導(dǎo)語：如何才能寫好一篇安全網(wǎng)絡(luò)論文，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

辦公網(wǎng)絡(luò)面臨的內(nèi)部安全威脅

正如我們所知道的那樣，70％的安全威脅來自網(wǎng)絡(luò)內(nèi)部，其形式主要表現(xiàn)在以下幾個方面。

內(nèi)部辦公人員安全意識淡漠

內(nèi)部辦公人員每天都專注于本身的工作，認為網(wǎng)絡(luò)安全與己無關(guān)，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡(luò)的軟硬件配置、拓撲結(jié)構(gòu)告之外部無關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

辦公室別有用心的內(nèi)部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡(luò)安全產(chǎn)品主要針對外部入侵進行防范，但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁，下載軟件或玩網(wǎng)絡(luò)游戲，但受到網(wǎng)絡(luò)安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網(wǎng)，造成黑客可以通過這些撥號上網(wǎng)的計算機來攻入內(nèi)部網(wǎng)絡(luò)。而有些辦公人員稍具網(wǎng)絡(luò)知識，又對充當(dāng)網(wǎng)絡(luò)黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡(luò)內(nèi)運行，不知不覺中開啟了后門或進行了網(wǎng)絡(luò)破壞還渾然不覺。更為嚴重的是一些人員已經(jīng)在準(zhǔn)備跳槽或被施利收買，辦公內(nèi)部機密信息被其私自拷貝、復(fù)制后流失到外部。此外，還有那些被批評、解職、停職的內(nèi)部人員，由于對內(nèi)部辦公網(wǎng)絡(luò)比較熟悉，會借著各種機會（如找以前同事）進行報復(fù)，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至?xí)c外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡(luò)，使得系統(tǒng)無法正常工作，嚴重時造成系統(tǒng)癱瘓。

單位領(lǐng)導(dǎo)對辦公網(wǎng)絡(luò)安全沒有足夠重視

有些單位對辦公網(wǎng)絡(luò)存在著只用不管的現(xiàn)象，有的領(lǐng)導(dǎo)只關(guān)心網(wǎng)絡(luò)有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網(wǎng)絡(luò)基本情況，包括網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)出口等概不知情。對內(nèi)部辦公人員，公司平時很少進行安全技術(shù)培訓(xùn)和安全意識教育，沒有建立相應(yīng)的辦公網(wǎng)絡(luò)安全崗位和安全管理制度，對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領(lǐng)導(dǎo)普遍認為只要安裝了防火墻、IDS、IPS，設(shè)置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新，對網(wǎng)絡(luò)資源沒有進行細粒度安全級別的劃分，使內(nèi)部不同密級的網(wǎng)絡(luò)資源處于同樣的安全級別，一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網(wǎng)絡(luò)安全專業(yè)人才

由于計算機網(wǎng)絡(luò)安全在國內(nèi)起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網(wǎng)絡(luò)安全防護只能由一些網(wǎng)絡(luò)公司代為進行，但這些網(wǎng)絡(luò)安全公司必定不能接觸許多高級機密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試，單位則無法掌握自身辦公信息網(wǎng)絡(luò)的安全強度和達到的安全等級。同時，網(wǎng)絡(luò)系統(tǒng)的漏洞掃描，操作系統(tǒng)的補丁安裝和網(wǎng)絡(luò)設(shè)備的軟、硬件升級，對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計和分析等經(jīng)常性的安全維護和管理也難以得到及時的實行。

網(wǎng)絡(luò)隔離技術(shù)（GAP）初探

GAP技術(shù)

GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡(luò)在不連通的情況下進行網(wǎng)絡(luò)之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之，就是在不連通的網(wǎng)絡(luò)之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡(luò)間運行交互式協(xié)議。GAP一般包括三個部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡(luò)接口及相應(yīng)的IP地址，分別對應(yīng)連接內(nèi)網(wǎng)（網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

GAP可以切斷網(wǎng)絡(luò)之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進行安全審查，包括網(wǎng)絡(luò)協(xié)議檢查和內(nèi)容確認等，在同一時間只和一邊的網(wǎng)絡(luò)連接，與之進行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過程

內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)服務(wù)請求，將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負責(zé)向外網(wǎng)服務(wù)器發(fā)出連接請求并取得網(wǎng)絡(luò)數(shù)據(jù)，然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

GAP設(shè)備具有安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應(yīng)用層的數(shù)據(jù)交換按安全策略進行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡(luò)隔離技術(shù)（GAP）進行內(nèi)部防護

我們知道，單臺的計算機出現(xiàn)感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且?guī)淼膿p失較小。但是，在辦公信息化的條件下，如果這種錯誤在網(wǎng)絡(luò)所允許的范圍內(nèi)無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內(nèi)部網(wǎng)絡(luò)的安全防范不是確保每一臺網(wǎng)絡(luò)內(nèi)的計算機不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區(qū)域。目前，對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題，而GAP系統(tǒng)的一個典型的應(yīng)用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統(tǒng)來實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術(shù)

“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級）網(wǎng)段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡(luò)間的相互訪問。這樣，即使某個低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會受到影響。

利用網(wǎng)絡(luò)隔離技術(shù)（GAP）實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

首先，必須根據(jù)辦公內(nèi)網(wǎng)的實際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應(yīng)的信任度越高，安全級別較低則相應(yīng)的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)AP設(shè)備進行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設(shè)置GAP設(shè)備的連接方向。GAP設(shè)備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域，GAP設(shè)備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域（假設(shè)為A區(qū)域）用戶的網(wǎng)絡(luò)服務(wù)請求，外網(wǎng)處理單元負責(zé)從低安全級別區(qū)域（設(shè)為B區(qū)域）取得網(wǎng)絡(luò)數(shù)據(jù)，專用隔離硬件則將B區(qū)域的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡(luò)數(shù)據(jù)返回給發(fā)出網(wǎng)絡(luò)服務(wù)請求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務(wù)器、郵件服務(wù)器、進行郵件及網(wǎng)頁瀏覽等。同時，A區(qū)域內(nèi)管理員可以進行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

這樣，較易出現(xiàn)安全問題的低安全區(qū)（包括人員和設(shè)備）就不會對高安全區(qū)造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

由于GAP實現(xiàn)內(nèi)網(wǎng)的信任度劃分和安全區(qū)域設(shè)定，使辦公內(nèi)網(wǎng)的安全性極大提高，辦公內(nèi)網(wǎng)易出現(xiàn)的安全問題得到有效控制。

篇2

[論文摘要]隨著計算機技術(shù)的發(fā)展，在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問題由來以及幾種主要網(wǎng)絡(luò)安全技術(shù)。

隨著計算機網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。而網(wǎng)絡(luò)安全問題顯得越來越重要了。國際標(biāo)準(zhǔn)化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。

一、網(wǎng)絡(luò)的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點：

（一）每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如，NT在進行合理的設(shè)置后可以達到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。

（三）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網(wǎng)絡(luò)安全的主要技術(shù)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。

（二）數(shù)據(jù)加密

加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現(xiàn)。

2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。

（三）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓簦渲凶盍餍械募夹g(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務(wù)器技術(shù)，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

（五）虛擬專用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設(shè)備身份認證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。

（六）其他網(wǎng)絡(luò)安全技術(shù)

1．智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。

2．安全脆弱性掃描技術(shù)，它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

3．網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

5．Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。

篇3

1.1可用性

網(wǎng)絡(luò)系統(tǒng)的可用性是指計算機網(wǎng)絡(luò)系統(tǒng)要隨時隨地能夠為用戶服務(wù)，要保障合法用戶能夠訪問到想要瀏覽的網(wǎng)絡(luò)信息，不會出現(xiàn)拒絕合法用戶的服務(wù)要求和非合法用戶濫用的現(xiàn)象。計算機網(wǎng)絡(luò)系統(tǒng)最重要的功能就是為合法用戶提供多方面的、隨時隨地的網(wǎng)絡(luò)服務(wù)。

1.2完整性

網(wǎng)絡(luò)系統(tǒng)的完整性是指網(wǎng)絡(luò)信息在傳輸過程中不能因為任何原因，發(fā)生網(wǎng)絡(luò)信摻入、重放、偽造、修改、刪除等破壞現(xiàn)象[1]，影響網(wǎng)絡(luò)信息的完整性。通過信息攻擊、網(wǎng)絡(luò)病毒、人為攻擊、誤碼、設(shè)備故障等原因都會造成網(wǎng)絡(luò)信息完整性的破壞。

1.3保密性

網(wǎng)絡(luò)系統(tǒng)的保密性是指網(wǎng)絡(luò)系統(tǒng)要保證用戶信息不能發(fā)生泄露，主要體現(xiàn)在網(wǎng)絡(luò)系統(tǒng)的可用性和可靠性，是網(wǎng)絡(luò)系統(tǒng)安全的重要指標(biāo)。保密性不同于完整性，完整性強調(diào)的是網(wǎng)絡(luò)信息不能被破壞，保密性是指防止網(wǎng)絡(luò)信息的發(fā)生泄露[2]。

1.4真實性

網(wǎng)絡(luò)系統(tǒng)的真實性是指網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)系統(tǒng)操作的不可抵賴性，任何用戶都不能抵賴或者否定曾經(jīng)對網(wǎng)絡(luò)系統(tǒng)的承諾和操作。

1.5可靠性

網(wǎng)絡(luò)系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運行，網(wǎng)絡(luò)系統(tǒng)要在一定的時間和條件下穩(wěn)定的完成網(wǎng)絡(luò)用戶指定的任務(wù)和功能，網(wǎng)絡(luò)系統(tǒng)的可靠性是網(wǎng)絡(luò)安全最基本的要求。

1.6可控性

網(wǎng)絡(luò)系統(tǒng)的可控性是指網(wǎng)絡(luò)系統(tǒng)可以控制和調(diào)整網(wǎng)絡(luò)信息傳播方式和傳播內(nèi)容的能力，為了保障國家和廣大人民的利益，為正常的社會管理秩序，網(wǎng)絡(luò)系統(tǒng)管理者有必要對網(wǎng)絡(luò)信息進行適當(dāng)?shù)谋O(jiān)督和控制，避免外地侵犯和社會犯罪，維護網(wǎng)絡(luò)安全。

2網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用

2.1防火墻

防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權(quán)限的軟件和硬件的組合設(shè)備[3]，防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中，能夠有效地阻斷來自外界的病毒和非法訪問，能夠有效地提高校園網(wǎng)的網(wǎng)絡(luò)安全。防火墻可以有效攔截來自外界的不安全的訪問服務(wù)，同時還可以對防火墻進行設(shè)置，屏蔽有危害、不健康的網(wǎng)絡(luò)網(wǎng)站，降低校園網(wǎng)的安全危害。另外防火墻還可以有效地監(jiān)控用戶對校園網(wǎng)的訪問，記錄用戶的訪問記錄，保存到網(wǎng)絡(luò)數(shù)據(jù)庫中，可以快速統(tǒng)計校園網(wǎng)的使用情況，在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題，防火墻可以及時發(fā)出報警信號，提醒用戶的這個非法操作，防止校園網(wǎng)內(nèi)部信息的泄露、另外，防火墻可以和NAT技術(shù)高效地結(jié)合起來，用于隱藏校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)信息，提高校園網(wǎng)的安全系數(shù)，同時防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況，提高了校園網(wǎng)的運行效率。防火墻在校園網(wǎng)中的應(yīng)用，完善了校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)隔斷，即使校園網(wǎng)發(fā)生安全問題，也可以在短時間內(nèi)控制問題擴散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用，能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害，但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題，不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。

2.2VPN技術(shù)

VPN技術(shù)在校園網(wǎng)的應(yīng)用，通過VPN設(shè)備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來，可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務(wù)器經(jīng)過設(shè)置后，只有符合相應(yīng)條件的用戶經(jīng)過連接VPN服務(wù)器才能獲得訪問特定網(wǎng)絡(luò)信息的權(quán)限，拒絕校園網(wǎng)內(nèi)用戶的危險操作。VPN技術(shù)可以實現(xiàn)用戶驗證，通過驗證校內(nèi)網(wǎng)用戶的身份，只有符合條件的授權(quán)用戶才能連接到VPN服務(wù)器，進行相關(guān)訪問。其次實現(xiàn)校園網(wǎng)數(shù)據(jù)加密，VPN技術(shù)可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進行加密，只有經(jīng)過授權(quán)的用戶才能訪問這些信息。再次實現(xiàn)校園網(wǎng)密鑰管理，通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議，提高校園網(wǎng)的可靠性。并且VPN技術(shù)在校園網(wǎng)中的應(yīng)用不需要安裝VPN的客戶端設(shè)備，降低了校園網(wǎng)安全管理的成本。通過VPN技術(shù)，校園網(wǎng)絡(luò)管理員可以對校園網(wǎng)內(nèi)用戶的操作進行實時監(jiān)控，及時發(fā)現(xiàn)校園網(wǎng)絡(luò)故障點，進行遠程維護，提高校園網(wǎng)維護管理能力。

2.3入侵檢測技術(shù)

入侵檢測技術(shù)在校園網(wǎng)中的應(yīng)用，可以檢測校園網(wǎng)絡(luò)中一些不安全的網(wǎng)絡(luò)操作行為，一旦檢測到網(wǎng)絡(luò)系統(tǒng)中的一些異?，F(xiàn)象和未授權(quán)的網(wǎng)絡(luò)操作，就會發(fā)出網(wǎng)絡(luò)報警信號。入侵檢測技術(shù)可以自動分析校園網(wǎng)絡(luò)的用戶活動，檢測出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]。入侵檢測技術(shù)還可以監(jiān)控校園網(wǎng)絡(luò)系統(tǒng)的配置情況，檢測出系統(tǒng)安全漏洞，提醒校園網(wǎng)絡(luò)管理人員及時進行維護。另外，入侵檢測技術(shù)在識別網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅方面具有重要的作用，可以及時發(fā)出報警信號，并且拒絕和處理網(wǎng)絡(luò)攻擊入侵行為，結(jié)合發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊模式，檢測校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞，提高校園網(wǎng)的數(shù)據(jù)完整性，進行系統(tǒng)評估。

2.4訪問控制技術(shù)

訪問控制技術(shù)主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作，用戶想要進入校園網(wǎng)，首先要通過訪問控制，經(jīng)過驗證識別用用戶口令、戶名、密碼等，確定該用戶是否具有訪問校園網(wǎng)的權(quán)限，當(dāng)用戶進入校園網(wǎng)后，就會賦予用戶訪問操作權(quán)限，使校園網(wǎng)絡(luò)資源不會被未授權(quán)用戶非法使用和非法訪問。

2.5網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)

校園網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)，可以防止校園網(wǎng)信息數(shù)據(jù)丟失，保護校園網(wǎng)重要信息資源。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以實現(xiàn)集中式的網(wǎng)絡(luò)信息資源管理，對整個校園網(wǎng)系統(tǒng)中的信息資源進行備份管理，可以極大地提高校園網(wǎng)管理員的工作效率，實現(xiàn)網(wǎng)絡(luò)資源的統(tǒng)一管理，利用網(wǎng)絡(luò)備份設(shè)備實時監(jiān)控校園網(wǎng)絡(luò)中的備份作業(yè)，結(jié)合校園網(wǎng)的運行情況，及時修改網(wǎng)絡(luò)備份策略[5]，提高系統(tǒng)備份效率。校園網(wǎng)管理員可以利用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)，定時對網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)進行備份，這是網(wǎng)絡(luò)管理重要環(huán)節(jié)。校園網(wǎng)的備份系統(tǒng)可以在用戶進行校園網(wǎng)訪問時，建立在線網(wǎng)絡(luò)索引，當(dāng)用戶需要恢復(fù)網(wǎng)絡(luò)信息時，通過在線網(wǎng)絡(luò)索引中的備份系統(tǒng)就可以自動恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件。網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)實現(xiàn)了校園網(wǎng)絡(luò)的歸檔管理，通過時間定期和項目管理對網(wǎng)絡(luò)信息數(shù)據(jù)進行歸檔管理，在網(wǎng)絡(luò)環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲存格式，使所有網(wǎng)絡(luò)信息數(shù)據(jù)在統(tǒng)一格式中完成長時間的保存[6]。

2.6災(zāi)難恢復(fù)技術(shù)

校園網(wǎng)中的災(zāi)難恢復(fù)主要包括兩類：個別數(shù)據(jù)文件的恢復(fù)和所有信息數(shù)據(jù)的恢復(fù)。當(dāng)校園網(wǎng)中的個別數(shù)據(jù)文件恢復(fù)可以利用網(wǎng)絡(luò)中備份系統(tǒng)完成個別受損數(shù)據(jù)文件的恢復(fù)，校園網(wǎng)絡(luò)管理員可以瀏覽目錄或者數(shù)據(jù)庫，觸動受損數(shù)據(jù)文件的恢復(fù)功能，系統(tǒng)會自動加載存儲軟件，恢復(fù)受損文件。所有信息數(shù)據(jù)的恢復(fù)主要應(yīng)用在當(dāng)發(fā)生意外災(zāi)難時導(dǎo)致整個校園網(wǎng)系統(tǒng)重組、系統(tǒng)升級、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。

3結(jié)語

篇4

關(guān)鍵詞：網(wǎng)絡(luò)安全防火墻加密技術(shù)PKI技術(shù)

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視。

計算機網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等,以下就此幾項技術(shù)分別進行分析。

一、防火墻技術(shù)

防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

二、數(shù)據(jù)加密技術(shù)

與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密。

1.對稱加密技術(shù)

對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標(biāo)準(zhǔn)DES,DES的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。

2.非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。

三、PKI技術(shù)

PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。

1.認證機構(gòu)

CA(CertificationAuthorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。

2.注冊機構(gòu)

RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

3.密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

4.證書管理與撤消系統(tǒng)

證書是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

四、結(jié)束語

網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強大的安全服務(wù)。

參考文獻:

篇5

關(guān)鍵詞網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)絡(luò)運行安全內(nèi)部網(wǎng)絡(luò)安全防火墻

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享都起到了無法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時卻忽略了網(wǎng)絡(luò)安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計算機系統(tǒng)的崩潰，給計算機教師帶來了大量的工作負擔(dān)，也嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，教師和學(xué)生都應(yīng)加強對校園網(wǎng)絡(luò)的安全重視。正如人們經(jīng)常所說的：網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。

作為一位中學(xué)電腦教師兼負著校園網(wǎng)絡(luò)的維護和管理，我們一起來探討一下校園網(wǎng)絡(luò)安全技術(shù)。

網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運行安全和內(nèi)部網(wǎng)絡(luò)安全。

一、系統(tǒng)安全

系統(tǒng)安全包括主機和服務(wù)器的運行安全，主要措施有反病毒。入侵檢測、審計分析等技術(shù)。

1、反病毒技術(shù)：計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染其它程序，并進行自我復(fù)制，特別是要網(wǎng)絡(luò)環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務(wù)器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控，效果不錯。

2、入侵檢測：入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統(tǒng)的活動；檢查系統(tǒng)的配置和操作系統(tǒng)的日志；發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。

從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，對于我們有使用的軟件和服務(wù)，應(yīng)該密切關(guān)注其程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。許多的網(wǎng)絡(luò)管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網(wǎng)中服務(wù)器，為用戶提供著各種的服務(wù)，但是服務(wù)提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因此從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本的服務(wù)。最典型的是，我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能，而沒有必要向公眾提供FTP功能，這樣，在服務(wù)器的服務(wù)配置中，我們只開放WEB服務(wù)，而將FTP服務(wù)禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權(quán)限，那么，通過運行上傳某些程序，就可能使服務(wù)器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。

3、審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。因此，除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。二、網(wǎng)絡(luò)運行安全

網(wǎng)絡(luò)運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后，能盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據(jù)備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案?！盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時重新安裝。其特點是便于保管，用以彌補了熱備份的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

三、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡(luò)安全檢測，以增強機構(gòu)內(nèi)部網(wǎng)的安全性。

1、訪問控制：在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術(shù)是目前保護內(nèi)部網(wǎng)安全的最主要的，同時也是最在效和最經(jīng)濟的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有：過濾進、出的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)等。應(yīng)該強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才能實現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段，防止一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

2、網(wǎng)絡(luò)安全檢測：保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性評估分析，用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系存在的弱點和漏洞，建議補救措施和安全策略，達到增強網(wǎng)絡(luò)安全性的目的。

以上只是對防范外部入侵，維護網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項重要措施，健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來維護。

參考文獻

1.局域網(wǎng)組建與維護DIY.人民郵電出版社,2003.05

篇6

尤其是當(dāng)以下問題發(fā)生時，使得網(wǎng)絡(luò)在遭受安全攻擊時，顯得非常脆弱：上層應(yīng)用的安全收到Internet底層TCP/IP網(wǎng)絡(luò)協(xié)議安全性的影響，如果底層TCMP網(wǎng)絡(luò)協(xié)議受到攻擊，那么上層應(yīng)用也會存在安全隱患；黑客技術(shù)和解密工具在網(wǎng)絡(luò)上無序傳播，而給一些不法分子利用這些技術(shù)來攻擊網(wǎng)絡(luò)；軟件的更新周期較長，而極有可能使得操作系統(tǒng)和應(yīng)用程序出現(xiàn)新的的攻擊漏洞；網(wǎng)絡(luò)管理中的法律法規(guī)不健全，各種條款的嚴謹性不足，而給管理工作帶來不便，對于法規(guī)的執(zhí)行力度不足，缺乏切實可行的措施。

2對企業(yè)辦公網(wǎng)絡(luò)安全造成威脅的因素

對辦公網(wǎng)絡(luò)的信息安全實施有效的保護有著非常重要的意義，但同時也存在著一定的難度。由于網(wǎng)絡(luò)技術(shù)自身存在很多不足，如系統(tǒng)安全性保障不足。沒有安全性的實踐等，而使得辦公網(wǎng)絡(luò)不堪一擊。除了自然災(zāi)害會給辦公網(wǎng)絡(luò)埋下巨大的安全隱患外，還有計算機犯罪、黑客攻擊等因素也是影響網(wǎng)絡(luò)信息安全的不穩(wěn)定因素。

2.1自然災(zāi)害造成的威脅

從本質(zhì)上來說，企業(yè)辦公網(wǎng)絡(luò)的信息系統(tǒng)就是一臺機器，根本不具備抵御自然災(zāi)害、溫度、濕度等環(huán)節(jié)因素影響的能力，再加上防護措施的欠缺，必然會加大自然災(zāi)害和環(huán)境對辦公網(wǎng)絡(luò)信息的威脅。最常見的就是斷電而造成的影響，會使得正處于運行狀態(tài)中的設(shè)備受到損害或者導(dǎo)致數(shù)據(jù)丟失等情況的發(fā)生。

2.2網(wǎng)絡(luò)軟件漏洞造成的威脅

一般來說，網(wǎng)絡(luò)軟件自身就存在著一些不可避免的漏洞，而給黑客攻擊提供了便利，黑客會利用這些軟件漏洞對網(wǎng)絡(luò)實施攻擊，在常見的案例中，網(wǎng)絡(luò)安全受到攻擊的主要原因就是由于網(wǎng)絡(luò)軟件不完善。還有一些軟件編程人員，為了自身使用方便而設(shè)置“后門”，一旦這些“后門”被不法分子找到，將會造成不可預(yù)料的后果。

2.3黑客造成的威脅

辦公網(wǎng)絡(luò)信息安全遭受黑客攻擊的案例數(shù)不勝數(shù)，這些黑客利用各種計算機工具，對自己所掌握的系統(tǒng)和網(wǎng)絡(luò)缺陷下手，從而盜取、竊聽重要信息，或者攻擊系統(tǒng)中的重要信息，甚至篡改辦公網(wǎng)絡(luò)中的部分信息，而造成辦公網(wǎng)絡(luò)癱瘓，給企業(yè)造成嚴重的損失。

2.4計算機病毒造成的威脅

計算機病毒會以極快的速度蔓延，而且波及的范圍也非常廣，一旦爆發(fā)計算機病毒將會造成不可估計的損失。計算機病毒無影無形，以依附于其他程序的形式存在，隨著程序的運行進一步侵入系統(tǒng)，并迅速擴散。一旦辦公網(wǎng)絡(luò)被病毒入侵，會降低工作效率，甚至導(dǎo)致系統(tǒng)死機，數(shù)據(jù)丟失等嚴重情況的發(fā)生。

3如何加強辦公網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全

3.1數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)指的是通過加密鑰匙和加密函數(shù)轉(zhuǎn)化，將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數(shù)，將密文還原成為明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。加密的原理就是改變數(shù)據(jù)的表現(xiàn)形式，而目的就是確保密文只能被特定的人所解讀。一個加密網(wǎng)絡(luò)，不僅可以實現(xiàn)對非授權(quán)用戶的搭線竊聽和入網(wǎng)的阻攔，而且還能有效的防止惡意軟件的入侵。一般的數(shù)據(jù)加密可以在通信的三個層次來實現(xiàn)，分別是鏈路加密、節(jié)點加密和端到端加密。

3.2建立網(wǎng)絡(luò)管理平臺

現(xiàn)階段，隨著網(wǎng)絡(luò)系統(tǒng)的不斷擴大，越來越多的技術(shù)也應(yīng)用到網(wǎng)絡(luò)安全當(dāng)中，常見的技術(shù)主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統(tǒng)都處于獨立地工作狀態(tài)，要保證網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)資源能夠被充分利用，應(yīng)當(dāng)為其提供一個經(jīng)濟安全、可靠高效、功能完善的網(wǎng)絡(luò)管理平臺來實現(xiàn)對這些網(wǎng)絡(luò)安全設(shè)備的綜合管理，使其能夠充分發(fā)揮應(yīng)有的功能。

3.3設(shè)置防火墻

篇7

1網(wǎng)絡(luò)安全風(fēng)險分析

1．1網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

電力企業(yè)網(wǎng)絡(luò)與外網(wǎng)有互連?；诰W(wǎng)絡(luò)系統(tǒng)的范圍大、函蓋面廣，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴重的安全威脅，入侵者每天都在試圖闖入網(wǎng)絡(luò)節(jié)點。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機上都有信息，假如內(nèi)部網(wǎng)絡(luò)的一臺電腦安全受損(被攻擊或者被病毒感染)，就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。

1.2操作系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)安全通常是指操作系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項進行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的服務(wù)模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險。

1．3應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。主要有文件服務(wù)器的安全風(fēng)險、數(shù)據(jù)庫服務(wù)器的安全風(fēng)險、病毒侵害的安全風(fēng)險、數(shù)據(jù)信息的安全風(fēng)險等。

1．4管理的安全分析

管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。內(nèi)部不滿的員工有的可能造成極大的安全風(fēng)險。

2網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全的防護對策

盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o措施也能有效的保護計算機網(wǎng)絡(luò)信息的安全。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。以下分別就這兩個方面進行論述。

2.1管理維護措施

1）應(yīng)建立健全計算機網(wǎng)絡(luò)安全管理制度體系，定期對管理制度進行檢查和審定，對存在不足或需要改進的管理制度及時進行修訂。2）使用人員應(yīng)該了解國家有關(guān)法規(guī)、方針、政策、標(biāo)準(zhǔn)和規(guī)范，并主動貫徹與執(zhí)行；掌握終端的基本使用常識，了解國家電網(wǎng)公司、省公司及分公司有關(guān)管理制度，并嚴格遵守。3）堅持“分區(qū)、分級、分域”的總體防護策略，執(zhí)行網(wǎng)絡(luò)安全等級保護制度。將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)、外網(wǎng)之間實施強邏輯隔離的措施。4）內(nèi)外網(wǎng)分離，外網(wǎng)由信息職能管理部門統(tǒng)一出口接入互聯(lián)網(wǎng)，其他部門和個人不得以其它方式私自接入互聯(lián)網(wǎng)，業(yè)務(wù)管理部門如有任何涉及網(wǎng)絡(luò)互聯(lián)的需求，應(yīng)向信息職能管理部門提出網(wǎng)絡(luò)互聯(lián)的書面申請，并提交相關(guān)資料，按規(guī)定流程進行審批，嚴禁擅自對外聯(lián)網(wǎng)，如果互聯(lián)網(wǎng)使用人員發(fā)生人動，原來申請的互聯(lián)網(wǎng)賬戶必須注銷。5）必須實行實名制，實行“誰使用，誰負責(zé)”，通過建立電力企業(yè)網(wǎng)絡(luò)中確定用戶的身份標(biāo)識，將網(wǎng)絡(luò)用戶與自然人建立起一一對應(yīng)的關(guān)系。6）加強網(wǎng)絡(luò)監(jiān)管人員的信息安全意識，特別是要消除那些影響計算機網(wǎng)絡(luò)通信安全的主觀因素。計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，必須進行加強。7）有關(guān)部門監(jiān)管的力度落實相關(guān)責(zé)任制，對計算機網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實行“誰主管、誰負責(zé)、預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則，逐級建立安全保護責(zé)任制，加強制度建設(shè)，逐步實現(xiàn)管理的科學(xué)化、規(guī)范化。8）辦公人員每天直接面對計算機的時間是最長的,如果辦公人員本身的計算機操作水平很高,就會有效地減少一些不必要的維護工作。因此,建議計算機管理員在每次維護的過程中,可以適當(dāng)?shù)匕压收袭a(chǎn)生的原因和維護辦法以及注意事項向辦公人員做以講解。隨著維護工作不斷地進行,時間長了,再遇到類似的故障辦公人員便可輕松獨立處理,而不只是束手無策。這樣,既能提高工作效率,又能降低故障,還能避免重復(fù)維護。

2．2技術(shù)維護措施

1）操作系統(tǒng)因為自身的復(fù)雜性和對網(wǎng)絡(luò)需求的適應(yīng)性，需要及時進行升級和更新，因此要及時升級并打上最新的系統(tǒng)補丁，嚴防網(wǎng)絡(luò)惡意工具和黑客利用漏洞進行入侵。2）按要求安裝防病毒軟件、補丁分發(fā)系統(tǒng)、移動存儲介質(zhì)管理系統(tǒng)等安全管理軟件，進行安全加固，未經(jīng)許可，不得擅自卸載。防病毒軟件系統(tǒng)的應(yīng)用基本上可以防治絕大多數(shù)計算機病毒，保障信息系統(tǒng)的安全。及時升級防病毒軟件，加強全員防病毒、木馬的意識，不打開、閱讀來歷不明的郵件；要指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并做好記錄，定期開展分析；加強防惡意代碼軟件授權(quán)使用、惡意代碼庫升級等管理。在信息系統(tǒng)的各個環(huán)節(jié)采用全面的防病毒策略，在計算機病毒預(yù)防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理，建立較完善的管理制度，有效地防止和抑制病毒的侵害。3）防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它通過單一集中的安全檢查點，強制實施相應(yīng)的安全策略進行檢查，防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間，信息的共享、整合與調(diào)用，都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制，阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。采用防火墻或入侵防護設(shè)備(IPS)對內(nèi)網(wǎng)邊界實施訪問審查和控制，對進出網(wǎng)絡(luò)信息內(nèi)容實施過濾，對應(yīng)用層常用協(xié)議命令進行控制，網(wǎng)關(guān)應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。嚴格撥號訪問控制措施。4）對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶進行身份標(biāo)識和鑒別，具有登錄失敗處理，限制非法登錄次數(shù)，設(shè)置連接超時功能；用戶訪問不得采用空賬號和空口令，口令要足夠強健，長度不得少于8位，并定期更換，計算機帳號和口令要嚴格保密，用戶短時離開要啟動帶口令的計算機屏幕保護程序或鎖定計算機，長時間不使用計算機，必須將計算機關(guān)機，以防他人非法使用。5）要執(zhí)行備份管理制度，對重要數(shù)據(jù)進行備份。加強對數(shù)據(jù)和介質(zhì)的管理，規(guī)范數(shù)據(jù)的備份、恢復(fù)以及廢棄介質(zhì)、數(shù)據(jù)的處理措施。6）對于辦公計算機而言,每天都要在辦公區(qū)高頻地收發(fā)處理文件，特別是使用U盤作為傳輸載體,傳播病毒的幾率更是居高不下，破壞力極強?？赏ㄟ^批處理程序在開機時把驅(qū)動加進去,然后關(guān)機時恢復(fù)原來設(shè)置；或通過組策略設(shè)置不自動打開U盤，然后啟用殺毒軟件掃描。

篇8

1監(jiān)聽技術(shù)的由來

網(wǎng)絡(luò)監(jiān)聽技術(shù)是負責(zé)網(wǎng)絡(luò)安全的管理員用來管理網(wǎng)絡(luò)的一種工具，它和其他安全工具一樣，主要負責(zé)管理網(wǎng)絡(luò)即時狀態(tài)、數(shù)據(jù)傳播與流動、信息異常等非正常網(wǎng)絡(luò)變化情況。局域網(wǎng)中各臺主機之間傳送信息主要通過廣播的方式，在某個網(wǎng)域范圍中，監(jiān)聽技術(shù)一方面可以幫助網(wǎng)絡(luò)安全管理人員監(jiān)測其維護范圍內(nèi)網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅲ硪环矫?，監(jiān)聽技術(shù)也可以幫助黑客以不正當(dāng)手段竊取網(wǎng)絡(luò)上的所有信息，這樣，監(jiān)聽技術(shù)還擔(dān)負著對黑客入侵活動和其他網(wǎng)絡(luò)犯罪進行偵查、取證。

2監(jiān)聽技術(shù)的原理

網(wǎng)絡(luò)協(xié)議采用的工作方式是把要發(fā)送的信息數(shù)據(jù)包發(fā)往連接在一起的所有主機，在數(shù)據(jù)包頭中指定要接收該數(shù)據(jù)包的主機的地址，按協(xié)議規(guī)定，只有數(shù)據(jù)包頭中的地址與主機地址完全對應(yīng)上后該主機才能接收數(shù)據(jù)包，但當(dāng)某臺主機工作的監(jiān)聽狀態(tài)下，就跳過檢測地址這一環(huán)節(jié)，這臺主機就可以接收所有數(shù)據(jù)包了，并全部傳遞到上一個協(xié)議層，當(dāng)數(shù)據(jù)包的信息以明文的形式傳播的時候，所有的信息都將毫不設(shè)防地展現(xiàn)在接收者面前，遺憾的是，部分局域網(wǎng)上的數(shù)據(jù)信息大多都是以明文的方式傳播的。當(dāng)某連鎖企業(yè)將數(shù)據(jù)信息發(fā)往另一臺主機的時候，如果正好有一個黑客或網(wǎng)絡(luò)不法分子承監(jiān)聽，那么就不難理解為什么會出現(xiàn)客戶食宿信息泄漏的問題了。

3監(jiān)聽的實現(xiàn)方法

實現(xiàn)網(wǎng)絡(luò)監(jiān)聽的最基本要求就是對網(wǎng)卡進行設(shè)置，使其工作在混雜模式下，普通模式下的網(wǎng)卡必須檢測數(shù)據(jù)包攜帶的地址，只有完全相同，本臺機器才能接收這個數(shù)據(jù)包，但工作在混雜模式下的網(wǎng)卡，直接跳過檢測這個環(huán)節(jié)，對所有經(jīng)過的數(shù)據(jù)包來者不拒，全部接收。所以，這要設(shè)置網(wǎng)卡的工作模式就可以實現(xiàn)網(wǎng)絡(luò)監(jiān)聽。下面介紹三種設(shè)置網(wǎng)絡(luò)工作模式的方法。(1)使用原始套接字(rowsocket)方法：首先創(chuàng)建原始套接字，然后使用setsockopt()函數(shù)進行IP頭操作選項的處理，再使用bind()函數(shù)對主機網(wǎng)卡和原始套接字進行駁接綁定，最后，為了讓原始套接字能夠最大限度地接收經(jīng)過本網(wǎng)絡(luò)卡的數(shù)據(jù)包，再使用ioctlsocket()函數(shù)處理，此時，該主機就可以進行網(wǎng)絡(luò)監(jiān)聽了。這種方法相對容易，但功能也相對較弱，只能對運行在較高層次上的數(shù)據(jù)包進行接收和處理。(2)使用NDIS庫函數(shù)，NDIS庫函數(shù)有22種近300個函數(shù)，比如MiniportWanSend，表示如果驅(qū)動程序控制著WANNIC，通過網(wǎng)絡(luò)接口卡發(fā)送一個包到網(wǎng)絡(luò)上。這種方法比較復(fù)雜，功能比較強大，但是相對來講風(fēng)險較大，一不小心，可能導(dǎo)致系統(tǒng)崩潰和網(wǎng)絡(luò)癱瘓。(3)使用中間層驅(qū)動程序，這種中間層程序可以是自行編寫的，也可以使用微軟提供的win2000DDK。(4)使用第三方捕獲組件或者庫，比如Wnpcap。

二監(jiān)聽的檢測(Monitordetection)

網(wǎng)絡(luò)監(jiān)聽是一種被動的接收，很難發(fā)現(xiàn)，就像你將聲音發(fā)出后，不能確定誰在聽，誰沒有聽，也不能確定誰聽取了什么內(nèi)容，接收信息的機器都是被動接收同，沒有信息交換，沒有修改傳輸，所以識別監(jiān)聽相對比較困難，這里討論幾種常規(guī)的檢測方法。(1)發(fā)送大量無地址或錯地址的數(shù)據(jù)包，然后比較發(fā)送前后某臺機器的運行狀況，如果該機器綜合性能明顯降低，該臺機器很可能運行機制了監(jiān)聽程序，因為監(jiān)聽程序要接收并處理數(shù)據(jù)包的海量信息，這樣會占用機器的資源，所以綜合性能就會下降。(2)用錯誤的IP地址ping，如果某臺機器對于錯誤的地址也有響應(yīng)，則可以判定這臺機器運行了監(jiān)聽程序，這是因為正常的機器不接收錯誤的物理地址，處于監(jiān)聽狀態(tài)的機器能接收。(3)使用第三方檢測工具，比如Antisniffer就是一個常用的安全監(jiān)視工具，用來監(jiān)測網(wǎng)絡(luò)內(nèi)的主機的網(wǎng)卡是否處于混雜模式，以此來判斷該機器是否在運行監(jiān)聽程序。

三監(jiān)聽的防范(Monitoringprevention)

1網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是一種比較簡單的經(jīng)濟的防范方式。它的基本原理是將一個大的物理范圍網(wǎng)絡(luò)劃分為多個邏輯范圍子網(wǎng)絡(luò)。網(wǎng)絡(luò)分段目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。一個網(wǎng)段就是一個小的局域網(wǎng)，監(jiān)聽的機器只能在在屬于自己的小網(wǎng)段內(nèi)監(jiān)聽，不會聽到別的網(wǎng)段內(nèi)的信息，減少安全隱患。這就像會議的分組討論，一個“間諜”只有在一個小組內(nèi)部監(jiān)聽，不能監(jiān)聽到別的小組，而不同小組討論的信息內(nèi)容是不一樣的，這樣減少信息被盜取的范圍和程度。

2“以交代共”

這里的“交”指的是交換式集線器，“共”指的是共享式集線器。交換式集線器也叫交換機，它通過對信息進行重新生成，并經(jīng)過內(nèi)部處理后轉(zhuǎn)發(fā)至指定端口，也就是說使用了交換機后可以直接將信息唯一性地發(fā)住目標(biāo)機器，這樣監(jiān)聽機器就不能聽到傳播的信息，從而對監(jiān)聽進行有效的防范。就像點對點的電話通訊，發(fā)送者和接收者通過單線聯(lián)系，別人聽不到自己在說什么，從而保證信息的安全。

3建立虛擬局域網(wǎng)虛

擬局域網(wǎng)(VLAN)，是指網(wǎng)絡(luò)中的站點不拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。建立了虛擬局域網(wǎng)后，各虛擬網(wǎng)之間不能直接進行通訊，而必須通過路由器轉(zhuǎn)發(fā)，為高級的安全控制提供了可能，增強了網(wǎng)絡(luò)的安全性?？梢苑乐勾蟛糠只诰W(wǎng)絡(luò)監(jiān)聽的入侵。這樣即使有某一臺機器在執(zhí)行監(jiān)聽功能，但其可能不確定在某個邏輯子網(wǎng)，從而監(jiān)聽不到特定的數(shù)據(jù)信息，并且高層次的安全控制手段再落實到位，可能不論在哪個邏輯子網(wǎng)都無法監(jiān)聽到信息。

4信息加密信息加密技術(shù)

日益成熟，人們的安全意識也日漸增加，所以信息加密在目前年看來是一種簡單可行的方法，我們只要在網(wǎng)絡(luò)上傳輸信息就一定要加密，經(jīng)過加密的數(shù)據(jù)即使被監(jiān)聽者捕獲到，但得到的信息都是亂碼，從而變成一堆無用的垃圾。如果監(jiān)聽者要對捕獲的加密信息進行解密，那又將大大加重監(jiān)聽者的成本，特別是現(xiàn)在先進的加密技術(shù)下，監(jiān)聽到的數(shù)據(jù)信息有用的可用的將越來越少。

四結(jié)論(Conclusion)

篇9

(1)LTE和WiMAX是ITU正式認可的兩個4G標(biāo)準(zhǔn)

但是這兩個標(biāo)準(zhǔn)在物理層有干擾和擾碼的漏洞．因此，在MAC層存在LTE由于DoS攻擊數(shù)據(jù)完整性被破壞、WiMAX由于DoS攻擊使密鑰管理錯誤等威脅．

(2)無線網(wǎng)絡(luò)易遭到攻擊和干擾

在使用過程中，除局域網(wǎng)外，一般都呈開放的狀態(tài)，這樣雖然能夠?qū)崿F(xiàn)用戶與用戶之間的資源共享，但也給一些不法黑客創(chuàng)造了機會，他們會利用各種病毒軟件干擾和攻擊用戶信號，侵犯網(wǎng)絡(luò)用戶的個人隱私，嚴重時還直接威脅網(wǎng)絡(luò)用戶的生命安全和財產(chǎn)安全．

(3)移動設(shè)備安全性較差．

移動終端易受到惡意軟件、廣告軟件、垃圾短信等的攻擊，攻擊者利用這些手段竊取用戶信息，如聯(lián)系人列表、IMEI和IMSI數(shù)字、API認證密鑰、銀行憑證等．

(4)各種類型通信網(wǎng)絡(luò)的接入技術(shù)不成熟．

4G通信網(wǎng)絡(luò)融合了各種無線網(wǎng)絡(luò)，但是各個通信網(wǎng)絡(luò)之間由于沒有統(tǒng)一的標(biāo)準(zhǔn)來約束接入技術(shù)，常常出現(xiàn)不兼容現(xiàn)象，沒有辦法實現(xiàn)網(wǎng)絡(luò)間無縫過渡．(5)用戶安全意識差．隨著信息網(wǎng)絡(luò)的迅速發(fā)展，我國3G、4G手機使用者也越來越多，但許多使用者缺乏基本的網(wǎng)絡(luò)安全防范意識，不注重保護自己的個人重要信息，容易受到惡意者的攻擊．

24G通信網(wǎng)絡(luò)安全應(yīng)對措施

4G通信網(wǎng)絡(luò)的安全是網(wǎng)絡(luò)得以存在發(fā)展的基礎(chǔ)．只有在保障了通信網(wǎng)絡(luò)安全性的前提下，才能真正實現(xiàn)4G網(wǎng)絡(luò)的巨大價值．

(1)完善4G通信網(wǎng)絡(luò)的安全體系

完善無線網(wǎng)絡(luò)架構(gòu)，在提高整體網(wǎng)絡(luò)安全性的同時，尤其注意提高從基站端到用戶設(shè)備通道的安全性，采用更為先進的數(shù)據(jù)加密技術(shù)、更為復(fù)雜的預(yù)編碼方案，保證傳輸?shù)臄?shù)據(jù)不會被其他人惡意獲得．

(2)消除協(xié)議體系的漏洞

消除LTE、WiMAX物理層和MAC層的漏洞，使得攻擊者無法利用這些漏洞達到惡意攻擊的目的，實現(xiàn)通信網(wǎng)絡(luò)內(nèi)部協(xié)議的安全．

(3)采用漏洞掃描系統(tǒng)

采用漏洞掃描系統(tǒng)，找出網(wǎng)絡(luò)中的安全隱患和漏洞，做出相應(yīng)的風(fēng)險評估，然后根據(jù)結(jié)果采用優(yōu)化配置、打補丁等彌補漏洞，消除隱患．同時也可以模擬攻擊場景，不斷地對現(xiàn)有的4G網(wǎng)絡(luò)進行攻擊，將發(fā)現(xiàn)的漏洞、隱患都加以記錄和修復(fù)．

(4)使用更強大的防火墻

通常通信網(wǎng)絡(luò)都會設(shè)置一個專門的防火墻來保護內(nèi)部的信息通信不會受到外部的攻擊．所謂防火墻指的是建立在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)或者任何兩個網(wǎng)絡(luò)之間的安全控制節(jié)點，用來阻止不法用戶訪問某個單位網(wǎng)絡(luò)的屏障．?dāng)?shù)據(jù)穿過防火墻的時候都要經(jīng)過測試，以決定是否允許傳入和傳出的網(wǎng)絡(luò)服務(wù)，同時訪問也將被審核和控制，這樣一來信息的安全可以得到保證，而且內(nèi)部的網(wǎng)絡(luò)也可以受到保護，免受大多數(shù)的惡意攻擊．但是，防火墻技術(shù)也有自己的不足．作為建立在兩個網(wǎng)絡(luò)之間的保護措施，防火墻只能防止外部帶來的威脅．如果是用戶本地數(shù)據(jù)包含木馬和病毒，那么防火墻就起不到防“火”的目的了．4G網(wǎng)絡(luò)中我們要使用更為強大、更加完善的防火墻以保障整個通信系統(tǒng)的安全性．

(5)使用更加完善的加密技術(shù)

通過加密技術(shù)對重要的傳輸數(shù)據(jù)進行加工處理，可以使得在無線通道傳輸?shù)臄?shù)據(jù)安全性得到很大提高．在日常工作生活中經(jīng)常有重要的文件，如銀行賬戶數(shù)據(jù)、個人隱私秘密、工作中的重要機密等信息，我們不希望他人知道，可以對這種類型的文件進行加密處理，以防止被攻擊者破解得到．4G通信網(wǎng)絡(luò)中，我們可以使用復(fù)雜的難以破解的密碼對數(shù)據(jù)進行加密，也可以使用生物識別等高端加密技術(shù)，來保證通信系統(tǒng)的安全性．

(6)采用云安全技術(shù)

最好的防守手段就是進攻．云安全技術(shù)是信息網(wǎng)絡(luò)時代保證信息安全的新技術(shù)，通過服務(wù)器對網(wǎng)絡(luò)中的大量用戶設(shè)備進行實時監(jiān)測，獲取通信網(wǎng)絡(luò)中惡意代碼和木馬程序的相關(guān)信息，通過分析和判斷后，再把相應(yīng)的代碼表和木馬程序表發(fā)送到每一個移動終端，讓這些終端對相似的信息進行查殺．云安全技術(shù)的用戶越多，每一個用戶也就越安全，一旦有新的病毒和木馬出現(xiàn)都會立刻被檢測到，并找出合理有效的解決方案．

(7)提高網(wǎng)絡(luò)安全意識

4G用戶應(yīng)加強網(wǎng)絡(luò)安全意識的培訓(xùn)，根據(jù)自己的責(zé)任和權(quán)限，選擇對應(yīng)的密碼，防止其他用戶對數(shù)據(jù)進行未經(jīng)授權(quán)的訪問或擅自使用網(wǎng)絡(luò)資源等．與此同時，也一定要注意病毒的設(shè)防，重視殺毒軟件的更新，并定期對電腦進行查殺，消除潛在的隱患．加強網(wǎng)絡(luò)安全意識，培養(yǎng)良好的職業(yè)道德和責(zé)任意識，建立完善合理的安全管理制度，不斷推進通信網(wǎng)絡(luò)的信息安全標(biāo)準(zhǔn)化進程，為4G網(wǎng)絡(luò)的安全性提供有效可靠的保障．在依靠先進的殺毒軟件的同時，我們也要建立專業(yè)的網(wǎng)絡(luò)評估和監(jiān)測團隊，監(jiān)測是否存在非法攻擊，并對這些行為進行評估，然后提出合理的改進建議，來提高整個機制的運行效率和安全性．

3結(jié)語

篇10

（IDS）入侵檢測系統(tǒng)的作用類似于現(xiàn)實生活中的監(jiān)視攝像機。它們可以不間斷地掃描網(wǎng)絡(luò)流量，查找可疑的數(shù)據(jù)分組。利用一個跟蹤特征數(shù)據(jù)庫，它們可以記錄任何不正常的情況，并采取相應(yīng)的措施：發(fā)出警報，重置攻擊者的TCP連接，或者禁止攻擊者的IP地址再次登錄網(wǎng)絡(luò)。網(wǎng)絡(luò)IDS（NIDS）檢則器通?？梢岳靡粋€不可尋址的混和接口卡監(jiān)聽某個子網(wǎng)上的所有流量，并通過另外一個更加可靠的接口發(fā)送任何警報和記錄的流量。本次設(shè)計準(zhǔn)備在互聯(lián)網(wǎng)入口和防火墻入口各部署一套入侵檢測系統(tǒng)，一方面用于防御internet黑客對于網(wǎng)絡(luò)的入侵，一方面保護核心服務(wù)器的應(yīng)用及數(shù)據(jù)安全。

2網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

雖然安全技術(shù)多年來一直在發(fā)展且安全技術(shù)的實施更是耗資數(shù)百萬美元，但病毒、蠕蟲、間諜軟件和其他形式的惡意軟件仍然是各機構(gòu)現(xiàn)在面臨的主要問題。機構(gòu)每年遭遇的大量安全事故造成系統(tǒng)中斷、收入損失、數(shù)據(jù)損壞或毀壞以及生產(chǎn)率降低等問題，給機構(gòu)帶來了巨大的經(jīng)濟影響。

3網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)

在控制室及調(diào)度室看不到現(xiàn)場的生產(chǎn)情況，對生產(chǎn)現(xiàn)場缺乏直觀了解，為了加強生產(chǎn)管理，及時發(fā)現(xiàn)各種異常情況，可以采用工業(yè)電視技術(shù)來加強生產(chǎn)和安全管理。企業(yè)信息化建設(shè)中，視頻監(jiān)控系統(tǒng)是一個重要組成部分，其經(jīng)濟效益是潛在的，通過視頻監(jiān)控系統(tǒng)的建設(shè)，對企業(yè)的生產(chǎn)和經(jīng)營存在潛在的、巨大的推動力，提高公司的管理水平。實施數(shù)字監(jiān)控系統(tǒng)是一個很有利的管理手段，通過該系統(tǒng)，公司領(lǐng)導(dǎo)及管理人員可以很方便的監(jiān)控到整個企業(yè)的運行狀況，按照保證系統(tǒng)先進、實用、安全、可靠、經(jīng)濟、易擴展、易維護和高性價比的原則，為企業(yè)有效的進行生產(chǎn)管理和決策分析提供有效的手段。網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)應(yīng)當(dāng)采用國際最先進的網(wǎng)絡(luò)視頻監(jiān)控技術(shù)作為企業(yè)尤其是生產(chǎn)型企業(yè)的首選方案，以網(wǎng)絡(luò)化、整合化、靈活化的特點搭建企業(yè)生產(chǎn)監(jiān)控平臺，同時將嵌入式網(wǎng)絡(luò)視頻技術(shù)與視頻服務(wù)器技術(shù)進行有機的結(jié)合，通過與網(wǎng)絡(luò)系統(tǒng)的結(jié)合保護用戶的投資。對于不同特點的監(jiān)控點位采用不同的監(jiān)控方案，對于位置相對分散，監(jiān)控主體比較多的點位采用數(shù)字網(wǎng)絡(luò)視頻監(jiān)控方案，提高監(jiān)控系統(tǒng)部署的靈活性和整合性，節(jié)省了大量布線工程，為企業(yè)節(jié)省了大量的資金。對于位置相對集中，圖像的清晰性要求高，監(jiān)控主體相對較少采用模擬視頻監(jiān)控系統(tǒng)，最大程度的減少視頻信號的損失，保證視頻圖像的清晰性。

4企業(yè)數(shù)據(jù)庫