導(dǎo)言：作為寫(xiě)作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇安全網(wǎng)絡(luò)論文，它們將為您的寫(xiě)作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

正如我們所知道的那樣，70％的安全威脅來(lái)自網(wǎng)絡(luò)內(nèi)部，其形式主要表現(xiàn)在以下幾個(gè)方面。

內(nèi)部辦公人員安全意識(shí)淡漠

內(nèi)部辦公人員每天都專(zhuān)注于本身的工作，認(rèn)為網(wǎng)絡(luò)安全與己無(wú)關(guān)，因此在意識(shí)上、行為上忽略了安全的規(guī)則。為了方便，他們常常會(huì)選擇易于記憶但同時(shí)也易于被猜測(cè)或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來(lái)歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓?fù)浣Y(jié)構(gòu)告之外部無(wú)關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

辦公室別有用心的內(nèi)部人員會(huì)造成十分嚴(yán)重的破壞。防火墻、IDS檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對(duì)外部入侵進(jìn)行防范，但面對(duì)內(nèi)部人員的不安全行為卻無(wú)法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁(yè)，下載軟件或玩網(wǎng)絡(luò)游戲，但受到網(wǎng)絡(luò)安全管理規(guī)定的限制，于是繞過(guò)防火墻的檢測(cè)偷偷撥號(hào)上網(wǎng)，造成黑客可以通過(guò)這些撥號(hào)上網(wǎng)的計(jì)算機(jī)來(lái)攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識(shí)，又對(duì)充當(dāng)網(wǎng)絡(luò)黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運(yùn)行，不知不覺(jué)中開(kāi)啟了后門(mén)或進(jìn)行了網(wǎng)絡(luò)破壞還渾然不覺(jué)。更為嚴(yán)重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買(mǎi)，辦公內(nèi)部機(jī)密信息被其私自拷貝、復(fù)制后流失到外部。此外，還有那些被批評(píng)、解職、停職的內(nèi)部人員，由于對(duì)內(nèi)部辦公網(wǎng)絡(luò)比較熟悉，會(huì)借著各種機(jī)會(huì)（如找以前同事）進(jìn)行報(bào)復(fù)，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至?xí)c外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡(luò)，使得系統(tǒng)無(wú)法正常工作，嚴(yán)重時(shí)造成系統(tǒng)癱瘓。

單位領(lǐng)導(dǎo)對(duì)辦公網(wǎng)絡(luò)安全沒(méi)有足夠重視

有些單位對(duì)辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象，有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒(méi)有建起來(lái)，能否連得上，而對(duì)其安全沒(méi)有概念，甚至對(duì)于網(wǎng)絡(luò)基本情況，包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對(duì)內(nèi)部辦公人員，公司平時(shí)很少進(jìn)行安全技術(shù)培訓(xùn)和安全意識(shí)教育，沒(méi)有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度，對(duì)于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認(rèn)為這些是非常遙遠(yuǎn)的事情。在硬件上，領(lǐng)導(dǎo)普遍認(rèn)為只要安裝了防火墻、IDS、IPS，設(shè)置了Honeypot就可以高枕無(wú)憂。而沒(méi)有對(duì)新的安全技術(shù)和安全產(chǎn)品做及時(shí)升級(jí)更新，對(duì)網(wǎng)絡(luò)資源沒(méi)有進(jìn)行細(xì)粒度安全級(jí)別的劃分，使內(nèi)部不同密級(jí)的網(wǎng)絡(luò)資源處于同樣的安全級(jí)別，一旦低級(jí)別的數(shù)據(jù)信息出現(xiàn)安全問(wèn)題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計(jì)算機(jī)網(wǎng)絡(luò)安全專(zhuān)業(yè)人才

由于計(jì)算機(jī)網(wǎng)絡(luò)安全在國(guó)內(nèi)起步較晚，許多單位缺乏專(zhuān)門(mén)的信息安全人才，使辦公信息化的網(wǎng)絡(luò)安全防護(hù)只能由一些網(wǎng)絡(luò)公司代為進(jìn)行，但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級(jí)機(jī)密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒(méi)有內(nèi)部信息安全專(zhuān)業(yè)人員對(duì)系統(tǒng)實(shí)施抗攻擊能力測(cè)試，單位則無(wú)法掌握自身辦公信息網(wǎng)絡(luò)的安全強(qiáng)度和達(dá)到的安全等級(jí)。同時(shí)，網(wǎng)絡(luò)系統(tǒng)的漏洞掃描，操作系統(tǒng)的補(bǔ)丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級(jí)，對(duì)辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測(cè)，系統(tǒng)日志的周期審計(jì)和分析等經(jīng)常性的安全維護(hù)和管理也難以得到及時(shí)的實(shí)行。

網(wǎng)絡(luò)隔離技術(shù)（GAP）初探

GAP技術(shù)

GAP是指通過(guò)專(zhuān)用硬件使兩個(gè)或兩個(gè)以上的網(wǎng)絡(luò)在不連通的情況下進(jìn)行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡(jiǎn)而言之，就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡(luò)間運(yùn)行交互式協(xié)議。GAP一般包括三個(gè)部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專(zhuān)用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個(gè)網(wǎng)絡(luò)接口及相應(yīng)的IP地址，分別對(duì)應(yīng)連接內(nèi)網(wǎng)（網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專(zhuān)用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進(jìn)行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認(rèn)等，在同一時(shí)間只和一邊的網(wǎng)絡(luò)連接，與之進(jìn)行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過(guò)程

內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請(qǐng)求，將數(shù)據(jù)通過(guò)專(zhuān)用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負(fù)責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請(qǐng)求并取得網(wǎng)絡(luò)數(shù)據(jù)，然后通過(guò)專(zhuān)用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

GAP設(shè)備具有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問(wèn)控制、安全審計(jì)和身份認(rèn)證等安全功能。由于GAP斷開(kāi)鏈路層并切斷所有的TCP連接，并對(duì)應(yīng)用層的數(shù)據(jù)交換按安全策略進(jìn)行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡(luò)隔離技術(shù)（GAP）進(jìn)行內(nèi)部防護(hù)

我們知道，單臺(tái)的計(jì)算機(jī)出現(xiàn)感染病毒或操作錯(cuò)誤是難以避免的，而這種局部的問(wèn)題較易解決并且?guī)?lái)的損失較小。但是，在辦公信息化的條件下，如果這種錯(cuò)誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無(wú)限制地?cái)U(kuò)大，則造成的損失和破壞就難以想象。因此，對(duì)辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺(tái)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)不發(fā)生安全問(wèn)題，而是確保發(fā)生的安全問(wèn)題只限于這一臺(tái)計(jì)算機(jī)或這一小范圍，控制其影響的區(qū)域。目前，對(duì)內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個(gè)問(wèn)題，而GAP系統(tǒng)的一個(gè)典型的應(yīng)用就是對(duì)內(nèi)網(wǎng)的多個(gè)不同信任域的信息交換和訪問(wèn)進(jìn)行控制。因此，使用GAP系統(tǒng)來(lái)實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個(gè)比較理想的方法。

“多安全域劃分”技術(shù)

“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級(jí)）網(wǎng)段劃分成獨(dú)立的安全域，通過(guò)在這些安全域間加載獨(dú)立的訪問(wèn)控制策略來(lái)限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問(wèn)。這樣，即使某個(gè)低安全級(jí)別區(qū)域出現(xiàn)了安全問(wèn)題，其他安全域也不會(huì)受到影響。

利用網(wǎng)絡(luò)隔離技術(shù)（GAP）實(shí)現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

首先，必須根據(jù)辦公內(nèi)網(wǎng)的實(shí)際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級(jí)別。安全級(jí)別越高則相應(yīng)的信任度越高，安全級(jí)別較低則相應(yīng)的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進(jìn)行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級(jí)別區(qū)域，GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專(zhuān)用隔離硬件交換單元?jiǎng)t布置在這兩個(gè)安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級(jí)別區(qū)域（假設(shè)為A區(qū)域）用戶的網(wǎng)絡(luò)服務(wù)請(qǐng)求，外網(wǎng)處理單元負(fù)責(zé)從低安全級(jí)別區(qū)域（設(shè)為B區(qū)域）取得網(wǎng)絡(luò)數(shù)據(jù)，專(zhuān)用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請(qǐng)求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過(guò)GAP系統(tǒng)訪問(wèn)B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進(jìn)行郵件及網(wǎng)頁(yè)瀏覽等。同時(shí)，A區(qū)域內(nèi)管理員可以進(jìn)行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B(niǎo)區(qū)域的用戶則無(wú)法訪問(wèn)A區(qū)域的資源。這種訪問(wèn)的不對(duì)稱(chēng)性符合不同安全區(qū)域信息交互的要求，實(shí)現(xiàn)信息只能從低安全級(jí)別區(qū)域流向高安全級(jí)別區(qū)域的“安全隔離與信息單向傳輸”。

這樣，較易出現(xiàn)安全問(wèn)題的低安全區(qū)（包括人員和設(shè)備）就不會(huì)對(duì)高安全區(qū)造成安全威脅，保證了核心信息的機(jī)密性和完整性。同時(shí)，由于在GAP外網(wǎng)單元上集成了入侵檢測(cè)和防火墻模塊，其本身也綜合了訪問(wèn)控制、檢測(cè)、內(nèi)容過(guò)濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專(zhuān)用映射協(xié)議實(shí)現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問(wèn)題只能影響其所在的那個(gè)安全級(jí)別區(qū)域，控制了其擴(kuò)散的范圍。

“多安全域劃分”的防護(hù)效果

篇2

2當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)通信中存在的主要安全隱患

2.1網(wǎng)絡(luò)病毒

當(dāng)前，Internet已經(jīng)成為了各種計(jì)算機(jī)網(wǎng)絡(luò)病毒的最大傳播途徑，一旦用戶終端被網(wǎng)絡(luò)病毒感染，就可能造成與其進(jìn)行數(shù)據(jù)通信的其他用戶終端被連帶感染，特別是當(dāng)前病毒的破壞形式多種多樣，能在不被發(fā)現(xiàn)的情況下對(duì)傳輸數(shù)據(jù)進(jìn)行復(fù)制、篡改和毀壞，也可以通過(guò)侵入終端內(nèi)部對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行攻擊，從而造成數(shù)據(jù)通信質(zhì)量下降或中斷。在政府機(jī)構(gòu)或企業(yè)中，一些非法分子出于經(jīng)濟(jì)或政治目的，通過(guò)對(duì)政府機(jī)關(guān)網(wǎng)或企業(yè)局域網(wǎng)的服務(wù)器植入病毒，造成機(jī)密信息外泄，從而造成不可估量的損失，嚴(yán)重時(shí)還可能威脅到國(guó)家安全和社會(huì)穩(wěn)定。

2.2黑客攻擊

正常的網(wǎng)絡(luò)通信是通過(guò)合法訪問(wèn)的形式實(shí)現(xiàn)的，而在現(xiàn)實(shí)中，一些網(wǎng)絡(luò)黑客出于不同的目的，在未經(jīng)允許的情況下就利用網(wǎng)絡(luò)傳輸協(xié)議、服務(wù)器以及操作系統(tǒng)上的安全漏洞進(jìn)行非法訪問(wèn)，使得系統(tǒng)內(nèi)部的信息和數(shù)據(jù)被盜取或刪改等，從而造成系統(tǒng)崩潰、重要信息丟失或泄露等嚴(yán)重事件。

2.3管理缺失

在實(shí)際工作中，很多用戶在利用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)通信時(shí)沒(méi)有充分重視安全方面的問(wèn)題。一方面沒(méi)有投入先進(jìn)的網(wǎng)絡(luò)硬件設(shè)備，或者投入時(shí)只重視服務(wù)器、交換機(jī)等硬件設(shè)備的性能而忽略了安全防護(hù)性；另一方面由于相關(guān)技術(shù)人員和管理人員缺乏，使得信息的使用和傳輸非常隨意，再加上對(duì)傳輸和終端設(shè)備的入網(wǎng)安全性檢測(cè)工作不嚴(yán)，容易被不法分子在設(shè)備內(nèi)部設(shè)置后門(mén)，從而給數(shù)據(jù)通信安全造成威脅。

3網(wǎng)絡(luò)數(shù)據(jù)通信中的安全防范技術(shù)措施

3.1對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)

網(wǎng)絡(luò)數(shù)據(jù)通信一般都是基于TCP/IP等網(wǎng)絡(luò)通信協(xié)議的基礎(chǔ)上完成的，在這個(gè)過(guò)程中可以加強(qiáng)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的監(jiān)視和分析，判斷其是否屬于合法訪問(wèn)的范疇。一旦發(fā)現(xiàn)其存在違反安全策略的行為，就要立即對(duì)訪問(wèn)實(shí)施攔截，同時(shí)發(fā)出報(bào)警，提示相關(guān)工作人員進(jìn)行進(jìn)一步的處理。

3.2實(shí)施訪問(wèn)控制

首先，對(duì)不同的訪問(wèn)用戶設(shè)置不同的安全權(quán)限。通過(guò)設(shè)置不同的安全權(quán)限可以有效防止未經(jīng)授權(quán)的用戶訪問(wèn)敏感信息，避免了機(jī)密信息數(shù)據(jù)的外泄。其次，局域網(wǎng)用戶還應(yīng)做好內(nèi)部訪問(wèn)外網(wǎng)的控制，通過(guò)部署網(wǎng)絡(luò)版防火墻等方式杜絕外部病毒和木馬程序順著訪問(wèn)路徑入侵。最后，采用認(rèn)證技術(shù)來(lái)限制用戶訪問(wèn)網(wǎng)絡(luò)。用戶只有通過(guò)門(mén)戶網(wǎng)站或客戶端的形式完成認(rèn)證步驟，才能實(shí)施對(duì)外部網(wǎng)絡(luò)的訪問(wèn)。

3.3進(jìn)行數(shù)據(jù)加密將信息數(shù)據(jù)在傳輸前進(jìn)行加密，被接收之后通過(guò)解密機(jī)進(jìn)行還原，從而有效提高數(shù)據(jù)在傳輸過(guò)程中的安全性。目前常用的數(shù)據(jù)加密技術(shù)有兩種：

（1）端到端加密技術(shù)。在數(shù)據(jù)信息的發(fā)送端和接收端同時(shí)以加密的形式存在。

（2）鏈路加密技術(shù)。在數(shù)據(jù)信息的傳輸過(guò)程中以加密的形式存在。在實(shí)際應(yīng)用中，這兩種加密技術(shù)一般混合采用，以提高數(shù)據(jù)信息的安全性。

篇3

（1）個(gè)人信息的泄露。在網(wǎng)絡(luò)工程當(dāng)中，對(duì)于系統(tǒng)硬件、軟件的相關(guān)維護(hù)工作還不夠完善，同時(shí)網(wǎng)絡(luò)通信當(dāng)中的許多登錄系統(tǒng)需要借助遠(yuǎn)程終端來(lái)完成，造成系統(tǒng)遠(yuǎn)程終端和網(wǎng)絡(luò)用戶在用戶運(yùn)用互聯(lián)網(wǎng)進(jìn)入對(duì)應(yīng)系統(tǒng)時(shí)存在長(zhǎng)遠(yuǎn)的連接點(diǎn)，當(dāng)信息在進(jìn)行傳輸時(shí)，這些連接點(diǎn)很容易引起黑客對(duì)用戶的入侵以及攻擊，使得用戶信息被泄露，個(gè)人信息安全得不到保障。

（2）網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ)，用戶通過(guò)IP協(xié)議或TCP協(xié)議得到遠(yuǎn)程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過(guò)點(diǎn)與點(diǎn)連接的方式來(lái)進(jìn)行信息的傳輸。然而，網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹(shù)狀形式進(jìn)行連接的，當(dāng)用戶受到黑客入侵或攻擊時(shí)，樹(shù)狀結(jié)構(gòu)為黑客竊聽(tīng)用戶信息提供了便利。

（3）相關(guān)網(wǎng)絡(luò)維護(hù)系統(tǒng)不夠完善。網(wǎng)絡(luò)維護(hù)系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計(jì)算機(jī)終端主要是依靠主流操作系統(tǒng)，在長(zhǎng)時(shí)間的使用下需下載一些補(bǔ)丁來(lái)對(duì)系統(tǒng)進(jìn)行相關(guān)的維護(hù)，導(dǎo)致了軟件的程序被泄露。

2對(duì)于網(wǎng)絡(luò)通信中存在的信息安全問(wèn)題的應(yīng)對(duì)方案

對(duì)于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問(wèn)題，我們應(yīng)當(dāng)盡快地采取有效的對(duì)策，目前主要可以從以下幾個(gè)方面入手：

（1）用戶應(yīng)當(dāng)保護(hù)好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標(biāo)。在用戶進(jìn)行網(wǎng)絡(luò)信息傳輸時(shí)，交換機(jī)是進(jìn)行信息傳遞的重要環(huán)節(jié)，因此，用戶可以利用對(duì)網(wǎng)絡(luò)交換機(jī)安全的嚴(yán)格保護(hù)來(lái)保證信息的安全傳輸。除此之外，對(duì)所使用的路由器進(jìn)行嚴(yán)格的控制與隔離等方式也可以加強(qiáng)用戶所使用的IP地址的安全。

（2）對(duì)信息進(jìn)行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問(wèn)題主要包括信息的傳遞以及存儲(chǔ)過(guò)程當(dāng)中的安全問(wèn)題。在這兩個(gè)過(guò)程當(dāng)中，黑客通過(guò)竊聽(tīng)傳輸時(shí)的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對(duì)信息進(jìn)行惡意的篡改、攔截傳輸過(guò)程中的信息等等多種方法來(lái)對(duì)網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅?；ヂ?lián)網(wǎng)用戶如果在進(jìn)行信息傳遞與存儲(chǔ)時(shí)，能夠根據(jù)具體情況選用合理的方法來(lái)對(duì)信息進(jìn)行嚴(yán)格的加密處理，那么便可以有效地防治這些信息安全問(wèn)題的產(chǎn)生。

（3）完善身份驗(yàn)證系統(tǒng)。身份驗(yàn)證是互聯(lián)網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)通信的首要步驟。在進(jìn)行身份驗(yàn)證時(shí)一般都需要同時(shí)具備用戶名以及密碼才能完成登錄。在驗(yàn)證過(guò)程當(dāng)中用戶需要注意的是要盡量將用戶名、密碼分開(kāi)儲(chǔ)存，可以適當(dāng)?shù)厥褂靡淮涡悦艽a，同時(shí)還可以利用安全口令等方法來(lái)保證身份驗(yàn)證的安全。隨著科技的快速發(fā)展，目前一些指紋驗(yàn)證、視網(wǎng)膜驗(yàn)證等先進(jìn)生物檢測(cè)方法也慢慢得到了運(yùn)用，這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。

篇4

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開(kāi)放性，共享性，互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。而網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要了。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

一、網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題

眾所周知，Internet是開(kāi)放的，而開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭(zhēng)仍將繼續(xù)。在這樣的斗爭(zhēng)中，安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問(wèn)題，各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點(diǎn)：

（一）每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)，防火墻往往是無(wú)能為力的。因此，對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺(jué)和防范的。

（二）安全工具的使用受到人為因素的影響

一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如，NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面，可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專(zhuān)門(mén)的應(yīng)用需求就很難判斷設(shè)置的正確性。

（三）系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類(lèi)安全問(wèn)題，多數(shù)情況下這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué)。比如說(shuō)，眾所周知的ASP源碼問(wèn)題，這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén)，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類(lèi)入侵行為，防火墻是無(wú)法發(fā)覺(jué)的，因?yàn)閷?duì)于防火墻來(lái)說(shuō)，該入侵行為的訪問(wèn)過(guò)程和正常的WEB訪問(wèn)是相似的，唯一區(qū)別是入侵訪問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來(lái)，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無(wú)據(jù)可查。比如說(shuō)現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無(wú)法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題，這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問(wèn)題時(shí)，其他的安全問(wèn)題又出現(xiàn)了。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

二、網(wǎng)絡(luò)安全的主要技術(shù)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線。

（一）認(rèn)證

對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn)，使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)權(quán)查看的信息。

（二）數(shù)據(jù)加密

加密就是通過(guò)一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類(lèi)型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱(chēng)對(duì)稱(chēng)密匙加密，因?yàn)橛脕?lái)加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性，它不提供認(rèn)證，因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快，很容易在硬件和軟件中實(shí)現(xiàn)。

2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個(gè)密匙加密和解密，而公匙加密使用兩個(gè)密匙，一個(gè)用于加密信息，另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過(guò)若將兩者結(jié)合起來(lái)，就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

（三）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，用于拒絕除了明確允許通過(guò)之外的所有通信數(shù)據(jù)，它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器，而是在網(wǎng)絡(luò)傳輸通過(guò)相關(guān)的訪問(wèn)站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問(wèn)策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來(lái)保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過(guò)濾、動(dòng)態(tài)分組過(guò)濾、狀態(tài)過(guò)濾和服務(wù)器技術(shù)，它們的安全級(jí)別依次升高，但具體實(shí)踐中既要考慮體系的性價(jià)比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測(cè)技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制，也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制（如訪問(wèn)控制）集成使用；另外，防火墻難于管理和配置，由多個(gè)系統(tǒng)（路由器、過(guò)濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī)）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

（五）虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問(wèn)題的一個(gè)最新、最成功的技術(shù)課題之一，所謂虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，使數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制，這兩種機(jī)制為路由過(guò)濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來(lái)保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類(lèi)方法，如按接入方式分成專(zhuān)線VPN和撥號(hào)VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

（六）其他網(wǎng)絡(luò)安全技術(shù)

1．智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實(shí)智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個(gè)口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。

2．安全脆弱性掃描技術(shù)，它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

3．網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。

4．IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過(guò)路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

篇5

計(jì)算機(jī)系統(tǒng)的正常運(yùn)行以計(jì)算機(jī)操作系統(tǒng)程序?yàn)橹饕罁?jù)，與之相關(guān)的各類(lèi)程序也必須以此為標(biāo)準(zhǔn)，操作系統(tǒng)理所當(dāng)然地成為了計(jì)算機(jī)系統(tǒng)中的基本程序。計(jì)算機(jī)操作系統(tǒng)具有較強(qiáng)的拓展性，開(kāi)發(fā)商很容易完成計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)工作。但是，在優(yōu)化和升級(jí)計(jì)算機(jī)系統(tǒng)的過(guò)程中，相關(guān)操作技術(shù)仍存在較大問(wèn)題，這是計(jì)算機(jī)技術(shù)快速發(fā)展的難點(diǎn)，也是黑客入侵計(jì)算機(jī)系統(tǒng)的主要切入點(diǎn)。

1.2計(jì)算機(jī)病毒安全問(wèn)題

計(jì)算機(jī)一旦受到病毒的入侵，將會(huì)出現(xiàn)嚴(yán)重的運(yùn)行問(wèn)題，如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫(kù)信息丟失等。計(jì)算機(jī)病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性，目前，計(jì)算機(jī)病毒種類(lèi)主要有以下四種：第一，木馬病毒。該類(lèi)病毒的主要目的是竊取計(jì)算機(jī)上的數(shù)據(jù)信息，具有典型的誘騙性；第二，蠕蟲(chóng)病毒。熊貓燒香是該類(lèi)病毒的典型代表，以用戶計(jì)算機(jī)上出現(xiàn)的漏洞為切入點(diǎn)，綜合使用攻擊計(jì)算機(jī)終端的方式控制計(jì)算機(jī)系統(tǒng)，該病毒具有較強(qiáng)的傳播性和變異性；第三，腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁(yè)位置；第四，間諜病毒。要想提升某網(wǎng)頁(yè)的訪問(wèn)量，強(qiáng)制要求計(jì)算機(jī)用戶主頁(yè)預(yù)期鏈接。伴隨著科技的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用范圍不斷擴(kuò)大，各種類(lèi)型病毒的破壞性也隨之增加。

1.3黑客

通過(guò)網(wǎng)絡(luò)攻擊計(jì)算機(jī)目前，我國(guó)仍存在著大量非法人員對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊等行為，這類(lèi)人員大都掌握著扎實(shí)的計(jì)算機(jī)和計(jì)算機(jī)安全漏洞技術(shù)，對(duì)計(jì)算機(jī)用戶終端與網(wǎng)絡(luò)做出強(qiáng)有力的破壞行為是他們的主要目的。黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)的主要形式有三種：第一，利用虛假的信息攻擊網(wǎng)絡(luò)；第二，利用木馬或者病毒程序?qū)τ?jì)算機(jī)用戶的電腦進(jìn)行控制；第三，結(jié)合計(jì)算機(jī)用戶瀏覽網(wǎng)頁(yè)的腳本漏洞對(duì)其進(jìn)行攻擊。

2計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中的應(yīng)用

2.1防火墻技術(shù)

防護(hù)墻技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的主要表現(xiàn)形式之一。防火墻技術(shù)的應(yīng)用能夠從根本上解決計(jì)算機(jī)病毒安全問(wèn)題，在實(shí)際應(yīng)用過(guò)程中，計(jì)算機(jī)網(wǎng)絡(luò)安全中心的防火墻技術(shù)被分為應(yīng)用級(jí)防火墻和包過(guò)濾防火墻兩種形式。其中應(yīng)用型防護(hù)墻的主要目的是保護(hù)服務(wù)器的安全，在掃描終端服務(wù)器的數(shù)據(jù)后，如果發(fā)現(xiàn)有意或者不合常理等攻擊行為，系統(tǒng)應(yīng)該及時(shí)切斷服務(wù)器與內(nèi)網(wǎng)服務(wù)器之間的交流，采用終端病毒傳播的方式保護(hù)企業(yè)網(wǎng)的安全。包過(guò)濾防火墻的主要工作任務(wù)是及時(shí)過(guò)濾路由器傳輸給計(jì)算機(jī)的數(shù)據(jù)信息，這種過(guò)濾手段可以阻擋病毒信息入侵計(jì)算機(jī)系統(tǒng)，并第一時(shí)間內(nèi)通知用戶攔截病毒信息，為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護(hù)墻配置示意圖。Intranet周邊網(wǎng)絡(luò)InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡(luò)服外部網(wǎng)絡(luò)務(wù)器服務(wù)器圖1防火墻配置

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設(shè)過(guò)程中，要想提高企業(yè)發(fā)展信息的安全性和可靠性，企業(yè)必須在實(shí)際運(yùn)行的計(jì)算機(jī)網(wǎng)絡(luò)中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進(jìn)行加密處理，在傳輸和接收數(shù)據(jù)信息的過(guò)程中必須輸入正確的密碼才能打開(kāi)相關(guān)文件，這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法兩種，其中對(duì)稱(chēng)加密算法中使用的加密和加密信息保持一致，非對(duì)稱(chēng)加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應(yīng)用。

2.3病毒查殺技術(shù)

病毒查殺技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在企業(yè)網(wǎng)中應(yīng)用的表現(xiàn)形式之一。病毒對(duì)計(jì)算機(jī)安全有極大的威脅，該技術(shù)要求企業(yè)技術(shù)對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行檢測(cè)和更新，減少系統(tǒng)出現(xiàn)漏洞的頻率；杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件；安裝正版病毒查殺軟件的過(guò)程中還應(yīng)該及時(shí)清理病毒數(shù)據(jù)庫(kù)；控制用戶瀏覽不文明的網(wǎng)頁(yè)；在下載不明郵件或者軟件后立即對(duì)不良文件進(jìn)行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)安全運(yùn)行中發(fā)揮著至關(guān)重要的作用，其作用主要表現(xiàn)在以下幾方面：第一，收集計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)及相關(guān)應(yīng)用程序中存在的信息數(shù)據(jù)；第二，找尋計(jì)算機(jī)系統(tǒng)中可能存在的侵害行為；第三，自動(dòng)發(fā)出病毒侵害報(bào)警信號(hào)；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)中的應(yīng)用具有較強(qiáng)的安全性特征，該技術(shù)的主要任務(wù)是負(fù)責(zé)監(jiān)視企業(yè)網(wǎng)絡(luò)運(yùn)行狀況，對(duì)網(wǎng)絡(luò)的正常運(yùn)行不會(huì)產(chǎn)生任何影響。入侵檢測(cè)技術(shù)使用的網(wǎng)絡(luò)系統(tǒng)以基于主機(jī)系統(tǒng)和基于網(wǎng)絡(luò)的入侵系統(tǒng)為主。基于主機(jī)系統(tǒng)的入侵檢測(cè)技術(shù)主要針對(duì)企業(yè)網(wǎng)的主機(jī)系統(tǒng)、歷史審計(jì)數(shù)據(jù)和用戶的系統(tǒng)日志等，該檢測(cè)技術(shù)具有極高的準(zhǔn)確性，但是，實(shí)際檢測(cè)過(guò)程中很容易引發(fā)各種問(wèn)題，如數(shù)據(jù)失真和檢測(cè)漏洞等；基于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)以其自身存在的特點(diǎn)為依據(jù)，以網(wǎng)絡(luò)收集的相關(guān)數(shù)據(jù)信息為手段，在第一時(shí)間將入侵分析模塊里做出的測(cè)定結(jié)果發(fā)送給網(wǎng)絡(luò)管理人，該技術(shù)具有較強(qiáng)的抗攻擊能力、能在短時(shí)間內(nèi)做出有效的檢測(cè)，但是，由于該技術(shù)能對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的變化狀況進(jìn)行監(jiān)控，在實(shí)際過(guò)程中會(huì)給加密技術(shù)帶來(lái)一定程度影響。入侵檢測(cè)技術(shù)在企業(yè)網(wǎng)的應(yīng)用過(guò)程中通常表現(xiàn)為誤用檢測(cè)和異常檢測(cè)兩種形式。誤用檢測(cè)通常以已經(jīng)確定的入侵模式為主，在實(shí)際檢測(cè)過(guò)程中，該檢測(cè)方法具有響應(yīng)速度快和誤警率低等特點(diǎn)，但是，該檢測(cè)技術(shù)需要較長(zhǎng)的檢測(cè)時(shí)間為支撐，實(shí)際耗費(fèi)的工作量比較大。異常檢測(cè)的主要對(duì)象是計(jì)算機(jī)資源中用戶和系統(tǒng)非正常行為和正常行為情況，該檢測(cè)法誤警率較高，在實(shí)際檢測(cè)過(guò)程中必須對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行全盤(pán)掃描，因此，必須有大量的檢測(cè)時(shí)間作支撐。

篇6

2）局域網(wǎng)的管理。局域網(wǎng)管理是影響局域網(wǎng)功能能否充分發(fā)揮的重要因素。依據(jù)對(duì)象的不同可將管理內(nèi)容分為人的管理與局域網(wǎng)的管理，其中對(duì)人的管理主要體現(xiàn)在：要求局域網(wǎng)使用人員嚴(yán)格按照制定的規(guī)章制度使用局域網(wǎng)，要求其不人為破壞局域網(wǎng)的軟、硬件，以及其他重要設(shè)施。而對(duì)局域網(wǎng)的管理則包括局域網(wǎng)結(jié)構(gòu)的選擇、局域網(wǎng)功能的擴(kuò)展以及局域網(wǎng)所處環(huán)境的優(yōu)化等內(nèi)容，一方面根據(jù)局域網(wǎng)的規(guī)劃功能選擇合理的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。另一方面擴(kuò)展局域網(wǎng)功能時(shí)應(yīng)綜合考慮經(jīng)濟(jì)投入，實(shí)現(xiàn)目標(biāo)等內(nèi)容，要求在實(shí)現(xiàn)局域網(wǎng)相關(guān)功能的基礎(chǔ)上最大限度的降低經(jīng)濟(jì)投入。另外，優(yōu)化局域網(wǎng)環(huán)境時(shí)應(yīng)重點(diǎn)考慮人員配備與局域網(wǎng)性能的匹配，以確保局域網(wǎng)資源的充分利用。

2局域網(wǎng)網(wǎng)絡(luò)安全研究

局域網(wǎng)網(wǎng)絡(luò)安全是業(yè)內(nèi)人士討論的經(jīng)典話題，而且隨著互聯(lián)網(wǎng)攻擊的日益頻繁，以及病毒種類(lèi)的不斷增加與衍生，使人們不得不對(duì)局域網(wǎng)安全問(wèn)題進(jìn)行重新審視。采取何種防范手段確保局域網(wǎng)安全仍是人們關(guān)注的重點(diǎn)。那么為確保局域網(wǎng)網(wǎng)絡(luò)安全究竟該采取何種措施呢？接下來(lái)從物理安全與訪問(wèn)控制兩方面進(jìn)行探討。

1）物理安全策略。物理安全策略側(cè)重在局域網(wǎng)硬件以及使用人員方面對(duì)局域網(wǎng)進(jìn)行保護(hù)。首先，采取針對(duì)性措施，加強(qiáng)對(duì)局域網(wǎng)中服務(wù)器、通信鏈路的保護(hù)，尤其避免人為因素帶來(lái)的破壞。例如，保護(hù)服務(wù)器時(shí)可設(shè)置使用權(quán)限，避免無(wú)權(quán)限的人員使用服務(wù)器，導(dǎo)致服務(wù)器信息泄露；其次，加強(qiáng)局域網(wǎng)使用人員的管理。通過(guò)制定完善的工作制度，避免外來(lái)人員使用局域網(wǎng)，尤其禁止使用局域網(wǎng)時(shí)隨意安裝相關(guān)軟件，拆卸局域網(wǎng)硬件設(shè)備；最后，提高工作人員局域網(wǎng)安全防范意識(shí)。通過(guò)專(zhuān)業(yè)培訓(xùn)普及局域網(wǎng)安全技術(shù)知識(shí)，使局域網(wǎng)使用者掌握有效的安全防范技巧與方法，從內(nèi)部入手做好局域網(wǎng)安全防范工作。

2）加強(qiáng)訪問(wèn)控制。訪問(wèn)控制是防止局域網(wǎng)被惡意攻擊、病毒傳染的有效手段，因此，為進(jìn)一步提高局域網(wǎng)安全性，應(yīng)加強(qiáng)訪問(wèn)控制。具體應(yīng)從以下幾方面入手實(shí)現(xiàn)訪問(wèn)控制。首先，做好入網(wǎng)訪問(wèn)控制工作。當(dāng)用戶試圖登錄服務(wù)器訪問(wèn)相關(guān)資源時(shí)，應(yīng)加強(qiáng)用戶名、密碼的檢查，有效避免非法人員訪問(wèn)服務(wù)器；其次，給用戶設(shè)置不同的訪問(wèn)權(quán)限。當(dāng)用戶登錄到服務(wù)器后，為防止無(wú)關(guān)人員獲取服務(wù)器重要信息，應(yīng)給予設(shè)置對(duì)應(yīng)的權(quán)限，即只允許用戶在權(quán)限范圍內(nèi)進(jìn)行相關(guān)操作，訪問(wèn)相關(guān)子目錄、文件夾中的文件等，避免其給局域網(wǎng)帶來(lái)安全威脅；再次，加強(qiáng)局域網(wǎng)的監(jiān)測(cè)。網(wǎng)絡(luò)管理員應(yīng)密切監(jiān)視用戶行為，詳細(xì)記錄其所訪問(wèn)的資源，一旦發(fā)現(xiàn)用戶有不法行為應(yīng)對(duì)其進(jìn)行鎖定，限制其訪問(wèn)；最后，從硬件方面入手提高網(wǎng)絡(luò)的安全性。例如，可根據(jù)保護(hù)信息的重要程度，分別設(shè)置數(shù)據(jù)庫(kù)防火墻、應(yīng)用層防火墻以及網(wǎng)絡(luò)層防火墻。其中數(shù)據(jù)庫(kù)防火墻可對(duì)訪問(wèn)進(jìn)行控制，一旦發(fā)現(xiàn)給數(shù)據(jù)庫(kù)構(gòu)成威脅的行為可及時(shí)阻斷。同時(shí)，其還具備審計(jì)用戶行為的功能，判斷中哪些行為可能給數(shù)據(jù)庫(kù)信息構(gòu)成破壞等。應(yīng)用層防火墻可實(shí)現(xiàn)某程序所有程序包的攔截，可有效防止木馬、蠕蟲(chóng)等病毒的侵入。網(wǎng)絡(luò)層防火墻工作在底層TCP/IP協(xié)議堆棧上，依據(jù)制定的規(guī)則對(duì)訪問(wèn)行為進(jìn)行是否允許訪問(wèn)的判斷。而訪問(wèn)規(guī)則由管理員結(jié)合實(shí)際進(jìn)行設(shè)定。

3）加強(qiáng)安全管理。網(wǎng)絡(luò)病毒由來(lái)已久而且具有較大破壞性，因此，為避免其給網(wǎng)絡(luò)造成破壞，管理員應(yīng)加強(qiáng)管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件，不擅自下載、安裝可疑軟件。另一方面，在使用U盤(pán)、軟盤(pán)時(shí)應(yīng)先進(jìn)行病毒查殺。另外，安裝專(zhuān)門(mén)的殺毒軟件，如卡巴斯基、360殺毒等并及時(shí)更新病毒庫(kù)，定期對(duì)系統(tǒng)進(jìn)行掃描，以及時(shí)發(fā)現(xiàn)病毒將其殺滅。另外，安裝入侵檢測(cè)系統(tǒng)。該系統(tǒng)可即時(shí)監(jiān)視網(wǎng)絡(luò)傳輸情況，一旦發(fā)現(xiàn)可疑文件傳輸時(shí)就會(huì)發(fā)出警報(bào)或直接采用相關(guān)措施，保護(hù)網(wǎng)絡(luò)安全。依據(jù)方法可將其分為誤用入侵檢測(cè)與異常入侵檢測(cè)，其中異常檢測(cè)又被細(xì)分為多種檢測(cè)方法，以實(shí)現(xiàn)入侵行為檢測(cè)，而誤用入侵檢測(cè)包括基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)法、專(zhuān)家系統(tǒng)法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數(shù)據(jù)路中的網(wǎng)絡(luò)入侵信息進(jìn)行對(duì)比，以及時(shí)發(fā)現(xiàn)入侵行為。

篇7

網(wǎng)絡(luò)系統(tǒng)的可用性是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要隨時(shí)隨地能夠?yàn)橛脩舴?wù)，要保障合法用戶能夠訪問(wèn)到想要瀏覽的網(wǎng)絡(luò)信息，不會(huì)出現(xiàn)拒絕合法用戶的服務(wù)要求和非合法用戶濫用的現(xiàn)象。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)最重要的功能就是為合法用戶提供多方面的、隨時(shí)隨地的網(wǎng)絡(luò)服務(wù)。

1.2完整性

網(wǎng)絡(luò)系統(tǒng)的完整性是指網(wǎng)絡(luò)信息在傳輸過(guò)程中不能因?yàn)槿魏卧颍l(fā)生網(wǎng)絡(luò)信摻入、重放、偽造、修改、刪除等破壞現(xiàn)象[1]，影響網(wǎng)絡(luò)信息的完整性。通過(guò)信息攻擊、網(wǎng)絡(luò)病毒、人為攻擊、誤碼、設(shè)備故障等原因都會(huì)造成網(wǎng)絡(luò)信息完整性的破壞。

1.3保密性

網(wǎng)絡(luò)系統(tǒng)的保密性是指網(wǎng)絡(luò)系統(tǒng)要保證用戶信息不能發(fā)生泄露，主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性，是網(wǎng)絡(luò)系統(tǒng)安全的重要指標(biāo)。保密性不同于完整性，完整性強(qiáng)調(diào)的是網(wǎng)絡(luò)信息不能被破壞，保密性是指防止網(wǎng)絡(luò)信息的發(fā)生泄露[2]。

1.4真實(shí)性

網(wǎng)絡(luò)系統(tǒng)的真實(shí)性是指網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)系統(tǒng)操作的不可抵賴性，任何用戶都不能抵賴或者否定曾經(jīng)對(duì)網(wǎng)絡(luò)系統(tǒng)的承諾和操作。

1.5可靠性

網(wǎng)絡(luò)系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運(yùn)行，網(wǎng)絡(luò)系統(tǒng)要在一定的時(shí)間和條件下穩(wěn)定的完成網(wǎng)絡(luò)用戶指定的任務(wù)和功能，網(wǎng)絡(luò)系統(tǒng)的可靠性是網(wǎng)絡(luò)安全最基本的要求。

1.6可控性

網(wǎng)絡(luò)系統(tǒng)的可控性是指網(wǎng)絡(luò)系統(tǒng)可以控制和調(diào)整網(wǎng)絡(luò)信息傳播方式和傳播內(nèi)容的能力，為了保障國(guó)家和廣大人民的利益，為正常的社會(huì)管理秩序，網(wǎng)絡(luò)系統(tǒng)管理者有必要對(duì)網(wǎng)絡(luò)信息進(jìn)行適當(dāng)?shù)谋O(jiān)督和控制，避免外地侵犯和社會(huì)犯罪，維護(hù)網(wǎng)絡(luò)安全。

2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用

2.1防火墻

防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問(wèn)權(quán)限的軟件和硬件的組合設(shè)備[3]，防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中，能夠有效地阻斷來(lái)自外界的病毒和非法訪問(wèn)，能夠有效地提高校園網(wǎng)的網(wǎng)絡(luò)安全。防火墻可以有效攔截來(lái)自外界的不安全的訪問(wèn)服務(wù)，同時(shí)還可以對(duì)防火墻進(jìn)行設(shè)置，屏蔽有危害、不健康的網(wǎng)絡(luò)網(wǎng)站，降低校園網(wǎng)的安全危害。另外防火墻還可以有效地監(jiān)控用戶對(duì)校園網(wǎng)的訪問(wèn)，記錄用戶的訪問(wèn)記錄，保存到網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中，可以快速統(tǒng)計(jì)校園網(wǎng)的使用情況，在分析用戶訪問(wèn)記錄如果發(fā)現(xiàn)用戶的操作存在安全問(wèn)題，防火墻可以及時(shí)發(fā)出報(bào)警信號(hào)，提醒用戶的這個(gè)非法操作，防止校園網(wǎng)內(nèi)部信息的泄露、另外，防火墻可以和NAT技術(shù)高效地結(jié)合起來(lái)，用于隱藏校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)信息，提高校園網(wǎng)的安全系數(shù)，同時(shí)防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況，提高了校園網(wǎng)的運(yùn)行效率。防火墻在校園網(wǎng)中的應(yīng)用，完善了校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)隔斷，即使校園網(wǎng)發(fā)生安全問(wèn)題，也可以在短時(shí)間內(nèi)控制問(wèn)題擴(kuò)散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用，能夠有效地阻斷來(lái)自外界互聯(lián)網(wǎng)的安全侵害，但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問(wèn)題，不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。

2.2VPN技術(shù)

VPN技術(shù)在校園網(wǎng)的應(yīng)用，通過(guò)VPN設(shè)備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來(lái)，可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務(wù)器經(jīng)過(guò)設(shè)置后，只有符合相應(yīng)條件的用戶經(jīng)過(guò)連接VPN服務(wù)器才能獲得訪問(wèn)特定網(wǎng)絡(luò)信息的權(quán)限，拒絕校園網(wǎng)內(nèi)用戶的危險(xiǎn)操作。VPN技術(shù)可以實(shí)現(xiàn)用戶驗(yàn)證，通過(guò)驗(yàn)證校內(nèi)網(wǎng)用戶的身份，只有符合條件的授權(quán)用戶才能連接到VPN服務(wù)器，進(jìn)行相關(guān)訪問(wèn)。其次實(shí)現(xiàn)校園網(wǎng)數(shù)據(jù)加密，VPN技術(shù)可以將通過(guò)互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)這些信息。再次實(shí)現(xiàn)校園網(wǎng)密鑰管理，通過(guò)生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議，提高校園網(wǎng)的可靠性。并且VPN技術(shù)在校園網(wǎng)中的應(yīng)用不需要安裝VPN的客戶端設(shè)備，降低了校園網(wǎng)安全管理的成本。通過(guò)VPN技術(shù)，校園網(wǎng)絡(luò)管理員可以對(duì)校園網(wǎng)內(nèi)用戶的操作進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)校園網(wǎng)絡(luò)故障點(diǎn)，進(jìn)行遠(yuǎn)程維護(hù)，提高校園網(wǎng)維護(hù)管理能力。

2.3入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)在校園網(wǎng)中的應(yīng)用，可以檢測(cè)校園網(wǎng)絡(luò)中一些不安全的網(wǎng)絡(luò)操作行為，一旦檢測(cè)到網(wǎng)絡(luò)系統(tǒng)中的一些異?，F(xiàn)象和未授權(quán)的網(wǎng)絡(luò)操作，就會(huì)發(fā)出網(wǎng)絡(luò)報(bào)警信號(hào)。入侵檢測(cè)技術(shù)可以自動(dòng)分析校園網(wǎng)絡(luò)的用戶活動(dòng)，檢測(cè)出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]。入侵檢測(cè)技術(shù)還可以監(jiān)控校園網(wǎng)絡(luò)系統(tǒng)的配置情況，檢測(cè)出系統(tǒng)安全漏洞，提醒校園網(wǎng)絡(luò)管理人員及時(shí)進(jìn)行維護(hù)。另外，入侵檢測(cè)技術(shù)在識(shí)別網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅方面具有重要的作用，可以及時(shí)發(fā)出報(bào)警信號(hào)，并且拒絕和處理網(wǎng)絡(luò)攻擊入侵行為，結(jié)合發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊模式，檢測(cè)校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞，提高校園網(wǎng)的數(shù)據(jù)完整性，進(jìn)行系統(tǒng)評(píng)估。

2.4訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)主要是用來(lái)控制校園網(wǎng)用戶的非法訪問(wèn)和非法操作，用戶想要進(jìn)入校園網(wǎng)，首先要通過(guò)訪問(wèn)控制，經(jīng)過(guò)驗(yàn)證識(shí)別用用戶口令、戶名、密碼等，確定該用戶是否具有訪問(wèn)校園網(wǎng)的權(quán)限，當(dāng)用戶進(jìn)入校園網(wǎng)后，就會(huì)賦予用戶訪問(wèn)操作權(quán)限，使校園網(wǎng)絡(luò)資源不會(huì)被未授權(quán)用戶非法使用和非法訪問(wèn)。

2.5網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)

校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)，可以防止校園網(wǎng)信息數(shù)據(jù)丟失，保護(hù)校園網(wǎng)重要信息資源。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以實(shí)現(xiàn)集中式的網(wǎng)絡(luò)信息資源管理，對(duì)整個(gè)校園網(wǎng)系統(tǒng)中的信息資源進(jìn)行備份管理，可以極大地提高校園網(wǎng)管理員的工作效率，實(shí)現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理，利用網(wǎng)絡(luò)備份設(shè)備實(shí)時(shí)監(jiān)控校園網(wǎng)絡(luò)中的備份作業(yè)，結(jié)合校園網(wǎng)的運(yùn)行情況，及時(shí)修改網(wǎng)絡(luò)備份策略[5]，提高系統(tǒng)備份效率。校園網(wǎng)管理員可以利用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)，定時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行備份，這是網(wǎng)絡(luò)管理重要環(huán)節(jié)。校園網(wǎng)的備份系統(tǒng)可以在用戶進(jìn)行校園網(wǎng)訪問(wèn)時(shí)，建立在線網(wǎng)絡(luò)索引，當(dāng)用戶需要恢復(fù)網(wǎng)絡(luò)信息時(shí)，通過(guò)在線網(wǎng)絡(luò)索引中的備份系統(tǒng)就可以自動(dòng)恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)實(shí)現(xiàn)了校園網(wǎng)絡(luò)的歸檔管理，通過(guò)時(shí)間定期和項(xiàng)目管理對(duì)網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行歸檔管理，在網(wǎng)絡(luò)環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲(chǔ)存格式，使所有網(wǎng)絡(luò)信息數(shù)據(jù)在統(tǒng)一格式中完成長(zhǎng)時(shí)間的保存[6]。

2.6災(zāi)難恢復(fù)技術(shù)

校園網(wǎng)中的災(zāi)難恢復(fù)主要包括兩類(lèi)：個(gè)別數(shù)據(jù)文件的恢復(fù)和所有信息數(shù)據(jù)的恢復(fù)。當(dāng)校園網(wǎng)中的個(gè)別數(shù)據(jù)文件恢復(fù)可以利用網(wǎng)絡(luò)中備份系統(tǒng)完成個(gè)別受損數(shù)據(jù)文件的恢復(fù)，校園網(wǎng)絡(luò)管理員可以瀏覽目錄或者數(shù)據(jù)庫(kù)，觸動(dòng)受損數(shù)據(jù)文件的恢復(fù)功能，系統(tǒng)會(huì)自動(dòng)加載存儲(chǔ)軟件，恢復(fù)受損文件。所有信息數(shù)據(jù)的恢復(fù)主要應(yīng)用在當(dāng)發(fā)生意外災(zāi)難時(shí)導(dǎo)致整個(gè)校園網(wǎng)系統(tǒng)重組、系統(tǒng)升級(jí)、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。

篇8

常永亮

(飛行試驗(yàn)研究院測(cè)試所陜西西安710089)

【摘要】Internet是一種開(kāi)放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù)，其資源通過(guò)網(wǎng)絡(luò)共享，因此，資源共享和信息安全就成了一對(duì)矛盾。

【關(guān)鍵詞】網(wǎng)絡(luò)攻擊、安全預(yù)防、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)安全

1.引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)的安全性顯得非常重要，這是因?yàn)閼延袗阂獾墓粽吒`取、修改網(wǎng)絡(luò)上傳輸?shù)男畔ⅲㄟ^(guò)網(wǎng)絡(luò)非法進(jìn)入遠(yuǎn)程主機(jī)，獲取儲(chǔ)存在主機(jī)上的機(jī)密信息，或占用網(wǎng)絡(luò)資源，阻止其他用戶使用等。然而，網(wǎng)絡(luò)作為開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。

一般來(lái)說(shuō)，計(jì)算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡(luò)的潛在威脅。隨著無(wú)線互聯(lián)網(wǎng)越來(lái)越普及的應(yīng)用，互聯(lián)網(wǎng)的安全性又很難在無(wú)線網(wǎng)上實(shí)施，因此，特別在構(gòu)建內(nèi)部網(wǎng)時(shí)，若忽略了無(wú)線設(shè)備的安全性則是一種重大失誤。

2.網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡(luò)連續(xù)可靠的運(yùn)行。網(wǎng)絡(luò)安全其實(shí)就是網(wǎng)絡(luò)上的信息存儲(chǔ)和傳輸安全。

網(wǎng)絡(luò)的安全主要來(lái)自黑客和病毒攻擊，各類(lèi)攻擊給網(wǎng)絡(luò)造成的損失已越來(lái)越大了，有的損失對(duì)一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡(jiǎn)要介紹。

2.1常見(jiàn)的攻擊有以下幾類(lèi)：

2.1.1入侵系統(tǒng)攻擊

此類(lèi)攻擊如果成功，將使你的系統(tǒng)上的資源被對(duì)方一覽無(wú)遺，對(duì)方可以直接控制你的機(jī)器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時(shí)會(huì)用到一些不進(jìn)行有效位檢查的函數(shù)，可能導(dǎo)致黑客利用自編寫(xiě)程序來(lái)進(jìn)一步打開(kāi)安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會(huì)被奪取，此類(lèi)攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設(shè)定不嚴(yán)謹(jǐn)，因此應(yīng)比在LINUX系統(tǒng)下更易實(shí)現(xiàn)。

2.1.3欺騙類(lèi)攻擊

網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務(wù)攻擊

通過(guò)網(wǎng)絡(luò)，也可使正在使用的計(jì)算機(jī)出現(xiàn)無(wú)響應(yīng)、死機(jī)的現(xiàn)象，這就是拒絕服務(wù)攻擊，簡(jiǎn)稱(chēng)DoS（DenialofService）。

分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)，從而導(dǎo)致目標(biāo)癱瘓，簡(jiǎn)稱(chēng)DDoS（DistributedDenialofService）。

2.1.5對(duì)防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷，對(duì)防火墻的攻擊方法也是多種多樣的，如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

2.1.6利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見(jiàn)性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種，可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個(gè)黑客，或是通過(guò)一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

2.1.8網(wǎng)絡(luò)偵聽(tīng)

網(wǎng)絡(luò)偵聽(tīng)為主機(jī)工作模式，主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽(tīng)工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號(hào)等有用的信息資料。

等等。現(xiàn)在的網(wǎng)絡(luò)攻擊手段可以說(shuō)日新月異，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開(kāi)放性、共享性、互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來(lái)越先進(jìn)，操作系統(tǒng)對(duì)本身漏洞的更新補(bǔ)救越來(lái)越及時(shí)?，F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個(gè)人越來(lái)越注意自己計(jì)算機(jī)的安全?？梢哉f(shuō)：只要有計(jì)算機(jī)和網(wǎng)絡(luò)的地方肯定是把網(wǎng)絡(luò)安全放到第一位。

網(wǎng)絡(luò)有其脆弱性，并會(huì)受到一些威脅。因而建立一個(gè)系統(tǒng)時(shí)進(jìn)行風(fēng)險(xiǎn)分析就顯得尤為重要了。風(fēng)險(xiǎn)分析的目的是通過(guò)合理的步驟，以防止所有對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅的事件發(fā)生。因此，嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析是可靠和有效的安全防護(hù)措施制定的必要前提。網(wǎng)絡(luò)風(fēng)險(xiǎn)分析在系統(tǒng)可行性分析階段就應(yīng)進(jìn)行了。因?yàn)樵谶@階段實(shí)現(xiàn)安全控制要遠(yuǎn)比在網(wǎng)絡(luò)系統(tǒng)運(yùn)行后采取同樣的控制要節(jié)約的多。即使認(rèn)為當(dāng)前的網(wǎng)絡(luò)系統(tǒng)分析建立的十分完善，在建立安全防護(hù)時(shí)，風(fēng)險(xiǎn)分析還是會(huì)發(fā)現(xiàn)一些潛在的安全問(wèn)題，從整體性、協(xié)同性方面構(gòu)建一個(gè)信息安全的網(wǎng)絡(luò)環(huán)境。可以說(shuō)網(wǎng)絡(luò)的安全問(wèn)題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)進(jìn)行控制和審計(jì)。

2.2.2虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)（VPN）的實(shí)現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道，利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息，但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了，這一新的VLAN就是專(zhuān)用虛擬局域網(wǎng)（PVLAN）技術(shù)。

2.2.4漏洞檢測(cè)

漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略基于主機(jī)檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查；主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。漏洞檢測(cè)系統(tǒng)是防火墻的延伸，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測(cè)

入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái)，檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生，系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

2.2.6密碼保護(hù)

加密措施是保護(hù)信息的最后防線，被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無(wú)論是對(duì)等還是不對(duì)等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用，但隨著計(jì)算機(jī)性能的飛速發(fā)展，破解部分公開(kāi)算法的加密方法已變得越來(lái)越可能。因此，現(xiàn)在對(duì)加密算法的保密越來(lái)越重要，幾個(gè)加密方法的協(xié)同應(yīng)用會(huì)使信息保密性大大加強(qiáng)。

2.2.7安全策略

安全策略可以認(rèn)為是一系列政策的集合，用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配，已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的，雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過(guò)各種測(cè)試，但上面無(wú)論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個(gè)網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

以上大概講了幾個(gè)網(wǎng)絡(luò)安全的策略，網(wǎng)絡(luò)安全基本要素是保密性、完整性和可用，但網(wǎng)絡(luò)的安全威脅與網(wǎng)絡(luò)的安全防護(hù)措施是交互出現(xiàn)的。不適當(dāng)?shù)木W(wǎng)絡(luò)安全防護(hù)，不僅可能不能減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，浪費(fèi)大量的資金，而且可能招致更大的安全威脅。一個(gè)好的安全網(wǎng)絡(luò)應(yīng)該是由主機(jī)系統(tǒng)、應(yīng)用和服務(wù)、路由、網(wǎng)絡(luò)、網(wǎng)絡(luò)管理及管理制度等諸多因數(shù)決定的，但所有的防御措施對(duì)信息安全管理者提出了挑戰(zhàn)，他們必須分析采用哪種產(chǎn)品能夠適應(yīng)長(zhǎng)期的網(wǎng)絡(luò)安全策略的要求，而且必須清楚何種策略能夠保證網(wǎng)絡(luò)具有足夠的健壯性、互操作性并且能夠容易地對(duì)其升級(jí)。

隨著信息系統(tǒng)工程開(kāi)發(fā)量越來(lái)越大，致使系統(tǒng)漏洞也成正比的增加，受到攻擊的次數(shù)也在增多。相對(duì)滯后的補(bǔ)救次數(shù)和成本也在增加，黑客與反黑客的斗爭(zhēng)已經(jīng)成為一場(chǎng)沒(méi)有結(jié)果的斗爭(zhēng)。

3.結(jié)論

網(wǎng)絡(luò)安全的管理與分析現(xiàn)已被提到前所未有的高度，現(xiàn)在IPv6已開(kāi)始應(yīng)用，它設(shè)計(jì)的時(shí)候充分研究了以前IPv4的各種問(wèn)題，在安全性上得到了大大的提高，但并不是不存在安全問(wèn)題了。在WindowsVista的開(kāi)發(fā)過(guò)程中，安全被提到了一個(gè)前所未有的重視高度，但微軟相關(guān)負(fù)責(zé)人還是表示，＂即使再安全的操作系統(tǒng)，安全問(wèn)題也會(huì)一直存在＂。

總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。因此只有完備的系統(tǒng)開(kāi)發(fā)過(guò)程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn)

篇9

一、無(wú)線網(wǎng)絡(luò)安全問(wèn)題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無(wú)線網(wǎng)絡(luò)為基礎(chǔ)，這種部署或創(chuàng)建往往沒(méi)有經(jīng)過(guò)安全過(guò)程或安全檢查。可對(duì)接入點(diǎn)進(jìn)行配置，要求客戶端接入時(shí)輸入口令。如果沒(méi)有口令，入侵者就可以通過(guò)啟用一個(gè)無(wú)線客戶端與接入點(diǎn)通信，從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問(wèn)口令竟然完全相同。這是很危險(xiǎn)的。

1.2漫游攻擊者攻擊者沒(méi)有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡(luò)掃描器，如Netstumbler等工具?？梢栽谝苿?dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無(wú)線網(wǎng)絡(luò)，這種活動(dòng)稱(chēng)為“wardriving”；走在大街上或通過(guò)企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)，這稱(chēng)為“warwalking”。

1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無(wú)線網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn)，其目的是為了避開(kāi)已安裝的安全手段，創(chuàng)建隱蔽的無(wú)線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無(wú)害，但它卻可以構(gòu)造出一個(gè)無(wú)保護(hù)措施的網(wǎng)絡(luò)，并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開(kāi)放門(mén)戶。

1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱(chēng)為“無(wú)線釣魚(yú)”，雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱(chēng)隱藏起來(lái)的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn)，然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。

1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無(wú)線網(wǎng)絡(luò)訪問(wèn)互聯(lián)網(wǎng)，即使他們沒(méi)有什么惡意企圖，但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬，嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會(huì)產(chǎn)生一些法律問(wèn)題。

1.6對(duì)無(wú)線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣，劫持和監(jiān)視通過(guò)無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況，一是無(wú)線數(shù)據(jù)包分析，即熟練的攻擊者用類(lèi)似于有線網(wǎng)絡(luò)的技術(shù)捕獲無(wú)線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分，而其數(shù)據(jù)一般會(huì)包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來(lái)冒稱(chēng)一個(gè)合法用戶，并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴于集線器，所以很少見(jiàn)。

二、保障無(wú)線網(wǎng)絡(luò)安全的技術(shù)方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡(jiǎn)稱(chēng)，讓無(wú)線客戶端對(duì)不同無(wú)線網(wǎng)絡(luò)的識(shí)別，類(lèi)似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營(yíng)商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無(wú)線接入點(diǎn)廣播出去的，客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無(wú)線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止，一般的漫游用戶在無(wú)法找到SSID的情況下是無(wú)法連接到網(wǎng)絡(luò)的。需要注意的是，如果黑客利用其他手段獲取相應(yīng)參數(shù)，仍可接入目標(biāo)網(wǎng)絡(luò)，因此，隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式。

2.2MAC地址過(guò)濾顧名思義，這種方式就是通過(guò)對(duì)AP的設(shè)定，將指定的無(wú)線網(wǎng)卡的物理地址（MAC地址）輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷，只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)，否則將會(huì)被丟棄。這種方式比較麻煩，而且不能支持大量的移動(dòng)客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過(guò)各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò)，一般SOHO，小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱(chēng)，所有經(jīng)過(guò)WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊，一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類(lèi)似于有線網(wǎng)絡(luò)的VLAN，將所有的無(wú)線客戶端設(shè)備完全隔離，使之只能訪問(wèn)AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè)，讓接入的無(wú)線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義，用于以太網(wǎng)和無(wú)線局域網(wǎng)中的端口訪問(wèn)與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱(chēng)，下一代無(wú)線規(guī)格802.11i之前的過(guò)渡方案，也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP（TemporalKeyIntegrityProtocol），這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問(wèn)題。很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求，該方法多用于企業(yè)無(wú)線網(wǎng)絡(luò)部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級(jí)的AES加密，能夠更好地解決無(wú)線網(wǎng)絡(luò)的安全問(wèn)題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁，但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。

篇10

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛,在帶來(lái)了前所未有的海量信息的同時(shí),網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái),已被信息社會(huì)的各個(gè)領(lǐng)域所重視。

計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō),主要由防病毒、防火墻等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等,以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。

一、防火墻技術(shù)

防火墻是指一個(gè)由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)及管理內(nèi)部用戶訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。當(dāng)一個(gè)網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。

二、數(shù)據(jù)加密技術(shù)

與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開(kāi)放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù),對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊,雖無(wú)法避免,但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊,雖無(wú)法檢測(cè),但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類(lèi):即對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。

1.對(duì)稱(chēng)加密技術(shù)

對(duì)稱(chēng)加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個(gè)推知另一個(gè),這種加密方法可簡(jiǎn)化加密處理過(guò)程,信息交換雙方都不必彼此研究和交換專(zhuān)用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。目前,廣為采用的一種對(duì)稱(chēng)加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。

2.非對(duì)稱(chēng)加密/公開(kāi)密鑰加密

在非對(duì)稱(chēng)加密體系中,密鑰被分解為一對(duì)(即公開(kāi)密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開(kāi)密鑰通過(guò)非保密方式向他人公開(kāi),而另一把作為私有密鑰加以保存。公開(kāi)密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開(kāi)密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱(chēng)加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。

三、PKI技術(shù)

PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。

1.認(rèn)證機(jī)構(gòu)

CA(CertificationAuthorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書(shū)、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書(shū),任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書(shū)被偽造或篡改。

2.注冊(cè)機(jī)構(gòu)

RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書(shū)的基礎(chǔ)。RA不僅要支持面對(duì)面的登記,也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活,就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3.密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4.證書(shū)管理與撤消系統(tǒng)

證書(shū)是用來(lái)綁定證書(shū)持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書(shū)的整個(gè)生命周期里是有效的。但是,有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書(shū)不再有效的情況,這就需要進(jìn)行證書(shū)撤消。證書(shū)撤消的理由是各種各樣的,可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書(shū)撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的機(jī)制撤消證書(shū)或采用在線查詢機(jī)制,隨時(shí)查詢被撤消的證書(shū)。

四、結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問(wèn)題,而不是萬(wàn)能的。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實(shí)時(shí)地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。