网络安全问题的防范措施及技术前景展望初探
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
胁 网络安全 的 ^隐患。 :
19 9 4年 以 协议鲁 分 应用软件部分和网络服务器部分等 , 卜 如果安全性要求较高, l / 则最初的安全检查在应用层 方面进行攻击, 其原理也是运用 T PI , C / 网络拓扑 完成 , P 一旦明确了会话细节 , 则转移到速度较快的
黑客, 是指利用通讯欹件, 通过网络非法进 入 他人计算机系统 。 截取或篡改计算机数据 , 以及恶 意攻击信息网络、 金融网络资源和危害国家或社会 公众信息资源安全的电脑 ^ 或 ^ 侵者 侵行为。 黑客 的攻击方法有近千种,已超过计 算机病毒的种类。 目 前已发现的黑客攻击案仅占总数的很小—部分' 网相连的网络管理中心绝大多数遭到过黑客攻击 或侵入。 而政府、 邮电、 军事部门和银行证券机构是 黑客攻击的重 点 黑客多为熟练掌握} 机技 。 1 算 术的 自己的缔程技术 c ak 可也有些是为了经济利益或是其它 目的( k c 。 mc 以匕 事实表明, 在网络上如何保证合法用户对资源 的合法访问以及如何防 止网络黑客攻击. 成为网络 盔 ! 耸 的主要内容。 网绍安全{ 盎应能 { 缸 全力雀觉针对 i 各种不同的威胁这 样才能 确保网络信息的保密性、 完整性和可用性。 目前虽然可以 防御系统软件防 止 黑客的 进攻, 保证计算机安全 , 但依然不能 l = l } 警惕, 不能对破坏计 算机f 言 息安全 的事例熟视无睹, 攻 击: 1 系统管理员要加强对系统的安全监测和控 . 1 制能力 , 检测安全漏洞及配置错误 , 己发现的系 对 统漏洞, 要立即采取措施进行升级、 改造, 做到防徽 杜渐 。 1 加强安全管理。 2 在确保合法用户的合法存 取的前提下 , 本着最小授权的原则给用户设置属性 和权限 , 加强网络访问控制, 做好用户上网访 问的 身份认证工作, 对非法 ^ 、 侵者以物理隔离方式, 可 阻挡绝大部分黑客非法进 ^ 网络。 l 3集中监控。对网络实f 中统— 理 和集 谋 增 中监控机制 , 建立和完善 口 令使用和分级管理制 度 , 口令由专人负责 , 重要 从而防止内部人员越级 访问和越权采集数据。 1 4多层次防 御和部门问的物理隔离。 可以在 防火墙的基础上实施对不同部门之问的由多级网 络设备隔离的小网络 , 根据信息源的 性质 , 尽量对
加密算法 分对称密钥算法和公开密钥算法两种。 对 路由器使用的包过滤技术的优点是不要求客 不够高。 公 户机和主机应用程序做出修改 ,因为它们只在 I 开密钥算法使用公共密钥匙和私有密钥 , P 公共密钥 和T P C 层工作 , I 层和 T P 而 P C 层与应用层的问题 可 5 l J 证柳构 C 得到, 【 i A中 私有密钥由 ^ 个 保存 , 从 毫不相关,但是由于它考虑的只是 I P层和 T P C 层 根本 匕 解决 的地址、 端口号和 1 标志等信 息 ℃P 作为判定过滤与 3 需要研制新一代的防火墙和入侵澳 试软 . 3 i 否的唯—依据,并 有对其他安全 薪求做出说明 , 件。该软件研凌在每台机器 匕 殳 进行适时监测 。 不但 因 此路由器不能对通过高层协议进行的攻击实现 能Ⅱ 自外部的入侵 , 同时也能监测来自内部的 有效的检测。 另外, 对于—些协议如 U P没有 T P 入侵, D( C 并能进 鄯 搬 警。 I e e 正 对 n r t 常友好的 tn 标志位 A K 和远程程序调用 ( P ) C) R C 很难进行过 通信应该允许通过 , 克服了现有防火墙的许多缺 滤。 路由器防范入侵的主要措施就是 根据系统要求 陷。 确定路由 规则, 设计包过滤访问列表( C ) A L, 能否达 3 需要研究薪—代的 藤 鼬刈 one e给 _ 4 牛 I r l t nt 到安全要求取决于对通信协议和行为的高水平理 人 类带来信息资源共享便利的同时 。 也带来了网络 解。总之 , 多数路由器采用静态分组过滤来控制网 病毒、 蠕虫、 特洛伊木马、 子邮件炸弹等有害的东 电 络信 息传输 ,它适用于对安全要求不是很高的场 西。这些病毒通过 E ma 或用户下载的Jv p — i l aaA — lt cvX组件进行传播。除了对现有的杀毒 i 合。实际应用中—般与防火墙结合使用, 从而达到 pe 和 A t e 软件要不断升镪外 , 研制针对网络安全的杀毒软件 更由 蟛 蛐q 效果 。 2 2防火墙技术。目前保护网络安全最主要的 也 刻不 容缓。 手段之—是构筑防火墙 , 它一般位于开放的、 不安 网络安全措施的使用是为了刚 言 息交换, 而 全的公共网与内部局域阿之问, 用于实现两个网络 不是限 制信宦 交换或使其复杂化。 系统管理 也 是在 之间的 硎盏 和安全釉 各 制 。防火墙技术—般分为 开发安全系统时应该高度重视的, 这些管理包含网 密钥分配、 设备检查、 数据库维护和审计报 包过滤 凋 网关、 代理服务器、 电路层网关和自适 络配置、 应代理等技术。包过滤防火墙安装在路由器上, 具 告的生成等。另外应保证数据的安全存 , 储 确保数 据的机密性 , 即使攻击者得到数据也 法使用。总 用层 匕习 过滤和转发功能 , 针对网络应用协 之, 要综合考虑各种因素, 使构筑的网络既好用又
网络层。 谚敬 术爱 坂 映了防火墙 均
状况。 3 网络安 全问题的展望
基展
为 以下 门 卜 面 : /方 l 必须建立自主产权的网络操作系统。建立 在他 人 操作系统之 E 的网络安全系 。 统 无论 何角 度E , 讲 安全性都值得怀疑。特别对于军用网络安 全系 统而言, 自 使用 己的 络£ 作系统就显碍勤 Ⅱ 重要。当然建立—个 n靠的操作系统并非易 事, Ln x 但 iu 等开放源代码系统做了大量的前期准 缸 作, 建立在该代码之上的开发或许对我们会有 帮助 。 3, 2 必须研制高强度的保密算法。网络安全从 本质 匕 说与数据加密息息相关。 现在网络上采用的
等方面的知识。针对网络上的安全问题 , 一般采用 路由器技术和防火墙技术来进行防 下面就来介 范。 绍 两种技术 : 2 路由器技术。 . 1 路由器是—种多端口设备. 用 于按照协议和网络f息负责数鼬 贞 勺 发。 言 自: 转 路由器 位于一个或多个网段的交界处。 它一般在网络层和 f 层工作。 俞 在网络层 。 当路由 器遇 卜个 I 包时 , P 它便检查 I 包中的目的 l 地址,并与路由选择表 P P 中的项 目进行嵫 。如果匹配, 由器则依照表中 路 的指示转发 I P包, 如果不匹配 , 并且没有缺省的路 由选择, 包便被滤掉。 I P 在传输层 , 路曲器利用 T P C 报头 中的源端 口号 、目的端 口号和 T P标志 ( C 如 S N和 A K标志蒯 行包i滤。 由器可以阻塞广 Y c 路 播信息和不知名地址的传输 , 达到保护内部安全的 目的。
来, 互联网在全球迅猛发展 , 为人们提供了极大的 方便、 自由和无限的财富 , 国家的政治、 、 、 军事 经济 科技、 教育、 文化等各个方面都越来越网络化, 人们 的生活搬 乐、 交流方式也受其影响。 然而, 网络在给 人 们带来种种物质和文化享受的同时 。 也带来了一 些负碌 ‘ ”“ ; 馆息 撅 、 响。 邮 昨 ’ 荫碡 ” 、 “ 、 “ 网上犯罪”“ 匕 、网 黑客” 全。 尤其是黑客攻击, 随着互联网的普及, 成为威 已
安全 。
Байду номын сангаас
据或协议的理解能力, 但是由于使用了 包过滤机 参考文献 1 张 史海 制, 过滤不当仍可能使黑客通过外邬网络入侵内 部 [ 洪波 , 玉起 , 戍 网络安 全问题 浅杯 网络。 代理服务器 只 代理可信赖的服务并只允许 这 l 2 J 朱建军网络安全防范手邪 q 北京. 民邮电出 人 版 些服 务穿过防火墙, 其它服务翻 底封锁 。因 社 。0 7 . 2 0 3 】 网络 东北大学, 此 安全睢轼 。 漓 它的缺点是不能完全透明地支} p杨兵. 系统安全教术研究 沈阳: 铬 种服务和应用。 20 o2 责任编轾 宋义
一
8— 3
下 网络 安 全 的 防 范技 术 与展 望 。 关键词 : 网络 安 全 ; 客 ; 范 ; 望 黑 防 展 2 1世纪进入信息时代, ne t It me技术迅速普 公众信恳和保密信息实施不同的安全策略和多级 序 , 该防火 墙 C U资 源耗费 也较 大。电路层 网 另外 P 及网络发展日 新月 异。这其 中, E . 巍 ^ 关注的是网 别保护模式。 夭是在两个主机首次建立 T P C 连接时建立起的一 络的安全问题, 以下结合工作实际浅谈一下网络安 2网络安全问题的防范 道屏障。该网关在 I P层代理各种会话, 是包过滤和 全的防范技术与展望。 黑客进行网 络攻击主要寻找计算机 固 有的安 应用网关的折衷方案。自 适直『匪浅 弋 据用户 1网络安全及黑客 全漏洞 , 常从身份 认i和访问控制管理部分 、 正 通信 定义的安全策略, 动态地使用传送中的分组流量。
信 息产 业 i f f
于 永 胜
科赫
网络安全问题的防范措施及技术前景展望初探
( 吉林 信 息 工程 学校 , 林 吉林 12 0 0 吉 300)
摘 要 :1 2 世纪进入信 息时代, t t 术迅速普及。 [e 技 n me 网络发展 日新 月异。这其 中, 最让人 关注的是 网络的安全问题 , 以下结合工作实际浅谈一
19 9 4年 以 协议鲁 分 应用软件部分和网络服务器部分等 , 卜 如果安全性要求较高, l / 则最初的安全检查在应用层 方面进行攻击, 其原理也是运用 T PI , C / 网络拓扑 完成 , P 一旦明确了会话细节 , 则转移到速度较快的
黑客, 是指利用通讯欹件, 通过网络非法进 入 他人计算机系统 。 截取或篡改计算机数据 , 以及恶 意攻击信息网络、 金融网络资源和危害国家或社会 公众信息资源安全的电脑 ^ 或 ^ 侵者 侵行为。 黑客 的攻击方法有近千种,已超过计 算机病毒的种类。 目 前已发现的黑客攻击案仅占总数的很小—部分' 网相连的网络管理中心绝大多数遭到过黑客攻击 或侵入。 而政府、 邮电、 军事部门和银行证券机构是 黑客攻击的重 点 黑客多为熟练掌握} 机技 。 1 算 术的 自己的缔程技术 c ak 可也有些是为了经济利益或是其它 目的( k c 。 mc 以匕 事实表明, 在网络上如何保证合法用户对资源 的合法访问以及如何防 止网络黑客攻击. 成为网络 盔 ! 耸 的主要内容。 网绍安全{ 盎应能 { 缸 全力雀觉针对 i 各种不同的威胁这 样才能 确保网络信息的保密性、 完整性和可用性。 目前虽然可以 防御系统软件防 止 黑客的 进攻, 保证计算机安全 , 但依然不能 l = l } 警惕, 不能对破坏计 算机f 言 息安全 的事例熟视无睹, 攻 击: 1 系统管理员要加强对系统的安全监测和控 . 1 制能力 , 检测安全漏洞及配置错误 , 己发现的系 对 统漏洞, 要立即采取措施进行升级、 改造, 做到防徽 杜渐 。 1 加强安全管理。 2 在确保合法用户的合法存 取的前提下 , 本着最小授权的原则给用户设置属性 和权限 , 加强网络访问控制, 做好用户上网访 问的 身份认证工作, 对非法 ^ 、 侵者以物理隔离方式, 可 阻挡绝大部分黑客非法进 ^ 网络。 l 3集中监控。对网络实f 中统— 理 和集 谋 增 中监控机制 , 建立和完善 口 令使用和分级管理制 度 , 口令由专人负责 , 重要 从而防止内部人员越级 访问和越权采集数据。 1 4多层次防 御和部门问的物理隔离。 可以在 防火墙的基础上实施对不同部门之问的由多级网 络设备隔离的小网络 , 根据信息源的 性质 , 尽量对
加密算法 分对称密钥算法和公开密钥算法两种。 对 路由器使用的包过滤技术的优点是不要求客 不够高。 公 户机和主机应用程序做出修改 ,因为它们只在 I 开密钥算法使用公共密钥匙和私有密钥 , P 公共密钥 和T P C 层工作 , I 层和 T P 而 P C 层与应用层的问题 可 5 l J 证柳构 C 得到, 【 i A中 私有密钥由 ^ 个 保存 , 从 毫不相关,但是由于它考虑的只是 I P层和 T P C 层 根本 匕 解决 的地址、 端口号和 1 标志等信 息 ℃P 作为判定过滤与 3 需要研制新一代的防火墙和入侵澳 试软 . 3 i 否的唯—依据,并 有对其他安全 薪求做出说明 , 件。该软件研凌在每台机器 匕 殳 进行适时监测 。 不但 因 此路由器不能对通过高层协议进行的攻击实现 能Ⅱ 自外部的入侵 , 同时也能监测来自内部的 有效的检测。 另外, 对于—些协议如 U P没有 T P 入侵, D( C 并能进 鄯 搬 警。 I e e 正 对 n r t 常友好的 tn 标志位 A K 和远程程序调用 ( P ) C) R C 很难进行过 通信应该允许通过 , 克服了现有防火墙的许多缺 滤。 路由器防范入侵的主要措施就是 根据系统要求 陷。 确定路由 规则, 设计包过滤访问列表( C ) A L, 能否达 3 需要研究薪—代的 藤 鼬刈 one e给 _ 4 牛 I r l t nt 到安全要求取决于对通信协议和行为的高水平理 人 类带来信息资源共享便利的同时 。 也带来了网络 解。总之 , 多数路由器采用静态分组过滤来控制网 病毒、 蠕虫、 特洛伊木马、 子邮件炸弹等有害的东 电 络信 息传输 ,它适用于对安全要求不是很高的场 西。这些病毒通过 E ma 或用户下载的Jv p — i l aaA — lt cvX组件进行传播。除了对现有的杀毒 i 合。实际应用中—般与防火墙结合使用, 从而达到 pe 和 A t e 软件要不断升镪外 , 研制针对网络安全的杀毒软件 更由 蟛 蛐q 效果 。 2 2防火墙技术。目前保护网络安全最主要的 也 刻不 容缓。 手段之—是构筑防火墙 , 它一般位于开放的、 不安 网络安全措施的使用是为了刚 言 息交换, 而 全的公共网与内部局域阿之问, 用于实现两个网络 不是限 制信宦 交换或使其复杂化。 系统管理 也 是在 之间的 硎盏 和安全釉 各 制 。防火墙技术—般分为 开发安全系统时应该高度重视的, 这些管理包含网 密钥分配、 设备检查、 数据库维护和审计报 包过滤 凋 网关、 代理服务器、 电路层网关和自适 络配置、 应代理等技术。包过滤防火墙安装在路由器上, 具 告的生成等。另外应保证数据的安全存 , 储 确保数 据的机密性 , 即使攻击者得到数据也 法使用。总 用层 匕习 过滤和转发功能 , 针对网络应用协 之, 要综合考虑各种因素, 使构筑的网络既好用又
网络层。 谚敬 术爱 坂 映了防火墙 均
状况。 3 网络安 全问题的展望
基展
为 以下 门 卜 面 : /方 l 必须建立自主产权的网络操作系统。建立 在他 人 操作系统之 E 的网络安全系 。 统 无论 何角 度E , 讲 安全性都值得怀疑。特别对于军用网络安 全系 统而言, 自 使用 己的 络£ 作系统就显碍勤 Ⅱ 重要。当然建立—个 n靠的操作系统并非易 事, Ln x 但 iu 等开放源代码系统做了大量的前期准 缸 作, 建立在该代码之上的开发或许对我们会有 帮助 。 3, 2 必须研制高强度的保密算法。网络安全从 本质 匕 说与数据加密息息相关。 现在网络上采用的
等方面的知识。针对网络上的安全问题 , 一般采用 路由器技术和防火墙技术来进行防 下面就来介 范。 绍 两种技术 : 2 路由器技术。 . 1 路由器是—种多端口设备. 用 于按照协议和网络f息负责数鼬 贞 勺 发。 言 自: 转 路由器 位于一个或多个网段的交界处。 它一般在网络层和 f 层工作。 俞 在网络层 。 当路由 器遇 卜个 I 包时 , P 它便检查 I 包中的目的 l 地址,并与路由选择表 P P 中的项 目进行嵫 。如果匹配, 由器则依照表中 路 的指示转发 I P包, 如果不匹配 , 并且没有缺省的路 由选择, 包便被滤掉。 I P 在传输层 , 路曲器利用 T P C 报头 中的源端 口号 、目的端 口号和 T P标志 ( C 如 S N和 A K标志蒯 行包i滤。 由器可以阻塞广 Y c 路 播信息和不知名地址的传输 , 达到保护内部安全的 目的。
来, 互联网在全球迅猛发展 , 为人们提供了极大的 方便、 自由和无限的财富 , 国家的政治、 、 、 军事 经济 科技、 教育、 文化等各个方面都越来越网络化, 人们 的生活搬 乐、 交流方式也受其影响。 然而, 网络在给 人 们带来种种物质和文化享受的同时 。 也带来了一 些负碌 ‘ ”“ ; 馆息 撅 、 响。 邮 昨 ’ 荫碡 ” 、 “ 、 “ 网上犯罪”“ 匕 、网 黑客” 全。 尤其是黑客攻击, 随着互联网的普及, 成为威 已
安全 。
Байду номын сангаас
据或协议的理解能力, 但是由于使用了 包过滤机 参考文献 1 张 史海 制, 过滤不当仍可能使黑客通过外邬网络入侵内 部 [ 洪波 , 玉起 , 戍 网络安 全问题 浅杯 网络。 代理服务器 只 代理可信赖的服务并只允许 这 l 2 J 朱建军网络安全防范手邪 q 北京. 民邮电出 人 版 些服 务穿过防火墙, 其它服务翻 底封锁 。因 社 。0 7 . 2 0 3 】 网络 东北大学, 此 安全睢轼 。 漓 它的缺点是不能完全透明地支} p杨兵. 系统安全教术研究 沈阳: 铬 种服务和应用。 20 o2 责任编轾 宋义
一
8— 3
下 网络 安 全 的 防 范技 术 与展 望 。 关键词 : 网络 安 全 ; 客 ; 范 ; 望 黑 防 展 2 1世纪进入信息时代, ne t It me技术迅速普 公众信恳和保密信息实施不同的安全策略和多级 序 , 该防火 墙 C U资 源耗费 也较 大。电路层 网 另外 P 及网络发展日 新月 异。这其 中, E . 巍 ^ 关注的是网 别保护模式。 夭是在两个主机首次建立 T P C 连接时建立起的一 络的安全问题, 以下结合工作实际浅谈一下网络安 2网络安全问题的防范 道屏障。该网关在 I P层代理各种会话, 是包过滤和 全的防范技术与展望。 黑客进行网 络攻击主要寻找计算机 固 有的安 应用网关的折衷方案。自 适直『匪浅 弋 据用户 1网络安全及黑客 全漏洞 , 常从身份 认i和访问控制管理部分 、 正 通信 定义的安全策略, 动态地使用传送中的分组流量。
信 息产 业 i f f
于 永 胜
科赫
网络安全问题的防范措施及技术前景展望初探
( 吉林 信 息 工程 学校 , 林 吉林 12 0 0 吉 300)
摘 要 :1 2 世纪进入信 息时代, t t 术迅速普及。 [e 技 n me 网络发展 日新 月异。这其 中, 最让人 关注的是 网络的安全问题 , 以下结合工作实际浅谈一