随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。
关键词:internet 网路安全 防火墙 过滤 地址转换
1. 引言
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。�
为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。�
2. internet防火墙技术简介�
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防
止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:�
1)限定人们从一个特定的控制点进入;�
2)限定人们从一个特定的点离开;�
3)防止侵入者接近你的其他防御设施;�
4)有效地阻止破坏者对你的计算机系统进行破坏。�
在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。
所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾�
防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:�
●过滤进、出网络的数据;�
●管理进、出网络的访问行为;�
●封堵某些禁止行为;�
●记录通过防火墙的信息内容和活动;�
●对网络攻击进行检测和告警。�
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。�
3.1 基于路由器的防火墙�
由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:�
1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;�
2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;�
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。�
第一代防火墙产品的不足之处十分明显,具体表现为:�
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。�
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。�
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺骗防火墙。�
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
�
可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
3.2 用户化的防火墙工具套�
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。�
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:�
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;�
2)针对用户需求,提供模块化的软件包;�
3)软件可以通过网络发送,用户可以自己动手构造防火墙;�
4)与第一代防火墙相比,安全性提高了,价格也降低了。�
由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:�
配置和维护过程复杂、费时;�
对用户的技术要求高;�
全软件实现,使用中出现差错的情况很多。�
3.3 建立在通用操作系统上的防火墙�
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:�
1)是批量上市的专用防火墙产品;�
2)包括分组过滤或者借用路由器的分组过滤功能;�
3)装有专用的代理系统,监控所有协议的数据和指令;�
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。�
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:�
1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;�
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;�
3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;�
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;�
5)透明性好,易于使用。�
4. 第四代防火墙的主要技术及功能�
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。�
4.1 双端口或三端口的结构�
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。
�
4.2 透明的访问方式�
以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。�
4.3 灵活的代理系统�
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。�
4.4 多级过滤技术�
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。�
4.5 网络地址转换技术�
第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。�
4.6 internet网关技术�
由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。�
在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。 在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。
4.7 安全服务器网络(ssn)�
为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。�
ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。�
4.8 用户鉴别与加密�
为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。�
4.9 用户定制服务�
为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。�
4.10 审计和告警�
第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。�
此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。�
5. 第四代防火墙技术的实现方法
在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。�
5.1 安全内核的实现�
第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:�
1)取消危险的系统调用;�
2)限制命令的执行权限;�
3)取消ip的转发功能;�
4)检查每个分组的接口;�
5)采用随机连接序号;�
6)驻留分组过滤模块;�
7)取消动态路由功能;�
8)采用多个安全内核。�
5.2 代理系统的建立�
防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。�
在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:�
1)源地址;�
2)目的地址;�
3)时间;�
4)同类服务器的最大数量。�
所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。�
所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。�
5.3 分组过滤器的设计�
作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。�
1)进站接口;�
2)出站接口;�
3)允许的连接;�
4)源端口范围;�
5)源地址;�
6)目的端口的范围等。�
对每一种参数的处理都充分体现设计原则和安全政策。�
5.4 安全服务器的设计�
安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。�
ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:�
1)解决分组过滤器与ssn的连接;�
2)支持通过防火对ssn的访问;
3)支持代理服务。
5.5鉴别与加密的考虑
鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。
对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。
6. 第四代防火墙的抗攻击能力
作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。
6.1 抗ip假冒攻击
ip假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。
6.2 抗特洛伊木马攻击
特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。
6.3 抗口令字探寻攻击
在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。
第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。
6.4 抗网络安全性分析
网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。
6.5 抗邮件诈骗攻击
邮件诈骗也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决办法是对邮件加密。
7. 防火墙技术展望
伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。
2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。
3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。�
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。�
5)对网络攻击的检测和各种告警将成为防火墙的重要功能。
6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。�
另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。
2 防火墙的概述及其分类
网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
2.1 概述
在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。
1)什么是防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。
防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。
2)防火墙的功能
防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点:
·根据应用程序访问规则可对应用程序联网动作进行过滤;
·对应用程序访问规则具有学习功能;
·可实时监控,监视网络活动;
·具有日志,以记录网络访问动作的详细信息;
·被拦阻时能通过声音或闪烁图标给用户报警提示。
3)防火墙的使用
由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。
2.2 防火墙的分类
市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。
1)包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。
2)代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
3)监测型
监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。
3 防火墙的作用、特点及优缺点
防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。
3.1 防火墙的作用
防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
3.2 防火墙的特点
我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
防火墙一般具有如下显著特点:
·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等;
·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏;
·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息;
·反欺骗 欺骗是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃;
·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。
3.3 防火墙的优势和存在的不足
防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。
1) 防火墙的优势
(1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。
(2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2) 防火墙存在的不足
(1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。
(2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
(3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。
4 防火墙的管理与维护
如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。
4.1 建立防火墙的安全策略
要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。
安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
随着计算机网络的飞速发展,网络安全越来越被人们所认识和重视,在维护网络正常运行方面越来越起到举足轻重之作用,已成为当代信息社会的一个重要特征。在众多安全措施中,防火墙首当其中。以网络安全为中心,考虑网络的各个层面,整体把握网络在应用中的安全性。在构造防火墙的过程中,阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP/IP(传输控制协议/网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看,文中总体把握包过滤防火墙的思想,深入细致地介绍了网络会话的细节,基于输入包和输出包的过滤思想,如何有选择性地开放Internet公共服务三方面重要的内容,并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明,包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上,本文是基于Redhat Linux操作系统,主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述,给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起,介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计,阐述防火墙设计的两种安全策略:默认禁止一切和默认接受一切,并对其进行相互的比较,给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带三种不同网络拓扑结构加以说明,阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙,旨在保护其网络安全并节俭网络费用,为此实现NAT共享IP,屏蔽保护子网共享防火墙外网真实IP,达到伪装保护且节俭网络费用之功效,从而减轻网络负担;构造DMZ,将保护子网与网络服务器分离,有效地解决服务器提供网络服务与子网安全保护这一对矛盾,从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点,同时 为中小型企业构建和维护防火墙提供了相关的理论依据和参考。 试问你是大学生不,这是大学生防火墙论文的。我去年用的
计算机网络安全就是通过利用多种技术、手段、 措施 ,保证网络系统的安全运行,确保网络传输和交换过程中数据的完整性、保密性和可用性。下面是我给大家推荐的计算机网络安全2000字论文,希望大家喜欢!
计算机网络安全论文篇一
浅议计算机网络安全防护技术
[摘要] 计算机与网络的发展给人类社会的进步提供了无限机遇,同时也对信息安全带来了严峻挑战。计算机网络安全就是通过利用多种技术、手段、措施,保证网络系统的安全运行,确保网络传输和交换过程中数据的完整性、保密性和可用性。本文重点介绍影响到网络的各种不安全因素,并进一步提出了一些保证网络安全的措施。
[ 关键词] 计算机;网络安全;防护技术
一、计算机网络安全问题
计算机网络中的安全问题主要作用于两个方面,一是对多种信息数据的威胁,包括对信息数据的非法修改、窃取、删除、非法使用等一系列的数据破坏;二是对计算机网络中的各种设备进行攻击。致使系统网络紊乱、瘫痪,乃至设备遭到损坏。
1.网络结构和设备本身安全隐患
现实中的网络拓扑结构是集总线型、星型等多种拓扑结构与一体的混合型结构,拓扑结构中各个节点使用不同的网络设施,包括路由器、交换机、集线器等。每种拓扑结构都有其相应的安全隐患,每种网络设备由于本身技术限制,也存在不同的安全缺陷,这都给网络带来了不同的安全问题。
2. 操作系统 安全
操作系统直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件必须依赖于操作系统提供的系统软件基础,才能获得运行的高可靠性和信息的完整性、保密性。同样,网络系统的安全性依赖于网络中各主机系统的安全性。如果操作系统存在缺陷和漏洞,就极易成为黑客攻击的目标。因此,操作 系统安全 是计算机网络安全的基础。
3.病毒和黑客
病毒可利用计算机本身资源进行大量自我复制,影响计算机软硬件的正常运转,破坏计算机数据信息。黑客主要通过网络攻击和网络侦察截获、窃取、破译、修改破坏网络数据信息。病毒和黑客是目前计算机网络所面临的最大威胁。
二、计算机网络安全防护技术
1.加密技术
数据加密就是对原有的明文或数据按照某种算法,置换成一种不可读的密文,然后再进行信息的存储和传输。密文获得者只有输入相应的密匙才能读出原来的内容,实现数据的保密性。加密技术的关键在于加密的算法和密匙的管理。
加密的算法通常分为对称加密算法和非对称加密算法。对称加密算法就是加密和解密使用同一密匙。对称加密算法加密、解密速度快,加密强度高算法公开。非对称加密算法加密和解密使用不同的密匙,用加密密匙加密的数据只有相应的解密密匙才能打开。非对称加密算法加密数据安全可靠性高,密匙不易被破译。
2.防火墙技术
防火墙技术是目前网络间访问控制、防止外部人员非法进入内部网络,保护内网资源最广泛使用的一种技术。防火墙部署在不同网络安全级别的网络之间,防火墙通过检测数据包中的源地址、目标地址、源端口、目标端口等信息来匹配预先设定的访问控制规则,当匹配成功,数据包被允许通过,否则就会被丢弃。目前市场上常见的防火墙多为状态检测防火墙,即深度包过滤防火墙。防火墙无法防止内部网络用户带来的威胁,也不能完全防止传送已感染的程序和文件。
3.入侵检测技术
网络入侵检测技术主要通过收集操作系统、应用程序、网络数据包等相关信息,寻找可能的入侵行为,然后采取报警、切断入侵线路等手段,阻止入侵行为。网络入侵检测是一种主动的安全防护技术,它只对数据信息进行监听,不对数据进行过滤,不影响正常的网络性能。
入侵检测 方法 主要采用异常检测和误用检测两种。异常检测根据系统或用户非正常行为和计算机资源非正常情况,检测出入侵行为,其通用性强,不受系统限制,可以检测出以前未出现过的攻击方式,但由于不可能对整个系统用户进行全面扫描,误警率较高。误用检测是基于模型的知识检测,根据已知的入侵模式检测入侵行为。误警率低,响应速度快,但要事先根据入侵行为建立各种入侵模型,需要大量的时间和工作。
入侵检测系统分为基于主机和基于网络的入侵检测系统。基于主机的入侵检测技术是对主机系统和本地用户中的历史审计数据和系统日志进行监督检测,以便发现可疑事件,其优点:入侵检测准确;缺点是容易漏检。基于网络的入侵检测系统是根据一定的规则从网络中获取与安全事件有关的数据包,然后传递给入侵分析模块进行安全判断.并通知管理员。优点:节约资源,抗攻击能力好,可实时检测响应。缺点:数据加密限制了从网络数据包中发现异常情况。
4.防病毒技术
网络病毒技术主要包括病毒预防技术、病毒检测技术和病毒消除技术。病毒预防技术通过自身常驻系统内存,优先获得系统控制权,监视、判断病毒是否存在,防止病毒的扩散和破坏。病毒检测技术通过侦测计算机病毒特征和文件自身特征两种方式,判断系统是否感染病毒。病毒消除技术是计算机病毒感染程序的逆过程,根据对病毒的分析,安装网络版查杀病毒软件,杀灭病毒。
总之,随着网络规模的不断扩大,网络安全的重要性也越来越受到关注。目前,我国信息网络安全研究历经了通信保密、数据保护两个阶段。正在进入网络信息安全研究阶段,企业网络安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。但是,网络安全不仅仅是技术问题,更多的是社会问题。应该加强f64络安全方面的宣传和 教育 。加强网络使用者的安全防范意识,由被动接受到主动防范才能使网络安全隐患降到最低。
参考文献:
[1]张晓薇浅谈计算机网络安全的影响因素与保证措施《黑龙江科技信息》2009年36期
[2]安录平 试述计算机网络安全防护技术《黑龙江科技信息》2009年36期
[3]邢文建 Exploration of ARP virus defense system based on the analysis of NDIS《Proceedings of The Second International Conference on Modelling and Simulation》
计算机网络安全论文篇二
试谈计算机网络安全防护
摘 要:随着计算机网络的迅速发展和普及,人们越来越依赖于网络,大量的信息交换通过互联网实现,同时也有很多重要信息储存在互联网上,网络安全问题也随之产生。因此,计算机网络的安全防护也引起了越来越多的重视,本文重点介绍了网络安全中面临的威胁,并相应的提出了解决措施。
关键词:计算机;网络安全;防护
1 引言
信息技术的发展给人们的生活带来了天翻地覆的变化,计算机网络已经融入了人们的日常生活中,改变着也同时方便了生活和工作。在人们对信息网络的需求和依赖程度与日俱增的今天,网络安全问题也越来越突出。因此,全面的分析影响网络安全的主要原因,有针对性的提出进行网络安全保护的相关对策具有十分重要的意义。Internet的的两个重要特点就是开放性和共享性,这也是导致开放的网络环境下计算机系统安全隐患产生的原因。随着对网络安全问题研究的不断深入,逐渐产生了不同的安全机制、安全策略和网络安全工具,保障网络安全。
计算机网络安全事实上是一门涉及多学科理论知识的综合性学科,主要包括计算机科学、 网络技术 、密码技术、通信技术、数论、信息安全技术和信息论等多种不同学科。网络安全防护是从硬件和软件两方面保护系统中的数据,使其免受恶意的入侵、数据更改和泄露、系统破坏,以保证系统能够正常的连续运行,网络不被中断。
2 计算机网络面临的安全威胁
网络面临的安全威胁也是各种各样,自然灾害、网络系统自身的脆弱性、误操作、人为的攻击和破坏等都是网络面临的威胁。
2.1 自然灾害
计算机网络也是由各种硬件搭建而成,因此也是很容易受到外界因素的影响。很多计算机安放空间都缺乏防水、防火、防震、防雷、防电磁泄露等相关措施,因此,一旦发生自然灾害,或者外界环境,包括温度、湿度等,发生剧烈变化时都会破化计算机系统的物理结构。
2.2 网络自身脆弱性
(1)计算机网络的基础设施就是操作系统,是所有软件运行的基础和保证。然而,操作系统尽管功能强大,具有很强的管理功能,但也有许多不安全因素,这些为网络安全埋下了隐患。操作系统的安全漏洞容易被忽视,但却危害严重。除操作系统外,其他软件也会存在缺陷和漏洞,使计算机面临危险,在网络连接时容易出现速度较慢或 死机 现象,影响计算机的正常使用。
(2)计算机网络的开放性和自由性,也为攻击带来了可能。开放的网络技术,使得物理传输线路以及网络通信协议也成为网络攻击的新目标,这会使软件、硬件出现较多的漏洞,进而对漏洞进行攻击,严重的还会导致计算机系统严重瘫痪。
(3)计算机的安全配置也容易出现问题,例如防火墙等,一旦配置出现错误,就无法起到保护网络安全的作用,很容易产生一些安全缺口,影响计算机安全。加之现有的网络环境并没有对用户进行技术上的限制,任何用户可以自由的共享各类信息,这也在一定程度上加大了网络的安全防护难度。
很多网民并不具有很强的安全防范意识,网络上的账户密码设置简单,并且不注意保护,甚至很多重要账户的密码都比较简单,很容易被窃取,威胁账户安全。
2.3 人为攻击
人为的攻击是网络面临的最大的安全威胁。人为的恶意攻击分为两种:主动攻击和被动攻击。前者是指采取有效手段破坏制定目标信息;后者主要是为了获取或阻碍重要机密信息的传递,在不影响网络正常的工作情况下,进行信息的截获、窃取、破译。这两种攻击都会导致重要数据的泄露,对计算机网络造成很大的危害。黑客们会利用系统或网络中的缺陷和漏洞,采用非法入侵的手段,进入系统,窃听重要信息,或者通过修改、破坏信息网络的方式,造成系统瘫痪或使数据丢失,往往会带来严重不良影响和重大经济损失。
计算机病毒是一种人为开发的可执行程序,具有潜伏性、传染性、可触发性和严重破坏性的特点。一般可以隐藏在可执行文件或数据文件中,不会被轻易发现,也就使计算机病毒的扩散十分迅速和难以防范,在文件的复制、文件和程序运行过程中都会传播。触发病毒后可以迅速的破坏系统,轻则降低系统工作效率,重则破坏、删除、改写文件,使数据丢失,甚至会破坏系统硬盘。平时在软盘、硬盘、光盘和网络的使用中都会传播病毒。近年来也出现了的很多恶性病毒,例如“熊猫烧香病毒”等,在网络上迅速传播,产生了十分严重的不良后果。
除病毒之外,垃圾邮件和间谍软件等也会威胁用户的隐私和计算机安全。
3 网络安全防护措施
3.1 提高安全防护技术手段
计算机安全防护手段主要包括防火墙技术、加密技术、访问控制和病毒防范等。总的来说,提高防护手段,主要是从计算机系统管理和物理安全两方面着手。
计算机网络安全,首先要从管理着手,一是对于使用者要进行网络 安全教育 ,提高自我防范意识。二是要依靠完整的网络安全管理制度,严格网络执法,打击不法分子的网络犯罪。另外,要加强网络用户的法律法规意识和道德观念,减少恶意攻击,同时传播网络防范基本技能,使用户能够利用计算机知识同黑客和计算机病毒等相抗衡。
物理安全是提高网络安全性和可靠性的基础。物理安全主要是网络的物理环境和硬件安全。首先,要保证计算机系统的实体在安全的物理环境中。网络的机房和相关的设施,都有严格的标准和要求要遵循。还要控制物理访问权限,防止未经授权的个人,有目的的破坏或篡改网络设施。
3.2 完善漏洞扫描设施
漏洞扫描是一种采取自动检测远端或本地主机安全的技术,通过扫描主要的服务端口,记录目标主机的响应,来收集一些特定的有用信息。漏洞扫描主要就是实现安全扫描的程序,可以在比较短的时间内查出系统的安全脆弱点,从而为系统的程序开发者提供有用的参考。这也能及时的发现问题,从而尽快的找到解决问题的方法。
4 结束语
经过本文的分析,在通讯技术高速发展的今天,计算机网络技术也不断的更新和发展,我们在使用网络的同时,也要不断加强计算机网络安全防护技术。新的应用会不断产生,网络安全的研究也必定会不断深入,以最大限度地提高计算机网络的安全防护技术,降低网络使用的安全风险,实现信息平台交流的安全性和持续性。
参考文献
[1]赵真.浅析计算机网络的安全问题及防护策略[J].上海工程技术学院教育研究,2010,(03):65-66.
[2]刘利军.计算机网络安全防护问题与策略分析[J].华章,2011,(34):83-84.
[3]赵海青.计算机网络应用安全性问题的防护策略[J].青海教育,2012,(04):45-46.
[4]郑恩洋.计算机网络安全防护问题与策略探讨[J].计算机光盘软件与应用,2012,(15):158-158.
计算机网络安全论文篇三
浅谈计算机网络安全影响因素与对策
0引言
随着计算机网络的发展,病毒、黑客、木马等的恶意攻击使网络安全问题日益突出,如何提高网络安全的防御能力越来越受到人们的关注。本文分析了当前计算机网络安全所面临的威胁及影响因素,并针对存在的问题提出了加强网络安全防御能力的对策。网络技术的发展给人们提供了信息交流的平台,实现了信息资源的传播和共享。但随着计算机网络应用的广泛深入,运行环境也复杂多变,网络安全问题变得越来越突出,所造成的负面影响和严重性不容忽视。病毒、黑客、木马等的恶意攻击,使计算机软件和硬件受到破坏,使计算机网络系统的安全性与可靠性受到非常大的影响,因此需要大力发展网络安全技术,保证网络传输的正常运行。
1影响计算机网络安全的因素
1.1系统缺陷
虽然目前计算机的操作系统已经非常成熟,但是不可避免的还存在着安全漏洞,这给计算机网络安全带来了问题,给一些黑客利用这些系统漏洞入侵计算机系统带来了可乘之机。漏洞是存在于计算机系统中的弱点,这个弱点可能是由于软件或硬件本身存在的缺陷,也可能是由于系统配置不当等原因引起的问题。因为操作系统不可避免的存在这样或那样的漏洞,就会被黑客加以利用,绕过系统的安全防护而获得一定程度的访问权限,从而达到侵入他人计算机的目的。
1.2计算机病毒
病毒是破坏电脑信息和数据的最大威胁,通常指能够攻击用户计算机的一种人为设计的代码或程序,可以让用户的计算机速度变慢,数据被篡改,死机甚至崩溃,也可以让一些重要的数据信息泄露,让用户受到巨大损失。典型的病毒如特洛伊木马病毒,它是有预谋的隐藏在程序中程序代码,通过非常手段伪装成合法代码,当用户在无意识情况下运行了这个恶意程序,就会引发计算机中毒。计算机病毒是一种常见的破坏手段,破坏力很强,可以在很短的时间降低计算机的运行速度,甚至崩溃。普通用户正常使用过程中很难发现计算机病毒,即使发现也很难彻底将其清除。所以在使用计算机过程中,尤其包含一些重要信息的数据库系统,一定加强计算机的安全管理,让计算机运行环境更加健康。
1.3管理上的欠缺
严格管理是企业、机构及用户网络系统免受攻击的重要措施。很多用户的网站或系统都疏于这方面的管理,如使用脆弱的用户口令、不加甄别地从不安全的网络站点上下载未经核实的软件、系统升级不及时造成的网络安全漏洞、在防火墙内部架设拨号服务器却没有对账号认证等严格限制等。为一些不法分子制造了可乘之机。事实证明,内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。
2计算机网络安全防范措施
2.1建立网络安全管理队伍
技术人员是保证计算机网络安全的重要力量,通过网络管理技术人员与用户的共同努力,尽可能地消除不安全因素。在大力加强安全技术建设,加强网络安全管理力度,对于故意造成灾害的人员必须依据制度严肃处理,这样才能使计算机网络的安全得到保障,可靠性得有效提高,从而使广大用户的利益得到保障。
2.2健全网络安全机制
针对我国网络安全存在的问题,我国先后颁布了《互联网站从事登载新闻业务管理暂行规定》、《中国互联网络域名注册暂行管理办法》、《互联网信息服务管理办法》等相关法律法规,表明政府已经重视并规范网络安全问题。但是就目前来看管理力度还需要进一步加大,需要重点抓这些法律法规的贯彻落实情况,要根据我国国情制定出政治、经济、军事、 文化 等各行业的网络安全防范体系,并加大投入,加大重要数据信息的安全保护。同时,要加大网络安全教育的培训和普及,增加人们网络安全教育,拓展网络安全方面的知识,增强网络安全的防范意识,自觉与不良现象作斗争。这样,才能让网络安全落到实处,保证网络的正常运行。
2.3加强网络病毒防范,及时修补漏洞
网络开放性的特点给人们带来方便的同时,也是计算机病毒传播和扩散的途径。随着计算机技术的不断进步,计算机病毒也变得越来越高级,破坏力也更强,这给计算机信息系统的安全造成了极大威胁。因此,计算机必须要安装防毒杀毒的软件,实时对病毒进行清理和检测,尤其是军队、政府机关及研究所等重点部门更应该做好病毒的防治工作,保证计算机内数据信息的安全可靠。当计算机系统中存在安全隐患及漏洞时,很容易受到病毒和黑客的入侵,因此要对漏洞进行及时的修补。首先要了解网络中安全隐患以及漏洞存在的位置,这仅仅依靠管理员的 经验 寻找是无法完成的,最佳的解决方案是应用防护软件以扫描的方式及时发现网络漏洞,对网络安全问题做出风险评估,并对其进行修补和优化,解决系统BUG,达到保护计算机安全的目的。
3计算机信息安全防范措施
3.1数据加密技术
信息加密是指对计算机网络上的一些重要数据进行加密,再使用编译方法进行还原的计算机技术,可以将机密文件、密码口令等重要数据内容进行加密,使非法用户无法读取信息内容,从而保证这些信息在使用或者传输过程中的安全,数据加密技术的原理根据加密技术应用的逻辑位置,可以将其分成链路加密、端点加密以及节点加密三个层次。
链路加密是对网络层以下的文件进行加密,保护网络节点之间的链路信息;端点加密是对网络层以上的文件进行加密,保护源端用户到目的端用户的数据;节点加密是对协议传输层以上的文件进行加密,保护源节点到目的节点之间的传输链路。根据加密技术的作用区别,可以将其分为数据传输、数据存储、密钥管理技术以及数据完整性鉴别等技术。根据加密和解密时所需密钥的情况,可以将其分为两种:即对称加密(私钥加密)和非对称加密(公钥加密)。
对称加密是指加密和解密所需要的密钥相同,如美国的数据加密标志(DES);非对称加密是指加密与解密密钥不相同,该种技术所需要的解密密钥由用户自己持有,但加密密钥是可以公开的,如RSA加密技术。加密技术对数据信息安全性的保护,不是对系统和硬件本身的保护,而是对密钥的保护,这是信息安全管理过程中非常重要的一个问题。
3.2防火墙技术
在计算机网络安全技术中,设置防火墙是当前应用最为广泛的技术之一。防火墙技术是隔离控制技术的一种,是指在内部网和外部网之间、专用网与公共网之间,以定义好的安全策略为基准,由计算机软件和硬件设备组合而成的保护屏障。
(1)包过滤技术。信息数据在网络中传输过程中,以事先规定的过滤逻辑为基准对每个数据包的目标地址、源地址以及端口进行检测,对其进行过滤,有选择的通过。
(2)应用网关技术。通过通信数据安全检查软件将被保护网络和其他网络连接在一起,并应用该软件对要保护网络进行隐蔽,保护其数据免受威胁。
(3)状态检测技术。在不影响网络正常运行的前提下,网关处执行网络安全策略的引擎对网络安全状态进行检测,对有关信息数据进行抽取,实现对网络通信各层的实施检测,一旦发现某个连接的参数有意外变化,则立即将其终止,从而使其具有良好的安全特性。防火墙技术作为网络安全的一道屏障,不仅可以限制外部用户对内部网络的访问,同时也可以反过来进行权限。它可以对一些不安全信息进行实时有效的隔离,防止其对计算机重要数据和信息的破坏,避免秘密信息泄露。
3.3身份认证
采取身份认证的方式控制用户对计算机信息资源的访问权限,这是维护系统运行安全、保护系统资源的一项重要技术。按照用户的权限,对不同的用户进行访问控制,它的主要任务是保证网络资源不被非法使用和访问,是防止不法分子非法入侵的关键手段。主要技术手段有加密控制、网络权限控制、键盘入口控制、逻辑安全控制等。
4结束语
计算机网络安全是一项复杂的系统工程,随着网络安全问题日益复杂化,计算机网络安全需要建立多层次的、多 渠道 的防护体系,既需要采取必要的安全技术来抵御病毒及黑客的入侵,同时还要采用 规章制度 来约束人们的行为,做到管理和技术并重。我们只有正视网络的脆弱性和潜在威胁,大力宣传网络安全的重要性,不断健全网络安全的相关法规,提高网络安全防范的技术水平,这样才能真正解决网络安全问题。
猜你喜欢:
1. 计算机网络安全技术论文赏析
2. 计算机网络安全技术论文范文
3. 计算机网络信息安全的论文
4. 计算机网络安全方面的论文
5. 计算机网络安全的相关论文
当前计算机网络系统面临的信息安全保密形势越来越严峻。下面是我为大家整理的计算机网络安全问题论文,供大家参考。
计算机安全常见问题及防御 措施
摘要:计算机的应用对于生产和生活的建设具有重要的作用,在信息化时代,如果没有计算机就会造成经济和技术的脱节。但是,计算机在给人们带来便利的同时,已给人们制造了一些麻烦,信息泄露等计算机安全问题值得我们的注意,无论是对于个人还是对于国家来说,信息资源安全才有利于未来的建设。 文章 对计算机的硬件和软件的安全问题和防御措施进行了具体的分析,并强调了解决计算机安全问题的迫切需要。
关键词:计算机;安全问题;预防对策;软件和硬件
计算机是人类最伟大的发明之一,近年来,随着技术的不断革新,计算机在各个行业中都有广泛的应用,无论是在企业的管理中还是在数字化技术的应用中,计算机软件都提供了较大的帮助,在人们的生活中,计算机的应用也是无处不在。但是,计算机由于其开放性的特点,在网络安全方面存在隐患,如果得不到及时的处理,就会给人们的生活和国家的安全建设带来困扰,因此,必须加强计算机的安全性建设问题。
1计算机的硬件安全问题及预防对策
1.1芯片的安全问题
计算机是由芯片、主机、显卡等硬件组成的。目前,市场上的计算机品牌较多,国外的计算机技术和高科技水平比较先进,在我国的一些高端人才和企业中,使用进口计算机的群体较多。在计算机硬件中,如在芯片的使用中就存在较多的安全隐患。在芯片等硬件设施中,国外一些技术人员植入了较多的病毒和指令,能够入侵使用者的电脑程序,造成个人资料、企业信息、甚至是国家的建设信息泄漏,甚至由于其携带的病毒,导致计算机信息系统的瘫痪,严重影响个人安全和国家安全。另外,在一些网卡和显卡中同样会携带木马。一些电脑 爱好 者,喜欢自己购买计算机硬件进行组装,如果没有到有保障的场所购买,很容易造成计算机硬件的信息安全问题,一些干扰程序通过激活后,会给计算机带来严重的后果,影响企业和个人的安全使用。
1.2计算机电磁波信息泄露问题
计算机在运行中存在一定的辐射,这种电磁波的辐射实质上是一种信息的储存。随着经济技术的不断发展,一些高尖技术人才对于计算机的开发与利用研究得十分透彻,在市场环境中,相应的预防措施还不能赶超计算机信息剽窃人员的相关技术。通过相关设备的使用,剽窃者通过电磁波的频率就能够对计算机的信息进行复原。另外,与计算机连接的设备愈多,其电磁波的辐射能力愈强,愈容易被人接受和剽取。除了无形的电磁波能造成计算机信息的泄漏外,还会通过计算机连接的电源线和网线造成安全问题。这主要是因为计算机在信息的传递中,都是通过电磁波来实现的,电线和网线中都有电磁信号的传播。
1.3具体的解决措施
在解决计算机硬件的安全性问题中,相关工作者要对芯片等硬件部件和电磁波辐射两个方面进行预防。在硬件的防御对策中,相关人员可以进行备份贮存。例如可以使用双硬盘与计算机进行连接,当一个贮存硬盘发生程序故障时,可以及时断开,另一个硬盘还可以持续工作,在不延误工作执行的过程中,完成信息资料的保护。在电磁波的辐射问题上,相关技术人员可以进行屏蔽设备的连接,减少电磁波的扩散,并可以进行电磁波干扰技术的实施,干扰剽窃者的接收情况,致使信息资料无法复原。
2计算机软件上的网络安全问题及防御对策
2.1计算机软件的安全问题
计算机软件上的信息泄露问题比较严重,也是造成计算机安全问题的主要体现。由于计算机在使用中接触到的软件、视频、网站和文档的机会较多,一些恶性病毒和木马等就会随着计算机的应用进行入侵,造成信息资料的破坏。例如,计算机没有进行完善的安全防火墙和病毒查杀软件的使用时,一些顽固性的病毒和木马就会对计算机程序进行恶意的篡改,造成信息资料的流失,重要文档资料的篡改和破坏等。在计算机的安全问题中,还有一部分是由于人为的原因引起的。在一些钓鱼网站中,不法人员通过网站注册、链接点击等,对使用者的计算机进行个人信息的采集,得到相关资料后,还会伪造使用者的相关信息,实施网络诈骗等行为。另外,在一些机密企业中,还存在计算机窃听和黑客入侵等问题,这主要通过相关设备和高端的技术操作完成,相关单位要做好信息安全的维护。
2.2具体的防御措施
加密处理是实现计算机信息安全的基本措施,主要有两方面的内容。其一,对称加密处理,即私钥加密,是信息的收发双方都使用同一个密钥去加密文件和解密文件。其主要的优势就是加密和解密的速度快捷,但是这适合小批量的数据处理。其二,就是非对称加密,又被称作公钥加密,基于此种加密措施处理的加密和解密,一方用公钥来发布,另外一方用私钥来保存。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。在一些机密的企业和个人电脑中,进行加密处理,预防计算机软件的信息泄露还是远远不够的,为了达到进一步的安全性保障,可以通过认证技术进行防御。所谓认证技术就是对信息发送者与接收者进行双重的保护措施。保证信息在传输过程中不会出现缺失的情况。这种认证技术的类型有数字签名和数字证书。其中数字签名也就是电子签名,即在文本中自动生成一个散列值,再以私钥的方式对散列值进行加密处理,最后将这个数字签名发送给接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。
3结语
计算机的应用是以技术为前提的,相应的,在安全问题的预防对策中,也应从技术方面进行探讨。相关技术人员要对引起信息安全问题的原因进行具体的分析,对电磁波辐射和软件网络引起的信息安全进行重点研究,加强电磁屏蔽技术和密钥加密技术的运用,在生活和生产中宣传计算机安全建设的重要性,普及相关的技术,依靠人民群众的力量,促进计算机网络安全的实施。
参考文献
[1]丁晨皓.计算机安全面临常见问题及防御对策探讨[J].中国新通信,2015,(6):33.
计算机安全中数据加密技术分析
摘要:随着社会经济和科学技术的不断发展,计算机技术不论是在国防、医疗、 教育 、银行、工业等各行业领域都有了广泛的应用,但是,有利必有弊,计算机技术也存在许多弊端。其中,网络的便利的确给人们的办公和日常生活带来极大的便利,可是在网络数据的安全性还是受到人们的质疑,类似的案件也层出不穷,像银行卡和个人信息在银行数据库被攻克时泄露导致个人财产收到极大的损失,所以,加强计算机安全中数据加密技术的应用势在必行。本文就计算机安全中数据加密技术的现状,概念分类及其应用做出简要的分析。
关键词:计算机安全;数据加密技术;应用
一、计算机安全中数据加密技术的发展现状
在现今的计算机 操作系统 领域中,基本上是微软公司一家独大,这十分不利于计算机数据安全,特别是在国防方面,所以我国也在积极研发属于自己的麒麟系统,虽然与国外的计算机操作系统还存在着巨大的差异,但是,这是必须要做的工作,一旦比较重要的国防信息被那些图谋不轨的战争分子掌握,会对国家的财产安全造成巨大的损失。微软公司的wind,S操作系统之所以被广大人民接受,是因为其操作简单,功能齐全,但是,这也导致了众多的黑客不断地对这单一的系统进行攻克,在这一过程中,黑客不断地发现系统漏洞并利用这一漏洞进行攻击,随后,微软公司再对这些漏洞进行封杀和打补丁,这就是为什么微软的操作系统需要不断更新的缘由。操作系统的漏斗是永远无法修补干净的是众所周知的,所以,计算机安全中数据加密技术更需要加快发展。因为利益方面的问题,许多黑客甘愿冒着巨大的风险偷取数据,甚至,这种行为出现了团队化和行业化,对计算机的发展造成了巨大的困扰。从里一个方面来看,现在进人了一个互联网的云时代,许多信息都是通过网络传播和泄露,在这些技术的传播过程中也存在巨大的安全隐患,一些比较重要的信息如果被有心之人截取并解除出来,像个人的银行卡账号密码,身份证号码,家庭住址等比较隐秘的信息,会对个人财产和生命安全带来极大的隐患。所以,计算机安全中数据加密技术就得到了众多人的重视,特别是在数据传输协议上的应用,属于现阶段应该加强的方面。
二、计算机安全中数据加密技术分析
大多数的计算机安全中数据加密技术都是利用密码学的相关技术将一段文字或数据编译成相对应密码文,变成不容易别别人了解其真正含义的文字或数据,除非获得与之相对应的解除 方法 ,否则,即使获得这段信息也不会得到其真正的信息,成为一段无用之文,从而达到将信息加密的效果,保证计算机信息安全的关键和核心。通常,传统的加密方法包括置换表算法、改进的置换表算法、循环位移操作算法、循环校验算法。其中,置换表算法是这些方法中最简单的算法,是将一段数据中的每个字按照相对应的置换表进行等量位移形成加密文件,这一般用于不是而别机密的文件,在对这些加密后的文件进行解读时只需要按照加密所用的置换表进行位移转化还原回来即可。而改进的置换表算法则是为了加强文件的加密程度,利用了两个或者更多的置换表,将文件的每个字符进行随机的转化,当然,这也是有一定规律可言,在进行还原时还是利用相应的置换表还原,理论上讲,所利用的置换表越多,文件的加密效果就越好,但是,相对应的成本和技术要求就越高,可以按照文件的重要性进行适度的选择。循环位移操作加密是一种只能在计算机内操作的加密手段,通常是将文件的字符通过位移计算改变其在文件的方向并通过一个函数循环,快速的完成加密工作,虽然这种加密方法比较复杂,但是其加密效果比较好,在众多领域都有所应用。循环校验算法,简称为CRC,是一种基于计算机或者数据库等传输协议等信息高位数函数校验算法,大多在文件的传输过程中的加密。
三、计算机安全中数据加密技术的应用
计算机安全中数据加密技术的应用非常广泛,应用比较多的有基于数据库的网络加密,基于软件的文件机密,基于电子商务的商务加密,基于虚拟网络的专用网络加密。在其中,每一项计算机安全中数据加密技术的应用都有了十分成熟的方案和技术。由于计算机网络数据库中存放着大量的数据和文件,是大多数黑客的攻克方向,所以,基于网络数据库的加密技术就显得尤为重要。目前的网络数据库管理系统都是在微软的wind,Sllt系统, 系统安全 方面存在着一定的隐患,所以,网络数据库对访问用户的身份验证和权限要求及其严格,特别针对比较敏感的信息和权限设定了特殊的口令和密码识别,这一类的加密方法多适用于银行等数据存量庞大,信息比较重要的领域。基于软件加密的加密技术在我们的日常活动比较常见。日常所用的杀毒软件一般都会带有这种功能,多用于个人比较隐私的文件进行加密,网络上红极一时的艳照门的事发人冠希哥如果懂得利用软件对那些照片进行加密的话就不会流传到网络上了。此外,在进行软件加密时要检查加密软甲的安全性,现在许多电脑病毒专门针对加密软件人侵,一旦被人侵,不但没有起到加密作用,更将个人的隐私暴漏给别人,要是被不法之徒利用,将会对个人的日常生活造成极大的困扰。基于电子商务的加密技术在现今的商业战场上得到了极大地应用。如今的商业竞争极其惨烈,一旦商业机密泄露,会对公司和企业造成极其巨大的损失。现今的电子商务加大的促进了商业的发展格局,许多重要的的商业合同在网上便签订,大大提高了企业的办公效率,但是,随之而来的网络安全问题也随之体现,所以,在网络上签订合同和协议时都是利用专门的传输协议和安全证书,保证合同双方的信息不被其他公司获知,基于电子商务的加密技术成为了商业机密的有力保证。
四、结束语
综上所述,计算机安全中数据加密技术的提高是为了防止计算机中的数据信息被攻克,但这只是一种缓兵之计,没有任何一种计算机信息加密技术能够永远不被攻克,因为,在计算机技术加密技术发展的同时,与其相应的解除技术也在不断发展。计算机数据的安全性也与我们的日常行为有关,不安装不健康的软件,定时杀毒也对保护我们的计算机数据安全有很大的作用。
参考文献:
[1]朱闻亚数据加密技术在计算机网络安全中的应用价值研究田制造业自动化,2012,06:35一36
[2]刘宇平数据加密技术在计算机安全中的应用分析田信息通信,2012,02:160一161
计算机安全与防火墙技术研究
【关键词】随着 网络技术 的应用,网络安全问题成为当今发展的主要问题。保障计算机运行的安全性,不仅要增加新技术,防止一些有害因素侵入计算机,还要随着计算机技术的不断变革与优化,防止计算机内部消息出现泄露现象。本文根据防火墙的主要功能进行分析,研究防火墙技术在计算机安全中的运行方式。
【关键词】计算机;安全;防火墙技术
网络技术促进了人们的生产与生活,给人们带来较大方便。但网络技术在运用也存在一些危害因素,特别是信息泄露等现象制约了人们的积极发展。防火墙技术在网络中的有效运用不仅能促进网络信息的安全性,能够对网络内外部信息合理区分,还能执行严格的监控行为,保证信息使用的安全效果。
1防火墙的主要功能
1.1能够保护网络免受攻击
防火墙的有效利用能够保护网络免受相关现象的攻击。在网络攻击中,路由是主要的攻击形式。如:ICMP重定向路径以及IP选项路径的源路攻击,利用防火墙技术能减少该攻击现象,并能够将信息及时通知给管理员。因此,防火墙能够对信息进行把关、扫描,不仅能防止身份信息的不明现象,还能防止攻击信息的有效利用。
1.2能够说对网络进行访问与存取
防火墙的主要功能能够对网络信息进行有效访问以及信息存取。防火墙在利用过程中,能够对信息的进入进行详细的记录,还能够将网络的使用情况进行统计。如果出现一些可疑信息以及不法通信行为,防火墙就会对其现象进行判断,并对其进行报警。根据对这些信息的有效分析,能够加强对防火墙性能的认识与理解。
1.3能够防止内部消息泄露现象
防火墙的主要功能能够防止内部信息发生泄漏现象。将内部网络信息进行有效划分,能够对所在的信息进行保护,并在一定程度上促进网络信息的安全效果,以防止信息发生外漏现象。因为内网中含有大量的私密信息,这种信息在利用过程中,能够引起相关者的兴趣以及积极性。因此,应发挥防火墙的正确利用以及科学实施,不仅将遇到的问题有效防范,还能对机主信息进行有效保护,以促进实施的安全效果。
1.4能够集中进行安全优化管理
防火墙的主要功能能够实现集中化的安全优化管理。传统的网络执行的措施主要是主机,防火墙在其中的有效利用能够保障普通计算机的安全性,并降低成本。因此,在TCP/IP协议中,利用防火墙进行保护与利用,不仅能实现各个端口的共享性发展,还能解决安全问题。如果在这种形式下,没有利用防火墙进行有效保护,就会出现较大的信息泄露现象。
2防火墙技术在计算机安全中的有效运用
2.1安全服务配置
安全服务隔离区是根据系统管理机群、服务器机群独立表现出来的,并产生了一种独立的、安全的服务隔离区。该部分不仅是内网的重要组成,还是一种比较相对独立的局域网。这种划分形式主要能够提高服务器上的数据保护以及安全运行。相关专家根据网络地址转换技术,能够对内网的主机地址进行映射,保证IP地址使用的有效性。这种发展形式不仅能够对内网的IP地址以及结构进行隐藏,保证内网结构的安全性,还能减少公网IP地址的占有,降低投资成本。如果利用边界路由器,还能加大这些设备的有效利用,特别是防火墙配置的有效利用。虽然原有的路由器具有防火墙功能,但现有的防火墙实现了与内部网络的有效连接。如:安全服务隔离区中的公用服务器并不是利用防火墙来实现的,它能直接与边界路由器进行连接。防火墙与边界路由器的有效结合,形成了双重 保险 形式,形成了安全保护形式,如果在防火墙以及边界路由器之间设置安全服务隔离区,能够加强公用服务器设施的有效利用。
2.2配置访问策略
配置访问策略是防火墙中最重要的安全形式,访问策略在设置期间,并不是随意产生的,而是一种复杂而又精确的表现形式。在这种形式发展下,应加强计算机技术对内、对外的实际应用,还要加强对相关知识的认识和理解,并保证其中的有序发展,从而将访问策略进行科学设置。在这种情况下,主要是由于防火墙的查找形式就是按照一定顺序进行的,要在使用之前对其使用的规则进行设置,能够提高防火墙的运行效率。
2.3日志监控
日志监控是计算机安全保障的主要手段,管理人员在传统的日志管理中,并没有对信息进行选择,其中日志所体现的内容也不够整齐,日志内容不仅复杂,而且数量也比较多,在这种情况下,降低了日志的利用效率。但在实际发展中,日志监控具有较大优势,其中存在一定的应用价值,是当今时代发展的关键信息。一般情况下,日志监控中的系统告警信息具有较大的记录价值,将这些信息进行优化选择,然后进行保存、备份,以保证计算机信息的安全性、防止信息的丢失现象。
3 总结
防火墙技术是网络安全保障的一种技术形式,由于网络中存在的有些不安全因素,在根本上并不能完全保障计算机网络安全。因此,在对防火墙技术进行实际利用过程中,要保证科学性、整体性以及全面性分析,从而保证计算机网络运行的安全效果。
参考文献
[1]侯亮.对计算机网络应用中防火墙技术的研究[J].网友世界.云教育,2014(15):7-7.
[2]冯思毅.试论计算机防火墙技术及其应用[J].河北工程大学学报(社会科学版),2015(1):113-114.
[3]马利,梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术,2014(16):3743-3745.
[4]王丽玲.浅谈计算机安全与防火墙技术[J].电脑开发与应用,2012,25(11):67-69.
有关计算机网络安全问题论文推荐:
1. 论计算机网络安全管理中的问题论文
2. 计算机网络安全隐患及防范的论文
3. 计算机网络安全防范的论文
4. 有关计算机网络安全的论文
5. 计算机网络安全与防范论文
6. 计算机网络安全毕业论文范文