前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全技術(shù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全技術(shù)范文

摘要 隨著網(wǎng)絡(luò)技術(shù)的進(jìn)步、電子商務(wù)的發(fā)展，網(wǎng)絡(luò)已深入到生活的方方面面，隨之出現(xiàn)的網(wǎng)絡(luò)安全問題日益嚴(yán)竣。如何保障網(wǎng)絡(luò)的穩(wěn)定正常運(yùn)行，維護(hù)人們的合法網(wǎng)絡(luò)權(quán)益成為了一個(gè)急需解決的問題。本文從目標(biāo)、需求及方案三方面淺述了如何維護(hù)網(wǎng)絡(luò)的安全。

關(guān)鍵詞 防火墻；VPN；網(wǎng)絡(luò)加密；身份認(rèn)證

中圖分類號TP39 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2012）61-0195-02

0 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)在給人們帶來便利提高效益的同時(shí)，它的安全性逐漸成為一個(gè)越來越現(xiàn)實(shí)的嚴(yán)峻問題。各種網(wǎng)絡(luò)安全事件頻發(fā)，影響著企業(yè)或組織的正常運(yùn)行，因此研究如何解決網(wǎng)絡(luò)安全問題，維持網(wǎng)絡(luò)的正常運(yùn)行具有十分現(xiàn)實(shí)的意義。

1 方案目標(biāo)

本方案的目標(biāo)是將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級用戶或用戶群的安全網(wǎng)絡(luò)。具體來說，安全目標(biāo)有以下幾點(diǎn)：

1）采取多層防護(hù)手段，將受到入侵和破壞的概率降到最低；2）提供迅速檢測非法使用和非法入侵的手段，核查并跟蹤入侵者的活動(dòng)；3）提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失。

2 安全需求

根據(jù)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析及需要解決的問題，我們需要制定合理的方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。機(jī)密性即信息不泄露給未授權(quán)實(shí)體或進(jìn)程；完整性保證了數(shù)據(jù)不被未授權(quán)的人或?qū)嶓w更改；可用性即授權(quán)實(shí)體能夠訪問數(shù)據(jù)；可控性保證能控制授權(quán)范圍內(nèi)的信息流向及操作方式；可審查性是對出現(xiàn)的安全問題提供依據(jù)與手段。

3 解決方案

3.1 設(shè)計(jì)原則

根據(jù)網(wǎng)絡(luò)的實(shí)際情況，解決安全保密問題是當(dāng)務(wù)之急，并且考慮技術(shù)難度及經(jīng)費(fèi)等，設(shè)計(jì)時(shí)遵循如下原則：

1）大幅度地提高系統(tǒng)的保密性；2）易于操作維護(hù)，便于自動(dòng)化管理；3）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)擴(kuò)展；4）安全系統(tǒng)有較高的性價(jià)比。

3.2 安全策略

1）采用漏洞掃描技術(shù)，對核心交換機(jī)等重要設(shè)備進(jìn)行掃描防護(hù)；

2）采用多種技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)、虛擬專用網(wǎng)（VPN)、網(wǎng)絡(luò)加密、身份認(rèn)證等。

3.3 防御系統(tǒng)

3.3.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)及各種網(wǎng)絡(luò)設(shè)備免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為失誤或錯(cuò)誤。為保證系統(tǒng)正常運(yùn)行，應(yīng)采取如下措施：

1）產(chǎn)品保障方面：指網(wǎng)絡(luò)設(shè)備采購、運(yùn)輸、安裝等方面的安全措施；

2）運(yùn)行安全方面：各種設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能從廠家或供貨商得到迅速的技術(shù)支持；

3）保安方面：主要指防盜、防火等。

3.3.2 防火墻技術(shù)

防火墻實(shí)質(zhì)是對通信的網(wǎng)絡(luò)進(jìn)行訪問控制,其目標(biāo)是通過控制信息進(jìn)出網(wǎng)絡(luò)的權(quán)限,使所有連接都經(jīng)過檢查,防止被保護(hù)的網(wǎng)絡(luò)遭外界的干擾和破壞。防火墻根據(jù)事先定義的規(guī)則來檢測要進(jìn)入被保護(hù)網(wǎng)絡(luò)的信息是否能夠進(jìn)入。

根據(jù)采用的技術(shù)可將防火墻分為3類：包過濾型、型和監(jiān)測型。

1）包過濾型

包過濾型依據(jù)是網(wǎng)絡(luò)信息的分包傳輸。要傳輸?shù)臄?shù)據(jù)被分成一定大小的包,每個(gè)包中都含有特定信息,如源地址、目標(biāo)地址等。防火墻通過讀取數(shù)據(jù)包中的特定信息來判斷數(shù)據(jù)是否來自可信站點(diǎn) ,若發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn),防火墻則會拒絕這些數(shù)據(jù)進(jìn)入。此技術(shù)優(yōu)點(diǎn)是簡單實(shí)用,成本低。 其缺點(diǎn)是只能根據(jù)數(shù)據(jù)包的特定信息判斷數(shù)據(jù)是否安全,無法識別惡意入侵。

2）型

型防火墻也叫服務(wù)器,其安全性高于包過濾產(chǎn)品。服務(wù)器位于客戶機(jī)與服務(wù)器之間,當(dāng)客戶機(jī)要與服務(wù)器通信時(shí),先把請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)其請求向服務(wù)器索取數(shù)據(jù),再由服務(wù)器將數(shù)據(jù)傳給客戶機(jī)。服務(wù)器就是客戶機(jī)與服務(wù)器間的“傳話筒”。此種防火墻優(yōu)點(diǎn)是安全性高,缺點(diǎn)是設(shè)置復(fù)雜，對整體性能有很大影響。

3）監(jiān)測型

監(jiān)測型防火墻能夠?qū)Ω鲗訑?shù)據(jù)實(shí)時(shí)主動(dòng)地監(jiān)控,再分析,最后判斷出各層中是否有攻擊行為。同時(shí),這種產(chǎn)品一般還帶有探測器,這些探測器安裝在應(yīng)用服務(wù)器和網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)中,不僅能檢測來自外部的攻擊,還能對內(nèi)部的惡意破壞進(jìn)行防范。但此類產(chǎn)品成本高,所以應(yīng)用較少。

3.3.3 VPN技術(shù)

VPN通過防火墻、隧道技術(shù)、加密解密等實(shí)現(xiàn)，是在公共網(wǎng)絡(luò)中建一道專線。它主要有3種：

1）遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）。Access VPN通過擁有相同策略的共享設(shè)施，來提供遠(yuǎn)程訪問。適用于企業(yè)內(nèi)部常有流動(dòng)人員遠(yuǎn)程辦公的情況；

2）企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)。越來越多的企業(yè)需要在各地建立辦事處、分公司等，傳統(tǒng)的通信方式是使用花銷大的租用專線方式。而使用Intranet VPN可以保證分公司安全地傳輸信息；

3）Extranet VPN。此方式使用專用連接的共享設(shè)施，將合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。

3.3.4加密技術(shù)

加密可以保證信息的機(jī)密性。它是把要傳輸?shù)男畔⒂媚撤N算法和參數(shù)通過某種運(yùn)算形成無意義信息。要傳輸?shù)男畔槊魑模撤N算法為加密算法，無意義的信息為密文，參數(shù)為密鑰。加密技術(shù)可分為對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)加密和解密密鑰相同。代表算法有DES,IDEA等。非對稱加密技術(shù)也叫公開密鑰技術(shù)，其加解密密鑰不同。加密密鑰公開，解密密鑰私有，不公開。非對稱加密廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等領(lǐng)域。代表算法是RSA。目前新的加密技術(shù)有密碼專業(yè)芯片、量子加密等。

3.3.5 身份認(rèn)證

現(xiàn)在越來越多的人通過虛擬的網(wǎng)絡(luò)通信，進(jìn)行電子商務(wù)等活動(dòng)，怎樣保證對方的合法身份呢？這就需要身份認(rèn)證。身份認(rèn)證的目的是驗(yàn)證信息收發(fā)方是否有合法的身份證明。身份認(rèn)證主要有3個(gè)機(jī)構(gòu)組成。

1）認(rèn)證機(jī)構(gòu)CA

CA是一個(gè)權(quán)威實(shí)體，主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)網(wǎng)絡(luò)用戶身份證明――證書，任何相信該CA的人，也應(yīng)當(dāng)相信由CA頒發(fā)證書的用戶。

2）注冊機(jī)構(gòu)RA

RA是用戶和CA的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅可以面對面登記，也可以遠(yuǎn)程登記。

3）證書管理與撤消系統(tǒng)

隨著電子商務(wù)等活動(dòng)的發(fā)展，越來越多的證書就需要證書管理系統(tǒng)。當(dāng)已頒發(fā)證書不再有效時(shí)就需要撤消。證書撤消系統(tǒng)利用周期性機(jī)制撤消的證書，也有在線查詢可隨時(shí)查詢已撤消的證書。

4 結(jié)論

本文主要介紹了一個(gè)多層次的網(wǎng)絡(luò)安全解決方案，來為用戶提供信息的保密性、完整性和身份的認(rèn)證，使網(wǎng)絡(luò)服務(wù)更安全可靠。

參考文獻(xiàn)

[1]石志國，等.計(jì)算機(jī)網(wǎng)絡(luò)安全教程.北京：清華大學(xué)出版社，2009.

第2篇：網(wǎng)絡(luò)安全技術(shù)范文

關(guān)鍵詞:網(wǎng)絡(luò)入侵;入侵檢測系統(tǒng);信息安全

中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)35-9947-05

Network Safety Technology Research

ZHENG Xiao-xia

(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)

Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words: network intrusion; intrusion detection systems; information security

1 前言

1.1 因特網(wǎng)的發(fā)展及其安全問題

隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入,網(wǎng)絡(luò)安全問題變得日益復(fù)雜和突出。網(wǎng)絡(luò)的資源共享、信息交換和分布處理提供了良好的環(huán)境,使得網(wǎng)絡(luò)深入到社會生活的各個(gè)方面,逐步成為國家和政府機(jī)構(gòu)運(yùn)轉(zhuǎn)的命脈和社會生活的支柱。這一方面提高了工作效率,另一方面卻由于自身的復(fù)雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。眾所周知,因特網(wǎng)是世界上最大的計(jì)算機(jī)網(wǎng)絡(luò),它連接了全球不計(jì)其數(shù)的網(wǎng)絡(luò)與電腦。同時(shí)因特網(wǎng)也是世界上最開放的系統(tǒng),任何地方的電腦,只要遵守共同的協(xié)議即可加入其中。因特網(wǎng)的特點(diǎn)就是覆蓋的地理范圍廣,資源共享程度高。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性,系統(tǒng)的通用性,無政府的管理狀態(tài),使得因特網(wǎng)在極大地傳播信息的同時(shí),也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越發(fā)展,對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙,越多樣性。一方面由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速發(fā)展,另一方面也正是這種開放性以及計(jì)算機(jī)本身安全的脆弱性,導(dǎo)致了網(wǎng)絡(luò)安全方面的諸多漏洞?？梢哉f,網(wǎng)絡(luò)安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以,網(wǎng)絡(luò)的安全性同網(wǎng)絡(luò)的性能、可靠性和可用性一起,成為組建、運(yùn)行網(wǎng)絡(luò)不可忽視的問題。

1.2 我國網(wǎng)絡(luò)安全現(xiàn)狀及其相關(guān)法律與制度

1.2.1 我國網(wǎng)絡(luò)安全現(xiàn)狀

2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說明了政府高度重視網(wǎng)絡(luò)安全問題。目前,國家依據(jù)信息化建設(shè)的實(shí)際情況,制訂了一系列法律文件和行政法規(guī)、規(guī)章,為我國信息化建設(shè)的發(fā)展與管理起到了有利的促進(jìn)和規(guī)范作用,為依法規(guī)范和保護(hù)我國信息化建設(shè)健康有序發(fā)展提供了有利的法律依據(jù)。

1.2.2 我國網(wǎng)絡(luò)安全相關(guān)法律與原則

2003年中辦下發(fā)的《關(guān)于加強(qiáng)信息安全保障工作的意見》是目前我國信息安全保障方面的一個(gè)綱領(lǐng)性文件。

我國網(wǎng)絡(luò)信息安全立法的原則

1)國家利益原則。當(dāng)今天信息已成為社會發(fā)展的重要戰(zhàn)略資源,信息安全成為維護(hù)國家安全和社會穩(wěn)定的一個(gè)焦點(diǎn)。信息安全首先要體現(xiàn)國家利益原則。

2)一致性原則。要與在我國現(xiàn)行法律和國際法框架下制定的法律法規(guī)相一致,避免重復(fù)立法和分散立法,增強(qiáng)立法的協(xié)調(diào)性,避免立法的盲目性、隨意性和相互沖突。

3)發(fā)展的原則。信息安全立法既要考慮規(guī)范行為,又要考慮促進(jìn)我國國民經(jīng)濟(jì)和社會信息化的發(fā)展。

4)可操作性原則。要對現(xiàn)實(shí)有針對性,對實(shí)踐有指導(dǎo)性。

5)優(yōu)先原則。急需的先立法、先實(shí)施,如信息安全等級保護(hù)、信息安全風(fēng)險(xiǎn)評估、網(wǎng)絡(luò)信任、信息安全監(jiān)控、信息安全應(yīng)急處理等方面要加緊立法。

2 網(wǎng)絡(luò)安全協(xié)議

2.1 網(wǎng)絡(luò)安全協(xié)議對維護(hù)網(wǎng)絡(luò)安全的作用

Internet的開放式信息交換方式使其網(wǎng)絡(luò)安全具有脆弱性,而實(shí)現(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。目前幾乎網(wǎng)絡(luò)的各個(gè)層次都指定了安全協(xié)議和具備了相應(yīng)的安全技術(shù),網(wǎng)絡(luò)安全協(xié)議可很好的保護(hù)信息在網(wǎng)絡(luò)中傳播。在安全領(lǐng)域,一種“安全協(xié)議”被定義為“一種控制計(jì)算機(jī)間數(shù)據(jù)傳輸?shù)陌踩^程。

2.1.1 第二層隧道協(xié)議(L2TP)

第2層隧道協(xié)議(L2TP)是點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)的一個(gè)擴(kuò)展,L2TP數(shù)據(jù)包在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口1701進(jìn)行交換。ISP使用L2TP來建立VPN解決方案,使用該方案,用戶可以在載波網(wǎng)絡(luò)中更多地利用VPN的優(yōu)點(diǎn)。由于L2TP符合國際標(biāo)準(zhǔn),因此不同開發(fā)商所開發(fā)的L2TP設(shè)備的協(xié)同能力大大增強(qiáng)。L2TP VPN已經(jīng)成為提供商使用的產(chǎn)品。在裝有Cisco的網(wǎng)絡(luò)中,端到端的服務(wù)質(zhì)量(QoS)可以通過QoS技術(shù)的使用來保證IPSec負(fù)責(zé)數(shù)據(jù)加密,它同樣也是一種國際標(biāo)準(zhǔn)。IPSec對每個(gè)數(shù)據(jù)包的數(shù)據(jù)進(jìn)行初始認(rèn)證、數(shù)據(jù)完整性檢測、數(shù)據(jù)回放保護(hù)以及數(shù)據(jù)的機(jī)密性保護(hù)。從設(shè)計(jì)上來看,L2TP支持多協(xié)議傳輸環(huán)境,它能夠使用任何路由協(xié)議進(jìn)行傳輸,包括IP、IPX以及AppleTalk。同時(shí),L2TP也支持任何廣域網(wǎng)傳送技術(shù),包括幀中繼、ATM、X.25或SONET,它還能夠支持各種局域網(wǎng)媒質(zhì),如以太網(wǎng)、快帶以太網(wǎng)、令牌環(huán)以及FDDI。L2TP使用因特網(wǎng)及其網(wǎng)絡(luò)連接以使得終端能夠頒布在各個(gè)不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機(jī)密性、數(shù)據(jù)包的認(rèn),以及保護(hù)控制信息和數(shù)據(jù)包不被重新發(fā)送。

2.1.2 IPSec的技術(shù)優(yōu)勢:

為數(shù)據(jù)的安全傳輸提供了身份驗(yàn)證、完整性、機(jī)密性等措施,另外它的查驗(yàn)和安全與它的密鑰管理系統(tǒng)相連。因此,如果未來的密鑰管理系統(tǒng)發(fā)生變化時(shí),IPSec的安全機(jī)制不需要進(jìn)行修改。當(dāng)IPSec用于VPN網(wǎng)關(guān)時(shí),就可以建立虛擬專用網(wǎng)。在VPN網(wǎng)關(guān)的連內(nèi)部網(wǎng)的一端是一個(gè)受保護(hù)的內(nèi)部網(wǎng)絡(luò),另一端則是不安全的外部公共網(wǎng)絡(luò)。兩個(gè)這樣的VPN網(wǎng)關(guān)建立起一個(gè)安全通道,數(shù)據(jù)就可以通過這個(gè)通道從一個(gè)本地的保護(hù)子網(wǎng)發(fā)送到一個(gè)遠(yuǎn)程的保護(hù)子網(wǎng),這就形成了一條VPN。在這個(gè)VPN中,每一個(gè)具有IPSec的VPN網(wǎng)關(guān)都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn),試圖對VPN進(jìn)行通信分析將會失敗。

目的是VPN的所有通信都經(jīng)過網(wǎng)關(guān)上的SA來定義加密或認(rèn)證的算法和密鑰等參數(shù),即從VPN的一個(gè)網(wǎng)關(guān)出來的數(shù)據(jù)包只要符合安全策略,就會用相應(yīng)的SA來加密或認(rèn)證(加上AH或ESP報(bào)頭)。整個(gè)安全傳輸過程由IKE控制,密鑰自動(dòng)生成,所有的加密和解密可由兩端的網(wǎng)關(guān),對保護(hù)子網(wǎng)內(nèi)的用戶而言整個(gè)過程都是透明的。

2.2 安全Shell(SSH)

安全Shell或者SSJ常用于遠(yuǎn)程登錄系統(tǒng),和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區(qū)別是:SSH大大加強(qiáng)了其連接的安全性。SSH是一個(gè)應(yīng)用程序,它為不可靠的、存在潛在危險(xiǎn)的網(wǎng)絡(luò)(如因特網(wǎng))上的兩臺主機(jī)提供了一個(gè)加密的通信路徑。因此,SSH防止了用戶口令及其他敏感數(shù)據(jù)以明文方式在網(wǎng)絡(luò)中傳輸。SSH解決了在因特網(wǎng)中最重要的安全問題:黑客竊取或破解口令的問題。

SSH拒絕數(shù)據(jù)IP欺騙攻擊,保證能夠是哪臺主機(jī)發(fā)送了該數(shù)據(jù)。加密數(shù)據(jù)包,用以防止其他中間主機(jī)截取明文口令及其他數(shù)據(jù)。IP源路由選擇,可以防止某臺主機(jī)偽裝它的上IP數(shù)據(jù)包來源于另一臺可信主機(jī)。避免數(shù)據(jù)包傳送路徑上控制其他裝置的人處理數(shù)據(jù)。SSH給安全領(lǐng)域帶來一個(gè)很有趣的功能:即使用隧道的SSH技術(shù)轉(zhuǎn)發(fā)某些數(shù)據(jù)包。FTP協(xié)議和X Windows協(xié)議都采用了這一功能。這中轉(zhuǎn)發(fā)功能使SSH能夠利用其他一些協(xié)議來控制主機(jī)終端與SSH連接的操作。你可能認(rèn)為通過SSH連接的隧道將是一個(gè)很不錯(cuò)的VPN選擇,但事實(shí)并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術(shù),因?yàn)檫@是一種很安全的連接發(fā)?？傊?SSH是一個(gè)比較滸、用于加密網(wǎng)絡(luò)TCP會話的工具,它最常用于遠(yuǎn)程登錄以及增加網(wǎng)絡(luò)的安全性。

3 網(wǎng)絡(luò)安全技術(shù)

3.1 使用網(wǎng)絡(luò)安全技術(shù)的意義

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),網(wǎng)絡(luò)安全的問題已經(jīng)日益突出地?cái)[在各類用戶的面前。據(jù)統(tǒng)計(jì)資料表明,目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)受過黑客的困擾。盡管黑客如此猖獗,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶,特別是企業(yè)級用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個(gè)事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻引發(fā)的。

3.2 防火墻

防火墻(Firewall )技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一,也是目前網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)安全策略應(yīng)用最為廣泛的工具之一。防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入,可有效地保證網(wǎng)絡(luò)安全。它是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。

3.2.1 防火墻的種類

第一:從防火墻產(chǎn)品形態(tài)分類,防火墻可分為3種類型:

1)軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,一般來說,這臺計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān),俗稱“個(gè)人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

2)硬件防火墻

硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,它們都基于PC架構(gòu),也就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的UNIX、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會受到OS(操作系統(tǒng))本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見的四端防火墻一般將第4個(gè)端口作為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

3)芯片級防火墻

芯片級防火墻基于專門的硬件平臺及專用的操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強(qiáng),性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價(jià)格相對比較高昂。

第二:從防火墻所采用的技術(shù)不同,可分為包過濾型、型和監(jiān)測型三大類型。

1)包過濾型

是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的他包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。優(yōu)點(diǎn)是:簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境簡單的情況下能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。缺點(diǎn)是:只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入。

2)型

“型”防火墻也可以稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始實(shí)行向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機(jī)。監(jiān)測型

3)監(jiān)測型

“監(jiān)測型”防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻對各層的數(shù)據(jù)進(jìn)行主動(dòng)、實(shí)時(shí)的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,臨測型防火墻有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般還帶有分布式探器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)系統(tǒng)的節(jié)點(diǎn)之中,不僅檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用

第三:從網(wǎng)絡(luò)體系結(jié)構(gòu)來進(jìn)行分類,可以將防火墻分為以下4種類型:

1)網(wǎng)絡(luò)級防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議,以及每個(gè)IP包的端口來做出通過與否的判斷。網(wǎng)絡(luò)級防火墻簡潔、速度快、費(fèi)用低,并且對用戶透明,但是對網(wǎng)絡(luò)的保護(hù)有限,因?yàn)樗粰z查地址和端口,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。

2)應(yīng)用級網(wǎng)關(guān)

也稱“型”防火墻,它檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核。但每一種協(xié)議需要相應(yīng)的軟件,使用時(shí)工作量大,效率不如網(wǎng)絡(luò)級防火墻。

3)電路級網(wǎng)關(guān)

用來監(jiān)近代受信任的客戶機(jī)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會話是否合法,電路級網(wǎng)關(guān)在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。另外,電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能:網(wǎng)絡(luò)地址轉(zhuǎn)換功能,將所有內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址,這個(gè)地址是由防火墻使用的。但是,作為電路級網(wǎng)關(guān)也存在著一睦缺陷,因?yàn)樵摼W(wǎng)關(guān)是在會話層工作的,它就無法檢查應(yīng)用層級的數(shù)據(jù)包。

4)規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣,規(guī)則檢查聞?dòng)嵒饓Υ驩SI網(wǎng)絡(luò)層上通過IP地址和端口號,過濾進(jìn)出的數(shù)據(jù)包。可以在OSI應(yīng)用層下檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于一個(gè)應(yīng)用級網(wǎng)關(guān)的是,它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù),它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與旅游區(qū)在用層有關(guān)的,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級在過濾數(shù)據(jù)包上更有效。

第四:從防火墻的應(yīng)用部署位置來分,可將防火墻分為3種類型

1)邊界防火墻

這是最為傳統(tǒng)的那種,它們位于內(nèi)、外部網(wǎng)絡(luò)的邊蜀,所起的作用是對內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離,保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都是硬件類型的,價(jià)格較貴,性能較好。

2)個(gè)人防火墻

安裝于單臺主機(jī)中,防護(hù)的也只是單臺主機(jī)。這類防火墻應(yīng)于廣大的個(gè)人用戶,價(jià)格最便宜,性能也最差。

3)混合式防火墻

也可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個(gè)軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間,既對內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾,又對網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。

3.2.2 防火墻中的關(guān)鍵技術(shù)

在實(shí)現(xiàn)防火墻的眾多技術(shù)中,如下技術(shù)是其實(shí)現(xiàn)的關(guān)鍵技術(shù):

3.2.2.1 包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)中適當(dāng)?shù)奈恢蒙蠈?shù)據(jù)包實(shí)施有選擇的過濾。采用這種技術(shù)的防火墻產(chǎn)品,通過在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包進(jìn)行過濾,根據(jù)所檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素,然后依據(jù)一組預(yù)定義的規(guī)則,以允許合乎邏輯的數(shù)據(jù)包通過防火墻進(jìn)入到內(nèi)部網(wǎng)絡(luò),而將不合乎邏輯的數(shù)據(jù)包加以刪除。

優(yōu)點(diǎn):采用包過濾技術(shù)的包過濾防火墻具有明顯的優(yōu)點(diǎn),

1)一個(gè)過濾由器協(xié)助防護(hù)整個(gè)網(wǎng)絡(luò)

2)數(shù)據(jù)包過濾對用戶透明

3)包過濾路由器速度快、效率高

缺點(diǎn):通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個(gè)缺點(diǎn)。沒有一定的經(jīng)驗(yàn),是不可能將過濾規(guī)則配置得完美的。

3.2.2.2 應(yīng)用技術(shù)

技術(shù)是針對每一個(gè)特定應(yīng)用服務(wù)的控制。它作用于應(yīng)用層。其具有狀態(tài)性的特點(diǎn),能提供部分與傳輸有關(guān)的狀態(tài),起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時(shí)的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求,拒絕外部網(wǎng)絡(luò)其它節(jié)點(diǎn)的直接請求。提供服務(wù)的可以是一臺雙宿網(wǎng)關(guān),也可以是一臺保壘主機(jī)。

3.2.2.3 狀態(tài)檢查技術(shù)

狀態(tài)檢查技術(shù)也稱為應(yīng)用層網(wǎng)關(guān)技術(shù),是一種在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能的技術(shù)。它是在應(yīng)用層實(shí)現(xiàn)防火墻的功能,針對每一個(gè)特定應(yīng)用進(jìn)行檢驗(yàn)。服務(wù)不允許直接與真正的服務(wù)通信,而是與服務(wù)器通信(用戶的默認(rèn)網(wǎng)關(guān)指向服務(wù)器)。各個(gè)應(yīng)用在用戶和服務(wù)之間處理所有的通信。

優(yōu)點(diǎn):1)易于配置。2)能生成各項(xiàng)記錄。3)能靈活、完全地控制進(jìn)出信息。4)能過濾數(shù)據(jù)內(nèi)容。

缺點(diǎn):1)速度比路由器慢。2)對用戶不透明。3)對于每項(xiàng)服務(wù),可能要求不同的服務(wù)器。4)服務(wù)通常要求對客戶或過程進(jìn)行限制。5)服務(wù)受協(xié)議弱點(diǎn)的限制。6)不能改進(jìn)底層協(xié)義的安全性。

3.2.2.4 地址轉(zhuǎn)換技術(shù)

地址轉(zhuǎn)換技術(shù)是將一個(gè)IP地址用另一個(gè)IP地址代替。它主要應(yīng)用于兩個(gè)方面,其一是網(wǎng)絡(luò)管理員希望隱藏內(nèi)部網(wǎng)的IP地址。其二是內(nèi)部網(wǎng)的IP地址是無效的。在此情況下,外部網(wǎng)不能訪問內(nèi)部網(wǎng),而內(nèi)部網(wǎng)之間主機(jī)可以互助訪問。

3.2.2.5 內(nèi)容檢查技術(shù)

內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控,以確保數(shù)據(jù)流的安全。它是一個(gè)利用智能方式來分析數(shù)據(jù),使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組合。

3.3 網(wǎng)絡(luò)入侵檢測

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜,網(wǎng)絡(luò)攻擊方式的不斷翻新。網(wǎng)絡(luò)系統(tǒng)的安全管理,是一個(gè)非常復(fù)檢錄煩瑣的事情。入侵檢測技術(shù)和漏洞掃描技術(shù)通過從目標(biāo)系統(tǒng)和網(wǎng)絡(luò)資源中采集信息,分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞,甚至實(shí)時(shí)地對攻擊做了反應(yīng)。入侵檢測系統(tǒng)和入侵保護(hù)系統(tǒng)是防火墻極其有益的補(bǔ)充,它能對非法入侵行為進(jìn)行全面的臨測和防護(hù)。在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。入侵檢測技術(shù)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽,從而提供針對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù),大大提高了網(wǎng)絡(luò)的安全性。

3.3.1 入侵檢測系統(tǒng)技術(shù)

入侵檢測系統(tǒng)技術(shù)可以采用概率統(tǒng)計(jì)方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、模式匹配、行為分析等來實(shí)現(xiàn)入侵檢測系統(tǒng)的檢測機(jī)制,以分析事件的審計(jì)記錄、識別特定的模式、生成檢測報(bào)告和最終的分析結(jié)果。

3.3.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的核心就是通過對系統(tǒng)數(shù)據(jù)的分析,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進(jìn)行組合便是入侵檢測系統(tǒng)。與其他安全產(chǎn)品不同的是入侵檢測系統(tǒng)需要更多的智能必須可以對得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果,一個(gè)合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。其實(shí),入侵檢測系統(tǒng)是一個(gè)曲型的“窺探設(shè)備”。它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽端口,無須轉(zhuǎn)發(fā)任何流量,而只需要在網(wǎng)絡(luò)上被動(dòng)地、無聲無息地收集它所關(guān)心的報(bào)文即可。

3.4 虛擬專用網(wǎng)(VPN)

VPN是目前解決信息安全問題的一個(gè)最新、最成功的技術(shù)之一。所謂虛擬專用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò),但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)絡(luò)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商),在公有網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)絡(luò)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。IETF草案理解基于IP的VPN為:“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”,通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。

一個(gè)典型VPN的組成部分如圖1所示。

圖1各個(gè)組件作用如下:VPN服務(wù)器:接受來自VPN客戶機(jī)的連接請求。VPN客戶機(jī):可以是終端計(jì)算機(jī)也可以是路由器。隧道:數(shù)據(jù)傳輸通道,在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。VPN連接:在VPN連接中,數(shù)據(jù)必須經(jīng)過加密。隧道協(xié)議:封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn)。傳輸數(shù)據(jù):經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡(luò):如Internet,也可以是其他共享網(wǎng)絡(luò)。

3.5 訪問控制的概念

訪部控制是通過一個(gè)參考監(jiān)視器,在每一次用戶對系統(tǒng)目標(biāo)進(jìn)行訪問時(shí),都由它來調(diào)節(jié),包括限制合法用戶的行為。訪問控制是信息安全保障機(jī)制的核心內(nèi)容,它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性機(jī)制的主要手段。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個(gè)主動(dòng)的實(shí)體;如用戶、進(jìn)程、服務(wù)等),對訪問客體(需要保護(hù)的資源)的訪問權(quán)限,從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用;訪問控制機(jī)制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度。所有的操作系統(tǒng)都支持訪問控制。

訪問控制的兩個(gè)重要過程:1)通過鑒別(authentication)來檢驗(yàn)主體的合法身份:2)通過授權(quán)(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數(shù)據(jù),更改數(shù)據(jù),運(yùn)行程序,發(fā)起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數(shù)據(jù);2)運(yùn)行可執(zhí)行文件;3)發(fā)起網(wǎng)絡(luò)連接等。

3.5.1 訪問控制應(yīng)用類型

根據(jù)應(yīng)用環(huán)境的不同,訪問控制主要有以下三種:1)網(wǎng)絡(luò)訪問控制;2)主機(jī)、操作系統(tǒng)訪問控制;3)應(yīng)用程序訪問控制。由于本文討論的主要為網(wǎng)絡(luò)中的訪問控制。所以主機(jī)、操作系統(tǒng)的訪問控制

及應(yīng)用程序的訪問控制在這里就不做討論。網(wǎng)絡(luò)訪問控制機(jī)制應(yīng)用在網(wǎng)絡(luò)安全環(huán)境中,主要是限制用戶可以建立什么樣的連接以及通過網(wǎng)絡(luò)傳輸什么樣的數(shù)據(jù),這就是傳統(tǒng)的網(wǎng)絡(luò)防火墻。此外,加密的方法也常被用來提供實(shí)現(xiàn)訪問控制。

3.5.2 強(qiáng)制訪問控制(MAC)

強(qiáng)制訪問控制與自主訪問控制因?qū)崿F(xiàn)的基本理念不同,訪問控制可分為強(qiáng)制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護(hù)系統(tǒng)確定的對象,對此對象用戶不能進(jìn)行更改。也就是說,系統(tǒng)獨(dú)立于用戶行為強(qiáng)制執(zhí)行訪問控制,用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?。這樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標(biāo)簽,訪問控制機(jī)制通過比較安全標(biāo)簽來確定的授予還是拒絕用戶對資源的訪問。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級劃分,所以經(jīng)常用于軍事用途。在強(qiáng)制訪問控制系統(tǒng)中,所有主體(用戶,進(jìn)程)和客體(文件,數(shù)據(jù))都被分配了安全標(biāo)簽,安全標(biāo)簽標(biāo)識一個(gè)安全等級。主體(用戶,進(jìn)程)被分配一個(gè)安全等級,客體(文件,數(shù)據(jù))也被分配一個(gè)安全等級。訪問控制執(zhí)行時(shí)對主體和客體的安全級別進(jìn)行比較。

用一個(gè)例子來說明強(qiáng)制訪問控制規(guī)則的應(yīng)用,如WEB服務(wù)以“秘密”的安全級別運(yùn)行。例如WEB服務(wù)器被攻擊,攻擊者在目標(biāo)系統(tǒng)中以“秘密”的安全級別進(jìn)行操作,他將不能訪問系統(tǒng)中安全級為“機(jī)密”及“高密”的數(shù)據(jù)。

4 網(wǎng)絡(luò)安全策略

4.1 網(wǎng)絡(luò)安全系統(tǒng)策略

從根本意義上講,絕對安全的網(wǎng)絡(luò)是不可能有的。只要使用,就或多或少地存在安全問題。我們在探討安全問題的時(shí)候,實(shí)際上是指一定程度的網(wǎng)絡(luò)安全。一般說來,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)的開放性、便利性和靈活性為代價(jià)的。計(jì)算機(jī)網(wǎng)絡(luò)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,國際上普遍認(rèn)為:它不僅涉及到技術(shù)、設(shè)備、人員管理等范疇,還應(yīng)該依法律規(guī)范作保證,只有各方面結(jié)合起來,相互彌補(bǔ),不斷完善,才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息安全。這里僅從技術(shù)的角度探討網(wǎng)絡(luò)信息安全的對策。

4.2 網(wǎng)絡(luò)安全系統(tǒng)策略的制定

4.2.1 物理安全策略

物理安全的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊;防止用戶越權(quán)操作;確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個(gè)主要問題。

4.2.2 數(shù)據(jù)鏈層路安全策略

數(shù)據(jù)鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽,主要采用劃分VLAN(虛擬局域網(wǎng))、加密通信(遠(yuǎn)程網(wǎng))等手段。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。

4.2.3 網(wǎng)絡(luò)層安全策略

網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù),保證網(wǎng)絡(luò)路由正確,避免攔截或監(jiān)聽。用于解決網(wǎng)絡(luò)層安全性問題的主要有防火墻和VPN(虛擬專用網(wǎng))。防火墻是在網(wǎng)絡(luò)邊界上通過建立起惡報(bào)相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的侵入。

4.2.4 遵循“最小授權(quán)”策略

“最小授權(quán)”原則指網(wǎng)絡(luò)中帳號設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小限度、及時(shí)刪除不必要的帳號等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。

4.2.5 建立并嚴(yán)格執(zhí)行規(guī)章制度的策略

在網(wǎng)絡(luò)安全中,除了采用技術(shù)措施之外,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡(luò)安全、可靠地運(yùn)行將起到十分有效的作用。規(guī)章制度作為一項(xiàng)核心內(nèi)容,應(yīng)始終貫穿于系統(tǒng)的安全生命周期。一般來說,安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候,網(wǎng)絡(luò)安全往往會作出讓步,或許正是由于一個(gè)細(xì)微的讓步,最終導(dǎo)致了整個(gè)系統(tǒng)的崩潰。因此,嚴(yán)格執(zhí)行安全管理制度是網(wǎng)絡(luò)可靠運(yùn)行的重要保障。

5 結(jié)論

當(dāng)前,如何確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是任何一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)者和管理者都極為關(guān)心的熱點(diǎn)。由于因特網(wǎng)協(xié)議的開放性,使得計(jì)算機(jī)網(wǎng)絡(luò)的接入變得十分容易。正是在這樣得背景下,能夠威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全的因素就非常多。因此,人們研究和開發(fā)了各種安全技術(shù)和手段,努力構(gòu)建一種可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。這種安全系統(tǒng)的構(gòu)建實(shí)際上就是針對己經(jīng)出現(xiàn)的各種威脅(或者是能夠預(yù)見的潛在威脅),采用相應(yīng)的安全策略與安全技術(shù)解除這些威脅對網(wǎng)絡(luò)的破壞的過程。當(dāng)然,隨著計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)大,威脅網(wǎng)絡(luò)安全因素的變化使得這個(gè)過程是一個(gè)動(dòng)態(tài)的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng),人們力圖建立的只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御,本文首先從多個(gè)角度研究了計(jì)算機(jī)網(wǎng)絡(luò)的安全性,針對各種不同的威脅與攻擊研究了解決它們的相應(yīng)安全技術(shù)與安全協(xié)議。接下來,在一般意義下制定計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的策略與原則,提出了計(jì)算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)模型。計(jì)算機(jī)網(wǎng)絡(luò)安全取決于安全技術(shù)與網(wǎng)絡(luò)管理兩大方面。從技術(shù)角度來講,計(jì)算機(jī)網(wǎng)絡(luò)安全又取決于網(wǎng)絡(luò)設(shè)備的硬件與軟件兩個(gè)方面,網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合才能較好地實(shí)現(xiàn)網(wǎng)絡(luò)安全。但是,由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù),人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸,因此,將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn),實(shí)現(xiàn)快速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。另一方面,在安全技術(shù)不斷發(fā)展的同時(shí),全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ),沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中,那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí),網(wǎng)絡(luò)安全不僅僅是防火墻,也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌,而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。除了網(wǎng)絡(luò)安全技術(shù),還要強(qiáng)調(diào)網(wǎng)絡(luò)安全策略和管理手段的重要性。只有做到這些的綜合,才能確保網(wǎng)絡(luò)安全。本文盡管對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行了較深入的研究。但是,計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永久的課題,它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)的關(guān)系就象是“矛”和“盾”的關(guān)系一樣,沒有無堅(jiān)不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實(shí)驗(yàn)工作可做。由于本文作者水平有限以及時(shí)間有限等的原因,本文的折中是有進(jìn)一步研究和改進(jìn)的必要的?？傊?計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)是個(gè)永無止境的研究課題。

參考文獻(xiàn):

[1] Stallings W.網(wǎng)絡(luò)安全要素一應(yīng)用與標(biāo)準(zhǔn)[M].北京:人民郵電出版社,2000.

[2] 張小斌,嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社,1999.

[3] 余建斌,黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社,1998.

[4] 彭杰.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的探討[M].現(xiàn)代電子技術(shù),2002.

[5] 郝玉潔,.網(wǎng)絡(luò)安全與防火墻技術(shù)[J].電子科技大學(xué)學(xué)報(bào)社科版,2002,4(1).

[6] 陳朝陽,潘雪增,平鈴娣.新型防火墻的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2002(11).

[7] 劉美蘭,姚京松.入侵檢測預(yù)警系統(tǒng)及其性能設(shè)計(jì)[C]//卿斯?jié)h,馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學(xué)術(shù)會議論文集.北京:科學(xué)出版社,2000.

[8] 陳曉蘇,林軍,肖道舉.基于多的協(xié)同分布式入侵檢測系統(tǒng)模型[J].華中科技大學(xué)學(xué)報(bào):自然科學(xué)版,2002,30(2).

[9] 王惠芳.虛擬專用網(wǎng)的設(shè)計(jì)及安全性分析[J].計(jì)算機(jī)工程,2001(6).

第3篇：網(wǎng)絡(luò)安全技術(shù)范文

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全；虛擬網(wǎng)絡(luò)技術(shù)；應(yīng)用

引言

現(xiàn)如今科學(xué)的進(jìn)步和發(fā)展不斷地加劇著其他產(chǎn)業(yè)化的進(jìn)程化發(fā)展腳步。計(jì)算機(jī)就是其中的佼佼者。但是在發(fā)展的道路中難免會遇到困難和荊棘，計(jì)算機(jī)網(wǎng)絡(luò)安全問題就是在種種問題中比較突出的存在。相應(yīng)的改善也沒有持續(xù)多久就發(fā)現(xiàn)了新的問題。由此可見計(jì)算機(jī)和互聯(lián)網(wǎng)的完美結(jié)合也并不是毫無瑕疵的，計(jì)算機(jī)網(wǎng)絡(luò)安全問題和虛擬網(wǎng)絡(luò)問題就是當(dāng)今專家們一直研究的重要話題，也是本文的焦點(diǎn)，希望有關(guān)學(xué)者能從中得到借鑒和參考。

1虛擬網(wǎng)絡(luò)世界中所反映的狀態(tài)和重要特征

計(jì)算機(jī)網(wǎng)絡(luò)安全問題一般的處理對策就是運(yùn)用虛擬網(wǎng)絡(luò)技術(shù)。這項(xiàng)技術(shù)之所以能夠有如此大的重要作用就是因?yàn)楸旧淼撵`活化、趨勢化、性能化的發(fā)展優(yōu)勢。它可以根據(jù)實(shí)際的情況采用不同的應(yīng)對方式去解決問題并且逐步將計(jì)算機(jī)本身的安全性能加以提升。在企業(yè)的財(cái)務(wù)管理、圖書館管理和信息化通路中往往得到有效地應(yīng)用。此外虛擬網(wǎng)絡(luò)技術(shù)還有一種簡化工作內(nèi)容的能力同時(shí)還可以進(jìn)一步提高工作效率和工作質(zhì)量。所以計(jì)算機(jī)的使用不僅僅幫助節(jié)約了必要的資源同時(shí)也解決了頑固的令人頭疼的問題。還有一個(gè)重要的特點(diǎn)就是虛擬網(wǎng)絡(luò)技術(shù)往往需要的配置設(shè)備的要求很低，還有很高的擴(kuò)容性。這樣就完成了工作上的具體化相關(guān)要求，同時(shí)還能有效地節(jié)省資金的用度。上述提到的特點(diǎn)和優(yōu)勢幫助了虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)信息化時(shí)代的廣泛應(yīng)用和普及。管理位置的人可以通過虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用進(jìn)一步有效地控制公司整個(gè)的信息網(wǎng)絡(luò)內(nèi)容。充分地實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全和用戶權(quán)限設(shè)置的完美結(jié)合。所以虛擬網(wǎng)絡(luò)技術(shù)的各項(xiàng)優(yōu)勢都足以讓它在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展中占有重要地理位置。同時(shí)也為自己的發(fā)展提供了有利的保障[1]。

2影響計(jì)算機(jī)網(wǎng)絡(luò)安全問題的不利因素

2.1非授權(quán)性入侵

這種不利因素就是字面上的意思，主要是在計(jì)算機(jī)管理員沒有授權(quán)或者是許可的情況下。不法分子就利用自己的技術(shù)內(nèi)容對該機(jī)器進(jìn)行入侵，獲取別人電腦中的重要資料、文件、數(shù)據(jù)等等內(nèi)容，從而所引發(fā)的侵權(quán)問題并導(dǎo)致犯罪的，并且影響他人計(jì)算機(jī)網(wǎng)絡(luò)安全的非法行為。這種行為的實(shí)施將給受害者帶來嚴(yán)重的財(cái)產(chǎn)損失。

2.2不可抗力因素

不可抗力因素就是自然因素。計(jì)算機(jī)也是機(jī)器的一種，它是機(jī)器就會有所有機(jī)器的通病———怕水。當(dāng)然計(jì)算機(jī)不僅僅怕水，它還怕輻射、人為損壞、等等一些重大危害情況。還有就是計(jì)算機(jī)的設(shè)備需要進(jìn)行定期更新，滯后的性能往往會滋生問題的產(chǎn)生，慢慢發(fā)展成為計(jì)算機(jī)網(wǎng)絡(luò)安全的又一隱患。

2.3計(jì)算機(jī)網(wǎng)絡(luò)病毒的蔓延

計(jì)算機(jī)病毒是大家比較熟知的話題內(nèi)容。計(jì)算機(jī)病毒本身是一種計(jì)算機(jī)程序，它可以以郵件的形式或者其他的形式進(jìn)入到計(jì)算機(jī)內(nèi)部中，進(jìn)一步破壞計(jì)算機(jī)的程序，造成數(shù)據(jù)、文件、資源的丟失和軟件性能上的破壞，更嚴(yán)重的直接損壞計(jì)算機(jī)本身構(gòu)造。這都是計(jì)算機(jī)病毒在入侵時(shí)平時(shí)出現(xiàn)過的問題的集中反映，所以我們要引起一定的重視，堅(jiān)決防范計(jì)算機(jī)病毒的入侵。

2.4木馬的攻擊

木馬是從計(jì)算機(jī)發(fā)展中不斷衍生過來的產(chǎn)物，計(jì)算機(jī)往往會遭到木馬的攻擊。一般的“黑客”就是利用木馬的技術(shù)非法侵入到用戶的電腦網(wǎng)絡(luò)之中，從而獲取計(jì)算機(jī)中重要的資料、數(shù)據(jù)和文件內(nèi)容，才實(shí)現(xiàn)自身的利益點(diǎn)[2]。

3虛擬網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)中應(yīng)用的具體相關(guān)內(nèi)容

3.1虛擬網(wǎng)絡(luò)中應(yīng)用的技術(shù)手段

虛擬網(wǎng)絡(luò)中所應(yīng)用的技術(shù)一般常見的有：隧道技術(shù)、加解密技術(shù)、身份驗(yàn)證技術(shù)、密鑰控制技術(shù)等等。下面將逐一解釋這種技術(shù)的具體內(nèi)容：密鑰控制技術(shù)主要是由兩種技術(shù)結(jié)合而成，一種是ISAKMP，另一種是SKIP。它的主要作用就是保護(hù)用戶的數(shù)據(jù)、資料和文件內(nèi)容。SKIP主要是運(yùn)用DIFFIE法規(guī)，使得密鑰這項(xiàng)內(nèi)容不在網(wǎng)絡(luò)上傳播，使自身有效隱藏。而ISAKMP則是相反的情況，密鑰在網(wǎng)絡(luò)中的傳播是公開的，但是我們卻可以控制公開的內(nèi)容。加解密技術(shù)則是虛擬網(wǎng)絡(luò)技術(shù)中最為重要的技術(shù)手段。數(shù)據(jù)、資料、文件內(nèi)容的有效保護(hù)主要就依靠此項(xiàng)技術(shù)。同時(shí)加密技術(shù)也是對隧道技術(shù)的一種協(xié)同加強(qiáng)作用，在加密技術(shù)的保護(hù)之下，一些不法分子往往很難侵入到用戶的計(jì)算機(jī)之中，這樣就進(jìn)一步減少了黑客們對于計(jì)算機(jī)的危害。它可以有效地保障計(jì)算機(jī)用戶的和數(shù)據(jù)資料安全和財(cái)產(chǎn)安全。隧道技術(shù)只要是將網(wǎng)絡(luò)上傳播的數(shù)據(jù)、資料、文件等相關(guān)內(nèi)容變換一種形式進(jìn)行傳播上的保護(hù)，它往往利用的形式就是壓縮包和數(shù)據(jù)包等常見形式。這樣的做法有效地避免了信息的零散化和單獨(dú)化，避免了易于丟失的風(fēng)險(xiǎn)。網(wǎng)絡(luò)中的安全渠道是不可信的所以我們只能對資源的內(nèi)容加強(qiáng)保護(hù)，防止丟失。我們對數(shù)據(jù)進(jìn)行進(jìn)一步打包或者加工的這一過程稱為隧道技術(shù)。這種技術(shù)我們每天幾乎都會在發(fā)郵件時(shí)用到，足可見它的重要作用[3]。身份驗(yàn)證技術(shù)也比較常見。我們在進(jìn)行網(wǎng)上交易和實(shí)名制購買車票往往就會運(yùn)用到這種身份驗(yàn)證技術(shù)，一方面是保證客戶的信息，另一方面也是加強(qiáng)交易過程的安全性，而且這樣就加大保障了計(jì)算機(jī)網(wǎng)絡(luò)的安全性。而且這種技術(shù)一般大家都比較熟悉，本文不多做贅述。

3.2虛擬網(wǎng)絡(luò)中應(yīng)用的具體實(shí)現(xiàn)方法

虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用主要涉及在以下幾個(gè)方面：公司部門和遠(yuǎn)程部門之間引用；公司內(nèi)網(wǎng)和遠(yuǎn)程人員之間的應(yīng)用；公司和客戶之間的應(yīng)用等方面。公司一般存在的局域網(wǎng)就是連接位于不同位置的遠(yuǎn)程分支和部門中的重要紐帶，加之利用隧道、加解密等技術(shù)確保了信息的傳輸安全，既保證了網(wǎng)絡(luò)的互聯(lián)性又有效地實(shí)現(xiàn)公司中的資源上和數(shù)據(jù)上的信息資源共享機(jī)制。而遠(yuǎn)程人員和公司內(nèi)網(wǎng)的連接則被稱為遠(yuǎn)程訪問虛擬網(wǎng)，運(yùn)用遠(yuǎn)端驗(yàn)證和授權(quán)保證連接的可靠性，通過該技術(shù)的運(yùn)用可以有效地幫助加強(qiáng)公司之間的聯(lián)系，有利于員工和公司間的信息溝通和傳遞，同時(shí)它還能起到一定的實(shí)時(shí)接收作用，節(jié)省成本，可擴(kuò)展性強(qiáng)。公司和客戶之間的聯(lián)系也尤為重要，尤其是在信息時(shí)代，與客戶之間如何進(jìn)行安全便捷的信息交換管理更是關(guān)鍵中的關(guān)鍵，通過虛擬網(wǎng)絡(luò)技術(shù)就可以方便實(shí)現(xiàn)資源連接，既能高效可靠的為客戶提供有效的信息服務(wù)，避免因無法聯(lián)系而錯(cuò)失重要的商機(jī)合作機(jī)會，又保證了公司內(nèi)部網(wǎng)絡(luò)與信息的安全性。所以運(yùn)用虛擬網(wǎng)絡(luò)技術(shù)可以進(jìn)一步提高溝通談判上的工作效率。

4結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)中往往存在著一定的安全隱患問題，現(xiàn)在的網(wǎng)絡(luò)中一些“黑客”的猖獗行為已經(jīng)引起了網(wǎng)民們的強(qiáng)烈不滿，并且造成了一定的“資源恐慌現(xiàn)象”。網(wǎng)絡(luò)中的病毒的傳播也是十分令人頭疼的關(guān)鍵之處。這些出現(xiàn)的問題不僅僅在破壞著原有的正常網(wǎng)絡(luò)秩序，同時(shí)也在考驗(yàn)著網(wǎng)民們的忍耐底線。我們要積極研究和分析這方面的問題原因找到應(yīng)對的策略去改善和緩解問題的嚴(yán)重程度，保持原有的網(wǎng)絡(luò)環(huán)境的和諧與安寧。

參考文獻(xiàn)

[1]高艷.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用與研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，04：136~139.

[2]汪萌，梁雨鋒.基于虛擬化環(huán)境下的網(wǎng)絡(luò)安全監(jiān)控技術(shù)應(yīng)用[J].計(jì)算技術(shù)與自動(dòng)化，2013，01：137~140.

第4篇：網(wǎng)絡(luò)安全技術(shù)范文

一、防病毒技術(shù)

新型病毒層出不窮，傳播速度快，破壞能力越來越強(qiáng)。校園網(wǎng)必須在網(wǎng)絡(luò)系統(tǒng)的各個(gè)環(huán)節(jié)嚴(yán)加防范，才能控制或阻止病毒的侵害。考慮學(xué)校教學(xué)用機(jī)數(shù)量龐大，要建立全面的主動(dòng)病毒防護(hù)體系，在每臺工作站、服務(wù)器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關(guān)，也要安裝防病毒軟件進(jìn)行攔截，以阻止病毒進(jìn)入校園網(wǎng)傳播擴(kuò)散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時(shí)有可能傳播病毒到內(nèi)部網(wǎng)絡(luò)上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應(yīng)用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、江民、金山等，網(wǎng)絡(luò)上也不乏免費(fèi)殺毒軟件，如360殺毒。首次安裝防病毒軟件時(shí)，一定要對計(jì)算機(jī)做一次徹底的病毒掃描，注意定期查殺，及時(shí)進(jìn)行軟件的更新。

二、防火墻與網(wǎng)絡(luò)隔離技術(shù)

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機(jī)可以使用個(gè)人防火墻，網(wǎng)上這樣的免費(fèi)或限時(shí)軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學(xué)校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務(wù)器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學(xué)校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強(qiáng)。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學(xué)校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡(luò)隔離技術(shù)在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機(jī)的操作系統(tǒng)對外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡(luò)之間形成了物理隔離帶，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。這種技術(shù)的應(yīng)用，必將使校園網(wǎng)絡(luò)管理高效化、簡單化，安全級別也更高。

三、VLAN技術(shù)

隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)內(nèi)機(jī)器超過200臺時(shí)網(wǎng)絡(luò)管理將極為困難。在實(shí)際應(yīng)用時(shí)，采取VLAN技術(shù)把校園網(wǎng)劃分為行政辦公、教師、學(xué)生等子網(wǎng)。劃分可以跨過物理設(shè)備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉(zhuǎn)發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡(luò)風(fēng)暴在必要范圍內(nèi)，并增強(qiáng)網(wǎng)絡(luò)的安全性，利于管理。根據(jù)校園網(wǎng)管理特點(diǎn)，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機(jī)的端口劃分不同VLAN，可以把跨交換機(jī)的端口劃分到同一VLAN中，一個(gè)VLAN對應(yīng)一個(gè)端口集合，一個(gè)端口在某一時(shí)間只能位于一個(gè)VLAN中。比如可以把交換機(jī)SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機(jī)SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當(dāng)教學(xué)用機(jī)需要移動(dòng)時(shí)，新端口不位于原VLAN中時(shí)，機(jī)器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個(gè)MAC地址對應(yīng)一臺計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)MAC地址集合。比如把所有教師機(jī)的MAC地址添加到VLANl中，所有學(xué)生機(jī)的MAC地址添加到VLAN2中。配置完成后，交換機(jī)根據(jù)MAC地址識別和跟蹤教學(xué)用機(jī)。即使教學(xué)用機(jī)或服務(wù)器移動(dòng)位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時(shí)，如果用戶數(shù)量較多，要收集所有計(jì)算機(jī)MAC地址，對所有計(jì)算機(jī)進(jìn)行配置，工作量極大；后期，每一臺新計(jì)算機(jī)入網(wǎng)時(shí)，也需要添加到對應(yīng)的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡(luò)層IP地址對應(yīng)一臺計(jì)算機(jī)，一個(gè)VLAN就是一個(gè)IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設(shè)置為VLANI給教師使用，把192.168.2.1-192.168.2.200設(shè)置為VLAN2給學(xué)生使用。它具有第2種劃分方法的優(yōu)點(diǎn)，用戶計(jì)算機(jī)可以不修改網(wǎng)絡(luò)配置移動(dòng)，并且無需收集MAC地址對所有計(jì)算機(jī)單獨(dú)配置。但校園網(wǎng)中每次數(shù)據(jù)轉(zhuǎn)發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡(luò)層，網(wǎng)絡(luò)工作效率低。

目前，應(yīng)用比較廣泛的具備VLAN功能的交換機(jī)、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡(luò)設(shè)備也不一定具備VLAN所有劃分方式。因此，學(xué)校要根據(jù)自己的要求和價(jià)格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡(luò)設(shè)備，再根據(jù)實(shí)際設(shè)備選擇適合的VLAN劃分方式配置網(wǎng)絡(luò)。

四、云防護(hù)技術(shù)

校園網(wǎng)中Email、BBS、Web、即時(shí)通信、上傳下載各種服務(wù)和應(yīng)用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網(wǎng)絡(luò)的聯(lián)合攻擊規(guī)模越來越大，破壞性越來越強(qiáng)。許多校園網(wǎng)絡(luò)工作站點(diǎn)要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網(wǎng)絡(luò)”就是通過掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對目標(biāo)進(jìn)行DOS等攻擊；還有“零日攻擊”指惡意運(yùn)用立即被發(fā)現(xiàn)的安全漏洞，利用時(shí)間差在網(wǎng)絡(luò)未及防范的情況下實(shí)施攻擊。

第5篇：網(wǎng)絡(luò)安全技術(shù)范文

隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)已經(jīng)被廣泛應(yīng)用于企業(yè)管理中。電子信息時(shí)代的網(wǎng)路安全技術(shù)是保證企業(yè)信息安全的堅(jiān)強(qiáng)后盾，本文就網(wǎng)絡(luò)安全技術(shù)在企業(yè)中的應(yīng)用做出研究，總結(jié)網(wǎng)絡(luò)安全問題的解決方案。

【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù) 解決方案 企業(yè)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)由于其系統(tǒng)方面漏洞導(dǎo)致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡(luò)的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡(luò)安全技術(shù)的出現(xiàn)為企業(yè)的網(wǎng)絡(luò)信息安全帶來重要保障，為企業(yè)的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。

1 網(wǎng)絡(luò)安全技術(shù)

1.1 防火墻技術(shù)

防火墻技術(shù)主要作用是實(shí)現(xiàn)了網(wǎng)絡(luò)之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，從而實(shí)現(xiàn)對企業(yè)信息的保護(hù)。

如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎(chǔ)上。現(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細(xì)分為服務(wù)防火墻和包過濾技術(shù)防火墻。服務(wù)防火墻的作用一般是在雙方進(jìn)行電子商務(wù)交易時(shí)，作為中間人的角色，履行監(jiān)督職責(zé)。包過濾技術(shù)防火墻就像是一個(gè)篩子，會選擇性的讓數(shù)據(jù)信息通過或隔離。

1.2 加密技術(shù)

加密技術(shù)是企業(yè)常用保護(hù)數(shù)據(jù)信息的一種便捷技術(shù)，主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進(jìn)行保護(hù)，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進(jìn)行變換，改變其原有特征，讓外部人員無法直接觀察其本質(zhì)含義，這種加密技術(shù)具有簡便性和有效性，但是存在一定的風(fēng)險(xiǎn)，一旦加密規(guī)律被別人知道后就很容易將其破解。基于公鑰的加密算法指的是由對應(yīng)的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強(qiáng)的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙，因此具有較強(qiáng)的保密性。

1.3 身份鑒定技術(shù)

身份鑒定技術(shù)就是根據(jù)具體的特征對個(gè)人進(jìn)行識別，根據(jù)識別的結(jié)果來判斷識別對象是否符合具體條件，再由系統(tǒng)判斷是否對來人開放權(quán)限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權(quán)限進(jìn)行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機(jī)密信息的保密過程中，具有較強(qiáng)的實(shí)用性。

2 企業(yè)網(wǎng)絡(luò)安全體系解決方案

2.1 控制網(wǎng)絡(luò)訪問

對網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段，通過設(shè)置各種權(quán)限避免企業(yè)信息外流，保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M(jìn)行設(shè)置，針對個(gè)體對象按照網(wǎng)絡(luò)協(xié)議進(jìn)行訪問權(quán)限設(shè)置，將網(wǎng)絡(luò)進(jìn)行細(xì)分，根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進(jìn)行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限。另外對于一些重要信息設(shè)置寫保護(hù)或讀保護(hù)，從根本上保障企業(yè)機(jī)密信息的安全。另外對網(wǎng)絡(luò)的訪問控制可以分時(shí)段進(jìn)行，例如某文件只可以在相應(yīng)日期的一段時(shí)間內(nèi)打開。

企業(yè)網(wǎng)絡(luò)設(shè)計(jì)過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題，因此在實(shí)際設(shè)計(jì)過程中應(yīng)該對各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全管理，例如對各種設(shè)備的接口以及設(shè)備間的信息傳送方式進(jìn)行科學(xué)管理，在保證其基本功能的基礎(chǔ)上消除其他功能，利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng)，消除網(wǎng)絡(luò)安全的脆弱性。

企業(yè)經(jīng)營過程中由于業(yè)務(wù)需求常需要通過遠(yuǎn)端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對象，因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠(yuǎn)程訪問設(shè)備，提高遠(yuǎn)程網(wǎng)絡(luò)訪問的安全性。同時(shí)對網(wǎng)絡(luò)系統(tǒng)重新設(shè)置，對登入身份信息進(jìn)行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他渠道外泄，提高信息傳輸?shù)陌踩浴?/p>

2.2 網(wǎng)絡(luò)的安全傳輸

電子商務(wù)時(shí)代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進(jìn)行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟(jì)損失。為了避免信息被竊取，企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng)，通過防火墻技術(shù)將身份無法識別的隔離在企業(yè)網(wǎng)絡(luò)之外，保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸。另外可以通過相應(yīng)的加密技術(shù)對傳輸?shù)男畔⑦M(jìn)行加密處理，技術(shù)一些黑客破解企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的，即使是最先進(jìn)的密碼破解技術(shù)也要花費(fèi)相當(dāng)長的時(shí)間，等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時(shí)效性，成為一條無用的信息，對企業(yè)而言沒有任何影響。

2.3 網(wǎng)絡(luò)攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)，并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，對企業(yè)信息進(jìn)行竊取或更改。為避免惡意網(wǎng)絡(luò)攻擊，企業(yè)可以引進(jìn)入侵檢測系統(tǒng)，并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來，對企業(yè)信息實(shí)行雙重保護(hù)。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個(gè)環(huán)節(jié)，尤其是重要部門的機(jī)密信息需要重點(diǎn)監(jiān)控。利用防火墻技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護(hù)屏障，再配以檢測技術(shù)以及相關(guān)加密技術(shù)，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術(shù)將徹底阻擋黑客的攻擊，并對黑客身份信息進(jìn)行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡(luò)安全技術(shù)的配合，全方位消除來自網(wǎng)絡(luò)黑客的攻擊，保障企業(yè)網(wǎng)絡(luò)安全。

3 結(jié)束語

隨著電子商務(wù)時(shí)代的到來，網(wǎng)絡(luò)技術(shù)將會在未來一段時(shí)間內(nèi)在企業(yè)的運(yùn)轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡(luò)安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡(luò)實(shí)行動(dòng)態(tài)管理，保證網(wǎng)絡(luò)安全的先進(jìn)性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]周觀民，李榮會.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及對策研究[J].信息安全與技術(shù)，2011.

[2]韓萍，蔡志立.計(jì)算機(jī)網(wǎng)絡(luò)安全與防范[J].硅谷，2011.

第6篇：網(wǎng)絡(luò)安全技術(shù)范文

關(guān)鍵字：云安全技術(shù)；計(jì)算機(jī)病毒；安全性；智能化

目前出現(xiàn)計(jì)算機(jī)病毒的問題越來越多，已經(jīng)到了比較嚴(yán)重的地步。其實(shí)，計(jì)算機(jī)病毒本身并沒有在技術(shù)方面有多大的提高，原因主要是病毒分子在網(wǎng)絡(luò)這樣的大環(huán)境下，通過互聯(lián)網(wǎng)傳播速度快、高效便捷等特點(diǎn)，借助這樣一個(gè)媒介肆意傳播病毒，給人們的日常生活帶來諸多不便。隨著人們對網(wǎng)絡(luò)安全的重視，傳統(tǒng)的代碼反病毒的模式已經(jīng)無法滿足人們的要求，對于日益出現(xiàn)的病毒威脅，一定要尋找新的解決辦法來彌補(bǔ)傳統(tǒng)殺毒模式的不足。眾所周知，病毒傳播的主要渠道來源于互聯(lián)網(wǎng)，那么將殺毒軟件向互聯(lián)網(wǎng)化轉(zhuǎn)變應(yīng)該是一個(gè)比較明智的選擇。

隨著新技術(shù)的不斷發(fā)展，云安全走進(jìn)了人們的生活，對廣大網(wǎng)絡(luò)用戶來說，云安全技術(shù)將會給生活帶來全新的變化。

1.云安全技術(shù)的含義

云安全技術(shù)是一種新技術(shù)，它是在云計(jì)算和云存儲發(fā)展之后，經(jīng)過了網(wǎng)絡(luò)技術(shù)、云計(jì)算技術(shù)以及P2P技術(shù)等諸多技術(shù)發(fā)展而來的。這種技術(shù)不僅可以處理網(wǎng)絡(luò)計(jì)算、未知病毒行為判斷等問題，還體現(xiàn)了網(wǎng)絡(luò)信息安全。云安全技術(shù)的工作流程：首先通過網(wǎng)狀的大量客戶端監(jiān)測網(wǎng)絡(luò)中軟件的情況，等到取得了互聯(lián)網(wǎng)中木馬和惡意程序的最新信息；其次，將獲得的新信息傳達(dá)Nserver端便會自行進(jìn)行分析和處理；最后，將如何解決病毒和木馬的方案發(fā)送到客戶端。

2.云安全的特點(diǎn)

（1）病毒查殺能力得到了很大提高。自從云安全的出現(xiàn)，很多的安全廠商就開始改進(jìn)自己的病毒軟件，以滿足市場的需求，這樣就使得軟件的病毒處理能力、收集病毒樣本的能力以及緊急地域病毒的能力得到了很大提升。

（2）大大提高了反病毒的效率。云安全的出現(xiàn)不僅縮短了和病毒對抗的時(shí)間，還很大程度上降低了樣本收集的時(shí)間，為分析和處理樣本以及升級病毒數(shù)據(jù)提供了可靠保證。

（3）實(shí)現(xiàn)了智能化，為用戶體檢提供了更到位的服務(wù)。例如金山新版本出現(xiàn)了網(wǎng)鏢中就設(shè)置了一個(gè)新的功能，即可信認(rèn)證智能判斷。能夠通過智能的方式為客戶提供決策方案，減少了客戶使用網(wǎng)鏢的困擾。這樣，云安全在無形之中就為廣大用戶提供了安全性的保護(hù)。

3.云安全技術(shù)的優(yōu)越性

云安全技術(shù)不僅可以反病毒，還向人們傳達(dá)出一種反病毒的理念，同時(shí)它還是一個(gè)具有互聯(lián)網(wǎng)性質(zhì)的安全防御體系。正是因?yàn)樵瓢踩夹g(shù)這種安全的互聯(lián)網(wǎng)化的思路使得它具有傳統(tǒng)殺毒技術(shù)沒有的技術(shù)，具有很強(qiáng)的優(yōu)越性。

它的優(yōu)越性主要體現(xiàn)在三個(gè)方面：

第一，對于安全廠商來說，云安全是利用網(wǎng)絡(luò)渠道，不僅利用了人工的力量，還借助了計(jì)算機(jī)的智能功能，進(jìn)而查殺病毒。這樣不僅減輕了反病毒工程師的工作負(fù)擔(dān)，還大大提高了處理病毒的能力。

第二，對于廣大用戶而言，傳統(tǒng)查殺病毒的方式會消耗大量的電腦資源，殺毒的效率不但很低，并且損耗資源。云技術(shù)查殺病毒的方法則解決了這樣的問題，它將大部分的耗費(fèi)資源放到了客戶端，這樣以來，客戶端就沒有必要經(jīng)常變換病毒特征庫，從而使用戶電腦資源的耗費(fèi)大大降低了，提高了客戶端電腦的使用效率，也提高了病毒查殺的能力。

第三，應(yīng)用了云安全技術(shù)之后，殺毒軟件改變了以往的被動(dòng)殺毒，而是變成了主動(dòng)防御。這樣就可以在最短的時(shí)間內(nèi)迅速攔截病毒，并且快速尋找病毒樣本，然后針對出現(xiàn)的惡意威脅進(jìn)行快速地分析和處理，使得殺毒的整個(gè)過程智能化，這樣就大大提高了反病毒的效率?；ヂ?lián)網(wǎng)就好比一個(gè)巨大的殺毒軟件，參與進(jìn)來的用戶越多，互聯(lián)網(wǎng)的安全性就越高。

4.實(shí)施云安全技術(shù)的前提條件

云安全具有很大的優(yōu)勢，為網(wǎng)絡(luò)安全的設(shè)計(jì)了一個(gè)美好的未來，但是實(shí)施起來并不是那么容易。云安全不僅需要強(qiáng)大的技術(shù)實(shí)力為依托，還必須具有豐富的資源。如果達(dá)不到這樣的要求，即使建立起來了比較完整的云安全系統(tǒng)，也并不能向期望的那樣，順利地運(yùn)行。實(shí)現(xiàn)云安全需要解決的問題主要有：

（1）必須擁有海量的客戶。只有擁有了海量的客戶端，才能對出現(xiàn)在互聯(lián)網(wǎng)上的惡意程序、危險(xiǎn)網(wǎng)站在第一時(shí)間進(jìn)行捕捉。擁有足夠多的服務(wù)器群和處理大量數(shù)據(jù)的能力則是最安全的保障。

（2）必須具備快速準(zhǔn)備收集病毒、上報(bào)病毒以及具備對病毒進(jìn)行分析和處理的能力。但是這些任務(wù)完成的前提需要一些比較前言的反病毒和網(wǎng)絡(luò)安全技術(shù)，比如虛擬機(jī)脫殼、人工智能等技術(shù)。這些技術(shù)難題的解決需要專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn)，并沒有想象的那么容易。

（3）大量的資金和技術(shù)支持。云技術(shù)的研發(fā)初期需要大量的啟動(dòng)資金，還需要海量的服務(wù)器和設(shè)備確保整個(gè)系統(tǒng)能夠持續(xù)有效地運(yùn)行。到了研發(fā)出來之后，后續(xù)的經(jīng)營、改進(jìn)系統(tǒng)以及擴(kuò)成數(shù)據(jù)庫、研究經(jīng)費(fèi)等都是必須要解決的問題。

通過對云技術(shù)的實(shí)施進(jìn)行之后，云安全具有美麗的前景，但是付諸實(shí)施需要克服眾多的問題，才能實(shí)現(xiàn)最終的目標(biāo)，這些主要是關(guān)于技術(shù)、資金以及設(shè)備等方面的問題。

5.云安全實(shí)施的兩種不同模式

自從云安全的概念被提出之后，很多的安全廠商就開始了研發(fā)自己安全產(chǎn)品的步伐，在市場先后推出了關(guān)于云安全的解決辦法。種類比較多，像瑞星云安全計(jì)劃、卡巴斯基的全功能安全防護(hù)體系、金山毒霸的云安全、趨勢科技云安全以及江民打造的云安全+沙盒雙重安全保障體系等。

目前市場上大致出現(xiàn)了兩種云安全的實(shí)現(xiàn)原理，第一種是國內(nèi)的安全廠商瑞星提出的瑞星的云。這種針對的對象是廣大的互聯(lián)網(wǎng)用戶。它是通過在互聯(lián)網(wǎng)客戶端上安裝軟件的方式，然后對網(wǎng)絡(luò)中軟件的行為的異常情況進(jìn)行檢測，當(dāng)發(fā)現(xiàn)有惡意程序和木馬出現(xiàn)的信息時(shí)，就將這些信息發(fā)送到瑞星的服務(wù)器上面，然后系統(tǒng)進(jìn)行自動(dòng)地分析和處理，最后再將如何解決病毒和木馬的方案傳送到客戶端上面。

第二種是趨勢科技提出的安全云，這種云安全是一種云客戶端安全架構(gòu)，它是建立在Web信譽(yù)服務(wù)、文件信譽(yù)服務(wù)和電子郵件信譽(yù)服務(wù)的基礎(chǔ)之上。它的工作流程是：首先將病毒特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中，然后進(jìn)行驗(yàn)證，但是前提是其端點(diǎn)處處于最低數(shù)量的時(shí)候。

趨勢科技云安全及時(shí)組建了一個(gè)十分巨大的服務(wù)器群，但是這都是建立在龐大的服務(wù)器群和能夠并行處理能力的基礎(chǔ)之上。這種云技術(shù)不僅可以用于客戶端的查詢，還可以將威脅到用戶的病毒及時(shí)地阻攔下來，具有非常重要的安全保護(hù)作用。

綜上可知，趨勢科技提出的云安全概念和瑞星提出的云安全概念是兩種截然不同的安全模式。前者強(qiáng)調(diào)的是首先建立龐大的服務(wù)器群，用于組織外來的威脅：后者則強(qiáng)調(diào)先感知用戶計(jì)算機(jī)上的未知威脅，但是感知的前提是必須具有海量的客戶端用戶。

第7篇：網(wǎng)絡(luò)安全技術(shù)范文

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；系統(tǒng)安全

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享起到了無法估量的作用。但一些教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對校園網(wǎng)絡(luò)的安全重視。網(wǎng)絡(luò)的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。

一、校園網(wǎng)絡(luò)現(xiàn)狀

隨著電腦的普及，計(jì)算機(jī)技術(shù)并沒有像早年想象的那么遙遠(yuǎn)。幾乎每個(gè)人都知道一些最基本的電腦維護(hù)的知識，對于生活在學(xué)校的學(xué)生們就更不用說了。幾乎每所學(xué)校都有其自身的網(wǎng)絡(luò)體系，無論是無線網(wǎng)絡(luò)還是有線網(wǎng)絡(luò)。有了網(wǎng)絡(luò)的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動(dòng)態(tài)模式，這樣才能更好地激發(fā)學(xué)生的學(xué)習(xí)興趣。在大家看來每所學(xué)校所關(guān)心的安全領(lǐng)域問題是大致相同的，無論是在哪方面，無疑就是網(wǎng)絡(luò)是否暢通，上網(wǎng)是否安全，網(wǎng)絡(luò)是否可以抵御黑客攻擊，上網(wǎng)時(shí)我們的賬號是否存在風(fēng)險(xiǎn)等問題。網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施有反病毒、入侵檢測、審計(jì)分析等技術(shù)。

（一）反病毒技術(shù)

計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序，它能夠傳染給其它程序，并進(jìn)行自我復(fù)制，特別是在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力，因此對計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

（二）入侵檢測

入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算C系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對它們進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時(shí)對系統(tǒng)進(jìn)行安全防范。在校園網(wǎng)中服務(wù)器為用戶提供著各種的服務(wù)，但是服務(wù)提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險(xiǎn)。因此，從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供他們所需的基本的服務(wù)。

（三）審計(jì)監(jiān)控技術(shù)

審計(jì)監(jiān)控不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、類聚和分析，有選擇性地對其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡(luò)運(yùn)行安全

網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施，保證網(wǎng)絡(luò)受到攻擊后能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據(jù)備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案?！盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點(diǎn)?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管，用以彌補(bǔ)“熱備份”的一些不足。進(jìn)行備份的過程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡(luò)安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。

（一）訪問控制

在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全最主要，同時(shí)也是最有效和最經(jīng)濟(jì)的措施之一。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中，才能實(shí)現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段，防止一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。

（二）網(wǎng)絡(luò)安全檢測

第8篇：網(wǎng)絡(luò)安全技術(shù)范文

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2012）04-0000-00

高校校園網(wǎng)絡(luò)的應(yīng)用，已經(jīng)成為了信息化建設(shè)、信息化教學(xué)科研、信息化辦公的不可缺少的手段。校園網(wǎng)的安全使用直接關(guān)系到了學(xué)校的正常教學(xué)、管理活動(dòng)。因此，校園網(wǎng)的安全體系的建立刻不容緩。

1、校園網(wǎng)安全需求分析

校園網(wǎng)的安全需求從各個(gè)方面都有體現(xiàn)，主要包括以下幾個(gè)方面：

(1)網(wǎng)絡(luò)系統(tǒng)的安全可靠性。隨著學(xué)校的發(fā)展，校園網(wǎng)的應(yīng)用也不斷擴(kuò)展，內(nèi)容不斷豐富。這就對于學(xué)校網(wǎng)絡(luò)的安全可靠性提出了更高的要求。網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障，必然將嚴(yán)重影響著學(xué)校的正常工作。這就要求學(xué)校的通信子網(wǎng)網(wǎng)絡(luò)硬件設(shè)備能夠正常工作，盡可能減少故障率。如核心路由器、核心交換機(jī)、匯聚層和接入層交換機(jī)等等網(wǎng)絡(luò)硬件。同時(shí)也要求資源子網(wǎng)的硬件設(shè)備服務(wù)器的安全使用。校園網(wǎng)應(yīng)用到的主要業(yè)務(wù)數(shù)據(jù)都是存放在網(wǎng)絡(luò)服務(wù)器中，而且服務(wù)器大都要求24小時(shí)工作。如果服務(wù)器出現(xiàn)安全故障，將導(dǎo)致校園應(yīng)用系統(tǒng)無法工作，這將嚴(yán)重影響整個(gè)學(xué)校的運(yùn)行。服務(wù)器的安全使用，也關(guān)系到了學(xué)校關(guān)鍵數(shù)據(jù)的正常運(yùn)行。

(2)不同地點(diǎn)的安全接入。接入校園網(wǎng)一般分為兩個(gè)方面，一是校園網(wǎng)內(nèi)部接入，一是外部網(wǎng)接入。這就需要采用更適合的安全網(wǎng)絡(luò)方式來接入校園網(wǎng)，保障學(xué)校辦公人員順利接入網(wǎng)絡(luò)，安全快捷地獲取信息。

(3)病毒防范的需要。網(wǎng)絡(luò)是病毒傳播的最快捷途徑，校園網(wǎng)也就成為了校網(wǎng)內(nèi)部病毒傳播最嚴(yán)重區(qū)域。病毒的的危害是不容乎視的，一旦在校園網(wǎng)內(nèi)傳播，將會迅速的感染到網(wǎng)絡(luò)上所有使用的站點(diǎn)，極有可能造成校網(wǎng)內(nèi)部信息的泄漏，危及到校園網(wǎng)的正常運(yùn)行等等。

2、危害校園網(wǎng)安全的因素

網(wǎng)絡(luò)安全使用的危害因素眾多，對于校園網(wǎng)來講，主要有以下幾個(gè)方面的因素：

(1)管理因素。校園網(wǎng)安全管理不重視，缺乏安全意識，這是威脅網(wǎng)絡(luò)安全的重要因素，主要包括內(nèi)部員工把網(wǎng)絡(luò)內(nèi)部的一些重要信息泄漏給外部人員；管理員及用戶應(yīng)用的口令和密鑰被外人竊??；硬件設(shè)備被外部人員輕易接觸；內(nèi)部人員不受管制，可輕易篡改數(shù)據(jù)等等管理因素。

(2)計(jì)算機(jī)木馬、病毒因素。它是造成校園網(wǎng)絡(luò)故障的最主要因素，木馬和病毒一直是嚴(yán)重影響網(wǎng)絡(luò)安全使用的主要危害。計(jì)算機(jī)木馬和病毒發(fā)展速度飛快，幾乎每時(shí)每刻都在出現(xiàn)新的木馬、病毒，校園網(wǎng)根本不可能完全避免它們的影響，只能通過防病毒軟件和防火墻來及時(shí)處理、隔離、查殺，盡可能把危害降到最低。

(3)物理因素。校園網(wǎng)設(shè)備分散，分布范圍遍布整個(gè)校區(qū)，不可能全部監(jiān)控。而這些設(shè)備都有可能造成破壞，從而影響到正常的網(wǎng)絡(luò)運(yùn)行。為了盡可能規(guī)避風(fēng)險(xiǎn)，要加強(qiáng)網(wǎng)絡(luò)設(shè)備的管理，健全網(wǎng)絡(luò)管理制度。

(4)技術(shù)因素。校園網(wǎng)基本上是基于Intranet構(gòu)建而成，它是基于TCP/IP協(xié)議的一種網(wǎng)絡(luò)模式，這就必然造成相應(yīng)的安全問題。由于Intranet從構(gòu)建就存在安全隱患，隨著網(wǎng)絡(luò)的不斷增加的應(yīng)用，就必然產(chǎn)生相應(yīng)的安全漏洞，必然影響到網(wǎng)絡(luò)的安全應(yīng)用。

(5)站點(diǎn)用戶的因素。校園網(wǎng)用戶的計(jì)算機(jī)水平良莠不齊，大多用戶安全意識不強(qiáng)，操作不規(guī)范等原因，這些是造成校園網(wǎng)安全危害的主要因素。

3、安全技術(shù)的應(yīng)用

(1)網(wǎng)絡(luò)通信子網(wǎng)系統(tǒng)可靠性的設(shè)計(jì)。通信子網(wǎng)的可靠性的設(shè)計(jì)，主要指的是核心交換機(jī)、匯聚層和接入層交換機(jī)的設(shè)計(jì)。對于整個(gè)通信子網(wǎng)的要實(shí)現(xiàn)高可靠性的設(shè)計(jì)和建設(shè)，對于核心設(shè)備要多采用硬件備份、冗余等可靠性技術(shù)。針對網(wǎng)絡(luò)的可靠性，要建立N+1備份系統(tǒng)，即主系統(tǒng)出現(xiàn)故障，備份系統(tǒng)能立刻加入到系統(tǒng)的運(yùn)行，確保系統(tǒng)的正常可靠運(yùn)行。對于核心和匯聚層交換機(jī)，應(yīng)該具體分布式體系結(jié)構(gòu)、關(guān)鍵部件冗余、實(shí)時(shí)熱備份機(jī)制和熱插拔特性關(guān)鍵性技術(shù)要求。

(2)網(wǎng)絡(luò)資源子網(wǎng)的安全體系。服務(wù)器是承載著學(xué)校的私有重要數(shù)據(jù)，這些數(shù)據(jù)都是不能隨意公開，必須保證數(shù)據(jù)的安全可靠性。而現(xiàn)今眾多的黑客或商業(yè)間諜都是以這些數(shù)據(jù)為目標(biāo)，重點(diǎn)破壞或竊取，以達(dá)到其不可告人的目的。因此，構(gòu)建一個(gè)完整的安全體系，用于防御黑客的攻擊是服務(wù)器安全設(shè)置的首要任務(wù)。可以采用的技術(shù)有，磁盤陣列RAID，采用硬盤組的技術(shù)來防止單個(gè)硬盤出現(xiàn)故障的應(yīng)對措施，這可以有效的進(jìn)行數(shù)據(jù)恢復(fù)，保護(hù)數(shù)據(jù)的安全?，F(xiàn)常用的方式有RIAD0、RIAD1、RIAD5等等；鏈路聚合技術(shù)，將多個(gè)交換機(jī)低速端口捆綁成一個(gè)高速鏈路。由于服務(wù)器要求響應(yīng)速度快，低速的端口無法滿足服務(wù)的要求，采用鏈路聚合技術(shù)可以有效保障需求，他能夠?qū)崿F(xiàn)負(fù)荷的平衡，并且部分端口的故障也不會致使鏈路癱瘓，從而實(shí)現(xiàn)網(wǎng)絡(luò)的穩(wěn)定和安全性；雙機(jī)熱備技術(shù)，采用雙機(jī)方式可以在主機(jī)故障時(shí)，備份服務(wù)器能立刻頂替，保證服務(wù)器的24小時(shí)不間斷使用，數(shù)據(jù)不丟失，使服務(wù)器系統(tǒng)具有高可靠性。

(3)IP地址的規(guī)劃設(shè)計(jì)。IP地址的規(guī)劃設(shè)計(jì)方案是整個(gè)網(wǎng)絡(luò)規(guī)劃的至關(guān)重要之處，應(yīng)該充分考慮到內(nèi)部網(wǎng)絡(luò)對IP地址的需求量，且IP地址的規(guī)劃應(yīng)具備唯一性、連續(xù)性、擴(kuò)展性和規(guī)范性原則。唯一性即子網(wǎng)地址必須唯一，相同的子網(wǎng)段內(nèi)主機(jī)地址必須唯一；連續(xù)性即各個(gè)節(jié)點(diǎn)應(yīng)該劃分連續(xù)的IP地址，這樣可以簡化路由表數(shù)據(jù)，提高路由算法的計(jì)算速度；擴(kuò)展性即IP地址的編址應(yīng)該充分考慮到其可擴(kuò)展性，這是保障網(wǎng)絡(luò)擴(kuò)展的重要條件；規(guī)范性即對于各個(gè)網(wǎng)絡(luò)設(shè)備采用規(guī)范的編址方式，這樣有利于提高管理效率。

IP地址分配的原則應(yīng)該是劃分各個(gè)層次，對于核心層設(shè)備分配到一段連續(xù)的地址區(qū)域，與之相近的連接應(yīng)集中在這個(gè)區(qū)域的附近。通過這樣的合理地址分配，來減少路由表的長度，提高路由的效率。

對于各個(gè)站點(diǎn)的IP地址分配，采用DHCP的管理模式。DHCP是局域網(wǎng)IP地址管理的常用方法。DHCP服務(wù)能有效地管理IP地址的使用，對于管理者來講，只要管理好DHCP服務(wù)器即可，而不需要象靜態(tài)IP地址管理方式，采用靜態(tài)設(shè)置各個(gè)站點(diǎn)IP地址，這樣可以大大減少工作量，提高管理的效率。

(4)虛擬專用網(wǎng)絡(luò)VPN接入技術(shù)。IPSecVPN和SSL VPN技術(shù)是現(xiàn)今校園網(wǎng)最主要的兩大VPN接入技術(shù)。IPSecVPN的工作原理類似于包過濾防火墻，當(dāng)接收到IP數(shù)據(jù)包時(shí)，防火墻使數(shù)據(jù)包的頭部在規(guī)則表中進(jìn)行匹配。當(dāng)找到相匹配的規(guī)則時(shí)，就按照規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進(jìn)行丟棄或轉(zhuǎn)發(fā)的處理。SSL VPN屬于應(yīng)用層VPN技術(shù)，SSL協(xié)議定義了完整的安全機(jī)制，對用戶數(shù)據(jù)的完整性和私密性都有完善的保護(hù)?，F(xiàn)大多數(shù)采用的是SSL VPN技術(shù)，主要是SSL VPN基于WEB，在Web上應(yīng)用相當(dāng)方便。當(dāng)然它不能完全代替IPSecVPN技術(shù)，SSL VPN保護(hù)的WEB方式的遠(yuǎn)程接入，而IPSecVPN保護(hù)的是點(diǎn)對點(diǎn)的通信方式。

(5)木馬病毒防御系統(tǒng)的設(shè)計(jì)。木馬病毒是危害校園網(wǎng)運(yùn)行的主要因素，它的傳播途徑廣泛，包括光盤、U盤、移動(dòng)硬盤、網(wǎng)絡(luò)等的傳播。對于木馬病毒的防御系統(tǒng)主要可以進(jìn)行以下方面的設(shè)計(jì)，第一，防病毒軟件的過濾，對于各種類型的應(yīng)用服務(wù)器都安裝上實(shí)時(shí)防毒軟件，對于各個(gè)站點(diǎn)都安裝上病毒監(jiān)控軟件；第二，定時(shí)查殺，對于網(wǎng)絡(luò)進(jìn)行定時(shí)的病毒檢查，清除有危害的潛伏病毒；第三，殺毒軟件病毒庫的及時(shí)升級，由于病毒的不斷更新，為了防止最新病毒的傳播，就必須及時(shí)升級更新病毒庫，保持在最新病毒庫的狀態(tài)；第四，虛擬局域網(wǎng)VLAN的設(shè)置，VLAN能夠有效隔離不同的網(wǎng)絡(luò)段，這種靈活的網(wǎng)絡(luò)劃分模式，能夠?qū)⒉《镜奈：ο拗圃谟邢薜木W(wǎng)絡(luò)范圍；第五，訪問控制列表ACL技術(shù)的應(yīng)用，使用ACL技術(shù)能夠有效地進(jìn)行數(shù)據(jù)流控制，控制局域網(wǎng)的訪問能力，用以保障資源的安全性。

4、結(jié)語

隨著學(xué)校的信息化的深入推進(jìn)，校園網(wǎng)的應(yīng)用也不斷增加，學(xué)校的發(fā)展也對其更加依賴。如果有效地提高校園網(wǎng)的穩(wěn)定運(yùn)行，保障校園網(wǎng)的安全使用也要越來越得到重視。對于校園網(wǎng)的整體網(wǎng)絡(luò)安全設(shè)計(jì)是刻不容緩需要解決的問題，由于網(wǎng)絡(luò)安全的整體形式不容樂觀，而且對校園網(wǎng)的也出現(xiàn)了眾多的變化，對于設(shè)計(jì)較完美的校園網(wǎng)安全解決方案，仍然是一個(gè)很艱巨的任務(wù)。本文通過網(wǎng)絡(luò)安全技術(shù)的不同方面進(jìn)行校園網(wǎng)安全的考慮，希望能找到一個(gè)有效的解決方法，能夠?yàn)楸姸嗟男@網(wǎng)安全構(gòu)建提供一個(gè)參考。

參考文獻(xiàn)

[1] 劉遠(yuǎn)生,辛一.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2009.

[2] 方偉,丁霞.網(wǎng)絡(luò)安全產(chǎn)品的協(xié)同應(yīng)用―構(gòu)建人性化校園網(wǎng)安全問題輔助決策平臺[J].網(wǎng)絡(luò)通訊及安全,2008.1.

[3] 褚建立.構(gòu)建多層次的校園網(wǎng)安全體系[J]，計(jì)算機(jī)與信息技術(shù),2006.Z1.

第9篇：網(wǎng)絡(luò)安全技術(shù)范文

    關(guān)鍵詞:關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)病毒;

    中圖分類號:TP393.08     文獻(xiàn)標(biāo)識碼:A     文章編號:

    隨著計(jì)算機(jī)網(wǎng)絡(luò)在我國的逐步普及,防止網(wǎng)絡(luò)病毒感染計(jì)算機(jī),成為當(dāng)前保證計(jì)算機(jī)網(wǎng)絡(luò)安全的重要手段,為了更好的保證計(jì)算機(jī)網(wǎng)絡(luò)安全,必須清楚的認(rèn)識網(wǎng)絡(luò)病毒的特征、特點(diǎn),從而給出有效地解決辦法。

    1. 計(jì)算機(jī)病毒和網(wǎng)絡(luò)病毒的特點(diǎn)和分類

    1.1 計(jì)算機(jī)病毒及分類

    計(jì)算機(jī)病毒是指在計(jì)算機(jī)程序中編制或插入的破壞計(jì)算機(jī)功能和數(shù)據(jù),能夠影響計(jì)算機(jī)的使用并擁有自我復(fù)制功能的一組計(jì)算機(jī)指令或者程序代碼。他具有傳染性、復(fù)制性和破壞性。它潛伏在計(jì)算機(jī)的存儲設(shè)備里,等達(dá)到一定的外部條件時(shí)就會激活,復(fù)制自身到其他程序中,感染其他文件,破壞計(jì)算機(jī)資源。當(dāng)前計(jì)算機(jī)病毒按照感染對象可以分為

    (1)引導(dǎo)性病毒

    引導(dǎo)型病毒攻擊計(jì)算機(jī)磁盤的引導(dǎo)區(qū),獲得啟動(dòng)優(yōu)先權(quán),從而控制整個(gè)系統(tǒng)。由于此類病毒感染的是磁盤引導(dǎo)區(qū),因此,可能會造成系統(tǒng)無法引導(dǎo),計(jì)算機(jī)無法正常啟動(dòng),不過由于這類病毒出現(xiàn)較早,現(xiàn)在的殺軟都已能夠查殺此類病毒。像360、金山、卡巴斯基、諾頓等。

    (2)文件型病毒

    此類病毒一般感染計(jì)算機(jī)里的可執(zhí)行文件,當(dāng)用戶執(zhí)行可執(zhí)行文件時(shí),病毒程序同時(shí)被激活,近年來出現(xiàn)的感染系統(tǒng)的sys、dll、ovl文件的病毒,就是文件型病毒,由于感染的文件大都是某些程序的配置和鏈接文件,因此,當(dāng)這些文件被執(zhí)行時(shí),這些病毒文件也隨之被子加載了,他們可以將自身整個(gè)或者分散的插入到文件的空白字節(jié)中,所以,也不見文件的字節(jié)數(shù)增加,提高病毒的隱蔽性。

    (3)網(wǎng)絡(luò)病毒

    網(wǎng)絡(luò)型病毒是近十年來互聯(lián)網(wǎng)高速發(fā)展的產(chǎn)物,它的感染對象和攻擊傳播方式不再單一、單調(diào),而是逐漸變得復(fù)雜、綜合、隱蔽。例如原來的一些感染office文件的病毒感染對象僅僅是word文檔或者是excel表格亦或電子郵件,可是現(xiàn)在的病毒則幾乎可以感染所有的office文件,其攻擊方式也不再限于刪除文件和修改文件,而逐步轉(zhuǎn)變?yōu)楸I竊文檔內(nèi)容、加密文檔等,其傳播方式更是有原來的磁盤工具傳播,轉(zhuǎn)變?yōu)橥ㄟ^網(wǎng)絡(luò)傳播。

    (4)復(fù)合型病毒

    復(fù)合型病毒是對以上三種病毒的綜合,其感染對象既可以是系統(tǒng)的引導(dǎo)區(qū),還可以是可執(zhí)行文件,若查殺不徹底,則病毒很容易死灰復(fù)燃。因此,對這類病毒的查殺的難度較大,殺毒軟件至少要有“引導(dǎo)型”、“文件型”兩類病毒的查殺能力。

    1.2 網(wǎng)絡(luò)型病毒及分類和危害

    從以上我們看到,仿佛復(fù)合型病毒具有最大的破壞性。其實(shí),它破壞性的最大繼承自網(wǎng)絡(luò)病毒,那么什么是網(wǎng)絡(luò)型病毒呢,它有哪些分類和特點(diǎn)呢。

    當(dāng)前出現(xiàn)的網(wǎng)絡(luò)型病毒類型分為木馬病毒和蠕蟲病毒,按照傳播途徑分為郵件病毒和漏洞型病毒。

    (1)木馬病毒

    木馬病毒是一種后門程序,主要包括客戶端和服務(wù)器兩個(gè)部分。一般被用作黑客工具,黑客常在用戶不知情的情況下,盜取用戶資料。雖然木馬程序不具備自我復(fù)制的能力,但是,一旦用戶運(yùn)行木馬,那么黑客就有了整個(gè)機(jī)器的掌控權(quán)。由于會被黑客控制,因此,容易會給用戶帶來巨大的破壞。他們采取的方式一般是將木馬程序上傳到服務(wù)器供用戶下載。

    (2)蠕蟲病毒

    蠕蟲病毒可以通過MIRC腳本和htm文件進(jìn)行傳播,它在感染了用戶的計(jì)算機(jī)后,會自動(dòng)尋找本地和網(wǎng)絡(luò)驅(qū)動(dòng)器,查找目錄,搜索可感染的文件,然后用病毒代碼覆蓋原來的用戶文件,將文件的擴(kuò)展名改為vbs.由于蠕蟲病毒會大量占用計(jì)算機(jī)資源,所以機(jī)器的運(yùn)行會變慢。由于蠕蟲病毒的傳播依賴主機(jī)和網(wǎng)絡(luò)的運(yùn)行,不需要依賴修改主機(jī)其他文件的一種程序,因此,一旦蠕蟲傳播開來,很容易癱瘓整個(gè)系統(tǒng)。另外,他的查殺也會非常困難,在網(wǎng)絡(luò)環(huán)境下,只要網(wǎng)絡(luò)里有一臺主機(jī)上沒有清除干凈,那么,此病毒就會死灰復(fù)燃。

    (3)郵件病毒

    所謂郵件病毒其實(shí)就是一般的病毒,只是這些病毒通過郵件的形式來傳播,電子郵件作為人們?nèi)粘＝涣鞯淖钪匾墓ぞ咧?同時(shí)他也成為病毒的重要載體之一。比較有名的電子郵件病毒有求職信病毒、love you病毒、庫爾尼科娃病毒等。它們一般利用微軟公司的outlook客戶端的可編程特性,通過客戶打開郵件,而自動(dòng)向客戶通訊錄里的用戶發(fā)送帶有附件的病毒郵件,因此,其傳播速度是非?？斓?可能導(dǎo)致郵件服務(wù)器因耗盡自身資源而無法運(yùn)行。

    2. 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

    網(wǎng)絡(luò)性病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的重要原因之一,因此,做好計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范,可以有效提高計(jì)算機(jī)的網(wǎng)絡(luò)安全水平,當(dāng)前針對網(wǎng)絡(luò)病毒的安全技術(shù)有以下幾種手段。

    2.1 及時(shí)更新系統(tǒng)補(bǔ)丁,保證系統(tǒng)穩(wěn)固。

    很多病毒都是利用操作系統(tǒng)的缺陷對用戶的電腦就行感染和攻擊的,因此,及時(shí)給系統(tǒng)打補(bǔ)丁,保證操作系統(tǒng)的安全性,盡量做到每周一次,安裝完畢后,要重啟。另外,盡量關(guān)掉不用的機(jī)器端口,以防被病毒或者惡意軟件利用。

    2.2建立防火墻

    在內(nèi)網(wǎng)與外網(wǎng)的接口處安裝防火墻可以有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全,它將內(nèi)網(wǎng)與外網(wǎng)隔離開來,大大提高網(wǎng)絡(luò)的安全性,安裝了防火墻之后,黑客要想接觸用戶的計(jì)算機(jī)首先應(yīng)攻破計(jì)算機(jī) 防火墻的防線用戶可以根據(jù)自身需要來選擇不同的保護(hù)級別。

    2.3 安裝殺毒軟件

    電腦最好是不要中毒,課要萬一中毒,那么,必須在電腦內(nèi)部安裝殺毒軟件,采取多種方式查殺病毒,任何一款軟件都不是全能的,所以一般要采用多種方式殺毒。在選擇殺毒軟件時(shí),應(yīng)注意殺毒軟件以下幾個(gè)方面的能力。首先是對病毒的實(shí)時(shí)監(jiān)測能力,其次是對新病毒的檢測能力,第三是病毒的查殺能力,尤其是當(dāng)今流行病毒的查殺能力,第四對系統(tǒng)的資源占用率要低,當(dāng)前一些企業(yè)上網(wǎng)速度較慢,很肯能就是防病毒程序?qū)ξ募倪^濾造成的,第五要有智能安裝,遠(yuǎn)程是別的能力,增加用戶的選擇性,當(dāng)前市場上比較流行的殺毒軟件有360殺毒軟件、卡巴斯基、小紅傘、avast、Macfee等。用戶可以根據(jù)自身需要來選擇。

    2.4 學(xué)習(xí)安全上網(wǎng)技巧

    任何網(wǎng)絡(luò)安全技術(shù)都不是完美的,因此,用戶養(yǎng)成良好的上網(wǎng)習(xí)慣,學(xué)習(xí)良好的上網(wǎng)技巧成為保證網(wǎng)絡(luò)安全的重要保障。首先,用戶應(yīng)經(jīng)常更新自己的病毒庫,定期對系統(tǒng)進(jìn)行查殺,不打開不明網(wǎng)頁,不打開不明文件和郵件附件,養(yǎng)成備份重要文件的好習(xí)慣。

    3. 總結(jié)

    隨著未來互聯(lián)網(wǎng)的發(fā)展,計(jì)算機(jī)病毒進(jìn)化的速度必將越來越快,為了更好的對付這些新出現(xiàn)的病毒,保證計(jì)算機(jī)的安全,系統(tǒng)的云安全成為未來的發(fā)展方向,現(xiàn)在許多殺毒廠商都推出了云墻、云殺毒等網(wǎng)絡(luò)安全產(chǎn)品,相信隨著互聯(lián)網(wǎng)技術(shù)的日益成熟,以及人們對計(jì)算機(jī)網(wǎng)絡(luò)安全的日益重視,我們的網(wǎng)絡(luò)空間會越來越潔凈,越來越安全。

    參考文獻(xiàn):

    [1] 朱峰.試析計(jì)算機(jī)網(wǎng)絡(luò)病毒的表現(xiàn)、特點(diǎn)與防范措施[J];黑龍江科技信息;2011(17)

    [2] 楊國文.網(wǎng)絡(luò)病毒防治技術(shù)在計(jì)算機(jī)管理中的應(yīng)用[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2011(09)

    [3] 崔文強(qiáng).計(jì)算機(jī)網(wǎng)絡(luò)的維護(hù)[J];硅谷;2011(17)

    [4] 中國國家互聯(lián)網(wǎng)應(yīng)急中心:網(wǎng)絡(luò)安全威脅出現(xiàn)新特點(diǎn)[J];電子產(chǎn)品可靠性與環(huán)境試驗(yàn);2011(04)