第一篇:网络安全技术分析与研究论文
摘要:“互联网+”是指以Internet为中心,将各种网络及服务连成一体化的信息化时代,从而达到万物互联的目的。针对“互联网+”的一体化、多样化及异构化等特征,文章从网络的不同层次提出了网络的安全问题,然后针对这些安全问题进行相关分析与研究并给出了相应安全建议。实践证明本文提出的相关观点对构建“互联网+”时代下的网络安全具有一定的应用价值。
关键词:互联网+;网络安全;网络体系结构
“互联网+”顾名思义是以互联网为中心所构成的一个信息化的世界[1-3]。例如,目前的在线支付、远程智能家具控制以及移动OA等,都是以Internet为中心而构建起来的信息化服务。自Internet以全球互联网络问世以来,其在计算机网络世界已经达到了无可替代的地位;人们所构建的网络若需与外界通信,则必需首先考虑是否连入“外网”,而这里的“外网”一般所指即为互联网;另外,特别是跨区域甚至是跨国企业,若要将各子公司的信息化构成一个内网,假设在没有互联网的情况下,该企业必须专线架构基础设施来完成,而现在企业只需借助互联网基础设施采用相关安全技术和隧道技术等就可以实现它。随着物联网技术和移动互联网技术的飞速发展,“互联网+”中“+”的含义越来越明显,使得人类真正进入信息化时代,从而使得各项生活活动都以互联网为中心而完成,诸如上述在线支付等。“互联网+”的时代改变了人们的生活方式,使得人们的生活越来越便利,同时,它也给人们带来相关安全隐患,在这个时代下的网络安全问题显得越来越重要[4-5]。这具体表现在,网络的一体化使得网络安全问题以互联网为中心而衍生开来;网络的多样化和异构化使得网络安全问题也变得复杂和多样化。例如,在移动互联网发展的今天,人们都以智能终端移动设备连入互联网进行相关活动,这就使得网络的管理变得复杂而困难。为解决“互联网+”时代下的网络安全问题,本文首先分析其特征,然后引出用户的需求,再从网络安全的不同层次来进行分析,以提出解决相关安全问题的方案。
1“互联网+”的相关特征
“互联网+”的时代是一个信息化大统一的时代,它是以互联网为基本网络架构设施,采用不同种网络计算技术将人类的生活真正统一到信息化中去,具体有如下特征。
1.1以互联网为中心
“互联网+”是以Internet为基础网络架构,因此,它必然以互联网为中心而存在。例如,目前流行的智能家具远程控制就是首先采用无线传感器将各家具连成一个局域网络,然后通过该网络的网关收发数据并传入互联网;再次,在用户的智能终端设备启用相应的APP客户端,然后通过此客户端对智能家具进行控制。因此,互联网是数据传输的中心,其安全问题也必然是“互联网+”网络的关键点之一。Internet以TCP/IP协议簇为基础,由互联网层的IP协议将异种的各子网连成一个统一的互联网;另外,IP协议还负责将数据从一个网络路由到另一个网络,但IP只是尽力将数据进行传递,而对数据的可靠性传递不给予保证。因此,互联网通过TCP来实现端到端的可靠传输。
1.2用户需求的多样性
在当前的信息化时代,人们的各项活动都通过互联网来实现。例如,人们为实现工业生产的协同工作及信息化共享等需要网络服务;人们的日常生活活动,如在线办公、在线购物等也需要网络服务;再有,人们的基本生活需求,如智慧城市、智能家具、人工智能等相关产品都需要网络服务。
1.3万物互联的特征越来越明显
随着物联网技术从概念提出到现在的万物互联的实现,使得物联网的概念不再局限于一个实物相连概念,而上升到一个哲学上的高度;即万物互联使得信息化时代的中心即为信息,而信息相连的中心则为互联网。目前的大数据、物联网及云计算等网络计算的发展使得万物互联成为现实。
1.4移动互联网技术解决了终端网络接入的最后束缚
移动智能终端的飞速发展使得连入网络的最后束缚得到了解决,目前,人们可以通过智能手机等智能终端便捷地接入互联网而进行各项活动,特别是在线支付宝或微信支付,使得我国在支付方式上走在了世界的前列,从而改变了人们的生活方式。毫不夸张地说,移动互联网技术的实现使得信息化技术的普及成为现实。目前,没有任何计算机知识基础的人都能使用相关终端设备来获取信息而为工作、学习和生活服务。从上述“互联网+”信息时代的四大特征来看,目前,我们已经进入了一个统一化、多样化及异构化和复杂化的信息化时代,从而使得各行各业都离不开信息化技术;在这个大背景下,网络的安全问题也必然成为一个不可忽视的问题。例如,如果人们在进行在线支付时,没有相关安全保证,试问,还有谁愿意使用这样的支付方式。当然,随着网络的发展,网络的安全问题也得到了相应的保证。在下一小节,笔者将分析说明目前网络安全技术发展的相关现状及挑战,并给出相关解决方案。
2“互联网+”时代下的网络安全技术
由于“互联网+”的信息化时代人们对信息的依赖已经到达了如依赖水和电的程度,因此,网络信息的安全问题也必然成为人们最关心的问题之一。在本小节,笔者从数据安全、网络安全及“互联网+”的相关特征下的安全问题等方面来分析“互联网+”下的安全问题。
2.1数据安全
数据是信息的表现形式,计算机处理的数据是以二进制表示的机器编码,不管是文本、声音还是图像、动画等,最终都以二进制数据编码后由计算机存储或处理。因此,二进制数据的安全问题必然是网络安全中最基本的安全问题之一。为了实现数据的安全,人们一般采用密码技术与计算机结合而形成现代密码技术来完成此任务。所谓密码技术,即将数据通过相关技术手段使之成为不可识别的内容,若合法用户则需将这些不可识别的内容还原为原有数据后才能使用,而这些过程中需要的一项关键因素即为密钥。采用密码技术可从数据的底层保证数据机密性、完整性和可用性。
2.2网络安全
“互联网+”下的网络安全即为互联网的安全,目前,在Internet网络的各个层次都建立起了相应的安全机制。在互联网层的IP协议的基础之上,采用了IPSec协议来实现IP层的安全;在传输层,运用了SSL和TLS等协议来实现端到端的网络安全;在应用层,各应用协议也有相应的安全协议相支撑,例如超文本传输协议即有HTTPS来实现万维网的应用安全。
2.3子网层安全
在互联网的分层网络体系结构中,子网层位于网络的最底层,主要表现为各物理网络的构成。目前在“互联网+”的网络时代,子网层的多样性、异构性和复杂性使得万物互联的信息化时代成为现实。同样也因为子网层的这些特性,使得其安全问题变得更为复杂。首先,现在连入互联网络的物理网络不再是单一的有线局域网络,它可以是有线局域网、无线局域网,也可以是以任何形式的智能物理设备组成的自组织网络;其次,移动通信技术和无线网络技术使得各种不同物理设备随意自组织加入互联网成为现实。因此,从子网层入手来解决安全问题,已经是“互联网+”时代下的重要网络安全问题之一。
3“互联网+”时代下的网络安全的几点建议
网络安全的相关问题从TCP/IP协议簇的上层结构来看,已经拥有很成熟的网络安全技术,这是因为随着互联网的发展,人们为了满足其安全需求,其安全技术的发展也日趋成熟。而随着移动通信技术和无线技术的不断发展,使得移动互联网技术成为“互联网+”时代的前动力。因此,终端用户从其子网层随意自组织进入互联网络,这使得其安全问题越来越严峻。下面笔者针对“互联网+”的相关特征,从子网层入手,提出几点与“互联网+”网络安全相关的建议。
3.1接入网安全
在底层终端用户连入互联网之前,必须选择相关接入网络来进入互联网。例如,可能通过有线将设备连入物理网络,也可以通过无线局域网或移动流量数据等连入网络。为保证接入网的安全,从网络的角度而言,要阻止不法用户接入网络最好的办法就是进行相应的身份认证,例如,在无线局域网络中就有WEP和WPA等相关协议来完成相关认证。另外,从用户的角度而言,不随意连入来历不明的网络热点,以使自己不暴露在不法人员的网络中而得到相应安全保护。
3.2加强终端用户安全意识
用户终端一旦连入互联网后,网络数据的表现形式及传输方式即不为其所知和所关心;此外,用户也因没有专业的网络知识而无法解决网络下层数据处理问题。因此,网络的底层对终端用户而言都是透明的,从而使得用户也不需要去关心下层安全问题,把这些问题都交给网络安全机制去处理。而对于终端用户主要是针对网络应用方面的安全需自身处理,使得网络信息用户的层次是安全的,这需要用户增强安全意识且制定相应安全策略。
3.3用户安全策略
“互联网+”时代下,信息的使用者网络终端用户需制定相应安全策略以确保自身的信息安全,笔者依据“互联网+”的特性提出如下安全策略。(1)口令安全。用户在进行网络应用时,一般都采用口令进行身份认证,因此,口令的安全即为用户网络安全的第一要素。(2)访问安全。用户在运用“互联网+”获取信息时,访问的安全尤为重要,用户应不随意访问来历不明的信息系统。(3)支付安全。用户在运用网络在线支付时,不可采用“一篮子工程”,即为了支付的便捷将各支付系统与网上银行随意绑定;可采用“即存即用”原则来确保将损失降到最低,即需要支付多少,提前存入多少资金,即使账号有失也不会带来太大损失。(4)个人隐私信息安全。用户不可随意将个人隐私信息暴露在各信息系统,应采用相关安全机制来保护个人隐私信息。(5)防网络陷阱安全。在信息一体化的时代,不法分子也通过信息手段来制造网络陷阱骗取财物,例如黑网贷、等,其实防网络陷阱只需自身安全意识强且不贪小便宜即可防范此安全问题。
4结语
本文首先阐述了“互联网+”时代的基本特征,然后从网络的各个层次分析了网络安全机制,最后从用户接入网络和用户终端层面上重点阐述在信息一体化时代下网络安全的相关建议。下一步的工作是将相关安全策略具体化以形成网络安全模型。
[参考文献]
[1]肖宏,马彪.“互联网+”时代学术期刊的作用及发展前景[J].中国科技期刊研究,2015(10):1046-1053.[2]赵若瑜.“互联网+”电子信息技术发展研究[J].科技与创新,2018(1):151-152.[3]欧阳日辉.从“+互联网”到“互联网+”—技术革命如何孕育新型经济社会形态[J].人民论坛(学术前沿),2015(10):25-38.[4]田铁红,张伟,石春达,等.“互联网+”环境下的网络平台信息安全[J].信息通信技术,2016(6):5-10.[5]宁家骏.推进“互联网+”离不开“互联网+”安全[N].中国建设报,2015-08-12(007).
第二篇:《网络安全技术》论文
常见防火墙技术分析
摘要:
计算机网络是一把双刃剑,它的开放性和便利性的同时,也增加了私有信息和数据被破坏或侵犯的可能性。
本文首先会简单地讲述目前计算机网络存在的安全隐患,我国网络安全的现状及网络安全问题产生的原因。
其次,由于网络安全威胁的存在,防火墙应运而生。防火墙是网络安全的关键技术, 其本质是一种隔离技术,其核心思想是在不安全的网络环境中构造一个相对安全的子网环境。本文将重点从安全功能、体系结构、实现防火墙的主要技术手段及配置等方面分析防火墙。关键词:网络安全,防火墙,防火墙类型
1.我国网络安全的现状
1.1研究背景
“计算机网络安全”定义:国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。其具有以下五个方面的特征:保密性、完整性、可用性、可控性和可审查性。
当前,计算机已经被广泛地用于社会生产和生活的各个领域。特别是随着信息化和技术化的不断推进,计算机也在更加深刻地影响着社会的方方面面。
计算机网络安全问题主要有:信息在传输的过程中,数据被篡改和复制,以及拦截和查看,甚至遭受恶意的病毒攻击等。这些安全问题严重影响着计算机网络的正常运行,出现系统瘫痪或重要数据的泄漏,造成不可挽回的严重后果。
网络安全的主要威胁有:窃听、网络嗅探、拒绝服务、假冒、授权侵犯、计算机病毒。
1.2研究意义
为了有效解决网络安全问题和威胁,构建安全可靠的网络安全环境,我国有必要从技术方面对防火墙进行完善。基于网络内部和外部环境的特殊性,防火墙技术是目前保护网络安全最为有效地技术,不仅能够对网络传输的数据进行检查,还能对整个网络进行监控。
2.防火墙技术的概述
2.1防火墙技术的定义
防火墙是设置在被保护网络和外部网络之间的一道屏障,主要用来保护安全网络免受来自不安全网络的入侵,实际上是一种隔离技术。简单地说就是,防火墙是在两个网络间进行访问控制,它能允许你“同意”的人和数据进入你的网络, 同时将你“不同意”的人和数据拒之门外, 最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要
信息。不同的防火墙,配置的方法也不同,这取决于安全策略,预算以及全面规划等。
它是不同网络或网络安全域之间信息的唯一出入口,有效地加强网络之间访问控制。它是提供信息安全服务,实现网络和信息安全的基础设施,是一种非常有效的网络安全模型。
如图1:
2.2防火墙技术的发展史及分类
纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)及相应的分类。
2.2.1 第一代防火墙:基于路由器的防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packetfilter)技术,从而使具有分组过滤功能的路由器成为第一代防火墙产品。简单地说,第一代防火墙产品一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作为出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包自哪里,即将去哪里。
特点:
(1)网络级防火墙简洁、速度快、费用低,并且对用户透明;
(2)可利用路由器实现对分组的过滤;
(3)把地址、端口号、IP旗标及其他网络特征作为判断依据
不足:
(1)本身具有安全漏洞,外部网络要探寻内部网络十分容易。
(2)分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性、作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
(3)路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。
(4)路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
2.2.2第二代防火墙:用户防火墙工具套
1989年,贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙,即电路层防火墙。为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
他能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。他并且能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
特点:
(1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
(2)针对用户需求,提供模块化的软件包;
(3)软件可以通过网络发送,用户可以自己动手构造防火墙;
(4)与第一代防火墙相比,安全性提高了,价格也降低了。
不足:
(1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求;
(2)对用户的技术要求高;
(3)全软件实现,安全性和处理速度均有局限,使用中出现差错的情况很多。
2.2.3 第三代防火墙:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品
特点:
(1)是批量上市的专用防火墙产品;
(2)包括分组过滤或者借用路由器的分组过滤功能;
(3)装有专用的代理系统,监控所有协议的数据和指令;
(4)保护用户编程空间和用户可配置内核参数的设置;
(5)安全性和速度大大提高。
不足:
(1)缺乏安全保障,因为作为基础的操作系统及其内核往往不为防火墙管理者所知;
(2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的 安全性负责;
(3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
2.2.4第四代防火墙:具有安全操作系统的防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamicpacketfilter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个基于这种技术的商业化的产品。
特点:
(1)防火墙厂商具有操作系统的源代码,并可实现安全内核。
(2)对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护。
(3)对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其他部分构成威胁。
(4)在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能。
(5)透明性好,易于使用。
2.3 防火墙技术的功能
(1)访问控制功能。是一种简单、有效的安全控制技术,也是防火墙最基本也是最重要的功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。需要禁止非授权的访问,防火墙需要识别哪个用户可以访问何种资源。
(2)防止内部信息外泄。根据数据内存进行控制,如防火墙可以从电子邮件中过滤掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息,也可以限制外部访问,使它们只能访问本地Web服务器中一部分信息。
(3)集中管理功能。防火墙是一个安全设备,针对不同的网络情况和安全需要,需要制定不同的安全策略,然后在防火墙上实施,使用中还需要根据情况改变安全策略,因此防火墙应具备集中管理功能。
(4)阻挡外部攻击。如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。
(5)自身的安全和可用性。防火墙要保证自身的安全不被非法侵入,保证正常的运作。如果防火墙被侵入,防火墙的安全策略被修改,这样内网就变得不安全。
(6)数据包的透明转发。由于防火墙一般部署在提供某些服务或应用的服务器前。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。因此,防火墙具备网关功能,方便数据包的转发。
3防火墙技术在计算机网络安全中的运用
从整体上来说,计算机网络安全是通过网络的管理控制,以及技术的解决办法,确保在网络的环境中,保护数据进行使用和保密,及完整性。计算机网络安全主要有物理和逻辑安全。但是根据使用者的不一样,对网络安全的理解也就会不一样。如:一般的使用者认为,计算机网络安全就是在网络上传自己的隐私或者是重要的信息时,能够保护信息不能被窃听和篡改,以及伪造。而网络的供应商们则认为,除了保证网络信息的安全,还要考虑各种对网络硬件破坏因素的保护,以及在出现异常时恢复网络通信的保护。
(1)加密技术。即信息的发送方先对信息做加密处理,密码由和接收方掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
(2)身份验证。通过对网络用户的使用授权,在信息的发送方和接收方之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。
(3)防病毒技术。主要涉及对病毒的预防、检测以及清除三方面。
其一,在网络建设中,安装防火墙对互联网之间的交换信息按照某种规则进行控制,构
成一道安全屏障来保护内网与外网间的信息和数据传输,确保网络不被其他未经授权的第三方侵入。
其二,网络的连接如果是由路由器和互联网相连,服务器有www.xiexiebang.common firewall technology
Deluxe Zhang
Abstract:
It’s well known that computer network is a double-edged sword.It can not only provide us with great openness and convenience, but also increase the possibility of damaged or violated private information and data.To begin with,this article will relate the current risks of network security and explain main reasons of the network security problems.Then, the firewall emerged due to the threats of network security, what’s more, it’s the key technology to network security.In essence, firewall the isolation technique, while its main idea is creating a relative safety sub-network environment in an unsafety network environment.This article analyses several important aspects of firewall from thebasic security functions, architecture and the main means of achieving the firewall with configuration.Key words:Network security,Firewall,The type of firewall
第三篇:网络安全技术论文
从360和腾讯事件看网络信息安全
李娅楠
(中国民航大学 理学院 090243116)
摘要:阐述了网络信息安全的内涵,网络安全的组成,威胁网络安全的因素及相应应对措施。在此基础上论文指出对于网络安全教育和管理的加强是十分必要的,因此应加强信息安全学科建设和人才培养,确保我国的信息安全。
关键词:网络信息安全威胁因素 网络安全技术
最近,360杀毒软件和QQ聊天软件的争斗在网络上掀起了滔天巨浪。为此,有关QQ涉嫌窥探个人电脑隐私、奇虎360、金山等安全软件公司纷纷发布电脑隐私保护器软件,旨在应对或保护个人电脑隐私,一场由信息安全、个人隐私引发的“企业恩怨”正在上演。在这次事件中,360认为腾讯扫描用户硬盘,查看用户隐私;腾讯则认为360影响其程序运行,为此引发两者一系列争斗,并且斗争愈演愈烈,最终殃及用户。作为第三方,我并不关心这两家公司谁输谁赢,重要的是,透过这个现象,让我意识到,这场利益争夺战带来的影响,已经远远超出了这两家公司业务的范畴。我们应该跳出360与腾讯的恩怨,清醒意识并正确认识到网络信息安全的重要性。
计算机网络安全(Network Security)是一门涉及计算机科学,网络技术,通信技术,密码技术,信息安全技术,应用数学,数论,信息论等多种学科的综合性科学。国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的网络上的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。当然,网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)角度,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单
独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
计算机的安全体系是一个层次对的体系,从高到低的层次关系如下图所示:
其中网络安全是最高级的安全,它是指保护网络系统的硬件,软件及其数据不受恶意或偶然的导致破坏,更改或泄漏,使系统连续可靠正常运行,使网络服务不中断。
而从人为(黑客)角度来看,常见的计算机网络安全威胁主要有:信息泄露、完整性破坏、拒绝服务、网络滥用。
信息泄露:信息泄露破坏了系统的保密性,他是指信息被透漏给非授权的实体。常见的,能够导致信息泄露的威胁有:网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵犯、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼。
完整性破坏:可以通过漏洞利用、物理侵犯、授权侵犯、病毒,木马,漏洞来等方式实现。拒绝服务攻击:对信息或资源可以合法的访问却被非法的拒绝或者推迟与时间密切相关的操作。
网络滥用:合法的用户滥用网络,引入不必要的安全威胁,包括非法外联、非法内联、移动风险、设备滥用、业务滥用。
常见的计算机网络安全威胁的表现形式主要有:窃听、重传、伪造、篡改、拒绝服务攻击、行为否认、电子欺骗、非授权访问、传播病毒。
窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。行为否认:通讯实体否认已经发生的行为。
电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。
传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
当然,除了人为因素,网络安全还在很大部分上由网络内部的原因或者安全机制或者安全工具本身的局限性所决定,他们主要表现在:每一种安全机制都有一定的应用范围和应用环境、安全工具的使用受到人为因素的影响、系统的后门是传统安全工具难于考虑到的地方、只要是程序,就可能存在BUG。而这一系列的缺陷,更加给想要进行攻击的人以方便。所以,网络安全问题可以说是由人所引起的。因此,对于网络安全教育和管理的加强是十分必要的,与此相关的加强计算机网络安全的对策措施有:1.对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
2.运用网络加密技术:网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻
击,又可以防止非授权用户的访问。
3.加强计算机网络访问控制:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4.使用防火墙技术:采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
对于此次360腾讯事件,且不论腾讯是否窥探了我们的隐私,透过此次腾讯与360之间的争夺战,我们应该正确认识到信息安全与隐私保护的必要性。现今计算机及网络已成为我们不可或缺的工具,然而计算机及网络在给我们带来极大方便的同时,也隐藏着巨大的危机和漏洞。即使对于计算机专业人士来讲,如果不是顶层设计人员,都很难搞清屏幕之下,到底有多少代码在悄悄地窥视。这次两个国产软件商的纷争,可以说把神秘的网络风险揭开了一角。在计算机网络系统中,绝对安全是不存在的,而计算机网络信息安全的工作贯穿于计算机网络建设、发展的始终,这就需要我们时刻重视,不断学习,才能确保计算机网络的安全、可靠地运行。总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着 新技术发展而不断发展的产业。
参考文献:
[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[2]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003
[3]张民,徐跃进.网络安全实验教程,清华大学出版社,2007,6.
第四篇:网络安全技术论文
当前网络常见安全问题分析
指导老师:
摘要:信息时代,人们对计算机和网络的应用和依赖程度愈来愈高,信息安全问题日益突显,海量的信息存储在网络上,随时可能遭到非法入侵,存在着严重的安全隐患本文针对根据几火突出的网络安全问题,归纳并提出了一些网络信息安全防抄的方法和策略计算机网络的广泛应用给计算机的安全提出了更高的要求,也使网络安全问题日渐突出。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。关键词:网络安全
黑客入侵
网络诈骗
1、网络安全的基本内涵
网络安全从本质上来讲就是网络上的信息安全,网络安全从其本质上来讲就是网络上的信息安全,具体指的是网络系统的硬件、软件及其系统中的数据受到保护,不会因为偶然的或者恶意的攻击而遭到破坏、更改、泄漏,系统能够连续可靠、正常地运行,网络服务不中断网络安全包括数据安全和系统安全两方面,它具有保密性、完整性、可用性可控性、不可否认性五大特征
从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
2、常见的网络安全问题
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
2.1遭受黑客攻击
自 1994 年国际互联网进入我国以来,我国的网民人数急剧增长,随着网络的逐渐普及,黑客队伍也相应产生并逐渐壮大,其作案范围日益扩大,作案手段日益高明,对网络安全造成了危害。
黑客主要是使用一些现有的工具对操作系统的弱口令或安全漏洞加以利用攻击,获得一般用户甚至管理员用户权限,进而达到实施破坏的目的。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的
电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
2.2计算机病毒
病毒实际上是一种特殊的程序或普通程序中的一段特殊代码,它的功能是破坏计算机的正常运行或窃取用户计算机上的隐私。计算机感染上病毒后,轻则使系统效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。有了互联网后,病毒的传播速度更快,涉及范围更广,危害性更大。计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
2.3 垃圾邮件和间谍软件
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能不同程度地影响系统性能。
2.4 计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污盗窃、诈骗和金融犯罪等活动。网络安全的防范措施
3.1 安装杀毒软件
计算机病毒有以下五种特征:寄生性、传染性、破坏性、可触发性、可潜伏性。根据计算机病毒的特征,人们摸索出了许多检测计算机病毒和杀毒的软件。国内的有瑞星、KV3000、金山毒霸、360杀毒软件等,国外的有诺顿、卡巴斯基等。但是,没有哪种杀毒软件是万能的,所以当本机的杀毒软件无法找到病毒时,用户可以到网上下载一些专杀工具,如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。值得注意的是,安装了杀毒软件后,我们还必须每周至少更新一次杀毒软件病毒库,因为防病毒软件只有最新才是最有效的。每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。当受到网络攻击时,我们的第一反应就是拔掉网络连接端口以断开网络。3.2 安装网络防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。常见的个人网络防火墙有天网防火墙、瑞星防火墙和360安全卫士等。.安装防病毒网关软件 防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
3.3 数据加密
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。一般把受保护的原始信息称为明文,编码后的称为密文。数据加密的基本过程包括对明文进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该加密的编码信息转化为原来的形式的过程。机密资料被加密后,无论是被人通过复制数据、还是采用网络传送的方式窃取过去,只要对方不知道你的加密算法,该机密资料就成了毫无意义的乱码一堆。常见的加密软件有SecWall、明朝万达、完美数据加密大师等。
3.4 警惕“网络钓鱼”
“网络钓鱼”(phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。黑客就是利用这种欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。黑客通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。对此,用户应该提高警惕,可安装一款有反垃圾邮件功能的良好杀毒软件。大多数安全产品都能将这种邮件识别为垃圾邮件,使你对它们的花言巧语提高警惕。不登录不熟悉的网站,键入网站地址时要认真校对。多用常识思考,因为这是你 抵御诈骗的最有效方式。没有人会无条件地给予你什么,而网上一见钟情的概率也是微乎其微。因此,你从一开始就要对这种联络抱有高度怀疑,以防误入圈套。结语
本文简要地分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
1、尹建璋《计算机网络技术及应用实例》西安电子科技大学出版社,2、刘远生、辛一主编《计算机网络安全》北京:清华大学出版社.2009.6
3、张千里,陈光英《网络安全新技术》北京:人民邮电出版社,2003.1
4、徐茂智《信息安全概论》人民邮电出版社2007.8
5、刘永华、解圣庆《局域网组建、管理与维护》清华大学出版社2006.6
5、吕江。网络安全现状分析及应对措施[J].中国新技术新产品,2009,23:44~45.
The current network common security analysis
Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud
第五篇:网络安全技术论文
网络安全技术 论文
题 目 网络安全之防火墙技术 学生姓名 __ *** ___ __ 学 号 _ ***_ ____ 专业班级 ___*** _
指导老师 _ ***_ __ _
2011年 12 月12日
摘要:
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法作了简要的分析,论述了其安全体系的构成。关键词:网络安全 防火墙
一、防火墙的定义和由来
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
二、防火墙的功能
防火墙服务于以下多个目的: 1)限定人们从一个特定的控制点进入; 2)限定人们从一个特定的点离开; 3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
1)防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2)防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3)对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
三、防火墙技术与产品发展的回顾
从总体上看,防火墙应该具有以下五大基本功能:
●过滤进、出网络的数据; ●管理进、出网络的访问行为; ●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动; ●对网络攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年
来的发展,可以将其划分为如下四个阶段(即四代)。
1)基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤; 2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网络特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。2)用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征: 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;; 2)针对用户需求,提供模块化的软件包;
3)软件可以通过网络发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。3)建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点::
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。
四、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。
以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.防火墙本身是安全的
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。3.可扩充性
随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
五、结论
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。针对这些缺陷,应该设计更为有效的防火墙,为网络安全提供更全面的保障。
参考文献
[1] 莫向阳.Filter-Hook Driver详解[M].北京:机械工业出版社,2008。[2] W.Richard Stevens.TCP/IP详解卷一[M].北京:机械工业出版社,2004。[3] 辛长安.Viusal C++编程技术与难点剖析[M].北京:清华大学出版社,2002。
点击咨询 