引言:易發表網憑借豐富的文秘實踐�,為您精心挑選了九篇網絡安全主動防護范例。如需獲取更多原創內容�,可隨時聯系我們的客服老師���。
第1篇
關鍵詞:主動防護���;網絡安全��;網絡欺騙;入侵防御
【中圖分類號】 TP306 【文獻標識碼】 A 【文章編號】1671-8437(2012)02-0013-02
一�、引言
網絡信息安全保障是一項復雜的系統工程���,是安全策略���、多種技術��、管理方法和人們安全素質的綜合。現代的網絡安全問題處于動態變化之中�����,要保障網絡系統的安全��,必須建立具有相應防御策略的網絡安全防御體系����。在綜合型的網絡安全防御模型中��,多方位、多角度的縱深防御思想得到了充分體現��,而主動防護系統在其中扮演了重要角色�。
二、傳統信息安全防護系統的弱點
傳統信息安全防護方法,包括訪問控制、防火墻���、入侵檢測系統(IDS)、虛擬專用網絡(VPN)等,都是通過靜態的規則阻擋攻擊者�,防御系統只能被動地接受攻擊者的攻擊��,攻擊者不會受到任何損失;而攻擊者卻完全主動地選擇目標,通過系統信息收集和弱點挖掘,針對靜態目標系統中最薄弱的環節強行攻擊。這種情況下�����,傳統防御系統恰處于“人為刀俎���,我為魚肉”的尷尬境地���,其脆弱性一覽無遺��,導致近年來信息安全形勢非但沒有改善��,反而日益惡化。
三�����、主動式網絡安全防護系統
主動防護系統是一種綜合性的網絡安全防護體系����,借鑒ISS的自適應網絡安全模型P2DR和CISCO的網絡動態安全輪模型��,在傳統網路安全防御技術的基礎上建立。該系統應能實現:通過掃描網絡漏洞�,主動對網絡可能遭受的威脅進行預先評估;用硬件NIDS主動、實時、高效地檢測流經網絡的數據包并及時響應��;借助密罐�,主動設置誘騙以保護網絡上的機密信息。與傳統防護系統相比,網絡誘騙和主動式的入侵防御是主動防護系統中最具特點的兩個重要環節���。
四、網絡誘騙系統
網絡誘騙技術就是在網絡中設計一個嚴格控制的欺騙環境,誘騙可疑入侵者重定向到該環境中,保護實際運行的系統,同時收集入侵信息�����,借以觀察入侵者的行為���,記錄其活動�����,用以分析入侵者的水平�、目的����、所用工具、入侵手段等,待確定入侵者身份后����,對其進行分別處理�����。同時在對可疑者進行分析的過程中,若網絡服務質量急劇下降,則可通過特殊機制保持重要應用的網絡服務質量。
1.網絡誘騙系統的體系結構
網絡誘騙系統由決策、誘導、欺騙、分析等模塊組成�,如圖1所示�����。決策模塊實時地監聽各種事件��,包括入侵檢測系統的報警信號����,普通網絡訪問事件等����。決策模塊將監聽到的事件與欺騙、誘導信息庫中的記錄進行比較�,若目的地址在被保護的范圍內���,則根據欺騙�����、誘導策略決定如何進行誘導或欺騙。誘導模塊將攻擊者的連接轉向蜜罐系統��,欺騙模塊則由欺騙主機或欺騙網絡生成虛假信息發送給攻擊者��,使其得不到正確的網絡資料����。系統所作的欺騙和誘導事件都記錄到日志中����,由分析模塊進行分析,調整欺騙和誘導策略��。
圖1 網絡誘騙系統的體系結構示意圖
2.網絡誘騙系統
網絡欺騙系統有多種實現方式����,目前得到實際應用的有欺騙主機和欺騙網絡。欺騙主機有一個很好聽的專用名稱“蜜罐”(Honeypot)����,欺騙網絡則被稱為“陷阱”(Honeynet)。
(1)蜜罐系統
所謂蜜罐,主要是指建立一個虛擬的環境�,上面裝有模擬或真實的操作系統和應用程序����,并故意留有各種弱點或漏洞,引誘黑客進行攻擊��,從而監視�����、學習并分析其攻擊行為����,進而提高自己系統或網絡的安全系數����。蜜罐工作于一種理想狀態,即所有到蜜罐的通信都是允許的�����。蜜罐一般就是一臺主機�,通過在其中安裝操作系統和相關配置,或運行一些仿真軟件對硬件進行模擬建立多個虛擬操作系統����,甚至模擬出一個小型網絡����,來實現其功能����。
(2)陷阱網絡
蜜罐物理上是一臺單獨的機器��,可能會運行多個虛擬操作系統����,但由于數據包是直接進入網絡的�����,它不能控制外發的連接�����。因此,為了限制外發的數據包就必須使用防火墻���,形成陷阱網絡。陷阱網絡有多個蜜罐主機、路由器、防火墻��、IDS�、審計系統等組成,一般需要實現蜜罐系統、數據控制系統��、數據捕獲系統����、數據記錄、數據分析、數據管理等功能�。
五����、主動式入侵防御系統
網絡主動防護系統的特點不僅包括通過網絡欺騙轉移入侵者的攻擊目標���,更重要的是實現入侵追蹤�,以及在發現入侵后采取相應措施保護系統、分析入侵行為,甚至實施反擊。而在網絡欺騙系統中�����,入侵檢測也是不可缺少的一個重要部分�,它監聽到的事件是欺騙決策模塊的判斷依據��,它捕獲的數據是入侵者留下的證據��。下面將從入侵檢測系統的不足之處談起,對主動式網絡防護系統中的入侵防御系統做一番窺視����。
1.入侵檢測系統(IDS)簡析
入侵檢測( Intrusion Detection) ����,是指從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,發現網絡中是否有違反安全策略的行為和遭到攻擊的跡象��。入侵檢測概念的提出依賴于兩個假設: ①用戶和程序的活動是可以觀察的�����。例如:系統審計機制����。②正?����;顒雍腿肭只顒佑薪厝徊煌男袨?�。不正常的活動被標志為入侵。
2.入侵防御系統(IPS)
由于入侵檢測系統存在誤報率高,不能采取積極有效的主動防御措施等缺點�����,人們提出入侵防御系統( Intrusion Prevention System�, IPS)的解決方案�。IPS是一種主動防御的解決方案,它可以阻止由防火墻漏掉的或IDS只能檢測而不能處理的安全事件�����,減少因安全事件而受到的損失�����,增強系統和網絡的性能��。
入侵防御系統目前還沒有一個統一完善的定義,有一種定義是:入侵防御系統( IPS)為任何能夠檢測已知和未知攻擊��,并且在沒有人為的干預下能夠自動阻止攻擊的硬件或軟件設備�����,是一個能夠對入侵進行檢測和響應的“主動防御”系統�。
第2篇
關鍵詞:主動防御�����;網絡安全��;攻擊;防御
中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2010)20-5442-02
Design of Network Safety Attack and Defense Test Platform based on Active Defense
WANG Chao-yang
(5 Department 43 Team, Artillery Academy of the P.L.A, Hefei 230031, China)
Abstract: Now traditional passive defense technology will not reply the behavior of unceasing increase large-scale network attack. According to the characteristic and the advantage of active defense, the article has introduced a kind of design scheme test platform abort network safety attack and defense based on the technology of active defense, and the design and realization of system from the two pieces of experiment modular abort attack and defense.
Key words: active defense; network safety; attack; defense
目前����,伴隨著計算機網絡的大量普及與發展����,網絡安全問題也日益嚴峻����。而傳統的��、被動防御的網絡安全防護技術也將越來越無法應對不斷出現的新的攻擊方法和手段���,網絡安全防護體系由被動防御轉向主動防御是大勢所趨���。因此�,立足現有網絡設備進行攻防實驗平臺的設計和研究���,對于未來網絡安全防護技術的研究具有深遠的指導意義�����。
1 系統功能設計概述
1.1 主動防御技術的概念
主動防御技術是一種新的對抗網絡攻擊的技術�����,也是當今網絡安全領域新興的一個熱點技術�����。它源于英文“Pro-active Defense”,其確切的含義為“前攝性防御”�����,是指由于某些機制的存在���,使攻擊者無法完成對攻擊目標的攻擊���。由于這些前攝性措施能夠在無人干預的情況下預防安全事件��,因此有了通常所說的“主動防御”[1]。網絡安全主動防御技術能夠彌補傳統被動防御技術的不足�����,采用主機防御的思想和技術�����,增強和保證本地網絡安全�,及時發現正在進行的網絡攻擊����,并以響應的應急機制預測和識別來自外部的未知攻擊,采取各種應對防護策略阻止攻擊者的各種攻擊行為。
1.2 系統設計目標
目前關于主動防御的網絡安全防御策略理論研究的較多�,但是對于很多實際應用方面還缺乏實戰的指導和經驗���。網絡安全攻防實驗平臺主要依據主動防御技術體系為策略手段�,針對現有網管軟件存在的問題����,進行主動防御技術體系優化,其核心在于在實驗中實現系統的漏洞機理分析��、安全性檢測�、攻擊試驗、安全應急響應和提供防御應對策略建議等功能�����,能夠啟發實驗者認識和理解安全機理�,發現安全隱患,并進行系統安全防護。
1.3 實驗平臺功能
基于主動防御的網絡安全攻防實驗平臺是一個網絡攻擊與防御的模擬演示平臺,在單機上模擬出基本的網絡節點(設備),然后在這個模擬的網絡環境中演示出網絡攻擊與防御的基本原理和過程���,并以可視化的結果呈現出來。該實驗平臺所仿真的機理和結果能夠依據網絡安全的需求,最終用于網絡攻防測評和實戰的雙重目的�����。并可以為網絡攻擊和防護技能人才更好的學習提供一定的參考��。為完整地體現網絡戰攻防的全過程,該平臺分為攻擊模塊與防御模塊兩部分��。
攻擊模塊部分包括主機端口的掃描��、檢測�����、Web/SMB攻擊模塊和IDS等。其主要功能是實現對于目標系統的檢測�����、漏洞掃描��、攻擊和與防護端的通訊等[2]�。
防御模塊部分主要是基于主動防御技術的功能要求�����,實現檢測�����、防護和響應三種功能機制����。即能夠檢測到有無攻擊行為并予以顯示����、給出陷阱欺騙可以利用的漏洞和提供防護應對策略等��,如: 網絡取證��、網絡對抗、補丁安裝����、系統備份����、防護工具的選購和安裝����、響應等。
2 攻防實驗平臺模型設計
2.1 設計方案
要實現網絡攻防的實驗���,就必須在局域網環境構建仿真的Internet環境,作為攻防實驗的基礎和實驗環境����。仿真的Internet環境能實現www服務��、FTP、E-mail服務�����、在線交互通信和數據庫引擎服務等基本功能���。依據系統的功能需求分析�����,該平臺要實現一個集檢測、攻擊、防護、提供防護應對策略方案等功能于一體的軟件系統��。主要是除了要實現基本的檢測�����、攻擊功能外����,還必須通過向導程序引導用戶認識網絡攻防的機理流程����,即:漏洞存在―漏洞檢測(攻擊模塊)―攻擊進行(攻擊模塊)―系統被破壞―補救措施(防御模塊)―解決的策略方案(防御模塊)[3],以更好的達到實驗效果��。
平臺整體采用C/S模式�,攻擊模塊為客戶端,防御模塊為服務器端����。攻擊模塊進行真實的掃描���、入侵和滲透攻擊���,防御模塊從一定程度上模擬并顯示受到的掃描�����、攻擊行為����,其模擬的過程是動態的�����,讓實驗者看到系統攻擊和被攻擊的全部入侵過程,然后提供響應的防護應對策略。攻防實驗平臺模型如圖1所示���。
2.2 基于主動防御的網絡安全體系
根據本實驗平臺設計的思想和策略原理,為實現主動防御的檢測、防護和響應功能機制,構建基于主動防御技術的網絡安全策略體系(如圖2所示)。安全策略是網絡安全體系的核心��,防護是整個網絡安全體系的前沿�,防火墻被安置在局域網和Internet網絡之間,可以監視并限制進出網絡的數據包,并防范網絡內外的非法訪問[4-5]����。主動防御技術和防火墻技術相結合����,構建了一道網絡安全的立體防線��,在很大程度上確保了網絡系統的安全���,對于未來的網絡安全防護具有深遠的意義����。檢測和響應是網絡安全體系主動防御的核心���,主要由網絡主機漏洞掃描(包括對密碼破解)�、Web/SMB攻擊、IDS、網絡取證���、蜜罐技術等應急響應系統共同實現,包括異常檢測、模式發現和漏洞發現。
2.3 攻防模塊設計
該實驗平臺的攻擊模塊和防御模塊利用C/S模式采用特定端口進行通訊���。攻擊端以動作消息的形式,把進行的每一個動作發往防御端,防御模塊從數據庫中調用相關數據進行模擬��、仿真���,讓實驗者看到和體會到自身系統受到的各種攻擊�。攻防模塊經過TCP/IP建立連接后���,開始進行掃描�����、檢測�����、Web/SMB攻擊和IDS等入侵行為,攻擊端每一個消息的啟動都會發給防御端一個標志位��,防御模塊經判斷后�,調用相關的顯示和檢測模塊進行處理,并提供相應的防護應對策略�。
3 平臺的實現
3.1 主動防御思想的實現
在一個程序中�,必須要通過接口調用操作系統所提供的功能函數來實現自己的功能����。同樣,在平臺系統中����,掛接程序的API函數��,就可以知道程序的進程將有什么動作,對待那些對系統有威脅的動作該怎么處理等等����。實驗中�,采取掛接系統程序進程的API函數�,對主機進程的代碼進行真實的掃描���,如果發現有諸如SIDT、SGDT�����、自定位指令等��,就讓進程繼續運行���;接下來就對系統進程調用API的情況進行監視�,如果發現系統在數據的傳輸時違反規則���,則會提示用戶進行有針對性的操作����;如果發現一個諸如EXE的程序文件被進程以讀寫的方式打開,說明進程的線程可能想要感染PE文件�,系統就會發出警告���;如果進程調用了CreateRemoteThread()���,則說明它可能是比較威脅的API木馬進程����,也會發出警告����。
3.2 攻擊程序模塊實現
網絡安全攻防實驗平臺的設計是基于面向對象的思想,采用動態連接庫開發掃描�����、檢測�、攻擊等功能模塊�。利用套接字變量進行TCP/IP通信,調用DLL隱式連接和顯示連接��,采用在DLL中封裝對話框的形式����,也就是把掃描、檢測����、攻擊等功能和所需要的對話框同時封裝到DLL中��,然后主程序直接調用DLL[6]。實驗中,可以在攻擊程序模塊中指定IP范圍��,并輸入需要攻擊的主機IP地址和相應的其他參數�,對活動主機漏洞進行掃描和密碼攻擊(如圖3所示);并指定IP,對其進行Web/SMB攻擊���,然后輸出攻擊的結果和在攻擊過程中產生的錯誤信息等。
3.3 防御程序模塊實現
在程序的運行中,采取利用網絡偵聽機制監聽攻擊模塊的每一次動作消息的形式���,自動顯示給用戶所偵聽到外部攻擊行為(如圖4所示:Web/SMB攻擊)。該模塊同樣使用了WinSock類套接字進行通訊,在創建了套接字后��,賦予套接字一個地址�。攻擊模塊套接字和防御模塊套接字通過建立TCP/IP連接進行數據的傳輸。然后防御模塊根據接收到的標志信息,在數據庫中檢索對應的記錄,進行結果顯示�、網絡取證���、向用戶提供攻擊的類型及防護方法等多種應對策略�����。其中的蜜罐響應模塊能夠及時獲取攻擊信息,對攻擊行為進行深入的分析����,對未知攻擊進行動態識別,捕獲未知攻擊信息并反饋給防護系統,實現系統防護能力的動態提升。
4 結束語
基于主動防御的網絡安全攻防實驗平臺主要是針對傳統的被動式防御手段的不完善而提出的思想模型�。從模型的構建����、平臺的模擬和實驗的效果來看�����,其系統從一定程度上真實的模擬了網絡設備的攻防功能�,可以為網絡管理者和學習者提供一定的參考和指導。
參考文獻:
[1] 楊銳,羊興.建立基于主動防御技術的網絡安全體系[J].電腦科技,2008(5).
[2] 裴斐,鄭秋生,等.網絡攻防訓練平臺設計[J].中原工學院學報,2004(2).
[3]Stuart McClure, Joel Scambray, George Kurtz. 黑客大曝光―網絡安全的機密與解決方案[ M].北京:清華大學出版社,2002
[4] 張常有.網絡安全體系結構[M].成都:電子科技大學出版社,2006(15).
[5] 黃家林,張征帆.主動防御系統及應用研究[J].網絡安全技術與應用,2007(3).
第3篇
關鍵詞 計算機網絡;安全防護�����;關鍵技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)15-0065-01
計算機網絡是現代數字信息傳輸與存儲的主要通道之一�,隨著其在日常應用中的深入,基于網絡的信息安全問題越來越多,針對網絡信息的信息竊取與泄露事件時有發生�,因此建立完善可用的計算機網絡安全防護體系顯得日趨重要��。為提供高效可靠的安全防護性能,諸多安全防護技術被應用到計算機網絡,如數據加密與簽名認證����、主動防御技術�����、網絡訪問控制技術、防火墻技術等。這些技術在某些方面具有良好的應用效果����,但是存在一定的應用局限性�����。為提升計算機網絡的適應性、動態性和靈活性,必須應用多種相互匹配的安全防護技術構成安全防護體系,為計算機網絡提供足夠的安全防護措施。
1 計算機網絡安全防護體系
傳統的計算機網絡安全防護更多集中在網絡運行過程的安全防護技術應用�,但是隨著網絡攻擊手段的演變與增加,傳統的防火墻技術��、數據加密技術�����、用戶身份認證技術等安全防護手段已經無法滿足應用需求����,針對計算機網絡的安全防護開始從被動防御向主動防御轉變�����,由單獨安全防護技術應用向網絡安全防護體系建設發展�。綜合來看�,計算機網絡安全防護體系主要由三部分內容構成:網絡安全評估部分、安全防護相關技術部分以及網絡安全服務部分����。每一部分中又包含若干具體的網絡安全防護措施��,他們共同作用向計算機網絡提供安全防護服務。計算機網絡的安全防護體系結構圖如圖1所示��。
2 計算機網絡安全防護體系中的關鍵技術
2.1 系統漏洞掃描
任何計算機網絡中都不可避免的存在漏洞或缺陷����,這些漏洞或缺陷一旦被惡意利用即有可能對計算機網絡以及網絡中的用戶造成安全威脅。為解決和預防因漏洞所帶來的安全問題�,要定期對計算機網絡進行漏洞掃描和漏洞修復�。
2.2 網絡訪問與應用管理技術
為增強網絡應用的規范性�����,同時提升網絡安全問題發生后的追溯與分析能力����,可以使用身份認證技術對網絡用戶進行身份認證�����,并為用戶分配對應的網絡操作權限。這一方面可以提升非法用戶訪問網絡的難度����,另一方面還可以對網絡用戶的異常操作行為進行記錄與追蹤�。
2.3 防火墻技術
防火墻技術是一種內網與外網通信過程中的網絡訪問控制技術��。該技術可以按照用戶設定的安全防護策略對不同網絡之間的信息傳輸與網絡訪問等行為進行監控與數據檢查�,以確認網絡運行是否正常,數據通信是否被允許���。目前常用的防火墻技術有包過濾防火墻、地址轉換防火墻以及防火墻等三種����。
其中�,包過濾防火墻技術會對網絡中傳輸的數據包進行地址審查�,確認數據傳輸域發送地址是否可信任,若地址不可信則濾除該信息的接收與發送操作�;地址轉換防火墻技術可以將內網的IP地址轉換為外網的IP地址����,從而隱藏通信終端的真實地址����,避免外網與內網終端之間建立直接通信連接;防火墻技術使用服務器技術將通信雙方的通信數據進行接收與轉發����,使得客戶端與網絡服務器之間的數據通信需要經過兩次通路才能夠實現�����,這樣便提升了內網的安全性�。
2.4 入侵檢測技術
入侵檢測技術是一種主動防御技術,該技術可以應用多種相關技術制定與網絡環境相匹配的安全規則,并利用該規則對從網絡中獲取的數據信息進行分析,進而對網絡的運行狀態進行監控�����,判斷網絡中是否存在安全威脅�����。入侵檢測技術根據檢測數據的類型可以分為異常檢測與濫用監測兩種��。前者以用戶的統計行為習慣作為特征參量來辨認網絡中是否存在入侵行為,該技術是一種自適應技術,可用于對未知攻擊行為進行檢測與防御;后者則是以網絡信息檢測規則來判斷是否存在入侵行為���,由于該技術是基于規則而實現的,因而其主要用于對已知的攻擊類型與攻擊行為進行檢測與防御。
2.5 數據加密與數字簽名技術
數據加密技術主要用于防止數據在計算機網絡傳輸過程中產生的信息泄露或竊取,其根據加密數據應用類型不同可以分為傳輸加密��、存儲加密以及完整性驗證等三種�����。
在傳輸加密中����,端加密技術可以將需要傳輸的明文數據信息轉變為密文信息�,該信息只有使用與之相匹配的解密算法和解密密鑰才能夠恢復成為正確的明文信息,線路加密技術可以對信息傳輸的路徑進行加密,使數據的傳輸路徑得到安全保護。
在存儲加密中,數據加密算法可以將需要存儲的信息轉換為密文信息���,該密文信息在需要存取時需要進行用戶身份驗證與權限審查,只有合法用戶在其權限范圍內才能夠對數據進行相應的操作。
在數據完整性驗證中�����,數據中包含了發件人����、收件人以及數據相關內容的驗證與鑒別信息�����,在驗證數據完整性時需要數據使用對象按照相應的驗證參數進行特征驗證�,確認信息是否完整或受到篡改���。數字簽名技術在數據完整性驗證中具有非常重要的應用意義�����。
2.6 其他網絡安全服務
為構成一個完整有效的網絡安全服務體系����,除了上述安全防護技術外,還應該在網絡中提供應急保障服務,以確保出現安全問題時能夠盡量減小問題所造成的影響���,最短時間內將網絡恢復到正常運行狀態。這就要求一方面要建立和完善應急服務體系,如雙系統待機等���,保證一條網絡出現問題時可以及時切換到備用網絡;另一方面要建立和完善數據恢復體系,如服務器雙熱備份等���,保證網絡服務器出現數據損毀或缺失時能夠存在備用數據庫將其恢復。此外,科學規范的網絡安全使用培訓也是非常有必要的,其可以降低人為因素所帶來的網絡安全威脅。
參考文獻
[1]彭珺�,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程���,2011�,39(1).
第4篇
1.1部署入侵網絡檢測系統入侵網絡檢測系統是通過對計算機網絡或計算機系統的關鍵點信息進行收集與分析����,從而發現是否有被攻擊或違反安全策略的跡象����,協助系統管理員進行安全管理或對系統所收到的攻擊采取相應的對策。
1.2漏洞掃描系統的建立對服務器���、工作站以及交換機等關鍵網絡設備的檢查其必須要采用當前最為先進的漏洞掃描系統,同時定期對上述關鍵網絡設備進行檢查��,并對檢測的報告進行分析����,從而為網絡的安全提供保障。
1.3培養網絡安全人才網絡安全人才的培養是一個很重要的問題�。在我國����,專門從事網絡安全問題的部門�、單位比較少,技術人員十分缺乏���,并且網絡人員以及網絡管理人員網絡安全意識比較淡薄,缺乏必備的安全知識����。所以�����,我國急切需要培養大量的網絡安全人才,并提高他們的網絡安全意識和學習必備的安全知識���。只有這樣,我國才能在網絡安全領域的研發�����、產業發展��、人才培養等方面更快發展,縮小和國外的,是我國的網絡更加的安全,國家更加的安全。
1.4大力發展自主性網絡安全產業大力開發有自主知識產權的網絡安全產品可以有效提高網絡安全性能���,是徹底擺脫進口設備的有效途徑,自己掌握關鍵技術是大力發展自主性網絡安全產業的關鍵。通過加大對網絡安全技術網絡安全技術研究開發與研究的投人�����,可以使網絡安全技術水平得到進一步的提高����。
2網絡安全的發展趨勢
隨著我國當前網絡技術的飛速發展,原來的采用單點疊加方式的網絡防護手段已經不能抵御當前混合型的網絡威脅�����。因此��,構建考慮局部安全�、智能安全和全局安全的一個安全體系�,以此為廣大的網絡用戶提供更為全方位和多層次的立體防護體系,是當前做好網絡安全建設的一個重要的理念��,同時也是網絡安全未來發展趨勢��。
2.1網絡安全技術的融合發展在網絡普及率不斷提高的情況下�,網絡所面臨的威脅也日益加劇。傳統的以單一防護的方式已經成為過去���。因此,只有通過技術的融合���,建立更加智能化、集中化的管理體系��,成為未來網絡安全的必然�。未來網絡的規模會越來越龐大和復雜,網絡層的安全和暢通已經不能僅僅依靠傳統的網絡安全設備來保證����,因此整體的安全解決方案開始融合以終端準入解決方案為代表的網絡管理軟件。終端準入解決方案為網絡安全提供了有效保障,幫助用戶實現了更加主動的安全防護,實現了更加高效�����、便捷地網絡管理目標����,全面推動了網絡整體安全體系建設的進程。
2.2網絡主動防御的發展網絡主動防御的理念已經被提出來很多年了��,但是和其他理論一樣�,在其發展的時候遇到了很多阻礙。所謂的網絡主動防御,其實質就是通過對指定程序或者是線程方面的行為���,并按照事先設定的規則,從而判斷該行為是否是屬于病毒或者是比較危險的程序,以此對其進行清除���。通過主動防御可有效的提高系統整體的安全策略����,并推進整個互聯網絡的智能化的建設。該產品在現階段的發展中還不夠成熟,但是未來隨著技術的進步,該技術會更為完善��,從而成為未來互聯網的發展趨勢���。
3結語
第5篇
【 關鍵詞 】 “互聯網+”時代����;網絡安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co.��, Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat����, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense�����, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era�; network security����; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代��,網絡安全與我們的生活息息相關���,密不可分��。網絡信息安全對于國家���、社會��、企業、生活的各個領域以及個人都有十分重要的作用和意義����。目前�,在網絡應用的深入和技術頻繁升級的同時�,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新��。防火墻���、VNP�、IDS、防病毒�、身份認證���、數據加密����、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用��。隨著大規模網絡的部署和應用領域的迅速拓展��,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視����,網絡安全問題隨時隨地都有可能發生����。近年來�,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊�,網絡安全已滲入到社會生活的各個方面���,提高網絡安全防護能力���,研究網絡安全管理策略是一項十分緊迫而有意義的課題���。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞�����,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施��,然而網絡信息所具有的高無形價值�、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患���,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺�,利用移動互聯網�、 云計算��、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用����,實現產業轉型�、業務拓展和產品創新的新模式��?;ヂ摼W對其他行業的深入影響和滲透����,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴�。隨著“互聯網+”時代的到來�,迫切需要“網絡安全+”的保護�,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全���,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大���,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了�����、泛在了��、與傳統行業對接了���,更加入了無所不在的計算�����、數據、知識�����,給網絡安全帶來了巨大的挑戰和風險�����。網絡安全泛指網絡系統的硬件��、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改���、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件�、物理環境及設施��、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入����,系統軟件與應用軟件不被非法復制��、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取�����,確保其完整性�����、一致性����、機密性等����;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等�����。
2.3 基本要求
網絡安全包括五個基本要求:機密性����、完整性�、可用性、可控性與可審查性���。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容��,通過訪問控制�、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用�����、傳輸�、貯存等過程中不被篡改、丟失�、缺損等��,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候�����,可以立即獲得�����;(4)可控性是指能夠對網絡系統實施安全監控���,做到能夠控制授權范圍內的信息流向�、傳播及行為方式���,控制網絡資源的使用方式�����;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來�����,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關��,即進入了“互聯網+”時代��。各類組織�����、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性�;二是互聯網絡的脆弱性��。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水��、電����、電話一樣,人們也越來越離不開網絡�,而且越是發達的地區��,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化���,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時���,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅�,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓�����。
網絡的脆弱性體現在這些重要的網絡中�����,每時每刻都會面臨惡意攻擊����、病毒傳播�����、錯誤操作�����、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制?;ヂ摼W最初基本上是一個不設防的網絡空間��,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性�����,本身并不為用戶提供高度的安全保護�����?�;ヂ摼W絡系統的脆弱性��,使其容易受到致命的攻擊����。事實上�����,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵��,其中銀行、金融和證券機構是黑客攻擊的重點�。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上�����,我國網絡安全環境不容客觀�����,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看��,中國已是網絡大國�,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜���。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億���,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省���、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代�����,“微博客賬號12 億�����,微信日均發送160 億條,QQ 日均發送60 億條����,新浪微博�����、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征��。
從網絡安全發展趨勢上看�,網絡規模急劇擴大,增加了網絡安全漏洞的可能性�;多個行業領域加入互聯網��,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸����,增加了網絡攻擊的新目標���;互聯網經濟規模的躍升����,增加了網絡管理的復雜性�����。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞���。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗�。網絡系統具有致命的脆弱性��、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷����。各類硬件設施本身存在漏洞和安全隱患���,各類網絡安全系統在預測�����、反應、防范和恢復能力方面存在許多薄弱環節����。國內與網絡有關的各類違法行為以每年30%的速度遞增����,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷�。
從網絡安全威脅對象上看�����,主要是應用軟件、新型智能終端���、移動互聯設備、路由器和各類網站���。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢�,掛馬網站及釣魚網站屢禁不止����。新增手機病毒上漲迅速���,路由器安全����、NFC支付安全�����、智能可穿戴設備等是當前網絡安全最為薄弱的環節�����。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題���,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重�,分別達到26.7%和25.9%�����,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB�����。2015年5月底短短幾天��,就有支付寶���、網易、Uber等互聯網龍頭接連出現故障�,這是海外黑客針對中國APT攻擊的冰山一角��。
從網絡安全防護技術上看,一方面�����,安全問題層出不窮�,技術日趨復雜。另一方面�,安全問題的迅速發展和網絡規模的迅速擴大���,給安全解決方案帶來極大的挑戰����,方案本身的研發周期和用戶部署周期的影響�,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點���。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展����。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題���,網絡安全管理至關重要��,在“互聯網+”模式提出之后��,如何守衛網絡安全將成其發展的關鍵?��!盎ヂ摼W+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態����,由被動到主動,提高網絡安全處置的自適應性和實時反應能力���,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果�。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上�����,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統�����,構建互聯網安全態勢感知體系�����。評價指標包括網絡運行基礎型指標�,網絡脆弱性指標���、網絡威脅指標三類��。其中運行基礎指標包括基礎網絡性能�����、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數����、重要系統的狀態參數��、終端服務器運行狀態等;網絡威脅指標包括攻擊事件���、攻擊類型�����、病毒傳播速度��、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端��、大型核心服務器等關鍵數據進行采集���,如網絡運行狀態數據����、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等��,通過對采集數據的分析���,形成分類��、分級的網絡安全態勢�,通過對數據的實時關聯分析動態獲取網絡安全態勢��,構建一體聯動的態勢感知體系��。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御�����、網絡蜜罐����、流量清洗等系統�,構建網絡安全入侵檢測體系���。一是建設主動防御系統���。利用啟發式檢測和入侵行為分析技術構建主動防御系統���,部署于各類各級網絡管理終端和核心服務器上����,通過對未知網絡威脅�����、病毒木馬進行檢測和查殺���,主動檢測系統漏洞和安全配置�����,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統�����。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統���,實現攻擊誘捕和蜜罐數據管理���,在重要節點��、網站和業務專網以上節點部署攻擊誘捕系統���,有針對性地設置虛假目標,誘騙實施方對其攻擊�,并記錄詳細的攻擊行為�、方法和訪問目標等數據��,通過對誘捕攻擊數據分析�,形成聯動防御體系�����。三是建設流量清洗系統�����,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統�,及時發現網絡中的攻擊流量和惡意流量���。在核心骨干節點部署流量過濾分系統�����,在網絡攻擊發生時,按照設置的過濾規則�,自動過濾惡意攻擊流量��,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞�。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上��,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制�����,構建應急管控體系���。一是加強多級�����、多類核心網絡的控制�����。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控���,實時掌控不同方向、不同區域����、不同領域的網絡流量分布情況��、網絡帶寬占用情況,便于有效應對各類突況����。二是加強網絡安全事件的控制���。特別是對影響網絡運行的病毒傳播擴散����、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為��,要能在第一時間進行預警和處置��。三是建立健全應急管控機制。對于不同類型的網絡安全威脅�,明確相關的職能部門及必要的防范措施�����,避免出現網絡安全問題時“無人問津”的情況����,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態���,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信�、可控網絡體系����,從根本上提高網絡與信息安全的監管��、恢復和抗擊����、防護�����、響應等能力����,對于個人��、企業����、社會甚至國家利益和安全都具有十分重要的現實意義����。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播��,2013(09).
[5] 胡凌.網絡安全��、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜���,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵�����,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文��,2011(06).
[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用�,2015(04).
第6篇
【關鍵詞】網絡安全;IPS;構建���;應用
【中圖分類號】TP393.08
【文獻標識碼】A
【文章編號】1672—5158(2012)10-0102-01
1、建設背景
隨著信息化建設的發展,網絡越來越龐大��,承載的應用系統也越來越復雜�����,隨之而來的網絡安全風險也日益突出����。尤其混合威脅的風險�����,如蠕蟲�����、病毒、木馬�����、僵尸程序���、DDoS攻擊阻塞甚至中斷網絡�����,各類P2P應用輕易的占據100%的網絡上行下行帶寬,同時��,隨之而來的修復工作使IT管理人員被迫充當“消防隊員”的角色����,消耗了大量寶貴的人力資源;如何構建主動的網絡安全防護系統����,對網絡進行流量控制及凈化�,實時了解網絡運維情況�,及時發現消除網絡安全隱患,督促提高用戶安全意識等問題�,成為網絡安全面臨的最大挑戰��。
通常在談到網絡安全時,首先會想到“防火墻”���,一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊���。但是,隨著攻擊者知識的日趨成熟����,攻擊工具與手法的日趨復雜多樣��,單純的防火墻已經無法滿足安全需要,部署了防火墻的安全保障體系仍需要進一步完善�。
2、部署情況
系統部署情況:在單位內網一外網出口及地州廣域網出口處在線部署網絡入侵保護系統。網絡入侵保護系統具有防火墻功能提供邊界控制���、安全域劃分,防護來自其他安全域的攻擊��;網絡入侵保護系統可以實時攔截進出網絡的數據流量中各種類型的惡意攻擊流量����,把攻擊防御在受保護網絡之外,實現內網訪問控制細粒度管理���,凈化網絡流量,保護內網的信息資產及網絡性能�。同時����,考慮網絡冗余,提高可用性��,系統具有BYPASS功能��,支持失效開放(Fail-open)機制�,當出現軟件故障����、硬件故障、電源故障時�,系統自動切換到直通狀態以保障網絡可用性����,避免單點故障�����。
該系統具有4個100/1000M自適應以太網口��,可用于2路IPS保護或1路IPS保護+2路IDS監聽,這樣外網廣域網的出口都將得到有效的保護及監控����,并且另外2個空閑網口目前可用于管理通訊。將來可通過升級證書而不用更新硬件����,IPS升級為6口3路IPS保護以滿足將來網絡擴展����。在線部署的IPS在鏈路上實時捕捉數據包����,根據網絡的自身特點設置合理有效的訪問控制、流量管理、行為管理策略和入侵保護模式�,進行入侵行為檢測�����、分析和實時響應,自動阻斷攻擊,凈化網絡流量,消除安全隱患����,使用一種產品就達到多重保護目的����,大大地節約了投資���,并切實有效地保護網絡的安全���。
同時����,在安全管控中心服務器上安裝網絡入侵保護系統控制臺程序���,實現對IPS等安全系統的集中管理�,該系統同時支持C/S和B/S模式,可以靈活方便的管理部署在內網中的網絡入侵保護系統����。系統支持“集中+分布式”部署管理IPS��,保證了今后可在全省范圍實現既可統一、又可分級管理的主動入侵防護系統����,使系統具有可擴展性���、可充分利用現有資源�����、可隨需而變的靈活管理方式。
3�����、應用情況
通過部署網絡入侵保護系統,本單位網絡安全狀況得到了顯著的提高�、網絡性能得到明顯改善���、發現及加固了網絡安全的薄弱環節����、規范了用戶上網行為����、加強了用戶安全意識��,主動入侵防護系統達到了預期的應用效果���。
3.1 在構建主動的網絡安全防護系統方面
在部署初期�,當時IPS系統平均每天可發現及阻斷各種攻擊事件655次/天�����。部署半年以后���,通過IPS發現及整改了各種網絡安全問題規范了網絡行為��,平均每天可發現及阻斷各種攻擊事件減少到60次/天。主動安全防護系統的成功構建使本單位網絡攻擊事件減少了10倍���。
3.2 在對網絡進行流量控制及凈化方面
通過在IPS上設置阻斷“蠕蟲事件”“拒絕服務類攻擊事件”策略,結合對每個IP限制“P2P類應用”分配100kbps帶寬的限流策略��,原來嚴重影響單位網絡性能的攻擊流量���、P2P應用流量得到了有效的阻斷及控制�����,凈化了網絡流量�,保障了網絡性能���。
3.3 在輔助網絡運維管理方面
通過IPS系統可實時了解當前網絡的流量情況�����、協議構成�����、應用狀況等�����,為網絡運維提供參考及決策依據�����。
3.4 在及時發現消除網絡安全隱患方面
IPS上線部署后立即發現了感染“震蕩波”蠕蟲病毒的客戶端,為管理員定位了蠕蟲病毒源;隨后IPS又發現了感染“熊貓燒香”病毒的客戶端;管理員依靠IPS阻斷了蠕蟲病毒的攻擊及傳播�����,保護了網絡����,依據IPS日志報警信息定位了染毒客戶端,并進一步清除病毒修補客戶端漏洞,消除了網絡安全隱患�。
根據IPS日志報警信息���,發現了1臺網絡設備采用明文telnet方式管理并使用了弱口令����,管理員及時整改��,將設備登錄管理方式配置為加密的SSH����,配置了訪問控制策略賬號安全策略,并設置了強壯的口令����,大幅提升了網絡設備管理的安全性。
根據IPS日志報警信息還發現了,某網管平臺管理部分網絡設備時使用了SNMP默認的public口令,即相應的被管理網絡設備存在“SNMP默認共同體串信息泄露漏洞”�����,管理員依據此信息定位了存在“SNMP默認共同體串信息泄露漏洞”的網絡設備�,并根據IPS知識庫建議進行了整改,為所有采用SNMP管理的網絡設備配置了強壯的口令,并嚴格限制了SNMP寫權限�,消除了網絡安全隱患����,提升了網絡安全管理水平����。
3.5 在督促提高用戶安全意識方面
IPS系統還幫助管理員發現了用戶的各種弱口令、空口令,管理員據此向相關用戶提出了賬號�、口令安全建議�,并對用戶進行了安全培訓��,有效地督促用戶提高安全意識�����,系統上線半年后本單位用戶安全意識得到了明顯提高,本網用戶使用弱口令、空口令現象基本消除�。
第7篇
關鍵詞:安全性 防護 技術 計算機 網絡
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2013)10-0209-01
1 常見計算機網絡安全防護技術分析
現階段計算機網絡安全防護技術按照其應用功能不同�,可分為密碼技術���、入侵檢測技術�、防火墻技術和陷阱網絡。密碼技術是基于密碼學的原理的密碼體制或一對數據變換,其中對稱密碼體制(序列密碼和分組密碼)��,將明文消息按字符逐位加密分組��,逐組加密���。而加密技術本身也存在不足��,一是加密信息可破解���,二是密碼泄露后����,信息仍會被盜取。
防火墻技術是一種只允許符合安全策略的通信通過的防外不防內的網絡安全防護技術��,使用過濾路由器保護網絡安全��,具有過濾內部網絡用戶請求和數據包的功能��,且工作時速度快、效率高����,可提高網絡范圍內的反入侵技術成功率�,有效隔離內部網絡和外部網絡�。但防火墻技術還有一些缺點,不能徹底防止IP地址欺詐行為����,且其正常數據包過濾路由器不能執行默寫安全策略����,不利于反黑客攻擊�����;防火墻技術協議不完全適用于數據包過濾���,也不支持應用層協議�;不能實時更新以致于無法及時處理新安全威脅��。
入侵檢測技術是一門通過搜集和分析信息���,提供實時的入侵檢測����,并采取相應手段抵御網絡內部攻擊的新型安全防范技術����,主要功能是監測、統計����、分析和跟蹤管理網絡用戶����、計算機終端及其連接系統的異常行為模式��,審計和檢查系統本身屬性安全性�����,檢查和評估系統和數據文件的完整性,記憶和識別分析已知的攻擊行為模式�����,可彌補防火墻技術上的不足���。入侵檢測技術也有其局限性���,如對于網絡外部的攻擊無法做到適時防御�����。
基于網絡的開放性而設計的隱藏在防火墻后的陷阱網絡系統主要包括能模擬常見漏洞或其它操作系統或“牢籠式”主機,誘騙入侵者進入受控環境,降低正常系統被攻擊的概率����。陷阱網路主要用來學習了解攻擊者的思路��、工具和目的,并為特定組織提供網絡安全風險和脆弱性經驗,發展事件響應能力���。事實上陷阱網絡,對于一些高端用戶或黑客而言����,容易識別�,可能行之無效��。
2 安全防護技術對計算機網絡的影響
2.1 安全防護技術對計算機網絡的有利影響
首先是防火墻技術通過應用級網關����、地址轉換���、服務和數據包過濾等方式對流入或流出防火墻的信息進行檢查和報警提示���,有效的防火墻技術不僅可以避免重新編號��,還能緩解IP地址緊張問題���。
其次隨著網絡病毒的急速增加�,其辨認難度也在逐步增加�,擴散速度也逐步加快,防病毒技術和病毒查殺軟件可將傳統的被動防御形式,轉化為主動防御模式�����,有效結合治理機制與技術手段逐步滲透到入口攔截�、客戶定制�����、反黑殺毒及全面優化等多個方面���,加強了計算機網絡相關防護水平和功能應用����。
再次信息數據加密技術的發展,非對稱密鑰密碼技術對非特定信息和數據進行加密,不僅保證了數據安全性��、完整性��,還通過訪問控制���、身份鑒別和版權保護等手段有效控制數據傳輸安全�����。
最后入侵的檢測技術不僅能免受網絡協議、加密或速率的影響,還能進行檢測特定用戶監視和特洛伊木馬���,保證網絡系統安全。
2.2 安全防護技術對計算機網絡的抵制作用
網絡安全防護技術本身有著技術缺陷,如防火墻技術僅能預防和控制計算機內部網絡攻擊���。而目前網絡工程安全問題層出不窮,仍亟待解決如黑客攻擊威脅��、計算機病毒入侵�����、IP地址盜用、垃圾郵件泛濫和計算機系統風險等��,這些網絡安全問題并非一項技術能解決��,而網絡安全防護技術缺陷往往會助長這些問題的發展擴張趨勢��。計算機病毒本身具有復制性、破壞性和傳染性�����,多是通過網絡途徑進行傳播�����,也隨著現有的防毒軟件所存在的缺陷�����,不斷地人為編造,變異發展����,最后破壞計算機資源進�����,影響系統安全性。當然在計算機網絡工程管理機構的體制不健全�����,崗位分工不明確����,對密碼及權限管理不足��,也會使用戶自身安全防護意識薄弱�����,導致嚴重信息系統風險,威脅計算機網絡安全���。
3 加強網絡工程中安全防護技術的策略
3.1 設置防火墻過濾信息
在局域網與外部網絡間架設網絡防火墻過濾信息是防治黑客攻擊最直接的辦法,也是加強網絡工程中安全防護技術的關鍵。在將局域網、外部網地址分割開后,流入�����、流出計算機的網絡通信、信息經防火墻的過濾掉威脅和攻擊��,禁止特殊站點訪問和特定端口流出通信�,封鎖特洛伊木馬,以增加內部網絡的安全性��。
3.2 加強病毒的防護措施
首先要增強網民的病毒防護意識����,熟悉常見的殺毒軟件(如360安全衛士)和防病毒卡的使用,緊密結合技術手段和管理機制����,定期檢測與查殺計算病毒����,還要做好備份措施��,防止系統數據的破壞和丟失��。
3.3 入侵檢測技術的植入
入侵檢測系統作為一種對計算機網絡資源及信息中隱藏或包含的惡意攻擊行為有效的識別,攔截和響應入侵的主動性較強的安全防護技術�����,可實時防護錯誤操作����、內部或外部攻擊�����,并能夠從網絡安全的立體縱深��、多層次防御的角度出發提供安全服務,有效的降低網絡的威脅和破壞。
3.4 拒絕垃圾郵件的收取
未經用戶許可批量強行發送至用戶郵箱的垃圾郵件已成為如今的計算機網絡安全的公害����。拒絕垃圾郵件的收取的第一步是郵件地址的自我保護����,控制郵箱地址使用率和安全使用率�����;或使用out-look Ex Press和Fax mail中的郵件管理來過濾��、拒收垃圾文件。
總之�����,計算機網絡的安全運行得益于安全防護技術的綜合有效地應用��,單一的安全防護技術是無法保證網絡安全的�,所以為了保證計算機網絡安全正常地運行�����,網絡用戶或計算機終端用戶應充分考慮計算機整個系統的安全要求,有效地在計算機上設置安全防護軟件�,結合預防措施做好日常維護�。
4 結語
安全性防護技術是一把雙刃劍��,只有充分了解其應用功能��、使用缺陷,有效地綜合利用它們��,才能有效促進計算機網絡的安全健康的運行和發展����。
參考文獻
[1]劉釗.對計算機網絡信息安全及防護的相關研究[J].信息與電腦,2013(04):76-76.
第8篇
【關鍵詞】安全缺陷 TCP/IP終端安全多級備份 入侵檢測 加密 解密
近年來‘1.21 DNS事件’和‘棱鏡門事件’等網絡安全事件層出不窮����,使得網絡安全監控管理理論和機制的研究受到高度的重視�,而各類網絡安全技術的創新已是網絡安全研究的主導方向����。但是�����,網絡安全體系一定要以網為本,從網絡系統的角度重新設計網絡的安全體系。下面就對網絡安全技術應用的綜合性及系統性進行剖析����。
一����、網絡面臨的安全問題
網絡環境下的信息和數據面臨諸多風險����,即使是在使用了現有的安全機制情況下�����,由于每一種安全機制都有一定的應用范圍和應用環境���,網絡的安全仍然存在很大隱患�,這些安全隱患主要可以歸結為以下幾點:
(一)網絡的自身的安全缺陷是導致網絡安全問題的根本原因�����。
TCP/IP協議是網絡中使用的基本通信協議����,設計之初沒有充分考慮安全威脅����,許多的網絡協議和應用沒有提供必要的安全服務。確切的說����,TCP/IP除了最常用的TCP和IP協議外��,還包含許多工具性協議、管理協議及應用協議����。TCP/IP協議共分為應用層�����、傳輸層、網際層����、網絡接口層。其中,應用層向用戶提供訪問Internet的TELNET���、FTP、DNS等一些高層協議。傳輸層提供應用程序端到端通信服務的TCP和UDP協議���。網際層負責相鄰主機之間的通信的IP和ICMP等協議。網絡接口層主要負責數據幀的發送和接收。而這些協議基本上都存安全設計缺陷或漏洞。
(二)網絡系統的維護和管理方面的困難性也是網絡安全問題主要原因��。
木桶理論:傳統理論描述的是一個木桶其價值在于盛水量的多少�,但決定盛水量的關鍵是最短的木板。新理論認為,木桶的長久盛水量��,取決于各木板之間配合的緊密性��。相對于傳統理論��,新理論更強調系統中各個部件之間的關聯。
根據權威部門統計,超過80%的網絡安全問題源于用戶終端����,業界也推出了大量的軟硬件安全產品�。但這些產品并沒有真正解決終端安全問題����,究其原因是它們只著眼于自己的領域����,相互沒有配合���。
(三)用戶的安全和防范意識薄弱是造成網絡安全問題的最重要原因��。
二���、網絡安全的防護
現階段為了解決網絡環境下所面臨的安全問題�,必須強化網絡安全意識�,創新網絡安全策略���,積極落實安全防范措施����。但由于網絡安全威脅的多樣性和復雜性,從而導致了對網絡安全防護的綜合性和系統性。
(一)針對以上三大隱患我們需要進行有針對性的防范:
1.網絡自身的安全缺陷導致的網絡安全問題
對于網絡自身的安全問題是不可避免,長期存在的。由于網絡和相關軟件越來越復雜�����,安全漏洞也會越來越多�����,這些漏洞往往成為網絡攻擊的重要目標或渠道�����。因此我們在與相應的軟件硬件廠商保持實時信息交流的同時,時刻關注網絡安全的最新消息,有針對性地更新解決方案和應用策略。
2.網絡維護和管理方面的困難性導致的網絡安全問題
網絡安全需要網絡管理者和建設者主動思考��,通過安全聯動技術將整個網絡系統中的各類資源進行整合����,這樣才能真正實現全面防護、統一管理、降低成本�、強制安全等目標�����。
3.用戶安全和防范意識薄弱造成的網絡安全問題
首先要通過管理制度和普及相應的法律法規來全面的提升用戶的安全和防范意識,使用戶主動做好終端的管理和防護;其次,需要抓住網絡準入這一關鍵點來管理終端�,確保終端安全制度嚴格實施�。同時融入其它的安全和管理技術����,建立主動防御的安全體系�,并在實踐中不斷完善。
(二)網絡安全防護還需通過以下方式手段進行完善:
1.部署防火墻
防火墻的基本功能是對網絡進行訪問控制���。絕大部分的防火墻都是放置在可信任網絡(內部網)和不可信任網絡(Internet)之間。在實際的應用中可結合實際需求情況進行部署��。
2.在網絡內部和日常管理過程中建立多級備份機制
數據和信息安全工作是網絡安全的重中之重��。對于重要數據資料采取必要的容災備份機制���,以保證不丟失或被破壞��,即使遭到破壞在最短時間內可以恢復。
3.加強對惡意代碼程序的防護
在網絡預防方面:由于現有的防控軟件和硬件大多數都屬于被動的防治���,因此對于惡意代碼程序的防護應該通過管理和制度上從根本進行預防。
在終端預防方面:由于惡意代碼程序都是基于軟件運行的�。對其防治在于完善軟件的安全機制����。因此我們首先要嚴格管理制度���,對網絡中的終端使用行為和各類軟件從嚴進行管理與檢測��。
①加強系統中軟硬件的漏洞檢測和更新
就目前網絡系統的安全狀況而言���,系統中的軟件和硬件都可能存在漏洞�����。因此必需與設備廠商建立長久的更新預防機制����。
②采用加解密技術
網絡是一個開放式系統��,加密和解密技術不能公應用于email等應用,對于其它的網絡通信也很重要�����。
③部署入侵檢測系統
入侵檢測系統可以檢查網絡或系統中是否存在違反即定安全策略的行為和被攻擊的跡象�����,通過采取相應的聯動手段達到限制這些活動�����,以保護網絡和信息系統的安全。
三���、結束語
網絡安全技術的應用是一個綜合性的課題,涉及到技術����、管理���、使用等諸多方面����,既包含信息系統本身的安全問題��,也有物理和邏輯的技術措施����,需要通過精心調研網絡信息系統的安全需求�����,確定切實可行的網絡信息安全解決方案。只有通過在建設和應用過程中不斷地分析問題、不斷地創新解決方案��,同時嚴格的執行相關的管理制度和操作規程���、明確清晰的制定安全策略�,以及建立高素質的網絡管理人才隊伍。才能完好、實時地保證信息的安全性����、完整性和準確性����,為網絡信息提供最大化的安全服務�。
參考文獻:
[1]杭州華三通信技術有限公司.新一代網絡建設理論與實踐[M].電子工業出版社,2001.
第9篇
.DOCX
【珍惜當下,不負遇見】
(本文檔共
【
3
】頁/【
1010
】字)
單位
姓名
20XX年X月
教育信息安全與防護培訓心得體會
——單位
姓名
20XX年X月
20XX年X月����,我通過國培智慧云平臺學習了《教育信息安全與防護》系列課程��,課程有《教育信息安全管理與防護-教育現代化與教育信息化》《中小學教師網絡信息安全防護案例分析-網絡信息安全防護案例》《常用信息安全防護技術與實踐-教育網絡安全分析》等。通過聆聽專家的精彩講解,我感觸頗深���。
維護教育信息安全,是每個教育工作者的責任。和平年代網絡信息安全關乎國家與人民的利益,如何為網絡筑起一道“安全門”�����。需要人民群眾上下一心主動投身到網絡安全事業中去�����,全心全意為國家網絡安全拉起一道“防火墻”���。
互聯網雖然是虛擬的�����,但使用互聯網的人都在現實中。鑒于網絡安全的形式日益嚴峻,對付網絡安全要有非常行之有效的方式,就是讓社會上的每一個分子都成為參與者�����,都能積極貢獻自己的一份力量����。
通過學習教育信息安全與防護,使我更加深刻的理解網絡信息安全的重要性。網絡信息安全是保護個人信息的完整性和保密性的重要條件����,只有明白了網絡信息安全的基礎知識�,我們才能更加的了解網絡信息安全在如今信息化時代的重要性!
