計算機網絡安全為主題的總結
網絡安全技術研究
隨著計算機及網絡技術的飛速發展,全球信息化已成為人類發展的必然趨勢,計算機在人們的生活和工作中發揮著越來越重要的作用。由于網絡的開放性、互連性、連接形式的多樣性,致使網絡易受黑客、惡意軟件和其它不軌的功擊,存在著自然和人為等諸多因素的脆弱性和潛在威脅。網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的,通常也是狡猾的、專業的,并且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微。網絡安全性可以被粗略地分為4個相互交織的部分:保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問,這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來實現。
一、網絡的安全保密
針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理 分步實施。
針對上述分析,我們采取以下安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.采用各種安全技術,構筑防御系統,主要有:(1) 防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。(2) NAT技術:隱藏內部網絡信息。(3) VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。(4)網絡加密技術(Ipsec) :采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。(5) 認證:提供基于身份的認證,并在各種認證機制中可選擇使用。(6) 多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。
二、入侵檢測
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6. 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
三、防病毒系統
防病毒產品可以在每個入口點抵御病毒和惡意小程序的入侵,保護網絡中的PC機、服務器和Internet網關。它有一個功能強大的管理工具,可以自動進行文件更新,使管理和服務作業合理化,并可用來從控制中心管理企業范圍的反病毒安全機制,優化系統性能、解決及預防問題、保護企業免受病毒的攻擊和危害。 防病毒系統設計原則
1.整個系統的實施過程應保持流暢和平穩,做到盡量不影響既有網絡系統的正常工作。
2.安裝在原有應用系統上的.防毒產品必須保證其穩定性,不影響其它應用的功能。在安裝過程中應盡量減少關閉和重啟整個系統。
3.防病毒系統的管理層次與結構應盡量符合機關自身的管理結構。
4.防病毒系統的升級和部署功能應做到完全自動化,整個系統應具有每日更新的能力。
5.應做到能夠對整個系統進行集中的管理和監控,并能集中生成日志報告與統計信息。
病毒傳播的另外一個途徑是通過局域網內的文件共享和外來文件的引入,所以,企業網絡最妥善的防病毒方案應當考慮解決客戶端的防病毒問題。如果病毒在局域網內的所有客戶端傳播之前就被清除,網絡管理員的工作量就減少了很多。網關防毒:
網關防毒是對采用http、ftp、smtp協議進入內部網絡的文件進行病毒掃描和惡意代碼過濾,從而實現對整個網絡的病毒防范。
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
【計算機網絡安全為主題的總結】相關文章: