導(dǎo)語:在網(wǎng)絡(luò)安全技術(shù)的撰寫旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能�。
第1篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全�;安全意識(shí)�;信息加密���;安全實(shí)施
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2015)05-0244-01
前言:隨著Internet技術(shù)的成熟,整個(gè)世界通過互聯(lián)網(wǎng)已連為一體�����。信息和網(wǎng)絡(luò)服務(wù)的高度共享�,網(wǎng)絡(luò)所代表的開放式信息系統(tǒng)成為現(xiàn)代信息社會(huì)的必然發(fā)展趨勢(shì)。但人們?cè)谙硎苄畔⒏锩鼛淼木薮笙矏傊校膊坏貌粚?duì)網(wǎng)絡(luò)信息安全性報(bào)以足夠的憂慮�����。網(wǎng)絡(luò)的開放性�、尤其是Interne網(wǎng)的國際性�����、自由性�����、無主管性�、缺少法律約束以及自身結(jié)構(gòu)上的安全缺陷�,給網(wǎng)絡(luò)帶來了巨大的安全風(fēng)險(xiǎn)�����,安全問題嚴(yán)重地制約了網(wǎng)絡(luò)的進(jìn)一步發(fā)展�。怎樣合理地解決目前計(jì)算機(jī)網(wǎng)絡(luò)中存在的安全問題,以及可能會(huì)發(fā)生的安全問題等�����,都是計(jì)算機(jī)網(wǎng)絡(luò)研究中至關(guān)重要�����,不可回避的課題。
計(jì)算機(jī)網(wǎng)絡(luò)是指將地理位置不同的具有獨(dú)立功能的多臺(tái)計(jì)算機(jī)及其外部設(shè)備�����,通過通信線路連接起來���,在網(wǎng)絡(luò)操作系統(tǒng)���,網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下�,實(shí)現(xiàn)資源共享和信息傳遞的計(jì)算機(jī)系統(tǒng)�。
一�����、構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)不安全的原因有很多�,筆者認(rèn)為主要有以下幾點(diǎn):
l�、操作系統(tǒng)本身不安全�,這是操作系統(tǒng)不安全的根本原因���。操作系統(tǒng)不安全的首要原因是操作系統(tǒng)結(jié)構(gòu)制造成的�����,操作系統(tǒng)支持程序動(dòng)態(tài)連接與數(shù)據(jù)動(dòng)態(tài)交換,這雖然是現(xiàn)代系統(tǒng)集成和系統(tǒng)擴(kuò)展的需要�,但顯然與安全是有矛盾的;操作系統(tǒng)不安全的原因還在于可以創(chuàng)建進(jìn)程�����,甚至支持在網(wǎng)絡(luò)的節(jié)點(diǎn)上進(jìn)行遠(yuǎn)程進(jìn)程的創(chuàng)建與激活�,并且被創(chuàng)建進(jìn)程還可以繼承創(chuàng)建進(jìn)程的權(quán)利���。操作系統(tǒng)通常都提供 daemon軟件�,這種軟件實(shí)際上都是一些系統(tǒng)進(jìn)程的���,但往往與其他操作系統(tǒng)核心層軟件有同等的權(quán)力���。他們總在等待一些條件的出現(xiàn)���,一旦條件出現(xiàn) ���,程序便可以運(yùn)行下去���。這些軟件通常都是“黑客”常利用的。
2�、網(wǎng)絡(luò)自身具有不安全性�����。Internet和TCP /IP協(xié)議在最初設(shè)計(jì)時(shí),主要追求網(wǎng)絡(luò)的互聯(lián)性及其所能提供的服務(wù)�����,并沒有考慮安全問題.這就造成了基于TCP /IP協(xié)議應(yīng)用程序的不安全。集中表現(xiàn)在:幾乎所有的數(shù)據(jù)在網(wǎng)絡(luò)上都是明文傳輸和用戶在網(wǎng)絡(luò)上身份僅通IP 地址表現(xiàn)�����。由于這兩個(gè)原因���,使得一些軟件產(chǎn)品的安全工作形同虛設(shè)�����。
3、各種應(yīng)用服務(wù)存在安全問題�����。Telnet、NFS�����、RPC�����、FTP等都存在安全問題�����。例如Telnet�����、FTP協(xié)議在用戶認(rèn)證時(shí)���,密碼以明文方式傳送�����。
4���、Internet上隨處可以方便地獲取系統(tǒng)入侵和破解工具�。
5���、安全制度的不健全,很少有單位制定嚴(yán)格的安全制度并能夠堅(jiān)持執(zhí)行的���。
從一般意義上講 �����,網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩大類 :一是網(wǎng)絡(luò)中信息的威脅���;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅���。主要表現(xiàn)在:
1、信息泄漏:非法竊取網(wǎng)絡(luò)傳輸數(shù)據(jù)以獲取有用的信息�����,如對(duì)通信線路中傳輸?shù)男藕筮M(jìn)行打線監(jiān)聽 。
2�����、信息篡改:截取網(wǎng)上傳輸?shù)臄?shù)據(jù)包�,并進(jìn)行修改���,添加 或破壞 �����。
3���、非授權(quán)訪問:利用網(wǎng)絡(luò)資源���,非法登人系統(tǒng) �,獲得網(wǎng)絡(luò)資源與網(wǎng)絡(luò)信息���,甚至進(jìn)行蓄意破壞�。
4���、非法信息滲透:利用 Internet的開放性特點(diǎn)���,向企業(yè)內(nèi)部傳播不良信息激戰(zhàn)。
5�����、假冒合法用戶���,通過網(wǎng)絡(luò)對(duì)企業(yè)的正常業(yè)務(wù)進(jìn)行干擾�����,如發(fā)送虛假訂單等.
二�、網(wǎng)絡(luò)安全技術(shù)
l�����、加密技術(shù) :在計(jì)算機(jī)網(wǎng)絡(luò)中���, 常用的加密技術(shù)有節(jié)點(diǎn)加密���、鏈路加密和端到端加密3種。
1.1 節(jié)點(diǎn)加密:在信息被傳人實(shí)際通信連接點(diǎn)之前進(jìn)行�����。它在OSI 7層模型的第l層�、第2層之間進(jìn)行,是對(duì)相鄰兩節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密�,不過為了便于傳輸路由的選擇�����,它僅對(duì)報(bào)文加密�����,而不對(duì)報(bào)頭加密���。節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)�。
1.2 鏈路加密:在數(shù)據(jù)鏈路層進(jìn)行�����,是對(duì)相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密,不僅對(duì)數(shù)據(jù)加密還對(duì)報(bào)頭加密�����。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全�。在采用鏈路加密的網(wǎng)絡(luò)中,每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的�,使用不同的加密密鑰,這樣當(dāng)某條鏈路受到破壞時(shí)不會(huì)導(dǎo)致其他鏈路上傳送的信息被破譯�。
1.3 端到端加密:端到端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)���。在始發(fā)節(jié)點(diǎn)上實(shí)施加密���。在中間節(jié)點(diǎn)以密文形式傳輸���, 最后到達(dá)目的節(jié)點(diǎn)時(shí)才進(jìn)行解密���。在端到端加密的情況下�, 控制信息部分(如源節(jié)點(diǎn)地址�����、目的節(jié)點(diǎn)地址�����、路由信息等)不能被加密,否則中問節(jié)點(diǎn)就不能正確選擇路由���。
加密技術(shù)是網(wǎng)絡(luò)信息最基本、最核心的技術(shù)措施�。
2�、保證信息完整性:它包括數(shù)據(jù)單元的完整性 和數(shù)據(jù)單元序列的完整性兩種形式���。前者要求在每個(gè)數(shù)據(jù)單元增加分組校驗(yàn)或密碼校驗(yàn);后者則要求增加序列號(hào)或時(shí)間標(biāo)記。
3�����、鑒別交換技術(shù):通過在對(duì)等實(shí)體間交換認(rèn)證信息�,以便檢驗(yàn)和確認(rèn)對(duì)等實(shí)體的合法性���。鑒別交換技術(shù)有口令、密碼技術(shù)等�����。
4�����、確定技術(shù):確認(rèn)是確保信息 源點(diǎn)身份正確�,其采用的技術(shù)是數(shù)字簽名。數(shù)字簽名利用非對(duì)成加密體制:加密方使用加密密鑰簽名,收件方使用解密密鑰�����。
5�、訪問控制技術(shù):訪問控制技術(shù)是按事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法���。防止未授權(quán)訪問是信息保護(hù) 的前緣屏障和最基本的技術(shù)�����。
6�、虛擬專用網(wǎng)絡(luò)技術(shù)(VPN):VPN是在共享網(wǎng)絡(luò)上通過應(yīng)用一種被稱為“隧道”的技術(shù)實(shí)現(xiàn)的一種連接,它是分布在不 同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信�,其采用復(fù)雜的算法來加密傳輸?shù)男畔?,使得需要受保護(hù)的數(shù)據(jù)不會(huì)被竊取�����。
7、網(wǎng)絡(luò)安全檢測(cè)技術(shù):網(wǎng)絡(luò)安全檢測(cè)是采取預(yù)先主動(dòng)的方式���,對(duì)客戶端和網(wǎng)絡(luò)的各層進(jìn)行全面有效的自動(dòng)安全檢測(cè),它主要包括安全掃描技術(shù)和實(shí)時(shí)安全監(jiān)控技術(shù)���。
三�����、網(wǎng)絡(luò)安全實(shí)施的兩種技術(shù)
1、靜態(tài)安全技術(shù) :目前市場(chǎng)上很多流行的安全社設(shè)備都屬于靜態(tài)安全范疇���,如防火墻等�,它們針對(duì)的是來自系統(tǒng)外部的攻擊�,一旦外部侵入者進(jìn)入了系統(tǒng)�����,它們便不受任何阻擋�����。認(rèn)證手段也與此類似�����,一旦侵入者騙過了認(rèn)證系統(tǒng) ,那么侵入者便成為系統(tǒng)的內(nèi)部人員�。傳統(tǒng)的防火墻的缺點(diǎn)在于無法做到安全與速度同步提高���,一旦考慮到安全因素而對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行檢測(cè)和分析���,網(wǎng)絡(luò)傳輸速度勢(shì)必受到影響。靜態(tài)安全技術(shù)的缺點(diǎn)是需要人工來實(shí)施和維護(hù)�,不能主動(dòng)跟蹤入侵者�����。
2�、動(dòng)態(tài)安全技術(shù):動(dòng)態(tài)安全技術(shù)能主動(dòng)檢測(cè)網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞�����,并且通常能夠早于人工探測(cè)到危險(xiǎn)行為�����。它的主要檢測(cè)范圍包括:對(duì)網(wǎng)絡(luò)���、系統(tǒng)和應(yīng)用程序易受攻擊點(diǎn)的檢測(cè)和掃描�、對(duì)可疑行為的監(jiān)控和病毒檢測(cè)�����。這是一種集網(wǎng)絡(luò)系統(tǒng)入侵檢測(cè)���、安全掃描和動(dòng)態(tài)下響應(yīng)和審計(jì)分析于一身的網(wǎng)絡(luò)安全解決方案�。他利用綜合性審計(jì)技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞�����,保證網(wǎng)絡(luò)安全的完整性。他可以確定防火墻的防護(hù)規(guī)則是否正常發(fā)揮作用�,評(píng)估Internet、Web服務(wù)器�、防火墻、路由器的安全性:掃描�����、測(cè)試和確定網(wǎng)絡(luò)中存在的可被黑客利用的脆弱性���。動(dòng)態(tài)安全技術(shù)的最 大優(yōu)點(diǎn)在于主動(dòng)性,通過將實(shí)時(shí)的捕捉和分析系統(tǒng)與網(wǎng)絡(luò)監(jiān)控系統(tǒng)相結(jié)合���,早于黑客入侵之前發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的危險(xiǎn)���,及時(shí)采取保護(hù)和防范措施,提高網(wǎng)絡(luò)的安全性���。
參考文獻(xiàn)
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻 PKI技術(shù)
1.概述
網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障�,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)���,就其產(chǎn)品的主流趨勢(shì)而言���,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù)�����,這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢(shì)�����。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先���,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次���,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大���,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三�����,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻���,如果有條件�,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。
安裝防火墻的基本原則是:只要有惡意侵入的可能�,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻�����。
2.防火墻的選擇
選擇防火墻的標(biāo)準(zhǔn)有很多�����,但最重要的是以下幾條:
2.1.總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障�����,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本�。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例���,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元�,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元�����。當(dāng)然,對(duì)于關(guān)鍵部門來說�,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算���,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本���,關(guān)鍵部門則應(yīng)另當(dāng)別論。
2.2.防火墻本身是安全的
作為信息系統(tǒng)安全產(chǎn)品���,防火墻本身也應(yīng)該保證安全�����,不給外部侵入者以可乘之機(jī)�����。如果像馬其頓防線一樣�����,正面雖然牢不可破�����,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部�,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。
通常���,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理���,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定�����。所以對(duì)用戶來說���,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品���。其二是使用不當(dāng)�����。一般來說�����,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉�,就有可能在配置過程中遺留大量的安全漏洞。
2.3.管理與培訓(xùn)
管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面�。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí)�����,不能只簡(jiǎn)單地計(jì)算購置成本�����,還必須考慮其總擁有成本�����。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例�����。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)���。
2.4.可擴(kuò)充性
在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期���,由于內(nèi)部信息系統(tǒng)的規(guī)模較小���,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品���。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加�,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升�����,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品�����。如果早期購置的防火墻沒有可擴(kuò)充性���,或擴(kuò)充成本極高�,這便是對(duì)投資的浪費(fèi)�。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下�����,可以只選購基本系統(tǒng)���,而隨著要求的提高���,用戶仍然有進(jìn)一步增加選件的余地���。這樣不僅能夠保護(hù)用戶的投資���,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面���。
2.5.防火墻的安全性
防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵�。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無法判斷�。即使安裝好了防火墻���,如果沒有實(shí)際的外部入侵���,也無從得知產(chǎn)品性能的優(yōu)劣���。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的�,所以用戶在選擇防火墻產(chǎn)品時(shí)���,應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品�����。
3.加密技術(shù)
信息交換加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密�。
3.1.對(duì)稱加密技術(shù)
在對(duì)稱加密技術(shù)中���,對(duì)信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖�����。這種加密方法可簡(jiǎn)化加密處理過程�,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露�����,那么機(jī)密性和報(bào)文完整性就可以得以保證�����。對(duì)稱加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象�,那么他就要維護(hù)N個(gè)私有密鑰���,對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰�,交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的�。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形���,這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,從而使有效密鑰長(zhǎng)度達(dá)到112位�����。
3.2.非對(duì)稱加密/公開密鑰加密
在非對(duì)稱加密體系中�����,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰)�。這對(duì)密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開�����,而另一把作為私有密鑰(解密密鑰)加以保存�����。公開密鑰用于加密�����,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握���,公開密鑰可廣泛公布�����,但它只對(duì)應(yīng)于生成密鑰的交換方���。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信���,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域�。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上�,是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果�。最具有代表性是RSA公鑰密碼體制�����。
3.3.RSA算法
RSA算法是Rivest���、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性�����。在RSA體制中使用了這樣一個(gè)基本事實(shí):到目前為止�,無法找到一個(gè)有效的算法來分解兩大素?cái)?shù)之積�。RSA算法的描述如下:
公開密鑰:n=pq(p�、q分別為兩個(gè)互異的大素?cái)?shù),p���、q必須保密)
e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m為明文�����,c為密文�����。
解密:m=cd(mod n)
利用目前已經(jīng)掌握的知識(shí)和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力�,因此在目前和預(yù)見的將來���,它是足夠安全的�。
4.PKI技術(shù)
PKI(Publie Key Infrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施�。PKI技術(shù)是信息安全技術(shù)的核心�����,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)�。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)�、電子政務(wù)���、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要�。而PKI技術(shù)恰好是一種適合電子商務(wù)�����、電子政務(wù)�、電子事務(wù)的密碼技術(shù)�����,他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性�����、真實(shí)性���、完整性、不可否認(rèn)性和存取控制等安全問題���。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的�、靈活的和經(jīng)濟(jì)的�。它必須充分考慮互操作性和可擴(kuò)展性���。它是認(rèn)證機(jī)構(gòu)(CA)�����、注冊(cè)機(jī)構(gòu)(RA)��、策略管理��、密鑰(Key)與證書(Certificate)管理�����、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合��。
4.1.認(rèn)證機(jī)構(gòu)
CA(Certification Authorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體����,它的主要職責(zé)是頒發(fā)證書����、驗(yàn)證用戶身份的真實(shí)性����。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書�����,任何相信該CA的人�����,按照第三方信任原則�����,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改�����。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的����,這不僅與密碼學(xué)有關(guān)系�����,而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)��。此外����,靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵�����,它不需支持各種通用的國際標(biāo)準(zhǔn)��,能夠很好地和其他廠家的CA產(chǎn)品兼容。
4.2.注冊(cè)機(jī)構(gòu)
RA(Registration Authorty)是用戶和CA的接口�����,它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)�����。RA不僅要支持面對(duì)面的登記��,也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全��、靈活��,就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化����、安全的且易于操作的RA系統(tǒng)��。
4.3.策略管理
在PKI系統(tǒng)中��,制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求��,并且能通過CA和RA技術(shù)融入到CA 和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí)����,這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求��,科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論��,并且具有良好的擴(kuò)展性和互用性��。
4.4.密鑰備份和恢復(fù)
為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的��,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案����,保證安全的密鑰備份、更新����、恢復(fù)��,也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性����、安全性�����、可用性的重要因素�����。
4.5.證書管理與撤消系統(tǒng)
證書是用來證明證書持有者身份的電子介質(zhì)�����,它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常����,這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的��。但是��,有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消����,證書撤消的理由是各種各樣的�����,可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的機(jī)制撤消證書或采用在線查詢機(jī)制��,隨時(shí)查詢被撤消的證書�����。
5.安全技術(shù)的研究現(xiàn)狀和動(dòng)向
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;技術(shù)
中圖分類號(hào):TP31文獻(xiàn)標(biāo)識(shí)碼:A
互聯(lián)網(wǎng)的飛速發(fā)展給人們的生產(chǎn)生活帶來了巨大變化,然而網(wǎng)絡(luò)安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊及預(yù)防措施進(jìn)行論述����。
一��、常見的網(wǎng)絡(luò)攻擊
(一)入侵系統(tǒng)攻擊����。此類攻擊如果成功,將使你的系統(tǒng)上的資源被對(duì)方一覽無遺,對(duì)方可以直接控制你的機(jī)器,可任意修改或盜取被控機(jī)器中的各種信息��。
(二)欺騙類攻擊����。網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等����。
(三)利用病毒攻擊��。病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性�����、繁殖性、潛伏性����、針對(duì)性����、衍生性、不可預(yù)見性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬種,可通過注入技術(shù)進(jìn)行破壞和攻擊��。
(四)木馬程序攻擊����。特洛伊木馬是一種直接由一個(gè)黑客,或是通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序����。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)�����。
(五)網(wǎng)絡(luò)偵聽�����。網(wǎng)絡(luò)偵聽為主機(jī)工作模式,主機(jī)能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?���。只要使用網(wǎng)絡(luò)監(jiān)聽工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和賬號(hào)等有用的信息資料�����。
(六)對(duì)防火墻的攻擊�����。防火墻也是由軟件和硬件組成的,在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷,對(duì)防火墻的攻擊方法也是多種多樣的,如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等��。
二�����、防御措施主要有以下幾種
(一)防火墻����。防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源�����。它在內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)��。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型��、網(wǎng)絡(luò)地址轉(zhuǎn)換――NAT��、型和監(jiān)測(cè)型。
1��、包過濾型����。包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址��、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等��。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外,系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制定判斷規(guī)則����。
2、網(wǎng)絡(luò)地址轉(zhuǎn)化――NAT�����。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的�����、外部的��、注冊(cè)的IP地址標(biāo)準(zhǔn),它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng),它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址,在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄,系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址��。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問OLM防火墻,根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全;當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求��。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。
3����、型。型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展��。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流����。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺(tái)真正的客戶機(jī)�����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)�����。
4��、監(jiān)測(cè)型。監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義�����。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的��、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入�����。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部����。
(二)虛擬專用網(wǎng)�����。虛擬專用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)和方式有很多,但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性�����。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道,利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問����。
(三)虛擬局域網(wǎng)。選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全����。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段�����、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)��。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng),即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中�����。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)��。
(四)漏洞檢測(cè)。漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征����。通常采用兩種策略,即被動(dòng)式策略和主動(dòng)式策略��。被動(dòng)式策略基于主機(jī)檢測(cè),對(duì)系統(tǒng)中不合適的設(shè)置�����、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查;主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè),通過執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞����。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估,它指出了哪些攻擊是可能的,因此成為安全方案的一個(gè)重要組成部分����。漏洞檢測(cè)系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性�����。
(五)入侵檢測(cè)����。入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來,檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生,系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)�����。
(六)密碼保護(hù)��。加密措施是保護(hù)信息的最后防線,被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。無論是對(duì)等還是不對(duì)等加密都是為了確保信息的真實(shí)和不被盜取應(yīng)用,但隨著計(jì)算機(jī)性能的飛速發(fā)展,破解部分公開算法的加密方法已變得越來越可能����。
(七)安全策略�����。安全策略可以認(rèn)為是一系列政策的集合,用來規(guī)范對(duì)組織資源的管理�����、保護(hù)以及分配,以達(dá)到最終安全的目的,安全策略的制定需要基于一些安全模型。
總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)��、管理��、使用等許多方面,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)――這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要�����。
(作者單位:中國鐵通南陽分公司)
主要參考文獻(xiàn):
第4篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全威脅防護(hù)技術(shù)趨勢(shì)
中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1210104-02
一、計(jì)算機(jī)網(wǎng)絡(luò)安全概述
(一)網(wǎng)絡(luò)安全的定義
國際標(biāo)準(zhǔn)化組織(ISO)將計(jì)算機(jī)安全定義為“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件����、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞��、更改和泄露�����?�!蔽覈约禾岢龅亩x是:“計(jì)算機(jī)系統(tǒng)的硬件、軟件�����、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞�����、更改�����、泄露,系統(tǒng)能連續(xù)正常運(yùn)行��。”因此,所謂網(wǎng)絡(luò)安全就是指基于網(wǎng)絡(luò)的互聯(lián)互通和運(yùn)作而涉及的物理線路和連接的安全,網(wǎng)絡(luò)系統(tǒng)的安全,操作系統(tǒng)的安全,應(yīng)用服務(wù)的安全和人員管理的安全等幾個(gè)方面��?���?偟恼f來,計(jì)算機(jī)網(wǎng)絡(luò)的安全性,是由數(shù)據(jù)的安全性����、通信的安全性和管理人員的安全意識(shí)三部分組成����。①
(二)影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素
計(jì)算機(jī)網(wǎng)絡(luò)安全受到的安全威脅是來自各個(gè)方面的,一般來說,影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素主要有以下幾個(gè)方面:
1.計(jì)算機(jī)網(wǎng)絡(luò)使信息的收集方便而且快速,信息的價(jià)值劇增,吸引了許多網(wǎng)上黑客前來攻擊��。
2.現(xiàn)有的計(jì)算機(jī)系統(tǒng)皆有安全漏洞,使網(wǎng)絡(luò)入侵成為可能。一般操作系統(tǒng)的體系結(jié)構(gòu)其本身是不安全的,這也是計(jì)算機(jī)系統(tǒng)不安全的根本原因之一,操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的,包括FO的驅(qū)動(dòng)程序與系統(tǒng)服務(wù),都可以用打“補(bǔ)丁”的方式進(jìn)行動(dòng)態(tài)連接,為黑客的侵入和病毒的產(chǎn)生提供了一個(gè)好環(huán)境����。
3.網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)的安全問題�����。網(wǎng)絡(luò)中的信息數(shù)據(jù)是存放在計(jì)算機(jī)數(shù)據(jù)庫中的,通常也指存放在服務(wù)器中的信息集,供不同的用戶來共享,數(shù)據(jù)庫存在不安全性和危險(xiǎn)性,因?yàn)樵跀?shù)據(jù)庫系統(tǒng)中存放著大量重要的信息資源,在用戶共享資源時(shí)可能會(huì)出現(xiàn)以下現(xiàn)象:授權(quán)用戶超出了他們的訪問權(quán)限進(jìn)行更改活動(dòng),非法用戶繞過安全內(nèi)核,竊取信息資源等��。
4.遠(yuǎn)程訪問控制使得每個(gè)主機(jī)甚至可以被國外的黑客攻擊。網(wǎng)絡(luò)黑客是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的產(chǎn)物,黑客攻擊,早在10多年前的主機(jī)終端時(shí)代就已出現(xiàn),隨著Internet的發(fā)展,現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊,利用網(wǎng)絡(luò)竊取重要的情報(bào),毀壞數(shù)據(jù)和信息����。
5.目前的計(jì)算機(jī)病毒不但可以破壞計(jì)算機(jī)硬件,而且可以破壞網(wǎng)絡(luò)安全系統(tǒng)并通過網(wǎng)絡(luò)破壞更多的計(jì)算機(jī)��。
二����、計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅及攻擊
(一)管理的欠缺
網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)��、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實(shí)上,很多企業(yè)����、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示,美國90%的IT企業(yè)對(duì)黑客攻擊準(zhǔn)備不足��。目前,美國75~85%的網(wǎng)站都抵擋不住黑客的攻擊,約有75%的企業(yè)網(wǎng)上信息失竊,其中25%的企業(yè)損失在25萬美元以上�����。此外,管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密或外部人員通過非法手段截獲而導(dǎo)致機(jī)密信息的泄漏,從而為一些不法分子制造了可乘之機(jī)。②
(二)網(wǎng)絡(luò)的缺陷及軟件的漏洞
因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足,因?yàn)槠滟囈陨娴腡CP/IP協(xié)議,缺乏相應(yīng)的安全機(jī)制,而且因特網(wǎng)最初的設(shè)計(jì)考慮是該網(wǎng)不會(huì)因局部故障而影響信息的傳輸,基本沒有考慮安全問題,因此它在安全可靠��、服務(wù)質(zhì)量�����、帶寬和方便性等方面存在著不適應(yīng)性。此外,隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門”也不可避免地存在,比如我們常用的操作系統(tǒng),無論是Windows還是UNIX都存在或多或少的安全漏洞,眾多的各類服務(wù)器�����、瀏覽器��、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患����。
(三)計(jì)算機(jī)病毒
病毒是計(jì)算機(jī)中最讓人頭痛,也是最普遍的安全威脅,幾乎每一個(gè)用過電腦的人都受到過病毒或多或少的威脅����。大到系統(tǒng)崩潰,數(shù)據(jù)丟失,小到影響系統(tǒng)性能,甚至有的病毒只是開個(gè)玩笑�����。
(四)黑客的攻擊
黑客是影響網(wǎng)絡(luò)安全的最主要因素之一?�!昂诳汀笔怯⑽摹癏acker”的譯音,原意是用來形容獨(dú)立思考,然而卻奉公守法的計(jì)算機(jī)迷,熱衷于設(shè)計(jì)和編制計(jì)算機(jī)程序的程序設(shè)計(jì)者和編程人員����。然而,隨著社會(huì)發(fā)展和技術(shù)的進(jìn)步“Hacker”的定義有了新的演繹,出現(xiàn)了一類專門利用計(jì)算機(jī)犯罪的人,即那些憑借自己所掌握的計(jì)算機(jī)技術(shù),專門破壞計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),竊取政治��、軍事、商業(yè)秘密,或者轉(zhuǎn)移資金賬戶,竊取金錢,以及不露聲色地捉弄他人,秘密進(jìn)行計(jì)算機(jī)犯罪的人��。
三��、計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)
通過對(duì)網(wǎng)絡(luò)系統(tǒng)各個(gè)層次的分析可以給數(shù)據(jù)鏈路層網(wǎng)絡(luò)層系統(tǒng)層數(shù)據(jù)庫層和應(yīng)用層提供全面的保護(hù)��。
(一)加密技術(shù)
加密技術(shù)是網(wǎng)絡(luò)安全的核心,現(xiàn)代密碼技術(shù)發(fā)展至今二十余年,其技術(shù)已由傳統(tǒng)的只注重保密性轉(zhuǎn)移到保密性�����、真實(shí)性、完整性和可控性的完美結(jié)合�����。加密技術(shù)是解決網(wǎng)絡(luò)上信息傳輸安全的主要方法,其核心是加密算法的設(shè)計(jì)��。③
1.非對(duì)稱密鑰加密
在非對(duì)稱機(jī)密體系中,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰),而且加密密鑰與解密密鑰不同,是一種利用公開加密密鑰加密,利用不公開解密密鑰解密的密碼體制。
2.對(duì)稱加密技術(shù)
在對(duì)稱加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰匙,這種加密方法可簡(jiǎn)化加密處理過程����。信息交換雙方都不必彼此研究交換專用的加密算法����。若在交換階段私有密鑰未曾泄漏,那么機(jī)密性和報(bào)文完整性就可以得以保證��。
(二)網(wǎng)絡(luò)防病毒技術(shù)
由于網(wǎng)絡(luò)計(jì)算機(jī)病毒是網(wǎng)絡(luò)系統(tǒng)最大的攻擊者,具有強(qiáng)大的傳染性和破壞力,網(wǎng)絡(luò)防病毒技術(shù)已成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一重要課題����。防病毒技術(shù)可分為三種:病毒預(yù)防技術(shù),病毒檢測(cè)技術(shù)和病毒消除技術(shù)��。④
1.病毒預(yù)防技術(shù)
計(jì)算機(jī)病毒的預(yù)防技術(shù)是指通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的破壞��。計(jì)算機(jī)病毒的預(yù)防應(yīng)包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防。預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)�����、加密可執(zhí)行程序�����、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等��。
2.病毒檢測(cè)技術(shù)
計(jì)算機(jī)病毒的檢測(cè)技術(shù)是指通過一定的技術(shù)判定出計(jì)算機(jī)病毒的一種技術(shù)��。計(jì)算機(jī)病毒的檢測(cè)技術(shù)有兩種:一種是判斷計(jì)算機(jī)病毒特征的監(jiān)測(cè)技術(shù)����。病毒特征包括病毒關(guān)鍵字��、特征程序段內(nèi)容、傳染方式����、文件長(zhǎng)度的變化等�����。另一種是文件自身檢測(cè)技術(shù),這是一種不針對(duì)具體病毒程序的特征進(jìn)行判斷,而只是通過對(duì)文件自身特征的檢驗(yàn)技術(shù)����。
3.病毒消除技術(shù)
計(jì)算機(jī)病毒的消除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一種逆過程����。但由于殺毒軟件的更新是在病毒出現(xiàn)后才能研制,有很大的被動(dòng)性和滯后性,而且由于計(jì)算機(jī)軟件所要求的精確性,致使某些變種病毒無法消除,因而應(yīng)經(jīng)常升級(jí)殺毒軟件����。
4.入侵檢測(cè)技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)
入侵檢測(cè)(IDSIntrusion Detection System)是近年來發(fā)展起來的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)�����、規(guī)則方法����、網(wǎng)絡(luò)通信技術(shù)����、人工智能��、密碼學(xué)、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆��。根據(jù)采用的分析技術(shù)可分為簽名分析法和統(tǒng)計(jì)分析法����。
(三)防火墻技術(shù)
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備�����。
1.防火墻技術(shù)的定義
在網(wǎng)絡(luò)中,防火墻是內(nèi)部網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),通過它使得內(nèi)部網(wǎng)絡(luò)與Internet或者其他外部網(wǎng)絡(luò)之間相互隔離,并通過限制網(wǎng)絡(luò)互訪來保護(hù)內(nèi)部網(wǎng)絡(luò),但這些對(duì)數(shù)據(jù)的處理操作并不會(huì)妨礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問��。
2.防火墻的關(guān)鍵技術(shù)
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為4種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換型,型和監(jiān)測(cè)型�����。⑤
(1)包過濾型�����。包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址����、目標(biāo)地址��、TCP/UDP源端口和目標(biāo)端口等�����。
(2)網(wǎng)絡(luò)地址轉(zhuǎn)換型��。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的IP地址標(biāo)準(zhǔn)����。它允許具有私有IP地址的內(nèi)網(wǎng)訪問因特網(wǎng)�����。
(3)型����。型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展�����。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流�����。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)��。
(4)監(jiān)測(cè)型�����。監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義�����。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入��。
四����、網(wǎng)絡(luò)安全防護(hù)的發(fā)展趨勢(shì)
(一)加強(qiáng)病毒監(jiān)控
隨著病毒技術(shù)的發(fā)展,病毒的宿主也越來越多,在宿主增多的同時(shí),傳播途徑也越來越廣,目前較受關(guān)注的一項(xiàng)病毒注入技術(shù)是利用電磁波注入病毒。這種技術(shù)的基本設(shè)想是把計(jì)算機(jī)病毒調(diào)制在電磁信號(hào)并向計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)所在方向輻射,電磁信號(hào)通過網(wǎng)絡(luò)中某些適當(dāng)?shù)墓?jié)點(diǎn)進(jìn)入網(wǎng)絡(luò),然后計(jì)算機(jī)病毒就在網(wǎng)絡(luò)中傳播,產(chǎn)生破壞作用����。所以加強(qiáng)病毒監(jiān)控成為網(wǎng)絡(luò)安全防護(hù)的一項(xiàng)重要內(nèi)容����。
(二)建立安全可靠的虛擬專用網(wǎng)
虛擬專用網(wǎng)(VPN)系統(tǒng)采用復(fù)雜的算法來加密傳輸?shù)男畔?使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全地通信。其工作流程大致如下:1.要保護(hù)的主機(jī)發(fā)送不加密信息到連接公共網(wǎng)絡(luò)的虛擬專網(wǎng)設(shè)備;2.虛擬專網(wǎng)設(shè)備根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則,確認(rèn)是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過;3.對(duì)需要加密的數(shù)據(jù),虛擬專網(wǎng)設(shè)備對(duì)整個(gè)數(shù)據(jù)包(包括要傳送的數(shù)據(jù)����、發(fā)送端和接收端的IP地址)進(jìn)行加密和附上數(shù)字簽名;4.虛擬專網(wǎng)設(shè)備加上新的數(shù)據(jù)包頭,其中包括目的地虛擬專網(wǎng)設(shè)備需要的安全信息和一些初始化參數(shù);5.虛擬專網(wǎng)設(shè)備對(duì)加密后數(shù)據(jù)��、鑒別包以及源IP地址��、目標(biāo)虛擬專網(wǎng)設(shè)IP地址進(jìn)行重新封裝,重新封裝后數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸;6.當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)虛擬專網(wǎng)設(shè)備時(shí),數(shù)字簽名被核對(duì)無誤后數(shù)據(jù)包被解密。
(三)強(qiáng)化管理
網(wǎng)絡(luò)安全不只是一個(gè)單純的技術(shù)問題,而且也是一個(gè)十分重要的管理問題�����。采取各種措施對(duì)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施有效管理是計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)的主要內(nèi)容之一����。一般,計(jì)算機(jī)網(wǎng)絡(luò)管理包括安全審計(jì)����、行政管理��、人事管理等幾個(gè)方面的內(nèi)容。安全審計(jì)是對(duì)計(jì)算機(jī)系統(tǒng)的安全事件進(jìn)行收集�����、記錄�����、分析、判斷,并采取相應(yīng)的安全措施進(jìn)行處理的過程��。
注釋:
①李靜,計(jì)算機(jī)網(wǎng)絡(luò)安全與防范措施,湖南省政法管理部學(xué)院學(xué)報(bào),2002,18(1):8.
②張寶劍,計(jì)算機(jī)安全與防護(hù)技術(shù)[M].機(jī)械工業(yè),2003,1.
③王德秀,網(wǎng)絡(luò)安全技術(shù)及應(yīng)用,有線電視技術(shù),2003,1.
④梅筱琴��、蒲韻、廖凱生,計(jì)算機(jī)病毒防治與網(wǎng)絡(luò)安全手冊(cè),海洋出版社,2004:9~2.
⑤余偉建��、王凌,黑客攻擊手段分析與防范,人民郵電出版社,2003:10~13.
參考文獻(xiàn):
[1]李靜,計(jì)算機(jī)網(wǎng)絡(luò)安全與防范措施,湖南省政法管理部學(xué)院學(xué)報(bào),2002,18(1):8.
[2]王春、林海波,網(wǎng)絡(luò)安全與防火墻技術(shù),北京:清華大學(xué)出版社,2000:10~30.
[3]秦超����、李素科、滿成圓,網(wǎng)絡(luò)與系統(tǒng)安全實(shí)用指南,北京航空航天大學(xué)出版社,2002.
[4]劉東華等著,網(wǎng)絡(luò)與通信安全技術(shù),人民郵電出版社,2002.
第5篇
[關(guān)鍵詞]網(wǎng)絡(luò)安全�����;網(wǎng)絡(luò)維護(hù)��;操作系統(tǒng);網(wǎng)絡(luò)安全技術(shù)
doi:10.3969/j.issn.1673 - 0194.2016.18.109
[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2016)18-0-01
1 計(jì)算機(jī)網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的相關(guān)涵義
1.1 計(jì)算機(jī)網(wǎng)絡(luò)的涵義
計(jì)算機(jī)網(wǎng)絡(luò)就是一種計(jì)算機(jī)系統(tǒng)��,這種系統(tǒng)是將通信線路與設(shè)備進(jìn)行聯(lián)通,再將具有多個(gè)獨(dú)立功能的��,且存在于不同地理位置之中的多套計(jì)算機(jī)進(jìn)行連接�����,通過信息交換或是網(wǎng)絡(luò)操作系統(tǒng)以及網(wǎng)絡(luò)通信協(xié)議等多功能的網(wǎng)絡(luò)軟件來對(duì)網(wǎng)絡(luò)中的信息進(jìn)行資源功效的一種系統(tǒng)��,計(jì)算機(jī)網(wǎng)絡(luò)主要包含資源子網(wǎng)以及通信子網(wǎng)兩個(gè)部分。
1.2 計(jì)算機(jī)網(wǎng)絡(luò)安全的涵義
計(jì)算機(jī)網(wǎng)絡(luò)安全就是一種可以使計(jì)算機(jī)的硬件�����、計(jì)算機(jī)的軟件��、或者是計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)中的各種數(shù)據(jù)����,避免受到不良因素的破壞或者是更改以及泄密等問題��,從而來確保計(jì)算機(jī)的網(wǎng)絡(luò)系統(tǒng)可以連續(xù)有效進(jìn)行的一種網(wǎng)絡(luò)服務(wù)的功能����。
2 計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問題分析
2.1 操作系統(tǒng)自身的安全漏洞
目前的操作系統(tǒng)無論是Windows還是Linux或是Vista系統(tǒng)�����,都具有較強(qiáng)的擴(kuò)展性����,這樣就會(huì)為黑客的攻擊以及計(jì)算機(jī)病毒的傳播提供了機(jī)會(huì)�����,對(duì)網(wǎng)絡(luò)安全產(chǎn)生了威脅��,正是由于這樣的技術(shù)缺陷��,才使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)存在著問題。
2.2 TCP/IP協(xié)議較為脆弱
目前來說����,在互聯(lián)網(wǎng)上常用的依舊是TCP/IP協(xié)議,這種協(xié)議未能充分的考慮到網(wǎng)絡(luò)的安全性����,正是由于人們對(duì)這種協(xié)議特別的熟悉����,因而便可以得知此協(xié)議的漏洞��,從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊和入侵��。
2.3 計(jì)算機(jī)網(wǎng)絡(luò)的廣域性與開放性的特點(diǎn)
由于計(jì)算機(jī)網(wǎng)絡(luò)本身具備著廣域性與開放性的特點(diǎn)�����,因而很難做到信息的保密��,在加上通信的質(zhì)量以及網(wǎng)絡(luò)自身的布線等因素,導(dǎo)致了眾多的安全問題��,互聯(lián)網(wǎng)作為一種國際性的網(wǎng)絡(luò)��,對(duì)于網(wǎng)絡(luò)信息的保護(hù)增加了很大的難度��。
2.4 計(jì)算機(jī)病毒的入侵
計(jì)算機(jī)病毒具有極強(qiáng)的傳染性和破壞性����,并且具有很長(zhǎng)的潛伏期,這些病毒利用計(jì)算機(jī)自身系統(tǒng)的漏洞��,入侵到計(jì)算機(jī)中,來對(duì)計(jì)算機(jī)進(jìn)行控制����,木馬病毒更是通過引誘的方式使用戶安裝某種程序,使用戶的賬戶受到威脅����,竊取用戶的賬號(hào)密碼等,為用戶帶來巨大的安全隱患�����。
3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)技術(shù)分析
3.1 防火墻技術(shù)
目前來說最為廣泛的計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)就是防火墻�����,它主要包含兩種��,即:包過濾防火墻和應(yīng)用級(jí)防火墻��,包過濾防火墻是將路由器上傳到主機(jī)的數(shù)據(jù)進(jìn)行掃描和過濾,對(duì)數(shù)據(jù)進(jìn)行有效攔截��,防火墻既是一種軟件也是一種硬件,更是一種安全部件�����,簡(jiǎn)單來說�����,防火墻是將軟硬件進(jìn)行完美的融合,可以對(duì)內(nèi)部的網(wǎng)絡(luò)與外部的網(wǎng)絡(luò)進(jìn)行隔離的操作����,當(dāng)有相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行傳輸?shù)臅r(shí)候�����,防火墻就可以根據(jù)自行的訪問權(quán)限的配置來對(duì)這些數(shù)據(jù)和信息進(jìn)行過濾等操作�����,這樣就可以保護(hù)網(wǎng)絡(luò)的安全�����,就可以將外部的入侵進(jìn)行隔離�����,使得向內(nèi)部輸入的均是有用的�����、有價(jià)值的信息。
3.2 加密技術(shù)
加密技術(shù)簡(jiǎn)單來說就是將原本的明文信息通過數(shù)據(jù)的加工使他們變?yōu)槊芪?����,從而保護(hù)數(shù)據(jù)的安全性����,不容易發(fā)生泄密等問題,而加密技術(shù)的重點(diǎn)是加密算法以及密鑰管理����。而對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)加密技術(shù)中的核心關(guān)鍵技術(shù)就是密碼保護(hù)技術(shù)��,密碼主要包括了對(duì)稱密碼�����、非對(duì)稱密碼以及混合密碼����,通過對(duì)數(shù)據(jù)進(jìn)行加密技術(shù)的操作�����,可以使得網(wǎng)絡(luò)中的數(shù)據(jù)傳輸具有一定的安全性����。對(duì)于加密技術(shù)方法的選擇有很多�����,比如口令的方式����、指紋的方式等��,這就需要根據(jù)實(shí)際的情況進(jìn)行加密技術(shù)方法的選擇�����。
3.3 入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之中也就是常說的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控系統(tǒng)��,主要就是對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和信息通過計(jì)算機(jī)的軟件硬件系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)測(cè)����,將這些數(shù)據(jù)與網(wǎng)絡(luò)中入侵的數(shù)據(jù)庫進(jìn)行對(duì)比的操作��,當(dāng)在對(duì)比之后發(fā)現(xiàn)可攻擊的對(duì)象����,就要采取措施來阻止入侵的數(shù)據(jù)進(jìn)行破壞����,可以立即的將網(wǎng)絡(luò)連接進(jìn)行切斷�����,通過防火墻對(duì)訪問權(quán)限進(jìn)行相應(yīng)的設(shè)置和調(diào)整,進(jìn)而將對(duì)入侵的數(shù)據(jù)進(jìn)行阻攔和消滅�����,來保證計(jì)算機(jī)網(wǎng)絡(luò)的安全����,入侵檢測(cè)主要包括誤用檢測(cè)和異常檢測(cè)兩種�����,通常來說����,無用檢測(cè)的特點(diǎn)就是誤警率低且耗時(shí)較長(zhǎng)�����,而異常檢測(cè)的特點(diǎn)就是耗時(shí)雖然短,但是誤警率較高����。
3.4 網(wǎng)絡(luò)安全掃描技術(shù)
網(wǎng)絡(luò)安全掃描技術(shù)主要是可以讓系統(tǒng)的管理員隨時(shí)隨地的�����、及時(shí)的掌握最新的網(wǎng)絡(luò)系統(tǒng)中可能存在的漏洞����,并且可以根據(jù)實(shí)際發(fā)生的情況�����,來采取相應(yīng)的防范措施,使網(wǎng)絡(luò)系統(tǒng)中的安全風(fēng)險(xiǎn)得到降低�����,通過這項(xiàng)技術(shù),可以對(duì)主機(jī)����、站點(diǎn)、局域網(wǎng)等進(jìn)行相應(yīng)的掃描��,發(fā)現(xiàn)安全漏洞后管理員就可以及時(shí)地進(jìn)行處理����。
第6篇
21世紀(jì)��,我國的經(jīng)濟(jì)進(jìn)入飛速發(fā)展階段。經(jīng)濟(jì)全球化和信息共享推動(dòng)了各個(gè)領(lǐng)域的發(fā)展和創(chuàng)新�����。人們的生活水平不斷提高��,對(duì)生活的質(zhì)量要求也越來越高��?���;ヂ?lián)網(wǎng)進(jìn)入家家戶戶,為人們的生活帶去了便利�����?�;ヂ?lián)網(wǎng)覆蓋面極廣。無論是建筑����、教育����、新媒體��,還是醫(yī)療�����、工業(yè)�����,都不同程度的使用了互聯(lián)網(wǎng)��?����;ヂ?lián)網(wǎng)帶動(dòng)了大數(shù)據(jù)時(shí)代����,每天都有海量的信息充斥著人們的生活。如何在大數(shù)據(jù)環(huán)境下保證網(wǎng)絡(luò)安全技術(shù)是本文研究的主要內(nèi)容����。
【關(guān)鍵詞】
互聯(lián)網(wǎng)����;大數(shù)據(jù)����;網(wǎng)絡(luò)安全技術(shù)
大數(shù)據(jù)已經(jīng)開始影響人們的生活了����,人們?cè)絹碓揭蕾嚧髷?shù)據(jù)��。在商業(yè)領(lǐng)域��,大數(shù)據(jù)成為預(yù)測(cè)行情�����、找準(zhǔn)營(yíng)銷方向點(diǎn)的重要載體����;在公共的服務(wù)領(lǐng)域��,大數(shù)據(jù)為人們的出行�����、旅游����、健康����、環(huán)保等方面提供出參考信息����;大數(shù)據(jù)為人們生活帶來了方便、快捷��、靈通的消息和服務(wù)����。但是,也在人們的生活中增添了很多危險(xiǎn)的因素�����。在大數(shù)據(jù)環(huán)境下����,人們上網(wǎng)��、購物����、消費(fèi)的同時(shí)也暴露了個(gè)人信息。提高網(wǎng)絡(luò)的安全技術(shù),在社會(huì)發(fā)展的同時(shí)保障人們的合法權(quán)益�����。
1大數(shù)據(jù)時(shí)代
最早提出大數(shù)據(jù)的人是維克托•邁爾-舍恩伯格及肯尼斯•庫克耶,他們認(rèn)為大數(shù)據(jù)是一個(gè)巨量資料庫��。大數(shù)據(jù)具有大量����、高速、多樣��、價(jià)值等四個(gè)主要特點(diǎn)�����,大數(shù)據(jù)以多元的形式將很多信息資源收集在一起,形成一個(gè)實(shí)效性特別強(qiáng)的數(shù)據(jù)組�����。大數(shù)據(jù)與云計(jì)算的關(guān)系密不可分,在大數(shù)據(jù)需要使用分布式的計(jì)算結(jié)構(gòu)時(shí)�����,云計(jì)算會(huì)幫助大數(shù)據(jù)進(jìn)行分布式處理、建立分布式數(shù)據(jù)庫和云存儲(chǔ)��。在人們的意識(shí)里,數(shù)據(jù)就是簡(jiǎn)單的信息�����。在互聯(lián)網(wǎng)時(shí)代到來之后�����,大數(shù)據(jù)時(shí)代也緊跟著到來。大數(shù)據(jù)不是簡(jiǎn)單的互聯(lián)網(wǎng)信息�����,在工業(yè)設(shè)備、汽車�����、電表、機(jī)械等方面安裝上數(shù)碼傳感器����,隨著空氣�����、溫度、濕度�����、環(huán)境的變化數(shù)碼傳感器會(huì)發(fā)生變化,隨之產(chǎn)生很多的數(shù)據(jù)信息����,將這些數(shù)據(jù)匯集到一起進(jìn)行研究處理就形成了數(shù)據(jù)庫��,也就是大數(shù)據(jù)。大數(shù)據(jù)的產(chǎn)生對(duì)社會(huì)的發(fā)展有著很大的影響��,它可以通過數(shù)據(jù)間的信息變化,設(shè)計(jì)出適合生產(chǎn)的軟件��。將大數(shù)據(jù)運(yùn)用到社會(huì)的各個(gè)領(lǐng)域中,可以節(jié)省資源�����、提高生產(chǎn)效益��。企業(yè)中可以利用大數(shù)據(jù)對(duì)大量消費(fèi)者的消費(fèi)狀況有一個(gè)詳細(xì)的了解,找到消費(fèi)者們共同的消費(fèi)領(lǐng)域��,制訂精準(zhǔn)的營(yíng)銷方案。大數(shù)據(jù)時(shí)代下�����,一些小型企業(yè)可以借助大數(shù)據(jù)的優(yōu)勢(shì)做服務(wù)轉(zhuǎn)型。大數(shù)據(jù)環(huán)境下��,企業(yè)的創(chuàng)新之路會(huì)走的更順暢更久遠(yuǎn)����。
2大數(shù)據(jù)環(huán)境中存在的問題
隨著大數(shù)據(jù)時(shí)代的到來,很多新興技術(shù)和軟件應(yīng)運(yùn)而生����?�;ヂ?lián)網(wǎng)的普及是人們出門攜帶的物品越來越少,甚至有人說拿著一部手機(jī)就可以走遍天下��。無論是購物,還是吃飯����,一個(gè)手機(jī)APP就可以全部搞定��。但是����,現(xiàn)在的軟件都是實(shí)名制的�����,隨著使用的數(shù)據(jù)軟件越多,人們的個(gè)人信息就暴露的越全面����。近幾年�����,網(wǎng)絡(luò)詐騙的案件層出不窮,人們的姓名����、身份證信息�����、家庭住址等等,都已經(jīng)不再是秘密����。大數(shù)據(jù)環(huán)境下�����,人們的個(gè)人信息被盜取是最大的問題�����。在2014年�����,支付寶前技術(shù)員工利用職位便利將20萬的支付寶用戶信息非法賣給了他人�����,這個(gè)事件發(fā)生之后����,在社會(huì)上引起了很大的轟動(dòng)。人們開始意識(shí)到自己的信息并不安全����,有了防范心理�����。但是�����,騙子的手段也是層出不窮�����,每年都有很多人因?yàn)檩p信網(wǎng)絡(luò)信息����,被騙取了大量錢財(cái)。海量數(shù)據(jù)的安全存儲(chǔ)問題大數(shù)據(jù)環(huán)境中的數(shù)據(jù)存儲(chǔ)太多����,存儲(chǔ)數(shù)據(jù)的系統(tǒng)無法滿足大數(shù)據(jù)的運(yùn)用����。大數(shù)據(jù)所帶來的存儲(chǔ)容量問題�����、延遲��、并發(fā)訪問����、安全問題����、成本問題等,對(duì)大數(shù)據(jù)的存儲(chǔ)和安全保護(hù)系統(tǒng)提出了新的挑戰(zhàn)����。大數(shù)據(jù)的存儲(chǔ)分為結(jié)構(gòu)化存儲(chǔ)和非結(jié)構(gòu)化存儲(chǔ)�����。結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)中安全防護(hù)存在很大的漏洞,諸如物理故障����、軟件問題��、病毒、黑客攻擊等因素是威脅數(shù)據(jù)安全的問題����。非結(jié)構(gòu)化數(shù)據(jù)占大數(shù)據(jù)總量的80%�����,在對(duì)數(shù)據(jù)存儲(chǔ)進(jìn)行管理和處理工作中,一般使用NOSQL存儲(chǔ)技術(shù)�����。雖然NOSQL存儲(chǔ)技術(shù)有很大的優(yōu)點(diǎn),但是數(shù)據(jù)的多����、雜��、亂依然使數(shù)據(jù)存儲(chǔ)工作一團(tuán)糟。在非結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)出現(xiàn)了訪問控制和隱私管理模式問題、技術(shù)漏洞問題����、驗(yàn)證安全問題等����。
3提高網(wǎng)絡(luò)安全技術(shù)的措施
出現(xiàn)問題就要解決問題�����,大數(shù)據(jù)在促進(jìn)社會(huì)發(fā)展的過程中也產(chǎn)生了很多的弊端。找到問題的源頭后����,就應(yīng)該付出實(shí)踐去解決問題��。通過對(duì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全監(jiān)控��,提高大數(shù)據(jù)環(huán)境的安全性能��。網(wǎng)絡(luò)安全技術(shù)是在數(shù)據(jù)傳輸中保證數(shù)據(jù)安全性的一種技術(shù)手段�����,網(wǎng)絡(luò)安全技術(shù)又分為網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)����、系統(tǒng)安全結(jié)構(gòu)分析技術(shù)以及物理安全分析技術(shù)和管理安全分析技術(shù)��。提高網(wǎng)絡(luò)安全技術(shù)�����,在大數(shù)據(jù)環(huán)境中建立健全的網(wǎng)絡(luò)安全體系����。提高網(wǎng)絡(luò)安全技術(shù)的具有措施有以下幾點(diǎn):
3.1使用入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)安全技術(shù)中的新型系統(tǒng),主要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的入侵檢測(cè)�����,是一種保證數(shù)據(jù)安全��、無病毒的防護(hù)系統(tǒng)��。入侵檢測(cè)系統(tǒng)分為兩類��,一類基于主機(jī)����;一類基于網(wǎng)絡(luò)�����。機(jī)遇主機(jī)的入侵檢測(cè)系統(tǒng)可以保護(hù)重要的服務(wù)器,隨時(shí)監(jiān)測(cè)并可疑連接�����、非法訪問的入侵?���;诰W(wǎng)絡(luò)則是用來監(jiān)控網(wǎng)絡(luò)主要的路徑信息����、不良信息����。一旦發(fā)現(xiàn)入侵現(xiàn)象立馬發(fā)出警報(bào),并自動(dòng)采取防護(hù)措施����。
3.2提高網(wǎng)絡(luò)安全技術(shù)人員的綜合素養(yǎng)
“監(jiān)守自盜”是大數(shù)據(jù)時(shí)代下經(jīng)常出現(xiàn)的問題�����,負(fù)責(zé)保護(hù)整理數(shù)據(jù)的人員成了販賣數(shù)據(jù)信息的人�����。在企業(yè)或者媒體平臺(tái)中��,應(yīng)該對(duì)所有的職員進(jìn)行培訓(xùn)��。建立網(wǎng)絡(luò)數(shù)據(jù)管理制度�����,對(duì)不遵守制度的人嚴(yán)懲不貸����。提高網(wǎng)絡(luò)安全技術(shù)人員的專業(yè)能力和職業(yè)素養(yǎng)�����,對(duì)企業(yè)中的數(shù)據(jù)進(jìn)行嚴(yán)格保管����,不做有損人民利益和企業(yè)形象的事情����。
4結(jié)語
在這個(gè)日新月異的時(shí)代中����,人們的生活每天都有新的變化�����。隨著大數(shù)據(jù)時(shí)代的到來����,人們可以輕松解決很多事情�����。沒有了時(shí)間和空間的上的阻礙,經(jīng)濟(jì)發(fā)展的腳步會(huì)越來越快的����。將來�����,大數(shù)據(jù)在教育��、消費(fèi)��、電力��、能源��、交通�����、健康、金融等全球七大重點(diǎn)領(lǐng)域都會(huì)得到全面廣泛的應(yīng)用����。大數(shù)據(jù)已經(jīng)成為了國家發(fā)展的趨勢(shì)�����。為保證大數(shù)據(jù)能夠利國利民的進(jìn)行,國家的網(wǎng)絡(luò)安全監(jiān)測(cè)人員需要不斷地提升自己的專業(yè)能力�����,加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理。提高網(wǎng)絡(luò)安全技術(shù)����,使人們能有一個(gè)健康、安全的生活環(huán)境�����。
參考文獻(xiàn)
[1]王元卓,靳小龍,程學(xué)旗等.網(wǎng)絡(luò)大數(shù)據(jù):現(xiàn)狀與展望[J].計(jì)算機(jī)學(xué)報(bào),2013,36(06):1125-1138.
[2]李建中,劉顯敏.大數(shù)據(jù)的一個(gè)重要方面:數(shù)據(jù)可用性[J].計(jì)算機(jī)研究與發(fā)展,2013,50(06):1147-1162.
第7篇
本次分論壇以“突破核心技術(shù)��,保障國家安全”為主題��,邀請(qǐng)“產(chǎn)學(xué)研用測(cè)”各界專家,圍繞“基礎(chǔ)技術(shù)�����、非對(duì)稱技術(shù)�����、前沿技術(shù)”等不同角度,探討核心技術(shù)自主創(chuàng)新及其在重要領(lǐng)域的應(yīng)用問題��。來自中央和地方網(wǎng)絡(luò)安全管理部門��、網(wǎng)絡(luò)安全企業(yè)、重點(diǎn)行業(yè)和重要領(lǐng)域網(wǎng)絡(luò)安全和信息化管理部門����、武漢市高校網(wǎng)絡(luò)安全專業(yè)的學(xué)生�����,共200余人參加了會(huì)議。
與會(huì)專家一致表示����,國家網(wǎng)信安全的根基在于核心技術(shù)的突破����。與此同時(shí),注重主動(dòng)防護(hù)��、人才培養(yǎng),實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)�����,共建數(shù)據(jù)開放、信息共享的合作機(jī)制也至關(guān)重要����。
主動(dòng)防護(hù)��,敢于爭(zhēng)先
當(dāng)前����,互聯(lián)網(wǎng)發(fā)展重心由PC互聯(lián)網(wǎng)向移動(dòng)互聯(lián)網(wǎng)轉(zhuǎn)移,網(wǎng)絡(luò)安全的重要性和復(fù)雜性更加凸顯�����。中國工程院院士沈昌祥針對(duì)主動(dòng)免疫防御話題發(fā)表演講��,他認(rèn)為����,網(wǎng)絡(luò)空間安全是集計(jì)算�����、通信和控制等學(xué)科交叉的科學(xué)問題����。消極被動(dòng)的封堵查殺防不勝防����,“就好比人沒有免疫系統(tǒng)”。他表示��,由于人們對(duì)IT的認(rèn)知邏輯的局限性,故不能避免邏輯缺陷對(duì)任務(wù)執(zhí)行的影響��,尤其是難以應(yīng)對(duì)人為利用缺陷進(jìn)行攻擊。因此��,必須從計(jì)算體系結(jié)構(gòu)和計(jì)算模式等科學(xué)技術(shù)創(chuàng)新去實(shí)現(xiàn)相對(duì)安全�����。
沈昌祥院士表示,要建立一套攻擊者進(jìn)不去��、非授權(quán)者重要信息拿不到、竊取保密信息看不懂、系統(tǒng)和信息篡改不了�����、系統(tǒng)工作癱不成、攻擊行為賴不掉的計(jì)算機(jī)免疫系統(tǒng)����,這就是“可信計(jì)算”��,一邊計(jì)算一邊防護(hù),計(jì)算結(jié)果跟預(yù)期一樣�����,全程可測(cè)可控����。他介紹�����,1992年中國可信計(jì)算正式立項(xiàng)研究并規(guī)模應(yīng)用�����,到目前已形成自主創(chuàng)新體系。
中國工程院院士鄭建華針對(duì)新形勢(shì)下密碼技術(shù)提出自己的思考�����。他表示�����,個(gè)人電腦時(shí)代,網(wǎng)絡(luò)應(yīng)用的安全防護(hù)基于PKI進(jìn)行��,有內(nèi)置私密的USB硬件設(shè)備��。而現(xiàn)在��,超過七成的網(wǎng)絡(luò)訪問都是在移動(dòng)智能終端����,傳統(tǒng)密碼技術(shù)在當(dāng)下的移動(dòng)互聯(lián)環(huán)境下遇到了巨大挑戰(zhàn)�����,安全性很難得到保證。
鄭建華院士認(rèn)為�����,中國的信息技術(shù)長(zhǎng)期落后于發(fā)達(dá)國家��,但隨著中國手機(jī)網(wǎng)民增多����,中國通過移動(dòng)終端的信息服務(wù)����,比例已經(jīng)高于發(fā)達(dá)國家����。在移動(dòng)互聯(lián)環(huán)境下如何使用密碼�����?全球最大的研究樣本����,就在中國�����。中國完全有可能在這方面“彎道超車”����,做到全球領(lǐng)先�����。
中標(biāo)軟件總經(jīng)理韓乃平強(qiáng)調(diào)�����,要從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御�����,從底層實(shí)現(xiàn)安全增強(qiáng),并且要堅(jiān)持安全可信與產(chǎn)業(yè)發(fā)展并重����。在重點(diǎn)打造可信操作系統(tǒng)同時(shí)�����,應(yīng)面向國防�����、行業(yè)信息化、軍工等多個(gè)方面進(jìn)行研究����,在設(shè)備信息化、移動(dòng)終端安全等方面進(jìn)行創(chuàng)新��。韓乃平認(rèn)為�����,未來的網(wǎng)絡(luò)安全����,特別是基于可信計(jì)算的網(wǎng)絡(luò)安全有非常光明的前途��。
行業(yè)協(xié)同��,跨界創(chuàng)新
面對(duì)網(wǎng)信領(lǐng)域復(fù)雜的攻防形勢(shì)��,奇虎360首席安全官譚曉生表示�����,安全攻防是一種攻防不平衡的狀態(tài)��,“你被別人搞定了����,可能要幾個(gè)月之后才知道��,但是攻擊者得手的時(shí)間是以秒、分來計(jì)算的,而真正開始預(yù)防和處置則基本是以月為單位��?����!彼f:“威脅情報(bào)有不可替代的價(jià)值�����,但產(chǎn)業(yè)的能力協(xié)同更為重要��。在行業(yè)里應(yīng)追求能力上的協(xié)同����,有了能力協(xié)同就能夠進(jìn)行更為快速地處理����?���!弊T曉生通過G20安保期間的一個(gè)應(yīng)急處置案例說明事件高效處理的關(guān)鍵在于“威脅情報(bào)+產(chǎn)業(yè)協(xié)同+扁平化組織結(jié)構(gòu)”。同時(shí)�����,他還呼吁網(wǎng)絡(luò)安全行業(yè)能夠“協(xié)同聯(lián)通,共建安全”�����。
山石網(wǎng)科通信技術(shù)有限公司董事長(zhǎng)羅東平同樣非常贊同企業(yè)之間的協(xié)同合作��?���!耙粋€(gè)企業(yè)能把其中幾項(xiàng)核心技術(shù)做得強(qiáng)大了,已經(jīng)非常了不起了��?����!彼硎?����,國內(nèi)網(wǎng)絡(luò)安全企業(yè)應(yīng)該真心遵從工匠精神����,在各自擅長(zhǎng)的點(diǎn)把核心技術(shù)做精做強(qiáng)。各個(gè)企業(yè)之間長(zhǎng)板合力,共同打造更加安全的網(wǎng)絡(luò)����。
在發(fā)展路徑選擇上,匡恩網(wǎng)絡(luò)技術(shù)委員會(huì)主席兼首席執(zhí)行官孫一桉認(rèn)為��,互聯(lián)網(wǎng)企業(yè)應(yīng)該多多關(guān)注一些跨界的新領(lǐng)域��,比如人工智能�����、工業(yè)物聯(lián)網(wǎng)安全等�����。這些新領(lǐng)域的起點(diǎn)都差不多�����,如果我們直接做挑戰(zhàn)者可能會(huì)走得更好��,尤其中國是世界上智能制造的最大應(yīng)用場(chǎng)景��,未來物聯(lián)網(wǎng)的最大應(yīng)用市場(chǎng)�����,所以工業(yè)控制物聯(lián)網(wǎng)的安全中國應(yīng)該成為世界第一����。
培養(yǎng)人才,彎道超車
“網(wǎng)絡(luò)安全為人民��,網(wǎng)絡(luò)安全靠人民”��,核心技術(shù)的突破����,離不開網(wǎng)絡(luò)安全和信息化人才的培養(yǎng)。武漢市網(wǎng)信辦主任黃長(zhǎng)清發(fā)表致辭��,他表示��,我國的互聯(lián)網(wǎng)技術(shù)落后��,培養(yǎng)網(wǎng)絡(luò)安全人才尤為重要�����。武漢打造國家網(wǎng)絡(luò)安全人才與創(chuàng)新基地��,踐行“五大創(chuàng)新”,武漢大學(xué)和華中科技大學(xué)將成為網(wǎng)絡(luò)安全人才的培養(yǎng)高地��。武漢大學(xué)計(jì)算機(jī)學(xué)院副院長(zhǎng)應(yīng)時(shí)表示��,武漢大學(xué)在中央網(wǎng)信辦�����、武漢市網(wǎng)信辦的指導(dǎo)下整合校內(nèi)外優(yōu)質(zhì)資源�����,成立了武漢大學(xué)網(wǎng)絡(luò)空間安全研究院����,努力在新的形勢(shì)下為我國網(wǎng)絡(luò)信息安全建設(shè)做出新的更大貢獻(xiàn)。
在論壇的“高端訪談”板塊�����,眾專家圍繞突破核心技術(shù)瓶頸��、夯實(shí)技術(shù)產(chǎn)業(yè)支撐進(jìn)行了探討����。談及企業(yè)的軟肋和命門時(shí),各位嘉賓紛紛提到人才培養(yǎng)����、核心技術(shù)、業(yè)務(wù)與技術(shù)合作等的重要性�����。針對(duì)企業(yè)需要優(yōu)先解決的問題時(shí)��,譚曉生指出芯片��、操作系統(tǒng)以及人才培養(yǎng)是需要關(guān)注的問題��。
第8篇
【 關(guān)鍵詞 】 身份認(rèn)證��;數(shù)據(jù)加密�����;完整性校驗(yàn)����;WEP;WPA
1 引言
隨著無線上網(wǎng)本��、iPad、智能手機(jī)等移動(dòng)終端的不斷推陳出新�����,以WLAN技術(shù)為核心的移動(dòng)寬帶互聯(lián)應(yīng)用呈爆炸式增長(zhǎng)�����。與此同時(shí)�����,大量基于物聯(lián)網(wǎng)��、云計(jì)算而生的企業(yè)級(jí)移動(dòng)業(yè)務(wù)在園區(qū)網(wǎng)內(nèi)得到廣泛應(yīng)用����,如智能電網(wǎng)、物流定位�����、無線語音����、P2P共享等。無線網(wǎng)絡(luò)已經(jīng)深刻地改變了我們的生活與工作�����,無線網(wǎng)絡(luò)在為我們帶來豐富與便捷應(yīng)用的同時(shí)�����,安全威脅也在不斷蔓延����,個(gè)人信息的泄漏、各類賬號(hào)密碼的被盜����、私密信息的被公開,也在困擾著使用無線網(wǎng)絡(luò)的人們�����。
2 無線網(wǎng)絡(luò)的安全隱患
利用WLAN進(jìn)行通信必須具有較高的通信保密能力����。對(duì)于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有幾點(diǎn)�����。2.1 未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)
由于無線局域網(wǎng)的開放式訪問方式,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源����,不僅會(huì)占用寶貴的無線信道資源,增加帶寬費(fèi)用����,降低合法用戶的服務(wù)質(zhì)量,而且未經(jīng)授權(quán)的用戶沒有遵守運(yùn)營(yíng)商提出的服務(wù)條款����,甚至可能導(dǎo)致法律糾紛。
2.2 地址欺騙和會(huì)話攔截
在無線環(huán)境中�����,非法用戶通過非法偵聽等手段獲得網(wǎng)絡(luò)中合法終端的MAC地址比有線環(huán)境中要容易得多��,這些合法的MAC地址可以被用來進(jìn)行惡意攻擊��。
另外�����,由于IEEE802.11沒有對(duì)AP身份進(jìn)行認(rèn)證����,非法用戶很容易偽裝成AP進(jìn)入網(wǎng)絡(luò),并進(jìn)一步獲取合法用戶的鑒別身份信息��,通過攔截會(huì)話實(shí)現(xiàn)網(wǎng)絡(luò)攻擊��。
2.3 高級(jí)入侵
一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)�����,它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)��。多數(shù)企業(yè)部署的WLAN都在防火墻之后����,這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò)�����,就會(huì)使整個(gè)網(wǎng)絡(luò)暴露在非法用戶面前�����。
3 無線網(wǎng)絡(luò)安全技術(shù)
為了應(yīng)對(duì)無線網(wǎng)絡(luò)中存在的各種安全威脅,相應(yīng)的無線安全技術(shù)也應(yīng)運(yùn)而生����,包括物理地址( MAC )過濾、服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配��、有線對(duì)等保密(WEP)�����、端口訪問控制技術(shù)(IEEE802.1x)����、WPA(Wi-Fi Protected Access)、IEEE 802.11i等��。上述的各類技術(shù)均是圍繞著網(wǎng)絡(luò)安全的核心要素:認(rèn)證性��、加密性�����、完整性��。
認(rèn)證性:確保訪問網(wǎng)絡(luò)資源的用戶身份是合法的。
加密性:確保所傳遞的信息即使被截獲了����,攻擊者也無法獲取原始的數(shù)據(jù)。
完整性:如果所傳遞的信息被篡改����,接收者能夠檢測(cè)到�����。
此外����,還需要提供有效的密鑰管理機(jī)制,如密鑰的動(dòng)態(tài)協(xié)商��,以實(shí)現(xiàn)無線安全方案的可擴(kuò)展性�����。
3.1 物理地址( MAC )過濾
每個(gè)無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識(shí)�����,可在AP中手動(dòng)設(shè)置一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾����。這種方法的效率會(huì)隨著終端數(shù)目的增加而降低,而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表�����,而MAC地址并不難修改����,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認(rèn)證技術(shù)��。
3.2 服務(wù)區(qū)標(biāo)識(shí)符 ( SSID ) 匹配
無線客戶端必需與無線訪問點(diǎn)AP設(shè)置的SSID相同 �����,才能訪問AP�����;如果設(shè)置的SSID與AP的SSID不同����,那么AP將拒絕它通過接入上網(wǎng)��。利用SSID設(shè)置����,可以很好地進(jìn)行用戶群體分組��,避免任意漫游帶來的安全和訪問性能的問題�����?�?梢酝ㄟ^設(shè)置隱藏接入點(diǎn)(AP)及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的目的��,因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令��,通過提供口令認(rèn)證機(jī)制����,實(shí)現(xiàn)一定的安全����。
3.3 WEP加密機(jī)制
IEEE 802.11-1999把WEP機(jī)制作為安全的核心內(nèi)容,包括幾個(gè)方面��。
身份認(rèn)證:認(rèn)證采用了Open System認(rèn)證和共享密鑰認(rèn)證,前者無認(rèn)證可言�����,后者容易造成密鑰被竊取��。
完整性校驗(yàn):完整性校驗(yàn)采用了ICV域��,發(fā)送端使用Checksum算法計(jì)算報(bào)文的ICV����,附加在MSDU后,MSDU和ICV共同被加密保護(hù)����。接收者解密報(bào)文后,將本地計(jì)算的CRC-32結(jié)果和ICV進(jìn)行對(duì)比��,如果不相等��,則可以判定報(bào)文被篡改��。CRC-32算法本身很弱�����,使用bit-flipping attack就可以篡改報(bào)文,同時(shí)讓接收者也無法察覺�����。
密鑰只能靜態(tài)配置����,密鑰管理不支持動(dòng)態(tài)協(xié)商,完全不能滿足企業(yè)等大規(guī)模部署的需求�����。
數(shù)據(jù)加密:數(shù)據(jù)加密采用加密算法RC4�����,加密密鑰長(zhǎng)度有64位和128位兩種�����,其中24Bit的IV是由WLAN系統(tǒng)自動(dòng)產(chǎn)生的��,需要在AP和STA上配置的密鑰就只有40位或104位�����。RC4并不是很弱的加密算法�����,安全的漏洞在于IV�����。IV存在的目的是要破壞加密結(jié)果的規(guī)律����,實(shí)現(xiàn)每次加密的結(jié)果都不同��,但是長(zhǎng)度太短了����。在流量較大的網(wǎng)絡(luò)����,IV值很容易出現(xiàn)被重用�����。目前有很多軟件都可以在短短幾分鐘內(nèi)完成對(duì)WEP的破解。
3.4 WPA加密機(jī)制
在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前����,WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,為 IEEE 802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能�����。WPA是IEEE802.11i的一個(gè)子集����,其核心就是IEEE802.1x和TKIP��?�?梢哉J(rèn)為:WPA = 802.1x + EAP + TKIP + MIC�����?�����。
身份認(rèn)證:在802.11中只是停留在概念的階段,到了WPA中變得實(shí)用而又重要�����,它要求用戶必須提供某種形式的憑據(jù)來證明它是合法的��,并擁有對(duì)某些網(wǎng)絡(luò)資源的使用權(quán)限�����,并且是強(qiáng)制性的。
WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP的方式����,用戶提供認(rèn)證所需的憑證,例如賬戶口令����,通過專用認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實(shí)現(xiàn)����。在大型企業(yè)網(wǎng)絡(luò)中,通常采用此種方式�����。不過面對(duì)中小型企業(yè)或者家庭用戶時(shí)�����,架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免昂貴��,維護(hù)也非常繁雜�����,針對(duì)此種情況WPA也提供一種簡(jiǎn)化的方式����,這種方式稱為WPA預(yù)共享密鑰(WPA-PSK)��,它不需要專門的認(rèn)證服務(wù)器�����,僅需要在每個(gè)WLAN節(jié)點(diǎn)預(yù)先輸入一個(gè)密鑰即可完成。只要密鑰相符��,客戶就可以獲得無線局域網(wǎng)的訪問權(quán)。由于這把密鑰僅用于認(rèn)證過程����,并不用于加密過程,因此會(huì)避免諸如使用WEP加密機(jī)制中認(rèn)證安全問題��。
完整性校驗(yàn):是為防止攻擊者從中間截獲數(shù)據(jù)報(bào)文��、篡改后重發(fā)而設(shè)置的����。802.11中對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗(yàn)ICV本身的目的是為了保證數(shù)據(jù)在傳輸途中不會(huì)因?yàn)殡姶鸥蓴_等物理因素導(dǎo)致報(bào)文出錯(cuò),因此采用相對(duì)簡(jiǎn)單高效的CRC算法��,但是攻擊者可以通過修改ICV值來使之和被篡改過的報(bào)文相符合����,可以說沒有任何安全的功能。WPA除了和802.11一樣繼續(xù)保留對(duì)每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗(yàn)外�����,WPA為802.11的每個(gè)數(shù)據(jù)分組(MSDU)都增加了一個(gè)8字節(jié)的消息完整性校驗(yàn)值��。而WPA中的MIC則是專門為了防止工具者的篡改而專門設(shè)定的,它采用Michael算法����,安全性很高。當(dāng)MIC發(fā)生錯(cuò)誤的時(shí)候��,數(shù)據(jù)很可能已經(jīng)被篡改��,系統(tǒng)很可能正在受到攻擊��。此時(shí)����,WPA還會(huì)采取一系列的對(duì)策,比如立刻更換組密鑰��、暫?�;顒?dòng)60秒等��,來阻止攻擊者的攻擊�����。
數(shù)據(jù)加密:WPA采用TKIP為加密引入了新的機(jī)制����,它使用一種密鑰構(gòu)架和管理方法�����,通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)度從24位增加到48位等方法增強(qiáng)安全性����。同時(shí),TKIP采用802.1x/EAP構(gòu)架�����,認(rèn)證服務(wù)器在接受了用戶身份后�����,使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話����。然后,TKIP把這個(gè)密鑰通過安全通道分發(fā)到客戶端和AP����,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)��,使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰�����,來加密無線通信數(shù)據(jù)報(bào)文��。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰����。雖然WPA采用的還是和WEP一樣的RC4加密算法�����,但其動(dòng)態(tài)密鑰的特性很難被攻破����。
3.5 IEEE 802.11i標(biāo)準(zhǔn)
為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容, IEEE802.11工作組開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i �����,并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題�����。IEEE 802.11i標(biāo)準(zhǔn)針對(duì)802.11標(biāo)準(zhǔn)的安全缺陷,進(jìn)行了如下改進(jìn)��。
身份認(rèn)證:802.11i的安全體系也使用802.1x認(rèn)證機(jī)制��,通過無線客戶端與Radius 服務(wù)器之間動(dòng)態(tài)協(xié)商生成PMK(Pairwise Master Key)�����,再由無線客戶端和AP之間在這個(gè)PMK的基礎(chǔ)上經(jīng)過4次握手協(xié)商出單播密鑰以及通過兩次握手協(xié)商出組播密鑰�����,每一個(gè)無線客戶端與AP之間通訊的加密密鑰都不相同��,而且會(huì)定期更新密鑰����,很大程度上保證了通訊的安全����。
完整性校驗(yàn):采用了CBC和Michoel算法實(shí)現(xiàn)完整性校驗(yàn)。
數(shù)據(jù)加密:數(shù)據(jù)加密采用了CCMP加密��,CCMP基于AES-CCM算法��,結(jié)合了用于加密的CTR和用于完整性的加密塊鏈接消息認(rèn)證碼(CBC-MAC),保護(hù)MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性��。
密鑰協(xié)商:通過4次握手過程進(jìn)行動(dòng)態(tài)協(xié)商密鑰�����。
4 無線網(wǎng)絡(luò)安全策略選擇
無線的網(wǎng)絡(luò)技術(shù)發(fā)展到今天給人們提供了多種選擇�����,雖然目前802.11i方興未艾�����,考慮到升級(jí)成本�����、部署難度�����、網(wǎng)絡(luò)效率等多方面的因素�����,在進(jìn)行無線網(wǎng)絡(luò)安全策略選擇時(shí),根據(jù)具體情況進(jìn)行分析�����。如表1所示給出不同場(chǎng)合下�����,無線安全方案�����。
在充分體驗(yàn)無線網(wǎng)絡(luò)給人們帶來的便利與豐富體驗(yàn)的同時(shí)��,安全威脅一直如影相隨����,保證無線網(wǎng)絡(luò)安全也就成為了無線網(wǎng)絡(luò)應(yīng)用與發(fā)展中所有問題的焦點(diǎn)問題����,WiFi聯(lián)盟推出的各項(xiàng)技術(shù)與標(biāo)準(zhǔn)不斷增強(qiáng)著無線網(wǎng)絡(luò)安全,加強(qiáng)了無線安全管理����。安全技術(shù)與標(biāo)準(zhǔn)的完善不斷推動(dòng)者無線網(wǎng)絡(luò)的應(yīng)用��,同時(shí)無線網(wǎng)絡(luò)安全不僅與認(rèn)證����、加密��、完整性檢測(cè)等技術(shù)有關(guān)����,還需要入侵檢測(cè)系統(tǒng)、防火墻等技術(shù)的配合�����,因此無線網(wǎng)絡(luò)的安全是一個(gè)多層次的問題��,根據(jù)實(shí)際情況����,綜合利用各項(xiàng)技術(shù)設(shè)計(jì)無線網(wǎng)絡(luò)安全方案。
參考文獻(xiàn)
[1] 卡什(Cache�����, J.).無線網(wǎng)絡(luò)安全.北京:機(jī)械工業(yè)出版社,2012.3.
[2] 楊哲.無線網(wǎng)絡(luò)黑客攻防.北京:中國鐵道出版社��,2011.11.
[3] 劉威.無線網(wǎng)絡(luò)技術(shù).北京:電子工業(yè)出版社�����,2012.1.
[4] 任偉.無線網(wǎng)絡(luò)安全問題初探.信息網(wǎng)絡(luò)安全��,2012.1.
[5] 池水明��,孫斌.無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防范技術(shù)芻議.信息網(wǎng)絡(luò)安全��,2012.3.
第9篇
【關(guān)鍵詞】防火墻�����;殺毒軟件��;操作系統(tǒng)應(yīng)用����;加密技術(shù)
一��、網(wǎng)絡(luò)安全定義
什么樣的環(huán)境才是安全的�����,用怎樣的手段去塑造安全的網(wǎng)絡(luò)環(huán)境�����。解決了這兩個(gè)問題�����,就了解了網(wǎng)絡(luò)安全的的真諦。國際組織和不同的協(xié)會(huì)乃至國家��,都曾經(jīng)給出過網(wǎng)絡(luò)安全的定義����。各有不同,但是無外乎是從宏觀角度��、微觀角度來論述����。核心含義還是大致相同的。這里我們綜合我國的網(wǎng)絡(luò)安全定義從理解的角度進(jìn)行說明�����。網(wǎng)絡(luò)安全首先是指網(wǎng)絡(luò)能夠正常的進(jìn)行信息傳送工作,不受到任何因素的威脅��。實(shí)現(xiàn)的手段既包含軟件安裝與使用等手段又涵蓋硬件設(shè)備的作用��。深入淺出的說就是利用安裝硬件設(shè)備和通過軟件技術(shù)共同實(shí)現(xiàn)�����。從而保證網(wǎng)絡(luò)信息安全����,不被病毒、木馬又或者自然因素的影響����。或許有人說自然因素如何控制����,能夠預(yù)防所有的病毒木馬嗎��?的確,這個(gè)概念是理想化的。是網(wǎng)絡(luò)安全的高級(jí)標(biāo)準(zhǔn)��。只要我們做好網(wǎng)絡(luò)安全維護(hù)工作,不斷更新軟件工具�����,使用網(wǎng)絡(luò)安全技術(shù)����,就能夠保證具體時(shí)間段內(nèi)的安全��。使得網(wǎng)絡(luò)威脅縮減到最小�����,也就實(shí)現(xiàn)了網(wǎng)絡(luò)安全的目的����。
二、殺毒技術(shù)的應(yīng)用
1994年2月18日�����,我國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》,在《條例》第二十八條中明確指出:“計(jì)算機(jī)病毒�����,是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用��,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼�����?����!边@是我國對(duì)于計(jì)算機(jī)病毒的正式定義��,但是在實(shí)際中����,所有會(huì)對(duì)用戶的計(jì)算機(jī)安全產(chǎn)生威脅的����,都被劃入了廣義的病毒范疇。
病毒大致分為以下幾類:傳統(tǒng)病毒����,宏病毒,惡意腳本��,木馬�����、黑客����、蠕蟲、破壞性程序�����。
1.傳統(tǒng)病毒:能夠感染的程序�����。通過改變文件或者其他東西進(jìn)行傳播����,通常有感染可執(zhí)行文件的文件型病毒和感染引導(dǎo)扇區(qū)的引導(dǎo)型病毒����;
2.宏病毒(Macro):利用Word、Excel等的宏腳本功能進(jìn)行傳播的病毒�����;中華考試網(wǎng)(Examw��。com)
3.惡意腳本(Script):做破壞的腳本程序����。包括HTML腳本、批處理腳本��、VB�����、JS腳本等��;
4.木馬(Trojan)程序:當(dāng)病毒程序被激活或啟動(dòng)后用戶無法終止其運(yùn)行�����。廣義上說��,所有的網(wǎng)絡(luò)服務(wù)程序都是木馬��,判定是否是木馬病毒的標(biāo)準(zhǔn)不好確定��,通常的標(biāo)準(zhǔn)是:在用戶不知情的情況下安裝�����,隱藏在后臺(tái),服務(wù)器端一般沒有界面無法配置�����;
5.黑客(Hack) 程序:利用網(wǎng)絡(luò)來攻擊其他計(jì)算機(jī)的網(wǎng)絡(luò)工具��,被運(yùn)行或激活后就象其他正常程序一樣有界面;黑客程序是用來攻擊/破壞別人的計(jì)算機(jī)��,對(duì)使用者本身的機(jī)器沒有損害��;
6.蠕蟲(Worm)程序:蠕蟲病毒是一種可以利用操作系統(tǒng)的漏洞、電子郵件����、P2P軟件等自動(dòng)傳播自身的病毒�����;
7.破壞性程序(Harm):病毒啟動(dòng)后�����,破壞用戶計(jì)算機(jī)系統(tǒng)�����,如刪除文件,格式化硬盤等�����。常見的是bat文件����,也有一些是可執(zhí)行文件,有一部分和惡意網(wǎng)頁結(jié)合使用��。
網(wǎng)絡(luò)安全熱門技術(shù)之一����,針對(duì)的是各種病毒。網(wǎng)絡(luò)病毒主要目的都是非法獲取數(shù)據(jù)信息�����,破壞計(jì)算機(jī)硬件設(shè)備,最終達(dá)到組織計(jì)算機(jī)和網(wǎng)絡(luò)正常工作的破壞性目的����。常見的病毒類型眾多,這里簡(jiǎn)單舉例����,不一一介紹����。比如蠕蟲類的病毒,工作原理是通過不斷的復(fù)制����,而去占用 CPU和內(nèi)存空間,造成剩余空間過低或者沒有剩余空間����,使得網(wǎng)絡(luò)和計(jì)算機(jī)癱瘓 ����;又如CIH 病毒����,這個(gè)曾經(jīng)破壞性極強(qiáng)的病毒��,只是一個(gè)業(yè)余的編程愛好者編寫的?�?梢姴《镜闹谱鞑⒉恍枰芨叩募夹g(shù)含量。這也使得病毒類型不斷更新�����,威脅性極大。CIH 利用時(shí)間為觸發(fā)��,也就是在到達(dá)某個(gè)日期時(shí)候或者星期幾的時(shí)候才發(fā)作�����。他的目的是損壞計(jì)算機(jī)硬件的硬盤等設(shè)備��。造成了巨大的經(jīng)濟(jì)損失�����。當(dāng)然還有熊貓燒香��、圣誕節(jié)病毒����、灰鴿子病毒(木馬)如此等等��,不一而足��。
殺毒技術(shù)重要是通過了解病毒和木馬的特性����,工作原理,觸發(fā)條件來進(jìn)行病毒的破解����、查殺����。殺毒軟件已經(jīng)有成熟的產(chǎn)品�����,用戶只需要了解各個(gè)產(chǎn)片的特性和公司情況,更新狀況挑選適合的產(chǎn)品��。進(jìn)行安裝和使用就可��。這里推薦的有金山獨(dú)霸系列��、KAV 系列、卡巴斯基�����、諾頓�����、瑞星等��。喜歡嘗試新產(chǎn)品的朋友可以嘗試使用360 殺毒等。但是新的殺毒軟件產(chǎn)品在提供新特性的同時(shí)往往也存在一些沒有預(yù)見的小問題。用戶可根據(jù)情況選擇��。
三��、操作系統(tǒng)安全應(yīng)用
作系統(tǒng)安全應(yīng)用網(wǎng)絡(luò)安全離不開網(wǎng)絡(luò)終端―計(jì)算機(jī)的使用����。而計(jì)算機(jī)的使用又不能是裸機(jī),都需要操作系統(tǒng)進(jìn)行工作����。哪么操作系統(tǒng)也就成了各種網(wǎng)絡(luò)危險(xiǎn)分子的攻擊目標(biāo)。受到各類型的攻擊����。所以要做好操作系統(tǒng)安全����,保證網(wǎng)絡(luò)安全����。
操作系統(tǒng)內(nèi)核技術(shù)通常來說不是普通用戶可以接觸的,但是用戶只需了解哪些操作系統(tǒng)適合個(gè)人用戶使用����,哪些適合作為服務(wù)器操作系統(tǒng)就可以。任何一種操作系統(tǒng)都有安全設(shè)置技術(shù)�����,只不過是安全性程度高低不同�����,比如個(gè)人用戶����,對(duì)安全性較低的,可以采用 XP 操作系統(tǒng)����。如果是公司或者對(duì)安全性要求較高的,就需要使用 LINUX 系列或者 WINDOW SEVER 系列��。再提高一步�����,如果設(shè)計(jì)政府公務(wù)國家安全����,哪么就有必要使用自主開發(fā)的操作系統(tǒng),如我國就曾開發(fā)過紅旗系列的操作系統(tǒng)�����。
從設(shè)置角度�����,要掌握網(wǎng)絡(luò)管理員設(shè)置技術(shù)����。以 WINDOWS SEVER2000 為例��,一般來說都要屏蔽 不必要的“組”��,設(shè)置多級(jí)別用戶密碼,啟用服務(wù)日志����,用戶分級(jí)管理等操作����。這些都屬于初級(jí)階段,要做一名技術(shù)成熟的網(wǎng)絡(luò)管理員����,需要更加深入的學(xué)習(xí)了解�����,這里篇幅有限不能贅述����。
四��、數(shù)據(jù)傳送技術(shù)應(yīng)用
現(xiàn)在,在動(dòng)態(tài)信息傳輸?shù)倪^程中����,很多協(xié)議都是采用收錯(cuò)重傳��、丟棄后續(xù)包的方式來保證信息完整性和準(zhǔn)確性�����,黑客正是利用這一點(diǎn)在信息包內(nèi)加入病毒程序?qū)τ脩綦娔X或數(shù)據(jù)進(jìn)行攻擊�����,為了保證數(shù)據(jù)的安全性�����,確保數(shù)據(jù)的完整性也是所做工作中重要的一部分�����。有效的方法有以下幾種 :
報(bào)文鑒別 :與數(shù)據(jù)鏈路層的 CRC 控制類似�����,將報(bào)文名字段使用一定的操作組成一個(gè)約束值,稱為該報(bào)文的完整性檢測(cè)向量 ICV 把約束值與數(shù)據(jù)捆綁在一起進(jìn)行加密��,這樣攻擊者由于不能對(duì)所做工作中重要的一部分報(bào)文進(jìn)行解密����,從而確保信息的安全性。因此�����,確保數(shù)據(jù)不被修改��。這樣��,計(jì)算機(jī)把接收方收到數(shù)據(jù)后解密并計(jì)算 ICV 與明文中的 ICV 對(duì)比��,如果相同則認(rèn)為有效��。消息完整性編碼 MIC :是一種通過一種簡(jiǎn)單的函數(shù)來計(jì)算消息摘要的一種方法�����,函數(shù)信息和數(shù)據(jù)信息都會(huì)被接收方接收��,接收方重新計(jì)算摘要后還要對(duì)接收的內(nèi)容進(jìn)行驗(yàn)證與檢錯(cuò)����。防抵賴技術(shù)的主要作用是能為源和目的地提供證明,數(shù)字簽名是防抵賴技術(shù)中使用比較普遍的一種方法��,數(shù)字簽名就是按照某種系統(tǒng)默認(rèn)的數(shù)據(jù)傳送與接收協(xié)議�����,實(shí)現(xiàn)發(fā)送方已經(jīng)發(fā)送數(shù)據(jù)��,接收方已經(jīng)接收數(shù)據(jù)的一種方法��。
參考文獻(xiàn):
[1] 方鑫 . 計(jì)算機(jī)網(wǎng)絡(luò)安全的探析 [J].信息與電腦 ( 理論版 ).2010(07).
