網(wǎng)絡安全設計論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全設計論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網(wǎng)絡安全設計論文范文
1.1計算機網(wǎng)絡的信息安全
計算機網(wǎng)絡設計是非常復雜的,設計過程中會涉及到各種技術,同時具有互聯(lián)性、開放性、多樣性等多種特點,所以可以說計算機網(wǎng)絡安全設計也是非常復雜的。從一定程度上來說,信息在計算機網(wǎng)絡中進行傳輸?shù)姆绞街饕◤V域網(wǎng)與局域網(wǎng)兩種,傳輸方式網(wǎng)絡的安全程度都是不同的。所以在設計信息安全的過程中,要與不同安全問題相結合,對其進行系統(tǒng)化、全方位的設計。
1.2對信息存儲進行安全設計
對于信息安全來說,存儲是一項重要措施,存儲的位置、安全性對于信息安全來說都是非常重要的。存儲的安全性主要是指在存儲信息時,整個過程都要保證完整性和保密性,此外還要保證信息的可用性和可控性。一般來說,在存儲計算機網(wǎng)絡中的信息時會受到的威脅有幾方面。一是外網(wǎng)非法的訪問,計算機網(wǎng)絡在進行訪問時,對于一部分用戶的訪問是沒有被授權的,雖然網(wǎng)絡并沒有授權對這些用戶訪問,但是依然允許其進行訪問,保密性被破壞的同時一些信息也隨之被泄露出來,這樣一來信息的完整性就被破壞了。二是存儲設備故障和損壞,一旦存儲設備出現(xiàn)故障以后,信息就會受到不同程度的破壞,同時也會丟失一部分信息,信息的完整性和可用性也相應降低,最重要的是信息的有效性無法得到實現(xiàn)。針對以上各種情況,在信息安全設計過程中應該采取幾項對策。控制訪問權限,尤其是在信息安全級別方面應該在設置中進行控制,在設置安全級別時避免非法訪問,同時對信息進行保護,這種方法的原理為將系統(tǒng)自行設置于安全控制技術相結合,主要包括對訪問的級別、身份等進行鑒別,通過跟蹤信息、控制文件的安全性等途徑對其進行限制。此外,一些計算機在安全設計過程中會對數(shù)據(jù)進行加密,采取一些防堵措施對信息安全給予保障,一些計算機在安全設計過程中,經(jīng)常會通過備份數(shù)據(jù)或者對數(shù)據(jù)進行加密的方式作為補救的措施,這些措施對非法訪問造成的威脅都能起到有效的防止作用。加強保護或維護存儲的設備,加強對存儲設備的保護與維護可以對信息安全進行有效的保障,一旦存儲的設備有問題發(fā)生,其后果將會是非常嚴重的,將會造成難以彌補的損失。所以即使采取措施對存儲的設備進行保護與維護,可以防止一些問題的出現(xiàn)。具體的用戶訪問控制管理。
2計算機網(wǎng)絡安全設計與系統(tǒng)化管理
通過上文的討論,相信大家都已經(jīng)了解到計算機網(wǎng)絡安全的重要性了,安全設計實際上來說就是一些圍繞技術人員而進行的一些措施。對于網(wǎng)絡安全來說,這里主要探討的是安全設計之外的網(wǎng)絡安全,應該做到以用戶為主。用戶要想實現(xiàn)計算機網(wǎng)絡的安全設計,就要對其進行有效的、長期的系統(tǒng)化管理,這里所說的管理實際上就是對其進行安全管理與安全設置,下面就讓我們來具體分析。
2.1安全體系分析
要想對計算機網(wǎng)絡進行系統(tǒng)化管理,首先應該在計算機網(wǎng)絡中建立安全體系,認證安全體系的主要有幾個途徑。
1)認證安全證書的相關管理體系,認證安全證書時,應該以國際標準為根據(jù)認證其技術體系,必須要具備密鑰管理系統(tǒng),密鑰管理系統(tǒng)主要由注冊等五個系統(tǒng)構成。
2)目錄服務器,訪問應用層的控制主要在目錄服務器基礎之上進行,用戶管理的核心在于目錄服務器,目錄服務器對于用戶來說應該將其放在一個非常重要的位置上。
3)服務器認證,內部訪問是在網(wǎng)絡進行訪問的一種主要方式。服務器認證可以有效控制認證及授權,與此同時還可以對安全傳輸進行科學管理。
2.2計算機系統(tǒng)管理
各計算機的系統(tǒng)是不同的,這就決定了管理系統(tǒng)的方式也是不同的,現(xiàn)階段計算機系統(tǒng)中應用比較廣泛的是Windows系統(tǒng),管理計算機系統(tǒng)主要包括幾個方面。
1)安全的登錄,在計算機的使用過程中,用戶會進行安全的登錄,賬戶可以設計成一個,也可以設置成多個,在計算機安全設計中,登錄是一個非常重要的部分,在登錄的過程中我們可以發(fā)現(xiàn)還存在強制登錄的情況。所以,在計算機的使用過程中,用戶在授權進行管理時,應以授權為依據(jù)禁止登錄,或者允許登錄之后再進行審核,待審核之后才能進行實際操作。
2)賬號和密碼的管理,在一般情況下,計算機系統(tǒng)中會將Administrator設置成計算機系統(tǒng)的管理員,同時這也是管理賬戶的基礎與前提。用戶在管理賬號與密碼時,應以計算機網(wǎng)絡安全需要為依據(jù),管理賬戶的授權和創(chuàng)建,分配用戶的權限可以使賬戶的安全得到一定的保障,這樣用戶就可以通過計算機管理員刪除賬戶或者進行必要的修改等相關操作。
第2篇:網(wǎng)絡安全設計論文范文
關鍵詞:網(wǎng)絡安全,網(wǎng)絡管理,多級安全
1 引言網(wǎng)絡技術,特別是Internet的興起,正在從根本上改變傳統(tǒng)的信息技術(IT)產(chǎn)業(yè),隨著網(wǎng)絡技術和Internet的普及,信息交流變得更加快捷和便利,然而這也給信息保密和安全提出了更高的要求。近年來,研究人員在信息加密,如公開密鑰、對稱加密算法,網(wǎng)絡訪問控制,如防火墻,以及計算機系統(tǒng)安全管理、網(wǎng)絡安全管理等方面做了許多研究工作,并取得了很多究成果。
本論文主要針對網(wǎng)絡安全,從實現(xiàn)網(wǎng)絡信息安全的技術角度展開探討,以期找到能夠實現(xiàn)網(wǎng)絡信息安全的構建方案或者技術應用,并和廣大同行分享。
2 網(wǎng)絡安全風險分析影響局域網(wǎng)網(wǎng)絡安全的因素很多,既有自然因素,也有人為因素,其中人為因素危害較大,歸結起來,主要有六個方面構成對網(wǎng)絡的威脅:
(1) 人為失誤:一些無意的行為,如:丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網(wǎng)絡的人上網(wǎng)等,都會對網(wǎng)絡系統(tǒng)造成極大的破壞。
(2) 病毒感染:從“蠕蟲”病毒開始到CIH、愛蟲病毒,病毒一直是計算機系統(tǒng)安全最直接的威脅,網(wǎng)絡更是為病毒提供了迅速傳播的途徑,病毒很容易地通過服務器以軟件下載、郵件接收等方式進入網(wǎng)絡,然后對網(wǎng)絡進行攻擊,造成很大的損失。
(3) 來自網(wǎng)絡外部的攻擊:這是指來自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡信息的有效性和完整性;偽裝為合法用戶進入網(wǎng)絡并占用大量資源;修改網(wǎng)絡數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行;在中間站點攔截和讀取絕密信息等。
(4) 來自網(wǎng)絡內部的攻擊:在局域網(wǎng)內部,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后,查看機密信息,修改信息內容及破壞應用系統(tǒng)的運行。
(5) 系統(tǒng)的漏洞及“后門”:操作系統(tǒng)及網(wǎng)絡軟件不可能是百分之百的無缺陷、無漏洞的。科技論文。另外,編程人員為自便而在軟件中留有“后門”,一旦“漏洞”及“后門”為外人所知,就會成為整個網(wǎng)絡系統(tǒng)受攻擊的首選目標和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。
3 網(wǎng)絡安全技術管理探討3.1 傳統(tǒng)網(wǎng)絡安全技術目前國內外維護網(wǎng)絡安全的機制主要有以下幾類:
Ø訪問控制機制;
Ø身份鑒別;
Ø加密機制;
Ø病毒防護。
針對以上機制的網(wǎng)絡安全技術措施主要有:
(1) 防火墻技術
防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施,它用來控制內部網(wǎng)和外部網(wǎng)的訪問。
(2) 基于主機的安全措施
通常利用主機操作系統(tǒng)提供的訪問權限,對主機資源進行保護,這種安全措施往往只局限于主機本身的安全,而不能對整個網(wǎng)絡提供安全保證。
(3) 加密技術
面向網(wǎng)絡的加密技術是指通信協(xié)議加密,它是在通信過程中對包中的數(shù)據(jù)進行加密,包括完整性檢測、數(shù)字簽名等,這些安全協(xié)議大多采用了諸如RAS公鑰密碼算法、DES分組密碼、MD系列Hash函數(shù)及其它一些序列密碼算法實現(xiàn)信息安全功能,用于防止黑客對信息進行偽造、冒充和篡改,從而保證網(wǎng)絡的連通性和可用性不受損害。
(4) 其它安全措施
包括鑒別技術、數(shù)字簽名技術、入侵檢測技術、審計監(jiān)控、防病毒技術、備份和恢復技術等。鑒別技術是指只有經(jīng)過網(wǎng)絡系統(tǒng)授權和登記的合法用戶才能進入網(wǎng)絡。審計監(jiān)控是指隨時監(jiān)視用戶在網(wǎng)絡中的活動,記錄用戶對敏感的數(shù)據(jù)資源的訪問,以便隨時調查和分析是否遭到黑客的攻擊。這些都是保障網(wǎng)絡安全的重要手段。
3.2 構建多級網(wǎng)絡安全管理多級安全作為一項計算機安全技術,在軍事和商業(yè)上有廣泛的需求。科技論文。“多級”包括數(shù)據(jù)、進程和人員的安全等級和分類,在用戶訪問數(shù)據(jù)時依據(jù)這些等級和分類進行不同的處理。人員和信息的安全標識一般由兩部分組成,一部分是用“密級”表示數(shù)據(jù)分類具有等級性,例如絕密、秘密、機密和無密級;另一部分是用“類別”表示信息類別的不同,“類別”并不需要等級關系。在具體的網(wǎng)絡安全實現(xiàn)上,可以從以下幾個方面來構建多級網(wǎng)絡安全管理:
(1) 可信終端
可信終端是指經(jīng)過系統(tǒng)軟硬件認證通過、被系統(tǒng)允許接入到系統(tǒng)的終端設備。網(wǎng)絡安全架構中的終端具有一個最高安全等級和一個當前安全等級,最高安全等級表示可以使用該終端的用戶的最高安全等級,當前安全等級表示當前使用該終端用戶的安全等級。
(2) 多級安全服務器
多級安全服務器上需要部署具有強制訪問控制能力的操作系統(tǒng),該操作系統(tǒng)能夠為不同安全等級的用戶提供訪問控制功能。該操作系統(tǒng)必須具備很高的可信性,一般而言要具備TCSEC標準下B1以上的評級。
(3) 單安全等級服務器和訪問控制網(wǎng)關
單安全等級服務器本身并不能為多個安全等級的用戶提供訪問,但結合訪問控制網(wǎng)關就可以為多安全等級用戶提供訪問服務。對于本網(wǎng)的用戶,訪問控制網(wǎng)關旁路許可訪問,而對于外網(wǎng)的用戶則必須經(jīng)過訪問控制網(wǎng)關的裁決。訪問控制網(wǎng)關的作用主要是識別用戶安全等級,控制用戶和服務器之間的信息流。科技論文。如果用戶的安全等級高于單級服務器安全等級,則只允許信息從服務器流向用戶;如果用戶的安全等級等于服務器安全等級,則允許用戶和服務器間信息的雙向流動;如果用戶的安全等級低于服務器安全等級,則只允許信息從用戶流向服務器。
(4) VPN網(wǎng)關
VPN網(wǎng)關主要用來保護跨網(wǎng)傳輸數(shù)據(jù)的保密安全,用來抵御來自外部的攻擊。VPN網(wǎng)關還被用來擴展網(wǎng)絡。應用外接硬件加密設備連接網(wǎng)絡的方式,如果有n個網(wǎng)絡相互連接,那么就必須使用n×(n-1)個硬件加密設備,而每增加一個網(wǎng)絡,就需要增加2n個設備,這對于網(wǎng)絡的擴展很不利。引入VPN網(wǎng)關后,n個網(wǎng)絡只需要n個VPN網(wǎng)關,每增加一個網(wǎng)絡,也只需要增加一個VPN網(wǎng)關。
4 結語在網(wǎng)絡技術十分發(fā)達的今天,任何一臺計算機都不可能孤立于網(wǎng)絡之外,因此對于網(wǎng)絡中的信息的安全防范就顯得十分重要。針對現(xiàn)在網(wǎng)絡規(guī)模越來越大的今天,網(wǎng)絡由于信息傳輸應用范圍的不斷擴大,其信息安全性日益凸顯,本論文正是在這樣的背景下,重點對網(wǎng)絡的信息安全管理系統(tǒng)展開了分析討論,相信通過不斷發(fā)展的網(wǎng)絡硬件安全技術和軟件加密技術,再加上政府對信息安全的重視,計算機網(wǎng)絡的信息安全是完全可以實現(xiàn)的。
參考文獻:
[1] 胡道元,閔京華.網(wǎng)絡安全[M].北京:清華大學出版社,2004.
[2] 黃國言.WEB方式下基于SNMP的網(wǎng)絡管理軟件的設計和實現(xiàn)[J].計算機應用與軟件,2003,20(9):92-94.
[3] 李木金,王光興.一種被用于網(wǎng)絡管理的性能分析模型和實現(xiàn)[J].軟件學報,2000,22(12): 251-255.
第3篇:網(wǎng)絡安全設計論文范文
關鍵詞:數(shù)字化校園網(wǎng),安全隱患,安全機制,安全實施
數(shù)字化校園是在校園網(wǎng)的基礎之上,以計算機網(wǎng)絡和信息數(shù)字化技術為依托,利用先進的信息手段和工具,來支撐學校的教學和管理信息流,實現(xiàn)了教育、教學、科研、管理、技術服務等校園信息的收集、處理、整合、存儲、傳輸、應用等方面的全部數(shù)字化,使教學資源得到充分優(yōu)化利用的一種虛擬教育環(huán)境。
一、高校數(shù)字化校園網(wǎng)的安全隱患分析
高校校園網(wǎng)的應用以及服務主要是面向學生,學生經(jīng)常玩游戲、下電影、瀏覽未知以及可能存在安全隱患的網(wǎng)站、接收陌生人的電子郵件、用聊天軟件時隨意接受陌生人傳送的文件,這些安全隱患都有可能導致校園網(wǎng)病毒泛濫;觀看網(wǎng)上直播,嚴重影響網(wǎng)絡速度,甚至阻塞網(wǎng)絡運行;同時高校的學生人數(shù)較多,學生對網(wǎng)絡安全的認識也參差不齊:很多學生認為網(wǎng)絡中的安全威脅就是計算機病毒。所以,整個校園網(wǎng)中的大部分用戶,對網(wǎng)絡中存在的安全威脅還是沒有一個清晰、系統(tǒng)的認識。
經(jīng)過調查、分析、研究,高校校園網(wǎng)存在以下安全隱患:
1.校園網(wǎng)直接與因特網(wǎng)相連,所以會遭受黑客以及網(wǎng)絡安全缺陷方面的攻擊;
2.校園網(wǎng)內部安全隱患;
3.用戶接入點數(shù)量大,使用率高,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果;
4.缺乏統(tǒng)一管理;
5.網(wǎng)絡中心負荷量大:絕大部分網(wǎng)絡管理功能都是由網(wǎng)絡中心來完成的,包括校園網(wǎng)絡的建設維護、網(wǎng)絡使用的政策制定以及相關費用的收取;
總之,實施一個科學、合理的安全機制數(shù)字化校園網(wǎng),對校園網(wǎng)的正常運行起著至關重要的作用。
二、數(shù)字化校園網(wǎng)安全機制的實施
為了有效地解決校園網(wǎng)將會遇到的種種網(wǎng)絡安全問題,需要在網(wǎng)絡中的各個環(huán)節(jié)都采取必要的安全防范措施,通過多種安全防范技術和措施的綜合運用,從而來保證校園網(wǎng)能夠高性能、高安全性的正常運行。
1、防火墻的實施
防火墻技術是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網(wǎng)絡系統(tǒng)實現(xiàn)網(wǎng)絡安全策略應用最為廣泛的工具之一。
防火墻是一種保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備;同時防火墻也是設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護。論文格式,安全實施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內部網(wǎng)和Internet之間的活動,保證內部網(wǎng)絡的安全。
可根據(jù)具體的校園網(wǎng)實際環(huán)境,在防火墻上設置如下安全策略:
1)解決內外網(wǎng)絡邊界安全,防止外部攻擊,保護內部網(wǎng)絡(禁止外部網(wǎng)絡訪問內部網(wǎng)絡);2)根據(jù)IP地址、協(xié)議類型、端口等進行數(shù)據(jù)包過濾;3)內外網(wǎng)絡采用兩套IP地址,實現(xiàn)雙向地址轉換功能;4)支持安全服務器網(wǎng)絡(DMZ區(qū)),允許內外網(wǎng)絡訪問DMZ區(qū),但禁止DMZ區(qū)訪問內部網(wǎng)絡;5)通過IP與MAC地址綁定防止IP盜用,避免亂用網(wǎng)絡資源;6)防止IP欺騙;7)防DDoS攻擊;8)開啟黑白名單功能,實現(xiàn)URL過濾,過濾不健康網(wǎng)站;9)提供應用服務,隔離內外網(wǎng)絡;10)具有自身保護能力,可防范對防火墻的常見攻擊;11)啟動入侵檢測及告警功能;12)學生訪問不良信息網(wǎng)站后的日志記錄,做到有據(jù)可查;13)多種應用協(xié)議的支持,等等。
2、網(wǎng)閘的實施
安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接,并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備。安全隔離網(wǎng)閘可以在保證安全的前提下,使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡上的數(shù)據(jù)庫之間交換數(shù)據(jù),并可以在網(wǎng)絡之間交換定制的文件。論文格式,安全實施。
可根據(jù)具體的校園網(wǎng)實際環(huán)境,在網(wǎng)閘上設置如下安全策略:
1)阻斷內外網(wǎng)絡的物理連接,防止外部攻擊,保護內部網(wǎng)絡;2)剝離內外網(wǎng)絡傳輸?shù)腡CP/IP以及應用層協(xié)議,避免因為TCP/IP以及應用層協(xié)議造成的漏洞; 3)內外網(wǎng)絡采用一套IP地址,實現(xiàn)指定協(xié)議通訊功能; 4)允許內網(wǎng)訪問外網(wǎng)特定服務、應用(HTTP,F(xiàn)TP,F(xiàn)ILE,DB等);5)允許外網(wǎng)指定機器訪問內網(wǎng)特定應用(FILE,DB等);6)防止IP欺騙; 7)防DDoS攻擊;8)具有自身保護能力,可防范常見DoS、DDoS攻擊; 9)多種應用協(xié)議的支持,等等。
3、 防病毒的實施
計算機病毒對計算機網(wǎng)絡的影響是災難性的。計算機病毒的傳播方式已經(jīng)由在單機之間傳播轉向到各個網(wǎng)絡系統(tǒng)之間的傳播,一旦病毒侵入到某一局域網(wǎng)并發(fā)作,那么造成的危害是難以承受的。病毒和防病毒之間的斗爭已經(jīng)進入了由“殺”病毒到“防”病毒的時代。只有將病毒拒絕于內部網(wǎng)之外,或者及時查殺內部網(wǎng)的病毒,以此防范病毒在網(wǎng)絡內泛濫傳播,才能保證數(shù)據(jù)的真正安全。論文格式,安全實施。
我們結合計算機網(wǎng)絡、計算機病毒的特征,給出以下防范防治策略:
1)阻止外網(wǎng)的病毒入侵(這是病毒入侵最常見的方式,因此在兩個或多個網(wǎng)絡邊界之間,在網(wǎng)關處進行病毒攔截是效率最高,耗費資源最少的措施,但只能阻擋來自外部病毒的入侵);2)阻止網(wǎng)絡郵件/群件系統(tǒng)傳播病毒(在郵件系統(tǒng)上部署防病毒體系);3)設置文件服務器防病毒保護;4)最終用戶:病毒絕大部分是潛伏在計算機網(wǎng)絡的客戶端機器上,因此在網(wǎng)絡內對所有的客戶機也要進行防毒控制;5)內容保護:為了能夠在第一時間主動的阻止新型病毒的入侵,在防病毒系統(tǒng)中對附加內容進行過濾和保護是非常必要的;6)集中管理:通過一個監(jiān)控中心對整個系統(tǒng)內的防毒服務和情況進行管理和維護,這樣可以大大降低維護人員的數(shù)量和維護成本,并且縮短了升級、維護系統(tǒng)的響應時間。
4、學生宿舍區(qū)域802.1x認證
考慮到認證效率、接入安全、管理特性等多方面的因素,對于學生宿舍區(qū)域的用戶接入建議采用已經(jīng)標準化的802.1x認證方式:
1)網(wǎng)絡環(huán)境復雜,接入用戶數(shù)量巨大:建議采用分布式的用戶認證方式,把認證分散到樓棟匯聚交換機上去完成,如果發(fā)生故障,不至于會影響到整個網(wǎng)絡的所有用戶;2)網(wǎng)絡流量大,認證用戶數(shù)量大:所采用的認證方式要具有很高的效率,以保證用戶能及時通過認證,在網(wǎng)絡流量大,認證用戶數(shù)多時不會對設備的性能產(chǎn)生影響,以保證整個網(wǎng)絡高效、穩(wěn)定的運行;3)某些用戶技術層次高,存在對網(wǎng)絡安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對網(wǎng)絡的影響,因此所采用的認證方式要能夠有比較高的安全性,能防止如DHCP的惡意攻擊等安全功能。
5、數(shù)據(jù)存儲方案的實施
數(shù)字化校園是計算機技術的一個新興應用領域,涉及的內容非常廣泛,包括資料數(shù)字化、海量存儲及數(shù)據(jù)管理、全方位查詢檢索、多渠道等技術,提供包括電子圖書、視頻、音頻及其他多種形式的媒體資料等等。在數(shù)字化校園環(huán)境下,各種數(shù)字信息的增長非常迅猛,同時,數(shù)字信息存儲的容量需求越來越大。
因此,設計一種高容量、可擴充的存儲技術方案也是校園網(wǎng)絡安全的重點。可以容納、甚至可以無限制地容納更多信息的“海量”存儲技術:如NAS存儲、SAN存儲等應用支撐平臺解決方案,在系統(tǒng)結構上滿足用戶未來的應用需求,同時合理使用用戶投資,建立滿足用戶現(xiàn)有需求的系統(tǒng),并且易于擴展的系統(tǒng),來幫助用戶解決在數(shù)據(jù)存儲和應用需求方面所面臨的挑戰(zhàn)。
三、總結
隨著Internet技術突飛猛進的發(fā)展,網(wǎng)絡的應用范圍和領域迅速擴大,新的網(wǎng)絡技術、安全技術不斷推陳出新,黑客技術也逐漸多元化,導致安全問題日益突出。在計算機網(wǎng)絡里,安全防范體系的建立不是一勞永逸的,沒有絕對的安全,我們只能不斷的采用新的網(wǎng)絡技術,以及新的安全設備與技術,這樣才有可能將網(wǎng)絡中威脅降到最低限度。論文格式,安全實施。
防火墻、網(wǎng)閘、病毒防范是信息安全領域的主流技術,這些網(wǎng)絡安全技術為整個網(wǎng)絡安全的建設起到至關重要的作用,任何一個網(wǎng)絡或者用戶都不能夠忽視。論文格式,安全實施。到目前為止,盡管相關研究人員已經(jīng)在理論和實踐方面都作了大量的工作,而影響校園網(wǎng)的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新。論文格式,安全實施。要確保網(wǎng)絡的安全就只有根據(jù)實際情況,在安全技術上采用最新的技術成果,及時調整安全策略,有效整合現(xiàn)有安全資源,并且不斷引入新的安全機制,才能保證網(wǎng)絡安全防范體系的良性發(fā)展,確保數(shù)字化校園網(wǎng)的有效性和先進性。
參考文獻:
[1]焦中明.高校數(shù)字化校園建設的幾個問題.贛南師范學院學報
[2]徐立.我國高校校園網(wǎng)建設的研究.中南大學碩士論文
[3]沈培華.數(shù)字校園的五個層次.計算機世界
[4]趙思輝.數(shù)字化校園基礎平臺體系架構.福建電腦
[5]宋金玲.數(shù)字校園的相關技術及方法研究.中國礦業(yè)大學
[6]曾力煒,徐鷹.關于數(shù)字化校園建設的研究.計算機與現(xiàn)代化
[7]占素環(huán).校園網(wǎng)網(wǎng)絡安全技術及解決方案.農(nóng)機化研究
[8]張武軍,李雪安.高校校園網(wǎng)安全整體解決方案研究.電子科技
第4篇:網(wǎng)絡安全設計論文范文
關鍵詞:計算機網(wǎng)絡,防護技術,研究
隨著高新技術的不斷發(fā)展,計算機網(wǎng)絡已經(jīng)成為我們生活中所不可缺少的概念,然而隨之而來的問題----網(wǎng)絡安全也毫無保留地呈現(xiàn)在我們的面前,不論是在軍事中還是在日常的生活中,網(wǎng)絡的安全問題都是我們所不得不考慮的,只有有了對網(wǎng)絡攻防技術的深入了解,采用有效的網(wǎng)絡防護技術,才能保證網(wǎng)絡的安全、暢通,保護網(wǎng)絡信息在存儲和傳輸?shù)倪^程中的保密性、完整性、可用性、真實性和可控性,才能使我們面對網(wǎng)絡而不致盲從,真正發(fā)揮出網(wǎng)絡的作用。
一、計算機網(wǎng)絡防護技術構成
(一)被動防護技術
其主要采用一系列技術措施(如信息加密、身份認證、訪問控制、防火墻等)對系統(tǒng)自身進行加固和防護,不讓非法用戶進入網(wǎng)絡內部,從而達到保護網(wǎng)絡信息安全的目的。這些措施一般是在網(wǎng)絡建設和使用的過程中進行規(guī)劃設置,并逐步完善。因其只能保護網(wǎng)絡的入口,無法動態(tài)實時地檢測發(fā)生在網(wǎng)絡內部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術
密碼技術是網(wǎng)絡安全最有效的技術之一, 信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。它通過信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全。在多數(shù)情況下,信息加密是保證信息機密性的惟一方法。信息加密的主要目的是保護網(wǎng)內的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。
網(wǎng)絡加密常用的方法有:鏈路加密、端點加密和節(jié)點加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網(wǎng)。
( 2 ) 信息認證技術
認證技術是網(wǎng)絡安全的一個重要方面,屬于網(wǎng)絡安全的第一道防線。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發(fā)送者,以及該信息是否被篡改過,計算機系統(tǒng)是基于收到的識別信息識別用戶。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發(fā)送認證信息的人)。其主要目的是用來防止非授權用戶或進程侵入計算機系統(tǒng),保護系統(tǒng)和數(shù)據(jù)的安全
其主要技術手段有:用戶名/密碼方式;智能卡認證方式;動態(tài)口令;USB Key認證;生物識別技術。
( 3 ) 訪問控制技術
訪問控制是保證網(wǎng)絡安全最重要的核心策略之一,是一種基于主機的防護技術。訪問控制技術通過控制與檢查進出關鍵服務器中的訪問,保護服務器中的關鍵數(shù)據(jù),其利用用戶身份認證功能,資源訪問權限控制功能和審計功能來識別與確認訪問系統(tǒng)的用戶,決定用戶對系統(tǒng)資源的訪問權限,并記錄系統(tǒng)資源被訪問的時間和訪問者信息。其主要目的是保證網(wǎng)絡資源不被非法使用和訪問。
其主要方式有:自主訪問控制、強行訪問控制和信息流控制。
( 4 ) 防火墻技術
防火墻是一種網(wǎng)絡之間的訪問控制機制,它的主要目的是保護內部網(wǎng)絡免受來自外部網(wǎng)絡非授權訪問,保護內部網(wǎng)絡的安全。
其主要機制是在受保護的內部網(wǎng)和不被信任的外部網(wǎng)絡之間設立一個安全屏障,通過監(jiān)測、限制、更改、抑制通過防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)絡屏蔽內部網(wǎng)絡的信息和結構,防止外部網(wǎng)絡的未授權訪問,實現(xiàn)內部網(wǎng)與外部網(wǎng)的可控性隔離,保護內部網(wǎng)絡的安全。
防火墻的分類主要有:數(shù)據(jù)包過濾型防火墻、應用層網(wǎng)關型防火墻和狀態(tài)檢測型防火墻。
(二)主動防護技術
主動防護技術主要采取技術的手段如入侵取證、網(wǎng)絡陷阱、入侵檢測、自動恢復等,能及時地發(fā)現(xiàn)網(wǎng)絡攻擊行為并及時地采取應對措施,如跟蹤和反攻擊、設置網(wǎng)絡陷阱、切斷網(wǎng)絡連接或恢復系統(tǒng)正常工作。實現(xiàn)實時動態(tài)地監(jiān)視網(wǎng)絡狀態(tài),并采取保護措施,以提供對內、外部攻擊和誤操作的實時保護。
( 1 )入侵取證技術
入侵取證技術是指利用計算機軟硬件技術,按照符合法律規(guī)范的方式,對計算機網(wǎng)絡入侵、破壞、欺詐、攻擊等犯罪行為進行識別、保存、分析和提交數(shù)字證據(jù)的過程。
入侵取證的主要目的是對網(wǎng)絡或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進行記錄和分析,并確保記錄信息的真實性與完整性(以滿足電子證據(jù)的要求),據(jù)此找出入侵者或入侵的機器,并解釋入侵的過程,從而確定責任人,并在必要時,采取法律手段維護自己的利益。
入侵取證技術主要包括:網(wǎng)絡入侵取證技術(網(wǎng)絡入侵證據(jù)的識別、獲取、保存、安全傳輸及分析和提交技術等)、現(xiàn)場取證技術(內存快照、現(xiàn)場保存、數(shù)據(jù)快速拷貝與分析技術等)、磁盤恢復取證技術、數(shù)據(jù)還原取證技術(對網(wǎng)上傳輸?shù)男畔热荩绕涫悄切┘用軘?shù)據(jù)的獲取與還原技術)、電子郵件調查取證技術及源代碼取證技術等。
( 2 ) 網(wǎng)絡陷阱技術
網(wǎng)絡陷阱技術是一種欺騙技術,網(wǎng)絡安全防御者根據(jù)網(wǎng)絡系統(tǒng)中存在的安全弱點,采取適當技術,偽造虛假或設置不重要的信息資源,使入侵者相信網(wǎng)絡系統(tǒng)中上述信息資源具有較高價值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時,還可獲得攻擊者手法和動機等相關信息。這些信息日后可用來強化現(xiàn)有的安全措施,例如防火墻規(guī)則和IDS配置等。
其主要目的是造成敵方的信息誤導、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)。靈活的使用網(wǎng)絡陷阱技術可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人,將攻擊造成的損失降至最低。
網(wǎng)絡陷阱技術主要包括:偽裝技術(系統(tǒng)偽裝、服務偽裝等)、誘騙技術、引入技術、信息控制技術(防止攻擊者通過陷阱實現(xiàn)跳轉攻擊)、數(shù)據(jù)捕獲技術(用于獲取并記錄相關攻擊信息)及數(shù)據(jù)統(tǒng)計和分析技術等。
( 3 ) 入侵檢測技術
入侵檢測的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡流經(jīng)的信息等),對這些信息進行分析和判斷,及時發(fā)現(xiàn)入侵和異常的信號,為做出響應贏得寶貴時間,必要時還可直接對攻擊行為做出響應,將攻擊行為帶來的破壞和影響降至最低。它是一種主動的入侵發(fā)現(xiàn)機制,能夠彌補防火墻和其他安全產(chǎn)品的不足,為網(wǎng)絡安全提供實時的監(jiān)控及對入侵采取相應的防護手段,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)已經(jīng)被認為是維護網(wǎng)絡安全的第二道閘門。
其主要目的是動態(tài)地檢測網(wǎng)絡系統(tǒng)中發(fā)生的攻擊行為或異常行為,及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應,彌補被動防御的不足之處。
入侵檢測技術主要包括:數(shù)據(jù)收集技術、攻擊檢測技術、響應技術。
( 4 ) 自動恢復技術
任何一個網(wǎng)絡安全防護系統(tǒng)都無法確保萬無一失,所以,在網(wǎng)絡系統(tǒng)被入侵或破壞后,如何盡快恢復就顯得非常關鍵了。這其中的一個關鍵技術就是自動恢復技術,他針對服務器上的關鍵文件和信息進行實時地一致性檢查,一旦發(fā)現(xiàn)文件或信息的內容、屬主、時間等被非法修改就及時報警,并在極短的時間內進行恢復。論文參考網(wǎng)。其性能的關鍵是資源占有量、正確性和實時性。
其主要目的是在計算機系統(tǒng)和數(shù)據(jù)受到攻擊的時候,能夠在極短的時間內恢復系統(tǒng)和數(shù)據(jù),保障系統(tǒng)的正常運行和數(shù)據(jù)的安全。
自動恢復技術主要包括:備份技術、冗余技術、恢復技術、遠程控制技術、文件掃描與一致性檢查技術等。
二、計算機網(wǎng)絡防護過程模型
針對日益嚴重的網(wǎng)絡安全問題和愈來愈突出的安全需求,人們在研究防黑技術的同時,認識到網(wǎng)絡安全防護不是一個靜態(tài)過程,而是一個包含多個環(huán)節(jié)的動態(tài)過程,并相應地提出了反映網(wǎng)絡安全防護支柱過程的P2DR模型,其過程模型如圖1所示。
圖1 P2DR模型體系結構圖
其過程如下所述:
1.進行系統(tǒng)安全需求和安全風險分析,確定系統(tǒng)的安全目標,設計相應的安全策略。
2.應根據(jù)確定的安全策略,采用相應的網(wǎng)絡安全技術如身份認證技術、訪問控制、網(wǎng)絡技術,選擇符合安全標準和通過安全認證的安全技術和產(chǎn)品,構建系統(tǒng)的安全防線,把好系統(tǒng)的入口。
3.應建立一套網(wǎng)絡案例實時檢測系統(tǒng),主動、及時地檢測網(wǎng)絡系統(tǒng)的安全漏洞、用戶行為和網(wǎng)絡狀態(tài);當網(wǎng)絡出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網(wǎng)絡狀態(tài)異常時及時報警。
4.當出現(xiàn)報警時應及時分析原因,采取應急響應和處理,如斷開網(wǎng)絡連接,修復漏洞或被破壞的系統(tǒng)。
隨著網(wǎng)絡技術的不斷發(fā)展,我們的生活中越來越離不開網(wǎng)絡,然而網(wǎng)絡安全問題也日趨嚴重,做好網(wǎng)絡防護已經(jīng)是我們所不得不做的事情,只有采取合理有效的網(wǎng)絡防護手段才能保證我們網(wǎng)絡的安全、保證信息的安全,使我們真正能夠用好網(wǎng)絡,使網(wǎng)絡為我們的生活添光添彩。
第5篇:網(wǎng)絡安全設計論文范文
關鍵詞:局域網(wǎng);網(wǎng)絡安全;技術分析
中圖分類號:TP393.02 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-02
Analysis on Key Technology of LAN Security
Cheng Wei,Wang Xiaoman
(95854 People's Liberation Army Troops,Beijing101308,China)
Abstract:LAN network security has been related to the internal information security of enterprises,this paper focused on the design of local area network security technology,after a brief description of the definition of local area network security and the principles of design,the design of local area network security technology,which combined with information in the company network security requirements was also analyzed in detail,and its realization was from network physical security design,network architecture security design,network applications security design and network management systems security design,they were all discussed in detail the realization of local area network information security technology solutions.All this work is significative for enhancing the local area network technologies and applications of information security level.
Keywords:LAN;Network security;Technology analysis
一、引言
隨著信息技術的發(fā)展,全球范圍Internet應用的普及,計算機網(wǎng)絡越來越多的服務于人們的生產(chǎn)和生活,同時也給信息行業(yè)帶來很多新的挑戰(zhàn)。在眾多的網(wǎng)絡攻擊事件中,由內部人員發(fā)起的攻擊或者由內部人員濫用網(wǎng)絡資源造成的攻擊占據(jù)網(wǎng)絡攻擊事件中相當大的比例,因此內部網(wǎng)絡和主機安全對于企事業(yè)單位的網(wǎng)絡安全至關重要。
二、局域網(wǎng)網(wǎng)絡安全概述
(一)網(wǎng)絡安全的定義
網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。
網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。
(二)局域網(wǎng)網(wǎng)絡安全設計的原則
1.原則1:網(wǎng)絡信息系統(tǒng)安全與保密的“木桶原則”
網(wǎng)絡信息系統(tǒng)是一個復雜的計算機系統(tǒng),它本身在物理上、操作上和管理上的種種漏洞構成了系統(tǒng)的安全脆弱性,尤其是多用戶網(wǎng)絡系統(tǒng)自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的是“最易滲透原則”,必然在系統(tǒng)中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測,是設計信息安全系統(tǒng)的必要前提條件。
2.原則2:信息安全系統(tǒng)的“有效性與實用性”原則
不能影響系統(tǒng)的正常運行和合法用戶的操作活動,網(wǎng)絡中的信息安全和信息共享存在一個矛盾:一方面,為健全和彌補系統(tǒng)缺陷的漏洞,會采取多種技術手段和管理措施;另一方面,勢必給系統(tǒng)的運行和用戶的使用造成負擔和麻煩,尤其在網(wǎng)絡環(huán)境下,實時性要求很高的業(yè)務不能容忍安全連接和安全處理造成的時延和數(shù)據(jù)擴張。如何在確保安全性的基礎上,把安全處理的運算量減小或分攤,減少用戶記憶、存儲工作和安全服務器的存儲量、計算量,應該是一個信息安全設計者主要解決的問題。
三、局域網(wǎng)網(wǎng)絡安全設計技術分析
為了使本論文所探討的局域網(wǎng)網(wǎng)絡安全設計技術更具有針對性,這里以某公司內部的實際內部局域網(wǎng)為研究對象進行具體的技術分析。
(一)網(wǎng)絡物理安全設計
網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。根據(jù)公司實際情況,綜合考慮成本、安全、可靠等各方面因素,在網(wǎng)絡的物理安全設計方面,主要進行以下幾個方面的設計:
第一,服務器后備供電問題,為了防止服務器市電供電突然中斷可能引起的硬件損壞和軟件系統(tǒng)故障以及在正常情況下給服務器提供穩(wěn)定安全的供電,給服務器配置UPS是最好的選擇
第二,電腦主機室設計,機房除了加裝空調設備外,還應當作防火、防雷等其他方面的考慮,增加防火、防雷系統(tǒng),并安裝了門禁系統(tǒng),對出入機房進行嚴格的管理和記錄。
第三,結構化布線方面,全部采用結構化布線系統(tǒng),數(shù)據(jù)線(網(wǎng)線與電話線)和電線分開不同的管道鋪設,網(wǎng)絡節(jié)點全部采用鐵盒安裝在地板上,不使用時可以關上鐵盒,不影響地面使用。
(二)網(wǎng)絡結構安全設計
網(wǎng)絡拓撲結構設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。例如在內部網(wǎng)和外部互聯(lián)網(wǎng)絡進行通信時,內部網(wǎng)絡的機器安全就會受到威脅,同時也影響在同一網(wǎng)絡上的許多其他系統(tǒng),因此如何很好的隔離內網(wǎng)與互聯(lián)網(wǎng)是網(wǎng)絡結構安全設計的主要考慮。在前面的邏輯設計中提到,公司內網(wǎng)與互聯(lián)網(wǎng)絡的連接是通過中國電信的DDN 4M專線來實現(xiàn)的。如何安全可靠的隔離它們呢,在本次升級方案中,采用了兩種方案。第一,完善原來的Cisco路由器和防火墻組成的第一道隔離帶,加強路由器和防火墻的配置,盡量將不安全的因素阻擊在第一道隔離帶。第二,除了第一種方案的所采用的硬件措施外,考慮引入一種軟件部署成服務器,在內網(wǎng)與互聯(lián)網(wǎng)絡之間形成堅實的第二道隔離帶。
(三)網(wǎng)絡應用系統(tǒng)安全設計
應用的安全涉及方面很多,在安全性上,主要考慮盡可能建立安全的系統(tǒng)平臺,通過專業(yè)的安全工具和及時修補應用系統(tǒng)的漏洞等方法,來提高應用系統(tǒng)的安全性。目前對公司來說,涉及對互聯(lián)網(wǎng)的應用系統(tǒng)主要是Exchange Server郵件系統(tǒng)。在原來的網(wǎng)絡系統(tǒng)中,郵件系統(tǒng)存在的主要問題是,用戶接收大量的垃圾郵件和病毒軟件,導致客戶機電腦中毒,中毒的客戶機電腦又自動利用公司的郵件服務器向互聯(lián)網(wǎng)中轉發(fā)送大量的垃圾郵件,周而復始。因此,如何反垃圾郵件成了應用系統(tǒng)安全設計的主要考慮。在本次升級方案中,要想徹底解決這個問題,建議配置一臺硬件垃圾郵件防火墻是非常必要的,能夠在不增加成本的情況下最大限度的防護垃圾郵件和病毒。
(四)網(wǎng)絡管理系統(tǒng)安全設計
管理是網(wǎng)絡安全中非常重要的部分。對整個網(wǎng)絡和公司用戶來講,就是要建立可操作性的、健全的網(wǎng)絡管理制度。對網(wǎng)絡管理員來說,有一套功能強大的、專業(yè)的網(wǎng)絡管理軟件會對網(wǎng)絡的管理起到事半功倍的作用:當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時,能進行實時的檢測、監(jiān)控、報告與預警。同時,當事故發(fā)生后,也能提供黑客攻擊行為的追蹤線索及破案依據(jù),對網(wǎng)絡能做到可控性與可審查性。因此,對于網(wǎng)絡管理的設計,最可行的做法是建立健全的網(wǎng)絡管理制度和使用專業(yè)的網(wǎng)絡管理軟件相結合,以此保障網(wǎng)絡的安全運行,使公司的局域網(wǎng)成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡系統(tǒng)。
四、結語
局域網(wǎng)網(wǎng)絡安全一直是企業(yè)信息安全的重點攻防戰(zhàn),本文重點從網(wǎng)絡物理安全設計、網(wǎng)絡結構安全設計、網(wǎng)絡應用系統(tǒng)安全設計和網(wǎng)絡管理系統(tǒng)安全設計等幾個方面論述了局域網(wǎng)的設計與管理過程,對于一個安全且運行良好的公司局域網(wǎng)的實現(xiàn)具有一定指導和借鑒的意義。
參考文獻:
[1]陳明.計算機網(wǎng)絡設計教程[M].北京:清華大學出版社,2008
[2]張德楊,高俊,張勇.Microsoft ISA Server在網(wǎng)絡管理中的應用[J].鄭州輕工業(yè)學院學報,2006,21(1):58
[3]張得太.公司網(wǎng)絡安全的規(guī)劃設計與實踐[D].西安:西安電子科技大學,2006
第6篇:網(wǎng)絡安全設計論文范文
論文摘要 計算機和通訊網(wǎng)絡的普及和發(fā)展從根本上改變了人類的生活方式與工作效率。網(wǎng)絡已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介,并且滲透到社會生活的各個角落。政府、企業(yè)、團體、個人的生活都發(fā)生了巨大改變。網(wǎng)絡的快速發(fā)展都得益于互聯(lián)網(wǎng)自身的獨特優(yōu)勢:開放性和匿名性。然而也正是這些特征,同時還決定了網(wǎng)絡存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網(wǎng)絡中存在的主要安全威脅并提出構建網(wǎng)絡安全的防護體系,從而對網(wǎng)絡安全的防護策略進行探討。
0 引言
網(wǎng)絡給我們提供極大的方便的同時也帶來了諸多的網(wǎng)絡安全威脅問題,這些問題一直在困擾著我們,諸如網(wǎng)絡數(shù)據(jù)竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網(wǎng)絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網(wǎng)絡安全問題還是頻發(fā)。網(wǎng)絡hacker活動日益猖獗,他們攻擊網(wǎng)絡服務器,竊取網(wǎng)絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網(wǎng)絡信息安全特別是網(wǎng)絡數(shù)據(jù)安全進行了安全威脅分析并且提出了實現(xiàn)網(wǎng)絡安全的具體策略。
1 目前網(wǎng)絡中存在的主要安全威脅種類
1.1 計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點。計算機病毒主要是通過復制、傳送數(shù)據(jù)包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網(wǎng)絡等都是傳播計算機病毒的主要途經(jīng)。計算機病毒的產(chǎn)生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。
1.2 特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進行惡意行為的程序,多不會直接對電腦產(chǎn)生危害,而是以控制為主。
1.3 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網(wǎng)絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
1.4 邏輯炸彈
邏輯炸彈引發(fā)時的癥狀與某些病毒的作用結果相似,并會對社會引發(fā)連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5 內部、外部泄密
由于黑客的目的一般都是竊取機密數(shù)據(jù)或破壞系統(tǒng)運行,外部黑客也可能入侵web或其他文件服務器刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰。
1.6 黑客攻擊
這是計算機網(wǎng)絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網(wǎng)絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網(wǎng)絡偵察,它是在不影響網(wǎng)絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害
1.7 軟件漏洞
操作系統(tǒng)和各類軟件都是認為編寫和調試的,其自身的設計和結構始終會出現(xiàn)問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯(lián)網(wǎng),危險就悄然而至。
2 網(wǎng)絡信息與網(wǎng)絡安全的防護對策
盡管計算機網(wǎng)絡信息安全受到威脅,但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡信息的安全。
2.1 技術層面上的安全防護對策
1)升級操作系統(tǒng)補丁
操作系統(tǒng)因為自身的復雜性和對網(wǎng)絡需求的適應性,需要及時進行升級和更新,除服務器、工作站等需要操作系統(tǒng)升級外,也包括各種網(wǎng)絡設備,均需要及時升級并打上最新的系統(tǒng)補丁,嚴防網(wǎng)絡惡意工具和黑客利用漏洞進行入侵。
2)安裝網(wǎng)絡版防病殺毒軟件
防病毒服務器作為防病毒軟件的控制中心,及時通過internet更新病毒庫,并強制局域網(wǎng)中已開機的終端及時更新病毒庫軟件。
3)安裝入侵檢測系統(tǒng)
4)安裝網(wǎng)絡防火墻和硬件防火墻
安裝防火墻,允許局域網(wǎng)用戶訪問internet資源,但是嚴格限制internet用戶對局域網(wǎng)資源的訪問。
5)數(shù)據(jù)保密與安裝動態(tài)口令認證系統(tǒng)
信息安全的核似是數(shù)據(jù)保密,一般就是我們所說的密碼技術,隨著計算機網(wǎng)絡不斷滲透到各個領域,密碼學的應用也隨之擴大。數(shù)字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。
6)操作系統(tǒng)安全內核技術
操作系統(tǒng)安全內核技術除了在傳統(tǒng)網(wǎng)絡安全技術上著手,人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡安全性,嘗試把系統(tǒng)內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統(tǒng)更安全。
7)身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2 管理體制上的安全防護策略
1)管理制度的修訂及進行安全技術培訓;
2)加強網(wǎng)絡監(jiān)管人員的信息安全意識,特別是要消除那些影響計算機網(wǎng)絡通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術,必須進行加強;
3)信息備份及恢復系統(tǒng),為了防止核心服務器崩潰導致網(wǎng)絡應用癱瘓,應根據(jù)網(wǎng)絡情況確定完全和增量備份的時間點,定期給網(wǎng)絡信息進行備份。便于一旦出現(xiàn)網(wǎng)絡故障時能及時恢復系統(tǒng)及數(shù)據(jù);
4)開發(fā)計算機信息與網(wǎng)絡安全的監(jiān)督管理系統(tǒng);
5)有關部門監(jiān)管的力度落實相關責任制,對計算機網(wǎng)絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現(xiàn)管理的科學化、規(guī)范化。
參考文獻
[1]簡明.計算機網(wǎng)絡信息安全及其防護策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區(qū)溢出的深入研究[j].電腦編程技巧與維護,2006(9).
第7篇:網(wǎng)絡安全設計論文范文
論文摘要:隨著網(wǎng)絡在社會生活中不斷普及,網(wǎng)絡安全問題越來越顯得重要。當因特網(wǎng)以變革的方式提供信息檢索與能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網(wǎng)絡安全保護模式與安全保護策略進行探討。
計算機網(wǎng)絡最重要的資源是它所提供的服務及所擁有的信息,計算機網(wǎng)絡的安全性可以定義為保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性。為了有效保護網(wǎng)絡安全,應選擇合適的保護模式。
1 安全保護模式
為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:
1.1 無安全保護。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護模式。
1.2 模糊安全保護。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統(tǒng)總認為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛(wèi)信息是很容易被人知道的。在主機登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。
1.3 主機安全保護。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護,在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機安全的問題。
在現(xiàn)代的計算機環(huán)境中,主機安全的主要障礙就是環(huán)境復雜多變性。不同品牌的計算機有不同的商,同一版本操作系統(tǒng)的機器,也會有不同的配置、不同的服務以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護,而且機器越多安全問題也就越復雜。即使所有工作都正確地執(zhí)行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。
1.4 網(wǎng)絡安全保護。由于環(huán)境變得大而復雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網(wǎng)絡安全保護模式。用這種安全保護模式解決如何控制主機的網(wǎng)絡通道和它們所提供的服務比對逐個主機進行保護更有效。現(xiàn)在一般采用的網(wǎng)絡安全手段包括:構建防火墻保護內部系統(tǒng)與網(wǎng)絡,運用可靠的認證方法(如一次性口令),使用加密來保護敏感數(shù)據(jù)在網(wǎng)絡上運行等。
在用防火墻解決網(wǎng)絡安全保護的同時,也決不應忽視主機自身的安全保護。應該采用盡可能強的主機安全措施保護大部分重要的機器,尤其是互聯(lián)網(wǎng)直接連接的機器,防止不是來自因特網(wǎng)侵襲的安全問題在內部機器上發(fā)生。上面討論了各種安全保護模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡的管理問題。安全保護不能防止每一個單個事故的出現(xiàn),它卻可以減少或避免事故的嚴重損失,甚至工作的停頓或終止。
2 安全保護策略
所謂網(wǎng)絡安全保護策略是指一個網(wǎng)絡中關于安全問題采取的原則、對安全使用的要求以及如何保護網(wǎng)絡的安全運行。以下是加強因特網(wǎng)安全保護措施所采取的幾種基本策略。
2.1 最小特權。這是最基本的安全原則。最小特權原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。 在因特網(wǎng)環(huán)境下,最小特權原則被大量運用。在保護站點而采取的一些解決方法中也使用了最小將權原理,如數(shù)據(jù)包過濾被設計成只允許需要的服務進入。在試圖執(zhí)行最小特權時要注意兩個問題:一是要確認已經(jīng)成功地裝備了最小特權,二是不能因為最小特權影響了用戶的正常工作。
2.2 縱深防御。縱深防御是指應該建立多種機制而不要只依靠一種安全機制進行有效保護,這也是一種基本的安全原則。防火墻是維護網(wǎng)絡系統(tǒng)安全的有效機制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結構。如使用有多個數(shù)據(jù)包過濾器的結構,各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。
2.3 阻塞點。所謂阻塞點就是可以對攻擊者進行監(jiān)視和控制的一個窄小通道。在網(wǎng)絡中,個站點與因特網(wǎng)之間的防火墻(假定它是站點與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網(wǎng)上攻擊這個站點的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網(wǎng)絡上,防火墻并不能阻止攻擊者通過很多線路的攻擊。
2.4 防御多樣化。在使用相同安全保護系統(tǒng)的網(wǎng)絡中,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護。但這也會由于不同系統(tǒng)的復雜性不同而花費額外的時間與精力。
3 防火墻
防火墻原是建筑物大廈設計中用來防止火勢從建筑物的一部分蔓延到另一部分的設施。與之類似,作為一種有效的網(wǎng)絡安全機制,網(wǎng)絡防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內部網(wǎng)絡,它是在內部網(wǎng)與外部網(wǎng)之間實施安全防范,控制外部網(wǎng)絡與內部網(wǎng)絡之間服務訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點內部發(fā)生的問題。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設備;限制人們從一個嚴格控制的點離開。防火墻的優(yōu)點:1)強化安全策略:在眾多的因特網(wǎng)服務中,防火墻可以根據(jù)其安全策略僅僅容許“認可的”和符合規(guī)則的服務通過,并可以控制用戶及其權力。2)記錄網(wǎng)絡活動:作為訪問的唯一站點,防火墻能收集記錄在被保護網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)年P于系統(tǒng)和網(wǎng)絡使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡中的一個網(wǎng)段與另一個網(wǎng)段,防止影響局部網(wǎng)絡安全的問題可能會對全局網(wǎng)絡造成影響。4)集中安全策略:作為信息進出網(wǎng)絡的檢查點,防火墻將網(wǎng)絡安全防范策略集中于一身,為網(wǎng)絡安全起了把關作用。
參考文獻
[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡安全管理與防護策略分析[J].北京工業(yè)職業(yè)技術學院學報,2008,(03).
[2]趙薇娜,網(wǎng)絡安全技術與管理措施的探討[J].才智,2008,(10).
第8篇:網(wǎng)絡安全設計論文范文
論文摘要:在介紹網(wǎng)絡安全概念及其產(chǎn)生原因的基礎上,介紹了各種信息技術及其在局域網(wǎng)信息安全中的作用和地位。
隨著現(xiàn)代網(wǎng)絡通信技術的應用和發(fā)展,互聯(lián)網(wǎng)迅速發(fā)展起來,國家逐步進入到網(wǎng)絡化、共享化,我國已經(jīng)進入到信息化的新世紀。在整個互聯(lián)網(wǎng)體系巾,局域網(wǎng)是其巾最重要的部分,公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機構網(wǎng)、政府、學校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實現(xiàn)了信息的傳輸和共享,為用戶方便訪問互聯(lián)網(wǎng)、提升業(yè)務效率和效益提供了有效途徑。但是由于網(wǎng)絡的開放性,黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴重威脅。
信息技術是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論和信息論諸多學科的技術。信息技術的應用就是確保信息安全,使網(wǎng)絡信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡已經(jīng)成為現(xiàn)代人生活的一部分,局域網(wǎng)的安全問題也閑此變得更為重要,信息技術的應用必不可少。
1網(wǎng)絡安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡安全的概念
計算機網(wǎng)絡安全是指保護計算機、網(wǎng)絡系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密,確保系統(tǒng)能連續(xù)和可靠地運行,使網(wǎng)絡服務不巾斷。從本質上來講,網(wǎng)絡安全就是網(wǎng)絡上的信息安全。網(wǎng)絡系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊,網(wǎng)絡中的敏感信息有可能泄露或被修改。從內部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁/射頻截獲、人員疏忽。
網(wǎng)絡安全包括安全的操作系統(tǒng)、應用系統(tǒng)以及防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛,這是因為目前的各種通信網(wǎng)絡中存在著各種各樣的安全漏洞和威脅。從廣義上講,凡是涉及網(wǎng)絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論,都是網(wǎng)絡安全所要研究的領域。網(wǎng)絡安全歸納起來就是信息的存儲安全和傳輸安全。
1.2網(wǎng)絡安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設計者留下的微小破綻都給網(wǎng)絡安全留下了許多隱患,網(wǎng)絡攻擊者以這些“后門”作為通道對網(wǎng)絡實施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進,但仍有漏洞與缺陷存在,入侵者利用各種工具掃描網(wǎng)絡及系統(tǒng)巾的安全漏洞,通過一些攻擊程序對網(wǎng)絡進行惡意攻擊,嚴重時造成網(wǎng)絡的癱瘓、系統(tǒng)的拒絕服務、信息的被竊取或篡改等。
1.2.2 TCP/lP協(xié)議的脆弱性
當前特網(wǎng)部是基于TCP/IP協(xié)議,但是陔?yún)f(xié)議對于網(wǎng)絡的安全性考慮得并不多。且,南于TCtVIP協(xié)議在網(wǎng)絡上公布于眾,如果人們對TCP/IP很熟悉,就可以利川它的安全缺陷來實施網(wǎng)絡攻擊。
1.2.3網(wǎng)絡的開放性和廣域性設計
網(wǎng)絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網(wǎng)絡身的布線以及通信質量而引起的安全問題。互聯(lián)網(wǎng)的全開放性使網(wǎng)絡可能面臨來自物理傳輸線路或者對網(wǎng)絡通信協(xié)議以及對軟件和硬件實施的攻擊;互聯(lián)網(wǎng)的同際性給網(wǎng)絡攻擊者在世界上任何一個角落利州互聯(lián)網(wǎng)上的任何一個機器對網(wǎng)絡發(fā)起攻擊提供機會,這也使得網(wǎng)絡信息保護更加難。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數(shù)據(jù),嚴重影響汁算機軟件、硬件的正常運行,并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快,給全球地嗣的網(wǎng)絡安全帶來了巨大災難。
1.2.5網(wǎng)絡結構的不安全性
特網(wǎng)是一個南無數(shù)個局域網(wǎng)連成的大網(wǎng)絡,它是一種網(wǎng)問網(wǎng)技術。當l主機與另一局域網(wǎng)的主機進行通信時,它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā),這樣攻擊者只要利用l臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機就有可能劫持用戶的數(shù)據(jù)包。
2信息技術在互聯(lián)網(wǎng)中的應用
2.1信息技術的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護后進入網(wǎng)絡信息安全研究階段,當前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術,如:防火墻、安全路由器、安全網(wǎng)關、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡安全是一個綜合、交叉的學科,應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究,使各部分相互協(xié)同,共同維護網(wǎng)絡安全。
國外的信息安全研究起步較早,早在20世紀70年代美國就在網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上,提出了“可信計箅機系統(tǒng)安全評估準則(TESEC)”以及后來的關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面的相關解釋,彤成了安全信息系統(tǒng)體系結構的準則。安全協(xié)議作為信息安全的重要內容,處于發(fā)展提高階段,仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后,成為當前研究的熱點,克服了網(wǎng)絡信息系統(tǒng)密鑰管理的閑舴,同時解決了數(shù)字簽名問題。另外南于計箅機運算速度的不斷提高和網(wǎng)絡安全要求的不斷提升,各種安全技術不斷發(fā)展,網(wǎng)絡安全技術存21世紀將成為信息安全的關鍵技術。
2.2信息技術的應用
2.2.1網(wǎng)絡防病毒軟件
存網(wǎng)絡環(huán)境下,病毒的傳播擴散越來越快,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對局域網(wǎng)的渚多特性,應該有一個基于服務器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連,則川到網(wǎng)大防病毒軟件來加強上網(wǎng)計算機的安全。如果使用郵件存網(wǎng)絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品,針對網(wǎng)絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地動升級,保護局域網(wǎng)免受病毒的侵襲。
2.2.2防火墻技術
防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎;上的應用性安全技術,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境巾,尤其以接入lnlernel網(wǎng)絡的局域網(wǎng)為典型。防火墻是網(wǎng)絡安全的屏障:一個防火墻能檄大地提高一個內部網(wǎng)絡的安全性,通過過濾不安全的服務而降低風險。南于只有經(jīng)過精心選擇的應州協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網(wǎng)絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻,那么防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。
防火墻技術是企業(yè)內外部網(wǎng)絡問非常有效的一種實施訪問控制的手段,邏輯上處于內外部網(wǎng)之問,確保內部網(wǎng)絡正常安全運行的一組軟硬件的有機組合,川來提供存取控制和保密服務。存引人防火墻之后,局域網(wǎng)內網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進行,某局域網(wǎng)根據(jù)網(wǎng)絡決策者及網(wǎng)絡擘家共同決定的局域網(wǎng)的安全策略來設置防火墻,確定什么類型的信息可以通過防火墻。可見防火墻的職責就是根據(jù)規(guī)定的安全策略,對通過外部網(wǎng)絡與內部網(wǎng)絡的信息進行檢企,符合安全策略的予以放行,不符合的不予通過。
防火墻是一種有效的安全工具,它對外屏蔽內部網(wǎng)絡結構,限制外部網(wǎng)絡到內部網(wǎng)絡的訪問。但是它仍有身的缺陷,對于內部網(wǎng)絡之問的入侵行為和內外勾結的入侵行為很難發(fā)覺和防范,對于內部網(wǎng)絡之間的訪問和侵害,防火墻則得無能為力。
2.2.3漏洞掃描技術
漏洞掃描技術是要弄清楚網(wǎng)絡巾存在哪些安全隱患、脆弱點,解決網(wǎng)絡層安全問題。各種大型網(wǎng)絡不僅復雜而且不斷變化,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估得很不現(xiàn)實。要解決這一問題,必須尋找一種能金找網(wǎng)絡安全漏洞、評估并提…修改建議的網(wǎng)絡安全掃描工具,利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網(wǎng)絡安全程度要水不高的情況下,可以利用各種黑客工具對網(wǎng)絡實施模擬攻擊,暴露出:網(wǎng)絡的漏洞,冉通過相關技術進行改善。
2.2.4密碼技術
密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網(wǎng)絡系統(tǒng)不僅不需要特殊網(wǎng)絡拓撲結構的支持,而且在數(shù)據(jù)傳輸過程巾也不會對所經(jīng)過網(wǎng)絡路徑的安全程度做出要求,真正實現(xiàn)了網(wǎng)絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網(wǎng)絡信息加密使川的主要技術。
信息加密技術的功能主要是保護計算機網(wǎng)絡系統(tǒng)內的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡資源的安全。信息加密的方法有3種,一是網(wǎng)絡鏈路加密方法:目的是保護網(wǎng)絡系統(tǒng)節(jié)點之間的鏈路信息安全;二是網(wǎng)絡端點加密方法:目的是保護網(wǎng)絡源端川戶到口的川戶的數(shù)據(jù)安全;二是網(wǎng)絡節(jié)點加密方法:目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據(jù)實際要求采川不同的加密技術。
2.2.5入侵檢測技術。
入侵檢測系統(tǒng)對計算機和網(wǎng)絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監(jiān)測來自內部和外部的人侵行為和內部剛戶的未授權活動,并且對網(wǎng)絡入侵事件及其過程做fIj實時響應,是維護網(wǎng)絡動態(tài)安全的核心技術。入侵檢測技術根據(jù)不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據(jù)使用者的行為或資源使狀況的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助,并對即將發(fā)生的入侵產(chǎn)生警戒作用
3結語
第9篇:網(wǎng)絡安全設計論文范文
在信息安全專業(yè)的實踐教學中,除少數(shù)重點院校外,多數(shù)院校普遍存在學生網(wǎng)絡與信息安全編程能力較弱的問題,相關網(wǎng)絡與信息安全課程以課堂授課為主,學生難以很好地將所學的理論知識用于解決實際問題。當他們面臨一個實際要解決的網(wǎng)絡與信息安全編程問題時,不知道如何結合已有的理論知識去分析問題并編程解決問題,比如非對稱加密算法RSA,簡易掃描器和消息摘要算法MD5等學生在具體實現(xiàn)時面臨較大困難。
另一方面,在“最難就業(yè)季“的大背景下,現(xiàn)在很多用人單位需要畢業(yè)生具有很強的網(wǎng)絡與信息安全編程能力的“求”與高校畢業(yè)生的“供”就形成尖銳的矛盾,導致就業(yè)形勢異常嚴峻。因此,解決這種矛盾已迫在眉睫。
結合我校教學實踐的實際情況,從以下幾個方面介紹我們在提高學生網(wǎng)絡與信息安全編程能力方面做出的一些探索和嘗試。
1以經(jīng)典案例激發(fā)學生編程興趣
興趣是最好的老師,只有充分激發(fā)學生對網(wǎng)絡與信息安全編程的興趣,才能在整個培養(yǎng)過程中逐步引導和提升學生的網(wǎng)絡與信息安全編程的能力。從教學過程發(fā)現(xiàn),學生對安全工具的使用比理論學習的興趣大,而編程實現(xiàn)某一安全工具或軟件所帶來的興趣和成就感又高于簡單機械地使用安全工具。筆者曾在“網(wǎng)絡與信息安全概論”的課堂上演示了一個“盜取”U盤文件的小程序,當同學們發(fā)現(xiàn)一插上U盤,U盤里的所有文件被悄無聲息地拷貝到計算機后,課堂氣氛馬上“炸開了鍋”,同學們立即來了興趣。于是筆者趕緊抓住這一時機,向學生提出幾個問題:①如何實現(xiàn)“盜取“?②用到哪些專業(yè)知識與技巧?③你能不能編寫一個這樣的程序?④此程序如何躲過殺毒軟件或防火墻的檢測?通過這幾個問題的一連串提出,引導學生思考,激發(fā)起興趣。
另外,演示一些國內外經(jīng)典黑客工具如流光、Advanced Office Password Recovery等,通過展示這些工具的強大的功能同樣也能激發(fā)學生學習和編程創(chuàng)作的興趣。
2 構建連貫的編程體系,使得提高網(wǎng)絡與信息安全編程能力過程貫穿本科4年
網(wǎng)絡與信息安全編程能力的提高,離不開對相關專業(yè)課程的系統(tǒng)學習,如網(wǎng)絡基礎、密碼學基礎、編程基礎等課程[4]。所以梳理專業(yè)基礎課程、專業(yè)核心課程、專業(yè)選修課程與編程課程的關系,合理安排進度,實現(xiàn)編程不“斷線”顯得尤為必要。為了保證學生編程能力培養(yǎng)的連續(xù)性,本校從大一到大三6個學期中每學期都有與編程相關的課程,是淮北師范大學計算機科學與技術學院信息安全專業(yè)2013年修訂的本科人才培養(yǎng)方案的編程體系。
3“以本科生導師為核心”組織學習興趣小組,提供相關教材,給予指導方向
我校從第1屆信息安全專業(yè)本科生開始建立本科生導師制度,從大二第一學期開始,學生可以結合學校的開放實驗項目,由學生根據(jù)興趣自主選題并書寫項目申請書交實驗室與設備管理處審批并給予經(jīng)費支持[5]。以一個學期為一個周期,針對不同學生的興趣和能力,指導老師給每位學生推薦參考書目指導學生完成網(wǎng)絡與信息安全技術某一方面的編程。如筆者所指導的學生中成立兩個方向的編程小組,一組對密碼學的加解密算法感興趣,推薦了《精通PKI網(wǎng)絡安全認證技術與編程實現(xiàn)》,本書介紹了PKI應用開發(fā)常用的技術,包括OpenSSL開發(fā)、CrytoAPI開發(fā)、Java Security開發(fā)等,每個系列都是按照先原理、再講解、再實戰(zhàn)的方式進行,非常適合學生獨立練習PKI編程。另外一組對防火墻感興趣,推薦了朱雁輝,朱雁冰編寫的《 Windows防火墻與網(wǎng)絡封包截獲技術》,陳卓,阮鷗,沈劍編寫的《網(wǎng)絡安全編程與實踐》和劉文濤編寫的《網(wǎng)絡安全開發(fā)包詳解》[3]。
通過這種以“本科生導師為核心”的組合,每學期結束進行驗收時,學生能按時完成相應軟件或工具的編制任務。學生普遍反映通過平時的安全編程訓練實戰(zhàn),對理論知識的理解更加深入了,網(wǎng)絡與信息安全編程能力在潛移默化中顯著提高。
4 3+1培養(yǎng)模式,校企合作——課程置換、畢業(yè)論文(設計)雙導師制
為了貫徹落實《國家中長期教育改革和發(fā)展規(guī)劃綱要(2010-2020年)》精神,推動人才培養(yǎng)模式的改革,創(chuàng)新校企合作聯(lián)合培養(yǎng)的人才機制,淮北師范大學以培養(yǎng)切合現(xiàn)代社會需要的計算機科學與技術專業(yè)應用型人才為目標,不斷改革創(chuàng)新,改革人才培養(yǎng)模式體系和實踐教學模式體系,通過多渠道,多途徑提升學生的工程實踐素養(yǎng),培養(yǎng)計算機科學與技術、網(wǎng)絡工程專業(yè)、信息安全專業(yè)學生的工程實踐能力、工程設計能力和工程創(chuàng)新能力[2]。
為了深化改革,淮北師范大學與安艾艾迪信息技術(上海)有限公司(以下簡稱NIIT)聯(lián)合建立了國家級工程實踐教育中心“淮北師范大學-NIIT(上海)工程實踐教育中心”和安徽省省級工程實踐教育中心:“淮北師范大學-NIIT(無錫)工程實踐教育中心”。 2011年9月,淮北師范大學計算機科學與技術學院為培養(yǎng)學生動手實踐能力和創(chuàng)新意識,從企業(yè)需求出發(fā),為提高大學生就業(yè)能力,在教務處的大力支持下,從 2008級大四學生中選派了84名學生赴NIIT(無錫)工程實踐教育中心進行畢業(yè)實習。84名實習生按照個人意愿,分別選擇參加了JAVA軟件開發(fā)項目和.NET軟件開發(fā)項目的工程實踐實訓項目。通過這種校企合作,聯(lián)合培養(yǎng)的措施,大四學生在完成了前3年的本科教學內容,打下了堅實的學科基礎,再經(jīng)過這 1年的采用企業(yè)化辦公環(huán)境、企業(yè)管理、真實開發(fā)項目和開發(fā)流程等培養(yǎng)模式的訓練,從技能、工作經(jīng)驗、職業(yè)素質三個方面入手,培養(yǎng)大學生的IT實戰(zhàn)技術和真正的工作經(jīng)驗,使大學生在真實的工作環(huán)境中成長,為順利就業(yè)、成為合格IT企業(yè)人才鋪平道路。
2011年下半年,為了深化校企結合的新模式改革,支持工程實踐教育中心的建設,淮北師范大學計算機科學與技術學院與NIIT(上海)簽訂了 “課程置換協(xié)議”,將信息安全專業(yè)的部分選修課(限選課和任選課)與NIIT(上海)無錫中心的一些實踐性強的工程項目開發(fā)課程進行置換;并簽訂了“畢業(yè)論文(設計)雙導師制協(xié)議”,由學校和企業(yè)共同組建畢業(yè)論文(設計)指導團隊,對每一位參加雙導師制畢業(yè)論文(設計)指導的學生安排一位校內指導教師和一位企業(yè)指導教師,共同進行畢業(yè)論文(設計)的指導和評價工作。他們的畢業(yè)論文(設計)的指導也采用了雙導師制的形式進行,畢業(yè)論文(設計)題目均為具有實際工程實踐和項目開發(fā)背景的課題。畢業(yè)論文(設計)完成后,由淮北師范大學計算機科學與技術學院與NIIT(上海)無錫中心專家共同組成答辯委員會,對學生畢業(yè)論文(設計)進行答辯,24位同學中有11人達到優(yōu)秀等次,其余均為良好,優(yōu)良率均超過沒有實行“雙導師制”指導的學生。這24名送去NIIT(上海)無錫中心參加工程實踐教育培訓的學生100%就業(yè)成功,而且就業(yè)的企業(yè)都是較大的IT公司或軟件開發(fā)公司,如:江蘇航天信息有限公司、福瑞博德軟件開發(fā)(無錫)有限公司、上海易遠軟件有限公司等。畢業(yè)生到崗后能夠很快地進入角色,符合IT行業(yè)和軟件公司對人才的需求。
5結束語
