网络安全的关键技术十篇

时间:2023-12-21 17:20:26

网络安全的关键技术

网络安全的关键技术篇1

关键词:网络安全态势感知技术;关键技术结构;安全

现阶段,各类信息传播速度逐渐提高,网络入侵、安全威胁等状况频发,为了提高对网络安全的有效处理,相关管理人员需要及时进行监控管理,运用入侵检测、防火墙、网络防病毒软件等进行安全监管,提高应用程序、系统运行的安全性。对可能发生的各类时间进行全面分析,并建立应急预案、响应措施等,以期提高网络安全等级。

1网络安全态势感知系统的结构、组成

网络安全态势感知系统属于新型技术,主要目的在于网络安全监测、网络预警,一般与防火墙、防病毒软件、入侵检测系统、安全审计系统等共同作业,充分提高了网络安全稳定性,便于对当前网络环境进行全面评估,可提高对未来变化预测的精确性,保证网络长期合理运行。一般网络安全态势感知系统包括:数据信息搜集、特征提取、态势评估、安全预警几大部分。其中,数据信息搜集结构部分是整个安全态势感知系统的的关键部分,一般需要机遇当前网络状况进行分析,并及时获取相关信息,属于系统结构的核心部分。数据信息搜集方法较多,基于Netow技术的方法便属于常见方法。其次,网络安全感知系统中,特征提取结构,系统数据搜集后,一般需要针对大量冗余信息进行管理,并进行全面合理的安全评估、安全监测,一般大量冗余信息不能直接投入安全评估,为此需要加强特征技术、预处理技术的应用,特征提取是针对系统中有用信息进行提取,用以提高网络安全评估态势,保证监测预警等功能的顺利实现。最终是态势评估、网络安全状态预警结构,常用评估方法包括:定量风险评估法、定性评估法、定性定量相结合的风险评估方法等,一般可基于上述方法进行网络安全态势的科学评估,根据当前状况进行评估结果、未来状态的预知,并考虑评估中可能存在问题,及时进行行之有效的监测、预警作业。

2网络安全态势感知系统的关键技术

2.1网络安全态势数据融合技术

互联网中不同安全系统的设备、功能存在一定差异,对应网络安全事件的数据格式也存在一定差异。各个安全系统、设备之间一般会建立一个多传感环境,需要考虑该环境条件下,系统、设备之间互联性的要求,保证借助多传感器数据融合技术作为主要支撑,为监控网络安全态势提供更加有效的资料。现阶段,数据融合技术的应用日益广泛,如用于估计威胁、追踪和识别目标以及感知网络安全态势等。利用该技术进行基础数据的融合、压缩以及提炼等,为评估和预警网络安全态势提供重要参考依据。数据融合包括数据级、功能级以及决策级三个级别间的融合。其中数据级融合,可提高数据精度、数据细节的合理性,但是缺点是处理数据量巨大,一般需要考虑计算机内存、计算机处理频率等硬件参数条件,受限性明显,需要融合层次较高。决策性融合中,处理数据量较少,但是具有模糊、抽象的特点,整体准确度大幅下降。功能级融合一般是处于上述两种方法之间。网络安全态势数据的融合分为以下几部分:数据采集、数据预处理、态势评估、态势预测等。(1)数据采集网络安全数据采集的主要来源分为三类:一是来自安全设备和业务系统产生的数据,如4A系统、堡垒机、防火墙、入侵检测、安全审计、上网行为管理、漏洞扫描器、流量采集设备、Web访问日志等。(2)数据预处理数据采集器得到的数据是异构的,需要对数据进行预处理,数据内容的识别和补全,再剔除重复、误报的事件条目,才能存储和运算。(3)态势感知指标体系的建立为保证态势感知结果能指导管理实践,态势感知指标体系的建立是从上层网络安全管理的需求出发层层分解而得的,而最下层的指标还需要和能采集到的数据相关联以保证指标数值的真实性和准确性。(4)指标提取建立了指标体系后,需要对基层指标进行赋值,一般的取值都需要经过转化。第五、数据融合。当前研究人员正在研究的数据融合技术有如下几类:贝叶斯网络、D-S证据理论等。

2.2计算技术

该技术一般需要建立在数学方法之上,将大量网络安全态势信息进行综合处理,最终形成某范围内要求的数值。该数值一般与网络资产价值、网络安全时间频率、网络性能等息息相关,需要随时做出调整。借助网络安全态势技术可得到该数值,对网络安全评估具有一定积极影响,一般若数据在允许范围之内表明安全态势是安全的,反之不安全。该数值大小具有一定科学性、客观性,可直观反映出网络损毁、网络威胁程度,并可及时提供网络安装状态数据。

2.3网络安全态势预测技术

网络安全态势预测技术是针对以往历史资料进行分析,借助实践经验、理论知识等进行整理,分析归纳后对未来安全形势进行评估。网络安全态势发展具有一定未知性,如果预测范围、性质、时间和对象等不同,预测方法会存在明显差异。根据属性可将网络安全态势预测方法分为定性、时间序列、因果分析等方法。其中定性预测方法是结合网络系统、现阶段态势数据进行分析,以逻辑基础为依据进行网络安全态势的预测。时间序列分析方法是根据历史数据、时间关系等进行系统变量的预测,该方法更注重时间变化带来的影响,属于定量分析,一般在简单数理统计应用上较为适用。因果预测方法是结合系统各个变量之间的因果关系进行分析,根据影响因素、数学模型等进行分析,对变量的变化趋势、变化方向等进行全面预测。

3结语

网络安全事件发生频率高且危害大,会给相关工作人员带来巨大损失,为此,需要加强网络安全态势的评估、感知分析。需要网络安全相关部门进行安全态势感知系统的全面了解,加强先进技术的落实,提高优化合理性。同时加强网络安全态势感知系统关键技术的研发,根据网络运行状况进行检测设备、防火墙、杀毒软件的设置,一旦发现威胁网络安全的行为,需要及时采取有效措施进行处理,避免攻击行为的发展,提高网络安全的全面合理性。

参考文献

网络安全的关键技术篇2

关键词:无线网络技术;安全问题;解决措施

0引言

每一种新技术能被人们认可并且使用,都存在客观的缘由,人类总是在为自己生活的便利、简单、舒适进行各项科技的研究,而这些被研究的技术也在不断地被推动向前,而在网络技术发展开来之时,又一科技被人们追捧,那就是无线网络。网络刚发展开来时,人们都在研究网络能做什么,而这些问题早已解决,随之而来的就是网络的使用方法,而这个问题的答案就是无线网络的诞生,它也正把无线网络推向世界的每个角落,目的是让人们在任何时间任何地点畅游网络,而在这同时,研发者就要考虑无线信号的安全性了,它与传统的线缆不同之处在于其为隐形“线缆”,如果出现安全问题,工作人员不能及时进行触碰式的补救。因此,作为用户,能否用到安全可靠的无线网络仍是有待解决的问题之一。

1无线网络的主要技术及其安全问题

1.1Wi-Fi

1.1.1无线网络在安全上存在的隐患从WI-FI的整体设计构思上来讲,其在安全性能方面主要就是WEP进行加密,然而在WI-FI的多次使用之后可以见得,这种安全加密的保护手段是不够强健的。再者而言,WEP加密本身就存在一些安全方面的问题。WEP是用24位的字段来作为其的初始化向量来定义的,而该向量在使用的过程中会出现重用的现象。设计构思与使用问题。在鱼目混杂的各式各样的无线产品里,他们大都有一个共性就是把利益放在了首要,而产品的安全性能却被忽略,个别的厂商在产品出厂时并没有对无线网络进行安全配置,而在用户使用时,大多数的用户都不了解无线网络的安全配置,也就顺其自然地忽略了这一点。

1.1.2WF-FI如何使用会更加安全(1)注意SSID。首先,SSID作为一个无线网络的标识,通常情况下WF-FI设备不应缺少SSID,其次,如果无线网络不想被发现,可以封闭WI-FI,不在无线区域进行无线网络的广播,这样能大大降低安全风险。(2)对WEP进行安全加固。在无线网络的使用过程中,对WEP进行安全方面的加固工作是很有必要的,这样能尽可能地提升无线网络的安全性。(3)密钥的定期更换。密钥对于无线网络的安全性有一定的保护作用,因此,对于密钥的更换一定要勤,一般来讲,至少应每个季度更换一次密钥,这样会提高无线网络的安全性。(4)定时的更新升级。对于无线网络要定期进行更新升级,应保证自己使用的无线网络处于最新的版本。利用好自身的安全系统,在使用无线网络的设备上,如有已安装的防护墙系统或是其他安全系统,应对这些系统进行充分的利用,从而提高无线网络的安全性能。(5)将无线网络纳入整体的安全策略当中。对无线网络来说,访问模式相对随意。因此对其的监管力度也应该相应地增加。

1.2蓝牙

蓝牙是另一个极具影响力的无线网络技术,在手机以及PDA上被广泛地使用,这种小范围的无线技术正在飞速的发展,被称为“无线个人区域网”。

1.2.1蓝牙的主要安全问题蓝牙技术正以极快的发展速度融入人们的日常生活当中,使用也变得越来越普遍,但与此同时,蓝牙的安全问题也是值得深思的,在蓝牙出厂时,虽有着较好的安全性能,但由于在实际使用和预想安全性能发生了较小的冲突,蓝牙在安全性能上还处在不断探索的阶段中。在当前的市场中,蓝牙在安全性能上基本存在的问题就是信息盗取、设备控制以及拒绝服务攻击等的问题,这些问题中,大部分都是出厂设置上的存在缺陷。

1.2.2蓝牙受攻击的基本方式在目前已发现的一些可以突破蓝牙安全机制的技术中,主要的就是PIN码破解技术,蓝牙在使用时。主要就是通过与设备的PIN码进行配对使用,而目前有许多攻击者已经能够破解出蓝牙设备的PIN码,这也是蓝牙安全防护技术最棘手的问题之一。1.2.3如何防护蓝牙攻击(1)不使用就处于关闭状态。在蓝牙的使用中要注意在不使用的情况下,一定让蓝牙处于关闭状态。(2)使用高级安全级别。蓝牙的设备在一般来讲有三种安全级别,使用者在使用时应尽量地使用蓝牙的高级安全级别对数据进行加密。(3)留意配对过程。由于破解蓝牙PIN码的过程有赖于强制进行重新配对,所以对可疑的配对请求要特别留意。另外,在可能的情况下尽量采取记忆配对信息的方式进行连接,而不要采用在每次连接时都进行配对的方式。

1.3UWB

UWB在通常情况下又被称为“超宽带”,它是来自一项军用雷达技术,在2002年的时候被用于民用产品,其最大的特点就是耗电量小、传送速率高。与此同时,UWB被家庭越发广泛地使用,正向着垄断家庭网络的方向发展。在所有无线网络技术方面,UWB是相对较为安全的无线技术,这与其原是军方技术设备有很大的关系,UWB有着很强的防窃听技术,除此之外其内键还有先进而标准的技术加密,并且还具有很强的抗干扰系统。

2无线网络的安全管理措施

2.1使用无线加密协议

无线加密协议是网络上作为正规的加密方法之一,它的作用是对每个访问无线网络的人进行身份的识别,同时还对传送的内容进行加密保护,在许多出厂商中,往往为了简便,就把产品都设置成禁止WEP模式,这样做的最大一个弊端就是攻击者能从无线网络上获取所传数据,因此,使用无线加密协议在很大程度上保护了使用者自身的信息,遭黑客侵犯的概率也会大大降低。

2.2关闭网络线路

无线网络和传统的有线网络最大一点的区别就在于,无线网络可以在天线允许的范围之内随处找接入口,而有线网络则需要固定的从一点接入口进行连接。因此在安全性能上来讲,无线网络的安全性在保护时要多费工夫,因此在无线网不用的情况之下,接入点对外应是关闭状态的。

2.3设计天线的放置位置

要是无线的接入点保持封闭状态的话,首先要做的一点就是确定正确的天线放置位置。从而能够发挥出其应有的效果,在天线的所有放置中,最为合适的位置就是目标覆盖区域的中心,并使泄露的墙外的信号尽可能地减少。

3无线网络安全技术的重要性以及未来的发展

根据Gartner的预测,2005年底能够,无线网的手持设备将达到PC水平,而且“无线热区”也正快速地从机场、酒店向街区过渡。这意味着一种全新的互联网接入模式以及由此产生的新的攻击浪潮正在形成。在与传统的有线网络进行比较。无线网络的安全问题还是相对较少有较为单一,因此就比有线网络在安全性能上要好解决,但与此同时,无线网络中的无线连接和无线设备管理的安全性就要复杂得多,只有解决好无线网络的安全性能问题,才能让使用者放心使用。从现如今的实际情况来看,所有的无线网设备都处于利弊兼备的状态,而保证无线安全的首要问题就是应等同于有限系统的专业处理方式,从而尽快地将无线安全问题导入正轨。

4结语

在科技飞速发展的今天,各式各样的先进科技层出不穷,而无线网络技术要想拔得头筹,就要尽可能地去保证无线网络的安全性能问题能得以解决,同时也应着力地去培养安全性能方面的人才,让无线网络的安全问题成为重中之重,这样才能让无线网络拥有更好的发展前景。

参考文献:

[1]张萱.WIA-PA网络安全通信协议栈研究与实现[D].重庆邮电大学,2010.

[2]吴克寿.离散型设备无线集控平台的研究与实现[D].湖南大学,2004.

网络安全的关键技术篇3

关键词: APT; 攻击; 防护; 访问控制

中图分类号: TN915.08?34; TP393 文献标识码: A 文章编号: 1004?373X(2013)17?0078?03

0 引 言

APT攻击,即高级持续性威胁(Advanced Persistent Threat,APT),指组织或者小团体,利用先进的复合式攻击手段对特定的数据目标进行长期持续性网络攻击的攻击形式[1]。APT是窃取核心资料为目的所发动的网络攻击和侵袭行为,其攻击方式比其他攻击方式更为隐蔽,在发动APT攻击前,会对攻击对象的业务流程和目标进行精确的收集,挖掘攻击对象受信系统和应用程序的漏洞。攻击者会针对性的进行潜心准备,熟悉被攻击者应用程序和业务流程的安全隐患,定位关键信息的存储方式与通信方式,使整个攻击形成有目的、有组织、有预谋的攻击行为。因此传统的入侵检测技术难以应对。

1 APT攻击技术特点及对传统入侵检测技术的挑战

APT攻击是结合了包括钓鱼攻击、木马攻击、恶意软件攻击等多种攻击的高端攻击模式,整个攻击过程利用包括零日漏洞、网络钓鱼、挂马等多种先进攻击技术和社会工程学的方法,一步一步地获取进入组织内部的权限[2]。原来的APT攻击主要是以军事、政府和比较关键性的基础设施为目标,而现在已经更多的转向商用和民用领域的攻击。从近两年的几起安全事件来看,Yahoo、Google、RSA、Comodo等大型企业都成为APT攻击的受害者。在2012年5月被俄罗斯安全机构发现的“火焰”病毒就是APT的最新发展模式,据国内相关安全机构通报,该病毒已于2012年6月入侵我国网络。

1.1 APT攻击的技术特点

APT攻击就攻击方法和模式而言,攻击者主要利用各种方法特别是社会工程学的方法来收集目标信息。其攻击主要有基于互联网恶意软件的感染、物理恶意软件的感染和外部入侵等三个入侵途径,其典型流程图如图1所示。就以2010年影响范围最广的GoogleAurora(极光)APT攻击,攻击者利用就是利用社交网站,按照社会工程学的方法来收集到目标信息,对目标信息制定特定性的攻击渗透策略,利用即时信息感染Google的一名目标雇员的主机,通过主动挖掘被攻击对象受信系统和应用程序的漏洞,造成了Google公司多种系统数据被窃取的严重后果。

从APT典型的攻击步骤和几个案例来看,APT不再像传统的攻击方式找企业的漏洞,而是从人开始找薄弱点,大量结合社会工程学手段,采用多种途径来收集情报,针对一些高价值的信息,利用所有的网络漏洞进行攻击,持续瞄准目标以达到目的,建立一种类似僵尸网络的远程控制架构,并且通过多信道、多科学、多级别的的团队持续渗透的方式对网络中的数据通信进行监视,将潜在价值文件的副本传递给命令控制服务器审查,将过滤的敏感机密信息采用加密的方式进行外传[3]。

1.2 APT攻击对传统检测技术的挑战

目前,APT攻击给传统入侵检测技术带来了两大挑战:

(1)高级入侵手段带来的挑战。APT攻击将被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,由于其攻击的时间空间和攻击渠道不能确定的因素,因此在攻击模式上带来了大量的不确定因素,使得传统的入侵防御手段难以应对APT入侵手段。

(2)持续性攻击方式带来的挑战。APT是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在很长的时间,一旦入侵成功则会长期潜伏在被攻击者的网络环境中,在此过程中会不断收集用户的信息,找出系统存在的漏洞,采用低频攻击的方式将过滤后的敏感信息利用数据加密的方式进行外传。因此在单个时间段上APT网络行为不会产生异常现象,而传统的实时入侵检测技术难以发现其隐蔽的攻击行为。

2 安全防护技术模型研究

由于APT攻击方式是多变的,以往的APT攻击模式和案例并不具有具体的参考性,但是从多起APT攻击案例的特点中分析来看,其攻击目的可以分为两方面:一是窃密信息,即窃取被攻击者的敏感机密信息;二是干扰用户行为两方面,即干扰被攻击者的正常行为。就APT攻击过程而言,最终的节点都是在被攻击终端。因此防护的最主要的目标就是敏感机密信息不能被非授权用户访问和控制。针对APT攻击行为,文中设计建立了一种基于静态检测和动态分析审计相结合的访问控制多维度防护模型,按照用户终端层、网络建模层和安全应用层自下而上地构建网络安全防护体系[4],如图2所示。

2.1 安全防护模型技术

整个安全防护服务模型采用静态检测和动态分析的技术手段实时对网络数据包全流量监控。静态检测主要是检测APT攻击的模式及其行为,审计网络带宽流量及使用情况,对实时获取的攻击样本进行逆向操作,对攻击行为进行溯源并提取其功能特征。动态分析主要是利用所构建的沙箱模型对网络传输文件进行关键字检测,对Rootkit、Anti?AV等恶意程序实施在线拦截,对邮件、数据包和URL中的可疑代码实施在线分析,利用混合型神经网络和遗传算法等检测技术对全流量数据包进行深度检测,结合入侵检测系统审核文件体,分析系统环境及其文件中异常结构,扫描系统内存和CPU的异常调用。在关键位置上检测各类API钩子和各类可能注入的代码片段。

2.2 安全防护模型结构

用户终端层是整个模型的基础设施层,它主要由用户身份识别,利用基于用户行为的访问控制技术对用户的访问实施验证和控制,结合用户池和权限池技术,访问控制系统可以精确地控制管理用户访问的资源和权限,同时访问者根据授权和访问控制原则访问权限范围内的信息资源。

网络建模层是整个安全防护模型的核心。由内网资源表示模型和多种安全访问控制服务模型共同构成。采用对内部资源形式化描述和分类的内网资源表示模型为其他安全子模型提供了基础的操作平台。结合安全存储、信息加密、网络数据流监控回放、操作系统安全、入侵检测和信息蜜罐防御[5],以整个内网资源为处理目标,建立基于访问控制技术的多维度安全防御保障体系。

安全应用层是整个安全防护模型的最高层,包括操作审计、日志审查、病毒防御、识别认证、系统和网络管理等相关应用扩展模块。在用户终端层和网络建模层的基础上构建整个安全防护系统的安全防护服务。

基于APT入侵建立安全防护模型,最关键的就是在现有安全模型上建立用户身份识别,用户行为管控和网络数据流量监控的机制,建立安全防护模型的协议和标准的安全防御体系,并为整个安全解决方案和网络资源安全实现原型。

3 网络安全防护的关键技术

3.1 基于网络全流量模块级异域沙箱检测技术

原理是将整个网络实时流量引入沙箱模型,通过沙箱模型模拟网络中重要数据终端的类型和安全结构模式,实时对沙箱系统的文件特征、系统进程和网络行为实现整体监控,审计各种进程的网络流量,通过代码检查器扫描威胁代码,根据其危险度来动态绑定监控策略。利用动态监控对跨域调用特别是系统调用以及寄存器跳转执行进行监控和限制,避免由于威胁代码或程序段躲过静态代码检查引起的安全威胁。但整个模型的难点在于模拟的客户端类型是否全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报[6]。

3.2 基于身份的行为分析技术

其原理是通过发现系统中行为模式的异常来检测到入侵行为。依据正常的行为进行建模,通过当前主机和用户的行为描述与正常行为模型进行比对,根据差异是否超过预先设置的阀值来判定当前行为是否为入侵行为,从而达到判定行为是否异常的目的。其核心技术是元数据提取、当前行为的分析,正常行为的建模和异常行为检测的比对算法,但由于其检测行为基于背景流量中的正常业务行为,因而其阀值的选择不当或者业务模式发生偏差可能会导致误报。

3.3 基于网络流量检测审计技术

原理是在传统的入侵检测机制上对整个网络流量进行深层次的协议解析和数据还原。识别用于标识传输层定义的传输协议类型,解析提取分组中所包含的端口字段值,深度解析网络应用层协议信息,寻找符合特定的特征签名代码串。利用网络数据层流量中交互信息的传输规律,匹配识别未知协议,从而达到对整个网络流量的数据检测和审计。利用传统的入侵检测系统检测到入侵攻击引起的策略触发,结合全流量审计和深度分析还原APT攻击场景,展现整个入侵行为的攻击细节和进展程度[7]。

3.4 基于网络监控回放技术

原理是利用云存储强大的数据存储能力对整个网络数据流量进行在线存储,当检测到发生可疑的网络攻击行为,可以利用数据流量回放功能解析可疑攻击行为,使整个基于时间窗的网络流量监控回放技术形成具有记忆功能的入侵检测机制,利用其检测机制确认APT攻击的全过程。比如可以对网络传输中的邮件、可疑程序、URL中的异常代码段实施检测分析,监控整个网络中异常加密数据传输,从而更快地发现APT攻击行为。若发生可疑行为攻击漏报时,可以依据历史流量进行多次分析和数据安全检测,形成更强的入侵检测能力。由于采用全流量的数据存储,会显著影响高速的数据交换入侵检测中其系统的检测处理和分析能力,在这方面可能还存在一定的技术差距。

4 结 语

用传统的入侵检测手段很难检测到APT攻击。因此检测的策略是要在大量网络数据中发现APT攻击的蛛丝马迹,通过沙箱模型、网络流量检测审计和网络监控回放技术结合入侵检测系统和信息蜜罐技术,形成基于记忆的智能检测系统,利用网络流量对攻击行为进行溯源操作,结合工作流程对相关数据进行关联性分析,提高对APT攻击的检测能力,及时发现网络中可能存在的APT攻击威胁。在下一步工作中,要结合当前云技术,在企业内部搭建专属的私有安全网络,建立可信程序基因库,完善私有云在防范APT攻击的应用。

参考文献

[1] GONZALEZ J J, MOORE A P. System dynamics modeling for information security [EB/OL]. [2004?09?10]. http:///research/sdmis/inside?threat?desc.

[2] 余伟.APT攻击:狼来了及应对措施思考[J].信息安全与通信保密,2012(7):9?11.

[3] 陈剑锋,王强,伍淼,等.网络APT攻击及防范策略[J].信息安全与通信保密,2012(7):16?18.

[4] 王智民,杨聪毅.基于多核的安全网关设计与实现[J].信息安全与通信保密,2009(6):101?104.

[5] 胡征昉.蜜罐技术在入侵检测系统中的应用[D].武汉:武汉理工大学,2007.

[6] 王晓煌.基于遗传算法的分布式入侵检测模型研究[J].燕山大学学报,2007,28(3):257?261.

[7] 刘涛,白亮,侯媛彬,等.分布式智能入侵检测系统模型设计与实现[J].西安理工大学学报,2008,24(2):228?231.

[8] Tenable Network Security. Features [EB/OL]. [2009?02?03]. http:///nessus/features/.

[9] 吉雨.APT攻击渐成气候企业需对抗未知威胁[J].信息安全与通信保密,2012(7):23?27.

[10] 武兴才.网络攻击分析与防范[J].网络安全技术与应用,2009(7):48?50.

[11] 王培国,范炯.网络信息系统安全风险分析与防范对策[J].通信与信息技术,2011(3):86?88.

[12] 王建岭.基于蜜罐技术的入侵特征研究[D].西安:西安电子科技大学,2006.

[13] 李志清.基于模式匹配和协议分析的入侵检测系统研究[D].广州:广东工业大学,2007.

[14] 李俊婷,王文松.计算机网络信息安全及其防护措施[J].计算机与网络,2007(15):45?46.

[15] 韩冬.网络安全信息检测与管理[D].北京:北京交通大学,2008.

作者简介:曾玮琳 男,1975年出生,广东梅州人,高级工程师,硕士研究生。主要研究方向为网络及网络安全。

网络安全的关键技术篇4

关键词:智能电网;云计算仿真网络平台关键技术;智能云计算仿真平台

中图分类号:U665.12 文献标识码:A 文章编号:

0引言

随着计算机通信网络技术、虚拟云平台应用技术、云计算仿真网络平台关键技术、物联网关键技术及多层无线传感器网络技术在电力系统现有的硬件设施和计算能力已难以适应未来电力系统在线分析和实时控制所要求的计算能力和存储要求.基于云计算仿真网络平台关键技术具有分布式的计算和存储特性,易扩展和管理,特别适合解决智能电网技术带来的一系列新问题,引入新的计算技术,在维持现有硬件设施不变的情况下,充分整合系统内部的计算能力和存储资源,提高电网的在线分析和实时控制能力,为智能电网提供有效的技术支撑.为了促进低碳、高效、清洁电力工业的发展,再造电网的信息回路,构建新型的用户反馈方式,提高电网的效率,降低运营成本,实现电网价值的最大化,世界各国纷纷将目光投向智能电网技术领域.

1基于云计算仿真网络平台关键技术国内现状分析

随着智能物流行业整体信息化水平的不断提升和市场竞争的同益激烈,作为物流重要枢纽的港口企业,需要构建高效灵活的IT系统,快速应对市场需求变化,确保在竞争中的优势地位。港口行业中存在着大量的中小型企业,如何提高他们的IT水平,是一直以来难以解决的难题。同时大型港口企业维护着庞大的IT基础设施,其维护成本只益增加。庞大的IT投入使得大型企业在采用新技术和企业创新等方面受到了限制。随着云计算仿真网络平台关键技术的迅速发展,凭借自身的优势,云计算仿真网络平台关键技术可以帮助港口企业以最少的IT投入,获得高性能的IT服务,有利于中小港口企业获得大企业级别的IT服务。基于云计算仿真网络平台关键技术应用一种全新的商业商品研发模式,已影响着整个软件工程技术产业。将云计算仿真网络平台关键技术结合到各个行业的业务应用中,从而将过去多年来积累的业务知识整合到云计算仿真网络平台关键技术架构体系上,将体现出更深层次的价值。

2基于智能云计算仿真网络平台关键技术描述研究

2.1基于智能云计算仿真网络平台定义

基于智能云计算仿真网络平台是指在智能技术基础上,运用云计算仿真网络平台关键技术、云计算仿真网络平台网络存储等技术对现有应用进行升级为数字智能化云设备,它拥有海量存储、远程控制等众多应用优势,并能实现软件更新和内容的无限扩充.各个电力企业通过“数字智能云计算仿真网络平台”来控制后台数据和软件平台,包括基础操作平台和应用操作系统,多层用户不需要为自家的技术进行任何升级、维护、资源下载,只需将技术连上网络,就可即时实现最新应用和海量资源的共享.

2.2基于数字智能云计算仿真网络平台资源管理研究

在智能云计算仿真网络平台关键技术环境中,资源负载在不同时间差别可能很大,而智能电网应用服务数量的巨大导致出现故障的概率也随之增长,资源状态总是处于不断变化中.此外, 若采用集中式的体系结构,即在整个智能云环境中只设置一个资源管理系统,那么很容易造成瓶颈并导致单故障点,从而使得整个环境在可伸缩性、可靠性和灵活性方面都存在一定的问题,对于大规模的智能云计算仿真网络平台关键技术环境并不适合.因此,由于资源的所有权也是分布的,各级电网都拥有一定的计算资源和储存资源,不同的资源提供者可以按其各自的需要对资源施加不同的约束,从而导致整个环境很难采用统一的管理策略.

2.3基于云计算仿真网络平台结构与构建研究

智能云计算仿真网络平台关键技术环境可以分为三个基本层次:物理资源层、平台层和应用层.物理资源层包括各种计算资源和存储资源,整个物理资源层也可以作为一种服务向用户提供,即IaaS.IaaS向用户提供的不仅包括虚拟化的计算资源、存储,同时还要保证用户访问时的网络带宽等[5].平台层是智能云计算仿真网络平台关键技术环境中最关键的一层.作为连接上层应用和下层资源的纽带,其功能是屏蔽物理资源层中各种分布资源的异质特性并对它们进行有效管理,以向应用层提供一致、透明的接口.

作为整个智能云计算仿真网络平台关键技术系统的核心层,平台层主要包括智能电网高级应用和实时控制程序设计和开发环境、海量数据的存储管理系统、海量数据的文件系统以及实现智能云计算仿真网络平台关键技术的其他系统管理工具,如智能云计算仿真网络平台关键技术的系统中资源的部署、分配、监控管理、安全管理、分布式并发控制等.平台层主要为应用程序开发者设计,开发者不用担心应用运行时所需要的资源,平台层提供应用程序运行及维护所需要的一切平台资源,也称之为PaaS.

2.4基于智能数字云计算仿真网络平台安全策略应用研究

基于智能云计算仿真网络平台关键技术环境中的资源是可共享的,同时可能有多个用户或应用需要请求这些资源提供的服务.域内进行的种种与安全相关的活动,如使用用户名/口令向操作系统登录,或使用SSH执行远程作业等,就是其安全策略的具体体现.此外,该策略需要进行安全评估的场所也过多,很难防止出现安全漏洞,最终导致智能云中共享资源自身的安全性很难得到保证.由于引入了资源管理域,因而智能云计算仿真网络平台关键技术环境由多个资源管理域组成.由于这些应用创建的目的通常各不相同,因此也具有不同的安全需求,从而要求提供不同的安全策略来实现这些需求.传统的安全策略通常全部需由资源提供方来实施,每当发生变更时都要与相关的每个资源提供者交互以通知其发生的变化,这势必会导致管理开销过大,极大地加重资源提供方的负担.

3结束语

随着云计算仿真网络平台关键技术是分布式计算、并行处理和网格计算的互联网的计算,是能够向各种网络应用提供云平台硬件与软件服务、基础架构服务、存储服务的系统.因此,将云计算仿真网络平台关键技术技术引入智能电网领域以提高其适用性和利用率极其重要的研究价值.

参考文献

[1]潘睿,刘俊勇,郭晓鸣,电力系统云计算仿真网络平台关键技术初探,四川电力技术,2010,33(3):pp.71-76

[2]李琪林,周明天,智能电网关键技术研究,计算机科学,2010,37(8),pp.102-104

网络安全的关键技术篇5

【关键词】 计算机 网络维护 网络管理 技术

前言:计算机网络维护管理技术能够全面提高计算机网络的工作效率,将计算机网络最好的工作性能展现出来。从当前影响与威胁计算机网络运行的因素当中,主要包括病毒的恶意攻击、技术漏洞的人为攻击等,这些因素都严重困扰正常网络的使用,降低了网络的工作效率,严重可能导致计算机数据丢失,产生相应损失。

一、计算机网络维护技术分析

1.1 访问控制技术

在计算机网络维护管理技术的探索与实践过程中访问控制技术是其中的关键一项,能够有效规避其他非本计算机的使用者进行不利于计算机网络运行的行为,为计算机稳定高效运行奠定坚实基础。通过设置使用权限之后,计算机终端的操作人员与管理人员则能够通过账号登陆的方式获得对于计算机的访问权限,从而依据访问权限的限制进行相对应的操作。在设置权限口令的过程中应该充分考虑到安全系数的作用,做好定期的更换与检查工作。在计算机网络访问控制技术的应用方面,控制的对象主要是用户对于服务器、文件及目录等资源的访问,作为网络维护管理的关键性技术手段,访问控制技术能够避免非法操作与不良操作对计算机网络稳定运行的影响,保证网络安全[1]。

1.2 网络防火墙技术

计算机网络之所以能够发挥出不可替代的作用,这与基于计算机运行的软件具有密切关联关系。在进行软件安装的过程中应该注意维护管理技术的应用,为计算机网络安全提供双重保护,为维护效果与管理效果最大化奠定基础。在软件安装的过程中,相关技术人员需要充分结合软件的安全机制、网络防火墙技术及检测系统三者进行共同使用,规避软件所附带的影响网络安全的相关因素。首先,软件安全机制的审核十分关键,需要确保软件安装网址在正规的网站,避免其他关联软件的同时下载,保持软件安全机制的审核通过;其次,应用网络防火墙技术,增强对病毒的防御能。常用的防火墙技术通常是嵌入在计算机当中,以此来保证系统运行的安全性,发挥出病毒防控的效果;最后,网络入侵检测系统,通过对计算机的检测过程组织某些非法行为的攻击,做好数据包的安全检测工作[2]。

1.3 信息加密技术

访问控制技术与防火墙技术都是从外部抵御影响计算机安全的因素,而信息加密技术则从内部数据安全性入手,做好计算机网络的维护管理技术探索。信息加密技术是针对计算机当中的关键信息进行加密处理,确保存储在计算机当中的数据安全性,保证数据处于一种安全状态。受到网络信息传输便捷性的影响,信息加密技术要求保持信息的完整性,通过设置密钥的方式为信息安全增加一道保障。

二、计算机网络管理技术分析

在网络维护技术分析中可以发现,计算机网络安全已经成为现阶段研究的重点问题。本次计算机网络管理技术:

(1)针对网络故障采用分析软件。计算机运行的过程中存在故障是一个十分常见的问题,针对网络故障进行特定管理相当必要。网络分析软件的应用能够对常见故障进行分析与处理,找准计算机网络故障的发生地点,从而做好第一时间的处理工作,解决问题;

(2)针对网络配置确定结合配置管理流程。计算机网络的管理重点主要放在网络配置方面的管理,从而设定网络与具体内容,做好网络配置工作的处理。当前所涉及到的网络配置功能较多,包括存储配置信息、网络拓扑与软件安装等,应该做好流程方面的具体优化,确定具体的配置方案之后完成运行监测;

(3)针对网络性能结合常用命令。网络性能直接决定着网络的反应速率与速度,在传统的常用命令分析上通常使用ping命令来测试网络流量大小为1000B的数据包在网络上的响应时间,进而测试网j的速度性能,包括丢包率、中转转发率、节点延时处理和吞吐量等各项性能指标,技术人员应该熟记一些常用的命令方式,确保网络资源得到利用,及时找准网络管理中可能出现的问题,为宽带速率的全面提升奠定坚实基础[3]。

结论:总而言之,计算机网络在带来便捷的同时也需要保证维护管理技术可以落到实处,避免在应用其带来的便捷性的基础之上导致计算机网络维护管理技术出现问题,笔者总结多种维护管理技术,为计算机网络维护管理技术体系健全提供保障,更好的为我们提供服务。

参 考 文 献

[1]杨文.试论计算机网络维护与管理的方法和技术[J].计算机光盘软件与应用,2014,23:99-100.

网络安全的关键技术篇6

关键词:计算机 云计算 木马病毒 黑客攻击 网络信息安全 杀毒系统

中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2017)02(b)-0019-02

当前时期,计算机网络信息正在从各个层面融入人民的日常工作、学习和生活。计算机网络信息以其传播的高效率、存储的便捷性等特点,赢得了越来越多使用者的认可。与此同时,在一些重要信息传播领域出现的计算机网络信息安全事故,也让人们看到了计算机网络信息风险隐患的危害。大数据、云计算以及今后发展的5G技术,将极大地提高网络信息传播和存储的速度,同时,如果没有相应的安全防护技术,则计算机网络信息风险也会越来越高,在这种背景下,需要研究分析计算机网络信息安全的防护措施。

1 计算机网络信息安全的因素

1.1 木马病毒

多年前的“熊猫烧香”病毒,几乎使整个计算机网络系统瘫痪,对数据的破坏性更是毁灭性的。随着计算机利用率的不断提高以及计算机技术的不断发展,近年来,计算机网络病毒无处不在地威胁着信息安全,其最大威胁就是破坏数据的完整性,导致数据缺失或泄露。

1.2 黑客技术恶意攻击

对黑客的攻击手段进行分析,他应用的手段大致有几种:有一种就是信息收集,这种不是直接的手段,它是后续攻击手段的基础。进行攻击的时候,会通过信息收集来看一个网站有什么样的内容,有没有比较敏感的信息,能不能通过这个网站窥探信息系统内部的结构。另外一种是暴力破解的手段,现在有很多这样的工具,破解各种各样的密码。比如某个网站上有一些链接,用户一点进去就会让对方到数据库里取数据,消耗的服务器资源就会很大;还有的,链接一点,就有可能从缓存或某个文件夹里面把数据取出来。

1.3 网络软件的自身缺陷

现在有很多网络安全软件,如360、金山毒霸等,以上述两种防护软件为例,其应用相当广泛,基本上只要是运用计算机的人都会对其进行安装,通过每天或者定期的木马查杀,使电脑在一定程度上保持安全性。他们的存在一定程度上为计算机网络信息安全提供了一定的技术保障,但是其无法抵挡所有病毒或者其他手段的侵害,这些缺陷或者漏洞往往是黑客技术的切入点。

2 计算机网络信息安全的主要防护措施

2.1 进一步完善计算机网络信息安全相关法规

《国家安全法》的出台,率先对关键信息基础设施的自主可控提出明确要求,为关键信息基础设施管理、保护和检查等工作的开展提供了法律保障。《网络安全法》的出台,将关键信息基础设施安全保护上升至国家战略高度。《网络安全法》进一步明确国家关键信息基础设施范畴,为关键信息基础设施安全保护规定了责任划分和追责方式,对关键信息基础设施的建设要求、运营者义务、安全审查、数据存储、风险检测评估等重点作出了制度安排。启动《通信网络安全防护管理办法》修订工作,针对新情况新问题,进一步提高通信网络安全保障整体水平,增强网络安全事件预防保护能力。

2.2 健全管理制度

开展全国范围内的关键信息基础设施网络安全检查,不断强化关键信息基础设施的风险评估和安全防范,特别加强对金融、电力、交通等命脉行业重要信息系统的安全隐患排查,取得了显著成效。完善各行业网络安全审查制度,对进入我国市场的重要信息技术产品及其提供者进行网络安全审查,确保产品安全性和可控性,防范非法控制、漏洞后门等安全威胁。大力开展电信与互联网行业网络安全试点示范,发挥典型带动作用,引导基础电信企业、互联网企业、安全企业加大网络安全投入,增强企业应对网络安全威胁的能力。

2.3 提升安全防护技术能力

要制定计算机网络信息行业安全标准,电信和互联网行业已制订完成《固定通信网安全防护要求》等60余项通信网络安全防护标准。金融、能源等行业也了信息系统安全等级保护标准,有效提升了行业信息系统的安全保护能力和水平。提升漏洞挖掘、入侵检测、病毒防范等关键信息基础设施的安全防护技术水平,重点突破网络测绘、攻击溯源等新型安全技术,关键信息基础设施抗侦听、抗攻击及恢复能力进一步增强。针对移动互联网、大数据、云计算、工业互联网等新技术新业务,制定专门的安全防护策略,出_系列标准提升防护技术水平。

2.4 提升关键信息基础设施安全防护能力

(1)固本强基,以产业发展促进安全。加快基础设施演进升级,深入实施“宽带中国”战略,加快全光网络和新一代移动通信网络建设,构建天地一体、高速泛在的网络空间。加强核心技术的自主创新,抓紧突破核心器件、高端芯片、操作系统等关键核心技术,超前布局5G、工业互联网、高性能计算、人工智能等新技术的研发和产业化。提高关键软硬件产品自主可控水平。加强政策资金引导,充分发挥市场机制作用,推动国产软硬件产品的示范应用,培育一批具有产业整合能力的龙头企业,壮大自主品牌。

(2)多措并举,以防护体系保障安全。深入推进关键信息基础设施保护,明确关键信息基础设施保护的原则、目标和制度措施,健全分级保护、动态调整的网络安全防护体系,制定关键信息基础设施资产登记、备案、更新等配套制度。推进网络安全审查工作,加强产业供应链安全管理,对党政机关、国家命脉行业使用的重要信息技术产品和服务开展安全审查,排除安全隐患。

(3)攻防兼备,以技术手段支撑安全。针对互联网新技术新业务引发的新问题、新风险,加强网络安全技术手段的研究和运用。加强网络威胁监测处置,健全全局性动态感知、预警防护、应急处置能力,强化联攻联防和威胁信息共享,推动跨行业、跨部门的基础设施安全威胁信息共享平台建设。运用大数据、云计算等先进技术手段,加强关联比对分析,提升应急响应能力。提升入侵检测、防病毒、漏洞挖掘等关键防护技术能力,特别注重杀手锏、非对称技术研发攻关。

2.5 培育网络信息安全领域专业人才队伍

人才是第一资源,在计算机网络信息安全领域,需要大力培养一支专业知识精湛、技术经验优良的人才队伍。优化网络安全人才梯队,制定网络与信息安全人才培养规划,形成高等教育和社会培训相结合的人才培养机制,打造一支人员充足、素质优良、专业配套、结构合理的人才梯队。建立灵活的人才激励机制,推动科技成果产权制度、收益分配制度和转化机制改革,破除对人才的不合理束缚,构建具有全球竞争力的人才制度体系。推进国际人才交流合作,加强高精尖人才引智力度,吸引更多海外的领军人才、紧缺人才。支持网络信息安全领域高端人才赴海外开展前沿技术、标准等学术交流。

3 结语

随着计算机信息安全事件呈现逐年递增的趋势,人们越来越关注网络信息安全问题。该文简要分析了影响计算机网络信息安全的因素,并有针对性地提出了一些安全防护措施,希望可以为网络安全防护领域提供一些有益的思考建议。

参考文献

网络安全的关键技术篇7

(中国电子科技集团公司第五十四研究所,河北 石家庄 050081)

摘 要:随着人类科技的进步,电子通信技术在人们生活中的应用也变得越来越广泛,在很大程度上影响着人们的生活、工作、交流、合作方式,使人和人之间的相互协同在一定程度上突破了时间和空间的束缚。然而,在目前的电子通信技术中,还存在一些关键性的问题需要解决,为了进一步提升电子通信技术的通信能力和应用效果,使人们更好地享受先进的电子通信技术成果,就必须对当前电子通信技术中存在的关键问题进行科学分析,并制定可行的解决措施。

关键词 :电子通信;关键问题;解决措施

中图分类号:TN916.9 文献标志码:A 文章编号:1000-8772-(2015)05-0124-02

收稿日期:2015-02-08

作者简介:李昆(1987-),男,河北承德人,本科,助理工程师。研究方向:电子通信。

改革开放以来,我国的电子通信技术一直在不断进步,逐渐缩小了和欧美发达国家电子通信技术的差距,到目前为止,我国的电子通信技术已经解决了诸多难题,具有了较高的电子通信能力。在无形之中,电子通信技术已经深刻地改变了我国人民的生活、工作、交流方式,并对我国的经济、国防、社会发展其到了非常大的推动作用。在当前电子通信技术飞速发展并深刻影响人类社会的情况下,我国必须牢牢把握电子通信关键技术,正确认识电子通信中的关键问题,积极制定科学的策略实现我国电子通信能力的进一步提升。

一、电子通信中的关键问题

电子通信中的关键问题,主要包括卫星通信系统的关键技术问题、移动通信中的关键技术问题和通信网络的安全防护等,为了使电子通信技术得到进一步的发展,需要对电子通信中的各个关键问题进行深入的分析。

1.卫星通信关键技术

卫星通信技术具有诸多优点,如通信距离远、通信质量高、机动性良好等,因而在很大程度上满足了现代人的随时、随地的通信需求。卫星通信技术在应用过程中,是由一系列的关键技术协同进行的,包括数据压缩技术、多地址链接技术、数字调制和信道编码技术、宽带IP卫星通讯技术、智能卫星天线技术和卫星激光通信技术等[1]。在未来,激光通信技术以其独特的通信优势即通信不受大气层和地球外层空间的影响,会在卫星通信中得到更大程度的应用。目前,卫星通信中存在的关键问题是难以满足高速数据业务需求,而且存在卫星通讯应用宽带IP地址不足的情况。

2.移动通信关键技术

和卫星通信不同,移动通信的发展历史更长,并且在发展过程中,存在新旧技术之间的兼容问题。在移动通信中,最关键的是需要解决信号发射与接收的问题,并避免信号的传播过程中受到干扰,避免信号延时。因此,在移动通信过程中,要构建信号接收系统,对接收到的移动信号进行分层处理,一方面防止信号的遗漏,另一方面要保证移动信号可以被全方位接收。目前先进的移动通信技术,可以实现智能化的信号接收和选择,达到快速、准确接收其他地方所发射的移动信号的效果,并能够在很大程度上防止信号被干扰。总体来说,移动通信的关键技术,就是解决信号在传输过程中的抗干扰问题和接收后的信号处理中的防信息遗漏、干扰问题。

3.通信网络的安全防护

在通信网络中,如果没有严格的信息安全防护措施,那么很容易使信息被窃取,造成个人和国家的损失,严重的会造成国家机密的泄漏,引发严重后果。因此,在通信网络中,必须对通信信息的安全进行严格防护,采用先进的计算机技术,对进入通信网络中的人的身份信息、进入方式、病毒携带情况等进行检测,确保通信网络的信息安全性[2]。通信网络的安全防护工作,已经在世界范围内得到各个国家的重视,多数国家已经在通信网络中进行了严格的信息安全防护。

二、电子通信关键问题的解决措施

1.卫星通信关键问题解决措施

为了解决卫星通信中存在的TP地址不足和高速数据业务处理能力不足的情况,相关的研究人员提出两点解决建议:第一,可以采用静态与动态数据相结合的数据压缩技术,通过数据压缩技术的改进,实现卫星通信中数据传输效率的提升,满足人们的实际数据业务需求;第二,改进宽带TP卫星通信技术,利用新型的、处理效率更高的数字调制和信道编码技术,改变卫星通信中TP地址不足的现状,满足人们对卫星通信中TP地址数量的实际需求。卫星通信中的关键问题的解决,对于卫星通信技术的发展和普及,有着重要的意义。

2.移动通信关键问题解决措施

在分布式天线信号传输中,通过光纤、同轴线缆或者微波无线信道实现信号的接受、发送和处理,在各个无线信号处理模块上,利用共用的下行链路发射信号,实现信号发射的同时性,增加了信号发射的效率,并将接受到的移动信号直接传输到中心处理模块中进行处理[3]。这种方式原理相对简单,而且具有一定的可行性,但是会产生一定的信号干扰。另外,在整个通信区域内覆盖分布式的天线结构,大量、高效地处理无线信号,虽然结构相对较为复杂、繁琐,但却可以在很大程度上降低信号的干扰情况,增加信号处理能力。

3.通信网络的安全防护措施

对于通信网络的安全防护,应当采取防火墙技术、身份验证技术、入侵检测技术、漏洞扫描及恢复技术和虚拟专用网络技术等多种技术相结合的方式,增加通信网络安全防护的全面性和系统性。首先应当保证通信网络全时段的防火墙防护,其次应当对通信网络中的机密信息设置身份验证,只有身份允许的情况下才能够获取机密信息,再次,要及时通过漏洞扫描技术发现通信网络中的漏洞,并对漏洞进行及时的修复,保证通信网络的安全性,最后,通过虚拟专用网络技术的应用,限制专用网络中的进入者,帮助提升专用办公网络的信息安全性[4]。通信网络的安全防护措施,应当做到全方位、全时段、定期维护、及时更新、严格执行,如此才能真正起到对通信网络的安全防护作用。

三、结束语

随着电子通信技术的不断普及和不断发展,电子通信技术已经成为了人们日常生活、工作、交流中的不可或缺、不可替代的重要工具,更成为了国家进步、人类发展的必要工具。因此,我国在发展经济、发展国力的过程中,也必须重视电子通信技术的发展,重视电子通信相关技术的普及应用,通过正确分析电子通信技术中的关键问题和需要改进的地方,制定针对性的研究计划,采用先进的电子通信技术为我国电子通信的发展服务,真正实现我国电子通信技术能力的稳步提升。

参考文献:

[1]胡呈磊.电子通信系统关键技术问题分析[J].现代商贸工业,2014(7):187.

[2]杨兴.电子通信系统关键技术问题的分析[J].无线互联科技,2013(5):103.

[3]郭哲荣.浅析电子通信系统关键技术问题[J].科技致富向导,2013(15):29.

网络安全的关键技术篇8

关键词:计算机;网络防御求精;关键技术

互联网技术的迅猛发展,给人们的生活、工作和学习带来了极大的便利。但与此同时,网络安全也日益成为一个刻不容缓的大问题。近年来,因网络违法犯罪而给社会、家庭和个人所带来的损失屡见不鲜。所以,我们要积极采取措施,提高计算机网络的防御能力,来让计算机网络的安全性能得到提升。

一、网络防御策略求精关键技术问题

(一)网络安全管理机制存在着漏洞

这是我们在网络防御策略求精关键技术上最关键的不足。因为管理机制对于网络安全的维护工作是起着主导作用的。一旦管理不善,则维护网络安全便无从谈起。但是,从现行的网络安全管理机制来看,可以说是还存在着许多漏洞的,这主要体现为:

1.管理维护人员的素质有待提升

网络管理维护工作,对于人员的业务素质、工作责任心等方面是具有较高要求的。如果管理维护人员的业务素质或工作责任心不足,则必然导致工作效果受到影响。在业务素质上,不仅仅要求管理维护人员具备完善的理论功底。还要求他们具有良好的实践操作能力。两者只要有一方面出现不足,都是不利于网络管理维护工作的开展的。现阶段,一些网络管理维护人员在业务素质或工作责任心方面不足,这给网络攻击行为提供了可乘之机。

2.宣传力度不足

做好对网络安全维护的宣传工作,可以提高计算机用户及工作人员对于网络安全的认知程度。但在现阶段,我们在对于网络安全维护的宣传力度上做的还是不够,导致一些用户及工作人员对于网络安全方面缺乏足够的重视,在平时的操作中未能做好防范工作,导致网络安全问题的发生。

(二)防火墙性能的不够完善

防火墙能够通过计算机同网络系统之间的相关链接,来化解潜在的网络攻击行为,是维护网络安全,抵御网络攻击的重要屏障。它对于网络安全的维护可以说是具有重大价值的。在设置防火墙的环节,要求工作人员具有过硬的专业技能。否则就很容易造成防火墙性能的不够完善。目前,由于一些工作人员在设置防火墙方面的专业技能不够过硬等缘故,导致了防火墙性能的不够完善,使网络病毒容易入侵,同时一些安全系数较低的网站难以被识别和过滤,给网络安全带来隐患。

(三)反病毒技术未能得到全面有效的运用

病毒的攻击常常给计算机网络带来安全威胁。这就需要我们运用相应的反病毒技术,使病毒无法入侵计算机网络。现阶段,这一技术尚未在我国得到全面有效的运用,主要体现为不少用户碍于价格成本,往往选择价格较低廉的盗版软件。但盗版软件的反病毒能力自然是远远不如正版软件的,从而导致计算机病毒无法被清除,造成计算机网络遭到病毒的入侵。

(四)扫描技术的应用水平有限

运用扫描技术的目的在于及时发觉计算机网络中存在的病毒,从而给清除病毒来提供有效的时间和机会。但在现阶段,我国在扫描技术的应用水平上还存在着一定的局限性,尤其是在创新性方面还远远不足,也制约了网络防御策略求精关键技术的提高。

二、提高网络防御策略求精关键技术的有效对策

(一)改善网络安全管理机制

完善的网络安全管理机制是网络防御策略求精技术的“先行官”。所以要想优化网络防御策略求精技术,首先必须对网络安全管理机制进行改善。我们可以从以下几个方面入手:

1.提升管理维护人员的业务素质

针对于一些管理维护人员的业务素质不高的状况,我们需要做好这三个方面的工作。第一,在选聘管理维护人员的环节,一定要加强考核,尤其是要考核他们对于最新技术的理论认知水平和操作水平,_保将业务过硬的人才安排在网络安全维护岗位。第二,抓好对管理维护人员的业务培训,尤其是要有意识地对他们进行一些新技术方面的培训。让他们掌握应对最新网络攻击手段的措施。第三,要加强对管理维护人员的考核工作,定期对于他们进行相应的业务考核,尤其要考核他们对于最新网络攻击手段的了解和对于最新技术的运用。对于不能胜任网络管理维护岗位者,要及时调离。

2.提升管理维护人员的责任心

我们要采取有效的机制来提升管理维护人员的责任心。一方面,我们要专门对管理维护人员进行职业道德方面的教育,促进他们工作责任心的提高;另一方面,我们还要建立起有效的网络安全维护责任考核机制,将责任落实到人,并建立赏罚分明的奖惩机制,来确保管理维护人员抱着高度的责任心来开展工作。

3.加大对网络安全维护的宣传力度

前面说过,由于在宣传力度方面的不足,导致了计算机用户及工作人员对于网络安全的认知程度有限。所以我们一定要加大对网络安全维护的宣传力度,可以通过网络平台、平面媒体等媒介,对网络安全方面的知识进行大力宣传,让“网络安全大于天”的意识,时刻与计算机用户及工作人员相伴。

(二)改善防火墙的性能

为了确保潜在网络攻击得到及时防范和危险网站得到及时的阻拦和过滤,我们就要采取相应措施,有意识地改善防火墙的性能。这就要求我们做好两方面的工作:

1.确保计算机所有的端口都能做好对病毒的抵御

在计算机应用过程中,一些端口难免长时间没得到运用。因此在对于防火墙的设置上,要特别注意让这些端口在重新应用时,能恢复对于病毒的抵御功能。

2.确保危险网站得到阻拦和过滤

在设置防火墙时,一定不能忽略了设置这样的功能:当用户访问危险网站时,防火墙能够及时对其进行阻拦和过滤。来确保网络的安全。

(三)加大对盗版反病毒软件的打击力度

前面说过,不少用户盲目节省成本而使用盗版反病毒软件,造成反病毒的效果打折扣。所以,我们要从法律机制的设计上,禁止加大对于盗版反病毒软件的发行和使用,同时加大对盗版反病毒软件的打击力度。此外我们还要加强对这方面的宣传工作,让用户树立起使用正版反病毒软件的意识。让他们明白,一时间的贪图便宜,换来的是更大的损失。

(四)提升对扫描技术的应用水平

我们要积极地采取措施,来改善现有的扫描技术较为落后的状况,提升对扫描技术的应用水平。尤其是要在技术创新上下功夫,让扫描技术的应用水平得到全面升华,把计算机网络中存在的病毒防患于未然。对此,我们可以积极地同高校、科研院所等单位展开技术合作,开发出优质高效的扫描技术。

结束语

随着计算机网络技术在千家万户中的普及,有关网络安全方面的课题也越来越得到人们的高度重视。尤其是在网络攻击手段不断推陈出新的今天,为了提高计算机网络的安全性,我们就要不断地对于网络防御策略求精关键技术进行探索,提高计算机网络的防御能力,让计算机网络的安全性能得到提升。使人们拥有一个安全的上网环境。

参考文献:

[1]吴月红.计算机网络防御策略求精关键技术[J].信息与电脑,2015,4(15):153-157.

网络安全的关键技术篇9

网络隔离技术的目标是确保把有害的攻击隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它弥补了原有安全技术的不足,突出了自己的优势。

隔离技术的发展历程

网络隔离,英文名为NetworkIsolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(ProtocolIsolation)。1997年,信息安全专家MarkJosephEdwards在他编写的《UnderstandingNetworkSecurity》一书中,他就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。

隔离概念是在为了保护高安全度网络环境的情况下产生的;隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。

第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态,做到了完全的物理隔离,需要至少两套网络和系统,更重要的是信息交流的不便和成本的提高,这样给维护和使用带来了极大的不便。

第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离产品有的仍然需要网络布线为双网线结构,产品存在着较大的安全隐患。

第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间非常之久,甚至需要手工完成,不仅明显地减缓了访问速度,更不支持常见的网络应用,失去了网络存在的意义。

第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。

第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。

隔离技术需具备的安全要点

要具有高度的自身安全性隔离产品要保证自身具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。从技术实现上,除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换,如此,既便黑客攻破了外网系统,仍然无法控制内网系统,就达到了更高的安全级别。

要确保网络之间是隔离的保证网间隔离的关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。

要保证网间交换的只是应用数据既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYNFlood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。

要对网间的访问进行严格的控制和检查作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

要在坚持隔离的前提下保证网络畅通和应用透明隔离产品会部署在多种多样的复杂网络环境中,并且往往是数据交换的关键点,因此,产品要具有很高的处理性能,不能够成为网络交换的瓶颈,要有很好的稳定性;不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。

网络隔离的关键点

网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。

因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。

隔离技术的未来发展方向

网络安全的关键技术篇10

关键词:网络穿透;网络防护;防火墙;入侵检测

中图分类号:TP393.08

伴随着互联网的迅猛发展,互联网世界越来越丰富多彩,上网的人数和网络应用服务激剧增加,新的应用协议,新的网络服务层出不穷,对整体信息安全提出了巨大的挑战。为了保护网络内部的安全和进行网络管理,政府、企业和用户都采用防火墙、入侵检测系统和病毒检测等防护设备,来检测和防御来自于网络上的恶意行为,以提供安全保障。然而,网络攻击与防护是一个不断对抗和发展的过程,当前,攻击者可以利用防火墙、入侵检测设备和其他检测技术上的漏洞和脆弱点,进行网络穿透。

通过网络穿透,不法分子可以大肆谈论不法内容、发泄对社会的不满、造谣惑众、传播不法的思想,危害国家和社会安全;结合木马、病毒和其他恶意程序,绕过网络安全防护设备,达到非法控制、传播和获取秘密信息的目的;为盗版软件、垃圾邮件和色情暴力等信息的传播提供了平台,破坏社会秩序[1]。因此,网络穿透对网络安全和监管带来了严重的冲击,对网络穿透技术进行研究十分有必要。本文从攻击者的角度研究了网络穿透技术,并最终给出相应的对策。首先对网络防护设备进行研究,分析了防火墙和入侵检测系统,接着分析了网络穿透技术,阐述了网络穿透通信模型和基本原理,分析了网络穿透的关键技术,最后给出了应对当前穿透技术的几点对策。

1 网络防护设备

为了保证网络内部的信息安全,政府、企业和用户都会使用一些网络防护设备进行网络监视和管理。常见的网络防护设备有防火墙和入侵检测系统。

1.1 防火墙。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据不同的安全策略,实现对网络流量的控制,它本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全[2]。

防火墙是网络安全的屏障,可以强化网络安全策略,对网络存取和访问进行监控审计,并防止内部信息的外泄。防火墙根据不同的网络体系结构,可以分为个人防火墙、网络级防火墙、应用级网关防火墙和电路级网关防火墙。其主要通过包过滤、检查IP地址和端口,实现数据包的通行或阻止,通过检测网络会话的发起端,结合网络流量的方向,判断相互通过的信任关系,通过对网络数据包的重组,分析数据包的内容,来实现有无秘密信息的传输,来达到对内外网络流量的控制和管理。

1.2 入侵检测系统。入侵检测技术(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。IDS则是完成如入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)[3]。入侵检测技术作为一种积极主动的安全防护技术,它能够对外部入侵和内部攻击进行实时监视,在网络系统受到危害时,进行拦截和响应,发现入侵行为。

入侵检测系统能很好地弥补防火墙的不足,通过安全审计、流量识别和响应监视加强对网络的监管,及时发现不法的入侵行为,加强了网络的安全管理能力,提升了网络基础安全的完整性。入侵检测系统被认为是防火墙的第二道安全闸门,它通过分析网络流量,提取正常通信和异常通信的特征和行为区别,形成检测规则,在网络流时中监视是否有非法的入侵行为。异常通信行为在通信数据包的特征上和通信的行为上肯定有着不一样的地方,如某些木马特定的通信端口、病毒数据包上的标志以及恶意程序操作行为会有明显的标识,这些特点都被入侵检测系统用来对网络进行实时的监测。入侵检测系统还能够在发现入侵行为之后,及时做出响应,包括:事件记录、报警存储和网络连接切断等。

2 网络穿透技术

2.1 网络穿透通信模型。网络穿透,从狭义上讲是点对点的,通过检测和发掘防火墙、IDS等网络安全设备和系统存在的漏洞,采用一些特定的技术,穿透这些安全设备,从而达到对目标机器和目标网络的攻击;广义上讲,凡是将攻击代码、隐秘数据等传到网络地址转换(NAT)、防火墙、IDS等网络安全设备之后的目标主机上的技术都可以看成一种穿透[4]。因此,网络穿透通信模型可以描述成如下。

如图1所示,网络穿透通信模型包括了主机、防火墙、Internet部分、服务器和网络服务,其中防火墙根据部署的位置不同,可以分为个人防火墙和网络防火墙,本文主要从攻击者角度,重点研究如何利用网络穿透技术实现对网络防火墙的穿透,即实现主机穿透网络防火墙后,经过互联网,实现对远程主机、服务器和其他网络服务的访问。

2.2 网络穿透工作原理。网络穿透之所以能够穿透防火墙,实现对限制资源的访问,主要的工作原理有:

2.2.1 进行欺骗,伪装成正常的通信。防火墙在配置的时候,通常会信任某些应用程序和端口对网络的访问。通过分析防火墙所信任的应用程序,放行的IP地址、端口,就可以将自己有针对性地伪装成防火墙已信任的通信。这样,在网络通信发生时,防火墙将会误认为是正常的数据通信,便允许其通过。例如,在正常的防火墙设置中,都会放行端口为80和443的通信,以保证该网络正常的网络访问,那么就可以将相应的网络通信伪装端口为80或443的数据包,以达到欺骗防火墙,达到网络穿透的目的。入侵检测系统的主要思想是区分异常通信和正常通信,那么相应的网络通信只要进行欺骗,伪装成正常的通信行为,那么也使得入侵检测系统的检测难度极大加强。

2.2.2 进行加密,实现数据内容无法检测。当前防火墙和入侵检测设备,能够实现对通信过程中数据包内容的重组,从而达到对通信数据内容的监视,从内容中判断是否有网络穿透行为的发生。然而,攻击者可以利用一些加密通信隧道实现对数据内容的加密,使得防火墙和入侵检测系统只能监测到加密后的密文,无法实现对数据内容的判断和过滤。例如,可以通过建立HTTPS隧道[5],通过SSL协议,实现对网络数据的加密处理,这样处理后的数据包只带有通信双方的IP和端口,通信的内容完全是进行加密的,这样的通信内容便可以顺利穿透防火墙和入侵检测系统,从而达到对目标的非法访问。通信数据进行加密,极大的隐藏了通信双方的内容,使得以监控内容的防护设备失效,而且进行数据解密的难度相当大,因此该工作原理,能够实现较好的网络穿透。

2.2.3 进行隐蔽,实现网络匿名通信。虽然进行加密,能够进行网络穿透,但是加密的方式,还是实现不了对通信双方身份的隐藏,防火墙和入侵检测设备仍然可以对一些非法的通信IP地址进封锁,从而实现对网络穿透一定的监管。而且攻击者可以利用信息隐藏技术和P2P技术,实现匿名通信,从而实现通信双方或单方的身份隐藏,从而实现网络穿透。例如,可以利用一些数据包上的特殊的空闭字段,填入约定好的数据比特,实现信息的隐藏传输,从而达到通信双方身份的隐藏,如:基于共享DNS的防火墙穿透技术和基于ICMP协议的网络穿透技术等[6]。还有就是利用P2P网络实现对访问目标身份的隐藏,如基于Tor平台匿名通信的网络穿透技术。

2.3 网络穿透关键技术分析。根据网络穿透的工作原理,分析国内外当前的网络穿透技术,主要的关键技术有如下:

2.3.1 服务技术。服务技术是常见的进行间接访问网络信息资源的中转技术,它能够实现服务器和访问目标之间的信息转发和控制,实现网络穿透,常见的有:SOCKS4、SOCKS5和HTTP等,其中SOCKS4只支持TCP,SOCKS5支持TCP和UDP协议。通过服务技术,可以实现突破IP地址的封锁、隐藏自己的身份和访问限制资源,进行网络穿透的行为。

2.3.2 网页和端口转向技术。网页转向技术是指很多网站有提供网页的自动转向功能,那么在内网用户可以利用该网页重定位技术,通过这些合法网站,进行网络穿透。端口转向技术是指针对防火墙的设置,将要访问的端口转向防火墙开放的端口,实现网络穿透,如可以将端口转向防火墙常开放的80和443端口。网页和端口转向技术主要利用了数据包的修改和转发,实现利用正常的网络通信行为承载非法的通信,从而实现网络穿透。

2.3.3 反弹连接技术。该技术源于木马通信的发展,从开始的主动连接通信,通过木马控制端主动去连接植入目标的木马服务端,该方法容易被防火墙封阻,因此,发展了反弹连接方法,木马程序的服务端通过访问服务器或域名解析获取控制端IP地址,从而主动发起对指定IP的连接,连接方面与主动边接相反是从内向外的,容易实现网络穿透。当前大多数木马都采用了该技术,进行网络穿透,如:灰鸽子、Poison IVY和PcShare等。

2.3.4 隧道穿透技术。隧道穿透技术是一种较常见网络穿透技术,它使用一些常用服务接入端口如WEB服务、邮件、即时聊天工具端口,或者使用动态扫描获得的开放端口,通过变化通信端口来出避免防火墙和入侵检测系统的检测。例如:利用HTTP隧道技术,将要通信的数据用HTTP协议进行封装,伪装成正常的WEB访问数据,从而实现网络穿透,当然也可以封装成邮件或即时聊天数据。该隧道穿透技术还可以结合加密技术,实现对数据内容的加密,如匿名HTTPS隧道木马[5],其实现了用户数据伪装成HTTPS数据包加密传输,达到网络穿透的目的。

2.3.5 基于P2P的穿透技术。结合网络探测技术和拓扑发现等技术,穿越和绕过NAT和防火墙,使得NAT和防火墙如同虚设。其中有基于TCP协议和UDP协议的P2P穿透技术,该穿透技术可以实现对通信双方或单方的隐藏。如:SKYPE即时通讯工具,它采用P2P技术,运用STUN和TURN的协议演变出的类似协议来探测网络拓扑结构,并实现UDP连接方式下的穿透NAT,或者寻找出绕出防火墙等安全设备的路径[7]。

2.3.6 匿名通信技术。匿名通信技术是通过信息隐藏的方法,将信息流中的通信关系加以隐藏,使得窃听者无法直接获知或推知双方的通信关系或者通信的某一方。匿名通信的重要目的就是隐藏通信双方的身份或者通信关系,从而实现对网络用户的个人通信隐私以及通信内容的更好保护,使监管更为困难。如:以MIX、洋葱路由器、TOR技术为代表的匿名通信技术发展快速,为穿透技术提供了新的平台[8]。

3 防范对策

当前网络穿透技术的不断发展,而且各种网络穿透技术被综合运用,对网络安全监控和管理提出巨大的考验,针对该情况,本文尝试给出几点建议。

3.1 从技术研究上,要不断紧跟新的网络穿透技术,深入研究,寻找对策。当前新的网络穿透技术不断呈现,信息安全人员要不断紧跟新的网络穿透技术的研究,结合防火墙技术和入侵检测技术,不断寻找应对网络穿透的方法。技术的对策,是最直接有效的,而且也是需要大力投入人力和经费的。网络穿透技术当前已经呈观出通信特征正常化、数据传输加密化和通信身体隐蔽化的特点,从技术上加强对网络穿透技术的研究,并寻找相应的措施是十分有必要。

3.2 从设备部署上,要在重点的网络关口,骨干网络加强部署防火墙和入侵检测系统等防护设备。应用行之有效的网络防护设备才能够在一定程度上阻止网络穿透行为的发生,要研究企业或政府网络的关键节点,部署防火墙或入侵检测设备进行监视。在各个骨干节点上部署防火墙和入侵检测设备,可以强化防护设备之间的联动作用,进行分布式监管,形成有效的监视网。还有就是要对企业和政府等网络的关键数据设备如:文件服务器、WEB服务器等加强监控,部署防护设备。

3.3 从规章制度上,要建立一套完善的、合理的互联网上网规范,形成良好的监管制度。企业或政府部分可以建立一套相对完善的上网规范,规范用户的上网行为规范,从而形成良好的监管制度。攻击者之所以能够进行网络穿透行为,他们利用了互联网上大量的资源,如:服务器、匿名网络和肉鸡等,通过完善的上网规范,可以从一定程度上遏制这些资源的存在,以进化整个网络的环境,形成良好的秩序。

3.4 从教育引导上,要强化宣传教育,引导网民树立良好的互联网纪律意识,从思想上遏制网络穿透行为的发生。当前有人利用网络穿透技术,进行一些非法行为,如:传播非法言论、盗版软件和色情暴力电影等,对该非法行为的违法之处还认识不深,警示不够。要从网民的思想教育上抓起,树立在互联网上什么能做,什么不能做的意识,并警示如果违反,将受到制度和法律的惩罚。养成良好的思想意识,这样才能减少网络穿透非法行为的发生,从而保证企业和政府的网络安全。

4 结束语

随着计算机技术的普及,在互联网中网络穿透不断发生,通过网络穿透,不法分子可以达到大肆造谣、非法传播和数据窃取等目的,直接危害网络信息安全。本文简介了当前主要防护设备,即:防火墙和入侵检测系统,接着从网络穿透的通信模型、工作原理和关键技术分析了网络穿透技术,给出了网络穿透的通信模型,从欺骗、加密和隐蔽分析网络穿透的工作原理,从六个方面分析网络穿透的关键技术,最后从技术、设备、制度和教育四个方面给出网络穿透技术的防范对策。网络穿透技术与反穿透技术,必将是一个不断对抗和发展的过程,我们应该不断紧盯网络穿透技术的新发展,及时给出反穿透技术,从而保证网络信息安全。

参考文献:

[1]彭乐.网络穿透技术的研究[D].北京:北京邮电大学,2008.

[2]王鲁达,曾凡仔,张澎等.信息共享系统的防火墙穿透技术的研究与实现[J].计算机工程与科学,2008(01):38-40,44.

[3]肖竞华,胡华.入侵检测技术的分析与研究[J].计算机安全,2009(08).

[4]RichardTibbs等.防火墙与VPN原理与实践[M].李展等,译.北京:清华大学出版社,2008.

[5]刘超,王轶骏,施勇等.匿名HTTPS隧道木马的研究[J].信息安全与通信保密,2011(12):78-80.

[6]刘静,裘国永.基于反向连接?HTTP隧道和共享DNS的防火墙穿透技术[J].郑州轻工业学院学报(自然科学版),2007(05):57-59.

[7]Salman A. Baset and Henning Schulzrinne.An Analysis of the Skpe Peer-to-Peer Internet Telephony Protocol.September 15,2004.

[8]Dogan Kesdogan,Mark Borning,and Michael Schmeink.Unobservable Surfing on the World Wide Web:Is Private Information Retrieval an alternative to the MIX[C].//In the Proceedings of Privacy Enhancing Technologies workshop(PET 2002),April 2002.