身份認證��、不可否認性�����、授權和訪問控制。
當今社會��,通信網(wǎng)絡的普及和演進讓人們改變了信息溝通的方式����,通信網(wǎng)絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經(jīng)濟生活有著十分緊密的關聯(lián)����。這種關聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟價值���,另一方面也意味著巨大的潛在危險--一旦通信網(wǎng)絡出現(xiàn)安全事故�����,就有可能使成千上萬人之間的溝通出現(xiàn)障礙��,帶來社會價值和經(jīng)濟價值的無法預料的損失�。
2通信網(wǎng)絡安全現(xiàn)狀
互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放��、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流�����、信息服務創(chuàng)造了理想空間�,網(wǎng)絡技術的迅速發(fā)展和廣泛應用,為人類社會的進步提供了巨大推動力。然而�����,正是由于互聯(lián)網(wǎng)的上述特性���,產(chǎn)生了許多安全問題�。
計算機系統(tǒng)及網(wǎng)絡固有的開放性����、易損性等特點使其受攻擊不可避免�。
計算機病毒的層出不窮及其大范圍的惡意傳播���,對當今日愈發(fā)展的社會網(wǎng)絡通信安全產(chǎn)生威脅��。
現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇椋蟛糠质且揽科胀ㄍㄐ啪€路來完成的�,雖然也有一定的防護措施和技術�,但還是容易被竊取�。
通信系統(tǒng)大量使用的是商用軟件,由于商用軟件的源代碼����,源程序完全或部分公開化���,使得這些軟件存在安全問題�。
3通信網(wǎng)絡安全分析
針對計算機系統(tǒng)及網(wǎng)絡固有的開放性等特點�,加強網(wǎng)絡管理人員的安全觀念和技術水平����,將固有條件下存在的安全隱患降到最低。安全意識不強����,操作技術不熟練�����,違反安全保密規(guī)定和操作規(guī)程,如果明密界限不清����,密件明發(fā),長期重復使用一種密鑰�,將導致密碼被破譯�����,如果下發(fā)口令及密碼后沒有及時收回,致使在口令和密碼到期后仍能通過其進入網(wǎng)絡系統(tǒng)�����,將造成系統(tǒng)管理的混亂和漏洞����。為防止以上所列情況的發(fā)生���,在網(wǎng)絡管理和使用中�,要大力加強管理人員的安全保密意識����。
軟硬件設施存在安全隱患���。為了方便管理�����,部分軟硬件系統(tǒng)在設計時留有遠程終端的登錄控制通道�����,同時在軟件設計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug),加上商用軟件源程序完全或部分公開化,使得在使用通信網(wǎng)絡的過程中�,如果沒有必要的安全等級鑒別和防護措施����,攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡系統(tǒng)�,破壞或竊取通信信息���。
傳輸信道上的安全隱患���。如果傳輸信道沒有相應的電磁屏蔽措施��,那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射���,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
另外�,在通信網(wǎng)建設和管理上�,目前還普遍存在著計劃性差���。審批不嚴格���,標準不統(tǒng)一���,建設質(zhì)量低����,維護管理差����,網(wǎng)絡效率不高����,人為因素干擾等問題�。因此,網(wǎng)絡安全性應引起我們的高度重視。
4通信網(wǎng)絡安全維護措施及技術
當前通信網(wǎng)絡功能越來越強大�����,在日常生活中占據(jù)了越來越重要的地位����,我們必須采用有效的措施���,把網(wǎng)絡風險降到最低限度��。于是�����,保護通信網(wǎng)絡中的硬件��、軟件及其數(shù)據(jù)不受偶然或惡意原因而遭到破壞�����、更改、泄露����,保障系統(tǒng)連續(xù)可靠地運行����,網(wǎng)絡服務不中斷�,就成為通信網(wǎng)絡安全的主要內(nèi)容����。
為了實現(xiàn)對非法入侵的監(jiān)測����、防偽�����、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛(wèi)措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網(wǎng)絡系統(tǒng)權限分級��,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽�����,從而達到網(wǎng)絡分級機制的效果;“網(wǎng)絡授權”通過向終端發(fā)放訪問許可證書防止非授權用戶訪問網(wǎng)絡和網(wǎng)絡資源;“數(shù)據(jù)保護”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性,即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機制���,將密碼變得幾乎不可破解;“收發(fā)確認”用發(fā)送確認信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認,以避免不承認發(fā)送過的數(shù)據(jù)和不承認接受過數(shù)據(jù)等而引起的爭執(zhí);“保證數(shù)據(jù)的完整性”�����,一般是通過數(shù)據(jù)檢查核對的方式達成的����,數(shù)據(jù)檢查核對方式通常有兩種,一種是邊發(fā)送接收邊核對檢查��,一種是接收完后進行核對檢查;“業(yè)務流分析保護”阻止垃圾信息大量出現(xiàn)造成的擁塞��,同時也使得惡意的網(wǎng)絡終端無法從網(wǎng)絡業(yè)務流的分析中獲得有關用戶的信息�。
為了實現(xiàn)實現(xiàn)上述的種種安全措施,必須有技術做保證�,采用多種安全技術,構筑防御系統(tǒng)�,主要有:
防火墻技術。在網(wǎng)絡的對外接口采用防火墻技術�����,在網(wǎng)絡層進行訪問控制。通過鑒別�����,限制����,更改跨越防火墻的數(shù)據(jù)流�����,來實現(xiàn)對網(wǎng)絡的安全保護�����,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡��,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息���。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制�,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以�����,防火墻是網(wǎng)絡安全的重要一環(huán)��。
入侵檢測技術�����。防火墻保護內(nèi)部網(wǎng)絡不受外部網(wǎng)絡的攻擊���,但它對內(nèi)部網(wǎng)絡的一些非法活動的監(jiān)控不夠完善,IDS(入侵檢測系統(tǒng))是防火墻的合理補充��,它積極主動地提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護����,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵,提高了信息安全性�����。
網(wǎng)絡加密技術。加密技術的作用就是防止公用或私有化信息在網(wǎng)絡上被攔截和竊取�����,是網(wǎng)絡安全的核心�����。采用網(wǎng)絡加密技術�,對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾?����,它可解決網(wǎng)絡在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題��。
身份認證技術�����。提供基于身份的認證����,在各種認證機制中可選擇使用��。通過身份認證技術可以保障信息的機密性����、完整性����、不可否認性及可控性等功能特性��。
虛擬專用網(wǎng)(VPN)技術。通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的���、安全的連接����,是一條穿過混亂的公用網(wǎng)絡的安全���、穩(wěn)定的隧道����。它通過安全的數(shù)據(jù)通道將遠程用戶���、公司分支機構���、公司業(yè)務伙伴等跟公司的內(nèi)網(wǎng)連接起來,構成一個擴展的公司企業(yè)網(wǎng)�。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在��,仿佛所有的機器都處于一個網(wǎng)絡之中����。
漏洞掃描技術����。面對網(wǎng)絡的復雜性和不斷變化的情況�,僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞�����、做出風險評估,顯然是不夠的�����,我們必須通過網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患�。在要求安全程度不高的情況下�����,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞����。
結束語
目前解決網(wǎng)絡安全問題的大部分技術是存在的��,但是隨著社會的發(fā)展���,人們對網(wǎng)絡功能的要求愈加苛刻�,這就決定了通信網(wǎng)絡安全維護是一個長遠持久的課題�。我們必須適應社會�,不斷提高技術水平���,以保證網(wǎng)絡安全維護的順利進行。
參考文獻
[1]張詠梅.計算機通信網(wǎng)絡安全概述.中國科技信息��,2006.
[2]楊華.網(wǎng)絡安全技術的研究與應用.計算機與網(wǎng)絡�,2008
[3]馮苗苗.網(wǎng)絡安全技術的探討.科技信息����,2008.
[4]姜濱���,于湛.通信網(wǎng)絡安全與防護.甘肅科技��,2006.
[5]艾抗���,李建華�,唐華.網(wǎng)絡安全技術及應用.濟南職業(yè)學院學報,2005.
[6]羅綿輝����,郭鑫.通信網(wǎng)絡安全的分層及關鍵技術.信息技術���,2007.
[7]姜春祥.通信網(wǎng)絡安全技術是關鍵.網(wǎng)絡安全技術與應用���,2005.
篇5
高校校園網(wǎng)安全問題分析
某高校對校園網(wǎng)存在的問題進行調(diào)查得出的分析圖��。其中涉及到的很多問題都可能是由校園網(wǎng)的安全隱患所引起的��,例如:網(wǎng)絡攻擊��、無法認證等��。一些看似無關的問題也不能排除安全隱患的影響因素在里面�����,例如:很多“黑客”就經(jīng)常制造一些“病毒”影響系統(tǒng)的正常運行���,導致系統(tǒng)運行速度變慢甚至斷線。
(一)用戶數(shù)量大而密集目前�,校園網(wǎng)的使用者大多數(shù)是來自高校的學生���,這就導致了高校的校園網(wǎng)用戶群體龐大而且分布相對密集�,容易引高校計算機網(wǎng)絡安全管理工作初探文/王紅云發(fā)內(nèi)外兩方面的安全隱患�����。一方面,由于校園網(wǎng)與因特網(wǎng)相連接����,運行速度快�����、使用規(guī)模大,在使用因特網(wǎng)服務的時候��,很容易面臨一些“黑客”的群體攻擊�;另一方面,校園網(wǎng)用戶由于多數(shù)以大學生為主�,對新鮮事物以及網(wǎng)絡新技術比較好奇,敢于嘗試�����,成為網(wǎng)絡上最活躍的用戶���,正是這一特點很容易對網(wǎng)絡產(chǎn)生一定的影響和破壞,而且其自身也很有可能成為一些“病毒”的攻擊目標����。
(二)網(wǎng)絡環(huán)境架構問題校園網(wǎng)的主要服務對象就是教學與科研應用�。在這些應用中�����,相對安全管理意識不強�����,管理制度也比較寬松�,從而導致存在很多的安全管理漏洞。并且,目前大多使用的操作系統(tǒng)普遍存在著一些安全漏洞�����,這無疑為網(wǎng)絡安全造成了不小的威脅�����。例如:WindowsNT/2000是一種常用且易于操作的,這反而失去成為最不安全的網(wǎng)絡系統(tǒng)�����。
(三)校園網(wǎng)系統(tǒng)管理過程中存在的問題由于高校的計算機管理系統(tǒng)不可能在同一時間內(nèi)將所有的計算機等設備全部統(tǒng)一購買�����,加上對設備的后期管理工作也是異常復雜,所以��,很難將制定的安全政策在所有的端系統(tǒng)統(tǒng)一實施�。進而使得網(wǎng)絡的維護與管理工作難度增大���,這對于原本就人員不足網(wǎng)絡管理部門更是雪上加霜�。安全隱患的存在也就不可避免了。
(四)缺乏完善的網(wǎng)絡使用以及管理制度相對寬松的管理模式,導致校園網(wǎng)的管理者在制定相應的管理制度以及監(jiān)督辦法時過于隨意�,從而很難有效的進行網(wǎng)絡用戶行為的監(jiān)督管理工作�。
高校網(wǎng)絡安全管理工作改革
未來的信息技術發(fā)展將成為廣大高校的核心競爭力之一��,勢必以科研以及教學等工作的核心支持呈現(xiàn)��。因此����,對于確保高校的網(wǎng)絡安全���、可靠��、順暢是網(wǎng)絡安全管理工作的重點���。
(一)端點設備的接入目前�,廣大高校已經(jīng)基本實現(xiàn)了入網(wǎng)用戶的身份認證管理系統(tǒng)的建立。但是�����,卻無法判斷出系統(tǒng)用戶的計算機是否處于安全狀態(tài),從而也就很難對其網(wǎng)絡行為進行管理�����。端點設備安全接入能夠?qū)θ刖W(wǎng)用戶的網(wǎng)絡行為進行有效的安全控制。其工作原理如下:首先�����,身份驗證��,當用戶的電腦進入到系統(tǒng)時����,系統(tǒng)會對其身份進行安全檢測����,一旦確認其身份違法���,則會禁圖1校園網(wǎng)問題分析圖止其入網(wǎng)行為,然后����,對其的安全狀態(tài)進行監(jiān)測��,如果存在漏洞則需隔離處理��。只有符合要求的方可進入���。
(二)確保網(wǎng)絡出入口安全目前���,防火墻技術主要作用于三到四層的檢測與篩查�,而對應用層的病毒攻擊效果不明顯�����,致使在校園網(wǎng)以及數(shù)據(jù)中心的輸入口經(jīng)常受到病毒的威脅�。因此��,需要對其進行有效的安全防御手段�����。并與防火墻技術相配合�����,保證校園網(wǎng)的應用安全����。
(三)實現(xiàn)校園網(wǎng)透明化對網(wǎng)絡的管理以及應用進行優(yōu)化,必須做到網(wǎng)絡的高度透明��,并對大規(guī)模的流量數(shù)據(jù)進行分析�����,利用實時狀態(tài)信息的收集與整體����,對流量的分布詳細掌握���,從而為各種優(yōu)化措施以及QoS方案的執(zhí)行做好準備,確保關鍵業(yè)務的順利運行����。
(四)IP技術的存儲整合目前�,存儲資源主要是依靠服務器和應用���,多數(shù)都是分散存在的�,很難實現(xiàn)資源共享��,因此,對存儲資源的整合是解決資源和信息孤立的重要環(huán)節(jié)�����。利用高校數(shù)據(jù)中心的深入建設�����,能夠?qū)崿F(xiàn)資源的存儲、整合以及共享����。從而為數(shù)據(jù)和應用系統(tǒng)的整合提供支撐平臺�。校園數(shù)據(jù)中心的特點不同于其他行業(yè)����,是分布式數(shù)據(jù)中心的建設����,這既是高校管理模式的需要����,也是實現(xiàn)異地容災備份的需要����。同時���,不同區(qū)域的數(shù)據(jù)分布式多物理位置存放可滿足校園應用對資料的高速訪問的特點需求��,即大多數(shù)的應用需要對于數(shù)據(jù)的高速并發(fā)訪問�����。那么在多數(shù)據(jù)中心的建設需求下�,基于IP技術將大大降低數(shù)據(jù)和存儲資源的整合難度��,并極大地降低了總體擁有成本��。安全數(shù)據(jù)網(wǎng)絡是與校園網(wǎng)絡物理融合����、邏輯分離的安全VPN網(wǎng)絡���,在充分保證數(shù)據(jù)安全性的前提下,復用校園的基礎網(wǎng)絡資源�,降低基礎建設的投資�����,同時也解決了存儲系統(tǒng)在物理距離方面的限制�,最終以低成本實現(xiàn)了效果滿意的數(shù)據(jù)備份、容災�����。
(五)完善校園網(wǎng)的安全管理制度無論是先進的網(wǎng)絡安全技術����,還是最新的軟硬件設備支撐�,都需要有優(yōu)秀的管理人才進行管理。而管理人才更是離不開完善的網(wǎng)絡安全管理制度與其配合�����。因此�����,管理人員要對網(wǎng)絡安全進行深入、全面的研究����,并不斷的對現(xiàn)有網(wǎng)絡管理制度進行完善�,使其做到與時俱進�。并在高校當中進行安全管理培訓,幫助用戶提升網(wǎng)絡安全防范意識,自覺遵守和維護網(wǎng)絡管理規(guī)章制度���,將網(wǎng)絡安全隱患降到最低����。
篇6
數(shù)據(jù)加密技術
古典加密方法主要有兩類,即替換密碼和易位密碼��。替換密碼的原理是將每個字母或每組字母用另一個或一組偽裝字母所替換����,例如字母a~z的自然順序保持不變,但使之與D�����,E����,F(xiàn)���,G��,I,J��,K���,L�,M�����,N,O���,P����,Q,R����,S�,T,U���,V���,W�����,X�,Y����,Z���,A,B���,C對應�。若明文為Caesarcipher�,則對應的密文為FDHVDUFLSKHU�。這種加密方法比較簡單�,容易破解。古典加密技術使用的算法相對簡單���,它主要是靠較長的密鑰來實現(xiàn)信息的保密。今天的加密方法與傳統(tǒng)加密技術相反�����,它使用很短的密鑰���,但算法設計非常復雜,主要是防止信息截取實現(xiàn)密碼破譯���。這其中的關鍵是密鑰,它是密碼體制安全的重中之重��。密碼體制分為對稱密碼體制�����、非對稱密碼體制和混合密碼體制。對稱密碼體制又名單鑰密碼體制�,非對稱密碼又名雙鑰密碼體制,而混合密碼體制是單鑰密碼體制和雙鑰密碼體制的混合實現(xiàn)��。例如:分組密碼和公開密鑰密碼體制。
1分組密碼分組密碼屬于對稱密碼體制(單鑰密碼體制)中的一種���,它的原理是將整個明文進行分組,以組為單位來進行加密和解密�。其中最常用的數(shù)據(jù)加密標準是DES(美國的數(shù)據(jù)加密標準)和IDEA(國際數(shù)據(jù)加密算法)�����。分組密碼在加密時,首先將擬加密的數(shù)據(jù)信息按照64比特進行分組��,然后用長度是56比特的密鑰對數(shù)據(jù)分組進行變換。解密時�����,用相同的密鑰將加密后的數(shù)據(jù)信息分組做加密變換的反變換��,即可得到原始數(shù)據(jù)信息分組���。
2公開密鑰算法公開密鑰算法屬于非對稱密碼體制�����,它是一種全新的加密算法���。該系統(tǒng)在加密時所使用的密鑰與在解密過程中所使用的密鑰是完全不同的���,而且在解密時所使用的密鑰是不能夠從加密時所使用的密鑰中計算出來的���。這種加密密鑰是可以公開的����,每個使用者都能使用加密密鑰來加密自己所發(fā)送的信息數(shù)據(jù)�����,所以也被人們稱之為公開密鑰算法����。但是�,要想讀懂發(fā)送者發(fā)出的信息數(shù)據(jù)內(nèi)容���,就必須要知道解密密鑰����,這種解密密鑰被稱之為私有密鑰。在已經(jīng)使用的公開密鑰密碼體制中�,RSA算法使用得最為廣泛����。數(shù)學上�,兩個大素數(shù)相乘容易��,但要對其乘積進行因式分解卻極其困難��,所以RSA算法將乘積公開作為加密密鑰。
數(shù)字簽名技術
數(shù)字簽名是以電子形式將信息存于數(shù)據(jù)信息中����,它是信息發(fā)送者為防止數(shù)據(jù)泄密而輸出的一段別人無法偽造的數(shù)字串����,是對信息發(fā)送者發(fā)送信息真實性的一個有效證明��。它通過采用公鑰加密技術����,作為其附件的或邏輯上與之有聯(lián)系的數(shù)據(jù)�,用于辨別數(shù)據(jù)簽署人的身份���,并表明簽署人對數(shù)據(jù)信息中包含內(nèi)容的認可,它是不對稱加密算法的典型應用���。經(jīng)過數(shù)字簽名后的文件,其完整性是很容易驗證的�����。它不同于紙質(zhì)文件�����,為證明文件的真實性���,要求文件蓋章要騎縫,簽名要騎縫,電子簽名文件具有不可抵賴性�����,也不需要筆跡專家����。數(shù)字簽名技術就是對數(shù)據(jù)信息做出特意的密碼變換����,將摘要信息用私有密鑰進行加密�,然后與原文件信息一起同時傳送給接收人��,它允許接收人用于確定所接收數(shù)據(jù)單元的完整性和發(fā)送者的真實身份�����,并對數(shù)據(jù)單元進行保密�����,防止被他人盜取���。使用數(shù)字簽名可以實現(xiàn)接收人能夠確認發(fā)送人對報文的簽名���,而發(fā)送人在事后對所發(fā)送的信息和簽名不能抵賴�,同時接收方不能偽造對報文的簽名等三個功能����。
數(shù)字簽名可以通過公鑰密碼體制和私鑰密碼體制獲得����,目前常用的是基于公鑰密碼體制的數(shù)字簽名。它又包括普通數(shù)字簽名(RSA)和特殊數(shù)字簽名��。普通數(shù)字簽名,采用公開密鑰加密法�,其算法有多種�����,例如RSA�����、盲簽名�、簽名����、多重簽名等等。
(1)盲簽名:即簽名者不公開自己的身份�,首先將自己的信息進行盲化,然后再讓簽名對盲化的信息進行簽名��。當接收者收到該信息后����,只要去掉其中的盲因子���,就可以得到簽名人關于原消息的簽名����。盲簽名多用于電子選舉����、電子商務等活動中��。比如電子選票�����,我們希望該選票是有效的,但并不希望知道該選票是誰填寫的��。
篇7
1.1可用性
網(wǎng)絡系統(tǒng)的可用性是指計算機網(wǎng)絡系統(tǒng)要隨時隨地能夠為用戶服務,要保障合法用戶能夠訪問到想要瀏覽的網(wǎng)絡信息�,不會出現(xiàn)拒絕合法用戶的服務要求和非合法用戶濫用的現(xiàn)象����。計算機網(wǎng)絡系統(tǒng)最重要的功能就是為合法用戶提供多方面的���、隨時隨地的網(wǎng)絡服務。
1.2完整性
網(wǎng)絡系統(tǒng)的完整性是指網(wǎng)絡信息在傳輸過程中不能因為任何原因����,發(fā)生網(wǎng)絡信摻入�����、重放����、偽造��、修改����、刪除等破壞現(xiàn)象[1],影響網(wǎng)絡信息的完整性���。通過信息攻擊、網(wǎng)絡病毒��、人為攻擊、誤碼���、設備故障等原因都會造成網(wǎng)絡信息完整性的破壞��。
1.3保密性
網(wǎng)絡系統(tǒng)的保密性是指網(wǎng)絡系統(tǒng)要保證用戶信息不能發(fā)生泄露�,主要體現(xiàn)在網(wǎng)絡系統(tǒng)的可用性和可靠性����,是網(wǎng)絡系統(tǒng)安全的重要指標���。保密性不同于完整性�,完整性強調(diào)的是網(wǎng)絡信息不能被破壞,保密性是指防止網(wǎng)絡信息的發(fā)生泄露[2]。
1.4真實性
網(wǎng)絡系統(tǒng)的真實性是指網(wǎng)絡用戶對網(wǎng)絡系統(tǒng)操作的不可抵賴性���,任何用戶都不能抵賴或者否定曾經(jīng)對網(wǎng)絡系統(tǒng)的承諾和操作�。
1.5可靠性
網(wǎng)絡系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運行��,網(wǎng)絡系統(tǒng)要在一定的時間和條件下穩(wěn)定的完成網(wǎng)絡用戶指定的任務和功能��,網(wǎng)絡系統(tǒng)的可靠性是網(wǎng)絡安全最基本的要求。
1.6可控性
網(wǎng)絡系統(tǒng)的可控性是指網(wǎng)絡系統(tǒng)可以控制和調(diào)整網(wǎng)絡信息傳播方式和傳播內(nèi)容的能力���,為了保障國家和廣大人民的利益�,為正常的社會管理秩序,網(wǎng)絡系統(tǒng)管理者有必要對網(wǎng)絡信息進行適當?shù)谋O(jiān)督和控制�,避免外地侵犯和社會犯罪���,維護網(wǎng)絡安全�����。
2網(wǎng)絡安全技術在校園網(wǎng)中的應用
2.1防火墻
防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權限的軟件和硬件的組合設備[3]��,防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網(wǎng)的網(wǎng)絡安全�。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置,屏蔽有危害�、不健康的網(wǎng)絡網(wǎng)站���,降低校園網(wǎng)的安全危害��。另外防火墻還可以有效地監(jiān)控用戶對校園網(wǎng)的訪問����,記錄用戶的訪問記錄��,保存到網(wǎng)絡數(shù)據(jù)庫中��,可以快速統(tǒng)計校園網(wǎng)的使用情況,在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題�����,防火墻可以及時發(fā)出報警信號,提醒用戶的這個非法操作��,防止校園網(wǎng)內(nèi)部信息的泄露����、另外�,防火墻可以和NAT技術高效地結合起來�,用于隱藏校園網(wǎng)的網(wǎng)絡結構信息���,提高校園網(wǎng)的安全系數(shù)�����,同時防火墻和NAT技術的高效結合很好地解決了校園網(wǎng)IP不足的情況����,提高了校園網(wǎng)的運行效率�。防火墻在校園網(wǎng)中的應用����,完善了校園網(wǎng)內(nèi)部的網(wǎng)絡隔斷�,即使校園網(wǎng)發(fā)生安全問題��,也可以在短時間內(nèi)控制問題擴散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用���,能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害�,但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題���,不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。
2.2VPN技術
VPN技術在校園網(wǎng)的應用����,通過VPN設備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來��,可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務器經(jīng)過設置后�,只有符合相應條件的用戶經(jīng)過連接VPN服務器才能獲得訪問特定網(wǎng)絡信息的權限��,拒絕校園網(wǎng)內(nèi)用戶的危險操作。VPN技術可以實現(xiàn)用戶驗證��,通過驗證校內(nèi)網(wǎng)用戶的身份�,只有符合條件的授權用戶才能連接到VPN服務器,進行相關訪問����。其次實現(xiàn)校園網(wǎng)數(shù)據(jù)加密��,VPN技術可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進行加密,只有經(jīng)過授權的用戶才能訪問這些信息�����。再次實現(xiàn)校園網(wǎng)密鑰管理,通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議��,提高校園網(wǎng)的可靠性。并且VPN技術在校園網(wǎng)中的應用不需要安裝VPN的客戶端設備����,降低了校園網(wǎng)安全管理的成本�����。通過VPN技術�����,校園網(wǎng)絡管理員可以對校園網(wǎng)內(nèi)用戶的操作進行實時監(jiān)控,及時發(fā)現(xiàn)校園網(wǎng)絡故障點����,進行遠程維護,提高校園網(wǎng)維護管理能力�。
2.3入侵檢測技術
入侵檢測技術在校園網(wǎng)中的應用,可以檢測校園網(wǎng)絡中一些不安全的網(wǎng)絡操作行為�����,一旦檢測到網(wǎng)絡系統(tǒng)中的一些異?�,F(xiàn)象和未授權的網(wǎng)絡操作����,就會發(fā)出網(wǎng)絡報警信號����。入侵檢測技術可以自動分析校園網(wǎng)絡的用戶活動�,檢測出校園網(wǎng)中授權用戶的非法使用和未授權用戶的越權使用[4]�。入侵檢測技術還可以監(jiān)控校園網(wǎng)絡系統(tǒng)的配置情況�����,檢測出系統(tǒng)安全漏洞���,提醒校園網(wǎng)絡管理人員及時進行維護。另外,入侵檢測技術在識別網(wǎng)絡攻擊和網(wǎng)絡威脅方面具有重要的作用��,可以及時發(fā)出報警信號����,并且拒絕和處理網(wǎng)絡攻擊入侵行為���,結合發(fā)現(xiàn)的網(wǎng)絡攻擊模式����,檢測校園網(wǎng)系統(tǒng)結構是否存在安全漏洞,提高校園網(wǎng)的數(shù)據(jù)完整性���,進行系統(tǒng)評估。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作����,用戶想要進入校園網(wǎng)����,首先要通過訪問控制��,經(jīng)過驗證識別用用戶口令���、戶名、密碼等�,確定該用戶是否具有訪問校園網(wǎng)的權限����,當用戶進入校園網(wǎng)后�����,就會賦予用戶訪問操作權限��,使校園網(wǎng)絡資源不會被未授權用戶非法使用和非法訪問。
2.5網(wǎng)絡數(shù)據(jù)恢復和備份技術
校園網(wǎng)中的網(wǎng)絡數(shù)據(jù)恢復和備份技術�����,可以防止校園網(wǎng)信息數(shù)據(jù)丟失,保護校園網(wǎng)重要信息資源����。網(wǎng)絡數(shù)據(jù)恢復和備份技術可以實現(xiàn)集中式的網(wǎng)絡信息資源管理��,對整個校園網(wǎng)系統(tǒng)中的信息資源進行備份管理��,可以極大地提高校園網(wǎng)管理員的工作效率�,實現(xiàn)網(wǎng)絡資源的統(tǒng)一管理����,利用網(wǎng)絡備份設備實時監(jiān)控校園網(wǎng)絡中的備份作業(yè)�,結合校園網(wǎng)的運行情況����,及時修改網(wǎng)絡備份策略[5]����,提高系統(tǒng)備份效率��。校園網(wǎng)管理員可以利用網(wǎng)絡數(shù)據(jù)恢復和備份技術�����,定時對網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)進行備份���,這是網(wǎng)絡管理重要環(huán)節(jié)���。校園網(wǎng)的備份系統(tǒng)可以在用戶進行校園網(wǎng)訪問時���,建立在線網(wǎng)絡索引��,當用戶需要恢復網(wǎng)絡信息時���,通過在線網(wǎng)絡索引中的備份系統(tǒng)就可以自動恢復網(wǎng)絡數(shù)據(jù)文件���。網(wǎng)絡數(shù)據(jù)恢復和備份技術實現(xiàn)了校園網(wǎng)絡的歸檔管理����,通過時間定期和項目管理對網(wǎng)絡信息數(shù)據(jù)進行歸檔管理�,在網(wǎng)絡環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲存格式���,使所有網(wǎng)絡信息數(shù)據(jù)在統(tǒng)一格式中完成長時間的保存[6]�����。
2.6災難恢復技術
校園網(wǎng)中的災難恢復主要包括兩類:個別數(shù)據(jù)文件的恢復和所有信息數(shù)據(jù)的恢復�����。當校園網(wǎng)中的個別數(shù)據(jù)文件恢復可以利用網(wǎng)絡中備份系統(tǒng)完成個別受損數(shù)據(jù)文件的恢復,校園網(wǎng)絡管理員可以瀏覽目錄或者數(shù)據(jù)庫���,觸動受損數(shù)據(jù)文件的恢復功能,系統(tǒng)會自動加載存儲軟件��,恢復受損文件��。所有信息數(shù)據(jù)的恢復主要應用在當發(fā)生意外災難時導致整個校園網(wǎng)系統(tǒng)重組�����、系統(tǒng)升級����、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。
3結語
篇8
1.1設計目標網(wǎng)絡安全檢測系統(tǒng)需要對網(wǎng)絡中的用戶計算機和網(wǎng)絡訪問行為進行審計�,檢測系統(tǒng)具有自動響應��、自動分析功能��。自動相應是指當系統(tǒng)發(fā)現(xiàn)有用戶非法訪問網(wǎng)絡資源,系統(tǒng)將自動阻止���,向管理員發(fā)出警示信息���,并記錄非法訪問來源�����;自動分析是根據(jù)用戶網(wǎng)絡應用時應用的軟件或者網(wǎng)址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉����。此外,系統(tǒng)還具有審計數(shù)據(jù)自動生成��、查詢和系統(tǒng)維護功能等�����。
1.2網(wǎng)絡安全檢測系統(tǒng)架構網(wǎng)絡安全檢測系統(tǒng)架構采用分級式設計��,架構圖如��。分級設計網(wǎng)絡安全檢測系統(tǒng)具有降低單點失效的風險�����,同時還可以降低服務器負荷�,在系統(tǒng)的擴容性�����、容錯性和處理速度上都具有更大的能力���。
2系統(tǒng)功能設計
網(wǎng)絡安全檢測系統(tǒng)功能模塊化設計將系統(tǒng)劃分為用戶身份管理功能模塊��、實時監(jiān)控功能模塊���、軟件管理模塊���、硬件管理模塊����、網(wǎng)絡管理和文件管理�。用戶身份管理功能模塊是實現(xiàn)對網(wǎng)絡用戶的身份識別和管理����,根據(jù)用戶等級控制使用權限;實時監(jiān)控模塊對在線主機進行管理����,采用UDP方式在網(wǎng)絡主機上的檢測程序發(fā)送監(jiān)控指令�����,檢測程序?qū)Ρ镜剡M行列表進行讀取�����,實時向服務器反饋信息����;軟件管理模塊是將已知有威脅的軟件名稱��、參數(shù)等納入管理數(shù)據(jù)庫,當用戶試圖應用此軟件時�,檢測系統(tǒng)會發(fā)出警告或者是拒絕應用;硬件管理模塊對網(wǎng)絡中的應用硬件進行登記����,當硬件非法變更��,系統(tǒng)將發(fā)出警告���;網(wǎng)絡管理模塊將已知有威脅網(wǎng)絡IP地址納入管理數(shù)據(jù)庫�,當此IP訪問網(wǎng)絡系統(tǒng)時����,檢測系統(tǒng)會屏蔽此IP并發(fā)出警告�;文件管理模塊,對被控計算機上運行的文件進行實時審計����,當用戶應用的文件與系統(tǒng)數(shù)據(jù)庫中非法文件記錄匹配����,則對該文件進行自動刪除����,或者提示用戶文件存在風險��。
3數(shù)據(jù)庫設計
本文所設計的網(wǎng)絡安全檢測系統(tǒng)采用SQLServer作為數(shù)據(jù)庫�,數(shù)據(jù)庫中建立主體表,其描述網(wǎng)絡中被控主機的各項參數(shù)�,譬如編號�、名稱�、IP等;建立用戶表,用戶表中記錄用戶編號����、用戶名稱、用戶等級等;建立網(wǎng)絡運行狀態(tài)表��,其保存網(wǎng)絡運行狀態(tài)結果����、運行狀態(tài)實際內(nèi)容等,建立軟件���、硬件、信息表����,表中包含軟件的名稱�、版本信息��、容量大小和硬件的配置信息等��;建立軟件���、網(wǎng)址黑名單,對現(xiàn)已發(fā)現(xiàn)的對網(wǎng)絡及主機具有威脅性的非法程序和IP地址進行記錄���。
4系統(tǒng)實現(xiàn)
4.1用戶管理功能實現(xiàn)用戶管理功能是提供網(wǎng)絡中的用戶注冊�����、修改和刪除�����,當用戶登錄時輸出錯誤信息�,則提示無此用戶信息。當創(chuàng)建用戶時���,系統(tǒng)自動檢測注冊用戶是否出現(xiàn)同名�����,如出現(xiàn)同名則提示更改��,新用戶加入網(wǎng)絡應用后�����,網(wǎng)絡安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核�����,并將其納入監(jiān)管對象����。系統(tǒng)對網(wǎng)絡中的用戶進行監(jiān)控�����,主要是對用戶的硬件資源、軟件資源��、網(wǎng)絡資源等進行管控���,有效保護注冊用戶的網(wǎng)絡應用安全。
4.2實時監(jiān)控功能實現(xiàn)系統(tǒng)實時監(jiān)控功能需要能夠?qū)崟r獲取主機軟硬件信息�����,對網(wǎng)絡中用戶的軟件應用、網(wǎng)站訪問��、文件操作進行檢測��,并與數(shù)據(jù)庫中的危險數(shù)據(jù)記錄進行匹配�����,如發(fā)現(xiàn)危險則提出警告,或者直接屏蔽危險�����。
4.3網(wǎng)絡主機及硬件信息監(jiān)控功能實現(xiàn)網(wǎng)絡主機及硬件信息監(jiān)控是對網(wǎng)絡中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄�����,當硬件設備發(fā)生變更或者網(wǎng)絡主機系統(tǒng)發(fā)生變化�,則安全檢測系統(tǒng)會啟動,告知網(wǎng)絡管理人員�,同時系統(tǒng)會對網(wǎng)絡主機及硬件變更的安全性進行判定�,如發(fā)現(xiàn)非法接入則進行警告并阻止連接網(wǎng)絡�����。
5結束語
