網(wǎng)絡(luò)安全方面論文
網(wǎng)絡(luò)安全方面論文
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全所面臨的問題也越來越復(fù)雜,越來越重要。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于網(wǎng)絡(luò)安全方面論文的內(nèi)容,歡迎大家閱讀參考!
網(wǎng)絡(luò)安全方面論文篇1
試論網(wǎng)絡(luò)信息安全
摘 要: 自以來,網(wǎng)絡(luò)信息安全等軟安全占據(jù)著愈來愈重要的地位。本文通過對(duì)網(wǎng)絡(luò)信息安全問題的分析,對(duì)網(wǎng)絡(luò)信息安全的各種解決辦法進(jìn)行論證,最終證實(shí)除了要加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)及道德教育之外,更重要的是加緊網(wǎng)絡(luò)信息安全立法,以法律的形式來更好、更有效地保障網(wǎng)絡(luò)信息安全。
關(guān)鍵詞: 網(wǎng)絡(luò)信息 安全管理 立法
1信息安全及網(wǎng)絡(luò)信息安全簡(jiǎn)析
在人類認(rèn)知的有限范圍內(nèi),信息被定義為人類社會(huì)以及自然界其他生命體中需要傳遞、交換、存儲(chǔ)和提取的抽象內(nèi)容。而隨著信息化的步伐,信息的地位日益上升,信息安全的重要性也愈顯重要,然而什么樣的信息才認(rèn)為是安全的呢?一般認(rèn)為,同時(shí)具備完整性,機(jī)密性,有效性的信息是安全的。
在信息安全中,首要的便是網(wǎng)絡(luò)信息安全――網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全,網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)、處理和使用都要求處于安全狀態(tài)。可見,網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種。其中靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性;動(dòng)態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
I Research市場(chǎng)咨詢調(diào)查顯示,我國普遍存在瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、密碼被盜、受到病毒非法遠(yuǎn)程控制等問題。調(diào)查表明,我國的網(wǎng)絡(luò)信息安全問題形勢(shì)比較嚴(yán)峻,信息安全問題的解決迫在眉睫。
由于中國網(wǎng)民數(shù)量在總?cè)丝诘谋戎卦絹碓街?,網(wǎng)民的力量是很強(qiáng)大,會(huì)形成巨大的輿論壓力。這股力量如果健康發(fā)展,不受到不良的網(wǎng)絡(luò)信息影響就可以形成健康的社會(huì)意識(shí)。只有保證網(wǎng)絡(luò)信息安全環(huán)境,才能使得國家的軍事安全、政治信息不被曲解、盜取,才能穩(wěn)定輿論減少網(wǎng)民恐慌。
故維護(hù)信息安全極為重要。
2現(xiàn)有且常用的的網(wǎng)絡(luò)信息安全技術(shù)
針對(duì)信息安全問題,通過信息安全技術(shù)在網(wǎng)絡(luò)信息系統(tǒng)中對(duì)存儲(chǔ)和傳輸輻射信息的操作和進(jìn)程進(jìn)行控制和管理,即為安全控制。常見的有操作系統(tǒng)的安全控制,網(wǎng)絡(luò)接口模塊的安全控制,網(wǎng)絡(luò)互連設(shè)備的安全控制。而安全服務(wù)是指在應(yīng)用程序?qū)訉?duì)網(wǎng)絡(luò)信息的保密性、完整性和真實(shí)性進(jìn)行保護(hù)和鑒別,防止各種安全威脅和攻擊,其可以在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全漏洞。安全服務(wù)主要內(nèi)容包括:安全機(jī)制、安全連接、安全協(xié)議、安全策略等。安全控制和安全服務(wù)都是通過信息安全技術(shù)來控制和解決網(wǎng)絡(luò)信息安全問題的。常見的網(wǎng)絡(luò)信息安全技術(shù)有:防火墻技術(shù),網(wǎng)絡(luò)信息數(shù)據(jù)的加密技術(shù),數(shù)字簽名。
3網(wǎng)絡(luò)信息安全所存在的障礙及后果
(1)許多網(wǎng)民缺乏信息安全意識(shí),在目前網(wǎng)絡(luò)發(fā)達(dá)的環(huán)境中,對(duì)網(wǎng)絡(luò)通信的對(duì)象無法作明確的認(rèn)證,導(dǎo)致一些非法、欺騙的犯罪活動(dòng)。更為嚴(yán)重的是,要是綁定識(shí)別碼的密碼被人截獲、識(shí)破或篡改,那對(duì)個(gè)人或團(tuán)體造成的影響將是致命的。
(2)信息安全與隱私及自由。電子郵件是比較廣泛的通信方式,也是對(duì)家用計(jì)算機(jī)的最大威脅之一。
(3)信息安全與財(cái)產(chǎn)保護(hù)。網(wǎng)絡(luò)黑客入侵的目標(biāo)――計(jì)算機(jī)用戶,竊取信用卡的號(hào)碼、銀行賬號(hào)的信息、個(gè)人背景資料以及他們所能找到的其他信息。
(4)信息安全與教育。信息安全主要是指防止信息受到惡意攻擊,彌補(bǔ)信息安全系統(tǒng)本身的安全缺陷和軟件漏洞以消除計(jì)算機(jī)網(wǎng)絡(luò)的結(jié)構(gòu)隱患。而信息安全與教育往往做得很少。
因此,如果不能正確的對(duì)待和解決網(wǎng)絡(luò)信息安全問題,勢(shì)必對(duì)對(duì)人們的生活、工作和學(xué)習(xí)帶來嚴(yán)重的后果,并且其后果和威脅都是極其嚴(yán)重和多方面的。
4網(wǎng)絡(luò)信息安全問題的解決方法
除了密碼技術(shù)的應(yīng)用,防火墻技術(shù)以及分層局部?jī)?nèi)部管理等信息安全技術(shù)之外,更重要的是道德規(guī)范宣傳教育,多途徑培養(yǎng)專門網(wǎng)絡(luò)信息安全人才,加緊網(wǎng)絡(luò)信息安全立法工作,特別是網(wǎng)絡(luò)信息安全立法更是解決網(wǎng)絡(luò)信息安全問題的根本中得根本。下面將主要從網(wǎng)絡(luò)安全立法的方面來討論網(wǎng)絡(luò)信息安全。
4.1關(guān)于網(wǎng)絡(luò)信息安全立法存在的問題
4.1.1網(wǎng)絡(luò)信息安全法律體系凌亂,完整性不足,兼容性差
我國規(guī)范網(wǎng)絡(luò)的部門規(guī)章及地方性法規(guī)很多,反映出我國各方力圖促使網(wǎng)絡(luò)健康發(fā)展的決心和積極性,行為舉措是可以給予肯定的。但正我國網(wǎng)絡(luò)法律法規(guī)過于凌亂,數(shù)量多而明確性低。另一方面,由于立法主體眾多,不同的條例、規(guī)范之間存在太大差異,缺乏關(guān)系與支持,甚至出現(xiàn)許多重復(fù)、空白和失誤之處。
4.1.2法律法規(guī)缺乏持續(xù)性和一體性
法律的可持續(xù)性和一體性是一個(gè)完善法律體系的標(biāo)志,所謂一體性,就是法律的完善連貫性。法律在執(zhí)行過程中,要具有連貫性才能發(fā)揮最強(qiáng)的效應(yīng)。由于互聯(lián)網(wǎng)的迅猛發(fā)展,法律早已跟不上計(jì)算機(jī)技術(shù)的發(fā)展速度,這就導(dǎo)致法律的滯后性。法律的滯后性無疑給那些網(wǎng)絡(luò)違法者制造一個(gè)逃脫懲罰的絕好機(jī)會(huì)。
4.1.3現(xiàn)實(shí)問題的覆蓋范圍狹窄,存在空白
網(wǎng)絡(luò)立法存在失衡問題,偏重于網(wǎng)絡(luò)管理及網(wǎng)絡(luò)信息立法兩大方面,不能覆蓋由網(wǎng)絡(luò)引起的各種法律問題,造成許多重要而實(shí)際的網(wǎng)絡(luò)信息問題缺乏法律引導(dǎo)和規(guī)范的局面。操作繁瑣,可實(shí)施性不強(qiáng)。
綜上可知,網(wǎng)絡(luò)法規(guī)的可實(shí)施性受到很大制約,網(wǎng)絡(luò)法規(guī)本來的法律效力也影響了它的實(shí)際操作,而網(wǎng)絡(luò)技術(shù)的復(fù)雜性和網(wǎng)絡(luò)本身的虛擬性也增加了法律法�實(shí)施的難度。另外,網(wǎng)絡(luò)信息立法各部門的處罰不盡一致,導(dǎo)致實(shí)際操作困難。
4.2網(wǎng)絡(luò)信息安全立法的必要性
伴隨網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展,安全問題日益增多,人們逐漸認(rèn)識(shí)到因特網(wǎng)需要引進(jìn)法律規(guī)范。尤其是網(wǎng)絡(luò)信息系統(tǒng)作為一種傳播媒介,不僅不可能自動(dòng)消除不良信息的危害性,而且因其使用便利、傳播快捷的特點(diǎn),反而可能在缺乏管理的狀態(tài)下大大增強(qiáng)其危害性。網(wǎng)絡(luò)信息安全極其復(fù)雜多樣,治本之策便是進(jìn)行法律規(guī)范,尤其需要像網(wǎng)絡(luò)結(jié)構(gòu)一樣的一個(gè)安全法律法規(guī)體系來有效保障信息、網(wǎng)絡(luò)系統(tǒng)的安全。
網(wǎng)絡(luò)信息的安全,關(guān)系到國家的安全、主權(quán)和社會(huì)的穩(wěn)定,必須提高安全意識(shí),采取可靠的安全措施,強(qiáng)化防范和管理,保證政府信息網(wǎng)絡(luò)系統(tǒng)的安全。強(qiáng)調(diào)網(wǎng)絡(luò)信息安全的立法迫切性,不僅僅是因?yàn)樾畔⒕W(wǎng)絡(luò)安全在實(shí)現(xiàn)信息資源共享方面的重要作用,更因?yàn)樗潜U蠂揖W(wǎng)絡(luò)信息安全、�濟(jì)安全、政治安全的戰(zhàn)略問題,它和國家主權(quán)緊緊相連。
其次,網(wǎng)絡(luò)信息安全立法也是做好安全防范的要求之一。網(wǎng)上的數(shù)據(jù)安全問題、保密問題、病毒的傳播等問題,是目前信息網(wǎng)絡(luò)發(fā)展中存在的普遍問題。對(duì)有害于信息網(wǎng)絡(luò)使用的行為要與之堅(jiān)決斗爭(zhēng)。為此,必須制定管理規(guī)則,規(guī)范人們的行為,查處有害行為,組織力量對(duì)付‘黑客’,維護(hù)正常的秩序。第三,安全意識(shí)薄弱現(xiàn)象的普遍存在,證明信息安全法律責(zé)任的迫切性。安全意識(shí)不強(qiáng),安全技術(shù)落后,是造成安全隱患的主要問題。如果加強(qiáng)立法,明確法律責(zé)任,這些問題將會(huì)得到較大程度的改善。信息網(wǎng)絡(luò)既是實(shí)現(xiàn)信息、資源共享的平臺(tái),也可能成為威脅國家安全、危害國計(jì)民生的通道。網(wǎng)絡(luò)信息安全的法律則是對(duì)免疫系統(tǒng)的保護(hù)之一,其迫切性也是不言而喻的。
4.3網(wǎng)絡(luò)信息安全立法工作的可行性分析
網(wǎng)絡(luò)信息安全問題不僅是個(gè)別國家的國內(nèi)安全問題,也不是單憑一個(gè)國家或一種技術(shù)就能解決得了的問題,而是必須通過開展長(zhǎng)期、廣泛和深入的國際合作,包括各國政府、各種地區(qū)組織等等的充分合作,才有可能解決。隨著網(wǎng)絡(luò)信息安全逐漸被認(rèn)識(shí),許多國家都爭(zhēng)相開始進(jìn)行立法工作,例如美國、俄羅斯、日本以及歐盟各國。隨著網(wǎng)絡(luò)信息安全法律的健全,確保了國家相關(guān)部門切實(shí)履行其職能,提高了行政效率,保護(hù)了網(wǎng)絡(luò)信息人的私權(quán)如隱私權(quán)、名譽(yù)權(quán)、著作權(quán)等,同時(shí)推動(dòng)了信息產(chǎn)業(yè)發(fā)展,比如推動(dòng)和保護(hù)電子商務(wù)并且完善了訴訟程序和其他救濟(jì)程序,保障被侵權(quán)人的自救和他救,加大處罰力度,強(qiáng)化侵權(quán)者的責(zé)任,形成法律威懾力。
八屆人大五次會(huì)議于1997年3月14日通過,同年10月1日正式實(shí)施的新修訂的《刑法》增加了三個(gè)法律條款:非法侵入計(jì)算機(jī)系統(tǒng)罪(285條),破壞計(jì)算機(jī)信息系統(tǒng)功能、破壞計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪,制作、傳播計(jì)算機(jī)病毒等破壞計(jì)算機(jī)程序罪(第286條)以及屬于廣義計(jì)算機(jī)犯罪范疇的利用計(jì)算機(jī)實(shí)施的犯罪(第287條)等。這對(duì)預(yù)防和打擊計(jì)算機(jī)違法犯罪起到了積極的作用,但由于這三個(gè)條款只作了較原則性的規(guī)定,且具有較強(qiáng)的專業(yè)性,因此對(duì)有關(guān)計(jì)算機(jī)犯罪的定罪量刑尺度把握較難,故網(wǎng)絡(luò)安全立法必須有更進(jìn)一步的行動(dòng),也將會(huì)建立更加完善的網(wǎng)絡(luò)環(huán)境,創(chuàng)造更加和諧的綠色網(wǎng)絡(luò)虛擬世界。
5總結(jié)
隨著我國經(jīng)濟(jì)的高速增長(zhǎng),中國信息化有了顯著的發(fā)展和進(jìn)步,信息在現(xiàn)代化過程中占據(jù)著越來越重要的地位。“十一五”期間,我國電子信息產(chǎn)業(yè)規(guī)模繼續(xù)壯大,然而信息安全的問題也越來越迫在眉睫。本文詳細(xì)分析了我國網(wǎng)絡(luò)信息安全的現(xiàn)狀以及存在的問題,并指出雖然現(xiàn)行網(wǎng)絡(luò)信息安全措施早已出臺(tái),但是網(wǎng)絡(luò)信息安全依然存在許多障礙。本文強(qiáng)調(diào),網(wǎng)絡(luò)信息安全的有效辦法是道德規(guī)范教育與網(wǎng)路安全規(guī)范立法并行,并從各個(gè)方面論證了該方法的可行性以及有效性,對(duì)我國網(wǎng)絡(luò)信息安全維護(hù)和控制有一定的指導(dǎo)意義。
參考文獻(xiàn)
[1] 王世偉.論信息安全,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報(bào),2015, 41(2):72-84.
[2] 徐明,等.網(wǎng)絡(luò)信息安全[M].西安電子科技大學(xué)出版社,2006.
[3] 王紅梅,宗慧娟,王愛民.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].價(jià)值工程, 2015,34(1):209-210.
[4] 王世偉.論大數(shù)據(jù)時(shí)代信息安全的新特點(diǎn)與新要求[J].圖書情報(bào)工作,2016, 60(6):5-14.
[5] [美]雷蒙德.S.R.庫.網(wǎng)絡(luò)信息法:案例與資料[M].中信出版社,2003.
[6] 黃海峰.網(wǎng)絡(luò)信息安全2016年呈現(xiàn)五大發(fā)展趨勢(shì)[J].通信世界,2016(1): 55.
[7] 燕金武.網(wǎng)絡(luò)信息政策導(dǎo)論[M].北京圖書館出版社,2006.
[8] 劉品新.網(wǎng)絡(luò)法學(xué)[M].中國人民大學(xué)出版社.2009.
[9] 高永強(qiáng),郭世澤.網(wǎng)絡(luò)平安技術(shù)好應(yīng)用大典[M].人民郵電出版社,2009.
[10] 劉冰.社交網(wǎng)絡(luò)中用戶信息安全影響因素實(shí)證研究[J].情報(bào)科學(xué),2016(5): 14.
[11] 姜勇,王丹淋.移動(dòng)互聯(lián)網(wǎng)信息安全威脅與漏洞分析[J].信息化建設(shè), 2016(2):121-123.
[12] 谷俊濤.網(wǎng)絡(luò)信息安全技術(shù)研究[J].信息技術(shù),2016,40(5):193-194.
網(wǎng)絡(luò)安全方面論文篇2
試論校園網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的概念
包括物理安全和邏輯安全
物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信 計(jì)算 機(jī)設(shè)備以及相關(guān)設(shè)備的物理保護(hù),免予破壞、丟失等; 邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經(jīng)授權(quán)的人,完整性是指計(jì)算機(jī)系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序,可用性是指系統(tǒng)能夠防止非法防止非法獨(dú)占計(jì)算機(jī)資源和數(shù)據(jù),合法用戶的正常請(qǐng)求能及時(shí)、正確、安全的得到服務(wù)或回應(yīng)。
網(wǎng)絡(luò)計(jì)算機(jī)中安全威脅主要有:身份竊取,身份假冒、數(shù)據(jù)竊取、數(shù)據(jù)篡改,操作否認(rèn)、非授權(quán)訪問、病毒等。
校園網(wǎng)絡(luò)都是借助主干通信網(wǎng),將各地的分部門和總部連接,同時(shí)與Internet互聯(lián)。這就存在著以下幾方面的網(wǎng)絡(luò)安全問題:
●總部局域網(wǎng)和各分、子部門局域網(wǎng)之間,分、子部門與下屬機(jī)構(gòu)局域網(wǎng)之間廣域網(wǎng)干線上信息傳輸?shù)陌踩C軉栴}。
●總部局域網(wǎng)及各分、子部門局域網(wǎng)自身的安全,要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶非法授權(quán)訪問和破壞。
●來自外部的非授權(quán)用戶非法攻擊和破壞,以及內(nèi)部用戶對(duì)外部非法站點(diǎn)的訪問。
2. 解決方案的分類
解決網(wǎng)絡(luò)安全問題涉及的范圍廣泛;不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、密碼系統(tǒng)的缺陷、主機(jī)操作系統(tǒng)的缺陷上,因此在安全策略方面重點(diǎn)考慮:
2.1 基礎(chǔ)結(jié)構(gòu)安全
主要包括:操作系統(tǒng)選擇和問題規(guī)避;帳號(hào)設(shè)置、口令強(qiáng)度、網(wǎng)絡(luò)參數(shù)、文件監(jiān)測(cè)保護(hù)在現(xiàn)實(shí)運(yùn)作中,密碼系統(tǒng)已經(jīng)非常完善,標(biāo)準(zhǔn)的DES、RSA和其他相關(guān)認(rèn)證體系已經(jīng)成為公認(rèn)的具有計(jì)算復(fù)雜性安全的密碼標(biāo)準(zhǔn)協(xié)議,這個(gè)標(biāo)準(zhǔn)的健壯性也經(jīng)受了成千上萬網(wǎng)絡(luò)主機(jī)的考驗(yàn),但是在網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)本身上,仍然有很多可被攻擊的入口。很多網(wǎng)絡(luò)安全中的問題集中在操作系統(tǒng)的缺陷上。Unix及類 Unix操作系統(tǒng)是在 Internet中非常普遍的操作系統(tǒng),主要用于網(wǎng)絡(luò)服務(wù)。它的源代碼是公開的,所以在很多場(chǎng)合下使用者可以定制自己的Unix,操作系統(tǒng),使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求。
由于網(wǎng)絡(luò)協(xié)議是獨(dú)立與操作系統(tǒng)的,它的體系結(jié)構(gòu)與操作系統(tǒng)端是無關(guān)的,網(wǎng)絡(luò)協(xié)議所存在的安全隱患也是獨(dú)立于操作系統(tǒng)來修正的。
2.2 管理安全
安全管理是網(wǎng)絡(luò)必須考慮的,主要包括:權(quán)限管理,單點(diǎn)登錄,安全管理中心等。
管理的技術(shù)手段很多,通過采用加強(qiáng)身份確認(rèn)的 方法 獲得網(wǎng)上資源控制權(quán)如智能IC身份卡,提供安全的遠(yuǎn)程接入手段;采用虛擬專網(wǎng)技術(shù)如網(wǎng)絡(luò)保密機(jī)解決數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩?安全郵件和安全Web服務(wù)器也是一類重要的安全產(chǎn)品。然而,對(duì)一個(gè)具體的網(wǎng)絡(luò)系統(tǒng),我們?cè)诎踩L(fēng)險(xiǎn)評(píng)估確定合適的安全需求后,從技術(shù)上講可以架構(gòu)一個(gè)滿足基本要求的安全設(shè)備平臺(tái)。但是發(fā)生最頻繁的安全威脅實(shí)際上是非技術(shù)因素,安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來,這個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全性才有保障。因此,采用集中統(tǒng)一的管理策略,以技術(shù)手段實(shí)現(xiàn)非技術(shù)的安全管理,主要由安全管理中心實(shí)現(xiàn)。
2.3 邊界安全
校園網(wǎng)絡(luò)與外界的邊界劃分是否 科學(xué) ?IT系統(tǒng)與外界、內(nèi)部關(guān)鍵部門之間是否安全隔離?這都屬于邊界安全范圍。可以在關(guān)心的實(shí)體之間安裝防火墻產(chǎn)品和攻擊檢測(cè)軟件,來加強(qiáng)邊界安全,實(shí)施攻擊防御方案。關(guān)于防火墻技術(shù)的使用成功與否對(duì)網(wǎng)絡(luò)的安全有決定性作用,對(duì)此我們進(jìn)行主要討論
2.3.1防火墻的概念
當(dāng)一個(gè)網(wǎng)絡(luò),接入Internet以后,而系統(tǒng)的安全性除了考慮病毒、系統(tǒng)的健壯性之外,更主要的防止非法用戶的入侵。而 目前 防制措施主要是靠防火墻技術(shù)完成。
防火墻是指由一個(gè)軟件和硬件設(shè)備組合而成,處于網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶對(duì)于內(nèi)部網(wǎng)絡(luò)訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。
實(shí)際上防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過濾器,它監(jiān)視每一個(gè)通過的數(shù)據(jù)報(bào)文和請(qǐng)求。一方面對(duì)可信賴的報(bào)文和 應(yīng)用 請(qǐng)求允許通過,另一方面對(duì)有害的或可疑的報(bào)文禁止其通過。防火墻具有使用簡(jiǎn)便,高速、邏輯漏洞少等特點(diǎn)。
2.3.2防火墻在網(wǎng)絡(luò)中的位置
為了達(dá)到對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行監(jiān)視的目的,防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。
防火墻位于局域網(wǎng)和廣域網(wǎng)之間。
Intranet<---> F<---->Interant ;
在這種情況之下,防火墻的主要作用是允許局域網(wǎng)內(nèi)的用戶訪問Internet,如瀏覽WWW網(wǎng)站,收發(fā)E-mail,并且禁止來自于Internet上的未知用戶闖入局網(wǎng)進(jìn)行破壞或竊取機(jī)密信息。
防火墻在局網(wǎng)與局域網(wǎng)之間,如圖:
Intranet<---> F<---->Intranet
在這種情況下,防火墻的作用是允許公用信息在兩個(gè)網(wǎng)絡(luò)中傳輸,保證每個(gè)網(wǎng)段的私有信息不被對(duì)方訪問。
可以看出無論哪一種形式,防火墻都是數(shù)據(jù)報(bào)文進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路,這樣才能保證防火墻對(duì)網(wǎng)絡(luò)的監(jiān)視保護(hù)作用。
2.3.3防火墻的分類
2.3.3.1按防火墻在網(wǎng)絡(luò)中所起的作用,防火墻可以分成兩種,一種是與路由設(shè)備合二為一,通常為過濾路由器或是網(wǎng)關(guān)主機(jī)防火墻,另一種叫做堡壘主機(jī)式防火墻,它不具有路由功能。
過濾路由器、網(wǎng)關(guān)主機(jī)防火墻是在路由器和網(wǎng)關(guān)主機(jī)上加上包過濾的功能,是網(wǎng)絡(luò)中的第一道防線。因?yàn)樗哂新酚傻墓δ?,所以它的安全性較差。
堡壘主機(jī)式防火墻是網(wǎng)絡(luò)中最為重要的安全設(shè)備,通常以橋接的方式安裝在路由器和網(wǎng)絡(luò)之間,它的唯一作用是保證網(wǎng)絡(luò)的安全使用,這種防火墻在網(wǎng)絡(luò)中的具體位置如圖。
Intranet< ------>F< ------ > 邊界路由器< ------ > internet
2.3.3.2按照ISO所定義的網(wǎng)絡(luò)層次,防火墻可分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。
包過濾型防火墻是網(wǎng)絡(luò)層防火墻,它以用戶定義的過濾規(guī)則對(duì)每一個(gè)通過它的數(shù)據(jù)報(bào)文進(jìn)行過濾,一般是檢查一個(gè)IP報(bào)文的五個(gè)基本元素:源地址、目的地址、協(xié)議、源端口號(hào)、目的端口號(hào)。如果規(guī)則允許報(bào)文通過,報(bào)文就可以通過防火墻,反之則不能。包過濾不檢查連接請(qǐng)求的會(huì)話狀態(tài),也不會(huì)對(duì)傳輸數(shù)據(jù)進(jìn)行檢查。
代理型防火墻,屬于應(yīng)用層防火墻,代理的功能是對(duì)來自局域網(wǎng)內(nèi)用戶的會(huì)話求進(jìn)行會(huì)話請(qǐng)求轉(zhuǎn)發(fā)。在轉(zhuǎn)發(fā)過程中對(duì)會(huì)話進(jìn)行過濾。因?yàn)榇碓趹?yīng)用層,它可以對(duì)會(huì)話的狀態(tài)和傳輸?shù)臄?shù)據(jù)進(jìn)行檢查和過濾。從安全上講,代理的安全性要比包過濾功能更強(qiáng),因?yàn)橐粋€(gè)IP報(bào)文到了代理層,它的壽命就已經(jīng)截止了,也就是說代理真正地阻斷了網(wǎng)絡(luò)的傳輸。
目前應(yīng)用于網(wǎng)絡(luò)安全的防火墻系統(tǒng)基本上屬于上面所講到的兩種防火墻系統(tǒng)。但在實(shí)際應(yīng)用中的防火墻經(jīng)常是這兩種方法的合體,即包過濾加代理行防火墻。
同時(shí),為了防范黑客的各種各樣攻擊行為,通常的防火墻產(chǎn)品還要加上其他許多功能。
2.3.4.防火墻集中的主要功能
2.3.4.1.支持透明連接
透明性是指對(duì)客戶的透明和對(duì)網(wǎng)絡(luò)設(shè)備的透明。無論安裝防火墻還是卸載防火墻,第一不必改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),不需要修改網(wǎng)絡(luò)設(shè)備的參數(shù)與設(shè)置。第二在用戶端亦不必作任何修改和設(shè)置就可以實(shí)現(xiàn)基于IP協(xié)議的各種信息的傳輸。
2.3.4.2.帶有DMZ區(qū)的連接
DMZ原意為?;饏^(qū),在防火墻的應(yīng)用中是指防火墻將邏輯上同一網(wǎng)段分成物理上的兩個(gè)網(wǎng)段,其中一個(gè)物理網(wǎng)段為正常的受保護(hù)網(wǎng)段,另一個(gè)物理網(wǎng)段為DMZ,用來連接要對(duì)外開放的主機(jī),防火墻對(duì)DMZ區(qū)只作少量的保護(hù)或不做保護(hù)。
2.3.4.3.包過濾功能
包過濾功能防火墻最主要的功能之一,是防火墻必備的功能模塊。
包過濾指的是對(duì)IP數(shù)據(jù)包的過濾。對(duì)防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號(hào),數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等,然后和設(shè)定規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。大多數(shù)數(shù)據(jù)包過濾系統(tǒng)在數(shù)據(jù)本身上不作任何事,不作關(guān)于 內(nèi)容 的決定。有了數(shù)據(jù)過濾包,可以不讓任何人從外界使用Telent 登錄,或者讓每個(gè)人經(jīng)SMTP向我們發(fā)送 電子 郵件,或者是某個(gè)機(jī)器經(jīng)由NNTP把新聞發(fā)給我,而其他機(jī)器不能這樣做。但是你不能控制這個(gè)用戶能從外部遠(yuǎn)程登錄而他用戶不能這樣做,因?yàn)?ldquo;用戶”不是數(shù)據(jù)過濾包系統(tǒng)所能辨認(rèn)的。同時(shí)你也不能做到發(fā)送這些文件而不是那些文件,因?yàn)?ldquo;文件”也不是數(shù)據(jù)包過濾系統(tǒng)所能辨認(rèn)的。
防火墻包過濾功能應(yīng)具有的特點(diǎn):支持對(duì)進(jìn)入報(bào)文、轉(zhuǎn)發(fā)報(bào)文和出去的報(bào)文的分別過濾。支持非操作符;支持端口范圍的控制;支持ICMP報(bào)文類型的控制。
使用包過濾模塊會(huì)對(duì) 網(wǎng)絡(luò) 傳輸速率有 影響 ,但速率的降低不能超過25%
2.3.4.4. 應(yīng)用 層過濾
應(yīng)用層的過濾是一種細(xì)粒度的過濾,實(shí)際上是對(duì)報(bào)文數(shù)據(jù)內(nèi)容的過濾。在應(yīng)用層可以實(shí)現(xiàn)對(duì)URL的過濾以及其它網(wǎng)絡(luò)應(yīng)用層協(xié)議(如FTP)的協(xié)議命令的過濾和報(bào)文內(nèi)容的過濾。通過應(yīng)用層過濾,可以禁止非法站點(diǎn)的連接(這些站點(diǎn)通常是含有反動(dòng)、黃色信息)達(dá)到對(duì)非法信息的過濾。
2.3.4.5.透明代理與控制功能
代理的功能是對(duì)來自局域網(wǎng)內(nèi)的用戶的會(huì)話請(qǐng)求進(jìn)行會(huì)話規(guī)劃請(qǐng)求轉(zhuǎn)發(fā)。從安全角度講,這樣做有以下幾個(gè)用處:
●完全阻斷了網(wǎng)絡(luò)的傳輸通道。
●可以進(jìn)行訪問控制。
●隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),因?yàn)樽罱K請(qǐng)求是由防火墻發(fā)出的,外面的主機(jī)并不知道與哪個(gè)用戶通信。
●解決IP地址緊缺的 問題 。使用代理服務(wù)器只需防火墻有一個(gè)公網(wǎng)的IP地址。
代理服務(wù)器優(yōu)點(diǎn)在于:支持多種TCP上層協(xié)議,完全的透明性,對(duì)防火墻以外任何設(shè)備以及主機(jī)無需作任何修改。代理服務(wù)器不僅僅是為了接通網(wǎng)絡(luò),更重要的一點(diǎn)是為了保證網(wǎng)絡(luò)的安全。代理層訪問控制模塊使代理服務(wù)器模塊具有完整的安全手段。
2.3.4.6防止IP 地址欺騙。
黑客的一種慣用手段是修改報(bào)文,使報(bào)文的源地址成為他要攻擊的主機(jī)的同網(wǎng)段的地址。利用這種辦法欺騙目標(biāo)主機(jī)并取得目標(biāo)主機(jī)的信任,達(dá)到為所欲為的目的。防火墻應(yīng)能智能地判斷數(shù)據(jù)報(bào)文的真正來源,對(duì)假冒報(bào)文予以,使黑客無法進(jìn)入內(nèi)部網(wǎng)絡(luò),做到防止外部用戶盜用內(nèi)部網(wǎng)段空閑的IP 地址。
2.3.4.6.地址綁定功能
地址綁定即固定主機(jī)IP地址和網(wǎng)絡(luò)適配器的MAC地址的一一對(duì)應(yīng)關(guān)系。地址綁定的主要作用是防止非法用戶盜用合法用戶的IP地址,由于每塊網(wǎng)卡的MAC地址都是固定的,經(jīng)過地址綁定后,地址就與 計(jì)算 機(jī)或用戶(若每臺(tái)計(jì)算機(jī)的用戶固定)的對(duì)應(yīng)關(guān)系就固定了。也就是說,只有特定的主機(jī)才能使特定的IP地址,這就可以保證IP地址不盜用。
地址綁定加快了網(wǎng)絡(luò)的速度,因?yàn)榻壎ㄖ螅阑饓筒挥枚〞r(shí)地動(dòng)態(tài)查詢局域網(wǎng)內(nèi)部主機(jī)的MAC地址,這就減少了網(wǎng)絡(luò)資源的浪費(fèi),加快了網(wǎng)絡(luò)的速度。
2.3.4.7.地址轉(zhuǎn)換功能
防火墻通過地址轉(zhuǎn)換技術(shù),將所有從內(nèi)部發(fā)出的通過防火墻報(bào)文的源地址修改成為防火墻本身的IP地址,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)使用地址轉(zhuǎn)換技術(shù),要求所有的網(wǎng)絡(luò)連接只能從內(nèi)部發(fā)起,這樣更是極大的提高了網(wǎng)絡(luò)安全性。另外除了安全性,地址轉(zhuǎn)換,還有一個(gè)好處,解決IP地址缺乏的問題,如果一個(gè)園區(qū)只有少數(shù)的公網(wǎng)地址,利用地址轉(zhuǎn)換技術(shù),可以使所有連接到防火墻上的主機(jī)都可以與Internet相連。局域網(wǎng)的用戶認(rèn)為在與Internet之間通信,而Internet上的主機(jī)以為是與防火墻通信。這樣就因隱藏了網(wǎng)段的網(wǎng)絡(luò)結(jié)構(gòu),因?yàn)橹荒芤姷椒阑饓Φ囊粋€(gè)地址。
2.3.4.8. 功能
是指虛擬專用網(wǎng)絡(luò)。實(shí)際上是在公共網(wǎng)上建立內(nèi)部網(wǎng)絡(luò)。其重點(diǎn)就是保證在公眾網(wǎng)上傳播的內(nèi)部信息不被外人獲取。一般有專用的網(wǎng)絡(luò)保密機(jī)與防火墻在此功能上有交叉 。
2.3.4.9.規(guī)則設(shè)施功能
網(wǎng)絡(luò)安全管理人員想知道一個(gè)確定的包進(jìn)入入防火墻后會(huì)發(fā)生什么事情,這時(shí)可以利用規(guī)則測(cè)試的功能。安全管理員可以設(shè)計(jì)一些虛擬的報(bào)文,利用規(guī)則測(cè)試功能來驗(yàn)證設(shè)計(jì)的規(guī)則是否正確,是否符合設(shè)計(jì)的目標(biāo)。這樣可以增加工作效率并保證規(guī)則設(shè)置的正確性。
2.3.4.10.支持遠(yuǎn)程在線狀態(tài)管理、配置管理、審記管理
通過安全管理中心和其他管理軟件可以對(duì)防火墻進(jìn)行遠(yuǎn)程在線管理。既可以在遠(yuǎn)程非常直觀的觀察到防火墻的運(yùn)行情況,也可以遠(yuǎn)程啟動(dòng)關(guān)閉防火墻和重新啟動(dòng)防火墻。
防火墻系統(tǒng)中運(yùn)行的代理守護(hù)進(jìn)程,通過守護(hù)進(jìn)程管理程序,可以在遠(yuǎn)端對(duì)防火設(shè)備的各個(gè)功能模塊進(jìn)行設(shè)置和維護(hù),以便于安全管理人員對(duì)防火墻的管理。
日志能記錄完整的網(wǎng)絡(luò)信息,包括建立的連接時(shí)間,雙方地址,以及傳輸信息量。
支持遠(yuǎn)程審記日志是保障安全的重要手段,由于網(wǎng)絡(luò)設(shè)備的審記信息通常大得驚人,觀察 分析 審記日志是讓管理人員非常頭痛的是工作。好的防火墻應(yīng)支持遠(yuǎn)程審記管理,使得管理人員能夠在遠(yuǎn)端的GUI界面下輕松地觀察和分析審記信息,使得審記的分析更加直觀。從安全的角度講,日志主要是起到抗抵賴的作用的,即防火墻記錄了用戶的網(wǎng)絡(luò)使用情況,如果有人對(duì)網(wǎng)絡(luò)進(jìn)行了攻擊或是有竊密的行為,事后使我們有據(jù)可查,對(duì)這樣的人進(jìn)行 法律 上的制裁或者防止他下一次的攻擊。
2.3.1.11.支持安全管理中心集中統(tǒng)一管理
防火墻的管理代理守護(hù)進(jìn)程為安全管理中心留有接口程序,能夠?qū)崿F(xiàn)安全管理中心對(duì)防火墻的安全管理。使用安全管理中心,好處在于它的安全性和集中統(tǒng)一管理能力。
其一、安全管理中心通過安全通道與網(wǎng)絡(luò)安全設(shè)備通信來保證對(duì)防火墻設(shè)備設(shè)置和維護(hù)管理信息的安全。
其二、安全管理中心能夠做到遠(yuǎn)程的統(tǒng)一管理,一臺(tái)安全管理中心機(jī)可以管理多臺(tái)防火墻以及其它網(wǎng)絡(luò)安全設(shè)備。
3.安全方案實(shí)施的生命周期
安全管理的方案的實(shí)施需要正確的 方法 和次序,全面的網(wǎng)絡(luò)信息安全方案需要在正確的 企業(yè) 安全策略的指導(dǎo)下按部就班地進(jìn)行實(shí)施。網(wǎng)絡(luò)安全方案實(shí)施生命周期如下所示
風(fēng)險(xiǎn)評(píng)估――>方案設(shè)計(jì)―――>方案實(shí)施―――>人員培訓(xùn)―――>安全監(jiān)控―――>信息反饋――>重新評(píng)估
安全管理方案的核心是制定的安全策略。任何安全產(chǎn)品和方案都必須服從此安全策略。應(yīng)由安全管理專家與領(lǐng)導(dǎo)者一同制定系統(tǒng)的安全管理策略。
在安全方案實(shí)施的第一步,是實(shí)施方案的風(fēng)險(xiǎn)評(píng)估。即對(duì) 目前 網(wǎng)絡(luò)環(huán)境進(jìn)行綜合考察, 發(fā)現(xiàn)安全隱患,分析可能面臨的不安全因素,從而為將來的安全方案提供總體策略。 從信息安全的角度來為校園IT環(huán)境進(jìn)行進(jìn)行合理劃分,找出邊界因素,對(duì)癥下藥,并對(duì)指定的安全策略進(jìn)行方案設(shè)計(jì)和具體實(shí)施。 在實(shí)施的過程中或?qū)嵤┲?,必須重視人的因素。要?duì)用戶和相關(guān)人員進(jìn)行有效的培訓(xùn)。為網(wǎng)絡(luò)信息安全培養(yǎng)安全管理人員是安全方案中非常重要的一個(gè)方面。 實(shí)施企業(yè)安全方案,對(duì)安全性進(jìn)行總體監(jiān)控是網(wǎng)絡(luò)安全生命周期中的執(zhí)行階段,如果發(fā)生不安全事件,檢查是否能夠?qū)嵤┢髽I(yè)安全策略,能否進(jìn)行正確的反應(yīng):安全防范的強(qiáng)度是否足夠;是否有未能防止的入侵事件。定時(shí)或隨時(shí)進(jìn)行園區(qū)網(wǎng)絡(luò)安全策略的檢查,及時(shí)反饋安全信息,針對(duì)漏洞重新進(jìn)行安全評(píng)估,網(wǎng)絡(luò)安全方案周期重新開始。
參考文獻(xiàn):
1.《通信網(wǎng)的安全---- 理論 與技術(shù)》 王育民 劉建偉 西安電子 科技 大學(xué)出版社
2. Andrew S.Tanenbaum Albert S.Woodhull ”Operating Design and implementation”
3.《網(wǎng)絡(luò)與信息安全》
1.計(jì)算機(jī)網(wǎng)絡(luò)安全方面的論文
3.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全方面畢業(yè)論文