時間:2023-09-13 17:15:02
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇常用的網(wǎng)絡(luò)安全協(xié)議,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關(guān)鍵詞】網(wǎng)絡(luò)安全協(xié)議;計算機通信技術(shù);安全協(xié)議分析;安全;協(xié)議設(shè)計
作者簡介:景泉,碩士研究生,遼寧石化職業(yè)技術(shù)學(xué)院計算機系,講師,研究方向:網(wǎng)絡(luò)測量
在最近幾十年,信息技術(shù)的發(fā)展十分迅速,隨著技術(shù)的進步,人們對于信息的傳輸和處理早已經(jīng)不受到時間和空間的約束,信息網(wǎng)絡(luò)在諸多行業(yè)之中被應(yīng)用,信息網(wǎng)絡(luò)甚至成為很多領(lǐng)域生存的基礎(chǔ),其中以金融領(lǐng)域和軍事領(lǐng)域尤為明顯,而且在如今的很多領(lǐng)域之中,如果沒有了信息網(wǎng)絡(luò),那么整個領(lǐng)域可能都會有癱瘓之虞。而伴隨著信息網(wǎng)絡(luò)覆蓋范圍以及信息網(wǎng)絡(luò)重要性的日益增長,網(wǎng)絡(luò)安全問題已經(jīng)成為了一個擺在人們面前的大問題,因為互聯(lián)網(wǎng)具有很高程度的開放性,而且互聯(lián)網(wǎng)上的信息都是可以共享的,這使得互聯(lián)網(wǎng)可以將人們的生活相互連接在一起,幫助人們進行交互,可是這也衍生出了一系列的問題,而安全問題更是首當(dāng)其沖,在這種情況下,網(wǎng)絡(luò)安全協(xié)議就成為了確保互聯(lián)網(wǎng)信息安全的一個十分重要的手段,通過網(wǎng)絡(luò)安全協(xié)議來對互聯(lián)網(wǎng)加以管控,這樣才能在確保網(wǎng)絡(luò)安全的前提下,讓互聯(lián)網(wǎng)可以更好地服務(wù)于人們的生活以及各個領(lǐng)域。而想要編寫安全系數(shù)更高的安全協(xié)議,就一定要更加深入的了解網(wǎng)絡(luò)安全協(xié)議,對網(wǎng)絡(luò)安全協(xié)議的邏輯性分析部分進行系統(tǒng)學(xué)習(xí)和研究,這樣可以從很大程度上提高網(wǎng)絡(luò)安全協(xié)議在使用過程之中的安全性。
1網(wǎng)絡(luò)安全協(xié)議綜述
“協(xié)議”在人們?nèi)粘9ぷ魃钪谐霈F(xiàn)的頻率越來越高,因此人們對于協(xié)議也有了一定程度上的了解。協(xié)議在絕大多數(shù)情況下指的是以完成某一個或者某幾個目標(biāo)為目的,且涉及到兩個或者兩個個體以上的情況下,由兩個個體所執(zhí)行的一種程序。所以從定義上來說,協(xié)定一般具備這樣幾個特征:(1)協(xié)議是一個過程,而且這一過程中的某幾個目標(biāo)存在著一定的順序,這一順序由協(xié)議的制定個體決定,在執(zhí)行的過程之中依照既定的順序依次執(zhí)行,而且這一順序在執(zhí)行過程中不得更改;(2)協(xié)議最少要擁有兩個參與其中的個體,除此之外在協(xié)議執(zhí)行的過程當(dāng)中,每一個參與個體都有自己要完成的環(huán)節(jié),可是有一點要注意,這一環(huán)節(jié)并不屬于協(xié)議當(dāng)中的內(nèi)容;(3)協(xié)議的最終目的是為了達成某一目的,故協(xié)議中應(yīng)當(dāng)包含對目的的預(yù)期。從以上的分析之中我們不難發(fā)現(xiàn),計算機網(wǎng)絡(luò)的安全協(xié)議其實就是在計算機通過網(wǎng)絡(luò)傳輸信息數(shù)據(jù)過程之中,用來確保信息安全的一種程序。在通過信息網(wǎng)絡(luò)傳輸數(shù)據(jù)的過程之中,安全協(xié)議最主要的作用就是,使用允許的一切方法來確保信息完整且有效,最常用的是密鑰的分配以及對身份的認(rèn)證。信息網(wǎng)絡(luò)安全協(xié)議與上個世紀(jì)七十年代被首次使用,這一協(xié)議在當(dāng)時為信息安全提供了很大程度上的安全保障,可是伴隨著信息技術(shù)水平的飛速發(fā)展,安全協(xié)議同樣需要與時俱進,這樣才能更加適應(yīng)日益多元化的信息交互方式。和從前相比,如今的科技水平已經(jīng)突飛猛進,安全協(xié)議也隨著科技的發(fā)展不斷的完善,而其效果和從前相比也更加全面,目前最常用的網(wǎng)絡(luò)安全協(xié)議一般情況下是SSL協(xié)議和SET協(xié)議這兩種。這兩種網(wǎng)絡(luò)協(xié)議都是通過對信息進行加密來確保信息安全。
2密碼協(xié)議的分類
從安全協(xié)議出現(xiàn)至今,還沒有確定的安全協(xié)議分類規(guī)則,所以也就沒有人對安全協(xié)議進行進一步的分類,可是想要將密碼類型的協(xié)議嚴(yán)格地按照一定的規(guī)定,來進行分類幾乎是做不到的,我們只能從不同的角度來對安全協(xié)議進行一個大致上的分類即:(1)認(rèn)證建立協(xié)議;(2)密鑰建立協(xié)議;(3)認(rèn)證密鑰建立協(xié)議。
3協(xié)議的安全性及其作用意義
3.1網(wǎng)絡(luò)安全協(xié)議的安全性及其攻擊檢驗
信息技術(shù)在最近幾年的發(fā)展可以稱得上是日新月異,而更多更完善地安全協(xié)議也被人們設(shè)計出來并得到了廣泛應(yīng)用,可是在絕大多數(shù)情況下,安全協(xié)議在應(yīng)用之初由于測試機制的不完善,會存在著大量的設(shè)計安全漏洞。可以導(dǎo)致網(wǎng)絡(luò)安全協(xié)議無效的因素有很多,而最為常見的是因為安全協(xié)議的編寫者對信息網(wǎng)絡(luò)沒有十分深入的了解,更加沒有進行系統(tǒng)的學(xué)習(xí),而對安全協(xié)議本身的研究也并不夠深入,這樣其設(shè)計出的安全協(xié)議在使用過程之中,暴露出大量問題也就不難理解了,和設(shè)計用密碼進行加密的加密程序相同,通過尋找協(xié)議的漏洞來尋找協(xié)議不安全的部分,相比于完善整個協(xié)議來說要簡單得多。絕大多數(shù)情況下,在一個新的安全協(xié)議被設(shè)計出來之后要對其進行安全性分析,而在分析過程中采用的主要手段就是對其進行模擬攻擊,而這樣的測試主要是針對以下三個方面:(1)對協(xié)議中用于信息加密的算法進行攻擊;(2)對算法以及協(xié)議本身的加密手段進行攻擊;(3)對協(xié)議本身進行攻擊。由于篇幅所限,下文中主要討論的是對協(xié)議本身進行攻擊測試,即默認(rèn)前兩者皆安全
3.2安全協(xié)議的設(shè)計方法
在網(wǎng)絡(luò)安全協(xié)議設(shè)計的過程中,一般情況下會通過設(shè)計來加強協(xié)議的復(fù)雜性以及協(xié)議對于交織攻擊的抵御能力,在此基礎(chǔ)上還要確保協(xié)議有一定程度的簡單性以及經(jīng)濟性。前者是為了確保協(xié)議自身盡可能的安全,而后者是為了使協(xié)議可以在更大的范圍內(nèi)加以使用。必須要有先設(shè)定某一方面的臨界條件,才可以讓設(shè)計出來的協(xié)議滿足以上四個要求,而這也就是網(wǎng)絡(luò)安全協(xié)議的設(shè)計規(guī)則。
(1)具備抵御常規(guī)攻擊的能力。不論哪一種網(wǎng)絡(luò)安全協(xié)議,最重要也是最根本的一個功能就是可以有效防御來自于網(wǎng)絡(luò)的攻擊,換而言之也就是,要求網(wǎng)絡(luò)協(xié)議對于明文攻擊以及混合式攻擊有防御的能力,也就是要求安全協(xié)議可以保護所傳輸?shù)男畔ⅲ蛔尮粽邚闹腥〉妹荑€,除此之外對于已經(jīng)超出使用期限的信息的篩選也應(yīng)當(dāng)歸屬在其中,也就是說同樣不能讓攻擊者從過期信息中找出漏洞從而獲取密鑰。
(2)應(yīng)當(dāng)可以應(yīng)用在任何網(wǎng)絡(luò)結(jié)構(gòu)的任何協(xié)議層。因為網(wǎng)絡(luò)結(jié)構(gòu)組成的不同,其協(xié)議層能夠接受的信息長度也不盡相同,如果想要安全協(xié)議應(yīng)用在更為廣泛的環(huán)境之中,那么就要網(wǎng)絡(luò)協(xié)議的密鑰消息長度可以滿足最短一種密鑰層的需求,只有這樣才能盡可能地提高網(wǎng)絡(luò)協(xié)議的使用范圍。
4結(jié)語
總而言之,在網(wǎng)絡(luò)信息技術(shù)日新月異的現(xiàn)在,網(wǎng)絡(luò)安全協(xié)議已經(jīng)在計算機通信網(wǎng)絡(luò)之中被廣泛的使用。計算機通信網(wǎng)安全協(xié)議使用范圍的逐漸擴大,不單單提高了計算機網(wǎng)絡(luò)在傳輸數(shù)據(jù)過程之中的安全程度,更進一步為計算機處理信息數(shù)據(jù)提供了更大的助力。
參考文獻:
[1]邱修峰,劉建偉,陳杰等.Adhoc網(wǎng)絡(luò)安全協(xié)議仿真系統(tǒng)設(shè)計與實現(xiàn)[J].江西師范大學(xué)學(xué)報(自然科學(xué)版),2012,36(02):135~140.
1.計算機網(wǎng)絡(luò)安全的定義
互聯(lián)網(wǎng)應(yīng)用技術(shù)產(chǎn)生于20世紀(jì)60時年代,自90年代開始發(fā)展和壯大,而其在人們的日常生活中也占據(jù)了越來越重要的地位。計算機網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)系統(tǒng)中的硬件與軟件及系統(tǒng)中數(shù)據(jù)受到保護,并且不會因為各種偶然因素遭到泄漏、破壞或者更改,與此同時,計算機系統(tǒng)能夠連續(xù)、可靠、正常地運行,網(wǎng)絡(luò)服務(wù)不被中斷。計算機網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)中信息的安全。因此計算機網(wǎng)絡(luò)安全的引申含義就是保障信息的可靠性、保密性、真實性、完整性及可用性。
2.計算機網(wǎng)絡(luò)安全問題分析
計算機技術(shù)的發(fā)展和信息化的普及,網(wǎng)絡(luò)能夠為信息處理提供有效的手段,信息所具備的重要性和機密性也為信息安全增加了隱患,目前計算機網(wǎng)絡(luò)安全問題集中體現(xiàn)在病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等方面。
2.1計算機網(wǎng)絡(luò)的物理安全問題
計算機網(wǎng)絡(luò)的物理安全是計算機網(wǎng)絡(luò)安全的基礎(chǔ),地震、火災(zāi)、水災(zāi)等自然問題都會對計算機網(wǎng)絡(luò)安全造成影響。另外還包括計算機網(wǎng)絡(luò)設(shè)備所處的環(huán)境,如電磁干擾,防水、防火、防雷電等。
2.2計算機病毒
計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。計算機病毒具有有破壞性,復(fù)制性和傳染性的特點。計算機病毒的主要傳播方式就是網(wǎng)絡(luò)傳播,也是危害計算機網(wǎng)絡(luò)安全的主要問題。例如在2010年出現(xiàn)的“極虎病毒”,感染“極虎病毒”的計算機進程中會出現(xiàn)pmg.exe與mr.exe進程,并且其CPU占用率高,如瑞星、360安全衛(wèi)士等殺毒軟件和安全類軟件會被自動關(guān)閉。“極虎病毒”能夠破壞殺毒軟件、感染系統(tǒng)文件、篡改系統(tǒng)文件,還會造成計算機和網(wǎng)絡(luò)的帳戶信息泄密、被盜等問題,造成經(jīng)濟損失。
2.3計算機操作系統(tǒng)、軟件安全漏洞
漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。
目前廣為應(yīng)用的計算機操作系統(tǒng)如WindowsXP、Windows7等,雖然具備了越來越完善的系統(tǒng)功能,但是系統(tǒng)漏洞是不可避免的問題。而計算機用戶使用的應(yīng)用軟件,因其自身設(shè)計也存在著一定的缺陷,而這些漏洞容易受到計算機病毒攻擊和黑客攻擊。危害計算機網(wǎng)絡(luò)的安全。
2.4計算機網(wǎng)絡(luò)協(xié)議存在的安全問題
Internet中的關(guān)鍵協(xié)議是TCP/IP協(xié)議,即網(wǎng)絡(luò)通訊協(xié)議。而這一協(xié)議當(dāng)初制定是出于資源共享的目的,而沒有考慮安全方面的問題,致使Internet自身存在脆弱性,也容易遭受攻擊。例如出現(xiàn)DOS、DDOS攻擊,SYN-Flood攻擊、ICMP攻擊、源路由攻擊、截取連接攻擊、以及IP地址被盜用等問題。
2.5黑客攻擊
黑客被定義為專指利用系統(tǒng)安全漏洞對網(wǎng)絡(luò)進行攻擊破壞或竊取資料的人。黑客利用計算機網(wǎng)絡(luò)存在的漏洞,盜取或篡改個人用戶的資料、窺探個人隱私,竊取企業(yè)的商業(yè)機密,還有部分黑客侵入國家網(wǎng)絡(luò)安全系統(tǒng),造成國家財產(chǎn)的損失或危害社會公共安全。黑客一般采取信息轟炸、獲取密碼、PING炸彈、攻破防火墻等方式,輕則造成數(shù)據(jù)被篡改,嚴(yán)重會造成網(wǎng)絡(luò)系統(tǒng)癱瘓或服務(wù)器拒絕服務(wù)。例如在2010年1月12日上午7點出現(xiàn)的全球最大中文搜索引擎“百度”遭到黑客攻擊的事件,導(dǎo)致用戶無法正常訪問“百度”,在登錄“百度”頁面時會自動跳轉(zhuǎn)到其他鏈接上,會被定向到一個位于荷蘭的IP地址,導(dǎo)致百度旗下所有子域名都無法訪問。
2.6人為因素造成的網(wǎng)絡(luò)安全問題
首先表現(xiàn)計算機網(wǎng)絡(luò)的使用者安全意識不強,包括系統(tǒng)設(shè)置錯誤,網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶操作口令的泄漏,臨時文件未及時刪除而被竊取等,都會造成網(wǎng)絡(luò)安全問題。其次,使用網(wǎng)絡(luò)的群體計算機水平參差不齊,難免因人為操作失誤危害網(wǎng)絡(luò)安全。第三,信息安全管理機制不健全,缺乏統(tǒng)一的監(jiān)管,以及相關(guān)的信息網(wǎng)絡(luò)安全制度的執(zhí)行和監(jiān)督力度不足,致使網(wǎng)絡(luò)安全存在隱患。
3.解決計算機網(wǎng)絡(luò)安全問題的對策
鑒于計算機網(wǎng)絡(luò)安全中存在的諸多問題,需要制定安全策略。安全策略是指在一個特定的環(huán)境里,為保證提供一定級別的安全保護所必須遵守的規(guī)則。而計算機網(wǎng)絡(luò)安全策略主要包括以下幾個方面。首先是應(yīng)用先進的網(wǎng)絡(luò)安全技術(shù),這也是網(wǎng)絡(luò)安全的技術(shù)保障。其次是強化網(wǎng)絡(luò)安全管理,建立和完善網(wǎng)絡(luò)使用機構(gòu)、企業(yè)和單位的信息安全管理體系,提高網(wǎng)絡(luò)監(jiān)管的執(zhí)行力度,提高網(wǎng)絡(luò)使用者的安全意識。第三,健全信息安全法制體系。國家和政府應(yīng)該制定符合中國國情的相關(guān)法律、法規(guī)和政策,加大對網(wǎng)絡(luò)犯罪的打擊力度,構(gòu)建和諧、健康、安全的網(wǎng)絡(luò)環(huán)境。
3.1加強網(wǎng)絡(luò)安全的物理環(huán)境建設(shè)
計算機網(wǎng)絡(luò)安全會受物理環(huán)境因素的影響,必須要保護計算機系統(tǒng)(網(wǎng)絡(luò)服務(wù)器)、網(wǎng)絡(luò)設(shè)備和通信鏈路不受自然災(zāi)害、人為破壞和物理手段攻擊,對于系統(tǒng)設(shè)備中的關(guān)鍵部分要進行電磁保護等,更好的為網(wǎng)絡(luò)安全建設(shè)提供物理基礎(chǔ)。
3.2信息加密技術(shù)
保護信息安全的必要手段就是采用信息加密技術(shù)。密碼技術(shù)是結(jié)合數(shù)學(xué)、計算機科學(xué)、電子與通信等學(xué)科于一體的交叉學(xué)科,具有保證信息機密性的信息加密功能,能夠提供數(shù)字簽名、身份驗證、秘密分存、系統(tǒng)安全手段,防止信息被竊取、篡改和偽造等問題出現(xiàn)。而常用的信息加密技術(shù)包括:動態(tài)會話密鑰、保護關(guān)鍵密鑰KEK定期變換加密會話密鑰的密鑰。
3.3防火墻技術(shù)
保障計算機網(wǎng)絡(luò)安全要安裝網(wǎng)絡(luò)防火墻。防火墻是通過在網(wǎng)絡(luò)邊界上建立起相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻擋外部網(wǎng)絡(luò)的入侵,同時能夠防止內(nèi)網(wǎng)中的非法操作。采用防火墻技術(shù)能夠有效保障網(wǎng)絡(luò)信息傳播的可靠性與安全性,同時還能對包含不安全因素的信息進行攔截、過濾。目前常用的防火墻類型主要包括兩種包過濾防火墻與防火墻,為不同客戶需求提供靈活多樣的防護方法。
3.4計算機防毒和殺毒
鑒于計算機病毒會對網(wǎng)絡(luò)安全產(chǎn)生極大的危害,因此要在計算機上安裝殺毒軟件。在安裝殺毒軟件都要定時的進行系統(tǒng)安全掃描消除安全隱患,同時要定期的對殺毒軟件和病毒庫進行升級、更新。例如常用的360安全衛(wèi)士,瑞星殺毒軟件等。
3.5安裝補丁程序
目前廣泛應(yīng)用的操作系統(tǒng)軟件都存在系統(tǒng)漏洞,比如Windows,XP,Vista,Windows7系統(tǒng)中都存在漏洞,需要在其官網(wǎng)下載安裝補丁程序,能夠有效防止黑客攻擊,以實現(xiàn)計算機網(wǎng)絡(luò)系統(tǒng)的安全運行。
3.6提高安全防范意識
結(jié)合近年來多發(fā)的危害網(wǎng)絡(luò)安全事件,很大程度上是由于網(wǎng)絡(luò)使用者安全意識不強有關(guān)。為了保障計算機網(wǎng)絡(luò)系統(tǒng)的安全需要提高網(wǎng)絡(luò)使用者的安全意識和網(wǎng)絡(luò)安全技術(shù)水平,規(guī)范網(wǎng)絡(luò)使用者的操作行為,避免出現(xiàn)人為因素造成的網(wǎng)絡(luò)安全問題。
關(guān)鍵詞:計算機;網(wǎng)絡(luò)安全;防范措施
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1674-7712 (2013) 04-0070-01
近些年來,伴隨著計算機網(wǎng)絡(luò)和通信技術(shù)的發(fā)展,不僅給人們的生活帶來很大的方便,同時信息化也讓人們得到了更多的物質(zhì)和文化的享受。與此同時,網(wǎng)絡(luò)的安全威脅也越來越嚴(yán)重,諸如黑客的侵襲、數(shù)據(jù)被盜、病毒的等。盡管我們也在使用復(fù)雜的軟件技術(shù)如防火墻、各種殺毒軟件、侵襲探測器等來規(guī)避安全問題的出現(xiàn),但是無論發(fā)達國家還是發(fā)展中國家都無法完全制止,對社會造成了嚴(yán)重的危害。本文主要通過計算機網(wǎng)絡(luò)應(yīng)用相關(guān)的常見信息安全問題、事例分析及詳細解決方案進行研究,以提高我們控制計算機信息安全問題的能力。
一、計算機網(wǎng)絡(luò)安全存在的安全威脅
(一)硬件系統(tǒng)和網(wǎng)絡(luò)環(huán)境存在的威脅
電源故障、線路截獲以及報警系統(tǒng)等其他計算機硬件系統(tǒng)故障的發(fā)生很容易對計算機網(wǎng)絡(luò)的安全性造成影響,而且由于每個計算機網(wǎng)絡(luò)操作系統(tǒng)都設(shè)置有后臺管理系統(tǒng),所以很難控制計算機網(wǎng)絡(luò)操作系統(tǒng)安全隱患。計算機網(wǎng)絡(luò)設(shè)計時是分散控制、資源共享以及分組交換的開放式,大跨度的環(huán)境,但是正是由于這種開放式、大跨度的網(wǎng)絡(luò)環(huán)境造成黑客以及病毒的入侵,很容易對計算機網(wǎng)絡(luò)帶來嚴(yán)重的破壞。同時由于計算機網(wǎng)絡(luò)具有一定的隱蔽性,對網(wǎng)絡(luò)用戶無法準(zhǔn)確的識別真實身份,這也進一步增加計算機網(wǎng)絡(luò)受到威脅。
(二)網(wǎng)絡(luò)通信協(xié)議對網(wǎng)絡(luò)安全造成的威脅
目前,計算機網(wǎng)絡(luò)互聯(lián)協(xié)議中,網(wǎng)絡(luò)通信協(xié)議組是最重要的互聯(lián)協(xié)議。其中網(wǎng)絡(luò)通信協(xié)議組主要是為了能夠使不同的計算機網(wǎng)絡(luò)硬件系統(tǒng)和計算機不同的操作系統(tǒng)相互連接在一起,并為計算機網(wǎng)絡(luò)通信提供支持系統(tǒng)。但是由于計算機網(wǎng)絡(luò)通信協(xié)議是一種互聯(lián)且開放的協(xié)議,并且網(wǎng)絡(luò)通信協(xié)議在設(shè)計的過程中,
由于沒有充分全面考慮關(guān)于計算機網(wǎng)絡(luò)安全等相關(guān)問題,所以導(dǎo)致計算機網(wǎng)絡(luò)安全因網(wǎng)絡(luò)通信協(xié)議問題出現(xiàn)問題,并且由于網(wǎng)絡(luò)通信協(xié)議自身存在一些漏洞,從而進一步導(dǎo)致黑客以及不法分子進入系統(tǒng)中利用TCP在連接的過程中進入內(nèi)部盜取重要的信息和數(shù)據(jù),對計算機網(wǎng)絡(luò)系統(tǒng)造成嚴(yán)重的破壞,最終造成計算機網(wǎng)絡(luò)無法正常工作。
(三)IP源路徑不穩(wěn)定性
由于計算機網(wǎng)絡(luò)運行中IP源路徑不穩(wěn)定,所以很容易導(dǎo)致用戶在利用計算機網(wǎng)絡(luò)發(fā)送信息或者重要數(shù)據(jù)時,黑客以及不法分子進入系統(tǒng)中將IP原路基你改變,導(dǎo)致用戶發(fā)送的重要信息以及數(shù)據(jù)發(fā)送到非法分子修改的IP地址獲取用戶重要的數(shù)據(jù),從中獲取非法利益。
二、計算機網(wǎng)絡(luò)安全問題防范及日常維護措施分析
(一)合理配置防火墻
在計算機網(wǎng)絡(luò)中,通過進行配置防火墻,對網(wǎng)絡(luò)通訊執(zhí)行訪問尺度進行控制計算機網(wǎng)絡(luò),明確訪問人和數(shù)據(jù)才能進入到網(wǎng)絡(luò)系統(tǒng)中,對于不允許或者其他非法分子以及數(shù)據(jù)能夠及時攔截,從而能夠有效防止黑客或者非法分子進入破壞網(wǎng)絡(luò)。防火墻作為一種有效的網(wǎng)絡(luò)安全機制,其已經(jīng)廣泛應(yīng)用到網(wǎng)絡(luò)系統(tǒng)中,最大限度防止計算機網(wǎng)絡(luò)不安全因素的入侵。
(二)安全認(rèn)證手段
保證實現(xiàn)電子商務(wù)中信息的保密性用的是數(shù)字信封技術(shù);保證電子商務(wù)信息的完整性用的是Hash為函數(shù)的核心的數(shù)字摘要技術(shù);保證電子商務(wù)信息的有效性是利用數(shù)字時間戳來完成的;保證電子商務(wù)中的通信不可否認(rèn)、不可抵賴使用的是數(shù)字簽名技術(shù);保證電子商務(wù)交易中各方身份的認(rèn)證使用的是建立CA認(rèn)證體系,這樣可以給電子商務(wù)交易各方發(fā)放數(shù)字認(rèn)證,并且還必須要有安全協(xié)議的配合,常用的安全協(xié)議有安全套接層SSL協(xié)議和安全電子交易SET協(xié)議。并且由于Administrator賬戶擁有計算機網(wǎng)絡(luò)最高系統(tǒng)權(quán)限,所以導(dǎo)致黑客經(jīng)常盜取賬戶破壞電腦程序。為了能夠預(yù)防這一網(wǎng)絡(luò)威脅事件的發(fā)生,首先應(yīng)該在Administrator賬戶上設(shè)定復(fù)雜且強大的密碼或者重命名Administrator賬戶,最后還可以在系統(tǒng)中創(chuàng)建一個沒有管理權(quán)限的Administrator賬戶以達到欺騙入侵者的目的,從而就會造成入侵者無法分清賬號是否擁有管理員的權(quán)限,進而能夠減少入侵者損害電計算機網(wǎng)絡(luò)以及系統(tǒng)內(nèi)重要的信息。
(三)加密技術(shù)
計算機網(wǎng)絡(luò)加密技術(shù)的實施主要是為了防止網(wǎng)絡(luò)信息以及數(shù)據(jù)泄露而研究設(shè)計的一種防范措施。加密技術(shù)主要是將計算機網(wǎng)絡(luò)系統(tǒng)中的明文數(shù)據(jù)按照一定的轉(zhuǎn)換方式而轉(zhuǎn)換成為加密的數(shù)據(jù)。其中傳統(tǒng)的加密技術(shù)主要是以報文為單位,這種加密技術(shù)與傳統(tǒng)的加密技術(shù)相比,其不僅具有獨特的要求,而且這種技術(shù)的大型數(shù)據(jù)庫管理系統(tǒng)主要是運用的Unix和WindowsNT,加密技術(shù)的操作系統(tǒng)的安全級別可以分為C1和C2,他們都具有識別用戶、用戶注冊和控制的作用。在計算機網(wǎng)絡(luò)系統(tǒng)中雖然DBES在OS的基礎(chǔ)上能夠為系統(tǒng)增加安全防范措施,但是對于計算機網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)其仍然存在一定的安全隱患,而病毒和黑客一般都是從這些細微的漏洞而對數(shù)據(jù)庫造成危害,而利用加密技術(shù)對敏感的數(shù)據(jù)進行加密則能夠有效保證數(shù)據(jù)的安全,從而保證計算機系統(tǒng)安全可靠的運行
三、總結(jié)
計算機網(wǎng)絡(luò)安全和可靠性一直以來都是研究的熱點問題,計算機網(wǎng)絡(luò)安全問題直接影響計算機技術(shù)的發(fā)展和應(yīng)用,雖然目前用于網(wǎng)絡(luò)安全的產(chǎn)品和技術(shù)很多,仍有很多黑客的入侵、病毒感染等現(xiàn)象。所以,我們應(yīng)該不斷研究出新的計算機網(wǎng)絡(luò)防范措施,實施先進的計算機網(wǎng)絡(luò)技術(shù)和計算機體系,同時加強計算機日常防護工作,這樣才能保護計算機網(wǎng)絡(luò)安全和信息數(shù)據(jù)安全,從而為計算機用戶帶來極大的方便,真正享受到網(wǎng)絡(luò)信息帶來的優(yōu)勢。
參考文獻:
[1]陳中元.計算機網(wǎng)絡(luò)安全現(xiàn)狀及防范技術(shù)探討[J].硅谷,2012(06):120-121.
[2]袁也婷,劉沖.淺談計算機網(wǎng)絡(luò)安全技術(shù)與防范策略[J].華章,2011(15):79-80.
關(guān)鍵詞 IPV6協(xié)議;網(wǎng)絡(luò)安全
1 IPV6協(xié)議
1.1 IPv6的由來
Internet依靠TCP/IP協(xié)議,在全球范圍內(nèi)實現(xiàn)不同硬件結(jié)構(gòu)、不同操作系統(tǒng)、不同網(wǎng)絡(luò)系統(tǒng)的互聯(lián)。在Internet上,每一個節(jié)點都依靠惟一的IP地址互相區(qū)分和相互聯(lián)系。
目前因特網(wǎng)使用的地址都是IPv4地址IPv6基本協(xié)議是經(jīng)過多次改進后確定的。現(xiàn)在的IPv6協(xié)議是1995年由Cisco公司的Steve Deering和Nokia公司的Robert Hinden完成起草并定稿的(即RFC2460)。1998年,IETF對RFC2460進行了較大的改進,形成了現(xiàn)有的RFC2460(1998版)。
1.2 IPv6協(xié)議的主要特點
為適應(yīng)實際應(yīng)用的要求,IPv6在IPv4的設(shè)計思想上加以改進,增加了一些必要的新功能。IPv6的主要特點如下:
1.2.1經(jīng)過擴展的地址和路由選擇功能。IP地址長度由32位增加到128位,可支持?jǐn)?shù)量大得多的可尋址節(jié)點、更多級的地址層次和較為簡單的地址自動配置。
1.2.2定義了任一成員(anycast) 地址,用來標(biāo)識一組接口,在不會引起混淆的情況下將簡稱“任一地址”,發(fā)往這種地址的分組將只發(fā)給由該地址所標(biāo)識的一組接口中的一個成員。
1.2.3簡化的首部格式。IPv4首部的某些字段被取消或改為選項,以減少報文分組處理過程中常用情況的處理費用,并使得IPv6首部的帶寬開銷盡可能低,盡管地址長度增加了。雖然IPv6地址長度是IPv4地址的四倍,IPv6首部的長度只有IPv4首部的兩倍。
1.2.4支持?jǐn)U展首部和選項。IPv6的選項放在單獨的首部中,位于報文分組中IPv6首部和傳送層首部之間。因為大多數(shù)IPv6選項首部不會被報文分組投遞路徑上的任何路由器檢查和處理,直至其到達最終目的地,這種組織方式有利于改進路由器在處理包含選項的報文分組時的性能。IPv6的另一改進,是其選項與IPv4不同,可具有任意長度,不限于40字節(jié)。
1.2.5支持驗證和隱私權(quán)。IPv6定義了一種擴展,可支持權(quán)限驗證和數(shù)據(jù)完整性。這一擴展是IPv6的基本內(nèi)容,要求所有的實現(xiàn)必須支持這一擴展。IPv6還定義了一種擴展,借助于加密支持保密性要求。
1.2.6支持自動配置。IPv6支持多種形式的自動配置,從孤立網(wǎng)絡(luò)節(jié)點地址的“即插即用”自動配置,到DHCP提供的全功能的設(shè)施。
1.2.7服務(wù)質(zhì)量能力。IPv6增加了一種新的能力,如果某些報文分組屬于特定的工作流,發(fā)送者要求對其給予特殊處理,則可對這些報文分組加標(biāo)號,例如非缺省服務(wù)質(zhì)量通信業(yè)務(wù)或“實時”服務(wù)。
1.3 IPv6中的地址類型和表示方法
IPv6地址類型主要有:
1.3.1單播地址(unicast)
該地址標(biāo)識某一單個接口。發(fā)往單播地址的包將被傳送到該地址指向的接口。
1.3.2任播地址(anycast)
該地址標(biāo)識屬于不同節(jié)點的一組接口。發(fā)往任播地址的包將被傳送到該地址標(biāo)識的某一個接口,通常是路由協(xié)議計算出的最近的那個接口。
1.3.3組播地址(multicast)
同樣該地址標(biāo)識屬于不同節(jié)點的一組接口。但發(fā)往組播地址的包將被傳送到該地址標(biāo)識的所有接口。
IPv6地址表示方法:一個IPv6的IP地址由8個地址節(jié)組成,每節(jié)包含16個地址位,以4個十六進制數(shù)書寫,節(jié)與節(jié)之間用冒號分隔,除了128位的地址空間,IPv6還為點對點通信設(shè)計了一種具有分級結(jié)構(gòu)稱為可聚合全局單點廣播地址的地址。
2 Ipv9協(xié)議
2.1 Ipv9的由來
在IPv6還沒有真正普及的今天,中國新一代自研網(wǎng)絡(luò)技術(shù)IPv9(十進制網(wǎng)絡(luò))即將走出實驗室。 IPv9協(xié)議是上海通用化工技術(shù)研究所所長、信產(chǎn)部科學(xué)技術(shù)司十進制網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組組長謝建平經(jīng)過十年的研發(fā),根據(jù)《采用全數(shù)字碼給上網(wǎng)的計算機分配地址的方法》發(fā)明專利實施并發(fā)展而成,擁有自主知識產(chǎn)權(quán)、以十進制算法(0-9)為基礎(chǔ)的協(xié)議,整個網(wǎng)絡(luò)系統(tǒng)主要有IPv9地址協(xié)議、IPv9報頭協(xié)議、IPv9過渡期協(xié)議、數(shù)字域名規(guī)范等協(xié)議和標(biāo)準(zhǔn)構(gòu)成,能兼容現(xiàn)有互聯(lián)網(wǎng)絡(luò)協(xié)議(IPv4、IPv6),又可實現(xiàn)邏輯隔離,達到安全可控。
在IPv9中,從維護主權(quán)的立場出發(fā),創(chuàng)造性的提出了互聯(lián)網(wǎng)上“主權(quán)平等”的概念;并在域名系統(tǒng)中采用十進制、多協(xié)議的數(shù)字域名系統(tǒng),兼容英文、中文及其他域名,并將他們映射成全球唯一IP地址;建立分布式跟域名系統(tǒng),引入國家地域概念,使每個國家都有自己的根域名系統(tǒng),以確立和維護其在互聯(lián)網(wǎng)上主權(quán)國家的地位和形象。
2.2 IPv9主要創(chuàng)新內(nèi)容
2.2.1在十進制互聯(lián)網(wǎng)絡(luò)上,除了計算機和網(wǎng)絡(luò)之間的數(shù)據(jù)傳誦必須二進制外,其他都采用十進制。
2.2.2同一的(用0~9阿拉伯?dāng)?shù)字)數(shù)字組合它既做IPV9地址、MAC地址又和替代現(xiàn)有互聯(lián)網(wǎng)上的英文字母或其他符號如中文等作域名。
2.2.3數(shù)字域名解析器兼容現(xiàn)有互聯(lián)網(wǎng)絡(luò)(IPV4網(wǎng)絡(luò)、IPV6網(wǎng)絡(luò))的英文域名解析。
2.2.4基于個人IP地址可作:個人主頁、FTP服務(wù)、IP電話和可視電話(計算機到計算機)及身份證、稅務(wù)發(fā)票、物流碼等廣泛應(yīng)用。
2.3 IPv9編碼
IPv9是借鑒了電話號碼的編碼體系,以地理概念清晰、簡明易記的數(shù)字分配域名。一個IPv9的IP地址由類似電話號碼的國家代碼、地區(qū)代碼和智能終端代碼(或服務(wù)商代碼)組成。
3 IPV6/9協(xié)議在網(wǎng)絡(luò)安全機制方面體現(xiàn)
安全性既涉及網(wǎng)絡(luò)安全也涉及信息安全,是發(fā)展下一代互聯(lián)網(wǎng)應(yīng)注意的最關(guān)鍵問題。隨著互聯(lián)網(wǎng)的大規(guī)模商用化和在國民經(jīng)濟中越來越重要的地位,安全威脅成為一個必須解決的問題。通過集成IPSec,IPv6實現(xiàn)了IP級的安全。IPSec提供如下安全:訪問控制、無連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性。
3.1協(xié)議安全
在協(xié)議安全層面上,IPv6全面支持認(rèn)證頭(AH)認(rèn)證和封裝安全有效負荷(ESP)信息安全封裝擴展頭。
AH認(rèn)證支持hmac_md5_96、hmac_sha_1_96認(rèn)證加密算法。
ESP封裝支持DES_CBC、3DES_CBC以及Null等三種算法。
3.2網(wǎng)絡(luò)安全
3.2.1端到端的安全保證。在兩端主機上對報文進行IPSec封裝,中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳,從而實現(xiàn)端到端的安全。
3.2.2對內(nèi)部網(wǎng)絡(luò)的保密。當(dāng)內(nèi)部主機與因特網(wǎng)上其他主機進行通信時,為了保證內(nèi)部網(wǎng)絡(luò)的安全,可以通過配置的IPSec網(wǎng)關(guān)實現(xiàn)。因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理,因此IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn),也可以通過IPv6擴展頭中提供的路由頭和逐跳選項頭結(jié)合應(yīng)用層網(wǎng)關(guān)技術(shù)來實現(xiàn)。后者的實現(xiàn)方式更加靈活,有利于提供完善的內(nèi)部網(wǎng)絡(luò)安全,但是比較復(fù)雜。
3.2.3通過安全隧道構(gòu)建安全的VPN。此處的VPN是通過IPv6的IPSec隧道實現(xiàn)的。在路由器之間建立IPSec的安全隧道,構(gòu)成安全的VPN是最常用的安全網(wǎng)絡(luò)組建方式。IPSec網(wǎng)關(guān)的路由器實際上就是IPSec隧道的終點和起點,為了滿足轉(zhuǎn)發(fā)性能的要求,該路由器需要專用的加密板卡。
3.2.4通過隧道嵌套實現(xiàn)網(wǎng)絡(luò)安全。通過隧道嵌套的方式可以獲得多重的安全保護。當(dāng)配置了IPSec的主機通過安全隧道接入到配置了IPSee網(wǎng)關(guān)的路由器,并且該路由器作為外部隧道的終結(jié)點將外部隧道封裝剝除時,嵌套的內(nèi)部安全隧道就構(gòu)成了對內(nèi)部網(wǎng)絡(luò)的安全隔離。
作為IPv6的一個組成部分,IPSec是一個網(wǎng)絡(luò)層協(xié)議。它只負責(zé)其下層的網(wǎng)絡(luò)安全,并不負責(zé)其上層應(yīng)用的安全,如Web、電子郵件和文件傳輸?shù)取榻鉀QIPv6網(wǎng)絡(luò)安全問題,IPv6網(wǎng)絡(luò)中仍需要使用防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的安全設(shè)備,但由于IPv6的一些新特點,IPv4網(wǎng)中現(xiàn)有的這些安全設(shè)備在IPv6網(wǎng)中不能直接使用,還需要做適當(dāng)?shù)母倪M。
由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù),未來網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會越來越強。
IPv9協(xié)議的研究最初是出于國內(nèi)有關(guān)部門的需要而研制的一種與當(dāng)前IPv4協(xié)議(或者IPv6協(xié)議)不同的、可互通但相對獨立的、有自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)協(xié)議,極大地提高了我國的國家網(wǎng)絡(luò)安全和信息安全,一舉打破美國壟斷與控制的國際互聯(lián)網(wǎng),并進而控制和威脅我國信息安全與國家安全的不利局面。IPv9地址協(xié)議由我國自主控制分配,路由設(shè)備的密級由我國自主設(shè)立,在域名資源、安全控制等方面,將更有保障。
4 對基于IPV6/9協(xié)議的網(wǎng)絡(luò)安全機制的思考
安全問題是一個復(fù)雜的問題。隨著時間的推移,技術(shù)的變化,網(wǎng)絡(luò)安全將面臨更多威脅和新的挑戰(zhàn),沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),網(wǎng)絡(luò)信息對抗是一個長期的研究課題。保持清醒正確的認(rèn)識,掌握最新的安全問題情況,再加完善有效的安全策略,是可以阻止大部分的網(wǎng)絡(luò)破壞,使經(jīng)濟損失降到最低。
IPv6是一個建立可靠的、可管理的、安全和高效的IP網(wǎng)絡(luò)的長期解決方案。盡管IPv6的普及應(yīng)用之日還需耐心等待,不過,了解和研究IPv6的重要特性以及它針對目前IP網(wǎng)絡(luò)存在的問題而提供的解決方案,對于制定企業(yè)網(wǎng)絡(luò)的長期發(fā)展計劃,規(guī)劃網(wǎng)絡(luò)應(yīng)用的未來發(fā)展方向,都是十分有益的。
目前雖然對IPv9網(wǎng)絡(luò)技術(shù)有各種不同的看法,但它得到國家權(quán)威機構(gòu)的認(rèn)證,且在實驗實踐中,重要的是IPv9網(wǎng)絡(luò)技術(shù)的出臺,表明我國已成為目前世界上唯一能實現(xiàn)域名、IP地址和MAC地址統(tǒng)一成十進制文本表示方法的國家。同時,也成為繼美國之后,第二個在世界上擁有根域名解析服務(wù)器和IP地址硬連接服務(wù)器的國家,和世界上第二個擁有自主的域名、IP地址和MAC地址資源的國家及可獨立進行域名解析和IP地址硬連接,并可獨立自主的分配域名、IP地址和MAC地址的國家,從而維護國家主權(quán)、信息安全以及巨大的國家經(jīng)濟利益。
Abstract: Based on the computer network, the status of the computer network security is analyzed and several commonly used network security technologies are introduced, finally, several issues focusing on research of computer network information security are put forward.
關(guān)鍵詞:網(wǎng)絡(luò)安全;加密技術(shù);防火墻
Key words: network security; encryption technology; firewall
中圖分類號:TP39 文獻標(biāo)識碼:A文章編號:1006-4311(2010)27-0164-01
1計算機網(wǎng)絡(luò)概述
計算機網(wǎng)絡(luò)技術(shù)是信息傳輸?shù)幕A(chǔ),所謂計算機網(wǎng)絡(luò)是指將分布在不同地理位置上具有獨立性能的多臺計算機、終端及附屬設(shè)備用通信設(shè)備和通信線路連起來,再配有相應(yīng)有網(wǎng)絡(luò)軟件,以實現(xiàn)計算機資源共享的系統(tǒng)。按照聯(lián)網(wǎng)的計算機所處的地理位置遠近分為局域網(wǎng)和廣域網(wǎng),在網(wǎng)絡(luò)中拓撲結(jié)構(gòu)主要分三種:總線網(wǎng)、環(huán)形網(wǎng)、星形網(wǎng)。由于資源共享、操作系統(tǒng)的復(fù)雜性等原因使網(wǎng)絡(luò)存在著不安全因素。
2計算機網(wǎng)絡(luò)安全現(xiàn)狀
2.1 網(wǎng)絡(luò)安全涵義計算機網(wǎng)絡(luò)安全具有三個特性:保密性、完整性及可用性。保密性是網(wǎng)絡(luò)資源只能由授權(quán)實體存取。完整性是指信息在存儲或傳輸時不被修改、信息包完整,不能被未授權(quán)的第二方修改。可用性包括對靜態(tài)信息的可操作性及對動態(tài)信息內(nèi)容的可見性。
2.2 計算機網(wǎng)絡(luò)安全的缺陷①操作系統(tǒng)的漏洞。操作系統(tǒng)是一個復(fù)雜的軟件包,即使研究人員考慮得比較周密,但幾年來,發(fā)現(xiàn)在許多操作系統(tǒng)中存在著漏洞,漏洞逐漸被填補。操作系統(tǒng)最大的漏洞是I/O處理,I/O命令通常駐留在用戶內(nèi)存空間,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。②TCP/IP協(xié)議的漏洞。TCP/IP協(xié)議應(yīng)用的目的是為了在INTERNET上的應(yīng)用,雖然TCP/IP是標(biāo)準(zhǔn)的通信協(xié)議。但設(shè)計時對網(wǎng)絡(luò)的安全性考慮的不夠完全,仍存在著漏洞。③應(yīng)用系統(tǒng)安全漏洞。WEB服務(wù)器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數(shù)人不是新編程序,而是對程序加以適當(dāng)?shù)男薷?這樣一來,很多CGI程序就難免具有相同安全漏洞。④安全管理的漏洞。由于缺少網(wǎng)絡(luò)管理員,信息系統(tǒng)管理不規(guī)范,不能定期進行安全測試、檢查,缺少網(wǎng)絡(luò)安全監(jiān)控等都對網(wǎng)絡(luò)安全產(chǎn)生威脅。計算機網(wǎng)絡(luò)安全的主要威脅。
2.3 計算機網(wǎng)絡(luò)安全的入侵①計算機病毒。所謂計算機病毒實際是一段可以復(fù)制的特殊程序,主要對計算機進行破壞,病毒所造成的破壞非常巨大,可以使系統(tǒng)癱瘓。②黑客。黑客一詞,源于英文Hacker,原指熱心于計算機技術(shù),水平高超的電腦專家,尤其是程序設(shè)計人員。但到了今天,黑客一詞已被用于泛指那些專門利用電腦搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。黑客主要以發(fā)現(xiàn)和攻擊網(wǎng)絡(luò)操作系統(tǒng)的漏洞和缺陷為目的,利用網(wǎng)絡(luò)安全的脆弱性進行非法活動。③內(nèi)部入侵者。內(nèi)部入侵者往往是利用偶然發(fā)現(xiàn)的系統(tǒng)的弱點,預(yù)謀突破網(wǎng)絡(luò)系統(tǒng)安全進行攻擊。由于內(nèi)部入侵者更了解網(wǎng)絡(luò)結(jié)構(gòu),因此他們的非法行為將對網(wǎng)絡(luò)系統(tǒng)造成更大威脅。④拒絕服務(wù)。拒絕服務(wù)是指導(dǎo)致系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問題,它具有很強的破壞性,最常見的是“電子郵件炸彈”,用戶受到它的攻擊時,在很短的時間內(nèi)收到大量的電子郵件,從而使用戶系統(tǒng)喪失功能,無法開展正常業(yè)務(wù),甚至導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓。
3網(wǎng)絡(luò)安全機制應(yīng)具有的功能
3.1 身份識別身份識別是安全系統(tǒng)應(yīng)具備的基本功能,身份識別主要是通過標(biāo)識和鑒別用戶的身份,防止攻擊者假冒合法用戶獲取訪問權(quán)限。對于一般的計算機網(wǎng)絡(luò)而言,主要考慮主機和節(jié)點的身份認(rèn)證,至于用戶的身份認(rèn)證可以由應(yīng)用系統(tǒng)來實現(xiàn)。
3.2 存取權(quán)限控制訪問控制是根據(jù)網(wǎng)絡(luò)中主體和客體之間的訪問授權(quán)關(guān)系,對訪問過程做出限制,可分為自主訪問控制和強制訪問控制。
3.3 數(shù)字簽名即通過一定的機制如RSA公鑰加密算法等,使信息接收方能夠做出該信息是來自某一數(shù)據(jù)源且只可能來自該數(shù)據(jù)源的判斷。
3.4 保護數(shù)據(jù)完整性即通過一定的機制如加入消息摘要等,以發(fā)現(xiàn)信息是否被非法修改,避免用戶被欺騙。
3.5 密鑰管理信息加密是保障信息安全的重要途徑,以密文方式在相對安全的信道上傳遞信息,可以讓用戶放心地使用網(wǎng)絡(luò)。
4網(wǎng)絡(luò)安全常用的技術(shù)
4.1 加密技術(shù)加密在網(wǎng)絡(luò)上的作用是防止重要信息在網(wǎng)絡(luò)上被攔截和竊取。計算機密碼極為重要,許多安全防護體系是基于密碼的,密碼的泄露意味著其安全體系的全面崩潰。加密技術(shù)是實現(xiàn)保密性的主要手段,采用這種技術(shù)可把重要信息或數(shù)據(jù)從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式。以密文形式將信息在線路上傳輸。到達目的端口后將密文還原成明文,常見的加密技術(shù)分單密鑰密碼技術(shù)和公開密鑰技術(shù)兩種。這兩種加密技術(shù)在不同方面各具優(yōu)勢,通常將這兩種加密技術(shù)結(jié)合在一起使用。
4.2 防火墻技術(shù)所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)如Internet分開的方法,它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。實現(xiàn)防火墻的技術(shù)包括四大類:網(wǎng)絡(luò)級防火墻(也叫包過濾型防火墻)、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長,具體使用哪一種或是否混合使用,要看具體需要。 防火墻主要用于加強網(wǎng)絡(luò)間的訪問控制,防火墻的作用是防止外部用戶非法使用內(nèi)部網(wǎng)絡(luò)資源,并且保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不受破壞,防止內(nèi)部網(wǎng)絡(luò)的主要數(shù)據(jù)被竊取。一個防火墻系統(tǒng)通常由屏蔽路由器和服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報文的IP地址和端口號,連接標(biāo)志以至另外一些IP選項,對IP包進行過濾。
防火墻作為內(nèi)部網(wǎng)和外部網(wǎng)之間的一種訪問控制設(shè)備,常安裝于內(nèi)部網(wǎng)和外部網(wǎng)的交界點上。內(nèi)部網(wǎng)絡(luò)的某個用戶若要與外部網(wǎng)絡(luò)的用戶聯(lián)絡(luò),該用戶首先和所屬網(wǎng)絡(luò)的防火墻聯(lián)通,然后再與另一個用戶聯(lián)通,反之亦然。防火墻提供的防護是Internet安全結(jié)構(gòu)必不可少的組成部分,它能對已知的網(wǎng)絡(luò)協(xié)議起到保護作用。
參考文獻:
1目前計算機網(wǎng)絡(luò)安全所面臨的風(fēng)險
在大多數(shù)的計算機網(wǎng)絡(luò)安全事故當(dāng)中,黑客往往是利用非法的手段獲取計算機的權(quán)限,利用互聯(lián)網(wǎng)對網(wǎng)絡(luò)用戶進行攻擊并且進行非法操作。主要攻擊形式包括了木馬攻擊、口令破譯攻擊、漏洞攻擊、IP地址欺騙以及DNS欺騙等等。對于計算機系統(tǒng)而言,口令是保護計算機信息安全的重要防護措施,黑客往往會利用合法的用戶賬號以及相應(yīng)的口令來進行非法的操作。大多數(shù)黑客獲取口令的方法都是采用暴力破解或者是用猜測的方式來進行口令的破解。主要破解形式就是監(jiān)視用戶通信信道上的口令數(shù)據(jù)包,對其加密形式進行破解,或者是根據(jù)用戶的習(xí)慣賬號進行猜測破解。另一種攻擊方式,木馬攻擊也是黑客常用的一種攻擊手段,黑客往往會在計算機系統(tǒng)中隱藏一個木馬程序,對用戶的計算機系統(tǒng)進行遠程監(jiān)控,從而獲得用戶的計算機控制權(quán)限,進行非法的操作獲取需要的信息。
2計算機網(wǎng)絡(luò)安全防護的策略分析
雖然近幾年來黑客活動越來越頻繁,各種計算機網(wǎng)絡(luò)安全事件頻頻發(fā)生,但是如果采取了完善的保護措施,還是能夠有效的預(yù)防計算機網(wǎng)絡(luò)安全方面的問題,保護計算機軟件中的重要信息。第一,在計算機中安裝必要的安全防護用軟件并且在日常的應(yīng)用中注意安全。計算機安全防護中一定要裝的軟件包括殺毒軟件、防黑軟件以及防火墻等等,這是最普遍的避免計算機安全問題的措施,通過殺毒軟件能夠?qū)⒂嬎銠C病毒以及木馬程序攔截在計算機之外,減少計算機口令被泄漏的機會,避免計算機中重要信息的泄漏。防火墻軟件的存在能夠有效的避免監(jiān)聽系統(tǒng)的非法活動,抵抗黑客的攻擊。但是并不是裝了這些安全防護軟件就是完全安全的,在日常的計算機應(yīng)用當(dāng)中也應(yīng)該要注意管理,不要讓這些安全軟件形同虛設(shè)。第二,隱藏計算機真實IP地址避免欺騙攻擊。在大多數(shù)的網(wǎng)絡(luò)安全問題發(fā)生當(dāng)中,黑客都會對計算機用戶的主機信息進行探測從而獲得用戶的計算機IP地址等相關(guān)信息。因為TCP/IP協(xié)議中所存在的缺陷,IP地址的泄漏成為網(wǎng)絡(luò)安全問題發(fā)生的主要來源之一,IP地址安全已經(jīng)成為了網(wǎng)絡(luò)安全問題的關(guān)鍵之所在。一旦黑客知道了用戶的計算機IP地址,就等于是明確知道了用戶所處的位置,從而可以利用這個精確的IP地址對用戶進行各種準(zhǔn)確的攻擊。要預(yù)防計算機黑客獲得用戶IP地址最好的辦法就是使用服務(wù)器來隱藏自己的真實IP地址,在使用服務(wù)器之后,黑客只能夠獲得服務(wù)器的IP地址,無法獲得用戶的真實IP地址,大大降低了用戶計算機被精確攻擊的可能性。第三,關(guān)閉計算機網(wǎng)絡(luò)系統(tǒng)中的安全后門。因為計算機網(wǎng)絡(luò)系統(tǒng)存在一定的缺陷,大量安全后門威脅著計算機網(wǎng)絡(luò)信息安全,讓黑客有了可趁之機,關(guān)閉計算機網(wǎng)絡(luò)系統(tǒng)中的安全后門成為了避免被黑客攻擊的重要手段之一。計算機網(wǎng)絡(luò)系統(tǒng)中的安全后門包括了共享漏洞、協(xié)議漏洞以及服務(wù)漏洞等等。因為TCP/IP協(xié)議的設(shè)計使得計算機IP地址在安全方面存在很大的隱患,但就目前而言,TCP/IP協(xié)議仍然是計算機網(wǎng)絡(luò)用戶所必須使用的網(wǎng)絡(luò)協(xié)議,而且相比較其他的網(wǎng)絡(luò)協(xié)議而言,TCP/IP網(wǎng)絡(luò)協(xié)議的安全度還是比較高的,所以這一網(wǎng)絡(luò)協(xié)議成為了保留項目。其他的一些不必要的網(wǎng)絡(luò)協(xié)議就可以進行刪除操作,尤其是NetBIOS協(xié)議,幾乎是所有計算機網(wǎng)絡(luò)安全漏洞的源泉之所在,利用NetBIOS協(xié)議中的漏洞進行攻擊所產(chǎn)生的安全問題占據(jù)了所有計算機網(wǎng)絡(luò)安全問題的一半以上,所以這個協(xié)議必須關(guān)閉。第四,提高計算機網(wǎng)絡(luò)的IE安全系數(shù)。JavaApplets以及ActiveX空間的存在為計算機網(wǎng)頁技術(shù)的應(yīng)用提供了強大的專業(yè)技術(shù)支持,不過也同時被網(wǎng)絡(luò)黑客給利用,從而針對性的編寫出了一系列的包含了惡意代碼的軟件融入到了計算機網(wǎng)頁當(dāng)中,如果計算機網(wǎng)絡(luò)的用戶打開了這些包含惡意代碼的網(wǎng)頁,這些惡意代碼就會被激發(fā)自助運行對計算機網(wǎng)絡(luò)用戶的計算機進行各種非法的操作,破壞用戶的計算機網(wǎng)絡(luò)操作系統(tǒng)。為了能夠最大限度的避免這種計算機網(wǎng)絡(luò)網(wǎng)頁中惡意代碼所造成的供給,除了應(yīng)該有效的運用計算機網(wǎng)絡(luò)防病毒軟件以及高新的網(wǎng)絡(luò)防火墻軟件之外,還應(yīng)該對這些惡意代碼所能夠產(chǎn)生的操作進行有效的控制,最好的控制辦法就是盡可能的提高計算機網(wǎng)絡(luò)IE方面的安全系數(shù),具體的做法就是在Internet選項當(dāng)中的安全設(shè)置這一個欄目中進行相關(guān)的設(shè)置,限制JavaApplets代碼以及ActiveX空間的運行,并且對計算機網(wǎng)絡(luò)中已經(jīng)確定能夠信任的網(wǎng)點和已經(jīng)確定需要受到限制的網(wǎng)點進行有效的控制,最大限度的保證互聯(lián)網(wǎng)用戶在使用計算機瀏覽網(wǎng)頁時候的安全。第五,計算機網(wǎng)絡(luò)安全方面的防御技術(shù),包括了技術(shù)層面的防御技術(shù)以及物理層面的防御技術(shù)。在技術(shù)層面對計算機網(wǎng)絡(luò)安全進行防御的時候,需要制定安全的管理制度,最大限度的提高計算機用戶的職業(yè)道德素質(zhì)以及技術(shù)水平。對于一些重要部門的計算機,應(yīng)該定期做好嚴(yán)格的殺毒操作,備份好重要的數(shù)據(jù),這是保證計算機網(wǎng)絡(luò)安全的一個重要手段;還需要對計算機網(wǎng)絡(luò)訪問進行有效的控制,保證網(wǎng)絡(luò)上的資源不會被非法的訪問和使用;對計算機數(shù)據(jù)庫中的數(shù)據(jù)進行備份,保證計算機網(wǎng)絡(luò)中數(shù)據(jù)的安全,對計算機網(wǎng)絡(luò)中的數(shù)據(jù)進行備份是保證計算機網(wǎng)絡(luò)信息最有效的手段,一旦出現(xiàn)事故,還可以通過信息恢復(fù)來保證信息的完整性;對計算機網(wǎng)絡(luò)中的重要數(shù)據(jù)進行加密處理,這種防御技術(shù)適合在開放性的網(wǎng)絡(luò)中使用,能夠有效保證動態(tài)信息的安全;使用PKI技術(shù),也就是利用公鑰技術(shù)和相關(guān)的理論來保護信息交流過程中信息的安全;切斷計算機病毒的傳播途徑,對于計算機網(wǎng)絡(luò)中一些可能已經(jīng)被感染的文件,要抱著寧殺錯不放過的原則對其進行刪除操作,盡可能的切斷計算機網(wǎng)絡(luò)哦病毒的傳播。除了對計算機網(wǎng)絡(luò)進行技術(shù)層面的防御之外,還應(yīng)該在物理層面上保證計算機網(wǎng)絡(luò)的安全,也就是保證計算機網(wǎng)絡(luò)系統(tǒng)在安全的環(huán)境下運行,這就包括溫度、空氣潔凈度、濕度、腐蝕度、震動、蟲害和沖擊等各個方面的干擾因素都要進行嚴(yán)格的控制,除此之外還需要選擇合適的機房安裝場所,對機房的安全進行有效防護等。
3結(jié)束語
總之,雖然現(xiàn)在因為計算機網(wǎng)絡(luò)安全方面的問題出現(xiàn)了大量的防護軟件,比如殺毒軟件和防火墻的出現(xiàn)為計算機網(wǎng)絡(luò)信息安全提供了有效的技術(shù)保障,但是計算機網(wǎng)絡(luò)信息安全方面的隱患還是不能夠得到根除,所以在使用計算機進行信息傳遞的時候必須注意安全方面的問題,提高自身的安全意識,避免信息泄露。
作者:吳士君張志偉單位:邯鄲工程高級技工學(xué)校
關(guān)鍵字:計算機;網(wǎng)絡(luò)安全;因素;安全策略;
Abstract: This article starts from the main factors of the computer network security, put out a comprehensive analysis of computer network security strategy.Key words: computer; network security; factors; security policy;
中圖分類號: TP393文獻標(biāo)識碼:A文章編號:2095-2104(2012)
計算機網(wǎng)絡(luò)信息傳輸已經(jīng)成為人類傳輸信息的主要手段之一,網(wǎng)絡(luò)信息傳輸縮小了時間空間的距離,這種方便的傳輸方式無疑成為人類最依賴的方式,而網(wǎng)絡(luò)安全受到的威脅卻越來越大,各種病毒層出不窮,這對于網(wǎng)絡(luò)用戶來說造成了極大的安全隱患。病毒及木馬的侵入,不僅影響用戶的正常工作,還會造成很大程度的經(jīng)濟損失。數(shù)據(jù)加密方法則可以有效的保障網(wǎng)絡(luò)信息進行安全的傳輸。
1.網(wǎng)絡(luò)安全受到威脅的主要因素
1.1計算機操作系統(tǒng)存在隱患
計算機的操作系統(tǒng)是整個電腦的支撐軟件,它為電腦中所有程序的運行提供了環(huán)境。所以,一旦操作系統(tǒng)存在隱患,網(wǎng)絡(luò)入侵者能夠獲得用戶口令,進而操作更個計算機的操作系統(tǒng),獲取計算機各個程序中殘留的用戶信息;如果系統(tǒng)掌管內(nèi)存,CPU的程序有漏洞,那么網(wǎng)絡(luò)入侵者就可以利用這些漏洞把計算機或者服務(wù)器弄癱瘓;如果系統(tǒng)在網(wǎng)絡(luò)上傳文件、加載和安裝程序的地方出現(xiàn)漏洞的話,網(wǎng)絡(luò)入侵者就能夠利用間諜程序?qū)τ脩舻膫鬏斶^程、使用過程進行監(jiān)視,這些隱患出現(xiàn)的原因就是因為利用了不安全的程序,所以盡量避免使用不了解的軟件。除此之外,系統(tǒng)還有守護進程的程序環(huán)節(jié)、遠程調(diào)用功能、后門和漏洞問題,這些都是網(wǎng)絡(luò)入侵者可以利用的薄弱環(huán)節(jié)。
1.2網(wǎng)絡(luò)中存在的不完全隱患
網(wǎng)絡(luò)允許用戶自由和獲取各類信息,故而網(wǎng)絡(luò)面臨的威脅也是多方面的。可以是傳輸線的攻擊,也可以使網(wǎng)絡(luò)協(xié)議的攻擊,以及對計算機軟件的硬件實施攻擊。其中協(xié)議的不安全性因素最為關(guān)鍵,計算機協(xié)議主要包括:TCP/IP協(xié)議、FTP、NFS等協(xié)議,這些協(xié)議中如果存在漏洞網(wǎng)絡(luò)入侵者就能夠根據(jù)這些漏洞對用戶名進行搜索,可以猜測到機器密碼口令,對計算機防火墻進行攻擊。
1.3數(shù)據(jù)庫管理系統(tǒng)的不安全隱患
數(shù)據(jù)庫管理系統(tǒng)也具有先天缺陷的一方面,他是基于分級管理的理念而建立,所以,數(shù)據(jù)庫的不安全就會泄漏我們上網(wǎng)看到的所有信息,在網(wǎng)上存儲的信息,通過這些用戶的帳號,密碼都會被泄漏,這樣對用戶的財產(chǎn)、隱私安全都會造成很大的威脅。
2.計算機網(wǎng)絡(luò)的安全策略分析
計算機網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。
2.1防火墻
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對內(nèi)外網(wǎng)通信強制實施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過;狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合,對表中的各個連接狀態(tài)因素加以識別,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比,它具有更好的靈活性和安全性;應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn),它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié),保護其中的主機及其數(shù)據(jù)。
2.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)。
2.2.1計算機數(shù)據(jù)加密技術(shù)的應(yīng)用
2.2.1.1數(shù)據(jù)加密
數(shù)據(jù)加密就是按照確定的密碼算法把敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù),通過使用不同的密鑰,可用同一加密算法把同一明文加密成不同的密文,來實現(xiàn)數(shù)據(jù)的保護。數(shù)據(jù)加密的主要方式有三種:鏈路加密、節(jié)點加密、端到端加密。“網(wǎng)上銀行”的興起,使得銀行系統(tǒng)的安全問題顯得至關(guān)重要,安全隱患不得不令人擔(dān)優(yōu),數(shù)據(jù)加密系統(tǒng)作為一種新一級別的安全措施脫穎而出。各大銀行中都采取了數(shù)據(jù)加密技術(shù)與網(wǎng)絡(luò)交換設(shè)備聯(lián)動。即指交換機或防火墻在運行的過程中,將各種數(shù)據(jù)流的信息上報給安全設(shè)備,數(shù)字加密系統(tǒng)可根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測,在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時候,進行有針對性的動作,并將這些對安全事件反應(yīng)的動作發(fā)送到交換機或防火墻上,由交換機或防火墻來實現(xiàn)精確端口的關(guān)閉和斷開,這樣就可以使數(shù)據(jù)庫得到及時充分有效的保護。
2.2.1.2密鑰密碼技術(shù)的應(yīng)用
密鑰是對于數(shù)據(jù)的加密和解密,分為私人密鑰和公用密鑰。私人密鑰是指加密和解密使用相同的密鑰,安全性相對較高,因為這種密鑰是雙方認(rèn)可。
可是這種密鑰也存在缺陷,那就是當(dāng)由于目的不同所需要不同密鑰的時候就會出現(xiàn)麻煩和錯誤狀況,這個時候,公用密鑰就能發(fā)揮作用。這樣一一來傳輸者可以對所要傳輸?shù)男畔⑦M行公用密鑰進行加密,接收方接到文件時用私人密鑰解密,這樣就避免了傳輸方要用很多私人密鑰的麻煩,也避免私人密鑰的泄漏。例如用信用卡購物時,通常情況下商店終端的解密密鑰可解開并讀取以加密數(shù)據(jù)形式存儲在信用卡中的個人信息。終端將讀取的信息傳送到發(fā)行信用卡的公司認(rèn)證顧客信息。這種情況下,店鋪的終端會留下個人信息的記錄,有可能造成個人信息泄露。所以很多人會擔(dān)心自己的信用卡號被人盜用。密鑰密碼技術(shù),要求用兩個密鑰解讀加密數(shù)據(jù),這兩個解密密鑰分別掌握在商店和信用卡公司手中。店鋪終端密鑰讀取的信息只夠確認(rèn)持卡人是否是某家信用卡公司的會員,而不能讀取其他個人資料。信用卡公司的解密密鑰能解開所有信息,進而確認(rèn)持卡人是否具有使用這張信用卡的權(quán)限,提高了信用卡交易的安全性。
2.2.1.3數(shù)字簽名認(rèn)證技術(shù)的應(yīng)用
認(rèn)證技術(shù)能夠保障網(wǎng)絡(luò)安全,它可以有效的核實用戶身份信息,認(rèn)證技術(shù)中比較常用的是數(shù)字簽名技術(shù)。它建立在加密技術(shù)的基礎(chǔ)上,是對加密解密計算方式來進行核實。在這個認(rèn)證技術(shù)中被最多應(yīng)用的是私人密鑰的數(shù)字簽名以及公用密鑰的數(shù)字簽名。私人密鑰的數(shù)字簽名是雙方認(rèn)可的認(rèn)證方式,如上文所述,雙方運用相同的密鑰進行加密和解密,但是由于雙方都知道密鑰,就存在著篡改信息的可能性,因此這種認(rèn)證方式還要引入第三方的控制。而公用密鑰就不用這么麻煩,由于不同的計算法則,加密密鑰完全可以公開,而接收者只要保存解密密碼就可以得到信息。例如在國內(nèi)稅務(wù)行業(yè)中,網(wǎng)上辦理稅務(wù)業(yè)務(wù)越來越受到認(rèn)可。數(shù)字簽名安全認(rèn)證系統(tǒng)就成為了網(wǎng)上保稅業(yè)務(wù)的安全門衛(wèi),為稅務(wù)辦理系統(tǒng)提供了安全性保障。
2.2.2常用的數(shù)據(jù)加密工具的運用
2.2.2.1加密狗
加密狗是插在計算機并行口或者USB口上用來保護軟件不被非法使用的硬件產(chǎn)品。使用軟件狗保護的軟件必須每次訪問軟件狗后才可以正常使用。雖然保密性得到了極大的保證,但是本身造價昂貴,而且在保密狗遺失后,軟件變不可以繼續(xù)使用,有一定的風(fēng)險性。
2.2.2.2密碼方式
用密碼方式加密的軟件在發(fā)行時一般附帶一個密碼表,當(dāng)軟件運行到某一時刻時詢問用戶密碼,用戶必須按照密碼表輸入正確密碼,程序才可以繼續(xù)執(zhí)行,雖然實現(xiàn)起來很簡單,但是容易被人破解,也容易使用戶得到厭煩。
2.2.2.3非對稱許可證加密技術(shù)
許可證管理方式是現(xiàn)在廣泛應(yīng)用的一種軟件保護方式,這種方式的最大好處是可以確保一個軟件拷貝只能運行于一臺授權(quán)的計算機上,其主要運行原理是通過軟件本身提取計算機固有信息,由于每臺計算機的處理器、硬盤、網(wǎng)卡編號都是唯一的,而軟件在每次運行前都會自動比對運行環(huán)境從而確保軟件的安全性。
采用非對稱許可證加密方式便是在知道算法原理的情況下,另外在注冊器和驗證機中加入固定監(jiān)測數(shù)組使得不同批次的軟件擁有不同的注冊機和注冊碼,從而保證了每一個軟件的唯一性,使得破解工作增加了巨大的難度和時間,從而保護了軟件的安全性。
2.2.3安全管理隊伍的建設(shè)。
在計算機網(wǎng)絡(luò)系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網(wǎng)絡(luò)安全的重要保證,只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力,運用一切可以使用的工具和技術(shù),盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,大力加強安全技術(shù)建設(shè),強化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力,才能使計算機網(wǎng)絡(luò)的安全可靠得到保障,從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。
3.結(jié)束語
隨著經(jīng)濟的發(fā)展、社會的發(fā)展、網(wǎng)絡(luò)的普及化、信息時代的更新迅速,網(wǎng)絡(luò)中惡意的攻擊,流氓軟件木馬軟件的橫行,使得網(wǎng)絡(luò)安全被高度重視。然而只注重防護體系是不行的,操作系統(tǒng)技術(shù)再提高,也還是會被漏洞破壞;防火墻技術(shù)再高,也會有黑客攻破。病毒防范技術(shù)再高,也是建立在經(jīng)驗的基礎(chǔ)上,免不了被新生病毒侵害,所以,在完善的防護體系的建立下,還要注重網(wǎng)絡(luò)安全應(yīng)用的管理,只有管理的技術(shù)并用才能有效的保護用戶的信息安全。總而言之,對于網(wǎng)絡(luò)不斷發(fā)展,我們要總結(jié)以往教訓(xùn),吸取經(jīng)驗,取長補短,才能更好的保護信息安全。
參考文獻
關(guān)鍵詞 計算機;網(wǎng)絡(luò)安全;影響因素;策略
中圖分類號TP39 文獻標(biāo)識碼A 文章編號 1674—6708(2012)76—0217—02
隨著計算機網(wǎng)絡(luò)技術(shù)的影響滲透到人類社會的各個角落,計算機網(wǎng)絡(luò)安全問題不僅僅是一個技術(shù)問題,更成為關(guān)系到社會有序運行、國家安全的關(guān)鍵問題。計算機網(wǎng)絡(luò)安全是一個涉及到許多學(xué)科的交叉學(xué)科,如計算機科學(xué),數(shù)學(xué)、信息論、密碼技術(shù)、通信技術(shù)等,其重要性在現(xiàn)代社會不言而喻。
從應(yīng)用角度來說,計算機網(wǎng)絡(luò)安全的含義十分寬泛。它的含義隨著使用者的變化而發(fā)生變化。比如普通上網(wǎng)者和網(wǎng)絡(luò)供應(yīng)商對網(wǎng)絡(luò)安全的要求就會有不同的側(cè)重點。網(wǎng)絡(luò)供應(yīng)商除注重網(wǎng)絡(luò)信息安全外,會更加關(guān)心如何保證網(wǎng)絡(luò)硬件的安全以及保持網(wǎng)絡(luò)通信的連通性。從技術(shù)角度來說,國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為:為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。計算網(wǎng)絡(luò)安全具有以下特征:系統(tǒng)的可靠性,網(wǎng)絡(luò)可以保證連續(xù)工作;數(shù)據(jù)的完整性;數(shù)據(jù)的有效性;數(shù)據(jù)的保密性[1]。
計算機網(wǎng)絡(luò)由于本身特點,加之人為原因不可避免的受到威脅。計算機網(wǎng)絡(luò)安全的威脅隨著技術(shù)的不斷發(fā)展,種類日益紛繁復(fù)雜,但是其具有共同的特點:隱蔽性和潛伏性,隱蔽性為計算機攻擊提供了時間,潛伏性使其不易被發(fā)現(xiàn),達到攻擊效果;破壞性和危害性;突發(fā)性和擴散性,計算機網(wǎng)絡(luò)的攻擊通常是毫無征兆的,由于網(wǎng)絡(luò)的連通性的特點,導(dǎo)致其擴散速度極快。
1影響計算機網(wǎng)絡(luò)安全的因素
1.1自然因素的影響
計算機網(wǎng)絡(luò)的構(gòu)建需要以一定的硬件和軟件為基礎(chǔ),而硬件的正常運行需要一定適宜的自然條件作為支撐,所以計算機網(wǎng)絡(luò)安全對自然環(huán)境條件有一定的依賴性,比如自然災(zāi)害所帶來的不可抗力、外部環(huán)境的惡劣性、硬件設(shè)備故障等等都會給計算機網(wǎng)絡(luò)安全帶來直接或間接的影響。
計算機信息系統(tǒng)是一個較精密、對環(huán)境較敏感的系統(tǒng)。溫度、濕度、振動、沖擊、環(huán)境污染等因素發(fā)生變化均會對計算機網(wǎng)絡(luò)安全產(chǎn)生影響。而且現(xiàn)階段,我國大多數(shù)計算機機房的設(shè)計標(biāo)準(zhǔn)中并未將自然影響納入,基本不具備防震、防水、防火、避雷、防電磁干擾的功能。出現(xiàn)自然災(zāi)害和意外事故時,常常造成設(shè)備損壞、工作中斷,進而數(shù)據(jù)丟失。
物理電磁輻射也常常造成信息的泄露,給計算機網(wǎng)絡(luò)安全帶來威脅。計算機網(wǎng)絡(luò)是依靠精密且復(fù)雜的電子設(shè)備運行的,電子設(shè)備在工作時通過各類電源線會產(chǎn)生各種電磁輻射,而電磁輻射可以在某種程度上影響網(wǎng)絡(luò)中的信息傳輸。網(wǎng)絡(luò)的終端如顯示器、打印機等在運行時,也可以產(chǎn)生電磁輻射泄露,也可能導(dǎo)致信號泄露,信息外泄。
1.2 TCP/IP協(xié)議——網(wǎng)絡(luò)通訊協(xié)議
網(wǎng)絡(luò)通訊協(xié)議作為互聯(lián)網(wǎng)最基本的協(xié)議,是國際互聯(lián)網(wǎng)連通的基礎(chǔ)。它有網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成,故常稱為TCP/IP協(xié)議。該協(xié)議定義了電子設(shè)備連入因特網(wǎng)的方式,及數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸標(biāo)準(zhǔn)。簡單來說就是,TCP負責(zé)信息在不同電子設(shè)備間的傳輸,直至信息完整且正確的傳輸?shù)街付ǖ攸c。IP則是給接入互聯(lián)網(wǎng)的每一臺電腦規(guī)定一個唯一的地址,但是作為最基本的網(wǎng)絡(luò)協(xié)議,它卻在安全性上欠缺考慮[2]。
首先TCP/IP協(xié)議對于數(shù)據(jù)流的傳輸采用的是明碼傳輸,未進行相關(guān)的加密措施,而且信息在傳輸過程中就不受控制,這就為竊聽信息提供了可能性。然后是該協(xié)議的基本體系結(jié)構(gòu),它采用的是簇的基本結(jié)構(gòu),這是目前互聯(lián)網(wǎng)上存在許多安全問題的主要原因。如IP地址作為唯一身份標(biāo)識,而不要身份認(rèn)證,所以就給“黑客”留下了攻擊的可能性,造成互聯(lián)網(wǎng)上信息的傳遞易被攔截、篡改等。IP地址可以通過技術(shù)手段進行設(shè)置,進而獲取真實的IP地址,這樣就可以冒名頂替他人,盜取用戶信息。
1.3計算機病毒對計算機網(wǎng)絡(luò)安全的影響
計算機病毒簡單來說是惡意代碼的最突出表現(xiàn)。病毒就是未經(jīng)授權(quán)的非法計算機程序。它具有如下特點:破壞性,對計算機系統(tǒng)和硬件設(shè)備均會造成傷害;自我復(fù)制性;隱蔽性;傳播性;潛伏性。常見且危害較大的病毒有蠕蟲病毒,它是利用應(yīng)用程序的漏洞進行攻擊;木馬病毒是偽裝成合法程序,安裝在系統(tǒng)中,對計算機程序造成破壞。此外常見病毒還包括引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、后門程序等[3]。
1.4 漏洞對計算機網(wǎng)絡(luò)安全的影響
漏洞是可以為黑客利用的弱點,它可以是軟件、硬件、程序設(shè)計不當(dāng)或者配置不當(dāng)造成。黑客可通過研究這些漏洞,尋找破壞的機會。當(dāng)前主流的操作系統(tǒng)無一例外全部存在著漏洞和后門,為計算機網(wǎng)絡(luò)安全帶來了隱患。
1.5 管理和使用人員對計算機網(wǎng)絡(luò)安全的影響
相當(dāng)比例的計算機設(shè)備管理人員并不具備相應(yīng)的上崗的技術(shù)條件,也不具有相關(guān)的安全意識和責(zé)任心,無視操作規(guī)范要求。比如采用明碼傳輸信息、密鑰反復(fù)使用、密碼設(shè)置過于簡單等。計算機用戶在使用過程中,缺乏安全常識,同時也為計算機網(wǎng)絡(luò)安全帶來了危險。
此外,計算機網(wǎng)絡(luò)的管理缺乏有效的評估和監(jiān)控手段、缺乏安全策略、由于訪問控制配置的復(fù)雜性,導(dǎo)致配置錯誤、傳輸信道上的安全隱患等等,都會給計算機網(wǎng)絡(luò)安全造成威脅。同時網(wǎng)絡(luò)安全的防御技術(shù)發(fā)展明顯滯后于信息網(wǎng)絡(luò)技術(shù),網(wǎng)絡(luò)技術(shù)的發(fā)展日新月異,可安全性能卻少見提高[4]。
2保證計算機網(wǎng)絡(luò)安全的策略
2.1 普及網(wǎng)絡(luò)安全意識
強化網(wǎng)絡(luò)安全教育,讓使用者和管理者均認(rèn)識到計算機網(wǎng)絡(luò)安全的作用。同時強化網(wǎng)絡(luò)管理,提高相關(guān)人員的專業(yè)技術(shù)素養(yǎng)及安全意識。網(wǎng)絡(luò)的建立與使用要嚴(yán)格審批手續(xù),確保每個終端是可追溯的。
2.2身份認(rèn)證技術(shù)
網(wǎng)絡(luò)由于其開放性,其安全性不可避免會遭到威脅。用戶的信息認(rèn)證是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),利用用戶口令和密碼等鑒別方式達到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級,常用的身份認(rèn)證技術(shù)包括基于“可信任的第三方”的認(rèn)證機制、口令認(rèn)證法和智能卡技術(shù)等[5]。
2.3密碼技術(shù)
密碼技術(shù)通常包括數(shù)字簽名和不同網(wǎng)絡(luò)加密技術(shù)等,其中網(wǎng)絡(luò)加密技術(shù)主要包含三種方式:鏈路加密方式、節(jié)點對節(jié)點加密方式和端對端加密方式。其中,節(jié)點對節(jié)點加密方式只是在鏈路加密方式上增加了保護機制。
2.4 防火墻與入侵檢測系統(tǒng)的應(yīng)用
防火墻技術(shù)一般分為三大類:數(shù)據(jù)包過濾技術(shù),應(yīng)用網(wǎng)關(guān)和技術(shù)。防火墻技術(shù)與入侵檢測系統(tǒng)二者的聯(lián)動,相輔相成,為計算機網(wǎng)絡(luò)安全提供了保障。二者的聯(lián)合應(yīng)用不僅起到防御的功能,而且可以主動發(fā)現(xiàn)入侵,并做出相應(yīng)的反應(yīng)[6]。
防御措施還包括數(shù)據(jù)保護、鑒別技術(shù)、訪問控制技術(shù),而且網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計合理與否是網(wǎng)絡(luò)安全運行的關(guān)鍵,是今后研究的熱點和重點。
參考文獻
[1]倪超凡.計算機網(wǎng)絡(luò)安全技術(shù)初探[J].赤峰學(xué)院學(xué)報:自然科學(xué)版,2009(12):12—16.
[2]劉遠生,辛一.計算機網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2009:108—116.
[3]郭軍.網(wǎng)絡(luò)管理[M].北京:郵電出版社,2001:100—118.
[4]岳建.淺析計算機網(wǎng)絡(luò)安全技術(shù)[J].計算機光盤軟件與應(yīng)用,2011(13):20—24.
關(guān)鍵詞:網(wǎng)絡(luò)安全 計算機網(wǎng)絡(luò) 入侵檢測
一、 計算機網(wǎng)絡(luò)安全的含義
計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護, 避免被竊聽、篡改和偽造; 而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、 軍事打擊等對網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信, 保持網(wǎng)絡(luò)通信的連續(xù)性。
從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致 因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
二、 常見的幾種網(wǎng)絡(luò)入侵方法
由于計算機網(wǎng)絡(luò)的設(shè)計初衷是資源共享、分散控制、分組交換,這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網(wǎng)絡(luò),并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時,計算機網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性:無法有效識別網(wǎng)絡(luò)用戶的真實身份;由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼,即數(shù)字化的形式存在,所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計上的缺陷和漏洞,從而導(dǎo)致各種被攻擊的潛在危險層出不窮,這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn),黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法:
1.通過偽裝發(fā)動攻擊
2.利用開放端口漏洞發(fā)動攻擊
3.通過木馬程序進行入侵或發(fā)動攻擊
4.嗅探器和掃描攻擊
為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段,網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動防護到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括:防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術(shù),入侵檢測、入侵防御和漏洞掃描屬主動檢測技術(shù),這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。
三、網(wǎng)絡(luò)的安全策略分析
早期的網(wǎng)絡(luò)防護技術(shù)的出發(fā)點是首先劃分出明確的網(wǎng)絡(luò)邊界,然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查,只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界,從而達到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護技術(shù)包括:
1.防火墻
防火墻是一種隔離控制技術(shù),通過預(yù)定義的安全策略,對內(nèi)外網(wǎng)通信強制實施訪問控制,常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過,依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯,檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包,根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過;狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,構(gòu)成連接狀態(tài)表,通過規(guī)則表與狀態(tài)表的共同配合,對表中的各個連接狀態(tài)因素加以識別,與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比,它具有更好的靈活性和安全性;應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實現(xiàn),它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié),保護其中的主機及其數(shù)據(jù)。
2.VPN
VPN(Virtual Private Network)即虛擬專用網(wǎng)絡(luò),它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全,VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn),如在應(yīng)用層有SSL協(xié)議,它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序,提供對等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密;在會話層有Socks協(xié)議,在該協(xié)議中,客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接,建立到Socks服務(wù)器的VPN隧道;在網(wǎng)絡(luò)層有IPSec協(xié)議,它是一種由IETF設(shè)計的端到端的確保IP層通信安全的機制,對IP包進行的IPSec處理有AH(Authentication Header)和ESP(Encapsulating Security Payload)兩種方式。
互聯(lián)網(wǎng),將網(wǎng)絡(luò)與網(wǎng)絡(luò)之間相互串連形成了一個龐大的網(wǎng)絡(luò)體系。它的日益興起與高速發(fā)展使人類社會大踏步邁向信息化社會,信息化也以其飛速的發(fā)展?jié)B透入人類的生活當(dāng)中。狹義的社會是封閉而又狹窄的,越來越多的網(wǎng)絡(luò)用戶足不出戶便可通過互聯(lián)網(wǎng)開闊自己的視野,獲取海量的信息資源,與外界聯(lián)系等。經(jīng)濟、文化、政治、軍事等諸多領(lǐng)域也逐步依賴于網(wǎng)絡(luò)。大到超級計算機,小到一部手機,都可以通過一組通用的協(xié)議相互連接,它減少了距離與隔閡的同時,也為人類生活帶來了不小的隱患。網(wǎng)絡(luò)安全問題不斷擴大,并不只是感染病毒使計算機癱瘓這么簡單,它往往帶來了對隱私和財產(chǎn)的侵犯等諸多違法問題,是人類受到巨大損失。因此穩(wěn)定的計算機網(wǎng)絡(luò)系統(tǒng)成為社會信息化安定發(fā)展的重要保障,網(wǎng)絡(luò)與信息安全也成為了社會熱點之一。
2計算機網(wǎng)絡(luò)安全的主要問題根源
計算機網(wǎng)絡(luò)安全主要分為自身存在的威脅和來自外界的威脅。計算機自身威脅又包含了網(wǎng)絡(luò)缺陷、計算機硬件威脅、和計算機軟件漏洞三個方面。病毒與黑客的攻擊作為來自外界的威脅,是當(dāng)前導(dǎo)致最嚴(yán)重的網(wǎng)絡(luò)安全問題的根源。下面對四個方面進行細致的分析:
2.1互聯(lián)網(wǎng)的安全缺陷
網(wǎng)絡(luò)構(gòu)建了一個開放性的虛擬環(huán)境,僅通過一個通用的協(xié)議作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識來進行多用會多群體的授權(quán)與認(rèn)證。并根據(jù)源IP地址來判斷數(shù)據(jù)的真實性和安全性。然而該協(xié)議存在一個致命性的缺陷就是不能對IP地址進行正當(dāng)?shù)木S護,這也是不法分子利用這一點進行網(wǎng)絡(luò)欺詐、設(shè)備攻擊等。
2.2計算機網(wǎng)絡(luò)硬件的隱患
電子輻射泄漏和通訊渠道易侵入是計算機網(wǎng)絡(luò)硬件上的兩大主要隱患。前者通過電磁信息增加了被竊密的風(fēng)險;后者通過常用的專線、微波等,在經(jīng)行信息與數(shù)據(jù)交互時埋下了不可小視的隱患。
2.3瀏覽器的漏洞
據(jù)國家計算機網(wǎng)絡(luò)入侵防范中心的安全漏洞統(tǒng)計報告中指出,IE瀏覽器作為應(yīng)用率最廣的卻多次曝出存在嚴(yán)重的安全漏洞,并多次被黑客遠程利用,獲取用戶私人信息用與不法活動。據(jù)統(tǒng)計,平均每周的安全漏洞有180個左右,其中高危漏洞占據(jù)了漏洞總數(shù)的45%之多。
2.4病毒黑客入侵
病毒作為最常見卻最難根治的威脅計算機網(wǎng)絡(luò)安全的原因之一,具有傳播速度極快而廣、毒發(fā)迅速的特性。感染網(wǎng)絡(luò)病毒后一開始并不會有所發(fā)覺只會造成系統(tǒng)卡頓降低工作效率等影響。然而不及時清除并會造成極其嚴(yán)重的影響,例如:數(shù)據(jù)剽竊、系統(tǒng)崩盤甚至是財產(chǎn)損失。造成連帶效應(yīng)后,不只是一個用戶的計算機不能正常使用,它往往會牽連出更多用戶遭到攻擊,至使整個網(wǎng)絡(luò)走向不安定的境況。
3處理威脅網(wǎng)絡(luò)安全的有效措施
3.1安裝網(wǎng)絡(luò)安全設(shè)備或系統(tǒng)
隨著計算機技術(shù)的不斷發(fā)展,計算機病毒也會日益復(fù)雜,相對其的解決方案也層出不窮。安裝防毒軟件是計算機網(wǎng)絡(luò)安全防范中廣大用戶的普遍選擇。網(wǎng)絡(luò)殺毒軟件不同于單機殺毒軟件,它更傾向于對網(wǎng)頁或者來自于網(wǎng)絡(luò)的資源的監(jiān)察。病毒試圖通過數(shù)據(jù)破壞和刪除、垃圾郵件、后門攻擊等方式對用戶造成威脅。所以,建立系統(tǒng)的網(wǎng)絡(luò)病毒方法體系是對計算機網(wǎng)絡(luò)安全維護的最基礎(chǔ)卻最有效的辦法。
3.2數(shù)據(jù)加密與防護
數(shù)據(jù)加密技術(shù)是指對信息進行重新編碼,從而隱藏信息內(nèi)容使非法用戶無法得到信息,得到信息后無法破解獲取真實內(nèi)容的技術(shù)手段,包含數(shù)據(jù)存儲加密、數(shù)據(jù)傳輸加密和數(shù)據(jù)完整性鑒別三種方式。數(shù)據(jù)存儲加密技術(shù)的防范目的為防止存儲環(huán)節(jié)的數(shù)據(jù)丟失。數(shù)據(jù)傳輸加密可以防止數(shù)據(jù)流在傳輸過程中被人盜取。數(shù)據(jù)完整性鑒定則是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)進行全面細致的保密措施。通過對比驗證原設(shè)定參數(shù)與當(dāng)前驗證輸入的一致性經(jīng)行安全保護。
3.3了解攻擊途徑
對網(wǎng)絡(luò)攻擊的了解應(yīng)該作為對網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)被廣大用戶熟悉。只有通過了解問題的根源與途徑,才能正確消除不安定因素。網(wǎng)絡(luò)攻擊主要利用協(xié)議獲取信息資源。不法分子會利用公開協(xié)議或工具,手機駐留在網(wǎng)絡(luò)系統(tǒng)中的主機系統(tǒng)的相關(guān)信息以達到不法目的。
3.4提高個人網(wǎng)絡(luò)素質(zhì),加大網(wǎng)絡(luò)違法行為的懲罰力度
個人網(wǎng)絡(luò)素質(zhì)同樣是個人的必修課。提高網(wǎng)絡(luò)工作人員的整體素質(zhì)刻不容緩,在提升其對計算機認(rèn)知和技術(shù)的同時更應(yīng)加強安全防范意識和責(zé)任心。我國的計算機產(chǎn)業(yè)起步較晚相對應(yīng)的法律不夠健全,隨著社會的進步,計算機也會不斷擴張他的重要地位。因此,完善法律制度對違法網(wǎng)絡(luò)行使安全的人嚴(yán)懲不貸同樣重要。
4結(jié)論
網(wǎng)絡(luò)安全受到威脅不僅僅是技術(shù)上的缺陷,更是安全管理的缺陷。計算機網(wǎng)絡(luò)環(huán)境的復(fù)雜與多變,都提醒用戶不能僅僅只靠殺毒軟件就能萬事無憂。學(xué)會更多的自我保護技巧、了解問題發(fā)生的根源便能大大減少受到侵害的幾率。無法創(chuàng)建出絕對安全的網(wǎng)絡(luò)環(huán)境,防范技術(shù)勢必隨著計算機的發(fā)展而不斷前進著。只有用戶將安全技術(shù)與應(yīng)用管理手段結(jié)合到一起,使其相輔相成,才能享受更加高效、安全的網(wǎng)絡(luò)系統(tǒng)。該論文受到北京高校“北京高等學(xué)校青年英才計劃項目”、國家自然科學(xué)基金項目(No.71240002,71371128)、教育部人文社會科學(xué)研究項目13YJC630012、北京市哲學(xué)社會科學(xué)項目(14SHB015,13SHB015,11JGB077)、北京市教育科學(xué)規(guī)劃項目AAA13003、北京市教育委員會科學(xué)技術(shù)研究計劃項目(KM2012100038001,KM201110038002)、北京自然科學(xué)基金項目(No.9142003,9122003,9123025,《基于碳管理能力認(rèn)證的北京市信息資源碳排放目標(biāo)實現(xiàn)路徑的研究》)的資助。
作者:紀(jì)凌波 盧山 單位:首都經(jīng)濟貿(mào)易大學(xué)信息學(xué)院
引用:
[1]高永強等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.北京:人民郵電出版社,2003.
[2]董玉格等.網(wǎng)絡(luò)攻擊與防護-網(wǎng)絡(luò)安全與實用防護技術(shù).北京:人民郵電出版社,2002.
關(guān)鍵詞 網(wǎng)絡(luò)安全;漏洞;掃描策略
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1671-7597(2013)15-0045-01
計算機網(wǎng)絡(luò)極大的改變了信息的傳輸與獲取方式,但是也為信息帶來了更嚴(yán)重的安全威脅,如何使用必要的安全防護與漏洞管理技術(shù)來確保計算機網(wǎng)絡(luò)的安全已經(jīng)成為當(dāng)前網(wǎng)絡(luò)研究的重點之一。
1 網(wǎng)絡(luò)安全概述
計算機網(wǎng)絡(luò)具有高度的開放性和自由性,這種特性使得人們在應(yīng)用計算機網(wǎng)絡(luò)進行信息傳輸或存儲時必須考慮如何確保信息不受竊取或破壞,維護個人利益或商業(yè)利益。從本質(zhì)來看,保護計算機網(wǎng)絡(luò)的安全就是保護網(wǎng)絡(luò)中所傳輸?shù)男畔⒌陌踩_保網(wǎng)絡(luò)中的各項內(nèi)容具有完整性、真實性與機密性,確保網(wǎng)絡(luò)服務(wù)具有連續(xù)性和穩(wěn)定性,確保網(wǎng)絡(luò)是可控的。
但是在實際應(yīng)用中,計算機網(wǎng)絡(luò)中存在多種不可控因素,這些因素使得每一針對網(wǎng)絡(luò)安全的防護機制都被限定在有限的范圍和情境中,且受人為因素的影響較大。同時,無論是何種應(yīng)用還是網(wǎng)絡(luò)都不可避免的存在一些漏洞,這些漏洞一旦被發(fā)現(xiàn)和利用則會造成不同程度的損失。如防火墻可有效監(jiān)控內(nèi)網(wǎng)與外網(wǎng)之間的通信活動,但是對于內(nèi)網(wǎng)間的某些非法行為則是無法起作用的;即便是安全防護工具也有可能存在安全漏洞,這些漏洞很有可能被攻擊者利用等。
2 安全漏洞掃描技術(shù)
安全漏洞掃描是網(wǎng)絡(luò)安全防護技術(shù)的一種,其可以對計算機網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備或終端系統(tǒng)和應(yīng)用等進行檢測與分析,查找出其中存在的缺陷的漏洞,協(xié)助相關(guān)人員修復(fù)或采取必要的安全防護措施來消除或降低這些漏洞,進而提升計算機網(wǎng)絡(luò)的安全性能。
目前進行安全漏洞掃描時可以遵循的策略大致可以分為兩種:主動式與被動式。其中主動式安全漏洞掃描策略可以利用網(wǎng)絡(luò)進行系統(tǒng)自檢,根據(jù)主機的響應(yīng)可以了解和掌握主機操作系統(tǒng)、服務(wù)以及程序中是否存在漏洞需要修復(fù)。被動式安全漏洞掃描策略可以在服務(wù)器的基礎(chǔ)上對計算機網(wǎng)絡(luò)內(nèi)的多項內(nèi)容進行掃描與檢測,進而生成檢測報告反饋給網(wǎng)絡(luò)管理人員供其分析與處理所發(fā)現(xiàn)的漏洞。
3 網(wǎng)絡(luò)安全漏洞掃描方法
對現(xiàn)有的漏洞掃描方法進行分類可將其分為三類。
3.1 基于端口掃描的漏洞分析法
針對網(wǎng)絡(luò)安全的入侵行為通常都是會掃描目標(biāo)主機的某些端口,并查看這些端口中是否存在某些安全漏洞而實現(xiàn)的,因而在進行漏洞掃描時可以在網(wǎng)絡(luò)通向目標(biāo)主機的某些端口發(fā)送特定的信息以夠獲得某些端口信息,并根據(jù)這些信息來判斷和分析目標(biāo)主機中是否存在漏洞。以UNIX系統(tǒng)為例,F(xiàn)inger服務(wù)允許入侵者通過其獲得某些公開信息,對該服務(wù)進行掃描可以測試與判斷目標(biāo)主機的Finger服務(wù)是否開放,進而根據(jù)判斷結(jié)果進行漏洞修復(fù)。
3.2 基于暴力的用戶口令破解法
為提升網(wǎng)絡(luò)用戶的安全性能,大多數(shù)網(wǎng)絡(luò)服務(wù)都設(shè)置了用戶名與登錄密碼,并為不同的用戶分配了相應(yīng)的網(wǎng)絡(luò)操作權(quán)限。若能夠?qū)τ脩裘M行破解則可以獲取相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限,進而對網(wǎng)絡(luò)帶來安全威脅。
1)POP3弱口令漏洞掃描。POP3是一類常用的郵件收發(fā)協(xié)議,該協(xié)議使用用戶名與密碼來進行郵件收發(fā)操作。對其進行漏洞掃描時可以首先建立一個用戶標(biāo)識與密碼文檔,該文檔中存儲著常見的用戶標(biāo)識與登錄密碼,且支持更新。然后在進行漏洞掃描操作時可以與POP3所使用的目標(biāo)端口進行連接,確認(rèn)該協(xié)議是否處于認(rèn)證狀態(tài)。具體操作為:將用戶標(biāo)識發(fā)送給目標(biāo)主機,然后分析目標(biāo)主機返回的應(yīng)答結(jié)果,若結(jié)果中包含失敗或錯誤信息,則說明該標(biāo)識是錯誤不可用的,若結(jié)果中包含成功信息,則說明身份認(rèn)證通過,進一步向目標(biāo)主機發(fā)送登陸密碼,仿照上述過程判斷返回指令。該方式可查找出計算機網(wǎng)絡(luò)中存在的若用戶名與密碼。
2)FTP弱口令漏洞掃描。FTP是一類文件傳輸協(xié)議,其通過FTP服務(wù)器建立與用戶的連接,進而實現(xiàn)文件的上傳與下載。通過這類協(xié)議進行漏洞掃描方法與POP3方法類似,不同的是掃描時所建立的連接為SOCKET連接,用戶名發(fā)送分為匿名指令與用戶指令兩種,若允許匿名登錄則可直接登錄到FTP服務(wù)器中,若不允許匿名登錄則按照POP3口令破解的方式進行漏洞掃描。
3.3 基于漏洞特征碼的數(shù)據(jù)包發(fā)送與漏洞掃描
系統(tǒng)或應(yīng)用在面對某些特殊操作或特殊字符時可能會出現(xiàn)安全問題,為檢測這種類型的漏洞可以使用特征碼的方式向目標(biāo)主機端口發(fā)送包含特征碼的數(shù)據(jù)包,通過主句返回的信息判斷其中是否存在漏洞,是否需要進行漏洞修復(fù)。
1)CGI漏洞掃描。CGI表示公用網(wǎng)關(guān)接口,其所包含的內(nèi)容非常寬泛,可支持多種編程語言。在應(yīng)用基于CGI語言標(biāo)準(zhǔn)開發(fā)的計算機應(yīng)用中若處理不當(dāng)則很有可能在輸入輸出或指令執(zhí)行等方面出現(xiàn)意外狀況,導(dǎo)致網(wǎng)絡(luò)穩(wěn)定性變差,網(wǎng)絡(luò)受到安全威脅等出現(xiàn),即CGI漏洞。對于該類型的漏洞,可以使用如下方式掃描分析。以Campas漏洞為例,該漏洞允許非法用戶查看存儲于web端的數(shù)據(jù)信息,其具有以下特征碼:Get/cgi-bin/campas?%()acat/()a/etc/passwd%()a。對其進行掃描時可以使用Winsock工具與服務(wù)器的HrHP端口建立連接,連接建立后向服務(wù)器發(fā)送GET請求,請求即為Campas漏洞的特征碼,然后根據(jù)服務(wù)器返回的信息確認(rèn)其中是否存在該漏洞,若不存在該漏洞則服務(wù)器會返回HTTP 404的信息,若存在則會返回相應(yīng)的信息,此時需要根據(jù)實際情況對漏洞進行修復(fù)。
2)UNICODE漏洞掃描。UNICODE是一種標(biāo)準(zhǔn)的編碼方式,但是計算機系統(tǒng)在處理該類型編碼時容易出現(xiàn)錯誤,對其進行漏洞掃描與上述CGI漏洞掃描方式類似,不同之處在于連接函數(shù)為CONNECT函數(shù),通信端口為80端口,特征碼也為UNICODE漏洞所具有的特征碼。根據(jù)返回結(jié)果可以確認(rèn)網(wǎng)絡(luò)中是否存在該類型的安全漏洞。
4 總結(jié)
總之,計算機網(wǎng)絡(luò)一直處于發(fā)展和變化的狀態(tài),其中可能存在的安全漏洞受多種因素的影響是不盡相同的,為獲得較為全面的掃描結(jié)果所使用的掃描技術(shù)也是不斷變化的。為做好計算機網(wǎng)絡(luò)的安全防護工作,一方面要更新掃描方法發(fā)現(xiàn)漏洞,另一方面要及時修復(fù)漏洞,避免因漏洞而出現(xiàn)安全問題。
參考文獻
[1]萬琳.基于網(wǎng)絡(luò)安全的漏洞掃描[J].內(nèi)江科技,2008,29(5).
[2]曾鵬.淺論網(wǎng)絡(luò)安全問題及對策研究[J].科海故事博覽·科教創(chuàng)新,2009(4).
關(guān)鍵詞:課程設(shè)置;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)工程
文章編號:1672-5913(2013)14-0068-04 中圖分類號:G642
0 引言
網(wǎng)絡(luò)工程專業(yè)是伴隨計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展而在我國高校開設(shè)的一個較新領(lǐng)域的專業(yè)。1998年教育部增設(shè)網(wǎng)絡(luò)工程專業(yè)(080613W),首批有11所院校開設(shè)此專業(yè),之后全國各高校紛紛增設(shè)了可以授予網(wǎng)絡(luò)工程工學(xué)學(xué)位和網(wǎng)絡(luò)工程理學(xué)學(xué)位的學(xué)位點。到2012年有330所高校開設(shè)了此專業(yè),其中重點院校超過50所。經(jīng)過15年的發(fā)展,網(wǎng)絡(luò)工程專業(yè)已經(jīng)初具規(guī)模。2011年教育部將網(wǎng)絡(luò)工程專業(yè)納入正式目錄體系(080903),從此網(wǎng)絡(luò)工程專業(yè)成為目錄內(nèi)專業(yè)。同時,教育部計算機專業(yè)教指委了《網(wǎng)絡(luò)工程專業(yè)規(guī)范(建議)》。由于沒有專門的網(wǎng)絡(luò)工程分教指委機構(gòu)指導(dǎo)該專業(yè)的建設(shè)工作,導(dǎo)致各高校網(wǎng)絡(luò)工程專業(yè)的專業(yè)定位、培養(yǎng)目標(biāo)、培養(yǎng)模式和課程設(shè)置、就業(yè)方向各具特色,但也存在很多共同特性。比如,網(wǎng)絡(luò)工程專業(yè)所設(shè)研究方向大致有網(wǎng)絡(luò)規(guī)劃構(gòu)建方向、網(wǎng)絡(luò)軟件開發(fā)方向、網(wǎng)絡(luò)安全方向和無線通信方向等。
近年來,隨著網(wǎng)絡(luò)技術(shù)的不斷普及,網(wǎng)絡(luò)安全問題日益凸顯,漸漸成為人們最為關(guān)注的熱點。借助山東省名校工程的契機,結(jié)合信息安全教學(xué)團隊的建設(shè),我們進一步優(yōu)化了網(wǎng)絡(luò)工程專業(yè)的培養(yǎng)方案。網(wǎng)絡(luò)安全方向作為網(wǎng)絡(luò)工程專業(yè)的一個重要學(xué)習(xí)方向,應(yīng)如何設(shè)置課程,如何實現(xiàn)課程設(shè)置與教學(xué)團隊建設(shè)結(jié)合,是本文探討的主要問題。
1 網(wǎng)絡(luò)安全方向課程設(shè)置現(xiàn)狀
筆者從眾多開設(shè)網(wǎng)絡(luò)工程專業(yè)的高校中選取部分211或985學(xué)校作為研究對象,對多所學(xué)校的網(wǎng)絡(luò)安全方向課程的設(shè)置進行了對比分析,見表1。網(wǎng)絡(luò)安全在某些高校是作為網(wǎng)絡(luò)工程專業(yè)的一個方向開設(shè),如吉林大學(xué)就是在網(wǎng)絡(luò)工程專業(yè)下設(shè)網(wǎng)絡(luò)安全方向,開設(shè)網(wǎng)絡(luò)攻防技術(shù)、無線網(wǎng)絡(luò)技術(shù)等課程;而在有些院校網(wǎng)絡(luò)工程中沒有網(wǎng)絡(luò)安全方向,而以單獨的信息安全專業(yè)存在,如電子科技大學(xué)和北京郵電大學(xué)都是單獨沒有信息安全專業(yè),該專業(yè)開設(shè)的安全方向課程更全面,如信息安全數(shù)學(xué)基礎(chǔ)、密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)安全協(xié)議等;還有一些高校既沒有信息安全專業(yè),在網(wǎng)絡(luò)工程專業(yè)中也沒有安全方向,只是在課程中設(shè)置了少量的安全類課程,如大連理工大學(xué)開設(shè)網(wǎng)絡(luò)安全、Matlab課程,中山大學(xué)開設(shè)了密碼學(xué)與網(wǎng)絡(luò)安全課程。
2 擴展課程設(shè)置探討
下面針對濟南大學(xué)的網(wǎng)絡(luò)工程專業(yè)安全方向開設(shè)的課程進行改革探討。濟南大學(xué)網(wǎng)絡(luò)工程專業(yè)目前正在使用的培養(yǎng)方案中與安全相關(guān)的課程設(shè)置情況見表2。其中,一部分是計算機類學(xué)科基礎(chǔ)課,一部分是網(wǎng)絡(luò)工程專業(yè)基礎(chǔ)選修課和專業(yè)方向課。濟南大學(xué)網(wǎng)絡(luò)工程專業(yè)中設(shè)有網(wǎng)絡(luò)安全方向。
結(jié)合山東省名校工程的契機,筆者在調(diào)研多個名校的培養(yǎng)方案并結(jié)合本校實際情況的前提下,對網(wǎng)絡(luò)安全方向課程的設(shè)置提出下面幾個調(diào)整意見。
2.1 增設(shè)信息安全數(shù)學(xué)基礎(chǔ)和網(wǎng)絡(luò)仿真課程
雖然原有培養(yǎng)方案中高等數(shù)學(xué)、線性代數(shù)、概率論與數(shù)理統(tǒng)計、離散數(shù)學(xué)4門數(shù)學(xué)課程都占據(jù)了大量學(xué)時,但是對于網(wǎng)絡(luò)安全方向的學(xué)生而言,后期用到的相關(guān)數(shù)學(xué)知識并不多。但是學(xué)生對網(wǎng)絡(luò)安全真正用到的初等數(shù)論和群環(huán)域知識卻一點都沒有接觸。因此,修改培養(yǎng)方案時應(yīng)增設(shè)信息安全數(shù)學(xué)基礎(chǔ)課程,學(xué)時不用太多,可以為24學(xué)時,授課內(nèi)容要涉及網(wǎng)絡(luò)安全中用到的模運算、同余理論、數(shù)論函數(shù)和群環(huán)域等知識。
目前,網(wǎng)絡(luò)安全方向用到的數(shù)學(xué)知識均是在應(yīng)用密碼學(xué)課程中講解的。大部分有關(guān)密碼學(xué)的教材都會在講解分組密碼和公鑰密碼時,介紹一些與之密切相關(guān)的數(shù)學(xué)知識(如群環(huán)域),如由清華大學(xué)出版社出版,楊波編寫的《現(xiàn)代密碼學(xué)》(第二版)中的“密碼學(xué)中一些常用的數(shù)學(xué)知識”部分。這種做法一方面占了密碼學(xué)課程的部分學(xué)時,勢必會減少學(xué)生學(xué)到的密碼學(xué)知識;另一方面,臨時講一些數(shù)學(xué)知識并不能讓學(xué)生系統(tǒng)地理解。因此,筆者非常贊成清華大學(xué)馮克勤教授提出的增設(shè)初等數(shù)論課程的想法。雖然馮教授是針對清華大學(xué)數(shù)學(xué)科學(xué)系本科生提出的,但對于網(wǎng)絡(luò)安全方向的學(xué)生而言,不學(xué)習(xí)初等數(shù)論和群環(huán)域知識,很難理解和掌握后續(xù)的與安全相關(guān)的課程內(nèi)容,這點在應(yīng)用密碼學(xué)課程中尤其明顯。
例如,學(xué)習(xí)離散對數(shù)算法后,學(xué)生只知道在已知一些參數(shù)的情況下如何利用指數(shù)進行加密解密,但不能理解如何選擇參數(shù),不知道什么是本原元,如何確定一個循環(huán)群的本原元以及如何利用模運算降低計算量,如何快速的編程實現(xiàn)。筆者采用不同于上述馮教授提出的在大學(xué)第1學(xué)期開設(shè)初等數(shù)論課程的方式,而是在第3學(xué)期開設(shè)。因為濟南大學(xué)在第1、2學(xué)期,學(xué)生必修高等數(shù)學(xué)和線性代數(shù)課程,這已經(jīng)使學(xué)生無暇顧及更多的數(shù)學(xué)知識。第3學(xué)期開設(shè)信息安全數(shù)學(xué)基礎(chǔ)可以很好地和第4學(xué)期開設(shè)的應(yīng)用密碼學(xué)課程銜接。另外,在信息安全數(shù)學(xué)基礎(chǔ)課程中,安排一定的實驗學(xué)時,讓學(xué)生在經(jīng)過第1、2學(xué)期的程序設(shè)計課程之后,通過學(xué)過的編程語言實現(xiàn)數(shù)論和群環(huán)域中的一些算法,理論聯(lián)系實際,從而更好地掌握數(shù)學(xué)知識,為后續(xù)密碼學(xué)算法的研究奠定基礎(chǔ)。
2.2 增加網(wǎng)絡(luò)仿真課程
現(xiàn)代網(wǎng)絡(luò)技術(shù)的研究離不開仿真軟件,因為我們不可能實際搭建網(wǎng)絡(luò),如果不合適,再拆了重新搭建,這不僅費時而且費力。現(xiàn)在所有與網(wǎng)絡(luò)相關(guān)的研究都在仿真基礎(chǔ)上進行;而如果不開設(shè)仿真課程,學(xué)生僅學(xué)習(xí)理論知識,會與實際應(yīng)用脫離。濟南大學(xué)的信息安全教學(xué)團隊由5位博士組成,其中3人是數(shù)學(xué)專業(yè)背景,主要研究網(wǎng)絡(luò)安全,2人是計算機學(xué)科出身,主要研究無線網(wǎng)絡(luò),而且5人中有2人具有工程背景。信息安全教學(xué)團隊負責(zé)網(wǎng)絡(luò)工程專業(yè)的所有安全類課程的教學(xué),包含無線網(wǎng)絡(luò)和網(wǎng)絡(luò)協(xié)議等課程,這些課程都需要仿真軟件的配合才能使學(xué)生真正掌握所學(xué)知識。因此,增加網(wǎng)絡(luò)仿真課程是必須的。至于仿真課程的內(nèi)容,可以選擇NS2或NS3,也可以與大連理工大學(xué)相似,采用Matlab。
2.3 合并網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)安全協(xié)議課程。調(diào)整其他相關(guān)課程的學(xué)分和學(xué)時
網(wǎng)絡(luò)協(xié)議課程主要講TCP/IP協(xié)議,內(nèi)容與吉林大學(xué)的TCP/IP協(xié)議族相似,重點在網(wǎng)絡(luò)的分層協(xié)議,如網(wǎng)絡(luò)層協(xié)議、傳輸層協(xié)議等。涉及部分安全協(xié)議,如IPsec、SSL、SNMP等,這與網(wǎng)絡(luò)安全協(xié)議課程中再次對這些內(nèi)容的講解重復(fù),而且安全協(xié)議本身也是網(wǎng)絡(luò)協(xié)議的一種,因此可以考慮將安全協(xié)議和網(wǎng)絡(luò)協(xié)議兩個課程整合或一門全新的網(wǎng)絡(luò)協(xié)議課程,去掉重復(fù)內(nèi)容,增加部分學(xué)分和學(xué)時,從原有的2.5學(xué)分增加到3學(xué)分,同時學(xué)時從原有的48增加到64。網(wǎng)絡(luò)工程專業(yè)修改培養(yǎng)方案后的安全方向課程設(shè)置見表3。
從表3可以看出培養(yǎng)方案修正前后的總學(xué)分保持不變,這是因為在增加新課的同時,調(diào)整了部分課程所占學(xué)分和學(xué)時,如減少無線網(wǎng)絡(luò)原理與技術(shù)的學(xué)分,從原有的4學(xué)分減到3,5學(xué)分。這樣一方面增加了新課,另一方面整合了重復(fù)內(nèi)容的課程。
3 結(jié)語
網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)工程專業(yè)的一個重要方向,在課程設(shè)置上有待進一步優(yōu)化和擴展,結(jié)合網(wǎng)絡(luò)技術(shù)的新發(fā)展,我們也在探討不斷增加新課程(如數(shù)字取證、數(shù)字隱藏等),減少或去掉某些過時的課程,并發(fā)揮互補的教學(xué)團隊作用,在課程設(shè)置上兼顧個人的研究特長,很好地把無線網(wǎng)絡(luò)與網(wǎng)絡(luò)安全融合在一起。借名校工程的契機進一步推進教學(xué)改革,更好地發(fā)展學(xué)生的主體研究能力,和教師的團隊配合,培養(yǎng)學(xué)生科學(xué)的探索精神和創(chuàng)造能力。
參考文獻:
[1]教育部高等學(xué)校計算機科學(xué)與技術(shù)教學(xué)指導(dǎo)委員會,高等學(xué)校網(wǎng)絡(luò)工程專業(yè)規(guī)范(試行)[M],北京:高等教育出版社,2012
[2]劉悅,張遠,賈忠田,高等學(xué)校網(wǎng)絡(luò)工程本科專業(yè)的科學(xué)規(guī)范探討[J],計算機教育,2008(24):120-122
