緒論:在尋找寫作靈感嗎?愛發(fā)表網(wǎng)為您精選了8篇簡述網(wǎng)絡(luò)安全的定義�����,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享�����!
篇1
【關(guān)鍵詞】3G通信���;網(wǎng)絡(luò)安全�����;維護(hù)技術(shù)����;措施
3G無線技術(shù)是目前信息技術(shù)的核心�����,通信產(chǎn)業(yè)是世界經(jīng)濟(jì)發(fā)展的領(lǐng)軍力量��,也是未來國與國之間經(jīng)濟(jì)競爭的重要部分���。3G在我國經(jīng)濟(jì)發(fā)展中具有重要意義����,抓住3G發(fā)展的歷史性機(jī)遇,實現(xiàn)跨越式發(fā)展�。作為擁有全球最大移動通信市場的中國,應(yīng)抓住這一契機(jī)�����,提升我國通信產(chǎn)業(yè)的國際競爭力�����。
一�、3G技術(shù)基本特點(diǎn)
按照目前3G標(biāo)準(zhǔn)來分析,其網(wǎng)絡(luò)特征主要體現(xiàn)在無線接口技術(shù)上��。蜂窩移動通信系統(tǒng)的無線技術(shù)包括小區(qū)復(fù)用����、多址/雙工方式、應(yīng)用頻段����、調(diào)制技術(shù)���、射頻信道參數(shù)、信道編碼及技術(shù)�、幀結(jié)構(gòu)、物理信道結(jié)構(gòu)和復(fù)用模式等諸多方面�?��?v觀3G無線技術(shù)演變���,一方面它并非完全拋棄了2G,而是充分借鑒了2G網(wǎng)絡(luò)運(yùn)營經(jīng)驗����,在技術(shù)上兼顧了2G的成熟應(yīng)用技術(shù),另一方面���,根據(jù)IMT-2000確立的目標(biāo)��,未來3G系統(tǒng)所采用無線技術(shù)應(yīng)具有高頻譜利用率���、高業(yè)務(wù)質(zhì)量、適應(yīng)多業(yè)務(wù)環(huán)境��,并具有較好的網(wǎng)絡(luò)靈活性和全覆蓋能力。
二��、通信網(wǎng)絡(luò)安全的重要性
可以從不同角度對網(wǎng)絡(luò)安全作出不同的解釋�。一般意義上,網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分���。國際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性����、可用性��、保密性和可靠性”�;控制安全則指身份認(rèn)證、不可否認(rèn)性�、授權(quán)和訪問控制。
當(dāng)今社會���,通信網(wǎng)絡(luò)的普及和演進(jìn)讓人們改變了信息溝通的方式����,通信網(wǎng)絡(luò)作為信息傳遞的一種主要載體����,在推進(jìn)信息化的過程中與多種社會經(jīng)濟(jì)生活有著十分緊密的關(guān)聯(lián)��。這種關(guān)聯(lián)一方面帶來了巨大的社會價值和經(jīng)濟(jì)價值�����,另一方面也意味著巨大的潛在危險——一旦通信網(wǎng)絡(luò)出現(xiàn)安全事故�����,就有可能使成千上萬人之間的溝通出現(xiàn)障礙,帶來社會價值和經(jīng)濟(jì)價值的無法預(yù)料的損失����。
三、通信網(wǎng)絡(luò)安全現(xiàn)狀分析
1�����、計算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性��、易損性等特點(diǎn)使其受攻擊不可避免�����。計算機(jī)病毒的層出不窮及其大范圍的惡意傳播��,對當(dāng)今日愈發(fā)展的社會網(wǎng)絡(luò)通信安全產(chǎn)生威脅。 現(xiàn)在企業(yè)單位各部門信息傳輸?shù)牡奈锢砻浇?,大部分是依靠普通通信線路來完成的,雖然也有一定的防護(hù)措施和技術(shù)���,但還是容易被竊取�����。通信系統(tǒng)大量使用的是商用軟件��,由于商用軟件的源代碼����,源程序完全或部分公開化�����,使得這些軟件存在安全問題���。
2����、針對計算機(jī)系統(tǒng)及網(wǎng)絡(luò)固有的開放性等特點(diǎn),加強(qiáng)網(wǎng)絡(luò)管理人員的安全觀念和技術(shù)水平�����,將固有條件下存在的安全隱患降到最低�����。安全意識不強(qiáng)�����,操作技術(shù)不熟練����,違反安全保密規(guī)定和操作規(guī)程�,如果明密界限不清,密件明發(fā)�����,長期重復(fù)使用一種密鑰�,將導(dǎo)致密碼被破譯,如果下發(fā)口令及密碼后沒有及時收回�,致使在口令和密碼到期后仍能通過其進(jìn)入網(wǎng)絡(luò)系統(tǒng),將造成系統(tǒng)管理的混亂和漏洞。為防止以上所列情況的發(fā)生�,在網(wǎng)絡(luò)管理和使用中,要大力加強(qiáng)管理人員的安全保密意識�。
3、軟硬件設(shè)施存在安全隱患���。為了方便管理��,部分軟硬件系統(tǒng)在設(shè)計時留有遠(yuǎn)程終端的登錄控制通道����,同時在軟件設(shè)計時不可避免的也存在著許多不完善的或是未發(fā)現(xiàn)的漏洞(bug)�,加上商用軟件源程序完全或部分公開化,使得在使用通信網(wǎng)絡(luò)的過程中�����,如果沒有必要的安全等級鑒別和防護(hù)措施��,攻擊者可以利用上述軟硬件的漏洞直接侵入網(wǎng)絡(luò)系統(tǒng)����,破壞或竊取通信信息。
4�、傳輸信道上的安全隱患�����。如果傳輸信道沒有相應(yīng)的電磁屏蔽措施����,那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射��,從而使得某些不法分子可以利用專門設(shè)備接收竊取機(jī)密信息����。另外,在通信網(wǎng)建設(shè)和管理上��,目前還普遍存在著計劃性差�����。審批不嚴(yán)格��,標(biāo)準(zhǔn)不統(tǒng)一���,建設(shè)質(zhì)量低,維護(hù)管理差����,網(wǎng)絡(luò)效率不高����,人為因素干擾等問題�。因此,網(wǎng)絡(luò)安全性應(yīng)引起我們的高度重視�����。
四��、通信網(wǎng)絡(luò)安全維護(hù)措施及技術(shù)
1�����、核心網(wǎng)元(MGW���、RNC等設(shè)備)的負(fù)荷安全及路由保護(hù)
隨著3G應(yīng)用的普及��,用戶行為發(fā)生了改變����,從單純的語音�����、彩信、短信需求����,逐步過渡到語音、數(shù)據(jù)業(yè)務(wù)���、個性化應(yīng)用等多種需求��,對網(wǎng)絡(luò)的容量和負(fù)荷要求更高��,在3G無線網(wǎng)絡(luò)規(guī)劃����、建設(shè)和維護(hù)過程中����,要結(jié)合用戶新行為,結(jié)合話務(wù)模型進(jìn)行適度的網(wǎng)絡(luò)擴(kuò)容����、優(yōu)化和調(diào)整�,以適應(yīng)我們的網(wǎng)絡(luò)變化����,做到網(wǎng)絡(luò)安全平穩(wěn)���。
2���、防火墻技術(shù)
在網(wǎng)絡(luò)的對外接口采用防火墻技術(shù),在網(wǎng)絡(luò)層進(jìn)行訪問控制�。通過鑒別,限制�,更改跨越防火墻的數(shù)據(jù)流,來實現(xiàn)對網(wǎng)絡(luò)的安全保護(hù)�����,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)����,防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息�。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部�,所以,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)�����。
3、入侵檢測技術(shù)
防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的攻擊��,但它對內(nèi)部網(wǎng)絡(luò)的一些非法活動的監(jiān)控不夠完善�,IDS(入侵檢測系統(tǒng))是防火墻的合理補(bǔ)充,它積極主動地提供了對內(nèi)部攻擊�、外部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�����,提高了信息安全性����。
4、網(wǎng)絡(luò)加密技術(shù)
加密技術(shù)的作用就是防止公用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取��,是網(wǎng)絡(luò)安全的核心�����。采用網(wǎng)絡(luò)加密技術(shù)��,對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾?����,它可解決網(wǎng)絡(luò)在公網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩詥栴}也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題��。
5�、身份認(rèn)證技術(shù)
提供基于身份的認(rèn)證���,在各種認(rèn)證機(jī)制中可選擇使用��。通過身份認(rèn)證技術(shù)可以保障信息的機(jī)密性���、完整性、不可否認(rèn)性及可控性等功能特性���。
6���、虛擬專用網(wǎng)(VPN)技術(shù)
通過一個公用網(wǎng)(一般是因特網(wǎng))建立一個臨時的、安全的連接�,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道�。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的內(nèi)網(wǎng)連接起來��,構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)����。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在,仿佛所有的機(jī)器都處于一個網(wǎng)絡(luò)之中����。
7、漏洞掃描技術(shù)
面對網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況��,僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞��、做出風(fēng)險評估���,顯然是不夠的����,我們必須通過網(wǎng)絡(luò)安全掃描工具���,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患����。在要求安全程度不高的情況下,可以利用各種黑客工具��,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞�。
為了實現(xiàn)對非法入侵的監(jiān)測、防偽��、審查和追蹤���,從通信線路的建立到進(jìn)行信息傳輸我們可以運(yùn)用到以下防衛(wèi)措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達(dá)到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級,權(quán)限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽�����,從而達(dá)到網(wǎng)絡(luò)分級機(jī)制的效果����;“網(wǎng)絡(luò)授權(quán)”通過向終端發(fā)放訪問許可證書防止非授權(quán)用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)資源;“數(shù)據(jù)保護(hù)”利用數(shù)據(jù)加密后的數(shù)據(jù)包發(fā)送與訪問的指向性�,即便被截獲也會由于在不同協(xié)議層中加入了不同的加密機(jī)制,將密碼變得幾乎不可破解����;“收發(fā)確認(rèn)”用發(fā)送確認(rèn)信息的方式表示對發(fā)送數(shù)據(jù)和收方接收數(shù)據(jù)的承認(rèn),以避免不承認(rèn)發(fā)送過的數(shù)據(jù)和不承認(rèn)接受過數(shù)據(jù)等而引起的爭執(zhí)�����;“保證數(shù)據(jù)的完整性”,一般是通過數(shù)據(jù)檢查核對的方式達(dá)成的��,數(shù)據(jù)檢查核對方式通常有兩種����,一種是邊發(fā)送接收邊核對檢查,一種是接收完后進(jìn)行核對檢查�����;“業(yè)務(wù)流分析保護(hù)”阻止垃圾信息大量出現(xiàn)造成的擁塞,同時也使得惡意的網(wǎng)絡(luò)終端無法從網(wǎng)絡(luò)業(yè)務(wù)流的分析中獲得有關(guān)用戶的信息。為了實現(xiàn)實現(xiàn)上述的種種安全措施��,必須有技術(shù)做保證,采用多種安全技術(shù),構(gòu)筑防御系統(tǒng)。
五��、結(jié)束語
總之����,在遭受著網(wǎng)絡(luò)信息帶來的一些危害的同時��,只有相關(guān)部門制定完善的法律體系�,擁有安全的技術(shù)才可以保證網(wǎng)絡(luò)的安全�,進(jìn)一步促進(jìn)網(wǎng)絡(luò)通信的發(fā)展���。
參考文獻(xiàn):
篇2
關(guān)鍵詞:三網(wǎng)合一���;企業(yè)數(shù)據(jù)庫;安全策略
中圖分類號:TP315 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 14-0000-01
Enterprise Database Security Policies under the Tri-networks Integration Situation
Liu Yuan
(Wuhan Economic Development Investment Corporation,Wuhan430015,China)
Abstract:Triple play in the context of enterprise database security issues become increasingly prominent,the paper on enterprise database for triple-play situation,the security environment changes and analyze security threats,and the corresponding security policy.
Keywords:Tri-networks Integration;Enterprise database;Security policy
一��、三網(wǎng)合一安全問題簡述
三網(wǎng)合一也稱為三網(wǎng)融合��,我國最早是在2001年十五計劃綱要中明確提出來的���,而現(xiàn)在正在為階段性的試點(diǎn)時期,并已經(jīng)成為最熱門的技術(shù)和熱門話題之一��。
通俗來說����,三網(wǎng)融合就是在電信網(wǎng)、電視網(wǎng)和互聯(lián)網(wǎng)技術(shù)趨于一致的發(fā)展趨勢下�,打破各自界限,在網(wǎng)絡(luò)層面資源共享�����、業(yè)務(wù)層面互相滲透和逐步融合的一種新型的信息服務(wù)監(jiān)管體系。而其權(quán)威的官方定義���,來自2010年《關(guān)于印發(fā)國務(wù)院關(guān)于印發(fā)推進(jìn)三網(wǎng)融合總體方案的通知》�����,三網(wǎng)融合:“是指電信網(wǎng)�、廣播電視網(wǎng)����、互聯(lián)網(wǎng)在向?qū)拵ㄐ啪W(wǎng)、數(shù)字電視網(wǎng)�����、下一代互聯(lián)網(wǎng)演進(jìn)過程中��,其技術(shù)功能趨于一致����,業(yè)務(wù)范圍趨于相同,網(wǎng)絡(luò)互聯(lián)互通���、資源共享�,能為用戶提供語音、數(shù)據(jù)和廣播電視等多種服務(wù)��?�!?/p>
三網(wǎng)合一的安全問題大體可以分為網(wǎng)絡(luò)安全與信息內(nèi)容安全兩個層次:網(wǎng)絡(luò)安全主要是解決網(wǎng)絡(luò)系統(tǒng)的可用�、穩(wěn)定及可控,保證網(wǎng)絡(luò)系統(tǒng)的正?���?煽窟\(yùn)行,防護(hù)惡意行為��、保護(hù)合法用戶���,其威脅主要來自網(wǎng)絡(luò)系統(tǒng)軟硬件非正常狀態(tài)����、惡意攻擊���、安全漏洞等;信息內(nèi)容安全主要是解決數(shù)據(jù)信息的完整����、保密�����、真實和可控�����,防止信息內(nèi)容泄露����、竊取或篡改��,其威脅主要來自隱私信息盜用��、不良信息傳播���、知識產(chǎn)權(quán)保護(hù)等等����。
三網(wǎng)合一安全問題的兩個層次也是互相滲透互相影響的�。對于企業(yè)數(shù)據(jù)庫來說,在三網(wǎng)合一的形勢下��,其安全問題的重點(diǎn)主要是信息安全�。
二���、三網(wǎng)合一形勢下企業(yè)數(shù)據(jù)庫安全分析
(一)企業(yè)數(shù)據(jù)安全環(huán)境的變化。對于傳統(tǒng)的移動通信和廣播電視來說���,其承載業(yè)務(wù)單一����,參與的主體也較單純���,因此具有相對清晰的安全邊界���,其所要面臨的安全問題也大多是自身領(lǐng)域內(nèi)的問題。而在三網(wǎng)合一的形勢下�,高速互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)和廣播電視網(wǎng)絡(luò)進(jìn)行融合��,各種業(yè)務(wù)都會混雜在一起����。由于傳統(tǒng)互聯(lián)網(wǎng)絡(luò)在物理和邏輯上并沒有進(jìn)行很好的隔離���,使得三網(wǎng)融合的參與主體呈現(xiàn)復(fù)雜性���,既包括網(wǎng)絡(luò)運(yùn)維人員�����,也包括社會大眾�����,其安全特點(diǎn)呈現(xiàn)出明顯的無網(wǎng)絡(luò)邊界的特征����。
而且在三網(wǎng)合一的背景下�����,大多數(shù)企業(yè)也必會順應(yīng)科技的發(fā)展���,在企業(yè)戰(zhàn)略的選擇上可能會傾向于多業(yè)務(wù)運(yùn)營��。充分利用三網(wǎng)合一的便捷��,應(yīng)用互動電視�����、網(wǎng)絡(luò)接入���、企業(yè)專線����、IP語音等多種技術(shù)���,為企業(yè)發(fā)展增添新的活力和途徑�。而企業(yè)的各項核心業(yè)務(wù)都會承載于其核心的數(shù)據(jù)庫系統(tǒng)����,一旦企業(yè)的數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全問題,后果不可想象��?���?梢哉f,網(wǎng)絡(luò)的開放性和無國界性�����,既給參與其中的企業(yè)提供了機(jī)遇�����,但也對其數(shù)據(jù)信息的安全管理提出了新的要求����。
(二)企業(yè)數(shù)據(jù)庫安全威脅。對于企業(yè)來說����,尤其是一些大企業(yè),其信息網(wǎng)絡(luò)往往結(jié)構(gòu)龐雜�,業(yè)務(wù)應(yīng)用也是多種多樣。三網(wǎng)融合的背景下����,企業(yè)的業(yè)務(wù)應(yīng)用可能會涉及到業(yè)務(wù)審批系統(tǒng)、電子報文系統(tǒng)�����、企業(yè)管理系統(tǒng)�����、網(wǎng)絡(luò)服務(wù)系統(tǒng)、企業(yè)數(shù)據(jù)庫的后臺管理系統(tǒng)�、運(yùn)營業(yè)務(wù)管理系統(tǒng)、寬帶系統(tǒng)及軟硬件系統(tǒng)等等�。而這些系統(tǒng)的核心就是企業(yè)數(shù)據(jù)庫。
對于企業(yè)管理系統(tǒng)的管理和操作人員來說�����,他們所面臨的最大挑戰(zhàn)就是怎樣有效的管理和監(jiān)控企業(yè)核心數(shù)據(jù)庫系統(tǒng)��,同時要面臨如何規(guī)范企業(yè)員工的網(wǎng)絡(luò)行為等一系列問題��。而一旦在某方面出現(xiàn)漏洞���,對于一些關(guān)鍵的應(yīng)用保障機(jī)制����,管理措施和管理手段跟不上的話����,企業(yè)的數(shù)據(jù)庫庫可能會得不到有效、合理的運(yùn)用��,造成企業(yè)數(shù)據(jù)庫系統(tǒng)效率低下��、運(yùn)維出現(xiàn)問題,甚至?xí)l(fā)一系列安全問題:一是對于企業(yè)核心數(shù)據(jù)庫的非法操作����。包括對企業(yè)數(shù)據(jù)庫的登錄�����、注銷���,以及對于數(shù)據(jù)庫中的數(shù)據(jù)表的插入�����、修改�、刪除操作���。二是對于數(shù)據(jù)庫安全事件反映不及時�����。對于違反數(shù)據(jù)庫安全策略的事件�,做不到及時響應(yīng)��、追蹤和取證。三是對于數(shù)據(jù)庫異常事件不能預(yù)警和快速定位����。四是企業(yè)網(wǎng)絡(luò)異常。而對于這種異常的原因�����,管理人員卻無法分析和判斷�。
三、三網(wǎng)合一形勢下企業(yè)數(shù)據(jù)庫安全策略
(一)網(wǎng)絡(luò)層面的常規(guī)維護(hù)策略���。三網(wǎng)合一的背景下�,企業(yè)數(shù)據(jù)庫不可避免會面對網(wǎng)絡(luò)開放��,網(wǎng)絡(luò)系統(tǒng)的安全是企業(yè)數(shù)據(jù)庫安全的第一道屏障���。而企業(yè)數(shù)據(jù)庫也會面臨網(wǎng)絡(luò)入侵的威脅�����,企業(yè)信息系統(tǒng)的機(jī)密性����、完整性和可用性都會面臨考驗。因此��,在網(wǎng)絡(luò)層面的安全策略應(yīng)該著重于以下幾點(diǎn):一是以防火墻技術(shù)作為企業(yè)數(shù)據(jù)庫系統(tǒng)的第一道防線�,包括數(shù)據(jù)包過濾器、和狀態(tài)分析等�����,但因其只是用事先設(shè)定的規(guī)則來攔截信息流的進(jìn)出�,故此防火墻無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作���;二是應(yīng)用入侵檢測技術(shù)����,監(jiān)控網(wǎng)絡(luò)系統(tǒng)是否被入侵或濫用����,包括網(wǎng)絡(luò)簽名、統(tǒng)計和數(shù)據(jù)完整性分析���,但獨(dú)立的入侵監(jiān)測系統(tǒng)存在運(yùn)作上的不足�����;三是可采用協(xié)作式入侵監(jiān)測技術(shù)�����,組件見自動交換信息��,可用于各種網(wǎng)絡(luò)環(huán)境����。
(二)數(shù)據(jù)庫內(nèi)部信息安全策略。企業(yè)數(shù)據(jù)庫內(nèi)部信息安全策略主要包括以下幾點(diǎn):一是加密數(shù)據(jù)庫�����,這是企業(yè)數(shù)據(jù)庫安全的關(guān)鍵手段���,可以避免被繞過數(shù)據(jù)庫安全機(jī)制而直接訪問數(shù)據(jù)庫�,可不受密鑰長度限制�,但不能采用一般通用的加密技術(shù),而必須針對企業(yè)數(shù)據(jù)庫的特點(diǎn)�����,使用相應(yīng)的加密方法和密鑰管理方法�;二是采用數(shù)據(jù)分級控制的策略�,根據(jù)安全要求和數(shù)據(jù)重要程度定義密級����,如公用級、秘密級�����、機(jī)密級�、絕密級等,并對不同權(quán)限用戶設(shè)置相應(yīng)級別����,使系統(tǒng)能夠?qū)崿F(xiàn)“信息流控制”����,避免非法信息流動;三是當(dāng)數(shù)據(jù)庫遭到破壞時�,要有可靠的數(shù)據(jù)庫備份數(shù)據(jù)用以恢復(fù),使系統(tǒng)快速恢復(fù)系統(tǒng)運(yùn)行��。嚴(yán)格的數(shù)據(jù)備份與恢復(fù)管理�,是保障企業(yè)數(shù)據(jù)庫系統(tǒng)安全的有效手段。備份可以分為硬件級和軟件級�����,而其恢復(fù)可以通過磁盤鏡像、備份文件和在線日志等方法�。
四、結(jié)語
需要注意的是����,三網(wǎng)合一對于企業(yè)數(shù)據(jù)庫來說,從單體����、獨(dú)立防御走向整體聯(lián)合防御已經(jīng)是安全解決方案的大勢所趨。企業(yè)必須要能夠預(yù)見風(fēng)險和問題�,制定出適合自己數(shù)據(jù)庫安全維護(hù)的具體策略。
參考文獻(xiàn):
篇3
關(guān)鍵詞:網(wǎng)絡(luò)信息;安全;防火墻; VPN;訪問控制
由于信息系統(tǒng)本身的脆弱性和復(fù)雜性,大量的信息安全問題也伴隨著計算機(jī)應(yīng)用的拓展而不斷涌現(xiàn)�����。病毒傳播�����、黑客入侵�、網(wǎng)絡(luò)犯罪等安全事件的發(fā)生頻率逐年升高,危害性也越來越大。如何構(gòu)建醫(yī)療系統(tǒng)級的信息安全體系,保護(hù)醫(yī)療系統(tǒng)的利益和信息資產(chǎn)不受侵害,為醫(yī)療系統(tǒng)發(fā)展和業(yè)務(wù)經(jīng)營提供有力支撐,為用戶提供可信的服務(wù),已成為各醫(yī)療系統(tǒng)當(dāng)前迫切需要解決的問題。
1醫(yī)療系統(tǒng)信息安全技術(shù)
1.1防病毒
隨著計算機(jī)媒體的不斷出現(xiàn),電子郵件����、盜版光盤、壓縮文件�����、上載下載軟件等已經(jīng)取代軟盤,成為傳播計算機(jī)病毒的主要途徑,而且也使計算機(jī)病毒的寄宿和傳播變得更加容易�����。世界上計算機(jī)病毒現(xiàn)已達(dá)5萬多種,并且還在以每月300多種的速度增加,成為威脅醫(yī)療系統(tǒng)信息安全的主要因素之一��。醫(yī)療系統(tǒng)可從以下幾方面進(jìn)行病毒的防范:
(1)隔離法,計算機(jī)網(wǎng)絡(luò)最突出的優(yōu)點(diǎn)就是信息共享和傳遞,這一優(yōu)點(diǎn)也給病毒提供了快速傳播的條件,使病毒很容易傳播到網(wǎng)絡(luò)上的各種資源,若取消信息共享而采取隔離措施,可切斷病毒的傳播途徑�����。但此方法是以犧牲網(wǎng)絡(luò)的最大優(yōu)點(diǎn)來換取,因此只能在發(fā)現(xiàn)病毒隱患時使用���。
(2)分割法,將用戶分割成不能互相訪問的子集,由于信息只能在一定的區(qū)域中流動,因此建立一個防衛(wèi)機(jī)制,病毒不會在子系統(tǒng)之間相互傳染。
(3)選用高效的防病毒軟件,利用防病毒軟件進(jìn)行計算機(jī)病毒的監(jiān)測和清除是目前廣泛采用的方法��。
(4)及時升級防病毒軟件,防病毒軟件不同于其它應(yīng)用軟件,它不具備主動性,需要實時追蹤新的病毒,因此要不斷更新病毒樣本庫和掃引擎,這樣才能查,查殺新的病毒����。
1.2防火墻
防火墻 (Firewall)技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一����。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的�����、潛在破壞性的侵入,可有效地保證網(wǎng)絡(luò)安全�。它是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的醫(yī)療系統(tǒng)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測�����、限制����、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)�����。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動,保證內(nèi)部網(wǎng)絡(luò)的安全����。
1.3網(wǎng)絡(luò)入侵檢測
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜,網(wǎng)絡(luò)攻擊方式也不斷翻新�����。對于網(wǎng)絡(luò)安全來說,單純的防火墻技術(shù)暴露出明顯的不足和弱點(diǎn),許多攻擊(如DOS攻擊,會偽裝成合法的數(shù)據(jù)流)可以繞過通常的防火墻,且防火墻因不具備實時入侵檢測能力而對病毒束手無策���。在這種情況下,網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Intrusion detection system, IDS)在網(wǎng)絡(luò)的整個安全系統(tǒng)解決方案中就顯示出極大作用。它可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護(hù)手段����。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。
1.4數(shù)據(jù)加密技術(shù)
與防火墻技術(shù)相比,數(shù)據(jù)信息加密技術(shù)比較靈活,更加適用于開放網(wǎng)絡(luò)���。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)���。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊,我們注意到,對于主動攻擊,雖無法避免,但卻可以有效的檢測(如IDS);而對于被動攻擊,雖無法檢測,但卻可以避免,而實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密技術(shù)。
數(shù)據(jù)加密實質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法,這種變換是受稱為密鑰的符號串控制的,加密和解密算法通常是在密鑰控制下進(jìn)行的���。完成加密和解密的算法稱為密碼體制�。密碼體制有對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)����。
1.5身份認(rèn)證技術(shù)
身份識別是用戶向系統(tǒng)出示自己身份證明的身份證明過程,身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程�。這兩項工作統(tǒng)稱為身份驗證。是判明和確認(rèn)通信雙方真實身份的兩個重要環(huán)節(jié)。
1.6訪問控制
訪問控制是提供信息安全保障的主要手段和安全機(jī)制,被廣泛地應(yīng)用于防火墻�����、文件訪問����、VPN及物理安全等多個方面。
訪問控制是信息安全保障機(jī)制的核心內(nèi)容,它是實現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段���。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個主動的實體;如用戶�、進(jìn)程���、服務(wù)等),對訪問客體(需要保護(hù)的資源)的訪問權(quán)限,從而使計算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么,以及做到什么程度�����。
2網(wǎng)絡(luò)安全技術(shù)在醫(yī)療系統(tǒng)中的應(yīng)用
醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)����、管理���、使用等許多方面,既包括網(wǎng)絡(luò)本身的安全問題,也有物理的和邏輯的技術(shù)措施����。只有通過明晰的安全策略、先進(jìn)的技術(shù)措施以及高素質(zhì)的網(wǎng)絡(luò)管理人才構(gòu)建一個由安全策略�、防護(hù)、加密���、備份��、檢測�����、響應(yīng)所組成的中小醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全體系,才能完整�����、實時地保證醫(yī)療系統(tǒng)網(wǎng)絡(luò)環(huán)境中信息的完整性和正確性����。
2.1網(wǎng)絡(luò)邊界的信息安全
在內(nèi)���、外部網(wǎng)絡(luò)實施隔離的是以防火墻為主的入侵防御體系��。它可以通過分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)來保護(hù)內(nèi)部網(wǎng)絡(luò)����。是保障數(shù)據(jù)和網(wǎng)絡(luò)資源安全的強(qiáng)有力的手段�。它可以實現(xiàn)以下三個功能:
(1)連接內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò);
(2)通過外部網(wǎng)絡(luò)來連接不同的內(nèi)部網(wǎng)絡(luò);
(3)保護(hù)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的完整性和私有性。
在實際的策略制訂時主要從三個方面來提高網(wǎng)絡(luò)信息的安全性,即數(shù)據(jù)過濾����、數(shù)據(jù)加密和訪問控制。通過防火墻的安全規(guī)則進(jìn)行數(shù)據(jù)過濾,通過對發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密來保護(hù)數(shù)據(jù)的私有性�����。訪問控制限制訪問內(nèi)部網(wǎng)絡(luò)的系統(tǒng)資源,限制對敏感數(shù)據(jù)的存取(讀�、寫、執(zhí)行)�����。而整個網(wǎng)絡(luò)數(shù)據(jù)的傳輸安全可以分為:
(1)主機(jī)和防火墻之間的數(shù)據(jù)安全;
(2)防火墻之間的數(shù)據(jù)安全;
(3)主機(jī)和主機(jī)之間的數(shù)據(jù)安全,即發(fā)送數(shù)據(jù)者和接收數(shù)據(jù)者之間的安全�。
2.2內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)信息安全
在實現(xiàn)醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全時主要從兩方面來考慮:網(wǎng)絡(luò)安全和主機(jī)安全。網(wǎng)路安全主要考慮網(wǎng)絡(luò)上主機(jī)之間的訪問控制,防止來自外部的入侵,保護(hù)網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸時不被篡改和泄露�����。主機(jī)安全是保護(hù)合法用戶對授權(quán)資源的使用,防止非法用戶對于系統(tǒng)資源的侵占和破壞���。其實現(xiàn)的結(jié)構(gòu)模型如圖1:
使得系統(tǒng)對網(wǎng)絡(luò)的保護(hù)貫穿于網(wǎng)絡(luò)層��、傳輸層和應(yīng)用層�。在各個不同的層次中實施不同的安全策略。
網(wǎng)絡(luò)層:通過對數(shù)據(jù)包頭的分析,基于源地址����、目的地址、源端口���、目的端口和協(xié)議來實現(xiàn)訪問控制.也可以通過工PSEC進(jìn)行加密傳輸����。
傳輸層:實現(xiàn)加密的傳輸�����。
應(yīng)用層:實施嚴(yán)格的訪問控制手段,安裝殺毒軟件并及時更新�����。
2.3安全接入
虛擬專用網(wǎng)絡(luò)(VPN)被定義為通過一個公共網(wǎng)絡(luò)建立的一個臨時的安全的連接,是一條穿越混亂的公共網(wǎng)絡(luò)的安全�、穩(wěn)定的隧道,它是對醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。VPN可以幫助遠(yuǎn)程用戶、醫(yī)療系統(tǒng)的分支機(jī)構(gòu)��、合作伙伴醫(yī)療系統(tǒng)的內(nèi)部網(wǎng)絡(luò)建立可信任的安全接入���。它可以提供數(shù)據(jù)加密,以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露;信息認(rèn)證和身份認(rèn)證,保證信息的完整性�����、合法性,并能鑒別用戶的身份;提供訪問控制,不同的用戶具有不同的權(quán)限。
3結(jié)束語
由于網(wǎng)絡(luò)安全產(chǎn)品�����、計算機(jī)硬軟件是發(fā)展的,病毒和黑客技術(shù)也在發(fā)展,所以網(wǎng)絡(luò)安全是動態(tài)的,因此,網(wǎng)絡(luò)和信息安全應(yīng)是技術(shù)和管理的綜合���。醫(yī)療系統(tǒng)除了采取一些技術(shù)安全措施外,還應(yīng)針對內(nèi)部用戶進(jìn)行網(wǎng)絡(luò)安全教育,建立健全各種管理制度,對威脅和破壞醫(yī)療系統(tǒng)信息和數(shù)據(jù)安全的行為嚴(yán)肅處理�����。同時加強(qiáng)網(wǎng)絡(luò)和系統(tǒng)管理員隊伍的建設(shè)和培訓(xùn),加強(qiáng)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)庫的維護(hù),及時彌補(bǔ)漏洞,監(jiān)控來自醫(yī)療系統(tǒng)外部的各種攻擊和入侵行為,發(fā)現(xiàn)異常馬上采取措施�����。定期對醫(yī)療系統(tǒng)網(wǎng)和關(guān)鍵數(shù)據(jù)進(jìn)行安全評估,并有針對性的制定安全防護(hù)策略����、制定管理規(guī)章制度。
參考文獻(xiàn)
[1] 瞿坦.計算機(jī)網(wǎng)絡(luò)原理及應(yīng)用基礎(chǔ).華中理工大學(xué)出版
社,2005(09)
[2] 賈筱景,肖輝進(jìn),基于防火墻的網(wǎng)絡(luò)安全技術(shù).達(dá)縣師范
高等?��?茖W(xué)校學(xué)報,2005 (02)
[3] 鐘福訓(xùn).網(wǎng)絡(luò)安全方案探討.齊魯石油化工,2004(04)
[4] ?��;郾?李駿仁. 醫(yī)療系統(tǒng)內(nèi)部網(wǎng)絡(luò)信息安全與防御對
策分析. 電腦知識與技術(shù), 2007(20)
篇4
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;網(wǎng)絡(luò)信息安全技術(shù)���;網(wǎng)絡(luò)攻擊�;計算機(jī)病毒
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2017)07-0048-03
1網(wǎng)絡(luò)信息安全概念的含義
1.1網(wǎng)絡(luò)信息安全定義
不同的用戶對網(wǎng)絡(luò)信息安全的定義有所不同���,作為普通用戶�����,我們希望自己的個人信息不被竊??��;在國家層面上��,信息安全就是杜絕一切需要保密的信息外泄�����。
1.2網(wǎng)絡(luò)信息安全模型
根據(jù)TCP/IP協(xié)議���,網(wǎng)絡(luò)安全體系應(yīng)保證物理層的比特流傳輸?shù)陌踩?;保證介質(zhì)的訪問和鏈路傳輸?shù)陌踩逆溌钒踩?���;保證被授權(quán)客戶使用服務(wù)的網(wǎng)絡(luò)層安全;保證客戶資料和操作系統(tǒng)訪問控制安全的會話層安全����;利用多種技術(shù)增強(qiáng)計算機(jī)應(yīng)用軟件安全的應(yīng)用平臺安全和為用戶服務(wù)的應(yīng)用系統(tǒng)安全����。如圖所示:
1.3網(wǎng)絡(luò)信息安全的脆弱性
網(wǎng)絡(luò)信息安全的脆弱性如下:
1)由于程序員設(shè)計程序時考慮不全面或者故意設(shè)置的后門;
2)廠家設(shè)置參數(shù)時由于疏忽大意而產(chǎn)生的錯誤設(shè)置�;
3)TCP/IP協(xié)議為了注重開放性而產(chǎn)生的不可避免的安全缺陷;
4)用戶在使用過程中���,由于疏忽而導(dǎo)致數(shù)據(jù)輸入錯誤而產(chǎn)生的安全缺陷����;
5)由于意外而出現(xiàn)的運(yùn)行錯誤;
6)Internet自身的安全缺陷����。
2網(wǎng)絡(luò)信息安全的主要技術(shù)
2.1防火墻技術(shù)
簡單實用、不需要修改原有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)下能達(dá)到一定安全要求的防火墻是網(wǎng)絡(luò)安全的主要技術(shù)之一��,它既能過濾流出的IP包��,同時也能屏蔽外部危險的IP����,從而保護(hù)內(nèi)部的網(wǎng)絡(luò)。
防火墻最大的特點(diǎn)是可以過濾所有由外到內(nèi)和由內(nèi)到外的數(shù)據(jù)�,只有符合要求的數(shù)據(jù)包才能被防火墻放行,不符合的數(shù)據(jù)包都被防火墻屏蔽�,并且防火墻自身具有防侵入的功能。但需要說明的��,防火墻的安裝的前提是公司或者企業(yè)對于內(nèi)外網(wǎng)絡(luò)連接中需要數(shù)據(jù)保護(hù)功能����,而對于公司或者企業(yè)內(nèi)網(wǎng)則需要用其他方式來實現(xiàn),因為防火墻由于需要^濾內(nèi)外數(shù)據(jù)���,而使網(wǎng)絡(luò)信息傳輸速度變慢�����。
對于用戶來說�,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術(shù),個人防火墻能有效的監(jiān)控及管理系統(tǒng)���,防止病毒�����、流氓軟件等通過Internet進(jìn)入自己的電腦或者自己電腦中的信息在無意中向外擴(kuò)散����。
2.2數(shù)據(jù)加密技術(shù)
在信息時代�����,信息既能幫助大家��,也能威脅大家��,甚至造成破壞��,比如存在競爭的公司和企業(yè)間����,信息的泄露造成的損失會很大,所以就需要一種強(qiáng)有力的技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)�,防止信息數(shù)據(jù)被盜或者被篡改,而且對數(shù)據(jù)進(jìn)行加密或者解密的操作比較簡單��,便于掌握�。
數(shù)據(jù)加密技術(shù)通過加密和解密的操作限制除合法使用者以外的人獲取信息數(shù)據(jù),對信息進(jìn)行保護(hù)��。利用一個密匙進(jìn)行加密和解密的對稱加密技術(shù)和利用配對的“公匙”和“私匙”進(jìn)行加密和解密的非對稱加密技術(shù)是目前最常用的加密技術(shù)����。
2.3訪問控制技術(shù)
我們知道,在網(wǎng)絡(luò)中�����,登錄時通常是中身份驗證的方法�����,但是�����,進(jìn)入網(wǎng)絡(luò)后用戶能做什么?權(quán)限有哪些����?這些是訪問控制技術(shù)需要解決的問題。
訪問控制技術(shù)既能阻止無權(quán)限的用戶訪問資源���,對資源進(jìn)行保護(hù)�����;也能設(shè)置機(jī)制允許被授權(quán)者訪問限定資源�。作為信息安全保障機(jī)制核心內(nèi)容的訪問控制能有效的對資源進(jìn)行保護(hù)�,它是信息安全保護(hù)中最基礎(chǔ)的機(jī)制也是最重要的安全機(jī)制。
現(xiàn)在�����,常用的訪問控制技術(shù)有����;
(1)DAC
(2)MAC
(3)RBAC
2.4虛擬專用網(wǎng)技術(shù)
目前��,既是最新也是最成功的解決信息安全的技術(shù)之一就是虛擬專用網(wǎng)技術(shù)���,這種技術(shù)在數(shù)據(jù)傳輸中進(jìn)行加密和認(rèn)證�,使用起來成本既低于傳統(tǒng)的專線方式又安全性較高。虛擬專用網(wǎng)應(yīng)用范圍很廣�����,我們通常在家里用的撥號上網(wǎng)以及在辦公室辦公時用的內(nèi)網(wǎng)都屬于虛擬專用網(wǎng)�,由于VPN比較復(fù)雜,安全性增強(qiáng)�,通過加密和認(rèn)證使VPN有效保護(hù)了信息資源。
2.5安全隔離技術(shù)
我們知道���,由于計算機(jī)技術(shù)的不斷發(fā)展�����、創(chuàng)新��,現(xiàn)在新型的網(wǎng)絡(luò)攻擊應(yīng)運(yùn)而生��,這就需要開發(fā)高安全性的防新型網(wǎng)絡(luò)攻擊的技術(shù)�����,而安全隔離技術(shù)是把危險的信息資源隔離在外面同時保證內(nèi)網(wǎng)的安全����。
2.6身份認(rèn)證技術(shù)
在我們登錄QQ、微信��、百度文庫�、淘寶及需要注冊成會員的頁面都需要用戶名和密碼,只有輸入正確的用戶名和密碼��,我們才能進(jìn)入頁面���,有的地方或者頁面需要語音��、虹膜等生物特征認(rèn)證才能進(jìn)入等�����,這種需要認(rèn)證才能進(jìn)入的技術(shù)就是身份認(rèn)證技術(shù)����,它的本質(zhì)是通過只有被認(rèn)證方自己知道的信息來使認(rèn)證方認(rèn)證被認(rèn)證方的身份����。
身份認(rèn)證技術(shù)有兩種:密碼認(rèn)證和生物特征認(rèn)證����。密碼認(rèn)證方式主要是通過用戶名和密碼來實現(xiàn)的��,認(rèn)證方發(fā)放給有權(quán)限的用戶口令�,用戶輸入用戶名和密碼后�����,認(rèn)證方通過后臺核對被認(rèn)證方的口令是否正確��,如果正確��,用戶就可以進(jìn)入登錄頁面使用某些功能�。認(rèn)證方式方便可行,但是它的安全性主要取決于用戶設(shè)置的密碼的長度���、復(fù)雜度和用戶對密碼的保密程度���,這就容易遭到猜測軟件的攻擊,只要攻擊方獲取了用戶的密碼�����,用戶的信息和資源就泄露了,最好的解決方法就是用戶將自己的口令加密��。生物特征認(rèn)證相對于密碼認(rèn)證要安全的多����,它是計算機(jī)利用人生理和行為特征上的唯一性進(jìn)行身份認(rèn)證,就像現(xiàn)在很多企業(yè)和公司進(jìn)行考勤形式一般都是采用指紋���、虹膜��、視網(wǎng)膜等進(jìn)行電子考勤�。有一些單位在保密權(quán)限上錄入聲音���、步態(tài)等特征進(jìn)行身份識別��,這種利用人生理和行為特征的唯一性進(jìn)行考勤的優(yōu)點(diǎn)是不會產(chǎn)生遺忘密碼的情況并且防偽性很高����,安全性很高���。
3常見的網(wǎng)絡(luò)攻擊方法以及防范策略
3.1網(wǎng)絡(luò)攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門���,這些都會產(chǎn)生漏洞,網(wǎng)絡(luò)攻擊者就通過這些漏洞進(jìn)行網(wǎng)絡(luò)攻擊。那么�,哪些屬于網(wǎng)絡(luò)攻擊呢?眾所周知����,Internet是開放性的網(wǎng)絡(luò)環(huán)境�����,網(wǎng)絡(luò)攻擊者通常通過漏洞進(jìn)入用戶的計算機(jī)中盜取用戶的個人信息�、銀行密碼、用戶進(jìn)入系統(tǒng)的權(quán)限或者破壞數(shù)據(jù)等造成系統(tǒng)不能正常發(fā)揮功能����;互聯(lián)網(wǎng)在傳輸信息數(shù)據(jù)時依據(jù)的是TCP/IP協(xié)議,而這些協(xié)議在數(shù)據(jù)信息傳輸過程中保護(hù)功能不足���,容易遭到入侵者攻擊����;我們的電子郵件信息不如傳統(tǒng)的信件那樣有郵票�、郵戳、信封等保護(hù)措施��,我們有時無法判斷我們郵件是否真實、是否存在被篡改�、是否誤投、是否偽造等����,這就使我們在傳輸重要郵件時容易別攻擊,產(chǎn)生泄密事件�����,并且���,一些計算機(jī)病毒也通常通過郵件傳播��,使我們的電腦遭到攻擊����,丟失重要信息數(shù)據(jù)����。
攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機(jī)并設(shè)法獲取賬號和密碼,進(jìn)入主機(jī)后獲取控制權(quán)盜取用戶的個人資料和網(wǎng)絡(luò)資源以及特權(quán)�����,達(dá)到自己的攻擊目的。
3.2網(wǎng)絡(luò)攻擊常用方法及預(yù)防策略
1)利用型攻擊:主要是攻擊者企圖進(jìn)入你的計算機(jī)并對你的計算機(jī)進(jìn)行控制�。這種攻擊類型的防御側(cè)策略如下:
(a)設(shè)置多種符號組成的比較復(fù)雜的口令用來阻止攻擊者進(jìn)行口令猜測,同時����,如果你的服務(wù)有鎖定功能,要進(jìn)行鎖定�。
(b)一旦發(fā)現(xiàn)程序可疑�,一定不要下載、不要執(zhí)行并安裝木馬防火墻進(jìn)行隔離木馬�����。
(c)要定時更新系統(tǒng)�,防止緩沖區(qū)溢出。
2)信息收集型攻擊:主要是攻擊者為了進(jìn)一步攻擊而進(jìn)行收集信息的攻擊行為��,它主要包括掃描技術(shù)����、利用信息資源服務(wù)以及系統(tǒng)體系架構(gòu)進(jìn)行刺探三種攻擊方式。對于這三種行為的防御策略分別如下:
(a)對于掃描技術(shù)的防御主要是通過防火墻技術(shù)阻隔掃描企圖和過濾Icmp應(yīng)答���。
(b)對于利用信息服務(wù)的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內(nèi)部信息的LDAP并做相應(yīng)的記錄����。
(c)對于體系結(jié)構(gòu)探測的防御是去掉或修改計算機(jī)運(yùn)行過程中出現(xiàn)的各種banner,對用于識別的端口進(jìn)行阻斷從而達(dá)到擾亂攻擊者的攻擊計劃���。
3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法���,它通常有兩種攻擊方式,分別是通過DNS服務(wù)器進(jìn)行攻擊和利用偽造郵件進(jìn)行攻擊�����。針對這兩種攻擊方法采取的策略分別如下:
(a)對于DNS服務(wù)器進(jìn)行攻擊的防御策略是利用防火墻過濾入站的DNS更新�,阻斷DNS污染。
(b)對于偽造郵件進(jìn)行攻擊的防御策略是使用安全工具和電子郵件證書進(jìn)行隔離帶木馬病毒的電子郵件����,并且對于不認(rèn)識的垃圾電子郵件一概不點(diǎn)開,從而防止木馬病毒的入侵����。
4)網(wǎng)頁攻擊:在我們?yōu)g覽網(wǎng)頁時會被網(wǎng)頁內(nèi)嵌套的代碼程序強(qiáng)行改變我們的默認(rèn)網(wǎng)頁并修改我們的注冊表等信息,破壞計算機(jī)中的數(shù)據(jù)信息甚至格式化我們的電腦硬盤����。它通常有兩種攻擊方式����,分別是以破壞系統(tǒng)為目的的攻擊windows系統(tǒng)和強(qiáng)行修改我們的IE瀏覽器�����。下面對我們使用計算機(jī)過程中常出現(xiàn)的網(wǎng)頁攻擊方式及應(yīng)對策略進(jìn)行分析:
(a)強(qiáng)行修改我們的默認(rèn)首頁
對應(yīng)策略:由于修改默認(rèn)網(wǎng)頁需要修改注冊表�,我們只要把我們的注冊表修改過來就可以了。
(b)格式化硬盤
對應(yīng)策略��;這是一種很惡意的網(wǎng)頁攻擊��,一般操作在后臺�����,我們很難發(fā)現(xiàn)����,這就要求我們要及時升級微軟的安全補(bǔ)丁來及時修補(bǔ)系統(tǒng)的漏洞�,阻隔攻擊者的攻擊。
(c)網(wǎng)頁炸彈
應(yīng)對策略��;網(wǎng)頁炸彈其實就是一個死循環(huán)�,我們平時在瀏覽網(wǎng)站時����,一定不要輕易進(jìn)入不了解的網(wǎng)站和不要輕易打開陌生人發(fā)來的郵件附件�。
(d)文件被非法讀取
此攻擊通過代碼調(diào)用腳本來讀取文件或者利用Ⅲ漏洞非法讀取本地文件。
應(yīng)對策略:通過提高我們?yōu)g覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊�����。
3.3計算機(jī)病毒
為了便于大家自己的電腦是否中病毒����,下面把電腦中病毒的主要癥狀描述如下:
1)電腦的運(yùn)行速度明顯變慢。
2)電腦的存儲容量突然變小�����。
3)開機(jī)明顯變得特別慢�����。
4)電腦中的文件大小突然變大��。
5)電腦經(jīng)常無緣無故的死機(jī)���。
6)電腦的屏幕異常顯示����。
7)鍵盤輸入時出現(xiàn)異常。
8)文件突然不能讀取并復(fù)制不了�、打開不了。
9)文件的日期等屬性突然發(fā)生改變了��。
10)電腦的時間顯示時倒轉(zhuǎn)運(yùn)行�。
11)不斷要求用戶重復(fù)輸入密碼。
12)運(yùn)行過程中系統(tǒng)突然重啟�。
當(dāng)我們發(fā)現(xiàn)電腦中病毒了,我們應(yīng)采取什么措施進(jìn)行清理病毒呢��?首先���,我們要養(yǎng)成安裝可靠殺毒軟件并定時更新的習(xí)慣��。其次,我們要定時清理我們的電腦��,清除碎片�����。再次���,我們要養(yǎng)成健康的用電腦方式和方法��,盡量少雙擊鼠標(biāo)���,多用鼠標(biāo)點(diǎn)擊右鍵打開文件�。
3.4網(wǎng)絡(luò)攻擊的應(yīng)對策略
1)曾強(qiáng)服務(wù)器防毒能力���,安裝可靠的防毒���、殺毒軟件并及時更新,定時掃描電腦清除病毒����。
2)做好電腦備份和恢復(fù)。
篇5
1.1網(wǎng)絡(luò)信息安全定義
不同的用戶對網(wǎng)絡(luò)信息安全的定義有所不同�,作為普通用戶,我們希望自己的個人信息不被竊?���。辉趪覍用嫔?��,信息安全就是杜絕一切需要保密的信息外泄���。
1.2網(wǎng)絡(luò)信息安全模型
根據(jù)TCP/IP協(xié)議���,網(wǎng)絡(luò)安全體系應(yīng)保證物理層的比特流傳輸?shù)陌踩槐WC介質(zhì)的訪問和鏈路傳輸?shù)陌踩逆溌钒踩?;保證被授權(quán)客戶使用服務(wù)的網(wǎng)絡(luò)層安全;保證客戶資料和操作系統(tǒng)訪問控制安全的會話層安全���;利用多種技術(shù)增強(qiáng)計算機(jī)應(yīng)用軟件安全的應(yīng)用平臺安全和為用戶服務(wù)的應(yīng)用系統(tǒng)安全�����。如圖所示:圖1 體系層次模型1.3網(wǎng)絡(luò)信息安全的脆弱性網(wǎng)絡(luò)信息安全的脆弱性如下:1)由于程序員設(shè)計程序時考慮不全面或者故意設(shè)置的后門��;2)廠家設(shè)置參數(shù)時由于疏忽大意而產(chǎn)生的錯誤設(shè)置�����;3)TCP/IP協(xié)議為了注重開放性而產(chǎn)生的不可避免的安全缺陷�;4)用戶在使用過程中�����,由于疏忽而導(dǎo)致數(shù)據(jù)輸入錯誤而產(chǎn)生的安全缺陷�����;5)由于意外而出現(xiàn)的運(yùn)行錯誤��;6)Internet自身的安全缺陷�����。
2網(wǎng)絡(luò)信息安全的主要技術(shù)
2.1防火墻技術(shù)
簡單實用��、不需要修改原有的網(wǎng)絡(luò)應(yīng)用系統(tǒng)下能達(dá)到一定安全要求的防火墻是網(wǎng)絡(luò)安全的主要技術(shù)之一���,它既能過濾流出的IP包���,同時也能屏蔽外部危險的IP,從而保護(hù)內(nèi)部的網(wǎng)絡(luò)��。防火墻最大的特點(diǎn)是可以過濾所有由外到內(nèi)和由內(nèi)到外的數(shù)據(jù)�����,只有符合要求的數(shù)據(jù)包才能被防火墻放行���,不符合的數(shù)據(jù)包都被防火墻屏蔽�����,并且防火墻自身具有防侵入的功能���。但需要說明的�,防火墻的安裝的前提是公司或者企業(yè)對于內(nèi)外網(wǎng)絡(luò)連接中需要數(shù)據(jù)保護(hù)功能�����,而對于公司或者企業(yè)內(nèi)網(wǎng)則需要用其他方式來實現(xiàn)�,因為防火墻由于需要過濾內(nèi)外數(shù)據(jù),而使網(wǎng)絡(luò)信息傳輸速度變慢�����。對于用戶來說��,常使用非常方便和實用的防止電腦中的信息被侵襲的個人防火墻技術(shù)����,個人防火墻能有效的監(jiān)控及管理系統(tǒng),防止病毒�、流氓軟件等通過Internet進(jìn)入自己的電腦或者自己電腦中的信息在無意中向外擴(kuò)散。
2.2數(shù)據(jù)加密技術(shù)
在信息時代��,信息既能幫助大家����,也能威脅大家,甚至造成破壞���,比如存在競爭的公司和企業(yè)間���,信息的泄露造成的損失會很大,所以就需要一種強(qiáng)有力的技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)�,防止信息數(shù)據(jù)被盜或者被篡改,而且對數(shù)據(jù)進(jìn)行加密或者解密的操作比較簡單��,便于掌握�。數(shù)據(jù)加密技術(shù)通過加密和解密的操作限制除合法使用者以外的人獲取信息數(shù)據(jù),對信息進(jìn)行保護(hù)�����。利用一個密匙進(jìn)行加密和解密的對稱加密技術(shù)和利用配對的“公匙”和“私匙”進(jìn)行加密和解密的非對稱加密技術(shù)是目前最常用的加密技術(shù)�����。
2.3訪問控制技術(shù)
我們知道,在網(wǎng)絡(luò)中���,登錄時通常是中身份驗證的方法����,但是�,進(jìn)入網(wǎng)絡(luò)后用戶能做什么?權(quán)限有哪些�����?這些是訪問控制技術(shù)需要解決的問題��。訪問控制技術(shù)既能阻止無權(quán)限的用戶訪問資源���,對資源進(jìn)行保護(hù)�����;也能設(shè)置機(jī)制允許被授權(quán)者訪問限定資源���。作為信息安全保障機(jī)制核心內(nèi)容的訪問控制能有效的對資源進(jìn)行保護(hù),它是信息安全保護(hù)中最基礎(chǔ)的機(jī)制也是最重要的安全機(jī)制���。
2.4虛擬專用網(wǎng)技術(shù)
目前��,既是最新也是最成功的解決信息安全的技術(shù)之一就是虛擬專用網(wǎng)技術(shù)��,這種技術(shù)在數(shù)據(jù)傳輸中進(jìn)行加密和認(rèn)證����,使用起來成本既低于傳統(tǒng)的專線方式又安全性較高���。虛擬專用網(wǎng)應(yīng)用范圍很廣�����,我們通常在家里用的撥號上網(wǎng)以及在辦公室辦公時用的內(nèi)網(wǎng)都屬于虛擬專用網(wǎng)�����,由于VPN比較復(fù)雜��,安全性增強(qiáng)�,通過加密和認(rèn)證使VPN有效保護(hù)了信息資源����。
2.5安全隔離技術(shù)
我們知道���,由于計算機(jī)技術(shù)的不斷發(fā)展、創(chuàng)新�����,現(xiàn)在新型的網(wǎng)絡(luò)攻擊應(yīng)運(yùn)而生��,這就需要開發(fā)高安全性的防新型網(wǎng)絡(luò)攻擊的技術(shù)�,而安全隔離技術(shù)是把危險的信息資源隔離在外面同時保證內(nèi)網(wǎng)的安全。
2.6身份認(rèn)證技術(shù)
在我們登錄QQ�����、微信���、百度文庫��、淘寶及需要注冊成會員的頁面都需要用戶名和密碼����,只有輸入正確的用戶名和密碼��,我們才能進(jìn)入頁面�����,有的地方或者頁面需要語音、虹膜等生物特征認(rèn)證才能進(jìn)入等���,這種需要認(rèn)證才能進(jìn)入的技術(shù)就是身份認(rèn)證技術(shù)�����,它的本質(zhì)是通過只有被認(rèn)證方自己知道的信息來使認(rèn)證方認(rèn)證被認(rèn)證方的身份。身份認(rèn)證技術(shù)有兩種:密碼認(rèn)證和生物特征認(rèn)證��。密碼認(rèn)證方式主要是通過用戶名和密碼來實現(xiàn)的����,認(rèn)證方發(fā)放給有權(quán)限的用戶口令,用戶輸入用戶名和密碼后���,認(rèn)證方通過后臺核對被認(rèn)證方的口令是否正確���,如果正確,用戶就可以進(jìn)入登錄頁面使用某些功能�。認(rèn)證方式方便可行,但是它的安全性主要取決于用戶設(shè)置的密碼的長度��、復(fù)雜度和用戶對密碼的保密程度,這就容易遭到猜測軟件的攻擊����,只要攻擊方獲取了用戶的密碼,用戶的信息和資源就泄露了����,最好的解決方法就是用戶將自己的口令加密。生物特征認(rèn)證相對于密碼認(rèn)證要安全的多��,它是計算機(jī)利用人生理和行為特征上的唯一性進(jìn)行身份認(rèn)證��,就像現(xiàn)在很多企業(yè)和公司進(jìn)行考勤形式一般都是采用指紋���、虹膜��、視網(wǎng)膜等進(jìn)行電子考勤���。有一些單位在保密權(quán)限上錄入聲音、步態(tài)等特征進(jìn)行身份識別����,這種利用人生理和行為特征的唯一性進(jìn)行考勤的優(yōu)點(diǎn)是不會產(chǎn)生遺忘密碼的情況并且防偽性很高,安全性很高。
3常見的網(wǎng)絡(luò)攻擊方法以及防范策略
3.1網(wǎng)絡(luò)攻擊概念簡述
我們知道程序員在書寫程序時由于疏忽或者處于某種原因自留后門��,這些都會產(chǎn)生漏洞��,網(wǎng)絡(luò)攻擊者就通過這些漏洞進(jìn)行網(wǎng)絡(luò)攻擊���。那么�,哪些屬于網(wǎng)絡(luò)攻擊呢��?眾所周知�,Internet是個開放性的網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)攻擊者通常通過漏洞進(jìn)入用戶的計算機(jī)中盜取用戶的個人信息�、銀行密碼�、用戶進(jìn)入系統(tǒng)的權(quán)限或者破壞數(shù)據(jù)等造成系統(tǒng)不能正常發(fā)揮功能;互聯(lián)網(wǎng)在傳輸信息數(shù)據(jù)時依據(jù)的是TCP/IP協(xié)議����,而這些協(xié)議在數(shù)據(jù)信息傳輸過程中保護(hù)功能不足,容易遭到入侵者攻擊����;我們的電子郵件信息不如傳統(tǒng)的信件那樣有郵票、郵戳���、信封等保護(hù)措施���,我們有時無法判斷我們郵件是否真實�、是否存在被篡改����、是否誤投、是否偽造等���,這就使我們在傳輸重要郵件時容易別攻擊��,產(chǎn)生泄密事件���,并且,一些計算機(jī)病毒也通常通過郵件傳播�����,使我們的電腦遭到攻擊����,丟失重要信息數(shù)據(jù)。攻擊者常常通過隱藏自己的IP信息來尋找要攻擊的主機(jī)并設(shè)法獲取賬號和密碼�����,進(jìn)入主機(jī)后獲取控制權(quán)盜取用戶的個人資料和網(wǎng)絡(luò)資源以及特權(quán),達(dá)到自己的攻擊目的���。
3.2網(wǎng)絡(luò)攻擊常用方法及預(yù)防策略
1)利用型攻擊:主要是攻擊者企圖進(jìn)入你的計算機(jī)并對你的計算機(jī)進(jìn)行控制��。這種攻擊類型的防御側(cè)策略如下:(a)設(shè)置多種符號組成的比較復(fù)雜的口令用來阻止攻擊者進(jìn)行口令猜測���,同時,如果你的服務(wù)有鎖定功能���,要進(jìn)行鎖定���。(b)一旦發(fā)現(xiàn)程序可疑,一定不要下載�、不要執(zhí)行并安裝木馬防火墻進(jìn)行隔離木馬。(c)要定時更新系統(tǒng)����,防止緩沖區(qū)溢出��。2)信息收集型攻擊:主要是攻擊者為了進(jìn)一步攻擊而進(jìn)行收集信息的攻擊行為�����,它主要包括掃描技術(shù)、利用信息資源服務(wù)以及系統(tǒng)體系架構(gòu)進(jìn)行刺探三種攻擊方式����。對于這三種行為的防御策略分別如下:(a)對于掃描技術(shù)的防御主要是通過防火墻技術(shù)阻隔掃描企圖和過濾Icmp應(yīng)答。(b)對于利用信息服務(wù)的防御主要是通過防火墻過濾請求或者過濾掉地址并阻斷刺探內(nèi)部信息的LDAP并做相應(yīng)的記錄���。(c)對于體系結(jié)構(gòu)探測的防御是去掉或修改計算機(jī)運(yùn)行過程中出現(xiàn)的各種banner��,對用于識別的端口進(jìn)行阻斷從而達(dá)到擾亂攻擊者的攻擊計劃����。3)假消息攻擊:主要是攻擊者利用不正確的信息實施的攻擊方法�,它通常有兩種攻擊方式,分別是通過DNS服務(wù)器進(jìn)行攻擊和利用偽造郵件進(jìn)行攻擊�����。針對這兩種攻擊方法采取的策略分別如下:(a)對于DNS服務(wù)器進(jìn)行攻擊的防御策略是利用防火墻過濾入站的DNS更新����,阻斷DNS污染。(b)對于偽造郵件進(jìn)行攻擊的防御策略是使用安全工具和電子郵件證書進(jìn)行隔離帶木馬病毒的電子郵件�,并且對于不認(rèn)識的垃圾電子郵件一概不點(diǎn)開����,從而防止木馬病毒的入侵���。4)網(wǎng)頁攻擊:在我們?yōu)g覽網(wǎng)頁時會被網(wǎng)頁內(nèi)嵌套的代碼程序強(qiáng)行改變我們的默認(rèn)網(wǎng)頁并修改我們的注冊表等信息����,破壞計算機(jī)中的數(shù)據(jù)信息甚至格式化我們的電腦硬盤���。它通常有兩種攻擊方式��,分別是以破壞系統(tǒng)為目的的攻擊windows系統(tǒng)和強(qiáng)行修改我們的IE瀏覽器�。下面對我們使用計算機(jī)過程中常出現(xiàn)的網(wǎng)頁攻擊方式及應(yīng)對策略進(jìn)行分析:(a)強(qiáng)行修改我們的默認(rèn)首頁對應(yīng)策略:由于修改默認(rèn)網(wǎng)頁需要修改注冊表��,我們只要把我們的注冊表修改過來就可以了����。(b)格式化硬盤對應(yīng)策略:這是一種很惡意的網(wǎng)頁攻擊,一般操作在后臺��,我們很難發(fā)現(xiàn)����,這就要求我們要及時升級微軟的安全補(bǔ)丁來及時修補(bǔ)系統(tǒng)的漏洞,阻隔攻擊者的攻擊�。(c)網(wǎng)頁炸彈應(yīng)對策略:網(wǎng)頁炸彈其實就是一個死循環(huán),我們平時在瀏覽網(wǎng)站時���,一定不要輕易進(jìn)入不了解的網(wǎng)站和不要輕易打開陌生人發(fā)來的郵件附件�����。(d)文件被非法讀取 此攻擊通過代碼調(diào)用腳本來讀取文件或者利用IE漏洞非法讀取本地文件����。應(yīng)對策略:通過提高我們?yōu)g覽器的安全級別和禁用JavascriP來阻隔攻擊者的攻擊����。
3.3計算機(jī)病毒
為了便于大家自己的電腦是否中病毒,下面把電腦中病毒的主要癥狀描述如下:1)電腦的運(yùn)行速度明顯變慢�����。2)電腦的存儲容量突然變小�。3)開機(jī)明顯變得特別慢。4)電腦中的文件大小突然變大�����。5)電腦經(jīng)常無緣無故的死機(jī)。6)電腦的屏幕異常顯示�。7)鍵盤輸入時出現(xiàn)異常。8)文件突然不能讀取并復(fù)制不了�、打開不了。9)文件的日期等屬性突然發(fā)生改變了�����。10)電腦的時間顯示時倒轉(zhuǎn)運(yùn)行��。11)不斷要求用戶重復(fù)輸入密碼�。12)運(yùn)行過程中系統(tǒng)突然重啟。當(dāng)我們發(fā)現(xiàn)電腦中病毒了�,我們應(yīng)采取什么措施進(jìn)行清理病毒呢?首先���,我們要養(yǎng)成安裝可靠殺毒軟件并定時更新的習(xí)慣��。其次����,我們要定時清理我們的電腦�����,清除碎片�。再次,我們要養(yǎng)成健康的用電腦方式和方法��,盡量少雙擊鼠標(biāo)���,多用鼠標(biāo)點(diǎn)擊右鍵打開文件���。
3.4網(wǎng)絡(luò)攻擊的應(yīng)對策略
篇6
關(guān)鍵詞:ARP欺騙攻擊;網(wǎng)絡(luò)安全意識��;問題情境����;職業(yè)素質(zhì)
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2015)35-0100-03
Abstract: This paper aims to integrate the network safety consciousness, real problem situation���, professional quality concept into the college experimental teaching process under the strategy of network power�, to stimulate students' enthusiasm and initiative�����, and guide students to find, analyze and solve the problem�����, to sum up the experiment in the form of lists. Ultimately�����, the "student oriented�, supplemented by teachers" teaching ideas are reflected, and students' practical ability are enhanced.
Key words: ARP spoofing���;network safety consciousness�����; problem situation���; professional quality
1 引言
2014年來,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長多次提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全”以及“建設(shè)網(wǎng)絡(luò)強(qiáng)國”的重要論斷���。2015年政府工作報告提出的“互聯(lián)網(wǎng)+行動計劃” 體現(xiàn)出信息化對網(wǎng)絡(luò)發(fā)展巨大推動作用和以網(wǎng)絡(luò)為載體的數(shù)據(jù)驅(qū)動巨大魅力的同時��,也呼喚著人們通過網(wǎng)絡(luò)的進(jìn)一步發(fā)展來不斷提升網(wǎng)絡(luò)安全的能力和意識���。兩屆國家網(wǎng)絡(luò)安全宣傳周活動的開展也為加強(qiáng)全民網(wǎng)絡(luò)安全宣傳教育����、提升網(wǎng)民的網(wǎng)絡(luò)安全防范意識和技能提供了良好的途徑����。
網(wǎng)絡(luò)安全上升到國家戰(zhàn)略層面�,各類網(wǎng)絡(luò)攻擊和竊取事件的頻發(fā)驅(qū)動信息安全需求急劇增加,目前網(wǎng)絡(luò)安全普遍存在的問題是信息安全意識不強(qiáng)����、缺乏整體安全方案、沒有安全管理機(jī)制�����、系統(tǒng)本身不安全以及缺少必要的安全專才���。
網(wǎng)絡(luò)安全意識比技術(shù)更重要���。作為培養(yǎng)網(wǎng)絡(luò)專業(yè)技能人才的一線高校教師,在平常實驗教學(xué)中除了借助各種安全設(shè)備和環(huán)境完成實訓(xùn)內(nèi)容外���,更重要的是提升學(xué)生的安全意識和處理安全事故的能力��,在提高專業(yè)技能水平的同時培養(yǎng)學(xué)生的職業(yè)素質(zhì)��,因此設(shè)計好網(wǎng)絡(luò)安全實驗課程顯得尤為重要�����。本文以ARP欺騙攻擊與防范實驗教學(xué)為例��,探索在真實網(wǎng)絡(luò)安全情境下����,新型安全課程實驗教學(xué)模式的改革以及教學(xué)效果。
2 ARP欺騙攻擊原理
ARP協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎(chǔ)協(xié)議����,負(fù)責(zé)完成IP地址到硬件地址的映射。工作過程簡述如下:1)當(dāng)主機(jī)或者網(wǎng)絡(luò)設(shè)備需要解析一個IP地址對應(yīng)的MAC地址時���,會廣播發(fā)送ARP請求報文�����。2)主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到ARP請求后��,會進(jìn)行應(yīng)答���。同時���,根據(jù)請求發(fā)送者的IP地址和MAC地址的對應(yīng)關(guān)系建立ARP表項。3)發(fā)起請求的主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到應(yīng)答后���,同樣會將應(yīng)答報文中發(fā)送者的IP地址和MAC地址的映射關(guān)系記錄下來�����,生成ARP表項。從ARP工作機(jī)制可以看出���,ARP協(xié)議簡單易用���,但是卻沒有任何安全機(jī)制,攻擊者可以發(fā)送偽造ARP報文對網(wǎng)絡(luò)進(jìn)行攻擊��。偽造ARP報文具有如下特點(diǎn):偽造的ARP報文中源MAC地址/目的MAC地址和以太網(wǎng)幀封裝中的源MAC地址/目的MAC地址不一致�����;偽造的ARP報文中源IP地址和源MAC地址的映射關(guān)系不是合法用戶真實的映射關(guān)系。目前主要的ARP攻擊方式有如下幾類:仿冒網(wǎng)關(guān)攻擊�、仿冒用戶攻擊(欺騙網(wǎng)關(guān)或者其他主機(jī))、泛洪攻擊�。
3 問題情境設(shè)計
教學(xué)情境是課堂教學(xué)的基本要素,有價值的教學(xué)情境一定是內(nèi)含問題的情境�,它能有效地引發(fā)學(xué)生的思考。問題情境的創(chuàng)設(shè)����,對于學(xué)生學(xué)習(xí)興趣的激發(fā)起著決定作用。因此�����,如何設(shè)計具有一定情緒色彩的�、以形象為主體的生動具體的場景,以激發(fā)學(xué)生一定的情感���,就成為教學(xué)之初需要考慮的問題�。
在一個沒有防御的園區(qū)網(wǎng)中爆發(fā)的ARP病毒會造成網(wǎng)絡(luò)丟包�����、不能訪問網(wǎng)關(guān)��、IP地址沖突等問題,實驗室所有主機(jī)分配的是同一網(wǎng)段IP地址���,接入交換機(jī)��,預(yù)先在教師機(jī)上開啟Sniffer嗅探者軟件�,運(yùn)行數(shù)據(jù)包發(fā)生器����,修改后的ARP廣播報文會持續(xù)被發(fā)送到當(dāng)前局域網(wǎng)中,為學(xué)生建立一個真實園區(qū)網(wǎng)面臨的問題情境��,接下來引導(dǎo)學(xué)生按照“發(fā)現(xiàn)問題-分析問題-解決問題”的順序完成實驗內(nèi)容�����,提升自己的安全意識和實踐能力����。
4 實施過程
4.1 實驗環(huán)境
實驗室所有主機(jī)處于同一網(wǎng)段��,類似如下所示的拓?fù)鋱D環(huán)境:
4.2 問題情境的構(gòu)造
教師機(jī)IP地址為172.16.75.105��,在本實驗中充當(dāng)攻擊者身份��。首先構(gòu)造用于攻擊的ARP欺騙報文,在Sniffer軟件上定義好過濾器后��,開始捕獲報文����,首先將教師機(jī)的ARP緩存清空,嘗試PING網(wǎng)關(guān)�,停止捕獲并顯示結(jié)果如下圖所示,
發(fā)送當(dāng)前的幀之前做如下修改:(1)更改源IP地址為網(wǎng)關(guān)IP地址�����;(2)更改源MAC地址為偽造的MAC 地址11-22-33-44-55-66����;(3)更改目的IP地址為任一同網(wǎng)段主機(jī)IP地址;(4)更改目的MAC地址為全F值�����。設(shè)置為連續(xù)不斷地發(fā)送幀����,啟動數(shù)據(jù)幀發(fā)生器,此時當(dāng)前網(wǎng)段會充斥著此類ARP廣播報文����。
4.3 問題情境的呈現(xiàn)
以4-5人為一組����,以真實的網(wǎng)絡(luò)管理員遇到的企業(yè)局域網(wǎng)故障為案例����,向?qū)W生說明經(jīng)常受到的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)內(nèi)部,表現(xiàn)為訪問互聯(lián)網(wǎng)時斷時續(xù)����,打開網(wǎng)頁或下載文件的速度明顯變慢,甚至無法訪問公司的Web服務(wù)器等資源���,嚴(yán)重影響了企業(yè)辦公業(yè)務(wù)的正常運(yùn)行�,公司領(lǐng)導(dǎo)對此很不滿意��,要求立刻徹底解決問題�。要求在實驗報告上完成每步測試內(nèi)容并填寫檢查結(jié)果���。此環(huán)節(jié)注重引入職業(yè)教育理念����,既要注重技能鍛煉,又要注意素質(zhì)培養(yǎng)����。立足本職崗位,敢于承擔(dān)責(zé)任�,從工作中發(fā)現(xiàn)問題是什么,為什么到怎么做��,同時培養(yǎng)學(xué)生的團(tuán)隊意識�����。
4.4發(fā)現(xiàn)問題
此環(huán)節(jié)旨在讓學(xué)生運(yùn)用已掌握的網(wǎng)絡(luò)維護(hù)技能發(fā)現(xiàn)當(dāng)前局域網(wǎng)存在的問題�����,通過觀察學(xué)生在測試環(huán)節(jié)中采用的方法���,可以了解到學(xué)生能否快速有效地定位網(wǎng)絡(luò)中的故障��,在不投入新的設(shè)備情況下解決問題����。
通過觀察,多數(shù)學(xué)生會按照如下測試步驟檢測網(wǎng)絡(luò)狀況:1)檢查本機(jī)網(wǎng)絡(luò)連接情況及IP地址是否有效����;2)檢查與同一網(wǎng)段內(nèi)其余主機(jī)連接情況;3)檢查與網(wǎng)關(guān)連接情況�;4)檢查與DNS服務(wù)器連接情況;5)檢查與Web服務(wù)器連接情況��。這一過程旨在幫助學(xué)生基于收集到的測試數(shù)據(jù)判斷問題癥結(jié)點(diǎn)的能力�,只有在充分調(diào)查研究的基礎(chǔ)上具體問題具體分析,才能把存在的問題癥結(jié)點(diǎn)找準(zhǔn)����、找實、找透��,才能開對方子����,做到對癥下藥。
4.5分析問題
根據(jù)課堂反映來看�����,絕大多數(shù)學(xué)生在實施到第3步時發(fā)現(xiàn)PING網(wǎng)關(guān)IP地址不通��,并且重啟機(jī)器后癥狀依舊����,沒過多久又會產(chǎn)生丟包現(xiàn)象。不少學(xué)生通過使用ARP -a命令發(fā)現(xiàn)學(xué)習(xí)到的網(wǎng)關(guān)MAC地址是偽造的11-22-33-44-55-66���,進(jìn)而判斷出問題在于網(wǎng)關(guān)MAC地址被篡改�����,通過使用Sniffer軟件�����,可以嗅探到局域網(wǎng)內(nèi)充斥著大量的ARP報文���,并且通過抓包分析,發(fā)現(xiàn)源IP地址為172.16.75.254的網(wǎng)關(guān)的MAC地址為11-22-33-44-55-66��。此時需要引導(dǎo)學(xué)生去思考兩個問題:一是為什么主機(jī)會無條件更新�����,二是如何防范此類錯誤���。結(jié)合課本上提到的TCP/IP協(xié)議棧的脆弱性���,部分同學(xué)會得出主機(jī)并不對收到的ARP報文進(jìn)行檢查��,從而導(dǎo)致PC主機(jī)更新本機(jī)ARP緩存里的網(wǎng)關(guān)MAC地址的結(jié)論����。
這個分析問題的過程注重培養(yǎng)學(xué)生遇到問題的應(yīng)變能力�����,這種能力的訓(xùn)練對于今后可能從事的網(wǎng)絡(luò)運(yùn)維崗位而言��,是非常有必要的��。
4.6 解決問題
明白了問題的原因��,如何解決問題就是一個水到渠成的過程�。通過幾分鐘分組討論的形式,最后總結(jié)了幾組的意見���,歸納出兩種解決思路:一是主機(jī)對于收到的ARP偽造報文不進(jìn)行更新操作�����,二是限制此類ARP廣播報文在局域網(wǎng)內(nèi)的泛洪���。此時,結(jié)合實訓(xùn)指導(dǎo)書內(nèi)容��,教師提出兩種解決方案讓學(xué)生選擇���,一是在局域網(wǎng)內(nèi)各臺主機(jī)上靜態(tài)綁定正確的網(wǎng)關(guān)MAC地址�����,這樣即使主機(jī)收到了虛假M(fèi)AC地址也不予以更新�����;二是在交換機(jī)各端口上設(shè)置單位時間內(nèi)允許通過的ARP報文數(shù)量的閾值�,超過閾值則關(guān)閉端口�。同時讓學(xué)生分組討論,對這兩種方案的優(yōu)缺點(diǎn)進(jìn)行比較���,最終得出如下的結(jié)論�����,方案一因為要在局域網(wǎng)內(nèi)每臺主機(jī)上配置命令���,工作量較大���,網(wǎng)關(guān)MAC地址一旦改變又得重新配置,而且治標(biāo)不治本��,不能有效遏制網(wǎng)段內(nèi)ARP報文造成的廣播風(fēng)暴����,網(wǎng)絡(luò)傳輸性能較低;方案二只需在交換機(jī)端口上進(jìn)行配置��,與網(wǎng)關(guān)MAC地址無關(guān)�����,如果再在端口上劃分好VLAN����,將會進(jìn)一步限制廣播報文的傳輸范圍。
4.7 實驗總結(jié)
總結(jié)既是自己對于實驗的理解歸納�,也是對整個實驗過程的回放,既要總結(jié)有所收獲的地方���,也要?dú)w納出不足之處�。通過將實驗全過程中涉及現(xiàn)象、情境及步驟列成問題清單��,讓每位學(xué)生都能從實驗中總結(jié)出得與失�。最后借鑒翻轉(zhuǎn)課堂的思想,邀請一位學(xué)生就實驗?zāi)康?�、方法�、步驟進(jìn)行口頭陳述�����,由其余學(xué)生進(jìn)行補(bǔ)充���,從而獲得更深層次的理解�����。
5 結(jié)語
通過網(wǎng)絡(luò)安全實驗課程的教學(xué)嘗試����,以及學(xué)生的反映來看��,收到了一定成效?�?偨Y(jié)起來達(dá)到了三個目的����,一是探索網(wǎng)絡(luò)安全意識、網(wǎng)絡(luò)安全技能并重的新型網(wǎng)絡(luò)安全實驗教學(xué)方法����,二是引導(dǎo)學(xué)生進(jìn)入實際問題情境中,深入角色�����,積極主動地去發(fā)現(xiàn)�����、分析及解決問題����,三是將個人責(zé)任感、團(tuán)隊合作等職業(yè)化素質(zhì)理念融入到教學(xué)過程當(dāng)中��,培養(yǎng)主人公意識��。在教學(xué)過程中需要注意對于課堂進(jìn)度以及時間的把握,如學(xué)生遇到難點(diǎn)應(yīng)及時進(jìn)行引導(dǎo)���,推動進(jìn)程�����。
參考文獻(xiàn):
[1] 遲恩宇���,劉天飛,楊建毅����,王東.網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社���,2009.
[2] 葉成緒.校園網(wǎng)中基于ARP協(xié)議的欺騙及其預(yù)防[J].青海大學(xué)學(xué)報: 自然科學(xué)版���,2007(3):59-61.
[3] 秦豐林,段海新���,郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述[J].計算機(jī)應(yīng)用研究���,2009(1):30-33.
[4] 孟令健.計算機(jī)網(wǎng)絡(luò)安全ARP攻擊行為的防范研究[J].齊齊哈爾大學(xué)學(xué)報: 自然科學(xué)版���,2013(3):9-11.
[5] 郭會茹,楊斌�����,牛立全.ARP攻擊原理分析及其安全防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用�����,2015(6):5-6.
[6] 劉名卓�,趙娜.網(wǎng)絡(luò)教學(xué)設(shè)計樣式的研究與實踐[J].遠(yuǎn)程教育雜志,2013(3):79-86.
篇7
關(guān)鍵詞:計算機(jī)�����;信息安全技術(shù)����;相關(guān)概念;防護(hù)內(nèi)容�����;防護(hù)措施
中圖分類號:TP393.08
社會發(fā)展對信息交換和資源共享需求的不斷增長,計算機(jī)網(wǎng)絡(luò)也隨之不斷的發(fā)展����,并在社會經(jīng)濟(jì)、政治�����、軍事以及文化等各個領(lǐng)域的應(yīng)用越來越廣泛�����,給社會帶來巨大的效益��,在豐富人們的日常生活內(nèi)容的同時��,也帶來更多的信息資源�����,促進(jìn)了社會精神文明的發(fā)展和進(jìn)步�。但是隨著計算機(jī)的普及應(yīng)用�����,計算機(jī)信息安全威脅日益凸顯,人們對計算機(jī)信息安全問題的關(guān)注力度越來越大�。研究計算機(jī)信息安全技術(shù)和防護(hù)措施有著重要的意義。本文針對計算機(jī)信息安全技術(shù)和防護(hù)措施進(jìn)行研究���,為防護(hù)計算機(jī)信息提供科學(xué)依據(jù)�����。
1 計算機(jī)信息安全的相關(guān)概念
計算機(jī)網(wǎng)絡(luò)安全指的是現(xiàn)代計算機(jī)網(wǎng)絡(luò)內(nèi)部的安全環(huán)境維護(hù)����,主要保護(hù)的是計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬盤��、軟件中的數(shù)據(jù)資源����,在沒有因為意外或惡意等情況下未遭遇人為型破壞和更改相關(guān)重要的數(shù)據(jù)信息,從而保障計算機(jī)網(wǎng)絡(luò)服務(wù)的正常運(yùn)作�。因此,計算機(jī)信息安全指的是信息在計算機(jī)網(wǎng)絡(luò)中能保障安全并運(yùn)作正常網(wǎng)絡(luò)功能的信息安全����,其主要是指各類計算機(jī)信息安全的漏洞對信息的威脅。
計算機(jī)網(wǎng)絡(luò)安全涉及到計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部信息的內(nèi)容較多����,其中包括:計算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟件和硬件安全�����;網(wǎng)絡(luò)服務(wù)器和PC機(jī)所使用的開機(jī)啟動賬號和密碼��;系統(tǒng)管理員賬戶的使用范圍��;計算機(jī)系統(tǒng)不斷更改的密碼���;重要的文件標(biāo)識;網(wǎng)頁訪問的用戶等內(nèi)容���。計算機(jī)信息安全可以歸納為信息的存儲安全�����、傳輸安全[1]��。
2 計算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容
計算機(jī)信息安全防護(hù)��,強(qiáng)化計算機(jī)信息安全管理的防護(hù)工作和防護(hù)內(nèi)容較多。從現(xiàn)階段計算機(jī)信息安全防護(hù)的實際情況來看�����,強(qiáng)化對計算機(jī)安全信息的管理可以從計算機(jī)安全技術(shù)入手,對計算機(jī)系統(tǒng)的安全信息存在的漏洞進(jìn)行及時的檢測�����、修補(bǔ)和分析�����;結(jié)合檢測分析得到的結(jié)果制定有效的防護(hù)方案���;建立完善的安全系統(tǒng)體系�����。其中安全系統(tǒng)體系包括安全防火墻�、計算機(jī)網(wǎng)絡(luò)的殺毒軟件���、入侵監(jiān)測掃描系統(tǒng)等信息安全防護(hù)體系���。從計算機(jī)信息安全管理方面來看,需要建立健全的信息安全制度�����,嚴(yán)格根據(jù)信息安全管理制度的相關(guān)規(guī)定對計算機(jī)信息進(jìn)行防護(hù),加強(qiáng)管理人員的安全防護(hù)意識�。此外,計算機(jī)信息安全防護(hù)還需要充分考慮計算機(jī)安全數(shù)據(jù)資源的合法使用�����、安全穩(wěn)定運(yùn)作��;數(shù)據(jù)資料存儲和傳輸?shù)耐暾?、可控性、機(jī)密性和可用性等[2]����。
3 計算機(jī)信息安全防護(hù)中存在的問題
隨著計算機(jī)信息化技術(shù)的進(jìn)一步發(fā)展,信息安全已經(jīng)引起人們的高度關(guān)注?�,F(xiàn)階段計算機(jī)安全信息防護(hù)還存在諸多問題��。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全體系不夠完善����,因此要保障計算機(jī)信息安全必須要配置一些安全信息設(shè)備,但是目前的安全技術(shù)水平偏低��,安全信息質(zhì)量得不到保障�����。此外計算機(jī)系統(tǒng)內(nèi)部的應(yīng)急措施的構(gòu)建機(jī)制不夠健全��,安全制度不完善��,滿足不了信息安全的防護(hù)標(biāo)準(zhǔn)要求���。近幾年來����,我國用人單位對計算機(jī)信息安全管理工作越來越重視�,但是有些單位的計算機(jī)安全信息防護(hù)意識薄弱,負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低�����,計算機(jī)信息安全技術(shù)防護(hù)水平偏低���。同時��,一些企業(yè)對管理人員的信息安全培訓(xùn)力度不足��,對安全信息防護(hù)的設(shè)備費(fèi)用的投入力度不足�。因此,現(xiàn)階段我國企業(yè)的計算機(jī)信息安全防護(hù)水平與社會服務(wù)的程度偏低[3]����。
4 計算機(jī)信息安全防護(hù)的措施
4.1 計算機(jī)病毒的防護(hù)
計算機(jī)網(wǎng)絡(luò)之間的病毒傳播速度較快。現(xiàn)代計算機(jī)網(wǎng)絡(luò)防護(hù)病毒必須要在互聯(lián)網(wǎng)環(huán)境下���,對計算機(jī)的操作系統(tǒng)采取科學(xué)合理的防毒措施��,有效防護(hù)計算機(jī)信息安全?����,F(xiàn)階段��,從計算機(jī)信息行業(yè)來看�,針對不同的操作系統(tǒng)����,所采用的計算機(jī)防毒軟件的具體功能也會不一樣,但是能夠加強(qiáng)計算機(jī)用戶的信息安全防護(hù)�����;利用安全掃描技術(shù)、訪問控制技術(shù)�、信息過濾技術(shù),制止惡性攻擊�����,加強(qiáng)計算機(jī)系統(tǒng)的安全性能����,強(qiáng)化對計算機(jī)信息安全的防護(hù)[4]����。
4.2 信息安全技術(shù)
計算機(jī)信息安全技術(shù)主要包括:實時的掃描技術(shù)、病毒情況研究報告技術(shù)��、檢測技術(shù)�����、檢驗保護(hù)技術(shù)����、防火墻、計算機(jī)信息安全管理技術(shù)等�。企業(yè)需要建立完善的信息安全管理和防護(hù)制度���,提高系統(tǒng)管理工作人員人員技術(shù)水平和職業(yè)道德素質(zhì)。對重要的機(jī)密信息進(jìn)行嚴(yán)格的開機(jī)查毒��,及時地備份重要數(shù)據(jù)����,對網(wǎng)站訪問進(jìn)行有效地控制,實現(xiàn)信息安全的防范和保護(hù)�����;對數(shù)據(jù)庫進(jìn)行備份和恢復(fù)�;實現(xiàn)防護(hù)和管理數(shù)據(jù)的完整性。
利用數(shù)據(jù)流加密技術(shù)���、公鑰密碼體制�、單鑰密碼體制等密碼技術(shù)對信息進(jìn)行安全管理����,保護(hù)信息的安全。切斷傳播途徑����,對感染的計算機(jī)進(jìn)行徹底性查毒�����,不使用來路不明的程序�、軟盤等���,不隨意打開可疑的郵件等����。提高計算機(jī)網(wǎng)絡(luò)的抗病毒能力��。在計算機(jī)上配置病毒防火墻�����,對計算機(jī)網(wǎng)絡(luò)文件進(jìn)行及時地檢測和掃描��。利用防病毒卡���,對網(wǎng)絡(luò)文件訪問權(quán)限進(jìn)行設(shè)置[5]。
此外�,計算機(jī)技術(shù)研發(fā)人員要研發(fā)安全性高的信息安全管理系統(tǒng),加強(qiáng)計算機(jī)信息的安全管理;貫徹落實信息安全的法律法規(guī)制度���。
4.3 提高信息安全管理人員的技術(shù)防護(hù)水平
計算機(jī)信息安全不僅需要從技術(shù)上進(jìn)行信息安全防范措施��,同時也要采取有效的管理措施���,貫徹落實計算機(jī)信息安全防護(hù)法律法規(guī)制度,提高計算機(jī)信息的安全性�����。對計算機(jī)管理人員進(jìn)行業(yè)務(wù)培訓(xùn)�����;建立完善的計算機(jī)信息安全管理機(jī)制�����,改進(jìn)計算機(jī)信息安全管理功能����,加強(qiáng)計算機(jī)信息安全的立法和執(zhí)法力度,強(qiáng)化計算機(jī)信息管理的道德規(guī)范��,提高管理人員對安全信息的防護(hù)意識;明確計算機(jī)系統(tǒng)管理人員的工作職責(zé)�。此外,企業(yè)需要增加對計算機(jī)安全信息防護(hù)設(shè)備的投入費(fèi)用�,整體提高我國社會部門的計算機(jī)信息安全防護(hù)與社會服務(wù)水平[6]。
5 結(jié)束語
綜上所述�,計算機(jī)信息安全防護(hù)過程中存在著:信息安全管理體系不夠健全、信息安全制度不完善���、負(fù)責(zé)信息安全防護(hù)的管理人員業(yè)務(wù)素質(zhì)偏低等問題�����,這就要求企業(yè)從計算機(jī)病毒的防護(hù)�、信息安全技術(shù)�、信息安全管理人員的技術(shù)防護(hù)水平這三方面入手���,全面提高計算機(jī)信息安全技術(shù)水平和管理人員對計算機(jī)信息的安全防護(hù)能力�����。
參考文獻(xiàn):
[1]劉丹陽�,李齊森���,孫振華.淺談計算機(jī)信息安全技術(shù)及防護(hù)[J].科技信息(科學(xué)教研)���,2011�����,10(03):121-145.
[2]辛耀中�,王云霞��,趙永良.計算機(jī)信息安全技術(shù)及防護(hù)研究[J].和田師范??茖W(xué)校學(xué)報,2010�����,22(09):112-130.
[3]譚永新�,郭中華,肖敏.計算機(jī)網(wǎng)絡(luò)信息安全分析及防范措施探析[J].電子世界��,2011�����,21(07):145-163.
[4]任繼榮��,趙剛著,王力軍.計算機(jī)網(wǎng)絡(luò)信息安全分析及解決措施初探[J].現(xiàn)代電子技術(shù)�����,2011����,20(06):1121-1130.
[5]吳英橋,宋東燕�,龐志功.淺談計算機(jī)網(wǎng)絡(luò)信息安全的具體問題及控制策略[J].計算機(jī)光盤軟件與應(yīng)用,2012����,01(05):130-135.
篇8
【 關(guān)鍵詞 】 國產(chǎn)防病毒軟件;國外防病毒軟件�����;信息安全
1 引言
在當(dāng)前的計算機(jī)應(yīng)用中��,危害網(wǎng)絡(luò)安全的最大影響因素是計算機(jī)病毒���,它的存在給用戶造成極大的損失��,因此加強(qiáng)防范計算機(jī)病毒具有非常重大的意義�����。本文在當(dāng)前計算機(jī)網(wǎng)絡(luò)信息安全需求的背景下����,對國產(chǎn)防病毒軟件和國外防病毒軟件進(jìn)行了對比分析����。
2 防病毒軟件及發(fā)展
防病毒軟件是伴隨著計算機(jī)技術(shù)應(yīng)用發(fā)展起來的一門軟件技術(shù),是人們?yōu)榱吮Wo(hù)計算機(jī)在工作過程中��,避免受到惡意病毒程序攻擊和破壞而開發(fā)的一種具有查找和隔離惡意程序功能的計算機(jī)應(yīng)用軟件�����,目前已經(jīng)發(fā)展成為信息安全領(lǐng)域的重要一個分支����。
最早防病毒軟件的開發(fā),可以追溯到上世紀(jì)90年代俄羅斯著名的計算機(jī)信息安全專家Eugene Kaspersky研究和開發(fā)的AVP反病毒軟件��。該軟件后續(xù)被更名為Kaspersky Antivirus�,其嚴(yán)謹(jǐn)?shù)脑O(shè)計結(jié)構(gòu)、徹底的查殺能力為業(yè)界稱道�����。其次是歐洲D(zhuǎn)octor Soloman創(chuàng)立的Doctor Soloman反病毒企業(yè),其開發(fā)的McAfee反病毒軟件����,奠定了現(xiàn)代反病毒軟件的基礎(chǔ),后續(xù)還有美國斯坦福大學(xué)和哈弗大學(xué)以及相關(guān)的計算機(jī)開源組織都推出了相應(yīng)的反病毒軟件�,有效地促進(jìn)了反病毒軟件的發(fā)展。在我國反病毒軟件主要是通過引進(jìn)國外反病毒軟件技術(shù)���,然后在此基礎(chǔ)上進(jìn)行研發(fā)和設(shè)計�����,結(jié)合我國計算機(jī)信息安全國情研發(fā)出適合我國計算機(jī)用戶的反病毒軟件�����。
3 國產(chǎn)防病毒軟件與國外防病毒軟件對比
從目前國內(nèi)外反病毒軟件的發(fā)展情況來看�,我國反病毒軟件目前正以快速發(fā)展的勢頭�����,在追趕國外先進(jìn)的反病毒軟件技術(shù)��。我國相對于國外�,在反病毒軟件研發(fā)和核心技術(shù)掌握上還存在著一定差距,從360�、瑞星和金山三大反病毒軟件公司的發(fā)展來看,都是通過引入國外的核心技術(shù)授權(quán)����,然后根據(jù)我國用戶習(xí)慣和計算機(jī)網(wǎng)絡(luò)環(huán)境,研發(fā)一些具有特色的反病毒軟件工具��。這些反病毒軟件工具��,在一定程度上可以滿足我國用戶需求����,并且在交互性能和可操作性上更加符合我國計算機(jī)用戶的需求,這樣就使得目前我國市場上主要是以國產(chǎn)反病毒軟件應(yīng)用為主�,國外反病毒軟件很難進(jìn)入我國市場。但是從核心技術(shù)的掌握和研發(fā)上來看�����,國外的反病毒軟件具有一定的優(yōu)勢���。雖然���,我國近年部分公司已經(jīng)開始投入研發(fā)自己的反病毒軟件引擎����,但是從實際的國際權(quán)威測試效果來看����,研發(fā)的反病毒軟件引擎水平和國外還存在一定的差距。
總之����,從目前來看反病毒軟件是人們用于保護(hù)計算機(jī)安全的主要手段,為了適應(yīng)當(dāng)前網(wǎng)絡(luò)信息安全需求����,反病毒軟件將長期處于不斷演化中,對反病毒軟件的不斷研發(fā)是非常有必要的���。
4 國內(nèi)外防病毒軟件的測試技術(shù)分析
4.1 構(gòu)建控管中心集中管理架構(gòu)
構(gòu)建控管中心是為了確保每一臺客戶端計算機(jī)和所有不同業(yè)務(wù)類型的服務(wù)器��,在出現(xiàn)新病毒的時候�,可以在控制管理系統(tǒng)中進(jìn)行系統(tǒng)更新和安全漏洞查處與維護(hù)����,這樣就可以防范于未然�,避免計算機(jī)因系統(tǒng)漏洞而被病毒攻擊�。除此之外����,控管系統(tǒng)管理員也可以隨時隨地通過網(wǎng)絡(luò)對防毒系統(tǒng)進(jìn)行維護(hù)與管理,這樣才能保證整個防毒系統(tǒng)時時刻刻都能做到安全有效��,可以及時地對病毒進(jìn)行攔截與清除���。
4.2 構(gòu)建全方位�����、多層次的防毒體系
要想構(gòu)建全方位����、多層次的防護(hù)系統(tǒng)��,就必須從最基礎(chǔ)的客戶端入手�,根據(jù)客戶端的具體需求,組建郵件網(wǎng)關(guān)防毒系統(tǒng)�����、瀏覽器防毒系統(tǒng)、應(yīng)用程序防毒系統(tǒng)等一系列防毒子系統(tǒng)��,保證可以對可供病毒傳播或寄生的每一個環(huán)節(jié)���、每一個節(jié)點(diǎn)進(jìn)行消除與斬斷����,然后將各個防毒子系統(tǒng)進(jìn)行結(jié)合����,構(gòu)建從局部到整體的防毒體系,這樣才能實現(xiàn)對病毒的全布控制���。
4.3 構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)
防病毒網(wǎng)關(guān)可以保證局域網(wǎng)內(nèi)進(jìn)出數(shù)據(jù)的安全���,而且在病毒殺除、關(guān)鍵字過濾�����、垃圾郵件阻止等方面的功能尤為突出���。對于企業(yè)網(wǎng)絡(luò)而言���,一個安全病毒防護(hù)系統(tǒng)的首要任務(wù)���,就是防止病毒通過郵件或附件進(jìn)入到網(wǎng)絡(luò)中���,網(wǎng)關(guān)作為企業(yè)網(wǎng)絡(luò)連接到另一個網(wǎng)絡(luò)的關(guān)口�?�?梢哉f�,構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)是整個病毒防護(hù)系統(tǒng)最重要的一部分,它不僅可以消除垃圾郵件和惡意附件中病毒的威脅�,還可以對HTTP、FTP����、SMTP、TMAP四種協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描���,一旦發(fā)現(xiàn)病毒就可以對其進(jìn)行查殺����,從而有效地切斷病毒最主要的傳播途徑。
4.4 構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)
對于企業(yè)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)而言�����,要想做好病毒防范工作��,可以在網(wǎng)絡(luò)接口和一些重要的連接節(jié)點(diǎn)��,構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)����,這樣就可以斬斷病毒的傳播與寄生的每一個節(jié)點(diǎn),使整個網(wǎng)絡(luò)不受病毒的侵害���,同時還可以根據(jù)病毒的傳播途徑與傳播形式�,對其進(jìn)行主動攻擊����,將其扼殺在搖籃里。
4.5 構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系
當(dāng)網(wǎng)絡(luò)遭受到病毒攻擊時�����,如果防護(hù)系統(tǒng)僅僅是依靠病毒的源代碼來對其進(jìn)行防范�����,這將會嚴(yán)重制約防毒系統(tǒng)查殺病毒的效率,也許在病毒代碼到來之后���,病毒已經(jīng)使得整個網(wǎng)絡(luò)癱瘓���。所以,防護(hù)系統(tǒng)必須具備完善的預(yù)警機(jī)制��、查殺機(jī)制以及根除機(jī)制��,使得未進(jìn)來的病毒不能進(jìn)來���,進(jìn)來的病毒沒有傳播途徑,這樣才能高效地對病毒進(jìn)行處理�����,并有效限制了其破壞性和破壞范圍��。構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系�����,可以在對病毒進(jìn)行查殺與系統(tǒng)修復(fù)階段,對病毒進(jìn)行及時有效的清楚����,使整個網(wǎng)絡(luò)更快更完好地恢復(fù)正常。
4.6 系統(tǒng)服務(wù)
系統(tǒng)服務(wù)是整個防毒系統(tǒng)中的最后一個環(huán)節(jié)���,也是最重要的一環(huán)���。在防病毒系統(tǒng)建成之后,能否保證防病毒系統(tǒng)在上市之后可以有效地對病毒進(jìn)行防范����,還與防病毒廠商能否提供全面完善的服務(wù)有著直接的關(guān)系。這不僅需要廠商游戲盒全球化的防毒體系����,還要求其具備精良的技術(shù)人才,一旦防毒系統(tǒng)在實際應(yīng)用中出現(xiàn)了問題�,廠商要能夠快速地找到其原因并及時解決。除此之外����,如有新型病毒爆發(fā),防病毒廠商還要提供優(yōu)質(zhì)的售后服務(wù)和詳細(xì)的應(yīng)急處理計劃�。
5 結(jié)束語
綜上所述�����,在使用計算機(jī)網(wǎng)絡(luò)時����,我們應(yīng)不斷增強(qiáng)計算機(jī)網(wǎng)絡(luò)的安全意識���,了解病毒�����,學(xué)會預(yù)防病毒���。防病毒軟件是保護(hù)用戶計算機(jī)安全的有效措施�,因此我們應(yīng)不斷提高防病毒軟件的研發(fā)和應(yīng)用,進(jìn)而為創(chuàng)造良好的網(wǎng)絡(luò)環(huán)境奠定基礎(chǔ)�����。
參考文獻(xiàn)
[1] 張明浩.計算機(jī)病毒防范技巧探討[J].科技信息���,2014.
[2] 汝學(xué)民����,莊越挺.計算機(jī)病毒技術(shù)的發(fā)展與防范[Z].全國網(wǎng)絡(luò)與信息安全技術(shù)研討會,2014.
