第一篇:网络安全性论文
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。小编收集了网络安全性论文,欢迎阅读。
网络安全性论文【一】【摘要】随着社会经济的发展,电子支付在人们的日常生活与工作中,发挥着重要的作用。但是在具体的应用中,由于自身设计的缺陷性以及外界因素,存在一系列的安全问题,这些问题不及时采取对策解决,会对人们的电子商务工作、日常消费行为,带来资金使用安全隐患。
【关键词】电子支付;网络安全;问题;对策
电子支付的出现,极大的便利了人们的工作与生活,因此依托网络,进行安全的电子支付工作,是当前人们关注的焦点问题。
1电子支付网络安全概述
1.1电子支付概述
电子支付是人们进行电子商务、日常生活消费的一个关键环节,其主要指的是电子交易的当事人,例如:消费者、商家、金融机构,这三者之间,通过网络电子支付的手段,对货币、资金进行的流通,进而实现支付的一种形式[1]。
1.2电子支付带来的网络安全概述
目前电子支付带来的安全隐患,主要包括技术层面、非技术层面两个方面。技术层面的安全隐患主要是:对于具有电子支付功能的计算机系统,进行的静态数据攻击(口令猜测、IP地址的欺骗、制定路由进行信息的发送),以及动态数据攻击(主动对其数据进行攻击、攻击者对于资金信息进行监控,进而被动的信息破坏),如图1所示。非技术层面的安全隐患主要是:网络交易支付款项存在着较多的安全风险,且未及时加强监督管理;基于网络的电子交易缺乏完善的法律体系,进行支付安全的保护
2基于电子支付时代下的网络安全问题以及改进对策分析
目前电子支付下网络安全问题频发,给人们的财产安全带来了隐患,本文以第三电子支付平台-支付宝、微信支付为例,分析了当前形势下的网络支付安全对策。支付宝是我国目前最受欢迎的电子支付形式之一,它可以为资金交易的双方提供代收、代付的中介服务,以及资金交易的第三方担保服务。微信支付,其是基于微信开放平台,发出支付申请的。
2.1密码保护
在现有的支付模式下,无论是支付宝电子支付、微信平台支付,还是其他的借记卡交易方式,都需要用户对其设置密码,保障资金的安全,因此加强用户的密码保护,可有效的规避支付中的安全问题。在电子支付的环境下,用户成功与商家进行资金交易的关键,就是密码的输入,因此可以使用数字签名的方法,进行网络支付。我国的银行机构,目前多使用了RAS算法,进行数字签名保护的。用户可以向银行提出申请,之后银行可以对用户发放一个数字证书,证书中包含着用户的个人信息,其在进行电子支付时,通过证书,可以向银行发送一个签名。比对一致后,银行可以根据客户的要求,进行网络电子支付。支付宝的款项支付也是如此,用户依托网络进行支付宝资金交易时,可以将需要支付的款项,从银行卡支付到第三方平台中去,由其代为保管,之后客户收到商家的货物且满意之后,可以通过支付宝账号,发出支付的指令,将货款支付给商家。微信支付,使用的B2C即时到账的接口,发出支付请求的,其还可以进行线下的POS机支付,即就是微POS。本地的生活服务商家,通过服务端口,输入相应的支付金额之后,就会生成二维码,用户使用微信扫码,即可进入支付页面,之后输入自己的密码,即可进行款项的支付。因此通过这样的数字签名的形式,极大的保证了用户电子支付的安全性.2.2病毒预防保护
用户在进行网络电子支付时,常会遇到盗窃用户银行网银/支付宝账户/微信支付账户密码的行为。攻击者利用木马病毒,对用户的计算机系统进行攻击,使其能够对用户的访问页面、个人网银登录界面、微信登录界面、输入银行账号/支付宝账号/微信支付账号、输入的支付密码,进行监视,进而通过技术手段,伪造出相应的登录界面,诱骗用户在含有木马病毒的页面进行相应支付信息的输入,之后将其个人信息窃取。针对此种情况,用户需要对计算机系统加强病毒的预防维护。在计算机中可以安装病毒查杀应用软件,及时更新系统。在应用聊天工具时,如果接收到陌生信息或者邮件、网页时,切忌点开,或者是与发送方核对无误后,再进行点击处理。用户尽量不要在公共电脑上,打开个人的支付登录界面,或者是登入,避免公共电脑中病毒,对于用户支付宝/微信支付账户的入侵攻击。针对手机支付宝用户,其在接到陌生支付信息、电话时,要保持警惕,避免登入钓鱼网站,造成个人支付信息的泄露,给资金的使用造成安全隐患。
2.3法律保护
针对第三方交易平台中,存在的诸种资金使用问题,我国虽然采取了一些相应的法律规范条文,但是由于其在具体的使用中,依靠的是用户对于平台的信赖,以及用户与该平台之间的约定,来进行业务处理的,因此在很多方面,用户的个人资金权益,一旦遭遇到信任危机或是其他的问题,用户的个人权益,很难得到法律的保护。第三方平台,对于用户的大量资金代为监管,存在着资金被挪用、资金利息计算等问题,这些问题缺乏相关的`法律保护,将会对用户的财产安全造成危害。例如支付宝,其主营业务是用户网络交易资金的代收、代管、代付,用户在使用资金的代管功能时,与该网站达成了以下的协议:用户可以向本平台,支付一定的资金,并且可以委托本平台对其资金进行保管。使用代付功能时,约定:用户可以要求本平台,使用存入的资金,对其交易项目,进行支付,如果是非经法律程序,以及非由于本条款约定事宜的交易,该项支付形式,不可逆转。这些协议,虽然符合当前用户、第三方支付的现状,但是从法律的角度来讲是存在着缺陷的。微信支付中,存在着未按照法律的相关要求,与用户签署相关的协议,也没有对安全验证的有效性,进行规定,其存在着交易金额超额准许的情况。因此针对上述问题,需立法部门及时制定相应的法律规范,对第三方支付平台进行有效的约束。此外,基于我国目前的电子支付形式,还缺乏一套较为完善的安全认证体系。
3结束语
在当今社会,电子支付给人们的工作、生活带来了便利,但是与此同时也带来了网络支付安全问题,因此需要支付平台、银行等各个机构以及用户,对电子支付的安全问题加强关注,及时找出改进对策,加以改进,避免安全问题出现。
参考文献
[1]刘剑.电子支付及其网络安全研究与实现[D].天津工业大学,2005.[2]谭汉元.电子商务网络安全支付问题浅析[J].电子商务,2011(01):40-42.
网络安全性论文【二】摘要:在经济建设的不断发展下,各个领域都得到了突飞猛进的发展,这样也在某种程度上致使现代化设备在运行的时候存在诸多缺陷。倘若计算机安全受到影响,那么不但会对个人的财产安全带来威胁,而且还会对国家带来无法挽回的损失,严重的可能给社会的安全带来破坏。基于此,主要从以下几个方面进行分析,提出合理化建议,供以借鉴。
关键词:计算机;网络;安全;危害;加敏技术;防火墙
随着我国经济脚步的不断前进,信息化时代已经到来,计算机网络技术在我国的各个领域都得到了普遍得认可,这样就会促使网络信息传递的速度不断上升,诸多企业以及有关机构在获得丰厚效益的基础上,所传送的数据也会受到一定的损坏。一般情况下,对于常见信息安全问题来说,主要包含以下几点:第一种事信息失真;第二种是窃取口令;第三种是数据库信息被窃;第四种是篡改用户信息等。严重的可能还会直接将网络节点摧毁,这样就会给财产安全以及国家带来严重得影响。对此,本文需要从以下几个方面进行探讨,笔者依据多年经验提出自己的一些建议,供以借鉴。
1计算机网络安全及危害因素
由于互联网自身就具有一定的开放性,其广泛的作用极其便捷等优点能够也信息失真创造有利条件。从当前的发展形势来看,人们的生活以及生产等方面都与计算机有些密切的联系。所以,怎样开展好计算机网络安全以及使用已经慢慢成为当前的关键所在。1.1计算机网络安全问题分析。计算机网络安全主要包含了计算机硬件保护、软件维护、网络系统安全管理等内容。因此只要我们正确有效的把握计算机网络安全规律、切实做好计算机防护工作、提高计算机抵抗能力,那么各种外界侵害都是可以有效预防的。1.2计算机网络安全的威胁因素。由于计算机网络安全具有一定的繁琐性,一般情况下包含以下两方面因素:一方面是人为因素;另一方面是偶发性因素。对于人为因素来说,是威胁计算机安全的主要因素,经常出现的有对计算机内部信息进行篡改,制造病毒等。与此同时,计算机自身也存在一些不足之处,因为网络自身具有国际性的特点,不是授权的用户也能够通过计算机本身存在的不足来对内部信息进行操作,从而致使计算机的安全性受到影响。通常情况下,对计算机网络安全带来影响的主要有以下几方面构成:1)计算机病毒。病毒是威胁计算机安全的最常见因素,也是人为恶意攻击的主要手段,它通常都是插入在计算机某一软件当中的不良代码,也有些是由人为制作且利用特殊途径传递的,其最终结果都是对计算机内部数据进行破坏。目前常见的病毒主要分为恶性病毒和良性病毒两种。但是不管哪种病毒,都具备十分强烈的自我复制性、感染性、隐蔽性以及破坏性。2)黑客。黑客一词在当今社会可谓是耳熟能详的词汇了,主要指的是非法分子在未经过本人同意或者允许的前提下,擅自登陆他人的网络服务器,并且对网络内部的数据进行更改和破坏。通常情况下,黑客主要是通过木马程序或者植入病毒的手段进行计算机信息窃取、夺取计算机控制权。3)计算机保护机制不够。因为计算机网络自身具有一定的开放性,所以在信息进行输送的过程中会存在潜在的危险。相关人员没有对计算机的传输引起必要的重视,这样就致使计算机没有较强的防御能力,进而致使信息出现丢失的情况。
2计算机网络安全防范措施
在不断加速的信息化进程中,计算机应用不断普及,由此也引发了人们对计算机信息安全的重视。如何更好的保证计算机网络环境下信息传输安全、准确与完整已成为业界研究重点。为了更好、更有效的确保计算机网络信息安全,目前我们常见的技术主要包含以下几种。2.1强化防火墙。防火墙是当今计算机网络安全防范的主要措施,其在具体设置中根据不同网络之间要求组合而成,从而实现对计算机网络信息的保护,起到组织外界非允许人员进入到计算机内部,同时有效管理计算机网络访问权限。2.2计算机信息加密。任何良好的安全系统必须包括加密!这已成为既定的事实。数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现。2.3病毒的防范技术。由于计算机病毒作为威胁养过安的一种因素,这样就要求相关人员应当对经常出现得病毒做到心中有数,并掌握恰当的预防措施,可以及时得对病毒进行妥善处理。通常情况下,对病毒的的预防可以措施可以采取以下几种方法:第一种是利用计算机中的执行程序做好聊加密工作;第二种是对计算机系统进行监控;第三种是对读写内容加以控制。2.4开展计算机网络安全教育。相关部门应当对计算机用户做好适当的培训工作,促使用户可以对计算机的具体操作做到心中有数,继而能够遵守操作选择,并积极的向违法犯罪抵抗,主动保护好网络信息不受侵害。由于计算机网络安全具有一定的繁琐性,不是简单得处理方式和个人就能够处理好的问题。只有全面了解计算机的基本情况,并采用合理的技术来一起解决计算机出现得问题。就网民朋友而言,应当在开机的时候做好杀毒工作,在第一时间将需要的资料做好备份,并利用密码等方式进行加密,在特定的时间对含有的网络文件做好扫描,实现健康上网的目的,学习网络知识,进而确保计算机能够处于安全的状态也为人们得生活以及工作创造有利条件。
3计算机应用
由于计算机网络的快速发展,计算机信息的共享应用也逐渐深入人心。但是信息在公共的网络平台上进行传播和共享,会被一些不法分子偷听或盗取,这样就导致了客户信息的丢失,给人们带来不必要的影响。所以我们必须运用一系列手段来增强计算机网络的安全性,来保证系统的正常运作。而计算机身份认证技术、对计算机加密技术和防火墙技术等,这些都是保护计算机网络安全的基础,同时有效的提高网络的安全性。计算机网络安全的维护人人有责,对于计算机用户来说,计算机有它的便利之处也有它的脆弱性,我们必须认真履行一个网民应有的义务和责任。从普及计算机安全知识到计算机科学合理操作真正做到网络信息安全,杜绝网络犯罪,增强政治意识,做一个自律合法的计算机使用者。
4结论
通过以上内容的论述,可以清楚的认识到,在当前计算机的大量使用下,不管是对于人类生活,还是工作以及生产都带来了极大的便利。然而,计算机在被人们使用的时候也存在安全问题,这样就要求相关人员应当不断完善该技术,才能够尽可能减少计算机出现安全问题的概率,从而在未来的发展中为经济建设做出重要的贡献。
参考文献
[1]朱茂君.构建顶级网络安全的可行性讨论[J].计算机与网络,2016(24):131.[2]商炳楠.图书馆计算机网络安全及维护[J].科技创新与应用,2016(34):97.[3]王秀波.网络安全解决方案[J].智能建筑,2016(7):106.[4]叶纯青.从风险管理角度谈网络安全[J].金融科技时代,2017(3):33.[5]孙威.浅谈网络安全中的加密技术[J].信息系统工程,2017(2):9.
【网络安全性论文】相关文章:
1.电子商务安全性论文
2.供电线路的供电安全性论文
3.关于网络论文
4.网络专业论文
5.网络的总结论文
6.网络安全论文
7.国际生产网络论文
8.网络的利与弊论文
第二篇:汽车安全性新技术论文
汽车安全技术
尤敏
(湖北汽车工业学院 汽车工程系,湖北 十堰 442002)
摘要:汽车行驶的安全性直接关系着人们的生命安全和财产安全。本文主要从汽车的主动安全技术和被动安全技术两方面来阐述如何改善汽车行驶的安全性。
关键词:汽车、主动安全技术、被动安全技术
Security technology of automobile
Youmin(Department of Automotive Engineering, Hubei Automotive Industries Institute, Hubei, Shiyan 442002)Abstract: The safety of car driving is directly related to people’s life and property.This paper mainly talks about initiative security technology and passivity security technology to express how to improve the security of driving.Key words: automobile、initiative security technology、passivity security technology
随着交通工具的现代化和绝对数量的急剧增长,车祸也不断增加。汽车交通事故已成为严峻的全球性社会问题。毋庸置疑,先进的汽车安全设施是行车安全不可缺少的保障。所以,我们要从技术上入手,努力研究开发高性能、高安全性的汽车,同时也要加强对在用汽车的定期检查,以便及时维修调查,使汽车经常处于良好的技术状况,以提高汽车行驶的安全性能。
一、汽车主动安全技术
1、ABS防抱死制动系统
防抱死制动系统(Anti-lock Braking System,简称ABS)由ABS电脑、液压装置、车轮转速传感器、制动液压管路及电器配线等组成。
ABS统对于汽车在各种行驶条件下的制动性能及制动安全尤为重要,特是紧急制动,能够充分利用轮胎和路面之间的峰值附着性能,提高汽车抗侧滑性能并缩短制动距离,充分发挥制动效能,同时增加了汽车制动过程中的可控性。从而减少了汽车事故发生的可能性。
没有安装ABS的汽车,如果在行驶中用力踩踏制动踏板,车轮会急速降低转速,最后车轮停止转动,但车身由于惯性依然保持向前滑动。这种现象在车轮与路面之间发生较大的“滑移”,出现这种状况时,汽车轮胎对路面的侧滑摩差力几乎消失,于是会出现下述现象:
(1)转向稳定性下降:方向盘操纵不灵,车辆尾部上翘,严重时车辆打转或出现折叠现象;(2)操纵性下降:操纵方向盘而达不到转向要求;(3)制动距离延长:超过一般的制动距离。
所以,可想而知有无装设ABS系统对汽车行驶的安全性是非常重要的。
2、ASR驱动防滑控制系统
ABS用于防止汽车制动过程中车轮抱死,将车轮的滑移率控制在理想的范围内,以缩短制动距离,提高汽车制动时方向稳定性和转向操纵性,从而提高汽车行驶的安全性。随着对汽车性能要求的提高,不仅要求在制动过程中防止车轮抱死,而且要求在驱动过程中防止驱动轮滑转,使汽车在驱动过程中的方向稳定性、转向控制能力和加速性能都得到提高,因此采用了汽车驱动防滑转向系统ASR(Acceleration Slip Regulation)。ASR是ABS的完善和补充,ASR可单独设置,但大多数是与ABS组合一起,常用ABS/ASR表示,称为防滑控制系统。
ASR主要用来防止汽车在起步、加速时车轮的滑转,保证汽车在加速过程中的稳定性并改善在不良路面上的驱动附着条件。它可以使无差速锁的汽车在冰雪路面和泥泞道路上起步并改善其通行能力,还可以防止在车速较高并通过滑溜路面又转弯时汽车后部的侧滑现象。
总之,ASR由于防止了车轮的滑转,便可最大限度地利用发动机的驱动力矩,保证汽车有足够的纵向力、侧向力和操纵力,使汽车在起动、转向和加速过程中,在滑溜和泥泞路面上、在山区上下坡过程中都能稳定地行驶,既保证了行车安全,减少轮胎磨损和燃油消耗,又改善了汽车的驱动性能。
3、VDC系统
ABS/ASR系统成功地解决了汽车在制动和驱动时的方向稳定性问题,但不能解决汽车转向行驶的方向稳定性问题。例如当汽车转向行驶时,不可避免地受到侧向和纵向力的作用,只有当地面能够提供充分的侧向和纵向力时,驾驶员才能控制住车辆。如果地面侧向附着能力比较低,就会损害汽车按预定方向行驶的能力。雨天汽车高速转向行驶时,常常侧向滑出,就是地面侧向附着能力不足的缘故。为解决此问题,最近汽车工业发达国家又在 ABS/ASR系统的基础上发展成汽车动态控制系统(Vehicle Dynamics Control,简称VDC)。这个系统把汽车的制动、驱动、悬架、转向、发动机等各主要总成的控制系统在功能上、结构上有机地综合在一起,可使汽车在各种恶劣工况下,如冰雪路面上、对开路面上、弯道路面上以及采取规避动作移线、制动、加速和下坡等工况时,对不同承载、不同轮胎气压和不同程度的轮胎磨损都有良好的方向稳定性,表现出最佳的行驶性能。VDC的应用,在制动、加速和转向方面完全解脱对驾驶员的要求,是汽车的主动安全行驶方面的一个新的里程碑。
VDC系统对转向行驶的控制主要是借助于对各个车轮的制动控制和发动机功率输出控制来实现的。例如汽车左转弯时,若前轮因转向能力不足而趋于滑出弯道,VDC系统即可测知侧滑即将发生,就采取适当制动左后轮的办法。若在同一弯道上,因后轮趋于侧向滑出而转向过多,VDC系统即采取适当制动右前轮的办法,维持车辆的稳定行驶。在极端情况下,VDC系统还可采取降低发动机功率输出的办法降低行驶车速,减少对地面侧向附着能力的需求来维持车辆的稳定行驶。采用VDC系统后,汽车在对开路面上或弯道路面上的制动距离还可进一步缩短。
4、CCS汽车巡航控制系统
汽车巡航控制系统(Cruise Control System,缩写为CCS)就是可使汽车工作在发动机有利的转速范围内,减轻驾驶员的驾驶操纵劳动强度,提高行驶舒适性的汽车自动行驶装置。
汽车巡航系统(CCS)的作用是:按司机所要求的速度闭合开关后,不用踩油门踏板就可以自动地保持车速,使车辆以固定的速度行驶。采用了这种装置,当在高速公路上长时间行车后,司机就不用再去控制油门踏板,减轻了疲劳,同时减少了不必要的车速变化,可以减省燃料。
在这个系统中,电子控制装置可根据行驶阻力的变化,自动调节发动机油门开度,使行驶车速保持恒定。这样既减少了不必要的车速变化,从而节省了燃料,同时也减轻了驾驶员的负担。
二、汽车被动安全技术
1、安全带
汽车安全带是一种安全装置,它能在汽车发生碰撞或急拐弯时,使乘员尽可能保持原有的位置而不移动和转动,避免与车内坚硬部件发生碰撞而造成伤害。安全带与安全气囊一样,都是现代轿车上的安全装置,但是前者的历史悠久,普及范围广。
看似简简单单的安全带其实并不“简单”。一直处在关注行车安全最前沿的通用汽车公司,通过分析大量意外事故后发现:汽车安全带不但能使人保住性命,更能在超过半数的事故中减低甚至消除驾车者、乘车者受伤的机会。汽车发生碰撞或遇到意外紧急制动时产生的巨大惯性作用力,会使驾驶员、乘客与车内的方向盘、挡风玻璃、座椅靠背等物体发生二次碰撞,极易造成对驾乘员的严重伤害,甚至将驾乘员抛离座位或抛出车外,而安全带能将驾乘人员束缚在座位上。发生意外时,它能有效防止二次碰撞,并且其缓冲作用能吸收大量动能,减轻驾乘人员的伤害程度。
2、安全气囊
当汽车前部发生强烈的碰撞时,由于惯性,驾乘者的身体向前快速移动,这时安全带便会尽力“拉住”驾乘者的身体,吸收部分冲击能量,同时安全气囊以“迅雷不及掩耳之势”充气并完全打开;接着驾乘者的身体上部便沉向安全气囊,气体也开始从气囊的排气口匀速逸出,并吸收了大部分冲击能量;随后,驾乘者身体向后并回到座椅上。以上整个过程几乎都是发生在一瞬间的,驾乘者完全处于被动的局面,在这种情况下,被动的依靠辅助乘员保护系统是唯一的选择。安全气囊的开发设计就是基于安全带有限的保护作用之上的,它们互相配合发挥对驾乘者的辅助保护作用。在乘员使用安全带的情况下,气囊有助于减轻胸、头和面部在碰撞时受伤的严重性。当汽车发生前碰撞时,首先是汽车要停止运动,车内乘员的惯性力作用下仍以原速度继续向前运动。不系安全带的乘员将会与转向盘、前挡风玻璃相碰,因而可能受到严重伤害;系安全带的乘员可以随着汽车停止运动而逐渐停止向前运动。如果碰撞剧烈,乘员向前运动更快,即使系了安全带,在完全停止运动前,仍会与车内物相碰。如果此时装在转向盘或仪表板内的气囊充气弹出,它就可以保护乘员减少其与车内物相碰的可能性,更均匀的分散头、胸的碰撞力,吸收乘员的运动能量,从而起到补充安全带效果的作用。
除了安全带和安全气囊外汽车被动安全技术还包括汽车保险杠、汽车安全玻璃、安全车身、乘员头颈保护系统(WHIPS)等。这些对提高汽车行驶的安全性能都有着非常重要的贡献。
三、汽车主动安全新技术
1、Eye Car技术
Eye Car技术可使每位驾驶员的眼睛处于同样的相对高度上,保证提供一个对路面和周围车道的无阻碍视眼和最好的能见度。这一技术还能提供一个特定的驾驶环境。
Eye Car通过使用电动座椅自动将不同身材驾驶员的眼睛调到同一高度来解决能见度的问题,同时,可对转向盘、制动与加速踏板、地板和中央控制台进行调整,以构成各自适应的驾驶环境。同时对前立柱进行了重新的设计,将它从驾驶员的视线中移开。因为汽车驾驶员所收到的最关键的信息一般有90%以上是从车外通过眼睛观察获得的。所以,这一改进对于汽车的安全性具有重要的意义。
2、Cam Car技术
Cam Car技术旨在帮助提高驾驶员的感知能力。其技术特点是:
(1)安装在汽车两侧的前向摄像系统,使驾驶员能够绕过大型车辆提前看到隐蔽处的汽车或行人。在典型的行驶情景中,驾驶员在拥挤的车流中左转弯时可以更容易地查看对面的车辆。(2)侧置后视摄像机提供了更广阔的侧面视野。摄像机的覆盖面比传统的后视镜要广,特别是对于相邻的车道。(3)安装在车后、扇面形布置的四个微型摄像机可以获得车后的全景视野。图像经电子合成,具有变焦和160°广角能力。(4)“夜眼”(Night Eye)摄像机可在低照度条件下,在汽车处于倒挡时工作,即使在近乎黑暗的情况下也能提供车后近距离内的细小影像。
四、汽车被动安全新技术
1、未来安全气囊(1)可充气式幕系统。这是一项全新的安全设计,其基本原理是为保护车内乘员的头部,当碰撞发生时其会进行充气,充气后的形状呈幕状。(2)管状充气结构头部空气囊。此套系统为补足目前侧边防护系统,仍停留于保护人的胸部、腹部、臂部,对于头部的保护较不足。它配合车身刚体结构、车门防护刚梁、侧边空气囊,可构成较完整的侧边安全防护网,这也将是未来的安全防护趋势。(3)头部支撑系统。头部支撑系统通称为头枕,车辆中座椅所配合的头枕,其实不只是为了舒适,更重要的是为了安全。车辆如果遇到紧急状况刹车时,车身会有强烈的前后摆动,由于惯性原理乘员身躯必然跟着摆动,尤其是颈部。如果没有头部的支撑缓冲的头枕时,颈部受伤所引起的伤害是非常惊人的。
(4)外部安全气囊。
2、自适应约束技术系统(ARTS)全新的自适应约束技术系统(ARTS)利用一系列传感器来监测驾驶员座椅位置、安全带使用情况、前排乘员乘坐质量和位置以及发生碰撞时的碰撞烈度和碰撞力的方向等信息,再根据具体的碰撞特点对每个前排乘员气囊的展开进行调节。该系统可进一步减少由于气囊展开不当对乘员造成的伤害,特别是对于身材较小的前排乘员。
3、汽车吸能方向管柱
汽车吸能方向管柱通过在汽车发生碰撞时重新分配传到方向盘上的冲击力,将冲击力路径迅速分流,使得传递到方向盘上的载荷最小。转向管柱由空心管和转向轴承构成。传统转向管柱的空心管和转向轴承是整体式的,转向轴上端和方向盘连接,下端与方向器连接。而吸能方向管柱的特点是将整体式转向管柱一分为二,分为上转向管柱和下转向管柱两部分;里面的转向轴也分为两截,它们之间用外向节机构连接。一旦发生碰撞令方向机构产生位移,外向节下端特制的转向轴会折叠,上转向管柱移入下转向管柱内,实现“缩进”,从而扩大空间减低伤害。
五、胎压力监视系统
在汽车的高速行驶过程中,轮胎故障是所有驾驶者最为担心和最难预防的,也是突发性交通事故发生的重要原因。据统计,在中国高速公路上发生的交通事故中70%是由于爆胎引起的,而在美国这一比例则高达80%。怎样防止爆胎已成为安全驾驶的一个重要课题。据国家橡胶轮胎质量监督中心的专家分析,保持标准的车胎气压行驶和及时发现车胎漏气是防止爆胎的关键。而TPMS(Tire Pressure Monitoring System)----汽车胎压监视系统毫无疑问将是理想的工具。该系统主要用在汽车行驶时实时的对轮胎气压进行自动监测,对轮胎漏气和低气压进行报警,以保障行车安全。
驾驶者从监视器上就可以清楚的知道每个轮胎的气压值,当轮胎的气压低于社定的气压下限时,监视器将自动报警。
驾驶者可以根据显示数据及时地对轮胎进行加气或放气,发现渗漏及时处理,减少意外的发生。
总之,汽车的主动安全技术和被动安全技术对汽车行驶的安全性是非常重要的,除此之外,还有环境因数、人为因数等对车辆行驶的安全性也是很重要的。因此,我们必须做好各方面的要求和技术,以保证车辆的安全行驶。
参考文献:
[1] 《汽车安全检测技术》.夏长高、曾发林、丁华 编著.化学工业出版社.[2] 《现代汽车安全技术》.钱宇彬、胡宁 编著.上海交通大学出版社.[3] 《 汽车安全与保养》.崔俊杰、张保成、续彦芳编著.冶金工业出版社.[4] 《汽车电子控制装置与应用》.王旭东主编.机械工业出版社.[5] 白原新, 魏学颜.汽车主动安全性概述[J].世界汽车 , 1996,(03).[6] 李振玲.提高主动安全性 减少汽车交通事故[J].世界汽车 , 1996,(03).[7] 朱孔源.建立更加智能化的汽车安全系统[J].轻型汽车技术 , 2006,(02).[8] 豪彦.汽车主动安全制动系统的发展[J].汽车与配件 , 2004,(17).
第三篇:web安全性论文DOC
关于WEB服务及其安全性 的讨论
学院名称 __________________ 专业名称 __________________ 学生姓名 学 号 __ 指导教师
**年**月**日
目 录
第一章
WEB的基本简介……………………………………1 1.1 WEB的起源…………………………………………..1 1.2 WEB的特点……………………………………………2 1.3 WEB的工作原理……………………………………3 第二章
关于WEB服务器…………………………………..4 2.1 WEB服务器的种类……………………………….4 2.1.1 WEB简介………………………………………..4 2.1.2.3,服务器.服务器制作教程[引用日期2014/8/5].4,更好维护服务器安全的几大安全措施.万户网络[2014/8/7].5,全媒体时代是大技术,大数据时代.亿恩资讯网[引用日期2014/8/5].6,孔凡飞.基于WS Security的电子商务 Web服务安全的概要设计[D]杭州:浙江大学.7,高鹏.Web安全手册[M].北京:清华大学出版社,1998:29-33.
第四篇:防火墙的安全性分析论文
软件学院
专 科 生 毕 业
实 践 报 告
题 目: 防火墙的安全性分析
专 业: 计算机网络技术 年(班)级: 学 号: 姓 名: 指导教师: 完成日期: 2010 年 03 月 17 日
防火墙的安全性分析
摘要:本文从防火墙的定义、为什么使用防火墙、防火墙的概念、防火墙的功能等方面介绍了防火墙的基本信息;并从防火墙的安全技术分析、防火墙的基本类型、防火墙的工作原理、防火墙的配置、防火墙的安全措施这五个方面来对防火墙的安全性进行分析。
关键词:黑客,防火墙,网络安全
目 录
引言............................................................................................4
一、防火墙简介................................................................................4 1.1防火墙的概念..........................................................................4 1.2防火墙出现的背景和意义......................................................5 1.3 防火墙的发展史.....................................................................5 1.4 防火墙的功能.........................................................................6
二、防火墙的基本类型......................................................................7 2.1 包过滤型.................................................................................7 2.2 网络地址转化型—NAT..........................................................7 2.3 代理型......................................................................................8 2.4 监测型......................................................................................8
三、防火墙的工作原理.......................................................................8
3.1相关术语...................................................................................8
3.2 防火墙的防御机理..................................................................9
四、防火墙的配置.............................................................................10
五、防火墙的安全技术分析.............................................................11
六、防火墙的安全措施.......................................................................14
七、总结.............................................................................................14 致谢.....................................................................................................参考文献.............................................................................................引 言
在计算机技术和网络技术普遍应用的今天,人们已经不再用脑子去记很多的东西了,而主要记载在计算机上或与之相关机器上,很多时候我们只需记载一些密码便可,也方便查询。但是,网络也是不安全的,很多时候我们的计算机中的信息都有被盗的可能,因此,需要确保我们信息系统安全。以前,我们只需设置一些复杂的密码就可以,但是上网后,黑客们还是能从各种途径盗取我们的重要信息,包括我们的密码和各种敏感信息。因此,我们不只要经常给系统打补丁,还要有一个好的防火墙。有防火墙可以更好的防范黑客攻击。它可以控制端口的连接,将一些危险的端口屏蔽,防止他人对我们计算机的配置信息进行扫描;可以防范一些有攻击性的病毒。因此,给我们的计算机安装强有力的防火墙是很有必要的。我们可以根据自己爱好或用途选择防火墙,如天网防火墙,诺顿安全特警,瑞星防火墙等。这里,我将运用自己所学知识,先介绍防火墙出现的背景、意义,防火墙的发展史,防火墙的概念及其功能。然后从防火墙的类型、工作原理、配置、安全技术分析及其安全措施对防火墙的安全性进行分析。
一、防火墙简介
1.1防火墙的概念
防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。它可 4 通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙的优点:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
1.2防火墙出现的背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。作为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还 从一种专门的领域变成了无处不在。信息安全是国家发展所面临的一个重要问题。发展安全产业是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.3防火墙的发展史
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
第二、三代防火墙:
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙:
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
1.4 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件夹】公开到Internet,供不特定的任何人有机会浏览目录内的文件。防火墙的主要功能有以下几点:
①防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
②防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。
③通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
⑤除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
二、防火墙的基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT型、代理型和监测型。
2.1包过滤型
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况 7 下,能够以较小的代价在一定程度上保证系统的安全。
2.2网络地址转化—NAT型
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3代理型
代理型防火墙也称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分 8 析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。
三、防火墙的工作原理
3.1 相关术语
①网关
网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关,这个术语是非常常见的。②电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。③应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。④包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。在上文的防火墙类型中做过介绍。
⑤代理服务器
代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。⑥网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.2防火墙的防御机理
①包过滤型防火墙:数据包过滤技术是在网络层对数据包进行选择、过滤,选择、过滤的标准是以网络管理员事先设置的过滤逻辑(即访问控制表)为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息,来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。包过滤(PacketFliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
②应用级网关型防火墙:应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议,采用不同的数据过滤逻辑,并在过滤的同时对数据包进行必要的分析、登记和统计,形成报告,大大提高了网络的安全性。
特别需要指出的是:应用级网关型防火墙和包过滤型防火墙有一个共同的特点,它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就建立起直接的联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,从而使非法访问和攻击容易得逞。
③代理服务型防火墙:代理服务也称链路级网关(Circuit Level Gateways)或TCP通道(TCP Tunnels),也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析、注册登记,形成报告。当发现被攻击迹象时,代理服务器会向网络管理员发出警报。应 用级网关型和代理服务型防火墙大多是基于主机的,价格比较贵,但性能很好,其安装和使用也比采用数据包过滤技术的防火墙复杂一些。
四、防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。
Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五、防火墙的安全技术分析
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并并监视网络运行状态。(1)只有正确选用、合理配置防火墙,才能有效发挥其安全防护作用
防火墙作为网络安全的一种防护手段,自多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
1、风险分析.
2、需求分析:
3、确定安全政策:
4、选择准确的防护手段,并使之与安全政策保持一致。(2)应正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何?
按级别来分,它应有这样4种状态:
1、未受伤害能够继续正常工作;
2、关闭并重新启动,同时恢复到正常工作状态;
3、关闭并禁止所有的数据通行;
4、关闭并允许所有的数据通行。
前两种状态比较理想,而第4种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大,原因是:
1、防火墙性能测试目前还是一种很新的技术,可用的工具和软件较少。
2、防火墙测试技术尚不先迸,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
3、选择“谁”进行公正的测试也是一个问题。可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当重要。(3)防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,商家一旦发现其产品存在安全漏洞,就会尽快发布补救产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
(4)非法攻击防火墙的基本“招数”
1、通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无 12 需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3.A再将B传送来的ISN及应答信息ACK返回给B。至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机.这样可以使用TCP淹没攻击,使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。
请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN),而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求,因此目标主机不能得到来自于信赖主机的响应。
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。
随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。
归纳起来,防火墙安全防护面临威胁的几个主要原因有:①SOCK的错误配置;②不适当的安全政策;③强力攻击;④允许匿名的FTP协议;⑤允许TFTP协议;⑥允许Rlogin命令;⑦允许X-Windows或OpenWindows;⑧端口映射;⑨可加载的NFS协议;⑩允许Win95/NT文件共享。
破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了,这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。
六、防火墙的安全措施
各种防火墙的安全性能不尽相同,以下是一些一般防火墙的常用安全措施:
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
七、总结
第五篇:网络论文
论计算机网络的安全性设计
摘要
我在一家证券公司信息技术部分工作,我公司在9798年建成了与各公司总部及营业网点的企业网络,并已先后在企业网络上建设了交易系统、办公系统,并开通了互联网应用。因将对安全要求不同、安全可信度不同的各种应用运行在同一网络上,给黑客的攻击、病毒的蔓延打开了方便之门,给我公司的网络安全造成了很大的威胁。作为信息技术中心部门经理及项目负责人,我在资金投入不足的前提下,充分利用现有条件及成熟技术,对公司网络进行了全面细致的规划,使改造后的网络安全级别大大提高。本文将介绍我在网络安全性和保密性方面采取的一此方法和策略,主要包括网络安全隔离、网络边界安全控制、交叉病毒防治、集中网络安全管理等,同时分析了因投入资金有限,我公司网络目前仍存在的一些问题或不足,并提出了一些改进办法。正文
我在一家证券公司工作,公司在98年就建成了与各公司总部及营业网点的企业网络,随着公司业务的不断拓展,公司先后建设了集中报盘系统、网上交易系统、OA、财务系统、总部监控系统等等,为了保证各业务正常开展,特别是为了确保证券交易业务的实时高效,公司已于2002年已经将中心至各营业部的通讯链路由初建时的主链路64K的DDN作为备链路33.3KPSTN,扩建成主链路2M光缆作为主链路和256K的DDN作为备链路,实现了通讯线路及关键网络设备的冗余,较好地保证了公司业务的需要。并且随着网上交易系统的建设和网上办公的需要,公司企业网与互联网之间建起了桥梁。改造前,应用系统在用户认证及加密传输方面采取了相应措施。如集中交易在进行身份确认后信息采用了Blowfish 128位加密技术,网上交易运用了对称加密和非对称加密相结合的方法进行身从好为人师证和数据传输加密,但公司办公系统、交易系统、互联网应用之间没有进行安全隔离,只在互联网入口安装软件防火墙,给黑客的攻击、病毒的蔓延打开了方便之门。
作为公司信息技术中心运保部经理,系统安全一直是困扰着我的话题,特别是随着公司集中报盘系统、网上交易系统的建设,以及风外办公需要,网络安全系统的建设更显得犹为迫切。但公司考虑到目前证券市场疲软,竞争十分激烈,公司暂时不打算投入较大资金来建设安全系统。作为部门经理及项目负责人,我在投入较少资金的前提下,在公司可以容忍的风险级别和可以接受的成本之间作为取舍,充分利用现有的条件及成熟的技术,对公司网络进行了全面细致的规划,并且最大限度地发挥管理功效,尽可能全方位地提高公司网络安全水平。在网络安全性和保密性方面,我采用了以下技术和策略:1.将企业网划分成交易网、办公网、互联网应用网,进行网络隔离。2.在网络边界采取防火墙、存取控制、并口隔离等技术进行安全控制。3.运用多版本的防病毒软件对系统交叉杀毒。4.制定公司网络安全管理办法,进行网络安全集中管理。
一.网络安全隔离
为了达到网络互相不受影响,最好的办法是将网络进行隔离,网络隔离分为物理隔离 逻辑隔离,我主要是从系统的重要程度即安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问或有控制的进行访问。针对我公司的网络系统的应用特点把公司证券交易系统、业务公司系统之间进行逻辑分离,划分成交易子网和办公子网,将互联网应用与公司企业网之间进行物理隔离,形成独立的互联网应用子网。公司中心与各营业部之间建有两套网络,中心路由器是两台CISCO7206,营业部是两台CISCO2612,一条通讯链路是联通2M光缆,一条是电信256K DDN,改造前两套链路一主一备,为了充分利用网络资源实现两条链路的均衡负载和线路故障的无缝切换,子网的的划分采用VLAN技术,并将中心端和营业商的路由器分别采用两组虚拟地址的HSRP技术,一组地址对应交易子网,一组地址对应办公网络,形成两个逻辑上独立的网络。改造后原来一机两用(需要同时访问两个网络信息)的工作站采用双硬盘网络隔离卡的方法,在确保隔离的前提下实现双网数据安全交换。
一、网络边界安全控制
网络安全的需求一方面要保护网络不受破坏,另一方面要确保网络服务的可用性。将网络进行隔离后,为了能够满足网络内的授权用户对相关子网资源的访问,保证各业务不受影响,在各子网之间采取了不同的存取策略。
(1)互联网与交易子网之间:为了保证网上交易业务的顺利进行,互联网与交易子网之间建有通讯链路,为了保证交易网不受互联网影响,在互联网与事心的专线之间安装了NETSCREEN委托防火墙,并进行了以下控制:a)只允许股民访问网上交易相应地址的相应端口。B)只允许信息技术中心的维护地址PING、TELNET委托机和路由器。C)只允许行情发送机向行情主站上传行情的端口。D)其它服务及端口全部禁止。并且在互联网和交易网之间还采用了SSL并口隔离,进一步保证了交易网的安全。
(2)办公子网与互联网之间:采用东大NETEYE硬件防火墙,并进行了以下控制:a)允许中心上网的地址访问互联网的任何地址和任何端口。B)允许股民访问网上交易备份地址8002端口。C)允许短信息访问公司邮件110、25端口,访问电信SP的8001端口。D)其它的都禁止。
三、病毒防治
网络病毒往往令人防不胜防,尽管对网络进行网络隔离,但网络资源互防以及人为原因,病毒防治依然不可掉以轻心。因此,采用适当的措施防治病毒,是进一步提高网络安全的重要手段。我分别在不同子网上部署了能够统一分发、集中管理的熊猫卫士网络病毒软件,同时购置单机版kv3000和瑞星防病毒软件进行交叉杀毒;限制共享目录及读写权限的使用;限制网上软件的下载和禁用盗版软件;软盘数据和邮件先查毒后使用等等。
四.集中网络安全管理
网络安全的保障不能仅仅依靠安全设备,更重要的是要制定一个全方位的安全策略,在 全网范围内实现统一集中的安全管理。在网络安全改造完成后,我制订了公司网络安全管理办法,主要措施如下:1)多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核。2)任期有限原则,技术人员不定期地轮岗。3)职责分离原则,非本岗人员不得掌握用户、密码等关键信息。4)营业进行网络改造方案必须经过中心网络安全小组审批后方可实施。5)跨网互防须绑定IP及MAC地址,增加互防机器时须经过中心批准并进行存取控制设置后方可运行。6)及时升级系统软件补丁,关闭不用的服务和端口等等。
保障网络安全性与网络服务效率永远是一对矛盾。在计算机应用日益广泛的今天,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,从而会或多或少的影响使用效率和使用方便性。如,我在互联网和交易网之间设置了防火墙的前提下再进行了SSL并口隔离后,网上交易股民访问交易网的并发人数达到一定量时就会出现延时现象,为了保证股民交易及时快捷,我只好采用增加通讯机的办法来消除交易延时问题。
在进行网络改造后,我公司的网络安全级别大大提高。但我知道安全永远只是一个相对概念,随着计算机技术不断进步,有关网络安全的讨论也将是一个无休无止的话题。审视改造后的网络系统,我认为尽管我们在internet的入口处部署了防火墙,有效阻档了来自外部的攻击,并且将网络分成三个子网减少了各系统之间的影响,但在公司内部的防问控制以及入侵检测等方面仍显不足,如果将来公司投资允许,我将在以下几方面加强:
1. 在中心与营业部之间建立防火墙,通过访问控制防止通过内网的非法入侵。
2. 中心与营业部之间的通讯,采用通过IP层加密构建证券公司虚拟专用网(VPN),保 证证券公司总部与各营业部之间信息传输的机密性。
3.建立由入侵监测系统、网络扫描系统、系统扫描系统、信息审计系统、集中身份识别系统等构成的安全控制中心,作为公司网络监控预警系统。
论计算机网络的安全性设计 摘要
在计算机与网络技术飞速发展的今天,医院信息系统的建设已经成为医院现代化管理的重要标志,同时也是医院管理水平的一种体现。尤其是医疗保险制度的改革,与医院信息系统形成了相互促进的态势,我国很多医院都建立了自己的信息系统。由于行业性质的缘故,医院信息系统必须7x24小时不间断运转,因此对网络系统的安全性和可靠性有很高的要求。本文通过一个医院信息系统项目,阐述了医院计算机网络的安全性设计方面的一些具体措施,并就保障网络的安全性与提高网络服务效率之间的关系,谈了自己的一点体会。正文
我于2001年4月至2003年10月参加了某医院的医院信息系统的建设工作,在项目中,我担任了系统分析与系统设计工作。医院信息系统是指利用计算机软硬件技术、网络通讯技术等现代化手段,对医院及其属各部门对人流、物流、财流进行综合管理,对在医疗活动各阶段产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息,从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。由于行业性质的缘故,医院信息系统必须7x24小时不间断运转,因此对网络系统的安全性和可靠性有很好的要求,在该项目的系统设计阶段,我们就将网络系统的安全性作为一个重要的部分考虑在内。由于该信息系统是建立在一个物理上与公众网完全隔离的局域网基础上的,所以我们并没有过多地考虑防御来自外部入侵者的威胁方面的安全问题,我们认为该系统的安全核心—是保证信息系统的正常运行,二是保证数据的安全,也就是说该医院网络信息系统的安全可以分为信息系统安全和数据安全。下面就我们在这两方面所采取的措施加以论述。信息系统安全
信息系统安全涉及网络安全、服务器组的安全、供电安全、病毒防范等。
1.网络安全
对于医院的业务局域网,威胁网络安全的主要因素有:网络设计缺陷、网络设备损坏、非法访问等。经过充分调研,认真分析,结合该医院的实际情况,我们设计了一个主干为三层路由千兆交换以太网的网络方案。
我们采用具有三层路由功能的两台核心交换机NORTEL PASSORT 8600、两台具有三层路由功能的NORTEL ACCLAR 1150交换机和千兆级光纤组成网络主干,边沿交换机为BAYSTACK450。本方案我们采用SMLT(Split Multi-Link Trunking)+VRRP(Virtual Router Redundancy Protocol)技术。NORTEL公司MLT(Multi-Link Trunking)是一种允许多条物理链路模拟成一条逻辑链路的取合链路虚拟为一条逻辑上的传输线路进行数据传输,进而可以成倍地提高两个交换机之间(或交换机与服务器之间)的数据传输带宽,同时提供了传输链路的冗余备份。当构成虚拟传输链路的几条物理链路有一条由于端口或传输介质本身失效时,不会影响数据的正常传输,所受到的影响仅仅是虚拟链路的传输带宽。SMLT,分离的多链路取作主干,同MLT相比,SMLT在构成上,不再是两个交换机之间。SMLT的一端是一个支持MLT的交换机,而另一端则是由两个交换机通过IST(Inter Switch Trunk,是连接两台聚合交换机以实现信息共享,使两台聚合交换机能作为一台逻辑交换机运转的点对点链路)形成的一个逻辑上的交换机。MLT交换机会别与这两上SMLT交换机连接,因此,SMLT在增加带宽的同时,可以提供最高级别的可靠性—交换机级别的可靠性。两个SMLT交换机不论是端口失效还是端口模板失效,甚至是交换机失效都不会影响数据的正常传输,避免了单点失效对网络正常连通带来的影响。同时,传输负载由两个交换机来均衡完成,可以大幅度提高网络主干的传输性能。SMLT体系结构由SMLT Aggregation Switch、IST(Inter Switch Trunk)和SMLT Client构成,其结构图如下:
在没有使用SMLT的情况下启动虚拟路由冗余协议(VRRP),通常只有主交换机进行数据包的转发,如果主交换机出了故障,备用交换机什么样自动顶替主交换机,完成数据包的转发工具;使用SMLT,使得VRRP的性能得到扩展,除了主交换机进行数据包的转发外,备用交换机也进行数据包的转发,主交换机和备用交换机互为备份并互相侦听,这样即可以实现流量的负载均衡,也可以实现故障恢复,避免单点失效。为了避免边沿交换机出现单点换效,我们采用了堆叠技术,把若干台BAYSTACK450用堆叠电缆堆叠起来,在堆叠的某些交换机上加装光纤模块,由这些光纤端口捆绑成一条逻辑链路上联到网络主干,这样就算堆叠的某些交换机上损坏了,整个堆叠还可以正常工作。特别地,门诊收款处和门诊药房是医院的窗口单位,为了避免由于门诊楼交换机堆叠中的某台交换机出现了故障而导致门诊收款系统和门诊发药系统瘫痪,我们把门诊收款工作站和门诊发药站发散地接到堆叠中的七台交换机。
在防止非法访问方面,我们采用了密码管理、权限设置、虚拟子网(VLAN)的划分等措施。
2.服务器组的安全
服务器是全院计算机网络的大脑和神经中枢,保证服务器可靠长期有效的运行是网络信息系统安全的一个特别重要的问题。
由于本方案中的应用程序是采用安全性较高的三层体系统结构,所以服务器组包括域控制器、应用服务器和数据库服务器。
域控制我们采用了两台稳定性较好的IBM xserials 230服务器,一台做主域控制器,另一台做备份域控制器,这样即可以实现登陆验证的负载均衡,又可以避免域控制器的单点失效问题。
应用服务器部分我们采用了六台HP 380G3服务器和一台F5 BIG-IP5000控制器。BIG-IP控制器是针对企业本网站或数据中心的一种产品。它能够提供高可用性和智能负载平衡功能。六台HP380G3服务器可以通过F5 BIG-IP5000控制器连接到核心交换机PASSPORT 8600,F5 BIG-IP5000控制器可以持续监视六台HP 380G3服务器,以确保服务器运行正常,然后再自动将输入的服务请求路由到六台中可用性最高的服务器。这样接,只要有一台HP380G3服务器不出现故障,中间层应用程序便可以正常运行。这样设计即可以实现中间层应用程序的负载均衡,同时在F5 BIG-IP5000控制器不出现故障的前提下,又避免了应用服务器的单点失效问题。
数据库服务器部分我们采用了一台稳定性较高、存储性能较好的HP DL760 G2服务器、一台HP DL580 G2服务器和一台HP MSA1000光纤磁盘阵列柜。两台服务器分别通过光纤通道连接到磁盘阵列柜,组成存储局域网(SAN)。本方案采用了微软的群集技术,实现了Active/Passive双机热备份模式,HP DL760 G2做主数据库服务器,HP DL580 G2做备份数据库服务器,在主服务器发生故障的情况下,备份服务器将自动在30秒内将所有服务接管过来,从而保证了数据库服务器的正常运行。在磁盘阵列柜,我们安装了5块146G的scsi服务器硬盘,其中4块硬盘做RAID5,一块硬盘做Hot spare,这样可以保证阵列柜在两块硬盘发生故障时,系统还可以正常运行。
3.供电安全
由于医院许多大型诊疗议器设备启动时有瞬间高压、高磁场等,会对计算机产生影响因此我们要求院方做到中心机房的电源专线专供,同时采用功率足够大的ups.4.病毒防范
我们通过设置VLAN和要求院方安装网络版杀毒软件来防范病毒。数据安全
我们采用数据备份来保证数据安全。
本方案我们采用冗余备份策略。1.利用Vertias Backup Exec 9.1软件将数据备份到磁带库中。Veritas Backup Exec能为跨网络的服务器和工作站提供快速可靠的备份和恢复能力。我们利用Veritas Backup Exec的作业管理功能设置备份定时任务,每天进行一次数据库数据完全备份,每三个月进行一次系统的灾难备份。灾难备份能在数据库服务器崩溃时,避免重装系统,利用最新的数据备份使系统尽快忧愁到运行状态。2.利用MS SQL SERVER 2000自身的备份功能,每天定时自动地进行一次数据完全备份,备份数据存放到另一台数据备份服务器HP ML570中,同时在HP ML570中设置一定时任务,对每天的备份数据进行一次完整性检查,这样可以保证备份数据是完整、可用的。
通过数据备份,能使医院在破坏数据的灾难事件中造成的损失降到最低。
计算机网络安全是一个系统工程,除了采用保障网络安全的技术外,还要加强安全教育和制度管理,因此我们强烈要求院方重视对各级计算机操作人员进行计算机网络安全的教育,并制定较为完善的计算机网络管理制度,如严禁非操作人员使用电脑;计算机中心指定专职系统管理员掌握服务器密码,每次更新或升级计算机软件必须有两人同时在场,并做好记录等。
在整个项目方案中,我们用于保障计算机网络系统安全的措施主要是设备的冗余、链路的冗余。采用冗余的措施,除了可以避免单点失效问题,还可以增加网络带宽和实现业务流量的负载均衡。因此保障计算机网络的安全性不仅可以保证网络服务的持续不中断,还可以更好地提高网络服务效率。
在整个项目完成至今一年,从系统运行的情况来看,整个方案是合理的,高可靠性的,院方也感到满意。当然,方案中也有不足的地方,如F5 BIG-IP5000控制器存在单点失效问题;随着院方的网上挂号等业务的开展,本方案中没有考虑到内网与公众网相连的安全措施等。
长春经济技术开发区的网络安全建设
一、系统安全目标
保证电子政务内部网络、外部网络的信息传输、信息存储是安全的、保密的,确保电子政务网络系统安全、可靠、平稳地运行,我们要实现如下系统安全目标:
1.建成开发区完整的网络安全体系,并建立一套可行的网络安全与网络管理策略; 2.采用防火墙系统对开发区电子政务内、外网络进行安全访问控制;
3.通过网络监控系统,全面监视和跟踪进、出网络的所有访问行为,发现不安全的操作和黑客攻击行为,及时告警和拒绝;
4.建设网络定期安全扫描系统,检测网络安全漏洞,及时了解和掌握计算机当前或近期使用情况,减少被黑客利用的不安全因素;
5.建立病毒防范体系,防止网络系统被病毒的侵害;
6.通过 CA 认证和 PKI 数据加密技术进行用户身份识别,为电子政务系统提供安全保障;
7.对内、外网络的信息发布平台 WEB 进行保护,防止网站网页被非法人员篡改,为领导决策提供安全的文件传输服务;
8.利用安全评估系统进行系统审计、敏感信息检查,确保电子政务信息的安全;
9.进行重要数据库系统的冗余备份,以备不测或灾难时快速恢复网络系统。
二、实施方案
1、物理安全体系
物理安全是整个系统安全的前提,是保护设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。具体实施方案包括机房、通讯线路、物理隔离卡、设备和电源的安全措施。
(1)机房环境安全
接地系统:对政务中心所在的开发大厦内所有计算机和各种地线系统采用统一的防雷处理,即建筑物内共地系统,保证设备安全,并能防止电磁信息泄漏。
防雷措施:开发区在楼顶安装了避雷设施,即在主机房外部安装了接闪器、引下线和接地装置,吸引雷电流,并为泄放提供了一条低阻值通道。机房内部采取屏蔽、合理布线、过电压保护等技术措施,以此达到防雷的目的。另外,还采取相应的防盗、防静电、防火、防水等措施。
(2)通信线路安全
主要是对电源线和信号线采取加装性能良好的滤波器功能,减小阻抗和导线间的交叉耦合,阻止传导发射。对机房水管、暖气管、金属门采用各种电磁屏蔽措施,阻止辐射发生。
3、物理隔离卡
物理隔离卡系统从安全的角度出发,提供了一种安全的用户访问机制,终端用户可以在多网物理隔离的条件下安全自由地访问其中任意一个网络。为如何解决开发区管委会领导班子、机关处室、企事业、驻区单位等既要接入电子政务内网又要接入电子政务外网的实际需求提供了一套经济、高效、安全的解决方案。根据开发区各部门接入的政务网络类别和数量,选择双网线隔离卡来实现相关功能设计。
4.设备、电源安全
主要是加强对网络系统硬件设备的使用管理,强调坚持做好硬件设备(如交换机、路由器、主机、显示器等)的日常维护和保养工作,定期检查供电系统的各种保护装置及地线是否正常。电源系统电压的波动、浪涌电流和突然断电等意外情况的发生可能引起计算机系统存储信息的丢失、存储设备的损坏等情况的发生,必须依照国家的相关标准配备。
2、防火墙
将防火墙部署在路由器与受保护的内部网络之间,作为数据包进/出的唯一通道。过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,对网络攻击进行检测和告警。同时,通过设置 DMZ(Demilitarized Zone)实现政府对外网站及信箱与外部畅通的访问。它具体适用范围包括:长春经济技术开发区电子政务门户网站的出入口处;长春经济技术开发区管委会下属各部门的电子政务办公网与电子政务公共网的连接处;长春经济技术开发区电子政务系统的资源中心、数据中心、管理中心、CA中心的边缘。
在电子政务门户网站的出、入口处,资源数据中心与电子政务连接处,各配置两台千兆防火墙,并对防火墙作双机热备、负载均衡。防火墙组位于电子政务网核心路由器和与 INTERNET 连接的前级路由器设备之间,该组防火墙一方面实现电子政务办公网访问门户网站,另一方面实现 INTERNET 用户访问门户网站,同时实现电子政务公众服务网与电子政务办公网的隔离。即 INTERNET 用户可以通过防火墙访问门户网站,但是却不能访问电子政务办公网。
同时考虑到稳定可靠性的问题,对防火墙作双机热备。确保当主防火墙被宕机后,能在最短时间内启动从防火墙,不影响网络的正常运转和安全。为确保门户网站的服务器群高效、稳定工作,应对服务器群实现负载均衡。负载均衡一般用于提高服务器的整体处理能力,并提高可靠性,可用性,可维护性,最终目的是加快服务器的响应速度,从而防火墙位于资源数据中心与核心交换机之间,实现电子政务外网与提供其办公应用服务器区隔离。考虑到二者之间的服务量、访问量很大,防火墙负担过重,会出现瓶颈问题,因此,需要对防火墙作负载均衡,以此来增加网络安全性,降低或消除瓶颈,增强防火墙甚至整个网络的可用性。
电子政务网络管理中心及数据容灾备份中心分别配置一台千兆防火墙设备,不使用双机备份。综上所述,我们在开发区电子政务门户网站的出入口、电子政务对外应用服务处、资源数据中心、网络管理中心处配置了高性能的千兆防火墙,并采用了负载均衡设备,实施相应的安全策略控制,保证网络安全,提高整体功能。
3、IDS 针对长春经济技术开发区电子政务系统,入侵检测系统设置用于如下几方面:政府门户网站区域:由于电子政务网络系统的涉密性,黑客会渗透到职能部门,内部人员也很容易通过网络安全防护不严的特点使黑客直接攻击系统漏洞、利用漏洞窃取信息、假冒身份、阻塞服务等。在政府门户网站区域配备入侵检测系统,将有效发现、抵御来自外部的恶意攻击行为。内部办公网络各节点的网络出入口:为对内部用户的网络行为进行审计时提供详尽信息,识别内部用户的非法操作,对内部用户起到一定的约束作用,降低了内部攻击的影响。内部办公网关键区域:如内部主要服务器区域、网络管理中心等。
内部办公网关键区域,是内部网络资源、管理的核心区域。在这些区域配备入侵检测系统,将有利于进行网络异常行为分析,为内部办公网的正常运行和管理提供有力保障。入侵检测设备是作为防火墙的合理补充,为每个监测区域根据实际安装一台符合相应带宽需求的入侵检测设备。通过交换机配置,选择合适的入侵检测点进行网络信号的监测。
4、安全漏洞扫描系统
在网络管理中心处配置一台基于网络扫描为主,同时辅以主机和数据库扫描的综合性漏洞扫描与评估系统,可扫描路由器、交换机、防火墙等网络设备以及 Windows、Unix 和 Linux 操作系统、MS SQL Server 和Oracle 数据库。
5、防病毒系统
采取统一集中管理和分级管理相结合,除了在政务中心安装中央控管防毒软件外,在各应用服务器及用户端都要安装相应的防毒软件。电子政务网络病毒防护是一个重要而复杂的任务,必须将技术、工具和管理三者结合才行。
6、页面防篡改
页面防篡改(InforGuard,简称 iGuard)系统用来保护开发区电子政务网站不发送被篡改的页面内容,支持网页的自动发布、篡改检测、警告和自动恢复,保证传输、鉴别、审计等各个环节的安全。iGuard 使用先进和可靠的Web 服务器核心内嵌技术,在部分操作系统上辅助以事件触发式技术,从而完全实时地杜绝篡改后的网页被访问的可能性。
Web服务器和内容管理系统(CMS)都沿用原来的机器,需在其间增加一台发布服务器。iGuard自动同步机制完全与内容管理系统无关,与其协同工作,内容管理系统本身无须变动。
发布服务器上具有与Web服务器上的网站文件完全相同的结构,任何文件/目录的变化都会自动映射到Web服务器的相应位置上。网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,由自动发布子系统将其同步到Web服务器上。无论任何情况,不允许直接变更Web服务器上的页面文件。
在开发区电子政务网络中,Iguard 设计安装在两台机器上:Web 服务器和发布服务器。发布服务器位于内网中,有着较高的安全防护级别,其上运行自动发布程序和管理子系统。Web 服务器位于 DMZ 中,容易受到篡改攻击,其上运行防篡改模块和同步服务器程序。
7、数据备份与容灾方案的设计
根据开发区的网络结构和应用系统的特点,我们从资源数据中心备份容灾和门户网站的备份与容灾二方面目标,以及 RAID 保护、冗余结构、数据备份、故障预警等多方种方式来考虑,设计采用本地容灾和异地容灾两套系统。
在数据中心采用磁盘阵列为主要设备,采用 SAN 方式进行本地数据存储,支持 NAS 对远程数据进行异地备份。对门户网站的备份与容灾体现在 Web 服务器和防火墙的冗余备份与流量负载均衡等方面。
三、应用及结果分析
分别采取物理安全、防火墙、入侵检测、安全漏洞扫描、CA认证、病毒防范、网页防篡改和数据备份与容灾等八项措施进行系统安全保护和防范。每种防范措施都从不同的角度,针对不同层的结构,采取相应的应对设备和策略,来阻止来自黑客、网络间谍、信息战敌对分子和恐怖分子的违法犯罪行为。
开发区电子政务外网统一出口,这一措施已经最大限度地防止了网上泄密和入侵攻击。防火墙、入侵检测、漏洞扫描等设施有效地制止了黑客侵扰和对敏感信息破坏、修改或窃取。通过CA认证体系,控制了外部人员非法进入电子政务系统。病毒防治和网页防篡改系统及时阻止恶意移动代码等行径的造访,数据备份与容灾系统为天灾人祸作最后的保障。
本方案在实际应用过程中,已起到很好的安全防范效果,电子政务系统得以安全运作。实践证明,使用更高、更强、更好的网络安全工具和技术,配以更有效的安全管理机制,才会收到更好的安全效果。由于电子政务网络的复杂性,必然导致电子政务网络安全防护的复杂性。
“三分技术,七分管理”是对网络安全状况的客观描述。任何网络仅在技术上是做不到彻底的安全,还需要建立一套科学、严密的网络安全管理体系,将工具、技术和管理三种手段结合起来,才能杜绝和防止因非法访问或恶意攻击而造成损失。
四、管理政策及目标
网络安全管理目标是:采取集中控制、分级管理的模式,建立由专人负责安全事件定期报告和检查制度,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
实践证明,只有通过建立科学、严密的安全管理体系,不断完善管理行为,形成一个动态的安全过程,才能为电子政务网络提供制度上的保证。
总之,本文对电子政务网络信息安全的主要安全防范措施进行了深入细致地研究,确定了具有较高性价比和实用价值的相应的解决方案。
由于能力和精力有限,有一些防范措施研究的不够透彻,也有一些电子政务的安全措施没有探讨和使用,如邮件安全、远程访问、敏感信息检查等,有待在将来的工程设计中更周全地考虑和利用。
总之,电子政务外网是政府面向公众和社会服务的重要窗口,要加强对电子政务外网的网络安全建设和管理。对网络的重要区域,要增设防火墙、入侵检测关卡,或加大防火墙的火力。对重要部门实行特殊保护。同时,加强安全管理意识,健全制度和定期培训。通过对电子政务网络信息安全的安全防范措施和报告深入细致地研究,发现问题和漏洞,及时采取措施加以解决,使电子政务更有效地行使政府职能。
另外,在电子政务安全建设中,需要权衡安全、成本、效率三者的关系。实际上,绝对的安全是没有的,电子政务系统也不是“越安全越好”。不同的电子政务系统,需要根据对信息安全的不同要求而配置安全方案和设施。一个门配几把锁取决于门内放的东西的重要程度,因为锁越多,门的安全成本也就越高,而门的使用效率就越低。因此,必须根据电子政务系统的实际要求做到恰到好处。内外网的划分
![下载网络安全性论文[范文大全]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 