前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的常用網(wǎng)絡(luò)安全標(biāo)準(zhǔn)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò) 安全 必要性 安全發(fā)展
中圖分類號(hào):TN925 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082(2015)06-0017-01
一、無(wú)線網(wǎng)絡(luò)安全的必要性
無(wú)線局域網(wǎng)絡(luò)在給人們生活帶來(lái)便利的同時(shí),也存在一定安全隱患。無(wú)線局域網(wǎng)路是通過(guò)無(wú)線電波進(jìn)行空中數(shù)據(jù)傳輸?shù)?,不可以使用有線網(wǎng)絡(luò)通過(guò)保護(hù)線路來(lái)保護(hù)信息安全的方式,因此在無(wú)線網(wǎng)絡(luò)覆蓋的區(qū)域內(nèi)任何用戶都可以接觸到數(shù)據(jù),不可能只是把數(shù)據(jù)信息發(fā)送給一個(gè)接受者,此時(shí)防護(hù)墻也不會(huì)起到很大作用,所有人在標(biāo)準(zhǔn)范圍內(nèi)都可以進(jìn)行數(shù)據(jù)截獲。因此,無(wú)線局域網(wǎng)絡(luò)開(kāi)拓了用戶的自由,具有安裝時(shí)間短,更改結(jié)構(gòu)方便、靈活以及可以提供范圍內(nèi)全功能漫游服務(wù)等特點(diǎn),也給無(wú)線網(wǎng)絡(luò)的發(fā)展帶來(lái)挑戰(zhàn),其中包括安全性的挑戰(zhàn)。無(wú)線局域網(wǎng)絡(luò)必須要考慮的安全因素主要有:控制訪問(wèn)、身份驗(yàn)證以及保密信息。如果這三大因素都安全的話,那么不僅可以保護(hù)移動(dòng)設(shè)備和網(wǎng)絡(luò)不受傷害,也可以保證傳輸?shù)男畔⒉皇芪:Α1WC安全性的重點(diǎn)就是怎樣找到一種可以滿足三要素的簡(jiǎn)單安全方案。依據(jù)國(guó)外的研究結(jié)果表明,現(xiàn)階段應(yīng)用比較廣泛的IEEE802.11無(wú)線網(wǎng)絡(luò)出現(xiàn)越來(lái)越多的切聽(tīng)事件和攻擊事件。因此,需要對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行研究,發(fā)現(xiàn)其中的問(wèn)題與缺陷,找到解決方法,提高無(wú)線網(wǎng)絡(luò)的安全性。
二、無(wú)線網(wǎng)絡(luò)安全技術(shù)
1.擴(kuò)頻跳頻技術(shù)
擴(kuò)展跳頻實(shí)際上是利用一個(gè)相對(duì)比較脆弱的功率把信號(hào)發(fā)送出去。其方式有很多種,最常用的就是跳頻序列和直接序列。采用不同的頻道數(shù)、跳頻圖案等可以讓離得比較近的局域網(wǎng)一起存在,也不會(huì)出現(xiàn)竊聽(tīng)數(shù)據(jù)和干擾問(wèn)題,擴(kuò)頻和跳頻也發(fā)展成無(wú)線局域網(wǎng)絡(luò)可以抗干擾的主要方式。
2.擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)(ESSID)
每個(gè)設(shè)備中都有一個(gè)內(nèi)置的擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào),因此對(duì)于每一個(gè)很可能會(huì)接入存儲(chǔ)點(diǎn)的設(shè)備來(lái)說(shuō),應(yīng)該首先確認(rèn)接入點(diǎn)是否符合此網(wǎng)絡(luò),并且對(duì)適配器的32位擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)進(jìn)行判斷,看其是否符合實(shí)際需求,一旦不符合,就會(huì)被服務(wù)器拒絕。如果需要移動(dòng)用戶和以及多個(gè)接入點(diǎn),那么此時(shí)的擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)設(shè)置應(yīng)該一致,跳頻應(yīng)該保持不一樣,這些的控制都需要密鑰。所以想要竊聽(tīng)跳頻序列和擴(kuò)展服務(wù)集標(biāo)識(shí)號(hào)是很困難的。
3.連線對(duì)等加密(WEP)
連線對(duì)等加密主要是采取對(duì)等加密的方式進(jìn)行計(jì)算,如RC4,在解碼以及加密端都是采用共同密鑰。共同密鑰會(huì)進(jìn)入到每個(gè)客戶存取點(diǎn)中,并且其中所有的數(shù)據(jù)解碼與傳送都不在存儲(chǔ)端與客戶端,使用共同密鑰進(jìn)行解碼與加密。連線對(duì)等加密也可以給客戶提供認(rèn)證功能,作為加密功能使用,應(yīng)該不斷嘗試把客戶端連接在存儲(chǔ)點(diǎn)上,存儲(chǔ)點(diǎn)會(huì)給客戶發(fā)送一個(gè)測(cè)試挑戰(zhàn)值封包,然后需要客戶利用共同密鑰進(jìn)行加密后把數(shù)據(jù)送回,最后才可以對(duì)數(shù)據(jù)資源進(jìn)行存取。
三、無(wú)線網(wǎng)絡(luò)安全發(fā)展概況
自從無(wú)線網(wǎng)絡(luò)IEEE802.11問(wèn)世之后,快速成為事實(shí)標(biāo)準(zhǔn),但是還是有著一些遺憾,自從問(wèn)世以來(lái),安全協(xié)議連線對(duì)等加密就一直受到各種質(zhì)疑,美國(guó)大學(xué)的Wagner以及Borisov Goldberg是最早發(fā)現(xiàn)安全協(xié)議連線對(duì)等加密中存在一定失誤,此后大量的安全信息研究人員也發(fā)表了聲明討論安全協(xié)議連線對(duì)等加密中的缺陷,并且和相關(guān)技術(shù)人員進(jìn)行配合,在試驗(yàn)中得到安全協(xié)議連線對(duì)等加密的傳輸數(shù)據(jù)。目前,可以獲取傳輸數(shù)據(jù)的設(shè)備已經(jīng)可以在市場(chǎng)上買(mǎi)到,可以破解安全協(xié)議連線對(duì)等加密的黑客軟件在互聯(lián)網(wǎng)上也能夠進(jìn)行下載。安全協(xié)議連線對(duì)等加密不安全已經(jīng)逐漸成為大家都知道的事件,因此人們逐漸開(kāi)始期待連線對(duì)等加密能夠有質(zhì)的變化,很多新的無(wú)線網(wǎng)絡(luò)技術(shù)就開(kāi)始發(fā)展起來(lái)。
自從2001年開(kāi)始我國(guó)就不斷地制定各種無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn),經(jīng)過(guò)不斷的研究與發(fā)展,制定了保密基礎(chǔ)設(shè)施WAPI和無(wú)線認(rèn)證,并且發(fā)展成為國(guó)家標(biāo)準(zhǔn),在2003年十二月開(kāi)始實(shí)行。在有可信第三方的條件下,WAPI采用公共密鑰技術(shù),對(duì)移動(dòng)終端和接入點(diǎn)是否符合證書(shū)標(biāo)準(zhǔn)進(jìn)行驗(yàn)證,從而保障完成雙向認(rèn)證、生成會(huì)話密鑰以及接入控制等,以便于可以達(dá)到安全傳輸?shù)哪康摹API主要由接入點(diǎn)、認(rèn)證服務(wù)以及移動(dòng)終端共同組成,基本與802.11的草案制定結(jié)構(gòu)類似,一般的密碼算法都是不會(huì)公開(kāi)的。雖然WAPI是進(jìn)行公開(kāi)的,但是其安全性的論述還沒(méi)有正式進(jìn)行討論。提高安全草案也是歷經(jīng)許久才制定下來(lái),在此期間基本每月都要展開(kāi)幾次會(huì)議進(jìn)行探討,從會(huì)議記錄可以看出很多問(wèn)題。在最開(kāi)始的時(shí)候技術(shù)組想要使用AES-OCB技術(shù)作為無(wú)線網(wǎng)絡(luò)的安全技術(shù),但是不久以后就換成CCMP,AES-OSB作為缺省,此后又把CCMP作為缺省,此后還把AES-OCB完全取消,只是使用CCMP算法,在這樣的發(fā)展中,我們可以看出無(wú)線網(wǎng)絡(luò)各方面的安全標(biāo)準(zhǔn),有利于我們研究無(wú)線網(wǎng)絡(luò)安全技術(shù)。
結(jié)束語(yǔ)
現(xiàn)階段,無(wú)線網(wǎng)絡(luò)的安全越來(lái)越受到重視,無(wú)線網(wǎng)絡(luò)已經(jīng)逐漸成為人們生活中不可缺少的部分,也更加需要可行的安全措施來(lái)保障信息安全性。近年來(lái),已經(jīng)逐漸提出很多適應(yīng)環(huán)境的安全技術(shù),從而保障了網(wǎng)絡(luò)的安全性,促進(jìn)了無(wú)線網(wǎng)絡(luò)進(jìn)一步發(fā)展。
參考文獻(xiàn)
[1]李浩.無(wú)線網(wǎng)絡(luò)技術(shù)難點(diǎn)分析及安全方法探討[J].技術(shù)與市場(chǎng),2014(7):200-200.
[2]張超凡,黃宏偉,湯志軍等.無(wú)線局域網(wǎng)絡(luò)技術(shù)在田間秸稈粉碎功耗測(cè)試中的應(yīng)用[J].農(nóng)業(yè)機(jī)械學(xué)報(bào),2011,39(4):125-127.
[3]周小玻楊柱石,陳偉根等.采用ZigBee PRO無(wú)線網(wǎng)絡(luò)技術(shù)的導(dǎo)線舞動(dòng)多點(diǎn)監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].高電壓技術(shù),2011,37(8):1967-1974.
大學(xué)具有不同的信息安全課程開(kāi)設(shè)特點(diǎn)。但在信息安全課程的設(shè)置上需要考慮如下幾個(gè)方面。(1)課程設(shè)置要與國(guó)際同行接軌;(2)課程設(shè)置要分成信息安全和網(wǎng)絡(luò)安全兩個(gè)模塊;(3)課程設(shè)置必須包括實(shí)驗(yàn)和實(shí)踐;(4)課程設(shè)置不是一成不變,需要與時(shí)俱進(jìn);(5)課程設(shè)置要結(jié)合自身學(xué)校特點(diǎn),并建立課程的跟蹤反饋機(jī)制。對(duì)于信息安全的本科專業(yè),可以將專業(yè)課程分成三個(gè)模塊,即信息安全課程、網(wǎng)絡(luò)安全課程,及綜合實(shí)驗(yàn)。信息安全課程包括信息安全體系結(jié)構(gòu)、信息安全標(biāo)準(zhǔn)、信息安全數(shù)學(xué)基礎(chǔ)、密碼學(xué)原理,和信息隱藏技術(shù)。網(wǎng)絡(luò)安全課程包括計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)安全防護(hù)、、網(wǎng)絡(luò)設(shè)計(jì)、無(wú)線網(wǎng)絡(luò)安全、路由與交換技術(shù)安全協(xié)議、計(jì)算機(jī)病毒防護(hù)、防火墻技術(shù)、應(yīng)用服務(wù)器安全等課程。
二、信息安全實(shí)訓(xùn)
信息安全專業(yè)的實(shí)訓(xùn)課程,可分為兩種類型:一種是部分課程的實(shí)驗(yàn),以及信息安全綜合實(shí)驗(yàn)和網(wǎng)絡(luò)安全綜合實(shí)驗(yàn)。這種類型實(shí)驗(yàn)的目的是讓學(xué)生通過(guò)實(shí)驗(yàn)理解知識(shí)的本質(zhì)和原理。第二種是單獨(dú)開(kāi)設(shè)的實(shí)訓(xùn)課程,目的是培養(yǎng)學(xué)生綜合運(yùn)用所學(xué)多種信息安全技能,提高學(xué)生的實(shí)際能力、創(chuàng)新能力。為畢業(yè)設(shè)計(jì)、實(shí)習(xí)、就業(yè)打基礎(chǔ)。
1、信息安全實(shí)訓(xùn)平臺(tái)
信息安全實(shí)訓(xùn)課程是建立在課堂教學(xué)的基礎(chǔ)上,通過(guò)課堂的學(xué)習(xí)使得學(xué)生可以掌握信息安全專業(yè)的相關(guān)基礎(chǔ)。并在此基礎(chǔ)上,通過(guò)實(shí)訓(xùn)課程完成課堂教學(xué)的升華。信息安全實(shí)訓(xùn)需要搭建平臺(tái),包括基礎(chǔ)實(shí)驗(yàn)平臺(tái)、綜合實(shí)訓(xùn)平臺(tái),和開(kāi)放性研究平臺(tái)?;A(chǔ)實(shí)驗(yàn)平臺(tái)的功能是對(duì)學(xué)生基本動(dòng)手能力的訓(xùn)練,幫助學(xué)生理解與掌握課堂所學(xué)的基本原理和方法。基礎(chǔ)實(shí)驗(yàn)平臺(tái)應(yīng)該包括信息安全體系中常用的密碼機(jī)、防火墻、隔離網(wǎng)閘、網(wǎng)絡(luò)監(jiān)視與掃描系統(tǒng)、智能卡讀寫(xiě)器、指紋儀等設(shè)備。通過(guò)觀察這些設(shè)備,可以幫助學(xué)生更直觀地理解其工作原理。同時(shí),可以借助一些軟件產(chǎn)品,觀察這些設(shè)備的實(shí)時(shí)處理方式和數(shù)據(jù)。綜合實(shí)訓(xùn)平臺(tái)的功能是提高對(duì)綜合應(yīng)用知識(shí)的運(yùn)用能力,使得學(xué)生能夠綜合一門(mén)或幾門(mén)課程的知識(shí)點(diǎn)進(jìn)行設(shè)計(jì),從而提高綜合設(shè)計(jì)的運(yùn)用能力,培養(yǎng)其解決工程設(shè)計(jì)中實(shí)際問(wèn)題的能力。
綜合實(shí)訓(xùn)平臺(tái)通常包括網(wǎng)絡(luò)安全實(shí)驗(yàn)實(shí)訓(xùn)平臺(tái)和信息安全綜合實(shí)訓(xùn)平臺(tái)。這兩個(gè)平臺(tái)包括網(wǎng)絡(luò)安全和信息安全中最典型的實(shí)驗(yàn)和最常見(jiàn)的工具,通過(guò)這兩個(gè)平臺(tái)的學(xué)習(xí)和實(shí)踐,學(xué)生能夠綜合運(yùn)用所學(xué)知識(shí),提高實(shí)踐能力。開(kāi)放性研究平臺(tái)的功能是培養(yǎng)學(xué)生的創(chuàng)新能力。教師根據(jù)自身的科研課題為學(xué)生設(shè)計(jì)若干個(gè)小的項(xiàng)目,讓學(xué)生參與到課題組,鍛煉學(xué)生的團(tuán)隊(duì)合作能力。同時(shí),學(xué)生也可以自己申請(qǐng)一些題目,請(qǐng)教師進(jìn)行協(xié)助和指導(dǎo)。通過(guò)這些方式可以調(diào)動(dòng)學(xué)生的學(xué)習(xí)熱情,使得學(xué)生的創(chuàng)新能力得到很大的提高。除此之外,還可以組織學(xué)生參加全國(guó)、省級(jí)別、校級(jí)別的各種信息安全大賽。除了學(xué)校搭建的信息安全實(shí)訓(xùn)平臺(tái)外,可以和校外信息安全企業(yè)展開(kāi)合作。讓教師和學(xué)生參與到真正的安全項(xiàng)目中,了解項(xiàng)目開(kāi)發(fā)的所有流程,積累經(jīng)驗(yàn),為日后畢業(yè)就業(yè)打下堅(jiān)實(shí)的基礎(chǔ)。
2、信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng)
信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng)的設(shè)計(jì),應(yīng)該具有如下幾個(gè)功能:
(1)通過(guò)信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng),學(xué)生在實(shí)際的操作過(guò)程中,可以向教師及時(shí)反饋實(shí)訓(xùn)過(guò)程中存在的問(wèn)題、意見(jiàn)和建議,便于老師及時(shí)掌握學(xué)生的學(xué)習(xí)情況,而不是簡(jiǎn)單的完成工作任務(wù),教師根據(jù)學(xué)生反饋,及時(shí)調(diào)整實(shí)訓(xùn)項(xiàng)目?jī)?nèi)容,提高實(shí)訓(xùn)教學(xué)質(zhì)量。
(2)通過(guò)信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng),學(xué)生在實(shí)訓(xùn)進(jìn)行過(guò)程中,可以查看實(shí)訓(xùn)的狀態(tài)及完成情況,在完成實(shí)訓(xùn)時(shí)可以查看自己的實(shí)訓(xùn)結(jié)果。并根據(jù)結(jié)果來(lái)進(jìn)行判斷實(shí)訓(xùn)的效果。增加了學(xué)生的自主學(xué)習(xí)能力。
(3)通過(guò)信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng),教師可以查看所有學(xué)生的實(shí)訓(xùn)完成情況,全面了解實(shí)訓(xùn)效果。通過(guò)學(xué)生的反饋結(jié)果,教師可以重新制定實(shí)訓(xùn)內(nèi)容,或者根據(jù)不同學(xué)生的狀況來(lái)有針對(duì)性地進(jìn)行實(shí)訓(xùn)。
(4)信息安全實(shí)訓(xùn)評(píng)價(jià)系統(tǒng)應(yīng)該包括教師評(píng)價(jià)模塊、學(xué)生自評(píng)模塊,以及學(xué)生間的互評(píng)模塊。
三、結(jié)論
關(guān)鍵詞:無(wú)線局域網(wǎng);WIFI;全球定位系統(tǒng);無(wú)縫定位;網(wǎng)絡(luò)安全
1 引言
針對(duì)無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全的特點(diǎn),文中提出了將基于WIFI的無(wú)縫定位技術(shù)用于網(wǎng)絡(luò)安全的解決方案,為企業(yè)級(jí)用戶解決無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題提供一條新的技術(shù)路線。
2 無(wú)線局域網(wǎng)及其安全問(wèn)題解決方案
2.1 WIFI網(wǎng)絡(luò)
隨著“無(wú)線城市”概念的提出,許多國(guó)家和地區(qū)都提出了WIFI網(wǎng)絡(luò)覆蓋計(jì)劃,并付諸實(shí)施。WIFI網(wǎng)絡(luò)覆蓋范圍的擴(kuò)展也促進(jìn)了集成WIFI接收模塊的終端的發(fā)展,逐漸成為各種終端如計(jì)算機(jī)、手機(jī)、相機(jī)甚至汽車(chē)的標(biāo)配。當(dāng)前移動(dòng)通信已進(jìn)入“3G”時(shí)代,移動(dòng)用戶對(duì)于數(shù)據(jù)上傳下載的需求急劇增長(zhǎng),只依靠3G網(wǎng)絡(luò)無(wú)法承擔(dān)日益增長(zhǎng)的網(wǎng)絡(luò)載荷,而WIFI網(wǎng)絡(luò)具有低成本、無(wú)線、高速的特點(diǎn),可以彌補(bǔ)3G網(wǎng)絡(luò)的不足,因此WIFI網(wǎng)絡(luò)在未來(lái)將有更加廣闊的應(yīng)用前景。
2.2 MESH網(wǎng)絡(luò)
無(wú)線MESH是一種非常適合于覆蓋大面積開(kāi)放區(qū)域(包括室外和室內(nèi))的無(wú)線區(qū)域網(wǎng)絡(luò)解決方案.無(wú)線MESH網(wǎng)的特點(diǎn)是:由包括一組呈網(wǎng)狀分布的無(wú)線AP構(gòu)成,AP均采用點(diǎn)對(duì)點(diǎn)方式通過(guò)無(wú)線中繼鏈路互聯(lián),將傳統(tǒng)WLAN中的無(wú)線“熱點(diǎn)”擴(kuò)展為真正大面積覆蓋的無(wú)線“熱區(qū)”。終端目前的普及應(yīng)用為無(wú)線MESH的迅速推廣帶來(lái)好處。因此,WIFI和無(wú)線MESH網(wǎng)絡(luò)可以相互補(bǔ)充、相互融合。
2.3 無(wú)線局域網(wǎng)安全問(wèn)題常用解決方案
無(wú)線局域網(wǎng)以無(wú)線信號(hào)作為傳輸媒介,由于無(wú)線信道的特殊性及公開(kāi)性,任何人都能監(jiān)測(cè)到信號(hào),甚至使用各種非法手段竊聽(tīng)及盜取數(shù)據(jù),給網(wǎng)絡(luò)安全帶來(lái)了巨大的挑戰(zhàn)。由于WIFI網(wǎng)安全領(lǐng)域存在重大隱患,WIFI網(wǎng)被禁止在國(guó)內(nèi)進(jìn)行大規(guī)模推廣,可見(jiàn)無(wú)線局域網(wǎng)存在安全問(wèn)題已成為WLAN產(chǎn)業(yè)進(jìn)一步發(fā)展的最大阻力。
針對(duì)無(wú)線局域網(wǎng)存在的安全問(wèn)題,IEEE802.11指定了多個(gè)安全機(jī)制來(lái)加強(qiáng)無(wú)線局域網(wǎng)的安全性(圖1是利用WPA方式構(gòu)建的安全系統(tǒng)結(jié)構(gòu)解決方案),相關(guān)安全標(biāo)準(zhǔn)已經(jīng)進(jìn)行實(shí)際應(yīng)用并推廣。目前無(wú)線局域網(wǎng)的安全機(jī)制主要有以下幾種。
(1)WEP安全機(jī)制。WEP機(jī)制是一種對(duì)稱密鑰加密算法,采用了RSA數(shù)據(jù)保密公司的RC4偽隨機(jī)數(shù)產(chǎn)生器。在WEP機(jī)制中,同一無(wú)線網(wǎng)絡(luò)的所有用戶和AP都是用相同的密鑰用于加密和解密,網(wǎng)絡(luò)中的每一個(gè)用戶和AP都存放密鑰。802.11標(biāo)準(zhǔn)沒(méi)有定義一種密鑰管理協(xié)議,所以WEP密鑰都必須通過(guò)手工來(lái)管理。但是WEP加密機(jī)制存在缺點(diǎn),在數(shù)據(jù)機(jī)密性、完整性及訪問(wèn)控制方面并沒(méi)有達(dá)到預(yù)期的安全水平,利用現(xiàn)在的腳本工具就能成功的攻入網(wǎng)絡(luò)并發(fā)現(xiàn)WEP密鑰,因此引入更高安全級(jí)別、更完善的安全機(jī)制成為必然趨勢(shì)。
(2)WPA安全機(jī)制。針對(duì)WEP的設(shè)計(jì)缺陷,為增強(qiáng)無(wú)線局域網(wǎng)安全性,WIFI聯(lián)盟提出了一種新的安全機(jī)制:WPA(WIFI聯(lián)盟受限接入)作為無(wú)線網(wǎng)絡(luò)安全的一個(gè)過(guò)渡機(jī)制。WPA使用臨時(shí)密鑰集成協(xié)議TKIP進(jìn)行數(shù)據(jù)加密,而認(rèn)證有兩種模式:一種是適用企業(yè)級(jí)用戶的802.1X協(xié)議,一種是適用于家庭的預(yù)先共享密鑰PSK。WAP有效地解決了WEP中加密算法密鑰過(guò)短、靜態(tài)密鑰和密鑰缺乏管理等問(wèn)題,但是依然存在缺陷:它采用的加密算法還是RC4加密算法,很容易遭到黑客的暴力破解;802.1x也存在不足,對(duì)于合法的EAPOL_Start報(bào)文AP都會(huì)進(jìn)行處理,攻擊者只要發(fā)送大量EAPOL_Start報(bào)文就可以消耗AP的資源,使AP無(wú)法響應(yīng)新的EAPOL請(qǐng)求,達(dá)到癱瘓網(wǎng)絡(luò)的目的。WPA存在的這些缺陷決定了難以成為一個(gè)理想的安全機(jī)制。
(3)802.11i安全機(jī)制。802.11i是一種新型的無(wú)線局域網(wǎng)安全機(jī)制,它提出了一個(gè)全新的安全體系,采用了公認(rèn)最為成熟的AES加密算法,定義了而過(guò)渡安全網(wǎng)絡(luò)TSN,以802.1x作為認(rèn)證和密鑰管理方式、以TKIP和CCMP作為數(shù)據(jù)加密機(jī)制,改進(jìn)了原有安全機(jī)制存在的不足,具有很強(qiáng)的技術(shù)優(yōu)勢(shì)和應(yīng)用前景。
除以上三種常用的安全機(jī)制,還有其它的安全機(jī)制,如WAPI(無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu))安全機(jī)制、基于VPN(虛擬個(gè)人局域網(wǎng))的安全機(jī)制等。雖然無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全組織推出了各種安全體制來(lái)提升WLAN的安全性,但是依然無(wú)法滿足企業(yè)級(jí)用戶對(duì)安全性的要求,需要探索利用其它技術(shù)手段來(lái)建立新的安全機(jī)制。
3 基于WIFI的無(wú)縫定位技術(shù)
WIFI不僅可以提供無(wú)線接入及數(shù)據(jù)傳輸功能,還可以用于定位。WIFI網(wǎng)絡(luò)在不增加額外的硬件情況下,通過(guò)分析接入點(diǎn)相對(duì)于無(wú)線網(wǎng)絡(luò)設(shè)備信號(hào)強(qiáng)度或者信噪比來(lái)推斷目標(biāo)物體的位置。客戶端使用或連接到一個(gè)接入點(diǎn),此接入點(diǎn)提供最強(qiáng)的RSS信號(hào)??蛻舳寺?,定期檢查信號(hào)強(qiáng)度,確定最佳的接入點(diǎn)。通過(guò)信號(hào)測(cè)量,可以得到客戶端的位置?;赪IFI的室內(nèi)定位方法主要有兩種:傳播模型法和位置指紋法。位置指紋法需要大量的訓(xùn)練,其定位精度與訓(xùn)練點(diǎn)的個(gè)數(shù)有關(guān)系。傳播模型法是利用信號(hào)在室內(nèi)的衰減規(guī)律,將接收到的信號(hào)強(qiáng)度轉(zhuǎn)換為距離,再由室內(nèi)定位算法得出用戶終端的位置。傳播模型法的優(yōu)點(diǎn)是不需要大量的訓(xùn)練,但其定位的準(zhǔn)確度依賴于傳播模型和定位算法。基于WIFI的定位技術(shù)具有覆蓋面廣,信息傳輸速度快,成本低特點(diǎn),成為室內(nèi)定位的主要技術(shù)。
基于WIFI網(wǎng)的定位技術(shù)也存在諸多不足,當(dāng)WIFI網(wǎng)信號(hào)不穩(wěn)定,基于WIFI的定位技術(shù)精度就會(huì)比較低,在室外無(wú)WIFI信號(hào)或者信號(hào)微弱的時(shí)候不能提供定位服務(wù),難以保證定位服務(wù)的時(shí)空連續(xù)性。因此WIFI常用來(lái)輔助GPS進(jìn)行定位與導(dǎo)航,為終端提供GPS無(wú)法實(shí)現(xiàn)的室內(nèi)定位功能。
4 無(wú)縫定位技術(shù)用于無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全
基于WIFI網(wǎng)的無(wú)縫定位技術(shù)提供的連續(xù)位置服務(wù)功能,在方便用戶進(jìn)行定位與導(dǎo)航,也為實(shí)時(shí)監(jiān)測(cè)用戶的位置提供了可能性。只要用戶進(jìn)入WIFI網(wǎng)信號(hào)區(qū)域時(shí),并連接到WIFI網(wǎng)絡(luò)之后,采用必要的技術(shù)手段獲取用戶的位置信息,就可以對(duì)用戶的訪問(wèn)行為進(jìn)行實(shí)時(shí)監(jiān)控。如果配以必要的識(shí)別技術(shù)如RFID識(shí)別,在用戶進(jìn)入WIFI網(wǎng)時(shí)進(jìn)行身份識(shí)別。利用身份識(shí)別和位置監(jiān)測(cè)技術(shù),可以形成一套基于位置信息的網(wǎng)絡(luò)安全解決方案,為無(wú)線網(wǎng)絡(luò)安全的監(jiān)管提供一條新的技術(shù)路線。
基于WIFI的無(wú)縫定位技術(shù)用于無(wú)線網(wǎng)絡(luò)安全基本思想就是根據(jù)用戶的位置信息限制無(wú)線局域網(wǎng)訪問(wèn)權(quán)限,通過(guò)在無(wú)線局域網(wǎng)有效信號(hào)范圍構(gòu)建起“物理圍欄”以及在用戶周?chē)鷺?gòu)建起虛擬的“地理圍欄”,綜合了傳統(tǒng)的網(wǎng)絡(luò)安全和物理安全技術(shù),有效的保護(hù)了無(wú)線網(wǎng)絡(luò)的安全。
4.1 物理圍欄
物理圍欄就是基于訪問(wèn)用戶的授權(quán)建立的,主要應(yīng)用RFID技術(shù),它可以對(duì)訪問(wèn)用戶的身份進(jìn)行識(shí)別,當(dāng)用戶的身份符合要求時(shí),就可以突破物理圍欄,獲取無(wú)線局域網(wǎng)的訪問(wèn)權(quán)限,這就從源頭上降低了用戶非法訪問(wèn)無(wú)線局域網(wǎng)網(wǎng)絡(luò)資源的可能性。
4.2 地理圍欄
用戶在突破物理圍欄進(jìn)入無(wú)線局域網(wǎng)后,還需要對(duì)用戶的行為進(jìn)行實(shí)時(shí)監(jiān)控,這依賴于在訪問(wèn)用戶的終端周?chē)⑵鸬牡乩韲鷻凇?/p>
利用WIFI網(wǎng)絡(luò)與GPS定位技術(shù)的融合,可以獲取用戶的位置信息,并將其訪問(wèn)行為限定在合法的訪問(wèn)區(qū)域之內(nèi),一旦用戶的訪問(wèn)行為突破限定的訪問(wèn)區(qū)域,可以采取斷網(wǎng)或者警告等手段來(lái)對(duì)用戶訪問(wèn)進(jìn)行控制。
基于位置信息的安全技術(shù)和用戶移動(dòng)設(shè)備身份識(shí)別技術(shù)的綜合運(yùn)用,把網(wǎng)絡(luò)的防護(hù)和智能辨認(rèn)功能提升到更高的層次,地理圍欄可以創(chuàng)建一個(gè)伴隨每一個(gè)移動(dòng)設(shè)備移動(dòng)的客戶化的無(wú)形圍欄,使網(wǎng)絡(luò)管理員能夠確保每一個(gè)設(shè)備僅能訪問(wèn)網(wǎng)絡(luò)上被授權(quán)的區(qū)域和資源。
5 結(jié)論
基于WIFI的無(wú)縫定位技術(shù)由于精度還比較低,需要進(jìn)一步提高定位精度,此時(shí)基于WIFI的無(wú)縫定位技術(shù)用于網(wǎng)絡(luò)安全才具有實(shí)用性。
基于位置信息的網(wǎng)絡(luò)安全技術(shù)作為一種新興的跨學(xué)科的安全防護(hù)技術(shù)還處于研究和應(yīng)用的初級(jí)階段,物理圍欄技術(shù)只是定位技術(shù)與網(wǎng)絡(luò)安全技術(shù)的簡(jiǎn)單結(jié)合。隨著研究的深入及無(wú)縫定位技術(shù)的發(fā)展,基于位置信息的網(wǎng)絡(luò)安全技術(shù)必將更為成熟和完善,其應(yīng)用領(lǐng)域也不再局限于無(wú)線局域網(wǎng),將在更加廣泛的安全領(lǐng)域中發(fā)揮積極的作用。
[參考文獻(xiàn)]
[1]陳.定位技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中的應(yīng)用[J].網(wǎng)絡(luò)技術(shù),2010,(6):15-17.
[2]吳雨航.WIFI網(wǎng)輔助GPS的無(wú)縫定位方法研究[D].北京:北京大學(xué),2010:1-4.
計(jì)算機(jī)通信網(wǎng)絡(luò)技術(shù)是通信技術(shù)與計(jì)算機(jī)技術(shù)相結(jié)合的產(chǎn)物。計(jì)算機(jī)通信網(wǎng)絡(luò)是按照網(wǎng)絡(luò)協(xié)議,將地球上分散的、獨(dú)立的計(jì)算機(jī)相互連接的集合。計(jì)算機(jī)通信網(wǎng)絡(luò)具有共享硬件、軟件和數(shù)據(jù)資源的功能,具有對(duì)共享數(shù)據(jù)資源集中處理及管理和維護(hù)的能力,但是計(jì)算機(jī)的數(shù)據(jù)也會(huì)被盜用、暴露或者篡改。通信網(wǎng)絡(luò)所具有的廣泛的地域性和協(xié)議開(kāi)放性決定了網(wǎng)絡(luò)通信的易受攻擊性。另外,由于計(jì)算機(jī)本身的不完善,用戶設(shè)備在網(wǎng)上工作時(shí),很可能會(huì)受到來(lái)自各方面的攻擊。隨著信息技術(shù)的飛速發(fā)展,計(jì)算機(jī)通信網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越受到廣大網(wǎng)民的關(guān)注。
一、計(jì)算機(jī)通信網(wǎng)絡(luò)的安全問(wèn)題概述
計(jì)算機(jī)通信網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。計(jì)算機(jī)通信網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。
1988年11月3日,第一個(gè)“蠕蟲(chóng)”出現(xiàn)在互聯(lián)網(wǎng)上。在幾小時(shí)之內(nèi),數(shù)千臺(tái)計(jì)算機(jī)被傳染,計(jì)算機(jī)通信網(wǎng)絡(luò)陷入癱瘓。“morris蠕蟲(chóng)”的出現(xiàn)改變了許多人對(duì)互聯(lián)網(wǎng)安全性的看法。一個(gè)單純的程序能有效地摧毀了數(shù)百臺(tái)(或數(shù)千臺(tái))機(jī)器,那一天標(biāo)志著計(jì)算機(jī)通信安全性研究分析的開(kāi)始。隨后計(jì)算機(jī)通信網(wǎng)絡(luò)的安全問(wèn)題就頻繁出現(xiàn)。據(jù)統(tǒng)計(jì),全球約20秒種就有一次計(jì)算機(jī)入侵事件發(fā)生,互聯(lián)網(wǎng)上的網(wǎng)絡(luò)防火墻約1/4被突破,約70%以上的網(wǎng)絡(luò)信息主管人員報(bào)告因機(jī)密信息泄露而受到了損失。
二、計(jì)算機(jī)通信網(wǎng)絡(luò)的不安全性的主要表現(xiàn)形式
(一)信息泄露:第三者可能偷聽(tīng)到甲乙兩方通信內(nèi)容,第三者利用本來(lái)不是發(fā)給他的信息。
(二)識(shí)別:通信雙方不能肯定對(duì)方是否是自己想與之通信的對(duì)象以至相互猜疑。
(三)假冒:非法用戶想獲得網(wǎng)絡(luò)服務(wù),必須有不可偽造的簽名。
(四)篡改:攻擊者更改網(wǎng)絡(luò)中傳輸?shù)膱?bào)文以達(dá)到某些利益。
(五)惡意程序的攻擊:包括計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲(chóng)、邏輯炸彈等。
三、針對(duì)計(jì)算機(jī)的安全性問(wèn)題采取的措施
(一)訪問(wèn)控制安全
訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要本文由收集整理方法,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法的使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。計(jì)算機(jī)通信網(wǎng)絡(luò)的訪問(wèn)控制安全主要包括用戶口令鑒別、訪問(wèn)權(quán)限控制、網(wǎng)絡(luò)安全監(jiān)視、安全審計(jì)、安全問(wèn)題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。
(二)數(shù)據(jù)傳輸安全
傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔ⅲ苑乐贡粍?dòng)地和主動(dòng)地侵犯。對(duì)數(shù)據(jù)傳輸安全可以采取如下措施:
1.加密與數(shù)字簽名。計(jì)算機(jī)通信網(wǎng)絡(luò)的加密即對(duì)osi模型中的數(shù)據(jù)鏈路層、傳輸層、應(yīng)用層這三層進(jìn)行加密處理。這樣做可以有效減少在傳輸線路上被竊取的危險(xiǎn),使數(shù)據(jù)在網(wǎng)絡(luò)傳輸期間保持加密狀態(tài),同時(shí)讓網(wǎng)絡(luò)應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密和解密處理。
數(shù)字簽名是數(shù)據(jù)的接收者用來(lái)證實(shí)數(shù)據(jù)的發(fā)送者正確無(wú)誤的一種方法,它主要通過(guò)加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。
2.防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 通俗地說(shuō),防火墻就是一種能攔截有害信息的防御系統(tǒng)。
3.user name/password認(rèn)證。該種認(rèn)證方式是最常用的一種認(rèn)證方式,它用于操作系統(tǒng)登錄、telnet(遠(yuǎn)程登錄)、rlogin(遠(yuǎn)程登錄)等,但此種認(rèn)證方式過(guò)程不加密,即password容易被監(jiān)聽(tīng)和解密。
4.基于pki的認(rèn)證。使用pki(公開(kāi)密鑰體系)進(jìn)行認(rèn)證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù),很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高,但是涉及到比較繁重的證書(shū)管理任務(wù)。
5.虛擬專用網(wǎng)絡(luò)(vpn)技術(shù)。vpn技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。
關(guān)鍵詞內(nèi)部網(wǎng)絡(luò);網(wǎng)絡(luò)安全
1引言
目前,在我國(guó)的各個(gè)行業(yè)系統(tǒng)中,無(wú)論是涉及科學(xué)研究的大型研究所,還是擁有自主知識(shí)產(chǎn)權(quán)的發(fā)展中企業(yè),都有大量的技術(shù)和業(yè)務(wù)機(jī)密存儲(chǔ)在計(jì)算機(jī)和網(wǎng)絡(luò)中,如何有效地保護(hù)這些機(jī)密數(shù)據(jù)信息,已引起各單位的巨大關(guān)注!
防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護(hù)手段,我們通常認(rèn)為黑客、病毒以及各種蠕蟲(chóng)的攻擊大都來(lái)自外部的侵襲,因此采取了一系列的防范措施,如建立兩套網(wǎng)絡(luò),一套僅用于內(nèi)部員工辦公和資源共享,稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料,稱之為外部網(wǎng)絡(luò),同時(shí)使內(nèi)外網(wǎng)物理斷開(kāi);另外采用防火墻、入侵檢測(cè)設(shè)備等。但是,各種計(jì)算機(jī)網(wǎng)絡(luò)、存儲(chǔ)數(shù)據(jù)遭受的攻擊和破壞,80%是內(nèi)部人員所為!(ComputerWorld,Jan-uary2002)。來(lái)自內(nèi)部的數(shù)據(jù)失竊和破壞,遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊!事實(shí)上,來(lái)自內(nèi)部的攻擊更易奏效!
2內(nèi)部網(wǎng)絡(luò)更易受到攻擊
為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下:
(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分,基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及,典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等,這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。
(2)在對(duì)Internet嚴(yán)防死守和物理隔離的措施下,對(duì)網(wǎng)絡(luò)的破壞,大多數(shù)來(lái)自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因?yàn)槟壳搬槍?duì)內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠,系統(tǒng)的安裝有大量的漏洞沒(méi)有去打上補(bǔ)丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺(tái),自然有更多的系統(tǒng)漏洞。
(3)黑客工具在Internet上很容易獲得,這些工具對(duì)Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對(duì)計(jì)算機(jī)技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。
(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快,百兆甚至千兆的帶寬,能讓黑客工具大顯身手。
(5)為了簡(jiǎn)單和易用,在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的,這為別有用心者提供了竊取機(jī)密數(shù)據(jù)的可能性。
(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對(duì)數(shù)據(jù)庫(kù)、直接對(duì)服務(wù)器進(jìn)行操作,利用內(nèi)網(wǎng)速度快的特性,對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行竊取或者破壞。
(7)眾多的使用者所有不同的權(quán)限,管理更困難,系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對(duì)使用者的管理也不是很?chē)?yán)格,對(duì)于那些如記錄鍵盤(pán)敲擊的黑客工具比較容易得逞。
(8)信息不僅僅限于服務(wù)器,同時(shí)也分布于各個(gè)工作計(jì)算機(jī)中,目前對(duì)個(gè)人硬盤(pán)上的信息缺乏有效的控制和監(jiān)督管理辦法。
(9)由于人們對(duì)口令的不重視,弱口令很容易產(chǎn)生,很多人用諸如生日、姓名等作為口令,在內(nèi)網(wǎng)中,黑客的口令破解程序更易奏效。
3內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
目前很多企事業(yè)單位都加快了企業(yè)信息化的進(jìn)程,在網(wǎng)絡(luò)平臺(tái)上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),并按照國(guó)家有關(guān)規(guī)定實(shí)行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展,典型的應(yīng)用如財(cái)務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計(jì)算機(jī)集成制造(CIMS)或企業(yè)資源計(jì)劃(ERP),逐步實(shí)現(xiàn)企業(yè)信息的高度集成,構(gòu)成完善的企事業(yè)問(wèn)題解決鏈。
在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對(duì)安全的認(rèn)識(shí),或是根據(jù)國(guó)家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定,購(gòu)置部分網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、防病毒、入侵檢測(cè)等產(chǎn)品來(lái)配置在網(wǎng)絡(luò)上,然而這些產(chǎn)品主要是針對(duì)外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施,在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對(duì)性強(qiáng),但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、信息分散的特點(diǎn),各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問(wèn)題,而沒(méi)有形成多層次的、嚴(yán)密的、相互協(xié)同工作的安全體系。同時(shí)在安全性和費(fèi)用問(wèn)題上形成一個(gè)相互對(duì)立的局面,如何在其中尋找到一個(gè)平衡點(diǎn),也是眾多企業(yè)中普遍存在的焦點(diǎn)問(wèn)題。
4保護(hù)內(nèi)部網(wǎng)絡(luò)的安全
內(nèi)部網(wǎng)絡(luò)的安全威脅所造成的損失是顯而易見(jiàn)的,如何保護(hù)內(nèi)部網(wǎng)絡(luò),使遭受的損失減少到最低限度是目前網(wǎng)絡(luò)安全研究人員不斷探索的目標(biāo)。筆者根據(jù)多年的網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗(yàn),形成自己對(duì)網(wǎng)絡(luò)安全的理解,闡述如下。
4.1內(nèi)部網(wǎng)絡(luò)的安全體系
筆者認(rèn)為比較完整的內(nèi)部網(wǎng)絡(luò)的安全體系包括安全產(chǎn)品、安全技術(shù)和策略、安全管理以及安全制度等多個(gè)方面,整個(gè)體系為分層結(jié)構(gòu),分為水平層面上的安全產(chǎn)品、安全技術(shù)和策略、安全管理,其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全制度,從上至下地規(guī)定各個(gè)水平層面上的安全行為。
4.2安全產(chǎn)品
安全產(chǎn)品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此還必須有好的安全工具把安全管理的措施具體化目前市場(chǎng)上的網(wǎng)絡(luò)安全產(chǎn)品林林總總,功能也千差萬(wàn)別,通常一個(gè)廠家的產(chǎn)品只在某個(gè)方面占據(jù)領(lǐng)先的地位,各個(gè)廠家的安全產(chǎn)品在遵守安全標(biāo)準(zhǔn)的同時(shí),會(huì)利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實(shí)現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品基礎(chǔ)之上的。那么在選擇產(chǎn)品的時(shí)候會(huì)面臨這樣一個(gè)問(wèn)題,即是選擇所需要的每個(gè)方面的頂尖產(chǎn)品呢,還是同一廠家聯(lián)盟的產(chǎn)品?筆者認(rèn)為選擇每個(gè)方面的頂尖產(chǎn)品在價(jià)格上會(huì)居高不下,而且在性能上并不能達(dá)到l+1等于2甚至大于2的效果。這是因?yàn)檫@些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作,不能形成聯(lián)動(dòng)的、動(dòng)態(tài)的安全保護(hù)層,一方面使得這些網(wǎng)絡(luò)安全產(chǎn)品本身所具有的強(qiáng)大功效遠(yuǎn)沒(méi)有得到充分的發(fā)揮,另一方面,這些安全產(chǎn)品在技術(shù)實(shí)現(xiàn)上,有許多重復(fù)工作,這也影響了應(yīng)用的效率。因此網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該是建立在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上,即實(shí)現(xiàn)防火墻、IDS、病毒防護(hù)系統(tǒng)、信息審計(jì)系統(tǒng)等的互通與聯(lián)動(dòng),以實(shí)現(xiàn)最大程度和最快效果的安全保證。目前在國(guó)內(nèi)外都存在這樣的網(wǎng)絡(luò)安全聯(lián)盟實(shí)現(xiàn)產(chǎn)品之間的互聯(lián)互動(dòng),達(dá)到動(dòng)態(tài)反應(yīng)的安全效果。
4.3網(wǎng)絡(luò)安全技術(shù)和策略
內(nèi)部網(wǎng)絡(luò)的安全具體來(lái)說(shuō)包括攻擊檢測(cè)、攻擊防范、攻擊后的恢復(fù)這三個(gè)大方向,那么安全技術(shù)和策略的實(shí)現(xiàn)也應(yīng)從這三個(gè)方面來(lái)考慮。
積極主動(dòng)的安全策略把入侵檢測(cè)概念提升到了更有效、更合理的入侵者檢測(cè)(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人,而不是技術(shù)。因此,應(yīng)重點(diǎn)由發(fā)現(xiàn)問(wèn)題并填補(bǔ)漏洞迅速轉(zhuǎn)向查出誰(shuí)是破壞者、采取彌補(bǔ)措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰(shuí),就無(wú)法解決問(wèn)題。真正的安全策略的最佳工具應(yīng)包括實(shí)時(shí)審查目錄和服務(wù)器的功能,具體包括:不斷地自動(dòng)監(jiān)視目錄,檢查用戶權(quán)限和用戶組帳戶有無(wú)變更;警惕地監(jiān)視服務(wù)器,檢查有無(wú)可疑的文件活動(dòng)。無(wú)論未授權(quán)用戶企圖訪問(wèn)敏感信息還是員工使用下載的工具蓄意破壞,真正的安全管理工具會(huì)通知相應(yīng)管理員,并自動(dòng)采取預(yù)定行動(dòng)。
在積極查詢的同時(shí),也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議,如HTTP、Telnet,其中的用戶名和密碼的傳遞采用的是明文傳遞的方式,極易被竊聽(tīng)和獲取。因此對(duì)于數(shù)據(jù)的安全保護(hù),理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認(rèn)證和高強(qiáng)度的加密數(shù)據(jù)傳輸技術(shù),同時(shí)采用安全的密鑰分發(fā)技術(shù),這樣既防止用戶對(duì)業(yè)務(wù)的否認(rèn)和抵賴,同時(shí)又防止數(shù)據(jù)遭到竊聽(tīng)后被破解,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。攻擊后恢?fù)首先是數(shù)據(jù)的安全存儲(chǔ)和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復(fù);針對(duì)WWW服務(wù)器網(wǎng)頁(yè)安全問(wèn)題,實(shí)施對(duì)Web文件內(nèi)容的實(shí)時(shí)監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時(shí)報(bào)警并自動(dòng)恢復(fù),同時(shí)形成監(jiān)控和恢復(fù)日志,并提供友好的用戶界面以便用戶查看、使用,有效地保證了Web文件的完整性和真實(shí)性。
4.4安全管理
安全管理主要是指安全管理人員。有了好的安全工具和策略,還必須有好的安全管理人員來(lái)有效的使用工具和實(shí)現(xiàn)策略。經(jīng)過(guò)培訓(xùn)的安全管理員能夠隨時(shí)掌握網(wǎng)絡(luò)安全的最新動(dòng)態(tài),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上的用戶行為,保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全,并對(duì)可能存在的網(wǎng)絡(luò)威脅有一定的預(yù)見(jiàn)能力和采取相應(yīng)的應(yīng)對(duì)措施,同時(shí)對(duì)已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時(shí)間內(nèi)做出響應(yīng),使企業(yè)的損失減少到最低限度。
企業(yè)領(lǐng)導(dǎo)在認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性的同時(shí),應(yīng)當(dāng)投入相當(dāng)?shù)慕?jīng)費(fèi)用于網(wǎng)絡(luò)安全管理人員的培訓(xùn),或者聘請(qǐng)安全服務(wù)提供商來(lái)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
4.5網(wǎng)絡(luò)安全制度
網(wǎng)絡(luò)安全的威脅來(lái)自人對(duì)網(wǎng)絡(luò)的使用,因此好的網(wǎng)絡(luò)安全管理首先是對(duì)人的約束,企業(yè)并不缺乏對(duì)人的管理辦法,但在網(wǎng)絡(luò)安全方面常常忽視對(duì)網(wǎng)絡(luò)使用者的控制。要從網(wǎng)絡(luò)安全的角度來(lái)實(shí)施對(duì)人的管理,企業(yè)的領(lǐng)導(dǎo)必須首先認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性,惟有領(lǐng)導(dǎo)重視了,員工才會(huì)普遍重視,在此基礎(chǔ)上制定相應(yīng)的政策法規(guī),使網(wǎng)絡(luò)安全的相關(guān)問(wèn)題做到有法可依、有據(jù)可查、有功必獎(jiǎng)、有過(guò)必懲,最大限度地提高員工的安全意識(shí)和安全技能,并在一定程度上造成對(duì)蓄意破壞分子的心理震懾。
目前許多企業(yè)已認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性,已采取了一些措施并購(gòu)買(mǎi)了相應(yīng)的設(shè)備,但在網(wǎng)絡(luò)安全法規(guī)上還沒(méi)有清醒的認(rèn)識(shí),或者是沒(méi)有較為系統(tǒng)和完善的制度,這樣在企業(yè)上下往往會(huì)造成對(duì)網(wǎng)絡(luò)安全的忽視,給不法分子以可乘之機(jī)。國(guó)際上,以ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立,并已被廣泛采用,企業(yè)可以此為標(biāo)準(zhǔn)開(kāi)展安全制度的建立工作。具體應(yīng)當(dāng)明確企業(yè)領(lǐng)導(dǎo)、安全管理員、財(cái)物人員、采購(gòu)人員、銷(xiāo)售人員和其它辦公人員等各自的安全職責(zé)。安全組織應(yīng)當(dāng)有企業(yè)高層掛帥,由專職的安全管理員負(fù)責(zé)安全設(shè)備的管理與維護(hù),監(jiān)督其它人員設(shè)備安全配置的執(zhí)行情況。單位還應(yīng)形成定期的安全評(píng)審機(jī)制。只有通過(guò)以上手段加強(qiáng)安全管理,才能保證由安全產(chǎn)品和安全技術(shù)組成的安全防護(hù)體系能夠被有效地使用。
5結(jié)論
要想保證內(nèi)部網(wǎng)絡(luò)的安全,在做好邊界防護(hù)的同時(shí),更要做好內(nèi)部網(wǎng)絡(luò)的管理。所以,目前在安全業(yè)界,安全重在管理的觀念已被廣泛接受。沒(méi)有好的管理思想,嚴(yán)格的管理制度,負(fù)責(zé)的管理人員和實(shí)施到位的管理程序,就沒(méi)有真正的安全。在有了“法治”的同時(shí),還要有“人治”,即經(jīng)驗(yàn)豐富的安全管理人員和先進(jìn)的網(wǎng)絡(luò)安全工具,有了這兩方面的治理,才能得到一個(gè)真正安全的網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]楊義先、鈕心忻,網(wǎng)絡(luò)安全理論與技術(shù)[M.人民郵電出版社,2003
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò) ;信息安全; 安全防護(hù)
1. 概述
現(xiàn)在計(jì)算機(jī)通信技術(shù)和計(jì)算機(jī)信息化的迅速發(fā)展,使得數(shù)據(jù)信息資源急劇膨脹,計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)用是通信變得方便快捷,但是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)在給人們工作和生活提供方便的同時(shí),也對(duì)人們構(gòu)成了日益嚴(yán)重的網(wǎng)絡(luò)安全威脅。數(shù)據(jù)竊取、黑客侵襲、病毒感染、內(nèi)部泄密等網(wǎng)絡(luò)攻擊問(wèn)題無(wú)時(shí)不刻不在困擾著用戶的正常使用下面將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題進(jìn)行分析,提出有效的網(wǎng)絡(luò)安全防范策略。
2. 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅
計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為對(duì)網(wǎng)絡(luò)中信息的威脅和對(duì)網(wǎng)絡(luò)中設(shè)備的威脅兩種。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多,歸結(jié)起來(lái),網(wǎng)絡(luò)安全的威脅主要有以下幾點(diǎn):
(1) 網(wǎng)絡(luò)的寬泛性。 網(wǎng)絡(luò)所具有的開(kāi)放性、 共享性和廣泛分布應(yīng)用的特點(diǎn)對(duì)網(wǎng)絡(luò)安全來(lái)講是主要的安全隱患: 一是網(wǎng)絡(luò)的開(kāi)放性, 使得網(wǎng)絡(luò)所面臨的攻擊無(wú)法預(yù)測(cè),或是來(lái)自物理傳輸?shù)母`取和來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的修改, 以及對(duì)網(wǎng)絡(luò)控制中軟件、 硬件的漏洞實(shí)施破壞。 二是網(wǎng)絡(luò)的全球利用性,對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)用戶, 還可以是網(wǎng)絡(luò)中任何其他的非法用戶。 三是互聯(lián)網(wǎng)的自由性, 網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的要求, 用戶可以自由上網(wǎng), 和獲取各類信息。
(2)防火墻的局限性。 防火墻能對(duì)網(wǎng)絡(luò)的安全起到保障作用, 但不能完全保證網(wǎng)絡(luò)的絕對(duì)安全, 很難防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的威脅,這也是防火墻安全防護(hù)的局限性。網(wǎng)絡(luò)軟件因素。網(wǎng)絡(luò)的利用和有需要多方軟件與系統(tǒng)支持,信息的存儲(chǔ)和轉(zhuǎn)發(fā)均由它們進(jìn)行調(diào)制。由于軟件的復(fù)雜性 ,保證網(wǎng)絡(luò)軟件系統(tǒng)的安全十分有限,所以,軟件存在漏洞,這些軟件缺陷給黑客提供了方便 ,隱匿的 網(wǎng)絡(luò)威脅也隨之產(chǎn)生。由于網(wǎng)絡(luò)安全存在的普遍性,網(wǎng)絡(luò)安全技術(shù)己經(jīng)得到了廣泛的關(guān)注。其中關(guān)于網(wǎng)絡(luò)安全技術(shù)的應(yīng)用也隨之產(chǎn)生和發(fā)展。
(3) 人為原因的惡意攻擊:主動(dòng)攻擊是以各種方式有選擇地破壞信息的有效性和完整性,這兩種攻擊皆可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大危害并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。
3. 網(wǎng)絡(luò)安全技術(shù)
安全技術(shù)也需要不斷地發(fā)展和改進(jìn),各式各樣的網(wǎng)絡(luò)安全技術(shù)的廣泛應(yīng)用也在一定程度上改善了計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題。
(1)防火墻技術(shù)
防火墻是由軟件和硬件設(shè)備組合而成的,在內(nèi)網(wǎng)和外網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的信息保證技術(shù)。它建立一個(gè)安全網(wǎng)關(guān) ,保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的修改。防火墻基本的功能是控制網(wǎng)絡(luò)中,不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如萬(wàn)維網(wǎng)是不可信任的區(qū)域,而局域網(wǎng)網(wǎng)是信任的區(qū)域。
(2)虛擬專用網(wǎng)技術(shù)
虛擬專用網(wǎng)(VPN)是通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全的通道。虛擬網(wǎng)技術(shù)是對(duì)企業(yè)局域網(wǎng)的擴(kuò)展。虛擬網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)內(nèi)部網(wǎng)建立安全連接 ,并保證信息的安全發(fā)送。虛擬網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入 ,以實(shí)現(xiàn)安全連接。
(3)安全掃描技術(shù)
網(wǎng)絡(luò)安全掃描技術(shù)的目的是讓系統(tǒng)員可以及時(shí)了解存在的安全漏洞問(wèn)題,采取安全防范,降低網(wǎng)絡(luò)的安全隱患。利用安全掃描技術(shù),可以對(duì)局域網(wǎng)、Web網(wǎng)、操作系統(tǒng)、通信服務(wù)以及防火墻的安全漏洞進(jìn)行掃描,員可以觀察到網(wǎng)絡(luò)系統(tǒng)中存在的潛在威脅,在網(wǎng)絡(luò)系統(tǒng)上存在的可能遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的漏洞問(wèn)題。
4. 網(wǎng)絡(luò)安全的防范措施
雖然近年來(lái)黑客活動(dòng)越來(lái)越為猖獗,攻擊事件越來(lái)越多,但采取完善的防護(hù)措施,依然能有效的保護(hù)網(wǎng)絡(luò)信息安全,目前常用的具體策略包括以下幾類:
4.1入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)( Intrusion Detection System 簡(jiǎn)稱 IDS) 是對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行安全檢測(cè)的監(jiān)控系統(tǒng),監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài),及時(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)的攻擊,對(duì)網(wǎng)絡(luò)攻擊行為或者攻擊結(jié)果做出報(bào)警或做出相應(yīng)的響應(yīng)機(jī)制,保證網(wǎng)絡(luò)系統(tǒng)資源的完整性。入侵檢測(cè)基本原理主要由主體(subjeets)、對(duì)象(Objeets)、審計(jì)記錄(AuditsReoords)、活動(dòng)簡(jiǎn)檔(profiles)、異常記錄(AnomalyRecords)和活動(dòng)規(guī)則(ActivityRules)六個(gè)部分組成,目前的入侵檢測(cè)系統(tǒng)都是在此模型的基礎(chǔ)上產(chǎn)生的,它也揭示了入侵檢測(cè)基本原理。在入侵檢測(cè)中,隨著網(wǎng)絡(luò)數(shù)據(jù)的不斷增加,檢測(cè)數(shù)據(jù)中不斷的暴露出問(wèn)題,目前網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的數(shù)據(jù)傳輸端運(yùn)行速度較低,監(jiān)控?cái)?shù)據(jù)查詢時(shí)出現(xiàn)超時(shí)錯(cuò)誤比以往更頻繁,運(yùn)行情況較差,已經(jīng)影響到前臺(tái)入侵檢測(cè)網(wǎng)絡(luò)監(jiān)控的處理。有效的安全策略在于將正常監(jiān)控的入侵檢測(cè)使用的監(jiān)控?cái)?shù)據(jù)庫(kù)監(jiān)控?cái)?shù)據(jù)進(jìn)行分離,保留系統(tǒng)監(jiān)控必須的基礎(chǔ)監(jiān)控?cái)?shù)據(jù)和近期的網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù),保證系統(tǒng)正常監(jiān)控。同時(shí)將歷史監(jiān)控?cái)?shù)據(jù)剝離出來(lái),導(dǎo)入備份監(jiān)控?cái)?shù)據(jù)庫(kù)中,然后在備份監(jiān)控?cái)?shù)據(jù)庫(kù)上重新架設(shè)網(wǎng)絡(luò)安全監(jiān)控分析系統(tǒng)。由入侵檢測(cè)數(shù)據(jù)分離策略包括網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)表分析、網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)轉(zhuǎn)換遷移、網(wǎng)絡(luò)分離檢索、網(wǎng)絡(luò)監(jiān)控策略包括網(wǎng)絡(luò)綜合查詢、網(wǎng)絡(luò)用戶綜合查詢、網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)、信息變更查詢、網(wǎng)絡(luò)監(jiān)控綜合查詢、網(wǎng)絡(luò)安全監(jiān)控量統(tǒng)計(jì)反饋、信息統(tǒng)計(jì)、網(wǎng)絡(luò)安全監(jiān)控?cái)?shù)據(jù)分析統(tǒng)計(jì)查詢、日志核對(duì)單查詢、網(wǎng)絡(luò)屏幕監(jiān)控、移動(dòng)網(wǎng)絡(luò)安全、、歷史監(jiān)控?cái)?shù)據(jù)記錄查詢、網(wǎng)絡(luò)監(jiān)控流程查詢、網(wǎng)絡(luò)信息查詢、網(wǎng)絡(luò)維護(hù)、安檢流程查詢及統(tǒng)計(jì)、電話報(bào)警查詢主要的功能比較簡(jiǎn)單,主要為網(wǎng)絡(luò)安全監(jiān)控警員提供網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的歷史監(jiān)控?cái)?shù)據(jù)的查詢、分析、統(tǒng)計(jì)功能,不需要進(jìn)行大量的監(jiān)控?cái)?shù)據(jù)分析網(wǎng)絡(luò)安全中的異常數(shù)據(jù)信息,采用入侵檢測(cè)方法是提高網(wǎng)絡(luò)安全中行之有效的方法
4.2 隱藏IP地址防范IP地址欺騙攻擊
在大多數(shù)網(wǎng)絡(luò)安全案例中,黑客都會(huì)對(duì)被攻擊者主機(jī)信息進(jìn)行偵測(cè),等于攻擊者明確了被攻擊者的精確位置,可以利用這個(gè)IP地址對(duì)被攻擊者計(jì)算機(jī)發(fā)動(dòng)各種精確的攻擊,網(wǎng)絡(luò)傳輸中的完整性、可利用性與網(wǎng)絡(luò)布局和介質(zhì)傳輸有關(guān)的技術(shù)和 通信應(yīng)用的有機(jī)集合??偟膩?lái)講,網(wǎng)絡(luò)安全主要包括了網(wǎng)絡(luò)中所存儲(chǔ)和傳送的信息的安全應(yīng)用。網(wǎng)絡(luò)安全的要求就是要在網(wǎng)絡(luò)通信的基礎(chǔ)上保證信息的隱秘性、完整性、應(yīng)用性、真實(shí)性。
5. 網(wǎng)絡(luò)安全的防御
網(wǎng)絡(luò)信息安全以網(wǎng)絡(luò)信息制度為依據(jù),基于工作流程的概念,使系統(tǒng)使用人員方便快捷地共享信息,高效地協(xié)同工作;改變過(guò)去復(fù)雜、低效的手工辦公方式,網(wǎng)絡(luò)信息安全建立在信息技術(shù)基礎(chǔ)上,以系統(tǒng)化的思想,將企業(yè)所有資源進(jìn)行全面一體化的信息系統(tǒng),有效地促進(jìn)現(xiàn)有企業(yè)的現(xiàn)代化、科學(xué)化。
網(wǎng)絡(luò)信息安全實(shí)現(xiàn)了業(yè)務(wù)的流程化,對(duì)所有業(yè)務(wù)的工作流程和操作規(guī)范都制定了較為嚴(yán)格的要求,力求使所有業(yè)務(wù)數(shù)據(jù)都達(dá)到數(shù)據(jù)實(shí)時(shí)錄入、業(yè)務(wù)資料準(zhǔn)確的要求。通過(guò)網(wǎng)絡(luò)信息安全設(shè)計(jì),各崗位人員都能夠及時(shí)掌握各項(xiàng)業(yè)務(wù)流程的具體信息和業(yè)務(wù)進(jìn)度,班組長(zhǎng)根據(jù)各個(gè)網(wǎng)絡(luò)業(yè)務(wù)實(shí)施情況和完成情況對(duì)業(yè)務(wù)和人員進(jìn)行合理調(diào)配,對(duì)各項(xiàng)業(yè)務(wù)的進(jìn)展情況進(jìn)行實(shí)時(shí)監(jiān)控,提高了網(wǎng)絡(luò)部門(mén)的效率和服務(wù)水平,從而實(shí)現(xiàn)精細(xì)化、人性化。
網(wǎng)絡(luò)信息安全需要系統(tǒng)提供了多樣化的數(shù)據(jù)查詢功能和詳盡的統(tǒng)計(jì)功能,替代了以往人工查找、計(jì)算煩瑣的工作方式,提高了信息安全標(biāo)準(zhǔn),保證了數(shù)據(jù)的準(zhǔn)確性。
目前網(wǎng)絡(luò)信息安全,隨著業(yè)務(wù)數(shù)據(jù)的不斷增加,系統(tǒng)不斷的暴露出問(wèn)題,目前網(wǎng)絡(luò)信息安全客戶端運(yùn)行速度已經(jīng)降到歷史最低點(diǎn),數(shù)據(jù)查詢時(shí)出現(xiàn)超時(shí)錯(cuò)誤比以往更頻繁,運(yùn)行情況較差,已經(jīng)影響到網(wǎng)絡(luò)業(yè)務(wù)的辦理。盡早制定一個(gè)合理的實(shí)施方案并予以實(shí)行,改善以上種種問(wèn)題,已經(jīng)迫在眉睫。綜合系統(tǒng)各方面因素,可以對(duì)網(wǎng)絡(luò)信息系統(tǒng)數(shù)據(jù)進(jìn)行數(shù)據(jù)分離,建立一個(gè)移動(dòng)網(wǎng)絡(luò)信息系統(tǒng)移動(dòng)網(wǎng)絡(luò)信息分析系統(tǒng)。主要操作為:將正常網(wǎng)絡(luò)信息數(shù)據(jù)使用的數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行分離,保留系統(tǒng)運(yùn)營(yíng)必須的基礎(chǔ)數(shù)據(jù)和近期的業(yè)務(wù)數(shù)據(jù),保證系統(tǒng)正常運(yùn)營(yíng)。同時(shí)將歷史數(shù)據(jù)剝離出來(lái),導(dǎo)入備份數(shù)據(jù)庫(kù)中,然后在備份數(shù)據(jù)庫(kù)上重新架設(shè)移動(dòng)網(wǎng)絡(luò)信息分析系統(tǒng)。在企業(yè)中使用的網(wǎng)絡(luò)安全中基于入侵檢測(cè)和數(shù)據(jù)分離的業(yè)務(wù)處理形勢(shì)可以有效保證網(wǎng)絡(luò)安全的同時(shí),提高網(wǎng)絡(luò)的利用率和有效性。
網(wǎng)絡(luò)安全包含的內(nèi)容較為廣泛,在網(wǎng)絡(luò)安全信息應(yīng)用等相關(guān)軟件系統(tǒng)的研究過(guò)程中,必須對(duì)其通用性和實(shí)用性予以保證,在安全分析階段對(duì)網(wǎng)絡(luò)安全的整個(gè)業(yè)務(wù)過(guò)程要作全面而系統(tǒng)的有效分析,從業(yè)務(wù)的角度對(duì)相關(guān)業(yè)務(wù)過(guò)程的輸入數(shù)據(jù)、輸出數(shù)據(jù)和數(shù)據(jù)處理細(xì)節(jié)進(jìn)行適當(dāng)?shù)姆治觥R驑I(yè)務(wù)處理的繁瑣性,就必須結(jié)合有關(guān)的情況,及業(yè)務(wù)處理過(guò)程的具體算法、參數(shù)等因素,對(duì)其業(yè)務(wù)流程進(jìn)行相應(yīng)規(guī)范。對(duì)于網(wǎng)絡(luò)安全力求發(fā)現(xiàn)問(wèn)題并將其作相應(yīng)整理。
6. 結(jié)語(yǔ):
計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和發(fā)展不僅影響人們的日常生活工作,并將對(duì)整個(gè)人類社會(huì)的科技發(fā)展和文明進(jìn)步產(chǎn)生重大的推動(dòng)作用。網(wǎng)絡(luò)所具有的開(kāi)放性、 共享性和廣泛分布應(yīng)用的特點(diǎn)對(duì)網(wǎng)絡(luò)安全來(lái)講是主要的安全隱患。在網(wǎng)絡(luò)安全中的入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)的安全起到保障作用,難防范來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的威脅,網(wǎng)絡(luò)入侵檢測(cè)的利用和有需要多方軟件與系統(tǒng)支持,信息的存儲(chǔ)和轉(zhuǎn)發(fā)均由它們進(jìn)行檢測(cè)處理,保證了網(wǎng)絡(luò)的安全通信。
[1] 羅琳,《網(wǎng)絡(luò)工程技術(shù)》,科學(xué)出版社,2011.7
[2] 簡(jiǎn)明,《計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究》,科技資訊,2009.28
[關(guān)鍵詞]下一代防火墻;安全特征;發(fā)展趨勢(shì)
中圖分類號(hào):TM215 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2017)12-0311-01
前言:在信息化潮流的引導(dǎo)下,互聯(lián)網(wǎng)的飛速發(fā)展給人們的生活帶來(lái)便捷,人們對(duì)互聯(lián)網(wǎng)的依賴程度加大。但是,近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅越來(lái)越多的人為攻擊事件,數(shù)量劇烈上升趨勢(shì)。人們的利益受到威脅,對(duì)互聯(lián)網(wǎng)的放火墻安全性能產(chǎn)生不信任。所以,下一代防火墻的安全性值得我們探究和思考,爭(zhēng)取解決下一代互聯(lián)網(wǎng)的安全威脅。
1.研究防火墻安全特征
1.1 互聯(lián)網(wǎng)面對(duì)的安全威脅
自莫里斯蠕蟲(chóng)病毒出現(xiàn)以來(lái),病毒的數(shù)量呈爆炸式增長(zhǎng),安全漏洞數(shù)量增長(zhǎng)較快,系統(tǒng)或軟件的嚴(yán)重級(jí)別漏洞增多。同時(shí),黑客等網(wǎng)絡(luò)不法分子通過(guò)網(wǎng)絡(luò)技術(shù),攻破用戶防火墻,帶來(lái)安全威脅。對(duì)于銀行系統(tǒng)、商業(yè)系統(tǒng)、政府和軍事領(lǐng)域而言,這些比較敏感的系統(tǒng)和部門(mén)對(duì)公共通信網(wǎng)絡(luò)中存儲(chǔ)與傳輸?shù)臄?shù)據(jù)安全問(wèn)題尤為關(guān)注。目前,最常見(jiàn)的安全問(wèn)題是網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷、計(jì)算機(jī)病毒、身份信息竊取、網(wǎng)絡(luò)釣魚(yú)詐騙及分布式拒絕服務(wù)。其中計(jì)算機(jī)病毒并不獨(dú)立存在,而是寄生在其他程序之中,所以,它具有隱蔽性、潛伏性、傳染性和極大的破壞性。身份信息的竊取也是值得我們注意的。隨著互聯(lián)網(wǎng)金融的發(fā)展,人們的身份信息與銀行資產(chǎn)很容易被黑客侵入,個(gè)人和企業(yè)的信息輕而易舉被竊取,造成巨大損失。以上種種安全問(wèn)題都需要下一代防火墻提高安全特性。
1.2 目前防火墻的安全技術(shù)標(biāo)準(zhǔn)
在2005、2006年,防火墻標(biāo)準(zhǔn)進(jìn)行了重新編制,只針對(duì)包過(guò)濾和應(yīng)用級(jí)防火墻技術(shù),其中服務(wù)器要求和并列到應(yīng)用級(jí)防火墻技術(shù)中進(jìn)行描述。先后形成了《GB/T20010―2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則》。GB/T20281―2006標(biāo)準(zhǔn)則吸收了原來(lái)國(guó)家標(biāo)準(zhǔn)的所有重要內(nèi)容。該標(biāo)準(zhǔn)將防火墻通用技術(shù)要求分為功能、性能、安全和保證四大。其中,功能要求是對(duì)防火墻產(chǎn)品應(yīng)具備的安全功能提出具體的要求,包括包過(guò)濾、應(yīng)用、內(nèi)容過(guò)濾、安全審計(jì)和安全管理等;安全要求是對(duì)防火墻自身安全和防護(hù)能力提出具體的要求;保證要求則針對(duì)防火墻開(kāi)發(fā)者和防火墻自身提出具體的要求。性能要求是對(duì)防火墻產(chǎn)品應(yīng)達(dá)到的性能指標(biāo)做出規(guī)定。同時(shí),將防火墻產(chǎn)品進(jìn)行安全等級(jí)劃分。安全等級(jí)分為三個(gè)級(jí)別,逐級(jí)提高,功能強(qiáng)弱、安全強(qiáng)度和保證要求的高低是等級(jí)劃分的具體依據(jù),功能、安全為該標(biāo)準(zhǔn)的安全功能要求內(nèi)容。這是我國(guó)信息安全標(biāo)準(zhǔn)中第一次將性能值進(jìn)行量化的標(biāo)準(zhǔn)。
1.3 采用防火墻系統(tǒng)的必要性
隨著越來(lái)越多重要的信息應(yīng)用以互聯(lián)網(wǎng)作為運(yùn)行基礎(chǔ),信息安全問(wèn)題已經(jīng)成為威脅民生、社會(huì)、甚至國(guó)家安全的重要問(wèn)題。從計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的角度來(lái)看,防火墻是指強(qiáng)加于兩個(gè)網(wǎng)絡(luò)之間邊界處,以保護(hù)內(nèi)部網(wǎng)絡(luò)免遭外部網(wǎng)絡(luò)威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術(shù)作為保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的最常用技術(shù)之一,當(dāng)前全球約有三分之一的計(jì)算機(jī)是處于防火墻的保護(hù)之下。防火墻在不危機(jī)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和其他資源的前提下,允許本地用戶使用外部網(wǎng)絡(luò)資源,并將外部未授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外,從而解決了因連接外部網(wǎng)絡(luò)所帶來(lái)的安全問(wèn)題。
2.分析下一代防火墻的發(fā)展趨勢(shì)
2.1 防火墻發(fā)展的新技術(shù)趨勢(shì)
就目前國(guó)內(nèi)形勢(shì)而言,下一代防火墻發(fā)展的新技術(shù)趨勢(shì)有四方面。隨著運(yùn)行商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶對(duì)安全的關(guān)注,對(duì)防火墻高吞吐量、高性能連接處理能力的要求越來(lái)越迫切。傳統(tǒng)的硬件構(gòu)架已經(jīng)無(wú)法滿足用戶的需求,因此多核處理,ASIC加速芯片處理等技術(shù)紛紛登場(chǎng),高性能成為新的技術(shù)趨勢(shì)。雖然IPv6在目前推廣和普及的力度較大,但新的安全問(wèn)題也逐漸產(chǎn)生。在純IPv6網(wǎng)絡(luò)中,IPv6端與端的IPSec以及最終拜托NAT的發(fā)展構(gòu)架對(duì)防火墻產(chǎn)品的沖擊影響較大,但在IPv4/6共存階段,針對(duì)不同過(guò)渡協(xié)議混雜的背景,防火墻產(chǎn)品還是有著技術(shù)發(fā)展和實(shí)現(xiàn)的需求,所以使防火墻適用于IPv4/6也是重要技術(shù)趨勢(shì)之一?;诜阑饓τ脩舻呐渲貌呗?,應(yīng)用深層控制技術(shù)開(kāi)始越來(lái)越多的被提及。同時(shí),隨著云時(shí)代的到來(lái),各類云服務(wù)逐漸進(jìn)入普通大眾的生活。防火墻的安全性能也伴隨著云技術(shù)的發(fā)展開(kāi)發(fā)出云服務(wù)虛擬化技術(shù)。
2.2 下一代互聯(lián)網(wǎng)高性能防火墻標(biāo)準(zhǔn)
據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2013年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃,對(duì)原有《GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》進(jìn)行修訂,由于下一代互聯(lián)網(wǎng)的特性是防火墻功能屬性,所以維持原有標(biāo)準(zhǔn)名稱。該標(biāo)準(zhǔn)與GB/T20281-2006的主要差異是增加了高性能防火墻的描述,增加了防火墻的功能分類,加強(qiáng)了防火墻的應(yīng)用層控制能力,增加了下一代互聯(lián)網(wǎng)協(xié)議支持能力的要求,級(jí)別統(tǒng)一劃分為基本級(jí)和增強(qiáng)級(jí)。該標(biāo)準(zhǔn)安全功能主要對(duì)產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括網(wǎng)絡(luò)層控制、應(yīng)用層控制和安全運(yùn)維管理三部分,其中網(wǎng)絡(luò)層控制主要包括包過(guò)濾、NAT、狀態(tài)檢測(cè)、策略路由等方面。這些安全功能新標(biāo)準(zhǔn)要求將大大提高下一代防火墻的安全特性。在環(huán)境適應(yīng)性要求方面,該標(biāo)準(zhǔn)對(duì)下一代防火墻產(chǎn)品的部署模式及下一代互聯(lián)網(wǎng)環(huán)境的適應(yīng)性支持進(jìn)行了要求。同時(shí),該標(biāo)準(zhǔn)的性能要求對(duì)下一代防火墻的吞吐量、延遲、最大并發(fā)連接數(shù)、最大連接速率和最大事務(wù)等性能指標(biāo)進(jìn)行了要求。
2.3 網(wǎng)絡(luò)安全的實(shí)現(xiàn)
網(wǎng)絡(luò)安全的實(shí)現(xiàn)是多方面的。訪問(wèn)控制是網(wǎng)絡(luò)安全防御和保護(hù)的主要策略。進(jìn)行訪問(wèn)控制的目的是保護(hù)網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)??刂朴脩艨梢栽L問(wèn)網(wǎng)絡(luò)資源的范圍,為網(wǎng)絡(luò)訪問(wèn)提供限制,只允許訪問(wèn)權(quán)限的用戶訪問(wèn)網(wǎng)絡(luò)資源。且隨著當(dāng)前通信技術(shù)的快速發(fā)展,用戶對(duì)信息的安全處理、安全存儲(chǔ)、安全傳輸?shù)男枰苍絹?lái)越迫切,并受到了廣泛關(guān)注。信息在網(wǎng)絡(luò)傳輸?shù)陌踩{是由于TPC/IP協(xié)議所固有的,因此數(shù)據(jù)加密技術(shù)成為實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的必然選擇。病毒防護(hù)主要包括計(jì)算機(jī)病毒的預(yù)防、檢測(cè)與清除。最理想的防止病毒攻擊的方法就是預(yù)防,在第一時(shí)間內(nèi)阻止病毒進(jìn)入系統(tǒng)。攻擊防御對(duì)網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備的傳輸行為進(jìn)行實(shí)時(shí)監(jiān)視,在惡意行為被發(fā)動(dòng)時(shí)及時(shí)進(jìn)行阻止,攻擊防御可以針對(duì)特征分析及分析做出判斷。同時(shí),網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”。因此,除了運(yùn)用各種安全技術(shù)之外,還要建立一系列安全管理制度。使下一代防火墻真正的起到安全作用。
結(jié)語(yǔ)
總而言之,事物的發(fā)展過(guò)程是曲折的,前途是光明的。隨著人類在經(jīng)濟(jì)、工業(yè)、軍事領(lǐng)域方面越來(lái)越多地依賴信息化管理和處理,由于信息網(wǎng)絡(luò)在設(shè)計(jì)上對(duì)安全問(wèn)題的忽視,以及爆發(fā)性應(yīng)用背后存在的使用和管理上的脫節(jié),使互聯(lián)網(wǎng)中信息的安全性逐漸受到嚴(yán)重威脅,實(shí)用和安全矛盾逐漸顯現(xiàn)。而下一代防火墻的安全特性隨著互聯(lián)網(wǎng)的發(fā)展是不斷改進(jìn),進(jìn)行高性能技術(shù)的研究,已有所成果。所以,關(guān)于下一代防火墻的安全特性我們要抱有積極的態(tài)度。
參考文獻(xiàn)
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò),防護(hù)技術(shù),研究
隨著高新技術(shù)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為我們生活中所不可缺少的概念,然而隨之而來(lái)的問(wèn)題----網(wǎng)絡(luò)安全也毫無(wú)保留地呈現(xiàn)在我們的面前,不論是在軍事中還是在日常的生活中,網(wǎng)絡(luò)的安全問(wèn)題都是我們所不得不考慮的,只有有了對(duì)網(wǎng)絡(luò)攻防技術(shù)的深入了解,采用有效的網(wǎng)絡(luò)防護(hù)技術(shù),才能保證網(wǎng)絡(luò)的安全、暢通,保護(hù)網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸?shù)倪^(guò)程中的保密性、完整性、可用性、真實(shí)性和可控性,才能使我們面對(duì)網(wǎng)絡(luò)而不致盲從,真正發(fā)揮出網(wǎng)絡(luò)的作用。
一、計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)技術(shù)構(gòu)成
(一)被動(dòng)防護(hù)技術(shù)
其主要采用一系列技術(shù)措施(如信息加密、身份認(rèn)證、訪問(wèn)控制、防火墻等)對(duì)系統(tǒng)自身進(jìn)行加固和防護(hù),不讓非法用戶進(jìn)入網(wǎng)絡(luò)內(nèi)部,從而達(dá)到保護(hù)網(wǎng)絡(luò)信息安全的目的。這些措施一般是在網(wǎng)絡(luò)建設(shè)和使用的過(guò)程中進(jìn)行規(guī)劃設(shè)置,并逐步完善。因其只能保護(hù)網(wǎng)絡(luò)的入口,無(wú)法動(dòng)態(tài)實(shí)時(shí)地檢測(cè)發(fā)生在網(wǎng)絡(luò)內(nèi)部的破壞和攻擊的行為,所以存在很大的局限性。
( 1 )信息保密技術(shù)
密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一, 信息加密過(guò)程是由形形的加密算法來(lái)具體實(shí)施,它以很小的代價(jià)提供很大的安全保護(hù)。它通過(guò)信息的變換或編碼,將敏感信息變成難以讀懂的亂碼型信息,以此來(lái)保護(hù)敏感信息的安全。在多數(shù)情況下,信息加密是保證信息機(jī)密性的惟一方法。信息加密的主要目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。
網(wǎng)絡(luò)加密常用的方法有:鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密3種。密碼體制主要有分組密碼體制和序列密碼體制。論文參考網(wǎng)。
( 2 ) 信息認(rèn)證技術(shù)
認(rèn)證技術(shù)是網(wǎng)絡(luò)安全的一個(gè)重要方面,屬于網(wǎng)絡(luò)安全的第一道防線。其認(rèn)證機(jī)制是接收者接收信息的同時(shí)還要驗(yàn)證信息是否來(lái)自合法的發(fā)送者,以及該信息是否被篡改過(guò),計(jì)算機(jī)系統(tǒng)是基于收到的識(shí)別信息識(shí)別用戶。認(rèn)證涉及多個(gè)步驟:收集認(rèn)證信息、安全地傳輸認(rèn)證信息、確定使用計(jì)算機(jī)的人(就是發(fā)送認(rèn)證信息的人)。其主要目的是用來(lái)防止非授權(quán)用戶或進(jìn)程侵入計(jì)算機(jī)系統(tǒng),保護(hù)系統(tǒng)和數(shù)據(jù)的安全
其主要技術(shù)手段有:用戶名/密碼方式;智能卡認(rèn)證方式;動(dòng)態(tài)口令;USB Key認(rèn)證;生物識(shí)別技術(shù)。
( 3 ) 訪問(wèn)控制技術(shù)
訪問(wèn)控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一,是一種基于主機(jī)的防護(hù)技術(shù)。訪問(wèn)控制技術(shù)通過(guò)控制與檢查進(jìn)出關(guān)鍵服務(wù)器中的訪問(wèn),保護(hù)服務(wù)器中的關(guān)鍵數(shù)據(jù),其利用用戶身份認(rèn)證功能,資源訪問(wèn)權(quán)限控制功能和審計(jì)功能來(lái)識(shí)別與確認(rèn)訪問(wèn)系統(tǒng)的用戶,決定用戶對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限,并記錄系統(tǒng)資源被訪問(wèn)的時(shí)間和訪問(wèn)者信息。其主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。
其主要方式有:自主訪問(wèn)控制、強(qiáng)行訪問(wèn)控制和信息流控制。
( 4 ) 防火墻技術(shù)
防火墻是一種網(wǎng)絡(luò)之間的訪問(wèn)控制機(jī)制,它的主要目的是保護(hù)內(nèi)部網(wǎng)絡(luò)免受來(lái)自外部網(wǎng)絡(luò)非授權(quán)訪問(wèn),保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
其主要機(jī)制是在受保護(hù)的內(nèi)部網(wǎng)和不被信任的外部網(wǎng)絡(luò)之間設(shè)立一個(gè)安全屏障,通過(guò)監(jiān)測(cè)、限制、更改、抑制通過(guò)防火墻的數(shù)據(jù)流,盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu),防止外部網(wǎng)絡(luò)的未授權(quán)訪問(wèn),實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的可控性隔離,保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
防火墻的分類主要有:數(shù)據(jù)包過(guò)濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻和狀態(tài)檢測(cè)型防火墻。
(二)主動(dòng)防護(hù)技術(shù)
主動(dòng)防護(hù)技術(shù)主要采取技術(shù)的手段如入侵取證、網(wǎng)絡(luò)陷阱、入侵檢測(cè)、自動(dòng)恢復(fù)等,能及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為并及時(shí)地采取應(yīng)對(duì)措施,如跟蹤和反攻擊、設(shè)置網(wǎng)絡(luò)陷阱、切斷網(wǎng)絡(luò)連接或恢復(fù)系統(tǒng)正常工作。實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)地監(jiān)視網(wǎng)絡(luò)狀態(tài),并采取保護(hù)措施,以提供對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。
( 1 )入侵取證技術(shù)
入侵取證技術(shù)是指利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)入侵、破壞、欺詐、攻擊等犯罪行為進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過(guò)程。
入侵取證的主要目的是對(duì)網(wǎng)絡(luò)或系統(tǒng)中發(fā)生的攻擊過(guò)程及攻擊行為進(jìn)行記錄和分析,并確保記錄信息的真實(shí)性與完整性(以滿足電子證據(jù)的要求),據(jù)此找出入侵者或入侵的機(jī)器,并解釋入侵的過(guò)程,從而確定責(zé)任人,并在必要時(shí),采取法律手段維護(hù)自己的利益。
入侵取證技術(shù)主要包括:網(wǎng)絡(luò)入侵取證技術(shù)(網(wǎng)絡(luò)入侵證據(jù)的識(shí)別、獲取、保存、安全傳輸及分析和提交技術(shù)等)、現(xiàn)場(chǎng)取證技術(shù)(內(nèi)存快照、現(xiàn)場(chǎng)保存、數(shù)據(jù)快速拷貝與分析技術(shù)等)、磁盤(pán)恢復(fù)取證技術(shù)、數(shù)據(jù)還原取證技術(shù)(對(duì)網(wǎng)上傳輸?shù)男畔?nèi)容,尤其是那些加密數(shù)據(jù)的獲取與還原技術(shù))、電子郵件調(diào)查取證技術(shù)及源代碼取證技術(shù)等。
( 2 ) 網(wǎng)絡(luò)陷阱技術(shù)
網(wǎng)絡(luò)陷阱技術(shù)是一種欺騙技術(shù),網(wǎng)絡(luò)安全防御者根據(jù)網(wǎng)絡(luò)系統(tǒng)中存在的安全弱點(diǎn),采取適當(dāng)技術(shù),偽造虛假或設(shè)置不重要的信息資源,使入侵者相信網(wǎng)絡(luò)系統(tǒng)中上述信息資源具有較高價(jià)值,并具有可攻擊、竊取的安全防范漏洞,然后將入侵者引向這些資源。同時(shí),還可獲得攻擊者手法和動(dòng)機(jī)等相關(guān)信息。這些信息日后可用來(lái)強(qiáng)化現(xiàn)有的安全措施,例如防火墻規(guī)則和IDS配置等。
其主要目的是造成敵方的信息誤導(dǎo)、紊亂和恐慌,從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)。靈活的使用網(wǎng)絡(luò)陷阱技術(shù)可以拖延攻擊者,同時(shí)能給防御者提供足夠的信息來(lái)了解敵人,將攻擊造成的損失降至最低。
網(wǎng)絡(luò)陷阱技術(shù)主要包括:偽裝技術(shù)(系統(tǒng)偽裝、服務(wù)偽裝等)、誘騙技術(shù)、引入技術(shù)、信息控制技術(shù)(防止攻擊者通過(guò)陷阱實(shí)現(xiàn)跳轉(zhuǎn)攻擊)、數(shù)據(jù)捕獲技術(shù)(用于獲取并記錄相關(guān)攻擊信息)及數(shù)據(jù)統(tǒng)計(jì)和分析技術(shù)等。
( 3 ) 入侵檢測(cè)技術(shù)
入侵檢測(cè)的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等),對(duì)這些信息進(jìn)行分析和判斷,及時(shí)發(fā)現(xiàn)入侵和異常的信號(hào),為做出響應(yīng)贏得寶貴時(shí)間,必要時(shí)還可直接對(duì)攻擊行為做出響應(yīng),將攻擊行為帶來(lái)的破壞和影響降至最低。它是一種主動(dòng)的入侵發(fā)現(xiàn)機(jī)制,能夠彌補(bǔ)防火墻和其他安全產(chǎn)品的不足,為網(wǎng)絡(luò)安全提供實(shí)時(shí)的監(jiān)控及對(duì)入侵采取相應(yīng)的防護(hù)手段,擴(kuò)展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)已經(jīng)被認(rèn)為是維護(hù)網(wǎng)絡(luò)安全的第二道閘門(mén)。
其主要目的是動(dòng)態(tài)地檢測(cè)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為,及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng),彌補(bǔ)被動(dòng)防御的不足之處。
入侵檢測(cè)技術(shù)主要包括:數(shù)據(jù)收集技術(shù)、攻擊檢測(cè)技術(shù)、響應(yīng)技術(shù)。
( 4 ) 自動(dòng)恢復(fù)技術(shù)
任何一個(gè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)都無(wú)法確保萬(wàn)無(wú)一失,所以,在網(wǎng)絡(luò)系統(tǒng)被入侵或破壞后,如何盡快恢復(fù)就顯得非常關(guān)鍵了。這其中的一個(gè)關(guān)鍵技術(shù)就是自動(dòng)恢復(fù)技術(shù),他針對(duì)服務(wù)器上的關(guān)鍵文件和信息進(jìn)行實(shí)時(shí)地一致性檢查,一旦發(fā)現(xiàn)文件或信息的內(nèi)容、屬主、時(shí)間等被非法修改就及時(shí)報(bào)警,并在極短的時(shí)間內(nèi)進(jìn)行恢復(fù)。論文參考網(wǎng)。其性能的關(guān)鍵是資源占有量、正確性和實(shí)時(shí)性。
其主要目的是在計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)受到攻擊的時(shí)候,能夠在極短的時(shí)間內(nèi)恢復(fù)系統(tǒng)和數(shù)據(jù),保障系統(tǒng)的正常運(yùn)行和數(shù)據(jù)的安全。
自動(dòng)恢復(fù)技術(shù)主要包括:備份技術(shù)、冗余技術(shù)、恢復(fù)技術(shù)、遠(yuǎn)程控制技術(shù)、文件掃描與一致性檢查技術(shù)等。
二、計(jì)算機(jī)網(wǎng)絡(luò)防護(hù)過(guò)程模型
針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題和愈來(lái)愈突出的安全需求,人們?cè)谘芯糠篮诩夹g(shù)的同時(shí),認(rèn)識(shí)到網(wǎng)絡(luò)安全防護(hù)不是一個(gè)靜態(tài)過(guò)程,而是一個(gè)包含多個(gè)環(huán)節(jié)的動(dòng)態(tài)過(guò)程,并相應(yīng)地提出了反映網(wǎng)絡(luò)安全防護(hù)支柱過(guò)程的P2DR模型,其過(guò)程模型如圖1所示。
圖1 P2DR模型體系結(jié)構(gòu)圖
其過(guò)程如下所述:
1.進(jìn)行系統(tǒng)安全需求和安全風(fēng)險(xiǎn)分析,確定系統(tǒng)的安全目標(biāo),設(shè)計(jì)相應(yīng)的安全策略。
2.應(yīng)根據(jù)確定的安全策略,采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)如身份認(rèn)證技術(shù)、訪問(wèn)控制、網(wǎng)絡(luò)技術(shù),選擇符合安全標(biāo)準(zhǔn)和通過(guò)安全認(rèn)證的安全技術(shù)和產(chǎn)品,構(gòu)建系統(tǒng)的安全防線,把好系統(tǒng)的入口。
3.應(yīng)建立一套網(wǎng)絡(luò)案例實(shí)時(shí)檢測(cè)系統(tǒng),主動(dòng)、及時(shí)地檢測(cè)網(wǎng)絡(luò)系統(tǒng)的安全漏洞、用戶行為和網(wǎng)絡(luò)狀態(tài);當(dāng)網(wǎng)絡(luò)出現(xiàn)漏洞、發(fā)現(xiàn)用戶行為或網(wǎng)絡(luò)狀態(tài)異常時(shí)及時(shí)報(bào)警。
4.當(dāng)出現(xiàn)報(bào)警時(shí)應(yīng)及時(shí)分析原因,采取應(yīng)急響應(yīng)和處理,如斷開(kāi)網(wǎng)絡(luò)連接,修復(fù)漏洞或被破壞的系統(tǒng)。
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,我們的生活中越來(lái)越離不開(kāi)網(wǎng)絡(luò),然而網(wǎng)絡(luò)安全問(wèn)題也日趨嚴(yán)重,做好網(wǎng)絡(luò)防護(hù)已經(jīng)是我們所不得不做的事情,只有采取合理有效的網(wǎng)絡(luò)防護(hù)手段才能保證我們網(wǎng)絡(luò)的安全、保證信息的安全,使我們真正能夠用好網(wǎng)絡(luò),使網(wǎng)絡(luò)為我們的生活添光添彩。
關(guān)鍵詞:安全;防范
中圖分類號(hào):TP391文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)23-5590-02
數(shù)據(jù)庫(kù)是計(jì)算機(jī)重要的一個(gè)應(yīng)用領(lǐng)域,隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,數(shù)據(jù)庫(kù)已廣泛地深入到了各個(gè)領(lǐng)域,數(shù)據(jù)庫(kù)技術(shù)在生產(chǎn)、生活、工作、學(xué)習(xí)等方面給人們帶來(lái)了巨大的便利,但隨之而來(lái)的數(shù)據(jù)安全問(wèn)題也越來(lái)越凸顯出來(lái)。數(shù)據(jù)庫(kù)由于其儲(chǔ)存大量重要的信息而成為某些人攻擊的重點(diǎn),數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失以及數(shù)據(jù)庫(kù)被非法用戶的侵入使得數(shù)據(jù)庫(kù)安全性越來(lái)越重要,對(duì)計(jì)算機(jī)數(shù)據(jù)庫(kù)安全技術(shù)進(jìn)行探討有助于我們加深對(duì)相關(guān)數(shù)據(jù)庫(kù)知識(shí)的了解[1],如何保障數(shù)據(jù)的私有性或保密性和安全性是一個(gè)十分重要的課題,有助于提高數(shù)據(jù)庫(kù)安全防范意識(shí),從而有助于實(shí)現(xiàn)數(shù)據(jù)庫(kù)本身的安全。
1 數(shù)據(jù)庫(kù)及其安全
數(shù)據(jù)庫(kù)是當(dāng)前計(jì)算機(jī)存儲(chǔ)和操作數(shù)據(jù)的通常形式,也是目前數(shù)據(jù)存儲(chǔ)和操作的最高形式,計(jì)算機(jī)數(shù)據(jù)庫(kù)安全技術(shù)是伴隨著計(jì)算機(jī)安全技術(shù)與數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而不斷發(fā)展和提升的。數(shù)據(jù)庫(kù)的安全就是保證數(shù)據(jù)庫(kù)信息的保密性、完整性、一致性和可用性,數(shù)據(jù)庫(kù)的安全是數(shù)據(jù)庫(kù)系統(tǒng)的生命,當(dāng)前,數(shù)據(jù)庫(kù)系統(tǒng)經(jīng)歷了網(wǎng)狀數(shù)據(jù)模型、層次數(shù)據(jù)模型和關(guān)系模型三個(gè)發(fā)展階段,無(wú)論在哪個(gè)發(fā)展階段,數(shù)據(jù)庫(kù)的安全始終是我們所關(guān)注的重點(diǎn)。尤其是資源共享的今天,各種應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的安全問(wèn)題及敏感數(shù)據(jù)的防竊取和防篡改問(wèn)題,越來(lái)越引起人們的高度重視[2]。
另外在互聯(lián)網(wǎng)飛速發(fā)展的今天,數(shù)據(jù)庫(kù)系統(tǒng)作為數(shù)據(jù)信息的存儲(chǔ),在網(wǎng)絡(luò)服務(wù)中發(fā)揮巨大作用,同時(shí)我們還要注重?cái)?shù)據(jù)庫(kù)系統(tǒng)的網(wǎng)絡(luò)安全性。主要指數(shù)據(jù)庫(kù)系統(tǒng)自身安全性以及數(shù)據(jù)庫(kù)所處的網(wǎng)絡(luò)環(huán)境面臨的安全風(fēng)險(xiǎn)。如病毒入侵和黑客攻擊、網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全,表現(xiàn)在開(kāi)發(fā)商的后門(mén)以及系統(tǒng)本身的漏洞上。
2 計(jì)算機(jī)數(shù)據(jù)庫(kù)安全技術(shù)
伴隨著數(shù)據(jù)庫(kù)的安全問(wèn)題,數(shù)據(jù)庫(kù)安全技術(shù)也隨之發(fā)展起來(lái),在數(shù)據(jù)庫(kù)開(kāi)放的環(huán)境下,數(shù)據(jù)的讀取、共享暴露在外,通常我們采取訪問(wèn)控制和存取管理技術(shù)、安全審計(jì)、數(shù)據(jù)庫(kù)加密等技術(shù)來(lái)解決這些問(wèn)題,再者,數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用也加強(qiáng)了數(shù)據(jù)庫(kù)的安全,數(shù)據(jù)庫(kù)系統(tǒng)作為信息的聚集體,是計(jì)算機(jī)信息系統(tǒng)的核心部件,其安全性至關(guān)重要。
2.1 訪問(wèn)控制和存取管理技術(shù)
計(jì)算機(jī)系統(tǒng)的活動(dòng)主要是在主體進(jìn)程、用戶和客體資源、數(shù)據(jù)之間進(jìn)行的。計(jì)算機(jī)安全的核心問(wèn)題是保證主體對(duì)客體訪問(wèn)的合法性,即通過(guò)對(duì)數(shù)據(jù)、程序讀出、寫(xiě)入、修改、刪除和執(zhí)行等的管理,確保主體對(duì)客體的訪問(wèn)是授權(quán)的,并拒絕非授權(quán)的訪問(wèn),以保證信息的機(jī)密性、完整性和可用性。
系統(tǒng)通過(guò)比較客體和主體的安全屬性來(lái)決定主體是否可以訪問(wèn)客體。存取管理技術(shù)是一套防止未授權(quán)用戶使用和訪問(wèn)數(shù)據(jù)庫(kù)的方法、機(jī)制和過(guò)程,通過(guò)正在運(yùn)行的程序來(lái)控制數(shù)據(jù)的存取和防止非授權(quán)用戶對(duì)共享數(shù)據(jù)庫(kù)的訪問(wèn)。包括用戶認(rèn)證技術(shù)和存取控制技術(shù)。
2.2 安全審計(jì)
安全審計(jì)即是對(duì)安全方案中的功能提供持續(xù)的評(píng)估。安全審計(jì)應(yīng)為審計(jì)管理員提供一組可進(jìn)行分析的管理數(shù)據(jù),以發(fā)現(xiàn)在何處發(fā)生了違反安全方案的事件。審計(jì)功能在系統(tǒng)運(yùn)行時(shí),自動(dòng)將數(shù)據(jù)庫(kù)的所有操作記錄在審計(jì)日志中,攻擊檢測(cè)系統(tǒng)則是根據(jù)審計(jì)數(shù)據(jù)分析檢測(cè)內(nèi)部和外部攻擊者的攻擊企圖,再現(xiàn)導(dǎo)致系統(tǒng)現(xiàn)狀的事件,分析發(fā)現(xiàn)系統(tǒng)安全弱點(diǎn),追查相關(guān)責(zé)任者利用安全審計(jì)結(jié)果,可調(diào)整安全政策,堵住出現(xiàn)的漏洞,為此,安全審計(jì)應(yīng)具備記錄關(guān)鍵事件、提供可集中處理審計(jì)日志的數(shù)據(jù)形式、提供易于使用的軟件工具、實(shí)時(shí)安全報(bào)警等功能。
2.3 數(shù)據(jù)庫(kù)加密
數(shù)據(jù)庫(kù)加密是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)泄露的有效手段,通過(guò)加密,可以保證用戶信息的安全,減少因備份介質(zhì)失竊或丟失而造成的損失。數(shù)據(jù)加密就是把數(shù)據(jù)信息即明文轉(zhuǎn)換為不可辨識(shí)的形式即密文的過(guò)程,目的是使不應(yīng)了解該數(shù)據(jù)信息的人不能夠知道和識(shí)別。將密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程就是解密。加密和解密過(guò)程形成加密系統(tǒng)。明文與密文統(tǒng)稱為報(bào)文。任何加密系統(tǒng)通常都包括如下幾個(gè)部分:
1) 需要加密的報(bào)文,也稱為明文P。
2) 加密以后形成的報(bào)文,也稱為密文Y。
3) 加密(解密)算法E(D)。
4) 用于加密和解密的鑰匙,稱為密鑰K。
使用數(shù)據(jù)庫(kù)安全保密中間件對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密是最簡(jiǎn)便直接的方法。主要是通過(guò)系統(tǒng)中加密、DBMS內(nèi)核層(服務(wù)器端)加密和DBMS外層(客戶端)加密。
2.4 數(shù)據(jù)安全傳輸常用協(xié)議
在對(duì)數(shù)據(jù)庫(kù)中儲(chǔ)存的數(shù)據(jù)進(jìn)行安全保護(hù)外,在數(shù)據(jù)的傳輸中我們也要確保數(shù)據(jù)的完整性與安全性,所以就有了以下這兒種安全傳輸協(xié)議。
SSL協(xié)議:SSL協(xié)議(Secure socket layer)現(xiàn)已成為網(wǎng)絡(luò)用來(lái)鑒別網(wǎng)站和網(wǎng)頁(yè)瀏覽者身份,以及在瀏覽器使用者及網(wǎng)頁(yè)服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn),SSL技術(shù)已建立到所有主要的瀏覽器和Web服務(wù)器程序中,因此儀需安裝數(shù)字證書(shū)或服務(wù)器證書(shū)就可以激活服務(wù)器功能。
IPSec協(xié)議:IPSec(Internet Protocol Security)是由IETF定義的安全標(biāo)準(zhǔn)框架,用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。它指定了各種可選網(wǎng)絡(luò)安全服務(wù),而各組織可以根據(jù)自己的安全策略綜合和匹配這些服務(wù),可以在IPSec框架之上構(gòu)建安全性解決方法,用以提高發(fā)送數(shù)據(jù)的機(jī)密性、完整性和可靠性。
HTTPS協(xié)議:HTTPS(Secure Hypertext Transfer Protoc01)安全超文本傳輸協(xié)議,它是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中,用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作,并返回網(wǎng)絡(luò)下傳送網(wǎng)的結(jié)果。
另外,安全管理技術(shù)、信息流控制、推理控制、數(shù)據(jù)備份與恢復(fù)等技術(shù)都是數(shù)據(jù)庫(kù)安全常用技術(shù),它們也確實(shí)解決了不少數(shù)據(jù)庫(kù)安全的問(wèn)題。無(wú)論數(shù)據(jù)庫(kù)應(yīng)用哪種安全技術(shù),多多少少都會(huì)有些漏洞,數(shù)據(jù)庫(kù)系統(tǒng)的應(yīng)用可加強(qiáng)數(shù)據(jù)庫(kù)的安全,數(shù)據(jù)庫(kù)系統(tǒng)作為信息的聚集體,其安全性毋庸置疑,所以數(shù)據(jù)庫(kù)系統(tǒng)的安全防范便顯得尤為重要。
3 數(shù)據(jù)庫(kù)系統(tǒng)安全防范策略
3.1 物理安全防護(hù)策略
物理安全保證重要數(shù)據(jù)免受破壞或受到災(zāi)難性破壞時(shí)及時(shí)得到恢復(fù),防止系統(tǒng)信息在空間的擴(kuò)散。在物理安全方面應(yīng)主要采取如F措施網(wǎng)絡(luò)安全設(shè)計(jì)方案符合有關(guān)網(wǎng)絡(luò)安全方面的規(guī)定。安全設(shè)計(jì)應(yīng)根據(jù)不同網(wǎng)絡(luò)、系統(tǒng)和信息要求分別采用不同的安全防護(hù)措施。建立良好的電磁兼容環(huán)境,安裝防電磁輻射產(chǎn)品,對(duì)重要設(shè)備和系統(tǒng)設(shè)置備份系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的安全防范,主要包括防水、防火、防靜電等。
3.2 網(wǎng)絡(luò)安全防護(hù)策略
總的來(lái)講,數(shù)據(jù)庫(kù)的安全首先依賴于網(wǎng)絡(luò)系統(tǒng)。可以說(shuō)網(wǎng)絡(luò)系統(tǒng)是數(shù)據(jù)庫(kù)應(yīng)用的外部環(huán)境和基礎(chǔ),數(shù)據(jù)庫(kù)系統(tǒng)要發(fā)揮其強(qiáng)大作用離不開(kāi)網(wǎng)絡(luò)系統(tǒng)的支持,數(shù)據(jù)庫(kù)系統(tǒng)的用戶如異地用戶、分布式用戶也要通過(guò)網(wǎng)絡(luò)才能訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)。網(wǎng)絡(luò)系統(tǒng)的安全是數(shù)據(jù)庫(kù)安全的第一道屏障,入侵首先就是從入侵網(wǎng)絡(luò)系統(tǒng)開(kāi)始的,所以此時(shí)數(shù)據(jù)庫(kù)系統(tǒng)的安全防范變成了網(wǎng)絡(luò)系統(tǒng)的安全防范。我們就從網(wǎng)絡(luò)系統(tǒng)的安全防范說(shuō)起。
1)防火墻技術(shù)
防火墻是應(yīng)用最廣的一種防范技術(shù),作為數(shù)據(jù)庫(kù)系統(tǒng)的第一道防線,其主要作用是監(jiān)控可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問(wèn)通道,可在內(nèi)部與外部網(wǎng)絡(luò)之間形成一道防護(hù)屏障,攔截來(lái)自外部的非法訪問(wèn)并阻止內(nèi)部信息的外泄,但它無(wú)法阻攔來(lái)自網(wǎng)絡(luò)內(nèi)部的非法操作。它根據(jù)事先設(shè)定的規(guī)則來(lái)確定是否攔截信息流的進(jìn)出,但無(wú)法動(dòng)態(tài)識(shí)別或自適應(yīng)地調(diào)整規(guī)則,因而其智能化程度很有限。
防火墻技術(shù)主要有三種數(shù)據(jù)包過(guò)濾器、和狀態(tài)分析?,F(xiàn)代防火墻產(chǎn)品通?;旌鲜褂眠@幾種技術(shù)。事實(shí)上,在線的網(wǎng)站中,超過(guò)三分之一的網(wǎng)站都是由某種形式的防火墻加以保護(hù),這是對(duì)黑客防范最嚴(yán),安全性較強(qiáng)的一種方式,任何關(guān)鍵性的服務(wù)器,都建議放在防火墻之后。防火墻同時(shí)也是目前用得最廣泛的一種安全技術(shù)。
2)網(wǎng)絡(luò)防病毒技術(shù)
對(duì)于復(fù)雜的系統(tǒng),其錯(cuò)誤和漏洞是難以避免的,病毒就是利用系統(tǒng)中的漏洞,進(jìn)行網(wǎng)絡(luò)攻擊或信息竊取,構(gòu)成對(duì)網(wǎng)絡(luò)安全的巨大威脅。因此,我們必須嚴(yán)防計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)的侵襲。管理上加強(qiáng)對(duì)工作站和服務(wù)器操作的要求,防止病毒從工作站侵人技術(shù)上可以采取無(wú)盤(pán)T作站、帶防病毒芯片的網(wǎng)卡、網(wǎng)絡(luò)防病毒軟件,設(shè)立網(wǎng)絡(luò)防毒系統(tǒng)和配備專用病毒免疫程序來(lái)進(jìn)行預(yù)防。采用多重技術(shù)互為補(bǔ)充。
3)入侵檢測(cè)
入侵檢測(cè)(IDS)作為一種積極主動(dòng)地安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)是近年發(fā)展起來(lái)的一種防范技術(shù),綜合采用了統(tǒng)計(jì)技術(shù)、規(guī)則方法、網(wǎng)絡(luò)通信技術(shù)、人工智能、密碼學(xué)、推理等技術(shù)和方法,其作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用。1987年Derothy Denning首次提出了入侵檢測(cè)的思想,經(jīng)過(guò)不斷發(fā)展和完善,作為監(jiān)控和識(shí)別攻擊的標(biāo)準(zhǔn)解決方案,IDS系統(tǒng)已經(jīng)成為安全防御系統(tǒng)的重要組成部分。IDS包括基于網(wǎng)絡(luò)和基于主機(jī)的入侵監(jiān)測(cè)系統(tǒng)、基于特征的和基于非正常的入侵監(jiān)測(cè)系統(tǒng)、實(shí)時(shí)和非實(shí)時(shí)的入侵監(jiān)測(cè)系統(tǒng)等。在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。
3.3 管理安全防護(hù)策略
網(wǎng)絡(luò)的使用與維護(hù),數(shù)據(jù)庫(kù)系統(tǒng)的安全運(yùn)行,歸根結(jié)底都離不開(kāi)人,所以要時(shí)刻加強(qiáng)對(duì)操作人員的管理與培訓(xùn)。
4 結(jié)束語(yǔ)
隨著數(shù)據(jù)庫(kù)系統(tǒng)的發(fā)展,對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的攻擊方式也在不斷改變,數(shù)據(jù)庫(kù)系統(tǒng)的安全和維護(hù)工作,也應(yīng)該根據(jù)自身需求,跟隨技術(shù)和管理的發(fā)展而合理升級(jí)、更新。計(jì)算機(jī)數(shù)據(jù)庫(kù)安全是當(dāng)前數(shù)據(jù)庫(kù)技術(shù)研究的重點(diǎn),加強(qiáng)數(shù)據(jù)庫(kù)安全相關(guān)技術(shù)研究有助于保障計(jì)算機(jī)數(shù)據(jù)庫(kù)的安全性,有助于保證數(shù)據(jù)庫(kù)系統(tǒng)中信息的有效性。因此,針對(duì)數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行中不安全因素,應(yīng)該時(shí)刻關(guān)注安全技術(shù)的發(fā)展,對(duì)安全防范系統(tǒng)進(jìn)行必要升級(jí),保障數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行安全。
參考文獻(xiàn):
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:CSSCI南大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:北大期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:北大期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
級(jí)別:SCI期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)