网络安全相关认证范文
时间:2023-09-13 17:18:54
导语:如何才能写好一篇网络安全相关认证,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
【关键词】分布式联动 技术原理 网络安全 应用分析
1 联动技术的概述
1.1 联动技术定义
就目前来看,人们对于联动技术的还没有一个具体的定义,在实际的工作中,所谓的联动主要指的是设备之间的关联和互动以及相互之间的影响,通常来说,联动指的是各个设备之间所建立的机制,通过此种方式能够实现各个设备之间的信息资源共享。在网络安全系统中,联动主要包括了防火墙系统、入侵检测系统、防病毒系统、VPN、CA、网络安全指数评估系统等。
分布式以及相关的模块间的要求:从开发到应用,分布式都具有众多优点,并且,能够体现良好的技术性,分布式能够实现模块化,模块化催生分布式,这样就形成了联动。总的来说,联动就相当于一个纽带,有效的将各个模块融合,构建了一个强大的网络安全系统。在实际的工作过程中,联动方式主要是基于Radius的AAA认证体系进行工作。
1.2 分布式联动技术的网络安全构建框架
图1为分布式联动技术网络安全构建的框架。
在图1中,此网络安全构建主要由Client、Relay 和 Commander构成,它们主要设计了设备的认证以及分布式联动技术,在实际应用过程中,三部分都需要进行身份认证,只有通过相关的认证以后才能实现局域网的连接。在实际的工作过程中,分布式联动主要应用在Commander 和Client 、Commander和Relay 之间。分布式联动技术应用在Commander 和Client ,Commander能够及时的将相关的安全策略配置发下Client,然后,Client再对相关的参数进行配置,保证网络安全。如果Commander 和Client 之间存在相关的设备Relay,此设备能及时的将相关的安全策略传达给Client,Relay自身不会对相关的安全策略进行配置。分布式联动技术应用在Commander以及Relay 之间时,能够有效的解决网络汇聚以及核心设备失控时所造成的报文发送状况,维持了整个网络的稳定性,有效的提高了网络安全系数。
2 分布式联动技术的实际应用
2.1 分布式联动技术的应用分析
在实际的工作过程中,分布式联动通常能够分为系统功能安全策略分发、策略动态分析、系统安全监测联动。
2.1.1 系统功能安全策略分发
在实际的应用过程中Commander、Relay 与 client过程中的安全策略分发流程,主要包括了Client、Commander、Relay 三个设备通过认证以后,才能进行相关的安全策略配置,Relay设备在实际工作过程中,能够实现透传参数的配置,在Commander中相当于client。具体的协议安全参数配置应该是该宽带口的加权平均值,相关的计算公式为:
Client_Protocol_parameter=Port_bandwidth*(Protocol_parameter/All Port_enable_bandwidth)。
例如:ARP的队列通常限速为55Mbps,Commander 通过认证的两个端口,并且,每一个物理端口为110Mbps,如果将其分配到一个端口中,相关的协议参数应该为30Mbps,其计算公式为:110Mbps*(55Mbps/110Mbps*2)。
2.1.2 Commander以及Relay 间的安全策略分发
在实际的工作过程过程中,两者之间的参数可以依据实际情况进行配置,并且,在相关的参数分发之前,还应该积极的加强认证。
2.2 相关系统设备的安全策略动态调整
整个系统的安全策略参数分发工作完成以后,如果相关的参数出现变化,可以进行适当的调整,保证整个系统的良好运行。例如:commander 通过相关的认证进行端口增加,相关工作人员应该积极的对协议参数进行计算。
2.3 系统安全联动检测
在实际的系统工作中,安全参数策略分发完成工作完成以后,client 设备就会积极的对相关的工作内容进行检查。如果出现异常,相关设备就会采取一定的措施,保证整个系统的安全。
2.4 分布式联动技术的实现
(1)首先应该积极的对相关的报文进行认证,通过认证以后按照图2方式进行扩展。然后,在依据实际情况进行报文的发送。
(2)安全策略应答
Client系统收到相关的安全策略配置参数以后,应该积极的对相关的策略进行应答,并且积极的进行参数配置。应答报告应该采用DAP格式报文格式如图3。
在实际的应答报文中,TLV Type如果为5,并且TLV的长度为1,如果取值0x01时,则表示相关的安全策略配置成功;反之,则表示相关的安全配置失败。
3 总结
综上所述,分布式联动技术子对网络安全具有重要意义,有效的提高了企业网络的安全性。文章通过对其原理以及相关的应用进行分析,明确了其中的重要内容,希望能够促进分布式联动在网络安全中的应用。
参考文献
[1]张振华.基于动态策略联动响应的网络安全防护技术[J].工业控制计算机,2013,26(3):42-44.
[2]胡萍萍.基于分布式数据库的整体安全模型研究[J].网络安全技术与应用,2011,(8):43-46.
[3]白媛.分布式网络入侵检测防御关键技术的研究[D].北京邮电大学,2010.
[4]王菊.基于分布式数据库安全策略的研究[J].科技创新导报,2012,(7):42-42.
[5]杨加园.基于分布式联动技术的网络安全策略研究[D],南京邮电大学,2014.
[6]姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试,2014,(15):134-136.
作者简介
王美玲(1980-),女,卓资县人。大学本科学历。现为武警新疆总队第一支队助理工程师。研究方向为网络信息安全。
篇2
关键词:云计算技术;网络安全;评估
1引言
笔者通过分析云计算技术在网络安全评估中的具体应用,确保网络安全评估工作的顺利进行。
2云计算技术基本介绍
所谓云计算技术,指的是借助互联网设备提供相关服务、创新使用及交付模式,以此来实现易拓展虚拟化资源的动态供应。云计算技术参与网络安全评估活动,即预测网络安全态势,根据预测结果调整网络操作行为,便于更好的应对网络攻击。对于网络管理员,能够在短时间内获取网络安全问题,探索网络安全处理对策,这对网络安全环境创设具有重要意义,以此来实现数据挖掘技术的有效应用[1]。
3网络安全评估常见问题
网络信息时代悄然而至,在这一时代背景,云计算技术推广遇到较多阻力,导致网络安全评估工作的效果得不到完善,笔者通过总结网络安全评估常见问题,为相关措施制定提供依据。
3.1数据存储方面的问题
用户借助网络下载数据资料,并将其存储于云端,这样不仅能够节省处理步骤,而且还能提高网络资源利用率,避免数据资料丢失。若云端设备完整性受到破坏,那么数据资料容易丢失,并影响用户决策。
3.2数据传输方面的问题
一般来讲,重要的数据资料存储于互联网数据中心,这类资料包括客户基本信息、未来发展规划及财务报表等内容,但这类数据在传输的过程中存在安全风险。首先,重要数据资料传输存在数据资料被窃取的风险。再者,云计算服务商可能成为数据资料外泄的主体。最后,非法用户通过数据访问进行数据窃取。
3.3数据审计方面的问题
云计算技术在网络安全评估活动中具体应用,不仅要提供相应的数据服务,而且做好风险预防和控制工作,确保数据资料高效利用,以此满足企业管理需要。如果企业所选云计算服务商,忽视客户利益及安全风险,那么合作风险会大大增加,最终影响网络安全评估效果,大大降低网络安全评估准确性。
4云计算技术为基础的网络安全评估措施
当前网络安全评估工作推进的必要性较强,为获取客观、准确的网络安全评估结果,应用云计算技术是极为必要的,下面笔者从三方面分析网络安全评估的有效措施。
4.1提高云计算系统设计合理性
一方面,合理设计认证模型。利用身份认证技术获取相关信息后,用户需要输入正确的账号和密码,来顺利完成身份认证。对于单点登录用户,往往会为网络攻击者留下重要信息,进而会降低网络用户验证的安全性。因此,设计动态身份认证系统,避免为网络攻击者提供可乘之机,大大提高用户认证的安全性,尽最大可能减少设备使用过程中的资金投入量。另一方面,优化云计算服务设计效果。用户在了解云计算服务的过程中,需要自行下载认证程序,并完成认证程序绑定,通过验证码输入的方式成功登录。需要注意的是,如果验证时间过长,导致登录超时,需要用户及时更换新的身份验证代码,这一过程即动态验证码生成的过程[2]。
4.2掌握网络安全态势评估方法
为确保网络安全态势评估工作具体落实,需对原始数据进行预处理,以便为信息系统安全性提供可靠的数据支持,队安全事件处理的过程中,通过数据模型建立的方式获取概率值及参考值。在对网络安全评估工作顺利推进的过程中,针对情境信息进行适当转换,以便为安全态势预测制定合理的处理方法。针对网络安全态势用数值来表示,根据数值大小分析网络操作的稳定性,预测网络风险,数据预处理过后对其有序组合,实现网络安全态势的客观判断,据此分析网络安全值,对比了解网络安全差异。在网络安全受到影响后,根据变化数据掌握网络安全的情况,并进行总结和记录。
4.3有序推进网络安全防御技术
第一,进行数据加密。应用数据加密技术保证网络数据安全性,以免网络数据信息的丢失,这对网络安全维护具有重要意义,数据加密技术的巧妙应用,为数据传输、数据转换提供安全保障,并尽可能降低数据丢失风险。云计算技术具有数据共享的服务优势,它允许数据资源高效共享,但前提是用户合法访问,从另一个角度来讲,非法访问操作的数据分享行为不被支持。在这一过程中,提高数据加密技术利用率,实现数据信息的及时隔离,避免个别数据丢失导致整体网络安全性受到威胁,进而使企业遭受严重的经济损失。第二,安全认证具体推进。安全认证方式多样,用户根据网络使用需要选择适合的验证方式,对于网络安全意识较差的用户,通过认证的方式完成安全认证。云技术服务商进行安全认证时,应结合认证方式,避免重要数据资料丢失。第三,无边界安全防护。以往数据安全防护模式较单一,但现在,新型数据安全防护模式具有多样化特点,应用云服务完成边界防护任务,能够提高数据信息整合效率,按照逻辑程序实现数据资料的隔离。在了解用户需求的基础上,针对数据资料进行合理分类,这不仅对独立安全系统建立有重要意义,而且有利于扩大安全范围,加快安全服务中心建设速度。
4.4运营商在网络安全评估中的表现
当前网络信息技术时展步伐逐渐加快,互联网行业在发展的过程中,掌握云安全问题的处理对策,同时,运营商探索转型的有效途径,为云计算技术应用提供广阔空间,具体措施为:针对网络安全风险客观评估,建立不同类型的云组织模式,同时,设置安全服务等级,使用户能够参照已有服务等级进行风险评估,在一定程度上能够减少评估资金的投入。数据加密技术集成处理,在此期间,建立健全云计算安全防御体系,完善云计算服务设施,同时,创新云计算安全技术手段,来保证用户信息的安全性,这对云计算系统稳定使用有重要意义;通过可信云建立的方式加强安全认证,在这此过程中,可借助新算法构建信任关系,并通过结合方法强化对云端信任度,不仅对用户信息安全性保证有重要意义而且能够避免数据信息泄露[3]。
5结语
综上所述,云计算技术在应用的过程中,网络安全防护方式应不断进行创新,对云计算技术大范围推广有重要意义。由于我国实践云计算技术的时间较短,现有云计算技术应用经验不足,进而网络安全评估工作只能片面推进,最终得到的评估结果缺乏真实性。当前网络信息时代不断发展,人们对网络安全防护工作提出了更高的要求,不仅要对网络安全评估方式不断创新,而且研究学者应探索云计算技术应用的最佳途径,建立健全网络安全评价标准,并提供用户用网满意度。笔者在理论内容的基础上,总结当前网络安全评估常见问题,提高云计算系统设计合理性、掌握网络安全态势评估方法、有序推进网络安全防御技术和了解运营商在网络安全评估中的表现等措施进行问题处理,这样不仅提高网络安全评估准确性和客观性,而且对网络安全系统独立发展具有重要意义。
参考文献
[1]魏斯超,张永萍.基于云计算技术的网络安全评估技术研究及应用[J].数字技术与应用,2016(5):211.
篇3
关键词:通讯网络安全 重要性 技术维护措施
1 通讯网络安全的重要性
所谓通讯网络安全是指信息在网络中被传递的时候,通讯网络自身需要具有以下特点:可靠性、生存性、可用性、可控性以及信息在传递过程中必须保证信息的完整性和机密性。通讯网络的安全主要包括两方面的安全,一方面是信息的安全,即信息的完整性和机密性得到保护;另一方面就是控制的安全,即身份认证、授权和访问控制等。通讯网络的普及和演进使人们的通讯方式发生了翻天覆地的变化,通讯网络是信息传递的一个重要载体,在推进信息化的过程中与社会生活的各个方面有很密切的联系。但是,也正是因为通讯网络与其他社会生活的各个方面有着重要的联系,因此,通讯网络也有着巨大的潜在的危险。如果说通讯网络出现了问题,那么就会对社会的经济发展带来巨大的负面影响。
2 保障通讯网络安全性的技术维护措施
通讯网络安全是十分重要的,因此,我们应该采取一系列措施来保证通讯网络的安全。我国的通讯网络安全措施一定要进行相应的调整,采取多种有效措施,促进通讯网络的快速健康发展。为了保障通讯网络安全我们应该采取以下技术维护措施:
2.1 防火墙技术
防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成[1]。防火墙具有重要的功能。首先,防火墙可以充当网络安全的屏障,极大地提高内部网络的安全性,而且防火墙还可以通过过滤不安全的服务而降低风险。此外,因为只有经过精心选择的协议才能够顺利通过防火墙,所以网络环境相对于以前更为安全。其次,防火墙可以强化网络安全策略。在放火墙上可以配置许多安全软件,比如说身份认证、审计等。最后,防火墙可以防止内部信息外泄。内部网络最为关心的问题之一就是隐私问题,有些外部攻击者可能会根据内部网络中的某一个细节来获取一些隐私问题,这些细节还有可能暴漏内部网络的某些安全漏洞。
2.2 入侵检测技术
所谓的入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。虽然防火墙技术对于提高网络的安全性起到了很大的作用,但是防火墙对内部网络的一些非法活动不能够做到及时的监测[2]。而解决内部网络监测问题,可以充分利用入侵监测技术。入侵监测技术可以对通讯网络进行实时保护,如可以防止内部攻击、外部攻击和误操作。入侵检测技术可以在网络系统受到危害之前就对危险物进行拦截,这样就极大提高了信息的安全性。
2.3 网络加密技术
信息的保密性是十分重要的,因此,网络加密成为网络安全的核心。网络加密技术的作用主要就是防止信息被拦截或窃取。我国的通讯网络安全措施一定要进行相应的调整,采取多种有效措施,促进通讯网络的快速健康发展。如果想要保证网络在公网上数据传递时具有极大的安全性或者想要解决远程用户的访问内网的安全性问题那么就要用到网络加密技术。主要方法就是对公网中传输的IP包进行加密和封装。
2.4 身份认证技术
身份认证系统是由令牌、身份认证软件和API接口三部分组成。身份认证技术具有很多的优点,比如说身份认证技术可以适应各种网络环境,同时也可以对信息资源进行深度的保护,还有身份认证技术可以通过提供令牌和认证服务器的物理安全保护,防止强行窃取相关信息。在各种认证机制中我们可以任意选择提供身份的认证。通过身份认证技术我们可以保障信息的完整性、可控性、机密性等安全问题。
2.5 虚拟专用网(VPN)技术
虚拟专用网(VPN)技术是通过一个公用网临时建立起一个相对安全的连接,这个连接是一条穿过很混乱的公用网络的隧道,而且这个隧道十分的安全、稳定。虚拟专用网(VPN)技术可以通过安全的数据通道将公司的内部网络连接起来,构成一个便捷的完整的公司企业网。在整个网络之中,各个主机都不会感觉到公共网络的存在,似乎全部的机器都存在于一个大的网络之中。
2.6 漏洞扫描技术
漏洞扫描技术和上面提到的防火墙技术等都是维护网络安全的技术。所谓的漏洞扫描就是对计算机系统或其他的网络设备进行安全性检测,找出存在的隐患和漏洞,然后进行修补。漏洞扫描技术的主要功能就是提高网络的抗攻击能力,主要工作流程就是先检查自身网络安全,然后发现问题和漏洞,再然后堵住漏洞。众所周知,网络是十分复杂且善变的,如果寻找网络安全漏洞、做出风险评估只依靠网络管理员这明显已经远远不够了,因此,针对此问题我们应该利用网络安全扫描工具,利用优化系统配置和打补丁等多种方式进行漏洞的扫描和修复。
3 结语
综上所述,通讯网络安全是十分重要的,对于社会经济的发展具有重要的作用。我国的通讯网络安全措施一定要进行相应的调整,采取多种有效措施,促进通讯网络的快速健康发展。因此我们对通讯网络的安全问题应该足够重视,采取众多新的科学技术来提高通讯网络的安全性。如上述所说的漏洞扫描技术、虚拟专用网(VPN)技术、身份认证技术、网络加密技术、入侵检测技术、防火墙技术等。
参考文献
篇4
关键词:网络安全;智能电网
中图分类号:TP393.08;TM76
智能电网现在己经成为世界电网发展的共同趋势。随着信息技术在电力系统基础设施和高级应用中的深度渗透,相互依存的信息网和电力网将成为未来智能电网的重要组成部分[1]。
本文首先分析了信息化背景下智能电网中存在的安全性问题,然后总结了智能电网中的几种网络安全技术,探讨了信息网络安全技术对电力系统网络安全的影响。最后,讨论了提高智能电网网络安全水平的可行对策和改进措施。
1 智能电网网络安全分析
相比于传统电网,智能电网中需要监测和控制的设备数量更多,分布更广[1]。为了实现全面和实时的监控,成本低廉的无线通信网和分布广泛的公用因特网将在智能电网通信系统中占有越来越多的比重。然而,电力系统中公用网络的大量接入为恶意攻击提供了更多的入口。这将为电网和用户带来更大的危害。
2 智能电网网络安全技术
2.1 防火墙技术。防火墙[2][3]是一种由硬件和软件设备构成的,在公共网与专用网之间和外部网与内部网之间的界面上形成的坚实壁垒。它是计算机软件和硬件的结合,可以形成Internet之间的安全网关,以达到保护合法用户安全的目的。由于目前的电力系统网络整体安全涉及的层面比较广,合理配置防火墙安全策略,就成为保障电力系统网络安全、抵御非法入侵以及黑客攻击的第一道屏障[2]。
2.2 入侵检测技术(IDS)。入侵检测技术是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。电力企业需加强对入侵检测技术的应用,从而有效地对防火墙和防病毒软件进行补充,即时监视和审计网络中的攻击程序和有害代码,并进行有效的中断、调整或隔离,降低电力系统所遭受的安全威胁。
2.3 防病毒技术。随着电力系统信息化程度的不断提高,与外部连接的信息系统以及终端很容易受到来自互联网病毒的威胁,因此电力企业安装防病毒软件或防病毒网关十分重要,同时必须对其及时更新、升级,防止病毒的入侵以及在网络中的扩散。
2.4 加密技术。为确保数据的保密性、完整性和有效性,电力企业要求对于重要终端上的数据传输必须经过加密。为防止电力系统工作中出现主动泄密,电力公司加强部署桌面终端管控系统、邮件安全审计系统、下发信息安全保密U盘等措施,实施对数据的用户授权、传输、拷贝进行安全管控,同时对移动终端采取硬盘加密等技术手段来防止被动泄密。通过安全管理与技术管控的结合,保证了电力系统运行的数据安全。
2.5 身份认证。身份认证技术是计算机网络中为确认操作者身份而产生的解决方法。目前电力企业不断加强对身份认证技术的重视,从单纯的静态密码,到同时使用动态口令、智能卡、USBKey、生物识别等技术,采用双因素甚至多因素身份认证技术[5],并通过信息安全等级保护进行相关规定,进一步加强和改善身份认证模式,提高操作人员信息安全意识和技能。
2.6 VPN技术。虚拟专用网(Virtual Private Network,VPN)通过公用网络安全地对企业内部专用网络进行远程访问,可以实现不同的网络的组件和资源之间的相互连接,它提供了与专用网络一样的安全和功能保障。VPN 采用加密和认证的技术,在公共网络上建立安全专用隧道的网络,从而实现在公网上传输私有数据、达到私有网络的安全级别。
2.7 建立网络安全联动系统的重要性。以上这些安全技术主要针对安全问题中的某一点而开发,对于一个系统,要取得较好的安全防范效果,一般需要综合运用多种网络安全技术。因此,智能电网需要一种网络安全联动机制,综合各种网络安全技术的优势,从而取得更好的网络安全防范效果。
3 网络安全联动系统模型设计
针对当前智能电网的网络安全现状,本文提出了一种基于策略的网络安全联动框架。该联动框架被划分为三个层次。
(1)设备管理层:直接负责对联动设备进行监控,包含联动设备和。
(2)事件管理层:对设备管理层采集的大量安全事件进行处理,产生一个确定的安全警报,送到决策层的策略判决点和安全管理员控制端;同时将安全事件存储在数据库中,供安全管理员查询,进行攻击取证时所用。事件管理层包括事件管理器和事件数据库。
(3)决策层:决定对产生的安全警报如何进行处理,下达指令到设备管理层,使相关的设备联动响应。决策层包括策略判决点、策略库和管理控制端。
联动的具体过程如图1所示,详尽阐述了联动过程在联动框架各层中需要经过的步骤。首先,安全设备检测到新产生的网络安全事件,随后经过格式化处理的安全事件,被事件管理器接收。通过归并的方法将各安全事件分类,随后过滤其中的冗余事件,最后实施关联分析。从而形成一个确定的安全警报送到策略判决点。策略判决点解析安全警报,通过查询和匹配预先配置在策略库中的策略,触发相应的联动策略,然后给需要联动的设备下达指令,从而使得相应设备产生联动响应。另外,管理控制端还可以处理一些上报的安全警报以协助管理员进行决策,当突发一些较为棘手的情况而找不到相应联动策略时,则需要管理员凭借自身的经验与知识来处理次安全事件,操作相应的设备,完成联动过程,并将这个过程编辑成联动策略,更新策略库。具体的联动策略可以根据电力公司实际的网络应用环境,由安全管理员进行配置和维护。
4 小结
电力企业所面临的网络安全问题多种多样,正确的安全策略与合适的网络安全技术产品只是一个开端,电力企业网络将面临更大的安全挑战。
参考文献:
[1]高鹏,范杰,郭骞.电力系统信息安全技术督查策略研究[C].2012年电力通信管理暨智能电网通信技术论坛论文集,2013.
[2]Kent S,Seo K.IETF RFC4301. Security Architecture for the Internet Protocol.USA:IETF,2005.
[3]陈秋园.浅谈电力系统信息安全的防护措施[J].科技资讯,2011(14).
[4]翟绍思.电力系统信息安全关键技术的研究[J].中国科技信息,2008(15).
[5]叶杰宏.加强电力信息安全防护[J].供用电,2008,25(3).
篇5
在常规的管理中,管理人员常使用防火墙对相关的侵入进行管理,但是这种管理方式的权限过大,很容易被黑客利用,达到安全管理的效果。当前的网络管理员虽然意识到防火墙的整体防护力度较低,但是并没有采取任何其他防护措施,这导致网络的安全和维护力度减弱,造成计算机网络的安全隐患增多。TCP/IP协议存在漏洞计算机网络中的TCP/IP协议是当前网络用户常用的一种协议,这种协议是当前网络中的一项重要协议,对网络安全环境设置具有重要的意义。这种网络协议在运行中主要考虑到的是网络的开放性和网络的互联性,在用户进行网络应用中有很好地效果,但是整体的网络安全性能较差。基于计算机网络的漏洞,不法分子对网络协议连接时传输的数据进行窃取,对用户的服务器序列号进行篡改和对服务器进行侵入,影响了网络数据传输的安全性和准确性。计算机病毒的侵入计算机病毒是一种常见的计算机网络安全隐患,它是在计算机进行计算运行时对计算机的程序进行破坏的一种程序或代码。计算机病毒可以对计算机的程序代码进行破坏,具有一定的感染能力和传播能力,对计算机网络有极大的危害。常见的计算机网络病毒有许多种,传播的途径较为多样化,传播方式不定,可以对计算机系统中的数据进行破坏。计算机网络中的木马程序和病毒程序可以将计算机中的数据进行篡改,使计算机网络瘫痪,对计算机网络的维护与管理有极大的危害。非法软件对网络的破坏相关的非法软件对当前的网络也有很大的破坏,一些不法分子通过在网络中使用相关的监控装置和监听软件对计算机进行非法地监听和监控,对上述的用户的相关信息进行窃取。在这个过程中,用户的网络信息很容易暴露,用户的相关网络信息资源也很容易外流,形成计算机网络安全问题。
外网网络控制层的安全防护加强安全扫描运用计算机安全扫描技术,增加计算机的防毒功能,加强计算机网络的安全扫描。在这个方面,我们主要是对计算机的病毒防范。运用相关的杀毒软件和杀毒系统对计算机进行杀毒,及时对上述的杀毒软件和杀毒系统进行更新,实现杀毒的效果。同时,要加强对计算机资源获取途径的安全扫描。计算机在网络中获取资源时很容易出现相关的安全问题,导致计算机中毒或计算机程度受到破坏。在这种情况下,我们要及时对相关的资源途径进行扫描检测,确保无毒后再继续使用,实现对计算机网络的安全控制和维护。对计算机的病毒库要及时进更新,确保杀毒的效果。运用相关的计算机网络防毒技术将所有的计算机病毒扼杀在传播中,真正实现对计算机病毒的杀除。实施在线监控和软件的定期查杀,安装防护卫士,将一些来历不明的软件、图片、文件等阻隔,实现对计算机的安全防护。安装防火墙防火墙对计算机网络的安全有一定的防护作用,它可以依照相关的设定对计算机网络中的一些不明文件资源、软件、信息等进行阻隔,对计算机的相关数据进行限制,实现对计算机网络安全的控制。安装防火墙可以确保计算机用户的信息安全,在一定的时间内对计算机用户的网络进行自定扫描,实现对计算机病毒和黑客的阻止。防火墙是当前我国计算机网络安全中较为常见的一种防护措施,一般是建立在硬件之上。安装了防火墙后,防火墙对自动对计算机的网络数据进行处理,实现对网络资源的监控。此外,运用防火墙技术还可以对计算机的网络进行维护,将计算机的数据进行安全处理,增强计算机的安全程度。
防火墙对计算机网络之间的非法访问进行了阻隔,实现了访问控制,对网络用户的不公开资源进行检查保护,帮助上述资源进行准确、真实、安全地传输。入侵检测建立完善的入侵检测系统,将相关的网站信息进行分析,对不法网站进行标记。用户在使用计算机网络时要对系统不断进行检测和完善,遵守相关的网络条约,不登陆非法网站,浏览非法信息。这样可以在用户源处对计算机安全进行维护,减少不法信息的入侵。设置用户身份对计算机网络设置用户身份认证,达到对计算机信息的安全防护。设置身份认证实现对计算机的加密,对用户口令进行单独认证加密,加强对计算机内部的控制。与此同时,用户在使用计算机网络时还用避免用多个计算机登陆同一账号,这样也很容易导致计算机用户的信息外漏。设置内部网络权限,实现计算机用户的身份认证,这对内部计算机网络安全与维护有非常重要的意义。确定权限可以减少计算机内部网络的相关信息外漏,实现计算机内部网络系统的加密,增强了计算机节点信息的安全性。行外网络安全技术的处理对内部网络进行身份认证和身份加密后,我们可以根据外连网的相关计算机网络安全防护措施对计算机网络进行维护,将所有的计算机信息进行杀毒、实现计算机的定期扫描。与此同时,对入侵信息等进行检测,设置计算机网络安全防毒的相关程序,对计算机的数据进行加密,实现网络防毒。数据存储层建立完善的数据存储层对计算机网络安全的维护有重要意义。我们可以通过加密技术对一些数据保密性要求较高的数据进行加密,实现计算机的防毒。选择相应的加密技术,运用安全系数较高的数据库系统作为计算机数据的处理、储存系统,完成对计算机数据的贮存。除此之外,我们还要对上述的计算机数据库系统进行定期的扫描,将计算机数据库中的相关漏洞及时进行修补,对数据库及时进行更新。数据库作为一项数据处理的重要程序,应当对其进行时刻监控,实现数据库的完善和监督,充分维护计算机网络的安全。
作者:张静 单位:淮北职业技术学院财经系
篇6
关键词:4G;无线网络;安全接入技术;移动通信
中图分类号:TP393 文献标识码:A 文章编号:2095-1302(2016)03-00-03
0 引 言
随着互联网与无线网络的不断发展,全球移动用户的数量与日俱增。通过对移动通信系统的发展进行分析发现,在历经第一代(1G)、第二代(2G)、第三代(3G)通信系统之后,为了更好地推动移动数据传输,现在正着手研究下一代无线通信系统(4G)。但是在研发4G无线网络时,要注重对安全接入技术的引入,只有这样才能确保信息传输的安全性,提高通信质量。
1 4G无线网络的安全研究
1.1 无线网络的安全
如今的无线网络具有安装灵活、方便、经济等特点,有效的扩展了用户的活动空间和自由度,应用前景非常广泛。但是在使用过程中,经常会遇到安全隐患问题,给用户的使用造成了一定的安全威胁。由于无线网络具有开放性的特点,因此容易被动窃听和受到主动干扰攻击。此外,由于无线网络的电池容量、计算和存储能力、使用寿命有限,导致大部分移动终端仅能进行简单的计算。终端的移动性在一定程度上提高了无线网络安全管理的难度,与有线网络相比,无线接入信道还会受到传输速率和有效数目的限制,而且具有较高的误码率。
因此,在进行安全方案设计时,需要对本地访问和漫游等情况给予综合考虑。无线网络安全机制需要考虑以下几点:
(1)通过认证机制可以确保在数据交换之前通信参与方的身份得到有效认证;
(2)借助安全信道和加密技术确保数据传输的机密性;
(3)借助消息加密技术、摘要技术及数字管理技术能够确保数据传输的完整性;
(4)借助数字签名技术能够确保数据传输的防抵赖性;
(5)借助加密的永久身份或临时身份信息能够确保用户身份信息的隐藏性。
1.2 4G无线网络安全接入技术的特点
1.2.1 用户身份保护
用户身份保护主要包括用户位置隐私、用户身份隐私和不可跟踪性,主要是确保无线链路通信过程中攻击者无法对用户的IMSI及相关信息进行窃取,无法推断同一用户是否选择了不同服务。在进行4G无线网络使用过程中,一般可以借助临时身份标识来满足用户需求,而临时身份可以通过AN进行分配和及时更换。
1.2.2 实体认证
实体认证主要包括网络认证和用户认证,即借助服务网络(SN)来对用户的真实身份进行认证,该网络一般需要对用户进行HE授权。在移动通信过程中,要想实现对现实体的有效认证,需要借助本地认证机制和认证密钥协商机制的共同协助才能完成,而用户的HE可以根据需求准确地向AN发送认证向量,或ANTFU在使用之前需要通过密钥协商来完成密钥的创建认证过程。
1.2.3 机密性
机密性主要包括密钥协商和加密算法的机密性及信令数据和用户信息的机密性,其一般需要借助ME和SN才能够实现算法和密钥的安全传输。
1.2.4 完整性
完整性主要包括密钥协商和加密算法的完整性,同时囊括了信令数据和用户信息的完整性,从而确保接受方(SN或ME)能够对信令数据进行验证,以确保其是否来自实体,且在对其进行发送时不会被修改。
1.2.5 移动设备认证
该安全认证技术在紧急呼叫时无法得到有效应用,并且移动设备标识号(IMEI)在SN被认证之后只能发送出去,否则需要把所有数据存储在终端设备罩中,从而确保信息的安全性。
2 4G无线网络技术发展现状
随着4G无线网络技术的发展,其逐渐在我国的移动通信领域占据了一定地位,因此对其发展现状进行分析具有十分重要的意义。目前,4G无线网络技术主要以通信服务为主,例如其中的IPv6能够为4G无线网络技术提供统一的地址支持,并且借助自动配置系统来实现地址唯一,能够更好地满足不同位置移动用户所享受的同等通信信号,从而确保了信息传输的效率与质量。4G无线网络技术中所具有的智能天线技术(SA)能够对外界的干扰信号进行有效的屏蔽,从而为信息传输提供了安全环境,此外还能够对相关数据信息的传输进行自动跟踪,提高了通信定位服务的质量。
正交频分复用技术(OFDM)是借助正交分割信道来实现信息算法在高速信号中的有效转化,从而形成了一套具有低速特性的信息流,实现了对信道的科学、合理分配,与此同时还能够提高信号传递能力,确保信息的高速传输,在一定程度上避免了不同信道之间存在的干扰。正交频分复用技术对于推动4G无线网络通信技术的发展具有重要意义,该技术不仅实现了对3G技术的超越,还能推动通信服务质量的升级,尽可能的为用户提供多样化的服务。目前,4G无线网络技术更多的集中在通信领域,但其中还存在或多或少的问题阻碍了该技术的发展,因此需要采取措施分析解决其中存在的问题,从而为4G无线网络技术在我国的发展奠定良好的基础。
例如,我国移动通信行业对4G无线网络技术给予了高度重视,并且以移动、联通、电信为代表的三大运营商在获得4G牌照后进行了激烈的竞争。在OTT业务的影响下,大部分网络用户对4G无线网络技术的选择进一步加剧了各大运营商之间的竞争,因此需要采取措施处理好各个领域之间的市场竞争,只有这样才能维持市场稳定、确保用户享有更高质量的通信服务。
3 4G无线网络安全接入技术认证新方案
为了更好地满足4G无线网络用户需求,使其更好的适应无线网络终端的漫游性和移动性,提高信息传输的安全性,就需要将安全接入技术引入其中。本文主要介绍了基于自证实公钥系统的安全接入技术认证新方案。对用户在首次接入网络、再次接入网络两种场景下进行安全技术认证,其认证过程主要包括两个阶段:(1)首次/切换接入场景下需要与密钥交换协议(AKEBSP)进行认证;(2)再次接入时,为了提高安全性能,需要进行采用快速重认证协议,从而提高认证效率和质量。
3.1 参数描述
在4G无线网络安全接入技术认证新方案中,主要参数要求如下:│x│用于描述x的长度,并且其中所使用的整数A、B、S需要满足│A│≥│B│+│S│+80,│B│≥32,│S│≥160。其中,│S│代表了安全技术中私钥S的长度。在进行安全接入技术认证过程中,ME一般需要借助可信机构TA才能够获取自己所需的私钥和自证实公钥,其过程主要包括以下三个阶段:
(1)首先ME需要根据需求为自己选定私钥xME,然后按照VME=g-xMEmodn对其进行计算,从而得到VME。最后还需要将IDHE、IDME和VME发送给TA。该过程中,IDME是ME的永久身份标识符(IMSI),而IDHE一般是ME在归属环境下的HE身份标识符;
(2)TA在获取ME所传输的消息之后,首先要按照YME=(VME-IDME-IDHE)d modn对其进行计算,从而获得ME的公钥YME,并将最终的公钥发送给ME;
(3)当ME获得TA所传输的公钥后,需要对YME+ IDME + IDHE= VME是否成立进行验证,如果成立则可以得到公钥YME和私钥xME。同理,AN也可以通过选定私钥xAN,并借助TA来获得公钥YAN。
3.2 首次/切换移动终端的接入认证过程
首次/切换移动终端接入过程中的认证流程如图1所示。其过程分为如下几步:
(1)首先AN需要对自身的公钥YAN和IDAN进行广播,并且需要选择接入AN过程中所需要的YAN和IDAN,该过程还需要选择一个随机数CME,并将其与YAN和IDAN一起发送给AN。
(2)在AN收到相关数据之后,需要对其IDAN进行验证,如果满足自己所需的身份标识符,则可以随机选取两个随机数rAN和CAN,并按照TAN=rAN+xAN・CME和RAN=grANmodn来获取相关数据,最后再将CAN、RAN、TAN等结果发送给ME。
(3)当ME获取(2)所发送的消息之后,还需要对其进行验证,如果验证结果符合要求,则需要对g rAN(YAN+IDAN)CMEmodn=RAN进行验证,如果两次验证结果均满足要求,则选择一个随机数rME,然后进行TME= rME + xME・CAN,RME=g rMEmodn计算,并将最终的计算结果发送给AN。
(4)当AN受到ME发来的计算结果之后,需要对信息进行解密处理,并对相关计算公式进行验证,如果验证结果符合要求,则需要对AN和ME之间的会话密钥KAM进行计算,生成ME所需要的临时身份TIDME,并将该临时身份发送给ME。
(5)ME受到临时身份之后,同样需要对其进行解密处理,以提取出临时身份,并再次对其进行核对,核对正确之后才允许网络使用。
3.3 移动终端再次接入时的安全认证过程
在借助4G无线网络进行移动通信的过程中,为了提高安全性,一般还要对其进行频繁认证,而且每次都需要执行一个系统的、完整的认证过程,但是这样会给系统带来较大的负担。如果连接用户的数量比较多,上述缺陷就会更加明显,此举进一步增加了终端认证过程所需花费的时间,所以为了提高再次接入时的认证效率,引入了图2所示的认证流程。
如果在首次/切换接入认证之后还需要再次接入时,ME可以借助临时身份TIDMe来取代自己的身份进行再次接入认证,这样可以对ME的身份隐私实现有效保护。TIDME可以替代TDME完成再次接入认证,这样不仅可以确保信息的顺利传输,还能保护ME的隐私。TIDME是AN为了确保ME信息的传输而引用的一个全新临时身份,KAM则是AN的会话密钥,这样可以降低攻击者对用户所进行的攻击,从而确保了信息传输的安全性。
4 结 语
随着网络技术的发展,通信技术和无线网络的衔接更加成熟,进而推动了移动网络技术的发展。而4G无线网络技术的出现进一步推动了通信技术的发展,但为了提高信息传输的安全性,需引用安全接入技术,以确保用户的身份得到有效保护,提高移动通信传输的安全性。
参考文献
[1]吴畏,马书才,高双喜.4G无线网络安全接入技术探析[J].中国新通信,2015,8(3):15.
篇7
【关键词】高校校园网络安全;具体问题;治理路径
1认识高校校园网络安全的重要意义
计算机技术的迅猛发展,使得人们从利用简单的内部网络联机处理业务发展到利用互联网计算机处理系统进行数据处理和资源共享,互联网成为了人们生产生活所必备的工具。通过互联网络平台,人们可以进行自由交流,建立各种社会关系。同时,网络也成为社会生产总过程中生产、分配、交换、消费的重要媒介。时至今日,我国网民数量已经跃居世界第一。互联网的迅速发展使高等教育在信息化基础设施、资源建设、信息化应用、人才培养、管理体制等方面均发生了历史性变革,高校运用互联网进行教务管理,搭建教师服务器辅助教学,利用网络的协作学习平台辅助教学,弥补课堂教学不足。但与之相伴随而来的却是校园网络安全问题。近年来,大学校园电信主干网络不断遭受到病毒入侵、黑客攻击等威胁,导致校园网速过慢或者甚至造成了整个网络的瘫痪,严重影响着学校办公系统、学生的正常学习。高校校园网络安全是指校园网络系统硬件、软件及系统数据受到保护而不因偶然的或者恶意的原因遭到破坏、更改、泄露,系统可正常运行,网络服务不中断。目前高校校园网络存在的安全隐患主要有:第一,通信协议不安全。Internet数据传输基于TCP/IP通信协议进行,难以避免通信协议被窃取;第二,病毒感染并传播。病毒能使网络瘫痪、数据和文件丢失,在网络上传播的病毒通过公共匿名FTP文件传送能够使病毒附加弥漫;第三,传递伪信息。通过网络传播信息,信息的内容有可能被篡改。因为信息的来源和去向是否真实,内容是否被改动,以及是否泄露等无法用传统的保护手段来运行;第四,系统配置问题。系统的安全配置不当会导致安全漏洞。例如防火墙软件的配置不正确。因此,重视高校校园网络安全,强化治理措施有着重要的意义。
2高校校园网络安全存在的具体问题
高校校园网络安全存在的具体问题具有一般网络安全的共性,如网络系统安全即计算机和网络本身存在的安全问题;网络信息安全即信息在网络的传递过程中面临的信息被窃取、信息被篡改、信息被假冒和信息被恶意破坏等问题;网络交易安全即商品交易过程中存在的交易主体真实性、资金的被盗用、合同的法律效应、交易行为被抵赖等问题,这些问题在高校校园网络运用过程中时常发生。另外,高校校园网络安全还具有独特性,主要表现为:第一,网络病毒肆虐。高校行政人员、教师和学生收发电子邮件、浏览网页、使用U盘等移动存储设备网络的频率较社会其他人员高很多,而网络病毒编造者很容易让使用者下载、传播病毒,导致网络病毒肆虐,严重影响校园网络正常运行。第二,终端系统漏洞。不法分子通过网络植入木马、病毒等方式攻击或控制电脑,窃取电脑中的重要资料和信息,甚至破坏系统。第三,网络安全设施配备不足。大多数高校网络建设经费严重不足,所拨的有限经费也是投在基本的网络设备上,网络安全建设方面投入很少,所以高校校园网几乎处于开放状态,安全预警和防范措施没有跟上,致使校园网屡受攻击。第四,网管缺位。高校网络管理松散,制度松弛,社会闲杂人员趁机诱骗学生,借用学生证件混入机房,盗用他人账号进行不法活动。第五,网管人员安全意识淡薄。网管人员只是注重设备的日常护理和简单防范,多数不精于技术的学习和研究,对于技术性强的问题束手无策,因此导致网络管理出现管而不理的局面。
3高校校园网络安全治理的路径
网络技术是运行的硬件,网络管理是运行的软件,高校校园网络安全治理必须从技术和管理两方面入手,提高技术防范能力,加强制度管理。
3.1提高高校校园网络技术治理
(1)强化防火墙。防火墙技术是通过加强网络之间访问,防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。主要是通过对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态[1]。其技术运用是在校园网的入口处架设防火墙,实时对校园网络进行监测分析,将检测结果告知管理人员,有效保护内部网络遭受外部攻击。(2)安装杀毒软件。高校校园网络使用十分普遍,网络节点日益增多,多数节点未采取安全措施,部分用户也只是私自下载不同版本的杀毒软件,很容易造成病毒感染及传播,网络管理员必须安装适应的杀毒软件并须及时有效地升级、扫描系统。(3)数据加密。通过数据加密提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏。特别是高校的教务处、财务处等重要部门,必须采用相应的技术以保证数据的准确性、完整性。(4)访问控制。对用户访问网络资源权限进行严格认证和控制。如学生上网查询课程成绩需进行身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等,是校园的网络资源不会被未授权的非法用户使用和访问。(5)认证技术。用电子手段证明发送者和接收者身份及文件的完整性,确认双方身份信息在传送或存储过程中未被篡改过。
3.2加强高校校园网络规范管理
(1)规范出口管理。对原有网络设施、机房环境、报警系统等管理制度进行升级改造,对校园教职工、学生进出网络进行统一的管理。(2)强化网络软件安装管理。要求所有计算机设备安装高性能防火墙、合适的杀毒软件,管理人员要及时发现网络病毒入侵,及时向所有计算机用户相关信息。(3)建立统一身份认证系统。要求高校管理机构、教学机构、教辅机构及其他部门建立上网身份认证制度,各部门必须有统一、对应的身份认证系统,保证只允许本部门职工才能查看各自对应的相关信息。(4)加强上网场所监管。建立严格的上网场所制度,要求教职工、学生使用统一的管理软件、统一的身份认证系统进行上网,杜绝了非法用户的入侵。(5)规范电子邮件传递方式。要求电子邮件用户采用加密措施或简单加密传送文件或采用认证技术中的数字签名机制来解决伪造、抵赖、冒充、篡改等问题。(6)加强网络管理人才队伍建设。加强网络管理人员技能培训,及时拓展专业技能,提高网络管理能力。
【参考文献】
篇8
关键词:计算机网络;安全;VLAN
中图分类号:TP393.08
伴随着我国网络普及率的不断提高,网络安全问题已经成为当前社会议论的热点。计算机网络安全已经不再是关乎到企业经营利益,更重要的是关乎到国家未来发展的安全与稳定。所以现代社会网络安全问题将是未来最重要的安全性问题,必须要整个社会共同努力,全面提高安全防护措施。
1 网络安全现状与常见威胁分析
(1)企业网络安全现状分析。就目前形势来看,国内企业数据信息安全很多乐观,特别是在信息网络安全方面、网络安全技术人才方面、企业内部员工网络安全防护意识方面均存在着较大问题。更有甚者,一些企业领导认为像防火墙此类的安全防护软件可有可无。殊不知,网络安全体系的构建是一项长期的工作,只有在关键时刻才能够显示其最大的价值。
(2)企业网络面临的安全威胁。第一,自然威胁与无意失误。所谓自然威胁即是指因自然灾害所导致的企业数据丢失,这种网络威胁是不可避免的。无意失误顾名思义就是指由于企业内部安全管理人员的误操作所导致的企业机密信息丢失或者泄露。企业网络管理员在进行网络安全配置时,由于网络安全设置不当,导致用户口令较为容易破解。第二,非授权访问。所谓非授权访问是指通过编写各种木马病毒或者通过调整计算机程序入侵其他用户的网络,或者以非法未授权的方式访问其他用户系统文件。有些黑客会通过一些非法手段,肆意扩大访问权限或者以虚假身份进入他人计算机网络进行各种数据信息的读取。第三,木马程序及后门。这种威胁主要是指利用远程控制手段,对他人计算机程序进行非常隐蔽或者未授权方式的读取。如果企业的某台计算机被非法安装了木马程序或者后门,那么该计算机上的各种机密信息就极有可能被黑客窃取。譬如该计算机上输入的各种密码,相互交换的各种数据信息,均会通过非法程序向黑客直接发送。现阶段这种远程控制方式非常普遍,也是黑客窃取他人信息的主要手段之一。第四,计算机病毒。这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能,窃取计算机数据而安装的。计算机病毒的出现肯定会对该计算机系统的运行产生一定的影响,它既能够自我复制计算机指令来控制计算机,同时也能够在该系统中寄生更多的病毒。一般情况下,计算机一旦被病毒感染之后,均会出现蓝屏、自动重启、卡机等问题,而且会在非常短的时间之内致使整个计算机系统瘫痪,给企业带来非常惨重的损失。
2 网络安全体系研究
关于网络安全体系的实施过程,其实施前提是系统已经部署了较为完善的安全产品,如计算机防入侵检测系统、网络防火墙系统、计算机防病毒软件、VPN以及相关的安全认证等。对于各种类型的安全产品集成的有机体系与系统动态的安全策略是一致性的,其维护是对网络安全体系进行构架的关键因素。系统安全的策略拓展的时效性,则是为了实现系统安全目标的必要条件。
(1)互操作性。对于各个服务都必须遵循的基本安全策略工作时,就是为了解决系统互操作性的关键要素。也就是说系统安全策略必须保证其各个服务都遵循一致。此外,对于某些服务的活动范围其依据并不是直接来源于系统安全策略,而是出于服务间的联动规则。所以说针对此类系统控制中心必须能够及时的实现这种联动规则。
(2)可管理性。对于一个设计良好的可靠地信息安全集成管理平台来说,其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现,进而促使对安全需求方面能够更加全面准确地得到满足。这即包括了确定必需的安全服务也包含了对安全机制与技术管理方面的要求,从而实现网络安全体系在系统中的合理部署与配置。
(3)可扩展性。关于网络安全体系集成可扩展性的要求是:对于每种新投入的安全服务或安全设备,或者新型的网络安全技术的使用,系统可接纳其无缝集成运行到系统中无需对操作本身作修改,或只作较少配置改动。
3 网络安全设计结构
依据网络安全的相关法律法规,安全防御策略应是全方位和动态纵深的,对网络实行分层、分级以及实时防护,对于网络中的特定的安全漏洞能够及时评估和发现,对于各种网络的侵入行为实时监测并能依据监测结果预警,甚至是遭受攻击时,自发地发出报警信号、处理措施;这样就使得在恶意入侵某一层安全防御措施后,能被后续的应急措施阻拦,确保系统的最大程度安全。
(1)VLAN的网络分割。在以太网发展的过程中,出现了广播相关的技术问题以及安全性问题,为了解决这个问题,人们提出了VLAN协议。这个协议的原理是,在传统以太网帧上增加了VLAN头,通过这样的VLAN ID将网络上的计算机分为相对独立的工作组,而不同组之间的计算机不能进行直接互相访问,每个VLAN就是一个虚拟局域网,这样使得技能限制广播的范围,并能够组成虚拟的工作组,VLAN之间的互相访问则需要有协议中的授权进行信息交换。为了防止敏感资源的泄露以及广播信息的泛滥,在0层交换机的集中式网络环境中,将网络中的所有客户计算机和服务器分别分配到不同的VLAN中,而在相对独立的VLAN中,用户通过设置IP来进行与服务器之间的互相ping是被禁止的,同样也需要禁止用户计算机对服务器相关数据资源的写入,只允许相关数据的读出,通过这样的协议机制,能够更好地保护主机资源和服务器中的敏感信息。而在实际应用中,企业的部门位置有些分散,有些交叉重叠、不易分离,我们通过三层交换机网络,经过VLAN的相关划分,实现部门都有各自独有的VLAN,既方便了互相访问,有保证了信息的安全。
(2)MAC地址绑定。这样的绑定是通过0层交换机,在其安全控制列表中,使得计算机的MAC地址和交换机上的端口进行捆绑,由于MAC地址是网络适配卡的网络身份标识,通过这样的绑定,可以有效防止未注册的非法计算机访问网络,这也就是物理层面的安全防御。同样,我们也可以使用内部网络的安全管理系统,统筹分配网络中的硬件资源。
(3)防火墙配置。上述我们讲述了VLAN将网络划分为独立的VLAN网络,而在这些网络之间,需要我们使用特定的软件或硬件系统,来保证外部网络与内部网络的相对隔离防护,也即防火墙的配置。本文则是采用硬件防火墙方式,是通过控制特定的数据通讯的是否与许出入来实现的,这是通过访问控制策略来决定一个数据的出入是否被允许的。
对于一个网络,在保证安全性的同时,也要考虑信息通信的运行速度以及经济性等问题,因此在防火墙配置的软硬件选型中,要选用符合相关保密要求的国产防火墙,从而有效防止外部用户的非法访问,而为了充分的保证网络安全,可以配置1套备份防火墙,在其中一台出现问题时,另一台迅速启动,以达到无缝保护网络安全。而当今的防火墙访问控制策略有如下几种所示:所有往复数据均需经过防火墙的过滤与监测;符合安全策略的数据包才能经防火墙过滤而通过;服务器访问互联网不能直接通行;防火墙本身作为一个系统,也要有抵御非法访问以及攻击的功能;在没经设置的情况下,默认禁止各种网络服务,除非是客户计算机等发起的或者必须服务,而需要网络开放特殊端口的特定服务要经过系统管理员的允许。
(4)入侵检测系统的部署。传统的网络安全防御方法还不足以满足当今的网络安全要求,新的防御技术应运而生,入侵检测技术就是其中一种,它能够很好的弥补防火墙的不足,有效地结合其他网络安全产品的性能,对网络安全能够进行全方位的保护,并且具有了传统网络安全技术所不具备的主动性,在提供实时监测的同时,并根据特定的网络安全情况来采取相应的手段。相对于防火墙的部署位置,入侵监测是部署在网络的旁路中,不必像防火墙那样对所有出入网络的信息进行访问控制,不会影响整个网络的整体性能;在对全部网络的内容进行入侵检测和判断,并对分析历史进行记录,以利于事故追忆和系统恢复,并断开特定的网络链接等。
(5)身份认证。网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换,而身份认证正是基于对通信双方进行身份的确认,保证每次通信双方的信息安全。当前比较常用的通信身份认证技术有:静态密码、智能卡、USB Key和动态口令等,得到普遍应用的是用户名和静态密码的方式;本文中我们使用USB Key方法,这种方法是基于软硬件认证技术,在保证安全性的同时,也保证了易用性。这种该设备内部有微机芯片,存放有用户特定的密钥或者数字证书,通过其内置的密码算法来达到用户的身份认证的目的,这样的身份认证系统有两种认证方法:一是基于冲击响应的模式,二是基于PKI体系的认证模式。
(6)内网安全管理。传统的安全防御理念,重点集中在常规的漏洞扫描、入网检测等方面,重要的安全设备虽然集中在机房中,处在层层的保卫中,来自网络外部的安全威胁大大的缩小了,来自网络内部的安全威胁却相对比较突出,这也是由于内网频频出现的违规安装软件,私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现,危及网络的安全,网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发,来有效地解决出现的问题。
(7)数据备份与恢复。为了防止数据丢失,造成重要数据的无法挽回,网络系统需要经常性的进行数据备份,把特定的数据转存到目的介质中。这样,即使整个网络系统崩溃,数据部分或全部丢失,数据也能恢复到备份时的状态。
本文中的网络体系的构建,在集中式网络管理工具对系统数据进行备份,通过内部网路管理系统对其进行统一管理,用专门管理备份数据的服务器监控相应的备份作业,这样使得系统的备份数据能够统一集中的备份到统一磁盘阵列上。而对于网络数据的备份,实现的方式主要有以下几种:采用自动增量备份,使得系统管理员的工作量得到相应的降低;制定数据备份日程,按照计划进行备份;全面地备份存储介质的物理管理,一定程度上避免读写时的误操作;对备份后的数据所在的存储介质,通过合理的分类存放,使得保存科学可靠;在备份服务器为核心的备份系统中,对各种备份数据统筹管理,合理分配资源,实时监控,实现分布式存放,集中式管理,既提高了存储的可靠性,又保证了存取的快速性。
4 结束语
企业计算机网络安全系统的构建是一个非常复杂的系统工程,它涉及到多个学科的内容,同时也需要企业各个部门的相互协调配合。只有企业自身重视数据信息保护,制定相对完善的数据信息安全保护制度,才能够从根本上实现企业机密信息的绝对安全。在今后的工作中,笔者将继续致力于该领域的研究工作,以期能够获得更多有价值的研究成果。
参考文献:
[1]魏昱.如何解决计算机网络系统的安全问题[J].电子制作,2013(07):134-135.
[2]赵健.浅析计算机网络系统的安全[J].青春岁月,2011(12):362.
篇9
通过AP或无线路由设置MAC地址来限制无线网络用户的访问权,对MAC地址实施与IP地址绑定后,用户如果要进行网络访问,则其MAC地址必须包含在AP或路由器的MAC列表中,否则将无法对网络进行访问,如图1所示。
2改变网络服务集标识
(SSID)并且禁止SSID广播服务集标识(SSID)技术,就是把一个物理的无线网络划分为若干个逻辑子网络,通过SSID来标识,每个子网须经身份认证下后才可以进入网络进行资源访问,其中SSID就量个子网的名称,用户客户端必须设置与访问点一致的SSID才能访问网络,如图2所示。如果在运行过程中,禁止SSID广播,无线客户端将无法自动获得访问点的SSID,这样就可以在一定程度上防止非授权用户无意获取网络SSID对网络进行访问,其相当于一道网络访问密码,起到一定的安全作用。
3启用有线等效保密
(WEP)和wpawpa2有线等效加密WEP(WiredEquivalentPrivacy),又称无线加密协议WEP是保护无线网络(WiFi)信息安全的体制。无线局域网进行信息交换的原理是通过无线电波进行,它比有线网络更容易被窃听。WEP就是为加强无线网络的安全而设计的。但WEP后来被发现有一定的安全弱点,后来在2003年被WPA(Wi-FiProtectedAccess)取代,2004年又由完整的IEEE802.11i标准(又称为WPA2)所取代。WPA是继承了WEP的优点,又解决了WEP缺点,它加强了生成加密密钥的算法,通过收集到网络相关的信息,在目前的技术条件下,也无法算出通用密钥。因此,WPA加密技术比WEP具更高的安全性。目前大多数的系统windows,Android,Linux等都支持这个加密技术。在实际应用中,在AP或无线路由器启用WPA认证,可提高无线网络的安全性。
4无线局域网的安全策略
在无线网络管理中,我们可以使用各种各样的技术来维护网络的安全。从传统的WEP加密、SSID,WPA/WPA2,从MAC地址过滤,IP绑定到IEEE802.1x安全认证技术,对于不同规模、不同的应用层次的网络,组织不同的策略,既让网络的安全得到保障,又能使用户方便地使用网络资源,是网络管理的重要课题。
4.1初级网络安全策略
规模小的网络,如中小学、家、庭用户、学生宿舍、小型单位等,由于其用户数量少,也无专业的网络管理人员,对网络的安全要求不高,无须配备专业的认证设备来进行安全管理,可以采用无线接入点AP真接认证,WPA+接入点SSID隐藏,如果需要再加MAC地上认证即可保证安全要求。
4.2中级网络安全策略
在大学、医院、中型企业,无线网络覆盖范围增大,网络规模增大,功能强,涉及的信息增加,安全要求高,网络存在的安全隐患也相应增加,只通过WPA+接入点SSID隐藏已经不能满足网络管理和用户的要求,因此建立支持IEEE802.1x认证的无线访问点(AP)作为无线网络的安全中心。并建立Radius服务器,通过网络后台进行无线用户身份认证,有效地对用户进行过滤,提高网络的安全性。
4.3专业级网络安全
在社区、飞机场、大型大学校园等各类公共场合,以及网络运营商、大中型企业、金融机构等环境中,用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet,用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,就有可能造成服务盗用的问题,造成各种不可接受的损失,及信息安全问题,为了较好地满足用户需求,通过用户隔离技术、IEEE802.1i、Radius的用户认证以及计费方式确保用户的安全。
篇10
自计算机网络诞生以来,网络的安全防范问题就一直存在,计算机网络技术这个“盾”与各种网络攻击技术的“矛”一直并存,并从未消失。就整体而言,计算机网络安全可以分为信息安全和控制安全这两大部分,也即信息本身的安全和信息传递过程中的安全。常见的威胁因素也有很多,主要有毒程序的侵入、物理威胁、系统漏洞等。与传统的网络环境一样,威胁”云”计算下的网络安全的问题也很多,可以总结如下。
1.使用环境安全性
自然环境的安全问题是影响网络安全的最基本因素,它包括网络管理者的误操作、硬件设备的瘫痪、自然灾害的发生等。计算机网络是一个由网络硬件、网络软件共同组成的智能系统,容易受到诸如潮湿、电磁波、振动、撞击等外部使用环境的影响。虽然“云”计算网络环境有效改善了数据信息的存储安全问题,但对于传统网络下使用环境的安全性问题,在“云”计算网络环境下同样存在;并且由于“云”计算环境下的数据存储管理方式的改变,其对于其使用环境的安全性提出了更高的要求。
2.数据存储安全性
数据存储的安全与否,长久以来一直困扰着计算机网络的发展。传统网络环境下,虽已能实现数据共享,但数据多是单机存储,其安全性主要由单机防护能力、数据通信安全等方面决定。而在“云”计算网络环境下,数据主要存储在服务商提供的“云”里,数据存储的安全与否,很大程度上取决于“云”服务提供商的技术能力和诚信水平。这就对服务商的诚信及其“云”存储技术保障能力提出了更高的要求,也对用户安全使用数据的能力提出了更高的要求。
3.数据通信安全性
计算机网络产生的主要目的是为了数据的共享和信息的传递,数据的通信成为网络必不可少的环节,这也是传统网络环境下最易受到外部攻击的部分。“云”计算网络环境下,数据通信安全性主要体现在数据在传输过程中易受到安全威胁。其主要包括:(1)攻击“云”计算服务器,通过短时间内向“云”计算服务器发送超量的服务请求,堵塞信道,导致用户正常的服务请求无法完成;(2)侵入系统、篡改数据,通过黑客技术入侵“云”计算服务器或用户系统,对合法用户的数据进行篡改、删除,造成数据的破坏;(3)监听数据、窃取信息,通过对数据传输过程监听的方式,窃取相关的个人信息和数据信息。
4.身份认证安全性
“云”计算网络环境下,“云”服务器处于计算机网络环境的中心位置,其他用户正常使用的前提是要有合法用户的注册和身份认证。身份认证技术是网络信息主动自我防范和保护的重要手段,同时也是最易遭受攻击的环节。其主要表现为:(1)通过攻击“云”计算用户管理服务器,窃取诸如合法认证用户的用户名、密码等个人信息,非法登录,进行数据操作;(2)通过对网络信道进行非法监听、病毒侵入等手段,窃取合法用户信息,导致用户注册信息及系统数据的泄漏。
5.虚拟环境安全性
“云”计算网络环境不同于传统的网络环境,它整合网络资源构建虚拟的服务环境,用户使用的资源来自“云”端,而不是固定的网络实体。用户都是通过临时租用的方式获得服务,可以有效解决硬件设备不足、运算能力不够等问题,提高整体网络资源的使用度,提升整体计算机网络的运算能力。但是需要注意的是,“云”计算是高度整合的虚拟网络环境,数据中心缺少边界安全保障,传统入侵检测技术无法确保数据中心的安全。
二、“云”计算环境下网络安全防护策略
1.“云”端数据防护策略
目前大量的数据,特别是企业的重要核心业务数据大都采用“云”端存储方式。“云”端数据库的使用为用户带来了极大的方便,但也引发了大家对该存储方式安全性的疑虑。“云”计算服务提供商的网络安全吗?是否会造成数据的泄漏?对于这些问题都需要“云”计算服务商加以技术保障和解决。同时,国家也应出台相应的行业法规对“云”计算服务提供商的行为加以约束。另外,从用户的角度来说,要加强对存储数据安全性的防范,对于“云”端数据可以采用定期备份的形式加以保护。同时,为了保证备份数据的安全性,可以对其进行加密,从而保证客户信息的安全。
2.技术防护策略
有效的技术防护可以保障网络环境的安全性,比如:选用规模化的”云”计算软件,并及时更新,弥补软件漏洞;建立用户数据隔离机制,避免多个虚拟机相互攻击;加强诸如”云”加密等安全技术的使用;建立可靠的数据安全存储机制。“云”安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。结合“云”计算网络环境下只能实现逻辑划分的隔离,不能设立物理安全边界的特点,建设“云”计算安全防护中心,将原来基于子系统的安全防护,扩展到对整个“云”计算网络环境的防护,保证网络防护能力的提升。
3.多重身份认证策略
为了解决身份认证方面存在的不安全因素,可以建立多重身份认证的机制。例如,可以将诸如指纹、视网膜等生物认证技术,动态电子口令认证形式,USBKey认证技术加以引入,从而加强网络安全环境。在加强对合法用户登录使用的同时,还要加强对非法认证用户入侵的管理和防范,通过建立报警与黑名单锁定等机制,进一步加强“云”计算网络环境的防护能力。
4.访问控制策略
访问控制策略是维护网络系统安全、保护网络资源的重要手段。它的主要任务是防止网络资源被非法利用。其涉及的网络技术比较广,包括入网的访问控制、网络权限控制、属性安全控制、网络服务器安全控制等方面。在“云”计算网络环境下可以采用多种访问控制策略相互配合的方式,从而实现对不同用户的授权,满足不同用户设置不同级别的访问权限,有效保证“云”计算网络安全。
5.网络环境安全控制策略
在“云”计算网络环境下,为保证数据传输的安全性,可以使用网络安全协议。同时可以对数据进行加密,保证数据在信道传输时不被监听和窃取。同时,还可以建立基于信任的过滤机制,使用网络安全策略管理工具。
6.非技术性安全管理策略
在“云”计算网络安全中,除了采用上述的技术措施之外,还可以通过制定管理规章制度,加强网络安全管理,从而确保网络安全、可靠地运行。“云”计算网络的安全管理策略包括:确定安全管理等级和安全管理范围;所有添加到网络基础设施中的新设备都应该符合特定的安全需求;制订有关网络操作使用规程和人员管理制度;制定网络系统的维护制度和应急措施等。
三、结语
免责声明
公务员之家所有资料均来源于本站老师原创写作和网友上传,仅供会员学习和参考。本站非任何杂志的官方网站,直投稿件和出版请联系杂志社。