網(wǎng)絡(luò)信息安全論文范文第1篇
目前,對信息異化概念有不同的說法,多是處于人的視角,認為信息異化是人類創(chuàng)造了信息,信息在生產(chǎn)、傳播和利用等活動過程中有各種的阻礙,使得信息喪失其初衷,反客為主演變成外在的異化力量,反過來支配、統(tǒng)治和控制人的力量。其意針對的是人們創(chuàng)造的那部分信息,研究的是信息所擁有的社會屬性,說到底是研究人造成的異化問題,只是使用了限定詞的一個信息而已,疑似把“信息異化”當作“信息過程中人的異化”同一個歸類。這樣,使得異化的被動內(nèi)涵被隱藏起來,結(jié)果造就了“信息對人的異化”方面的研究,疏忽對信息自然屬性及“信息被異化”的研究,最后使信息異化研究具有片面性。筆者最后選擇一個信息異化概念?!靶畔惢笔侵感畔⒃趯嵺`活動(包括信息的生產(chǎn)、制造,傳播及接收等)過程中,在信息不自由的狀態(tài)下變?yōu)楫愒谟谄浔菊婊顒咏Y(jié)果的現(xiàn)象。關(guān)于信息安全,部分專家對信息安全的定義為:“一個國家的社會信息化狀態(tài)不受外來的威脅與侵害;一個國家的信息技術(shù)體系不受外來的威脅與侵害?!边@個定義,包含現(xiàn)有對信息安全的先進認識,又包含了更加廣泛的信息安全領(lǐng)域,是目前較為全面且被認可的定義。信息安全本身包括的范圍極大,其中包括如何防范企業(yè)商機泄露、防范未成年人對不良信息的瀏覽、個人信息的泄露損失等。所以網(wǎng)絡(luò)信息安全體系的建立是保證信息安全的重要關(guān)鍵,其中包含計算機安全操作系統(tǒng)、各種的安全協(xié)議、安全機制(數(shù)字簽名、消息認證、數(shù)據(jù)加密等),直至安全系統(tǒng),只要一環(huán)出現(xiàn)漏洞便會產(chǎn)生危險危害。如今,網(wǎng)絡(luò)安全技術(shù)雜亂零散且繁多,實現(xiàn)成本相應增加,對網(wǎng)絡(luò)性能的影響逐漸增大。其復雜性使得它的臃腫的弊端慢慢顯現(xiàn)出來,業(yè)界需要相應的創(chuàng)新的理念和戰(zhàn)略去解決網(wǎng)絡(luò)安全問題以及它的性能問題,在這種背景下可信網(wǎng)絡(luò)開始出現(xiàn)在世人的眼中。現(xiàn)在大眾可信網(wǎng)絡(luò)有不同理解與觀點,有的認為可信應該以認證為基礎(chǔ),有的認為是以現(xiàn)有安全技術(shù)的整合為基石;有的認為是網(wǎng)絡(luò)的內(nèi)容可信化,有的認為可信是網(wǎng)絡(luò)是基于自身的可信,有的認為是網(wǎng)絡(luò)上提供服務(wù)的可信等,雖說眾說紛紜,但其目的是一致的:提升網(wǎng)絡(luò)以及服務(wù)的安全性,使人類在信息社會中受益??尚啪W(wǎng)絡(luò)可提升并改進網(wǎng)絡(luò)的性能,減少因為不信任帶來的監(jiān)視、不信任等系統(tǒng)的成本,提高系統(tǒng)的整體性能。
二、可信網(wǎng)絡(luò)國內(nèi)外研究
(一)可信網(wǎng)絡(luò)國外研究
在可信網(wǎng)絡(luò)的研究中,Clark等學者在NewArch項目的研究中提出了“信任調(diào)節(jié)透明性”(trust-modulatedtransparency)原則,他們期望在現(xiàn)實社會的互相信任關(guān)系能夠反映在網(wǎng)絡(luò)上。基于雙方用戶的信任需求,網(wǎng)絡(luò)可以提供一定范圍的服務(wù),如果雙方彼此完全信任,則他們的交流將是透明化、沒有約束的,如果不是則需要被檢查甚至是被約束。美國高級研究計劃局出的CHAT(compostablehigh-Assurancetrustworthysystems)項目研究了在指定條件下運行如何開發(fā)出可快速配置的高可信系統(tǒng)及網(wǎng)絡(luò)來滿足關(guān)鍵的需求,其中包含了安全性、可生存性、可靠性、性能和其他相關(guān)因素。TRIAD(trustworthyrefinementthroughintrusion-awaredesign)項目研究了以策略為中心的入校檢測模型,他們利用模型去提高網(wǎng)絡(luò)系統(tǒng)的可信性。但因為網(wǎng)絡(luò)有著復雜基于信息異化下的信息安全中可信網(wǎng)絡(luò)分析研究柳世豫,郭東強摘要:互聯(lián)網(wǎng)逐漸成為我們生活中不可或缺的同時,其弊端也開始出現(xiàn)。未來網(wǎng)絡(luò)應該是可信的,這一觀點已成為業(yè)界共性的特點,如何構(gòu)建可信網(wǎng)絡(luò)是需要研究的。因此TCG先進行較為簡單的可信網(wǎng)絡(luò)連接問題。它將可信計算機制延伸到網(wǎng)絡(luò)的技術(shù),在終端連入網(wǎng)絡(luò)前,開始進行用戶的身份認證;若用戶認證通過,再進行終端平臺的身份認證;若終端平臺的身份認證也通過,最后進行終端平臺的可信狀態(tài)度量,若度量結(jié)果滿足網(wǎng)絡(luò)連入的安全策略,將允許終端連入網(wǎng)絡(luò),失敗則將終端連入相應隔離區(qū)域,對它進行安全性補丁和升級。TNC是網(wǎng)絡(luò)接入控制的一種實現(xiàn)方式,是相對主動的一種網(wǎng)絡(luò)防御技術(shù),它能夠防御大部分的潛在攻擊并且在他們攻擊前就進行防御。2004年5月TCG成立了可信網(wǎng)絡(luò)連接分組(trustednetworkconnectionsubgroup),主要負責研究及制定可信網(wǎng)絡(luò)連接TNC(trustednetworkconnection)框架及相關(guān)的標準。2009年5月,TNC了TNC1.4版本的架構(gòu)規(guī)范,實現(xiàn)以TNC架構(gòu)為核心、多種組件之間交互接口為支撐的規(guī)范體系結(jié)構(gòu),實現(xiàn)了與Microsoft的網(wǎng)絡(luò)訪問保護(networkaccessprotection,NAP)之間的互操作,他們將相關(guān)規(guī)范起草到互聯(lián)網(wǎng)工程任務(wù)組(internationalengineertaskforce,IETF)的網(wǎng)絡(luò)訪問控制(networkaccesscontrol,NAC)規(guī)范中。如今已有許多企業(yè)的產(chǎn)品使用TNC體系結(jié)構(gòu),如ExtremeNetworks,HPProCureve,JuniperNetworks,OpSwat,Patchlink,Q1Labs,StillSecure,WaveSystems等。
(二)可信網(wǎng)絡(luò)國內(nèi)研究
我國也有學者進行了可信網(wǎng)絡(luò)的研究。林闖等進行了可信網(wǎng)絡(luò)概念研究以及建立相關(guān)模型,提出網(wǎng)絡(luò)可信屬性的定量計算方法。期望基于網(wǎng)絡(luò)體系結(jié)構(gòu)自身來改善信息安全的方式來解決網(wǎng)絡(luò)脆弱性問題,通過保護網(wǎng)絡(luò)信息中的完整性、可用性、秘密性和真實性來保護網(wǎng)絡(luò)的安全性、可控性以及可生存性。利用在網(wǎng)絡(luò)體系結(jié)構(gòu)中的信任機制集成,使安全機制增強,在架構(gòu)上對可信網(wǎng)絡(luò)提出了相關(guān)設(shè)計原則。閔應驊認為能夠提供可信服務(wù)的網(wǎng)絡(luò)是可信網(wǎng)絡(luò),并且服務(wù)是可信賴和可驗證的。這里的可信性包括健壯性、安全性、可維護性、可靠性、可測試性與可用性等。TNC進行設(shè)計過程中需要考慮架構(gòu)的安全性,同時也要考慮其兼容性,在一定程度上配合現(xiàn)有技術(shù),因此TNC在優(yōu)點以外也有著局限性。TNC的突出優(yōu)點是安全性和開放性。TNC架構(gòu)是針對互操作的,向公眾開放所有規(guī)范,用戶能夠無償獲得規(guī)范文檔。此外,它使用了很多現(xiàn)有的標準規(guī)范,如EAP、802.1X等,使得TNC可以適應不同環(huán)境的需要,它沒有與某個具體的產(chǎn)品進行綁定。TNC與NAC架構(gòu)、NAP架構(gòu)的互操作也說明了該架構(gòu)的開放性。NC的擴展是傳統(tǒng)網(wǎng)絡(luò)接入控制技術(shù)用戶身份認證的基礎(chǔ)上增加的平臺身份認證以及完整性驗證。這使得連入網(wǎng)絡(luò)的終端需要更高的要求,但同時提升了提供接入的網(wǎng)絡(luò)安全性。雖然TNC具有上述的優(yōu)點,但是它也有一定的局限性:
1.完整性的部分局限。TNC是以完整性為基礎(chǔ)面對終端的可信驗證。但這種可信驗證只能保證軟件的靜態(tài)可信,動態(tài)可信的內(nèi)容還處于研究中。因此TNC接入終端的可信還處于未完善的階段。
2.可信評估的單向性。TNC的初衷是確保網(wǎng)絡(luò)安全,在保護終端的安全上缺乏考慮。終端在接入網(wǎng)絡(luò)之前,在提供自身的平臺可信性證據(jù)的基礎(chǔ)上,還需要對接入的網(wǎng)絡(luò)進行可信性評估,否則不能確保從網(wǎng)絡(luò)中獲取的服務(wù)可信。
3.網(wǎng)絡(luò)接入后的安全保護。TNC只在終端接入網(wǎng)絡(luò)的過程中對終端進行了平臺認證與完整性驗證,在終端接入網(wǎng)絡(luò)之后就不再對網(wǎng)絡(luò)和終端進行保護。終端平臺有可能在接入之后發(fā)生意外的轉(zhuǎn)變,因此需要構(gòu)建并加強接入后的控制機制。在TNC1.3架構(gòu)中增加了安全信息動態(tài)共享,在一定程度上增強了動態(tài)控制功能。
4.安全協(xié)議支持。TNC架構(gòu)中,多個實體需要進行信息交互,如TNCS與TNCC、TNCC與IMC、IMV與TNCS、IMC與IMV,都需要進行繁多的信息交互,但TNC架構(gòu)并沒有給出相對應的安全協(xié)議。
5.范圍的局限性。TNC應用目前局限在企業(yè)內(nèi)部網(wǎng)絡(luò),難以提供多層次、分布式、電信級、跨網(wǎng)絡(luò)域的網(wǎng)絡(luò)訪問控制架構(gòu)。在TNC1.4架構(gòu)中增加了對跨網(wǎng)絡(luò)域認證的支持,以及對無TNC客戶端場景的支持,在一定程度上改善了應用的局限性。我國學者在研究分析TNC的優(yōu)缺點的同時結(jié)合中國的實際情況,對TNC進行了一些改進,形成了中國的可信網(wǎng)絡(luò)連接架構(gòu)。我國的可信網(wǎng)絡(luò)架構(gòu)使用了集中管理、對等、三元、二層的結(jié)構(gòu)模式。策略管理器作為可信的第三方,它可以集中管理訪問請求者和訪問控制器,網(wǎng)絡(luò)訪問控制層和可信平臺評估層執(zhí)行以策略管理器為基礎(chǔ)的可信第三方的三元對等鑒別協(xié)議,實現(xiàn)訪問請求者和訪問控制器之間的雙向用戶身份認證和雙向平臺可信性評估。該架構(gòu)采用國家自主知識產(chǎn)權(quán)的鑒別協(xié)議,將訪問控制器以及訪問請求者作為對等實體,通過策可信第三方的略管理器,簡化了身份管理、策略管理和證書管理機制,同時進行終端與網(wǎng)絡(luò)的雙向認證,提供了一種新思路。在國家“863”計劃項目的支持下,取得了如下成果:
(1)在對TNC在網(wǎng)絡(luò)訪問控制機制方面的局限性進行研究分析后,同時考慮可信網(wǎng)絡(luò)連接的基本要求,提出了一種融合網(wǎng)絡(luò)訪問控制機制、系統(tǒng)訪問控制機制和網(wǎng)絡(luò)安全機制的統(tǒng)一網(wǎng)絡(luò)訪問控制LTNAC模型,對BLP模型進行動態(tài)可信性擴展,建立了TE-BLP模型,期望把可信度與統(tǒng)一網(wǎng)絡(luò)訪問控制模型結(jié)合起來。
(2)通過研究獲得了一個完整的可信網(wǎng)絡(luò)連接原型系統(tǒng)。該系統(tǒng)支持多樣認證方式和基于完整性挑戰(zhàn)與完整性驗證協(xié)議的遠程證明,來實現(xiàn)系統(tǒng)平臺間雙向證明和以遠程證明為基礎(chǔ)的完整性度量器和驗證器,最后完成可信網(wǎng)絡(luò)連接的整體流程。
三、可信網(wǎng)絡(luò)模型分析
(一)網(wǎng)絡(luò)與用戶行為的可信模型
可信是在傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上的拓展:安全是外在的表現(xiàn)形式,可信則是進行行為過程分析所得到的可度量的一種屬性。如何構(gòu)建高效分析刻畫網(wǎng)絡(luò)和用戶行為的可信模型是理解和研究可信網(wǎng)絡(luò)的關(guān)鍵。這是目前網(wǎng)絡(luò)安全研究領(lǐng)域的一個新共識。構(gòu)建網(wǎng)絡(luò)和用戶的可信模型的重要性體現(xiàn)于:它只準確而抽象地說明了系統(tǒng)的可信需求卻不涉及到其他相關(guān)實現(xiàn)細節(jié),這使得我們能通過數(shù)學模型分析方法去發(fā)現(xiàn)系統(tǒng)在安全上的漏洞。可信模型同時也是系統(tǒng)進行研發(fā)的關(guān)鍵步驟,在美國國防部的“可信計算機系統(tǒng)的評價標準(TCSEC)”中,從B級階段就需要對全模型進行形式化描述和驗證,以及形式化的隱通道分析等。我們還需要可信模型的形式化描述、驗證和利用能夠提高網(wǎng)絡(luò)系統(tǒng)安全的可信度。最后,構(gòu)建理論來說明網(wǎng)絡(luò)的脆弱性評估和用戶遭受攻擊行為描述等的可信評估,這是實現(xiàn)系統(tǒng)可信監(jiān)測、預測和干預的前提,是可信網(wǎng)絡(luò)研究的理論所有基礎(chǔ)。完全安全的網(wǎng)絡(luò)系統(tǒng)目前還無法實現(xiàn),因此網(wǎng)絡(luò)脆弱性評估的最終目的不是完全消除脆弱性,而是找到一個解決方案,讓系統(tǒng)管理員在“提供服務(wù)”和“保證安全”之間找到平衡,主動檢測在攻擊發(fā)生之前,如建立攻擊行為的設(shè)定描述,通過在用戶中區(qū)分隱藏的威脅,以可信評估為基礎(chǔ)上進行主機的接入控制。傳統(tǒng)檢測多為以規(guī)則為基礎(chǔ)的局部檢測,它很難進行整體檢測。但我們現(xiàn)有的脆弱性評估工具卻絕大多數(shù)都是傳統(tǒng)基于規(guī)則的檢測工具,頂多對單一的主機的多種服務(wù)進行簡陋的檢查,對多終端構(gòu)建的網(wǎng)絡(luò)進行有效評估還只能依靠大量人力。以模型為基礎(chǔ)的模式為整個系統(tǒng)建立一個模型,通過模型可取得系統(tǒng)所有可能發(fā)生的行為和狀態(tài),利用模型分析工具測試,對整個系統(tǒng)的可信性評估。圖2說明了可信性分析的元素。網(wǎng)絡(luò)行為的信任評估包括行為和身份的信任,而行為可信又建立在防護能力、信任推薦、行為記錄、服務(wù)能力等基礎(chǔ)之上。
(二)可信網(wǎng)絡(luò)的體系結(jié)構(gòu)
互聯(lián)網(wǎng)因技術(shù)和理論的不足在建立時無法考量其安全周全,這是網(wǎng)絡(luò)脆弱性的一個重要產(chǎn)生因素。但是如今很多網(wǎng)絡(luò)安全設(shè)計卻常常忽略網(wǎng)絡(luò)體系的核心內(nèi)容,大多是單一的防御、單一的信息安全和補丁補充機制,遵從“堵漏洞、作高墻、防外攻”的建設(shè)樣式,通過共享信息資源為中心把非法侵入者拒之門外,被動的達到防止外部攻擊的目的。在黑客技術(shù)日漸復雜多元的情況下,冗長的單一防御技術(shù)讓系統(tǒng)規(guī)模龐大,卻降低了網(wǎng)絡(luò)性能,甚至破壞了系統(tǒng)設(shè)計的開放性、簡單性的原則。因此這些被動防御的網(wǎng)絡(luò)安全是不可信的,所以從結(jié)構(gòu)設(shè)計的角度減少系統(tǒng)脆弱性且提供系統(tǒng)的安全服務(wù)特別重要。盡管在開放式系統(tǒng)互連參考模型的擴展部分增加了有關(guān)安全體系結(jié)構(gòu)的描述,但那只是不完善的概念性框架。網(wǎng)絡(luò)安全不再只是信息的可用性、機密性和完整性,服務(wù)的安全作為一個整體屬性被用戶所需求,因此研究人員在重新設(shè)計網(wǎng)絡(luò)體系時需考慮從整合多種安全技術(shù)并使其在多個層面上相互協(xié)同運作。傳統(tǒng)的補丁而補充到網(wǎng)絡(luò)系統(tǒng)上的安全機制已經(jīng)因為單個安全技術(shù)或者安全產(chǎn)品的功能和性能使得它有著極大地局限性,它只能滿足單一的需求而不是整體需求,這使得安全系統(tǒng)無法防御多種類的不同攻擊,嚴重威脅這些防御設(shè)施功效的發(fā)揮。如入侵檢測不能對抗電腦病毒,防火墻對術(shù)馬攻擊也無法防范。因為如此,網(wǎng)絡(luò)安全研究的方向開始從被動防御轉(zhuǎn)向了主動防御,不再只是對信息的非法封堵,更需要從訪問源端就進行安全分析,盡量將不信任的訪問操作控制在源端達到攻擊前的防范。因此我們非常需要為網(wǎng)絡(luò)提供可信的體系結(jié)構(gòu),從被動轉(zhuǎn)向主動,單一轉(zhuǎn)向整體??尚啪W(wǎng)絡(luò)結(jié)構(gòu)研究必須充分認識到網(wǎng)絡(luò)的復雜異構(gòu)性,從系統(tǒng)的角度確保安全服務(wù)的一致性。新體系結(jié)構(gòu)如圖3所示,監(jiān)控信息(分發(fā)和監(jiān)測)以及業(yè)務(wù)數(shù)據(jù)的傳輸通過相同的物理鏈路,控制信息路徑和數(shù)據(jù)路徑相互獨立,這樣監(jiān)控信息路徑的管理不再只依賴于數(shù)據(jù)平面對路徑的配置管理,從而可以建立高可靠的控制路徑。其形成的強烈對比是對現(xiàn)有網(wǎng)絡(luò)的控制和管理信息的傳輸,必須依賴由協(xié)議事先成功設(shè)置的傳輸路徑。
(三)服務(wù)的可生存性
可生存性在特定領(lǐng)域中是一種資源調(diào)度問題,也就是通過合理地調(diào)度策略來進行服務(wù)關(guān)聯(lián)的冗余資源設(shè)計,通過實時監(jiān)測機制來監(jiān)視調(diào)控這些資源的性能、機密性、完整性等。但網(wǎng)絡(luò)系統(tǒng)的脆弱性、客觀存在的破壞行為和人為的失誤,在網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)性作用逐漸增強的現(xiàn)實,確保網(wǎng)絡(luò)的可生存性就有著重要的現(xiàn)實意義。由于當時技術(shù)與理論的不足,使得網(wǎng)絡(luò)存在著脆弱性表現(xiàn)在設(shè)計、實現(xiàn)、運行管理的各個環(huán)節(jié)。網(wǎng)絡(luò)上的計算機需要提供某些服務(wù)才能與其他計算機相互通信,其脆弱性在復雜的系統(tǒng)中更加體現(xiàn)出來。除了人為疏忽的編程錯誤,其脆弱性還應該包含網(wǎng)絡(luò)節(jié)點的服務(wù)失誤和軟件的不當使用和網(wǎng)絡(luò)協(xié)議的缺陷。協(xié)議定義了網(wǎng)絡(luò)上計算機會話和通信的規(guī)則,若協(xié)議本身就有問題,無論實現(xiàn)該協(xié)議的方法多么完美,它都存在漏洞。安全服務(wù)是網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵服務(wù),它的某個部分失去效用就代表系統(tǒng)會更加危險,就會導致更多服務(wù)的失控甚至是系統(tǒng)自身癱瘓。因此必須將這些關(guān)鍵服務(wù)的失效控制在用戶許可的范圍內(nèi)??缮嫘缘难芯勘仨氃讵毩⒂诰唧w破壞行為的可生存性的基本特征上進行理論拓展,提升系統(tǒng)的容錯率來減少系統(tǒng)脆弱性,將失控的系統(tǒng)控制在可接受范圍內(nèi),通過容侵設(shè)計使脆弱性被非法入侵者侵入時,盡可能減少破壞帶來的影響,替恢復的可能性創(chuàng)造機會。
(四)網(wǎng)絡(luò)的可管理性
目前網(wǎng)絡(luò)已成為一個復雜巨大的非線性系統(tǒng),具有規(guī)模龐大、用戶數(shù)量持續(xù)增加、業(yè)務(wù)種類繁多、協(xié)議體系復雜等特點。這已遠超設(shè)計的初衷,這讓網(wǎng)絡(luò)管理難度加大。網(wǎng)絡(luò)的可管理性是指在內(nèi)外干擾的網(wǎng)絡(luò)環(huán)境情況下,對用戶行為和網(wǎng)絡(luò)環(huán)境持續(xù)的監(jiān)測、分析和決策,然后對設(shè)備、協(xié)議和機制的控制參數(shù)進行自適應優(yōu)化配置,使網(wǎng)絡(luò)的數(shù)據(jù)傳輸、用戶服務(wù)和資源分配達到期望的目標?,F(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)上添加網(wǎng)絡(luò)管理功能,它無法實現(xiàn)網(wǎng)絡(luò)的有效管理,這是因為現(xiàn)有的網(wǎng)絡(luò)體系與管理協(xié)議不兼容??尚啪W(wǎng)絡(luò)必須是可管理的網(wǎng)絡(luò),網(wǎng)絡(luò)的可管理性對于網(wǎng)絡(luò)的其他本質(zhì)屬性,如安全性、普適性、魯棒性等也都有著重要的支撐作用?!熬W(wǎng)絡(luò)管理”是指對網(wǎng)絡(luò)情況持續(xù)進行監(jiān)測,優(yōu)化網(wǎng)絡(luò)設(shè)備配置并運行參數(shù)的過程,包括優(yōu)化決策和網(wǎng)絡(luò)掃描兩個重要方面。研究管理性是通過改善網(wǎng)絡(luò)體系中會導致可管理性不足的設(shè)計,達到網(wǎng)絡(luò)可管理性,實現(xiàn)網(wǎng)絡(luò)行為的可信姓,再解決網(wǎng)絡(luò)本質(zhì)問題如安全性、魯棒性、普適性、QoS保障等,提供支撐,使網(wǎng)絡(luò)的適應能力加強。
四、結(jié)論
綜上所述,互聯(lián)網(wǎng)有著復雜性和脆弱性等特征,當前孤立分散、單一性的防御、系統(tǒng)補充的網(wǎng)絡(luò)安全系統(tǒng)己經(jīng)無法應對具有隱蔽多樣可傳播特點的破壞行為,我們不可避免系統(tǒng)的脆弱性,可以說網(wǎng)絡(luò)正面臨重要的挑戰(zhàn)。我國網(wǎng)絡(luò)系統(tǒng)的可信網(wǎng)絡(luò)研究從理論技術(shù)上來說還處于初級階段,缺乏統(tǒng)一的標準,但是它己經(jīng)明確成為國內(nèi)外信息安全研究的新方向。隨著大數(shù)據(jù)的到來,全球的頭腦風暴讓信息技術(shù)日新月異,新技術(shù)帶來的不只有繁榮,同時也帶來異化。昨日的技術(shù)已經(jīng)無法適應今日的需求,從以往的例子中可以得知信息安全的災難是廣泛的、破壞性巨大、持續(xù)的,我們必須未雨綢繆并且不停地發(fā)展信息安全的技術(shù)與制度來阻止悲劇的發(fā)生。信息異化帶來的信息安全問題是必不可免的,它是網(wǎng)絡(luò)世界一個嚴峻的挑戰(zhàn),對于可信網(wǎng)絡(luò)的未來我們可以從安全性、可控性、可生存性來創(chuàng)新發(fā)展,新的防御系統(tǒng)將通過冗余、異構(gòu)、入侵檢測、自動入侵響應、入侵容忍等多種技術(shù)手段提高系統(tǒng)抵抗攻擊、識別攻擊、修復系統(tǒng)及自適應的能力,從而達到我們所需的實用系統(tǒng)??梢酝ㄟ^下述研究方向來發(fā)展可信網(wǎng)絡(luò):
(一)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的基本屬性
之一是復雜性,網(wǎng)絡(luò)可信性研究需要通過宏觀與微觀上對網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)屬性的定性,定量刻畫,深入探索網(wǎng)絡(luò)系統(tǒng)可靠性的影響,這樣才能為網(wǎng)絡(luò)可信設(shè)計、改進、控制等提供支持。因此,以復雜網(wǎng)絡(luò)為基礎(chǔ)的可信網(wǎng)絡(luò)會成為一個基礎(chǔ)研究方向。
(二)網(wǎng)絡(luò)系統(tǒng)區(qū)別于一般系統(tǒng)的第二個重要屬性
是動態(tài)性,其包含網(wǎng)絡(luò)系統(tǒng)歷經(jīng)時間的演化動態(tài)性和網(wǎng)絡(luò)失去效用行為的級聯(lián)動態(tài)性。如今,學術(shù)上對可信網(wǎng)絡(luò)靜態(tài)性研究較多,而動態(tài)性研究較少,這無疑是未來可信網(wǎng)絡(luò)研究的一大方向。
(三)網(wǎng)絡(luò)系統(tǒng)的范圍與規(guī)模日漸龐大
節(jié)點數(shù)量最多以百萬計算,在可信網(wǎng)絡(luò)研究中我們需要去解決復雜性問題計算,這是一個可信網(wǎng)絡(luò)研究需要解決的問題。如今重中之重是研究構(gòu)建可靠地可信模型與相應的算法,而近似算法、仿真算法將成為主要解決途徑。
網(wǎng)絡(luò)信息安全論文范文第2篇
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應用,信息安全問題正日益突出顯現(xiàn)出來,受到越來越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀.探討了網(wǎng)絡(luò)信息安全的內(nèi)涵,分析了網(wǎng)絡(luò)信息安全的主要威脅,最后給出了網(wǎng)絡(luò)信息安全的實現(xiàn)技術(shù)和防范措施.以保障計算機網(wǎng)絡(luò)的信息安全,從而充分發(fā)揮計算機網(wǎng)絡(luò)的作用。
論文關(guān)鍵詞:計算機,網(wǎng)絡(luò)安全,安全管理,密鑰安全技術(shù)
當今社會.網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應包括靜態(tài)安全和動態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性:動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》。報告顯示,截至2008年底,中國網(wǎng)民數(shù)達到2.98億.手機網(wǎng)民數(shù)超1億達1.137億。
Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型,還是技術(shù)控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機構(gòu)或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網(wǎng)絡(luò)信息安全管理.至少應從下面幾個方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設(shè)立專職的系統(tǒng)管理員.進行定時強化培訓.對網(wǎng)絡(luò)運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監(jiān)督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運行。
④應明確網(wǎng)絡(luò)信息的分類.按等級采取不同級別的安全保護。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況.以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。
4.2認證技術(shù)
認證是防止主動攻擊的重要技術(shù).它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發(fā)送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術(shù)
加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結(jié)合使用.互補長短。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應用前景。數(shù)字水印是信息隱藏技術(shù)的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到。
4.5入侵檢測技術(shù)的應用
人侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息.再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統(tǒng)發(fā)生危害前.檢測到入侵攻擊.并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關(guān)信息.作為防范系統(tǒng)的知識.添加入策略集中.增強系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù).是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
5結(jié)語
網(wǎng)絡(luò)信息安全論文范文第3篇
油田企業(yè)的數(shù)據(jù)信息資源,對油田企業(yè)非常重要,一旦受到破壞,將會給油田企業(yè)帶來巨大的經(jīng)濟損失。所以在油田網(wǎng)絡(luò)信息安全體系建設(shè)的過程中,需要將其安全性提升,加強外部安全建設(shè)。在預防為主的基礎(chǔ)上進行,對外部因素、病毒因素的影響,只有將系統(tǒng)的安全性提升,才可以杜絕此類影響的發(fā)生。在油田網(wǎng)絡(luò)信息安全體系建設(shè)中,建立防火墻,可以將體系的安全性提升,在網(wǎng)絡(luò)和油田網(wǎng)絡(luò)信息安全體系之間建立一個安全網(wǎng)關(guān),保護體系不受非法入侵者侵入和攻擊。防火墻的建設(shè),將體系的安全性、網(wǎng)絡(luò)的安全性提升,有效地阻止了體系的非法訪問,不允許外網(wǎng)訪問內(nèi)網(wǎng)。在建設(shè)網(wǎng)絡(luò)防火墻的基礎(chǔ),增加入侵檢測設(shè)置,對系統(tǒng)入侵進行控制。入侵檢測技術(shù)是防火墻的一種互補,可以提升油田網(wǎng)絡(luò)信息安全體系中信息管理的性能,保證信息的完整性,減少網(wǎng)絡(luò)威脅。
2加強內(nèi)部建設(shè)
在加強外部安全建設(shè)之后,油田網(wǎng)絡(luò)安全信息體系的建設(shè),想要保證信息管理的安全性,保證信息的完整性,還需要加強系統(tǒng)的內(nèi)部建設(shè)。從當前油田網(wǎng)絡(luò)信息安全體系建設(shè)現(xiàn)狀進行分析,加強內(nèi)部建設(shè),可以從設(shè)置系統(tǒng)訪問權(quán)限、對網(wǎng)絡(luò)病毒進行防治、加強網(wǎng)絡(luò)信息安全體系的管理等方面入手。保證油田網(wǎng)絡(luò)信息安全體系以及信息安全的有效手段之一,就是設(shè)置系統(tǒng)的訪問權(quán)限,采用虛擬網(wǎng)絡(luò)技術(shù)對油田企業(yè)的數(shù)據(jù)信息安全進行保護。其次是加強病毒防治技術(shù)的應用,提高網(wǎng)絡(luò)信息體系的安全。病毒在網(wǎng)絡(luò)中的傳播途徑和傳播方法有多種,為了提升油田網(wǎng)絡(luò)信息安全體系的安全,提升信息管理質(zhì)量,需要堅持層層設(shè)防、集中控制、以防為主防治結(jié)合的原則,進行系統(tǒng)安全性的建設(shè)。最后加強系統(tǒng)的安全管理,如果網(wǎng)絡(luò)安全管理缺乏,系統(tǒng)在工作的過程中,也會對數(shù)據(jù)信息的安全產(chǎn)生一定的威脅,為此需要在油田網(wǎng)絡(luò)信息安全體系運用中,加強網(wǎng)絡(luò)安全管理,提高系統(tǒng)的病毒防治有效性。
3結(jié)語
信息化建設(shè)的快速發(fā)展,帶動了我國經(jīng)濟的發(fā)展,尤其是油田企業(yè)信息化的建設(shè),為其信息管理工作提供了保障。在油田網(wǎng)絡(luò)安全體系建設(shè)和管理中,網(wǎng)絡(luò)信息的安全受到多種因素的影響,為了提升信息管理質(zhì)量,保證信息安全關(guān)系體系的安全和正常運行,在其建設(shè)的過程中,需要加強內(nèi)部建設(shè)和外部建設(shè),將影響信息安全和信息管理的因素消除,提高系統(tǒng)的安全性,為油田信息數(shù)據(jù)的安全管理提升保障。
網(wǎng)絡(luò)信息安全論文范文第4篇
1.1設(shè)計目標網(wǎng)絡(luò)安全檢測系統(tǒng)需要對網(wǎng)絡(luò)中的用戶計算機和網(wǎng)絡(luò)訪問行為進行審計,檢測系統(tǒng)具有自動響應、自動分析功能。自動相應是指當系統(tǒng)發(fā)現(xiàn)有用戶非法訪問網(wǎng)絡(luò)資源,系統(tǒng)將自動阻止,向管理員發(fā)出警示信息,并記錄非法訪問來源;自動分析是根據(jù)用戶網(wǎng)絡(luò)應用時應用的軟件或者網(wǎng)址進行分析,通過建立黑名單功能將疑似威脅的程序或者方式過濾掉。此外,系統(tǒng)還具有審計數(shù)據(jù)自動生成、查詢和系統(tǒng)維護功能等。
1.2網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)網(wǎng)絡(luò)安全檢測系統(tǒng)架構(gòu)采用分級式設(shè)計,架構(gòu)圖如。分級設(shè)計網(wǎng)絡(luò)安全檢測系統(tǒng)具有降低單點失效的風險,同時還可以降低服務(wù)器負荷,在系統(tǒng)的擴容性、容錯性和處理速度上都具有更大的能力。
2系統(tǒng)功能設(shè)計
網(wǎng)絡(luò)安全檢測系統(tǒng)功能模塊化設(shè)計將系統(tǒng)劃分為用戶身份管理功能模塊、實時監(jiān)控功能模塊、軟件管理模塊、硬件管理模塊、網(wǎng)絡(luò)管理和文件管理。用戶身份管理功能模塊是實現(xiàn)對網(wǎng)絡(luò)用戶的身份識別和管理,根據(jù)用戶等級控制使用權(quán)限;實時監(jiān)控模塊對在線主機進行管理,采用UDP方式在網(wǎng)絡(luò)主機上的檢測程序發(fā)送監(jiān)控指令,檢測程序?qū)Ρ镜剡M行列表進行讀取,實時向服務(wù)器反饋信息;軟件管理模塊是將已知有威脅的軟件名稱、參數(shù)等納入管理數(shù)據(jù)庫,當用戶試圖應用此軟件時,檢測系統(tǒng)會發(fā)出警告或者是拒絕應用;硬件管理模塊對網(wǎng)絡(luò)中的應用硬件進行登記,當硬件非法變更,系統(tǒng)將發(fā)出警告;網(wǎng)絡(luò)管理模塊將已知有威脅網(wǎng)絡(luò)IP地址納入管理數(shù)據(jù)庫,當此IP訪問網(wǎng)絡(luò)系統(tǒng)時,檢測系統(tǒng)會屏蔽此IP并發(fā)出警告;文件管理模塊,對被控計算機上運行的文件進行實時審計,當用戶應用的文件與系統(tǒng)數(shù)據(jù)庫中非法文件記錄匹配,則對該文件進行自動刪除,或者提示用戶文件存在風險。
3數(shù)據(jù)庫設(shè)計
本文所設(shè)計的網(wǎng)絡(luò)安全檢測系統(tǒng)采用SQLServer作為數(shù)據(jù)庫,數(shù)據(jù)庫中建立主體表,其描述網(wǎng)絡(luò)中被控主機的各項參數(shù),譬如編號、名稱、IP等;建立用戶表,用戶表中記錄用戶編號、用戶名稱、用戶等級等;建立網(wǎng)絡(luò)運行狀態(tài)表,其保存網(wǎng)絡(luò)運行狀態(tài)結(jié)果、運行狀態(tài)實際內(nèi)容等,建立軟件、硬件、信息表,表中包含軟件的名稱、版本信息、容量大小和硬件的配置信息等;建立軟件、網(wǎng)址黑名單,對現(xiàn)已發(fā)現(xiàn)的對網(wǎng)絡(luò)及主機具有威脅性的非法程序和IP地址進行記錄。
4系統(tǒng)實現(xiàn)
4.1用戶管理功能實現(xiàn)用戶管理功能是提供網(wǎng)絡(luò)中的用戶注冊、修改和刪除,當用戶登錄時輸出錯誤信息,則提示無此用戶信息。當創(chuàng)建用戶時,系統(tǒng)自動檢測注冊用戶是否出現(xiàn)同名,如出現(xiàn)同名則提示更改,新用戶加入網(wǎng)絡(luò)應用后,網(wǎng)絡(luò)安全檢測系統(tǒng)會對該用戶進行系統(tǒng)審核,并將其納入監(jiān)管對象。系統(tǒng)對網(wǎng)絡(luò)中的用戶進行監(jiān)控,主要是對用戶的硬件資源、軟件資源、網(wǎng)絡(luò)資源等進行管控,有效保護注冊用戶的網(wǎng)絡(luò)應用安全。
4.2實時監(jiān)控功能實現(xiàn)系統(tǒng)實時監(jiān)控功能需要能夠?qū)崟r獲取主機軟硬件信息,對網(wǎng)絡(luò)中用戶的軟件應用、網(wǎng)站訪問、文件操作進行檢測,并與數(shù)據(jù)庫中的危險數(shù)據(jù)記錄進行匹配,如發(fā)現(xiàn)危險則提出警告,或者直接屏蔽危險。
4.3網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能實現(xiàn)網(wǎng)絡(luò)主機及硬件信息監(jiān)控是對網(wǎng)絡(luò)中的被控計算機系統(tǒng)信息、硬件信息進行登記記錄,當硬件設(shè)備發(fā)生變更或者網(wǎng)絡(luò)主機系統(tǒng)發(fā)生變化,則安全檢測系統(tǒng)會啟動,告知網(wǎng)絡(luò)管理人員,同時系統(tǒng)會對網(wǎng)絡(luò)主機及硬件變更的安全性進行判定,如發(fā)現(xiàn)非法接入則進行警告并阻止連接網(wǎng)絡(luò)。
5結(jié)束語
本文對網(wǎng)絡(luò)安全檢測系統(tǒng)進行了設(shè)計介紹,明確設(shè)計目標和設(shè)計架構(gòu),對系統(tǒng)各功能模塊進行設(shè)計說明,分別對用戶管理功能、實時監(jiān)控功能、網(wǎng)絡(luò)主機及硬件信息監(jiān)控功能的實現(xiàn)進行論述,完成基本的網(wǎng)絡(luò)安全檢測功能,滿足網(wǎng)絡(luò)安全檢測需要。
網(wǎng)絡(luò)信息安全論文范文第5篇
[關(guān)鍵詞]校園網(wǎng)安全分析解決方案
一、校園網(wǎng)絡(luò)安全隱患綜合分析
1.物理層的安全問題
校園網(wǎng)需要各種設(shè)備的支持,而這些設(shè)備分布在各種不同的地方,管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓,如室外通信光纜、電纜等,分布范圍廣,不能封閉式管理;室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。
物理層的安全問題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力,使得網(wǎng)絡(luò)設(shè)備,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網(wǎng)不能正常運行。物理安全是制訂校園網(wǎng)安全解決方案時首先應考慮的問題。
2.系統(tǒng)和應用軟件存在的漏洞威脅
在校園網(wǎng)中使用的操作系統(tǒng)和應用軟件千差萬別,這些威脅,而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網(wǎng)的后門。
3.計算機病毒入侵和黑客攻擊
計算機病毒是校園網(wǎng)安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網(wǎng)絡(luò)傳播的病毒,其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網(wǎng)在接入Internet后,便面臨著內(nèi)部和外部黑客雙重攻擊的危險,尤以內(nèi)部攻擊為主。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應用模式都比較了解,特別是在校學生,學校不能有效的規(guī)范和約束學生的上網(wǎng)行為,學生會經(jīng)常的監(jiān)聽或掃描學校網(wǎng)絡(luò),因此來自內(nèi)部的安全威脅更難應付。
4.內(nèi)部用戶濫用網(wǎng)絡(luò)資源
校園網(wǎng)內(nèi)部用戶對校園網(wǎng)資源的濫用,有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載,占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬,給正常的校園網(wǎng)應用帶來了極大的威脅。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網(wǎng)絡(luò)安全最重要的部分,要保證校園網(wǎng)絡(luò)正常,首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞,減少外界環(huán)境(如溫度、濕度、灰塵、供電系統(tǒng)、外界強電磁干擾等)對網(wǎng)絡(luò)信息系統(tǒng)運行可靠性造成的不良影響。
2.訪問控制策略
訪問控制方面的策略任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用或訪問。包括入侵監(jiān)測控制策略、服務(wù)器訪問控制策略、防火墻控制策略等多個方面的內(nèi)容。
(1)防火墻控制策略
防火墻控制策略維護網(wǎng)絡(luò)安全最重要的手段。防火墻是具有網(wǎng)絡(luò)安全功能的路由器,對網(wǎng)絡(luò)提供的服務(wù)和訪問定義,并實現(xiàn)更大的安全策略。它通常用來保護內(nèi)部網(wǎng)絡(luò)不受來自外部的非法或非授權(quán)侵入的邏輯裝置。
(2)入侵監(jiān)測控制策略
入侵監(jiān)測控制策略就是使用入侵監(jiān)測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測系統(tǒng)(IntrusionDetectionSystems)專業(yè)上講就是依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。
(3)服務(wù)器訪問控制策略
服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問,在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。
3.病毒防護策略
病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對校園網(wǎng)絡(luò)整體有效防護的解決辦法。
4.不良信息的防護策略
Internet上存在大量的不良信息,校園網(wǎng)絡(luò)因為Internet連接,學生有可能無意中接觸這些信息而在校園網(wǎng)上傳播,造成惡劣的影響??梢园惭b非法信息過濾系統(tǒng),設(shè)置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。
5.建立安全評估策略
校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù),而需要仔細考慮系統(tǒng)的安全需求,建立相應的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
三、結(jié)束語
高校校園網(wǎng)絡(luò)的安全性越來越受到重視,網(wǎng)絡(luò)環(huán)境的復雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面。需要仔細考慮系統(tǒng)的安全需求,建立相應的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。
參考文獻:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍,李雪安.高校校園網(wǎng)安全整體解決方式研究[J].電子科技,2006,(3):64-67.
[3],王紀鳳,尚玉蓮,等.防火墻與入侵監(jiān)測系統(tǒng)在高校校園網(wǎng)中的應用[J].泰山醫(yī)學院學報,2007,(11):906-907.
[4]饒正嬋.高校校園網(wǎng)絡(luò)安全研究[J].福建電腦,2005,(11):49-53.
網(wǎng)絡(luò)信息安全論文范文第6篇
關(guān)鍵詞:網(wǎng)絡(luò)信息安全
計算機具有驚人的存貯功能,使它成為信息保管、管理的重要工具。但是存貯在內(nèi)存貯器的秘密信息可通過電磁輻射或聯(lián)網(wǎng)交換被泄露或被竊取,而大量使用磁盤、磁帶、光盤的外存貯器很容易被非法篡改或復制。由于磁盤經(jīng)消磁十余次后,仍有辦法恢復原來記錄的信息,存有秘密信息的磁盤被重新使用時,很可能被非法利用磁盤剩磁提取原記錄的信息。計算機出故障時,存有秘密信息的硬盤不經(jīng)處理或無人監(jiān)督就帶出修理,也能造成泄密。如何在保證網(wǎng)絡(luò)信息暢通的同時,實現(xiàn)信息的保密,我認為應從以下幾個方面做起:
1建立完善的網(wǎng)絡(luò)保管制度
1.1建立嚴格的機房管理制度,禁止無關(guān)人員隨便進出機房,網(wǎng)絡(luò)系統(tǒng)的中心控制室更應該有嚴格的出人制度。同時機房選址要可靠,重要部門的機房要有必要的保安措施。
1.2規(guī)定分級使用權(quán)限。首先,對計算機中心和計算機數(shù)據(jù)劃分密級,采取不同的管理措施,秘密信息不能在公開的計算機中心處理,密級高的數(shù)據(jù)不能在密級低的機中心處理;其次,根據(jù)使用者的不同情況,規(guī)定不同使用級別,低級別的機房不能進行高級別的操作;在系統(tǒng)開發(fā)中,系統(tǒng)分析員、程序員和操作員應職責分離,使知悉全局的人盡可能少。
1.3加強對媒體的管理。錄有秘密文件的媒體,應按照等密級文件進行管理,對其復制、打印、借閱、存放、銷毀等均應遵守有關(guān)規(guī)定。同一片軟盤中不要棍錄秘密文件和公開文件,如果同時錄有不同密級的文件,應按密級最高的管理。還應對操作過程中臨時存放過秘密文件的磁盤以及調(diào)試運行中打印的廢紙作好妥善處理。
2從技術(shù)上保證網(wǎng)絡(luò)檔案信息的安全
2.1使用低輻射計算機設(shè)備。這是防止計算機輻射泄密的根本措施,這些設(shè)備在設(shè)計和生產(chǎn)時,已對可能產(chǎn)生信息輻射的元器件、集成電路、連接線和等采取了防輻射措施,把設(shè)備的信息輻射抑制到最低限度。
2.2屏蔽。根據(jù)輻射量的大小和客觀環(huán)境,對計算機機房或主機內(nèi)部件加以屏蔽,檢測合格后,再開機上作。將計算機和輔助設(shè)備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設(shè)備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區(qū)域控制起來,不許外部人員接近。
2.3干擾。根據(jù)電子對抗原理,采用一定的技術(shù)措施,利用干擾器產(chǎn)生噪聲與if調(diào):機設(shè)備產(chǎn)生的信息輻射一起向外輻射。對計算機的輻射信號進行一于擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。不具備上述條件的,也可將處理重要信息的計算機放在中間,四周置放處理一般信息的計算機。這種方法可降低輻射信息被接收還原的可能性。
2.4對聯(lián)網(wǎng)泄密的技術(shù)防范措施:一是身份鑒別。計算機對用戶的識別,主要是核查用戶輸人的口令,網(wǎng)內(nèi)合法用戶使用資源信息也有使用權(quán)限問題,因此,對口令的使用要嚴格管理。二是監(jiān)視報警。對網(wǎng)絡(luò)內(nèi)合法用戶工作情況作詳細記錄,對非法用戶,計算機將其闖人網(wǎng)絡(luò)的嘗試次數(shù)、時間。電話號碼等記錄下來,并發(fā)出報警,依此追尋非法用戶的下落。三是加密。將信息加密后存貯在計算機里,并注上特殊調(diào)用口令。
3加強對工作人員的管理教育
3.1要牢固樹立網(wǎng)絡(luò)信息工作人員保密觀念。網(wǎng)絡(luò)信息工作人員要不斷加強自身學習,了解新形勢,適應新變化。充分認識到新時期保密問題的重要性、緊迫性,不斷增強保守國家秘密的意識。
本文鏈接:http://edgebase.com.cn/v-141-2695.html網(wǎng)絡(luò)信息安全論文范文10篇
相關(guān)文章:
醫(yī)院地震應急預案09-20
七夕暖心簡短文案08-10
冬天的句子摘抄11-09
假期唯美文案07-04
實習指導教師工作計劃08-27
含蓄的辭職信08-15
圣誕節(jié)邀請函11-09
高二語文文學常識11-03
父母對自己的愛作文07-23
駐馬店綜合大學怎么樣08-26
“過來人”傳授高考經(jīng)驗07-23