第一篇:2016計算機論文
2016計算機論文范文
第1篇:計算機網(wǎng)絡服務完善方式的研究
QoS工作原理
QoS就是我們所說的網(wǎng)絡服務質(zhì)量,它主要的衡量標準包括傳輸過程中的帶寬、數(shù)據(jù)包的時延以及丟包率等。一般來說,Qos工作在傳輸層,它所提供的保障服務是“端到端”的,具體的工作中,它主要利用一下兩種機制對服務質(zhì)量進行提升。
(1)在QoS能夠對報文種類進行識別的前提下,通過對不同的報文設置優(yōu)先級來提升服務質(zhì)量。在這個過程中,如果報文的優(yōu)先級比較高,那么就可以優(yōu)先獲得服務,這對于保證傳輸延時最小化非常有利。
(2)利用Qos給應用程序預留其所需的帶寬。這種機制的主要原理是在應用程序進行報文的發(fā)放之前,先進行信令請求的發(fā)送,通知網(wǎng)絡需要的帶寬、延時參數(shù)以及流量等。在傳輸層進行這些數(shù)據(jù)接收的時候,就會給應用程序保留其需要的各種寬帶資源,并發(fā)送確認信息給程序。
通過這種方式,程序進行報文發(fā)送的時候就可對流量進行有效地控制,進而獲得高質(zhì)量的網(wǎng)絡服務。這相當于開辟了專用的通道,至于沒有進行寬度申請的服務,這個時候則對其余的流量進行共享。假如傳輸層滿足不了所申請的帶寬等參數(shù),則會告知請求失敗。
這種機制相對于第一種機制而言,最大的一個優(yōu)勢是:即便在網(wǎng)絡比較擁塞的時候出現(xiàn)了丟包的問題,但依然可以保證網(wǎng)絡應用通暢。不過,這種機制的一個缺點在于由于其分配的帶寬屬于靜態(tài)的形式,這就導致了很難隨著網(wǎng)絡的變化進行自動的調(diào)整。另外,由于總帶寬限額的限制,最終只能夠有較少一部分應用能夠享受到這種待遇。此外,假如通信方不處于一個國家,那么我們就需要在互聯(lián)網(wǎng)上進行一定帶寬的保留,而隨著這種需求的增加,會使得預留的帶寬占據(jù)整個互聯(lián)網(wǎng),進而使這種機制很難發(fā)揮出預期的效用,基于此,第二種機制是不適合廣泛應用的。以下為Qos實現(xiàn)的流程:
網(wǎng)絡服務質(zhì)量優(yōu)化模型
在當前的網(wǎng)絡服務中,新的業(yè)務應用越來越多,這些業(yè)務也對網(wǎng)絡提出了新的要求,因此,保證一個正常、有效地網(wǎng)絡服務,并對網(wǎng)絡服務的質(zhì)量進行不斷的優(yōu)化有著非常積極的意義。在我們的工作中,優(yōu)化模型主要可以分為以下幾個部分。
首先,對于資源的分配,這主要由分配列隊空間、分配鏈路帶寬等工作組成。其次,對于任務的調(diào)度,一般來說這些任務可以分為多對列單服務器調(diào)度、單隊列多服務器調(diào)度以及多隊列多服務器調(diào)度。第三,對系統(tǒng)參數(shù)的配置,其中,系統(tǒng)參數(shù)主要有傳輸節(jié)點功耗以及擁塞窗口的配置等。第四,對于網(wǎng)絡資源的部署,這里主要需要解決的問題有網(wǎng)絡連通過程中互聯(lián)設備的問題,最小化成本服務器的覆蓋以及服務器集群中資源的利用率問題。
經(jīng)過以上模型的設定,我們基本上完成了優(yōu)化過程需要算法的界定,可以引導我們尋找出最佳的優(yōu)化方案。此外,在我們的工作中,還有一個比較重要的問題是如何把設計好的算法應用到我們的實際工作之中,這主要是因為網(wǎng)絡運行的性能適合算法的部署方式有著直接關系的,因此,這類工作中不僅會涉及到優(yōu)化理論本身,也將關系著工程的技術方面。舉例來說,一般我們會比較傾向于分布并行的部署算法,這能夠對網(wǎng)絡節(jié)能的負載進行有效地降低。總體而言,網(wǎng)絡再造屬于循環(huán)工程,它具有“評價、優(yōu)化、再評價、再優(yōu)化”這樣的一個循環(huán),因此,我們不僅要對網(wǎng)絡的服務質(zhì)量進行不斷地優(yōu)化,還要以網(wǎng)絡性能以及算法等作為優(yōu)化的依據(jù)。
QoS實現(xiàn)的形式
一般來說,在QoS實現(xiàn)的過程中,最為常見的策略有四種:(1)服務類型。(2)綜合服務。(3)區(qū)分服務。(4)業(yè)務流量。
結語
在網(wǎng)絡應用越來越多的今天,對計算機網(wǎng)絡服務質(zhì)量進行優(yōu)化有著重要的意義。Qos只是有效地手段之一,在我們的工作中,還要加強這方面的學習和探索,使我們的技術水平達到一個新的高度。
第2篇:計算機科技論文范文
21世紀是網(wǎng)絡的世界,我們每個人都在不知不覺中融入這個網(wǎng)絡世界。而路由器在網(wǎng)絡中發(fā)揮著越來越重要的作用,其主要負責在網(wǎng)絡層間按傳輸數(shù)據(jù)分組的,并確定網(wǎng)絡上數(shù)據(jù)傳送的最佳路徑。世界各地的個人和企業(yè)單位接入到Internet的自治系統(tǒng)有大有小,小型自治系統(tǒng)因其網(wǎng)絡結構簡單往往采用靜態(tài)路由技術即可完成自治系統(tǒng)內(nèi)的路由尋址,然而大、中型自治系統(tǒng)的網(wǎng)絡拓撲結構往往更加復雜,采用依靠人工分配的靜態(tài)路由技術存在很大的困難,因此根據(jù)合理的路由尋址算法設計的動態(tài)路由技術隨之誕生,而OSpF動態(tài)路由技術因其功能強大、可拓展性強和網(wǎng)絡性能優(yōu)越在動態(tài)路由技術中格外優(yōu)秀,被廣泛應用于各大、中型自治系統(tǒng)中。
摘要:隨著Internet技術在全球范圍的飛速發(fā)展,世界各地的個人和企業(yè)單位都紛紛接入到這個世界上最大的計算機網(wǎng)絡中。OSpF動態(tài)路由技術因其功能強大、可拓展性強和網(wǎng)絡性能優(yōu)越在動態(tài)路由技術中格外優(yōu)秀,被廣泛應用于各大、中型自治系統(tǒng)中。
關鍵詞:動態(tài)路由,OSpF,自治系統(tǒng)配置命令,鏈路
1OSpF的基本概念
開放最短路徑優(yōu)先協(xié)議(OpenShortestpathFirst)簡稱OSpF,它是路由選擇協(xié)議中非常重要的一種協(xié)議,這是一種典型的鏈路狀態(tài)(Link-state)路由協(xié)議,是由Internet工程任務組開發(fā)的內(nèi)部網(wǎng)關(IGp)路由協(xié)議,其主要用在一個路由域內(nèi)。路由域是指一個網(wǎng)絡自治系統(tǒng)(AutonomousSystem),所謂自治系統(tǒng)是指一組路由器都使用同一種路由協(xié)議交換路由信息,網(wǎng)絡中每個路由器都有一個唯一的標識,用于在鏈路狀態(tài)數(shù)據(jù)庫(LSDB)中標識自己。LSDB描述的是整個網(wǎng)絡的拓撲結構,包括網(wǎng)絡內(nèi)所有的路由器,作為一種鏈路狀態(tài)的路由協(xié)議,OSpF將鏈路狀態(tài)廣播數(shù)據(jù)包LSA(LinkStateAdvertisement)傳送給在某一區(qū)域內(nèi)的所有路由器,OSpF協(xié)議使用最短路徑優(yōu)先算法,利用LSA通告得來的信息計算每一個目標網(wǎng)絡的最短路徑,以自身為根生成一個樹,包含了到達每個目的網(wǎng)絡的完整路徑。
OSpF的路由標示是一個32位的數(shù)字,它在自治系統(tǒng)中被用來唯一識別路由器。默認地使用最高回送地址,若回送地址沒有被配置,則使用物理接口上最高的Ip地址作為路由標示。OSpF在相鄰路由器間建立鄰接關系,使它們能利用HELLO包維護關系并交換信息。OSpF使用區(qū)域來為自治系統(tǒng)分段,區(qū)域0是一個主干區(qū)域,每一個OSpF網(wǎng)絡必須具有,其他的區(qū)域通過區(qū)域0互連到一起。
2OSpF的特點
OSpF路由協(xié)議主要用在大型自治系統(tǒng)內(nèi),這是一種鏈路狀態(tài)的路由協(xié)議,而距離矢量路由協(xié)議RIp(RoutingInformationprotocol)則主要用在小型自治系統(tǒng)內(nèi),兩個路由協(xié)議都具有重要的作用,RIp作為靜態(tài)路由協(xié)議,具有適于小型網(wǎng)絡,管理員可手工配置,精確控制路由選擇,改進網(wǎng)絡性能等優(yōu)點,但它特別不適合于大型網(wǎng)絡自治系統(tǒng)。而OSpF路由協(xié)議與RIp相比,具有如下優(yōu)點:
1、RIp路由協(xié)議中用跳(HOp)來表示到達目的網(wǎng)絡所要經(jīng)過的路由器個數(shù),RIp跳數(shù)最高為15,超過15跳的路由被認為不可達,而OSpF不受路由跳數(shù)的限制,它只受限于帶寬和網(wǎng)絡延遲,因而OSpF更適合應用于大型網(wǎng)絡中。
2、RIp在規(guī)劃網(wǎng)絡時是不支持可變長子網(wǎng)掩碼(VLSM),這將導致Ip地址分配的低效率,而OSpF路由協(xié)議支持VLSM,現(xiàn)在IpV4資源短缺,我們在劃分大型網(wǎng)絡的子網(wǎng)時,往往采用VLSM,這樣劃分子網(wǎng)效率更高,更節(jié)約Ip資源,所以OSpF更適合大型網(wǎng)絡。
3、RIp必須每30秒就要周期性的廣播整個路由表,才能使網(wǎng)絡運行正常,如果RIp用在大型網(wǎng)絡中,它會產(chǎn)生很多廣播信息,而這些廣播會占用較多的網(wǎng)絡帶寬資源,較頻繁的更新有可能導致網(wǎng)絡擁塞,其結果就是RIp用在大型網(wǎng)絡中收斂速度較慢,甚至無法收斂。而OSpF使用組播發(fā)送鏈路狀態(tài)更新,在鏈路狀態(tài)變化時才進行更新,這樣提高了帶寬的利用率,收斂速度也大幅提高,能夠在最短的時間內(nèi)將路由變化傳遞到整個自治系統(tǒng)。
4、RIp沒有網(wǎng)絡延遲和鏈路開銷的概念,擁有較少跳數(shù)的路由總是被選為最佳路由,即使較長的路徑有低的延遲和開銷,并且RIp沒有區(qū)域的概念,不能在任意比特位進行路由匯總。而在OSpF路由協(xié)議中,往往把一個路由域劃分為很多個區(qū)域area,每一個區(qū)域都通過OSpF邊界路由器相連,區(qū)域間可以通過路由總結(Summary)來減少路由信息,從而減小路由表,提高路由器的運算速度。
OSpF路由協(xié)議擁有很多優(yōu)點,特別適合用于大型網(wǎng)絡,提高網(wǎng)絡的運行速度,但它也有缺點:①使用OSpF路由協(xié)議,需要網(wǎng)絡管理員事前先進行區(qū)域規(guī)劃和路由器各端口Ip屬性的設置,所以配置相對于靜態(tài)路由RIp來說顯得較為復雜,對網(wǎng)絡管理員的網(wǎng)絡知識水平要求較高。②對路由器的CpU及內(nèi)存要求較高。
3OSpF配置命令及配置實例
在思科路由器中配置OSpF路由協(xié)議主要使用以下命令:①routeospf進程號,其中進程號要求范圍為1~65535,進程號只在路由器內(nèi)部起作用,不同路由器的進程號可以不同。②networkaddress子網(wǎng)掩碼的反碼area區(qū)域號,區(qū)域號要求在0~4294967295內(nèi)的十進制數(shù),也可以是帶有Ip地址格式的X。X。X。X,當網(wǎng)絡區(qū)域號為0時或0、0、0、0時為主干域,不同網(wǎng)絡區(qū)域的路由器通過主干域學習路由信息。③showiproute,查看路由信息表,④showiprouteospf查看OSpF協(xié)議路由信息。
某學校采用四臺思科3550路由器把整個學校劃分為3個區(qū)域,四臺路由器通過使用OSpF協(xié)議實現(xiàn)互通。路由器R1的S0端口Ip為192、200、10、5/30,E0端口Ip為192、1、0、129/26;路由器R2的S0端口Ip為192、200、10、6/30,E0端口Ip為192、1、0、65/26;路由器R3的E0端口Ip為192、1、0、130/26;路由器R4的E0端口Ip為192、1、0、66/
26、R1的S0端口和R2的S0端口劃入?yún)^(qū)域0;R1的E0端口和R3的E0端口劃入?yún)^(qū)域1;R2的E0端口和R4的E0端口劃入?yún)^(qū)域
2、各路由器配置如下:在上述配置中首先對每臺路由器接口進行配置,接口配置完后可以使用routerospf100命令啟動一個OSpF路由選擇協(xié)議進程,期中“100”為進程號,每臺路由器進程號可不同,最后使用network將相應的網(wǎng)段加入OSpF路由進程中,則此接口所對應的網(wǎng)段就加入到OSpF進程中。
綜上所述,OSpF作為一種鏈路狀態(tài)的路由協(xié)議,具有收斂快,支持變長網(wǎng)絡掩碼,支持CIDR,配置命令簡單易學等。所以在大型或復雜網(wǎng)絡中應用OSpF協(xié)議可以極大的提高網(wǎng)絡的運行效率。
第3篇:計算機網(wǎng)絡教育和教師的教學對策
教師可以把計算機網(wǎng)絡信息化的教學法融入教學中,并且能夠通過四個方面得到體驗:
1、信息的調(diào)整能力。教師需要在進行教學之前,運用信息器材的收集與教學相關的資料,有效地管理教學相關的課程文件,通過信息的積累,能夠進行各個教學儀器的操作,在教學課程結束之后,可以通過信息儀器來記錄學生的學習成果,還可以跟別人進行教學信息資源的交換和溝通。
2、結合教學過程。教師在進行課堂教學的時候,可以運用信息設備來講解知識,可以運用遠距離的教學方式,引導學生學習,從而提高教學效果。
3、體現(xiàn)教學的資源。教師把自己收集好的教學資源或者是學生的學習成果進行整理,通過網(wǎng)絡和信息器材,體現(xiàn)出豐富的教學資源。
4、指導學生進行學習。教師可以引導學生正確地操作信息設備,來收集需要的資料和數(shù)據(jù),使他們能夠更好地完成教師布置的作業(yè),并且能夠展示自己的作品,從而深化所學的知識。
計算機網(wǎng)絡教學中對教師的要求
計算機網(wǎng)絡的技術和教學要求中專教師能夠采用現(xiàn)代化的信息技術對課堂教學的內(nèi)容、方式等作出合理的、科學的規(guī)劃和設計,還需要中專教師不但要能夠完成教學任務,并且確保在課堂教學中能夠切實地解決問題。怎樣使用計算機的網(wǎng)絡技術來解答實際的問題是中專教師培養(yǎng)學生的操作能力的關鍵環(huán)節(jié)。這是一種能夠面向所有學生開展的專業(yè)化的教學方式,是可以將教學、技術科學地融入一起的專業(yè)技術能力。中專教師為了確保計算機網(wǎng)絡教學達到預定的目標,需要在教學過程中進行教學的監(jiān)控。教學過程的監(jiān)控是課堂教學中非常重要的環(huán)節(jié),教師本身的素質(zhì)、課堂教學的環(huán)境以及信息多媒體設備等都需要在監(jiān)控下展開。
計算機網(wǎng)絡教學的評價
教學質(zhì)量的評價是教學過程中不能缺少的部分,也是驗證教學的目的是否實現(xiàn)的重要途徑。計算機網(wǎng)絡技術的教學效果的評價方式包括單個的和綜合性的評價。單個的評價方式就是對學生的聽課的效果的評價,是通過課堂的回答問題的方式來進行的。綜合性的評價,就是教師在進行正常的任務的布置之外,在課下布置一些與教學相關的實際性的問題。
計算機網(wǎng)絡教學,實現(xiàn)了中專教學由教師和學生一起通過計算機網(wǎng)絡來共同學習和完成教學的目標。教師通過網(wǎng)絡布置的任務,學生通過對任務資料的收集和教師在網(wǎng)上的指導,跟教師進行知識的交流和溝通。學生能夠在這樣的過程中明白怎樣得到知識的資源,使理論知識得到實際應用。使學生的潛在的能力被挖掘出來,并且提高了學生的學習成績,增強了教學效果。
第4篇:計算機畢業(yè)論文范文
試議自動化儀表與計算機在現(xiàn)代化大生產(chǎn)中的應用
摘要:高新技術和計算機上在各種生產(chǎn)生活領域中的應用越來越普遍,不僅實現(xiàn)了設備和儀器的功能上的升級,還對自動化管理進行了的改善,計算機技術的這種大規(guī)模的應用無疑是相較于傳統(tǒng)生產(chǎn)管理技術更加適合社會 化大生產(chǎn)的。
關鍵詞動化儀表計算機現(xiàn)代化生產(chǎn)應用
就目前我國現(xiàn)代化生產(chǎn)的目前狀況來看,自動化相關技術和計算機技術的應用已經(jīng)大大的提高了生產(chǎn)效率,實現(xiàn)了更加全方位的生產(chǎn)運轉和系統(tǒng)管理。由于生產(chǎn)過程中需要實現(xiàn)對各種數(shù)據(jù)以及設備運轉狀況的檢測,所以自動化的儀表管理也是現(xiàn)代化企業(yè)生產(chǎn)管理的一個重要組成部分。現(xiàn)代化儀表的管理活動應該根據(jù)儀表的功能和型號的不同進行劃分,并且還要對其運轉的溫度和環(huán)境進行實時的監(jiān)控。1現(xiàn)代化大生產(chǎn)中使用的幾種常見儀表的種類 1、1溫度儀表
所謂溫度儀表,就是對生產(chǎn)環(huán)境的溫度進行檢測的一種測量儀器,這種儀表是應用范圍最廣也是最常見的一種,因為大多數(shù)的生產(chǎn)車間都需要對溫度進行有效的監(jiān)管和制約,溫度過高會使運轉中的儀器存在安全隱患,而溫度過低則會不利于工作人員的工作狀態(tài),所以溫度儀表是目前我國生產(chǎn)過程中最常見的儀表之一,其主要的工作原理是通過對儀器進行接觸式的電阻感應,實現(xiàn)溫度的測量。1、2壓力儀表
所謂壓力儀表,指的就是在生產(chǎn)過程中對施加在被測物體上的各種壓力進行測量的一種儀表,這種儀表的最大的特點是能夠實現(xiàn)對300Mpa以內(nèi)的力的壓強的測量,并且可以根據(jù)液柱、彈性等不同的原理,對待測物體所承受的壓強進行顯示。一旦超過設定的最高壓強界限,就會自動引起警告。1、3物位儀表
所謂物位儀表的應用,就是指在生產(chǎn)設備的運轉過程中,對儀器內(nèi)以及容器內(nèi)的流體高度或者固體位置進行的一種測量,這種測量的目的在于確自動化儀表與計算機在現(xiàn)代化大生產(chǎn)中的定物體的位置和范圍,以便與對容器的含量進行制約,同樣的一旦超出合理范圍,該儀表就會發(fā)出警告信號。1、4流量儀表
所謂流量儀表,是指對流動中的各種能量的運轉狀況進行測量的一種儀表,所以一般來說,被應用于電磁流量和超聲波流量的測量活動中,作為目前來說技術最先進也是用途最前沿的一種測量儀表,流量儀表未來的市場前景和發(fā)展空間都被普遍看好。1、5在線過程分析儀器
所謂在線過程分析儀器,就是對生產(chǎn)設備在一定時間內(nèi)的各種運轉指標和參數(shù)進行統(tǒng)一的制約和管理的一種儀器,這種儀器不僅能夠實現(xiàn)對生產(chǎn)設備的溫度和壓力的測量,還能夠根據(jù)既定系統(tǒng)的設置,對其運轉狀況進行簡單的分析,也就是說,可以實現(xiàn)對運轉狀況的調(diào)試,以滿足目前的生產(chǎn)運轉需要。這種過程分析儀器,不僅實現(xiàn)了基本的測量功能,還實現(xiàn)了初步的自動化管理功能。1、6執(zhí)行器
所謂執(zhí)行器,就是指在對生產(chǎn)設備的應用過程中,通過結合對定位器的使用來實現(xiàn)對生產(chǎn)設備的調(diào)節(jié)閥的制約和管理,以此來保證設備的安全和穩(wěn)定運轉。一般來說,目前我國的執(zhí)行器的主要種類為液動執(zhí)行器,這種執(zhí)行器的作用原理是通過對其中的氣動薄膜的調(diào)控來實現(xiàn)的。
2自動化儀表的應用目前狀況 2、1在高壓站防喘振系統(tǒng)的應用
高壓站指的就是生產(chǎn)車間內(nèi)部的為了達到一定生產(chǎn)效果所設置的高壓環(huán)境,在這個環(huán)節(jié)中要想實現(xiàn)對設備的自動化的管理和制約是比較難的。目前我國采用的高壓站的測量儀器主要是防喘振技術,其型號為DDZ-II,該測量儀表不僅具有自動調(diào)節(jié)的功能,還具備一定的運算能力,即可以在檢測的過程中實現(xiàn)對目前高壓站內(nèi)的進風速度和流量等參數(shù)進行統(tǒng)計,實現(xiàn)更好的高壓生產(chǎn)環(huán)境檢測。這種系統(tǒng)的應用最大的效果就是可以簡化高壓站內(nèi)的設備運轉狀況的實時檢測,還可以簡化操作步驟。
對于這一系統(tǒng)當中防喘振的實現(xiàn)來講,主要就是通過對壓力以及流量這兩個參數(shù)進行測量,之后由調(diào)節(jié)器pID來進行運算,從而把輸出制約氣動閥計算出來。具體來講,比值給定的Y=KX+b氣動閥調(diào)節(jié)的最小開度范圍應該是10%~15%,其安全的余度范圍應該在8%~10%之間,同時應該要確保壓縮機出口的壓力應該為0、9Mpa,確保入口的流量應該是350m3/min,只有在滿足這些情況之下,才能夠對系統(tǒng)的安全運轉提供保證。需要指出的是K所表示的是比值,X所表示的是輸入,b所表示的是定值。2、2在基于STD-pC計算機核心的系統(tǒng)中的應用
對于這一過程的實現(xiàn)主要就是通過對堿液流量、堿液密度、下料量以及磨機功率等等的測量,來將所測得的數(shù)據(jù)作為采樣的信號,從而來對其加以合理的調(diào)節(jié)制約,通過此來時的整個生產(chǎn)工藝的制約達到自動化的目的。具體的參數(shù)是:電磁流量計采用的型號是pULSMAGNDMI6532,這一型號的量程為50~150m3/h;核子稱為HCS;放射源為Cr137;輸出4~20mADC;核密度計采用的是型號是NNF-215,這一型號的放射源是Cr137;輸出是4~20mADC。
具體系統(tǒng)制約的實現(xiàn)主要從兩個方面來進行,第一,堿液調(diào)配系統(tǒng)。所謂堿液的調(diào)配系統(tǒng),就是指通過對既定的堿液的配置比例的分析,可以實現(xiàn)自動化的相關溶液的配置,也就是說能夠通過系統(tǒng)的自動制約發(fā)出動作,對各個配置環(huán)節(jié)進行逐一的操作。這個過程中還需要電磁流量計、密度計以及核子稱等各種設備的配合。第二,測量顯示。所謂測量顯示,就是在堿液的配置過程中,能夠實現(xiàn)對各個操作步驟的進行情況的顯示,這樣也就實現(xiàn)了對配置過程的一個系統(tǒng)的自我監(jiān)控,一旦發(fā)現(xiàn)操作過程不符合操作要求,就會及時的發(fā)出警報信號,終止或者改善這種調(diào)配活動。此外,測量顯示還體現(xiàn)在對設備的運轉功能的顯示,主要是通過磨機功率變送器來把同步機的功率轉換成為4~20mA的信號,并輸入至計算機,予以顯示出來。對于各個倉槽料位的設定來講,主要就是通過電容式料位開關來把上限和下限確定好,之后,將開關量以及計算機接口輸出,之后通過輸入通道由計算機來把開關量轉換成為0、1這樣的信息。這里需要注意的是,對于原料磨這一工藝來講,主要采用STD-pC這一系統(tǒng)來進行自動制約的,通過此,能過使得產(chǎn)品的質(zhì)量得到保證,能夠使得生產(chǎn)的成本得到降低,能夠大大提升工作的效率。
3結語 綜上所述,近些年來自動化儀表在不斷地應用發(fā)展當中獲得了巨大地成效,未來的生產(chǎn)管理和系統(tǒng)監(jiān)控也必定會朝著自動化的方向發(fā)展,所以,有關部門和技術人員應該加強對自動化儀表的應用狀況的分析和檢測,不斷的完善自動化儀表的設備和技術,從而使自動化儀表朝著更加完善的方向發(fā)展,不斷的推動我國的生產(chǎn)水平的提高。
參考文獻
1高海平。自動化儀表調(diào)節(jié)閥故障分析與策略研究J。魅力中國,2016(12)。
2陳軍,劉國明,蔣德華。石油化工自動化儀表的淺析J。化學工程與裝備,2016(4)。
第5篇:計算機網(wǎng)絡安全管控技能與方案
教師要注重教學方法,培養(yǎng)學生學習興趣
(1)教師要做好新課的導入工作,吸引學生的注意力,變被動學習為主動學習。對于計算機網(wǎng)絡這門抽象的課程,學生學習時的主動性都不太高,所以教師在認真?zhèn)湔n的同時,要想想如何才能吸引學生的注意力,使其感興趣。另外,教師要注意課堂時間的配置,保證上課節(jié)奏的緊湊,減少學生“開小差”的時間。教師可及時提出一些問題,讓注意力不集中的學生及時地“回到”課堂中。
(2)教師教學時要注意理論聯(lián)系實際,讓學生知道如何運用所學知識解決實際問題,達到一定的教學效果。教師授課時應該及時將學科前沿、科研成果與經(jīng)驗引入到教學活動中,既避免了教學過程中理論與實踐的脫節(jié),又保證了教學內(nèi)容新穎生動,教學效果良好。
(3)教師可以考慮改變講授地點,直接在計算機機房進行教學。計算機網(wǎng)絡是一門實踐操作課程,除了少數(shù)純理論的章節(jié)在教室講解外,其余課程均可在機房內(nèi)操作學習,盡量使學生邊學邊練,在大量的練習中掌握知識點。教師在機房的講授過程中可以適當讓學生先動手自己操作,出現(xiàn)錯誤或者遇到不會的知識點時,教師從旁指導,使學生更快更好地掌握相對應的知識。
(4)教師可以探究型教學法為主進行教學。有些老師認為計算機網(wǎng)絡是一門新的課程,而且比較抽象,所以主要會采用授導型教學,但是這樣出現(xiàn)的后果是學生們思考的較少,老師教的偏多,不能調(diào)動學生學的同時及時思考,最終無法達到知識的融會貫通。如果嘗試在計算機網(wǎng)絡學習中采用探究型教學法,則能使學生產(chǎn)生積極完成任務的動機,老師再帶領學生對學習任務進行剖析,使學生能在學習中發(fā)現(xiàn)問題、解決問題,逐步豐富他們的學習經(jīng)驗,培養(yǎng)提高他們獨立完成任務的能力。
(5)可以采用老師布置任務、學生分組實驗的方法進行計算機網(wǎng)絡實驗教學。實驗教學不僅是學生獲取知識、鞏固知識的重要手段,更是培養(yǎng)學生思考能力、動手能力、創(chuàng)新能力不可或缺的環(huán)節(jié)。而在實驗教學中,學生分組實驗作用大,效果明顯,成功的分組實驗,既可以讓學生獲取新的知識,加深對網(wǎng)絡知識的理解,又可以讓學生在探究的快樂中激發(fā)出濃厚的學習興趣。分組實驗往往是3~4人一組,這樣可以培養(yǎng)學生的合作意識、團隊意識,共同探討完成實驗。最后,老師盡可能在短時間內(nèi)對實驗進行總結評估,以加深學生對知識的理解與掌握,確保實驗課的效果。
在總結評估時,既要對學生做得好的地方進行表揚,也要客觀地指出實驗中存在的問題,尤其對錯誤的操作要重點指出,組織學生討論,讓學生明白:實驗時當然要力求成功,但也允許失敗,失敗了,就要弄清楚失敗的原因。
要想學好計算機網(wǎng)絡,需要一個長期的過程。對于剛入門的學生,我會提出讓其課后繼續(xù)學習計算機網(wǎng)絡的要求,并幫助學生解決其在現(xiàn)實生活中遇到的關于計算機網(wǎng)絡方面的問題,從而使學生能真正學精這門課程。
第6篇:淺議計算機網(wǎng)絡管理系統(tǒng)的目前狀況及發(fā)展趨勢
摘要:文章介紹了計算機網(wǎng)絡管理系統(tǒng)的基本知識,并對計算機網(wǎng)絡管理系統(tǒng)的應用目前狀況及存在的理由進行了分析,最后提出了計算機網(wǎng)絡管理系統(tǒng)未來的發(fā)展趨勢。
關鍵詞網(wǎng)絡管理SNMp目前狀況發(fā)展趨勢
進入20世紀90年代以來,隨著計算機的普及以及計算機技術和通訊技術的發(fā)展,網(wǎng)絡也越來越快地走近我們,計算機網(wǎng)絡已成為當今信息時代的支柱。計算機與通信的結合產(chǎn)生了計算機網(wǎng)絡,信息社會對計算機網(wǎng)絡的依賴,又使得計算機網(wǎng)絡本身運轉的可靠性變得至關重要,向網(wǎng)絡的管理運轉提出了更高的要求。網(wǎng)絡系統(tǒng)的維護與管理日趨繁雜,網(wǎng)絡管理人員用人工策略管理網(wǎng)絡已無法可靠、迅速地保障網(wǎng)絡的正常運轉;無法滿足當前開放式異種機互聯(lián)網(wǎng)絡環(huán)境的需要,人們迫切地需要用計算機來管理網(wǎng)絡,提高網(wǎng)絡管理水平,使信息安全,快捷地傳遞。于是計算機網(wǎng)絡管理系統(tǒng)便應運而生了。
1計算機網(wǎng)絡管理系統(tǒng)的基本知識 1、1計算機網(wǎng)絡管理系統(tǒng)的概念
計算機網(wǎng)絡管理就是收集網(wǎng)絡中各個組成部分的靜態(tài)、動態(tài)地運轉信息,并在這些信息的基礎上進行分析和做出相應的處理,以保證網(wǎng)絡安全、可靠、高效地運轉,從而合理分配網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載,優(yōu)化網(wǎng)絡性能、減少網(wǎng)絡維護費用 1、2網(wǎng)絡管理系統(tǒng)的基本構成
概括地說,一個典型的網(wǎng)絡管理系統(tǒng)包括四個要素:管理員、管理代理、管理信息數(shù)據(jù)庫、代理服務設備。1、2、1管理員
實施網(wǎng)絡管理的實體,駐留在管理工作站上。它是整個網(wǎng)絡系統(tǒng)的核心,完成復雜網(wǎng)絡管理的各項功計算機網(wǎng)絡管理系統(tǒng)的目前狀況及發(fā)展趨勢。網(wǎng)絡管理系統(tǒng)要求管理代理定期收集重要的設備信息,收集到的信息將用于確定單個網(wǎng)絡設備、部分網(wǎng)絡或整個網(wǎng)絡運轉的狀態(tài)是否正常。1、2、2管理代理
網(wǎng)絡管理代理是駐留在網(wǎng)絡設備中的軟件模塊,它可以獲得本地設備的運轉狀態(tài)、設備特性、系統(tǒng)配置等相關信息,通過制約設備的管理信息數(shù)據(jù)庫(MIB)中的信息來管理該設備。1、2、3管理信息庫
它存儲在被管理對象的存儲器中,管理庫是一個動態(tài)刷新的數(shù)據(jù)庫,它包括網(wǎng)絡設備的配置信息,數(shù)據(jù)通信的統(tǒng)計信息,安全性信息和設備特有信息。這些信息、被動態(tài)送往管理器,形成網(wǎng)絡管理系統(tǒng)的數(shù)據(jù)來源。1、2、4代理設備和管理協(xié)議
代理設備在標準網(wǎng)絡管理軟件和不直接支持該標準協(xié)議的系統(tǒng)之間起橋梁作用。利用代理設備,不需要升級整個網(wǎng)絡就可以實現(xiàn)從舊協(xié)議到新版本的過渡。對于網(wǎng)絡管理系統(tǒng)來說,重要的是管理員和管理代理之間所使用的網(wǎng)絡管理協(xié)議,如SNMp,和它們共同遵循的MIB庫。1、3網(wǎng)絡管理系統(tǒng)的功能
ISO在ISO/IEC7498-4文檔中定義了網(wǎng)絡管理的五大功能,即配置管理、故障管理、性能管理、計費管理與安全管理。故障管理:其主要功能是故障檢測、發(fā)現(xiàn)、報告、診斷和處理。配置管理:其主要功能包括網(wǎng)絡的拓撲結構關系、監(jiān)視和管理網(wǎng)絡設備的配置情況,根據(jù)事先定義的條件重構網(wǎng)絡等。性能管理:監(jiān)測網(wǎng)絡的各種性能數(shù)據(jù),進行閾值檢查,并自動地對當前性能數(shù)據(jù)、歷史數(shù)據(jù)進行分析。安全管理:主要是對網(wǎng)絡資源訪問權限的管理。包括用戶認證、權限審批和網(wǎng)絡訪問制約(防火墻)等功能。計費管理:主要是根據(jù)網(wǎng)絡資源使用情況進行計帳。1、4網(wǎng)絡管理協(xié)議
由于網(wǎng)絡中廣泛存在著多廠家、異構異質(zhì)和固有的分布性等特點,人們才在網(wǎng)絡管理中引入了標準,以規(guī)范網(wǎng)絡設備的生產(chǎn)和網(wǎng)絡管理系統(tǒng)的開發(fā)。這種標準就是網(wǎng)絡管理協(xié)議。目前最有影響的網(wǎng)絡管理協(xié)議是SNMp(簡單網(wǎng)絡管理協(xié)議)和CMIS/CMIp(公共管理信息協(xié)議),它們也代表了目前兩大網(wǎng)絡管理解決方案。SNMp是建立在TCp/Ip協(xié)議之上,用TCp/Ip協(xié)議的傳輸層協(xié)議UDp(用戶據(jù)報協(xié)議)作為傳輸協(xié)議。
2計算機網(wǎng)絡管理系統(tǒng)的應用目前狀況及存在的理由
關于計算機網(wǎng)絡管理,早在80年代,我國就開始注意網(wǎng)絡管理技術的發(fā)展,并己著手進行研究,二十年來雖然取得了一些成績,但還是存在一些理由。總的來說,我國的網(wǎng)絡管理水平還比較低,目前也沒有通用的網(wǎng)管平臺開發(fā)出來。
由于網(wǎng)絡管理系統(tǒng)對一個網(wǎng)絡系統(tǒng)的高效運轉非常重要,所以在我國大力推廣網(wǎng)絡管理系統(tǒng)的研究與應用非常迫切。為此,在應用方面我們要采取引進與自主開發(fā)相結合的方式。在研究方面,應盡可能跟蹤國外的先進技術,并開展自己的研究。因此,我們應積極開展同國外的合作,吸收和利用國外的先進技術,推廣網(wǎng)絡管理技術在我國的應用,以提高網(wǎng)絡在我國的應用效率和作用。
3計算機網(wǎng)管管理系統(tǒng)的發(fā)展趨勢
現(xiàn)在的計算機網(wǎng)絡管理系統(tǒng)開始向應用層次滲透。傳統(tǒng)的計算機網(wǎng)絡管理系統(tǒng)所注意的對象就是處在網(wǎng)絡層的各種網(wǎng)絡設備,利用SNMp來制約和管理設備,以設備或者說設備集為中心。現(xiàn)在用戶在網(wǎng)上的應用增加,應用對網(wǎng)絡帶寬的要求也越來越高了。因此,在現(xiàn)有的網(wǎng)絡帶寬有限的情況下,為了更好的利用帶寬資源,必須轉變原來不區(qū)分服務內(nèi)容的傳輸,而是根據(jù)服務的內(nèi)容,給各個應用提供高質(zhì)量的服務。然而,盡管網(wǎng)絡管理技術多種多樣、各具特色,但是隨著標準化活動的開展及系統(tǒng)互聯(lián)的需要,網(wǎng)絡管理發(fā)展有如下趨勢: 3、1實現(xiàn)分布式網(wǎng)絡管理
分布式對象的核心是解決對象跨平臺連接的和交互的理由,以實現(xiàn)分布式應用系統(tǒng),象OMG組織提出的CORBA就是較理想的平臺。分布式網(wǎng)管就是設立多個域管理進程,域管理進程負責管理本域的管理對象,同時進程間進行協(xié)調(diào)和交互,以完成對全局網(wǎng)的管理。3、2實現(xiàn)綜合化網(wǎng)絡管理
綜合化網(wǎng)絡管理要求網(wǎng)絡管理系統(tǒng)提供多種級制的管理支持。通過一個操作臺實現(xiàn)對各個子網(wǎng)的透視;對所管業(yè)務的了解以及提供對故障的定位和排除的支持。即實現(xiàn)對互聯(lián)的多個網(wǎng)絡的管理。隨著網(wǎng)絡管理的重要性越來越突出,各種各樣的網(wǎng)絡管
理系統(tǒng)便應運而生。這些管理系統(tǒng)有管理SDH網(wǎng)絡的,有管理Ip網(wǎng)絡的等等。一方面,這些網(wǎng)絡管理系統(tǒng)所管理的網(wǎng)絡存在互連或互相依賴的關系;另一方面存在多個網(wǎng)管系統(tǒng),相互獨立,分管網(wǎng)絡的不同部分。
3、3實現(xiàn)對業(yè)務的監(jiān)控功能傳統(tǒng)網(wǎng)管都是針對網(wǎng)絡設備的管理,并不能直接反應出設備故障對業(yè)務的影響。目前有些網(wǎng)管產(chǎn)品已經(jīng)實現(xiàn)對進程的監(jiān)控。對于客戶來說,他們注重于所得到的服務,像節(jié)目的多少、節(jié)目的質(zhì)量等,因此,對服務、業(yè)務計算機網(wǎng)絡管理系統(tǒng)的目前狀況及發(fā)展趨勢的監(jiān)控將是網(wǎng)管進一步的管理目標。3、4實現(xiàn)智能化管理
支持策略管理和網(wǎng)絡管理系統(tǒng)本身的自診斷、自調(diào)整。采用人工智能技術進行維護、診斷、排除故障及維護網(wǎng)絡運轉在最佳狀態(tài)成為必定趨勢。必須用智能化策略對涉及性能下降所相關的網(wǎng)絡資源進行監(jiān)控,執(zhí)行必要的操作。3、5實現(xiàn)基于web的管理
通過使用web瀏覽器在網(wǎng)絡的任何節(jié)點上去監(jiān)測、制約網(wǎng)絡及各子網(wǎng)的管理功能。基于web的管理以其統(tǒng)一、友好的界面風格,地理和系統(tǒng)上的可移動性以及系統(tǒng)平臺的獨立性吸引著越來越多的用戶和開發(fā)商。
目前的計算機網(wǎng)絡管理功能僅是實現(xiàn)了該網(wǎng)絡管理系統(tǒng)功能開發(fā)和應用的一部分,離整個計算機網(wǎng)絡管理功能的實現(xiàn)還有一定差距,今后可在這方面作進一步研究和開發(fā),以完善其管理。
第二篇:計算機論文
畢業(yè)論文
學院:
專業(yè):
班級:
姓名:
淺談計算機網(wǎng)絡安全策略
考號:姓名:李延權
摘 要:
在短短的幾年時間里,從以提供和保證網(wǎng)絡聯(lián)通性為主要目標的第一代Internet技術向以提供網(wǎng)絡數(shù)據(jù)信息服務為特征的第二代Internet技術,在到第三代以internet互聯(lián)技術為基礎的信息網(wǎng)絡時代。所有這些,都促使了計算機網(wǎng)絡互聯(lián)技術迅速的大規(guī)模使用,極大地方便了各種計算機連網(wǎng),拓寬了共享資源。同時也突出了一個很嚴重的問題,那就是網(wǎng)絡安全的問題。
關鍵詞:網(wǎng)絡;安全;防火墻
隨著計算機網(wǎng)絡技術的發(fā)展,社會的需求等諸多問題都體現(xiàn)了互聯(lián)網(wǎng)的重要性。無論是我們的政府機構、軍事基地,還是各大企業(yè)以及各高校都相繼有了自己的內(nèi)部和外部網(wǎng)絡。而網(wǎng)絡安全問題也是我們急需要解決的問題。小到個人的電腦系統(tǒng)癱瘓、帳號被盜,大到政府、軍方重要的機密資料,財政資料數(shù)據(jù)被非法查看修改等等。
一般認為,計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。目前,人們也開始重視來自網(wǎng)絡內(nèi)部的安全威脅。黑客攻擊早在主機終端時代就已經(jīng)出現(xiàn),隨著Internet的發(fā)展,現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉變到以網(wǎng)絡為主的攻擊。新的手法包括:通過網(wǎng)絡監(jiān)聽獲取網(wǎng)上用戶的帳號和密碼;監(jiān)聽密鑰分配過程,攻擊密鑰管理服務器,得到密鑰或認證碼,從而取得合法資格;利用UNIX操作系統(tǒng)提供的守護進程的缺省帳戶進行攻擊,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻擊能力;利用SendMail,采用debug、wizard和pipe等進行攻擊;利用FTP,采用匿名用戶訪問進行攻擊;利用NFS進行攻擊;通過隱藏通道進行非法活動;突破防火墻等等。目前,已知的黑客攻擊手段多達500余種。拒絕服務攻擊是一種破壞性攻擊,最早的拒絕服務攻擊是“電子郵件炸彈”。它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務的運行,嚴重時會使系統(tǒng)關機、網(wǎng)絡癱瘓。
根據(jù)美國FBI(美國聯(lián)邦調(diào)查局)的調(diào)查,美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部。而僅有59%的損失可以定量估算。在中國,針對銀行、證券等金融領域的計算機系統(tǒng)的安全問題所造成的經(jīng)濟損失金額已高達數(shù)億元,針對其他行業(yè)的網(wǎng)絡安全威脅也時有
發(fā)生。
由此可見,無論是有意的攻擊,還是無意的誤操作,都將會給系統(tǒng)帶來不可估量的損失。所以,計算機網(wǎng)絡必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中,網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。
一、網(wǎng)絡安全的理論基礎
國際標準化組織(ISO)曾建議計算機安全的定義為:“計算機系統(tǒng)要保護其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區(qū)分和解決計算機網(wǎng)絡安全問題,美國國防部公布了“桔皮書”(orange?book,正式名稱為“可信計算機系統(tǒng)標準評估準則”?),對多用戶計算機系統(tǒng)安全級別的劃分進行了規(guī)定。
桔皮書將計算機安全由低到高分為四類七級:D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級,C1和C2級是具備最低安全限度的等級,B1和B2級是具有中等安全保護能力的等級,B3和A1屬于最高安全等級。
D1級:計算機安全的最低一級,不要求用戶進行用戶登錄和密碼保護,任何人都可以使用,整個系統(tǒng)是不可信任的,硬件軟件都易被侵襲。
C1級:自主安全保護級,要求硬件有一定的安全級(如計算機帶鎖),用戶必須通過登錄認證方可使用系統(tǒng),并建立了訪問許可權限機制。
C2級:受控存取保護級,比C1級增加了幾個特性:引進了受控訪問環(huán)境,進一步限制了用戶執(zhí)行某些系統(tǒng)指令;授權分級使系統(tǒng)管理員給用戶分組,授予他們訪問某些程序和分級目錄的權限;采用系統(tǒng)審計,跟蹤記錄所有安全事件及系統(tǒng)管理員工作。
B1級:標記安全保護級,對網(wǎng)絡上每個對象都予實施保護;支持多級安全,對網(wǎng)絡、應用程序工作站實施不同的安全策略;對象必須在訪問控制之下,不允許擁有者自己改變所屬資源的權限。
B2級:結構化保護級,對網(wǎng)絡和計算機系統(tǒng)中所有對象都加以定義,給一個標簽;為工作站、終端等設備分配不同的安全級別;按最小特權原則取消權力無限大的特權用戶。B3級:安全域級,要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡系統(tǒng)內(nèi)部的主機上;采用硬件來保護系統(tǒng)的數(shù)據(jù)存儲區(qū);根據(jù)最小特權原則,增加了系統(tǒng)安全員,將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責分離,將人為因素對計算機安全的威脅減至最小。A1級:驗證設計級,是計算機安全級中最高一級,本級包括了以上各級別的所有措施,并附加了一個安全系統(tǒng)的受監(jiān)視設計;合格的個體必須經(jīng)過分析并通過這一設計;所有構成系統(tǒng)的部件的來源都必須有安全保證;還規(guī)定了將安全計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。
在網(wǎng)絡的具體設計過程中,應根據(jù)網(wǎng)絡總體規(guī)劃中提出的各項技術規(guī)范、設備類型、性能要求以及經(jīng)費等,綜合考慮來確定一個比較合理、性能較高的網(wǎng)絡安全級別,從而實現(xiàn)網(wǎng)絡的安全性和可靠性。
二、?網(wǎng)絡安全應具備的功能
為了能更好地適應信息技術的發(fā)展,計算機網(wǎng)絡應用系統(tǒng)必須具備以下功能:
(1)訪問控制:通過對特定網(wǎng)段、服務建立的訪問控制體系,將絕大多數(shù)攻擊阻止在到達攻擊目標之前。
(2)檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數(shù)攻擊無效。
(3)攻擊監(jiān)控:通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系,可實時檢測出絕大多數(shù)攻擊,并采取響應的行動(如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等)。
(4)加密通訊:主動地加密通訊,可使攻擊者不能了解、修改敏感信息。
(5)認證:良好的認證體系可防止攻擊者假冒合法用戶。
(6)備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數(shù)據(jù)和系統(tǒng)服務。
(7)多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。
(8)?設立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務。
三、?網(wǎng)絡系統(tǒng)安全綜合解決措施
要想實現(xiàn)網(wǎng)絡安全功能,應對網(wǎng)絡系統(tǒng)進行全方位防范,從而制定出比較合理的網(wǎng)絡安全體系結構。下面就網(wǎng)絡系統(tǒng)的安全問題,提出一些防范措施。
物理安全:
物理安全可以分為兩個方面:一是人為對網(wǎng)絡的損害;二是網(wǎng)絡對使用者的危害。
最常見的是施工人員由于對地下電纜不了解,從而造成電纜的破壞,這種情況可通過立標志牌加以防范;未采用結構化布線的網(wǎng)絡經(jīng)常會出現(xiàn)使用者對電纜的損壞,這就需要盡量采用結構化布線來安裝網(wǎng)絡;人為或自然災害的影響,需在規(guī)劃設計時加以考慮。
網(wǎng)絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等,這需要對網(wǎng)絡的絕緣、接地和屏蔽工作做好。
實施方案可以從以下幾個方面考慮。
1.PC機
1.1 PC終端機
對于終端機來說,我們應該把一切的系統(tǒng)漏洞全部打上補丁。像360安全衛(wèi)士是一款不錯的實用、功能強大的安全軟件。里面有“修復系統(tǒng)漏洞”選項,我們只要點擊掃描,把掃描到的系統(tǒng)漏洞,點擊下載安裝,并且都是自動安裝,安裝完就可以了。
1.2 安裝殺毒軟件
比如說中國著名的瑞星殺毒軟件,從瑞星官方網(wǎng)站下載,下載完,安裝簡體版就可以了。安裝完之后,就進行全盤查毒。做到客戶機沒有病毒。讓電腦處于無毒環(huán)境中。也可以在【開始-運行】中輸入【sigverif】命令,檢查系統(tǒng)的文件有沒有簽名,沒有簽名的文件就有可能是被病毒感染了。可以上網(wǎng)查詢之后,進行刪除。
1.3 防火墻
打好系統(tǒng)漏洞補丁,安裝好殺毒軟件之后,就是安裝防火墻像瑞星防火墻,天網(wǎng)防火墻以及風云防火墻等。風云防火墻是一款功能強大的防火墻軟件,它不僅僅能防病毒,還能防現(xiàn)在很是厲害的ARP病毒。
1.4 用戶設置
把Administrator超級用戶設置密碼,對不同的用戶進行用戶權限設置。
2.網(wǎng)絡安全分析
2.1 網(wǎng)絡安全分析
網(wǎng)絡安全分析主要從網(wǎng)絡層次考慮,將網(wǎng)絡系統(tǒng)設計成一個支持各級別用戶或用戶群的安全網(wǎng)絡,該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡安全的同時,還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡的安全互連。本方案在保證網(wǎng)絡安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障,數(shù)據(jù)庫不被非法訪問和破壞,系統(tǒng)不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。
3.解決方案
3.1 防火墻技術
防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個
分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動,保證了內(nèi)部網(wǎng)絡地安全;在物理實現(xiàn)上,防火墻是位于網(wǎng)絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng),也可以在一個進行網(wǎng)絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結構:
(1)屏蔽路由器:又稱包過濾防火墻。
(2)雙穴主機:雙穴主機是包過濾網(wǎng)關的一種替代。
(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。
(4)屏蔽子網(wǎng)結構:這種防火墻是雙穴主機和被屏蔽主機的變形。
3.2 VPN技術
VPN技術主要提供在公網(wǎng)上的安全的雙向通訊,采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。
VPN技術的工作原理:VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上實現(xiàn)安全通信,它采用復雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。其處理過程大體是這樣:?
①?要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備;?
②?VPN設備根據(jù)網(wǎng)管設置的規(guī)則,確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。?③?對需要加密的數(shù)據(jù),VPN設備對整個數(shù)據(jù)包進行加密和附上數(shù)字簽名。?
④?VPN設備加上新的數(shù)據(jù)報頭,其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。?
⑤?VPN設備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝,重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。?
⑥?當數(shù)據(jù)包到達目標VPN設備時,數(shù)據(jù)包被解封裝,數(shù)字簽名被核對無誤后,數(shù)據(jù)包被解密。?
3.3 網(wǎng)絡加密技術(Ipsec)
IP層是TCP/IP網(wǎng)絡中最關鍵的一層,IP作為網(wǎng)絡層協(xié)議,其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此,IP安全是整個TCP/IP安全的基礎,是網(wǎng)絡安全的核心。IPSec提供的安全功能或服務主要包括:
(1)訪問控制;
(2)無連接完整性;
(3)數(shù)據(jù)起源認證;
(4)抗重放攻擊;
(5)機密性;
(6)有限的數(shù)據(jù)流機密性。
3.4基于PKI的認證
使用PKI(公開密鑰體系)進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術,很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
3.5 身份認證
任何良好的安全系統(tǒng)必須包括加密!這已成為既定的事實。網(wǎng)絡上的加密可以分為三層:第一層為數(shù)據(jù)鏈路層加密,即將數(shù)據(jù)在線路傳輸前后分別對其進行加密和解密,這樣可以減少在傳輸線路上被竊取的危險;第二層是傳輸層的加密,使數(shù)據(jù)在網(wǎng)絡傳輸期間保持加密狀態(tài);第三層是應用層上的加密,讓網(wǎng)絡應用程序對數(shù)據(jù)進行加密和解密。當然可以對這三層進行綜合加密,以增強信息的安全性和可靠性。
數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法,它主要通過加密算法和證實協(xié)議而實現(xiàn)
3.6User?Name/Password認證
該種認證方式是最常用的一種認證方式,用于操作系統(tǒng)登錄、telnet(遠程登錄)、rlogin(遠程登錄)等,但此種認證方式過程不加密,即password容易被監(jiān)聽和解密。
3.7使用摘要算法的認證
Radius(遠程撥號認證協(xié)議)、OSPF(開放路由協(xié)議)、SNMP?Security?Protocol等均使用共享的Security?Key(密鑰),加上摘要算法(MD5)進行認證,但摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security?key,所以敏感信息不能在網(wǎng)絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。
四、安全管理隊伍的建設。
在計算機網(wǎng)絡系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證,只有通過網(wǎng)絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網(wǎng)絡內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力,才能使計算機網(wǎng)絡的安全可靠得到保障,從而使廣大網(wǎng)絡用戶的利益得到保障。
總之,網(wǎng)絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網(wǎng)絡安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
結論
綜上所述,對于計算機網(wǎng)絡傳輸?shù)陌踩珕栴},我們必須要做到以下幾點。第一,應嚴格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源,這一功能可通過在訪問服務器上設置NetScreen防火墻來實現(xiàn)。第二,應加強對上網(wǎng)用戶的身份認證,使用RADIUS等專用身份驗證服務器。一方面,可以實現(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理;另一方面,在身份驗證過程中采用加密的手段,避免用戶口令泄露的可能性。第三,在數(shù)據(jù)傳輸過程中采用加密技術,防止數(shù)據(jù)被非法竊取。一種方法是使用PGP?for?Business?Security對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時,也提供了針對單機用戶的加密客戶端軟件,即采用軟件加密的技術來保證數(shù)據(jù)傳輸?shù)陌踩浴*?/p>
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發(fā)送者是否曾發(fā)送過該條消息的問題。本論文從多方面描述了網(wǎng)絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網(wǎng)絡中的服務,數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網(wǎng)絡安全問題的解決,可以使我們對網(wǎng)絡安全技術的更深刻的了解。
參考文獻:
[1]??蔡皖東.計算機網(wǎng)絡技術.西安電子科技大學出版社,?1998.[2]??杜飛龍.?Internet原理與應用.人民郵電出版社,?1997.[3]??胡道元.信息網(wǎng)絡系統(tǒng)集成技術.清華大學出版社,?1995.[4]??楊明福.計算機網(wǎng)絡.電子工業(yè)出版社,?1998.5.[5]??袁保宗.因特網(wǎng)及其應用.吉林大學出版社,?2000.[6]??隋紅建等.計算機網(wǎng)絡與通信.北京大學出版社,?1996.[7]??周明天等.TCP/IP網(wǎng)絡原理與應用.?清華大學出版社,?1993.[8]??計算機學報.?2007-2010.[9]??網(wǎng)絡報.?2008-2009.[10]?電腦報.?2007-2010.??w.studa.ne
第三篇:計算機安全論文
XXXXX學院 成人高等教育
畢
業(yè)
論
文
論文題目: 計算機網(wǎng)絡安全技術研究
姓
名
XXXXXX 院(系):
XXXXXX院
專業(yè)班級
(113474016)計算機科學與技術 學
號
2XXXXXX 指導教師
XXXX
XXXXX院繼續(xù)教育學院制
學生承諾書
本人承諾在畢業(yè)論文(設計)活動中遵守學校有關規(guī)定、恪守學術規(guī)范,在本人畢業(yè)論文(設計)內(nèi)容除特別注明和引用外,均為本人觀點,不存在剽竊、抄襲他人的學術觀點、思想和成果,不存在偽造、篡改實驗數(shù)據(jù)。如有違規(guī)行為發(fā)生,我愿承擔一切責任,接受學校的處理,并承擔相應的法律責任。
承諾人(簽名):
摘 要
21世紀的一些重要特征就是數(shù)字化,網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。隨著計算機互聯(lián)網(wǎng)技術的飛速發(fā)展,網(wǎng)絡信息已經(jīng)成為社會發(fā)展的重要組成部分。它涉及到政府、經(jīng)濟、文化、軍事等諸多領域。由于計算機網(wǎng)絡組成形式多樣性、終端分布廣和網(wǎng)絡的開放性、互聯(lián)性等特征,致使網(wǎng)絡信息容易受到來自黑客竊取、計算機系統(tǒng)容易受惡意軟件攻擊,因此,網(wǎng)絡信息資源的安全及管理維護成為當今信息話時代的一個重要話題。
文中首先論述了信息網(wǎng)絡安全內(nèi)涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡安全體系的必要性,以及網(wǎng)絡面臨的安全性威脅(黑客入侵)及管理維護(防火墻安全技術)。進一步闡述了網(wǎng)絡拓撲結構的安全設計,包括對網(wǎng)絡拓撲結構的分析和對網(wǎng)絡安全的淺析。然后具體講述了網(wǎng)絡防火墻安全技術的分類及其主要技術特征,防火墻部署原則,并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法做了簡要的分析,論述了其安全體系的構成。
關鍵詞:信息安全 網(wǎng)絡 防火墻 數(shù)據(jù)加密
目 錄
摘要...................................................................3 目錄...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 網(wǎng)絡安全技術的研究目的 意義和背景................................6 1.3 計算機網(wǎng)絡安全的含義..............................................7 第二章 網(wǎng)絡安全初步分析
2.1 網(wǎng)絡安全的必要性..................................................8 2.2 網(wǎng)絡的安全管理....................................................8 2.2.1安全管理原則...................................................8 2.2.2安全管理的實現(xiàn)...................................................8 2.3 采用先進的技術和產(chǎn)品
2.3.1 防火墻技術.....................................................9 2.3.2 數(shù)據(jù)加密技術...................................................10 2.3.3 認證技術.......................................................10 2.3.4 計算機病毒的防范...............................................10 2.4 常見的網(wǎng)絡攻擊及防范對策.......................................11 2.4.1 特洛伊木馬.....................................................11 2.4.2 郵件炸彈.......................................................11 2.4.3 過載攻擊........................................................12
2.4.4 淹沒攻擊.......................................................12 第三章
網(wǎng)絡攻擊分析................................................13 第四章
網(wǎng)絡安全技術................................................15 4.1 防火墻的定義和選擇...............................................15 4.2 加密技術.........................................................16 4.2.1 對稱加密技術...................................................16 4.2.2 非對稱加密/公開密鑰加密........................................16 4.2.3 RSA算法.......................................................16
4.3注冊與認證管理..................................................17 4.3.1 認證機構....................................................17 4.3.2 注冊機構....................................................18 4.3.3 密鑰備份和恢復..............................................18 4.3.4 證書管理與撤銷系統(tǒng)...........................................18
第五章 安全技術的研究
5.1 安全技術的研究現(xiàn)狀和方向....................................19 5.2 包過濾型....................................................19 5.3 代理型......................................................19
結束語.............................................................21 參 考 文 獻
第一章 引言
1.1 概述
我們知道, 21世紀的一些重要特征就是數(shù)字化,網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡,因為網(wǎng)絡可以非常迅速的傳遞信息。因此網(wǎng)絡現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟的基礎。
隨著計算機網(wǎng)絡的發(fā)展,網(wǎng)絡中的安全問題也日趨嚴重。當網(wǎng)絡的用戶來自社會各個階層與部門時,大量在網(wǎng)絡中存儲和傳輸?shù)臄?shù)據(jù)就需要保護。當人類步入21世紀這一信息社會、網(wǎng)絡社會的時候,我國將建立起一套完整的網(wǎng)絡安全體系,特別是從政策上和法律上建立起有中國特色的網(wǎng)絡安全體系。
一個國家的安全體系實際上包括國家的法律和政策,以及技術與市場的發(fā)展平臺。我國在構建信息信息防衛(wèi)系統(tǒng)時,應著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡安全問題,最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡安全技術的整體提高。
網(wǎng)絡安全產(chǎn)品有以下幾個特點:第一,網(wǎng)絡安全來源于安全策略與技術的多樣化,如果采用一種統(tǒng)一的技術和策略也就不安全了;第二,網(wǎng)絡的安全機制與技術要不斷的變化;第三,隨著網(wǎng)絡在社會各個方面的延伸,進入網(wǎng)絡的手段也越來越多,因此,網(wǎng)絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面,總是不斷的向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。
信息安全是國家發(fā)展所面臨的一個重要問題,對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我國未來數(shù)字化、網(wǎng)絡化、信息化的發(fā)展將起到非常重要的作用。
1.2 網(wǎng)絡安全技術的研究目的、意義和背景
目前計算機網(wǎng)絡面臨著很大的威脅,其構成的因素是多方面的。這種威脅將不斷給
社會帶來巨大的損失。網(wǎng)絡安全已被信息社會的各個領域所重視。
隨著計算機絡的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢;給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互聯(lián)性等特征,致使網(wǎng)絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊,所以網(wǎng)上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網(wǎng)絡、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)而言,其網(wǎng)上信息的安全性和保密性尤為重要。因此,上述的網(wǎng)絡必須要有足夠強的安全措施,否則該網(wǎng)絡將是個無用、甚至會危機國家安全的網(wǎng)絡。無論是在局域網(wǎng)中還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡的脆弱性,故此,網(wǎng)絡的安全措施應是能全方位的針對各種不同的威脅和網(wǎng)絡的脆弱性,這樣才能確保網(wǎng)絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通,研究計算機網(wǎng)絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網(wǎng)絡安全的管理及技術措施。
認真分析網(wǎng)絡面臨的威脅,我認為計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程,是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下,首先是各計算機網(wǎng)絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執(zhí)行各項安全制度,在此基礎上,再采用現(xiàn)金的技術和產(chǎn)品,構造全防衛(wèi)的防御機制,使系統(tǒng)在理想的狀態(tài)下運行。
1.3 計算機網(wǎng)絡安全的含義
計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化,使用者的不同,對網(wǎng)絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外,還要考慮如何應付突發(fā)的災害,軍事打擊等對網(wǎng)絡硬件的破壞,以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信,保持網(wǎng)絡通信的連續(xù)性。
從本質(zhì)上來講,網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件極其在網(wǎng)絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡安全既有技術方面的,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。
第二章 網(wǎng)絡安全初步分析
2.1 網(wǎng)絡安全的必要性
隨著計算機技術的不斷發(fā)展,計算機網(wǎng)絡已經(jīng)成為信息時代的重要特征。人們稱它為信息高速公路。網(wǎng)絡是計算機技術和通信技術的產(chǎn)物,適應社會對信息共享和信息傳遞的要求發(fā)展起來的,各國都在建設自己的信息高速公路。我國近年來計算機網(wǎng)絡發(fā)展的速度也很快,在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里,計算機網(wǎng)絡一定會得到極大的發(fā)展,那時將全面進入信息時代。正因為網(wǎng)絡應用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的。
2.2 網(wǎng)絡的安全管理
面對網(wǎng)絡安全的脆弱性,除了在網(wǎng)絡設計上增加安全服務功能,完善系統(tǒng)的安全保密措施外,還必須花大力氣加強網(wǎng)絡安全的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網(wǎng)絡安全所必須考慮的基本問題。
2.2.1安全管理原則
網(wǎng)絡信息系統(tǒng)的安全管理主要基于3個原則:
多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統(tǒng)主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有:訪問控制使用證件的發(fā)放與回收,信息處理系統(tǒng)使用的媒介發(fā)放與回收,處理保密信息,硬件與軟件的維護,系統(tǒng)軟件的設計、實現(xiàn)和修改,重要數(shù)據(jù)的刪除和銷毀等。
任期有限原則
一般來講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期的循環(huán)任職,強制實行休假制度,并規(guī)定對工作人員進行輪流培訓,以使任期有限制度切實可行。職責分離原則
除非經(jīng)系統(tǒng)主管領導批準,在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出于對安全的考慮,下面每組內(nèi)的兩項信息處理工作應當分開:計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統(tǒng)管理、應用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統(tǒng)使用媒介的保管等。
2.2.2 安全管理的實現(xiàn)
信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性,制定相應的管理制度或采用相應的規(guī)范。具體工作是:
根據(jù)工作的重要程度,確定該系統(tǒng)的安全等級。
根據(jù)確定的安全等級,確定安全管理范圍。
制定相應的機房出入管理制度,對于安全等級要求較高的系統(tǒng),要實行分區(qū)控制,限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng),采用此卡、身份卡等手段,對人員進行識別,登記管理。
2.3 采用先進的技術和產(chǎn)品
要保證計算機網(wǎng)絡安全的安全性,還要采用一些先進的技術和產(chǎn)品。目前主要采用的相關技術和產(chǎn)品有以下幾種。
2.3.1 防火墻技術
為保證網(wǎng)絡安全,防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵,在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng),該系統(tǒng)可以設定哪些內(nèi)部服務可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務,以及哪些外部服務可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,確認其來源及去處,檢查數(shù)據(jù)的格式及內(nèi)容,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有:應用層網(wǎng)關、數(shù)據(jù)包過濾、代理服務器等幾大類型。
2.3.2 數(shù)據(jù)加密技術
與防火墻配合使用的安全技術還有數(shù)據(jù)加密技術,是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要技術手段之一。隨著信息技術的發(fā)展,網(wǎng)絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數(shù)據(jù)的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術和物理防范技術的不斷發(fā)展。按作用的不同,數(shù)據(jù)加密技術主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術四種。
2.3.3 認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環(huán)境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發(fā)送者或接受者的身份。認證的主要目的有兩個:第一,驗證信息的發(fā)送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數(shù)字簽名。
2.3.4 計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
① 較強的查毒、殺毒能力。在當前全球計算機網(wǎng)絡上流行的計算機病毒有4萬多種,在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒,具有查殺、殺毒范圍廣、能力強的特點。
② 完善的升級服務。與其他軟件相比,防病毒軟件更需要不斷的更新升級,以查殺層出不窮的計算機病毒。
2.4 常見的網(wǎng)絡攻擊和防范對策
2.4.1 特洛伊木馬
特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執(zhí)行時,表面上是執(zhí)行正常的程序,而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分,即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中傳播的指令。特洛伊木馬具有很強的生命力,在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的過程中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網(wǎng)絡攻擊者可以讀寫未經(jīng)授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時,對每一個文件進行數(shù)字簽名,而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行,運用網(wǎng)絡掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務。
2.4.2 郵件炸彈
郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同以地址發(fā)送電子郵件,攻擊者能夠耗盡接受者網(wǎng)絡的帶寬,占據(jù)郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,妨礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復消息,也可以使自己的SMTP連接只能
達成指定的服務器,從而免受外界郵件的侵襲。
2.4.3 過載攻擊
過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態(tài),從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊,它是通過大量地進行人為的增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態(tài)。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數(shù);殺死一些耗時的進程。然而,不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統(tǒng)的響應,從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常,管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊,通過主機列表和網(wǎng)絡地址列表來的所在,也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡內(nèi)部還是網(wǎng)絡外部。另外,還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。
2.4.4 淹沒攻擊
正常情況下,TCP連接建立要經(jīng)過3次握手的過程,即客戶機向客戶機發(fā)送SYN請求信號;目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息;客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發(fā)出SYN請求信號,當被攻擊主機收到SYN請求信號后,它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST,因此,造成被攻擊的主機一直處于等待狀態(tài),直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求,被攻擊主機就一直處于等待狀態(tài),從而無法響應其他用戶請求。
對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù),當連接數(shù)超過某一給定的數(shù)值時,實時關閉這些連接。
第三章 網(wǎng)絡攻擊分析
攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網(wǎng)絡上成功實施的攻擊級別以來于擁護采取的安全措施。
在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊:Does是Denial of Service的簡稱,即拒絕服務,造成Does的攻擊行為被稱為Does攻擊,其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的Does攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡,使得所有可用網(wǎng)絡資源都被消耗殆盡,最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機,使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊是借助于客戶/服務器技術,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經(jīng)被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。
因為此攻擊基于TCP/IP 協(xié)議的漏洞,要想避免除非不使用此協(xié)議,顯然這是很難做到的那我們要如何放置呢?
1.確保所有服務器采用最新系統(tǒng),并打上安全補丁。計算機緊急響應協(xié)調(diào)中心發(fā)現(xiàn),幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么? 誰在使用主機? 哪些人可以訪問主機? 不然,即使黑客侵犯了系統(tǒng),也很難查明。
3.確保從服務器相應的目錄或文件數(shù)據(jù)庫中刪除未使用的服務如FTP或NFS.等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限,并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。
4.確保運行在 Unix上的所有服務都有TCP封裝程序,限制對主機的訪問權。5.禁止內(nèi)部網(wǎng)通過Modem連接至PSTN 系統(tǒng)。否則,黑客能通過電話線發(fā)現(xiàn)未受保
護的主機,即刻就能訪問極為機密的數(shù)據(jù)。
6.禁止使用網(wǎng)絡訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令,而Telnet和 Rlogin 則正好相反,黑客能搜尋到這些口令,從而立即訪問網(wǎng)絡上的重要服務器。此外,在Unix上應該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網(wǎng)絡文件共享。這會使黑客有機會截獲系統(tǒng)文件,并以特洛伊木馬替換他,文件傳輸功能無異將陷入癱瘓。
8.確保手頭上有一張最新的網(wǎng)絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網(wǎng)絡設備,還應該包括網(wǎng)絡邊界、非軍事區(qū)(DMZ)及網(wǎng)絡的內(nèi)部保密部分。
9.在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當造成的,使DoS/ DDoS攻擊成功率很高,所以一定要認真檢查特權端口和非特權端口。
10.檢查所有網(wǎng)絡設備和主機/服務器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更,幾乎可以坑定:相關的主機安全收到了威脅。
第四章 網(wǎng)絡安全技術
4.1 防火墻的定義和選擇
4.1.1防火墻的定義
網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡之間的通信是否被允許,并監(jiān)視網(wǎng)絡運行狀態(tài)。
目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(代理服務器)以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。
作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡安全的最底層,負責網(wǎng)絡間的安全認證與傳輸。但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務,同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。
4.1.2 防火墻的選擇
總擁有成本防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障,其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網(wǎng)絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也不應該考慮在內(nèi)。如果僅作粗略估算,非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本,關鍵部門則應另當別論選擇防火墻的標準有很多,但最重要的是以下兩條:
(1)防火墻本身是安全的
作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。
如果像瑪奇諾防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部,網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻十分不熟悉,就有可能在配置過程中遺留大量的安全漏洞。
(2)可擴充性
在網(wǎng)絡系統(tǒng)建設的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加,網(wǎng)絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提供,用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大產(chǎn)品的覆蓋面。
4.2 加密技術
信息交換加密技術分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES(數(shù)據(jù)加密標準)的一種變形,這種方法使用兩個獨立的56位密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
4.2.2 非對稱加密技術
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛分布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數(shù)字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上,是計算機復雜性理論發(fā)展的必然結果。最具有代表性是RSA公鑰密碼體制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分散兩大素數(shù)之積。RSA算法的描述如下:
公開密鑰: n=pq(p、q 分別為兩個互異的大素數(shù),p、q 必須保密)e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 為明文,c為密文。解密:m=cd(mod n)利用目前已經(jīng)掌握的只是和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
4.3 注冊與認證管理
4.3.1 認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明一證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且還與整個PKI系統(tǒng)的構架和模型有關。
4.3.2 注冊機構
RA(Registration Authority)是用戶和CA的借口,它所獲得的用戶標識的準確性是CA發(fā)給證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活,就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的RA系統(tǒng)。
4.3.3 密鑰備份和恢復
為了保證數(shù)據(jù)的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。
4.3.4 證書管理與撤銷系統(tǒng)
證書是用來證明證書持有者身份的電子介質(zhì),它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是,有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤銷,證書撤銷的理由是各種各樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性的發(fā)布機制撤銷證書或采用在線查詢機制,隨時查詢被撤銷的證書。
第五章 安全技術的研究
5.1 安全技術的研究現(xiàn)狀和方向
我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段,正在進入網(wǎng)絡信息安全研究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案,目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究,各部分相互協(xié)同形成有機整體。根據(jù)防火墻所采用的技術不同,將它分為4個基本類型:包過濾型、網(wǎng)絡地址轉換-NAT、代理型和監(jiān)測型。
5.2 包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會含一些特定信息,防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。
包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入。
5.3 代理型
代理型的安全性能要高過包過濾型,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶
機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。
代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。
實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關能提供對協(xié)議的過濾。正是由于應用網(wǎng)關的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。
結束語
互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具,其發(fā)展速度也快的驚人,以此而來的攻擊破壞層出不窮,為了有效的防止入侵把損失降到最低,我們必須適合注意安全問題,使用盡量多而可靠的安全工具經(jīng)常維護,讓我們的網(wǎng)絡體系完善可靠。在英特網(wǎng)為我們提供了大量的機會和便利的同時,也在安全性方面給我們帶來了巨大的挑戰(zhàn),我們不能因為害怕挑戰(zhàn)而拒絕它,否則就會得不償失,信心安全是當今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分,甚至應該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程,我們應該結合現(xiàn)在網(wǎng)絡發(fā)展的特點,制定妥善的網(wǎng)絡安全策略,將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點,讓它為我們的工作和現(xiàn)代化建設做出更好的服務。
參 考 文 獻
[1] 謝希仁.計算機網(wǎng)絡 電子工業(yè)出版社
[2]湯小丹、梁紅兵.計算機操作系統(tǒng) 西安電子科技大學出版社 [3] 李偉.網(wǎng)絡安全實用技術標準教程 清華大學出版社 [4] Andrew S.Tanenbaum.計算機網(wǎng)絡 清華大學出版社
第四篇:計算機網(wǎng)絡安全論文
計算機網(wǎng)絡安全
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡安全左鍵成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題,在其最簡單的形式中,它主要關心的對象是那些無權使用,但卻試圖獲得遠程服務的人,安全性也處理合法消息被截獲和重播的問題,發(fā)送者是否發(fā)送過該消息的問題。隨著計算機網(wǎng)絡的發(fā)展和Internet的廣泛普及,信息已經(jīng)成為現(xiàn)代社會生活的核心。國家政府機構、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng),而且通過各種方式與互聯(lián)網(wǎng)相連。通過上網(wǎng)樹立形象、拓展業(yè)務,已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。
可是當計算機發(fā)展的同時,影響計算機網(wǎng)絡安全的因素也在不斷顯現(xiàn)。為此,我們需要針對計算機網(wǎng)絡安全,采取相應必要的措施。所以,就讓我在關于計算機網(wǎng)絡安全措施方面來談談吧!
首先,我們需要知道計算機安全的定義:國際標準化組織(ISO)將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡安全性的含義是信息安全的引申,即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。當我們明白了什么是計算機安全,那么我們就需要了解一些影響計算機網(wǎng)絡安全的主要因素,我列舉了以下幾點:
1、網(wǎng)絡系統(tǒng)本身的問題
目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞,如UNIX,MS NT 和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個方面:穩(wěn)定性和可擴充性方面,由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,因而使其受到影響;網(wǎng)絡硬件的配置不協(xié)調(diào),一是文件服務器。它是網(wǎng)絡的中樞,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量。網(wǎng)絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網(wǎng)絡功能發(fā)揮受阻,影響網(wǎng)絡的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定;缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用;訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機;
2、來自內(nèi)部網(wǎng)用戶的安全威脅
來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅,使用者缺乏安全意識,許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少,并且,如果系統(tǒng)設置錯誤,很容易造成損失,管理制度不健全,網(wǎng)絡管理、維護任在一個安全設計充分的網(wǎng)絡中,人為因素造成的安全漏洞無疑是整個網(wǎng)絡安全性的最大隱患。網(wǎng)絡管理員或網(wǎng)絡用戶都擁有相應的權限 ,利用這些權限破壞網(wǎng)絡安全的隱患也是存在的。如操作口令的泄漏 ,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等,都可能使網(wǎng)絡安全機制形同虛設。其自然。特別是一些安裝了防火墻的網(wǎng)絡系統(tǒng),對內(nèi)部網(wǎng)用戶來說一點作用也不起。
3、缺乏有效的手段監(jiān)視、硬件設備的正確使用及評估網(wǎng)絡系統(tǒng)的安全性
完整準確的安全評估是黑客入侵防范體系的基礎。它對現(xiàn)有或將要構建的整個網(wǎng)絡的安全防護性能作出科學、準確的分析評估,并保障將要實施的安全策略技術上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡安全評估分析就是對網(wǎng)絡進行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)安全狀況進行評估、分析,并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡系統(tǒng)安全性能的過程。評估分析技術是一種非常行之有效的安全技術
4、黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢,絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊
我們可以看到,影響計算機安全的因素也是非常多的,可是我們不能只單單找出影響的因素啊,我們應該找出解決方法何預防措施啊!那么如何才能使我們的網(wǎng)絡百分之百的安全呢? 其實呢,對于這個問題的最簡單的回答是:不可能。因為迄今還沒有一種技術可完全消除網(wǎng)絡安全漏洞。網(wǎng)絡的安全實際上是理想中的安全策略和實際的執(zhí)行之間的一個平衡。從廣泛的網(wǎng)絡安全意義范圍來看,網(wǎng)絡安全不僅是技術問題,更是一個管理問題,它包含管理機構、法律、技術、經(jīng)濟各方面。既然我們無法做到百分之百,那么對能解決的,我們盡量解決,不能解決的,我們要采取措施預防!
從目前來看,我們可從提高網(wǎng)絡安全技術和人員素質(zhì)入手。因此,我們亦可以采取以下幾種方式:
1、依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡安全制度,加強網(wǎng)絡安全教育和培訓。
2、網(wǎng)絡病毒的防范。在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學校、政府機關、企事業(yè)單位等網(wǎng)絡一般是內(nèi)部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網(wǎng)絡免受病毒的侵襲。現(xiàn)在網(wǎng)絡版殺毒軟件比較多,如瑞星、江民、趨勢、金山毒霸等。
3、配置防火墻。利用防火墻,在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡,同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制,防止 Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,根據(jù)不同網(wǎng)絡的安裝需求,做好防火墻內(nèi)服務器及客戶端的各種規(guī)則配置,更加有效利用好防火墻。
4、采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在學校、政府機關、企事業(yè)網(wǎng)絡中采用入侵檢測技術,最好采用混合入侵檢測,在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),則會構架成一套完整立體的主動防御體系,有的入侵檢測設備可以同防火強進行聯(lián)動設置。
5、Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應用的內(nèi)容,建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。
6、漏洞掃描系統(tǒng)。解決網(wǎng)絡層安全問題,首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況,僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。
7、IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的 MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
8、利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決,但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件,為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。
對于以上的方法和措施,我們完全可以在計算機使用中遇到,正如前面所說,他并不能百分之百的保護我們的計算機網(wǎng)絡安全,但卻可以為我們解決一般性問題和預防肯能會發(fā)生的嚴重問題。
無論如何,網(wǎng)絡安全與網(wǎng)絡的發(fā)展戚戚相關。網(wǎng)絡安全是一個系統(tǒng)的工程,不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護,還要意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng),安全保護的對象是計算機 ,而安全保護的主體則是人,應重視對計算機網(wǎng)絡安全的硬件產(chǎn)品開發(fā)及軟件研制,建立一個好的計算機網(wǎng)絡安全系統(tǒng),也應注重樹立人的計算機安全意識,才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點,才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。
第五篇:計算機維修論文
網(wǎng)絡安全和計算機防范技術論文
作者:任若男
地址:江蘇大學京江學院
Email:***@163.com 摘 要;隨著網(wǎng)絡的普及,網(wǎng)絡安全日顯重要,本文從網(wǎng)絡不安全因素入手,探討了網(wǎng)絡安全防范理論技術、主流網(wǎng)絡常用的防火墻和入侵檢測技術。關鍵詞:網(wǎng)絡安全、防火墻、入侵檢測系統(tǒng)
近年來,計算機網(wǎng)絡技術不斷發(fā)展,網(wǎng)絡應用逐漸普及。網(wǎng)絡已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網(wǎng)絡系統(tǒng)豐富的信息資源,經(jīng)濟、文化、軍事和社會活動也強烈依賴于網(wǎng)絡,一個網(wǎng)絡化的社會已呈現(xiàn)在我們面前。
然而,隨著網(wǎng)絡應用的不斷增多,網(wǎng)絡安全問題也越來越突出,由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素,致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通,研究計算機網(wǎng)絡的安全與防范措施已迫在眉捷。本人結合實際經(jīng)驗,談一談網(wǎng)絡安全與防范技術。1 網(wǎng)絡不安全因素
網(wǎng)絡的安全因素主要有:
(1)網(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯(lián)網(wǎng)需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。
(2)網(wǎng)絡的開放性。網(wǎng)上的任何一
個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
(3)網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一,它不僅負責網(wǎng)絡硬件設備的接口封裝,同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序實現(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。
(4)網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡設計則會成為網(wǎng)絡的安全威脅。
(5)惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒.是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。2 網(wǎng)絡安全防御方式
網(wǎng)絡安全技術的主要代表是防火墻和入侵檢測技術。下面簡要介紹一下這兩種技術。
2.1 防火墻技術
網(wǎng)絡安全所說的防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡與因特網(wǎng)之間或與其它外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪,用來保護內(nèi)部網(wǎng)絡。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。
2.1.1 防火墻的主要功能 防火墻的主要功能包括:
(1)防火墻可以對流經(jīng)它的網(wǎng)絡通信進行掃描,從而過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。
(2)防火墻可以關閉不使用的端口,而且它還能禁止特定端口的輸出信息。
(3)防火墻可以禁止來自特殊站點的訪問,從而可以防止來自不明入侵者的所有通信,過濾掉不安全的服務和控制非法用戶對網(wǎng)絡的訪問。
(4)防火墻可以控制網(wǎng)絡內(nèi)部人員對Internet上特殊站點的訪問。
(5)防火墻提供了監(jiān)視Internet安全和預警的方便端點。2.1.2 防火墻的主要優(yōu)點
防火墻的主要優(yōu)點包括:
1)可作為網(wǎng)絡安全策略的焦點
防火墻可作為網(wǎng)絡通信的阻塞點。所有進出網(wǎng)絡的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來,將承擔風險的范圍從整個內(nèi)部網(wǎng)絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結構上形成了一個控制中心,極大地加強了網(wǎng)絡安全,并簡化了網(wǎng)絡管理。
2)可以有效記錄網(wǎng)絡活動
由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間,即所有傳輸?shù)男畔⒍紩┻^防火墻。所以,防火墻很適合收集和記錄關于系統(tǒng)和網(wǎng)絡使用的多種信息,提供監(jiān)視、管理與審計網(wǎng)絡的使用和預警功能。
3)為解決IP地址危機提供了可行方案
由于Internet的日益發(fā)展及IP地
址空間有限,使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網(wǎng)絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。
2.1.3 防火墻的主要缺陷
由于互聯(lián)網(wǎng)的開放性,防火墻也有一些弱點,使它不能完全保護網(wǎng)絡不受攻擊。防火墻的主要缺陷有:
(1)防火墻對繞過它的攻擊行為無能為力。
(2)防火墻無法防范病毒,不能防止感染了病毒的軟件或文件的傳輸,對于病毒只能安裝反病毒軟件。
(3)防火墻需要有特殊的較為封閉的網(wǎng)絡拓撲結構來支持。網(wǎng)絡安全性的提高往往是以犧牲網(wǎng)絡服務的靈活性、多樣性和開放性為代價。
2.1.4 防火墻的分類
防火墻的實現(xiàn)從層次上大體可分為三類:包過濾防火墻,代理防火墻和復合型防火墻。
1)包過濾防火墻
包過濾防火墻是在IP層實現(xiàn),它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址,目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。
包過濾路由器的最大優(yōu)點是:對用戶來說是透明的,即不需要用戶名和密碼來登陸。
包過濾路由器的弊端是明顯的,由于它通常沒有用戶的使用記錄,我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點,就是不能在用戶級別上進行過濾,即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址,則很容易地通過包過濾防火墻。
2)代理防火墻
代理防火墻也叫應用層網(wǎng)關防火墻,包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡,對于這樣的企業(yè),應用代理防火墻是更好的選擇。
代理服務是設置在Internet防火墻網(wǎng)關上的應用,是在網(wǎng)管員允許下或拒絕的特定的應用程序或者特定服務,一般情況下可應用于特定的互聯(lián)網(wǎng)服務,如超文本傳輸、遠程文件傳輸?shù)取M瑫r還可應用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。
應用層網(wǎng)關包括應用代理服務器、回路級代理服務器、代管服務器、IP通道、網(wǎng)絡地址轉換器、隔離域名服務器和郵件技術等。
3)復合型防火墻
復合型防火墻是將數(shù)據(jù)包過濾和代理服務結合在一起使用,從而實現(xiàn)了網(wǎng)絡安全性、性能和透明度的優(yōu)勢互補。
隨著技術的發(fā)展,防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術類型主要有以下幾種:狀態(tài)監(jiān)視技術、安全操作系統(tǒng)、自適應代理技術、實時侵入檢測系統(tǒng)等。混合使用數(shù)據(jù)包過濾技術、代理服務技術和一些新技術是未來防火墻的趨勢。2.1.5 防火墻的部署
防火墻是網(wǎng)絡安全的關口設備,只有在關鍵網(wǎng)絡流量通過防火墻的時候,防火墻才能對此實行檢查,防護功能。
(1)防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處,用來阻止來自外部網(wǎng)絡的入侵。
(2)如果內(nèi)部網(wǎng)絡規(guī)模較大,并且設置虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設置防火墻。
(3)通過公網(wǎng)連接的總部與各分支機構之間應該設置防火墻。
(4)主干交換機至服務器區(qū)域工作組交換機的骨干鏈路上。
(5)遠程撥號服務器與骨干交換機或路由器之間。
總之,在網(wǎng)絡拓撲上,防火墻應當處在網(wǎng)絡的出口與不同安全等級區(qū)域的結合處。安裝防火墻的原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應安裝防火墻。2.2 入侵檢測技術
入侵檢測技術是從各種各樣的系統(tǒng)和網(wǎng)絡資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡流經(jīng)的信息等),并對這些信息進行分析和判斷。通過檢測網(wǎng)絡系統(tǒng)中發(fā)生的攻擊行為或異常行為,入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應,從而將攻擊行為帶來的破壞和影響降至最低。同時,入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為(通過異常檢測和模式匹配等技術)、對攻擊行為或異常行為進行響應、審計和跟蹤等。
典型的IDS系統(tǒng)模型包括4個功能部件:
(1)事件產(chǎn)生器,提供事件記錄流的信息源。
(2)事件分析器,這是發(fā)現(xiàn)入侵跡象的分析引擎。
(3)響應單元,這是基于分析引擎的分析結果產(chǎn)生反應的響應部件
(4)事件數(shù)據(jù)庫,這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱,它可以是復雜的數(shù)據(jù)庫,也可以是簡單的文本文件。2.2.1入侵檢測系統(tǒng)的分類
入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同,可分為基于網(wǎng)絡的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。
網(wǎng)絡型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設置成混雜模式,監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說,網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)絡的任務。
主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源,當然也可以通過其它手段(如檢測系統(tǒng)調(diào)用)從所有的主機上收集信息進行分析。
入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類:異常和誤用。
異常入侵檢測根據(jù)用戶的異常行為或對資源的異常存放來判斷是否發(fā)生了入侵事件。
誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如,著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程,允許用戶遠程讀取文件系統(tǒng),因而存在可以查看文件內(nèi)容的漏洞和Sendmail(Linux上的守護進程,利用其漏洞可取得root權限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。2.2.2 目前入侵檢測系統(tǒng)的缺陷
入侵檢測系統(tǒng)作為網(wǎng)絡安全防護的重要手段,目前的IDS還存在很多問題,有待于我們進一步完善。
1)高誤報率
誤報率主要存在于兩個方面:一方面是指正常請求誤認為入侵行為;另一方面是指對IDS用戶不關心事件的報警。導致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。
2)缺乏主動防御功能
入侵檢測技術作為一種被動且功能有限的安全防御技術,缺乏主動防御功能。因此,需要在一代IDS產(chǎn)品中加入主動防御功能,才能變被動為主動。
2.2.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動
綜合所述:防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡安全關口設備。它可以對所有流經(jīng)它的流量進行各種各樣最直接的操作處理,如無通告拒絕、ICMP拒絕、轉發(fā)通過(可轉發(fā)至任何端口)、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉換等。
當我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后,IDS就不必為它所連接的鏈路轉發(fā)業(yè)務流量。因此,IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析,而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作,如入侵活動報警、不同業(yè)務類別的網(wǎng)絡流量統(tǒng)計、網(wǎng)絡多種流量協(xié)議恢復(實時監(jiān)控功能)等。IDS高智能的數(shù)據(jù)分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。
綜上所述,防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態(tài)技術或靜態(tài)技術都有了較大的提高。
使網(wǎng)絡的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點,淡化各自的缺陷,使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡安全領域中,動態(tài)技術與靜態(tài)技術的聯(lián)動將有很大的發(fā)展市場和空間。3
結語
網(wǎng)絡安全是一個很大的系統(tǒng)工程,除了防火墻和入侵檢測系統(tǒng)之外,還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉換為一種不易解讀的模式來保護信息,除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串數(shù)字(密鑰)的結合,產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中,可通過適當?shù)拿荑€加密技術和管理機制來保證網(wǎng)絡的信息通信安全。參考文獻
[1] 鄭成興著.《網(wǎng)絡入侵防范的理論與實踐》.機械工業(yè)出版社
[2] [美] Merike Kaeo 著.《網(wǎng)絡安全性設計》.人
點擊咨詢 