時間:2023-04-17 17:22:15
緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)安全技術(shù)論文,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會個方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。
2.防火墻
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。
目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。
防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、型和監(jiān)測型。
2.1.包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點
,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。
包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。
2.2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。
NAT的工作過程如圖1所示:
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時,防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
2.3.型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。
型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。
2.4.監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
系統(tǒng)安全包括主機和服務(wù)器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術(shù)。
1、反病毒技術(shù):計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序,它能夠傳染其它程序,并進(jìn)行自我復(fù)制,特別是要網(wǎng)絡(luò)環(huán)境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié),具體方法是使用防病毒軟件對服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測,或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。如我校就安裝了遠(yuǎn)程教育中心配置的金山毒霸進(jìn)行實時監(jiān)控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進(jìn)行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進(jìn)行安全防范。入侵檢測系統(tǒng)包括進(jìn)行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報告的漏洞,并進(jìn)行升級補丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,對于我們有使用的軟件和服務(wù),應(yīng)該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進(jìn)行必要的補丁和升級。許多的網(wǎng)絡(luò)管理員對此認(rèn)識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)。最典型的是,我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能,而沒有必要向公眾提供FTP功能,這樣,在服務(wù)器的服務(wù)配置中,我們只開放WEB服務(wù),而將FTP服務(wù)禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么,通過運行上傳某些程序,就可能使服務(wù)器受到攻擊。所以,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。
3、審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng),還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進(jìn)行審計跟蹤,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。
因此,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備,以便對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實時檢查、監(jiān)控、報警和阻斷,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。二、網(wǎng)絡(luò)運行安全
網(wǎng)絡(luò)運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后,能盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種。一是全盤備份,即將所有文件寫入備份介質(zhì);二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據(jù)備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系,在系統(tǒng)恢復(fù)時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進(jìn)行備份的過程中,常使用備份軟件,如GHOST等。
三、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問隔離,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測,以增強機構(gòu)內(nèi)部網(wǎng)的安全性。
1、訪問控制:在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中,采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的,同時也是最在效和最經(jīng)濟(jì)的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有:過濾進(jìn)、出的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù)等。應(yīng)該強調(diào)的是,防火墻是整體安全防護(hù)體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中,才能實現(xiàn)真正的安全。
另外,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段,防止一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò),在某些情況下,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任,或者某個網(wǎng)段比另一個網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
2、網(wǎng)絡(luò)安全檢測:保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評估分析,用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達(dá)到增強網(wǎng)絡(luò)安全性的目的。
以上只是對防范外部入侵,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項重要措施,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來維護(hù)。
參考文獻(xiàn)
我國電力系統(tǒng)中通常采用專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)二者相互結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)。電力系統(tǒng)的專業(yè)網(wǎng)絡(luò)包含SPDnet(調(diào)度信息網(wǎng))和SPne(t電力信息網(wǎng))二部分。在信息網(wǎng)絡(luò)安全的前提下,與Internet網(wǎng)絡(luò)連接。我國電力系統(tǒng)網(wǎng)絡(luò)安全劃分為三層四區(qū)。三層:第一層自動化系統(tǒng),第二場為生產(chǎn)管理系統(tǒng),第三層為電力信息系統(tǒng)管理系統(tǒng)及辦公自動化系統(tǒng)。這三層對應(yīng)著電力網(wǎng)絡(luò)安全系統(tǒng)的四個安全工作區(qū)。四個安全區(qū):第一個安全區(qū)是由SPDnet支撐的自動化系統(tǒng),該區(qū)主要是能進(jìn)行實時監(jiān)控功能的系統(tǒng);第二安全區(qū)是由SPDnet支撐的生產(chǎn)管理系統(tǒng),該去主要為不具有控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易區(qū)系統(tǒng);第三個安全區(qū)為SPnet支撐的進(jìn)行生產(chǎn)管理系統(tǒng),該區(qū)主要為調(diào)度生產(chǎn)管理的系統(tǒng);第四個安全區(qū)是由SPnet支撐的電力信息管理系統(tǒng),包含MIS和OAS系統(tǒng)。
2安全隔離技術(shù)
電力系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)是個內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)被動防護(hù)角度的主要安全防護(hù)技術(shù)是防火墻,主動防護(hù)角度的安全防護(hù)技術(shù)主要是安全隔離技術(shù)。安全隔離技術(shù)又被分為物理隔離技術(shù)、防火墻技術(shù)及協(xié)議隔離技術(shù)三種技術(shù)手段。物理隔離技術(shù)是指從物理上將內(nèi)部網(wǎng)與外部網(wǎng)分離,防止二者連接。物理隔離能夠有效的防止黑客、病毒入侵網(wǎng)絡(luò)系統(tǒng)中。電力網(wǎng)絡(luò)系統(tǒng)的四個安全區(qū)主要采用物理隔離技術(shù)保障其安全。防火墻隔離技術(shù)是保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,能夠一定程度上的阻擋黑客及病毒的侵入。防火墻就像計算機網(wǎng)絡(luò)外的一個屏障,起到隔離防火墻內(nèi)外連接計算機系統(tǒng)的功能。當(dāng)外界對網(wǎng)絡(luò)進(jìn)行攻擊時能對管理員提出警報,并且保留著攻擊者的信息。協(xié)議隔離技術(shù)是處于內(nèi)外網(wǎng)連接端點處,通過隔離器隔離內(nèi)外網(wǎng)的技術(shù)。當(dāng)有數(shù)據(jù)交換時,內(nèi)外網(wǎng)就可以通過協(xié)議隔離器進(jìn)行連通。
3電力信息網(wǎng)絡(luò)的安全對策
3.1網(wǎng)絡(luò)分段
對網(wǎng)絡(luò)進(jìn)行分段是控制網(wǎng)絡(luò)問題擴(kuò)散的一種方式,能有效的保障網(wǎng)絡(luò)的安全。能夠?qū)Ψ欠ㄓ脩襞c敏感的網(wǎng)絡(luò)資源相互隔離,從而防止可能的非法的侵入電力信息網(wǎng)絡(luò)系統(tǒng)。
3.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于網(wǎng)路系統(tǒng)當(dāng)中。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。數(shù)據(jù)加密實質(zhì)上是對以符號位基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法。保證只有授權(quán)用戶通過密鑰才能進(jìn)入電力網(wǎng)絡(luò)信息系統(tǒng)。
3.3漏洞掃描技術(shù)
漏洞掃描是對計算機進(jìn)行全面的掃描,尋找出可能影響計算機網(wǎng)絡(luò)安全的漏洞。漏洞掃描技術(shù)對于保護(hù)電腦和網(wǎng)絡(luò)安全必不可少,而且需要定時進(jìn)行掃描。有的漏洞系統(tǒng)自身就可以修復(fù),而有些則需要手動修復(fù)。
3.4以交換式集線器
采用共享式集成器對網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)分段后,仍就存在安全隱患。這是因為在進(jìn)行信息數(shù)據(jù)通信時,很容易被通一集線器上的其他用戶傾聽,造成數(shù)據(jù)的安全隱患。采用交換式集線器能有效的避免這一現(xiàn)象,保障網(wǎng)絡(luò)信息的安全。
隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,其面臨的安全性問題也越來越嚴(yán)峻,我平時應(yīng)用比較多的傳統(tǒng)防火墻在如今的網(wǎng)絡(luò)中總會存在這樣那樣的漏洞,其主要表現(xiàn)在以下幾個方面:第一,傳統(tǒng)的防火墻無法像智能防火墻,根據(jù)網(wǎng)絡(luò)和網(wǎng)絡(luò)信息的狀態(tài)自動調(diào)整規(guī)則。第二,傳統(tǒng)的防火墻是很難制定規(guī)則,如包過濾防火墻,雖然效率較高,但難以制定規(guī)則。有一種應(yīng)用防火墻它雖然可以制定規(guī)則,但其效率又很低。第三,傳統(tǒng)的防火墻沒有主動過濾和屏蔽功能,對沒有記錄信息的攻擊和危險程序無法進(jìn)行阻攔。第四,傳統(tǒng)的防火墻對信息的過濾相對比較單一,而且無法利用這些信息。第五,傳統(tǒng)的防火墻的攔截能力非常有限,只能對一些相對簡單的情況進(jìn)行攔截,不具備深度檢測功能。
2、INTRANET條件下,智能型防火墻的工作原理
當(dāng)內(nèi)網(wǎng)互聯(lián)主機與互聯(lián)網(wǎng)主機連接時,需要使用相應(yīng)的IP地址,反之當(dāng)互聯(lián)網(wǎng)主機與內(nèi)網(wǎng)互聯(lián)主機連接時,需要通過網(wǎng)關(guān)映射到內(nèi)網(wǎng)主機。這將使互聯(lián)網(wǎng)網(wǎng)絡(luò)無法看到內(nèi)部網(wǎng)的網(wǎng)絡(luò),而且內(nèi)部網(wǎng)的網(wǎng)絡(luò)將自己躲了起來。此外,DMZ中堡壘主機過濾管理程序可以順利通過安全通道,并與內(nèi)部網(wǎng)中的智能認(rèn)證服務(wù)器進(jìn)行互相通信,而且通信的信息都是秘密進(jìn)行的。由于智能認(rèn)證服務(wù)器能夠進(jìn)行秘密通信,因此它可以修改內(nèi)外路由器表,也可以調(diào)整制定過濾規(guī)則。在智能防火墻中的智能認(rèn)證服務(wù)程序和應(yīng)用過濾管理程序可以互相協(xié)調(diào),不僅可以在堡壘主機上運行,還可以在服務(wù)器上運行。
3、INTRANET條件下智能型防火墻的網(wǎng)絡(luò)安全技術(shù)實現(xiàn)方式
3.1智能型防火墻堡壘主機及其實現(xiàn)方法
堡壘主機起著連接內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的作用,它的作用非常重要,但是它容易受到攻擊,因此我必須要對其做好安全性保護(hù),首先我們對堡壘主機操作系統(tǒng)——Linux操作系統(tǒng),做了非常縝密的安全化處理,其具體方法是:對于SMTP,F(xiàn)TP,HTTP等的基本網(wǎng)路服務(wù)進(jìn)行保留,對他們的源代碼進(jìn)行重新改寫,使它們中的過濾功能從中分離出來,建立一個新的模塊,這個模塊被稱為:應(yīng)用過濾管理器模塊,讓這個模塊運行在堡壘主機上,統(tǒng)一調(diào)度管理所有的應(yīng)用服務(wù)。應(yīng)用過濾管理器的主要功能是對所有經(jīng)過堡壘主機的信息進(jìn)行攔截,然后從下至上對其經(jīng)過協(xié)議的信息進(jìn)行逐層分析,并對相對安全的數(shù)據(jù)進(jìn)行存儲,最后秘密地傳達(dá)給智能認(rèn)證服務(wù)器,讓智能認(rèn)證服務(wù)器對這些信息進(jìn)行分析處理,分析完之后再秘密地傳回給應(yīng)用過濾管理器,然后應(yīng)用過濾管理器根據(jù)分析結(jié)果對應(yīng)用過濾功能進(jìn)行重新配置,同時激發(fā)相應(yīng)進(jìn)行工作。
3.2智能型防火墻的智能認(rèn)證服務(wù)器及實現(xiàn)方法
智能認(rèn)證服務(wù)程序和網(wǎng)絡(luò)數(shù)據(jù)庫是智能認(rèn)證服務(wù)器的核心,智能認(rèn)證服務(wù)器是通過信息驅(qū)動來進(jìn)行操作的,如果外部主機訪問內(nèi)部網(wǎng)絡(luò),則需要外部路由器的數(shù)據(jù)審核,通過審核的信息才能順利達(dá)到DMZ網(wǎng)絡(luò),對于內(nèi)部網(wǎng)的信息請求,不需要經(jīng)過內(nèi)部路由器審核,它可以直接進(jìn)入DMZ網(wǎng)絡(luò),另外,還需要這些路由器是否制定過濾規(guī)則,如果制定了過濾規(guī)則,就不能進(jìn)行信息傳達(dá),并且這些信息也將被丟棄掉,但是,如果過濾規(guī)則允許進(jìn)行傳輸,那么這些信息還需要通過防火墻。如果數(shù)據(jù)包和路由器制定的規(guī)則不一致,那么這個數(shù)據(jù)包將會被用過濾管理器攔截下來,然后從底層協(xié)議到上層協(xié)議對其進(jìn)行分析,如果分析結(jié)果是具有安全性的,那么這個數(shù)據(jù)包將會被傳輸給智能認(rèn)證服務(wù)器。智能認(rèn)證服務(wù)器上的數(shù)據(jù)接收器就會把這些信息存儲到網(wǎng)絡(luò)安全數(shù)據(jù)庫中,網(wǎng)絡(luò)安全數(shù)據(jù)庫發(fā)生變化后,推理機就會自動進(jìn)行工作,推理機就會使用安全專家知識庫里的信息對剛剛進(jìn)入網(wǎng)絡(luò)安全數(shù)據(jù)庫中的這些信息進(jìn)行分析、比較和推斷,看看是否能夠找出相關(guān)對應(yīng)的數(shù)據(jù),從而得出過濾方案,使網(wǎng)絡(luò)管理員能夠直觀的看到,方便網(wǎng)絡(luò)管理員根據(jù)實際情況作出相應(yīng)的處理。這時原文發(fā)生器就會轉(zhuǎn)化其內(nèi)部的代碼或者通過修改路由器表和過濾規(guī)則來實現(xiàn)內(nèi)外主機通信;或者由過濾管理器通過修改過濾規(guī)則,將其傳輸?shù)紻MZ上的堡壘主機,堡壘主機中的應(yīng)用過濾管理器對其過濾功能進(jìn)行重新配置,激發(fā)其他應(yīng)用進(jìn)行工作。因此,智能型防火墻更能全面嚴(yán)格地進(jìn)行安全控制。
4、結(jié)束語
關(guān)鍵詞:電子商務(wù)信息安全數(shù)據(jù)加密數(shù)字簽名
一、引言
隨著信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展,基于Internet的電子商務(wù)也隨之而生,并在近年來獲得了巨大的發(fā)展。電子商務(wù)作為一種全新的商業(yè)應(yīng)用形式,改變了傳統(tǒng)商務(wù)的運作模式,極大地提高了商務(wù)效率,降低了交易的成本。然而,由于互聯(lián)網(wǎng)開放性的特點,安全問題也自始至終制約著電子商務(wù)的發(fā)展。因此,建立一個安全可靠的電子商務(wù)應(yīng)用環(huán)境,已經(jīng)成為影響到電子商務(wù)發(fā)展的關(guān)鍵性課題。
二、電子商務(wù)面臨的安全問題
1.信息泄漏。在電子商務(wù)中主要表現(xiàn)為商業(yè)機密的泄露,包括兩個方面:一是交易雙方進(jìn)行交易的內(nèi)容被第三方竊取;二是交易一方提供給另一方使用的文件被第三方非法使用。
2.信息被篡改。電子的交易信息在網(wǎng)絡(luò)上傳輸?shù)倪^程中,可能被他人非法修改、刪除或被多次使用,這樣就使信息失去了真實性和完整性。
3.身份識別。身份識別在電子商務(wù)中涉及兩個方面的問題:一是如果不進(jìn)行身份識別,第三方就有可能假冒交易一方的身份,破壞交易、敗壞被假冒一方的信譽或盜取交易成果;二是不可抵賴性,交易雙方對自己的行為應(yīng)負(fù)有一定的責(zé)任,信息發(fā)送者和接受者都不能對此予以否認(rèn)。進(jìn)行身份識別就是防止電子商務(wù)活動中的假冒行為和交易被否認(rèn)的行為。
4.信息破壞。一是網(wǎng)絡(luò)傳輸?shù)目煽啃裕W(wǎng)絡(luò)的硬件或軟件可能會出現(xiàn)問題而導(dǎo)致交易信息丟失與謬誤;二是惡意破壞,計算機網(wǎng)絡(luò)本身遭到一些惡意程序的破壞,例如病毒破壞、黑客入侵等。
三、電子商務(wù)的安全要素
1.有效性。電子商務(wù)作為貿(mào)易的一種形式,其信息的有效性將直接關(guān)系到個人、企業(yè)或國家的經(jīng)濟(jì)利益和聲譽。因此,要對一切潛在的威脅加以控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定的時刻和地點是有效的。
2.機密性。電子商務(wù)是建立在一個較為開放的網(wǎng)絡(luò)環(huán)境上的,維護(hù)商業(yè)機密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此,要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。解決數(shù)據(jù)機密性的一般方法是采用加密手段。
3.完整性。由于數(shù)據(jù)輸入時的意外差錯或欺詐行為,可能導(dǎo)致貿(mào)易各方的差異。此外,數(shù)據(jù)傳輸過程中的丟失、重復(fù)或傳送的次序差異也會導(dǎo)致貿(mào)易各方的不同。因此,要預(yù)防對隨意生成、修改和刪除,同時要防止數(shù)據(jù)傳送過程中的丟失和重復(fù)并保證傳送次序的統(tǒng)一。
4.不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易,如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在交易進(jìn)行時,交易各方必須附帶含有自身特征、無法由別人復(fù)制的信息,以保證交易后發(fā)生糾紛時有所對證。
四、電子商務(wù)采用的主要安全技術(shù)手段
1.防火墻技術(shù)。防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。所有來自Internet的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。實現(xiàn)防火墻技術(shù)的主要途徑有:分組過濾和服務(wù)。分組過濾:這是一種基于路由器的防火墻。它是在網(wǎng)間的路由器中按網(wǎng)絡(luò)安全策略設(shè)置一張訪問表或黑名單,即借助數(shù)據(jù)分組中的IP地址確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過。防火墻的職責(zé)就是根據(jù)訪問表(或黑名單)對進(jìn)出路由器的分組進(jìn)行檢查和過濾。這種防火墻簡單易行,但不能完全有效地防范非法攻擊。目前,80%的防火墻都是采用這種技術(shù)。服務(wù):是一種基于服務(wù)的防火墻,它的安全性高,增加了身份認(rèn)證與審計跟蹤功能,但速度較慢。所謂審計跟蹤是對網(wǎng)絡(luò)系統(tǒng)資源的使用情況提供一個完備的記錄,以便對網(wǎng)絡(luò)進(jìn)行完全監(jiān)督和控制。通過不斷收集與積累有關(guān)出入網(wǎng)絡(luò)的完全事件記錄,并有選擇地對其中的一些進(jìn)行審計跟蹤,發(fā)現(xiàn)可能的非法行為并提供有力的證據(jù),然后以秘密的方式向網(wǎng)上的防火墻發(fā)出有關(guān)信息如黑名單等。防火墻雖然能對外部網(wǎng)絡(luò)的功擊實施有效的防護(hù),但對網(wǎng)絡(luò)內(nèi)部信息傳輸?shù)陌踩珔s無能為力,實現(xiàn)電子商務(wù)的安全還需要一些保障動態(tài)安全的技術(shù)。
2.數(shù)據(jù)加密技術(shù)。在電子商務(wù)中,數(shù)據(jù)加密技術(shù)是其他安全技術(shù)的基礎(chǔ),也是最主要的安全措施,貿(mào)易方可根據(jù)需要在信息交換的階段使用。目前,加密技術(shù)分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。對稱加密又稱為私鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。使用對稱加密方法將簡化加密的處理,每個貿(mào)易方都不必彼此研究和交換專用的加密算法,而是采用相同的加密算法并只交換共享的專用密鑰。比較著名的對稱加密算法是:美國國家標(biāo)準(zhǔn)局提出的DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))。對稱加密方式存在的一個問題是無法鑒別貿(mào)易發(fā)起方或貿(mào)易最終方。因為貿(mào)易雙方共享同一把專用密鑰,貿(mào)易雙方的任何信息都是通過這把密鑰加密后傳送給對方的。
(2)非對稱加密。非對稱加密又稱為公鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,通信雙方各具有兩把密鑰,即一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應(yīng)的私鑰解密。同樣地,用私鑰加密的數(shù)據(jù)只能用對應(yīng)的公鑰解密。RSA(即Rivest,ShamirAdleman)算法是非對稱加密領(lǐng)域內(nèi)最為著名的算法。貿(mào)易方利用該方案實現(xiàn)機密信息交換的基本過程是:貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開,得到該公開密鑰的貿(mào)易方乙使用該密鑰對機密信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲;貿(mào)易方甲再用自己保存的另一把私有密鑰對加密后的信息進(jìn)行解密。貿(mào)易方甲只能用其私有密鑰解密由其公開密鑰加密后的任何信息。為了充分發(fā)揮對稱和非對稱加密體制各自的優(yōu)點,在實際應(yīng)用中通常將這兩種加密體制結(jié)合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。
3.數(shù)字簽名技術(shù)。僅有加密技術(shù)還不足以保證商務(wù)信息傳遞的安全,在確保信息完整性方面,數(shù)字簽名技術(shù)占據(jù)著不可替代的位置。目前數(shù)字簽名的應(yīng)用主要有數(shù)字摘要、數(shù)字簽名和數(shù)字時間戳技術(shù)。
(1)數(shù)字摘要。數(shù)字摘要是對一條原始信息進(jìn)行單向哈希(Hash)函數(shù)變換運算得到的一個長度一定的摘要信息。該摘要與原始信息一一對應(yīng),即不同的原始信息必然得到一個不同的摘要。若信息的完整性遭到破壞,信息就無法通過原始摘要信息的驗證,成為無效信息,信息接收者便可以選擇不再信任該信息。
(2)數(shù)字簽名。數(shù)字簽名實際上是運用公私鑰加密技術(shù)使信息具有不可抵賴性,其具體過程為:文件的發(fā)送方從文件中生成一個數(shù)字摘要,用自己的私鑰對這個數(shù)字摘要進(jìn)行加密,從而形成數(shù)字簽名。這個被加密的數(shù)字簽名文件作為附件和原始文件一起發(fā)送給接收者。接收方收到信息后就用發(fā)送方的公開密鑰對摘要進(jìn)行解密,如果解出了正確的摘要,即該摘要可以確認(rèn)原始文件沒有被更改過。那么說明這個信息確實為發(fā)送者發(fā)出的。于是實現(xiàn)了對原始文件的鑒別和不可抵賴性。
(3)數(shù)字時間戳。數(shù)字時間戳技術(shù)或DTS是對數(shù)字文件或交易信息進(jìn)行日期簽署的一項第三方服務(wù)。本質(zhì)上數(shù)字時間戳技術(shù)與數(shù)字簽名技術(shù)如出一轍。加蓋數(shù)字時間戳后的信息不能進(jìn)行偽造、篡改和抵賴,并為信息提供了可靠的時間信息以備查用。
五、小結(jié)
本文分析了目前電子商務(wù)領(lǐng)域所使用的安全技術(shù):防火墻技術(shù),數(shù)據(jù)加密技術(shù),數(shù)字簽名技術(shù),以及安全協(xié)議,指出了它們使用范圍及其優(yōu)缺點。但必須強調(diào)說明的是,電子商務(wù)的安全運行,僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]謝紅燕:電子商務(wù)的安全問題及對策研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(自然科學(xué)版),2007,(3):350-358
[2]彭禹皓蘭波曉玲:電子商務(wù)的安全性探討[J].集團(tuán)經(jīng)濟(jì)研究,2007,(232):216-217
計算機操作系統(tǒng)能夠?qū)?nèi)、CPU、外設(shè)進(jìn)行系統(tǒng)管理,在進(jìn)行管理時,通常會涉及到某些模塊或者程序,一旦在這些程序獲模塊內(nèi)部存在著缺陷,例如計算機內(nèi)存管理模塊有缺陷的問題,一旦某一個外部網(wǎng)絡(luò)的連通,有可能出現(xiàn)整個計算機系統(tǒng)會因此崩潰的后果[2];同時由于操作系統(tǒng)支持在網(wǎng)絡(luò)上安裝或加載程序以及傳送信息,網(wǎng)絡(luò)應(yīng)用的一個最重要作用就是對文件傳輸?shù)墓δ埽鏔TP,這里包含可執(zhí)行文件,通常這些功能也會帶來不安全隱患。這些安裝程序經(jīng)常會附帶一些可執(zhí)行文件,由于這些可執(zhí)行文件實際上都是人為編寫的程序,一旦某個部分有漏洞,可能導(dǎo)致整個操作系統(tǒng)的崩潰;事實上,計算機操作系統(tǒng)不安全的主要原因就是它允許用戶創(chuàng)建進(jìn)程,而且支持進(jìn)程的遠(yuǎn)程創(chuàng)建與激活,被創(chuàng)建的進(jìn)程仍然能夠具備再創(chuàng)建的權(quán)利;同時操作系統(tǒng)還具備一些遠(yuǎn)程調(diào)用作用,而遠(yuǎn)程調(diào)用是指一臺計算機能夠調(diào)用遠(yuǎn)程一個服務(wù)器里面的某些程序,能夠提交程序為遠(yuǎn)程服務(wù)器服務(wù)[3]。遠(yuǎn)程調(diào)用必然需要通過眾多的通訊環(huán)節(jié),在中間環(huán)節(jié)有可能會出現(xiàn)被人監(jiān)控等安全的隱患。
網(wǎng)絡(luò)互聯(lián)有被暴露的可能。就網(wǎng)絡(luò)的開放性而言,因為網(wǎng)絡(luò)技術(shù)是全開放的,導(dǎo)致其所面臨的網(wǎng)絡(luò)攻擊來源幾步確定:可能來源于物理層對傳輸線路的攻擊,也可能來源于來網(wǎng)絡(luò)層對通信協(xié)議的攻擊,還可能來源于應(yīng)用層對計算機軟件與硬件的漏洞進(jìn)行的攻擊;就網(wǎng)絡(luò)的國際性而言,反映出網(wǎng)絡(luò)的攻擊者可能是本地區(qū)的網(wǎng)絡(luò)用戶,還可以是來自互聯(lián)網(wǎng)上其他國家與地區(qū)的黑客,因此網(wǎng)絡(luò)的安全性同時還面臨著國際化的挑戰(zhàn);就網(wǎng)絡(luò)的自由性而言,大部分的網(wǎng)絡(luò)對用戶的使用來說,通常并沒有技術(shù)上的限制,這些用戶能夠自由的上網(wǎng),去與獲取不同信息[4]。
網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)及其功能解析
1入侵檢測。所謂入侵檢測技術(shù)是指為確保計算機系統(tǒng)的安全而設(shè)計和配置的一種可以及時識別并且報告系統(tǒng)中未經(jīng)授權(quán)或者異常現(xiàn)象的一種計算機安全技術(shù)。它基于在不妨礙網(wǎng)絡(luò)性能的前提下,對網(wǎng)絡(luò)行為、安全日志、以及審計數(shù)據(jù)或者網(wǎng)絡(luò)數(shù)據(jù)包實施的安全檢測,能夠?qū)崿F(xiàn)對計算機信息網(wǎng)絡(luò)的時時監(jiān)聽,能夠發(fā)現(xiàn)任何不希望發(fā)生的網(wǎng)絡(luò)行為,能夠發(fā)現(xiàn)對計算機系統(tǒng)的闖入或者對計算機系統(tǒng)的各種威脅,可以檢測計算機網(wǎng)絡(luò)中違背安全策略的活動,能夠提供對內(nèi)部攻擊、外部攻擊以及誤操作的實時監(jiān)控,確保計算機信息系統(tǒng)的資源不被攻擊,通常被認(rèn)為是防火墻技術(shù)之后的第二道安全技術(shù)[5]。入侵檢測通常分為基于網(wǎng)絡(luò)的入侵檢測、基于主機的入侵檢測以及混合入侵檢測的三種類型,在實際中廣泛運用的是基于網(wǎng)絡(luò)的入侵檢測技術(shù)。
2可視化。所謂網(wǎng)絡(luò)安全可視化技術(shù)是指對防火墻技術(shù)、漏洞掃描技術(shù)以及入侵檢測技術(shù)的優(yōu)化補充。該技術(shù)通過利用人類視覺對模型與結(jié)構(gòu)的獲取功能,把海量高維抽象網(wǎng)絡(luò)與系統(tǒng)數(shù)據(jù)通過圖形圖像形式反映出來,實時反映網(wǎng)絡(luò)通信的特殊信息,展現(xiàn)當(dāng)前整個網(wǎng)絡(luò)的運行狀態(tài),然后通過一種人性化的方式把網(wǎng)絡(luò)上潛藏的安全風(fēng)險明確地告知用戶。能偶幫助網(wǎng)絡(luò)安全分析人員直觀及時地觀察到網(wǎng)絡(luò)中的存在安全威脅,運用繁雜高維數(shù)據(jù)信息快速地對網(wǎng)絡(luò)狀況展開,進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)異常入侵,然后預(yù)測網(wǎng)絡(luò)安全事件發(fā)展未來趨勢,從而使得計算機網(wǎng)絡(luò)安全防護(hù)變得更智能、更及時、更便捷[6]。
3防火墻。所謂防火墻技術(shù)就是指網(wǎng)絡(luò)之間通過預(yù)定義的安全舉措,對內(nèi)外網(wǎng)的通信強制實施訪問檢查的安全防范措施。它的主要作用是用來隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),提升網(wǎng)絡(luò)之間訪問控制,通過限制外部用戶對內(nèi)部網(wǎng)絡(luò)訪問以及規(guī)范內(nèi)部用戶訪問外部網(wǎng)絡(luò)的權(quán)限,從而防范外界網(wǎng)絡(luò)用戶運用非法途徑通過外部網(wǎng)絡(luò)潛入內(nèi)部網(wǎng)絡(luò),進(jìn)而訪問內(nèi)部網(wǎng)絡(luò)資源,通過防火墻能夠起到保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的作用。防火墻技術(shù)能夠?qū)蓚€或者多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包,例如鏈接方式,通過一定的安全舉措進(jìn)行檢查,從而判斷網(wǎng)絡(luò)之間的通信能不能被允許,實時監(jiān)控網(wǎng)絡(luò)運行狀態(tài)。一旦發(fā)生可疑動作時,防火墻可以適時適當(dāng)?shù)膱缶瑫r能偶提供網(wǎng)絡(luò)是否受到監(jiān)測與攻擊的重要信息。通過防火墻技術(shù)對內(nèi)部網(wǎng)絡(luò)的進(jìn)行劃分,能夠?qū)崿F(xiàn)對內(nèi)部網(wǎng)重點網(wǎng)段進(jìn)行隔離,阻止內(nèi)部信息對外泄露,在一定程度上降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)產(chǎn)生的影響。
4漏洞掃描。所謂漏洞掃描是指自動檢測遠(yuǎn)端或者本地主機安全的技術(shù)。漏洞掃描程序利用已經(jīng)掌握的網(wǎng)絡(luò)攻擊信息,同時將它們集成到整個掃描過程當(dāng)中,然后通過查詢TCP/IP各類服務(wù)的端口,監(jiān)控本地主機系統(tǒng)與遠(yuǎn)端系統(tǒng)的信息,對網(wǎng)絡(luò)實施模擬攻擊,通過記錄目標(biāo)主機的反映,然后收集相關(guān)特定項目的有用信息與數(shù)據(jù),能夠在較短的時間內(nèi)發(fā)現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,并且按照統(tǒng)計的格式輸出,這樣便于日后的參考與分析[7]。這種技術(shù)能夠幫助網(wǎng)絡(luò)安全管理員準(zhǔn)確的掌握網(wǎng)絡(luò)的安全現(xiàn)狀,從而使得部分復(fù)雜的安全審計與風(fēng)險評估工作變得容易,在了解計算機信息網(wǎng)絡(luò)脆弱點所在的前提下,制定有針對性地利用優(yōu)化系統(tǒng)配置與打補丁等諸多安全防范措施,能夠最大程度地彌補最新的安全漏洞,最終達(dá)到消除安全隱患的目的。
5數(shù)據(jù)加密。所謂數(shù)據(jù)加密技術(shù)是指對信息進(jìn)行重新編碼,把明文數(shù)據(jù)通過變序或者替轉(zhuǎn)換為密文數(shù)據(jù),實際應(yīng)用時再把密文數(shù)據(jù)轉(zhuǎn)變?yōu)槊魑臄?shù)據(jù)輸出,達(dá)到隱藏信息內(nèi)容的目的,最終使非法用戶很難獲得信息的真實內(nèi)容的一種重要的計算機安全技術(shù)。數(shù)據(jù)加密技術(shù)通常用于對動態(tài)數(shù)據(jù)與信息的保護(hù),而一個加密系統(tǒng)是由明文集合、密文集合、密鑰集合以及算法構(gòu)成的,其中,密鑰與算法是數(shù)據(jù)加密系統(tǒng)的最基本單元,算法就是由一些公式、法則以及程序組成的,它明確規(guī)定了明文和密文之間的轉(zhuǎn)換的方法,而密鑰則能夠看作算法中的參數(shù)。通過數(shù)據(jù)加密技術(shù)可以提高計算機信息網(wǎng)絡(luò)系統(tǒng)及其數(shù)據(jù)的安全性與保密性,能夠有效地防范內(nèi)部秘密數(shù)據(jù)被外部人員破解、竊取以及篡改。
加強網(wǎng)絡(luò)信息資源安全管理的途徑
1加強對人員的管理和技術(shù)培訓(xùn)。人為攻擊計算機是網(wǎng)絡(luò)安全所面臨的最大安全威脅。黑客的攻擊和計算機犯罪就是典型的認(rèn)為攻擊。這類攻擊通常分為以下兩種:其一是主動攻擊,它通過各種方式有選擇地破壞信息的有效性與完備性,通過截取網(wǎng)上的數(shù)據(jù)包,并對它實施更改導(dǎo)致它失效,也可能故意添加一些對自身有利的信息,起到信息誤導(dǎo)的效果,或者直接登陸進(jìn)入系統(tǒng)使用并占用很多的網(wǎng)絡(luò)資源,從而使得系統(tǒng)資源的大量消耗,最終損害合法用戶的權(quán)益。其二是被動攻擊,它是在不妨礙網(wǎng)絡(luò)正常工作的情況下進(jìn)行截取、竊取、破解從而獲得更重要的機密的攻擊方式。以上兩種攻擊都會對計算機網(wǎng)絡(luò)造成極大的破壞,并會使得導(dǎo)致用戶數(shù)據(jù)的泄露。
2對計算機硬件設(shè)備加強安全管理。加強計算機設(shè)備安全管理,一方面要為計算機設(shè)備創(chuàng)造一個良好的運行環(huán)境,除了要控制溫度、濕度以外,葉要做好防塵、防電磁泄漏以及防干擾、防火、防有害物質(zhì)和防水防盜等很多防范措施,從而降低安全隱患。另一方面,為消除安全威脅,一定要制定安全規(guī)范與嚴(yán)格管理制度,即在沒有經(jīng)網(wǎng)絡(luò)管理員許可的情況下,任何人不可以任何理由打開機箱,計算機及其網(wǎng)絡(luò)設(shè)備的搬遷或更改相關(guān)硬件設(shè)備,一定要由網(wǎng)絡(luò)管理員負(fù)責(zé),任何人不得私自做主;當(dāng)計算機及網(wǎng)絡(luò)設(shè)備出現(xiàn)硬件故障時,要及時向網(wǎng)絡(luò)管理員報告,由網(wǎng)絡(luò)管理員處理。
3注重網(wǎng)絡(luò)及計算機軟件的安全管理。軟件的安全管理及其反病毒技術(shù)是網(wǎng)絡(luò)安全一個非常重要環(huán)節(jié)。計算機系統(tǒng)的不安全大多來源于計算機病毒。在單機運行環(huán)境下,計算機病毒主要是通過軟盤與硬盤進(jìn)行傳輸?shù)摹S嬎銠C軟件管理可以采取很多方法進(jìn)行防范,諸如用硬盤啟動機器、外來軟盤、設(shè)置開機及進(jìn)入系統(tǒng)的口令、經(jīng)常用病毒檢測軟件進(jìn)行檢查、對重要的計算機和硬盤信息做好備份。
1.1非法授權(quán)訪問
非法授權(quán)訪問是指有些人利用調(diào)試計算機程序和熟練編寫程序的技巧非法獲得了對企業(yè)、公司或個人網(wǎng)絡(luò)文件的訪問權(quán)限,侵入到其內(nèi)部網(wǎng)絡(luò)的一種違法犯罪行為。其侵入的目的主要是為了取得使用系統(tǒng)的寫作權(quán)、存儲權(quán)和訪問權(quán)另外存儲內(nèi)容的權(quán)限,進(jìn)而作為其進(jìn)入其他系統(tǒng)的跳板,甚至蓄意破壞這個系統(tǒng),最終使得其喪失服務(wù)的能力。
1.2自然威脅因素
對于自然威脅,可能是由自然災(zāi)害、電磁輻射、網(wǎng)絡(luò)設(shè)備自然老化和惡劣的場地環(huán)境等引起的。這些偶然因素可能也會直接或間接影響到計算機網(wǎng)絡(luò)的安全。
1.3計算機中病毒的威脅
所謂計算機病毒是指在計算機的程序中插入能破壞計算機數(shù)據(jù)和功能,并影響計算機的正常使用且能自我進(jìn)行復(fù)制的一組指令或代碼。如常見的蠕蟲病毒,就是利用計算機中應(yīng)用系統(tǒng)和操作程序中的漏洞對其進(jìn)行了主動的攻擊。此病毒在具有高破壞性、高傳播性和隱藏性極好的病毒通病的同時,也具有自己特有的一些像只存在于內(nèi)存之中,從而對網(wǎng)絡(luò)造成拒絕服務(wù),以及會和黑客技術(shù)相結(jié)合的特征。除此之外,還有一些常見的極具破壞性的病毒,例如,意大利香腸病毒,有宏病毒等。
1.4木馬程序和后門的威脅
在最早的計算機被侵入開始,黑客就發(fā)展了“后門”這一技術(shù),并利用這一技術(shù),他們可以多次進(jìn)入系統(tǒng)。后門的功能有:使管理員喪失阻止種植者再次進(jìn)入該系統(tǒng)的權(quán)利;提高了種植者在系統(tǒng)中的隱蔽性;減少種植者非法進(jìn)入系統(tǒng)的時間。木馬,又被稱作特洛伊木馬,是后門程序中的一種特殊形式,是一種能使黑客遠(yuǎn)程控制計算機的工具,具有非授權(quán)性和高隱蔽性的特點。木馬中一般有兩個程序,一個是控制器的程序,另一個是服務(wù)器的程序。
2虛擬網(wǎng)絡(luò)的定義及其主要技術(shù)
2.1何為虛擬網(wǎng)絡(luò)技術(shù)
所謂虛擬網(wǎng)絡(luò)技術(shù),就是一種專用網(wǎng)絡(luò)技術(shù),即在公用的數(shù)據(jù)網(wǎng)絡(luò)中搭建出私有的數(shù)據(jù)網(wǎng)絡(luò)。用戶能在虛擬專用網(wǎng)絡(luò)中,對專有的局域網(wǎng)進(jìn)行虛擬,保證在不同地點的局域網(wǎng)中做到如同一個局域網(wǎng)絡(luò)一樣,以此來保證數(shù)據(jù)的安全傳輸。
2.2虛擬網(wǎng)絡(luò)中的主要技術(shù)
虛擬專用網(wǎng)絡(luò)所采用的技術(shù)主要有:隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。其中最為重要的核心技術(shù)就是隧道技術(shù)和加解密技術(shù)。①隧道技術(shù)。其傳播時是以數(shù)據(jù)包的形式對數(shù)據(jù)進(jìn)行傳播,不可能出現(xiàn)穩(wěn)定的網(wǎng)絡(luò)數(shù)據(jù)通道。但在其技術(shù)方面中,隧道技術(shù)就是將局域網(wǎng)數(shù)據(jù)包進(jìn)行重新的封裝。在此過程中,在數(shù)據(jù)包中要將路由信息添加進(jìn)去,能確保在封裝后的數(shù)據(jù)包在兩個虛擬專用網(wǎng)絡(luò)中通過互聯(lián)網(wǎng)的形式進(jìn)行傳遞,數(shù)據(jù)包在互聯(lián)網(wǎng)中的編輯路徑就被稱為隧道。②加解密技術(shù)。上面講到的隧道技術(shù)是僅僅應(yīng)用于兩點間的數(shù)據(jù)封裝和傳輸。如果沒有加解密技術(shù),若是虛擬專用網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包被惡意破壞的人所攔截,里面的內(nèi)容就會被盜取。加密技術(shù)作為系統(tǒng)安全的一把鑰匙,是確保網(wǎng)絡(luò)安全的重要手段。加密技術(shù)對信息進(jìn)行加密的操作就是把原來的為明文件按照某種算法進(jìn)行處理的變?yōu)橐欢尾豢勺x的代碼,稱之為“密文”使其在輸入密鑰之后,才能顯示內(nèi)容的一種信息編碼形式。因而,加密技術(shù)對虛擬專用網(wǎng)絡(luò)技術(shù)而言,同樣很重要。③密鑰管理技術(shù)。如何確保在傳遞公用數(shù)據(jù)時在互聯(lián)中能夠安全進(jìn)行,是密鑰管理技術(shù)的重要任務(wù)。④身份證認(rèn)證技術(shù)。是在虛擬網(wǎng)絡(luò)技術(shù)中比較常見的一種認(rèn)證技術(shù),經(jīng)常采用的方式是為密碼和使用者的名稱進(jìn)行認(rèn)證。
3計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用
3.1在企業(yè)合作客戶和企業(yè)間虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用
企業(yè)合作客戶和企業(yè)間經(jīng)常要共享很多的數(shù)據(jù),但同時企業(yè)又不希望企業(yè)合作客戶對企業(yè)內(nèi)部的所有網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行訪問。因此,企業(yè)可以將要與企業(yè)合作客戶需要共享的數(shù)據(jù)存放在數(shù)據(jù)共享的文件夾中,通過信息防火墻隔斷企業(yè)的內(nèi)部數(shù)據(jù),其企業(yè)的合作客戶在登陸了虛擬專用網(wǎng)絡(luò)客戶端后,才能對此共享文件進(jìn)行訪問,且不會訪問企業(yè)內(nèi)部間的數(shù)據(jù)。
3.2在遠(yuǎn)程分支部門和企業(yè)部門間虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用
此應(yīng)用的范圍也被叫做企業(yè)虛擬局域網(wǎng)。通過在計算機上的虛擬網(wǎng)絡(luò)技術(shù),將分布在各地的分支性企業(yè)機構(gòu)在局域網(wǎng)內(nèi)進(jìn)行連接,在最大程度上確保企業(yè)信息在網(wǎng)絡(luò)中的信息資源共享,此種局域網(wǎng)較適用于跨區(qū)域性或是跨國間的企業(yè)經(jīng)營模式。硬件式的虛擬專用網(wǎng)絡(luò)網(wǎng)管是在虛擬網(wǎng)絡(luò)技術(shù)中比較常見的,它能將加密的密鑰存放在企業(yè)的內(nèi)存中,具有高速度的加密性,而且此種技術(shù)不易使密鑰發(fā)生損壞。由于是用于專門優(yōu)化企業(yè)網(wǎng)絡(luò)信息的傳輸模式,故其效率要比軟件的虛擬網(wǎng)絡(luò)技術(shù)要高得多。
3.3在遠(yuǎn)程員工進(jìn)而企業(yè)網(wǎng)之間虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用
網(wǎng)絡(luò)虛擬技術(shù)在此種模式中的應(yīng)用又被叫做遠(yuǎn)程訪問式虛擬網(wǎng)絡(luò)技術(shù)。在應(yīng)用的方式上主要是采購人員和企業(yè)銷售人員共同在企業(yè)系統(tǒng)中傳入信息,以此實現(xiàn)遠(yuǎn)程員工和其他企業(yè)間的信息與資源共享。其應(yīng)用的具體步驟是:以企業(yè)總部作為虛擬專用網(wǎng)的中心連接點的連接方式,在企業(yè)內(nèi)部設(shè)置一臺具有網(wǎng)絡(luò)虛擬功能的防火墻,當(dāng)做是企業(yè)的互聯(lián)網(wǎng)出口的網(wǎng)關(guān),移動的業(yè)務(wù)網(wǎng)點和辦公用戶需通過虛擬網(wǎng)絡(luò)客戶端進(jìn)行登陸,在此方式下進(jìn)入防火墻設(shè)備中,并充分結(jié)合防火墻中復(fù)合型的虛擬網(wǎng)絡(luò)設(shè)備,是現(xiàn)在較為廣泛使用的一種虛擬網(wǎng)絡(luò)接入的設(shè)備,具有高安全性和低成本性的優(yōu)勢。
4虛擬網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用效果及發(fā)展趨勢
虛擬網(wǎng)絡(luò)技術(shù)在結(jié)合了企業(yè)信息化與寬帶技術(shù)下,在計算機網(wǎng)絡(luò)信息安全方面取得了良好的效果,企業(yè)的信息和資源安全得到了最大程度上的保障。隨著虛擬網(wǎng)絡(luò)技術(shù)的不斷成熟,有關(guān)產(chǎn)品的安全性、可靠性和穩(wěn)定性會得到更大程度上的提高。截至目前為止,電信行業(yè)逐漸處于低迷的狀態(tài),虛擬網(wǎng)絡(luò)技術(shù)正慢慢成為計算機網(wǎng)絡(luò)安全信息中的新亮點,而且虛擬網(wǎng)絡(luò)技術(shù)在市場上所占據(jù)的市場份額也在逐年上升。在各類虛擬網(wǎng)絡(luò)技術(shù)的產(chǎn)品中,結(jié)合防火墻軟件的虛擬網(wǎng)絡(luò)技術(shù)產(chǎn)品和復(fù)合型的網(wǎng)絡(luò)技術(shù)產(chǎn)品逐漸成為計算機網(wǎng)絡(luò)中的熱點。
5結(jié)語
1.1可用性
網(wǎng)絡(luò)系統(tǒng)的可用性是指計算機網(wǎng)絡(luò)系統(tǒng)要隨時隨地能夠為用戶服務(wù),要保障合法用戶能夠訪問到想要瀏覽的網(wǎng)絡(luò)信息,不會出現(xiàn)拒絕合法用戶的服務(wù)要求和非合法用戶濫用的現(xiàn)象。計算機網(wǎng)絡(luò)系統(tǒng)最重要的功能就是為合法用戶提供多方面的、隨時隨地的網(wǎng)絡(luò)服務(wù)。
1.2完整性
網(wǎng)絡(luò)系統(tǒng)的完整性是指網(wǎng)絡(luò)信息在傳輸過程中不能因為任何原因,發(fā)生網(wǎng)絡(luò)信摻入、重放、偽造、修改、刪除等破壞現(xiàn)象[1],影響網(wǎng)絡(luò)信息的完整性。通過信息攻擊、網(wǎng)絡(luò)病毒、人為攻擊、誤碼、設(shè)備故障等原因都會造成網(wǎng)絡(luò)信息完整性的破壞。
1.3保密性
網(wǎng)絡(luò)系統(tǒng)的保密性是指網(wǎng)絡(luò)系統(tǒng)要保證用戶信息不能發(fā)生泄露,主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性,是網(wǎng)絡(luò)系統(tǒng)安全的重要指標(biāo)。保密性不同于完整性,完整性強調(diào)的是網(wǎng)絡(luò)信息不能被破壞,保密性是指防止網(wǎng)絡(luò)信息的發(fā)生泄露[2]。
1.4真實性
網(wǎng)絡(luò)系統(tǒng)的真實性是指網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)系統(tǒng)操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經(jīng)對網(wǎng)絡(luò)系統(tǒng)的承諾和操作。
1.5可靠性
網(wǎng)絡(luò)系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運行,網(wǎng)絡(luò)系統(tǒng)要在一定的時間和條件下穩(wěn)定的完成網(wǎng)絡(luò)用戶指定的任務(wù)和功能,網(wǎng)絡(luò)系統(tǒng)的可靠性是網(wǎng)絡(luò)安全最基本的要求。
1.6可控性
網(wǎng)絡(luò)系統(tǒng)的可控性是指網(wǎng)絡(luò)系統(tǒng)可以控制和調(diào)整網(wǎng)絡(luò)信息傳播方式和傳播內(nèi)容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網(wǎng)絡(luò)系統(tǒng)管理者有必要對網(wǎng)絡(luò)信息進(jìn)行適當(dāng)?shù)谋O(jiān)督和控制,避免外地侵犯和社會犯罪,維護(hù)網(wǎng)絡(luò)安全。
2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用
2.1防火墻
防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權(quán)限的軟件和硬件的組合設(shè)備[3],防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網(wǎng)的網(wǎng)絡(luò)安全。防火墻可以有效攔截來自外界的不安全的訪問服務(wù),同時還可以對防火墻進(jìn)行設(shè)置,屏蔽有危害、不健康的網(wǎng)絡(luò)網(wǎng)站,降低校園網(wǎng)的安全危害。另外防火墻還可以有效地監(jiān)控用戶對校園網(wǎng)的訪問,記錄用戶的訪問記錄,保存到網(wǎng)絡(luò)數(shù)據(jù)庫中,可以快速統(tǒng)計校園網(wǎng)的使用情況,在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題,防火墻可以及時發(fā)出報警信號,提醒用戶的這個非法操作,防止校園網(wǎng)內(nèi)部信息的泄露、另外,防火墻可以和NAT技術(shù)高效地結(jié)合起來,用于隱藏校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)信息,提高校園網(wǎng)的安全系數(shù),同時防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況,提高了校園網(wǎng)的運行效率。防火墻在校園網(wǎng)中的應(yīng)用,完善了校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)隔斷,即使校園網(wǎng)發(fā)生安全問題,也可以在短時間內(nèi)控制問題擴(kuò)散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用,能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害,但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題,不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。
2.2VPN技術(shù)
VPN技術(shù)在校園網(wǎng)的應(yīng)用,通過VPN設(shè)備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來,可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務(wù)器經(jīng)過設(shè)置后,只有符合相應(yīng)條件的用戶經(jīng)過連接VPN服務(wù)器才能獲得訪問特定網(wǎng)絡(luò)信息的權(quán)限,拒絕校園網(wǎng)內(nèi)用戶的危險操作。VPN技術(shù)可以實現(xiàn)用戶驗證,通過驗證校內(nèi)網(wǎng)用戶的身份,只有符合條件的授權(quán)用戶才能連接到VPN服務(wù)器,進(jìn)行相關(guān)訪問。其次實現(xiàn)校園網(wǎng)數(shù)據(jù)加密,VPN技術(shù)可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,只有經(jīng)過授權(quán)的用戶才能訪問這些信息。再次實現(xiàn)校園網(wǎng)密鑰管理,通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議,提高校園網(wǎng)的可靠性。并且VPN技術(shù)在校園網(wǎng)中的應(yīng)用不需要安裝VPN的客戶端設(shè)備,降低了校園網(wǎng)安全管理的成本。通過VPN技術(shù),校園網(wǎng)絡(luò)管理員可以對校園網(wǎng)內(nèi)用戶的操作進(jìn)行實時監(jiān)控,及時發(fā)現(xiàn)校園網(wǎng)絡(luò)故障點,進(jìn)行遠(yuǎn)程維護(hù),提高校園網(wǎng)維護(hù)管理能力。
2.3入侵檢測技術(shù)
入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用,可以檢測校園網(wǎng)絡(luò)中一些不安全的網(wǎng)絡(luò)操作行為,一旦檢測到網(wǎng)絡(luò)系統(tǒng)中的一些異常現(xiàn)象和未授權(quán)的網(wǎng)絡(luò)操作,就會發(fā)出網(wǎng)絡(luò)報警信號。入侵檢測技術(shù)可以自動分析校園網(wǎng)絡(luò)的用戶活動,檢測出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]。入侵檢測技術(shù)還可以監(jiān)控校園網(wǎng)絡(luò)系統(tǒng)的配置情況,檢測出系統(tǒng)安全漏洞,提醒校園網(wǎng)絡(luò)管理人員及時進(jìn)行維護(hù)。另外,入侵檢測技術(shù)在識別網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅方面具有重要的作用,可以及時發(fā)出報警信號,并且拒絕和處理網(wǎng)絡(luò)攻擊入侵行為,結(jié)合發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊模式,檢測校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞,提高校園網(wǎng)的數(shù)據(jù)完整性,進(jìn)行系統(tǒng)評估。
2.4訪問控制技術(shù)
訪問控制技術(shù)主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作,用戶想要進(jìn)入校園網(wǎng),首先要通過訪問控制,經(jīng)過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網(wǎng)的權(quán)限,當(dāng)用戶進(jìn)入校園網(wǎng)后,就會賦予用戶訪問操作權(quán)限,使校園網(wǎng)絡(luò)資源不會被未授權(quán)用戶非法使用和非法訪問。
2.5網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)
校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù),可以防止校園網(wǎng)信息數(shù)據(jù)丟失,保護(hù)校園網(wǎng)重要信息資源。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以實現(xiàn)集中式的網(wǎng)絡(luò)信息資源管理,對整個校園網(wǎng)系統(tǒng)中的信息資源進(jìn)行備份管理,可以極大地提高校園網(wǎng)管理員的工作效率,實現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理,利用網(wǎng)絡(luò)備份設(shè)備實時監(jiān)控校園網(wǎng)絡(luò)中的備份作業(yè),結(jié)合校園網(wǎng)的運行情況,及時修改網(wǎng)絡(luò)備份策略[5],提高系統(tǒng)備份效率。校園網(wǎng)管理員可以利用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù),定時對網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行備份,這是網(wǎng)絡(luò)管理重要環(huán)節(jié)。校園網(wǎng)的備份系統(tǒng)可以在用戶進(jìn)行校園網(wǎng)訪問時,建立在線網(wǎng)絡(luò)索引,當(dāng)用戶需要恢復(fù)網(wǎng)絡(luò)信息時,通過在線網(wǎng)絡(luò)索引中的備份系統(tǒng)就可以自動恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)實現(xiàn)了校園網(wǎng)絡(luò)的歸檔管理,通過時間定期和項目管理對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸檔管理,在網(wǎng)絡(luò)環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲存格式,使所有網(wǎng)絡(luò)信息數(shù)據(jù)在統(tǒng)一格式中完成長時間的保存[6]。
2.6災(zāi)難恢復(fù)技術(shù)
校園網(wǎng)中的災(zāi)難恢復(fù)主要包括兩類:個別數(shù)據(jù)文件的恢復(fù)和所有信息數(shù)據(jù)的恢復(fù)。當(dāng)校園網(wǎng)中的個別數(shù)據(jù)文件恢復(fù)可以利用網(wǎng)絡(luò)中備份系統(tǒng)完成個別受損數(shù)據(jù)文件的恢復(fù),校園網(wǎng)絡(luò)管理員可以瀏覽目錄或者數(shù)據(jù)庫,觸動受損數(shù)據(jù)文件的恢復(fù)功能,系統(tǒng)會自動加載存儲軟件,恢復(fù)受損文件。所有信息數(shù)據(jù)的恢復(fù)主要應(yīng)用在當(dāng)發(fā)生意外災(zāi)難時導(dǎo)致整個校園網(wǎng)系統(tǒng)重組、系統(tǒng)升級、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。
3結(jié)語
