第一篇:计算机网络中信息系统技术安全与防范
计算机网络中信息系统技术安全与防范 摘要:
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。关键字:信息系统信息安全身份认证安全检测
Abstract:
Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information
resource.But while we enjoy the information industries development to take to our convenient, we also faced the huge risk.Our system possibly suffers viral infection, hacker’s invasion;this all may create massive loss to us.This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.Keywords:Information systemInformation security
Status authenticationSafe examination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施
和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
②入侵检测技术
IETF 将一个入侵检测系统分为四个组件:事件产生器(Event Generators);事件分析器(Event Analyzers);响应单元(Response Units)和事件数据库(Event Data Bases)。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。最近出现的一种ID(Intrusion Detection):位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(Promise Mode),对所有本网段内的数据包并进行信息收集,并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(C Signature-Based),另一种基于异常情况
(Abnormally-Based)。
(二)服务器端安全措施 只有正确的安装和设置操作系统,才能使其在安全方面发挥应有的作用。下面以WIN2000 SERVER 为例。
①正确地分区和分配逻辑盘。
微软的IIS经常有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。本系统的配置是建立三个逻辑驱动器,C盘20G,用来装系统和重要的日志文件,D盘20G放IIS,E盘20G放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。因为,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。②正确地选择安装顺序。
一般的人可能对安装顺序不太重视,认为只要安装好了,怎么装都可以的。很多时候正是因为管理员思想上的松懈才给不法分子以可乘之机。Win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如: IIS的HotFix就要求每次更改IIS的配置都需要安装,尽管很麻烦,却很必要。
(三)安全配置
①端口::端口是计算机和外部网络相连的逻辑接口,从安全的角度来看,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性——TCP/IP——高级——选项
——TCP/IP筛选中启用TCP/IP筛选,不过对于Win2000的端口过滤来说,有一个不好的特
性:只能规定开哪些端口,不能规定关闭哪些端口;这样对于需要开大量端口的用户就比较麻烦。
②IIS: IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,所以在本系统的www.xiexiebang.communications Press, PP.86-94
[5]杨兵.网络系统安全技术研究及其在宝钢设备采购管理系统中的应用:(学位论文).辽宁:东北大学,2002
[6]刘广良.建设银行计算机网络信息系统安全管理策略研究:(学位论文).湖南:湖南大学.2001
[7] Celeste Robinson, Alan Simpson.Mastering Access2000.电子工业出版社,2002
[8]丁霞军.基于ASP的管理信息系统开发及其安全性研究.(学位论文).安徽:安徽理工大学.2005
第二篇:计算机网络中信息系统技术安全与防范
计算机网络中信息系统技术安全与防范
随着信息产业的高速发展,众多企业都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。本文主要介绍了信息系统所面临的技术安全隐患,并提出了行之有效的解决方案。
关键字:信息系统信息安全身份认证安全检测
Abstract:
Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource.But while we enjoy the information industries development to take to our convenient, we also faced the huge risk.Our system possibly suffers viral infection, hacker’s invasion;this all may create massive loss to us.This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.Keywords:Information system Information security
Status authentication Safe examination
一、目前信息系统技术安全的研究
1.企业信息安全现状分析
随着信息化进程的深入,企业信息安全己经引起人们的重视,但依然存在不少问题。一是安全技术保障体系尚不完善,企业花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业信息安全的标准、制度建设滞后。
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低。
2.企业信息安全防范的任务 论文网在线
信息安全的任务是多方面的,根据当前信息安全的现状,制定信
息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
二、计算机网络中信息系统的安全防范措施
(一)网络层安全措施
①防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础
设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
第三篇:计算机网络的安全与保密技术
计算机网络的安全与保密技术
姓名:
班级:
学号: 摘要:随着网络技术的不断发展, 网络的开放性、共享性、互连程度不断扩大, 网络的重要性和对社会的影响越来越大, 网络信息安全与保密问题显得越来越重要
关键词:网络安全
保密技术
互联网
互联网与我们的生活息息相关,人们可以在网络允许的技术范围内,利用网络资源从事各种信息活动。在科学研究、技术开发、工农业、电子商务、教学、医疗保健、服务咨询、文化娱乐等几乎一切领域的信息处理和交换都可以利用网络来实现,从而大大地提高人类活动的质量和效率。但如同许多新技术的应用一样,网络技术也不啻是一柄人类为自己锻造的双刃剑,善意的应用将造福人类,恶意的应用则将会给社会带来危害。
1、计算机网络安全与保密的概念
计算机网络的安全与保密的含义主要包括计算机网络系统的安全与数据保护和信息保密两个方面。
计算机系统安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠的运行,网络服务不中断。网络安全从本质上讲就是网络上的信息安全。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都与网络安全有关联。
数据保护和信息保密是对信息系统中的信息资源的存取、修改、扩散和其它使用权限的控制。威胁计算机网络的安全与保密的因素很多, 归结起来, 针对网络安全的威胁主要有人为的无意失误、人为的恶意攻击
2、计算机网络安全的现状
随着计算机网络的开放性、共享性及互联程度的扩大, 特别是Internet 的不断延伸, 计算机网络对社会的影响和重要性越来越大, 诸如电子商务、网上银行之类的网络新业务不断出现, 政府网、金融网、军用网、企业网等各种专用网也相继出现, 目前的计算机网络大多数在建立之初都忽视了安全问题, 即使普通使用的TCP/ IP 协议在建立之初也没有考虑安全问题, 随之而来的网络信息安全与保密问题越来越严峻, 国内外几乎每天都有各种各样的”黑客”入侵事件发生, 商业信息被窃取、银行账户被改写、政府网站遭攻击等等, 据统计, 黑客入侵事件每月以260%以上的速度在增加。面对严重危害网络信息系统的种种威胁, 各国政府和企业都已经开始高度重视网络信息的安全与保密工作。
3、计算机网络安全的威胁
互联网不安全的因素,一方面是来自于其内在的特点——先天不足。另一方面是缺乏系统安全的标准。所以才会在各个方面存在威胁。3.1 恶意攻击 人为的恶意攻击是有目的的破坏。恶意攻击可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息(如修改、删除、伪造、添加、重放、乱序、冒充、病毒等)。被动攻击是指在不干扰网络信息系统正常工作的情况下,进行窃取、截获、破译和业务流量分析及电磁泄露等。由于人为恶意攻击有明显企图,其危害性相当大,给国家和企业安全、知识产权和个人信息带来巨大威胁。3.2 安全缺陷
网络信息系统是计算机技术和通信技术的结合。计算机系统的安全缺陷和通信链路的安全缺陷,构成了网络信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏;软件资源和数据信息易受计算机病毒的侵扰,非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效、外界电磁干扰等均会影响计算机的正常工作。采用主动攻击和被动攻击可以窃听通信链路的信息,并非法进入计算机网络获取有关敏感性重要信息。3.3 软件漏洞
网络信息系统由硬件和软件组成。由于软件程序的复杂性和编程的多样性,在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞,软件漏洞显然会影响网络信息的安全与保密。
4、计算机网络安全技术
面对这些威胁,现在已经有许多网络安全系统可以选择,可以将风险降到最低程度。4.1 防火墙
防火墙不是万能的,但对于网络来说是必不可少的。它是位于两个网络之间的屏障,一边是内部网络(可信赖的网络),另一边是外部网络(不可信赖的网络)。防火墙按照系统管理员预先定义好是规则来控制数据包的进出。
但同时防火墙自身存在着局限性, 如果一个被防火墙保护的站点允许不受限制的调制解调器访问, 入侵者就能够有效地绕过防火墙.防火墙一般不提供对内部的保护, 什么手段都不是万能的, 只有提高人们安全保密意识才是最终解决问题的关键所在。4.2 密码技术
加密是通过对信息的重新组合,使得只有收发方才能解码并还原信息的一种手段。传统加密的加密系统是以密匙为基础的,这是一种对称加密,即用户使用同一密匙加密和解密。4.3 身份认证
计算机系统安全机制的主要目标是控制对信息的访问, 这也是预防和控制犯罪的主要途径。当前用于身份识别的技术方法主要有四种, 一是利用用户身份、口令、密钥等技术措施进行身份识别;二是利用用户的体貌特征、指纹、签字等技术措施进行身份识别;三是利用用户持有的证件, 如光卡、磁卡等进行身份识别;四是多种方法交互使用进行身份识别。
其中, 口令识别是目前广泛采取的技术措施, 这种控制机制的优点是简单易掌握, 能减缓受到攻击的速度, 但不能较好地解决非法用户系统的非法访问。4.4 访问控制
身份识别的目的是防止人侵者非法侵入系统, 但对系统内部的合法用户却无能力。
目前对系统内部用户非授权的访问控制主要有两种类型, 任意访问控制和强制访问控制。任意访问控制, 指用户可以随意在系统中规定访问对象。任意访问控制的优点是方便用户, 成本小, 缺点是安全系数小。强制访问控制可以通过无法回避的访问限制来防止对系统的非法入侵, 缺点是灵活性小、安全费用大, 一般对安全性要求较高的系统, 通常采用任意访问控制和强制访问控制相结合的方法, 安全要求较低的信息系统采用作任意访问控制, 而对信息密级较高的系统则必须采用强制访问控制。4.5 数字签名
数字签名技术是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术。主要包括接收者能够核实发送者对报文的签名、发送者事后不能抵赖对报文签名、接收者不能伪造对报文的签名等方面。实现数字签名的方法很多, 比如利用公开密钥密码制实现的数字签名方法等。4.6 内容检查
即使有了防火墙、身份认证和加密,人们仍担心遭到病毒的攻击。有些病毒通过E-mail或者用户下载的一些程序进行传播,带病毒的程序被激活后,又可能会自动下载别的程序。所以可以通过下载一些杀毒软件对自己需要下载的软件进行下载前后的扫描,避免下载物中携带病毒。4.7 入侵检测
入侵检测技术由于近年来黑客盛行而受到极大重视。入侵检测技术的基本原理是,首先收集系统的脆弱性指标建立检测库, 再以此检测库检测发现其它系统中是否有已知的类似脆弱性;若发现新的脆弱性, 再反过来更新原有的检测库。如此往复, 不断丰富检测库, 及时发现系统脆弱性。入侵检测包括通过破译口令或使用软件非授权侵入系统、合法用户的信息外泄。冒充他人账户的闯入等多种内容。
4.8 风险分析
风险分析是安全管理的重要部分, 主要包括两个方面内容, 静态分析和动态分析。静态分析, 即系统设计前的风险分析和系统试运行前的风险分析;动态分析, 即系统运行期间的风险分析和系统运行后的风险分析。系统设计前的风险分析旨在通过分析系统固有的脆弱性, 发现系统设计前潜在的安全隐患;系统试运行前的风险分析, 旨在根据系统试运行期间运行状态, 发现系统设计的安全漏洞;系统运行期间风险分析旨在根据系统运行的记录, 发现系统运行期间的安全漏洞;系统运行后的风险分析, 旨在通过分析运行记录,发现系统的安全隐患, 提出改进的分析报告。4.9 审计跟踪
审计跟踪是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序, 对系统的使用情况建立日志记录, 以便实时地监控、报警或事后分析、统计、报告, 是一种通过事后追查来保证系统安全的技术手段。从系统部件功能看, 可分为操作系统审计跟踪、数据库审计跟踪、网络审计跟踪三种;从角色要求看, 可分为系统操作审计、服务审计、通信审计、故障审计和事件审计等五类;从安全强度要求看, 可分为自主型安全控制审计和强制性安全控制审计等两类。审计跟踪技术对打击和防范计算机犯罪具有重要意义。
5、加强网络安全的措施
要实现网络的安全和保密还需不断的改进技术外,我们还要做到以下几点: 5.1 重视安全检测与评估 入网前的检测和评估是保障网络信息安全与保密的重要措施, 它能够把不符合要求的设备或系统拒之门外。但是, 更为重要的是实际网络运行中的检测与评估。
5.2 建立完善的安全体系结构
要全面综合地设计网络的安全体系, 包括缜密的网络安全拓扑设计、应用平台的选型、安全防护产品的选型、强有力的入侵检测(IDS)和漏洞扫描器、应急措施的制定、完善的人员管理制度、最坏情况的预先估计。
完善的安全体系结构可以让真个互联网更加安全。5.3 制订严格的安全管理措施
安全管理既要保证网络用户和网络资源不被非法使用, 又要保证网络管理系统本身不被未经授权的访问。5.4 强化安全标准
网络安全标准是一种多学科、综合性、规范性很强的标准, 其目的在于保证网络信息系统的安全运行, 保证用户和设备操作人员的人身安全。5.5 完善法律法规
国家要重视网络安全,并制定相关网络安全的法律、法规来惩治一些网络上的不法份子。强化思想教育、加强制度落实是网络安全管理工作的基础。
6、结束语
总之, 随着网络技术的不断发展, 网络信息管理系统也越来越完善, 但与之相反的是黑客的技术也越来越高明, 网络信息安全与保密仍然是一个很重要的问题。提高网络信息安全与保密技术已不能从根本上解决问题, 需要社会各方面对之重视并相互配合进行综合治理, 才能保证网络信息安全与保密。同时,我们自身也要在思想上加深对网路偶安全的重视。
参考文献:
[1] 胡建伟,马建峰.网路安全与保密.西安电子科技大学出版社,2003 [2] 杨义先, 等.网络信息安全与保密.北京: 北京邮电大学出版社, 1999 [3] 赖溪松, 韩亮.计算机密码学及其应用.北京:国防工业出版社, 2001.[4] 关启明.计算机网络安全与保密.文章编号:1671-2829(2003)02-0084-06 [5] 张娟.网络安全与保密综述.文章编号:1008-7354(2003)01-0053-03 [7] 黄慧民,酒海峰.论网络信息安全与保密.文章编号:1008-3944(2002)02-0022-02 [8] 白青松.浅谈计算机网络系统安全与保密.文章编号:1673-260X(2007)02-0032-02
第四篇:浅析计算机网络安全问题与防范策略
浅析计算机网络安全与防范措施
关键词: 计算机网络 安全 防范技术
摘要:随着计算机科学技术和网络技术的高速发展,使得计算机系统功能与网络体系变得日渐复杂与强大。但是计算机网络技术的飞速发展,在给人们工作和生活提供方便的同时,也对人们构成日益严重的网络网络安全威胁。数据窃取、黑客侵袭、病毒感染、内部泄密等网络攻击问题无时无刻在困扰着用户的正常使用。因此,如何提高计算机网络的防范能力,增强网络的安全措施,已成为当前急需解决的问题。
一、计算机网络安全的基本概念。
计算机网络安全是指“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改、泄漏,使系统能连续、可靠、正常运行、网络服务不中断,或因破坏后还能迅速恢复正常使用的安全过程。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的可靠性、保密性、真实性、完整性及可用性。本质上,网络安全就是网络中信息的安全。
二、计算机网络安全面临的威胁
目前,随着网络应用的深入以及技术频繁升级,非法访问、恶意攻击等安全威胁也不断出新。各种潜在的不安全因素使网络每天都面临着信息安全方面的威胁。主要面现为:
1.系统漏洞威胁
网络系统本身存在的安全问题主要来自系统漏洞带来的威胁,且是不可估量的。系统漏洞是指应用软件或操作系统软件在逻辑设计上无意中造成的缺陷或错误,形成一个不被注意的通道。许多时候,在运行系统或程序这些漏洞被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。
2.“黑客”的攻击
当前黑客是影响网络安全的最主要因素之一,因为它对网络构成威胁,造成破坏。黑客是指:计算机网络行家中,热衷于神秘而深奥的操作系统之类的程序,又爱移花接木、拼凑或修改程序而随意攻击的人。黑客攻击,是指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
3.计算机病毒的攻击
计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。由于计算机病毒具有隐蔽性、传染性、潜伏性、破坏性、可触发性、针对性、衍生性的特点。一旦计算机感染上病毒后,轻者会使计算机速度变慢,系统性能下降;重者能破坏系统的正常运行甚至还可以损失硬件,毁掉系统内部数据,格式化磁盘和分区,甚至导致整个网络瘫痪。
4.网络设备故障问题。
网络中的设备包括计算机、网络通信设备、存储设备、传输设备、防雷系统、抗电磁干扰系统、网络环境都是网络安全的重要保障,每个环节设备出现问题,都会造成网络故障。所以定期和不定期检测设备、使用先进的网络设备和产品是网络安全不可忽视的问题。
5.管理制度的问题
网络系统的正常运行离不开管理人员的管理。由于对管理措施不当,会造成设备的损坏,保密信息的人为泄露等,因而这些失误人为的因素是主要的。如果管理不严格,网络安全意识不强,设置的口令过于简单,重要机密数据不加密,数据备份不及时,用户级别权限划分不明确或根本无级别限制,就容易导致病毒、黑客和非法受限用户入侵网络系统,让数据泄露、修改、删除,甚至使系统崩溃。或者将自己的口令随意告诉别人或者无意中透露给他人等都会对网络安全带来威胁。或是,有条件接触计算机信息网络系统的工作人员为了获取一定的利益故意泄露保密系统的文件和资料和对网络安全进行破坏的行为。
三、计算机网络安全的防范技术
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。
1.入侵防范技术
入侵检测技术只能对网络系统的运行状态进行监视,检测发现各种攻击企图、攻击行为或攻击结果,无法有效的保护网络被攻击破坏。入侵防范软件重在预防,能够对应用层渗透,对缓冲区溢出、木马、后门、SQL注入、XSS进行识别拦截。入侵防范技术的定义是哪些行为是正当的,哪些行为是可疑的,这样一旦企图作出超乎预期行为范围的举动,入侵防范技术会先发制人地削除不当的系统行为,一些高度结构化的入侵预防系统还能提供预先设定的规则,主动地加强桌面系统和服务器的安全,防止受到特征扫描的技术所无法实现的网络攻击的破坏。
2.病毒防范技术
在网络环境下,病毒传播的速度非常快,计算机病毒不断升级,极大威胁到网络的安全。现在我们普遍使用防病毒软件进行病毒的防范,常用的防病毒软件包括单机防病毒软件和网络防病毒软件两大类。单机病毒可以采取传统的防治病毒技术,以及采用功能较强的反病毒软件,基本上可保障计算机系统不受病毒侵害。在结构形式多样,有局域网、内网和外网、公网和涉密网这样的网络中,必须有面向独立网络全方位的防病毒产品才能保证网络系统良好运行。比如计算机网络系统上安装网络病毒防治服务器,在内部网络服务器上安装网络病毒防治软件。对于网络防病毒软件注重网络防病毒,病毒防范重点应在因特网的接入口,以及外网下的服务器和各独立内网中心服务器等。
3.防火墙技术
防火墙技术是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是网络安全的重要屏障,是指在网络安全边界控制中,用来阴止从处网想进入给定网络的非法访问对象的安全设备。防火墙是软硬件的安全组合体,一边与内部网相连另一边与因特网相连,可根据安全策略需要的各种控制规,阻止未经受、授权的来自因特网或对因特网的访问,或阻止某些通过访问对象连接的地址或传输的数据包,并以安全管理提供详细的系统活动的记录。比如,为保证网络中计算机的正常运行,可选用网络级防火墙来防止非法入侵,此类防火墙有分组过滤器和授权服务器,前者可检查所有流入本网的信息并拒绝不符合实现制定好的一套准则的数据,后者可检查用户的登录是否合法,这样最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
4.数据加密技术
要保证数据信息及在网络传输中的保密信息不提供给非授权用户进行更改、窃取、删除等,应该对数据信息实行加密技术,即使数据被人截获,没有密钥加密数据也不能还原为原数据,网络数据的安全从而得到保证。数据加密技术是一种限制对网络上传输数据的访问权的技术主要是通过对网络中传输的信息进行加密钥匙及加密函数转换,变成无意义的密文,只有在指定的用户或网络下,接收方方可将此密文经过解密函数、解密钥匙还原成明文却原数据。加密的基本功能包括:防止不速之客查看机密的数据文件、防止机密数据被泄露或篡
改、防止特权用户(如系统管理员)查看私人数据文件、使入侵者不能轻易地查找一个系统的文件。数据加密可在网络OSI七层协议的多层上实现、所以从加密技术应用的逻辑位置看,有三种方式:链路加密、节点加密、端对端加密。
5.漏洞扫描技术
漏洞扫描技术是利用网络系统或者其他网络设备进行网络安全检测,以查找出安全隐患和系统漏洞,并采取相应防范措施,从而降低系统的安全风险而发展起来的一种安全技术。利用漏洞扫描技术,可以对局域网、WEB站点、主机操作系统、系统服务以及防火墙系统的漏洞进行扫描,可以检查出正在运行的网络系统中存在的不安全网络服务,在操作系统上存在的可能会导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检查出主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。漏洞扫描的结果实际就是对系统安全性能的评估,定时运行漏洞扫描技术,是保证网络安全不可缺少的手段。
6.其他应对策略
建立健全网络安全管理制度。只要有网络存在,就不可避免有网络安全问题的发生,为了把网络安全问题降到最低,就要建立健全网络安全管理制度,强化网络管理人员和使用人员的安全防范意识,严格操作程序,运用最先进的工具和技术,尽可能把不安全的因素降到最低。此外,还要不断加强网络安全技术建设,加强计算机信息网络的安全规范化管理,才能使计算机网络的安全性得到保障,最大限度保障广大网络用户的利益。最后,作为信息安全的重要内容——数据备份,数据备份与数据恢复是保护数据的最后手段,也是防止主动型信息攻击的最后一道防线。
四、结语
总之,由于随着计算机网络技术的迅速发展和进步,网络经常受到严重的安全攻击与潜在威胁,采取强有力的安全防范,对于保障网络的安全性将变得十分重要。因此,我们加强防范意识,建立严密的安全防范体系,采用先进的技术和产品,构造全方位的防范策略机制;同时,也要树立安全意识,建立健全网络安全管理制度,确保网络系统能在理想状态下运行。
参考文献:刘学辉.计算机网络安全的威胁因素肪防范技术.中国科技信息.2007(9)
张森.浅谈网络安全面临的威胁因素.科技园向导.2010(34)
宋华平.计算机网络安全与防范[J].机电信息.2010(12).孙会儒.浅谈计算机网络安全问题及应对策略.电脑知识与技术.2011(22)
第五篇:计算机网络与防火墙技术论文
计算机网络安全与防火墙技术
张帅
计算机学院计算机科学与技术(师范)专业06级 指导教师:蒲静
摘要:本文由计算机网络安全问题出发,分析了网络安全面临的主要威胁,及保护网络安全的关键技术,提出了防火墙是计算机网络安全体系的核心的观点,并着重介绍了防火墙的相关技术。同时,说明了防火墙并不是万能的,指出了防火墙技术的缺陷,并就现今防火墙技术的现状,提出未来防火墙技术的发展设想。关键词:计算机网络;安全;关键技术;缺陷;防火墙
Computer-network Security and Firewall Technology
Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words: computer-network;security;key-technology;deficiencies;firewall 1
目录
中文摘要····························································1 英文摘要····························································1 目录································································2 1 绪论······························································3 2 计算机网络安全的主要问题··········································3 2.1 网络安全的定义················································3 2.2 网络安全面临的主要威胁········································3 2.2.1 计算机病毒的侵袭···········································3 2.2.2 黑客侵袭···················································3 2.2.3 拒绝服务攻击···············································3 2 2.3 实现计算机安全的关键技术···································4 2.3.1 数据加密···················································4 2.3.2 认证·······················································4 2.3.3 入侵检测技术···············································4 2.3.4 防病毒技术·················································4 2.3.5 文件系统安全···············································4 2.3.6 防火墙技术·················································4 3 防火墙概述························································4 3.1 防火墙概念····················································4 3.2 防火墙的主要功能··············································5 3.2.1 强化网络安全策略···········································5 3.2.2 对输入进行筛选·············································5 3.2.3 防止内部信息的外泄·········································5 3.2.4 限制内部用户活动···········································5 3.2.5 网络地址转换···············································5 3.2.6 对网络使用情况进行记录监控·································6 3.3 防火墙的原理及分类············································6
3.3.1 包过滤防火墙···············································6 3.3.2 应用代理防火墙·············································6
3.3.3 状态检测防火墙·············································6
3.4 防火墙的主要技术优缺点分析····································6
3.4.1 包过滤技术·················································6 3.4.2 应用代理技术··············································7 3.4.3 状态检测技术···············································7 4 防火墙的缺陷及未来发展趋势·······································7 4.1 防火墙的十大缺陷··············································7 4.2 关于防火墙未来发展的几点设想··································8 结束语······························································8 参考文献····························································8 致谢································································9 绪论
计算机技术的应用与发展,带动并促进了信息技术的变革,计算机与信息技术以其广泛的渗透力和罕见的亲和力,正从整体上影响着世界经济和社会发展的进程,引发了计算机应用技术一场空前的技术革命。但是,伴随而来的是计算机屡屡遭到破坏,轻者丢掉数据,重者系统平台和计算机资源被攻击,其损失常常是不可估量的,这是一个日益严峻的问题即计算机网络安全。
为了保护自己的计算机、服务器和局域网资源免受攻击破坏而丢掉数据、系统重新安装等,利用防火墙技术是当前比较流行且比较可行的一种网络安全防护技术。其既是计算机高新技术的产物,又具有低廉实惠的特点,故简要探究防火墙技术的特点和以及其在计算机网络安全中的作用。计算机网络的主要安全问题
2.1 网络安全的定义
我国对于计算机安全的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。” 2.2 网络安全面临的主要威胁
一般认为,计算机网络系统的安全威胁主要来自计算机病毒、黑客的攻击和拒绝服务攻击三个方面。2.2.1 计算机病毒的侵袭
当前,活性病毒达14000多种,计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪。2.2.2 黑客侵袭
即黑客非法进入网络非法使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取 3 网上传输的数据;突破防火墙等。2.2.3 拒绝服务攻击
例如“点在邮件炸弹”,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。2.3.实现计算机安全的关键技术 2.3.1 数据加密
加密就是把明文变成密文,从而使未被授权的人看不懂它。有两种主要的加密类型:私匙加密和公匙加密。2.3.2 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。2.3.3 入侵检测技术
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在网络系统受到危害之前拦截相应入侵。2.3.4 防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,计算机病毒防范不仅仅是一个产品、一个策略或一个制度,它是一个汇集了硬件、软件、网络、以及它们之间相互关系和接口的综合系统。2.3.5 文件系统安全
在网络操作系统中,权限是一个关键性的概念,因为访问控制实现在两个方面:本地和远程。建立文件权限的时候,必须在Windows 2000中首先实行新技术文件系统(New Technology File System,NTFS)。一旦实现了NTFS,你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限,还有日常活动期间一些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限,你可以完成必要的访问控制。2.3.6 防火墙技术
防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是计算机网络安全的第一道关卡。防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染 4 显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤、应用代理、状态检测三类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。3.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网络的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息的目的[1]。3.2 防火墙的主要功能 3.2.1 强化网络安全策略
在没有防火墙的环境里,网络安全管理是分散到每一个主机上的,所有主机必须同心协力才能维持网络的安全性。而防火墙能够实现集中安全管理,可以将所有安全软件配置在防火墙上,而不是分布在内部网络的所有主机上。3.2.2 对输入进行筛选
防火墙可以通过对传入数据包的源地址、目标地址及其他信息的检查,确定是否允许通过。只有满足防火墙配置规则的数据包才能通过防火墙,否则阻止数据包的传人。
3.2.3 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网中重点网段的隔离,限制内部网络中不同部门之间互相访问,从而保障了网络内部敏感数据的安全。3.2.4 限制内部用户活动
防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略,来决定内部用户可以使用哪些服务,可以访问哪些网站。3.2.5 网络地址转换(NAT,Network Address Translation)
内部网主机经常要访问Internet,而NAT可以将内部网的专用地址转换成Internet地址。这样可以掩藏服务器的真正IP地址,起到一定的隔离作用,使内部网络用户不被暴露在外部网络中。此外防火墙可以作为部署NAT的逻辑地址,因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦。
3.2.6 对网络使用情况进行记录监控
防火墙能够记录所有经过防火墙的访问并形成完整的日志,提供有关网络使 5 用情况的统计数据。当网络受到扫描或攻击等可疑活动时,防火墙能进行报警,并提供详细信息。
3.3 防火墙的分类及工作原理
国际计算机安全委员会ICSA将防火墙分成三大类:包过滤防火墙,应用级代理服务器[3]以及状态包检测防火墙。3.3.1 包过滤防火墙
包过滤防火墙[4]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。包过滤防火墙工作在网络层,通过对每个IP包的源地址、目的地址、传输协议等信息与事先设置的安全规则进行比较,如果满足安全规则定义的IP包则通过,如果不符合安全规则定义的IP包则被排除。3.3.2 应用代理防火墙
它是针对数据包过滤[5]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。应用代理型防火墙设置在内部网络与外部网络之间,当用户访问目的站点时,对于符合安全规则的连接,首先用户与代理服务器建立连接,应用代理型防火墙将会代替目的站点进行响应,并重新向目的站点发出一个同样的请求。代理系统实际上是用户和真实服务器之间的中介。3.3.3 状态包检测防火墙
状态检测又称动态包过滤,是为了解决包过滤模式安全性不足的问题,在包过滤技术的基础上,采用了一个执行网络安全策略的软件引擎——检测模块。当建立连接时,状态检测检查预选设定的安全规则,符合规则的连接允许通过,并记录下该连接的相关信息,动态保存生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。3.4 防火墙的主要技术优缺点分析
如上文所述,防火墙技术主要有:包过滤技术、应用代理技术、状态检测技术。
3.4.1 包过滤技术
优点:包过滤防火墙因为工作在网络层,因此处理包的速度快;此外它提供透明服务,即不需要用户名和密码来登录,用户不用改变客户端程序。
缺点:网络层在OSI体系中处于较低的层次,因而安全防护也是较低级;不能彻底防止地址欺骗,一些应用协议不适合于数据包过滤,正常的数据包过滤路由器无法执行某些安全策略,不能防范黑客攻击,不支持应用层协议,不能处理新的安全威胁。3.4.2 应用代理技术
优点:应用代理型防火墙工作在0SI体系的最高层——应用层,安全级别高于包过滤型防火墙;应用代理型防火墙对用户而言是透明的,而对外部网络却隐藏了内部IP地址,可以保护内部主机不受外部攻击;代理系统可以控制户机和服务器之间的流量,并对此加以记录,提供详细的日志。
缺点:代理速度较路由器慢,代理对用户不透明,对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制,代理不能改进底层协议的安全性。3.4.3 状态检测技术
优点:配置了“专用检测模块”,它可以支持多种协议和应用程序,可以很容易地实现应用和服务的扩充;安全性更佳。
缺点:配置复杂,因而降低了网络的速度。防火墙的缺陷及未来发展趋势
4.1 防火墙的十大缺陷
防火墙在网络安全防护中起着举足轻重的作用,但它并不是万能的,它仍然存在一定的局限性和不足。总体说来,存在十大方面的缺陷:
(1)防火墙不能防范不经过它的攻击。没有经过防火墙的数据,不能防范。(2)防火墙不能解决来自内部网络的攻击和安全问题。防火墙只对来自外部网络的数据进行检测,以保护内部网络;而对于内部网络中的用户威胁,防火墙是无能为力的。
(3)防火墙不能防止TCP/IP协议、服务器系统的缺陷进行的攻击。TCP/IP的缺陷和服务器系统漏洞是天然存在的,防火墙不能防止。
(4)防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据或邮件拷贝到内部的主机上进行执行时,可能引发数据驱动式的攻击。
(5)不能有效防范加密信息。防火墙只能识别与其数据库中已有的特征数据匹配的信息,如果攻击者将恶意代码或攻击指令转换成其他形式隐藏起来,这种加密后的代码,只要成功避开防火墙数据库中的特征匹配,就能成功通过防火墙。
(6)防火墙的检测功能是有限的。对于所有网络和应用程序流量的检测,需要有空前的处理能力才能保证这些任务的完成,为了获得高性能,就必然要求使用高端硬件,就目前而言,要完成这种深度检测仍是十分困难的。
(7)防火墙不能防范受到病毒感染的文件、软件。防火墙本身并不具有病毒的查杀功能,即使有,也不能查杀所有的病毒。
(8)防火墙是一种被动的防范手段,它只能对已知的网络威胁起作用,对于新的未知的网络攻击防火墙是很难防范的。
7(9)防火墙的安全性和实用性成反比。防火墙越安全,则功能也就越少,速度也就越慢,防火墙的安全性和实用性将在一定的时间内是一对主要矛盾。
(10)防火墙不能防止自身的安全漏洞的威胁。目前还没有厂商能够保证防火墙绝对不存在安全漏洞,防火墙能保护别人却不能保护自己,因此对防火墙也必须进行安全防护。
4.2 关于防火墙未来发展的五点设想
既然防火墙存在缺陷在所难免,那么网络安全又该如何保证呢?对防火墙技术研究的道路究竟该何去何从呢?在此,提出以下设想:
(1)形成以防火墙为核心的计算机网络安全体系。到目前为止,防火墙技术仍然是应用最广泛的计算机网络安全防护技术,防火墙的重要性不能替代,所以在相当长的一段时间内,防火墙是计算机网络安全的核心。但是,要想最大程度地保护网络安全,仅凭防火墙技术单方面的作用是不可行的,还必须借助其他手段,构建以防火墙为核心,多个安全系统协作配合的计算机网络安全体系。
(2)防火墙硬件技术架构上的发展趋势。目前防火墙正逐步地向基于网络处理器和ASIC芯片的技术架构方向发展。网络处理器由于内含有多个数据处理引擎,能够直接完成网络数据处理工作,减轻了CPU的负担,在性能上有很大的提升;ASIC芯片有专门的数据包处理流水线,可以获得很高的处理能力。
(3)智能技术的进一步发展。目前的防火墙只是识别一些已知的攻击行为,对于未知的攻击或未列出的攻击防火墙显得有些无能为力,因此智能化是将来的发展趋势,能自动识别并防御黑客的各种手法及相应的变种。
(4)分布式技术的进一步发展。分布式技术将是未来的趋势。多台物理防火墙协同工作,共同组织成一个强大的、具备并行处理能力、负载均衡能力的逻辑防火墙,不仅保证了在大型网络安全策略的一致,而且集中管理大大降低了经济、人力及管理成本。
(5)经济高效的发展趋势。防火墙要防止各种网络的攻击,其性能势必会下降。安全性和实用性是一对主要矛盾,要找到网络安全性与实用性之间的平衡点是防火墙未来发展面临的问题。经济高效的防火墙将是未来研究的方向。
结束语
随着网络技术的发展,网络安全正面临着越来越大的威胁。防火墙至关重要,但它并不是万能的,在专业黑客和一些非法入侵者面前,防火墙也很无奈。我们除了设好防火墙这第一道关卡外,还应当借助其他安全防御手段一起来保护网络的安全。参考文献:
[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 郑林.防火墙原理入门[Z].E企业.2000.[3] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永纲,石江涛,戴雪龙,颜天信.网络包分类算法仿真测试与比较研究.中国科学技术大学学报.2004,34(4):400一409.致 谢
本文是在蒲老师的悉心指导下完成的,从文献的查阅、论文的选题、撰写、修改、定稿,蒲老师给子了我很大的帮助。在此一并向所有帮助和关心过我的老师和朋友,表示真挚的感谢!
点击咨询 