網絡安全技術規劃
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇網絡安全技術規劃范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
網絡安全技術規劃范文第1篇
1.1監測型
監測型防火墻在網絡安全保護中,表現出主動特性,主動阻斷網絡攻擊。此類防火墻的能力比較高,其在安全防護的過程中體現探測服務,主要探測網絡節點。節點處的攻擊較為明顯,有效探測到網絡內部、外部的所有攻擊,以免攻擊者惡意篡改信息,攻擊內網。監測型防火墻在網絡安全中的應用效益較為明顯,成為防火墻的發展趨勢,提升網絡安全的技術能力,但是由于監測型防火墻的成本高,促使其在網絡安全中的發展受到挑戰,還需借助技術能力提升自身地位。
1.2型
型屬于包過濾的演變,包過濾應用在網絡層,而型則服務于應用層,完成計算機與服務器的過程保護。型防火墻通過提供服務器,保護網絡安全,站在計算機的角度出發,型防火墻相當于真實服務器,對于服務器而言,型防火墻則扮演計算機的角色。型防火墻截取中間的傳輸信息,形成中轉站,通過與中轉的方式,集中處理惡意攻擊,切斷攻擊者可以利用的通道,由此外部攻擊難以進入內網環境。型防火墻安全保護的能力較高,有效防止網絡攻擊。
2.基于防火墻的網絡安全技術應用
結合防火墻的類型與技術表現,分析其在網絡安全中的實際應用,體現基于防火墻網絡安全技術的優勢。防火墻在網絡安全中的應用主要以內外和外網為主,做如下分析:
2.1防火墻技術在內網中的應用
防火墻在內網中的位置較為特定,基本安置在Web入口處,保護內網的運行環境。內網系統通過防火墻能夠明確所有的權限規劃,規范內網用戶的訪問路徑,促使內網用戶只能在可控制的狀態下,實現運行訪問,避免出現路徑混淆,造成系統漏洞。防火墻在內網中的應用主要表現在兩方面,如:(1)認證應用,內網中的多項行為具有遠程特性,此類網絡行為必須在認證的約束下,才能實現準確連接,以免出現錯接失誤,導致內網系統面臨癱瘓威脅;(2)防火墻準確記錄內網的訪問請求,規避來自內網自身的網絡攻擊,防火墻記錄請求后生成安全策略,實現集中管控,由此內網計算機不需要實行單獨策略,在公共策略服務下,即可實現安全保護。
2.2防火墻技術在外網中的應用
防火墻在外網中的應用體現在防范方面,防火墻根據外網的運行情況,制定防護策略,外網只有在防火墻授權的狀態下,才可進入內網。針對外網布設防火墻時,必須保障全面性,促使外網的所有網絡活動均可在防火墻的監視下,如果外網出現非法入侵,防火墻則可主動拒絕為外網提供服務。基于防火墻的作用下,內網對于外網而言,處于完全封閉的狀態,外網無法解析到內網的任何信息。防火墻成為外網進入內網的唯一途徑,所以防火墻能夠詳細記錄外網活動,匯總成日志,防火墻通過分析日常日志,判斷外網行為是否具有攻擊特性。近幾年,隨著網絡化的發展,外網與內網連接并不局限于一條路徑,所以在所有的連接路徑上都需實行防火墻保護,實時監控外網活動。
3.防火墻技術在網絡安全的優化措施
防火墻技術面對日益復雜的網絡發展,表現出低效狀態,出現部分漏洞,影響防火墻安全保護的能力。因此,為保障網絡安全技術的運行水平,結合防火墻的運行與發展,提出科學的優化途徑,發揮防火墻網絡保護的優勢。針對網絡安全中的防火墻技術,提出以下三點優化措施:
3.1控制擁有成本
防火墻能力可以通過成本衡量,擁有成本成為防火墻安全保護能力的評價標準。控制防火墻的擁有成本,避免其超過網絡威脅的損失成本,由此即可體現防火墻的防護效益。如果防火墻的成本低于損失成本,表明該防火墻未能發揮有效的防護能力,制約了網絡安全技術的發展。
3.2強化防火墻自身安全
防火墻自身的安全級別非常明顯,由于其所處的網絡環境不同,促使其在安全保護方面受到影響。為加強防火墻的安全能力,規范配置設計,深入研究防火墻的運行實質,手動更改防護參數,排除防火墻自帶的漏洞。防火墻經過全面測試后才可投入網絡市場,但是因為防火墻的種類較多,所以其自身仍舊存在風險項目。強化防火墻的自身安全,才可提升網絡安全技術的防護性能。
3.3構建防火墻平臺
防火墻平臺能夠體現綜合防護技術,確保網絡防護的安全、穩定。通過管理手段構建防火墻平臺,以此來保障網絡安全技術的能力,發揮防火墻預防與控制的作用。防火墻管理在平臺構建中占據重要地位,直接影響防火墻平臺的效益,有利于強化平臺防范水平。由此可見:防火墻平臺在網絡安全技術中具有一定影響力,保障防火墻的能力,促使防火墻處于優質的狀態,安全保護網絡運行。
4.結束語
網絡安全技術規劃范文第2篇
關鍵詞 氣象業務;網絡安全技術;縣級氣象局
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)92-0000-00
0引言
互聯網絡技術在氣象業務中的大規模使用,使得氣象業務的信息化程度得到很大的提升,對信息資源的共享和利用也達到了空前的高度。但是網絡技術在氣象業務系統中的大規模使用也帶來了一些負面效應。其中最重要的問題就是氣象業務的網絡安全問題日益突出。而在黑客肆虐的網絡世界,氣象信息的安全保障成為網絡安全防護的重中之重。特別是在地縣級的氣象系統中,加強對氣象業務的網絡安全技術研發顯得尤為重要。
1縣局氣象業務網絡安全的現狀
1.1網絡設備的硬件管理存在隱患
氣象信息的傳輸系統是十分復雜的,它涉及到信息傳遞的硬件、軟件等各個方面。而這種復雜的信息傳輸系統同時也具有很強的脆弱性。信息的傳輸網絡中的任何一個環節都有可能導致信息中途堵塞和傳輸不暢。例如氣象信息系統的設備都分散在各個地方,分布范圍很廣,天氣變化如雷電、雨雪,自然災害如洪水、泥石流、山體滑坡等因素都是可能對氣象信息傳輸網絡的硬件設備造成損害,而氣象部門的相關工作人員又不可能時刻保持對這些氣象設備的監控和管理,這就使得氣象網絡的硬件設備隨時處于風險當中。
1.2人為操作的無意識破壞
在一些基層的氣象系統,存在著對氣象業務信息系統管理不到位的現象,相關工作人員的網絡安全防范意識較差,經常會有一些閑雜人員擅自進入中心機房,甚至隨意氣象網絡系統的中心設備上使用外來磁盤,將外界的病毒信息帶入內部網絡,這無疑給氣象業務的網絡安全埋下了隱患。此外,由于一些縣局氣象系統的基層工作人員的業務水平不高,有時,相關操作人員會出現一些低級的業務操作失誤,比如對網絡安全系統升級的忽略;用戶的口令選擇錯誤等,這些小失誤、小錯誤都可能給氣象系統的網絡安全造成損害和威脅。
1.3軟件設備存在一定的安全隱患
現代氣象業務的網絡安全技術給我們帶來無窮便利的同時,也使人們對它產生一些憂慮。那就是我們必須認識到任何軟件都不是完美的,它一定在某些方面存在一些缺陷和漏洞。而一些隱蔽性很強的漏洞的存在,就給網外的黑客們提供了入侵氣象業務網絡的渠道和途徑,同時,他們通過這些途徑可以獲取氣象用戶的相關業務信息和網絡用戶的控制權限,可以任意執行篡改氣象信息數據和用戶密碼等操作,這對于氣象業務網絡的安全性是一個巨大的挑戰。
2縣局氣象業務的網絡安全技術
隨著信息技術的深入發展,氣象業務的信息化程度也越來越高,但是面對當前氣象業務網絡面臨的這樣一個現狀,氣象業務的網絡安全要承受非常嚴峻的考驗,要如何化解這個矛盾,解決氣象業務網絡的后顧之憂,讓氣象業務網絡安全、通暢地運行、發展,當務之急,最需要的就是要加強氣象業務的網絡安全技術的運用和創新。
2.1加強硬件設備的保護工作
隨著基層氣象業務的信息化程度越來越高,網絡傳輸系統在氣象業務信息的傳遞過程中發揮的作用越來越重要,它幾乎成為氣象業務信息傳遞的主要途徑之一。這就說明當前氣象業務的信息傳遞對于網絡技術的依賴性是很嚴重的。而網絡傳輸的硬件設備理所當然就成為氣象業務信息傳遞最重要的硬件基礎。如果網絡傳輸系統的硬件設備的某一環節出現了故障,就會造成氣象網絡傳輸系統因無法運行而癱瘓,進而導致大量的氣象信息數據無法傳遞和讀取,影響氣象業務的正常運轉。因此,要保護氣象網絡的硬件設備能正常運轉,首先,在氣象信息網絡傳輸系統的規劃設計階段,就要加強對硬件設備安全運行的設計工作,對于一些重要設備,如交換機、服務器、電路器等,要加強相關的保護措施的設計和規劃,并對戶外設備做好防護保障措施和明顯的標記,防止意外或人為的損壞。此外,對于一些內網設備,如終端機、交換機等,要加強相關的安保建設工作,防止閑雜人員接近這些核心的數據設備。
2.2積極引進氣象業務網絡安全技術
1)防火墻技術(FireWall)。防火墻技術成為近年來新興的保護計算機網絡安全的技術性措施之一。它是用來阻擋外部不安全因素影響內部網絡的屏障,即在某個機構的網絡和不安全的網絡(如Internet)之間設置一道屏障,阻止對內部信息資源的非法訪問,也可以使用防火墻來阻止重要信息從企業的網絡上被非法輸出。作為Internet的安全性保護軟件,防火墻技術在氣象業務網絡系統中已經得到了廣泛的應用。通常各氣象系統為了維護內部的信息系統安全,在氣象系統的內部網絡和Internet間設立防火墻軟件;
2)虛擬局域網(vlan技術)。VLAN是對連接到的第二層交換機端口的網絡用戶的邏輯分段,不受網絡用戶的物理位置限制而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組。基于交換機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。VLAN相當于OSI參考模型的第二層的廣播域,能夠將廣播風暴控制在一個VLAN內部,劃分VLAN后,由于廣播域的縮小,網絡中廣播包消耗帶寬所占的比例大大降低,網絡的性能得到顯著的提高。在氣象信息系統中,不同的VLAN之間的氣象數據傳輸是通過第三層(網絡層)的路由來實現的,因此使用VLAN技術,結合數據鏈路層和網絡層的交換設備可搭建安全可靠的氣象信息網絡。網絡管理員也可以通過控制交換機的每一個端口來控制氣象系統中的網絡用戶對網絡資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠為氣象網絡提供較好的安全措施。
3)SSL VPN技術。SSL VPN是指基于安全套接層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術,其應用隨著Web的普及和電子商務、遠程辦公的興起而發展迅速。目前,SSL VPN由于其強大的功能和實施的方便性應用越來越廣泛。SSL協議主要是由SSL記錄協議和握手協議組成,它們共同為應用訪問連接提供認證、加密和防篡改功能。擁有128位加密以上的SSL VPN產品的加密程度高,能夠很好的保障內部數據傳輸的安全性。同時,SSL VPN服務器可以提供訪問統計和跟蹤功能,使系統管理員能夠根據日志隨時掌握系統訪問情況。此外,SSL VPN的另一個突出優勢就在于移動性強、易于管理和維護,使用操作性強。
4)計算機防病毒技術。計算機的防病毒技術就是通過一定的電子技術手段來防止計算機病毒在個人系統的傳染和破壞。實際上這是一種動態判定技術,即一種行為規則判定技術。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。目前,我們在防止計算機病毒的操作中一般都使用病毒軟件來防止病毒的入侵。如諾頓(Norman Virus Control)是一款防毒程序,用于監察計算機內的惡意程序,包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬,保護企業和用戶計算機。
5)電腦的系統補丁程序。補丁程序即修復系統漏洞的程序,像破衣服上面的“補丁”一樣,把系統這件完整的衣服“補好”。及時地對網絡系統進行補丁程序的運行,有利于修復電腦和網絡系統的漏洞,防止外界的病毒從電腦和系統的漏洞中侵入,以更好的保護網絡系統的正常運轉。在基層氣象業務網絡中,補丁程序對于修補氣象網絡中的漏洞發揮著很重要的作用,有利于網絡及時對內部漏洞和缺陷進行修補,減小系統的網絡安全風險。
3結論
我國基層氣象業務的網絡安全建設并不是一朝一夕的事情,而是一個長期的發展和建設過程,它不僅需要做好前期的規劃設計工作,在實施階段,還要建立完整的氣象業務網絡運轉的效果評估體系,確保氣象業務安全網絡技術的正常開展和對氣象信息網絡的安全監管工作。切實抓好對縣局氣象業務網絡安全技術的實施工作,確保各種網絡安全技術的正常運轉。此外,縣局氣象單位還要加大對氣象業務網絡安全技術的研發和投入力度,緊跟科技和電子信息技術發展的時代潮流,爭取早日建成一個安全、完善的基層氣象業務信息網絡。
參考文獻
[1]邵禹,康凱.防火墻與加密技術在網絡安全中的應用[J].黑龍江科技信息,2008(20).
[2]于丹,岳強.網絡信息安全的關鍵技術[J].科技信息(學術研究),2008(28).
[3]郭衛華,趙京峰,馬麗.縣級氣象業務服務系統[J].現代農業科技,2008(2).
網絡安全技術規劃范文第3篇
【關鍵詞】網絡安全技術;電子商務;問題;對策
伴隨著計算機的普及和互聯網的運用,各類商務信息利用互聯網共享、開放的功能,實現了共享和網上交易,因而產生了電子商務,商戶與客戶之間不謀面便可以開展各種商務交易和談判,并通過在線電子支付平成交易。但互聯網的共享性和開放性也給電子商務帶來了一定的不安全因素,而各種網絡漏洞帶來的不僅僅是安全隱患,更給商戶與客戶之間造成了經濟和精神上損失。
由此可見,電子商務網絡安全的技術問題不容忽視,那么如何加強技術防范呢?筆者認為,首先要清楚網絡安全的重要性,這是基礎;其次,要明確了解電子商務網絡安全的技術問題有哪些,這是根本;再次,就是要對電子商務網絡安全的對策進行研究和探索,這是關鍵。
一、網絡安全的重要性
要解決好電子商務網絡安全技術問題,首先要從思想上充分認識到網絡安全技術對于電子商務的重要性和網絡中的不安全因素對于電子商務交易雙方的危害,只有在這樣的基礎上我們才能夠對網絡安全技術進行深入的鉆研和探索。
從計算機信息安全的角度而言,網絡安全是核心。我們常說“網絡安全是核心,系統安全是目標,計算機安全是基礎”,可見,網絡安全需要一個大安全的環境來支撐和保護,是保障計算機信息安全的核心環節。具體說,網絡安全是確保網絡系統的軟件和硬件以及網絡中的有效數據不被非法用戶進行有目的或惡意性的破壞、篡改和泄露,以此來保障網絡系統能夠穩定、持續、正常地工作和運行。
從維護國家和社會穩定的角度而言,網絡的安全可以有效保障國家相關法律法規的落實。近年來,隨著網絡的迅速普及,網絡對社會發展的影響也越來越大,如電子商務、電子政務、網上銀行等各類網絡新業務的興起,使機密性質的信息傳輸渠道進行了改變,隨之而來的是計算機犯罪事件的逐年增多,利用計算機網絡發起的犯罪事件呈上升態勢,對國家和社會的穩定造成了一定的影響。所以,網絡安全技術措施的研究和開發就顯得非常重要。
從網絡安全的防范角度而言,根據不同的應用環境選用合適的網絡安全技術手段是關鍵。網絡安全技術的本質是保證網絡信息的安全,但是如果不根據應用環境的變化而采用相同的安全防范策略,不結合應用環境的特性忽視安全技術的綜合應用,就會給網絡入侵提供條件,最終使網絡使用者或商務交易雙方蒙受不必要的損失。同時,網絡安全產品的自身安全防護技術是網絡安全設備安全防護的關鍵,一個自身不安全的設備不僅不能保護被保護的網絡,而且一旦被入侵,反而會變為入侵者進一步入侵的平臺。可見,網絡安全技術的應用和選擇也是非常重要的。
二、電子商務網絡安全的技術問題
電子商務網絡安全可以從計算機網絡安全和商務交易安全兩個部分進行分析。這可以為研究制定電子商務網絡安全的技術對策提供幫助和依據。
(一)計算機網絡安全的技術問題
計算機網絡安全的技術問題從宏觀上看,主要體現在四個方面,而且都是非常重要的技術節點。首先應該提到的是,因軟件自及或操作過程等原因可能導致網絡不安全現象的發生。計算機操作系統在默認安裝狀態下,都存在網絡漏洞,這給網絡安全帶來了“天生”的隱患,需要我們在進行電子商務交易之前安裝相關安全軟件進行完善或通過安裝系統補丁等技術措施加以完善,才能達到預期的安全程度;其次,非法用戶通過技術手段使合法用戶不能正常進行網絡交易、網絡服務以及無法訪問網站,也就是拒絕服務攻擊,也是網站的安全隱患之一;同時,有些用戶因為缺少相關的技術知識,由于使用安全軟件不當,不能夠起到保護網絡安全運行的目的,由此產生了不安全隱患;還有就是由少管理而產生的不安全因素,缺少嚴格的網絡安全管理制度。加強網絡安全制度建設的根本,就是使網絡安全管理工作有效、有序、規范的開展,就是要從思想上引起網絡管理人員的重視,保障網絡的安全和技術措施的落實。
(二)電子商務網絡交易的安全技術問題
電子商務網絡交易的安全技術問題,最主要危害就是電子交易信息被竊取。其主要原因是未采用有效的安全措施,如:加密、安裝驗證軟件等。未采用網絡安全措施的網絡交易,其交易相關信息和數據在網絡上是以明文的方式進行傳輸,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息,再對數據進行分析,可以尋求到交易信息的相關規律及形式,從而獲取交易信息的詳細內容,致使信息泄密,對電子商務網絡交易造成隱患;其次是對交易信息進行篡改。當入侵者掌握了交易信息的相關規律及形式后,通過技術手段和方法,將交易信息在傳輸過程中進行修改,再發向傳送目的地,這種方法在路由器或網關上都可能出現;再次就是偽裝合法用戶進行商務交易。由于入侵者掌握了數據的格式,并可以篡改信息,攻擊者可以冒充合法用戶發送虛假的信息,而交易雙方通常很難分辨和發現。
三、電子商務網絡安全對策
在了解了網絡安全的重要性和電子商絡網絡安全的技術問題后,關鍵就是研究制定對策,主要應該包含計算機網絡安全措施和商務交易安全措施兩大部分。
(一)計算機網絡的安全措施
筆者認為,計算機網絡安全措施應該包括保護網絡安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等項目。
其中,保護網絡安全,就是要做到全面分析、研究、規劃好安全策略,加強制度建設、使用有效的防火墻技術、加強對硬件設備的物理保護、檢驗系統的漏洞、建立可靠的識別和鑒別機制;保護應用安全,就是要利用電子商務支付平臺的軟件系統建立安全防護措施,但應獨立于網絡的任何其他安全防護措施;保護系統安全,是指從整體電子商務系統或電子商務支付系統的角度進行安全防護,應與系統的硬件、操作系統等軟件相關聯。
(二)電子商務交易安全措施
各種電子商務交易安全服務都是通過網絡安全技術來實現的,可以采用加密技術、認證技術和電子商務安全協議等加強電子商務交易的安全性。
其中,采用加密技術,就是交易雙方可根據需要在信息交換的階段使用密鑰去加密和解密數據,建議最好使用非對稱加密技術,交易雙方一個使用公鑰和另一個由用戶自己秘密保存的私鑰;采用認證技術,可以防止交易信息被篡改,以證明交易雙方身份和信息的準備性,如:數字簽名、數字證書等;除上述提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議,可以采用電子商務的安全協議加強電子商務的網絡安全。目前,比較成熟的協議有SET、SSL等,都是加強電子商務網絡安全的有效措施。
綜上所述,電子商務網絡安全的技術,需要我們做到與時俱進,要隨著技術的進步,不斷研究和探索新的技術防范措施,以保證電子商務的網絡安全。
參考文獻
[1]《網絡安全攻防實戰》電子工業出版社
網絡安全技術規劃范文第4篇
關鍵詞網絡安全計算機網絡防火墻
1網絡安全及其現狀
1.1網絡安全的概念
國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
1.2網絡安全的現狀
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨勢公司稱,像Sobig、Slammer等網絡病毒和蠕蟲造成的網絡大塞車,去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網絡危險造成的損失則很難量化,網絡安全問題帶來的損失由此可見一斑。
2網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火墻及入侵檢測是網絡安全的重要防線。
2.1認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下:
2.1.1身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2報文認證
主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3訪問授權
主要是確認用戶對某資源的訪問權限。
2.1.4數字簽名
數字簽名是一種使用加密認證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數。數字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現。
2.2數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密。
2.2.1私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件件中實現。
2.2.2公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3防火墻技術
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網絡連接能力。此外,現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。
防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內外提供一致的安全策略;而且防火墻只實現了粗粒度的訪問控制,也不能與企業內部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(路由器、過濾器、服務器、網關、保壘主機)組成的防火墻,管理上難免有所疏忽。
2.4入侵檢測系統
入侵檢測技術是網絡安全研究的一個熱點,是一種積極主動的安全防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網絡系統受到危害之前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展:分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。
入侵檢測系統(InstusionDetectionSystem,簡稱IDS)是進行入侵檢測的軟件與硬件的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據;網絡遭受威脅程度的評估和入侵事件的恢復等功能。.5虛擬專用網(VPN)技術
VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網絡上建立專用網絡,使數據通過安全的“加密管道”在公共網絡中傳播。用以在公共通信網絡上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全:隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密匙管理技術(KeyManagement)和使用者與設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的安全服務,這些安全服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和服務器發起的。
2.6其他網絡安全技術
(1)智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有并由該用戶賦與它一個口令或密碼字,該密碼字與內部網絡服務器上注冊的密碼一致。智能卡技術一般與身份驗證聯合使用。
(2)安全脆弱性掃描技術,它為能針對網絡分析系統當前的設置和防御手段,指出系統存在或潛在的安全漏洞,以改進系統對網絡入侵的防御能力的一種安全技術。
(3)網絡數據存儲、備份及容災規劃,它是當系統或設備不幸遇到災難后就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種安全技術方案。
其他網絡安全技術還有我們較熟悉的各種網絡防殺病毒技術等等。
3網絡安全問題的由來
網絡設計之初僅考慮到信息交流的便利和開放,而對于保障信息安全方面的規劃則非常有限,這樣,伴隨計算機與通信技術的迅猛發展,網絡攻擊與防御技術循環遞升,原來網絡固有優越性的開放性和互聯性變成信息的安全患之便利橋梁。網絡安全已變成越來越棘手的問題,只要是接入到因特網中的主機都有可能被攻擊或入侵了,而遭受安全問題的困擾。
目前所運用的TCP/IP協議在設計時,對安全問題的忽視造成網絡自身的一些特點,而所有的應用安全協議都架設在TCP/IP之上,TCP/IP協議本身的安全問題,極大地影響了上層應用的安全。網絡的普及和應用還是近10年的事,而操作系統的產生和應用要遠早于此,故而操作系統、軟件系統的不完善性也造成安全漏洞;在安全體系結構的設計和實現方面,即使再完美的體系結構,也可能一個小小的編程缺陷,帶來巨大的安全隱患;而且,安全體系中的各種構件間缺乏緊密的通信和合作,容易導致整個系統被各個擊破。
4網絡安全問題對策的思考
網絡安全建設是一個系統工程、是一個社會工程,網絡安全問題的對策可從下面4個方面著手。
網絡安全的保障從技術角度看。首先,要樹立正確的思想準備。網絡安全的特性決定了這是一個不斷變化、快速更新的領域,況且我國在信息安全領域技術方面和國外發達國家還有較大的差距,這都意味著技術上的“持久戰”,也意味著人們對于網絡安全領域的投資是長期的行為。其次,建立高素質的人才隊伍。目前在我國,網絡信息安全存在的突出問題是人才稀缺、人才流失,尤其是拔尖人才,同時網絡安全人才培養方面的投入還有較大缺欠。最后,在具體完成網絡安全保障的需求時,要根據實際情況,結合各種要求(如性價比等),需要多種技術的合理綜合運用。
網絡安全的保障從管理角度看。考察一個內部網是否安全,不僅要看其技術手段,而更重要的是看對該網絡所采取的綜合措施,不光看重物理的防范因素,更要看重人員的素質等“軟”因素,這主要是重在管理,“安全源于管理,向管理要安全”。再好的技術、設備,而沒有高質量的管理,也只是一堆廢鐵。
網絡安全的保障從組織體系角度看。要盡快建立完善的網絡安全組織體系,明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系,和認證認可各級結構,保證信息安全技術、信息安全工程、信息安全產品,信息安全管理工作的組織體系。
最后,在盡快加強網絡立法和執法力度的同時,不斷提高全民的文明道德水準,倡導健康的“網絡道德”,增強每個網絡用戶的安全意識,只有這樣才能從根本上解決網絡安全問題。
參考文獻
1張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003
2高永強,郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003
網絡安全技術規劃范文第5篇
一 緒論 安全管理的發展趨勢和現狀
1、 網絡安全現狀
計算機網絡的廣泛應用是當今信息社會的一場革命。電子商務和電子政務等網絡應用的發展和普及不僅給我們的生活帶來了很大的便利,而且正在創造著巨大的財富,以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次不斷深入,應用領域更是從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。
與此同時,計算機網絡也正面臨著日益劇增的安全威脅。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長,網頁被修改、非法進入主機、發送假冒電子郵件、進入銀行系統盜取和轉移資金、竊取信息等網絡攻擊事件此起彼伏。計算機病毒、特洛伊木馬、拒絕服務攻擊、電子商務入侵和盜竊等,都造成了各種危害,包括機密數據被篡改和竊取、網站頁面被修改或丑化、網絡癱瘓等。網絡與信息安全問題日益突出,已經成為影響國家安全、社會穩定和人民生活的大事,發展與現有網絡技術相對應的網絡安全技術,保障網絡安全、有序和有效的運行,是保證互聯網高效、有序應用的關鍵之一。
2、 現有網絡安全技術
計算機網絡是基于網絡可識別的網絡協議基礎之上的各種網絡應用的完整組合,協議本身和應用都有可能存在問題,網絡安全問題包括網絡所使用的協議的設計問題,也包括協議和應用的軟件實現問題,當然還包括了人為的因素以及系統管理失誤等網絡安全問題,下表示意說明了這些方面的網絡安全問題。
問題類型 問題點 問題描述
協議設計 安全問題被忽視 制定協議之時,通常首先強調功能性,而安全性問題則是到最后一刻、甚或不列入考慮范圍。
其它基礎協議問題 架構在其他不穏固基礎協議之上的協議,即使本身再完善也會有很多問題。
流程問題 設計協議時,對各種可能出現的流程問題考慮不夠周全,導致發生狀況時,系統處理方式不當。
設計錯誤 協議設計錯誤,導致系統服務容易失效或招受攻擊。
軟件設計 設計錯誤 協議規劃正確,但協議設計時發生錯誤,或設計人員對協議的認知錯誤,導致各種安全漏洞。
程序錯誤 程序撰寫習慣不良導致很多安全漏洞,包含常見的未檢查資料長度內容、輸入資料容錯能力不足、未檢測可能發生的錯誤、應用環境的假設錯誤、引用不當模塊、未檢測資源不足等。
人員操作 操作失誤 操作規范嚴格且完善,但是操作人員未受過良好訓練、或未按手冊操作,導致各種安全漏洞和安全隱患。
系統維護 默認值不安全 軟件或操作系統的預設設置不科學,導致缺省設置下系統處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。
未修補系統 軟件和操作系統的各種補丁程序沒有及時修復。
內部安全問題 對由信任系統和網絡發起的各種攻擊防范不夠。信任領域存在的不安全系統,成為不信任領域內系統攻擊信任領域的各種跳板。
針對上表所示的各種網絡安全問題,全世界的網絡安全廠商都試圖發展了各種安全技術來防范這些問題,這些技術包括訪問控制技術、識別和鑒別技術、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全和抗抵賴協議等,相繼陸續推出了包括防火墻、入侵檢測(IDS)、防病毒軟件、CA系統、加密算法等在內的各類網絡安全軟件,這些技術和安全系統(軟件)對網絡系統提供了一定的安全防范,一定程度上解決了網絡安全問題某一方面的問題。
3、 現有網絡安全技術的缺陷
現有的各種網絡安全技術都是針對網絡安全問題的某一個或幾個方面來設計的,它只能相應地在一定程度上解決這一個或幾個方面的網絡安全問題,無法防范和解決其他的問題,更不可能提供對整個網絡的系統、有效的保護。如身份認證和訪問控制技術只能解決確認網絡用戶身份的問題,但卻無法防止確認的用戶之間傳遞的信息是否安全的問題,而計算機病毒防范技術只能防范計算機病毒對網絡和系統的危害,但卻無法識別和確認網絡上用戶的身份等等。
現有的各種網絡安全技術中,防火墻技術可以在一定程度上解決一些網絡安全問題。防火墻產品主要包括包過濾防火墻,狀態檢測包過濾防火墻和應用層防火墻,但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時,防火墻還存在著一些弱點:一、不能防御來自內部的攻擊:來自內部的攻擊者是從網絡內部發起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內部網與因特網上的主機,監控內部網和因特網之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防御繞過防火墻的攻擊行為:從根本上講,防火墻是一種被動的防御手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由于某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;三、不能防御完全新的威脅:防火墻只能防御已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火墻不能防御數據驅動的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協議內容的,而非數據細節。這樣一來,基于數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中并發動攻擊。
入侵檢測技術也存在著局限性。其最大的局限性就是漏報和誤報嚴重,它不能稱之為一個可以信賴的安全工具,而只是一個參考工具。
在沒有更為有效的安全防范產品之前,更多的用戶都選擇并依賴于防火墻這樣的產品來保障自己的網絡安全,然而相對應的是,新的OS漏洞和網絡層攻擊層出不窮,攻破防火墻、攻擊計算機網絡的事件也越來越多,因此,開發一個更為完善的網絡安全防范系統來有效保護網絡系統,已經成為各網絡安全廠商和用戶的共同需求和目標。
4發展趨勢:
中國的網絡安全技術在近幾年得到快速的發展,這一方面得益于從中央到地方政府的廣泛重視,另一方面因為網絡安全問題日益突出,網絡安全企業不斷跟進最新安全技術,不斷推出滿足用戶需求、具有時代特色的安全產品,進一步促進了網絡安全技術的發展。
從技術層面來看,目前網絡安全產品在發展過程中面臨的主要問題是:以往人們主要關心系統與網絡基礎層面的防護問題,而現在人們更加關注應用層面的安全防護問題,安全防護已經從底層或簡單數據層面上升到了應用層面,這種應用防護問題已經深入到業務行為的相關性和信息內容的語義范疇,越來越多的安全技術已經與應用相結合。
4.1、現階段網絡安全技術的局限性
談及網絡安全技術,就必須提到網絡安全技術的三大主流—防火墻技術、入侵檢測技術以及防病毒技術。
任何一個用戶,在剛剛開始面對安全問題的時候,考慮的往往就是這“老三樣”。可以說,這三種網絡安全技術為整個網絡安全建設起到了功不可沒的作用,但是傳統的安全“老三樣”或者說是以其為主的安全產品正面臨著許多新的問題。
轉貼于
首先,從用戶角度來看,雖然系統中安裝了防火墻,但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務的侵擾。
其次,未經大規模部署的入侵檢測單個產品在提前預警方面存在著先天的不足,且在精確定位和全局管理方面還有很大的空間。
再次,雖然很多用戶在單機、終端上都安裝了防病毒產品,但是內網的安全并不僅僅是防病毒的問題,還包括安全策略的執行、外來非法侵入、補丁管理以及合規管理等方面。
所以說,雖然“老三樣”已經立下了赫赫戰功,且仍然發揮著重要作用,但是用戶已漸漸感覺到其不足之處。其次,從網絡安全的整體技術框架來看,網絡安全技術同樣面臨著很大的問題,“老三樣”基本上還是針對數據、單個系統、軟硬件以及程序本身安全的保障。應用層面的安全,需要將側重點集中在信息語義范疇的“內容”和網絡虛擬世界的“行為”上。
4.2、技術發展趨勢分析
.
防火墻技術發展趨勢
在混合攻擊肆虐的時代,單一功能的防火墻遠不能滿足業務的需要,而具備多種安全功能,基于應用協議層防御、低誤報率檢測、高可靠高性能平臺和統一組件化管理的技術,優勢將得到越來越多的體現,UTM(UnifiedThreatManagement,統一威脅管理)技術應運而生。
從概念的定義上看,UTM既提出了具體產品的形態,又涵蓋了更加深遠的邏輯范疇。從定義的前半部分來看,很多廠商提出的多功能安全網關、綜合安全網關、一體化安全設備都符合UTM的概念;而從后半部分來看,UTM的概念還體現了經過多年發展之后,信息安全行業對安全管理的深刻理解以及對安全產品可用性、聯動能力的深入研究。
UTM的功能見圖1.由于UTM設備是串聯接入的安全設備,因此UTM設備本身必須具備良好的性能和高可靠性,同時,UTM在統一的產品管理平臺下,集防火墻、VPN、網關防病毒、IPS、拒絕服務攻擊等眾多產品功能于一體,實現了多種防御功能,因此,向UTM方向演進將是防火墻的發展趨勢。UTM設備應具備以下特點。
(1)網絡安全協議層防御。防火墻作為簡單的第二到第四層的防護,主要針對像IP、端口等靜態的信息進行防護和控制,但是真正的安全不能只停留在底層,我們需要構建一個更高、更強、更可靠的墻,除了傳統的訪問控制之外,還需要對垃圾郵件、拒絕服務、黑客攻擊等外部威脅起到綜合檢測和治理的作用,實現七層協議的保護,而不僅限于第二到第四層。
(2)通過分類檢測技術降低誤報率。串聯接入的網關設備一旦誤報過高,將會對用戶帶來災難性的后果。IPS理念在20世紀90年代就已經被提出,但是目前全世界對IPS的部署非常有限,影響其部署的一個重要問題就是誤報率。分類檢測技術可以大幅度降低誤報率,針對不同的攻擊,采取不同的檢測技術,比如防拒絕服務攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規短信攻擊等,從而顯著降低誤報率。
(3)有高可靠性、高性能的硬件平臺支撐。
(4)一體化的統一管理。由于UTM設備集多種功能于一身,因此,它必須具有能夠統一控制和管理的平臺,使用戶能夠有效地管理。這樣,設備平臺可以實現標準化并具有可擴展性,用戶可在統一的平臺上進行組件管理,同時,一體化管理也能消除信息產品之間由于無法溝通而帶來的信息孤島,從而在應對各種各樣攻擊威脅的時候,能夠更好地保障用戶的網絡安全。
二 網絡安全面臨的主要問題
1. 網絡建設單位、管理人員和技術人員缺乏安全防范意識,從而就不可能采取主動的安全 措施加以防范,完全處于被動挨打的位置。
2. 組織和部門的有關人員對網絡的安全現狀不明確,不知道或不清楚網絡存在的安全隱 患,從而失去了防御攻擊的先機。
3. 組織和部門的計算機網絡安全防范沒有形成完整的、組織化的體系結構,其缺陷給攻擊 者以可乘之機。
4. 組織和部門的計算機網絡沒有建立完善的管理體系,從而導致安全體系和安全控制措施 不能充分有效地發揮效能。業務活動中存在安全疏漏,造成不必要的信息泄露,給攻擊者以收集敏感信息的機會。
5. 網絡安全管理人員和技術有員缺乏必要的專業安全知識,不能安全地配置和管理網絡, 不能及時發現已經存在的和隨時可能出現的安全問題,對突發的安全事件不能作出積極、有序和有效的反應。
三 網絡安全的解決辦法
實現網絡安全的過程是復雜的。這個復雜的過程需要嚴格有效的管理才能保證整個過程的有效性,才能保證安全控制措施有效地發揮其效能,從而確保實現預期的安全目標。因此,建立組織的安全管理體系是網絡安全的核心。我們要從系統工程的角度構建網絡的安全體系結構,把組織和部門的所有安全措施和過程通過管理的手段融合為一個有機的整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
1. 安全需求分析 "知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合于自己的安全體系結構,從而有效地保證網絡系統的安全。
2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網絡安全策略。
4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由于網絡安全是一個動態的過程,組織和部門的計算機網絡的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。
5. 外部支持 計算機網絡安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網絡安全體系更加完善,并可以得到更新的安全資訊,為計算機網絡安全提供安全預警。
6. 計算機網絡安全管理 安全管理是計算機網絡安全的重要環節,也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網絡有序地進行,是獲取安全的重要條件。
