導言：作為寫作愛好者，不可錯過為您精心挑選的10篇安全網(wǎng)絡論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

正如我們所知道的那樣，70％的安全威脅來自網(wǎng)絡內(nèi)部，其形式主要表現(xiàn)在以下幾個方面。

內(nèi)部辦公人員安全意識淡漠

內(nèi)部辦公人員每天都專注于本身的工作，認為網(wǎng)絡安全與己無關(guān)，因此在意識上、行為上忽略了安全的規(guī)則。為了方便，他們常常會選擇易于記憶但同時也易于被猜測或被黑客工具破解的密碼，不經(jīng)查殺病毒就使用來歷不明的軟件，隨便將內(nèi)部辦公網(wǎng)絡的軟硬件配置、拓撲結(jié)構(gòu)告之外部無關(guān)人員，給黑客入侵留下隱患。

別有用心的內(nèi)部人員故意破壞

辦公室別有用心的內(nèi)部人員會造成十分嚴重的破壞。防火墻、IDS檢測系統(tǒng)等網(wǎng)絡安全產(chǎn)品主要針對外部入侵進行防范，但面對內(nèi)部人員的不安全行為卻無法阻止。一些辦公人員喜歡休息日在辦公室內(nèi)上網(wǎng)瀏覽網(wǎng)頁，下載軟件或玩網(wǎng)絡游戲，但受到網(wǎng)絡安全管理規(guī)定的限制，于是繞過防火墻的檢測偷偷撥號上網(wǎng)，造成黑客可以通過這些撥號上網(wǎng)的計算機來攻入內(nèi)部網(wǎng)絡。而有些辦公人員稍具網(wǎng)絡知識，又對充當網(wǎng)絡黑客感興趣，于是私自修改系統(tǒng)或找到黑客工具在辦公網(wǎng)絡內(nèi)運行，不知不覺中開啟了后門或進行了網(wǎng)絡破壞還渾然不覺。更為嚴重的是一些人員已經(jīng)在準備跳槽或被施利收買，辦公內(nèi)部機密信息被其私自拷貝、復制后流失到外部。此外，還有那些被批評、解職、停職的內(nèi)部人員，由于對內(nèi)部辦公網(wǎng)絡比較熟悉，會借著各種機會（如找以前同事）進行報復，如使用病毒造成其傳播感染，或刪除一些重要的文件，甚至會與外部黑客相勾結(jié)，攻擊、控制內(nèi)部辦公網(wǎng)絡，使得系統(tǒng)無法正常工作，嚴重時造成系統(tǒng)癱瘓。

單位領(lǐng)導對辦公網(wǎng)絡安全沒有足夠重視

有些單位對辦公網(wǎng)絡存在著只用不管的現(xiàn)象，有的領(lǐng)導只關(guān)心網(wǎng)絡有沒有建起來，能否連得上，而對其安全沒有概念，甚至對于網(wǎng)絡基本情況，包括網(wǎng)絡規(guī)模、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡設備、網(wǎng)絡出口等概不知情。對內(nèi)部辦公人員，公司平時很少進行安全技術(shù)培訓和安全意識教育，沒有建立相應的辦公網(wǎng)絡安全崗位和安全管理制度，對于黑客的攻擊和內(nèi)部違規(guī)操作則又存在僥幸心理，認為這些是非常遙遠的事情。在硬件上，領(lǐng)導普遍認為只要安裝了防火墻、IDS、IPS，設置了Honeypot就可以高枕無憂。而沒有對新的安全技術(shù)和安全產(chǎn)品做及時升級更新，對網(wǎng)絡資源沒有進行細粒度安全級別的劃分，使內(nèi)部不同密級的網(wǎng)絡資源處于同樣的安全級別，一旦低級別的數(shù)據(jù)信息出現(xiàn)安全問題，將直接影響核心保密信息的安全和完整。

缺乏足夠的計算機網(wǎng)絡安全專業(yè)人才

由于計算機網(wǎng)絡安全在國內(nèi)起步較晚，許多單位缺乏專門的信息安全人才，使辦公信息化的網(wǎng)絡安全防護只能由一些網(wǎng)絡公司代為進行，但這些網(wǎng)絡安全公司必定不能接觸許多高級機密的辦公信息區(qū)域，因此依然存在許多信息安全漏洞和隱患。沒有內(nèi)部信息安全專業(yè)人員對系統(tǒng)實施抗攻擊能力測試，單位則無法掌握自身辦公信息網(wǎng)絡的安全強度和達到的安全等級。同時，網(wǎng)絡系統(tǒng)的漏洞掃描，操作系統(tǒng)的補丁安裝和網(wǎng)絡設備的軟、硬件升級，對辦公網(wǎng)內(nèi)外數(shù)據(jù)流的監(jiān)控和入侵檢測，系統(tǒng)日志的周期審計和分析等經(jīng)常性的安全維護和管理也難以得到及時的實行。

網(wǎng)絡隔離技術(shù)（GAP）初探

GAP技術(shù)

GAP是指通過專用硬件使兩個或兩個以上的網(wǎng)絡在不連通的情況下進行網(wǎng)絡之間的安全數(shù)據(jù)傳輸和資源共享的技術(shù)。簡而言之，就是在不連通的網(wǎng)絡之間提供數(shù)據(jù)傳輸，但不允許這些網(wǎng)絡間運行交互式協(xié)議。GAP一般包括三個部分：內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元、專用隔離交換單元。其內(nèi)、外網(wǎng)處理單元各擁有一個網(wǎng)絡接口及相應的IP地址，分別對應連接內(nèi)網(wǎng)（網(wǎng)）和外網(wǎng)（互聯(lián)網(wǎng)），專用隔離交換單元受硬件電路控制高速切換，在任一瞬間僅連接內(nèi)網(wǎng)處理單元或外網(wǎng)處理單元之一。

GAP可以切斷網(wǎng)絡之間的TCP/IP連接，分解或重組TCP/IP數(shù)據(jù)包，進行安全審查，包括網(wǎng)絡協(xié)議檢查和內(nèi)容確認等，在同一時間只和一邊的網(wǎng)絡連接，與之進行數(shù)據(jù)交換。

GAP的數(shù)據(jù)傳遞過程

內(nèi)網(wǎng)處理單元內(nèi)網(wǎng)用戶的網(wǎng)絡服務請求，將數(shù)據(jù)通過專用隔離硬件交換單元轉(zhuǎn)移至外網(wǎng)處理單元，外網(wǎng)處理單元負責向外網(wǎng)服務器發(fā)出連接請求并取得網(wǎng)絡數(shù)據(jù)，然后通過專用隔離交換單元將數(shù)據(jù)轉(zhuǎn)移回內(nèi)網(wǎng)處理單元，再由其返回給內(nèi)網(wǎng)用戶。

GAP具有的高安全性

GAP設備具有安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計和身份認證等安全功能。由于GAP斷開鏈路層并切斷所有的TCP連接，并對應用層的數(shù)據(jù)交換按安全策略進行安全檢查，因此能夠保證數(shù)據(jù)的安全性并防止未知病毒的感染破壞。

使用網(wǎng)絡隔離技術(shù)（GAP）進行內(nèi)部防護

我們知道，單臺的計算機出現(xiàn)感染病毒或操作錯誤是難以避免的，而這種局部的問題較易解決并且?guī)淼膿p失較小。但是，在辦公信息化的條件下，如果這種錯誤在網(wǎng)絡所允許的范圍內(nèi)無限制地擴大，則造成的損失和破壞就難以想象。因此，對辦公內(nèi)部網(wǎng)絡的安全防范不是確保每一臺網(wǎng)絡內(nèi)的計算機不發(fā)生安全問題，而是確保發(fā)生的安全問題只限于這一臺計算機或這一小范圍，控制其影響的區(qū)域。目前，對內(nèi)網(wǎng)采取“多安全域劃分”的技術(shù)較好地解決了這個問題，而GAP系統(tǒng)的一個典型的應用就是對內(nèi)網(wǎng)的多個不同信任域的信息交換和訪問進行控制。因此，使用GAP系統(tǒng)來實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”，是一個比較理想的方法。

“多安全域劃分”技術(shù)

“多安全域劃分”技術(shù)就是根據(jù)內(nèi)網(wǎng)的安全需求將內(nèi)網(wǎng)中具有不同信任度（安全等級）網(wǎng)段劃分成獨立的安全域，通過在這些安全域間加載獨立的訪問控制策略來限制內(nèi)網(wǎng)中不同信任度網(wǎng)絡間的相互訪問。這樣，即使某個低安全級別區(qū)域出現(xiàn)了安全問題，其他安全域也不會受到影響。

利用網(wǎng)絡隔離技術(shù)（GAP）實現(xiàn)辦公內(nèi)網(wǎng)的“多安全域劃分”

首先，必須根據(jù)辦公內(nèi)網(wǎng)的實際情況將內(nèi)網(wǎng)劃分出不同的安全區(qū)域，根據(jù)需要賦予這些安全區(qū)域不同的安全級別。安全級別越高則相應的信任度越高，安全級別較低則相應的信任度較低，然后安全人員按照所劃分的安全區(qū)域?qū)AP設備進行安裝。系統(tǒng)管理員依照不同安全區(qū)域的信任度高低，設置GAP設備的連接方向。GAP設備的內(nèi)網(wǎng)處理單元安裝在高安全級別區(qū)域，GAP設備的外網(wǎng)處理單元安裝在低信任度的安全區(qū)域，專用隔離硬件交換單元則布置在這兩個安全區(qū)域之間。內(nèi)網(wǎng)處理單元高安全級別區(qū)域（假設為A區(qū)域）用戶的網(wǎng)絡服務請求，外網(wǎng)處理單元負責從低安全級別區(qū)域（設為B區(qū)域）取得網(wǎng)絡數(shù)據(jù)，專用隔離硬件則將B區(qū)域的網(wǎng)絡數(shù)據(jù)轉(zhuǎn)移至A區(qū)域，最終該網(wǎng)絡數(shù)據(jù)返回給發(fā)出網(wǎng)絡服務請求的A區(qū)域用戶。這樣，A區(qū)域內(nèi)用戶可通過GAP系統(tǒng)訪問B區(qū)域內(nèi)的服務器、郵件服務器、進行郵件及網(wǎng)頁瀏覽等。同時，A區(qū)域內(nèi)管理員可以進行A區(qū)域與B區(qū)域之間的批量數(shù)據(jù)傳輸、交互操作，而B區(qū)域的用戶則無法訪問A區(qū)域的資源。這種訪問的不對稱性符合不同安全區(qū)域信息交互的要求，實現(xiàn)信息只能從低安全級別區(qū)域流向高安全級別區(qū)域的“安全隔離與信息單向傳輸”。

這樣，較易出現(xiàn)安全問題的低安全區(qū)（包括人員和設備）就不會對高安全區(qū)造成安全威脅，保證了核心信息的機密性和完整性。同時，由于在GAP外網(wǎng)單元上集成了入侵檢測和防火墻模塊，其本身也綜合了訪問控制、檢測、內(nèi)容過濾、病毒查殺，因此，GAP可限制指定格式的文件，采用專用映射協(xié)議實現(xiàn)系統(tǒng)內(nèi)部的純數(shù)據(jù)傳輸，限定了內(nèi)網(wǎng)局部安全問題只能影響其所在的那個安全級別區(qū)域，控制了其擴散的范圍。

“多安全域劃分”的防護效果

篇2

2當前網(wǎng)絡數(shù)據(jù)通信中存在的主要安全隱患

2.1網(wǎng)絡病毒

當前，Internet已經(jīng)成為了各種計算機網(wǎng)絡病毒的最大傳播途徑，一旦用戶終端被網(wǎng)絡病毒感染，就可能造成與其進行數(shù)據(jù)通信的其他用戶終端被連帶感染，特別是當前病毒的破壞形式多種多樣，能在不被發(fā)現(xiàn)的情況下對傳輸數(shù)據(jù)進行復制、篡改和毀壞，也可以通過侵入終端內(nèi)部對系統(tǒng)數(shù)據(jù)進行攻擊，從而造成數(shù)據(jù)通信質(zhì)量下降或中斷。在政府機構(gòu)或企業(yè)中，一些非法分子出于經(jīng)濟或政治目的，通過對政府機關(guān)網(wǎng)或企業(yè)局域網(wǎng)的服務器植入病毒，造成機密信息外泄，從而造成不可估量的損失，嚴重時還可能威脅到國家安全和社會穩(wěn)定。

2.2黑客攻擊

正常的網(wǎng)絡通信是通過合法訪問的形式實現(xiàn)的，而在現(xiàn)實中，一些網(wǎng)絡黑客出于不同的目的，在未經(jīng)允許的情況下就利用網(wǎng)絡傳輸協(xié)議、服務器以及操作系統(tǒng)上的安全漏洞進行非法訪問，使得系統(tǒng)內(nèi)部的信息和數(shù)據(jù)被盜取或刪改等，從而造成系統(tǒng)崩潰、重要信息丟失或泄露等嚴重事件。

2.3管理缺失

在實際工作中，很多用戶在利用網(wǎng)絡進行數(shù)據(jù)通信時沒有充分重視安全方面的問題。一方面沒有投入先進的網(wǎng)絡硬件設備，或者投入時只重視服務器、交換機等硬件設備的性能而忽略了安全防護性；另一方面由于相關(guān)技術(shù)人員和管理人員缺乏，使得信息的使用和傳輸非常隨意，再加上對傳輸和終端設備的入網(wǎng)安全性檢測工作不嚴，容易被不法分子在設備內(nèi)部設置后門，從而給數(shù)據(jù)通信安全造成威脅。

3網(wǎng)絡數(shù)據(jù)通信中的安全防范技術(shù)措施

3.1對網(wǎng)絡入侵進行檢測

網(wǎng)絡數(shù)據(jù)通信一般都是基于TCP/IP等網(wǎng)絡通信協(xié)議的基礎(chǔ)上完成的，在這個過程中可以加強對網(wǎng)絡訪問行為的監(jiān)視和分析，判斷其是否屬于合法訪問的范疇。一旦發(fā)現(xiàn)其存在違反安全策略的行為，就要立即對訪問實施攔截，同時發(fā)出報警，提示相關(guān)工作人員進行進一步的處理。

3.2實施訪問控制

首先，對不同的訪問用戶設置不同的安全權(quán)限。通過設置不同的安全權(quán)限可以有效防止未經(jīng)授權(quán)的用戶訪問敏感信息，避免了機密信息數(shù)據(jù)的外泄。其次，局域網(wǎng)用戶還應做好內(nèi)部訪問外網(wǎng)的控制，通過部署網(wǎng)絡版防火墻等方式杜絕外部病毒和木馬程序順著訪問路徑入侵。最后，采用認證技術(shù)來限制用戶訪問網(wǎng)絡。用戶只有通過門戶網(wǎng)站或客戶端的形式完成認證步驟，才能實施對外部網(wǎng)絡的訪問。

3.3進行數(shù)據(jù)加密將信息數(shù)據(jù)在傳輸前進行加密，被接收之后通過解密機進行還原，從而有效提高數(shù)據(jù)在傳輸過程中的安全性。目前常用的數(shù)據(jù)加密技術(shù)有兩種：

（1）端到端加密技術(shù)。在數(shù)據(jù)信息的發(fā)送端和接收端同時以加密的形式存在。

（2）鏈路加密技術(shù)。在數(shù)據(jù)信息的傳輸過程中以加密的形式存在。在實際應用中，這兩種加密技術(shù)一般混合采用，以提高數(shù)據(jù)信息的安全性。

篇3

（1）個人信息的泄露。在網(wǎng)絡工程當中，對于系統(tǒng)硬件、軟件的相關(guān)維護工作還不夠完善，同時網(wǎng)絡通信當中的許多登錄系統(tǒng)需要借助遠程終端來完成，造成系統(tǒng)遠程終端和網(wǎng)絡用戶在用戶運用互聯(lián)網(wǎng)進入對應系統(tǒng)時存在長遠的連接點，當信息在進行傳輸時，這些連接點很容易引起黑客對用戶的入侵以及攻擊，使得用戶信息被泄露，個人信息安全得不到保障。

（2）網(wǎng)絡通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡通信提供了技術(shù)基礎(chǔ)，用戶通過IP協(xié)議或TCP協(xié)議得到遠程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過點與點連接的方式來進行信息的傳輸。然而，網(wǎng)絡結(jié)構(gòu)間卻是以樹狀形式進行連接的，當用戶受到黑客入侵或攻擊時，樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。

（3）相關(guān)網(wǎng)絡維護系統(tǒng)不夠完善。網(wǎng)絡維護系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計算機終端主要是依靠主流操作系統(tǒng)，在長時間的使用下需下載一些補丁來對系統(tǒng)進行相關(guān)的維護，導致了軟件的程序被泄露。

2對于網(wǎng)絡通信中存在的信息安全問題的應對方案

對于上述的種種網(wǎng)絡通信當中存在的信息安全問題，我們應當盡快地采取有效的對策，目前主要可以從以下幾個方面入手：

（1）用戶應當保護好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標。在用戶進行網(wǎng)絡信息傳輸時，交換機是進行信息傳遞的重要環(huán)節(jié)，因此，用戶可以利用對網(wǎng)絡交換機安全的嚴格保護來保證信息的安全傳輸。除此之外，對所使用的路由器進行嚴格的控制與隔離等方式也可以加強用戶所使用的IP地址的安全。

（2）對信息進行加密。網(wǎng)絡通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲過程當中的安全問題。在這兩個過程當中，黑客通過竊聽傳輸時的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對信息進行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對網(wǎng)絡通信當中信息的安全做出威脅。互聯(lián)網(wǎng)用戶如果在進行信息傳遞與存儲時，能夠根據(jù)具體情況選用合理的方法來對信息進行嚴格的加密處理，那么便可以有效地防治這些信息安全問題的產(chǎn)生。

（3）完善身份驗證系統(tǒng)。身份驗證是互聯(lián)網(wǎng)用戶進行網(wǎng)絡通信的首要步驟。在進行身份驗證時一般都需要同時具備用戶名以及密碼才能完成登錄。在驗證過程當中用戶需要注意的是要盡量將用戶名、密碼分開儲存，可以適當?shù)厥褂靡淮涡悦艽a，同時還可以利用安全口令等方法來保證身份驗證的安全。隨著科技的快速發(fā)展，目前一些指紋驗證、視網(wǎng)膜驗證等先進生物檢測方法也慢慢得到了運用，這給網(wǎng)絡通信信息安全提供了極大的保障。

篇4

隨著計算機網(wǎng)絡的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡的重要性和對社會的影響也越來越大。而網(wǎng)絡安全問題顯得越來越重要了。國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。

一、網(wǎng)絡的開放性帶來的安全問題

眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡建設者的關(guān)注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點：

（一）每一種安全機制都有一定的應用范圍和應用環(huán)境

防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡結(jié)構(gòu)，限制外部網(wǎng)絡到內(nèi)部網(wǎng)絡的訪問。但是對于內(nèi)部網(wǎng)絡之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡到內(nèi)部網(wǎng)絡之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。

（二）安全工具的使用受到人為因素的影響

一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當?shù)脑O置就會產(chǎn)生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應用環(huán)境和專門的應用需求就很難判斷設置的正確性。

（三）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方

防火墻很難考慮到這類安全問題，多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

（四）只要有程序，就可能存在BUG

甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（五）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)

然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、網(wǎng)絡安全的主要技術(shù)

安全是網(wǎng)絡賴以生存的保障，只有安全得到保障，網(wǎng)絡才能實現(xiàn)自身的價值。網(wǎng)絡安全技術(shù)隨著人們網(wǎng)絡實踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認證、加密、防火墻及入侵檢測是網(wǎng)絡安全的重要防線。

（一）認證

對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。

（二）數(shù)據(jù)加密

加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。

1.私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現(xiàn)。

2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復雜的系統(tǒng)。

（三）防火墻技術(shù)

防火墻是網(wǎng)絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡信息傳輸方向的簡單路由器，而是在網(wǎng)絡傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和服務器技術(shù)，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。

防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、服務器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上難免有所疏忽。

（四）入侵檢測系統(tǒng)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

（五）虛擬專用網(wǎng)（VPN）技術(shù)

VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡上建立專用網(wǎng)絡，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。用以在公共通信網(wǎng)絡上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設備身份認證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術(shù)不同層次的安全服務，這些安全服務包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務器發(fā)起的。

（六）其他網(wǎng)絡安全技術(shù)

1．智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡服務器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。

2．安全脆弱性掃描技術(shù)，它為能針對網(wǎng)絡分析系統(tǒng)當前的設置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡入侵的防御能力的一種安全技術(shù)。

3．網(wǎng)絡數(shù)據(jù)存儲、備份及容災規(guī)劃，它是當系統(tǒng)或設備不幸遇到災難后就可以迅速地恢復數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。

4．IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

篇5

2）局域網(wǎng)的管理。局域網(wǎng)管理是影響局域網(wǎng)功能能否充分發(fā)揮的重要因素。依據(jù)對象的不同可將管理內(nèi)容分為人的管理與局域網(wǎng)的管理，其中對人的管理主要體現(xiàn)在：要求局域網(wǎng)使用人員嚴格按照制定的規(guī)章制度使用局域網(wǎng)，要求其不人為破壞局域網(wǎng)的軟、硬件，以及其他重要設施。而對局域網(wǎng)的管理則包括局域網(wǎng)結(jié)構(gòu)的選擇、局域網(wǎng)功能的擴展以及局域網(wǎng)所處環(huán)境的優(yōu)化等內(nèi)容，一方面根據(jù)局域網(wǎng)的規(guī)劃功能選擇合理的局域網(wǎng)拓撲結(jié)構(gòu)。另一方面擴展局域網(wǎng)功能時應綜合考慮經(jīng)濟投入，實現(xiàn)目標等內(nèi)容，要求在實現(xiàn)局域網(wǎng)相關(guān)功能的基礎(chǔ)上最大限度的降低經(jīng)濟投入。另外，優(yōu)化局域網(wǎng)環(huán)境時應重點考慮人員配備與局域網(wǎng)性能的匹配，以確保局域網(wǎng)資源的充分利用。

2局域網(wǎng)網(wǎng)絡安全研究

局域網(wǎng)網(wǎng)絡安全是業(yè)內(nèi)人士討論的經(jīng)典話題，而且隨著互聯(lián)網(wǎng)攻擊的日益頻繁，以及病毒種類的不斷增加與衍生，使人們不得不對局域網(wǎng)安全問題進行重新審視。采取何種防范手段確保局域網(wǎng)安全仍是人們關(guān)注的重點。那么為確保局域網(wǎng)網(wǎng)絡安全究竟該采取何種措施呢？接下來從物理安全與訪問控制兩方面進行探討。

1）物理安全策略。物理安全策略側(cè)重在局域網(wǎng)硬件以及使用人員方面對局域網(wǎng)進行保護。首先，采取針對性措施，加強對局域網(wǎng)中服務器、通信鏈路的保護，尤其避免人為因素帶來的破壞。例如，保護服務器時可設置使用權(quán)限，避免無權(quán)限的人員使用服務器，導致服務器信息泄露；其次，加強局域網(wǎng)使用人員的管理。通過制定完善的工作制度，避免外來人員使用局域網(wǎng)，尤其禁止使用局域網(wǎng)時隨意安裝相關(guān)軟件，拆卸局域網(wǎng)硬件設備；最后，提高工作人員局域網(wǎng)安全防范意識。通過專業(yè)培訓普及局域網(wǎng)安全技術(shù)知識，使局域網(wǎng)使用者掌握有效的安全防范技巧與方法，從內(nèi)部入手做好局域網(wǎng)安全防范工作。

2）加強訪問控制。訪問控制是防止局域網(wǎng)被惡意攻擊、病毒傳染的有效手段，因此，為進一步提高局域網(wǎng)安全性，應加強訪問控制。具體應從以下幾方面入手實現(xiàn)訪問控制。首先，做好入網(wǎng)訪問控制工作。當用戶試圖登錄服務器訪問相關(guān)資源時，應加強用戶名、密碼的檢查，有效避免非法人員訪問服務器；其次，給用戶設置不同的訪問權(quán)限。當用戶登錄到服務器后，為防止無關(guān)人員獲取服務器重要信息，應給予設置對應的權(quán)限，即只允許用戶在權(quán)限范圍內(nèi)進行相關(guān)操作，訪問相關(guān)子目錄、文件夾中的文件等，避免其給局域網(wǎng)帶來安全威脅；再次，加強局域網(wǎng)的監(jiān)測。網(wǎng)絡管理員應密切監(jiān)視用戶行為，詳細記錄其所訪問的資源，一旦發(fā)現(xiàn)用戶有不法行為應對其進行鎖定，限制其訪問；最后，從硬件方面入手提高網(wǎng)絡的安全性。例如，可根據(jù)保護信息的重要程度，分別設置數(shù)據(jù)庫防火墻、應用層防火墻以及網(wǎng)絡層防火墻。其中數(shù)據(jù)庫防火墻可對訪問進行控制，一旦發(fā)現(xiàn)給數(shù)據(jù)庫構(gòu)成威脅的行為可及時阻斷。同時，其還具備審計用戶行為的功能，判斷中哪些行為可能給數(shù)據(jù)庫信息構(gòu)成破壞等。應用層防火墻可實現(xiàn)某程序所有程序包的攔截，可有效防止木馬、蠕蟲等病毒的侵入。網(wǎng)絡層防火墻工作在底層TCP/IP協(xié)議堆棧上，依據(jù)制定的規(guī)則對訪問行為進行是否允許訪問的判斷。而訪問規(guī)則由管理員結(jié)合實際進行設定。

3）加強安全管理。網(wǎng)絡病毒由來已久而且具有較大破壞性，因此，為避免其給網(wǎng)絡造成破壞，管理員應加強管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件，不擅自下載、安裝可疑軟件。另一方面，在使用U盤、軟盤時應先進行病毒查殺。另外，安裝專門的殺毒軟件，如卡巴斯基、360殺毒等并及時更新病毒庫，定期對系統(tǒng)進行掃描，以及時發(fā)現(xiàn)病毒將其殺滅。另外，安裝入侵檢測系統(tǒng)。該系統(tǒng)可即時監(jiān)視網(wǎng)絡傳輸情況，一旦發(fā)現(xiàn)可疑文件傳輸時就會發(fā)出警報或直接采用相關(guān)措施，保護網(wǎng)絡安全。依據(jù)方法可將其分為誤用入侵檢測與異常入侵檢測，其中異常檢測又被細分為多種檢測方法，以實現(xiàn)入侵行為檢測，而誤用入侵檢測包括基于狀態(tài)轉(zhuǎn)移分析的檢測法、專家系統(tǒng)法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數(shù)據(jù)路中的網(wǎng)絡入侵信息進行對比，以及時發(fā)現(xiàn)入侵行為。

篇6

計算機系統(tǒng)的正常運行以計算機操作系統(tǒng)程序為主要依據(jù)，與之相關(guān)的各類程序也必須以此為標準，操作系統(tǒng)理所當然地成為了計算機系統(tǒng)中的基本程序。計算機操作系統(tǒng)具有較強的拓展性，開發(fā)商很容易完成計算機系統(tǒng)的開發(fā)工作。但是，在優(yōu)化和升級計算機系統(tǒng)的過程中，相關(guān)操作技術(shù)仍存在較大問題，這是計算機技術(shù)快速發(fā)展的難點，也是黑客入侵計算機系統(tǒng)的主要切入點。

1.2計算機病毒安全問題

計算機一旦受到病毒的入侵，將會出現(xiàn)嚴重的運行問題，如系統(tǒng)癱瘓、傳輸數(shù)據(jù)失真以及數(shù)據(jù)庫信息丟失等。計算機病毒具有典型的潛伏性、傳染性、隱蔽性和破環(huán)性，目前，計算機病毒種類主要有以下四種：第一，木馬病毒。該類病毒的主要目的是竊取計算機上的數(shù)據(jù)信息，具有典型的誘騙性；第二，蠕蟲病毒。熊貓燒香是該類病毒的典型代表，以用戶計算機上出現(xiàn)的漏洞為切入點，綜合使用攻擊計算機終端的方式控制計算機系統(tǒng)，該病毒具有較強的傳播性和變異性；第三，腳本病毒。該病毒主要發(fā)生在互聯(lián)網(wǎng)網(wǎng)頁位置；第四，間諜病毒。要想提升某網(wǎng)頁的訪問量，強制要求計算機用戶主頁預期鏈接。伴隨著科技的發(fā)展，計算機網(wǎng)絡應用范圍不斷擴大，各種類型病毒的破壞性也隨之增加。

1.3黑客

通過網(wǎng)絡攻擊計算機目前，我國仍存在著大量非法人員對計算機系統(tǒng)進行攻擊等行為，這類人員大都掌握著扎實的計算機和計算機安全漏洞技術(shù)，對計算機用戶終端與網(wǎng)絡做出強有力的破壞行為是他們的主要目的。黑客攻擊計算機網(wǎng)絡的主要形式有三種：第一，利用虛假的信息攻擊網(wǎng)絡；第二，利用木馬或者病毒程序?qū)τ嬎銠C用戶的電腦進行控制；第三，結(jié)合計算機用戶瀏覽網(wǎng)頁的腳本漏洞對其進行攻擊。

2計算機網(wǎng)絡安全技術(shù)在企業(yè)網(wǎng)中的應用

2.1防火墻技術(shù)

防護墻技術(shù)是計算機網(wǎng)絡安全技術(shù)在企業(yè)網(wǎng)中應用的主要表現(xiàn)形式之一。防火墻技術(shù)的應用能夠從根本上解決計算機病毒安全問題，在實際應用過程中，計算機網(wǎng)絡安全中心的防火墻技術(shù)被分為應用級防火墻和包過濾防火墻兩種形式。其中應用型防護墻的主要目的是保護服務器的安全，在掃描終端服務器的數(shù)據(jù)后，如果發(fā)現(xiàn)有意或者不合常理等攻擊行為，系統(tǒng)應該及時切斷服務器與內(nèi)網(wǎng)服務器之間的交流，采用終端病毒傳播的方式保護企業(yè)網(wǎng)的安全。包過濾防火墻的主要工作任務是及時過濾路由器傳輸給計算機的數(shù)據(jù)信息，這種過濾手段可以阻擋病毒信息入侵計算機系統(tǒng)，并第一時間內(nèi)通知用戶攔截病毒信息，為提高企業(yè)網(wǎng)的安全性提供技術(shù)保障。下圖1是企業(yè)網(wǎng)防護墻配置示意圖。Intranet周邊網(wǎng)絡InternetInternet防火墻周邊防火墻內(nèi)部網(wǎng)絡服外部網(wǎng)絡務器服務器圖1防火墻配置

2.2數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計算機網(wǎng)絡安全技術(shù)在企業(yè)網(wǎng)中應用的另一種表現(xiàn)形式。在企業(yè)發(fā)展建設過程中，要想提高企業(yè)發(fā)展信息的安全性和可靠性，企業(yè)必須在實際運行的計算機網(wǎng)絡中綜合使用數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)要求將企業(yè)網(wǎng)內(nèi)的相關(guān)數(shù)據(jù)進行加密處理，在傳輸和接收數(shù)據(jù)信息的過程中必須輸入正確的密碼才能打開相關(guān)文件，這為提高企業(yè)信息的安全性提供了技術(shù)保障。加密算法的常用形式有對稱加密算法和非對稱加密算法兩種，其中對稱加密算法中使用的加密和加密信息保持一致，非對稱加密算法中加密方法和解密方法存在較大的差異，通常很難被黑客破解，這兩種加密形式在企業(yè)網(wǎng)中均得到了廣泛應用。

2.3病毒查殺技術(shù)

病毒查殺技術(shù)是計算機網(wǎng)絡安全技術(shù)在企業(yè)網(wǎng)中應用的表現(xiàn)形式之一。病毒對計算機安全有極大的威脅，該技術(shù)要求企業(yè)技術(shù)對計算機操作系統(tǒng)進行檢測和更新，減少系統(tǒng)出現(xiàn)漏洞的頻率；杜絕用戶在不經(jīng)允許的情況下私自下載不正規(guī)的軟件；安裝正版病毒查殺軟件的過程中還應該及時清理病毒數(shù)據(jù)庫；控制用戶瀏覽不文明的網(wǎng)頁；在下載不明郵件或者軟件后立即對不良文件進行病毒查殺處理，確定文件的安全性后才能投入使用。

2.4入侵檢測技術(shù)

入侵檢測技術(shù)在企業(yè)網(wǎng)安全運行中發(fā)揮著至關(guān)重要的作用，其作用主要表現(xiàn)在以下幾方面：第一，收集計算機操作系統(tǒng)、網(wǎng)絡數(shù)據(jù)及相關(guān)應用程序中存在的信息數(shù)據(jù)；第二，找尋計算機系統(tǒng)中可能存在的侵害行為；第三，自動發(fā)出病毒侵害報警信號；第四，切斷入侵途徑；第五，攔截入侵。入侵檢測技術(shù)在企業(yè)網(wǎng)中的應用具有較強的安全性特征，該技術(shù)的主要任務是負責監(jiān)視企業(yè)網(wǎng)絡運行狀況，對網(wǎng)絡的正常運行不會產(chǎn)生任何影響。入侵檢測技術(shù)使用的網(wǎng)絡系統(tǒng)以基于主機系統(tǒng)和基于網(wǎng)絡的入侵系統(tǒng)為主。基于主機系統(tǒng)的入侵檢測技術(shù)主要針對企業(yè)網(wǎng)的主機系統(tǒng)、歷史審計數(shù)據(jù)和用戶的系統(tǒng)日志等，該檢測技術(shù)具有極高的準確性，但是，實際檢測過程中很容易引發(fā)各種問題，如數(shù)據(jù)失真和檢測漏洞等；基于網(wǎng)絡入侵檢測技術(shù)以其自身存在的特點為依據(jù)，以網(wǎng)絡收集的相關(guān)數(shù)據(jù)信息為手段，在第一時間將入侵分析模塊里做出的測定結(jié)果發(fā)送給網(wǎng)絡管理人，該技術(shù)具有較強的抗攻擊能力、能在短時間內(nèi)做出有效的檢測，但是，由于該技術(shù)能對網(wǎng)絡數(shù)據(jù)包的變化狀況進行監(jiān)控，在實際過程中會給加密技術(shù)帶來一定程度影響。入侵檢測技術(shù)在企業(yè)網(wǎng)的應用過程中通常表現(xiàn)為誤用檢測和異常檢測兩種形式。誤用檢測通常以已經(jīng)確定的入侵模式為主，在實際檢測過程中，該檢測方法具有響應速度快和誤警率低等特點，但是，該檢測技術(shù)需要較長的檢測時間為支撐，實際耗費的工作量比較大。異常檢測的主要對象是計算機資源中用戶和系統(tǒng)非正常行為和正常行為情況，該檢測法誤警率較高，在實際檢測過程中必須對整個計算機系統(tǒng)進行全盤掃描，因此，必須有大量的檢測時間作支撐。

篇7

網(wǎng)絡系統(tǒng)的可用性是指計算機網(wǎng)絡系統(tǒng)要隨時隨地能夠為用戶服務，要保障合法用戶能夠訪問到想要瀏覽的網(wǎng)絡信息，不會出現(xiàn)拒絕合法用戶的服務要求和非合法用戶濫用的現(xiàn)象。計算機網(wǎng)絡系統(tǒng)最重要的功能就是為合法用戶提供多方面的、隨時隨地的網(wǎng)絡服務。

1.2完整性

網(wǎng)絡系統(tǒng)的完整性是指網(wǎng)絡信息在傳輸過程中不能因為任何原因，發(fā)生網(wǎng)絡信摻入、重放、偽造、修改、刪除等破壞現(xiàn)象[1]，影響網(wǎng)絡信息的完整性。通過信息攻擊、網(wǎng)絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網(wǎng)絡信息完整性的破壞。

1.3保密性

網(wǎng)絡系統(tǒng)的保密性是指網(wǎng)絡系統(tǒng)要保證用戶信息不能發(fā)生泄露，主要體現(xiàn)在網(wǎng)絡系統(tǒng)的可用性和可靠性，是網(wǎng)絡系統(tǒng)安全的重要指標。保密性不同于完整性，完整性強調(diào)的是網(wǎng)絡信息不能被破壞，保密性是指防止網(wǎng)絡信息的發(fā)生泄露[2]。

1.4真實性

網(wǎng)絡系統(tǒng)的真實性是指網(wǎng)絡用戶對網(wǎng)絡系統(tǒng)操作的不可抵賴性，任何用戶都不能抵賴或者否定曾經(jīng)對網(wǎng)絡系統(tǒng)的承諾和操作。

1.5可靠性

網(wǎng)絡系統(tǒng)的可靠性是指系統(tǒng)的安全穩(wěn)定運行，網(wǎng)絡系統(tǒng)要在一定的時間和條件下穩(wěn)定的完成網(wǎng)絡用戶指定的任務和功能，網(wǎng)絡系統(tǒng)的可靠性是網(wǎng)絡安全最基本的要求。

1.6可控性

網(wǎng)絡系統(tǒng)的可控性是指網(wǎng)絡系統(tǒng)可以控制和調(diào)整網(wǎng)絡信息傳播方式和傳播內(nèi)容的能力，為了保障國家和廣大人民的利益，為正常的社會管理秩序，網(wǎng)絡系統(tǒng)管理者有必要對網(wǎng)絡信息進行適當?shù)谋O(jiān)督和控制，避免外地侵犯和社會犯罪，維護網(wǎng)絡安全。

2網(wǎng)絡安全技術(shù)在校園網(wǎng)中的應用

2.1防火墻

防火墻是指管理校園網(wǎng)和外界互聯(lián)網(wǎng)之間用戶訪問權(quán)限的軟件和硬件的組合設備[3]，防火墻處于校園網(wǎng)和外界互聯(lián)網(wǎng)之間的通道中，能夠有效地阻斷來自外界的病毒和非法訪問，能夠有效地提高校園網(wǎng)的網(wǎng)絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務，同時還可以對防火墻進行設置，屏蔽有危害、不健康的網(wǎng)絡網(wǎng)站，降低校園網(wǎng)的安全危害。另外防火墻還可以有效地監(jiān)控用戶對校園網(wǎng)的訪問，記錄用戶的訪問記錄，保存到網(wǎng)絡數(shù)據(jù)庫中，可以快速統(tǒng)計校園網(wǎng)的使用情況，在分析用戶訪問記錄如果發(fā)現(xiàn)用戶的操作存在安全問題，防火墻可以及時發(fā)出報警信號，提醒用戶的這個非法操作，防止校園網(wǎng)內(nèi)部信息的泄露、另外，防火墻可以和NAT技術(shù)高效地結(jié)合起來，用于隱藏校園網(wǎng)的網(wǎng)絡結(jié)構(gòu)信息，提高校園網(wǎng)的安全系數(shù)，同時防火墻和NAT技術(shù)的高效結(jié)合很好地解決了校園網(wǎng)IP不足的情況，提高了校園網(wǎng)的運行效率。防火墻在校園網(wǎng)中的應用，完善了校園網(wǎng)內(nèi)部的網(wǎng)絡隔斷，即使校園網(wǎng)發(fā)生安全問題，也可以在短時間內(nèi)控制問題擴散的速度和范圍。防火墻在校園網(wǎng)中發(fā)揮著重要的作用，能夠有效地阻斷來自外界互聯(lián)網(wǎng)的安全侵害，但是防火墻不能阻止校園網(wǎng)內(nèi)部的安全問題，不能拒絕和控制校園網(wǎng)內(nèi)部的感染病毒。

2.2VPN技術(shù)

VPN技術(shù)在校園網(wǎng)的應用，通過VPN設備將校內(nèi)局域網(wǎng)和外部的互聯(lián)網(wǎng)連接起來，可以提高校園網(wǎng)的數(shù)據(jù)安全。VPN服務器經(jīng)過設置后，只有符合相應條件的用戶經(jīng)過連接VPN服務器才能獲得訪問特定網(wǎng)絡信息的權(quán)限，拒絕校園網(wǎng)內(nèi)用戶的危險操作。VPN技術(shù)可以實現(xiàn)用戶驗證，通過驗證校內(nèi)網(wǎng)用戶的身份，只有符合條件的授權(quán)用戶才能連接到VPN服務器，進行相關(guān)訪問。其次實現(xiàn)校園網(wǎng)數(shù)據(jù)加密，VPN技術(shù)可以將通過互聯(lián)網(wǎng)通道傳輸?shù)臄?shù)據(jù)進行加密，只有經(jīng)過授權(quán)的用戶才能訪問這些信息。再次實現(xiàn)校園網(wǎng)密鑰管理，通過生成校園網(wǎng)和互聯(lián)網(wǎng)的基本協(xié)議，提高校園網(wǎng)的可靠性。并且VPN技術(shù)在校園網(wǎng)中的應用不需要安裝VPN的客戶端設備，降低了校園網(wǎng)安全管理的成本。通過VPN技術(shù)，校園網(wǎng)絡管理員可以對校園網(wǎng)內(nèi)用戶的操作進行實時監(jiān)控，及時發(fā)現(xiàn)校園網(wǎng)絡故障點，進行遠程維護，提高校園網(wǎng)維護管理能力。

2.3入侵檢測技術(shù)

入侵檢測技術(shù)在校園網(wǎng)中的應用，可以檢測校園網(wǎng)絡中一些不安全的網(wǎng)絡操作行為，一旦檢測到網(wǎng)絡系統(tǒng)中的一些異?，F(xiàn)象和未授權(quán)的網(wǎng)絡操作，就會發(fā)出網(wǎng)絡報警信號。入侵檢測技術(shù)可以自動分析校園網(wǎng)絡的用戶活動，檢測出校園網(wǎng)中授權(quán)用戶的非法使用和未授權(quán)用戶的越權(quán)使用[4]。入侵檢測技術(shù)還可以監(jiān)控校園網(wǎng)絡系統(tǒng)的配置情況，檢測出系統(tǒng)安全漏洞，提醒校園網(wǎng)絡管理人員及時進行維護。另外，入侵檢測技術(shù)在識別網(wǎng)絡攻擊和網(wǎng)絡威脅方面具有重要的作用，可以及時發(fā)出報警信號，并且拒絕和處理網(wǎng)絡攻擊入侵行為，結(jié)合發(fā)現(xiàn)的網(wǎng)絡攻擊模式，檢測校園網(wǎng)系統(tǒng)結(jié)構(gòu)是否存在安全漏洞，提高校園網(wǎng)的數(shù)據(jù)完整性，進行系統(tǒng)評估。

2.4訪問控制技術(shù)

訪問控制技術(shù)主要是用來控制校園網(wǎng)用戶的非法訪問和非法操作，用戶想要進入校園網(wǎng)，首先要通過訪問控制，經(jīng)過驗證識別用用戶口令、戶名、密碼等，確定該用戶是否具有訪問校園網(wǎng)的權(quán)限，當用戶進入校園網(wǎng)后，就會賦予用戶訪問操作權(quán)限，使校園網(wǎng)絡資源不會被未授權(quán)用戶非法使用和非法訪問。

2.5網(wǎng)絡數(shù)據(jù)恢復和備份技術(shù)

校園網(wǎng)中的網(wǎng)絡數(shù)據(jù)恢復和備份技術(shù)，可以防止校園網(wǎng)信息數(shù)據(jù)丟失，保護校園網(wǎng)重要信息資源。網(wǎng)絡數(shù)據(jù)恢復和備份技術(shù)可以實現(xiàn)集中式的網(wǎng)絡信息資源管理，對整個校園網(wǎng)系統(tǒng)中的信息資源進行備份管理，可以極大地提高校園網(wǎng)管理員的工作效率，實現(xiàn)網(wǎng)絡資源的統(tǒng)一管理，利用網(wǎng)絡備份設備實時監(jiān)控校園網(wǎng)絡中的備份作業(yè)，結(jié)合校園網(wǎng)的運行情況，及時修改網(wǎng)絡備份策略[5]，提高系統(tǒng)備份效率。校園網(wǎng)管理員可以利用網(wǎng)絡數(shù)據(jù)恢復和備份技術(shù)，定時對網(wǎng)絡數(shù)據(jù)庫中的數(shù)據(jù)進行備份，這是網(wǎng)絡管理重要環(huán)節(jié)。校園網(wǎng)的備份系統(tǒng)可以在用戶進行校園網(wǎng)訪問時，建立在線網(wǎng)絡索引，當用戶需要恢復網(wǎng)絡信息時，通過在線網(wǎng)絡索引中的備份系統(tǒng)就可以自動恢復網(wǎng)絡數(shù)據(jù)文件。網(wǎng)絡數(shù)據(jù)恢復和備份技術(shù)實現(xiàn)了校園網(wǎng)絡的歸檔管理，通過時間定期和項目管理對網(wǎng)絡信息數(shù)據(jù)進行歸檔管理，在網(wǎng)絡環(huán)境建立統(tǒng)一的數(shù)據(jù)備份和儲存格式，使所有網(wǎng)絡信息數(shù)據(jù)在統(tǒng)一格式中完成長時間的保存[6]。

2.6災難恢復技術(shù)

校園網(wǎng)中的災難恢復主要包括兩類：個別數(shù)據(jù)文件的恢復和所有信息數(shù)據(jù)的恢復。當校園網(wǎng)中的個別數(shù)據(jù)文件恢復可以利用網(wǎng)絡中備份系統(tǒng)完成個別受損數(shù)據(jù)文件的恢復，校園網(wǎng)絡管理員可以瀏覽目錄或者數(shù)據(jù)庫，觸動受損數(shù)據(jù)文件的恢復功能，系統(tǒng)會自動加載存儲軟件，恢復受損文件。所有信息數(shù)據(jù)的恢復主要應用在當發(fā)生意外災難時導致整個校園網(wǎng)系統(tǒng)重組、系統(tǒng)升級、系統(tǒng)崩潰和信息數(shù)據(jù)丟失等情況。

篇8

常永亮

(飛行試驗研究院測試所陜西西安710089)

【摘要】Internet是一種開放和標準的面向所有用戶的技術(shù)，其資源通過網(wǎng)絡共享，因此，資源共享和信息安全就成了一對矛盾。

【關(guān)鍵詞】網(wǎng)絡攻擊、安全預防、風險分析、網(wǎng)絡安全

1.引言

隨著網(wǎng)絡的迅速發(fā)展，網(wǎng)絡的安全性顯得非常重要，這是因為懷有惡意的攻擊者竊取、修改網(wǎng)絡上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網(wǎng)絡資源，阻止其他用戶使用等。然而，網(wǎng)絡作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡建設者的關(guān)注。

一般來說，計算機系統(tǒng)本身的脆弱性和通信設施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構(gòu)成了網(wǎng)絡的潛在威脅。隨著無線互聯(lián)網(wǎng)越來越普及的應用，互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實施，因此，特別在構(gòu)建內(nèi)部網(wǎng)時，若忽略了無線設備的安全性則是一種重大失誤。

2.網(wǎng)絡攻擊及其防護技術(shù)

計算機網(wǎng)絡安全是指計算機、網(wǎng)絡系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡連續(xù)可靠的運行。網(wǎng)絡安全其實就是網(wǎng)絡上的信息存儲和傳輸安全。

網(wǎng)絡的安全主要來自黑客和病毒攻擊，各類攻擊給網(wǎng)絡造成的損失已越來越大了，有的損失對一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡要介紹。

2.1常見的攻擊有以下幾類：

2.1.1入侵系統(tǒng)攻擊

此類攻擊如果成功，將使你的系統(tǒng)上的資源被對方一覽無遺，對方可以直接控制你的機器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時會用到一些不進行有效位檢查的函數(shù)，可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運行，黑客就以root權(quán)限控制了系統(tǒng)，這樣系統(tǒng)的控制權(quán)就會被奪取，此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權(quán)限本身設定不嚴謹，因此應比在LINUX系統(tǒng)下更易實現(xiàn)。

2.1.3欺騙類攻擊

網(wǎng)絡協(xié)議本身的一些缺陷可以被利用，使黑客可以對網(wǎng)絡進行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務攻擊

通過網(wǎng)絡，也可使正在使用的計算機出現(xiàn)無響應、死機的現(xiàn)象，這就是拒絕服務攻擊，簡稱DoS（DenialofService）。

分布式拒絕服務攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機同時攻擊一個目標，從而導致目標癱瘓，簡稱DDoS（DistributedDenialofService）。

2.1.5對防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設計和實現(xiàn)上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術(shù)、認證的攻擊技術(shù)等。

2.1.6利用病毒攻擊

病毒是黑客實施網(wǎng)絡攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性，而且在網(wǎng)絡中其危害更加可怕，目前可通過網(wǎng)絡進行傳播的病毒已有數(shù)萬種，可通過注入技術(shù)進行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。

2.1.8網(wǎng)絡偵聽

網(wǎng)絡偵聽為主機工作模式，主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。

等等?，F(xiàn)在的網(wǎng)絡攻擊手段可以說日新月異，隨著計算機網(wǎng)絡的發(fā)展，其開放性、共享性、互連程度擴大，網(wǎng)絡的重要性和對社會的影響也越來越大。計算機和網(wǎng)絡安全技術(shù)正變得越來越先進，操作系統(tǒng)對本身漏洞的更新補救越來越及時?，F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個人越來越注意自己計算機的安全?？梢哉f：只要有計算機和網(wǎng)絡的地方肯定是把網(wǎng)絡安全放到第一位。

網(wǎng)絡有其脆弱性，并會受到一些威脅。因而建立一個系統(tǒng)時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟，以防止所有對網(wǎng)絡安全構(gòu)成威脅的事件發(fā)生。因此，嚴密的網(wǎng)絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網(wǎng)絡風險分析在系統(tǒng)可行性分析階段就應進行了。因為在這階段實現(xiàn)安全控制要遠比在網(wǎng)絡系統(tǒng)運行后采取同樣的控制要節(jié)約的多。即使認為當前的網(wǎng)絡系統(tǒng)分析建立的十分完善，在建立安全防護時，風險分析還是會發(fā)現(xiàn)一些潛在的安全問題，從整體性、協(xié)同性方面構(gòu)建一個信息安全的網(wǎng)絡環(huán)境?？梢哉f網(wǎng)絡的安全問題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護網(wǎng)絡與不可信網(wǎng)絡之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡和資源。它在內(nèi)部和外部兩個網(wǎng)絡之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡的服務和訪問進行控制和審計。

2.2.2虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）的實現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應該保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡上建立一個隧道，利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實施網(wǎng)絡安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡流量、防止廣播風暴，還可利用MAC層的數(shù)據(jù)包過濾技術(shù)，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡的信息，但VLAN技術(shù)的局限在新的VLAN機制較好的解決了，這一新的VLAN就是專用虛擬局域網(wǎng)（PVLAN）技術(shù)。

2.2.4漏洞檢測

漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡系統(tǒng)進行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動式策略和主動式策略。被動式策略基于主機檢測，對系統(tǒng)中不合適的設置、口令以及其他同安全規(guī)則相背的對象進行檢查；主動式策略基于網(wǎng)絡檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸，并能有效地結(jié)合其他網(wǎng)絡安全產(chǎn)品的性能，保證計算機系統(tǒng)或網(wǎng)絡系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測

入侵檢測系統(tǒng)將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有黑客入侵或可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生，系統(tǒng)將做出實時報警響應。

2.2.6密碼保護

加密措施是保護信息的最后防線，被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用，但隨著計算機性能的飛速發(fā)展，破解部分公開算法的加密方法已變得越來越可能。因此，現(xiàn)在對加密算法的保密越來越重要，幾個加密方法的協(xié)同應用會使信息保密性大大加強。

2.2.7安全策略

安全策略可以認為是一系列政策的集合，用來規(guī)范對組織資源的管理、保護以及分配，已達到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡管理員

網(wǎng)絡管理員在防御網(wǎng)絡攻擊方面也是非常重要的，雖然在構(gòu)建系統(tǒng)時一些防御措施已經(jīng)通過各種測試，但上面無論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡管理員和整個網(wǎng)絡安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

以上大概講了幾個網(wǎng)絡安全的策略，網(wǎng)絡安全基本要素是保密性、完整性和可用，但網(wǎng)絡的安全威脅與網(wǎng)絡的安全防護措施是交互出現(xiàn)的。不適當?shù)木W(wǎng)絡安全防護，不僅可能不能減少網(wǎng)絡的安全風險，浪費大量的資金，而且可能招致更大的安全威脅。一個好的安全網(wǎng)絡應該是由主機系統(tǒng)、應用和服務、路由、網(wǎng)絡、網(wǎng)絡管理及管理制度等諸多因數(shù)決定的，但所有的防御措施對信息安全管理者提出了挑戰(zhàn)，他們必須分析采用哪種產(chǎn)品能夠適應長期的網(wǎng)絡安全策略的要求，而且必須清楚何種策略能夠保證網(wǎng)絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。

隨著信息系統(tǒng)工程開發(fā)量越來越大，致使系統(tǒng)漏洞也成正比的增加，受到攻擊的次數(shù)也在增多。相對滯后的補救次數(shù)和成本也在增加，黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭。

3.結(jié)論

網(wǎng)絡安全的管理與分析現(xiàn)已被提到前所未有的高度，現(xiàn)在IPv6已開始應用，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高，但并不是不存在安全問題了。在WindowsVista的開發(fā)過程中，安全被提到了一個前所未有的重視高度，但微軟相關(guān)負責人還是表示，＂即使再安全的操作系統(tǒng)，安全問題也會一直存在＂。

總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程、嚴密的網(wǎng)絡安全風險分析、嚴謹?shù)南到y(tǒng)測試、綜合的防御技術(shù)實施、嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網(wǎng)絡提供強大的安全服務——這也是網(wǎng)絡安全領(lǐng)域的迫切需要。

參考文獻

篇9

一、無線網(wǎng)絡安全問題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設備或創(chuàng)建新的無線網(wǎng)絡為基礎(chǔ)，這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查?？蓪尤朦c進行配置，要求客戶端接入時輸入口令。如果沒有口令，入侵者就可以通過啟用一個無線客戶端與接入點通信，從而連接到內(nèi)部網(wǎng)絡。但有些接入點要求的所有客戶端的訪問口令竟然完全相同。這是很危險的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡掃描器，如Netstumbler等工具?？梢栽谝苿拥慕煌üぞ呱嫌霉P記本電腦或其它移動設備嗅探出無線網(wǎng)絡，這種活動稱為“wardriving”；走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務，這稱為“warwalking”。

1.3欺詐性接入點所謂欺詐性接入點是指在未獲得無線網(wǎng)絡所有者的許可或知曉的情況下，就設置或存在的接入點。一些雇員有時安裝欺詐性接入點，其目的是為了避開已安裝的安全手段，創(chuàng)建隱蔽的無線網(wǎng)絡。這種秘密網(wǎng)絡雖然基本上無害，但它卻可以構(gòu)造出一個無保護措施的網(wǎng)絡，并進而充當了入侵者進入企業(yè)網(wǎng)絡的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時也被稱為“無線釣魚”，雙面惡魔其實就是一個以鄰近的網(wǎng)絡名稱隱藏起來的欺詐性接入點。雙面惡魔等待著一些盲目信任的用戶進入錯誤的接入點，然后竊取個別網(wǎng)絡的數(shù)據(jù)或攻擊計算機。

1.5竊取網(wǎng)絡資源有些用戶喜歡從鄰近的無線網(wǎng)絡訪問互聯(lián)網(wǎng)，即使他們沒有什么惡意企圖，但仍會占用大量的網(wǎng)絡帶寬，嚴重影響網(wǎng)絡性能。而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會產(chǎn)生一些法律問題。

1.6對無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡中一樣，劫持和監(jiān)視通過無線網(wǎng)絡的網(wǎng)絡通信是完全可能的。它包括兩種情況，一是無線數(shù)據(jù)包分析，即熟練的攻擊者用類似于有線網(wǎng)絡的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會話的最初部分，而其數(shù)據(jù)一般會包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個合法用戶，并劫持用戶會話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴于集線器，所以很少見。

二、保障無線網(wǎng)絡安全的技術(shù)方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡稱，讓無線客戶端對不同無線網(wǎng)絡的識別，類似我們的手機識別不同的移動運營商的機制。參數(shù)在設備缺省設定中是被AP無線接入點廣播出去的，客戶端只有收到這個參數(shù)或者手動設定與AP相同的SSID才能連接到無線網(wǎng)絡。而我們?nèi)绻堰@個廣播禁止，一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡的。需要注意的是，如果黑客利用其他手段獲取相應參數(shù)，仍可接入目標網(wǎng)絡，因此，隱藏SSID適用于一般SOHO環(huán)境當作簡單口令安全方式。

2.2MAC地址過濾顧名思義，這種方式就是通過對AP的設定，將指定的無線網(wǎng)卡的物理地址（MAC地址）輸入到AP中。而AP對收到的每個數(shù)據(jù)包都會做出判斷，只有符合設定標準的才能被轉(zhuǎn)發(fā)，否則將會被丟棄。這種方式比較麻煩，而且不能支持大量的移動客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡，一般SOHO，小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡稱，所有經(jīng)過WIFI認證的設備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數(shù)據(jù)不會以明文方式被截獲。該方法需要在每套移動設備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊，一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類似于有線網(wǎng)絡的VLAN，將所有的無線客戶端設備完全隔離，使之只能訪問AP連接的固定網(wǎng)絡。該方法用于對酒店和機場等公共熱點HotSpot的架設，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴展認證協(xié)議EAP。作為擴展認證協(xié)議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認證機制，從而提供更高級別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡稱，下一代無線規(guī)格802.11i之前的過渡方案，也是該標準內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP（TemporalKeyIntegrityProtocol），這項技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求，該方法多用于企業(yè)無線網(wǎng)絡部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級的AES加密，能夠更好地解決無線網(wǎng)絡的安全問題。由于部分AP和大多數(shù)移動客戶端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補丁，但是仍需要對客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。

篇10

隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視。

計算機網(wǎng)絡安全從技術(shù)上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、PKI技術(shù)等,以下就此幾項技術(shù)分別進行分析。

一、防火墻技術(shù)

防火墻是指一個由軟件或和硬件設備組合而成,處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權(quán)限。防火墻是網(wǎng)絡安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。當一個網(wǎng)絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

二、數(shù)據(jù)加密技術(shù)

與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密。

1.對稱加密技術(shù)

對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準DES,DES的成功應用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。

2.非對稱加密/公開密鑰加密

在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。

三、PKI技術(shù)

PKI(PublieKeyInfrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務、電子政務、電子事務的密碼技術(shù),他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。

1.認證機構(gòu)

CA(CertificationAuthorty)就是這樣一個確保信任度的權(quán)威實體,它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。

2.注冊機構(gòu)

RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的RA系統(tǒng)。

3.密鑰備份和恢復

為了保證數(shù)據(jù)的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。

4.證書管理與撤消系統(tǒng)

證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。

四、結(jié)束語

網(wǎng)絡安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡提供強大的安全服務。