網(wǎng)絡安全技術精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡安全技術主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡安全技術范文

摘要 隨著網(wǎng)絡技術的進步、電子商務的發(fā)展，網(wǎng)絡已深入到生活的方方面面，隨之出現(xiàn)的網(wǎng)絡安全問題日益嚴竣。如何保障網(wǎng)絡的穩(wěn)定正常運行，維護人們的合法網(wǎng)絡權益成為了一個急需解決的問題。本文從目標、需求及方案三方面淺述了如何維護網(wǎng)絡的安全。

關鍵詞 防火墻；VPN；網(wǎng)絡加密；身份認證

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）61-0195-02

0 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應用，網(wǎng)絡在給人們帶來便利提高效益的同時，它的安全性逐漸成為一個越來越現(xiàn)實的嚴峻問題。各種網(wǎng)絡安全事件頻發(fā)，影響著企業(yè)或組織的正常運行，因此研究如何解決網(wǎng)絡安全問題，維持網(wǎng)絡的正常運行具有十分現(xiàn)實的意義。

1 方案目標

本方案的目標是將網(wǎng)絡系統(tǒng)設計成一個支持各級用戶或用戶群的安全網(wǎng)絡。具體來說，安全目標有以下幾點：

1）采取多層防護手段，將受到入侵和破壞的概率降到最低；2）提供迅速檢測非法使用和非法入侵的手段，核查并跟蹤入侵者的活動；3）提供恢復被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失。

2 安全需求

根據(jù)網(wǎng)絡安全的風險分析及需要解決的問題，我們需要制定合理的方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。機密性即信息不泄露給未授權實體或進程；完整性保證了數(shù)據(jù)不被未授權的人或?qū)嶓w更改；可用性即授權實體能夠訪問數(shù)據(jù)；可控性保證能控制授權范圍內(nèi)的信息流向及操作方式；可審查性是對出現(xiàn)的安全問題提供依據(jù)與手段。

3 解決方案

3.1 設計原則

根據(jù)網(wǎng)絡的實際情況，解決安全保密問題是當務之急，并且考慮技術難度及經(jīng)費等，設計時遵循如下原則：

1）大幅度地提高系統(tǒng)的保密性；2）易于操作維護，便于自動化管理；3）盡量不影響原網(wǎng)絡拓撲結構，同時便于系統(tǒng)擴展；4）安全系統(tǒng)有較高的性價比。

3.2 安全策略

1）采用漏洞掃描技術，對核心交換機等重要設備進行掃描防護；

2）采用多種技術，構筑防御系統(tǒng)，主要有：防火墻技術、虛擬專用網(wǎng)（VPN)、網(wǎng)絡加密、身份認證等。

3.3 防御系統(tǒng)

3.3.1 物理安全

物理安全是保護計算機及各種網(wǎng)絡設備免遭地震、水災、火災等環(huán)境事故以及人為失誤或錯誤。為保證系統(tǒng)正常運行，應采取如下措施：

1）產(chǎn)品保障方面：指網(wǎng)絡設備采購、運輸、安裝等方面的安全措施；

2）運行安全方面：各種設備，特別是安全類產(chǎn)品在使用過程中，必須能從廠家或供貨商得到迅速的技術支持；

3）保安方面：主要指防盜、防火等。

3.3.2 防火墻技術

防火墻實質(zhì)是對通信的網(wǎng)絡進行訪問控制,其目標是通過控制信息進出網(wǎng)絡的權限,使所有連接都經(jīng)過檢查,防止被保護的網(wǎng)絡遭外界的干擾和破壞。防火墻根據(jù)事先定義的規(guī)則來檢測要進入被保護網(wǎng)絡的信息是否能夠進入。

根據(jù)采用的技術可將防火墻分為3類：包過濾型、型和監(jiān)測型。

1）包過濾型

包過濾型依據(jù)是網(wǎng)絡信息的分包傳輸。要傳輸?shù)臄?shù)據(jù)被分成一定大小的包,每個包中都含有特定信息,如源地址、目標地址等。防火墻通過讀取數(shù)據(jù)包中的特定信息來判斷數(shù)據(jù)是否來自可信站點 ,若發(fā)現(xiàn)來自危險站點,防火墻則會拒絕這些數(shù)據(jù)進入。此技術優(yōu)點是簡單實用,成本低。 其缺點是只能根據(jù)數(shù)據(jù)包的特定信息判斷數(shù)據(jù)是否安全,無法識別惡意入侵。

2）型

型防火墻也叫服務器,其安全性高于包過濾產(chǎn)品。服務器位于客戶機與服務器之間,當客戶機要與服務器通信時,先把請求發(fā)給服務器,服務器再根據(jù)其請求向服務器索取數(shù)據(jù),再由服務器將數(shù)據(jù)傳給客戶機。服務器就是客戶機與服務器間的“傳話筒”。此種防火墻優(yōu)點是安全性高,缺點是設置復雜，對整體性能有很大影響。

3）監(jiān)測型

監(jiān)測型防火墻能夠?qū)Ω鲗訑?shù)據(jù)實時主動地監(jiān)控,再分析,最后判斷出各層中是否有攻擊行為。同時,這種產(chǎn)品一般還帶有探測器,這些探測器安裝在應用服務器和網(wǎng)絡的關鍵節(jié)點中,不僅能檢測來自外部的攻擊,還能對內(nèi)部的惡意破壞進行防范。但此類產(chǎn)品成本高,所以應用較少。

3.3.3 VPN技術

VPN通過防火墻、隧道技術、加密解密等實現(xiàn)，是在公共網(wǎng)絡中建一道專線。它主要有3種：

1）遠程訪問虛擬網(wǎng)（Access VPN）。Access VPN通過擁有相同策略的共享設施，來提供遠程訪問。適用于企業(yè)內(nèi)部常有流動人員遠程辦公的情況；

2）企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)。越來越多的企業(yè)需要在各地建立辦事處、分公司等，傳統(tǒng)的通信方式是使用花銷大的租用專線方式。而使用Intranet VPN可以保證分公司安全地傳輸信息；

3）Extranet VPN。此方式使用專用連接的共享設施，將合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。

3.3.4加密技術

加密可以保證信息的機密性。它是把要傳輸?shù)男畔⒂媚撤N算法和參數(shù)通過某種運算形成無意義信息。要傳輸?shù)男畔槊魑?，某種算法為加密算法，無意義的信息為密文，參數(shù)為密鑰。加密技術可分為對稱加密技術和非對稱加密技術。對稱加密技術加密和解密密鑰相同。代表算法有DES,IDEA等。非對稱加密技術也叫公開密鑰技術，其加解密密鑰不同。加密密鑰公開，解密密鑰私有，不公開。非對稱加密廣泛應用于身份認證、數(shù)字簽名等領域。代表算法是RSA。目前新的加密技術有密碼專業(yè)芯片、量子加密等。

3.3.5 身份認證

現(xiàn)在越來越多的人通過虛擬的網(wǎng)絡通信，進行電子商務等活動，怎樣保證對方的合法身份呢？這就需要身份認證。身份認證的目的是驗證信息收發(fā)方是否有合法的身份證明。身份認證主要有3個機構組成。

1）認證機構CA

CA是一個權威實體，主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)網(wǎng)絡用戶身份證明――證書，任何相信該CA的人，也應當相信由CA頒發(fā)證書的用戶。

2）注冊機構RA

RA是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不僅可以面對面登記，也可以遠程登記。

3）證書管理與撤消系統(tǒng)

隨著電子商務等活動的發(fā)展，越來越多的證書就需要證書管理系統(tǒng)。當已頒發(fā)證書不再有效時就需要撤消。證書撤消系統(tǒng)利用周期性機制撤消的證書，也有在線查詢可隨時查詢已撤消的證書。

4 結論

本文主要介紹了一個多層次的網(wǎng)絡安全解決方案，來為用戶提供信息的保密性、完整性和身份的認證，使網(wǎng)絡服務更安全可靠。

參考文獻

[1]石志國，等.計算機網(wǎng)絡安全教程.北京：清華大學出版社，2009.

第2篇：網(wǎng)絡安全技術范文

關鍵詞:網(wǎng)絡入侵;入侵檢測系統(tǒng);信息安全

中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2009)35-9947-05

Network Safety Technology Research

ZHENG Xiao-xia

(The Basis of Teaching and Research, Dezhou Vocational and Technical College, Dezhou 253000, China)

Abstract: With the rapid development of networks, network information security problems are exposed. In this paper, the Intrusion Detection System Network Intrusion Detection System (NIDS) in the analysis, the network's invasion of the modules have carried out analysis and analysis of the system's strengths and weaknesses and development trends.

Key words: network intrusion; intrusion detection systems; information security

1 前言

1.1 因特網(wǎng)的發(fā)展及其安全問題

隨著計算機網(wǎng)絡應用的廣泛深入,網(wǎng)絡安全問題變得日益復雜和突出。網(wǎng)絡的資源共享、信息交換和分布處理提供了良好的環(huán)境,使得網(wǎng)絡深入到社會生活的各個方面,逐步成為國家和政府機構運轉的命脈和社會生活的支柱。這一方面提高了工作效率,另一方面卻由于自身的復雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。眾所周知,因特網(wǎng)是世界上最大的計算機網(wǎng)絡,它連接了全球不計其數(shù)的網(wǎng)絡與電腦。同時因特網(wǎng)也是世界上最開放的系統(tǒng),任何地方的電腦,只要遵守共同的協(xié)議即可加入其中。因特網(wǎng)的特點就是覆蓋的地理范圍廣,資源共享程度高。由于因特網(wǎng)網(wǎng)絡協(xié)議的開放性,系統(tǒng)的通用性,無政府的管理狀態(tài),使得因特網(wǎng)在極大地傳播信息的同時,也面臨著不可預測的威脅和攻擊。網(wǎng)絡技術越發(fā)展,對網(wǎng)絡進攻的手段就越巧妙,越多樣性。一方面由于計算機網(wǎng)絡的開放性和信息共享促進了網(wǎng)絡的飛速發(fā)展,另一方面也正是這種開放性以及計算機本身安全的脆弱性,導致了網(wǎng)絡安全方面的諸多漏洞?？梢哉f,網(wǎng)絡安全問題將始終伴隨著因特網(wǎng)的發(fā)展而存在。所以,網(wǎng)絡的安全性同網(wǎng)絡的性能、可靠性和可用性一起,成為組建、運行網(wǎng)絡不可忽視的問題。

1.2 我國網(wǎng)絡安全現(xiàn)狀及其相關法律與制度

1.2.1 我國網(wǎng)絡安全現(xiàn)狀

2007年“熊貓燒香”病毒的制作者成功抓獲并被判刑,說明了政府高度重視網(wǎng)絡安全問題。目前,國家依據(jù)信息化建設的實際情況,制訂了一系列法律文件和行政法規(guī)、規(guī)章,為我國信息化建設的發(fā)展與管理起到了有利的促進和規(guī)范作用,為依法規(guī)范和保護我國信息化建設健康有序發(fā)展提供了有利的法律依據(jù)。

1.2.2 我國網(wǎng)絡安全相關法律與原則

2003年中辦下發(fā)的《關于加強信息安全保障工作的意見》是目前我國信息安全保障方面的一個綱領性文件。

我國網(wǎng)絡信息安全立法的原則

1)國家利益原則。當今天信息已成為社會發(fā)展的重要戰(zhàn)略資源,信息安全成為維護國家安全和社會穩(wěn)定的一個焦點。信息安全首先要體現(xiàn)國家利益原則。

2)一致性原則。要與在我國現(xiàn)行法律和國際法框架下制定的法律法規(guī)相一致,避免重復立法和分散立法,增強立法的協(xié)調(diào)性,避免立法的盲目性、隨意性和相互沖突。

3)發(fā)展的原則。信息安全立法既要考慮規(guī)范行為,又要考慮促進我國國民經(jīng)濟和社會信息化的發(fā)展。

4)可操作性原則。要對現(xiàn)實有針對性,對實踐有指導性。

5)優(yōu)先原則。急需的先立法、先實施,如信息安全等級保護、信息安全風險評估、網(wǎng)絡信任、信息安全監(jiān)控、信息安全應急處理等方面要加緊立法。

2 網(wǎng)絡安全協(xié)議

2.1 網(wǎng)絡安全協(xié)議對維護網(wǎng)絡安全的作用

Internet的開放式信息交換方式使其網(wǎng)絡安全具有脆弱性,而實現(xiàn)網(wǎng)絡安全的關鍵是保證整個網(wǎng)絡系統(tǒng)的安全性。目前幾乎網(wǎng)絡的各個層次都指定了安全協(xié)議和具備了相應的安全技術,網(wǎng)絡安全協(xié)議可很好的保護信息在網(wǎng)絡中傳播。在安全領域,一種“安全協(xié)議”被定義為“一種控制計算機間數(shù)據(jù)傳輸?shù)陌踩^程。

2.1.1 第二層隧道協(xié)議(L2TP)

第2層隧道協(xié)議(L2TP)是點對點隧道協(xié)議(PPTP)的一個擴展,L2TP數(shù)據(jù)包在用戶數(shù)據(jù)報協(xié)議(UDP)端口1701進行交換。ISP使用L2TP來建立VPN解決方案,使用該方案,用戶可以在載波網(wǎng)絡中更多地利用VPN的優(yōu)點。由于L2TP符合國際標準,因此不同開發(fā)商所開發(fā)的L2TP設備的協(xié)同能力大大增強。L2TP VPN已經(jīng)成為提供商使用的產(chǎn)品。在裝有Cisco的網(wǎng)絡中,端到端的服務質(zhì)量(QoS)可以通過QoS技術的使用來保證IPSec負責數(shù)據(jù)加密,它同樣也是一種國際標準。IPSec對每個數(shù)據(jù)包的數(shù)據(jù)進行初始認證、數(shù)據(jù)完整性檢測、數(shù)據(jù)回放保護以及數(shù)據(jù)的機密性保護。從設計上來看,L2TP支持多協(xié)議傳輸環(huán)境,它能夠使用任何路由協(xié)議進行傳輸,包括IP、IPX以及AppleTalk。同時,L2TP也支持任何廣域網(wǎng)傳送技術,包括幀中繼、ATM、X.25或SONET,它還能夠支持各種局域網(wǎng)媒質(zhì),如以太網(wǎng)、快帶以太網(wǎng)、令牌環(huán)以及FDDI。L2TP使用因特網(wǎng)及其網(wǎng)絡連接以使得終端能夠頒布在各個不同的地理位置上。L2TP的最大安全之處在于它使用了IPSec,IPSec可以為連接提供機密性、數(shù)據(jù)包的認,以及保護控制信息和數(shù)據(jù)包不被重新發(fā)送。

2.1.2 IPSec的技術優(yōu)勢:

為數(shù)據(jù)的安全傳輸提供了身份驗證、完整性、機密性等措施,另外它的查驗和安全與它的密鑰管理系統(tǒng)相連。因此,如果未來的密鑰管理系統(tǒng)發(fā)生變化時,IPSec的安全機制不需要進行修改。當IPSec用于VPN網(wǎng)關時,就可以建立虛擬專用網(wǎng)。在VPN網(wǎng)關的連內(nèi)部網(wǎng)的一端是一個受保護的內(nèi)部網(wǎng)絡,另一端則是不安全的外部公共網(wǎng)絡。兩個這樣的VPN網(wǎng)關建立起一個安全通道,數(shù)據(jù)就可以通過這個通道從一個本地的保護子網(wǎng)發(fā)送到一個遠程的保護子網(wǎng),這就形成了一條VPN。在這個VPN中,每一個具有IPSec的VPN網(wǎng)關都是一個網(wǎng)絡聚合點,試圖對VPN進行通信分析將會失敗。

目的是VPN的所有通信都經(jīng)過網(wǎng)關上的SA來定義加密或認證的算法和密鑰等參數(shù),即從VPN的一個網(wǎng)關出來的數(shù)據(jù)包只要符合安全策略,就會用相應的SA來加密或認證(加上AH或ESP報頭)。整個安全傳輸過程由IKE控制,密鑰自動生成,所有的加密和解密可由兩端的網(wǎng)關,對保護子網(wǎng)內(nèi)的用戶而言整個過程都是透明的。

2.2 安全Shell(SSH)

安全Shell或者SSJ常用于遠程登錄系統(tǒng),和過去使用的Telnet具有相同的目的。然而Telnet和SSH的最大區(qū)別是:SSH大大加強了其連接的安全性。SSH是一個應用程序,它為不可靠的、存在潛在危險的網(wǎng)絡(如因特網(wǎng))上的兩臺主機提供了一個加密的通信路徑。因此,SSH防止了用戶口令及其他敏感數(shù)據(jù)以明文方式在網(wǎng)絡中傳輸。SSH解決了在因特網(wǎng)中最重要的安全問題:黑客竊取或破解口令的問題。

SSH拒絕數(shù)據(jù)IP欺騙攻擊,保證能夠是哪臺主機發(fā)送了該數(shù)據(jù)。加密數(shù)據(jù)包,用以防止其他中間主機截取明文口令及其他數(shù)據(jù)。IP源路由選擇,可以防止某臺主機偽裝它的上IP數(shù)據(jù)包來源于另一臺可信主機。避免數(shù)據(jù)包傳送路徑上控制其他裝置的人處理數(shù)據(jù)。SSH給安全領域帶來一個很有趣的功能:即使用隧道的SSH技術轉發(fā)某些數(shù)據(jù)包。FTP協(xié)議和X Windows協(xié)議都采用了這一功能。這中轉發(fā)功能使SSH能夠利用其他一些協(xié)議來控制主機終端與SSH連接的操作。你可能認為通過SSH連接的隧道將是一個很不錯的VPN選擇,但事實并非如此。一種更好的解決方案就是通過VPN連接的SSH隧道技術,因為這是一種很安全的連接發(fā)?？傊?SSH是一個比較滸、用于加密網(wǎng)絡TCP會話的工具,它最常用于遠程登錄以及增加網(wǎng)絡的安全性。

3 網(wǎng)絡安全技術

3.1 使用網(wǎng)絡安全技術的意義

隨著計算機網(wǎng)絡技術的突飛猛進,網(wǎng)絡安全的問題已經(jīng)日益突出地擺在各類用戶的面前。據(jù)統(tǒng)計資料表明,目前在互聯(lián)網(wǎng)上大約有將近20%以上的用戶曾經(jīng)受過黑客的困擾。盡管黑客如此猖獗,但網(wǎng)絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網(wǎng)絡安全問題離自己尚遠,這一點從大約有40%以上的用戶,特別是企業(yè)級用戶沒有安裝防火墻便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻引發(fā)的。

3.2 防火墻

防火墻(Firewall )技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術,是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網(wǎng)絡系統(tǒng)實現(xiàn)網(wǎng)絡安全策略應用最為廣泛的工具之一。防火墻是設置在被保護網(wǎng)絡和外部網(wǎng)絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入,可有效地保證網(wǎng)絡安全。它是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動,保證內(nèi)部網(wǎng)絡的安全。

3.2.1 防火墻的種類

第一:從防火墻產(chǎn)品形態(tài)分類,防火墻可分為3種類型:

1)軟件防火墻

軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統(tǒng)的支持,一般來說,這臺計算機就是整個網(wǎng)絡的網(wǎng)關,俗稱“個人防火墻”。軟件防火墻就像其他的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡軟件版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻,需要網(wǎng)管對所工作的操作系統(tǒng)平臺比較熟悉。

2)硬件防火墻

硬件防火墻是指“所謂的硬件防火墻。之所以加上”所謂“二字是針對芯片級防火墻說的。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻,它們都基于PC架構,也就是說,它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構計算機上運行一些經(jīng)過裁剪和簡化的操作系統(tǒng),最常用的有老版本的UNIX、Linux和FreeBSD系統(tǒng)。值得注意的是,由于此類防火墻采用的依然是別人的內(nèi)核,因此依然會受到OS(操作系統(tǒng))本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應具備三個端口,分別接內(nèi)網(wǎng)、外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴展了端口,常見的四端防火墻一般將第4個端口作為配置口、管理端口。很多防火墻還可以進一步擴展端口數(shù)目。

3)芯片級防火墻

芯片級防火墻基于專門的硬件平臺及專用的操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快,處理能力更強,性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng)),因此防火墻本身的漏洞比較少,不過價格相對比較高昂。

第二:從防火墻所采用的技術不同,可分為包過濾型、型和監(jiān)測型三大類型。

1)包過濾型

是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的他包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。優(yōu)點是:簡單實用,實現(xiàn)成本較低,在應用環(huán)境簡單的情況下能夠以較小的代價在一定程度上保證系統(tǒng)的安全。缺點是:只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入。

2)型

“型”防火墻也可以稱為服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始實行向應用層發(fā)展。服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機。監(jiān)測型

3)監(jiān)測型

“監(jiān)測型”防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻對各層的數(shù)據(jù)進行主動、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,臨測型防火墻有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探器,這些探測器安置在各種應用服務器和其他網(wǎng)絡系統(tǒng)的節(jié)點之中,不僅檢測來自網(wǎng)絡外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用

第三:從網(wǎng)絡體系結構來進行分類,可以將防火墻分為以下4種類型:

1)網(wǎng)絡級防火墻

一般是基于源地址和目的地址、應用或協(xié)議,以及每個IP包的端口來做出通過與否的判斷。網(wǎng)絡級防火墻簡潔、速度快、費用低,并且對用戶透明,但是對網(wǎng)絡的保護有限,因為它只檢查地址和端口,對網(wǎng)絡更高協(xié)議層的信息無理解能力。

2)應用級網(wǎng)關

也稱“型”防火墻,它檢查進出的數(shù)據(jù)包,通過網(wǎng)關復制傳遞數(shù)據(jù),防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議,能夠做復雜一些的訪問控制,并做精細的注冊和稽核。但每一種協(xié)議需要相應的軟件,使用時工作量大,效率不如網(wǎng)絡級防火墻。

3)電路級網(wǎng)關

用來監(jiān)近代受信任的客戶機或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網(wǎng)關在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高兩層。另外,電路級網(wǎng)關還提供一個重要的安全功能:網(wǎng)絡地址轉換功能,將所有內(nèi)部的IP地址映射到一個“安全”的IP地址,這個地址是由防火墻使用的。但是,作為電路級網(wǎng)關也存在著一睦缺陷,因為該網(wǎng)關是在會話層工作的,它就無法檢查應用層級的數(shù)據(jù)包。

4)規(guī)則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣,規(guī)則檢查聞訊火墻大OSI網(wǎng)絡層上通過IP地址和端口號,過濾進出的數(shù)據(jù)包?？梢栽贠SI應用層下檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合公司網(wǎng)絡的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點,但是不同于一個應用級網(wǎng)關的是,它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù),它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與旅游區(qū)在用層有關的,而是依靠某種算法來識別進出的應用層數(shù)據(jù),這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包,這樣從理論上就能比應用級在過濾數(shù)據(jù)包上更有效。

第四:從防火墻的應用部署位置來分,可將防火墻分為3種類型

1)邊界防火墻

這是最為傳統(tǒng)的那種,它們位于內(nèi)、外部網(wǎng)絡的邊蜀,所起的作用是對內(nèi)、外部網(wǎng)絡實施隔離,保護邊界內(nèi)部網(wǎng)絡。這類防火墻一般都是硬件類型的,價格較貴,性能較好。

2)個人防火墻

安裝于單臺主機中,防護的也只是單臺主機。這類防火墻應于廣大的個人用戶,價格最便宜,性能也最差。

3)混合式防火墻

也可以說就是“分布式防火墻”或者“嵌入式防火墻”,它是一整套防火墻系統(tǒng),由若干個軟、硬件組件組成,分布于內(nèi)、外部網(wǎng)絡邊界和內(nèi)部各主機之間,既對內(nèi)、外部網(wǎng)絡之間通信進行過濾,又對網(wǎng)絡內(nèi)部各主機間的通信進行過濾。它屬于最新的防火墻技術之一,性能最好,價格也最貴。

3.2.2 防火墻中的關鍵技術

在實現(xiàn)防火墻的眾多技術中,如下技術是其實現(xiàn)的關鍵技術:

3.2.2.1 包過濾技術

包過濾技術是在網(wǎng)絡中適當?shù)奈恢蒙蠈?shù)據(jù)包實施有選擇的過濾。采用這種技術的防火墻產(chǎn)品,通過在網(wǎng)絡中的適當位置對數(shù)據(jù)包進行過濾,根據(jù)所檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態(tài)等要素,然后依據(jù)一組預定義的規(guī)則,以允許合乎邏輯的數(shù)據(jù)包通過防火墻進入到內(nèi)部網(wǎng)絡,而將不合乎邏輯的數(shù)據(jù)包加以刪除。

優(yōu)點:采用包過濾技術的包過濾防火墻具有明顯的優(yōu)點,

1)一個過濾由器協(xié)助防護整個網(wǎng)絡

2)數(shù)據(jù)包過濾對用戶透明

3)包過濾路由器速度快、效率高

缺點:通常它沒有用戶的使用記錄,這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。配置煩瑣也是包過濾防火墻的一個缺點。沒有一定的經(jīng)驗,是不可能將過濾規(guī)則配置得完美的。

3.2.2.2 應用技術

技術是針對每一個特定應用服務的控制。它作用于應用層。其具有狀態(tài)性的特點,能提供部分與傳輸有關的狀態(tài),起到外部網(wǎng)絡向內(nèi)部網(wǎng)絡申請服務時的中間轉接作用。內(nèi)部網(wǎng)絡只接受提出的服務請求,拒絕外部網(wǎng)絡其它節(jié)點的直接請求。提供服務的可以是一臺雙宿網(wǎng)關,也可以是一臺保壘主機。

3.2.2.3 狀態(tài)檢查技術

狀態(tài)檢查技術也稱為應用層網(wǎng)關技術,是一種在網(wǎng)絡層實現(xiàn)防火墻功能的技術。它是在應用層實現(xiàn)防火墻的功能,針對每一個特定應用進行檢驗。服務不允許直接與真正的服務通信,而是與服務器通信(用戶的默認網(wǎng)關指向服務器)。各個應用在用戶和服務之間處理所有的通信。

優(yōu)點:1)易于配置。2)能生成各項記錄。3)能靈活、完全地控制進出信息。4)能過濾數(shù)據(jù)內(nèi)容。

缺點:1)速度比路由器慢。2)對用戶不透明。3)對于每項服務,可能要求不同的服務器。4)服務通常要求對客戶或過程進行限制。5)服務受協(xié)議弱點的限制。6)不能改進底層協(xié)義的安全性。

3.2.2.4 地址轉換技術

地址轉換技術是將一個IP地址用另一個IP地址代替。它主要應用于兩個方面,其一是網(wǎng)絡管理員希望隱藏內(nèi)部網(wǎng)的IP地址。其二是內(nèi)部網(wǎng)的IP地址是無效的。在此情況下,外部網(wǎng)不能訪問內(nèi)部網(wǎng),而內(nèi)部網(wǎng)之間主機可以互助訪問。

3.2.2.5 內(nèi)容檢查技術

內(nèi)容檢查技術提供對高層服務協(xié)議數(shù)據(jù)的監(jiān)控,以確保數(shù)據(jù)流的安全。它是一個利用智能方式來分析數(shù)據(jù),使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組合。

3.3 網(wǎng)絡入侵檢測

隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡環(huán)境變得越來越復雜,網(wǎng)絡攻擊方式的不斷翻新。網(wǎng)絡系統(tǒng)的安全管理,是一個非常復檢錄煩瑣的事情。入侵檢測技術和漏洞掃描技術通過從目標系統(tǒng)和網(wǎng)絡資源中采集信息,分析來自網(wǎng)絡外部和內(nèi)部的入侵信號和網(wǎng)絡系統(tǒng)中的漏洞,甚至實時地對攻擊做了反應。入侵檢測系統(tǒng)和入侵保護系統(tǒng)是防火墻極其有益的補充,它能對非法入侵行為進行全面的臨測和防護。在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。入侵檢測技術被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)聽,從而提供針對內(nèi)部攻擊、外部攻擊和誤操作的實時防護,大大提高了網(wǎng)絡的安全性。

3.3.1 入侵檢測系統(tǒng)技術

入侵檢測系統(tǒng)技術可以采用概率統(tǒng)計方法、專家系統(tǒng)、神經(jīng)網(wǎng)絡、模式匹配、行為分析等來實現(xiàn)入侵檢測系統(tǒng)的檢測機制,以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果。

3.3.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)的核心就是通過對系統(tǒng)數(shù)據(jù)的分析,檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。將入侵檢測的軟件與硬件進行組合便是入侵檢測系統(tǒng)。與其他安全產(chǎn)品不同的是入侵檢測系統(tǒng)需要更多的智能必須可以對得到的數(shù)據(jù)進行分析,并得出有用的結果,一個合格的入侵檢測系統(tǒng)能大大地簡化管理員的工作,保證網(wǎng)絡安全的運行。其實,入侵檢測系統(tǒng)是一個曲型的“窺探設備”。它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口,無須轉發(fā)任何流量,而只需要在網(wǎng)絡上被動地、無聲無息地收集它所關心的報文即可。

3.4 虛擬專用網(wǎng)(VPN)

VPN是目前解決信息安全問題的一個最新、最成功的技術之一。所謂虛擬專用網(wǎng)(VPN)技術就是在公共網(wǎng)絡上建立專用網(wǎng)絡,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。虛擬專用網(wǎng)不是真的專用網(wǎng)絡,但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)絡指的是依靠ISP(Internet服務提供商)和其它NSP(網(wǎng)絡服務提供商),在公有網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)絡中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。IETF草案理解基于IP的VPN為:“使用IP機制仿真出一個私有的廣域網(wǎng)”,通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。

一個典型VPN的組成部分如圖1所示。

圖1各個組件作用如下:VPN服務器:接受來自VPN客戶機的連接請求。VPN客戶機:可以是終端計算機也可以是路由器。隧道:數(shù)據(jù)傳輸通道,在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝。VPN連接:在VPN連接中,數(shù)據(jù)必須經(jīng)過加密。隧道協(xié)議:封裝數(shù)據(jù)、管理隧道的通信標準。傳輸數(shù)據(jù):經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)。公共網(wǎng)絡:如Internet,也可以是其他共享網(wǎng)絡。

3.5 訪問控制的概念

訪部控制是通過一個參考監(jiān)視器,在每一次用戶對系統(tǒng)目標進行訪問時,都由它來調(diào)節(jié),包括限制合法用戶的行為。訪問控制是信息安全保障機制的核心內(nèi)容,它是實現(xiàn)數(shù)據(jù)保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體(或稱為發(fā)起者,是一個主動的實體;如用戶、進程、服務等),對訪問客體(需要保護的資源)的訪問權限,從而使計算機系統(tǒng)在合法范圍內(nèi)使用;訪問控制機制決定用戶及代表一定用戶利益的程序能做什么,及做到什么程度。所有的操作系統(tǒng)都支持訪問控制。

訪問控制的兩個重要過程:1)通過鑒別(authentication)來檢驗主體的合法身份:2)通過授權(authorization)來限制用戶對資源的訪問級別。訪問包括讀取數(shù)據(jù),更改數(shù)據(jù),運行程序,發(fā)起連接等。訪問控制所要控制的行為有以下幾類:1)讀取數(shù)據(jù);2)運行可執(zhí)行文件;3)發(fā)起網(wǎng)絡連接等。

3.5.1 訪問控制應用類型

根據(jù)應用環(huán)境的不同,訪問控制主要有以下三種:1)網(wǎng)絡訪問控制;2)主機、操作系統(tǒng)訪問控制;3)應用程序訪問控制。由于本文討論的主要為網(wǎng)絡中的訪問控制。所以主機、操作系統(tǒng)的訪問控制

及應用程序的訪問控制在這里就不做討論。網(wǎng)絡訪問控制機制應用在網(wǎng)絡安全環(huán)境中,主要是限制用戶可以建立什么樣的連接以及通過網(wǎng)絡傳輸什么樣的數(shù)據(jù),這就是傳統(tǒng)的網(wǎng)絡防火墻。此外,加密的方法也常被用來提供實現(xiàn)訪問控制。

3.5.2 強制訪問控制(MAC)

強制訪問控制與自主訪問控制因?qū)崿F(xiàn)的基本理念不同,訪問控制可分為強制訪問控制(Mandatory accesscontrol)和自主訪問控制(Discretionary access control)。用來保護系統(tǒng)確定的對象,對此對象用戶不能進行更改。也就是說,系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制,用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩浴＿@樣的訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標簽,訪問控制機制通過比較安全標簽來確定的授予還是拒絕用戶對資源的訪問。強制訪問控制進行了很強的等級劃分,所以經(jīng)常用于軍事用途。在強制訪問控制系統(tǒng)中,所有主體(用戶,進程)和客體(文件,數(shù)據(jù))都被分配了安全標簽,安全標簽標識一個安全等級。主體(用戶,進程)被分配一個安全等級,客體(文件,數(shù)據(jù))也被分配一個安全等級。訪問控制執(zhí)行時對主體和客體的安全級別進行比較。

用一個例子來說明強制訪問控制規(guī)則的應用,如WEB服務以“秘密”的安全級別運行。例如WEB服務器被攻擊,攻擊者在目標系統(tǒng)中以“秘密”的安全級別進行操作,他將不能訪問系統(tǒng)中安全級為“機密”及“高密”的數(shù)據(jù)。

4 網(wǎng)絡安全策略

4.1 網(wǎng)絡安全系統(tǒng)策略

從根本意義上講,絕對安全的網(wǎng)絡是不可能有的。只要使用,就或多或少地存在安全問題。我們在探討安全問題的時候,實際上是指一定程度的網(wǎng)絡安全。一般說來,網(wǎng)絡的安全性通常是以網(wǎng)絡的開放性、便利性和靈活性為代價的。計算機網(wǎng)絡信息安全是一個復雜的系統(tǒng)工程,國際上普遍認為:它不僅涉及到技術、設備、人員管理等范疇,還應該依法律規(guī)范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現(xiàn)網(wǎng)絡信息安全。這里僅從技術的角度探討網(wǎng)絡信息安全的對策。

4.2 網(wǎng)絡安全系統(tǒng)策略的制定

4.2.1 物理安全策略

物理安全的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;防止用戶越權操作;確保網(wǎng)絡設備有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。

4.2.2 數(shù)據(jù)鏈層路安全策略

數(shù)據(jù)鏈路層的網(wǎng)絡安全需要保證通過網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽,主要采用劃分VLAN(虛擬局域網(wǎng))、加密通信(遠程網(wǎng))等手段。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。

4.2.3 網(wǎng)絡層安全策略

網(wǎng)絡層的安全需要保證網(wǎng)絡只給授權的客戶使用授權的服務,保證網(wǎng)絡路由正確,避免攔截或監(jiān)聽。用于解決網(wǎng)絡層安全性問題的主要有防火墻和VPN(虛擬專用網(wǎng))。防火墻是在網(wǎng)絡邊界上通過建立起惡報相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡,以阻擋外部網(wǎng)絡的侵入。

4.2.4 遵循“最小授權”策略

“最小授權”原則指網(wǎng)絡中帳號設置、服務配置、主機間信任關系配置等應該為網(wǎng)絡正常運行所需的最小限度。關閉網(wǎng)絡安全策略中沒有定義的網(wǎng)絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統(tǒng)的危險性大大降低。

4.2.5 建立并嚴格執(zhí)行規(guī)章制度的策略

在網(wǎng)絡安全中,除了采用技術措施之外,制定有關規(guī)章制度,對于確保網(wǎng)絡安全、可靠地運行將起到十分有效的作用。規(guī)章制度作為一項核心內(nèi)容,應始終貫穿于系統(tǒng)的安全生命周期。一般來說,安全與方便通常是互相矛盾的。一旦安全管理與其它管理服務存在沖突的時候,網(wǎng)絡安全往往會作出讓步,或許正是由于一個細微的讓步,最終導致了整個系統(tǒng)的崩潰。因此,嚴格執(zhí)行安全管理制度是網(wǎng)絡可靠運行的重要保障。

5 結論

當前,如何確保計算機網(wǎng)絡的安全性是任何一個網(wǎng)絡的設計者和管理者都極為關心的熱點。由于因特網(wǎng)協(xié)議的開放性,使得計算機網(wǎng)絡的接入變得十分容易。正是在這樣得背景下,能夠威脅到計算機網(wǎng)絡安全的因素就非常多。因此,人們研究和開發(fā)了各種安全技術和手段,努力構建一種可靠的計算機網(wǎng)絡安全系統(tǒng)。這種安全系統(tǒng)的構建實際上就是針對己經(jīng)出現(xiàn)的各種威脅(或者是能夠預見的潛在威脅),采用相應的安全策略與安全技術解除這些威脅對網(wǎng)絡的破壞的過程。當然,隨著計算機網(wǎng)絡的擴大,威脅網(wǎng)絡安全因素的變化使得這個過程是一個動態(tài)的過程。計算機網(wǎng)絡安全系統(tǒng)的構建實際上是入侵者與反入侵者之間的持久的對抗過程。所以任何計算機網(wǎng)絡安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng),人們力圖建立的只能是一個動態(tài)的網(wǎng)絡安全防護系統(tǒng)。它是一個動態(tài)加靜態(tài)的防御,本文首先從多個角度研究了計算機網(wǎng)絡的安全性,針對各種不同的威脅與攻擊研究了解決它們的相應安全技術與安全協(xié)議。接下來,在一般意義下制定計算機網(wǎng)絡安全系統(tǒng)設計的策略與原則,提出了計算機網(wǎng)絡安全的實現(xiàn)模型。計算機網(wǎng)絡安全取決于安全技術與網(wǎng)絡管理兩大方面。從技術角度來講,計算機網(wǎng)絡安全又取決于網(wǎng)絡設備的硬件與軟件兩個方面,網(wǎng)絡設備的軟件和硬件互相配合才能較好地實現(xiàn)網(wǎng)絡安全。但是,由于網(wǎng)絡安全作為網(wǎng)絡對其上的信息提供的一種增值服務,人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡的瓶頸,因此,將網(wǎng)絡安全的密碼算法和安全協(xié)議用硬件實現(xiàn),實現(xiàn)快速的安全處理仍然將是網(wǎng)絡安全發(fā)展的一個主要方向。另一方面,在安全技術不斷發(fā)展的同時,全面加強安全技術的應用也是網(wǎng)絡安全發(fā)展的一個重要內(nèi)容。因為即使有了網(wǎng)絡安全的理論基礎,沒有對網(wǎng)絡安全的深刻認識、沒有廣泛地將它應用于網(wǎng)絡中,那么談再多的網(wǎng)絡安全也是無用的。同時,網(wǎng)絡安全不僅僅是防火墻,也不是防病毒、入侵監(jiān)測、防火墻、身份認證、加密等產(chǎn)品的簡單堆砌,而是包括從系統(tǒng)到應用、從設備到服務的比較完整的、體系性的安全系列產(chǎn)品的有機結合。除了網(wǎng)絡安全技術,還要強調(diào)網(wǎng)絡安全策略和管理手段的重要性。只有做到這些的綜合,才能確保網(wǎng)絡安全。本文盡管對計算機網(wǎng)絡安全進行了較深入的研究。但是,計算機網(wǎng)絡安全的問題是一個永久的課題,它將隨著計算機技術、計算機網(wǎng)絡的發(fā)展而一直存在、一直發(fā)展。計算機網(wǎng)絡的威脅與計算機網(wǎng)絡的安全防護的關系就象是“矛”和“盾”的關系一樣,沒有無堅不摧的矛、也沒有無法攻破的盾。從理論上講這種做法的正確的,但在具體的折中方法上就有大量的研究及實驗工作可做。由于本文作者水平有限以及時間有限等的原因,本文的折中是有進一步研究和改進的必要的。總之,計算機網(wǎng)絡安全技術是個永無止境的研究課題。

參考文獻:

[1] Stallings W.網(wǎng)絡安全要素一應用與標準[M].北京:人民郵電出版社,2000.

[2] 張小斌,嚴望佳.黑客分析與防范技術[M].北京:清華大學出版社,1999.

[3] 余建斌,黑客的攻擊手段及用戶對策[M].北京:人民郵電出版社,1998.

[4] 彭杰.計算機網(wǎng)絡安全問題的探討[M].現(xiàn)代電子技術,2002.

[5] 郝玉潔,.網(wǎng)絡安全與防火墻技術[J].電子科技大學學報社科版,2002,4(1).

[6] 陳朝陽,潘雪增,平鈴娣.新型防火墻的設計和實現(xiàn)[J].計算機工程,2002(11).

[7] 劉美蘭,姚京松.入侵檢測預警系統(tǒng)及其性能設計[C]//卿斯?jié)h,馮登國.信息和通信安全CCICS'99:第1屆中國信息和通信安全學術會議論文集.北京:科學出版社,2000.

[8] 陳曉蘇,林軍,肖道舉.基于多的協(xié)同分布式入侵檢測系統(tǒng)模型[J].華中科技大學學報:自然科學版,2002,30(2).

[9] 王惠芳.虛擬專用網(wǎng)的設計及安全性分析[J].計算機工程,2001(6).

第3篇：網(wǎng)絡安全技術范文

【關鍵詞】計算機網(wǎng)絡安全；虛擬網(wǎng)絡技術；應用

引言

現(xiàn)如今科學的進步和發(fā)展不斷地加劇著其他產(chǎn)業(yè)化的進程化發(fā)展腳步。計算機就是其中的佼佼者。但是在發(fā)展的道路中難免會遇到困難和荊棘，計算機網(wǎng)絡安全問題就是在種種問題中比較突出的存在。相應的改善也沒有持續(xù)多久就發(fā)現(xiàn)了新的問題。由此可見計算機和互聯(lián)網(wǎng)的完美結合也并不是毫無瑕疵的，計算機網(wǎng)絡安全問題和虛擬網(wǎng)絡問題就是當今專家們一直研究的重要話題，也是本文的焦點，希望有關學者能從中得到借鑒和參考。

1虛擬網(wǎng)絡世界中所反映的狀態(tài)和重要特征

計算機網(wǎng)絡安全問題一般的處理對策就是運用虛擬網(wǎng)絡技術。這項技術之所以能夠有如此大的重要作用就是因為本身的靈活化、趨勢化、性能化的發(fā)展優(yōu)勢。它可以根據(jù)實際的情況采用不同的應對方式去解決問題并且逐步將計算機本身的安全性能加以提升。在企業(yè)的財務管理、圖書館管理和信息化通路中往往得到有效地應用。此外虛擬網(wǎng)絡技術還有一種簡化工作內(nèi)容的能力同時還可以進一步提高工作效率和工作質(zhì)量。所以計算機的使用不僅僅幫助節(jié)約了必要的資源同時也解決了頑固的令人頭疼的問題。還有一個重要的特點就是虛擬網(wǎng)絡技術往往需要的配置設備的要求很低，還有很高的擴容性。這樣就完成了工作上的具體化相關要求，同時還能有效地節(jié)省資金的用度。上述提到的特點和優(yōu)勢幫助了虛擬網(wǎng)絡技術在計算機信息化時代的廣泛應用和普及。管理位置的人可以通過虛擬網(wǎng)絡技術的應用進一步有效地控制公司整個的信息網(wǎng)絡內(nèi)容。充分地實現(xiàn)計算機網(wǎng)絡安全和用戶權限設置的完美結合。所以虛擬網(wǎng)絡技術的各項優(yōu)勢都足以讓它在計算機網(wǎng)絡發(fā)展中占有重要地理位置。同時也為自己的發(fā)展提供了有利的保障[1]。

2影響計算機網(wǎng)絡安全問題的不利因素

2.1非授權性入侵

這種不利因素就是字面上的意思，主要是在計算機管理員沒有授權或者是許可的情況下。不法分子就利用自己的技術內(nèi)容對該機器進行入侵，獲取別人電腦中的重要資料、文件、數(shù)據(jù)等等內(nèi)容，從而所引發(fā)的侵權問題并導致犯罪的，并且影響他人計算機網(wǎng)絡安全的非法行為。這種行為的實施將給受害者帶來嚴重的財產(chǎn)損失。

2.2不可抗力因素

不可抗力因素就是自然因素。計算機也是機器的一種，它是機器就會有所有機器的通病———怕水。當然計算機不僅僅怕水，它還怕輻射、人為損壞、等等一些重大危害情況。還有就是計算機的設備需要進行定期更新，滯后的性能往往會滋生問題的產(chǎn)生，慢慢發(fā)展成為計算機網(wǎng)絡安全的又一隱患。

2.3計算機網(wǎng)絡病毒的蔓延

計算機病毒是大家比較熟知的話題內(nèi)容。計算機病毒本身是一種計算機程序，它可以以郵件的形式或者其他的形式進入到計算機內(nèi)部中，進一步破壞計算機的程序，造成數(shù)據(jù)、文件、資源的丟失和軟件性能上的破壞，更嚴重的直接損壞計算機本身構造。這都是計算機病毒在入侵時平時出現(xiàn)過的問題的集中反映，所以我們要引起一定的重視，堅決防范計算機病毒的入侵。

2.4木馬的攻擊

木馬是從計算機發(fā)展中不斷衍生過來的產(chǎn)物，計算機往往會遭到木馬的攻擊。一般的“黑客”就是利用木馬的技術非法侵入到用戶的電腦網(wǎng)絡之中，從而獲取計算機中重要的資料、數(shù)據(jù)和文件內(nèi)容，才實現(xiàn)自身的利益點[2]。

3虛擬網(wǎng)絡技術在計算機中應用的具體相關內(nèi)容

3.1虛擬網(wǎng)絡中應用的技術手段

虛擬網(wǎng)絡中所應用的技術一般常見的有：隧道技術、加解密技術、身份驗證技術、密鑰控制技術等等。下面將逐一解釋這種技術的具體內(nèi)容：密鑰控制技術主要是由兩種技術結合而成，一種是ISAKMP，另一種是SKIP。它的主要作用就是保護用戶的數(shù)據(jù)、資料和文件內(nèi)容。SKIP主要是運用DIFFIE法規(guī)，使得密鑰這項內(nèi)容不在網(wǎng)絡上傳播，使自身有效隱藏。而ISAKMP則是相反的情況，密鑰在網(wǎng)絡中的傳播是公開的，但是我們卻可以控制公開的內(nèi)容。加解密技術則是虛擬網(wǎng)絡技術中最為重要的技術手段。數(shù)據(jù)、資料、文件內(nèi)容的有效保護主要就依靠此項技術。同時加密技術也是對隧道技術的一種協(xié)同加強作用，在加密技術的保護之下，一些不法分子往往很難侵入到用戶的計算機之中，這樣就進一步減少了黑客們對于計算機的危害。它可以有效地保障計算機用戶的和數(shù)據(jù)資料安全和財產(chǎn)安全。隧道技術只要是將網(wǎng)絡上傳播的數(shù)據(jù)、資料、文件等相關內(nèi)容變換一種形式進行傳播上的保護，它往往利用的形式就是壓縮包和數(shù)據(jù)包等常見形式。這樣的做法有效地避免了信息的零散化和單獨化，避免了易于丟失的風險。網(wǎng)絡中的安全渠道是不可信的所以我們只能對資源的內(nèi)容加強保護，防止丟失。我們對數(shù)據(jù)進行進一步打包或者加工的這一過程稱為隧道技術。這種技術我們每天幾乎都會在發(fā)郵件時用到，足可見它的重要作用[3]。身份驗證技術也比較常見。我們在進行網(wǎng)上交易和實名制購買車票往往就會運用到這種身份驗證技術，一方面是保證客戶的信息，另一方面也是加強交易過程的安全性，而且這樣就加大保障了計算機網(wǎng)絡的安全性。而且這種技術一般大家都比較熟悉，本文不多做贅述。

3.2虛擬網(wǎng)絡中應用的具體實現(xiàn)方法

虛擬網(wǎng)絡技術的應用主要涉及在以下幾個方面：公司部門和遠程部門之間引用；公司內(nèi)網(wǎng)和遠程人員之間的應用；公司和客戶之間的應用等方面。公司一般存在的局域網(wǎng)就是連接位于不同位置的遠程分支和部門中的重要紐帶，加之利用隧道、加解密等技術確保了信息的傳輸安全，既保證了網(wǎng)絡的互聯(lián)性又有效地實現(xiàn)公司中的資源上和數(shù)據(jù)上的信息資源共享機制。而遠程人員和公司內(nèi)網(wǎng)的連接則被稱為遠程訪問虛擬網(wǎng)，運用遠端驗證和授權保證連接的可靠性，通過該技術的運用可以有效地幫助加強公司之間的聯(lián)系，有利于員工和公司間的信息溝通和傳遞，同時它還能起到一定的實時接收作用，節(jié)省成本，可擴展性強。公司和客戶之間的聯(lián)系也尤為重要，尤其是在信息時代，與客戶之間如何進行安全便捷的信息交換管理更是關鍵中的關鍵，通過虛擬網(wǎng)絡技術就可以方便實現(xiàn)資源連接，既能高效可靠的為客戶提供有效的信息服務，避免因無法聯(lián)系而錯失重要的商機合作機會，又保證了公司內(nèi)部網(wǎng)絡與信息的安全性。所以運用虛擬網(wǎng)絡技術可以進一步提高溝通談判上的工作效率。

4結束語

計算機網(wǎng)絡中往往存在著一定的安全隱患問題，現(xiàn)在的網(wǎng)絡中一些“黑客”的猖獗行為已經(jīng)引起了網(wǎng)民們的強烈不滿，并且造成了一定的“資源恐慌現(xiàn)象”。網(wǎng)絡中的病毒的傳播也是十分令人頭疼的關鍵之處。這些出現(xiàn)的問題不僅僅在破壞著原有的正常網(wǎng)絡秩序，同時也在考驗著網(wǎng)民們的忍耐底線。我們要積極研究和分析這方面的問題原因找到應對的策略去改善和緩解問題的嚴重程度，保持原有的網(wǎng)絡環(huán)境的和諧與安寧。

參考文獻

[1]高艷.計算機網(wǎng)絡安全技術在電子商務中的應用與研究[J].網(wǎng)絡安全技術與應用，2015，04：136~139.

[2]汪萌，梁雨鋒.基于虛擬化環(huán)境下的網(wǎng)絡安全監(jiān)控技術應用[J].計算技術與自動化，2013，01：137~140.

第4篇：網(wǎng)絡安全技術范文

一、防病毒技術

新型病毒層出不窮，傳播速度快，破壞能力越來越強。校園網(wǎng)必須在網(wǎng)絡系統(tǒng)的各個環(huán)節(jié)嚴加防范，才能控制或阻止病毒的侵害?？紤]學校教學用機數(shù)量龐大，要建立全面的主動病毒防護體系，在每臺工作站、服務器上都要有反病毒軟件并能統(tǒng)一管理。校園網(wǎng)與Internet相連的網(wǎng)關，也要安裝防病毒軟件進行攔截，以阻止病毒進入校園網(wǎng)傳播擴散。由于師生信息瀏覽和EMAIL通信的普遍性，在Internet瀏覽、下載的信息時有可能傳播病毒到內(nèi)部網(wǎng)絡上，防病毒軟件要能阻止網(wǎng)頁攜帶的Applet小應用程序、ActiveX等病毒破壞，發(fā)現(xiàn)并清除隱藏在EMAIL、QQ、MSN、附件中的欺騙性病毒和木馬。

目前，主流的防病毒產(chǎn)品主要有賽門鐵克、趨勢、江民、金山等，網(wǎng)絡上也不乏免費殺毒軟件，如360殺毒。首次安裝防病毒軟件時，一定要對計算機做一次徹底的病毒掃描，注意定期查殺，及時進行軟件的更新。

二、防火墻與網(wǎng)絡隔離技術

配置防火墻可以最大限度防止Internet上的不安全因素蔓延到校園網(wǎng)內(nèi)部。校內(nèi)單機可以使用個人防火墻，網(wǎng)上這樣的免費或限時軟件很多，比如：360安全衛(wèi)士、天網(wǎng)。校園內(nèi)外網(wǎng)之間，可根據(jù)學校需要配置軟件或硬件防火墻。軟件防火墻依賴于服務器的操作系統(tǒng)，安全性有較大限制，速度也比較慢，建議有條件的學校配置硬件防火墻。硬件防火墻有專用硬件平臺和專用操作系統(tǒng)，甚至芯片級硬件防火墻使用專門芯片硬件平臺。沒有操作系統(tǒng)，它們的速度快、性能高、處理能力強。目前，常用的軟件防火墻有Checkpoint、KFW傲盾、天網(wǎng)等，常用的硬件防火墻有Net Screen、Cisco、Hill stone等，還可根據(jù)學校需要選配NAT、DNS、VPN、IDS等不同模塊。

網(wǎng)絡隔離技術在內(nèi)、外部主機系統(tǒng)中嵌入安全加固且不同的操作系統(tǒng)，內(nèi)部主機的操作系統(tǒng)對外部攻擊者是不可見的。在校園網(wǎng)和外部網(wǎng)絡之間形成了物理隔離帶，消除了基于網(wǎng)絡協(xié)議的攻擊。這種技術的應用，必將使校園網(wǎng)絡管理高效化、簡單化，安全級別也更高。

三、VLAN技術

隨著校園網(wǎng)絡規(guī)模擴大，網(wǎng)內(nèi)機器超過200臺時網(wǎng)絡管理將極為困難。在實際應用時，采取VLAN技術把校園網(wǎng)劃分為行政辦公、教師、學生等子網(wǎng)。劃分可以跨過物理設備，各子網(wǎng)之間無法直接通信，信息僅在VLAN內(nèi)的成員之間傳送，限制非成員數(shù)據(jù)轉發(fā)，從而減少了主干網(wǎng)的數(shù)據(jù)流量，控制網(wǎng)絡風暴在必要范圍內(nèi)，并增強網(wǎng)絡的安全性，利于管理。根據(jù)校園網(wǎng)管理特點，通常選擇下面三種方法劃分VLAN。

（1）基于端口的劃分。根據(jù)以太網(wǎng)交換機的端口劃分不同VLAN，可以把跨交換機的端口劃分到同一VLAN中，一個VLAN對應一個端口集合，一個端口在某一時間只能位于一個VLAN中。比如可以把交換機SWl的端口1、4-5和SW2的端口2-3、6劃為VLANl；把交換機SWl的端口2、3和SW2的端口1、4、5劃為VLAN2。這種方法簡單易行，但是靈活性差。當教學用機需要移動時，新端口不位于原VLAN中時，機器不能直接連接通信，需要管理員重新定義端口配置。

（2）基于MAC地址的劃分。校園網(wǎng)中的每個MAC地址對應一臺計算機，一個VLAN就是一個MAC地址集合。比如把所有教師機的MAC地址添加到VLANl中，所有學生機的MAC地址添加到VLAN2中。配置完成后，交換機根據(jù)MAC地址識別和跟蹤教學用機。即使教學用機或服務器移動位置，更換端口，也不會改變其所屬的VLAN。這種方法，用戶使用靈活，但是管理員工作量大而煩瑣：初始化時，如果用戶數(shù)量較多，要收集所有計算機MAC地址，對所有計算機進行配置，工作量極大；后期，每一臺新計算機入網(wǎng)時，也需要添加到對應的VLAN中，否則不能連接。

（3）基于IP地址劃分。校園網(wǎng)中的網(wǎng)絡層IP地址對應一臺計算機，一個VLAN就是一個IP地址集合。例如：把IP地址192.168.1.1-192.168.1.100設置為VLANI給教師使用，把192.168.2.1-192.168.2.200設置為VLAN2給學生使用。它具有第2種劃分方法的優(yōu)點，用戶計算機可以不修改網(wǎng)絡配置移動，并且無需收集MAC地址對所有計算機單獨配置。但校園網(wǎng)中每次數(shù)據(jù)轉發(fā)，都需要檢查TCP／IP協(xié)議的網(wǎng)絡層，網(wǎng)絡工作效率低。

目前，應用比較廣泛的具備VLAN功能的交換機、路由器主要有Cisco、銳捷、神州數(shù)碼等，這些網(wǎng)絡設備也不一定具備VLAN所有劃分方式。因此，學校要根據(jù)自己的要求和價格承受能力，選擇不同層次和功能的VLAN網(wǎng)絡設備，再根據(jù)實際設備選擇適合的VLAN劃分方式配置網(wǎng)絡。

四、云防護技術

校園網(wǎng)中Email、BBS、Web、即時通信、上傳下載各種服務和應用繁多，這也為黑客提供了更多的攻擊途徑。目前針對網(wǎng)絡的聯(lián)合攻擊規(guī)模越來越大，破壞性越來越強。許多校園網(wǎng)絡工作站點要么成為“僵尸”，要么成為被攻擊的對象。比如：“僵尸網(wǎng)絡”就是通過掛馬、下載等途徑控制數(shù)量巨大的“肉雞”對目標進行DOS等攻擊；還有“零日攻擊”指惡意運用立即被發(fā)現(xiàn)的安全漏洞，利用時間差在網(wǎng)絡未及防范的情況下實施攻擊。

第5篇：網(wǎng)絡安全技術范文

隨著計算機技術和互聯(lián)網(wǎng)技術的不斷發(fā)展，網(wǎng)絡技術已經(jīng)被廣泛應用于企業(yè)管理中。電子信息時代的網(wǎng)路安全技術是保證企業(yè)信息安全的堅強后盾，本文就網(wǎng)絡安全技術在企業(yè)中的應用做出研究，總結網(wǎng)絡安全問題的解決方案。

【關鍵詞】網(wǎng)絡安全技術 解決方案 企業(yè)網(wǎng)絡安全

網(wǎng)絡由于其系統(tǒng)方面漏洞導致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡安全技術的出現(xiàn)為企業(yè)的網(wǎng)絡信息安全帶來重要保障，為企業(yè)的發(fā)展奠定堅實的基礎。

1 網(wǎng)絡安全技術

1.1 防火墻技術

防火墻技術主要作用是實現(xiàn)了網(wǎng)絡之間訪問的有效控制，對外部不明身份的對象采取隔離的方式禁止其進入企業(yè)內(nèi)部網(wǎng)絡，從而實現(xiàn)對企業(yè)信息的保護。

如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎上?，F(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細分為服務防火墻和包過濾技術防火墻。服務防火墻的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監(jiān)督職責。包過濾技術防火墻就像是一個篩子，會選擇性的讓數(shù)據(jù)信息通過或隔離。

1.2 加密技術

加密技術是企業(yè)常用保護數(shù)據(jù)信息的一種便捷技術，主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進行保護，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對重要的數(shù)據(jù)通過一定的規(guī)律進行變換，改變其原有特征，讓外部人員無法直接觀察其本質(zhì)含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規(guī)律被別人知道后就很容易將其破解?；诠€的加密算法指的是由對應的一對唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據(jù)具體的特征對個人進行識別，根據(jù)識別的結果來判斷識別對象是否符合具體條件，再由系統(tǒng)判斷是否對來人開放權限。這種方式對于冒名頂替者十分有效，比如指紋或者后虹膜， 一般情況下只有本人才有權限進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業(yè)高度機密信息的保密過程中，具有較強的實用性。

2 企業(yè)網(wǎng)絡安全體系解決方案

2.1 控制網(wǎng)絡訪問

對網(wǎng)絡訪問的控制是保障企業(yè)網(wǎng)絡安全的重要手段，通過設置各種權限避免企業(yè)信息外流，保證企業(yè)在激烈的市場競爭中具有一定的競爭力。企業(yè)的網(wǎng)絡設置按照面向?qū)ο蟮姆绞竭M行設置，針對個體對象按照網(wǎng)絡協(xié)議進行訪問權限設置，將網(wǎng)絡進行細分，根據(jù)不同的功能對企業(yè)內(nèi)部的工作人員進行權限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關的內(nèi)容即取消其訪問權限。另外對于一些重要信息設置寫保護或讀保護，從根本上保障企業(yè)機密信息的安全。另外對網(wǎng)絡的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內(nèi)打開。

企業(yè)網(wǎng)絡設計過程中應該考慮到網(wǎng)絡安全問題，因此在實際設計過程中應該對各種網(wǎng)絡設備、網(wǎng)絡系統(tǒng)等進行安全管理，例如對各種設備的接口以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網(wǎng)絡系統(tǒng)，消除網(wǎng)絡安全的脆弱性。

企業(yè)經(jīng)營過程中由于業(yè)務需求常需要通過遠端連線設備連接企業(yè)內(nèi)部網(wǎng)絡，遠程連接過程中脆弱的網(wǎng)絡系統(tǒng)極容易成為別人攻擊的對象，因此在企業(yè)網(wǎng)絡系統(tǒng)中應該加入安全性能較高的遠程訪問設備，提高遠程網(wǎng)絡訪問的安全性。同時對網(wǎng)絡系統(tǒng)重新設置，對登入身份信息進行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應的網(wǎng)絡技術對傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他渠道外泄，提高信息傳輸?shù)陌踩浴?/p>

2.2 網(wǎng)絡的安全傳輸

電子商務時代的供應鏈建立在網(wǎng)絡技術的基礎上，供應鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡以及與供應商之間的網(wǎng)絡上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟損失。為了避免信息被竊取，企業(yè)可以建設完善的網(wǎng)絡系統(tǒng)，通過防火墻技術將身份無法識別的隔離在企業(yè)網(wǎng)絡之外，保證企業(yè)信息在安全的網(wǎng)絡環(huán)境下進行傳輸。另外可以通過相應的加密技術對傳輸?shù)男畔⑦M行加密處理，技術一些黑客破解企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被破解的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼破解技術也要花費相當長的時間，等到數(shù)據(jù)被破解后該信息已經(jīng)失去其時效性，成為一條無用的信息，對企業(yè)而言沒有任何影響。

2.3 網(wǎng)絡攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業(yè)網(wǎng)絡，并從中找到漏洞進入企業(yè)內(nèi)部網(wǎng)絡，對企業(yè)信息進行竊取或更改。為避免惡意網(wǎng)絡攻擊，企業(yè)可以引進入侵檢測系統(tǒng)，并將其與控制網(wǎng)絡訪問結合起來，對企業(yè)信息實行雙重保護。根據(jù)企業(yè)的網(wǎng)絡結構，將入侵檢測系統(tǒng)滲入到企業(yè)網(wǎng)絡內(nèi)部的各個環(huán)節(jié)，尤其是重要部門的機密信息需要重點監(jiān)控。利用防火墻技術實現(xiàn)企業(yè)網(wǎng)絡的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測技術將徹底阻擋黑客的攻擊，并對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡安全技術的配合，全方位消除來自網(wǎng)絡黑客的攻擊，保障企業(yè)網(wǎng)絡安全。

3 結束語

隨著電子商務時代的到來，網(wǎng)絡技術將會在未來一段時間內(nèi)在企業(yè)的運轉中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡安全也將長期伴隨企業(yè)經(jīng)營管理，因此必須對企業(yè)網(wǎng)絡實行動態(tài)管理，保證網(wǎng)絡安全的先進性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡環(huán)境。

參考文獻

[1]周觀民，李榮會.計算機網(wǎng)絡信息安全及對策研究[J].信息安全與技術，2011.

[2]韓萍，蔡志立.計算機網(wǎng)絡安全與防范[J].硅谷，2011.

第6篇：網(wǎng)絡安全技術范文

關鍵字：云安全技術；計算機病毒；安全性；智能化

目前出現(xiàn)計算機病毒的問題越來越多，已經(jīng)到了比較嚴重的地步。其實，計算機病毒本身并沒有在技術方面有多大的提高，原因主要是病毒分子在網(wǎng)絡這樣的大環(huán)境下，通過互聯(lián)網(wǎng)傳播速度快、高效便捷等特點，借助這樣一個媒介肆意傳播病毒，給人們的日常生活帶來諸多不便。隨著人們對網(wǎng)絡安全的重視，傳統(tǒng)的代碼反病毒的模式已經(jīng)無法滿足人們的要求，對于日益出現(xiàn)的病毒威脅，一定要尋找新的解決辦法來彌補傳統(tǒng)殺毒模式的不足。眾所周知，病毒傳播的主要渠道來源于互聯(lián)網(wǎng)，那么將殺毒軟件向互聯(lián)網(wǎng)化轉變應該是一個比較明智的選擇。

隨著新技術的不斷發(fā)展，云安全走進了人們的生活，對廣大網(wǎng)絡用戶來說，云安全技術將會給生活帶來全新的變化。

1.云安全技術的含義

云安全技術是一種新技術，它是在云計算和云存儲發(fā)展之后，經(jīng)過了網(wǎng)絡技術、云計算技術以及P2P技術等諸多技術發(fā)展而來的。這種技術不僅可以處理網(wǎng)絡計算、未知病毒行為判斷等問題，還體現(xiàn)了網(wǎng)絡信息安全。云安全技術的工作流程：首先通過網(wǎng)狀的大量客戶端監(jiān)測網(wǎng)絡中軟件的情況，等到取得了互聯(lián)網(wǎng)中木馬和惡意程序的最新信息；其次，將獲得的新信息傳達Nserver端便會自行進行分析和處理；最后，將如何解決病毒和木馬的方案發(fā)送到客戶端。

2.云安全的特點

（1）病毒查殺能力得到了很大提高。自從云安全的出現(xiàn)，很多的安全廠商就開始改進自己的病毒軟件，以滿足市場的需求，這樣就使得軟件的病毒處理能力、收集病毒樣本的能力以及緊急地域病毒的能力得到了很大提升。

（2）大大提高了反病毒的效率。云安全的出現(xiàn)不僅縮短了和病毒對抗的時間，還很大程度上降低了樣本收集的時間，為分析和處理樣本以及升級病毒數(shù)據(jù)提供了可靠保證。

（3）實現(xiàn)了智能化，為用戶體檢提供了更到位的服務。例如金山新版本出現(xiàn)了網(wǎng)鏢中就設置了一個新的功能，即可信認證智能判斷。能夠通過智能的方式為客戶提供決策方案，減少了客戶使用網(wǎng)鏢的困擾。這樣，云安全在無形之中就為廣大用戶提供了安全性的保護。

3.云安全技術的優(yōu)越性

云安全技術不僅可以反病毒，還向人們傳達出一種反病毒的理念，同時它還是一個具有互聯(lián)網(wǎng)性質(zhì)的安全防御體系。正是因為云安全技術這種安全的互聯(lián)網(wǎng)化的思路使得它具有傳統(tǒng)殺毒技術沒有的技術，具有很強的優(yōu)越性。

它的優(yōu)越性主要體現(xiàn)在三個方面：

第一，對于安全廠商來說，云安全是利用網(wǎng)絡渠道，不僅利用了人工的力量，還借助了計算機的智能功能，進而查殺病毒。這樣不僅減輕了反病毒工程師的工作負擔，還大大提高了處理病毒的能力。

第二，對于廣大用戶而言，傳統(tǒng)查殺病毒的方式會消耗大量的電腦資源，殺毒的效率不但很低，并且損耗資源。云技術查殺病毒的方法則解決了這樣的問題，它將大部分的耗費資源放到了客戶端，這樣以來，客戶端就沒有必要經(jīng)常變換病毒特征庫，從而使用戶電腦資源的耗費大大降低了，提高了客戶端電腦的使用效率，也提高了病毒查殺的能力。

第三，應用了云安全技術之后，殺毒軟件改變了以往的被動殺毒，而是變成了主動防御。這樣就可以在最短的時間內(nèi)迅速攔截病毒，并且快速尋找病毒樣本，然后針對出現(xiàn)的惡意威脅進行快速地分析和處理，使得殺毒的整個過程智能化，這樣就大大提高了反病毒的效率。互聯(lián)網(wǎng)就好比一個巨大的殺毒軟件，參與進來的用戶越多，互聯(lián)網(wǎng)的安全性就越高。

4.實施云安全技術的前提條件

云安全具有很大的優(yōu)勢，為網(wǎng)絡安全的設計了一個美好的未來，但是實施起來并不是那么容易。云安全不僅需要強大的技術實力為依托，還必須具有豐富的資源。如果達不到這樣的要求，即使建立起來了比較完整的云安全系統(tǒng)，也并不能向期望的那樣，順利地運行。實現(xiàn)云安全需要解決的問題主要有：

（1）必須擁有海量的客戶。只有擁有了海量的客戶端，才能對出現(xiàn)在互聯(lián)網(wǎng)上的惡意程序、危險網(wǎng)站在第一時間進行捕捉。擁有足夠多的服務器群和處理大量數(shù)據(jù)的能力則是最安全的保障。

（2）必須具備快速準備收集病毒、上報病毒以及具備對病毒進行分析和處理的能力。但是這些任務完成的前提需要一些比較前言的反病毒和網(wǎng)絡安全技術，比如虛擬機脫殼、人工智能等技術。這些技術難題的解決需要專業(yè)的反病毒技術和經(jīng)驗，并沒有想象的那么容易。

（3）大量的資金和技術支持。云技術的研發(fā)初期需要大量的啟動資金，還需要海量的服務器和設備確保整個系統(tǒng)能夠持續(xù)有效地運行。到了研發(fā)出來之后，后續(xù)的經(jīng)營、改進系統(tǒng)以及擴成數(shù)據(jù)庫、研究經(jīng)費等都是必須要解決的問題。

通過對云技術的實施進行之后，云安全具有美麗的前景，但是付諸實施需要克服眾多的問題，才能實現(xiàn)最終的目標，這些主要是關于技術、資金以及設備等方面的問題。

5.云安全實施的兩種不同模式

自從云安全的概念被提出之后，很多的安全廠商就開始了研發(fā)自己安全產(chǎn)品的步伐，在市場先后推出了關于云安全的解決辦法。種類比較多，像瑞星云安全計劃、卡巴斯基的全功能安全防護體系、金山毒霸的云安全、趨勢科技云安全以及江民打造的云安全+沙盒雙重安全保障體系等。

目前市場上大致出現(xiàn)了兩種云安全的實現(xiàn)原理，第一種是國內(nèi)的安全廠商瑞星提出的瑞星的云。這種針對的對象是廣大的互聯(lián)網(wǎng)用戶。它是通過在互聯(lián)網(wǎng)客戶端上安裝軟件的方式，然后對網(wǎng)絡中軟件的行為的異常情況進行檢測，當發(fā)現(xiàn)有惡意程序和木馬出現(xiàn)的信息時，就將這些信息發(fā)送到瑞星的服務器上面，然后系統(tǒng)進行自動地分析和處理，最后再將如何解決病毒和木馬的方案傳送到客戶端上面。

第二種是趨勢科技提出的安全云，這種云安全是一種云客戶端安全架構，它是建立在Web信譽服務、文件信譽服務和電子郵件信譽服務的基礎之上。它的工作流程是：首先將病毒特征碼文件保存到互聯(lián)網(wǎng)云數(shù)據(jù)庫中，然后進行驗證，但是前提是其端點處處于最低數(shù)量的時候。

趨勢科技云安全及時組建了一個十分巨大的服務器群，但是這都是建立在龐大的服務器群和能夠并行處理能力的基礎之上。這種云技術不僅可以用于客戶端的查詢，還可以將威脅到用戶的病毒及時地阻攔下來，具有非常重要的安全保護作用。

綜上可知，趨勢科技提出的云安全概念和瑞星提出的云安全概念是兩種截然不同的安全模式。前者強調(diào)的是首先建立龐大的服務器群，用于組織外來的威脅：后者則強調(diào)先感知用戶計算機上的未知威脅，但是感知的前提是必須具有海量的客戶端用戶。

第7篇：網(wǎng)絡安全技術范文

關鍵詞：校園網(wǎng)絡；網(wǎng)絡安全；系統(tǒng)安全

隨著網(wǎng)絡技術的不斷發(fā)展和Internet的日益普及，許多學校都建立了校園網(wǎng)絡并投入使用，這無疑對加快信息處理，提高工作效率，減輕勞動強度，實現(xiàn)資源共享起到了無法估量的作用。但一些教師和學生在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導致了校園計算機系統(tǒng)的崩潰，給計算機教師帶來了大量的工作負擔，也嚴重影響了校園網(wǎng)的正常運行。所以在積極發(fā)展辦公自動化、實現(xiàn)資源共享的同時，教師和學生都應加強對校園網(wǎng)絡的安全重視。網(wǎng)絡的生命在于其安全性。因此，如何在現(xiàn)有的條件下，搞好網(wǎng)絡的安全，就成了校園網(wǎng)絡管理人員的一個重要課題。

一、校園網(wǎng)絡現(xiàn)狀

隨著電腦的普及，計算機技術并沒有像早年想象的那么遙遠。幾乎每個人都知道一些最基本的電腦維護的知識，對于生活在學校的學生們就更不用說了。幾乎每所學校都有其自身的網(wǎng)絡體系，無論是無線網(wǎng)絡還是有線網(wǎng)絡。有了網(wǎng)絡的幫助后老師可以提高課堂內(nèi)容的豐富度，不必拘泥于灌輸死板的概念內(nèi)容，而是靈活的動態(tài)模式，這樣才能更好地激發(fā)學生的學習興趣。在大家看來每所學校所關心的安全領域問題是大致相同的，無論是在哪方面，無疑就是網(wǎng)絡是否暢通，上網(wǎng)是否安全，網(wǎng)絡是否可以抵御黑客攻擊，上網(wǎng)時我們的賬號是否存在風險等問題。網(wǎng)絡安全主要是網(wǎng)絡信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡運行安全和內(nèi)部網(wǎng)絡安全。

二、系統(tǒng)安全

系統(tǒng)安全包括主機和服務器的運行安全，主要措施有反病毒、入侵檢測、審計分析等技術。

（一）反病毒技術

計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染給其它程序，并進行自我復制，特別是在網(wǎng)絡環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。

（二）入侵檢測

入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡或計算C系統(tǒng)中的若干關鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。在校園網(wǎng)中服務器為用戶提供著各種的服務，但是服務提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險。因此，從安全角度考慮，應將不必要的服務關閉，只向公眾提供他們所需的基本的服務。

（三）審計監(jiān)控技術

審計監(jiān)控不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、類聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。

三、網(wǎng)絡運行安全

網(wǎng)絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外，還要有備份與恢復等應急措施，保證網(wǎng)絡受到攻擊后能盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)。

一般數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文件寫入備份介質(zhì)；二是增量備份，只備份上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。

根據(jù)備份的存儲媒介不同，有“冷備份”和“熱備份”兩種方案?！盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中，只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放，具有速度快和調(diào)用方便的特點?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝。其特點是便于保管，用以彌補“熱備份”的一些不足。進行備份的過程中，常使用備份軟件，如GHOST等。

四、內(nèi)部網(wǎng)絡安全

為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡安全檢測，以增強機構內(nèi)部網(wǎng)的安全性。

（一）訪問控制

在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術是目前保護內(nèi)部網(wǎng)安全最主要，同時也是最有效和最經(jīng)濟的措施之一。防火墻技術可以決定哪些內(nèi)部服務可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。應該強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才能實現(xiàn)真正的安全。

另外，防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡的一個網(wǎng)段與另一個網(wǎng)段，防止一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播。

（二）網(wǎng)絡安全檢測

第8篇：網(wǎng)絡安全技術范文

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2012）04-0000-00

高校校園網(wǎng)絡的應用，已經(jīng)成為了信息化建設、信息化教學科研、信息化辦公的不可缺少的手段。校園網(wǎng)的安全使用直接關系到了學校的正常教學、管理活動。因此，校園網(wǎng)的安全體系的建立刻不容緩。

1、校園網(wǎng)安全需求分析

校園網(wǎng)的安全需求從各個方面都有體現(xiàn)，主要包括以下幾個方面：

(1)網(wǎng)絡系統(tǒng)的安全可靠性。隨著學校的發(fā)展，校園網(wǎng)的應用也不斷擴展，內(nèi)容不斷豐富。這就對于學校網(wǎng)絡的安全可靠性提出了更高的要求。網(wǎng)絡系統(tǒng)出現(xiàn)故障，必然將嚴重影響著學校的正常工作。這就要求學校的通信子網(wǎng)網(wǎng)絡硬件設備能夠正常工作，盡可能減少故障率。如核心路由器、核心交換機、匯聚層和接入層交換機等等網(wǎng)絡硬件。同時也要求資源子網(wǎng)的硬件設備服務器的安全使用。校園網(wǎng)應用到的主要業(yè)務數(shù)據(jù)都是存放在網(wǎng)絡服務器中，而且服務器大都要求24小時工作。如果服務器出現(xiàn)安全故障，將導致校園應用系統(tǒng)無法工作，這將嚴重影響整個學校的運行。服務器的安全使用，也關系到了學校關鍵數(shù)據(jù)的正常運行。

(2)不同地點的安全接入。接入校園網(wǎng)一般分為兩個方面，一是校園網(wǎng)內(nèi)部接入，一是外部網(wǎng)接入。這就需要采用更適合的安全網(wǎng)絡方式來接入校園網(wǎng)，保障學校辦公人員順利接入網(wǎng)絡，安全快捷地獲取信息。

(3)病毒防范的需要。網(wǎng)絡是病毒傳播的最快捷途徑，校園網(wǎng)也就成為了校網(wǎng)內(nèi)部病毒傳播最嚴重區(qū)域。病毒的的危害是不容乎視的，一旦在校園網(wǎng)內(nèi)傳播，將會迅速的感染到網(wǎng)絡上所有使用的站點，極有可能造成校網(wǎng)內(nèi)部信息的泄漏，危及到校園網(wǎng)的正常運行等等。

2、危害校園網(wǎng)安全的因素

網(wǎng)絡安全使用的危害因素眾多，對于校園網(wǎng)來講，主要有以下幾個方面的因素：

(1)管理因素。校園網(wǎng)安全管理不重視，缺乏安全意識，這是威脅網(wǎng)絡安全的重要因素，主要包括內(nèi)部員工把網(wǎng)絡內(nèi)部的一些重要信息泄漏給外部人員；管理員及用戶應用的口令和密鑰被外人竊?。挥布O備被外部人員輕易接觸；內(nèi)部人員不受管制，可輕易篡改數(shù)據(jù)等等管理因素。

(2)計算機木馬、病毒因素。它是造成校園網(wǎng)絡故障的最主要因素，木馬和病毒一直是嚴重影響網(wǎng)絡安全使用的主要危害。計算機木馬和病毒發(fā)展速度飛快，幾乎每時每刻都在出現(xiàn)新的木馬、病毒，校園網(wǎng)根本不可能完全避免它們的影響，只能通過防病毒軟件和防火墻來及時處理、隔離、查殺，盡可能把危害降到最低。

(3)物理因素。校園網(wǎng)設備分散，分布范圍遍布整個校區(qū)，不可能全部監(jiān)控。而這些設備都有可能造成破壞，從而影響到正常的網(wǎng)絡運行。為了盡可能規(guī)避風險，要加強網(wǎng)絡設備的管理，健全網(wǎng)絡管理制度。

(4)技術因素。校園網(wǎng)基本上是基于Intranet構建而成，它是基于TCP/IP協(xié)議的一種網(wǎng)絡模式，這就必然造成相應的安全問題。由于Intranet從構建就存在安全隱患，隨著網(wǎng)絡的不斷增加的應用，就必然產(chǎn)生相應的安全漏洞，必然影響到網(wǎng)絡的安全應用。

(5)站點用戶的因素。校園網(wǎng)用戶的計算機水平良莠不齊，大多用戶安全意識不強，操作不規(guī)范等原因，這些是造成校園網(wǎng)安全危害的主要因素。

3、安全技術的應用

(1)網(wǎng)絡通信子網(wǎng)系統(tǒng)可靠性的設計。通信子網(wǎng)的可靠性的設計，主要指的是核心交換機、匯聚層和接入層交換機的設計。對于整個通信子網(wǎng)的要實現(xiàn)高可靠性的設計和建設，對于核心設備要多采用硬件備份、冗余等可靠性技術。針對網(wǎng)絡的可靠性，要建立N+1備份系統(tǒng)，即主系統(tǒng)出現(xiàn)故障，備份系統(tǒng)能立刻加入到系統(tǒng)的運行，確保系統(tǒng)的正?？煽窟\行。對于核心和匯聚層交換機，應該具體分布式體系結構、關鍵部件冗余、實時熱備份機制和熱插拔特性關鍵性技術要求。

(2)網(wǎng)絡資源子網(wǎng)的安全體系。服務器是承載著學校的私有重要數(shù)據(jù)，這些數(shù)據(jù)都是不能隨意公開，必須保證數(shù)據(jù)的安全可靠性。而現(xiàn)今眾多的黑客或商業(yè)間諜都是以這些數(shù)據(jù)為目標，重點破壞或竊取，以達到其不可告人的目的。因此，構建一個完整的安全體系，用于防御黑客的攻擊是服務器安全設置的首要任務?？梢圆捎玫募夹g有，磁盤陣列RAID，采用硬盤組的技術來防止單個硬盤出現(xiàn)故障的應對措施，這可以有效的進行數(shù)據(jù)恢復，保護數(shù)據(jù)的安全。現(xiàn)常用的方式有RIAD0、RIAD1、RIAD5等等；鏈路聚合技術，將多個交換機低速端口捆綁成一個高速鏈路。由于服務器要求響應速度快，低速的端口無法滿足服務的要求，采用鏈路聚合技術可以有效保障需求，他能夠?qū)崿F(xiàn)負荷的平衡，并且部分端口的故障也不會致使鏈路癱瘓，從而實現(xiàn)網(wǎng)絡的穩(wěn)定和安全性；雙機熱備技術，采用雙機方式可以在主機故障時，備份服務器能立刻頂替，保證服務器的24小時不間斷使用，數(shù)據(jù)不丟失，使服務器系統(tǒng)具有高可靠性。

(3)IP地址的規(guī)劃設計。IP地址的規(guī)劃設計方案是整個網(wǎng)絡規(guī)劃的至關重要之處，應該充分考慮到內(nèi)部網(wǎng)絡對IP地址的需求量，且IP地址的規(guī)劃應具備唯一性、連續(xù)性、擴展性和規(guī)范性原則。唯一性即子網(wǎng)地址必須唯一，相同的子網(wǎng)段內(nèi)主機地址必須唯一；連續(xù)性即各個節(jié)點應該劃分連續(xù)的IP地址，這樣可以簡化路由表數(shù)據(jù)，提高路由算法的計算速度；擴展性即IP地址的編址應該充分考慮到其可擴展性，這是保障網(wǎng)絡擴展的重要條件；規(guī)范性即對于各個網(wǎng)絡設備采用規(guī)范的編址方式，這樣有利于提高管理效率。

IP地址分配的原則應該是劃分各個層次，對于核心層設備分配到一段連續(xù)的地址區(qū)域，與之相近的連接應集中在這個區(qū)域的附近。通過這樣的合理地址分配，來減少路由表的長度，提高路由的效率。

對于各個站點的IP地址分配，采用DHCP的管理模式。DHCP是局域網(wǎng)IP地址管理的常用方法。DHCP服務能有效地管理IP地址的使用，對于管理者來講，只要管理好DHCP服務器即可，而不需要象靜態(tài)IP地址管理方式，采用靜態(tài)設置各個站點IP地址，這樣可以大大減少工作量，提高管理的效率。

(4)虛擬專用網(wǎng)絡VPN接入技術。IPSecVPN和SSL VPN技術是現(xiàn)今校園網(wǎng)最主要的兩大VPN接入技術。IPSecVPN的工作原理類似于包過濾防火墻，當接收到IP數(shù)據(jù)包時，防火墻使數(shù)據(jù)包的頭部在規(guī)則表中進行匹配。當找到相匹配的規(guī)則時，就按照規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行丟棄或轉發(fā)的處理。SSL VPN屬于應用層VPN技術，SSL協(xié)議定義了完整的安全機制，對用戶數(shù)據(jù)的完整性和私密性都有完善的保護。現(xiàn)大多數(shù)采用的是SSL VPN技術，主要是SSL VPN基于WEB，在Web上應用相當方便。當然它不能完全代替IPSecVPN技術，SSL VPN保護的WEB方式的遠程接入，而IPSecVPN保護的是點對點的通信方式。

(5)木馬病毒防御系統(tǒng)的設計。木馬病毒是危害校園網(wǎng)運行的主要因素，它的傳播途徑廣泛，包括光盤、U盤、移動硬盤、網(wǎng)絡等的傳播。對于木馬病毒的防御系統(tǒng)主要可以進行以下方面的設計，第一，防病毒軟件的過濾，對于各種類型的應用服務器都安裝上實時防毒軟件，對于各個站點都安裝上病毒監(jiān)控軟件；第二，定時查殺，對于網(wǎng)絡進行定時的病毒檢查，清除有危害的潛伏病毒；第三，殺毒軟件病毒庫的及時升級，由于病毒的不斷更新，為了防止最新病毒的傳播，就必須及時升級更新病毒庫，保持在最新病毒庫的狀態(tài)；第四，虛擬局域網(wǎng)VLAN的設置，VLAN能夠有效隔離不同的網(wǎng)絡段，這種靈活的網(wǎng)絡劃分模式，能夠?qū)⒉《镜奈：ο拗圃谟邢薜木W(wǎng)絡范圍；第五，訪問控制列表ACL技術的應用，使用ACL技術能夠有效地進行數(shù)據(jù)流控制，控制局域網(wǎng)的訪問能力，用以保障資源的安全性。

4、結語

隨著學校的信息化的深入推進，校園網(wǎng)的應用也不斷增加，學校的發(fā)展也對其更加依賴。如果有效地提高校園網(wǎng)的穩(wěn)定運行，保障校園網(wǎng)的安全使用也要越來越得到重視。對于校園網(wǎng)的整體網(wǎng)絡安全設計是刻不容緩需要解決的問題，由于網(wǎng)絡安全的整體形式不容樂觀，而且對校園網(wǎng)的也出現(xiàn)了眾多的變化，對于設計較完美的校園網(wǎng)安全解決方案，仍然是一個很艱巨的任務。本文通過網(wǎng)絡安全技術的不同方面進行校園網(wǎng)安全的考慮，希望能找到一個有效的解決方法，能夠為眾多的校園網(wǎng)安全構建提供一個參考。

參考文獻

[1] 劉遠生,辛一.計算機網(wǎng)絡安全[M].清華大學出版社,2009.

[2] 方偉,丁霞.網(wǎng)絡安全產(chǎn)品的協(xié)同應用―構建人性化校園網(wǎng)安全問題輔助決策平臺[J].網(wǎng)絡通訊及安全,2008.1.

[3] 褚建立.構建多層次的校園網(wǎng)安全體系[J]，計算機與信息技術,2006.Z1.

第9篇：網(wǎng)絡安全技術范文

    關鍵詞:關鍵詞:計算機;網(wǎng)絡安全;網(wǎng)絡病毒;

    中圖分類號:TP393.08     文獻標識碼:A     文章編號:

    隨著計算機網(wǎng)絡在我國的逐步普及,防止網(wǎng)絡病毒感染計算機,成為當前保證計算機網(wǎng)絡安全的重要手段,為了更好的保證計算機網(wǎng)絡安全,必須清楚的認識網(wǎng)絡病毒的特征、特點,從而給出有效地解決辦法。

    1. 計算機病毒和網(wǎng)絡病毒的特點和分類

    1.1 計算機病毒及分類

    計算機病毒是指在計算機程序中編制或插入的破壞計算機功能和數(shù)據(jù),能夠影響計算機的使用并擁有自我復制功能的一組計算機指令或者程序代碼。他具有傳染性、復制性和破壞性。它潛伏在計算機的存儲設備里,等達到一定的外部條件時就會激活,復制自身到其他程序中,感染其他文件,破壞計算機資源。當前計算機病毒按照感染對象可以分為

    (1)引導性病毒

    引導型病毒攻擊計算機磁盤的引導區(qū),獲得啟動優(yōu)先權,從而控制整個系統(tǒng)。由于此類病毒感染的是磁盤引導區(qū),因此,可能會造成系統(tǒng)無法引導,計算機無法正常啟動,不過由于這類病毒出現(xiàn)較早,現(xiàn)在的殺軟都已能夠查殺此類病毒。像360、金山、卡巴斯基、諾頓等。

    (2)文件型病毒

    此類病毒一般感染計算機里的可執(zhí)行文件,當用戶執(zhí)行可執(zhí)行文件時,病毒程序同時被激活,近年來出現(xiàn)的感染系統(tǒng)的sys、dll、ovl文件的病毒,就是文件型病毒,由于感染的文件大都是某些程序的配置和鏈接文件,因此,當這些文件被執(zhí)行時,這些病毒文件也隨之被子加載了,他們可以將自身整個或者分散的插入到文件的空白字節(jié)中,所以,也不見文件的字節(jié)數(shù)增加,提高病毒的隱蔽性。

    (3)網(wǎng)絡病毒

    網(wǎng)絡型病毒是近十年來互聯(lián)網(wǎng)高速發(fā)展的產(chǎn)物,它的感染對象和攻擊傳播方式不再單一、單調(diào),而是逐漸變得復雜、綜合、隱蔽。例如原來的一些感染office文件的病毒感染對象僅僅是word文檔或者是excel表格亦或電子郵件,可是現(xiàn)在的病毒則幾乎可以感染所有的office文件,其攻擊方式也不再限于刪除文件和修改文件,而逐步轉變?yōu)楸I竊文檔內(nèi)容、加密文檔等,其傳播方式更是有原來的磁盤工具傳播,轉變?yōu)橥ㄟ^網(wǎng)絡傳播。

    (4)復合型病毒

    復合型病毒是對以上三種病毒的綜合,其感染對象既可以是系統(tǒng)的引導區(qū),還可以是可執(zhí)行文件,若查殺不徹底,則病毒很容易死灰復燃。因此,對這類病毒的查殺的難度較大,殺毒軟件至少要有“引導型”、“文件型”兩類病毒的查殺能力。

    1.2 網(wǎng)絡型病毒及分類和危害

    從以上我們看到,仿佛復合型病毒具有最大的破壞性。其實,它破壞性的最大繼承自網(wǎng)絡病毒,那么什么是網(wǎng)絡型病毒呢,它有哪些分類和特點呢。

    當前出現(xiàn)的網(wǎng)絡型病毒類型分為木馬病毒和蠕蟲病毒,按照傳播途徑分為郵件病毒和漏洞型病毒。

    (1)木馬病毒

    木馬病毒是一種后門程序,主要包括客戶端和服務器兩個部分。一般被用作黑客工具,黑客常在用戶不知情的情況下,盜取用戶資料。雖然木馬程序不具備自我復制的能力,但是,一旦用戶運行木馬,那么黑客就有了整個機器的掌控權。由于會被黑客控制,因此,容易會給用戶帶來巨大的破壞。他們采取的方式一般是將木馬程序上傳到服務器供用戶下載。

    (2)蠕蟲病毒

    蠕蟲病毒可以通過MIRC腳本和htm文件進行傳播,它在感染了用戶的計算機后,會自動尋找本地和網(wǎng)絡驅(qū)動器,查找目錄,搜索可感染的文件,然后用病毒代碼覆蓋原來的用戶文件,將文件的擴展名改為vbs.由于蠕蟲病毒會大量占用計算機資源,所以機器的運行會變慢。由于蠕蟲病毒的傳播依賴主機和網(wǎng)絡的運行,不需要依賴修改主機其他文件的一種程序,因此,一旦蠕蟲傳播開來,很容易癱瘓整個系統(tǒng)。另外,他的查殺也會非常困難,在網(wǎng)絡環(huán)境下,只要網(wǎng)絡里有一臺主機上沒有清除干凈,那么,此病毒就會死灰復燃。

    (3)郵件病毒

    所謂郵件病毒其實就是一般的病毒,只是這些病毒通過郵件的形式來傳播,電子郵件作為人們?nèi)粘＝涣鞯淖钪匾墓ぞ咧?同時他也成為病毒的重要載體之一。比較有名的電子郵件病毒有求職信病毒、love you病毒、庫爾尼科娃病毒等。它們一般利用微軟公司的outlook客戶端的可編程特性,通過客戶打開郵件,而自動向客戶通訊錄里的用戶發(fā)送帶有附件的病毒郵件,因此,其傳播速度是非常快的,可能導致郵件服務器因耗盡自身資源而無法運行。

    2. 計算機網(wǎng)絡安全技術

    網(wǎng)絡性病毒是威脅計算機網(wǎng)絡安全的重要原因之一,因此,做好計算機網(wǎng)絡病毒的防范,可以有效提高計算機的網(wǎng)絡安全水平,當前針對網(wǎng)絡病毒的安全技術有以下幾種手段。

    2.1 及時更新系統(tǒng)補丁,保證系統(tǒng)穩(wěn)固。

    很多病毒都是利用操作系統(tǒng)的缺陷對用戶的電腦就行感染和攻擊的,因此,及時給系統(tǒng)打補丁,保證操作系統(tǒng)的安全性,盡量做到每周一次,安裝完畢后,要重啟。另外,盡量關掉不用的機器端口,以防被病毒或者惡意軟件利用。

    2.2建立防火墻

    在內(nèi)網(wǎng)與外網(wǎng)的接口處安裝防火墻可以有效保護計算機網(wǎng)絡安全,它將內(nèi)網(wǎng)與外網(wǎng)隔離開來,大大提高網(wǎng)絡的安全性,安裝了防火墻之后,黑客要想接觸用戶的計算機首先應攻破計算機 防火墻的防線用戶可以根據(jù)自身需要來選擇不同的保護級別。

    2.3 安裝殺毒軟件

    電腦最好是不要中毒,課要萬一中毒,那么,必須在電腦內(nèi)部安裝殺毒軟件,采取多種方式查殺病毒,任何一款軟件都不是全能的,所以一般要采用多種方式殺毒。在選擇殺毒軟件時,應注意殺毒軟件以下幾個方面的能力。首先是對病毒的實時監(jiān)測能力,其次是對新病毒的檢測能力,第三是病毒的查殺能力,尤其是當今流行病毒的查殺能力,第四對系統(tǒng)的資源占用率要低,當前一些企業(yè)上網(wǎng)速度較慢,很肯能就是防病毒程序?qū)ξ募倪^濾造成的,第五要有智能安裝,遠程是別的能力,增加用戶的選擇性,當前市場上比較流行的殺毒軟件有360殺毒軟件、卡巴斯基、小紅傘、avast、Macfee等。用戶可以根據(jù)自身需要來選擇。

    2.4 學習安全上網(wǎng)技巧

    任何網(wǎng)絡安全技術都不是完美的,因此,用戶養(yǎng)成良好的上網(wǎng)習慣,學習良好的上網(wǎng)技巧成為保證網(wǎng)絡安全的重要保障。首先,用戶應經(jīng)常更新自己的病毒庫,定期對系統(tǒng)進行查殺,不打開不明網(wǎng)頁,不打開不明文件和郵件附件,養(yǎng)成備份重要文件的好習慣。

    3. 總結

    隨著未來互聯(lián)網(wǎng)的發(fā)展,計算機病毒進化的速度必將越來越快,為了更好的對付這些新出現(xiàn)的病毒,保證計算機的安全,系統(tǒng)的云安全成為未來的發(fā)展方向,現(xiàn)在許多殺毒廠商都推出了云墻、云殺毒等網(wǎng)絡安全產(chǎn)品,相信隨著互聯(lián)網(wǎng)技術的日益成熟,以及人們對計算機網(wǎng)絡安全的日益重視,我們的網(wǎng)絡空間會越來越潔凈,越來越安全。

    參考文獻:

    [1] 朱峰.試析計算機網(wǎng)絡病毒的表現(xiàn)、特點與防范措施[J];黑龍江科技信息;2011(17)

    [2] 楊國文.網(wǎng)絡病毒防治技術在計算機管理中的應用[J];網(wǎng)絡安全技術與應用;2011(09)

    [3] 崔文強.計算機網(wǎng)絡的維護[J];硅谷;2011(17)

    [4] 中國國家互聯(lián)網(wǎng)應急中心:網(wǎng)絡安全威脅出現(xiàn)新特點[J];電子產(chǎn)品可靠性與環(huán)境試驗;2011(04)