特级黄国产片一级视频播放,精品福利视频综合一区二区三区四区,免费人成在线观看网站,亚洲免费99在线

<menu id="gkyya"><noscript id="gkyya"></noscript></menu>
  • <strike id="gkyya"><source id="gkyya"></source></strike>
  • <rt id="gkyya"><code id="gkyya"></code></rt>
  • 歡迎來(lái)到優(yōu)發(fā)表網(wǎng)!

    購(gòu)物車(chē)(0)

    期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

    網(wǎng)絡(luò)安全論文范文

    時(shí)間:2023-03-16 16:29:34

    序論:在您撰寫(xiě)網(wǎng)絡(luò)安全論文時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

    網(wǎng)絡(luò)安全論文

    第1篇

    [論文摘要]隨著計(jì)算機(jī)技術(shù)的發(fā)展,在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問(wèn)題由來(lái)以及幾種主要網(wǎng)絡(luò)安全技術(shù)。

    隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開(kāi)放性,共享性,互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。而網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要了。國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

    一、網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題

    眾所周知,Internet是開(kāi)放的,而開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭(zhēng)仍將繼續(xù)。在這樣的斗爭(zhēng)中,安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問(wèn)題,各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):

    (一)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

    防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn),防火墻往往是無(wú)能為力的。因此,對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺(jué)和防范的。

    (二)安全工具的使用受到人為因素的影響

    一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶(hù),不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面,可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較,針對(duì)具體的應(yīng)用環(huán)境和專(zhuān)門(mén)的應(yīng)用需求就很難判斷設(shè)置的正確性。

    (三)系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方

    防火墻很難考慮到這類(lèi)安全問(wèn)題,多數(shù)情況下這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué)。比如說(shuō),眾所周知的ASP源碼問(wèn)題,這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén),任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類(lèi)入侵行為,防火墻是無(wú)法發(fā)覺(jué)的,因?yàn)閷?duì)于防火墻來(lái)說(shuō),該入侵行為的訪問(wèn)過(guò)程和正常的WEB訪問(wèn)是相似的,唯一區(qū)別是入侵訪問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。

    (四)只要有程序,就可能存在BUG

    甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來(lái),程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會(huì)產(chǎn)生日志,幾乎無(wú)據(jù)可查。比如說(shuō)現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無(wú)法防范。

    (五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn)

    然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題,這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問(wèn)題時(shí),其他的安全問(wèn)題又出現(xiàn)了。因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

    二、網(wǎng)絡(luò)安全的主要技術(shù)

    安全是網(wǎng)絡(luò)賴(lài)以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線。

    (一)認(rèn)證

    對(duì)合法用戶(hù)進(jìn)行認(rèn)證可以防止非法用戶(hù)獲得對(duì)公司信息系統(tǒng)的訪問(wèn),使用認(rèn)證機(jī)制還可以防止合法用戶(hù)訪問(wèn)他們無(wú)權(quán)查看的信息。

    (二)數(shù)據(jù)加密

    加密就是通過(guò)一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類(lèi)型:私匙加密和公匙加密。

    1.私匙加密。私匙加密又稱(chēng)對(duì)稱(chēng)密匙加密,因?yàn)橛脕?lái)加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性,它不提供認(rèn)證,因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快,很容易在硬件和軟件中實(shí)現(xiàn)。

    2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個(gè)密匙加密和解密,而公匙加密使用兩個(gè)密匙,一個(gè)用于加密信息,另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過(guò)若將兩者結(jié)合起來(lái),就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

    (三)防火墻技術(shù)

    防火墻是網(wǎng)絡(luò)訪問(wèn)控制設(shè)備,用于拒絕除了明確允許通過(guò)之外的所有通信數(shù)據(jù),它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器,而是在網(wǎng)絡(luò)傳輸通過(guò)相關(guān)的訪問(wèn)站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問(wèn)策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來(lái)保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?,其中最流行的技術(shù)有靜態(tài)分組過(guò)濾、動(dòng)態(tài)分組過(guò)濾、狀態(tài)過(guò)濾和服務(wù)器技術(shù),它們的安全級(jí)別依次升高,但具體實(shí)踐中既要考慮體系的性?xún)r(jià)比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測(cè)技術(shù)。

    防火墻的安全控制主要是基于IP地址的,難以為用戶(hù)在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制,也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制(如訪問(wèn)控制)集成使用;另外,防火墻難于管理和配置,由多個(gè)系統(tǒng)(路由器、過(guò)濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī))組成的防火墻,管理上難免有所疏忽。

    (四)入侵檢測(cè)系統(tǒng)

    入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

    (五)虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)

    VPN是目前解決信息安全問(wèn)題的一個(gè)最新、最成功的技術(shù)課題之一,所謂虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò),使數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制,這兩種機(jī)制為路由過(guò)濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來(lái)保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類(lèi)方法,如按接入方式分成專(zhuān)線VPN和撥號(hào)VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶(hù)發(fā)起的和服務(wù)器發(fā)起的。

    (六)其他網(wǎng)絡(luò)安全技術(shù)

    1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實(shí)智能卡就是密匙的一種媒體,由授權(quán)用戶(hù)持有并由該用戶(hù)賦與它一個(gè)口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。

    2.安全脆弱性掃描技術(shù),它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

    3.網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。

    4.IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

    5.Web,Email,BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告,采取措施。

    第2篇

    [論文摘要]隨著計(jì)算機(jī)技術(shù)的發(fā)展,在計(jì)算機(jī)上處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息處理能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出,探討了網(wǎng)絡(luò)安全的現(xiàn)狀及問(wèn)題由來(lái)以及幾種主要網(wǎng)絡(luò)安全技術(shù)。

    隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,其開(kāi)放性,共享性,互連程度擴(kuò)大,網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。而網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要了。國(guó)際標(biāo)準(zhǔn)化組織(ISO)將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”,上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

    一、網(wǎng)絡(luò)的開(kāi)放性帶來(lái)的安全問(wèn)題

    眾所周知,Internet是開(kāi)放的,而開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭(zhēng)仍將繼續(xù)。在這樣的斗爭(zhēng)中,安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問(wèn)題,各種安全機(jī)制、策略和工具被研究和應(yīng)用。然而,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):

    (一)每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境

    防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn),防火墻往往是無(wú)能為力的。因此,對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺(jué)和防范的。

    (二)安全工具的使用受到人為因素的影響

    一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶(hù),不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安全因素。例如,NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性,但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面,可以通過(guò)靜態(tài)掃描工具來(lái)檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置,但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較,針對(duì)具體的應(yīng)用環(huán)境和專(zhuān)門(mén)的應(yīng)用需求就很難判斷設(shè)置的正確性。

    (三)系統(tǒng)的后門(mén)是傳統(tǒng)安全工具難于考慮到的地方

    防火墻很難考慮到這類(lèi)安全問(wèn)題,多數(shù)情況下這類(lèi)入侵行為可以堂而皇之經(jīng)過(guò)防火墻而很難被察覺(jué)。比如說(shuō),眾所周知的ASP源碼問(wèn)題,這個(gè)問(wèn)題在IIS服務(wù)器4.0以前一直存在,它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè)后門(mén),任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼,從而可以收集系統(tǒng)信息,進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類(lèi)入侵行為,防火墻是無(wú)法發(fā)覺(jué)的,因?yàn)閷?duì)于防火墻來(lái)說(shuō),該入侵行為的訪問(wèn)過(guò)程和正常的WEB訪問(wèn)是相似的,唯一區(qū)別是入侵訪問(wèn)在請(qǐng)求鏈接中多加了一個(gè)后綴。

    (四)只要有程序,就可能存在BUG

    甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來(lái),程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用,而且這種攻擊通常不會(huì)產(chǎn)生日志,幾乎無(wú)據(jù)可查。比如說(shuō)現(xiàn)在很多程序都存在內(nèi)存溢出的BUG,現(xiàn)有的安全工具對(duì)于利用這些BUG的攻擊幾乎無(wú)法防范。

    (五)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn)

    然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題,這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問(wèn)題時(shí),其他的安全問(wèn)題又出現(xiàn)了。因此,黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

    二、網(wǎng)絡(luò)安全的主要技術(shù)

    安全是網(wǎng)絡(luò)賴(lài)以生存的保障,只有安全得到保障,網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實(shí)踐的發(fā)展而發(fā)展,其涉及的技術(shù)面非常廣,主要的技術(shù)如認(rèn)證、加密、防火墻及入侵檢測(cè)是網(wǎng)絡(luò)安全的重要防線。

    (一)認(rèn)證

    對(duì)合法用戶(hù)進(jìn)行認(rèn)證可以防止非法用戶(hù)獲得對(duì)公司信息系統(tǒng)的訪問(wèn),使用認(rèn)證機(jī)制還可以防止合法用戶(hù)訪問(wèn)他們無(wú)權(quán)查看的信息。

    (二)數(shù)據(jù)加密

    加密就是通過(guò)一種方式使信息變得混亂,從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類(lèi)型:私匙加密和公匙加密。

    1.私匙加密。私匙加密又稱(chēng)對(duì)稱(chēng)密匙加密,因?yàn)橛脕?lái)加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進(jìn)一步的緊密性,它不提供認(rèn)證,因?yàn)槭褂迷撁艹椎娜魏稳硕伎梢詣?chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點(diǎn)是速度很快,很容易在硬件和軟件中實(shí)現(xiàn)。

    2.公匙加密。公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個(gè)密匙加密和解密,而公匙加密使用兩個(gè)密匙,一個(gè)用于加密信息,另一個(gè)用于解密信息。公匙加密系統(tǒng)的缺點(diǎn)是它們通常是計(jì)算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過(guò)若將兩者結(jié)合起來(lái),就可以得到一個(gè)更復(fù)雜的系統(tǒng)。

    (三)防火墻技術(shù)

    防火墻是網(wǎng)絡(luò)訪問(wèn)控制設(shè)備,用于拒絕除了明確允許通過(guò)之外的所有通信數(shù)據(jù),它不同于只會(huì)確定網(wǎng)絡(luò)信息傳輸方向的簡(jiǎn)單路由器,而是在網(wǎng)絡(luò)傳輸通過(guò)相關(guān)的訪問(wèn)站點(diǎn)時(shí)對(duì)其實(shí)施一整套訪問(wèn)策略的一個(gè)或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來(lái)保護(hù)自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?,其中最流行的技術(shù)有靜態(tài)分組過(guò)濾、動(dòng)態(tài)分組過(guò)濾、狀態(tài)過(guò)濾和服務(wù)器技術(shù),它們的安全級(jí)別依次升高,但具體實(shí)踐中既要考慮體系的性?xún)r(jià)比,又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測(cè)技術(shù)。

    防火墻的安全控制主要是基于IP地址的,難以為用戶(hù)在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制,也不能與企業(yè)內(nèi)部使用的其他安全機(jī)制(如訪問(wèn)控制)集成使用;另外,防火墻難于管理和配置,由多個(gè)系統(tǒng)(路由器、過(guò)濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī))組成的防火墻,管理上難免有所疏忽。

    (四)入侵檢測(cè)系統(tǒng)

    入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系。

    (五)虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)

    VPN是目前解決信息安全問(wèn)題的一個(gè)最新、最成功的技術(shù)課題之一,所謂虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)就是在公共網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò),使數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制,這兩種機(jī)制為路由過(guò)濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項(xiàng)技術(shù)來(lái)保障安全:隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密匙管理技術(shù)(KeyManagement)和使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機(jī)制應(yīng)能技術(shù)不同層次的安全服務(wù),這些安全服務(wù)包括不同強(qiáng)度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類(lèi)方法,如按接入方式分成專(zhuān)線VPN和撥號(hào)VPN;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶(hù)發(fā)起的和服務(wù)器發(fā)起的。

    (六)其他網(wǎng)絡(luò)安全技術(shù)

    1.智能卡技術(shù),智能卡技術(shù)和加密技術(shù)相近,其實(shí)智能卡就是密匙的一種媒體,由授權(quán)用戶(hù)持有并由該用戶(hù)賦與它一個(gè)口令或密碼字,該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。智能卡技術(shù)一般與身份驗(yàn)證聯(lián)合使用。

    2.安全脆弱性掃描技術(shù),它為能針對(duì)網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段,指出系統(tǒng)存在或潛在的安全漏洞,以改進(jìn)系統(tǒng)對(duì)網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。

    3.網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)、備份及容災(zāi)規(guī)劃,它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù),使整個(gè)系統(tǒng)在最短的時(shí)間內(nèi)重新投入正常運(yùn)行的一種安全技術(shù)方案。

    4.IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。

    5.Web,Email,BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告,采取措施。

    第3篇

    近來(lái)較典型的是蠕蟲(chóng)與木馬,比如說(shuō)木馬程序它通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行,向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù),使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種者的電腦。近來(lái)就出現(xiàn)許多人的網(wǎng)絡(luò)賬戶(hù)遭到木馬程序盜取的案例。這些網(wǎng)絡(luò)病毒使人民財(cái)產(chǎn)受到嚴(yán)重侵害,也嚴(yán)重威脅到我們的正常工作與生活。惡意的攻擊和入侵所謂惡意的攻擊和入侵可對(duì)信息的有效性和完整性進(jìn)行有選擇的破壞,也可在不影響網(wǎng)絡(luò)正常工作的情況下,對(duì)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)監(jiān)聽(tīng),截獲或捕捉傳播在網(wǎng)絡(luò)中的信息,這是計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅,引發(fā)網(wǎng)絡(luò)安全的問(wèn)題。

    計(jì)算機(jī)網(wǎng)絡(luò)受到威脅后果嚴(yán)重

    1.國(guó)家安全將遭受到威脅

    網(wǎng)絡(luò)黑客攻擊的目標(biāo)常包括銀行、政府及軍事部門(mén),竊取和修改信息。這會(huì)對(duì)社會(huì)和國(guó)家安全造成嚴(yán)重威脅,有可能帶來(lái)無(wú)法挽回的損失。

    2.損失巨大

    很多網(wǎng)絡(luò)是大型網(wǎng)絡(luò),像互聯(lián)網(wǎng)是全球性網(wǎng)絡(luò),這些網(wǎng)絡(luò)上連接著無(wú)數(shù)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備,如果攻擊者攻擊入侵連接在網(wǎng)絡(luò)上的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備,會(huì)破壞成千上萬(wàn)臺(tái)計(jì)算機(jī),從而給用戶(hù)造成巨大經(jīng)濟(jì)損失。

    3.手段多樣,手法隱蔽

    網(wǎng)絡(luò)攻擊所需設(shè)備簡(jiǎn)單,所花時(shí)間短,某些過(guò)程只需一臺(tái)連接Internet的PC即可完成。這個(gè)特征決定了攻擊者的方式多樣性和隱蔽性。比如網(wǎng)絡(luò)攻擊者既可以用監(jiān)視網(wǎng)上數(shù)據(jù)來(lái)盜取他人的保密信息;可以通過(guò)截取他人的帳號(hào)和口令潛入他人的計(jì)算機(jī)系統(tǒng);可以通過(guò)一些方法來(lái)繞過(guò)或破壞他人安裝的防火墻等等。

    網(wǎng)絡(luò)安全防范技術(shù)

    1.病毒的防范

    計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜,對(duì)計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在網(wǎng)絡(luò)環(huán)境中對(duì)計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。它的入侵檢測(cè)技術(shù)包括基于主機(jī)和基于網(wǎng)絡(luò)兩種。單機(jī)防病毒軟件一般安裝在單臺(tái)PC上,即對(duì)本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測(cè)、清除病毒。對(duì)網(wǎng)絡(luò)病毒的防范主要包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)。網(wǎng)絡(luò)版防病毒系統(tǒng)包括:(1)系統(tǒng)中心:系統(tǒng)中心實(shí)時(shí)記錄計(jì)算機(jī)的病毒監(jiān)控、檢測(cè)和清除的信息,實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。(2)服務(wù)器端:服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計(jì)。(3)客戶(hù)端:客戶(hù)端對(duì)當(dāng)前工作站上病毒監(jiān)控、檢測(cè)和清除,并在需要時(shí)向系統(tǒng)中心發(fā)送病毒監(jiān)測(cè)報(bào)告。(4)管理控制臺(tái):管理控制臺(tái)是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計(jì)的,通過(guò)它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護(hù)軟件的計(jì)算機(jī)。

    2.防火墻的配置

    首先我們了解防火墻所處的位置決定了一些特點(diǎn)包括(1)所有的從外部到內(nèi)部的通信都必須經(jīng)過(guò)它(。2)只有有內(nèi)部訪問(wèn)策略授權(quán)的通信才能被允許通過(guò)。(3)系統(tǒng)本身具有很強(qiáng)的高可靠性。所以防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墑是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是所有安全工具中最重要的一個(gè)組成部分。它在內(nèi)部信任網(wǎng)絡(luò)和其他任何非信任網(wǎng)絡(luò)上提供了不同的規(guī)則進(jìn)行判斷和驗(yàn)證,確定是否允許該類(lèi)型的信息通過(guò)。一個(gè)防火墻策略要符合4個(gè)目標(biāo),而每個(gè)目標(biāo)通常都不是通過(guò)一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的。通過(guò)以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。也可對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么,防火墻就能記錄下這些訪問(wèn)并做出日志記錄,同時(shí),也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)有網(wǎng)絡(luò)入侵或攻擊時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。再次,利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響,防止內(nèi)部信息的外泄。

    3.數(shù)據(jù)加密與用戶(hù)授權(quán)訪問(wèn)控制技術(shù)

    與防火墻相比,數(shù)據(jù)加密與用戶(hù)授權(quán)訪問(wèn)控制技術(shù)比較靈活,更加適用于開(kāi)放的網(wǎng)絡(luò)。用戶(hù)授權(quán)訪問(wèn)控制主要用于對(duì)靜態(tài)信息的保護(hù),需要系統(tǒng)級(jí)別的支持,一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密包括傳輸過(guò)程中的數(shù)據(jù)加密和存儲(chǔ)數(shù)據(jù)加密,對(duì)于傳輸加密,一般有硬件加密和軟件加密兩種方法實(shí)現(xiàn)。網(wǎng)絡(luò)中的數(shù)據(jù)加密,要選擇加密算法和密鑰,可以將這些加密算法分為對(duì)稱(chēng)密鑰算法和公鑰密鑰算法兩種。對(duì)稱(chēng)密鑰算法中,收發(fā)雙方使用相同的密鑰。比較著名的對(duì)稱(chēng)密鑰算法有:美國(guó)的DES、歐洲的IDEA等。

    4.應(yīng)用入侵檢測(cè)技術(shù)

    入侵檢測(cè)系統(tǒng)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過(guò)這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。入侵檢測(cè)系統(tǒng)的功能包括:監(jiān)控和分析系統(tǒng)、用戶(hù)的行為;評(píng)估系統(tǒng)文件與數(shù)據(jù)文件的完整性,檢查系統(tǒng)漏洞;對(duì)系統(tǒng)的異常行為進(jìn)行分析和識(shí)別,及時(shí)向網(wǎng)絡(luò)管理人員報(bào)警;跟蹤管理操作系統(tǒng),識(shí)別無(wú)授僅用戶(hù)活動(dòng)。具體應(yīng)用就是指對(duì)那些面向系統(tǒng)資源和網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測(cè)通過(guò)監(jiān)控系統(tǒng)的使用情況,來(lái)檢測(cè)系統(tǒng)用戶(hù)的越權(quán)使用以及系統(tǒng)外部的人侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖。目前主要有兩類(lèi)入侵檢測(cè)系統(tǒng)基于主機(jī)的和基于網(wǎng)絡(luò)的。前者檢查某臺(tái)主機(jī)系統(tǒng)日志中記錄的未經(jīng)授權(quán)的可疑行為,并及時(shí)做出響應(yīng)。后者是在連接過(guò)程中監(jiān)視特定網(wǎng)段的數(shù)據(jù)流,查找每一數(shù)據(jù)包內(nèi)隱藏的惡意入侵,并對(duì)發(fā)現(xiàn)的人侵做出及時(shí)的響應(yīng)。

    5.規(guī)范安全管理行為

    單單在網(wǎng)絡(luò)安全技術(shù)上提高也是不夠的,因?yàn)榫W(wǎng)絡(luò)人員也可能是造成網(wǎng)絡(luò)安全的因素,所以安全管理行為的規(guī)范是必須的。一要內(nèi)部有完善的安全管理規(guī)范,二要建立基于安全策略的搞笑網(wǎng)絡(luò)管理平臺(tái)。兩方面統(tǒng)籌規(guī)劃部署,達(dá)到提高整體安全性的效果。

    第4篇

    論文關(guān)鍵詞:IPv6,網(wǎng)絡(luò)安全

     

    1.基于IPv6的網(wǎng)絡(luò)建設(shè)

    在全球互聯(lián)網(wǎng)高度發(fā)展的今天,由于網(wǎng)絡(luò)與通信的日益融合,基于IPv4地址編碼方式已于2011年1月枯竭。那么,IPv6成為解決IPv4地址耗盡問(wèn)題的最好解決方法網(wǎng)絡(luò)安全絡(luò)安全論文,按照正常方式從IPv4向IPv6轉(zhuǎn)換成功的話,全球所有的終端均可擁有一個(gè)IP地址,從而可實(shí)現(xiàn)全球網(wǎng)絡(luò)的概念。

    IPv6是下一版本的互聯(lián)網(wǎng)協(xié)議,也可以說(shuō)是下一代互聯(lián)網(wǎng)的協(xié)議,它的提出最初是因?yàn)殡S著互聯(lián)網(wǎng)的迅速發(fā)展,IPv4定義的有限地址空間將耗盡,而地址空間的不足必將妨礙互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。為了擴(kuò)大地址空間,通過(guò)IPv6以重新定義地址空間。IPv6采用128位地址長(zhǎng)度,幾乎可以不受限制地提供IP地址網(wǎng)絡(luò)安全絡(luò)安全論文,從而確保了端到端連接的可能性。

    除了地址分配問(wèn)題外,IPv6雖然有整體吞吐量、高服務(wù)質(zhì)量等優(yōu)勢(shì),但在安全接入方面并不比IPv4更為顯著。IPv6并不意味著網(wǎng)絡(luò)就自然安全了,雖然不使用地址翻譯,但仍然會(huì)使用防火墻,.net本身并不會(huì)帶來(lái)安全的因素。IPv6與IPv4面臨同樣的安全問(wèn)題。

    2. IPSec安全協(xié)議

    2.1 IPSec安全協(xié)議的體系結(jié)構(gòu)

    在IPv6中,IPSec安全協(xié)議是一個(gè)協(xié)議套件,主要包括:認(rèn)證頭(Authentication Header,AH)、封裝安全載荷(Encapsulating Security Payload,ESP)、Internet密鑰交換(Internet Key Exchange,IKE)等相關(guān)組件論文開(kāi)題報(bào)告范文論文下載。它提供的安全服務(wù)有:數(shù)據(jù)源身份驗(yàn)證,無(wú)連接數(shù)據(jù)完整性檢查,數(shù)據(jù)內(nèi)容的機(jī)密性保證,抗重播保護(hù)以及有限數(shù)據(jù)流機(jī)密性保證。IPSec協(xié)議的體系結(jié)構(gòu)如圖1所示。

    2.2IPSec認(rèn)證頭AH協(xié)議

    認(rèn)證頭AH用于為IP提供數(shù)據(jù)完成性、數(shù)據(jù)原始身份驗(yàn)證和一些可選的、有限的抗重播服務(wù)。AH定義了對(duì)數(shù)據(jù)所實(shí)施的安全保護(hù)的方法、頭的位置、身份驗(yàn)證的覆蓋范圍,以及輸入和輸出處理規(guī)則,但不對(duì)所用的身份驗(yàn)證算法進(jìn)行具體定義[。AH的格式如圖2所示。認(rèn)證頭AH有2種工作模式,即傳輸模式和隧道模式。傳輸模式只對(duì)傳輸層數(shù)據(jù)和IP頭中的固定字段提供認(rèn)證保護(hù),主要適合于主機(jī)實(shí)現(xiàn)[3]。隧道模式則對(duì)整個(gè)IP數(shù)據(jù)提供認(rèn)證保護(hù)。

    2.3 IPSec封裝安全載荷ESP協(xié)議

    封裝安全載荷ESP為IP提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重播以及數(shù)據(jù)完整性等安全服務(wù)。ESP的格式不是固定的,依據(jù)采用不同的加密算法而不同,但起始處必須是安全參數(shù)索引(SPI),用以定義加密算法及密鑰的生存周期等。ESP格式如圖3所示。封裝安全載荷ESP有2種不同的加密工作模式,即傳輸模式和隧道模式。傳輸模式ESP只對(duì)傳輸層數(shù)據(jù)單元加密,IPv6和各種擴(kuò)展頭以及ESP中的SPI段用明文傳輸,該方式適用于主機(jī)到主機(jī)的加密。隧道模式ESP對(duì)整個(gè)IP分組進(jìn)行加密,該模式以新的包含有足夠路由信息的IP頭封裝,從而便于中間結(jié)點(diǎn)的識(shí)別,該方式適用于設(shè)置有防火墻或其他類(lèi)型安全網(wǎng)關(guān)的結(jié)構(gòu)體系。

    2.4 IPSec密鑰交換IKE協(xié)議

    第5篇

    1.1五層體系架構(gòu)設(shè)計(jì)

    隨著互聯(lián)網(wǎng)的飛速發(fā)展,城市人民的生活基本進(jìn)入信息化時(shí)代,人們不管是網(wǎng)上購(gòu)物,還是在線聊天等,或多或少了一些個(gè)人信息。甚至我國(guó)很大一部分的企業(yè)關(guān)鍵信息都存儲(chǔ)于網(wǎng)絡(luò),因此網(wǎng)絡(luò)是信息傳遞和存儲(chǔ)的載體,它的正常運(yùn)行有效地保證了用戶(hù)信息的安全。網(wǎng)絡(luò)信息安全主要涵蓋網(wǎng)絡(luò)信息安全、傳輸安全和內(nèi)容安全三個(gè)方面,網(wǎng)絡(luò)數(shù)據(jù)傳播的渠道方式以及傳播的信息內(nèi)容是否真實(shí)可靠?;谖覈?guó)網(wǎng)絡(luò)安全基本情況,所謂網(wǎng)絡(luò)安全,主要體現(xiàn)在從以下四個(gè)方面:網(wǎng)絡(luò)信息數(shù)據(jù)的完整性、保密性以及共享數(shù)據(jù)的可控性和可用性。每一個(gè)安全特征都需要每個(gè)網(wǎng)絡(luò)用戶(hù)自覺(jué)維護(hù),才能實(shí)現(xiàn)。本文根據(jù)網(wǎng)絡(luò)安全要求及其特征,對(duì)目前網(wǎng)絡(luò)安全做了體現(xiàn)架構(gòu)分析。根據(jù)用戶(hù)群體的不同將網(wǎng)絡(luò)劃分為五個(gè)層次,分別為應(yīng)用和保密基礎(chǔ)層、應(yīng)用群體、用戶(hù)群體、系統(tǒng)群體以及網(wǎng)絡(luò)群體。目前,本文所提的五層網(wǎng)絡(luò)安全體系在全球范圍內(nèi)已經(jīng)得到了公認(rèn),并且也已經(jīng)成功應(yīng)用在網(wǎng)絡(luò)安全產(chǎn)品之中,五層網(wǎng)絡(luò)安全體系主要涵蓋五層,下面針對(duì)每層的安全性問(wèn)題做簡(jiǎn)要分析。

    1.1.1網(wǎng)絡(luò)層的安全性

    網(wǎng)絡(luò)信息和傳輸是否能得到控制是網(wǎng)絡(luò)層安全性的核心問(wèn)題,網(wǎng)絡(luò)用戶(hù)通過(guò)固定的IP地址進(jìn)入網(wǎng)絡(luò)系統(tǒng),而網(wǎng)絡(luò)則對(duì)此IP地址傳輸?shù)臄?shù)據(jù)進(jìn)行檢查,查看信息內(nèi)容是否安全,安全則允許傳輸,否則屏蔽。目前網(wǎng)絡(luò)安全性提高方法主要由兩種:防火墻產(chǎn)品和VPN(虛擬專(zhuān)用網(wǎng))。

    1.1.2系統(tǒng)的安全性

    網(wǎng)絡(luò)系統(tǒng)中的安全性主要包括兩個(gè)方面:第一是非法黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵和破壞;第二是傳統(tǒng)病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵和破壞。病毒是一種可復(fù)制性、具有攻擊型可執(zhí)行文件,這些病毒的源頭是非法程序員通過(guò)網(wǎng)絡(luò)散布的、破壞正常文件的可執(zhí)行文件;黑客是通過(guò)非法渠道進(jìn)入網(wǎng)絡(luò)系統(tǒng)竊取他人資料;這兩種方式都是破壞系統(tǒng)安全性的渠道。

    1.1.3用戶(hù)操作安全性

    目前,網(wǎng)絡(luò)數(shù)據(jù)主要分為兩種,一種是靜態(tài)數(shù)據(jù);一種是動(dòng)態(tài)數(shù)據(jù);而用戶(hù)都是通過(guò)靜態(tài)數(shù)據(jù)進(jìn)行校驗(yàn),登錄系統(tǒng),但往往由于用戶(hù)操作失誤或遺失賬號(hào)密碼,導(dǎo)致系統(tǒng)出現(xiàn)漏洞,給非法用戶(hù)提供了侵入系統(tǒng)接口。

    1.1.4應(yīng)用程序的安全性

    應(yīng)用程序安全性主要涉及兩個(gè)方面的問(wèn)題:一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限;二是應(yīng)用程序?qū)τ脩?hù)的合法權(quán)限。即合法用戶(hù)通過(guò)應(yīng)用程序操作合法數(shù)據(jù)。

    1.1.5數(shù)據(jù)的安全性

    數(shù)據(jù)作為整個(gè)架構(gòu)層次的核心部分,其保存前、中和后都需要進(jìn)行加密,充分保證數(shù)據(jù)的安全性,即使在數(shù)據(jù)被竊后。通過(guò)數(shù)據(jù)加密等措施,即使數(shù)據(jù)丟失,也可以讓非法入侵者得到的是加密文件,無(wú)法了解其信息內(nèi)容。上述的五層安全體系并非孤立分散。他們是有機(jī)的結(jié)合體,通過(guò)互相的數(shù)據(jù)共享和聯(lián)通,形成整個(gè)網(wǎng)絡(luò)體系架構(gòu),以上便是本文所設(shè)計(jì)及介紹的五層網(wǎng)絡(luò)安全體系。

    1.2安全技術(shù)分析

    從上個(gè)世紀(jì)網(wǎng)絡(luò)盛行時(shí),網(wǎng)絡(luò)安全就被世人所關(guān)注,針對(duì)網(wǎng)絡(luò)漏洞和病毒,科學(xué)家和研究者制定出各種協(xié)議和規(guī)則,甚至研究出各種網(wǎng)絡(luò)安全技術(shù),下面就幾種成熟的網(wǎng)絡(luò)安全技術(shù)進(jìn)行分別介紹。

    (1)防火墻技術(shù)。

    防火墻作為一種網(wǎng)絡(luò)數(shù)據(jù)核查軟件,很好的杜絕了網(wǎng)絡(luò)用戶(hù)通過(guò)非法渠道獲取其他網(wǎng)絡(luò)用戶(hù)信息,它通過(guò)分包和IP地址并行校驗(yàn)機(jī)制,對(duì)外來(lái)數(shù)據(jù)進(jìn)行一一檢查,此種技術(shù)很好的保障了內(nèi)部數(shù)據(jù)的安全性。目前,防火墻技術(shù)主要是分組過(guò)濾和服務(wù)兩種類(lèi)型,它們的主要宗旨是保護(hù)外來(lái)非法數(shù)據(jù)對(duì)本地?cái)?shù)據(jù)的入侵和破壞,防火墻技術(shù)是一種真正保證本地?cái)?shù)據(jù)的有效工具,它通過(guò)固定的網(wǎng)絡(luò)協(xié)議對(duì)往來(lái)電子郵件進(jìn)行過(guò)濾,使進(jìn)出數(shù)據(jù)都得到了很好的檢驗(yàn)。

    (2)應(yīng)用網(wǎng)關(guān)。

    應(yīng)用網(wǎng)關(guān)主要是針對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中的數(shù)據(jù)包進(jìn)行過(guò)濾,一般與防火墻技術(shù)組合使用,防火墻將數(shù)據(jù)包送至應(yīng)用網(wǎng)關(guān),應(yīng)用網(wǎng)關(guān)可以被用來(lái)處理電子郵件,遠(yuǎn)程登錄,及文件傳輸。

    (3)虛擬私人網(wǎng)絡(luò)。

    虛擬網(wǎng)絡(luò)主要是為一些用戶(hù)專(zhuān)門(mén)訪問(wèn)而成立的技術(shù),因此可以在Internet上建立自己的虛擬私人網(wǎng)絡(luò)是一個(gè)安全的策略。通過(guò)路由器,虛擬鏈接就形成了。這樣就可以由用戶(hù)建立一個(gè)專(zhuān)內(nèi)網(wǎng)絡(luò),進(jìn)行數(shù)據(jù)交換,形成內(nèi)部網(wǎng)絡(luò)。由此可見(jiàn),通過(guò)這種手段來(lái)保護(hù)數(shù)據(jù)的安全。

    (4)數(shù)據(jù)加密技術(shù)。

    為防止數(shù)據(jù)被外部非法用戶(hù)所竊取的另外一個(gè)重要技術(shù)就是數(shù)據(jù)加密技術(shù),它也是目前最為常用,而且安全性和可靠性非常高,數(shù)據(jù)加密技術(shù)主要包括密鑰機(jī)制、數(shù)據(jù)傳輸、存儲(chǔ)和完整性等。數(shù)據(jù)傳輸加密技術(shù)。數(shù)據(jù)存儲(chǔ)加密技術(shù)。數(shù)據(jù)完整性鑒別技術(shù)。密鑰管理技術(shù)。

    (5)智能卡技術(shù)。

    智能卡技術(shù)主要是對(duì)存儲(chǔ)數(shù)據(jù)的磁盤(pán)進(jìn)行管理,在存儲(chǔ)空間設(shè)置授權(quán)機(jī)制,非授權(quán)數(shù)據(jù)和非授權(quán)的操作用戶(hù)都將無(wú)法與智能卡進(jìn)行交互,這種方式充分保障了智能卡總的數(shù)據(jù)安全性,適合獨(dú)立和重要數(shù)據(jù)保護(hù)應(yīng)用技術(shù)之一。

    2.?dāng)?shù)據(jù)加密

    2.1數(shù)據(jù)加密技術(shù)

    加密技術(shù)是保證某些信息只有目標(biāo)接收人才能讀懂其含義的一種方法。所有的加密技術(shù)都要使用算法,算法是一種復(fù)雜的數(shù)字規(guī)則,被設(shè)計(jì)用來(lái)攪亂信息,以防止第三者對(duì)信息的截獲。密碼體制技術(shù)是研究通信安全保密的學(xué)科,它由密碼編碼學(xué)和密碼分析學(xué)兩部分組成。密碼編碼學(xué)是研究對(duì)信息進(jìn)行變換,以保護(hù)信息在傳送過(guò)程中不被第三方竊取、解讀和利用的方法,它涉及對(duì)數(shù)據(jù)的保護(hù)、控制和標(biāo)識(shí)。密碼分析學(xué)研究如何分析和破譯密碼,二者既相互對(duì)立,又相互促進(jìn)。加密算法的抗攻擊能力可用加密強(qiáng)度來(lái)衡量,加密強(qiáng)度由三個(gè)因素組成:算法強(qiáng)度、密鑰的保密性、密鑰長(zhǎng)度。加密技術(shù)是信息安全系統(tǒng)中常用的一種數(shù)據(jù)保護(hù)工具,而這種加密技術(shù)可用在交易過(guò)程中使用,加密體制無(wú)外乎分為兩種,一種是對(duì)稱(chēng)加密,另一種是非對(duì)稱(chēng)加密體制。除了這兩種加密體制外,還包括了哈希技術(shù)和數(shù)字簽名技術(shù)。這些加密技術(shù)都在五層體系架構(gòu)中發(fā)揮著重要的作用。

    (1)對(duì)稱(chēng)加密/對(duì)稱(chēng)密鑰加密/專(zhuān)用密鑰加密體制。

    如果使用對(duì)稱(chēng)加密方式,相同的密鑰被使用在信息加密和解密的過(guò)程中,加密算法可以通過(guò)使用對(duì)稱(chēng)加密方法將其簡(jiǎn)化,每個(gè)貿(mào)易方都采用相同的加密算法并只交換共享的專(zhuān)用密鑰,而不必彼此研究和交換專(zhuān)用的加密算法。

    (2)非對(duì)稱(chēng)加密/公開(kāi)密鑰加密。

    非對(duì)稱(chēng)加密和公開(kāi)密鑰加密同屬一個(gè)意思。即在這種加密體制中,密鑰被分解為一個(gè)加密密鑰和一個(gè)專(zhuān)用的解密密鑰。非對(duì)稱(chēng)加密算法中最著名的就是RSA算法,它的優(yōu)點(diǎn)是加密復(fù)雜度高,不易破解,但他的缺點(diǎn)是運(yùn)行速度慢。因此在實(shí)際加密過(guò)程中基本不采用此種加密算法。對(duì)應(yīng)加密量大的應(yīng)用,公開(kāi)密鑰加密算法通常用于對(duì)稱(chēng)加密方法密鑰的加密。

    2.2密鑰安全分析

    密鑰是數(shù)據(jù)加密技術(shù)中的核心算法點(diǎn),本文所討論的五層架構(gòu)體系中所有的數(shù)據(jù)傳輸和存儲(chǔ)及訪問(wèn),都基于數(shù)據(jù)加密技術(shù)的支持,隨著技術(shù)的發(fā)展,加密技術(shù)不斷完善,但完成安全的數(shù)據(jù)通訊,僅僅有加密和解密算法還是不夠的,還需要有安全的密鑰分配協(xié)議的支持。在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中,采用公鑰密碼系統(tǒng)有較好的安全性,但加密解密的速度慢,而私鑰雖然速度快,但不安全,因此密鑰分配協(xié)議(簡(jiǎn)稱(chēng)KDP)是一種增強(qiáng)加密和解密的安全性。目前,世界存在的密鑰分配協(xié)議有兩種,一種是基于單一網(wǎng)絡(luò)的密鑰分配協(xié)議;一種是基于網(wǎng)絡(luò)時(shí)鐘同步的網(wǎng)絡(luò)密鑰分配協(xié)議;還有一種是基于層次的KDP。但這三種協(xié)議由于種種原因(必要前提、不可修補(bǔ)等)而不能長(zhǎng)時(shí)間應(yīng)用與數(shù)據(jù)加密技術(shù)中。

    2.3可修補(bǔ)密鑰分配協(xié)議

    本文基于數(shù)據(jù)加密技術(shù)和網(wǎng)絡(luò)安全的五層體系架構(gòu)考慮,設(shè)計(jì)一種可替補(bǔ)的密鑰分配協(xié)議方法,通過(guò)此協(xié)議,增加數(shù)據(jù)加密密鑰的合理性和減小密鑰丟失的風(fēng)險(xiǎn)性,提高網(wǎng)絡(luò)安全性能。所謂密鑰可修補(bǔ)分配協(xié)議的重點(diǎn)在于當(dāng)一個(gè)密鑰由于病毒、黑客或用戶(hù)誤操作而導(dǎo)致的系統(tǒng)漏洞,因此系統(tǒng)就出現(xiàn)各種被惡意破壞的可能存在,目前部分密鑰分配協(xié)議中采用新密鑰代替被泄露的密鑰,但也無(wú)法保證沒(méi)有了安全漏洞。而本文所設(shè)計(jì)的密鑰分配協(xié)議不僅能取代泄露的密鑰,而且可使系統(tǒng)恢復(fù)至初始,此種協(xié)議被稱(chēng)為可替補(bǔ)協(xié)議。

    3.總結(jié)

    第6篇

    網(wǎng)絡(luò)安全通信是實(shí)現(xiàn)信息系統(tǒng)互聯(lián)互通的主要手段,因此建立多級(jí)安全網(wǎng)絡(luò)通信模型是實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)安全互聯(lián)的重要保障。當(dāng)前,雖然正對(duì)多級(jí)安全模型的研究已經(jīng)取得了一定的效果,但是依舊不能夠滿(mǎn)足多級(jí)安全網(wǎng)絡(luò)通信的實(shí)際需求,存在著靈活性較差、客體信息聚合推導(dǎo)泄密、傳輸信息泄密干擾等問(wèn)題。因此,實(shí)現(xiàn)多級(jí)安全網(wǎng)絡(luò)信息系統(tǒng)間的安全互聯(lián)互通的關(guān)鍵是支持具有多級(jí)安全屬性的網(wǎng)絡(luò)通信安全機(jī)制。

    二、安全標(biāo)記綁定技術(shù)

    在網(wǎng)絡(luò)信息系統(tǒng)中,安全標(biāo)記是強(qiáng)制訪問(wèn)控制實(shí)施的基礎(chǔ)。實(shí)現(xiàn)安全標(biāo)記與課堂之間的綁定是多級(jí)安全網(wǎng)絡(luò)中實(shí)現(xiàn)數(shù)據(jù)安全共享的關(guān)鍵。實(shí)現(xiàn)安全標(biāo)記與客體的綁定包括信息客體、進(jìn)程等,當(dāng)前的安全標(biāo)記與客體的綁定并不能夠滿(mǎn)足多級(jí)安全控制的需要,需要對(duì)存在的問(wèn)題進(jìn)行分析,在此基礎(chǔ)上提出基于數(shù)據(jù)樹(shù)統(tǒng)一化描述的安全標(biāo)志與課堂的綁定方式,從而實(shí)現(xiàn)了綁定的統(tǒng)一性,確保了安全標(biāo)記的安全性,為實(shí)施更為細(xì)粒度的訪問(wèn)控制提供了保障。

    三、信息客體聚合推導(dǎo)控制方法

    多級(jí)安全網(wǎng)絡(luò)中存在著客體信息聚合導(dǎo)致了信息泄密問(wèn)題。需要對(duì)客體之間的關(guān)系進(jìn)行分析,通過(guò)多級(jí)安全網(wǎng)絡(luò)信息課堂聚合推導(dǎo)控制方法實(shí)現(xiàn)對(duì)多級(jí)安全網(wǎng)絡(luò)訪問(wèn)控制策略的制定。通過(guò)對(duì)關(guān)聯(lián)客體與相似客體的角度研究了客體聚合推導(dǎo)控制。信息客體聚合推導(dǎo)控制方法包括兩個(gè)方面,一方面是基于屬性關(guān)聯(lián)的客體聚合信息級(jí)別推演方法,另一方面是基于聚類(lèi)分析的客體聚合信息級(jí)別推演方法。通過(guò)這兩種方式實(shí)現(xiàn)多級(jí)安全網(wǎng)絡(luò)防護(hù)基本原則的改變,對(duì)多級(jí)安全網(wǎng)絡(luò)中主體對(duì)客體的訪問(wèn)進(jìn)行有效的控制,降低或者消除泄密的風(fēng)險(xiǎn)。

    四、通信協(xié)議簇設(shè)計(jì)

    通信的基礎(chǔ)就是協(xié)議,只有通過(guò)安全協(xié)議才能夠?qū)崿F(xiàn)安全互聯(lián)。在多級(jí)安全網(wǎng)絡(luò)中,存在著通信關(guān)系比較復(fù)雜的現(xiàn)象,其靈活性較差。尤其是在實(shí)現(xiàn)了信息系統(tǒng)互聯(lián)之后,容易引起攻擊者興趣的往往是具有了一定安全級(jí)別的信息。在對(duì)多級(jí)安全網(wǎng)絡(luò)的特點(diǎn)進(jìn)行分析了基礎(chǔ)上,對(duì)多級(jí)安全網(wǎng)絡(luò)的通信協(xié)議簇進(jìn)行了設(shè)計(jì),產(chǎn)生了MLN-SCP,這種通信協(xié)議簇包括兩個(gè)方面,一方面是多級(jí)安全通道建立協(xié)議ML-STEP,主要的作用是建立多級(jí)安全通道,對(duì)通道的秘鑰材料進(jìn)行協(xié)商,從而確保數(shù)據(jù)傳輸過(guò)程中的安全,另一方面是多級(jí)安全網(wǎng)絡(luò)傳輸協(xié)議MLN-STP,主要的作用是通過(guò)安全通道模式與UDP封裝通道模式實(shí)現(xiàn)數(shù)據(jù)的安全封裝與安全標(biāo)記的攜帶,對(duì)通道內(nèi)數(shù)據(jù)傳輸?shù)陌踩M(jìn)行保障。通信協(xié)議簇MLN-SCP更加適合與多級(jí)安全網(wǎng)絡(luò)信息系統(tǒng)之間的安全互聯(lián)。

    五、總結(jié)

    第7篇

    1.1系統(tǒng)功能

    在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中,網(wǎng)絡(luò)服務(wù)評(píng)估系統(tǒng)的數(shù)據(jù)源是最重要的數(shù)據(jù)源之一。一方面,它能向上層管理者提供目標(biāo)網(wǎng)絡(luò)的安全態(tài)勢(shì)評(píng)估。另一方面,服務(wù)數(shù)據(jù)源為其它傳感器(Log傳感器、SNMP傳感器、Netflow傳感器)的數(shù)據(jù)分析提供參考和依據(jù)[1]。

    1.2主要功能

    (1)風(fēng)險(xiǎn)評(píng)估,根據(jù)國(guó)家安全標(biāo)準(zhǔn)并利用測(cè)試系統(tǒng)的數(shù)據(jù)和主要的風(fēng)險(xiǎn)評(píng)估模型,獲取系統(tǒng)數(shù)據(jù),定義系統(tǒng)風(fēng)險(xiǎn),并提出應(yīng)對(duì)措施[2]。

    (2)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè),利用得到的安全測(cè)試數(shù)據(jù),按照預(yù)測(cè)、隨機(jī)和綜合量化模型,對(duì)信息系統(tǒng)作出安全態(tài)勢(shì)評(píng)估與預(yù)測(cè),指出存在的安全隱患并提出安全解決方案。

    (3)建立數(shù)據(jù)庫(kù)支撐,包括評(píng)估模型庫(kù)、專(zhuān)家知識(shí)庫(kù)、標(biāo)準(zhǔn)規(guī)范庫(kù)等。

    (4)輸出基于圖表樣式和數(shù)據(jù)文件格式的評(píng)估結(jié)果。

    2系統(tǒng)組成和總體架構(gòu)

    2.1系統(tǒng)組成

    網(wǎng)絡(luò)安全評(píng)估系統(tǒng)態(tài)勢(shì)評(píng)估系統(tǒng)是在Windows7平臺(tái)下,采用C++builder2007開(kāi)發(fā)的。它的數(shù)據(jù)交互是通過(guò)核心數(shù)據(jù)庫(kù)來(lái)運(yùn)行的,為了使評(píng)估的計(jì)算速度和讀寫(xiě)數(shù)據(jù)庫(kù)數(shù)據(jù)更快,應(yīng)將子系統(tǒng)與核心數(shù)據(jù)庫(kù)安裝在同一機(jī)器上。子系統(tǒng)之間的數(shù)據(jù)交互方式分別為項(xiàng)目數(shù)據(jù)交互和結(jié)果數(shù)據(jù)交互。前者分發(fā)采用移動(dòng)存儲(chǔ)的形式進(jìn)行,而后者的提交獲取是通過(guò)核心數(shù)據(jù)庫(kù)運(yùn)行。

    2.2總體架構(gòu)

    系統(tǒng)包括人機(jī)交互界面、控制管理、數(shù)據(jù)整合、漏洞掃描、安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)、本地?cái)?shù)據(jù)庫(kù)等六個(gè)模塊組成。網(wǎng)絡(luò)安全評(píng)估系統(tǒng)中的漏洞掃描部分采用插件技術(shù)設(shè)計(jì)總體架構(gòu)。掃描目標(biāo)和主控臺(tái)是漏洞掃描子系統(tǒng)的主要部分,后者是漏洞掃描子系統(tǒng)運(yùn)行的中心,主控臺(tái)主要是在用戶(hù)打開(kāi)系統(tǒng)之后,通過(guò)操作界面與用戶(hù)進(jìn)行交流,按照用戶(hù)下達(dá)的命令及調(diào)用測(cè)試引擎對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行漏洞測(cè)試,測(cè)試完成后調(diào)取所占用的資源,并取得掃描結(jié)果,最后形成網(wǎng)絡(luò)安全測(cè)試評(píng)估報(bào)告,通過(guò)這個(gè)測(cè)試,有利于管理人員發(fā)現(xiàn)主機(jī)有可能會(huì)被黑客利用的漏洞,在這些薄弱區(qū)被黑客攻擊之前對(duì)其進(jìn)行加強(qiáng)整固,從而提高主機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性。

    3系統(tǒng)工作流程

    本系統(tǒng)首先從管理控制子系統(tǒng)獲取評(píng)估任務(wù)文件[3],然后根據(jù)任務(wù)信息從中心數(shù)據(jù)庫(kù)獲取測(cè)試子系統(tǒng)的測(cè)試數(shù)據(jù),再對(duì)這些數(shù)據(jù)進(jìn)行融合(加權(quán)、去重),接著根據(jù)評(píng)估標(biāo)準(zhǔn)、評(píng)估模型和支撐數(shù)據(jù)庫(kù)進(jìn)行評(píng)估[4],評(píng)估得到網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)、安全態(tài)勢(shì),并對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),最后將評(píng)估結(jié)果進(jìn)行可視化展示,并生成相關(guān)評(píng)估報(bào)告,以幫助用戶(hù)進(jìn)行最終的決策[5]。

    4系統(tǒng)部分模塊設(shè)計(jì)

    4.1網(wǎng)絡(luò)主機(jī)存活性識(shí)別的設(shè)計(jì)

    “存活”是用于表述網(wǎng)絡(luò)主機(jī)狀態(tài)[6],在網(wǎng)絡(luò)安全評(píng)估系統(tǒng)中存活性識(shí)別流程對(duì)存活主機(jī)識(shí)別采用的方法是基于ARP協(xié)議。它的原理是當(dāng)主機(jī)或路由器正在尋找另外主機(jī)或路由器在此網(wǎng)絡(luò)上的物理地址的時(shí)候,就發(fā)出ARP查詢(xún)分組。由于發(fā)送站不知道接收站的物理地址,查詢(xún)便開(kāi)始進(jìn)行網(wǎng)絡(luò)廣播。所有在網(wǎng)絡(luò)上的主機(jī)和路由器都會(huì)接收和處理分組,但僅有意圖中的接收者才會(huì)發(fā)現(xiàn)它的IP地址,并響應(yīng)分組。

    4.2網(wǎng)絡(luò)主機(jī)開(kāi)放端口/服務(wù)掃描設(shè)計(jì)

    端口是計(jì)算機(jī)與外界通訊交流的出口[7],軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)的通信協(xié)議端口,是一種抽象的軟件結(jié)構(gòu),包括一些數(shù)據(jù)結(jié)構(gòu)和FO(基本輸入輸出)緩沖區(qū)[8]。

    4.3網(wǎng)絡(luò)安全評(píng)估系統(tǒng)的實(shí)現(xiàn)

    該實(shí)現(xiàn)主要有三個(gè)功能,分別是打開(kāi)、執(zhí)行和退出系統(tǒng)[9]。打開(kāi)是指打開(kāi)系統(tǒng)分發(fā)的評(píng)估任務(wù),顯示任務(wù)的具體信息;執(zhí)行任務(wù)指的是把檢測(cè)數(shù)據(jù)融合,存入數(shù)據(jù)庫(kù);退出系統(tǒng)是指關(guān)閉系統(tǒng)。然后用戶(hù)在進(jìn)行掃描前可以進(jìn)行選擇掃描哪些項(xiàng),對(duì)自己的掃描范圍進(jìn)行設(shè)置。進(jìn)入掃描后,界面左邊可以顯示掃描選項(xiàng),即用戶(hù)選中的需要掃描的項(xiàng)[10]。界面右邊顯示掃描進(jìn)程。掃描結(jié)束后,用戶(hù)可以點(diǎn)擊“生成報(bào)告”,系統(tǒng)生成用戶(hù)的網(wǎng)絡(luò)安全評(píng)估系統(tǒng)檢測(cè)報(bào)告,最終評(píng)定目標(biāo)主機(jī)的安全等級(jí)[11]。

    5結(jié)束語(yǔ)

    (1)系統(tǒng)研究還不夠全面和深入。網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估是一門(mén)新技術(shù)[12],很多問(wèn)題如規(guī)劃和結(jié)構(gòu)還沒(méi)有解決。很多工作僅限于理論,設(shè)計(jì)方面存在爭(zhēng)論,沒(méi)有統(tǒng)一的安全態(tài)勢(shì)評(píng)估系統(tǒng)模型[13]。

    (2)網(wǎng)絡(luò)安全狀況評(píng)估沒(méi)有一致的衡量標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全是一個(gè)全面統(tǒng)一的概念[14],而網(wǎng)絡(luò)安全態(tài)勢(shì)的衡量到現(xiàn)在還沒(méi)有一個(gè)全面的衡量機(jī)制[15]。這就導(dǎo)致現(xiàn)在還沒(méi)有遵守的標(biāo)準(zhǔn),無(wú)法判斷方法的優(yōu)劣。