公务员期刊网 精选范文 常用网络安全标准范文

常用网络安全标准精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的常用网络安全标准主题范文,仅供参考,欢迎阅读并收藏。

常用网络安全标准

第1篇:常用网络安全标准范文

关键词:无线网络 安全 必要性 安全发展

中图分类号:TN925 文献标识码:A 文章编号:1003-9082(2015)06-0017-01

一、无线网络安全的必要性

无线局域网络在给人们生活带来便利的同时,也存在一定安全隐患。无线局域网路是通过无线电波进行空中数据传输的,不可以使用有线网络通过保护线路来保护信息安全的方式,因此在无线网络覆盖的区域内任何用户都可以接触到数据,不可能只是把数据信息发送给一个接受者,此时防护墙也不会起到很大作用,所有人在标准范围内都可以进行数据截获。因此,无线局域网络开拓了用户的自由,具有安装时间短,更改结构方便、灵活以及可以提供范围内全功能漫游服务等特点,也给无线网络的发展带来挑战,其中包括安全性的挑战。无线局域网络必须要考虑的安全因素主要有:控制访问、身份验证以及保密信息。如果这三大因素都安全的话,那么不仅可以保护移动设备和网络不受伤害,也可以保证传输的信息不受危害。保证安全性的重点就是怎样找到一种可以满足三要素的简单安全方案。依据国外的研究结果表明,现阶段应用比较广泛的IEEE802.11无线网络出现越来越多的切听事件和攻击事件。因此,需要对无线网络进行研究,发现其中的问题与缺陷,找到解决方法,提高无线网络的安全性。

二、无线网络安全技术

1.扩频跳频技术

扩展跳频实际上是利用一个相对比较脆弱的功率把信号发送出去。其方式有很多种,最常用的就是跳频序列和直接序列。采用不同的频道数、跳频图案等可以让离得比较近的局域网一起存在,也不会出现窃听数据和干扰问题,扩频和跳频也发展成无线局域网络可以抗干扰的主要方式。

2.扩展服务集标识号(ESSID)

每个设备中都有一个内置的扩展服务集标识号,因此对于每一个很可能会接入存储点的设备来说,应该首先确认接入点是否符合此网络,并且对适配器的32位扩展服务集标识号进行判断,看其是否符合实际需求,一旦不符合,就会被服务器拒绝。如果需要移动用户和以及多个接入点,那么此时的扩展服务集标识号设置应该一致,跳频应该保持不一样,这些的控制都需要密钥。所以想要窃听跳频序列和扩展服务集标识号是很困难的。

3.连线对等加密(WEP)

连线对等加密主要是采取对等加密的方式进行计算,如RC4,在解码以及加密端都是采用共同密钥。共同密钥会进入到每个客户存取点中,并且其中所有的数据解码与传送都不在存储端与客户端,使用共同密钥进行解码与加密。连线对等加密也可以给客户提供认证功能,作为加密功能使用,应该不断尝试把客户端连接在存储点上,存储点会给客户发送一个测试挑战值封包,然后需要客户利用共同密钥进行加密后把数据送回,最后才可以对数据资源进行存取。

三、无线网络安全发展概况

自从无线网络IEEE802.11问世之后,快速成为事实标准,但是还是有着一些遗憾,自从问世以来,安全协议连线对等加密就一直受到各种质疑,美国大学的Wagner以及Borisov Goldberg是最早发现安全协议连线对等加密中存在一定失误,此后大量的安全信息研究人员也发表了声明讨论安全协议连线对等加密中的缺陷,并且和相关技术人员进行配合,在试验中得到安全协议连线对等加密的传输数据。目前,可以获取传输数据的设备已经可以在市场上买到,可以破解安全协议连线对等加密的黑客软件在互联网上也能够进行下载。安全协议连线对等加密不安全已经逐渐成为大家都知道的事件,因此人们逐渐开始期待连线对等加密能够有质的变化,很多新的无线网络技术就开始发展起来。

自从2001年开始我国就不断地制定各种无线网络安全标准,经过不断的研究与发展,制定了保密基础设施WAPI和无线认证,并且发展成为国家标准,在2003年十二月开始实行。在有可信第三方的条件下,WAPI采用公共密钥技术,对移动终端和接入点是否符合证书标准进行验证,从而保障完成双向认证、生成会话密钥以及接入控制等,以便于可以达到安全传输的目的。WAPI主要由接入点、认证服务以及移动终端共同组成,基本与802.11的草案制定结构类似,一般的密码算法都是不会公开的。虽然WAPI是进行公开的,但是其安全性的论述还没有正式进行讨论。提高安全草案也是历经许久才制定下来,在此期间基本每月都要展开几次会议进行探讨,从会议记录可以看出很多问题。在最开始的时候技术组想要使用AES-OCB技术作为无线网络的安全技术,但是不久以后就换成CCMP,AES-OSB作为缺省,此后又把CCMP作为缺省,此后还把AES-OCB完全取消,只是使用CCMP算法,在这样的发展中,我们可以看出无线网络各方面的安全标准,有利于我们研究无线网络安全技术。

结束语

现阶段,无线网络的安全越来越受到重视,无线网络已经逐渐成为人们生活中不可缺少的部分,也更加需要可行的安全措施来保障信息安全性。近年来,已经逐渐提出很多适应环境的安全技术,从而保障了网络的安全性,促进了无线网络进一步发展。

参考文献

[1]李浩.无线网络技术难点分析及安全方法探讨[J].技术与市场,2014(7):200-200.

[2]张超凡,黄宏伟,汤志军等.无线局域网络技术在田间秸秆粉碎功耗测试中的应用[J].农业机械学报,2011,39(4):125-127.

[3]周小玻杨柱石,陈伟根等.采用ZigBee PRO无线网络技术的导线舞动多点监测系统设计[J].高电压技术,2011,37(8):1967-1974.

第2篇:常用网络安全标准范文

大学具有不同的信息安全课程开设特点。但在信息安全课程的设置上需要考虑如下几个方面。(1)课程设置要与国际同行接轨;(2)课程设置要分成信息安全和网络安全两个模块;(3)课程设置必须包括实验和实践;(4)课程设置不是一成不变,需要与时俱进;(5)课程设置要结合自身学校特点,并建立课程的跟踪反馈机制。对于信息安全的本科专业,可以将专业课程分成三个模块,即信息安全课程、网络安全课程,及综合实验。信息安全课程包括信息安全体系结构、信息安全标准、信息安全数学基础、密码学原理,和信息隐藏技术。网络安全课程包括计算机网络基础、网络安全防护、、网络设计、无线网络安全、路由与交换技术安全协议、计算机病毒防护、防火墙技术、应用服务器安全等课程。

二、信息安全实训

信息安全专业的实训课程,可分为两种类型:一种是部分课程的实验,以及信息安全综合实验和网络安全综合实验。这种类型实验的目的是让学生通过实验理解知识的本质和原理。第二种是单独开设的实训课程,目的是培养学生综合运用所学多种信息安全技能,提高学生的实际能力、创新能力。为毕业设计、实习、就业打基础。

1、信息安全实训平台

信息安全实训课程是建立在课堂教学的基础上,通过课堂的学习使得学生可以掌握信息安全专业的相关基础。并在此基础上,通过实训课程完成课堂教学的升华。信息安全实训需要搭建平台,包括基础实验平台、综合实训平台,和开放性研究平台。基础实验平台的功能是对学生基本动手能力的训练,帮助学生理解与掌握课堂所学的基本原理和方法。基础实验平台应该包括信息安全体系中常用的密码机、防火墙、隔离网闸、网络监视与扫描系统、智能卡读写器、指纹仪等设备。通过观察这些设备,可以帮助学生更直观地理解其工作原理。同时,可以借助一些软件产品,观察这些设备的实时处理方式和数据。综合实训平台的功能是提高对综合应用知识的运用能力,使得学生能够综合一门或几门课程的知识点进行设计,从而提高综合设计的运用能力,培养其解决工程设计中实际问题的能力。

综合实训平台通常包括网络安全实验实训平台和信息安全综合实训平台。这两个平台包括网络安全和信息安全中最典型的实验和最常见的工具,通过这两个平台的学习和实践,学生能够综合运用所学知识,提高实践能力。开放性研究平台的功能是培养学生的创新能力。教师根据自身的科研课题为学生设计若干个小的项目,让学生参与到课题组,锻炼学生的团队合作能力。同时,学生也可以自己申请一些题目,请教师进行协助和指导。通过这些方式可以调动学生的学习热情,使得学生的创新能力得到很大的提高。除此之外,还可以组织学生参加全国、省级别、校级别的各种信息安全大赛。除了学校搭建的信息安全实训平台外,可以和校外信息安全企业展开合作。让教师和学生参与到真正的安全项目中,了解项目开发的所有流程,积累经验,为日后毕业就业打下坚实的基础。

2、信息安全实训评价系统

信息安全实训评价系统的设计,应该具有如下几个功能:

(1)通过信息安全实训评价系统,学生在实际的操作过程中,可以向教师及时反馈实训过程中存在的问题、意见和建议,便于老师及时掌握学生的学习情况,而不是简单的完成工作任务,教师根据学生反馈,及时调整实训项目内容,提高实训教学质量。

(2)通过信息安全实训评价系统,学生在实训进行过程中,可以查看实训的状态及完成情况,在完成实训时可以查看自己的实训结果。并根据结果来进行判断实训的效果。增加了学生的自主学习能力。

(3)通过信息安全实训评价系统,教师可以查看所有学生的实训完成情况,全面了解实训效果。通过学生的反馈结果,教师可以重新制定实训内容,或者根据不同学生的状况来有针对性地进行实训。

(4)信息安全实训评价系统应该包括教师评价模块、学生自评模块,以及学生间的互评模块。

三、结论

第3篇:常用网络安全标准范文

关键词:无线局域网;WIFI;全球定位系统;无缝定位;网络安全

1 引言

针对无线局域网网络安全的特点,文中提出了将基于WIFI的无缝定位技术用于网络安全的解决方案,为企业级用户解决无线局域网网络安全问题提供一条新的技术路线。

2 无线局域网及其安全问题解决方案

2.1 WIFI网络

随着“无线城市”概念的提出,许多国家和地区都提出了WIFI网络覆盖计划,并付诸实施。WIFI网络覆盖范围的扩展也促进了集成WIFI接收模块的终端的发展,逐渐成为各种终端如计算机、手机、相机甚至汽车的标配。当前移动通信已进入“3G”时代,移动用户对于数据上传下载的需求急剧增长,只依靠3G网络无法承担日益增长的网络载荷,而WIFI网络具有低成本、无线、高速的特点,可以弥补3G网络的不足,因此WIFI网络在未来将有更加广阔的应用前景。

2.2 MESH网络

无线MESH是一种非常适合于覆盖大面积开放区域(包括室外和室内)的无线区域网络解决方案.无线MESH网的特点是:由包括一组呈网状分布的无线AP构成,AP均采用点对点方式通过无线中继链路互联,将传统WLAN中的无线“热点”扩展为真正大面积覆盖的无线“热区”。终端目前的普及应用为无线MESH的迅速推广带来好处。因此,WIFI和无线MESH网络可以相互补充、相互融合。

2.3 无线局域网安全问题常用解决方案

无线局域网以无线信号作为传输媒介,由于无线信道的特殊性及公开性,任何人都能监测到信号,甚至使用各种非法手段窃听及盗取数据,给网络安全带来了巨大的挑战。由于WIFI网安全领域存在重大隐患,WIFI网被禁止在国内进行大规模推广,可见无线局域网存在安全问题已成为WLAN产业进一步发展的最大阻力。

针对无线局域网存在的安全问题,IEEE802.11指定了多个安全机制来加强无线局域网的安全性(图1是利用WPA方式构建的安全系统结构解决方案),相关安全标准已经进行实际应用并推广。目前无线局域网的安全机制主要有以下几种。

(1)WEP安全机制。WEP机制是一种对称密钥加密算法,采用了RSA数据保密公司的RC4伪随机数产生器。在WEP机制中,同一无线网络的所有用户和AP都是用相同的密钥用于加密和解密,网络中的每一个用户和AP都存放密钥。802.11标准没有定义一种密钥管理协议,所以WEP密钥都必须通过手工来管理。但是WEP加密机制存在缺点,在数据机密性、完整性及访问控制方面并没有达到预期的安全水平,利用现在的脚本工具就能成功的攻入网络并发现WEP密钥,因此引入更高安全级别、更完善的安全机制成为必然趋势。

(2)WPA安全机制。针对WEP的设计缺陷,为增强无线局域网安全性,WIFI联盟提出了一种新的安全机制:WPA(WIFI联盟受限接入)作为无线网络安全的一个过渡机制。WPA使用临时密钥集成协议TKIP进行数据加密,而认证有两种模式:一种是适用企业级用户的802.1X协议,一种是适用于家庭的预先共享密钥PSK。WAP有效地解决了WEP中加密算法密钥过短、静态密钥和密钥缺乏管理等问题,但是依然存在缺陷:它采用的加密算法还是RC4加密算法,很容易遭到黑客的暴力破解;802.1x也存在不足,对于合法的EAPOL_Start报文AP都会进行处理,攻击者只要发送大量EAPOL_Start报文就可以消耗AP的资源,使AP无法响应新的EAPOL请求,达到瘫痪网络的目的。WPA存在的这些缺陷决定了难以成为一个理想的安全机制。

(3)802.11i安全机制。802.11i是一种新型的无线局域网安全机制,它提出了一个全新的安全体系,采用了公认最为成熟的AES加密算法,定义了而过渡安全网络TSN,以802.1x作为认证和密钥管理方式、以TKIP和CCMP作为数据加密机制,改进了原有安全机制存在的不足,具有很强的技术优势和应用前景。

除以上三种常用的安全机制,还有其它的安全机制,如WAPI(无线局域网鉴别和保密基础结构)安全机制、基于VPN(虚拟个人局域网)的安全机制等。虽然无线局域网网络安全组织推出了各种安全体制来提升WLAN的安全性,但是依然无法满足企业级用户对安全性的要求,需要探索利用其它技术手段来建立新的安全机制。

3 基于WIFI的无缝定位技术

WIFI不仅可以提供无线接入及数据传输功能,还可以用于定位。WIFI网络在不增加额外的硬件情况下,通过分析接入点相对于无线网络设备信号强度或者信噪比来推断目标物体的位置。客户端使用或连接到一个接入点,此接入点提供最强的RSS信号。客户端漫游,定期检查信号强度,确定最佳的接入点。通过信号测量,可以得到客户端的位置。基于WIFI的室内定位方法主要有两种:传播模型法和位置指纹法。位置指纹法需要大量的训练,其定位精度与训练点的个数有关系。传播模型法是利用信号在室内的衰减规律,将接收到的信号强度转换为距离,再由室内定位算法得出用户终端的位置。传播模型法的优点是不需要大量的训练,但其定位的准确度依赖于传播模型和定位算法。基于WIFI的定位技术具有覆盖面广,信息传输速度快,成本低特点,成为室内定位的主要技术。

基于WIFI网的定位技术也存在诸多不足,当WIFI网信号不稳定,基于WIFI的定位技术精度就会比较低,在室外无WIFI信号或者信号微弱的时候不能提供定位服务,难以保证定位服务的时空连续性。因此WIFI常用来辅助GPS进行定位与导航,为终端提供GPS无法实现的室内定位功能。

4 无缝定位技术用于无线局域网网络安全

基于WIFI网的无缝定位技术提供的连续位置服务功能,在方便用户进行定位与导航,也为实时监测用户的位置提供了可能性。只要用户进入WIFI网信号区域时,并连接到WIFI网络之后,采用必要的技术手段获取用户的位置信息,就可以对用户的访问行为进行实时监控。如果配以必要的识别技术如RFID识别,在用户进入WIFI网时进行身份识别。利用身份识别和位置监测技术,可以形成一套基于位置信息的网络安全解决方案,为无线网络安全的监管提供一条新的技术路线。

基于WIFI的无缝定位技术用于无线网络安全基本思想就是根据用户的位置信息限制无线局域网访问权限,通过在无线局域网有效信号范围构建起“物理围栏”以及在用户周围构建起虚拟的“地理围栏”,综合了传统的网络安全和物理安全技术,有效的保护了无线网络的安全。

4.1 物理围栏

物理围栏就是基于访问用户的授权建立的,主要应用RFID技术,它可以对访问用户的身份进行识别,当用户的身份符合要求时,就可以突破物理围栏,获取无线局域网的访问权限,这就从源头上降低了用户非法访问无线局域网网络资源的可能性。

4.2 地理围栏

用户在突破物理围栏进入无线局域网后,还需要对用户的行为进行实时监控,这依赖于在访问用户的终端周围建立起的地理围栏。

利用WIFI网络与GPS定位技术的融合,可以获取用户的位置信息,并将其访问行为限定在合法的访问区域之内,一旦用户的访问行为突破限定的访问区域,可以采取断网或者警告等手段来对用户访问进行控制。

基于位置信息的安全技术和用户移动设备身份识别技术的综合运用,把网络的防护和智能辨认功能提升到更高的层次,地理围栏可以创建一个伴随每一个移动设备移动的客户化的无形围栏,使网络管理员能够确保每一个设备仅能访问网络上被授权的区域和资源。

5 结论

基于WIFI的无缝定位技术由于精度还比较低,需要进一步提高定位精度,此时基于WIFI的无缝定位技术用于网络安全才具有实用性。

基于位置信息的网络安全技术作为一种新兴的跨学科的安全防护技术还处于研究和应用的初级阶段,物理围栏技术只是定位技术与网络安全技术的简单结合。随着研究的深入及无缝定位技术的发展,基于位置信息的网络安全技术必将更为成熟和完善,其应用领域也不再局限于无线局域网,将在更加广泛的安全领域中发挥积极的作用。

[参考文献]

[1]陈.定位技术在网络安全领域中的应用[J].网络技术,2010,(6):15-17.

[2]吴雨航.WIFI网辅助GPS的无缝定位方法研究[D].北京:北京大学,2010:1-4.

第4篇:常用网络安全标准范文

计算机通信网络技术是通信技术与计算机技术相结合的产物。计算机通信网络是按照网络协议,将地球上分散的、独立的计算机相互连接的集合。计算机通信网络具有共享硬件、软件和数据资源的功能,具有对共享数据资源集中处理及管理和维护的能力,但是计算机的数据也会被盗用、暴露或者篡改。通信网络所具有的广泛的地域性和协议开放性决定了网络通信的易受攻击性。另外,由于计算机本身的不完善,用户设备在网上工作时,很可能会受到来自各方面的攻击。随着信息技术的飞速发展,计算机通信网络的安全问题越来越受到广大网民的关注。

一、计算机通信网络的安全问题概述

计算机通信网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。计算机通信网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。

1988年11月3日,第一个“蠕虫”出现在互联网上。在几小时之内,数千台计算机被传染,计算机通信网络陷入瘫痪。“morris蠕虫”的出现改变了许多人对互联网安全性的看法。一个单纯的程序能有效地摧毁了数百台(或数千台)机器,那一天标志着计算机通信安全性研究分析的开始。随后计算机通信网络的安全问题就频繁出现。据统计,全球约20秒种就有一次计算机入侵事件发生,互联网上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。

二、计算机通信网络的不安全性的主要表现形式

(一)信息泄露:第三者可能偷听到甲乙两方通信内容,第三者利用本来不是发给他的信息。

(二)识别:通信双方不能肯定对方是否是自己想与之通信的对象以至相互猜疑。

(三)假冒:非法用户想获得网络服务,必须有不可伪造的签名。

(四)篡改:攻击者更改网络中传输的报文以达到某些利益。

(五)恶意程序的攻击:包括计算机病毒、计算机蠕虫、逻辑炸弹等。

三、针对计算机的安全性问题采取的措施

(一)访问控制安全

访问控制是网络安全防范和保护的主要本文由收集整理方法,它的主要任务是保证网络资源不被非法的使用和访问。它是保证网络安全最重要的核心策略之一。计算机通信网络的访问控制安全主要包括用户口令鉴别、访问权限控制、网络安全监视、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。

(二)数据传输安全

传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:

1.加密与数字签名。计算机通信网络的加密即对osi模型中的数据链路层、传输层、应用层这三层进行加密处理。这样做可以有效减少在传输线路上被窃取的危险,使数据在网络传输期间保持加密状态,同时让网络应用程序对数据进行加密和解密处理。

数字签名是数据的接收者用来证实数据的发送者正确无误的一种方法,它主要通过加密算法和证实协议而实现。

2.防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。 通俗地说,防火墙就是一种能拦截有害信息的防御系统。

3.user name/password认证。该种认证方式是最常用的一种认证方式,它用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。

4.基于pki的认证。使用pki(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。

5.虚拟专用网络(vpn)技术。vpn技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。

第5篇:常用网络安全标准范文

关键词内部网络;网络安全

1引言

目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注!

防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;另外采用防火墙、入侵检测设备等。但是,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为!(ComputerWorld,Jan-uary2002)。来自内部的数据失窃和破坏,远远高于外部黑客的攻击!事实上,来自内部的攻击更易奏效!

2内部网络更易受到攻击

为什么内部网络更容易受到攻击呢?主要原因如下:

(1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,典型的应用如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。

(2)在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。

(3)黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。

(4)内部网络更脆弱。由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身手。

(5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。

(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。

(7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。

(8)信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的信息缺乏有效的控制和监督管理办法。

(9)由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。

3内部网络的安全现状

目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。

在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。由于内部网络的高性能、多应用、信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分问题,而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面,如何在其中寻找到一个平衡点,也是众多企业中普遍存在的焦点问题。

4保护内部网络的安全

内部网络的安全威胁所造成的损失是显而易见的,如何保护内部网络,使遭受的损失减少到最低限度是目前网络安全研究人员不断探索的目标。笔者根据多年的网络系统集成经验,形成自己对网络安全的理解,阐述如下。

4.1内部网络的安全体系

笔者认为比较完整的内部网络的安全体系包括安全产品、安全技术和策略、安全管理以及安全制度等多个方面,整个体系为分层结构,分为水平层面上的安全产品、安全技术和策略、安全管理,其在使用模式上是支配与被支配的关系。在垂直层面上为安全制度,从上至下地规定各个水平层面上的安全行为。

4.2安全产品

安全产品是各种安全策略和安全制度的执行载体。虽然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此还必须有好的安全工具把安全管理的措施具体化目前市场上的网络安全产品林林总总,功能也千差万别,通常一个厂家的产品只在某个方面占据领先的地位,各个厂家的安全产品在遵守安全标准的同时,会利用厂家联盟内部的协议提供附加的功能。这些附加功能的实现是建立在全面使用同一厂家联盟的产品基础之上的。那么在选择产品的时候会面临这样一个问题,即是选择所需要的每个方面的顶尖产品呢,还是同一厂家联盟的产品?笔者认为选择每个方面的顶尖产品在价格上会居高不下,而且在性能上并不能达到l+1等于2甚至大于2的效果。这是因为这些产品不存在内部之间的协同工作,不能形成联动的、动态的安全保护层,一方面使得这些网络安全产品本身所具有的强大功效远没有得到充分的发挥,另一方面,这些安全产品在技术实现上,有许多重复工作,这也影响了应用的效率。因此网络安全产品的选择应该是建立在相关安全产品能够相互通信并协同工作的基础上,即实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,以实现最大程度和最快效果的安全保证。目前在国内外都存在这样的网络安全联盟实现产品之间的互联互动,达到动态反应的安全效果。

4.3网络安全技术和策略

内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向,那么安全技术和策略的实现也应从这三个方面来考虑。

积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测(甚至是内部入侵者)层面。内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁,就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能,具体包括:不断地自动监视目录,检查用户权限和用户组帐户有无变更;警惕地监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏,真正的安全管理工具会通知相应管理员,并自动采取预定行动。

在积极查询的同时,也应该采用必要的攻击防范手段。网络中使用的一些应用层协议,如HTTP、Telnet,其中的用户名和密码的传递采用的是明文传递的方式,极易被窃听和获取。因此对于数据的安全保护,理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,这样既防止用户对业务的否认和抵赖,同时又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份的数据快速的恢复;针对WWW服务器网页安全问题,实施对Web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,并提供友好的用户界面以便用户查看、使用,有效地保证了Web文件的完整性和真实性。

4.4安全管理

安全管理主要是指安全管理人员。有了好的安全工具和策略,还必须有好的安全管理人员来有效的使用工具和实现策略。经过培训的安全管理员能够随时掌握网络安全的最新动态,实时监控网络上的用户行为,保障网络设备自身和网上信息的安全,并对可能存在的网络威胁有一定的预见能力和采取相应的应对措施,同时对已经发生的网络破坏行为在最短的时间内做出响应,使企业的损失减少到最低限度。

企业领导在认识到网络安全的重要性的同时,应当投入相当的经费用于网络安全管理人员的培训,或者聘请安全服务提供商来维护内部网络的安全。

4.5网络安全制度

网络安全的威胁来自人对网络的使用,因此好的网络安全管理首先是对人的约束,企业并不缺乏对人的管理办法,但在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理,企业的领导必须首先认识到网络安全的重要性,惟有领导重视了,员工才会普遍重视,在此基础上制定相应的政策法规,使网络安全的相关问题做到有法可依、有据可查、有功必奖、有过必惩,最大限度地提高员工的安全意识和安全技能,并在一定程度上造成对蓄意破坏分子的心理震慑。

目前许多企业已认识到网络安全的重要性,已采取了一些措施并购买了相应的设备,但在网络安全法规上还没有清醒的认识,或者是没有较为系统和完善的制度,这样在企业上下往往会造成对网络安全的忽视,给不法分子以可乘之机。国际上,以ISO17799/BSI7799为基础的信息安全管理体系已经确立,并已被广泛采用,企业可以此为标准开展安全制度的建立工作。具体应当明确企业领导、安全管理员、财物人员、采购人员、销售人员和其它办公人员等各自的安全职责。安全组织应当有企业高层挂帅,由专职的安全管理员负责安全设备的管理与维护,监督其它人员设备安全配置的执行情况。单位还应形成定期的安全评审机制。只有通过以上手段加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效地使用。

5结论

要想保证内部网络的安全,在做好边界防护的同时,更要做好内部网络的管理。所以,目前在安全业界,安全重在管理的观念已被广泛接受。没有好的管理思想,严格的管理制度,负责的管理人员和实施到位的管理程序,就没有真正的安全。在有了“法治”的同时,还要有“人治”,即经验丰富的安全管理人员和先进的网络安全工具,有了这两方面的治理,才能得到一个真正安全的网络。

参考文献

[1]杨义先、钮心忻,网络安全理论与技术[M.人民邮电出版社,2003

第6篇:常用网络安全标准范文

关键词:计算机;网络 ;信息安全; 安全防护

1. 概述

现在计算机通信技术和计算机信息化的迅速发展,使得数据信息资源急剧膨胀,计算机网络的运用是通信变得方便快捷,但是计算机网络技术的飞速发展,计算机网络在给人们工作和生活提供方便的同时,也对人们构成了日益严重的网络安全威胁。数据窃取、黑客侵袭、病毒感染、内部泄密等网络攻击问题无时不刻不在困扰着用户的正常使用下面将对计算机网络信息安全问题进行分析,提出有效的网络安全防范策略。

2. 计算机网络面临的威胁

计算机网络所面临的威胁大体可分为对网络中信息的威胁和对网络中设备的威胁两种。影响计算机网络安全的因素很多,归结起来,网络安全的威胁主要有以下几点:

(1) 网络的宽泛性。 网络所具有的开放性、 共享性和广泛分布应用的特点对网络安全来讲是主要的安全隐患: 一是网络的开放性, 使得网络所面临的攻击无法预测,或是来自物理传输的窃取和来自对网络通信协议的修改, 以及对网络控制中软件、 硬件的漏洞实施破坏。 二是网络的全球利用性,对网络的攻击不仅是来自于本地网络用户, 还可以是网络中任何其他的非法用户。 三是互联网的自由性, 网络对用户的使用没有技术上的要求, 用户可以自由上网, 和获取各类信息。

(2)防火墙的局限性。 防火墙能对网络的安全起到保障作用, 但不能完全保证网络的绝对安全, 很难防范来自网络内部的攻击和病毒的威胁,这也是防火墙安全防护的局限性。网络软件因素。网络的利用和有需要多方软件与系统支持,信息的存储和转发均由它们进行调制。由于软件的复杂性 ,保证网络软件系统的安全十分有限,所以,软件存在漏洞,这些软件缺陷给黑客提供了方便 ,隐匿的 网络威胁也随之产生。由于网络安全存在的普遍性,网络安全技术己经得到了广泛的关注。其中关于网络安全技术的应用也随之产生和发展。

(3) 人为原因的恶意攻击:主动攻击是以各种方式有选择地破坏信息的有效性和完整性,这两种攻击皆可对计算机网络造成极大危害并导致机密数据的泄漏。

3. 网络安全技术

安全技术也需要不断地发展和改进,各式各样的网络安全技术的广泛应用也在一定程度上改善了计算机网络的安全问题。

(1)防火墙技术

防火墙是由软件和硬件设备组合而成的,在内网和外网之间、专用网与公共网之间的信息保证技术。它建立一个安全网关 ,保护内部网络免受非法用户的修改。防火墙基本的功能是控制网络中,不同信任程度区域间传送的数据流。例如万维网是不可信任的区域,而局域网网是信任的区域。

(2)虚拟专用网技术

虚拟专用网(VPN)是通过一个公用网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全的通道。虚拟网技术是对企业局域网的扩展。虚拟网可以帮助远程用户、公司分支机构内部网建立安全连接 ,并保证信息的安全发送。虚拟网可用于不断增长的移动用户的全球因特网接入 ,以实现安全连接。

(3)安全扫描技术

网络安全扫描技术的目的是让系统员可以及时了解存在的安全漏洞问题,采取安全防范,降低网络的安全隐患。利用安全扫描技术,可以对局域网、Web网、操作系统、通信服务以及防火墙的安全漏洞进行扫描,员可以观察到网络系统中存在的潜在威胁,在网络系统上存在的可能遭受缓冲区溢出攻击或者拒绝服务攻击的漏洞问题。

4. 网络安全的防范措施

虽然近年来黑客活动越来越为猖獗,攻击事件越来越多,但采取完善的防护措施,依然能有效的保护网络信息安全,目前常用的具体策略包括以下几类:

4.1入侵检测技术

入侵检测系统( Intrusion Detection System 简称 IDS) 是对网络入侵行为进行安全检测的监控系统,监控网络的运行状态,及时发现来自网络的攻击,对网络攻击行为或者攻击结果做出报警或做出相应的响应机制,保证网络系统资源的完整性。入侵检测基本原理主要由主体(subjeets)、对象(Objeets)、审计记录(AuditsReoords)、活动简档(profiles)、异常记录(AnomalyRecords)和活动规则(ActivityRules)六个部分组成,目前的入侵检测系统都是在此模型的基础上产生的,它也揭示了入侵检测基本原理。在入侵检测中,随着网络数据的不断增加,检测数据中不断的暴露出问题,目前网络安全监控系统的数据传输端运行速度较低,监控数据查询时出现超时错误比以往更频繁,运行情况较差,已经影响到前台入侵检测网络监控的处理。有效的安全策略在于将正常监控的入侵检测使用的监控数据库监控数据进行分离,保留系统监控必须的基础监控数据和近期的网络监控数据,保证系统正常监控。同时将历史监控数据剥离出来,导入备份监控数据库中,然后在备份监控数据库上重新架设网络安全监控分析系统。由入侵检测数据分离策略包括网络监控数据表分析、网络监控数据转换迁移、网络分离检索、网络监控策略包括网络综合查询、网络用户综合查询、网络监控数据、信息变更查询、网络监控综合查询、网络安全监控量统计反馈、信息统计、网络安全监控数据分析统计查询、日志核对单查询、网络屏幕监控、移动网络安全、、历史监控数据记录查询、网络监控流程查询、网络信息查询、网络维护、安检流程查询及统计、电话报警查询主要的功能比较简单,主要为网络安全监控警员提供网络安全监控系统的历史监控数据的查询、分析、统计功能,不需要进行大量的监控数据分析网络安全中的异常数据信息,采用入侵检测方法是提高网络安全中行之有效的方法

4.2 隐藏IP地址防范IP地址欺骗攻击

在大多数网络安全案例中,黑客都会对被攻击者主机信息进行侦测,等于攻击者明确了被攻击者的精确位置,可以利用这个IP地址对被攻击者计算机发动各种精确的攻击,网络传输中的完整性、可利用性与网络布局和介质传输有关的技术和 通信应用的有机集合。总的来讲,网络安全主要包括了网络中所存储和传送的信息的安全应用。网络安全的要求就是要在网络通信的基础上保证信息的隐秘性、完整性、应用性、真实性。

5. 网络安全的防御

网络信息安全以网络信息制度为依据,基于工作流程的概念,使系统使用人员方便快捷地共享信息,高效地协同工作;改变过去复杂、低效的手工办公方式,网络信息安全建立在信息技术基础上,以系统化的思想,将企业所有资源进行全面一体化的信息系统,有效地促进现有企业的现代化、科学化。

网络信息安全实现了业务的流程化,对所有业务的工作流程和操作规范都制定了较为严格的要求,力求使所有业务数据都达到数据实时录入、业务资料准确的要求。通过网络信息安全设计,各岗位人员都能够及时掌握各项业务流程的具体信息和业务进度,班组长根据各个网络业务实施情况和完成情况对业务和人员进行合理调配,对各项业务的进展情况进行实时监控,提高了网络部门的效率和服务水平,从而实现精细化、人性化。

网络信息安全需要系统提供了多样化的数据查询功能和详尽的统计功能,替代了以往人工查找、计算烦琐的工作方式,提高了信息安全标准,保证了数据的准确性。

目前网络信息安全,随着业务数据的不断增加,系统不断的暴露出问题,目前网络信息安全客户端运行速度已经降到历史最低点,数据查询时出现超时错误比以往更频繁,运行情况较差,已经影响到网络业务的办理。尽早制定一个合理的实施方案并予以实行,改善以上种种问题,已经迫在眉睫。综合系统各方面因素,可以对网络信息系统数据进行数据分离,建立一个移动网络信息系统移动网络信息分析系统。主要操作为:将正常网络信息数据使用的数据库数据进行分离,保留系统运营必须的基础数据和近期的业务数据,保证系统正常运营。同时将历史数据剥离出来,导入备份数据库中,然后在备份数据库上重新架设移动网络信息分析系统。在企业中使用的网络安全中基于入侵检测和数据分离的业务处理形势可以有效保证网络安全的同时,提高网络的利用率和有效性。

网络安全包含的内容较为广泛,在网络安全信息应用等相关软件系统的研究过程中,必须对其通用性和实用性予以保证,在安全分析阶段对网络安全的整个业务过程要作全面而系统的有效分析,从业务的角度对相关业务过程的输入数据、输出数据和数据处理细节进行适当的分析。因业务处理的繁琐性,就必须结合有关的情况,及业务处理过程的具体算法、参数等因素,对其业务流程进行相应规范。对于网络安全力求发现问题并将其作相应整理。

6. 结语:

计算机网络的产生和发展不仅影响人们的日常生活工作,并将对整个人类社会的科技发展和文明进步产生重大的推动作用。网络所具有的开放性、 共享性和广泛分布应用的特点对网络安全来讲是主要的安全隐患。在网络安全中的入侵检测技术对网络的安全起到保障作用,难防范来自网络内部的攻击和病毒的威胁,网络入侵检测的利用和有需要多方软件与系统支持,信息的存储和转发均由它们进行检测处理,保证了网络的安全通信。 

[1] 罗琳,《网络工程技术》,科学出版社,2011.7

[2] 简明,《计算机网络信息安全及其防护策略的研究》,科技资讯,2009.28

第7篇:常用网络安全标准范文

[关键词]下一代防火墙;安全特征;发展趋势

中图分类号:TM215 文献标识码:A 文章编号:1009-914X(2017)12-0311-01

前言:在信息化潮流的引导下,互联网的飞速发展给人们的生活带来便捷,人们对互联网的依赖程度加大。但是,近年来计算机网络面临的威胁越来越多的人为攻击事件,数量剧烈上升趋势。人们的利益受到威胁,对互联网的放火墙安全性能产生不信任。所以,下一代防火墙的安全性值得我们探究和思考,争取解决下一代互联网的安全威胁。

1.研究防火墙安全特征

1.1 互联网面对的安全威胁

自莫里斯蠕虫病毒出现以来,病毒的数量呈爆炸式增长,安全漏洞数量增长较快,系统或软件的严重级别漏洞增多。同时,黑客等网络不法分子通过网络技术,攻破用户防火墙,带来安全威胁。对于银行系统、商业系统、政府和军事领域而言,这些比较敏感的系统和部门对公共通信网络中存储与传输的数据安全问题尤为关注。目前,最常见的安全问题是网络协议和软件的安全缺陷、计算机病毒、身份信息窃取、网络钓鱼诈骗及分布式拒绝服务。其中计算机病毒并不独立存在,而是寄生在其他程序之中,所以,它具有隐蔽性、潜伏性、传染性和极大的破坏性。身份信息的窃取也是值得我们注意的。随着互联网金融的发展,人们的身份信息与银行资产很容易被黑客侵入,个人和企业的信息轻而易举被窃取,造成巨大损失。以上种种安全问题都需要下一代防火墙提高安全特性。

1.2 目前防火墙的安全技术标准

在2005、2006年,防火墙标准进行了重新编制,只针对包过滤和应用级防火墙技术,其中服务器要求和并列到应用级防火墙技术中进行描述。先后形成了《GB/T20010―2005信息安全技术包过滤防火墙评估准则》。GB/T20281―2006标准则吸收了原来国家标准的所有重要内容。该标准将防火墙通用技术要求分为功能、性能、安全和保证四大。其中,功能要求是对防火墙产品应具备的安全功能提出具体的要求,包括包过滤、应用、内容过滤、安全审计和安全管理等;安全要求是对防火墙自身安全和防护能力提出具体的要求;保证要求则针对防火墙开发者和防火墙自身提出具体的要求。性能要求是对防火墙产品应达到的性能指标做出规定。同时,将防火墙产品进行安全等级划分。安全等级分为三个级别,逐级提高,功能强弱、安全强度和保证要求的高低是等级划分的具体依据,功能、安全为该标准的安全功能要求内容。这是我国信息安全标准中第一次将性能值进行量化的标准。

1.3 采用防火墙系统的必要性

随着越来越多重要的信息应用以互联网作为运行基础,信息安全问题已经成为威胁民生、社会、甚至国家安全的重要问题。从计算机网络安全技术的角度来看,防火墙是指强加于两个网络之间边界处,以保护内部网络免遭外部网络威胁的系统或者系统组合。防火墙技术作为保护计算机网络安全的最常用技术之一,当前全球约有三分之一的计算机是处于防火墙的保护之下。防火墙在不危机内部网络数据和其他资源的前提下,允许本地用户使用外部网络资源,并将外部未授权的用户屏蔽在内部网络之外,从而解决了因连接外部网络所带来的安全问题。

2.分析下一代防火墙的发展趋势

2.1 防火墙发展的新技术趋势

就目前国内形势而言,下一代防火墙发展的新技术趋势有四方面。随着运行商、金融、大型企业的数据中心等用户对安全的关注,对防火墙高吞吐量、高性能连接处理能力的要求越来越迫切。传统的硬件构架已经无法满足用户的需求,因此多核处理,ASIC加速芯片处理等技术纷纷登场,高性能成为新的技术趋势。虽然IPv6在目前推广和普及的力度较大,但新的安全问题也逐渐产生。在纯IPv6网络中,IPv6端与端的IPSec以及最终拜托NAT的发展构架对防火墙产品的冲击影响较大,但在IPv4/6共存阶段,针对不同过渡协议混杂的背景,防火墙产品还是有着技术发展和实现的需求,所以使防火墙适用于IPv4/6也是重要技术趋势之一。基于防火墙用户的配置策略,应用深层控制技术开始越来越多的被提及。同时,随着云时代的到来,各类云服务逐渐进入普通大众的生活。防火墙的安全性能也伴随着云技术的发展开发出云服务虚拟化技术。

2.2 下一代互联网高性能防火墙标准

据国家标准化管理委员会2013年下达的国家标准制修订计划,对原有《GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法》进行修订,由于下一代互联网的特性是防火墙功能属性,所以维持原有标准名称。该标准与GB/T20281-2006的主要差异是增加了高性能防火墙的描述,增加了防火墙的功能分类,加强了防火墙的应用层控制能力,增加了下一代互联网协议支持能力的要求,级别统一划分为基本级和增强级。该标准安全功能主要对产品实现的功能进行了要求。主要包括网络层控制、应用层控制和安全运维管理三部分,其中网络层控制主要包括包过滤、NAT、状态检测、策略路由等方面。这些安全功能新标准要求将大大提高下一代防火墙的安全特性。在环境适应性要求方面,该标准对下一代防火墙产品的部署模式及下一代互联网环境的适应性支持进行了要求。同时,该标准的性能要求对下一代防火墙的吞吐量、延迟、最大并发连接数、最大连接速率和最大事务等性能指标进行了要求。

2.3 网络安全的实现

网络安全的实现是多方面的。访问控制是网络安全防御和保护的主要策略。进行访问控制的目的是保护网络资源不被非法使用和非法访问。控制用户可以访问网络资源的范围,为网络访问提供限制,只允许访问权限的用户访问网络资源。且随着当前通信技术的快速发展,用户对信息的安全处理、安全存储、安全传输的需要也越来越迫切,并受到了广泛关注。信息在网络传输的安全威胁是由于TPC/IP协议所固有的,因此数据加密技术成为实现计算机网络安全技术的必然选择。病毒防护主要包括计算机病毒的预防、检测与清除。最理想的防止病毒攻击的方法就是预防,在第一时间内阻止病毒进入系统。攻击防御对网络及网络设备的传输行为进行实时监视,在恶意行为被发动时及时进行阻止,攻击防御可以针对特征分析及分析做出判断。同时,网络安全建设“三分技术,七分管理”。因此,除了运用各种安全技术之外,还要建立一系列安全管理制度。使下一代防火墙真正的起到安全作用。

结语

总而言之,事物的发展过程是曲折的,前途是光明的。随着人类在经济、工业、军事领域方面越来越多地依赖信息化管理和处理,由于信息网络在设计上对安全问题的忽视,以及爆发性应用背后存在的使用和管理上的脱节,使互联网中信息的安全性逐渐受到严重威胁,实用和安全矛盾逐渐显现。而下一代防火墙的安全特性随着互联网的发展是不断改进,进行高性能技术的研究,已有所成果。所以,关于下一代防火墙的安全特性我们要抱有积极的态度。

参考文献

第8篇:常用网络安全标准范文

关键词:计算机网络,防护技术,研究

 

随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。

一、计算机网络防护技术构成

(一)被动防护技术

其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。

( 1 )信息保密技术

密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。

网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。

( 2 ) 信息认证技术

认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全

其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。

( 3 ) 访问控制技术

访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。

其主要方式有:自主访问控制、强行访问控制和信息流控制。

( 4 ) 防火墙技术

防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。

其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。

防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。

(二)主动防护技术

主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。

( 1 )入侵取证技术

入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。

入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。

入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。

( 2 ) 网络陷阱技术

网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。

其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。

网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。

( 3 ) 入侵检测技术

入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。

其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。

入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。

( 4 ) 自动恢复技术

任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。

其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。

自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。

二、计算机网络防护过程模型

针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。

图1 P2DR模型体系结构图

其过程如下所述:

1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。

2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。

3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。

4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。

随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。

第9篇:常用网络安全标准范文

关键词:安全;防范

中图分类号:TP391文献标识码:A文章编号:1009-3044(2011)23-5590-02

数据库是计算机重要的一个应用领域,随着计算机技术的飞速发展,数据库已广泛地深入到了各个领域,数据库技术在生产、生活、工作、学习等方面给人们带来了巨大的便利,但随之而来的数据安全问题也越来越凸显出来。数据库由于其储存大量重要的信息而成为某些人攻击的重点,数据库数据的丢失以及数据库被非法用户的侵入使得数据库安全性越来越重要,对计算机数据库安全技术进行探讨有助于我们加深对相关数据库知识的了解[1],如何保障数据的私有性或保密性和安全性是一个十分重要的课题,有助于提高数据库安全防范意识,从而有助于实现数据库本身的安全。

1 数据库及其安全

数据库是当前计算机存储和操作数据的通常形式,也是目前数据存储和操作的最高形式,计算机数据库安全技术是伴随着计算机安全技术与数据库技术的发展而不断发展和提升的。数据库的安全就是保证数据库信息的保密性、完整性、一致性和可用性,数据库的安全是数据库系统的生命,当前,数据库系统经历了网状数据模型、层次数据模型和关系模型三个发展阶段,无论在哪个发展阶段,数据库的安全始终是我们所关注的重点。尤其是资源共享的今天,各种应用系统的数据库中大量数据的安全问题及敏感数据的防窃取和防篡改问题,越来越引起人们的高度重视[2]。

另外在互联网飞速发展的今天,数据库系统作为数据信息的存储,在网络服务中发挥巨大作用,同时我们还要注重数据库系统的网络安全性。主要指数据库系统自身安全性以及数据库所处的网络环境面临的安全风险。如病毒入侵和黑客攻击、网络操作系统、应用系统的安全,表现在开发商的后门以及系统本身的漏洞上。

2 计算机数据库安全技术

伴随着数据库的安全问题,数据库安全技术也随之发展起来,在数据库开放的环境下,数据的读取、共享暴露在外,通常我们采取访问控制和存取管理技术、安全审计、数据库加密等技术来解决这些问题,再者,数据库系统的应用也加强了数据库的安全,数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。

2.1 访问控制和存取管理技术

计算机系统的活动主要是在主体进程、用户和客体资源、数据之间进行的。计算机安全的核心问题是保证主体对客体访问的合法性,即通过对数据、程序读出、写入、修改、删除和执行等的管理,确保主体对客体的访问是授权的,并拒绝非授权的访问,以保证信息的机密性、完整性和可用性。

系统通过比较客体和主体的安全属性来决定主体是否可以访问客体。存取管理技术是一套防止未授权用户使用和访问数据库的方法、机制和过程,通过正在运行的程序来控制数据的存取和防止非授权用户对共享数据库的访问。包括用户认证技术和存取控制技术。

2.2 安全审计

安全审计即是对安全方案中的功能提供持续的评估。安全审计应为审计管理员提供一组可进行分析的管理数据,以发现在何处发生了违反安全方案的事件。审计功能在系统运行时,自动将数据库的所有操作记录在审计日志中,攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图,再现导致系统现状的事件,分析发现系统安全弱点,追查相关责任者利用安全审计结果,可调整安全政策,堵住出现的漏洞,为此,安全审计应具备记录关键事件、提供可集中处理审计日志的数据形式、提供易于使用的软件工具、实时安全报警等功能。

2.3 数据库加密

数据库加密是防止数据库中数据泄露的有效手段,通过加密,可以保证用户信息的安全,减少因备份介质失窃或丢失而造成的损失。数据加密就是把数据信息即明文转换为不可辨识的形式即密文的过程,目的是使不应了解该数据信息的人不能够知道和识别。将密文转变为明文的过程就是解密。加密和解密过程形成加密系统。明文与密文统称为报文。任何加密系统通常都包括如下几个部分:

1) 需要加密的报文,也称为明文P。

2) 加密以后形成的报文,也称为密文Y。

3) 加密(解密)算法E(D)。

4) 用于加密和解密的钥匙,称为密钥K。

使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。

2.4 数据安全传输常用协议

在对数据库中储存的数据进行安全保护外,在数据的传输中我们也要确保数据的完整性与安全性,所以就有了以下这儿种安全传输协议。

SSL协议:SSL协议(Secure socket layer)现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准,SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此仪需安装数字证书或服务器证书就可以激活服务器功能。

IPSec协议:IPSec(Internet Protocol Security)是由IETF定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。它指定了各种可选网络安全服务,而各组织可以根据自己的安全策略综合和匹配这些服务,可以在IPSec框架之上构建安全性解决方法,用以提高发送数据的机密性、完整性和可靠性。

HTTPS协议:HTTPS(Secure Hypertext Transfer Protoc01)安全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络下传送网的结果。

另外,安全管理技术、信息流控制、推理控制、数据备份与恢复等技术都是数据库安全常用技术,它们也确实解决了不少数据库安全的问题。无论数据库应用哪种安全技术,多多少少都会有些漏洞,数据库系统的应用可加强数据库的安全,数据库系统作为信息的聚集体,其安全性毋庸置疑,所以数据库系统的安全防范便显得尤为重要。

3 数据库系统安全防范策略

3.1 物理安全防护策略

物理安全保证重要数据免受破坏或受到灾难性破坏时及时得到恢复,防止系统信息在空间的扩散。在物理安全方面应主要采取如F措施网络安全设计方案符合有关网络安全方面的规定。安全设计应根据不同网络、系统和信息要求分别采用不同的安全防护措施。建立良好的电磁兼容环境,安装防电磁辐射产品,对重要设备和系统设置备份系统数据库系统运行的服务器、网络设备、安全设备的安全防范,主要包括防水、防火、防静电等。

3.2 网络安全防护策略

总的来讲,数据库的安全首先依赖于网络系统。可以说网络系统是数据库应用的外部环境和基础,数据库系统要发挥其强大作用离不开网络系统的支持,数据库系统的用户如异地用户、分布式用户也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障,入侵首先就是从入侵网络系统开始的,所以此时数据库系统的安全防范变成了网络系统的安全防范。我们就从网络系统的安全防范说起。

1)防火墙技术

防火墙是应用最广的一种防范技术,作为数据库系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。

防火墙技术主要有三种数据包过滤器、和状态分析。现代防火墙产品通常混合使用这几种技术。事实上,在线的网站中,超过三分之一的网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。防火墙同时也是目前用得最广泛的一种安全技术。

2)网络防病毒技术

对于复杂的系统,其错误和漏洞是难以避免的,病毒就是利用系统中的漏洞,进行网络攻击或信息窃取,构成对网络安全的巨大威胁。因此,我们必须严防计算机病毒对网络的侵袭。管理上加强对工作站和服务器操作的要求,防止病毒从工作站侵人技术上可以采取无盘T作站、带防病毒芯片的网卡、网络防病毒软件,设立网络防毒系统和配备专用病毒免疫程序来进行预防。采用多重技术互为补充。

3)入侵检测

入侵检测(IDS)作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统是近年发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用。1987年Derothy Denning首次提出了入侵检测的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。IDS包括基于网络和基于主机的入侵监测系统、基于特征的和基于非正常的入侵监测系统、实时和非实时的入侵监测系统等。在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。

3.3 管理安全防护策略

网络的使用与维护,数据库系统的安全运行,归根结底都离不开人,所以要时刻加强对操作人员的管理与培训。

4 结束语

随着数据库系统的发展,对数据库系统的攻击方式也在不断改变,数据库系统的安全和维护工作,也应该根据自身需求,跟随技术和管理的发展而合理升级、更新。计算机数据库安全是当前数据库技术研究的重点,加强数据库安全相关技术研究有助于保障计算机数据库的安全性,有助于保证数据库系统中信息的有效性。因此,针对数据库系统运行中不安全因素,应该时刻关注安全技术的发展,对安全防范系统进行必要升级,保障数据库系统运行安全。

参考文献: