發布時間:2023-10-05 10:40:08
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的網絡安全主動防護樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
關鍵詞 計算機網絡;安全防護;關鍵技術
中圖分類號:TP393 文獻標識碼:A 文章編號:1671-7597(2013)15-0065-01
計算機網絡是現代數字信息傳輸與存儲的主要通道之一,隨著其在日常應用中的深入,基于網絡的信息安全問題越來越多,針對網絡信息的信息竊取與泄露事件時有發生,因此建立完善可用的計算機網絡安全防護體系顯得日趨重要。為提供高效可靠的安全防護性能,諸多安全防護技術被應用到計算機網絡,如數據加密與簽名認證、主動防御技術、網絡訪問控制技術、防火墻技術等。這些技術在某些方面具有良好的應用效果,但是存在一定的應用局限性。為提升計算機網絡的適應性、動態性和靈活性,必須應用多種相互匹配的安全防護技術構成安全防護體系,為計算機網絡提供足夠的安全防護措施。
1 計算機網絡安全防護體系
傳統的計算機網絡安全防護更多集中在網絡運行過程的安全防護技術應用,但是隨著網絡攻擊手段的演變與增加,傳統的防火墻技術、數據加密技術、用戶身份認證技術等安全防護手段已經無法滿足應用需求,針對計算機網絡的安全防護開始從被動防御向主動防御轉變,由單獨安全防護技術應用向網絡安全防護體系建設發展。綜合來看,計算機網絡安全防護體系主要由三部分內容構成:網絡安全評估部分、安全防護相關技術部分以及網絡安全服務部分。每一部分中又包含若干具體的網絡安全防護措施,他們共同作用向計算機網絡提供安全防護服務。計算機網絡的安全防護體系結構圖如圖1所示。
2 計算機網絡安全防護體系中的關鍵技術
2.1 系統漏洞掃描
任何計算機網絡中都不可避免的存在漏洞或缺陷,這些漏洞或缺陷一旦被惡意利用即有可能對計算機網絡以及網絡中的用戶造成安全威脅。為解決和預防因漏洞所帶來的安全問題,要定期對計算機網絡進行漏洞掃描和漏洞修復。
2.2 網絡訪問與應用管理技術
為增強網絡應用的規范性,同時提升網絡安全問題發生后的追溯與分析能力,可以使用身份認證技術對網絡用戶進行身份認證,并為用戶分配對應的網絡操作權限。這一方面可以提升非法用戶訪問網絡的難度,另一方面還可以對網絡用戶的異常操作行為進行記錄與追蹤。
2.3 防火墻技術
防火墻技術是一種內網與外網通信過程中的網絡訪問控制技術。該技術可以按照用戶設定的安全防護策略對不同網絡之間的信息傳輸與網絡訪問等行為進行監控與數據檢查,以確認網絡運行是否正常,數據通信是否被允許。目前常用的防火墻技術有包過濾防火墻、地址轉換防火墻以及防火墻等三種。
其中,包過濾防火墻技術會對網絡中傳輸的數據包進行地址審查,確認數據傳輸域發送地址是否可信任,若地址不可信則濾除該信息的接收與發送操作;地址轉換防火墻技術可以將內網的IP地址轉換為外網的IP地址,從而隱藏通信終端的真實地址,避免外網與內網終端之間建立直接通信連接;防火墻技術使用服務器技術將通信雙方的通信數據進行接收與轉發,使得客戶端與網絡服務器之間的數據通信需要經過兩次通路才能夠實現,這樣便提升了內網的安全性。
2.4 入侵檢測技術
入侵檢測技術是一種主動防御技術,該技術可以應用多種相關技術制定與網絡環境相匹配的安全規則,并利用該規則對從網絡中獲取的數據信息進行分析,進而對網絡的運行狀態進行監控,判斷網絡中是否存在安全威脅。入侵檢測技術根據檢測數據的類型可以分為異常檢測與濫用監測兩種。前者以用戶的統計行為習慣作為特征參量來辨認網絡中是否存在入侵行為,該技術是一種自適應技術,可用于對未知攻擊行為進行檢測與防御;后者則是以網絡信息檢測規則來判斷是否存在入侵行為,由于該技術是基于規則而實現的,因而其主要用于對已知的攻擊類型與攻擊行為進行檢測與防御。
2.5 數據加密與數字簽名技術
數據加密技術主要用于防止數據在計算機網絡傳輸過程中產生的信息泄露或竊取,其根據加密數據應用類型不同可以分為傳輸加密、存儲加密以及完整性驗證等三種。
在傳輸加密中,端加密技術可以將需要傳輸的明文數據信息轉變為密文信息,該信息只有使用與之相匹配的解密算法和解密密鑰才能夠恢復成為正確的明文信息,線路加密技術可以對信息傳輸的路徑進行加密,使數據的傳輸路徑得到安全保護。
在存儲加密中,數據加密算法可以將需要存儲的信息轉換為密文信息,該密文信息在需要存取時需要進行用戶身份驗證與權限審查,只有合法用戶在其權限范圍內才能夠對數據進行相應的操作。
在數據完整性驗證中,數據中包含了發件人、收件人以及數據相關內容的驗證與鑒別信息,在驗證數據完整性時需要數據使用對象按照相應的驗證參數進行特征驗證,確認信息是否完整或受到篡改。數字簽名技術在數據完整性驗證中具有非常重要的應用意義。
2.6 其他網絡安全服務
為構成一個完整有效的網絡安全服務體系,除了上述安全防護技術外,還應該在網絡中提供應急保障服務,以確保出現安全問題時能夠盡量減小問題所造成的影響,最短時間內將網絡恢復到正常運行狀態。這就要求一方面要建立和完善應急服務體系,如雙系統待機等,保證一條網絡出現問題時可以及時切換到備用網絡;另一方面要建立和完善數據恢復體系,如服務器雙熱備份等,保證網絡服務器出現數據損毀或缺失時能夠存在備用數據庫將其恢復。此外,科學規范的網絡安全使用培訓也是非常有必要的,其可以降低人為因素所帶來的網絡安全威脅。
參考文獻
[1]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程,2011,39(1).
【關鍵詞】網絡安全;IPS;構建;應用
【中圖分類號】TP393.08
【文獻標識碼】A
【文章編號】1672—5158(2012)10-0102-01
1、建設背景
隨著信息化建設的發展,網絡越來越龐大,承載的應用系統也越來越復雜,隨之而來的網絡安全風險也日益突出。尤其混合威脅的風險,如蠕蟲、病毒、木馬、僵尸程序、DDoS攻擊阻塞甚至中斷網絡,各類P2P應用輕易的占據100%的網絡上行下行帶寬,同時,隨之而來的修復工作使IT管理人員被迫充當“消防隊員”的角色,消耗了大量寶貴的人力資源;如何構建主動的網絡安全防護系統,對網絡進行流量控制及凈化,實時了解網絡運維情況,及時發現消除網絡安全隱患,督促提高用戶安全意識等問題,成為網絡安全面臨的最大挑戰。
通常在談到網絡安全時,首先會想到“防火墻”,一般采用防火墻作為安全保障體系的第一道防線,防御黑客攻擊。但是,隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,單純的防火墻已經無法滿足安全需要,部署了防火墻的安全保障體系仍需要進一步完善。
2、部署情況
系統部署情況:在單位內網一外網出口及地州廣域網出口處在線部署網絡入侵保護系統。網絡入侵保護系統具有防火墻功能提供邊界控制、安全域劃分,防護來自其他安全域的攻擊;網絡入侵保護系統可以實時攔截進出網絡的數據流量中各種類型的惡意攻擊流量,把攻擊防御在受保護網絡之外,實現內網訪問控制細粒度管理,凈化網絡流量,保護內網的信息資產及網絡性能。同時,考慮網絡冗余,提高可用性,系統具有BYPASS功能,支持失效開放(Fail-open)機制,當出現軟件故障、硬件故障、電源故障時,系統自動切換到直通狀態以保障網絡可用性,避免單點故障。
該系統具有4個100/1000M自適應以太網口,可用于2路IPS保護或1路IPS保護+2路IDS監聽,這樣外網廣域網的出口都將得到有效的保護及監控,并且另外2個空閑網口目前可用于管理通訊。將來可通過升級證書而不用更新硬件,IPS升級為6口3路IPS保護以滿足將來網絡擴展。在線部署的IPS在鏈路上實時捕捉數據包,根據網絡的自身特點設置合理有效的訪問控制、流量管理、行為管理策略和入侵保護模式,進行入侵行為檢測、分析和實時響應,自動阻斷攻擊,凈化網絡流量,消除安全隱患,使用一種產品就達到多重保護目的,大大地節約了投資,并切實有效地保護網絡的安全。
同時,在安全管控中心服務器上安裝網絡入侵保護系統控制臺程序,實現對IPS等安全系統的集中管理,該系統同時支持C/S和B/S模式,可以靈活方便的管理部署在內網中的網絡入侵保護系統。系統支持“集中+分布式”部署管理IPS,保證了今后可在全省范圍實現既可統一、又可分級管理的主動入侵防護系統,使系統具有可擴展性、可充分利用現有資源、可隨需而變的靈活管理方式。
3、應用情況
通過部署網絡入侵保護系統,本單位網絡安全狀況得到了顯著的提高、網絡性能得到明顯改善、發現及加固了網絡安全的薄弱環節、規范了用戶上網行為、加強了用戶安全意識,主動入侵防護系統達到了預期的應用效果。
3.1 在構建主動的網絡安全防護系統方面
在部署初期,當時IPS系統平均每天可發現及阻斷各種攻擊事件655次/天。部署半年以后,通過IPS發現及整改了各種網絡安全問題規范了網絡行為,平均每天可發現及阻斷各種攻擊事件減少到60次/天。主動安全防護系統的成功構建使本單位網絡攻擊事件減少了10倍。
3.2 在對網絡進行流量控制及凈化方面
通過在IPS上設置阻斷“蠕蟲事件”“拒絕服務類攻擊事件”策略,結合對每個IP限制“P2P類應用”分配100kbps帶寬的限流策略,原來嚴重影響單位網絡性能的攻擊流量、P2P應用流量得到了有效的阻斷及控制,凈化了網絡流量,保障了網絡性能。
3.3 在輔助網絡運維管理方面
通過IPS系統可實時了解當前網絡的流量情況、協議構成、應用狀況等,為網絡運維提供參考及決策依據。
3.4 在及時發現消除網絡安全隱患方面
IPS上線部署后立即發現了感染“震蕩波”蠕蟲病毒的客戶端,為管理員定位了蠕蟲病毒源;隨后IPS又發現了感染“熊貓燒香”病毒的客戶端;管理員依靠IPS阻斷了蠕蟲病毒的攻擊及傳播,保護了網絡,依據IPS日志報警信息定位了染毒客戶端,并進一步清除病毒修補客戶端漏洞,消除了網絡安全隱患。
根據IPS日志報警信息,發現了1臺網絡設備采用明文telnet方式管理并使用了弱口令,管理員及時整改,將設備登錄管理方式配置為加密的SSH,配置了訪問控制策略賬號安全策略,并設置了強壯的口令,大幅提升了網絡設備管理的安全性。
根據IPS日志報警信息還發現了,某網管平臺管理部分網絡設備時使用了SNMP默認的public口令,即相應的被管理網絡設備存在“SNMP默認共同體串信息泄露漏洞”,管理員依據此信息定位了存在“SNMP默認共同體串信息泄露漏洞”的網絡設備,并根據IPS知識庫建議進行了整改,為所有采用SNMP管理的網絡設備配置了強壯的口令,并嚴格限制了SNMP寫權限,消除了網絡安全隱患,提升了網絡安全管理水平。
3.5 在督促提高用戶安全意識方面
IPS系統還幫助管理員發現了用戶的各種弱口令、空口令,管理員據此向相關用戶提出了賬號、口令安全建議,并對用戶進行了安全培訓,有效地督促用戶提高安全意識,系統上線半年后本單位用戶安全意識得到了明顯提高,本網用戶使用弱口令、空口令現象基本消除。
.DOCX
【珍惜當下,不負遇見】
(本文檔共
【
3
】頁/【
1010
】字)
單位
姓名
20XX年X月
教育信息安全與防護培訓心得體會
——單位
姓名
20XX年X月
20XX年X月,我通過國培智慧云平臺學習了《教育信息安全與防護》系列課程,課程有《教育信息安全管理與防護-教育現代化與教育信息化》《中小學教師網絡信息安全防護案例分析-網絡信息安全防護案例》《常用信息安全防護技術與實踐-教育網絡安全分析》等。通過聆聽專家的精彩講解,我感觸頗深。
維護教育信息安全,是每個教育工作者的責任。和平年代網絡信息安全關乎國家與人民的利益,如何為網絡筑起一道“安全門”。需要人民群眾上下一心主動投身到網絡安全事業中去,全心全意為國家網絡安全拉起一道“防火墻”。
互聯網雖然是虛擬的,但使用互聯網的人都在現實中。鑒于網絡安全的形式日益嚴峻,對付網絡安全要有非常行之有效的方式,就是讓社會上的每一個分子都成為參與者,都能積極貢獻自己的一份力量。
通過學習教育信息安全與防護,使我更加深刻的理解網絡信息安全的重要性。網絡信息安全是保護個人信息的完整性和保密性的重要條件,只有明白了網絡信息安全的基礎知識,我們才能更加的了解網絡信息安全在如今信息化時代的重要性!
關鍵詞 通信網絡;安全防護
中圖分類號:TN929 文獻標識碼:A 文章編號:1671-7597(2013)14-0044-01
通信網絡承載了大量的數據信息傳輸任務,所傳輸的信息涉及多個領域的多種內容,為確保這些內容的安全性和可靠性在應用通信網絡的同時必須采用適當的安全防護技術確保網絡信息、網絡設備的安全,避免出現信息泄露、網絡不穩定、網絡服務中斷等情況發生。
1 通信網絡的安全層次劃分
通信網絡安全主要是指應用特定的安全防護手段或技術對通信網絡中傳輸的信息或通信網絡所提供的服務進行支持和維護,確保網絡自身的可靠性和穩定性,確保所傳輸信息的完整性和機密性。為實現通信網絡的安全不僅需要根據網絡應用需求建立、健全適當的安全防護機制,還需要對通信網絡進行分級,根據不同的級別的網絡特性建立與之相匹配的信息傳輸與控制策略。此外,為進一步提升通信網絡的安全性能,還需要使用主動檢測與主動防御機制來降低網絡威脅發生的可能性。
按照功能和結構不同可以將通信網絡分為業務承載層、服務層以及信息傳遞層等三層。上述三層中,每一層負責相應的網絡功能實現,所需的安全防護機制也不盡相同。
承載層與業務層主要是指傳輸網、互聯網、幀中繼網、移動通信網、電話網等基礎承載網絡及其承載的數據業務等。該層涉及網絡結構實現及數據傳輸業務承載等內容,具有完整的通信鏈路和拓撲結構,因而該層中的網絡安全以網絡結構的可靠性與生存性為主,包括網絡節點、網絡鏈路以及拓撲結構等的安全與可靠等具體內容。
服務層主要是指基于通信網絡而實現的具體功能層,如IVPN業務、VOIP業務以及ATM專線業務等。由于該層是用戶交互的主要實現層,故其安全維護側重于服務可用性與服務可控性。其中,可用性與業務承載網關聯較大,可控性需要服務安全防護體系來維護與保障。
信息傳遞層主要是指業務承載層與服務層中間的數據傳輸部分,該層中的安全側重于保護數據信息的完整性與可靠性,避免出現信息泄露。在實際應用常用的信息傳輸安全保護技術有數字簽名、數據加密、報文鑒別等。
2 通信網絡中的安全防護關鍵技術分析
根據防護內容不同可以將通信網絡中所應用的安全防護技術分為安全分析評估類、網絡拓撲設計類、故障檢測與通信保障類以及數據傳輸防護類等。
2.1 安全分析評估相關技術
隨著網絡規模的擴大,網絡功能的拓展,現代通信網絡無論是在硬件功能還是在網絡拓撲方面都快變得越來越復雜。此時為有效管理網絡運行相關軟硬件設備,準確檢測與識別通信網絡中存在的安全隱患,就必須使用網絡管理相關技術對網絡進行管理,確保各項資源處于可控狀態。目前常用的網絡管理安全策略有網管數據完整性鑒別技術、網管節點訪問控制技術以及網管數據通信加密技術等。
2.2 網絡拓撲設計相關技術
通信中斷是通信網絡中的常見故障之一,該故障通常是由節點失效或鏈路中斷等所引起的。為提升通信網絡的可用性與生存性,在進行網絡建設或部署時可以采用冗余與備份技術來提升通信網絡的穩定性。如在部署傳輸網時可以將網絡的拓撲結構設計為環形結構、在部署VOIP網時可以使用雙歸屬連接的方式進行拓撲結構設計等。
2.3 故障檢測與保障相關技術
故障檢測技術可以對通信網絡的運行狀態進行實時監測,通過數據通信或信元反饋的方式來判斷通信網絡中是否存在問題。如傳輸網中通常使用數據編碼技術對通信網絡狀態進行判斷、ATM網絡中可以使用信元來對鏈路情況進行判斷。為降低故障的影響,一旦出現故障,網絡可以利用保護倒換技術切換到備用鏈路進行數據傳輸。
2.4 數據傳輸安全防護
為確保通信網絡中傳輸信息的安全性、完整性與可靠性,多種安全防護技術被應用到通信網絡中來對通信信息進行安全防護。
1)數據加密技術。該技術是最為常用的信息安全防護技術之一,利用該技術既可以對數據本身進行加密,還可以對通信鏈路進行加密。在對傳輸端進行加密時可以使用不同的加密算法和加密密鑰將傳輸端需要傳輸的數據信息加密為不可識別的、無規律性的密文信息,該信息只能夠被正確的密鑰解密還原。在對鏈路進行加密時,信息流經的節點間的中繼群路信號被加密,信息傳輸鏈路處于保密狀態,外部無法對通信鏈路內傳輸的數據進行流量分析。
2)信息簽名與信息鑒別技術。為確保信息的完整性,避免信息在傳輸過程中被非法篡改可以使用數字簽名對信息進行加水印處理,接收端接收數據時使用對應的信息鑒別技術對所接收到的信息進行識別,檢查確認該信息是否收到破壞。
2.5 通信網絡安全防護相關技術
為進一步增強通信網絡的安全性,還可以使用主動防御相關策略對可能存在的安全威脅進行檢測與排除。常用的主動防御技術有入侵檢測技術、訪問及業務控制技術等。
其中,入侵檢測技術可以對網絡中傳輸的信息進行過濾和分析,實時監控通信網絡的運行狀態,一旦發現安全威脅或入侵行為則采用特定的安全防護策略對通信網絡或通信數據進行保護,避免出現網絡故障。
訪問及業務控制技術可以對通信設置網絡用戶身份或限定網絡用戶資源使用權限等對用戶行為進行控制,增強通信網絡的可控性與安全性,確保各用戶行為和各項服務應用都可以做到有據可循。
3 總結
總之,通信網絡是現代信息通信的最主要載體,為確保通信網絡的安全、避免因安全問題出現服務中斷、信息泄露或網絡故障等問題,必須針對不同網絡層次采用適當的安全防護技術來增強通信網絡的安全性能。
參考文獻
[1]羅綿輝,郭鑫.通信網絡安全的分層及關鍵技術[J].信息技術,2007(9).
[2]滕學斌,齊中杰.通信網絡安全關鍵技術[J].計算機與網絡,2005(9).
[3]楊光輝,李曉蔚.現代移動通信網絡安全關鍵技術探討[J].長沙通信職業技術學院學報,2007(6).
關鍵詞:氧化鋁 制造業執行系統 信息化管理 Java開發平臺
中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2014)03(c)-0027-02
現代網絡環境中,其安全體系的構建主要采取以技術為中心的應對式安全防護策略,需要在應用中根據需求不斷增加相應的設備或者軟件。現在,互聯網平臺為了能夠有效應對日益復雜和嚴重的網絡威脅,配置了大量的防火墻、防病毒軟件、入侵檢測、系統漏洞掃描、災難恢復等多種安全設備。雖然,所采用的這些安全解決方案和策略能夠有效解決大部分的網絡安全威脅,但是,也給網絡安全的管理造成了嚴重影響。究其根本,就是因為現在所采用的這些策略主要是消極被動地去解決出現的安全問題,網絡管理人員難以對采用和設計適合自己的安全管理策略,只能成為復雜新技術和產品的盲從者。現在的網絡安全產品還主要從某個側面對網絡安全進行靜態的防護,更沒有積極主動的網絡管理策略和能力。研究和應用結果表明,單靠網絡安全產品的簡單堆積和產品的缺省配置,是不能解決安全問題的,需要在具體的應用中根據網路偶的不同需求,為其制定相應的安全策略,并對安全組件進行靈活多樣的配置,這樣,就能夠在實現整體和動態安全功能的前提下,將網絡運行狀態調整到最優的狀態點。
1 總體設計
前面已經提到,現有的網絡環境主要采用以技術為中心的應對式網絡安全防護策略,也就是被動地去解決網絡運行中的問題。在本文中,對基于用戶網絡應為的主動網絡安全和管理方式進行研究,下面的圖1中,給出了該安全管理方式的總體設計圖。
在圖1中,網絡行為監控器的職責是對用戶的網絡行為進行監控,并將用戶的網絡行為監控結果存入數據庫中,在使用過程匯總,可以通過相應的技術和方法,將用戶所使用網絡的行為進行記錄,再將記錄結果寫入行為數據庫,從而為網絡行為分析器的具體分析過程提供第一手數據和資料。網絡行為分析器則需要從行為數據庫中對存儲的數據進行提取,找到需要的數據記錄后利用相應技術和方法對數據進行處理分析,對存在于網絡中的某些潛在危險行為進行挖掘,還可以針對危險行為的發展趨勢,以及這些危險行為有可能導致的安全問題進行剖析;在后獲取報警信息后,就能夠將相關信息傳送給網絡管理人員,為網絡管理人員的網絡管理和操作提供依據和決策參考。
由網絡行為分析器所發出的報警信息,包括了多種網絡威脅,比如常見的木馬、網絡病毒以及非法入侵等等。在收到這些報警信息后,網絡管理員需要根據這些報警信息的嚴重級別,對相應的網絡設備和軟件進行及時的查詢和配置,進而將有可能出現的網絡安全隱患消滅在萌芽狀態,而非在網絡威脅事件發生之后再對相應的網絡設備進行查詢和配置。這種網絡安全的管理模式,就是文中所要研究的主動網絡安全管理方式。完成了對網絡設備的參數修改后,還應該針對網絡用戶行為監控器中的監控標識進行相應的修改和設置,確保用戶網絡行為監控器的監控標識能夠與網絡管理模塊中的管理策略保持一致。
2 安全管理方式的技術分析與設計
2.1 Winpcap工具
Winpcap即Windows packet capture的簡稱,是Windows平臺下的一個公共網路訪問系統,可以為用戶提供免費服務,采用基于Win32平臺的網絡分析架構,能夠為Win32應用程序的設計提供高效的網絡底層訪問功能。采用Winpcap的一個明顯優勢就是能夠為用戶提供標準的抓包接口,對網路性能和各種效率優化情況進行綜合考慮,其中就包括對NPF內核層上的過濾器支持,以及對內核態的統計模式的支持等等,此外,還能夠為用戶提供數據包的發送功能。利用Winpcap,網絡行為監控器能夠對流過局域網的所有數據包進行采集,在對數據進行協議分析的基礎上,實現對數據包的起始地址、目的地址等網絡行為的實時獲取,最終實現對局域網內所有鏈接終端的上網行為的監控。
2.2 網絡行為監控器構成
利用網絡行為監控器,不僅要對網絡使用情況進行檢測,還應該將發現的潛在網絡危險行為進行記錄,并將其保存到數據庫。在網絡行為監控器中,包含有網絡嗅探器和協議分析器等兩個主要部分。
2.2.1 網絡嗅探器
通過對經過網絡監控器的所有數據進行采集,可以準確判斷各個數據包的源地址與目的地址,然后對所有數據包的網絡行為進行分類處理,將處理結果發送到協議分析器。
2.2.2 協議分析器
對網絡嗅探器所得到的初步分析結果進行進一步的深入分析,能夠對用戶的具體網絡行為進行判斷,在數據包與標識匹配成功的情況下,就能夠在網絡行為數據庫中進行記錄。
2.3 網絡行為分析器實現過程
2.3.1 對用戶網絡行為進行分析的現狀
在現有技術條件下,對用戶網絡行為的分析過程,主要通過對網絡行為數據庫中的數據進行統計分析所得到的,不過,此類分析過程對網絡管理員的經驗比較依賴,所以,在網絡管理員對用戶上網行為的數據庫結構、IP協議等不是特別清楚的話,就難以進行正確的統計與分析。
2.3.2 知識發現技術
文中的主要思路就是利用知識發現理論和技術對用戶的網絡行為進行分析。其實,知識發現技術就是從海量數據中發現有用知識的完整過程,也是一個人機進行反復交互的處理過程。要實現準確的知識發現,需要經過多個步驟,且很多決策過程都需要用戶的支持。從宏觀的層面來看,知識發現的過程主要包括數據整理、數據挖掘和結果評估等三個不同的部分。
在這三個構成部分中,數據挖掘是知識發現的核心,需要利用專門算法從大量數據中對模式進行抽取,也就是從當前數據中抽取潛在的、隱含的且具有應用價值信息的過程。作為知識發現中的核心內容,數據挖掘與傳統的分析工具相比,差距在于數據挖掘所采用的為基于發現的方法,通過模式匹配和其他算法來實現不同數據之間關系的確定。
現在,在數據挖掘技術中,還包括有其他方法,如統計分析方法、神經元方法、決策樹和遺傳方法等。其中,決策數一種經常用于預測模型的算法,該算法能夠將大量數據進行有目的分類,進而從數據中得到更加有價值的信息。所以,在用戶網絡行為分析過程中,就能夠采用決策樹算法來實現。現在所采用的決策樹算法主要有ID3、CART算法等等。
2.4 防護效果與分析
文中所采用的網絡安全管理模式與傳統的網絡安全防護技術相比,其根本區別就在于傳統防護技術著重于對外部攻擊的防護,而文中方式則更多的強調自身管理與外部方法的并重。
基于用戶網絡行為的主動網絡安全管理方式的根本出發點,就在于能夠對網絡上的各種非法網絡攻擊行為進行有效抑制和防護,比如針對常見的黑客攻擊活動,就能夠較好地解決現在網絡中所廣泛存在的網絡安全問題,有效解決和減少網絡上的攻擊行為,增加網絡使用的安全性。舉例,如果發現有潛在的黑客存在于網絡用戶中,在出現網絡安全問題的情況下,就能夠對非法攻擊者進行準確定位;特別是由于對本地網絡用戶對外部網絡的攻擊行為進行了有效監控,所以,在國際互聯網中,就能夠有效減少網絡的攻擊流量;在大部分網絡攻擊行為被本地監控系統發現的情況下,就可以將網絡安全管理的問題從網絡間向地區間進行限定。不過,文中所分析的基于用戶行為分析的網絡安全技術在網絡實現中,其關鍵問題還在于系統的部署。
只有在所有的接入網絡都采用此類安全管理模式的情況下,才能實現更加安全的網絡環境。基于現有網絡中的包括路由器在內的網絡連接設備,以及包括防火墻在內的網絡安全設備等,都可以增添安全功能,再與現有的網絡安全防護措施相結合,就能夠有效增強互聯網中的安全性能。
3 結語
基于現有的用戶網絡行為分析方法,采用了基于知識發現的決策樹選擇算法。論文最后,對需要進一步進行解決的問題進行說明,就是如何從用戶網絡行為數據庫中通過決策樹算法來構建適合網絡管理的模式。從基于用戶網絡行為監控的主動網絡安全管理方式中可以發現,對用戶的網絡行為進行分析是實現安全管理的前提,能夠為配置管理和修改奠定基礎。
參考文獻
[1] 莊小妹.計算機網絡攻擊和防范技術初探[J].科技資訊,2007(5).
[2] 鄧明林,魏文全.網絡反攻擊技術的研究[J].計算機與網絡,2009(2).
[3] 莊小妹.計算機網絡攻擊技術和防范技術初探[J].科技資訊,2006(23).
[4] 魯昭.計算機網絡攻擊常見方法[J].科技經濟市場,2006(5).
[5] 陸宗躍.網絡安全及安全技術的探討[J].湖北成人教育學院學報,2005(1).
[6] 伏曉,蔡圣聞,謝立.網絡安全管理技術研究[J].計算機科學,2009,36(2):15-19.
一、電力企業信息網絡面臨的威脅
1、人為的無意失誤現階段,計算機使用用戶的數量在不斷的增加,但是計算機網絡用戶的安全意識是較為缺乏的,將自己的網絡賬號隨意的與別人共享,加之網絡的口令較為簡單,操作人員的安全配置不當的問題也廣泛的存在,這些因素的存在就容易導致網絡出現安全漏洞。但是不是人為的故意行為引起這些因素的發生,而是在無意狀態下造成的失誤行為。
2、人為的惡意攻擊電力企業的計算機網絡的安全防護技術盡管已經很完善了,但道高一尺,魔高一道。威脅電力企業信息網絡安全的因素還是廣泛的存在,人為的惡意攻擊是計算機網絡安全的最大威脅,人為惡意攻擊的存在的兩種不同形式,包括主動攻擊和被動攻擊。主動攻擊是指采取各種的手段破壞電力企業信息網絡的安全,影響信息的完整性和有效性。被動攻擊是對計算機網絡信息的截獲、竊取和破譯是在不影響計算機運行的情況下,這個過程中機密信息的泄露是被動攻擊形式。計算機網絡信息的安全在主動攻擊或被動攻擊的攻擊下都會對網絡信息的安全造成一定的威脅,影響了計算機網絡的安全性。
3、網絡軟件的漏洞和“后門”網絡軟件在設計時,通常會設置“后門”來方便編程人員的維護工作的開展,但是由于“后門”的設置,網絡軟件出現缺陷和漏洞的概率就會大大的增加了,黑客攻擊的目標就會轉移到有缺陷和有漏洞的網絡軟件上。盡管外人是不知道這些“后門”的存在,但是黑客和病毒會通過各種手段來發現這些“后門”的存在了,然后通過“后門”攻擊網絡軟件,造成用戶的網絡信息被盜取,不利于網絡技術的安全建設。
二、電力企業信息網絡安放的加密技術和安全策略
1、網絡信息的加密技術加密網絡信息的處理,能夠有效的保護網絡數據、信息和文件的安全,網上數據傳輸的安全性也能夠得到保證。現階段網絡機密的方法有很多,但是常用的就有三種,包括鏈路加密、節點加密和端點加密,通過應用這三種網絡加密技術,源端到目的端、對源節點到目的節點之間的用戶數據信息的安全保護得到了實現,網絡節點之間鏈路信息的安全性也得到有效的保證。在常規的密碼中,發信方和收信方的加密密鑰和解密密鑰是一模一樣的,其保密性較強,在長期的使用過程中,對于人為的檢驗和攻擊都得到了很好的承受,但對密鑰的管理工作也需要加強,保證信息數據傳送的途徑是安全的,這是一個重要的因素來確保網絡安全。防止非授權用戶的竊聽和入網的有效形式是網絡密碼技術的使用,還能夠很好的防護惡意軟件的攻擊,能夠有效的確保網絡安全。
2、電力企業信息網絡的訪問控制策略網絡安全防范和保護的主要策略是控制訪問,保證網絡資源不張永平被非法使用和非法訪問是它的主要任務。網絡系統安全維護的和網絡資源的保護的主要手段也是控制訪問策略的制定。
三、加強電力企業信息網絡安全的措施
1、控制入網訪問為網絡訪問提供第一層的保護控制就是入網訪問控制的實行,具體的做法就是識別和驗證用戶的姓名和用戶口令,網絡信息安全保護控制的措施還有用戶的缺省限制檢查。控制入網訪問中,用賬戶的建立是由系統的管理員來完成的,管理人員控制和限制普通用戶的賬號和登錄服務器獲取網絡資源的同時能夠掌握用戶的的入網時間和在哪臺機器入網的,進而網絡信息資源的安全性就有所保障了。
2、網絡的權限控制采取安全保護措施來處理網絡非法操作就是網絡的權限控制,哪些網絡信息、文件和目錄子目錄可以被用戶和用戶組可以訪問都是受到一定的限制。用戶對這些資源信息、文件和目錄的操作范圍被制定。用戶的劃分歸類可以根據訪問權限,特殊用戶和一般用戶。由系統管理員根據用戶的實際需要來分配是用戶的操作權限。由審計用戶來實現網絡的安全控制和資源使用狀況的審計。通過訪問控制表的描述來實現用戶對網絡資源的訪問權限。
3、目錄級安全的控制用戶對目錄、文件和設備的訪問,網絡應該允許控制。用戶對所有文件和子目錄的有效是在目錄一級指定的權限,對目錄下的子目錄和文件的權限,用戶也可以進一步指定。共有八種控制訪問目錄和文件的權限,包括系統管理員權限、創建權限、寫權限、文件查找權限、存取控制權限、讀權限、修改權限和刪除權限。指定用戶進行適當的網絡訪問權限是又網絡系統管理員的主要工作內容,用戶對服務器訪問的控制也是由訪問權限的設置來實現。
4、網絡監測和鎖定的控制實施對網絡的監控要由專門的網絡管理員來實現,用戶對網絡資源的訪問通過服務器也記錄下來,服務器應該通過文字或聲音報警的形式來提示用戶所訪問的網絡是非法的,網絡管理員的注意力就是被引起。網絡服務器的自動記錄裝置能夠記錄用戶的網絡范文次數,不法之徒進入網絡的次數也會不記錄下來,在他們嘗試進入網絡系統的次數超過規定的數值之后,不法之徒的賬戶就會自動鎖定。
5、控制防火墻網絡防火墻的存在是網絡安全的一層安全屏障保證,能夠有效的阻止網絡中黑客的訪問和攻擊,網絡通信監控系統是通過防火墻來建立的,有利于隔離網絡系統的內部和外部,對外部系統的入侵進行有效阻止。
四、結語
【關鍵詞】計算機 網絡安全 防護
1 引言
信息技術的發展給人們的生活帶來了天翻地覆的變化,計算機網絡已經融入了人們的日常生活中,改變著也同時方便了生活和工作。在人們對信息網絡的需求和依賴程度與日俱增的今天,網絡安全問題也越來越突出。因此,全面的分析影響網絡安全的主要原因,有針對性的提出進行網絡安全保護的相關對策具有十分重要的意義。Internet的的兩個重要特點就是開放性和共享性,這也是導致開放的網絡環境下計算機系統安全隱患產生的原因。隨著對網絡安全問題研究的不斷深入,逐漸產生了不同的安全機制、安全策略和網絡安全工具,保障網絡安全。
計算機網絡安全事實上是一門涉及多學科理論知識的綜合性學科,主要包括計算機科學、網絡技術、密碼技術、通信技術、數論、信息安全技術和信息論等多種不同學科。網絡安全防護是從硬件和軟件兩方面保護系統中的數據,使其免受惡意的入侵、數據更改和泄露、系統破壞,以保證系統能夠正常的連續運行,網絡不被中斷。
2 計算機網絡面臨的安全威脅
網絡面臨的安全威脅也是各種各樣,自然災害、網絡系統自身的脆弱性、誤操作、人為的攻擊和破壞等都是網絡面臨的威脅。
2.1 自然災害
計算機網絡也是由各種硬件搭建而成,因此也是很容易受到外界因素的影響。很多計算機安放空間都缺乏防水、防火、防震、防雷、防電磁泄露等相關措施,因此,一旦發生自然災害,或者外界環境,包括溫度、濕度等,發生劇烈變化時都會破化計算機系統的物理結構。
2.2 網絡自身脆弱性
(1)計算機網絡的基礎設施就是操作系統,是所有軟件運行的基礎和保證。然而,操作系統盡管功能強大,具有很強的管理功能,但也有許多不安全因素,這些為網絡安全埋下了隱患。操作系統的安全漏洞容易被忽視,但卻危害嚴重。除操作系統外,其他軟件也會存在缺陷和漏洞,使計算機面臨危險,在網絡連接時容易出現速度較慢或死機現象,影響計算機的正常使用。
(2)計算機網絡的開放性和自由性,也為攻擊帶來了可能。開放的網絡技術,使得物理傳輸線路以及網絡通信協議也成為網絡攻擊的新目標,這會使軟件、硬件出現較多的漏洞,進而對漏洞進行攻擊,嚴重的還會導致計算機系統嚴重癱瘓。
(3)計算機的安全配置也容易出現問題,例如防火墻等,一旦配置出現錯誤,就無法起到保護網絡安全的作用,很容易產生一些安全缺口,影響計算機安全。加之現有的網絡環境并沒有對用戶進行技術上的限制,任何用戶可以自由的共享各類信息,這也在一定程度上加大了網絡的安全防護難度。
很多網民并不具有很強的安全防范意識,網絡上的賬戶密碼設置簡單,并且不注意保護,甚至很多重要賬戶的密碼都比較簡單,很容易被竊取,威脅賬戶安全。
2.3 人為攻擊
人為的攻擊是網絡面臨的最大的安全威脅。人為的惡意攻擊分為兩種:主動攻擊和被動攻擊。前者是指采取有效手段破壞制定目標信息;后者主要是為了獲取或阻礙重要機密信息的傳遞,在不影響網絡正常的工作情況下,進行信息的截獲、竊取、破譯。這兩種攻擊都會導致重要數據的泄露,對計算機網絡造成很大的危害。黑客們會利用系統或網絡中的缺陷和漏洞,采用非法入侵的手段,進入系統,竊聽重要信息,或者通過修改、破壞信息網絡的方式,造成系統癱瘓或使數據丟失,往往會帶來嚴重不良影響和重大經濟損失。
計算機病毒是一種人為開發的可執行程序,具有潛伏性、傳染性、可觸發性和嚴重破壞性的特點。一般可以隱藏在可執行文件或數據文件中,不會被輕易發現,也就使計算機病毒的擴散十分迅速和難以防范,在文件的復制、文件和程序運行過程中都會傳播。觸發病毒后可以迅速的破壞系統,輕則降低系統工作效率,重則破壞、刪除、改寫文件,使數據丟失,甚至會破壞系統硬盤。平時在軟盤、硬盤、光盤和網絡的使用中都會傳播病毒。近年來也出現了的很多惡性病毒,例如“熊貓燒香病毒”等,在網絡上迅速傳播,產生了十分嚴重的不良后果。
除病毒之外,垃圾郵件和間諜軟件等也會威脅用戶的隱私和計算機安全。
3 網絡安全防護措施
3.1 提高安全防護技術手段
計算機安全防護手段主要包括防火墻技術、加密技術、訪問控制和病毒防范等。總的來說,提高防護手段,主要是從計算機系統管理和物理安全兩方面著手。
計算機網絡安全,首先要從管理著手,一是對于使用者要進行網絡安全教育,提高自我防范意識。二是要依靠完整的網絡安全管理制度,嚴格網絡執法,打擊不法分子的網絡犯罪。另外,要加強網絡用戶的法律法規意識和道德觀念,減少惡意攻擊,同時傳播網絡防范基本技能,使用戶能夠利用計算機知識同黑客和計算機病毒等相抗衡。
物理安全是提高網絡安全性和可靠性的基礎。物理安全主要是網絡的物理環境和硬件安全。首先,要保證計算機系統的實體在安全的物理環境中。網絡的機房和相關的設施,都有嚴格的標準和要求要遵循。還要控制物理訪問權限,防止未經授權的個人,有目的的破壞或篡改網絡設施。
3.2 完善漏洞掃描設施
漏洞掃描是一種采取自動檢測遠端或本地主機安全的技術,通過掃描主要的服務端口,記錄目標主機的響應,來收集一些特定的有用信息。漏洞掃描主要就是實現安全掃描的程序,可以在比較短的時間內查出系統的安全脆弱點,從而為系統的程序開發者提供有用的參考。這也能及時的發現問題,從而盡快的找到解決問題的方法。
4 結束語
經過本文的分析,在通訊技術高速發展的今天,計算機網絡技術也不斷的更新和發展,我們在使用網絡的同時,也要不斷加強計算機網絡安全防護技術。新的應用會不斷產生,網絡安全的研究也必定會不斷深入,以最大限度地提高計算機網絡的安全防護技術,降低網絡使用的安全風險,實現信息平臺交流的安全性和持續性。
參考文獻
[1]趙真.淺析計算機網絡的安全問題及防護策略[J].上海工程技術學院教育研究,2010,(03):65-66.
[2]劉利軍.計算機網絡安全防護問題與策略分析[J].華章,2011,(34):83-84.
【關鍵詞】網絡 安全 防護技術
互聯網與生俱有的開放性、交互性和分散性特征為信息共享、交流、服務創造了理想空間,然而,正是由于互聯網的上述特性,產生了許多安全問題。廣為網絡用戶所知的黑客行為和攻擊活動正以每年10倍的速度增長,網絡與信息安全問題日益突出,已成為影響國家安全、社會穩定和人民生活的大事,發展與現有網絡技術相對應的網絡安全技術,保障網絡安全、有序和有效的運行,是保證互聯網高效、有序應用的關鍵之一。
一、影響網絡安全的主要因素
1.1 TCP/IP協議的脆弱性。因特網的基本協議就是TCP/IP 協議,這個協議實效性較強,但是安全因素匱乏,本身存在許多隱患。
1.2 病毒。病毒是惡意編制者在正常的計算機程序中刻意插入的計算機指令或是程序的代碼,從而破壞計算機中的數據或計算機的功能應用。對網絡的影響不只是單個的計算機,而會產生區域性的產生影響。
1.3 軟件漏洞。每臺計算機中根據用戶的使用需求安裝有許多應用軟件,這些軟件雖然在開發時經過多次測試,但并不能保證它們本身不存在著漏洞,更不能保證它們在應用的過程中不會出現問題。
1.4網絡結構具備不安全性。在一個較大的網絡中,當一臺主機與其他局域網主機實施通信之時,彼此之間的數據必須經過許多個機器進行重重轉發。如果黑客掌控了傳輸數據流的某臺主機,就能夠劫持傳輸的各個數據包。
1.5安全意識不強。安全問題的存在還跟用戶的安全意識不強有關,一些人用戶與他人共享一個計算機帳號,或是將自己的帳號隨意的告知他人,這樣就泄露了自己的計算機的機密,網絡管理人員對安全設備配置的不當也會導致安全漏洞。
二、網絡信息安全防護技術
2.1常見防護技術
2.1.1虛擬專用網技術。虛擬專用網絡(VPN)指的是在公用網絡上建立專用網絡的技術,整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。為了保證數據安全,VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣。
2.1.2身份認證技術。身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法,經過身份認證的技術可以一定范圍內的保證信息的完整機密性,防止非法用戶獲得對公司信息系統的訪問,還可以防止合法用戶訪問他們無權查看的信息。
2.1.3 控制訪問。訪問網絡之時,不同的訪問用戶具有不同的信息權限,必須要對這些權限實施控制,進而有效提防出現越權使用現象。
2.1.4入侵檢測技術。通過對計算機網絡和主機系統中的關鍵信息進行實時采集和分析,從而判斷出非法用戶入侵和合法用戶濫用資源的行為,并作出適當反應的網絡安全技術。根據入侵檢測系統的技術與原理的不同,可以分為異常入侵檢測技術、誤用入侵檢測技術、特征檢測技術三種。
2.1.5殺毒軟件技術。殺毒軟件是針對于計算機中普遍存在的病毒問題而設置的,是計算機中最為常見,使用最為普通的安全技術軟件,但殺毒軟件的功能比較受限,它的主要功能就是對計算機進行殺毒,不能完全滿足整個網絡安全問題控制的需要。
2.1.6防火墻技術。防火墻將網絡分為內部和外部網絡,內部網絡是安全的和可信賴的,而外部網絡則是不太安全。它是一種計算機硬件和軟件的結合,對內部網絡和外部網絡之間的數據流量進行分析、檢測、管理和控制,從而保護內部網絡免受外部非法用戶的侵入。
2.1.7數據加密技術。對數據進行加密可以有效的提高信息系統以及數據的安全及保密性,以防數據的被竊取或是外泄,它實現的途徑主要是對網絡數據進行加密來保障網絡的安全,主要表現在對數據傳輸、數據存儲、數據的完整性以及加密鑰匙的管理等四個方面。現在最為普及的加密方式分為對稱加密與非對稱加密這兩種技術模式。
2.2新型防護技術
2.2.1 主動式動態網絡防御技術。主動式動態網絡防御技術是指在動態過程中,直接對網絡信息進行監控,能夠完成牽制和轉移黑客的攻擊,對黑客入侵方法進行技術分析,對網絡入侵進行取證甚至對入侵者進行跟蹤。當前的主動式動態網絡防御技術主要有動態網絡安全技術、偽裝技術、網絡欺騙技術、黑客追蹤技術。
2.2.2云安全防護技術。云安全防護技術是通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。整個互聯網,變成了一個超級大的殺毒軟件,將防護攻擊變成動態的、協同的、主動的。
隨著計算機網絡技術不斷的更新并向自動化、智能化水平方向發展,網絡已被人們廣泛應用在生活和社會不同領域中。計算機網絡的安全問題也越來越受到人們的重視,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。網絡安全防范是一項需要持久堅持而又繁瑣的工作,要持續加強觀念上的重視,同時不斷革新技術,才可以保障電腦網絡的安全應用。
參考文獻:
[1]張嘉寧.網絡防火墻技術淺析.《通信工程》.2004(3).
[2]茅曉紅,網絡型病毒傳播與計算機網絡安全探討[J],科技創新與應用,2012,(34)
[3]李俊宇.信息安全技術基礎[M].北京:冶金工業出版社,2007.
