如何进行网络安全防护篇1
论文摘要:随着网络在社会生活中不断普及,网络安全问题越来越显得重要。当因特网以变革的方式提供信息检索与能力的同时,也以变革的方式带来信息污染与破坏的危险。对计算机网络安全保护模式与安全保护策略进行探讨。
计算机网络最重要的资源是它所提供的服务及所拥有的信息,计算机网络的安全性可以定义为保障网络服务的可用性和网络信息的完整性。为了有效保护网络安全,应选择合适的保护模式。
1安全保护模式
为尽量减少和避免各种外来侵袭的安全模式有以下几种类型:
1.1无安全保护。最简单的安全保护模式是完全不实施任何安全机制,按销售商所提供的最小限度安全运行。这是最消极的一种安全保护模式。
1.2模糊安全保护。另一种安全保护模式通常称之为“模糊安全保护”,采用这种模式的系统总认为没有人会知道它的存在、目录、安全措施等,因而它的站点是安全的。但是实际上对这样的一个站点,可以有很多方法查找到它的存在。站点的防卫信息是很容易被人知道的。在主机登录信息中了解到系统的硬件和软件以及使用的操作系统等信息后,一个入侵者就能由此试一试安全漏洞的重要线索。入侵者一般有足够多的时间和方法来收集各种信息,因此这种模式也是不可取的。
1.3主机安全保护。主机安全模式可能是最普通的种安全模式而被普遍采用,主机安全的目的是加强对每一台主机的安全保护,在最大程度上避免或者减少已经存在的可能影响特定主机安全的问题。
在现代的计算机环境中,主机安全的主要障碍就是环境复杂多变性。不同品牌的计算机有不同的商,同一版本操作系统的机器,也会有不同的配置、不同的服务以及不同的子系统。这就得要作大量的前期工作和后期保障上作,以维护所有机器的安全保护,而且机器越多安全问题也就越复杂。即使所有工作都正确地执行了,主机保护还会由于软件缺陷或缺乏合适功能和安全的软件而受到影响。
1.4网络安全保护。由于环境变得大而复杂,主机安全模式的实施也变得愈来愈困难。有更多的站点开始采用网络安全保护模式。用这种安全保护模式解决如何控制主机的网络通道和它们所提供的服务比对逐个主机进行保护更有效。现在一般采用的网络安全手段包括:构建防火墙保护内部系统与网络,运用可靠的认证方法(如一次性口令),使用加密来保护敏感数据在网络上运行等。
在用防火墙解决网络安全保护的同时,也决不应忽视主机自身的安全保护。应该采用尽可能强的主机安全措施保护大部分重要的机器,尤其是互联网直接连接的机器,防止不是来自因特网侵袭的安全问题在内部机器上发生。上面讨论了各种安全保护模式,但没有一种模式可以解决所有的问题,也不存在一种安全模式可以解决好网络的管理问题。安全保护不能防止每一个单个事故的出现,它却可以减少或避免事故的严重损失,甚至工作的停顿或终止。
2安全保护策略
所谓网络安全保护策略是指一个网络中关于安全问题采取的原则、对安全使用的要求以及如何保护网络的安全运行。以下是加强因特网安全保护措施所采取的几种基本策略。
2.1最小特权。这是最基本的安全原则。最小特权原则意味着系统的任一对象(无论是用户、管理员还是程序、系统等),应该仅具有它需要履行某些特定任务的那些特权。最小特权原则是尽量限制系统对侵入者的暴露并减少因受特定攻击所造成的破坏。
在因特网环境下,最小特权原则被大量运用。在保护站点而采取的一些解决方法中也使用了最小将权原理,如数据包过滤被设计成只允许需要的服务进入。在试图执行最小特权时要注意两个问题:一是要确认已经成功地装备了最小特权,二是不能因为最小特权影响了用户的正常工作。
2.2纵深防御。纵深防御是指应该建立多种机制而不要只依靠一种安全机制进行有效保护,这也是一种基本的安全原则。防火墙是维护网络系统安全的有效机制,但防火墙并不是因特网安全问题的完全解决办法。任何安全的防火墙,都存在会遇到攻击破坏的风险。但可以采用多种机制互相支持,提供有效冗余的办法,这包括安全防御(建立防火墙)、主机安全(采用堡垒主机)以及加强安全教育和系统安全管理等。防火墙也可以采用多层结构。如使用有多个数据包过滤器的结构,各层的数据包过滤系统可以做不同的事情,过滤不同的数据包等。在开销不大的情况下,要尽可能采用多种防御手段。
2.3阻塞点。所谓阻塞点就是可以对攻击者进行监视和控制的一个窄小通道。在网络中,个站点与因特网之间的防火墙(假定它是站点与因特网之间的唯一连接)就是一个这样的阻塞点。任何想从因特网上攻击这个站点的侵袭者必须经过这个通道。用户就可以在阻塞点上仔细观察各种侵袭并及时做出反应。但是如果攻击者采用其他合法的方法通过阻塞点,这时阻塞点则失去了作用。在网络上,防火墙并不能阻止攻击者通过很多线路的攻击。
2.4防御多样化。在使用相同安全保护系统的网络中,知道如何侵入一个系统也就知道了如何侵入整个系统。防御多样化是指使用大量不同类型的安全系统,可以减少因一个普通小错误或配置错误而危及整个系统的可能,从而得到额外的安全保护。但这也会由于不同系统的复杂性不同而花费额外的时间与精力。
3防火墙
防火墙原是建筑物大厦设计中用来防止火势从建筑物的一部分蔓延到另一部分的设施。与之类似,作为一种有效的网络安全机制,网络防火墙的作用是防止互联网的危险波及到内部网络,它是在内部网与外部网之间实施安全防范,控制外部网络与内部网络之间服务访问的系统。但必须指出的是防火墙并不能防止站点内部发生的问题。防火墙的作用是:限制人们从一个严格控制的点进入;防止进攻者接近其他的防御设备;限制人们从一个严格控制的点离开。防火墙的优点:1)强化安全策略:在众多的因特网服务中,防火墙可以根据其安全策略仅仅容许“认可的”和符合规则的服务通过,并可以控制用户及其权力。2)记录网络活动:作为访问的唯一站点,防火墙能收集记录在被保护网络和外部网络之间传输的关于系统和网络使用或误用的信息。3)限制用户暴露:防火墙能够用来隔开网络中的一个网段与另一个网段,防止影响局部网络安全的问题可能会对全局网络造成影响。4)集中安全策略:作为信息进出网络的检查点,防火墙将网络安全防范策略集中于一身,为网络安全起了把关作用。
参考文献:
[1]靳攀,互联网的网络安全管理与防护策略分析[J].北京工业职业技术学院学报,2008,(03).
[2]赵薇娜,网络安全技术与管理措施的探讨[J].才智,2008,(10).
如何进行网络安全防护篇2
关键词:防火墙作用特性弱点解决策略
一、防火墙的作用
网络这个虚拟世界已经变得越来越精彩庞大,网络的迅速发展,使我们的学习,工作和生活产生了巨大的改变。我们通过网络获得需要的信息,共享各类资源。如今,internet遍布世界的每一寸土地和天空,并且迎接任何一个感兴趣的人加入其中,相互沟通,相互交流。随着网络的扩展,安全问题也越来越受到人们的关注。在网络日益多样化、复杂化的今天,如何保护不同的网络和网络应用的安全,如何使信息更加安全,成为了各国政府、公司,以及个人用户探讨的重点。
接触过网络的人都听说或接触过网络中全力闯入他人计算机系统的人即黑客,黑客们利用各种系统和网络的漏洞,非法获得未授权的访问信息。如今攻击网络系统和窃取信息已经不需要像过去掌握什么高深的技巧或低级汇编语言,网络中有大量现成的攻击文章和攻击工具等资源,可以随意地下载使用和共享。不需要清楚那些攻击程序是如何在计算机中运行的,只需要简单地下载运行就可以给网络造成极大的威胁。甚至有些程序不需要经人为的参与,就可以智能化扫描和破坏目标网络。这种情况使得近几年网上的攻击密度和攻击强度显著增长,给网络安全带来越来越多的隐患。
我们可以通过具体的网络策略,设备和工具来保护我们认为不太安全的网络。其中防火墙是运用最为广泛和迄今效果最好的选择。它可以防御网络中大多数威胁,并且作出及时的响应,将那些危险的攻击和连接行为隔绝在系统之外,从而降低网络的整体风险。
二、防火墙的特性
防火墙就像一道安全门一样,其基本功能是对网络通信进行必要的筛选屏蔽以防未授权的或不安全的访问进出计算机网络,简单地概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(internal)和不可信任网络(internet)之间。
防火墙一般有以下三个特性:
1.所有的通信都必须经过防火墙;
2.防火墙只放行通过经授权的网络流量;
3.防火墙能经受得住对防火墙本体的攻击。
我们可以看成防火墙是在可信任网络和不可信任网络之间的一个隔绝缓冲,防火墙可以是一台有访问控制策略的路由器(Route+aCL),及一台多个网络接口的计算机,服务器等,被配置成保护特定网络,使其免受来自于非受信网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络边界,例如保护企业网络的防火墙,一般部署在内网到外网的核心区域上。
如果没有防火墙,好多人得出经验结论:系统安全性的平均值将是网络被攻破的那个安全基准。可是经验并不一定是对的,真实的情况更是糟糕:整个网络的安全性将被网络中最脆弱的短板所制约,即著名的木桶理论。没有人可以保证网络中每个节点每个服务都永远保持在最佳状态。网络越复杂,把网络中所有主机维护至同等高的安全水平就越困难,将会耗费大量的时间和精力。整个的安全响应速度变得不可忍受,最终可能导致整个安全框架的崩溃。
广大用户要求,防火墙必须负责保护以下三个方面的风险:
1.机密性;
2.数据完整性;
3.可用性。
三、防火墙的弱点
在防火墙的应用中我们发现了它还有如下弱点。
1.防御不了已经授权的访问和网络内部系统间的攻击;
2.防御不了合法用户恶意的攻击,以及非程序预期的威胁;
3.修复不了本身不安全的管理措施和已存有问题的安全策略;
4.防御不了绕过防火墙的攻击和威胁。
综上所述,我们首先必须面对一个事实,绝对的安全是没有的。我们所能做的是提高用户系统的安全系数,延长安全的稳定周期,缩短消除威胁的反应时间。
四、解决策略
在多种强大的防火墙里,我们选择业界内口碑一流的防火墙Checkpoint的webintelligence(web智能技术)和Statefulinspection(状态检测技术)来简单介绍一下对于防火墙的web安全保护和智能防御。
简单来说,状态检测技术工作在oSi参考模型的DataLink与network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,inspectengine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是Checkpoint发明的专利技术。对状态和上下文信息的收集使得Checkpoint防火墙不仅能跟踪tCp会话,而且能智能处理无连接协议,如UDp或RpC。这样就保证了在任何来自服务器的数据被接受前,必须有内部网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小,可以保证整个防火墙快速,有效地控制数据的进出和作出控制决策。
如何进行网络安全防护篇3
关键词网络安全;计算机网络;家庭计算机
中图分类号tp3文献标识码a文章编号1673-9671-(2010)042-0032-01
随着全球对网络安全的重视,对病毒防范和网络攻击事件的响应时间越来越短,但同时病毒的产生和传播速度也越来越快,从系统或软件漏洞公布的时间到利用这种漏洞进行攻击的病毒的出现周期,已经由最初的几个月、几个星期,到现在最快的几天。病毒的威力也从最初的恶作剧、删除信息,到窃取用户资料、诈骗用户网上银行帐号和密码,严重的导致某个骨干internet陷入瘫痪。这充分说明网络安全已经到了一个非常关键的时刻,它需要全球计算机用户的共同关注和努力,共同防御来自网络的攻击,同时也要求家庭计算机用户更多地了解如何做好自己计算机主机的安全防护。
1家庭计算机常见的安全威胁
1.1技术弱点带来的威胁
计算机和网络技术一般都会有内在的安全性和脆弱性。例如:tCp/ip被设计为简化通信的一个开放标准,由他衍生出来的服务、工具和设施也都被设计为支持开放性通信,其ip,tCp,UDp包头以及其中的内容能够被看到、修改和重发;每一种操作系统都有一些需要解决的安全问题和弱点;网络中设备来自于各个不同的厂商,他们相互间缺乏统一安全标准,缺乏相互认证等等问题。
1.2策略弱点带来的威胁
缺少完善的安全防护策略的网络就好像修起一栋地基不稳定的高楼大厦一样,随时都是“摇摇欲坠”的。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
1.3黑客攻击
这是计算机网络所面临的最大威胁此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得家庭计算机的重要信息,这2种攻击均可对计算机安全造成极大的危害。
2当前网络攻击的形式和特征
一般来说,当前网络攻击包括网络蠕虫、网页篡改、拒绝服务攻击、特洛伊木马、计算机病毒等。网页篡改和拒绝服务攻击主要针对网站的服务器,与家庭计算机用户有关的主要攻击形式为网络蠕虫、特洛伊木马等计算机病毒。
2.1利用操作系统和软件的漏洞进行攻击
现在典型的蠕虫病毒大部分都利用操作系统或应用软件公布出来的漏洞来进行攻击和传播,如果用户在这些漏洞公布出来的第一时间就做出相应措施堵住漏洞,可以将大部分病毒阻拦于自己的主机之外。
2.2利用用户薄弱的安全意识
口令蠕虫病毒利用用户简单的用户名和口令(尤其是管理员用户)进行攻击。这种病毒自带一份口令字典对网上主机超级用户口令进行基于字典的猜测,字典里面的用户名多为:admin、administrator、student等,口令多为111111、123456、adm、admin等,一旦猜测口令成功,就留下后门程序,使受害主机被攻击者远程控制。
爱虫病毒LovGate、米虫病毒mimail、贝革热病毒等利用用户无意中打开e-mail附件而被激活,并迅速通过通讯录传播给其他用户,这些附件的后缀名扩展名通常为Bat、exe、pif、Scr或Zip等。当病毒程序成功侵入计算机后,会进行一系列的保护自己和进行再次传播的措施。
3家庭计算机网络的安全防护
由于家庭计算机用户的主机绝大多数安装的是微软公司的windows系列操作系统,下面就结合windows操作系统详细讲解如何进行必要的安全防护(下面提到的各种策略选项可能会因为操作系统版本的不同而有所不同)。
3.1消除弱口令
弱口令可以说是任何一个系统最致命的弱点,同时也是家庭计算机用户最容易忽视的问题,口令蠕虫病毒的得逞就是最好的证明。windows操作安装时默认的用户名为administrator和guest,默认的用户口令为空,而用户administrator是拥有系统全部权限的超级用户,一旦被攻击者获得它的权限,主机将无任何安全性可言。
建议在系统安装完成(未连入网络之前)后,立即修改管理员用户名。不要用adm、admin等类似简单的用户名,并设置口令。口令设置的原则是:尽量地长(一般为6位以上);不要用简单单词或者生日做口令;为了方便记忆,可以通过将生日和姓名通过一定规则进行组合,达到生成复杂易记忆(相对用户自己而言)的口令的目的;禁用guest帐号。
3.2安装必要的防护软件
任何一个操作系统都不可能做到防御所有攻击。在做好操作系统自身安全防护的前提下,安装必要的防护软件是对系统安全的重要保障。很多病毒文件通过正常的通信端口,如通过e-mail、web网页脚本的方式感染本地文件,从而达到控制本机的目的。对于这些攻击手段,防火墙是无能为力的。这时候需要有相应的防病毒软件进行拦截。瑞星杀毒软件是针对目前流行的网络病毒和黑客攻击研制开发的全新产品。全新的第六代模块化智能反病毒引擎,对未知病毒、变种病毒、黑客木马、恶意网页程序、间谍程序快速杀灭的能力大大增强。软件采用全新的体系结构,拥有及时便捷的升级服务和技术支持,安装了这款软件对计算机应该会有很大的网络安全保证。一般防病毒软件会实时地对系统中的文件进行保护,但在使用过程中,要注意几点:设置对e-mail的检查,很多病毒通过e-mail进行传播;及时升级病毒库,防病毒软件之所以能够防范最新的病毒完全依赖于病毒库中病毒特征码,及时升级病毒库,是有效防范病毒的重要手段,一般建议打开防病毒软件自动升级功能并每周定期升级。
3.3备份数据
数据备份就是把系统文件和所需要用到的文件复制到C盘以外的备份盘里,不过建议用Ghost进行备份。有条件的还可以将备份文件刻录到光盘中。这样就可以在必要时毫不费力的恢复自己的数据。
4结论
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。家庭计算机的网络安全防护是个非常复杂的系统工程,要对计算机主机做专业的安全防护。上述建议是远远不够的。对于一般家庭用户来说,专业的操作会让他们对网络产生畏惧感,但如果能够按照上述建议的操作对系统进行安全防护,应该可以应付和防范大部分来自网络的恶意攻击。
参考文献
[1]吕玉鹏.个人计算机主机网络安全防护[J].江苏通信技术,2004,5.
[2]张胜春.浅析个人计算机网络的安全维护的措施[J].科技资讯,2008,19.
如何进行网络安全防护篇4
1.1黑客的威胁攻击
网络工程中存在的安全隐患之一就是黑客的威胁攻击。黑客是音译于英文单词hacker,从黑客的概念上而言,黑客是指一些网络技术高手通过对网络系统中所存在的安全漏洞而对网络实行攻击破坏已达到盗取重要信息或是文件。黑客在进行网络工程攻击的过程中,依照黑客攻击网络工程安全的不同方式而分类,可以分成两大类,其一是具有破坏性的黑客攻击,黑客进入网络系统,侵入电脑文件的主要目的就是盗取被加密与保护的重要信息资源与关键性的文件,其二是非破坏性的黑客攻击,黑客进入网络系统的最终目的不在于窃取网络系统中的重要信息资源,主要是破坏网络系统的正常运作,通过采用信息炸弹或是乱弹信息而扰乱网络工程的常规运行。
1.2ip地址被盗用
网络工程中存在的安全隐患还包括ip地址被盗用。对于计算机网络工程而言,一旦发生计算机的ip地址被盗用就会导致整个计算机网络出现故障,影响了网络系统的正常运行,这也会影响计算机的用户没有办法进行正常的网络连接。如果在区域网络中发生1p地址被盗用的现象,这时候计算机会显示出ip地址已经被占用,无法再使用,这也导致了计算机用户没有办法进行的网络连接。通常情况下这种1p地址的权限非常高,想要盗取ip地址的人会通过利用一些无名的身份来破坏网络的正常运行,这不仅给计算机的使用者产生了巨大的影响,而且也触犯到了使用者自身的网络权力,同时也威胁到网络工程中安全性。
1.3垃圾邮件的泛滥
网络工程中存在的安全隐患还包括网络垃圾邮件的泛滥,过多的垃圾邮件导致网络工程安全存在巨大隐患。垃圾邮件在网络实际中是指那些在网络中的使用者不是出于自身同意而被迫的在电子邮箱里受到非常多的邮件。网络中的垃圾邮件不仅破坏了邮件用户的利益,而且垃圾邮件的存在也会越来越增加网络的负担,对网络工程的安全性以及使用的效率都产生了非常大的不良后果。垃圾邮件的泛滥一方面大量占据网络资源,降低了网络系统的运行效率,而在另一方面,大量的垃圾邮件还会影响整个网络工程的安全性。
2加强网络工程中安全防护技术的措施
2.1加强防护网络病毒的入侵
在网络工程中加强防护网络病毒的入侵是非常有效地网络安全防护技术中非常重要的内容。网络病毒的存在对于如何维护网络系统的安全与正常运行是一个非常重要的部分。目前情况下,计算机病毒的形式上日益难以发现识别,对于计算机网络系统的病毒的防御,只是简单的依据科学技术方式是不够的,这并不能完全的高效的拒绝与避免网络病毒的入侵。然而只有通过将先进科学技术方式与先进的管理模式相结合起来,不断的提升网络使用者的网络病毒防范意识,这样才有可能从实质上确保网络工程系统的安全运行。
2.2杜绝收取垃圾邮件
垃圾邮件就是那些在网络中没有经过网络使用者的允许就强制的发送到用户的邮箱中,网络使用者被迫接收这些垃圾邮件。这些网络中的垃圾邮件所具有的特点就是邮件的批量广泛发送到各个用户的邮箱中的电子邮件。现如今,垃圾邮件已经成为网络工程中安全的主要危害。同时如何杜绝收取垃圾邮件也正是网络工程中安全防护技术的最重要的组成内容。杜绝收取垃圾邮件,首先要使网络用户具有这样的意识,保护自己的邮件地址,不要随意的把邮箱地址作为登记或是注册的用户名,或者是通过利用一些防护软件来过滤这些垃圾邮件,不让这些垃圾邮件进入网络使用者的电子邮箱,这些方式能有效地防止垃圾邮件对网络工程的安全的威胁。
3结束语
如何进行网络安全防护篇5
【关键词】计算机;网络;安全漏洞
0.前言
计算机网络在电力系统中的应用越来越广泛,可以在电力系统自动化、监控、保护、电力企业物资管理、电费收缴、电量调节等各方面进行集成管理,发挥着越来越重要的作用,而且国家电力数据通信网把各级电网企业连接起来,实现了电网企业间信息系统互联互通、资源共享。但是值得我们注意的是,电力系统中计算机网络安全问题也就显得越来越突出。电力信息或电力系统实时数据的传输已经超出了目前远动系统的范畴。常规远动系统必将被融合计算机、保护、控制、网络、通信等技术于一体的网络化电力信息传输系统所代替,并终将打破现行的专业分工,引起远动系统设计的一场革命攻击事件造成的影响日益严重,发生的频率也日益增加。众所周知,计算机网络具备信道共用性、分布广域性、资源共享性、体系结构开放性的特点,因此,也不可避免地会存在着系统的脆弱性,使其面临严重的安全问题,而几乎所有的攻击者都是利用现有计算机网络系统中的安全漏洞来进行活动。
2006年4月29日,国家电网公司提出了在全系统实施“SG186工程”的规划,它的出台对整个电力行业产生了巨大的影响。“SG186工程”的六大保障体系中,首当其冲的就是“安全防护体系”,这充分说明信息网络安全在电网信息化过程中的重要性。
1.计算机网络安全的重要性
计算机安全一般包含信息安全和物理安全两方面,信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类,而且许多攻击都是致命的。因此,加强计算机网络安全保护尤为重要。只有针对这些网络威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。绝大多数计算机网络安全入侵事件都是因为没有及时补上系统漏洞、系统安全措施不完善造成的,一旦网络软件“后门”洞开,黑客就可以很容易地进入到别人的系统,造成的后果可想而知。根据美国FBi(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元,75%的公司报告财政损失是由于计算机系统的安全问题造成的,平均每天会有1.5万个网页受到病毒感染或者遭受黑客攻击。也就是说,每5秒钟就会有一个网页成为黑客们的“盘中餐”。在中国国内,互联网的安全问题形势也非常严重。据国家计算机网络应急技术处理协调中心2007年的评估数据显示,在全球的620万台“僵尸”电脑中,约有360万台在中国,占58%以上。同时,感染了“特洛伊”病毒的电脑数量仍在稳步上升。
2.如何有效保障电力系统中计算机网络安全
2.1完善防火墙技术
防火墙的英文名为“Firewall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。将大力加强和规范信息网络安全工作,提高信息网络整体安全防护水平,实现信息网络安全的可控、能控、在控,按照国家电网的要求,对接入信息内网办公地计算机进行安全自查,对存安全隐患的计算机要求及时整改。网络安全是安全生产管理体系的重要组成部分,电力窗口将按规定、有步骤的开展信息网络安全维护工作,保证信息系统安全好局面。再次强调在工作时间计算机终端不得使用与工作无关的相应软件,将纳入月度责任制考核。
2.2防病毒技术
随着互联网技术和信息技术的不断发展,计算机病毒对计算机系统构成了极大的威胁,同时,病毒也变得越来越高级、越来越复杂。目前市面上普遍使用的防病毒软件一般可以分为单机防病毒软件和网络防病毒软件两大类。单机防病毒软件一般是分析扫描本地和本地工作站链接的资源,通过快速检测来达到清除计算机病毒的目的。而网络防病毒软件则不是侧重于单台电脑的防病毒处理,而是主要注重于网络防病毒,一旦病毒从网络向其它资源传染,那么该软件就会历尽检测,并及时加以删除。例如金山毒霸网络版V7.0具备提前被系统加载特性,可以在病毒模块还没有加载或被保护的时候删除被保护的病毒文件或拦截禁止病毒的保护模块;精确打击,定点清除顽固恶意软件和木马,解决能查不能杀的难题从而完成正常杀毒任务。金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最新状态和良好的配置。金山毒霸网络版V7.0采用分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息,再精确部署漏洞修复程序;其通过proxy()下载修复程序的方式,极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与,且能够在客户机用户未登录或以受限用户登录情况下进行。
2.3建立完善的计算机网络安全防范制度
负责电力系统中计算机信息网络管理的值班人员要明确分工,落实责任。当班人员因故不能值班或者离开值班岗位者,应找本中心人员替代,在替代人员到岗后方可离岗。值班人员必须严守操作规程,密切注视系统运行情况,发现问题,及时上报;同时,在征得领导同意后,迅速果断地采取相应的措施,如硬件故障,则通知硬件维护人员,并与之相配合做好故障处理工作。所有工作人员不得将中心任何一台计算机或服务器的ip地址及密码公开,防止外来人员进入。同时,制定《中心机房管理制度》、《门户网站管理规定》、《专线网通信平台运行管理制度》、《局域网管理制度》,《网络保密管理制度》、《全程同步录音录像系统管理规定》等管理规定,明确工作责任和使用程序。设立多道防火墙,经常更换密码,防止外来有害信息进入。安全负责人应随时了解网络运行情况、信息情况,定期或不定期的检查网上传输的运作情况。经常了解用户使用情况。针对出现的问题,及时解决。各部门要切实增强保密意识,加强对计算机等载体的管理,做到认识到位、组织到位、工作到位,确保万无一失。另外,按照“谁上网、谁负责”的原则,每台计算机均设置系统登录密码,严格规定访问权限,工作中临时离开计算机或会见客人时,必须将计算机置于锁定状态,局域网内计算机不得通过任何途径接入互联网,严格实行内外网物理隔离。
【参考文献】
[1]郝玉洁,.网络安全与防火墙技术.北京:电子科技大学学报社科版,2002,1(4):24~28.
[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报,2002,3(14).
[3]BaceRebecca.intrusionDetection.macmillantechnicalpublishing.2000.
如何进行网络安全防护篇6
关键词:计算机网络防火墙技术实现
中图分类号:tp39文献标识码:a文章编号:1007-9416(2012)12-0250-02
1、前言
随着互联网技术和信息技术的日益普及,计算机网络技术在各行各业中应用变得越来越广泛,形成了各自的网络,为分布处理、信息交换和资源共享提供了较为良好的环境。众所周知,计算机网络具备信道共用性、分布广域性、资源共享性、体系结构开放性的特点,因此,也不可避免地会存在着系统的脆弱性,使其面临严重的安全问题。在这种危险的计算机网络环境中,如何能更好地确保信息传输安全,建立网络安全防线就显得尤为重要。利用防火墙技术来保护计算机网络安全是当前比较可行且较为流行的一种网络安全防护技术。它既具有低廉实惠的特点,同时又是计算机高新技术的产物。
2、计算机网络安全的重要性及面临的威胁
计算机网络安全是指计算机网络系统的数据、软件、硬件都受到保护,网络系统连续正常运行,不会因为一些恶意或者偶然的原因而导致出现泄露、更改、破坏等问题。计算机安全一般包含信息安全和物理安全两方面,信息安全也就是网络安全,能够有效保护网络信息的可用性、完整性和保密性。计算机网络的威胁主要有计算机病毒、黑客的攻击等,其中黑客对于计算机网络的攻击方法已经大大超过了计算机病毒的种类,而且许多攻击都是致命的。因此,加强计算机网络安全保护尤为重要。只有针对这些网络威胁采取必要的保护措施,才能确保计算机网络信息的可靠性、安全性和保密性。
计算机网络面临的威胁是多方面的,既包括对网络中设备的威胁,又包括对网络中信息的威胁。总的来说,计算机网络存在危险的主要原因有三点:第一是人为的恶意攻击。人为的恶意攻击是计算机网络目前所面临的最大问题,很多计算机犯罪和竞争对手的攻击都属于这种情况。第二是人为的无意失误。如口令选择不慎、用户安全意识不强、系统安全配置不当等原因都会很容易给网络安全带来威胁。第三是网络软件的“后门”和漏洞。任何一款软件、无论它是如何的完善,但都会或多或少存在“后门”和漏洞,绝大多数计算机网络安全入侵事件都是因为没有及时补上系统漏洞、系统安全措施不完善造成的,一旦网络软件“后门”洞开,黑客就可以很容易地进入到别人的系统,造成的后果可想而知。
3、防火墙技术的特性
防火墙的英文名为“Firewall”,它是目前一种最重要的网络防护设备。从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙;
内部网络和外部网络之间的所有网络数据流都必须经过防火墙是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。典型的防火墙体系网络结构如图1所示。从图1中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着因特网。所有的内、外部网络之间的通信都要经过防火墙。
(2)只有符合安全策略的数据流才能通过防火墙;
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上。现从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照oSi协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程中完成对报文的审查工作。如(图2)所示。
(3)防火墙自身应具有非常强的抗攻击免疫力;防火墙自身应具有非常强的抗攻击免疫力是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领,防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
4、防火墙的体系结构
4.1双宿主机模式
双宿主主机模式是最简单的一种防火墙体系结构,该模式是围绕着至少具有两个网络接口的堡垒主机构成的。双宿主主机内外的网络均可与双宿主主机实施通信,但内外网络之间不可直接通信(不能直接转发)。双宿主主机可以通过或让用户直接到其上注册来提供很高程度的网络控制。
由于双宿主机直接暴露在外部网络中,如果入侵者得到了双宿主主机的访问权(使其成为一个路由器),内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,还应具有强大的身份认证系统,尽量减少防火墙上用户的账户数。
4.2屏蔽主机体系结构
双重宿主主机体系结构提供内部网络和外部网络之间的服务(但是路由关闭),屏蔽主机体系结构使用一个单独的路由器来提供内部网络主机之间的服务。在这种体系结构中,主要的安全机制由数据包过滤系统来提供(例如防止人们绕过服务器直接连接外部网络)。
数据包过滤系统可以使内部网络中的某台主机成为堡垒主机,堡垒主机位于内部网络上,是因待网上的主机访问的唯一的内部网络主机。当然.仅有某些确定类型的访问被允许。任何外部的系统只有通过连接到这台主机上才能访问内部的系统,因此,堡垒主机需保持更高的主机安全等级。
4.3屏蔽子网模式
屏蔽子网模式增加了一个把内部网与互联网隔离的周边网络(也称为非军事区DmZ),从而进一步实现屏蔽主机的安全性,通过使用周边网络隔离堡垒主机能够削弱外部网络对堡垒主机的攻击。在DmZ中堡垒主机作为唯一可访问点,支持终端交互或作为应用网关。对于选定的可以向internet开放的各种网络应用,也可以将该应用服务器放在DmZ上。有两个屏蔽路由器,分别位于DmZ与内部网之间、DmZ与外部网之间,攻击者要攻入这种结构的内部网络,必须通过两个路由器,因而不存在危害内部网的单一入口点。即使非法攻击者侵入堡垒主机,它仍将必须通过内部路由器。这种结构安全性好,只有当三个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
5、防火墙技术的实现过程
从防火墙的防护实现中,主要应用以下技术:
5.1网络地址转换技术(nat)
目前网络地址转换技术现在已成为了防火墙的主要技术之一。通过nat技术能够很好地保护内部网络用户,屏蔽内部网络的ip地址。nat又分Dnat和Snat两种。Dnat就是改变转发数据包的目的地址,当内部网络主机收到了外部网络主机发出的通讯连接之后,防火墙首先把数据包的目的地址转换成为自己的地址,然后再转发到外部网络的通信连接,这样就较为有效地保护了内部主机的信息安全,因为实际上就将内部网络主机与外部网络主机的通信转变成为了内部网络主机和防火墙的通信。
而Snat就是改变转发数据包的源地址,对外部网络是屏蔽的,只是对内部网络地址进行转换,这样一来,外部非法用户对内部主机的攻击就更加困难。
5.2多级的过滤技术
防火墙技术主要采用三级过滤措施来实现它的功能,分别是电路网关、应用网关和分组。分组过滤一级可以有效过滤掉所有假冒的ip源地址和假冒的源路由分组;在应用网关一级可以监测和控制internet提供的所有通用服务,它采用的是Smtp等各种网关;而在电路网关一级,严格控制服务的执行,实现外部站点和内部主机的透明连接。
5.3加密技术
加密技术一般分为非对称加密和对称加密两大类。在对称加密技术中,都使用相同的钥匙来对信息的解密和加密,这种加密的方法能够有效地简化加密处理过程。而对于非对称加密体系而言,密钥被分解为一对不同的密钥(即私有密钥和公开密钥)。这对密钥中可以把任何一把作为加密密钥(公开密钥),通过公开的方式向他人公开,而另一把则作为解密密钥(私有密钥)加以保存。私有密钥用于解密,公开密钥用于加密。目前绝大多数现在防火墙产品都采用了加密技术来保证网络信息的安全。
6、防火墙技术的发展趋势
被称为“第三代防火墙”的系统正在成为现实,它综合了数据包过滤与系统的特点与功能。越来越多的客户与服务器应用程序与生惧来就支持环境,例如,许多www客户端具有能力,并且很多系统具备在运行或编译时支持系统的功能,例如SoCKS软件包。
数据包过滤系统正在变得更灵活并且不断增加新的功能,如动态数据包过滤等。采用动态数据包过滤的产品,如checkpointFirewall-1路由器,可以通过路由器触发器对数据包过滤规则在“在飞行中”进行修改。例如,对出站的UDp数据包可以建立临时的规则,允许对应的应答iDp数据包进入。
随着因特网基础技术的发展,防火墙技术也需要更新。而作为因特网的基础协议,ip也面临着巨大的变革,促使ip变革的主要原因是:现在ip协议的4字节方式(也被称为ipversion4)已不能提供足够多的ip地址以满足越来越多的因特网用户需要。为了解决这个问题,人们曾试图将ip地址的组成模块划小,以便更多的理论地址投入实际使用。但这样做不但会引起路由协议方面的问题,而且实际上也没有提供更多的地址。据专家估计,在最近几年内,因特网上的现存网址资源将披用尽。
目前,人们正在设讨新的ip协议。该协议的变化将对防火墙的建立与运行产生深刻的影响,大多数网络上的信息流都有可能被泄漏,但新式的网络技术如帧中继、异步传输模式(atm)可将数据包从源地址直接发送给目的地址,从而防止信息流在传输中选被泄露。
参考文献
[1]李玉勤.浅淡计算机网络中防火墙技术的应用[J].甘肃科技,2006,(11):156-158.
[2]张文慧,周大水.浅谈防火墙技术与发展[J].科技信息(学术研究),2008,(34):116-119.
[3]陈莉.计算机网络安全与防火墙技术研究[J].中国科技信息,2005,(23):106-109.
[4]阳佳.防火墙包过滤技术研究[J].内江科技,2009,(08):136-139.
[5]蔡金龙,秦婧.防火墙关键技术的研究[J].科技信息(学术研究),2008,(27):108-110.
如何进行网络安全防护篇7
关键词防火墙应用防火墙技术
中图分类号:tp393文献标识码:a
信息共享和信息安全在计算机网络中是相互矛盾的,伴随着互联网技术的发展及应用的广泛,其安全问题也被摆到人们面前。据调查,截至2010年,超过六成的电脑用户被黑客攻击或入侵过。这些攻击和入侵主要表现在以下几个方面:外部人员对其进行恶意攻击并窃取机密信息,攻击网络的可用性以及破坏信息,内部人员未经授权的访问及信息泄露,电脑病毒的破坏。为了保护企业和机构的网络安全,保护他们免受未经授权的访问和外来的入侵,还能防止非法内幕接入外网网站,大部分单位都采用了防火墙技术,此技术是最成熟的,最早的产品化网络安全机制。从网络安全中的防火墙应用进行讨论,为提高网络安全提出本人的建议。
1关于计算机网络防火墙技术的具体分类
1.1技术
当客户发出请求时,服务器会对其合法性进行监测,如果通过监测,服务器会把客户所需要的信息发送过去,它使得内部系统被保护起来,外界无法进入同时也无法看到任何内部资源。只能从外面看到服务器。它只会让一些有权的或是已被确认为可相信的服务越过防火墙,其他的服务都会被分离并进行封锁,这点是为了系统的安全考虑。服务还可以过滤协议,如过滤可以使用Ftp连接,拒绝使用Ftpput命令,以确保匿名用户无法写入到文件服务器。
1.2包过滤技术
包过滤防火墙在网络层的工作,它能够控制和识别数据包的源及目的ip,负责传输工作的也只是分析出它是tCp还是UDp及所用的端口信息。现在,包过滤控制的能力已经在路由器,交换机路由器和某些操作系统中使用。由于该系统只是分析ip地址,tCp/UDp协议和端口,包过滤防火墙的工作速度快,并且配置要求低。
1.3状态检测技术
当有人使用动态客户端协议时,就需要使用状态检测技术。它的原理是检查连接状态,将同一客户的所有连接方式看做是一个完整的数据看待,并加以统计,形成动态链接表,该表采用的共同协调的规则表与状态表,并对每一个连接状态进行鉴别,第一时间打开或关闭动态端口。该检测技术具有很大的灵活性和安全性。
2计算机网络信息系统安全技术研究的必要性
2.1信息系统面临的安全威胁
计算机信息系统承受的破坏大体是:信息被截获,窃取,篡改,伪造,删除和插入,黑客,病毒的入侵,破坏内部员工
2.2计算机信息系统的安全需求
计算机信息安全必须满足如下的要求:保证信息的完整性,绝对机密性,法律效果,不可抗拒性。
2.3计算机信息系统面临攻击
计算机信息系统将受到攻击的各个方面,现总结如下:
(1)计算机信息系统中的信息被篡改攻击,使得系统信息部分丢失,导致其不完整,此攻击方式是对信息系统中的相关数据内容进行更改消息的时间,顺序,从而达到使信息失真的目的。(2)想要对系统认证进行攻击,首先要伪造一个系统信息,伪造第一要素向系统注入伪造的虚假信息,然后输入法人制度,信息违规操作的名称和妨碍充分和有效的信息传递。(3)为了对系统中的机密性文件进行攻击,对内部的重要信息进行抄袭,可以通过各种途径泄漏信息,包括线法等,或为了获得一些情报分析利用流量法。(4)为了使系统瘫痪或中断,达到不能工作的目的,可以通过对硬件系统进行攻击。
3防火墙技术的特点和缺陷
3.1包过滤的优缺点
缺点:不能完全防止信息窃取。一些应用协议数据包过滤不适合正常的数据包,所以一些安全策略过滤路由器是无法执行的,从而不能防范黑客的攻击,有些应用层协议得不到系统的支持,不能起到合理的防范措施。
优点:过滤整个网络数据包完全可以由过滤路由器做到的,用户可以看到整个过程,过滤路由器的特点是快速、高效。
3.2技术的优缺点
缺点:速度赶不上路由器,对用户进行透明的服务器,对每个服务机构可能要求不同的服务器,这样会导致用户受到协议弱点的威胁;通过的方式是无法让底层协议的安全状况得到好转。其适应性弱的特点使得它注定会被取代。
优点:当使用应用网时,防火墙会将内部网络与外部网络的完全切断,内部网络用户要想访问外部网络,访问外部网络的防火墙内网的用户将被转发到防火墙。在进行网络通信的情况下,其软件也必须同时发送,在任何时候,用户不能与服务器直接建立网络通信的连接,对于使用网络的应用层协议必须满足安全要求。应用网关可以在应用层,传输层和网络层功能的协议上进行检查,能对数据包进行几位安全的分析。可以完成各种记录:灵活性,对传入和传出流量的控制,信息、数据内容进行过滤,同时商也要向用户解释为何需要加密,可以轻易的与其他安全措施进行融合。
4防火墙技术的实际运用
4.1防火墙体系结构设计
以一个相对独立的内部网络为例,如果能够使用一台计算机作为防火墙隔离就能够提供较高的安全性,这种防火墙体系能够保护内部网络不会受到来自外部网络的非法入侵和攻击,使内部网络的计算机终端能够安全访问互联网。但是,如果对庞大的计算机网络来说,简单的防火墙设置不能够完全抵御外界入侵和攻击,应该按照计算机网络被保护的级别程度、数据信息的秘密级别和造成安全问题的损失代价等综合因素来制定安全有效的防御策略。由此,我们需要设计实现相对复杂的防火墙体系结构,并随时根据安全防御的实际需求改变结构或做出适当调整。
由防火墙与局域网隔离区的关系来看,应该将服务器中的全部应用服务允许防火墙通过,并将公共信息服务器中包括的公共应用服务允许防火墙通过。隔离区中的公共信息服务器可以与防火墙外部网卡绑定的合法网络地址相互对应,通过网络地址转换器进行转换之后使处于互联网中的计算机可以访问内部网络资源。由防护区与内部专用网络的关系来看,防火墙的配置应该允许内部专用网络的全部数据包通过,同时对流入内部专用网络的数据包进行控制,允许由内部专用网络流出的数据包重新流入到内部专用网络中。由局域网隔离区与内部专用网络的关系来看,防火墙的配置应该允许来自内部专用网络的数据包进入局域网隔离区,但是对由局域网隔离区流入到内部专用网中的数据包进行控制。而且,防火墙要将服务器中的应用服务允许通过到内部专用网络,只能允许内部专用网络流入到局域网隔离区的数据包重新流入内部专用网络。
4.2屏蔽主机网关
屏蔽主机网技术是如今使用最广泛的最容易实现网络安全应用的技术,例如,将内部网络上配备一个堡垒主机,然后通过数据包过滤路由器进行与外部网络的连接,对路由器进行设置,这样就能保证堡垒主机直接与外部网络相连接时,内部网络可以筛选掉那些未经授权的外部用户的攻击。
如果受保护的网络是虚拟的、扩展的本地网络,那么就不需要子网络及路由器,那么堡垒主机和配置路由器就不会有任何威胁了。该软件的主要策略是安装在网关控制。如果攻击者要登录到主机的网络,这将会对其本身的内部网络产生严重的后果。
4.3配置访问策略
防火墙的核心在于访问策略的安全,因此,在设置之前要经过非常缜密的信息统计才行。在这个过程中,需要对单元的内部和外部应用程序和相应的源地址,目的地址,tCp或UDp端口进行分析并掌握,以及不同应用使用的情况还有对每个策略在规则表中进行排列,之后才能执行配置。其原因是当防火墙执行规则查找时顺序进行,所以为了提高效率,将使用频率高的规则放在靠前的位置。
4.4屏蔽子网
此方法的目的是建立一个子网,而子网的位子在内部网与外部网的通道之间,建立子网就需要使用两个路由器,并将子网掩码分开。
一个路由器可以实现屏蔽主机体系的结构为内部网络提供了相连的主机服务。在这种结构系统中,包括过滤器(数据包过滤来主要是防止攻击者绕过服务器和内部网络的直接连接),而且还包含其他执行措施:例如,配备俩个路由器,一个对互联网的数据流进行监督和控制,另外一个则是对数据的安全性进行监管,intranet和internet接入互联网进行访问时,子网要做屏蔽处理,也是为了防止他们进入已经屏蔽子网。堡垒主机需要被设置上子网掩码,子网所提供的服务只是对于其内部网络和外部网络的访问,对其他网络进行访问时俩个路由器就会对其数据进行必要的检查。
4.5安全服务配置
安全服务隔离区(DmZ)就是划分出服务器机群和系统管理机群,设置为隔离的安全服务,作为内部网络的一部分,但也是一个独立的局域网,一个单独的部门,以更好地保护服务器上正常运行的数据和系统管理。推荐nat(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网ip地址。这不仅会把内部网络结构及ip地址屏蔽起来,保护内部网络的安全性,而且还可以大大降低使用公网ip地址,节约投资成本。
如果本机已有边界路由器,你可以充分利用现有设备,边界路由器同样有包过滤功能,设置相应的防火墙功能,使原有的路由器也具有防火墙功能。之后再将防火墙与内部网连接。对于DmZ区域公共服务器,可以不经过防火墙直接与边界路由器连接。这种方法只是经过路由器,从而建立了两道安全的屏障,并在两者之间设置了一个DmZ区域,用来处理那些访问公用服务器的用户。
4.6日志监控
安全管理手段中最有效的方法是日志监控。大多数的管理人员都认为只要日志有了信息就去采集。如:所有的报警或所有策略匹配或不匹配的流量等等,这么做虽然看上去很好,但每天进出防火墙的数据有上百万甚至更多,因此,必须捕捉到有用的日志才是关键。系统的报警信息的记录是十分必要的,流量信息则要有选择性的保留,记录那些影响网络安全的流量信息。
总之,防火墙技术,在应对黑客的入侵及攻击上是很好的网络安全措施,同时也是解决此问题最有效的方法之一,网络安全是一个全球性的问题,是对系统的考验,因此,任何一个漏洞的存在都会对整个网络的带来隐患,解决此问题就需要通过系统工程的知识来处理,用简单,快速,有效的方法对网络的安全性进行分析并制作出具体的措施。采取的主要安全措施有:法律的保护,各项管理制度(人员审查,工作流程,维护,安全系统等)和技术设计(识别,控制采集模式,设置密码,容错性,病毒查杀控制,高安全性的产品,等等)。
参考文献
[1]刘玉莎.防火墙技术的研究与探讨[J].计算机系统应用,2010(09).
[2]郭伟.数据包过滤技术与防火墙的设计[J].江汉大学学报,2011(03).
[3]朱艳琴,钱龙华,陈承勤.计算机组网技术教程[m].北京:北京电子希望出版社,2011
如何进行网络安全防护篇8
[关键词]安全管理监控审计安全构架
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、vpn、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
3.黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。
如何进行网络安全防护篇9
关键词:互联网;通信技术;威胁
中图分类号:R857.3文献标识码:a
信息技术是一项综合性技术,信息技术蕴含了网络、通信、密码、计算机、数学等多个学科中各种先进技术内容,并在各种技术相互结合互相作用下,共同完成了互联网通信工作。信息技术在互联网中的运用主要目的在于维护信息传输与使用安全,消除黑客攻击、木马病毒等主要安全隐患,确保数据信息的使用安全。
1网络安全的内涵及产生原因
1.1网络安全的基本内涵
网络安全又可以称之为网络中的信息安全。在现实生活中,网络系统在使用过程中,主机可能会受到来自非法入侵者的攻击,网络储存的信息可能被恶意篡改、删除或是被泄露。目前互联网在使用过程中还存在多种漏洞,这些漏洞都严重威胁互联网信息存储及传出的安全性,为此网络安全涉及了多个领域,既包括操作系统安全,同时也包括应用系统的安全及网络监控、信息审计、通信加密、灾难恢复和完全扫描等多个领域。
1.2导致网络安全产生的主要原因
导致网络安全产生的原因是多方面的,集中体现在以下几个方面:
首先,是由操作系统的安全漏洞而引发的,任何一项堪称完美的操作系统设计都可能存在漏洞,这些细微的漏洞一旦为网络攻击者所发现,便会给他们创造攻击的机会。局域网中的操作系统虽然在使用过程中,系统设计人员在不断的提高操作系统的使用性能和安全等级,但只要是由人设计出来的操作系统不可能不存在任何形式的漏洞,只是漏洞大小、明显与否的差别。系统攻击者会千方百计的从系统中寻找系统的缺陷和漏洞作为进行攻击的出口。系统一旦被攻击,情况严重的容易导致网络瘫痪,系统无法正常使用,系统存储的有效信息会被删除、篡改或是泄露。
其次,在于网络系统中tCp/ip协议的脆弱性。tCp/ip协议的设置具有公开性,同时缺乏对维护网络安全的思考,由此导致了tCp/ip成为网络攻击者进行攻击的主要突破口和攻击对象。
第三,受网络设计特点的影响,其设计上的开放性与广域性导致网络信息安全性的保障工作更为困难。网络的开放性使网络可能面临来自物理传输线路或者对网络通信协议以及对软件和硬件实施的攻击;互联网的广域性决定了处于世界任何一个角落的攻击者运用任何一台机器都可以对互联网进行攻击,由此决定了维护网络通信安全的难度将更大。
第四,计算机网络受到来自计算机病毒的威胁。所谓计算机病毒主要是指,编制或者存计算机程序中插入的一组旨在破坏计算机功能或数据,严重影响计算机软件、硬件的正常运行,并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。计算机病毒传播迅速,在短时间内可以对全球的网络发起攻击,计算机病毒对网络的破坏性极大。
最后,受网络结构的影响,可能对网络的安全性造成影响。互联网是通过对多个局域网建立相关链接所形成的相互共同的巨大网络体系。在这种网络结构当中,当两个不同局域网的主机进行通信时,并不是直接的传输,信息要经过多个机械之间的相互转发,才能够实现信息的传输,信息在传输过程中攻击者可以任意选取数据传输所经过的主机,便可以截取用户传输的数据信息。
2信息技术在互联网中应用的实际情况
信息技术在互联网中的运用根本目的在于维护互联网中通信系统的安全,有效防止各种影响互联网安全运行的各种因素的攻击,现阶段互联网中主要采用的信息技术有:杀毒软件、防火墙技术、计算机漏洞扫描技术等多种信息技术,这些技术对确保互联网通信系统的安全起到了非常重要的作用,随着科学技术的进度,各种新的信息技术也在不断地开发和研制当中,下面主要就前文提及的主要信息技术在互联网中的运用加以分析说明:
2.1杀毒软件技术
在网络环境下,病毒的传播扩散越来越快,必须有适合于局域网的全方位防病毒产品。针对局域网的诸多特性,应该有一个基于服务器操作系统的防病毒软件和针对各种桌面操作系统的防病毒软件。如果局域网和互联网相连,则应用防病毒软件来加强上网计算机的安全。如果使用邮件在网络内部进行信息交换。则需要安装基于邮件服务器的邮件防病毒软件,用于识别出隐藏在电子邮件和附件中的病毒,最好的策略是使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期地动升级,保护局域网免受病毒的侵袭。
2.2防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境中,尤其以接入internet网络的局域网为典型。防火墙是网络安全的屏障:一个防火墙能较大地提高一个内部网络的安全性,通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件如口令、加密、身份认证、审计等配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。防火墙是一种有效的安全工具,它对外屏蔽内部网络结构,限制外部网络到内部网络的访问。但是它仍有身的缺陷,对于内部网络之间的入侵行为和内外勾结的入侵行为很难发觉和防范,对于内部网络之间的访问和侵害,防火墙则显得无能为力。
2.3漏洞扫描技术
漏洞扫描技术是要弄清楚网络中存在哪些安全隐患、脆弱点,解决网络层安全问题。各种大型网络不仅复杂而且不断变化,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估得很不现实。要解决这一问题,必须寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在网络安全程度水平不高的情况下,可以利用各种黑客工具对网络实施模拟攻击,暴露出网络的漏洞,再通过相关技术进行改善。
如何进行网络安全防护篇10
关键词:病毒防治;黑客入侵;数据恢复
中图分类号:tp393.08文献标识码:a文章编号:1009-3044(2009)15-3906-03
enterprisenetworkSecurityprotectionStrategyandDiscussion
panLi-fu
abstract:themodernenterprisenetworksecurityprotectioncommonsecurityissuesandtheirimplications,explorewaystosolvetheseproblemsofnetworksecurity,providesnetwork-basedsecuritypolicy.
Keywords:HiVprevention;hacking;datarecovery
1引言
当我们需要和他人通过计算机协作处理问题的时候,就需要将计算机接入网络。通过网络,用户可以发送电子邮件(e-mail)、上传数据,下载文件等等,使用极其方便。但其开放性和复杂性却带来了黑客入侵、病毒感染等安全性问题。一旦安全问题得不到很好地解决,就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果(如帐户信息,敏感数据,客户资料),给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的网络系统。
企业的网络系统的安全包括网络设备、配套设备的安全、数据的安全、通讯的安全、运行环境的安全,还包括网络内部每台计算机的安全、计算机功能的正常发挥等部分。
2影响企业网络安全的因素
1)病毒:计算机病毒是指那些具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完整。
随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经两万多种,并以每月四百多种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损。网络病毒普遍具有较强的再生机制,可以通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
2)恶意攻击:是指任何试图危及计算机资源的完整性、机密性、或是可用性的行为。
企业的网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。另外,为了工作方便,企业的办公自动化网络都备有与外网和国际互联网相互连接的出入口,因此,外网及国际互联网中的黑客只要侵入企业的eRp系统或是办公自动化网络中的任意节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息;而本网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。
3)非授权访问:指对网络设备及信息资源进行非正常使用或越权使用等。
4)冒充合法用户:主要指利用各种假冒或欺骗的手段非法获得合法的使用权限,以达到占用合法资源的目的。
5)破坏数据的完整性:指利用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
在现代企业网络系统中,有多种因素可能导致数据的破坏,首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、Boot扇区、Fat表、文件目录等;病毒还可能攻击文件数据区,使文件数据被删除、改名、替换、丢失部分程序代码、丢失数据文件;病毒还可能攻击CmoS,破坏系统CmoS中的数据。再就是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会造成企业经营困难、人力、物力、财力的巨大浪费。
6)干扰系统正常运行:指改变系统的正常运行方法,减慢系统响应时间等手段。
7)线路窃听:指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。
3确保企业网络安全的策略
企业的网络安全问题的解决主要应从预警、防护、灾难恢复等三方面入手,下面就安全预警、数据安全防护、入侵防范、病毒防治以及数据恢复等方面分别探讨。
3.1网络安全预警
现代企业网络安全预誓系统分为入侵预警和病毒预警两部分。入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的入侵告警报告,显示入侵告警信息(如入侵ip地址及目的ip地址、目的端口、攻击特征),并跟踪分析入侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。病毒预警系统通过对所有进出网络的数据包实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知网络管理员,并可以通过ip地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
3.2数据安全保护
3.2.1针对入侵的安全保护
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:
1)物理设备和安全防护,包括服务器、路由器、交换机、有线、无线通信线路的安全防护;
2)服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
3)用户对数据的存取应有明确的授权策略,保证用户只能打开自己权限范围之内的文件;通过审计和留痕技术避免非法者从系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据;客户端安全保护,客户端的安全主要是要求能配合服务器的安全措施,提供身份认证、加密、解密、数字签名和信息完整性验证功能,并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。
3.2.2针对病毒破坏及灾难破坏的安全保护
对于病毒和灾难破坏的数据保护来说,最为有效的保护方式有两大类:物理保护和数据备份。
要防止病毒和灾难破坏数据,首先要在网络核心设备上设置物理保护措施,包括设置电源冗余模块和交换端口的冗余备份;其次是采用磁盘镜像或磁盘阵列存储数据,避免由于磁盘物理故障造成数据丢失;另外,还要使用其他物理媒体对重要的数据进行备份,包括实时数据备份和定期数据备份,以便数据丢失后及时有效地恢复。
3.3入侵防范
要有效地防范非法入侵,应做到内外网隔离、访问控制、内部网络隔离和分段管理。
3.3.1内外网隔离
在内部办公自动化网络和外网之间,设置物理隔离,以实现内外网的隔离是保护办公自动化网络安全的最主要、同时也是最有效、最经济的措施之一。
第一层隔离防护措施是路由器。路由器滤掉被屏蔽的ip地址和服务。可以首先屏蔽所有的ip地址,然后有选择的放行一些地址进入办公自动化网络。
第二层隔离防护措施是防火墙。大多数防火墙都有认证机制,无论何种类型防火墙,从总体上看,都应具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
3.3.2访问控制
现代企业网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中内部网络是不对外开放的区域,它不对外提供任何服务,所以外部用户检测不到它的ip地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便网络管理员监视和诊断网络故障。
3.3.3内部网络的隔离及分段管理
内部网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
企业网络可以根据部门或业务需要分段。网络分段可采用物理分段或逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯;逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离。
采取相应的安全措施后,子网间可相互访问。对于tCp/ip网络,可把网络分成若干ip子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在这里,防火墙被用来隔离内部网络的一个网段与另一个网段,可以限制局部网络安全问题对全局网络造成的影响。
3.4病毒防治
相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理紧密结合。网络防病毒最大的特点在于网络的管理功能,如果没有管理功能,很难完成网络防毒的任务。只有管理与防范相结合,才能保证系统正常运行。
计算机病毒的预防在于完善操作系统和应用软件的安全机制。在网络环境下,病毒传播扩散快,仅用单机防杀病毒产品已经难以清除网络病毒,必须有适用于局域网、广域网的全方位防杀病毒产品。为实现计算机病毒的防治,可在企业网络系统上安装网络病毒防治服务器,并在内部网络服务器上安装网络病毒防治软件,在单机上安装单机环境的反病毒软件。安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。本地网络与其它网络和各种局域网间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤,这样就保证了网络病毒的实时查杀与防治。
3.5数据恢复
企业的数据遭到破坏之后,其数据恢复程度依赖于数据备份方案。
数据备份的目的在于尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有实时高速度、大容量自动的数据存储、备份与恢复;定期的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
4提高现代企业网络安全的几个重要步骤
1)限制对网关的访问。限制网关上的帐号数。不要允许在网络上进行根注册。
2)不要信任任何人。网关不信任任何机器。没有一台机器应该信任网关。
3)不要用nFS向网关传输或接收来自网关的任何文件系统。
4)不要在网关上使用niS(网络信息服务)。
5)制订和执行一个非网关机器上的安全性方针。
6)关闭所有多余服务和删除多余程序。
7)删除网关的所有多余程序(远程登录、rlogin、Ftp等等)。
8)定期阅读系统记录。
5结束语
无论是现实世界还是在数字世界都存在各种各样的威胁和安全问题,认为只要购买了防火墙,防病毒软件等安全产品,就可以万事大吉,那是不可能的。企业各部门之间、企业和企业之间、国际间信息交流的日益频繁,现代企业网络的安全问题已经提到重要的议事日程上来。所以,一个技术上可靠、设计上可行、投资上合理的网络安全防护措施已经成为成功的现代企业网络策略。
参考文献:
[1]蔡立军.计算机网络安全技术[m].北京:中国水利水电出版社,2002.