前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络安全技术与解决方案主题范文,仅供参考,欢迎阅读并收藏。
>> 石油企业网络防病毒体系研究 安全管理软件同防病毒软件冲突的解决方案研究 医院网络防病毒体系的维护与管理以及防病毒策略 浅谈网络安全技术与企业网络安全解决方案研究 网络安全技术与企业网络安全解决方案研究 企业网络终端准入控制解决方案 勘察设计企业网络安全解决方案 企业网络安全解决方案 石化企业网络安全及其解决方案 企业网络安全管理中的问题与解决方案研究 谈网络安全技术与电力企业网络安全解决方案研究 生产用在线计算机控制网络的防病毒技术方案 中小企业网络安全整体解决方案 中小企业网络安全解决方案 燃气企业整体防病毒体系的建立与实施 云子可信网络防病毒系统问世 企业网多出口解决方案探讨 电力企业网络病毒防御方案分析 早春西红柿慎防病毒病 防病毒就是补短板 常见问题解答 当前所在位置:
[4] 中华人民共和国国务院. 中华人民共和国计算机信息系统安全保护条例 [EB/OL].(1994-02-18).〔2013-03-28〕.
[5] 百度百科.木马病毒[OL].〔2013-03-28〕. http:///view/16873.htm
[6] 百度百科.蠕虫病毒[OL].〔2013-03-28〕. http:///view/226576.htm
[7] 姜文超.企业内网防毒策略设计与实现[D].大连交通大学,2009:1-52
关键词:无线局域网 安全 实施方案
中图分类号:U284 文献标识码:A 文章编号:1007-9416(2015)04-0188-01
1 WLAN常用安全技术
目前常用的无线局域网安全技术主要有以下几种:
(1)服务集标识符(SSID)。SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。SSID通常由AP广播出来,出于安全考虑最好设置“禁止SSID广播”。
(2)物理地址过滤(MAC)。 在网络底层的物理传输过程中,是通过物理地址来识别主机的,它是全球唯一的。因此可以在WLAN中手工维护一组允许访问的MAC地址列表,实现物理地址的访问过滤。但手工操作扩展能力教差,适合于小型网络规模。
(3)有线等效保密(WEP)。有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式。WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。它采用RC4序列密码算法,支持40bit和128bit密钥。但是受到RC4加密算法、过短的初始向量和静态配置密钥的限制,WEP加密存在比较大的安全隐患,因此逐步被WPA和WPA2所取代。
(4)Wi-Fi网络安全接入(WPA)。WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,WPA超越WEP的主要改进就是使用了临时钥匙完整性协议TKIP。相比WEP算法,TKIP将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位;其次,TKIP支持密钥的动态协商,解决了WEP加密需要静态配置密钥的限制;此外,TKIP还支持信息完整性校验MIC认证功能,防止数据中途被篡改。
(5)WPA2。WPA2是WPA的升级版,采用了更为安全的算法。用CCMP取代了WPA的MIC,提供更强大的加密算法和信息完整性的运算,用高级加密标准AES取代了WPA的TKIP, AES是对称密钥加密中最流行的算法之一,提供比WEP/TKIP中RC4算法更高的加密性能,是目前IEEE802.11定义的最安全的数据报文保护机制。
(6)端口访问控制技术(802.1x)。该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
2 WLAN安全防范方案
通过对目前常用的无线局域网安全技术的分析,并结合东莞地铁2号线车地无线网络应用的实际环境,安全防范方案主要包含认证和加密这2个部分,具体如下:
2.1 认证
认证方式上,主要考虑在802.1x和WPA2-PSK这2种方式中选择。
由于802.1x有通用密钥维护,如果在网络切换时碰到重新认证和密钥维护时,可能会出现信息完整性出错,进而影响无线链路的正常运行且不能回转;
而且802.1x认证结构复杂,需要另配Radius服务器,认证环节较多,认证时间相对较长;
此外,Radius服务器是网络中的单故障点,一旦其宕机,全网可能会中断。要解决这一问题,则需要服务器冗余。
考虑到车载无线单元在系统中承担的是路由转发的功能,并不具有与NT登录网络相同的工作模式,因此如采用802.1x,一般情况下其用户名和密码也是固定的。而一般用户名和密码位数较短,不如WPA2-PSK能做到最大63字符。
因此,综合以上原因,在东莞地铁2号线车地无线网络中将采用WPA2-PSK和MAC地址认证。
2.2 加密
由于选择了WPA2-PSK的认证方式,因此加密采用高级加密标准AES。这也是目前IEEE802.11定义的最安全的数据报文保护机制。
3 WLAN安全实施方案
综上所述,东莞地铁2号线车地无线网络安全实施方案主要包含以下几点:
(1)设置复杂的SSID,隐藏并禁止WLAN向外广播SSID,避免无恶意用户的侵入。(2)设定MAC绑定认证,禁止未经绑定的MAC地址设备访问网络。(3)采取WPA2-PSK认证,确保用户接入的合法性,WPA2-PSK认证的通用密钥长度在8-63位之间选择,可设置复杂的密钥。(4)采取WPA2-AES对无线传输数据进行加密,由于AES采用的是动态的密钥管理机制,保证了无线传输很难被攻破。
参考文献
【关键词】校园网 网络安全 解决方案
1 安全现状
校园网是学校基础设施,用于教学、科研、管理和对外交流等。校园网的安全情况有学校工作起至关重要的作用,其安全与否直接影响学生工作的质量高低。校园网建设之初,学校对这一块的重视力度不大,随着科技发展和教学办公的信息化,校园网受到的网络攻击变多,校园网安全问题也开始多样,加上学校安全意识和管理方面的原因,校园网的事故不断发生,安全受到极大的威胁。随着学校的发展和对网络管理的重视,科技促使校园网规模扩大,复杂性也在增加,学校网络用户对校园网的性能要求在提升,网络安全已经成为校园网发展建设的关键任务。
2 关键技术
2.1 防火墙技术
校园网安全问题,需要设置一个高级访问控制设备,以此组成防火墙系统,将其部署在几个不同的网络当中,内外网络信息必须从这个系统经过,因此可以利用防火墙拦截不安全信息,并对想要进入校园网的信息进行访问控制,保证校园网络的安全。
2.2 VPN技术
VPN指虚拟专用网络,是在建立私有和安全的通道,建立起自身网络和远程用户的安全连接。VPN是W络不断扩展中一个完整的组成部分,在网络元素不断扩展的时代,VPN技术能够保证校园网的安全性。利用VPN技术给两个或多个网络连接提供一条加密的隧道。这样,利用校园网这个共有网络传输的通信是隐藏的,保证安全性。
2.3 入侵检测技术
入侵检测技术也是一项安全技术,主要是网络边界的防护,虽然防火墙在安全方面有着重要作用。它部署在网络的各个关键点,但从安全技术和理论上看,防火墙是不能够避免入侵行为的。在这种形势下,利用入侵检测技术十分必要,检测防火墙在防护中遗漏的入侵行为,发现网络出现安全问题的原因,提高校园网的整体安全性。
2.4 设备冗余
校园网是一个比较公开,并且多种类型用户的网络系统,系统故障很常见,这时就需要利用冗余设备,以此来减少系统故障时间,保证校园网系统的可靠性。冗余是重要组成部分,和其他安全技术和措施不同,它不能直接缓解网络攻击和处理漏洞问题,但如果没有部署冗余设计,其他的安全技术和措施是不能发挥作用的,不能防范和抵御已知和未知的威胁和攻击,也不能够保证系统的安全。因而,在合适的位置部署冗余设计,是校园网安全的重要措施之一。设置冗余设备,保证其他技术的正常工作,使校园网更加安全、可靠和稳定,同时也能够为保护机制的建立争取时间。
3 安全措施
校园网安全问题是当前重要的一个问题,采取有效措施进行病毒和不良信息的入侵,能够保证学校网络环境的安全。
3.1 虚拟隔离
对于校园网内部环境的安全,应该利用VLAM技术进行虚拟隔离,给不同的区域不同的安全隔离,使不同等级的网络划分开,即使病毒进入一个区域,也不能任意妄为,扩散到其他区域,导致全网络的瘫痪。
3.2 病毒查杀
校园网的安全问题,病毒查杀是重要解决措施,在网络中安装防毒软件,能够过滤和查杀网络中可能存在的病毒,保证网络数据安全,同时也加强互联网连入业务的监控管理。
4 解决方案
校园使用用户多,不同用户需求不同,因而要制定相应措施,缓解网络攻击。
4.1 工作人员
校园网使用中,由于用户很多,所以要对使用者提出要求。本系统和公共系统以及业务处理系统的服务器都可以进行访问。但设计到部门的资源,特别是安全实施方案,不允许其他部门的用户进行访问,所以需要系统服务器、公共系统服务器和业务处理的路由都加入自身网络。
4.2 内部服务器
对于系统内部服务器要提出要求,允许服务器通用,允许其他部门用户访问,但不能够访问服务器安全实施方案,部门内部的服务器要由自身管理,在连接校园网后,要加强服务器安全管理,统一给学校网络中心管理。
4.3 公共服务器网段
公共服务器网段是开放的,将公共服务器的路由分发给允许访问的用户,在这个过程中,要注意的是个别部门对公共服务器的攻击,进而控制公共服务器,达到访问其他网络的行为。
5 管理方案
校园网具有自身独特的特点,以前,“外部网络是”网络安全建设的核心,现在转成了“内部网络”。其内部建设面临挑战,所以加强校园网安全管理十分重要。怎样应对内部网络安全威胁,不仅是已知威胁,还有未知威胁,组织攻击手段在内网中的运行,保证校园网的安全。
5.1 终端管理
校园网的威胁,多来自学生。所以,校园网要利用终端管理是保证网络安全。利用内网介入控制,对上网行为进行检测,实现对外接或移动存储空间的监控,利用身份认证技术,保证检测到具体个人。
5.2 用户管理
校园网安全管理中,应该制定管理制度和技术措施等,在制度中明确校园网用过的责任和义务,以此提供他们在使用网络时的安全意识,这样也能够在校园网安全事故发生时,及时有效的做出处理。学生在使用校园网时,可以根据自身情况签订入网协议,这样才能使学生用户了解学生的网络安全管理制度,对他们的用网行为起制约作用。另外,还需要对校园网安全管理者进行专业技能培训,使他们能够有能力应对校园网安全问题。
6 结语
校园网安全是学校教学和办公的保证,目前很多学校网络环境还没有得到很快完善,在网络安全上还存在一定缺陷,学校要采取各种措施和安全保护技术,例如病毒隔离技术、防火墙技术和VPN技术等等,从管理和技术上解决校园网安全问题,致力于给学校提供一个良好的网络环境。
参考文献
[1]林玉梅.高校校园网络安全防护方案的设计与实施[D].华侨大学,2015(04).
[2]李春晓.校园网网络技术安全技术及解决方案分析[J].电子测试,2013(09).
[3]张俊芳.高校校园网升级改造方案的设计与实现[D].华南理工大学,2014(06).
【关键词】网络;安全;方案
【中图分类号】G412.65 【文章标识码】B 【文章编号】1326-3587(2012)11-0091-02
一、前言
近来,随着信息化的发展和普及,危害网络安全的事情时常发生。例如,越权访问、病毒泛滥、网上随意信息,甚至发表不良言论。这些问题需要我们引起足够的重视,规划并建设一个方便、高效、安全、可控的信息系统成为当前系统建设的重要工作。
信息系统安全建设项目,应该严格按照网络和信息安全工程学的理论来实施;严格按照信息安全工程的规律办事,做到“安全规划前瞻、行业需求明确、技术手段先进、工程实施规范、管理措施得力、系统效率明显”,因此,将按照信息安全工程学的理论指导实施用户信息网络系统安全项目的建设,从政策法规、组织体系、技术标准、体系架构、管理流程等方面入手,按照科学规律与方法论,从理论到实践、从文档到工程实施等方面,着手进行研究、开发与实施。
信息系统安全建设是一项需要进行长期投入、综合研究、从整体上进行运筹的工程。该工程学主要从下列几个方面入手来构造系统安全:
1、对整个信息系统进行全面的风险分析与评估,充分了解安全现状;
2、根据评估分析报告,结合国家及行业标准,进行安全需求分析;
3、根据需求分析结果,制定统一的安全系统建设策略及解决方案;
4、根据解决方案选择相应的产品、技术及服务商,实施安全建设工程;
5、在安全建设工程实施后期,还要进行严格的稽核与检查。
二、安全系统设计要点
有些用户对网络安全的认识存在一些误区:认为网络运行正常,业务可以正常使用,就认为网络是安全的,是可以一直使用的;网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件,认为只要安装了这些设备,网络就安全了;他们没有认识到网络安全是动态的、变化的,不可能仅靠单一安全产品就能实现。所以,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案。
1、建设目标。
通过辽宁地区网络及应用安全项目的建设目标来看,构建一个安全、高效的网络及应用安全防护体系,充分保障业务系统稳定可靠地运行势在必行。
2、设计思想。
一个专业的网络及应用安全解决方案必须有包含对网络及应用安全的整体理解。它包括理论模型和众多项目案例实施的验证。该方案模型应是参照国际、国内标准,集多年的研发成果及无数项目实施经验提炼出来的,同时方案需要根据这个理论模型及众多的专业经验帮助客户完善对其业务系统安全的认识,最终部署安全产品和实施安全服务以保证客户系统的安全。
为什么要实施安全体系?
内因,也就是根本原因,是因为其信息有价值,网络健康高效的运行需求迫切。客户的信息资产值越来越大,信息越来越电子化、网络化,越来越容易泄漏、篡改和丢失,为了保护信息资产不减值,网络行为正常、稳定,必须要适当的保护,因此要有安全投入。
其次才是我们耳熟能详的外因,如遭受攻击。当前在网络信息领域中,入侵的门槛已经越来越低(攻击条件:简单化;攻击方式:工具化;攻击形式:多样化;攻击后果:严重化;攻击范围:内部化;攻击动机:目的化;攻击人群:低龄化和低层次化),因此当入侵者采用技术方式攻击,客户必须采用安全技术防范。随着我国安全技术的逐步深入研究,已经把各种抽象的安全技术通过具体的安全产品和安全服务体现了出来。
时间和空间是事物的两个根本特性,即一经一纬构成了一个立体的整体概念,安全系统的设计也可以这么理解。
从时间角度部署安全系统,如图一,基于时间的防御模型。
该模型的核心思想是从时间方面考虑,以入侵者成功入侵一个系统的完整步骤为主线,安全方案的设计处处与入侵者争夺时间,赶在入侵者前面对所保护的系统进行安全处理。在入侵前,对入侵的每一个时间阶段,即下一个入侵环节进行预防处理。也就是说,与入侵者赛跑,始终领先一步。
从空间角度部署安全系统,如图二,基于空间的防御模型。
一个具体的网络系统可以根据保护对象的重要程度(信息资产值的大小)及防护范围,把整个保护对象从网络空间角度划分成若干层次,不同层次采用具有不同特点的安全技术,其突出的特点是对保护对象“层层设防、重点保护”。
一个基本的网络系统按防护范围可以分为边界防护、区域防护、节点防护、核心防护四个层次。
边界防护是指在一个系统的边界设立一定的安全防护措施,具体到系统中边界一般是两个不同逻辑或物理的网络之间,常见的边界防护产品有防火墙等。
区域防护相较于边界是一个更小的范围,指在一个重要区域设立的安全防护措施,常见的区域防护产品有网络入侵检测系统等。
节点防护范围更小,一般具体到一台服务器或主机的防护措施,它主要是保护系统的健壮性,消除系统的漏洞,常见的节点防护产品主机监控与审计系统。
核心防护的作用范围最小但最重要,它架构在其它网络安全体系之上,能够保障最核心的信息系统安全,常见的核心防护产品有身份认证系统、数据加密、数据备份系统等。
3、设计原则。
1) 实用性。
以实际业务系统需求为基础,充分考虑未来几年的发展需要来确定系统规模。以平台化、系统化来构造安全防护体系,各安全功能模块以组件方式扩展。
2) 标准化。
安全体系设计、部署符合国家 相关标准,各安全产品之间实现无缝连接,确实不能实现的必需采用其他技术手段予以解决,并与内部的网络平台兼容,使安全体系的设备能够方便的接入到现有网络系统中。
随着科技的发展,网络技术应用的领域越来越广阔。其给人们带来更多便利的同时,也带来更多的安全问题。所以网络安全越来越成为当前人们最为关注的话题。本文从网络安全的发展现状入手,对网络安全技术的防范措施提供建议,并就网络技术的未来发展进行预测,以期能够产生一定的借鉴意义。
关键词:
网络技术;网络安全;现状;未来发展
时代的进步让我们的生活发生了重大改变,网络的应用更加拉进了人们之间的距离,让人们的生活、生产更加便利。而与此同时,网络安全问题也逐渐产生,越来越受到人们的关注。网络安全指的是通过各种技术和管理措施,让网络能够获得更加安全的运行环境,从而能够使应用数据得到完整的、保密的、可用的性质。其不仅包括网络设备的安全性,同时也包括网络信息、软件等方面的安全性。[1]只有做好网络技术的安全应用,才能够真正为人们生活中网络的应用提供安全保障,才能够让人们的应用数据得到切实保护。基于此,对网络技术安全的现状,以及其未来的发展进行研究就显得非常重要,只有对其问题和解决措施进行不断分析,才能够真正让网络带给人们更加广阔的应用空间,才能够让其给人们的生产生活带来更大的便利条件。
1网络安全的发展现状分析
就我国目前的网络安全发展来说,其并不令人满意,其中存在着很多问题,造成了网络安全的隐患产生。主要包括以下几个方面。首先,互联网安全工具的应用缺少相应规定。当前阶段,互联网已经逐渐应用到越来越多的领域中,无论工作还是生活,都离不开互联网的支持,与之而来的安全工具也逐渐增多起来。但是,市面对于安全工具的管理来说还没有形成统一的规划,其滥用的情况比较严重。尤其当前系统安全软件种类繁多,并没有一套稳定的技术对其进行支撑,非常容易遭受到黑客的破坏,从而成为网络攻击的突破口,造成网络隐患的产生。其次,固有的安全漏洞存在。互联网安全系统中无法避免的会存在一定的漏洞,有些时候是设计人员故意为之,主要是为了能够在之后的使用中更好地进行管理,但是这却成了黑客利用便利条件。有的时候,破坏者会通过发送链接的方式传播病毒,或者增加网络应用负荷,影响网络使用或者造成网络影响。第三,网络设备存在安全问题。网络设备是网络应用的重要保证,其一旦出现问题必然会对网络安全造成影响。比如,有线网络相比较无线网络来说其安全系数较低,容易成为黑客入侵的对象。此外,网络在连接的过程中,也会成病毒袭击的对象。第四,恶意攻击所带来的不安全因素。所谓的恶意攻击主要是黑客为了一定的目的通过一定的手段截取网络中的重要数据,其会造成重要数据的丢失。当前很多黑客采用的都是安装网卡的方式窃取信息,这样的方式造成的危害也比较严重。
2网络安全技术的防范措施
2.1网络病毒的防范
在目前网络条件下,病毒木马得不到严格的监视,传播速度非常迅速,对网络造成了极大的破坏。就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。比如目前已被广泛使用的360安全软件、腾讯安全软件等。防病毒软件需要具有网络病毒检测和防范的作用,从而能够进一步保障个人计算机的安全,提供用户安全的上网体验。在网络中所有可能的病毒攻击点添加对应的防病毒软件系统,通过全方位、全角度、多重扫描方式的防病毒系统配置,通过定时和不定式的软件自动升级方式,使网络及计算机有效防范病毒侵袭的可能。[2]
2.2漏洞扫描系统
安全扫描可以在未发生病毒入侵之前就把系统修复好,不给病毒木马入侵的可能,做到未雨绸缪。目前市面上有很多安全维护软件,漏洞扫描系统也成为他们主要的卖点,定期地对系统漏洞尽心扫描,及时发现系统漏洞并进行及时修复,能够最大限度地减少病毒入侵的可能,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患,从而能够为网络安全提供安全的保障。
2.3配置防火墙
网络防火墙在网络出现以来就一直得到广泛应用,其既可以进行主动过滤,也可以进行被动防御。利用网络防火墙可以将我们不需要的数据源拒绝在门外,最大限度地防止不合法的数据进入个人计算机,避免其对计算机的各种数据随意修改,避免对计算机造成威胁。防火墙是一种广泛应用的安全工具,其中还有很多重要的功能需要进一步予以开发。对防火墙进行深入研究,能够让其在网络中的保护作用得到最大化的发挥,也能够防止网络中的不安全因素蔓延,是网络安全中非常重要的安全保障环节。[3]
2.4入侵检测系统应用
随着黑客技术的不断提高,其在对付安全防御系统方面的招数也在不断变化,部署相应的入侵网络检测系统就成为救星。该检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或者异常现象的一种技术,其能够为网络的安全提供策略计划。其主要是在入侵检测系统中通过审计记录的追踪,对不希望的活动或者有危险的活动予以识别,从而达到对此类活动予以限制,提供系统安全的目的。该监测技术能够提供一整套完整的主动防御体系,在网络安全保障方面起到的作用非常明显。此外,培养具有现代网络技术的人才,对于网络技术的安全性而言也同样非常重要。其能够对网络中的各种漏洞,以及安全隐患进行深入研究,不断研究新式的防御措施,提升网络整体环境的安全性,为网络技术的安全保驾护航。
3网络安全发展趋势
3.1网络安全技术的融合发展
网络的应用范围不断拓展,其所面临的威胁也不断增加。传统单一的往往安全策略已经无法适应当前的环境需要。因此,网络技术的融合发展出现呈现出发展态势。所谓的融合发展主要指的是网络安全技术囊括了更多的毗邻领域,通过一个软件将与之相关的安全策略结合在一起,从而让网络的安全系数得到提高。[4]整体的安全解决方案开始融合以终端准入解决方案为代表的网络管理软件。终端准入解决方案的为网络的安全性提供保障。其能够从整体角度解决网络中的各种问题,保证网络管理目标得以实现。
3.2网络主动防御的发展
在传统网络安全中,对于病毒、入侵的防御方式主要是被动防御,但网络安全主动防御的想法已经被拿到台面上来。虽然其发展存在一定的困难和阻碍,但是其应用的前景已经逐渐明朗起来。所谓网络主动防御,其实质就是主动甄别有危险的程序,阻止管理员安装使用,然后对其进行风险提示和清理。主动防御能够将网络安全隐患“扼杀在摇篮中”,能够推动网络安全的智能化建设,能够推动互联网的高效发展。主动防御的优势让其在未来的发展中逐渐成为重要研究方向。
3.3网络自动化、智能化的发展
传统的网络优化和信息技术发展主要是依靠人工操作来完成的,而其未来的发展与传统模式发展的不同之处在于其将会越来越智能化,人工操作的频率和难度将会逐渐降低,从而为人们的生产、生活带来更大的便利条件。网络优化主要是通过参数采集、信息跟进、统计数据测试、信息分析等手段对整个网络得安全性进行分析,查明问题所在,调整相应的软件、硬件配置。让有限的资源得到最大程度的利用。[5]之后,这些工作都可以通过程序输入的方式交由“系统”来完成,通过合理推理机制的构建,针对网络中存在的运行和服务问题进行解决,为人们提供合理建议,甚至会给出相应的解决方案,并作出解释说明,智能化的发展带给人们更为安全的网络环境。
4结语
在新时代的网络技术发展背景下,我们所应用的网络技术安全问题仍然存在,对网络安全的研究仍不能停止。无论对于个人计算机而言,还是对于一个企业,甚至对于一个国家而言,网络安全的重要性不言而喻,其关系到个人、整个企业,甚至国家的保密文件的安全性。安全系统得不到保障,所造成的影响非常巨大。网络安全技术就是其正常运转的有力支撑。加强网络安全技术的发展,为人们提供更加优质的网络安全服务,应当成为人们努力的方向,应当引起人们的高度重视。
参考文献:
[1]龚翼.计算机网络信息技术安全及对策分析[J].信息与电脑(理论版),2012(8).
[2]宁向延,张顺颐.网络安全现状与技术发展[J].南京邮电大学学报(自然科学版),2012(5).
[3]杨振会.P2P网络技术安全问题探析[J].现代计算机,2006(11).
[4]唐建军.浅谈4G网络安全技术[J].中国新通信,2014(22).
【关键词】网络安全;防火墙;网络系统
信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。然而,计算机信息技术也和其他科学技术一样是一把双刃剑。当大多数人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息,篡改和破坏数据,给社会造成难以估量的巨大损失。
1.计算机网络安全
网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统可连续、可靠、正常地运行,网络服务不中断。
1.1 密码学
密码学是一种以秘密的方式编码信息,使只有特定的接收者才可以访问被编码的信息的方法。安全机制常常得益于密码学的应用,如基于网络的用户登录协议。不过,它们也并不是必须依赖于密码学的应用,例如Unix系统中对文件的访问控制。反过来,密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现,它们能否正常运作关键取决于是否有一个安全的系统。比如,如果系统缺乏访问控制的安全性,攻击者可以修改密码系统的软件算法。可见,安全性的缺乏会直接影响密码术的效用。
1.2 危险和防护
计算机危险或攻击通常分为三类:秘密攻击、完备性攻击、可得性攻击。这三类攻击是息息相关的。也就是说,某一类攻击的技术和后果经常作为另一类攻击的辅助手段。比如:一个攻击者通过秘密攻击获知口令,这样就有权访问这个系统,然后修改系统资源,最终完成拒绝服务攻击。当遭受攻击时,系统会出错,但大多数系统由于缺乏安全机制仍认为是安全的。同样地,这些攻击的防护机制之间也是紧密相关的。一般来讲,防护有一种或多种目的:防止攻击,检测是否遭受攻击或恢复系统。所以说,一种防护机制并不是万能的。
1.3 防护
由于有许多潜在的薄弱环节和无穷尽的攻击,而每一种攻击又可能包含多种攻击技术,所以确保整个系统的安全很困难。由于系统的安全性是由它的最薄弱环节决定,因此,安全范围必须是整个系统性的。在构筑更为有用的防护方面,防火墙(Fire Wall)扮演了一个重要角色。但是,防火墙也存在一些不足之处:第一,防火墙不能滤除和阻止所有的网络灾难。像HTTP协议这样的信息可以巧妙地通过防火墙。通常,防火墙与移动代码作用是相反的。其次,防火墙目前已经成为大企业通信的瓶颈。
1.4 安全模型
安全模型(Security Model)是人们对访问被保护数据加以控制的方法的一种抽象。像防火墙一样,安全模型也有多种形式和尺寸,对于不同的应用程序和应用环境,安全模型的要求有很大不同。安全模型用途很广,如驱动和分析计算机系统的设计或形成系统操作的基础,但是它在使用中会产生许多有趣的问题,对这些安全问题目前已有一定程度的研究。
2.网络系统安全的解决方案
网络系统涉及整个网络操作系统和网络硬件平台的安全性。对于现在流行的Microsoft的Windows操作系统或者其它任何商用UNIX操作系统,目前没有绝对安全的操作系统可以选择,可选的系统范围很小,但是这些操作系统带给我们的方便快捷、应用平台等好处我们已经不能缺少,毕竟从头开发一套安全的操作系统也不太现实,因此我们应该做的就是,紧密关注操作系统厂家的安全更新和安全建议,提高自己的安全意识,积极主动地解决系统中出现的安全问题。
2.1 入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:入侵者可寻找防火墙背后可能敞开的后门;入侵者可能就在防火墙内;由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测
及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要,首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵造成危害的时间。
入侵检测系统可分为两类:基于主机、基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。基于主机及网络的入侵监控系统通常均可配置为分布式模式:在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网的入侵监视解决方案。
2.2 安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。
2.3 伪装技术
伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。
2.4 网络安全扫描
网络系统中采用网络安全扫描的网络扫描器,对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。系统能够给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
3.结束语
随着网络经济和网络社会时代的到来,网络将会进入一个无处不有、无所不用的境地。经济、文化、军事和社会活动将会强烈地依赖网络,作为重要基础设施的网络的安全性和可靠性将成为社会各界共同关注的焦点。
参考文献
关键词:企业局域网;安全;管理制度
近年来,随着企业管理水平的提高,企业管理信息化越来越受到企业的重视。企业ERP系统、企业电子邮局系统和协同办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。这种连接方式使得企业局域网在给内部用户带来工作便利的同时,也面临着外部环境的种种危险。如病毒、黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题。
一、网络安全及影响网络安全的因素
影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下两个方面:
1、外网安全。黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。
2、内网安全。企业员工利用网络处理私人事务和其他对网络的不正当使用,降低了生产率、消耗企业局域网络资源、并引入病毒和间谍软件,或者使得不法员工可以通过网络泄漏企业机密。
二、企业局域网安全方案
为了更好的解决上述问题,确保网络信息的安全,企业应建立完善的安全保障体系该体系,包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全。网络安全管理则侧重于内部人员操作使用的管理。采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。
1、企业的网络安全技术防护体系
主要包括入侵检测系统、漏洞扫描系统、病毒防护、防火墙、认证系统和网络行为监控等几大安全系统。
1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系,同时采用基于网络和基于主机的入侵检测系统,在重要的服务器上(如WEB服务器,邮件服务器,协同办公服务器等)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。
2)漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
3)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系。特别是针对重要的网段和服务器。要进行彻底堵截。
4)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只允许与屏蔽子网中的应用服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界网络对屏蔽子网的访问限制在特定的服务器的范围内,保证内部网络的安全。
5)认证系统。比如网络内应使用固定IP、绑定MAC地址;结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度,未经过安全认证的计算机不能接人企业局域网络。
6)网络行为监控系统。网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定对内网用户进行管理的一种技术手段,主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。
2、企业局域网安全管理措施
虽然先进完善的网络安全技术保护体系,如果日常的安全管理跟不上,同样也不能保证企业网络的绝对安全,一套完整的安全管理措施是必不可缺少的。
1)为了避免在紧急情况下预先制定的安全体系无法发挥作用时,应考虑采用何种应急方案的问题应急方案应该事先制订并贯彻到企业各部门,事先做好多级的安全响应方案,才能在企业网络遇到毁灭性破坏时将损失降低到最低,并能尽快恢复网络到正常状态;
2)对各类恶意攻击要有积极的响应措施,并制定详尽的入侵应急措施以及汇报制度。发现入侵迹象,尽力定位入侵者的位置,如有必要,断开网络连接在服务主机不能继续服务的情况下,应该有能力从备份磁盘中恢复服务到备份主机上。
3)扎实做好网络安全的基础防护工作,建立完善的日志监控措施,加强日志记录,以报告网络的异常以及跟踪入侵者的踪迹。
据思科统计,2015年全球有163亿网设备。思科预测,2020年全球将有263亿网设备。提高安全性以保护在联网设备上运行的内容和数据,已成为移动运营商在全面迎接5G过程中肩负的新任务。移动运营商需要在整个移动网络上部署安全解决方案。
在逐步向5G、虚拟化和云技术转型的过程中,移动网络面临的潜在攻击和威胁数量也在日益增多。为有效抵御现有的和潜在的威胁,移动运营商需要采取整体性方案来实现可靠的安全性。
近日,在巴塞罗那举办的世界移动通信大会上,思科推出了面向移动运营商的安全架构。这是一个全面的以防范安全威胁为目的的解决方案组合,可为整个网络、终端(设备)和云提供多层保护。这一架构的新要素包括:
第一,网络安全。为帮助运营商保护移动回程、避免对核心网络的攻击,思科推出了新一代高度可扩展的物理和虚拟安全网关(SecGW)解决方案,由Firepower 9300和Firepower 4100系列防火墙设备、ASR 900系列路由器和ASAv提供支持。
第二,设备安全。思科的设备安全解决方案让企业和运营商能够扩展可见性和设备级保护,为企业提供最强大的移动设备平台。思科和三星将通过三星Knox、思科AnyConnect和思科Stealthwatch解决方案,向企业客户提供终端可视性与数据智能。
第三,云安全。现在,运营商可通过自身管理的云或思科管理的云环境,为客户提供全新的托管安全服务,从而创造新的收入流。
近日,思科宣布推出全新的云交付安全平台“Cisco Umbrella for Service Providers”,致力于帮助运营商满足客户的关键需求,同时增加创收机会。
思科还宣布将CiscoUmbrella安全服务与思科演进分组核心(EPC)集成在一起,可在Cisco Ultra Services Platform或Cisco ASR 5500系列路由器上运行,为移动设备带来更安全的互联网体验。
众多移动运营商和设备制造商正在部署这些安全解决方案组合,包括德国电信、三星、沃达丰和记澳大利亚公司等。通过部署这些解决方案,他们将更加信心十足地迈向5G时代。
德国电信安全业务主管德克・柏科侯芬(Dirk Backhofen)表示:“我们非常高兴能与思科共享同一个愿景,并坚信包括我们在内的众多运营商可以充分利用Cisco Umbrella for Service Providers这样的云交付安全平台,提供新的创收服务,为客户带来安全可靠的互联网体验。我们期待与思科紧密协作,通过Cisco Umbrella为我们的企业客户不断提供创新的安全服务。”
三星电子移动通信业务部首席技术官李仁宗(Injong Rhee)表示:“借助思科这一全新平台,我们正在打造安卓手机端安全软件领域的里程碑。携手思科,我们将为客户提供最佳的安全技术和富有洞察力的数据分析,帮助他们有效保护敏感信息和关键业务应用。”
思科安全业务工程高级副总裁吉・里滕豪斯(Gee Rittenhouse)表示:“安全是移动运营商的重要业务支撑,能够帮助他们充满信心地进行网络转型、加速虚拟化,并为迈向5G时代铺平道路。”
思科致力于帮助客户建立强大的安全体系,获得更丰富的洞察,提供更可靠的保护,做出更快速的响应,以消除安全漏洞,在避免增加风险的同时,全面把握网络扩展带来的全新机遇。”
对于节假日类型,一般可以分为:与意识形态相关的和与商务相关的两大类节假日。与意识形态相关的假日是指有文化、宗教等纪念意义的节假日。除了911之外,对美国而言风险较高的节假日还包括美国阵亡将士纪念日、国家选举日和独立日。与商务相关的节假日则指的是企业极易受到攻击的某个特定时间,如黑色星期五、网络星期一,甚至是正常营业时间。黑客通常会利用重要的节假日来攻击特定行业。例如,在感恩节和圣诞节之间,针对零售商和信用卡公司发起的网络攻击会显著增加,而在国家选举日或独立日,政府网站往往会成为攻击目标。
Radware负责安全解决方案的副总裁Carl Herberger表示:“我们对每年都会发起的网络攻击进行分析后发现,时间的选择是一个非常重要的风险因素。黑客会在重大节假日中利用有优势性的外部环境和可以给企业带来极大危害的网络漏洞进行攻击。由于此类攻击没有任何缓解的迹象,因此对企业来说,提早实施安全措施来应对高峰时期的攻击就显得尤为重要,从而可以保证网络和数据中心能正确检测并抵御各种复杂攻击。”
因此,安全专家建议网络管理员和技术人员采取下面5个步骤,在每年节假日攻击高发时期保护企业网络安全:
1.确认风险的高发时期:首先应该确认企业在每年的哪些时间会面临高水平的风险,并制定战略计划来缓解网络攻击为企业带来的种种问题。
2.进行季度性的风险评估:确认风险高发期之后,建议企业进行详细的风险评估。除了将最易被网络攻击利用的时间进行分类之外,企业还应该重视Web流量大幅上升与网络漏洞增多给企业带来的安全隐患,以及未来可能出现的一些潜在问题。通过评估之后,企业就可以制定战略安全规划了 。
3.审核网络安全技术:为应对季节性风险,建议企业未雨绸缪,确保网络可以得到先进的网络安全解决方案的可靠保护。由于应对风险高发时期的准备工作大约需要6个月左右的时间,因此,企业IT部门需要提前做好准备。
4.模拟攻击场景:为了确保安全解决方案可以全力保护企业的网络安全,建议企业使用常见和新兴的网络攻击方法来进行网络攻击模拟。通过分析渗透和拒绝服务(DoS)中断的潜在方法,网络管理员能够在风险高发季节到来之前检测出系统缺陷并成功修复系统。
5.进行员工培训:员工往往会是企业安全规划中最薄弱的环节。企业应该通过提供网络安全策略和实施有计划有步骤的培训和持续指导,确保所有员工都能充分了解黑客用来入侵企业网络的最新技巧和方法。
通过实施最佳页面优化技术,企业可以充分做好应对风险高发时期的准备,并增强网络的安全性。无论是否处于敏感时期,企业都应该部署可靠的安全解决方案来保护网络基础设施的安全。
工信部公布“App黑白名单”成员
为了针对日益严重的移动互联网安全威胁进行控制,工业和信息化部领导下的国家互联网应急中心于近日启动了《移动互联网恶意程序黑名单规范》和《移动互联网应用自律白名单规范》的制定工作,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技成为“移动互联网应用自律白名单工作组“的首批成员,将协力遏制恶意App,净化移动互联网安全环境。
趋势科技全球执行副总裁暨亚太区总经理张伟钦表示:“新型移动安全威胁层出不穷,需要多层面进行遏制,趋势科技非常荣幸成为‘移动互联网应用自律白名单工作组’的首批成员,我们将承担信息安全产品与解决方案监测、拦截恶意移动互联网应用等职责,配合工信部及国家互联网应急中心,积极推动移动互联市场和产业的生态环境稳定、健康发展。“