安全防范技术论文

发布时间:2017-04-09 06:55

安全是目的,防范是手段,通过防范的手段达到或实现安全的目的,就是安全防范的基本内涵。这是小篇为大家整理的安全防范技术论文,仅供参考!

网络安全与防范技术篇一

摘 要

随着网络的普及,网络安全日显重要,本文从网络不安全因素入手,探讨了网络安全防范 理论 技术、主流网络常用的防火墙和入侵检测技术。

关键词 网络安全、防火墙、入侵检测系统

近年来, 计算 机网络技术不断 发展 ,网络 应用 逐渐普及。网络已成为一个无处不在、无所不用的工具。越来越多的计算机用户足不出户则可访问到全球网络系统丰富的信息资源, 经济 、文化、军事和 社会 活动也强烈依赖于网络,一个网络化的社会已呈现在我们面前。

然而,随着网络应用的不断增多,网络安全 问题 也越来越突出,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通, 研究 计算机网络的安全与防范措施已迫在眉捷。本人结合实际经验,谈一谈。

1 网络不安全因素

网络的安全因素主要有:

(1)网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。

(2)网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个 企业 、单位以及个人的敏感性信息。

(3)网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。

(4)网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

(5)恶意攻击。就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑 教育 的大众化,这类攻击也是越来越多, 影响 越来越大。

2 网络安全防御方式

网络安全技术的主要代表是防火墙和入侵检测技术。下面简要介绍一下这两种技术。

2.1 防火墙技术

网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访,用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet(外部网)的传输信息或从内部网发出的信息都必须穿过防火墙。

2.1.1 防火墙的主要功能

防火墙的主要功能包括:

(1)防火墙可以对流经它的网络通信进行扫描,从而过滤掉一些攻击,以免其在目标计算机上被执行。

(2)防火墙可以关闭不使用的端口,而且它还能禁止特定端口的输出信息。

(3)防火墙可以禁止来自特殊站点的访问,从而可以防止来自不明入侵者的所有通信,过滤掉不安全的服务和控制非法用户对网络的访问。

(4)防火墙可以控制网络内部人员对Internet上特殊站点的访问。

(5)防火墙提供了监视Internet安全和预警的方便端点。

2.1.2 防火墙的主要优点

防火墙的主要优点包括:

1)可作为网络安全策略的焦点

防火墙可作为网络通信的阻塞点。所有进出网络的信息都必须通过防火墙。防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上。从而在结构上形成了一个控制中心,极大地加强了网络安全,并简化了网络管理。

2)可以有效记录网络活动

由于防火墙处于内网与外网之间,即所有传输的信息都会穿过防火墙。所以,防火墙很适合收集和记录关于系统和网络使用的多种信息,提供监视、管理与审计网络的使用和预警功能。

3)为解决IP地址危机提供了可行方案

由于Internet的日益发展及IP地址空间有限,使得用户无法获得足够的注册IP地址。防火墙则处于设置网络地址转换NAT的最佳位置。NAT有助于缓和IP地址空间的不足。

2.1.3 防火墙的主要缺陷

由于互联网的开放性,防火墙也有一些弱点,使它不能完全保护网络不受攻击。防火墙的主要缺陷有:

(1)防火墙对绕过它的攻击行为无能为力。

(2)防火墙无法防范病毒,不能防止感染了病毒的软件或文件的传输,对于病毒只能安装反病毒软件。

(3)防火墙需要有特殊的较为封闭的网络拓扑结构来支持。网络安全性的提高往往是以牺牲网络服务的灵活性、多样性和开放性为代价。

2.1.4 防火墙的分类

防火墙的实现从层次上大体可分为三类:包过滤防火墙,代理防火墙和复合型防火墙。

1)包过滤防火墙

包过滤防火墙是在IP层实现,它可以只用路由器来实现。包过滤防火墙根据报文的源IP地址,目的IP地址、源端口、目的端口和报文传递方向等报头信息来判断是否允许有报文通过。

包过滤路由器的最大优点是:对用户来说是透明的,即不需要用户名和密码来登陆。

包过滤路由器的弊端是明显的,由于它通常没有用户的使用记录,我们不能从访问中发现黑客的攻击记录。它还有一个致命的弱点,就是不能在用户级别上进行过滤,即不能识别用户与防止IP地址的盗用。如果攻击者将自己的主机设置为一个合法主机的IP地址,则很容易地通过包过滤防火墙。

2)代理防火墙

代理防火墙也叫 应用 层网关防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但它不适合单位用来控制内部人员访问外部 网络 ,对于这样的 企业 ,应用代理防火墙是更好的选择。

代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,一般情况下可应用于特定的互联网服务,如超文本传输、远程文件传输等。同时还可应用于实施较强的数据流监控、过滤、记录和 报告等功能。

应用层网关包括应用代理服务器、回路级代理服务器、代管服务器、IP通道、网络地址转换器、隔离域名服务器和邮件技术等。

3)复合型防火墙

复合型防火墙是将数据包过滤和代理服务结合在一起使用,从而实现了网络安全性、性能和透明度的优势互补。

随着技术的 发展 ,防火墙产品还在不断完善、发展。 目前 出现的新技术类型主要有以下几种:状态监视技术、安全操作系统、自适应代理技术、实时侵入检测系统等。混合使用数据包过滤技术、代理服务技术和一些新技术是未来防火墙的趋势。

2.1.5 防火墙的部署

防火墙是网络安全的关口设备,只有在关键网络流量通过防火墙的时候,防火墙才能对此实行检查,防护功能。

(1)防火墙的位置一般是内网与外网的接合处,用来阻止来自外部网络的入侵。

(2)如果内部网络规模较大,并且设置虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙。

(3)通过公网连接的总部与各分支机构之间应该设置防火墙。

(4)主干交换机至服务器区域 工作组交换机的骨干链路上。

(5)远程拨号服务器与骨干交换机或路由器之间。

总之,在网络拓扑上,防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是:只要有恶意侵入的可能,无论是内部网还是外部网的连接处都应安装防火墙。

2.2 入侵检测技术

入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行 分析 和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和 影响 降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、 审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。

典型的IDS系统模型包括4个功能部件:

(1) 事件产生器,提供事件记录流的信息源。

(2) 事件分析器,这是发现入侵迹象的分析引擎。

(3) 响应单元,这是基于分析引擎的分析结果产生反应的响应部件

(4) 事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

2.2.1入侵检测系统的分类

入侵检测系统根据数据来源不同,可分为基于网络的入侵检测系统和基于主机的入侵检测系统。

网络型入侵检测系统的实现方式是将某台主机的网卡设置成混杂模式,监听本网段内的所有数据包并进行判断或直接在路由设备上放置入侵检测模块。一般来说,网络型入侵检测系统担负着保护整个网络的任务。

主机型入侵检测系统是以系统日志、应用程序日志等作为数据源,当然也可以通过其它手段(如检测系统调用)从所有的主机上收集信息进行分析。

入侵检测系统根据检测的 方法 不同可分为两大类:异常和误用。

异常入侵检测根据用户的异常行为或对资源的异常存放来判断是否发生了入侵事件。

误用入侵检测通过检查对照已有的攻击特征、定义攻击模式、比较用户的活动来了解入侵。例如,著名的Internet蠕虫事件是利用fingerd(FreeBSD)上的守护进程,允许用户远程读取文件系统,因而存在可以查看文件 内容 的漏洞和Sendmail(Linux上的守护进程,利用其漏洞可取得root权限)的漏洞进行攻击。对这种攻击可以使用这种检测方法。

2.2.2 目前入侵检测系统的缺陷

入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多 问题 ,有待于我们进一步完善。

1) 高误报率

误报率主要存在于两个方面:一方面是指正常请求误认为入侵行为;另一方面是指对IDS用户不关心事件的报警。导致IDS产品高误报率的原因是IDS检测精度过低和用户对误报概念的不确定。

2) 缺乏主动防御功能

入侵检测技术作为一种被动且功能有限的安全防御技术,缺乏主动防御功能。因此,需要在一代IDS产品中加入主动防御功能,才能变被动为主动。

2.2.3 防火墙与入侵检测系统的相互联动

综合所述:防火墙是一个跨接多个物理网段的网络安全关口设备。它可以对所有流经它的流量进行各种各样最直接的操作处理,如无通告拒绝、ICMP拒绝、转发通过(可转发至任何端口)、各以报头检查修改、各层报文内容检查修改、链路带宽资源 管理、流量 统计、访问日志、协议转换等。

当我们实现防火墙与入侵检测系统的相互联动后,IDS就不必为它所连接的链路转发业务流量。因此,IDS可以将大部分的系统资源用于对采集报文的分析,而这正是IDS最眩目的亮点。IDS可以有足够的时间和资源做些有效的防御工作,如入侵活动报警、不同业务类别的网络流量统计、网络多种流量协议恢复(实时监控功能)等。IDS高智能的数据分析技术、详尽的入侵知识描述库可以提供比防火墙更为准确、更严格、更全面的访问行为审查功能。

综上所述,防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。

3 结语

网络安全是一个很大的系统工程,除了防火墙和入侵检测系统之外,还包括反病毒技术和加密技术。反病毒技术是查找和清除 计算 机病毒技术。其原理就是在杀毒扫描程序中嵌入病毒特征码引擎。然后根据病毒特征码数据库来进行对比式查杀。加密技术主要是隐藏信息、防止对信息篡改或防止非法使用信息而转换数据的功能或方法。它是将数据信息转换为一种不易解读的模式来保护信息,除非有解密密钥才能阅读信息。加密技术包括算法和密钥。算法是将普通的文本(或是可以理解的信息)与一串数字(密钥)的结合,产生不可理解的密文的步骤。密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。

参考 文献

[1] 郑成兴著. 《网络入侵防范的 理论 与 实践》. 机械 工业 出版社

[2] [美] Merike Kaeo 著.《网络安全性设计》. 人民邮电出版社

网络安全防范技术研究篇二

摘要:叙述了计算机网络安全的因素以及针对这些威胁因素应用于计算机网络安全的防范技术,以便更好地实践应用网络安全防范技术,让人们在生活和工作时能够放心地畅游计算机网络世界。

关键词:计算机;网络安全;防范技术

中图分类号:TP393.08文献标识码:A文章编号:1672�7800(2011)012�0143�02

作者简介:罗莹(1979-),女,江西万载人,硕士,宜春学院数学与计算机科学学院讲师,研究方向为计算机科学。1威胁计算机网络安全的因素

计算机网络安全的威胁因素有多种方面,计算机是人在使用,在使用时自然会有无意的失误,恶意的攻击计算机存在的诸多漏洞等,归纳起来有以下几种。

1.1网页浏览器存在安全漏洞

我们上网所用的WEB服务器和网页浏览器存在安全漏洞。开始时开发人员引用CGI程序是要使网页活动起来,但多数人员对CGI这一程序并不是很了解,而且编程时也只是对其进行适当修改,但网页浏览器的核心部分仍然是相同的,所以可以说网页浏览器有着类似的安全漏洞。因此在人们上网应用浏览器时,实际上是处于具有安全隐患的环境中,一旦进入网络世界,就有被攻击的可能。

1.2防火墙软件的安全配置不当

计算机系统安装的防火墙如果配置不当,即使使用者安装了,但仍然是没有起到任何的防范作用的。网络入侵的最终目的是要取得使用者在计算机系统中的访问权限、存储权限甚至是写权限,以便能够恶意破坏此系统,造成数据丢失被盗或系统崩溃,或者以此为跳板,方便进入其他计算机系统进行破坏。在计算机连接入网时,启动了一些网络应用程序后,实际上也打开了一条安全缺口,这时,除非使用者禁止启动此程序或对安全配置进行正确配置,否则计算机系统始终存在安全隐患。

1.3计算机病毒

计算机病毒是威胁计算机网络安全的最大致命因素。它是人为制造的一种影响计算机正常运行、破坏计算机内的文件数据,并且能够自我复制的恶意程序代码。就像现实生活中的病毒一样具有传染性、隐蔽性、复制性、潜伏性和破坏性,同时有可触发性这一特有的特性。这些特性就容易导致计算机网络安全存在严重隐患。

1.4木马攻击

无论是计算机的硬件还是软件,制造者们为了能够进行非授权访问会故意在软、硬件上设置访问口令,即后门,木马就是一种特殊的后门程序。在计算机联网的情况下,通过木马黑客可以无授权且隐蔽地来进行远程访问或控制计算机。也正是如此,计算机网络存在严重的安全威胁,并且这一威胁还处于潜在的。

1.5黑客

黑客是精通编程语言和计算机系统,对计算机有很深的研究的电脑专家,他们通过计算机网络,利用计算机系统或应用软件的安全漏洞非法访问或控制计算机,以此来破坏系统,窃取资料等一些恶意行为,可以说对计算机的安全,黑客比计算机病毒更具危害。

2网络安全防范相关技术

针对以上这些威胁计算机网络安全的因素,编程人员也研发了各种的防范技术来保障计算机用户的网络安全。而且随着威胁因素的升级提高,安全技术也正在不断的提高升级。目前常用的计算机网络安全防范技术有以下几种。

2.1入侵预防技术

现在有很多针对入侵进行检测的产品,但是这些入侵检测产品只是被动的进行检测计算机网络有无受到攻击,甚至有时也会有些误检测引起防火墙的错误操作,使之影响整个网络系统。这时我们需要更高一级的入侵预防技术来保障计算机网络的安全运行。入侵预防技术与传统的入侵检测程序最大的不同就是入侵预防技术根据预先设定好的防范规则,以此来判断哪些行为是可以通过的,哪些行为是带有威胁性的,并且一旦发现有可疑的入侵行为,入侵预防技术会积极主动地进行拦截或清除此系统行为。入侵预防技术安全地架构了一个防范网络安全的应用软件,它加强了用户桌面系统和计算机网络服务器的安全。从入侵预防技术的特点来说,入侵预防置于服务器前面,防火墙的后面是最佳选择。

2.2防范计算机病毒的安全技术

计算机病毒具有的隐蔽性强、复制能力快、潜伏时间长、传染性快、破坏能力大、针对性强等特点,应用的主要技术有“后门”攻击、无线电、数据控制链接攻击、“固化”的方式,针对这些特性防范计算机病毒的安全技术操作,我们应该注意几个方面的内容,第一、安装有层次级别的防病毒软件,对计算机实施全方位的保护措施。第二、对光盘、U盘等移动存储介质中的内容进行防毒杀毒措施。第三、对从网络上下载的文件资料或邮件进行病毒查杀。第四、定期升级病毒库,定期对计算机进行查杀。

2.3采用防火墙技术

为了保障计算机网络的安全性,可以与其他安全防范技术相配合使用的一个技术就是防火墙技术。防火墙是一种用于加强网络与网络间的访问控制,防止外部非法授权用户访问内部的网络信息的应用软件。防火墙的主要工作就是扫描所有经过它进入的外网网络通信数据,过滤具有威胁性的攻击信息数据,并且关闭不开启的端口禁止数据流的进出,同时封锁木马禁止可疑站点的访问,防止非法授权用户的入侵,并且监控网络的使用情况,记录和统计有无非法操作的行为。它主要是用来逻辑隔离计算机网络的内网和外网,所以通常安装在连接内网与外网的节点上,所以防火墙又有防外不防内的局限性。在实际工作中,网络管理员通常是把防火墙技术和其他的安全防范技术配合使用,这样能更好地保护网络的安全使用。并且防火墙设置上要冗余多变,单点设置易使网络出现故障,如果内网与外网出现连通故障,则会严重影响网络的交流通讯。

2.4漏洞扫描技术

漏洞扫描技术的主要技术有Ping扫描、端口扫描、脆弱点探测、OS探测。它们根据要实现的不同目标运用不同的工作原理。在整个计算机网络中,通过Ping扫描来确定目标主机的IP地址,通过端口扫描来确定主机所开启的端口及该端口的网络服务,并且用脆弱点探测和OS探测进行扫描,所得结果与网络漏洞扫描系统所提供的漏洞库进行特征匹配,以此确定有无漏洞存在。这种漏洞的特征匹配方法必须对网络漏洞扫描系统配置特征规则的漏洞库进行不断的扩充和修正,即时更新漏洞库,让漏洞库信息完整、有效、简易。

2.5数据加密技术

网络是一个自由的世界,但为了保护每个客户的信息安全,就需要为他们加上一把“锁”,也就是说在传输一些敏感的信息时需要将信息加密后在传送出去。数据加密技术是保障用户网络安全的一项重要手段之一。数据加密技术的应用是用于保护网络上传输的信息数据不会被他人恶意的篡改或截取,防止被人看到或破坏。目前运用的数据加密算法有对称算法和公开密钥算法两种。对称算法是指加密密钥可以从解密密钥中推算出来或是加密密钥与解密密钥相同。对称算法速度快,但管理密钥要非常严密,密钥的传送途径必须安全。而公开密钥算法与对称算法完全不同,不仅加密密钥与解密密钥不一样,并且从加密密钥中也几乎不可能反推出解密密钥。这样对公开密钥算法的密钥管理要求不严,但是加密算法复杂,速度慢。计算机网络安全维护工作过程中,为了加强网络通讯的安全性,适当地给网络建立数据加密技术进行主动防御,使网络运行更加安全、有效。

2.6蜜罐技术

蜜罐技术是为了在隐藏好自己的同时也让自己故意成为攻击目标,引诱黑客来入侵,借此来收集信息发现所用的服务器或系统的新漏洞,并且查明入侵者的实际行为。蜜罐技术的优势在于减少了网络管理员对数据分析的时间,因为进出蜜罐的数据大多是攻击数据流,不需要花时间去分析哪些是安全的,哪些是有威胁的。蜜罐设置并不难,但是如果设置的不够隐蔽或是不够周全,就有可能被入侵者发现并做出更大的破坏,造成更加严重的后果。随着网络入侵方法的多样化,蜜罐技术也要进行多样化的发展改进,否则就无法安全的对计算机网络进行保护。

2.7系统容灾技术

系统容灾技术包括本地容灾技术和异地容灾技术两种。本地容灾技术主要是包括磁盘保护、快照数据保护和磁盘数据备份等方面的内容,通过对磁道的保护达到保护存储设备不被外来对象入侵。远程数据容灾是指通过将本地数据在线备份到远离本地的异地数据系统保存,当灾难发生后,可以通过数据重构,来达到抵御区域性、毁灭性灾难,保护业务数据的目的。但关键业务服务的暂时停顿不可避免。网络容灾技术是指网络在遭受各种故障,如通信人为故障和客观因素导致的通信事故等时,仍能维持可接受的业务质量的能力。服务容灾技术是当发生灾难时,需要将生产中心的业务转移到容灾中心去运行。可以保证服务的自动无缝迁移,让用户感觉不出提供服务的主体发生了变化。

3结束语

计算机网络的飞速发展,给计算机的安全带来了很大的隐患,计算机安全专家们也在为此作不懈的努力。但这种入侵技术时时在更新,我们只有理清了所有的入侵技术,进一步作出入侵防范的判断才能让网络处于安全的地步。本文通过叙述威胁计算机网络安全的因素有哪些以及针对这些威胁因素应用于计算机网络安全的防范技术又有哪些,以便更好地实践应用网络安全防范技术,让人们在生活和工作时能够放心地畅游计算机网络世界。参考文献:

[1]赵敬,孙洪峰.信息与网络安全防范技术[J].现代电子技术,2003(8).

[2]宋渊明,杨明.信息与计算机通信网络安全技术研究[J].信息技术,2003(4).

[3]戴启艳.影响信息系统安全的主要因素及主要防范技术[J].中国科技信息,2010(6).

[4]廖辉,凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计,2010(5).

[5]李晓明,付丹丹.计算机网络攻击分析及防范技术[J].电脑学习,2010(6).

安全防范技术论文的评论条评论