精编【安全生产】关于网络安全技术概述

【安全生产】关于网络安全技

术概述

xxxx年xx月xx日

xxxxxxxx集团企业有限公司

Please enter your company's name and contentv

关于网络安全技术概述

1. 引言

随着网络的迅速发展，网络的安全性显得非常重要，这是因为怀有恶意的攻击者窃取、修改网络上传输的信息，通过网络非法进入远程主机，获取储存在主机上的机密信息，或占用网络资源，阻止其他用户使用等。然而，网络作为开放的信息系统必然存在众多潜在的安全隐患，因此，网络安全技术作为一个独特的领域越来越受到全球网络建设者的关注。

一般来说，计算机系统本身的脆弱性和通信设施的脆弱性再加上网际协议的漏洞共同构成了网络的潜在威胁。随着无线互联网越来越普及的应用，互联网的安全性又很难在无线网上实施，因此，特别在构建内部网时，若忽略了无线设备的安全性则是一种重大失误。

2. 网络攻击及其防护技术

计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护，不因偶然或恶意的原因遭到破坏、泄露，能确保网络连续可靠的运行。网络安全其实就是网络上的信息存储和传输安全。

网络的安全主要来自黑客和病毒攻击，各类攻击给网络造成的损失已越来越大了，有的损失对一些企业已是致命的，侥幸心里已经被提高防御取代，下面就攻击和防御作简要介绍。

2.1常见的攻击有以下几类：

2.1.1 入侵系统攻击

此类攻击如果成功，将使你的系统上的资源被对方一览无遗，对方可以直接控制你的机器。

2.1.2 缓冲区溢出攻击

程序员在编程时会用到一些不进行有效位检查的函数，可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，从而破坏程序的堆栈，使程序转而执行其它的指令，如果这些指令是放在有root权限的内存中，那么一旦这些指令得到了运行，黑客就以root权限控制了系统，这样系统的控制权就会被夺取，此类攻击在LINUX系统常发生。在Windows系统下用户权限本身设定不严谨，因此应比在LINUX系统下更易实现。

2.1.3 欺骗类攻击

网络协议本身的一些缺陷可以被利用，使黑客可以对网络进行攻击，主要方式有：IP 欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗;地址欺骗等。

2.1.4 拒绝服务攻击

通过网络，也可使正在使用的计算机出现无响应、死机的现象，这就是拒绝服务攻击，简称DoS(Denial of Service)。

分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪，简称DDoS(Distributed Denial of Service)。

2.1.5 对防火墙的攻击

防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺陷，对防火墙的攻击方法也是多种多样的，如探测攻击技术、认证的攻击技术等。

2.1.6 利用病毒攻击

病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。

2.1.7 木马程序攻击

特洛伊木马是一种直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

2.1.8 网络侦听

网络侦听为主机工作模式，主机能接受到本网段在同一条物理通道上传输的所有信息。只要使用网络监听工具，就可以轻易地截取所在网段的所有用户口令和帐号等有用的信息资料。

等等。现在的网络攻击手段可以说日新月异，随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进，操作系统对本身漏洞的更新补救越来越及时。现在企业更加注意企业内部网的安全，个人越来越注意自己计算机的安全。可以说：只要有计算机和网络的地方肯定是把网络安全放到第一位。

网络有其脆弱性，并会受到一些威胁。因而建立一个系统时进行风险分析就显得尤为重要了。风险分析的目的是通过合理的步骤，以防止所有对网络安全构成威胁的事件发生。因此，严密的网络安全风险分析是可靠和有效的安全防护措施制定的必要前提。网络风险分析在系统可行性分析阶段就应进行了。因为在这阶段实现安全控制要远比在网络系统运行后采取同样的控制要节约的多。即使认为当前的网络系统分析建立的十分完善，在建立安全防护时，风险分析还是会发现一些潜在的安全问题，从整体性、协同性方面构建一个信息安全的网络环境。可以说网络的安全问题是组织管理和决策。

2.2 防御措施主要有以下几种

2.2.1 防火墙

防火墙是建立在被保护网络与不可信网络之间的一道安全屏障，用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点，对进、出内部网络的服务和访问进行控制和审计。

2.2.2 虚拟专用网

拟专用网(VPN)的实现技术和方式有很多，但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道，利用加密技术对经过隧道传输的数据进行加密，以保证数据的私有性和安全性。此外，还需要防止非法用户对网络资源或私有信息的访问。

2.2.3 虚拟局域网

选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个

VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息，但VLAN技术的局限在新的VLAN机制较好的解决了，这一新的VLAN就是专用虚拟局域网(PVLAN)技术。

2.2.4 漏洞检测

漏洞检测就是对重要计算机系统或网络系统进行检查，发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略，即被动式策略和主动式策略。被动式策略基于主机检测，对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。漏洞检测系统是防火墙的延伸，并能有效地结合其他网络安全产品的性能，保证计算机系统或网络系统的安全性和可靠性。

2.2.5 入侵检测

入侵检测系统将网络上传输的数据实时捕获下来，检查是否有黑客入侵或可疑活动的发生，一旦发现有黑客入侵或可疑活动的发生，系统将做出实时报警响应。

2.2.6 密码保护

加密措施是保护信息的最后防线，被公认为是保护信息传输唯一实用的方法。无论是对等还是不对等加密都是为了确保信息的真实和不被盗取应用，但随着计算机性能的飞