网络安全及解决方法篇1
关键词:安全管理策略;防火墙;校园网安全问题
中图分类号:G637文献标识码:B文章编号:1672-1578(2013)09-0285-01
随着校园网络工程的应用普及,很多中小学校都建设了校园网并通过各种渠道接入了internet。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显地摆在了校园网络管理员面前。
1.校园内部网络安全环境分析与病毒预防措施
我校地处城郊两界,其中物理环境制约了校园网络管理的诸多不便,由于学校教育经费在校园网络管理中投入较少、专业人员配备不足等关键问题,为拥有强效的网络防护体系与购置高效的病毒软件维护带来许多困惑,受以上条件的制约在网络环境下,导致入侵病毒无法及时控制、传播扩散快,经常会遇到类似不稳定情况。例如:在公共机房中,一台担当着为若干个科室提供资源共享功能的主机,日常使用时仅靠一款单机版软件进行病毒防护,它要将大量数据传送给其他终端机时,很容易受外界存储器内不可预知的病毒侵袭,同时感染网络病毒,最终影响终端访问主机无法启动,或是正在使用数据共享资源的主机,突然出现黑屏、死机,电脑访问缓慢等状态。因此可见,在实际应用中,我们仅靠单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。
2.结合学校实际,采取有效的校园网络安全的技术应用
2.1防火墙的配置。校园网络使用频繁,访问部门较多,介于此情况,利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
2.2采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在日常的教学中,学生的一个误操作,最大可能的会受到不良信息的困扰,国家信息安全部门颁发的绿坝上网检测软件,在此入侵检测系统中担当了不可忽视的作用,它的主控端利用主机的ip地址进入到公安部门的信息采集中,如果其中一台机子受到外界侵扰,此主机的ip地址的信息第一时间会出现在教师机的主控端内,同时大量的不良信息会转送到公安部门的信息采集库中。利用绿坝净化版软件进行审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用此软件的过滤入侵检测技术,则会减少管理员在对学生机管理时的忧虑。
2.3漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,在教育资源紧缺和要求安全程度不高的情况下,不妨管理员暂时可以利用360安全卫士,它也是一款能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具软件,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
2.4ip地址的有效管理。目前学校的网络是由教育局光纤统一接入后,由一台主监控进行一级管理,各校通过给定的ip地址分配后,实现二级管理,这样一来,在同一网络监管下的网络使用用户增多,受到同网络内的不法攻击和外界侵袭的威胁也非常的大。所以解决的方法应该是,各校管理员应该及时的在本校路由器上捆绑ip和maC地址,当某个ip通过路由器访问internet时,路由器要检查发出这个ip广播包的工作站的maC是否与路由器上的maC地址表相符,如果相符就放行。否则不允许通过路由器,这样分级管理下来,同时给发出这个ip广播包的工作站返回一个警告信息。
2.5加强师生的法制教育和德育教育。管理员经常在维护中会遇到同样的感慨地说:"学生的破坏能力是无穷无尽的,然而老师的随意操作也是让人头疼的",问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年,让每一位教师深知网络并非是一个安全的岛屿,要想共建此岛屿就需要每一位老师的倾心倾力,加强教师正确使用优盘,不定时对自己的电脑进行安全体检与病毒预防,最关键的是培训教师不要去访问有病毒的网站和观看非法网站内容。
总之,任何先进的系统都是为人服务的,作为一名校园网络管理员,还应具备扎实的专业理论与技术应用素养,我们还要关注校园网络服务器的安全,从硬件与软件系统的双重保护入手,有相应的机房管理制度,防止人为的蓄意破坏和盗窃事件发生。对于服务器的管理尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。因为人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。
参考文献
[1]《计算机网络安全基础》人民邮电出版社袁津生吴砚农编
[2]《网络安全从入门到精通》北京电子工业出版社马树奇
[3]《计算机网络安全与数据完整性技术》北京电子工业出版社徐超汉
网络安全及解决方法篇2
[关键词]软交换;网络安全;安全区
中图分类号:o152.2文献标识码:a文章编号:1009-914X(2013)33-0104-01
软交换网络一个很大的优势就是具有开放性的平台和接口,这样可以方便的进行业务扩展,这样各种第三方的业务以及网络都可以方便的和电信网络实现无缝连接。这就导致电信网络的规模以及业务类型十分的反正,传统互联网所面临的病毒、黑客等危险也随之蔓延到电信网络上,从而给运营商的服务造成巨大的威胁。因此,对于软交换来说,能否做好安全保障工作是一个非常重要的环节。随着软交换技术的使用以及推广,这就导致软交换面临着传统的网络安全问题。同时,软交换网络和传统网络相比还有自身的一些特点,因此其安全问题也具有自身的一些特点。在进行软交换安全防护的过程当中一般都是从软交换设备本身以及网络这两个大的方面为切入点来进行的。首先应该确保软交换的相关设备自身在设置上的安全,并且做好相应的硬件和软件防护工作,从而使软交换设备自身具有一定的安全防护能力。而对于网络的安全,则是对于软交换的承载网络安全采取相应的措施,建立健全完善的保护机制,防止通过网络对软交换设备造成的攻击。
在软交换网络建设过程当中一定要同时抓好软交换设备安全以及网络安全,两者相辅相成,缺一不可。运营商首先要在思想上引起足够的重视,做好相应的软交换安全保障工作。
1软交换面临的主要安全隐患
软交换所面临的安全问题十分多样,种类层出不穷,但是大体可以分为以下几个方面:第一,网络安全,主要是软交换网络自身的安全;第二,终端安全,终端主要是指用户侧的终端设备。当前对于用户终端的病毒以及攻击十分常见,由于软交换网络无法对其进行有效的防范,因此往往利用终端对网络发起攻击,进而对软交换的设备产生影响;第三,设备安全,主要是指各种软交换的承载设备自身的安全,这种安全隐患大多都是由于设备运行不规范或者是外部对其进行攻击。
2软交换安全服务措施
由于软交换所面临的安全隐患十分繁多,因此必须做好相应的防范工作,为用户提供安全的服务,可以通过以下几个方面的措施来实现。
2.1保密性
应该采取相应的手段对软交换网络中传递的数据进行相应的加密,从而防止没有经过授权的用户非法截留数据。这样讲数据以加密的形式传递,即使数据被截留,那么也没法进行解读。除此之外,应该做好相应的数据传输端口的防护工作,防止非法对相应的端口进行监听,保护数据的安全性。
2.2认证
建立严密的身份认证程序,防止用户合法身份被盗用,而对资源进行窃取。对于数据传输之前双方的身份以及数据来源进行认证,从而保证通信双方都具有相应的合法身份和对应的权限。将业务和实体身份进行捆绑,防止身份被盗用或者是伪装欺骗。
2.3完整性
为了防止未经授权的用户对数据继续非法修改,可以利用Vpn技术进行通信。为了防止数据受到损坏,可以积极采用数字签名以及其它的完整性检测技术地数据完整性进行检测。
2.4访问控制
通过完善的授权机制对于网络中的关键部分提供保护,对于相应的访问者进行等级划分,具备相应的等级才能够访问相应的资源,防止对于没有权限的资源进行使用。建立完善的数据库,用于存储安全认证信息,用户进行认证时需要将信息进行严格的比对。对于认证信息数据库也应该设立较高的等级,防止数据库被非法篡改。
2.5安全协议
目前应用较多的是ipSeC,SSL/tLS。至于mpLS,严格地说它并不是一种安全协议,其主要用途是兼容和并存目前各种ip路由和atm交换技术,提供一种更加具有弹性和扩充性的、效率更高的交换路由技术,它对网络安全贡献应主要在于流量方面。
3软交换安全方案
软交换网络安全的实现,有多种方案可供选择,下面介绍的ipSeC(eSp遂道模式)+SSL/tLS+认证服务器/策略服务器+Fw/nat是一种可运营解决方案。ipSec体系提供标准的、安全的、普遍的机制。可以保护主机之间、网关之间和主机与网关之间的数据包安全。由于涉及的算法为标准算法,可以保证互通性,并且可以提供嵌套安全服务。另外对ipV6而言它是一个强制标准,是今后发展的一个趋势。
ipSec协议主要由aH(认证头)协议,eSp(封装安全载荷)协议和负责密钥管理的iKe(因特网密钥交换)协议三个协议组成。认证头(aH)协议对在媒体网关/终端设备和软交换设备之间传送的消息提供数据源认证,无连接完整性保护和防重放攻击保护。eSp协议除了提供数据完整性校验、身份认证和防重放保护外,同时提供加密。eSp的加密和认证是可选的,要求支持这两种算法中的至少一种算法,但不能同时置为空。根据要求,eSp协议必须支持下列算法:第一,使用CBC模式的DeS算法。第二,使用mD5的HmaC算法。第三,使用SHa-1的HmaC算法。第四,空认证算法。第五,空加密算法。数据完整性可以通过校验码(mD5)来保证;数据身份认证通过在待认证数据中加入一个共享密钥来实现;报头中的序列号可以防止重放攻击。iKe协议主要在通信双方建立连接时规定使用的ipSec协议类型、加密算法、加密和认证密钥等属性,并负责维护。iKe采用自动模式进行管理,iKe的实现可支持协商虚拟专业网(Vpn),也可从用于在事先并不知道的远程访问接入方式。
认证系统和策略系统对商用软交换系统而言是必不可少的。它们在管理层面上实施访问控制、信息验证、信息保密性等措施,可以为网络提供安全保证。同时,认证服务可以提计费的准确性,保证网络的商业运营。
防火墙/nat是保证网络安全必不可少的一部分。防火墙种类繁多,它在较交换中的窍越问题可以通过两种方法实现:一是使用tCp;二是用短于关闭墙口时长为周期,不断发送消息,维持端口开启
4结束语
基于软交换的nGn网络所存在的安全问题一直以来受到大家的关注。而作为数据网络上的一种新兴的应用,以ip作为承载媒体的软交换所面临的一些安全隐患,实际是目前ip网络上存在的若干问题的延续。只有很好地解决了网络的安全问题,同时配合产品本身的一些安全认证机制,软交换才能够在新的电信网中持久稳定的发挥作用,并成为解决话音、数据、视频多媒体通信需求的有效解决方法,并最终完成“三网合一”。
网络安全工作是一个以管理为主的系统工程,靠的是“三分技术,七分管理”,因此必须制定一系列的安全管理制度、安全评估和风险处置手段、应急预案等,这些措施应覆盖网络安全的各个方面,达到能够解决的安全问题及时解决,可以减轻的安全问题进行加固,不能解决的问题编制应急预案减少安全威胁。与此同时,需要强有力的管理来保障这些制度和手段落到实处。
参考文献
网络安全及解决方法篇3
[关键词]电子商务网络CapKi
随着网络技术和信息技术的发展,电子商务已经被普通百姓所接受,它将逐步取代传统商务活动,并有可能彻底改变贸易活动的本质,形成一套全新的贸易活动框架。但由于多种原因,电子商务的安全性仍然得不到有效的保障。为了解决电子商务的安全问题,世界各国经过多年的研究,初步形成了一套比较完整的解决方案,即公开密钥基础设施pKi(publicKeyinfrastructure)。pKi是基于公开密钥理论和技术建立起来的、提供信息安全服务的具有通用性的安全基础设施,可以保证网络通信、网上交易的安全。它采用证书进行公钥管理,通过
第三方可信任机构―――认证中心Ca(Certificateauthority),把用户的公钥和用户的其他标识信息(如用户名、email地址、身份证号码等)捆绑在一起,从而实现用户身份的验证、密钥的自动管理等安全功能。而电子商务它本质上仍是商务,只是在资讯媒介这一交易手段上有了创新,即以网络数据传递方式代替传统的纸介质的书面形式。电子商务仍须严谨地按照传统交易规则进行。与传统交易模式相比较,除了利用了更为便捷高效的网络媒介手段外,整个交易流程没有改变,交易各方仍须经过互相确认身份、邀约及承诺、合约履行三个环节。
在商务活动中,公证司法证明权也必需在网上的实现,而这种在网络上进行的证明,有别于纸介质的书面证明方式,我们称之为“网络公证”(Cybernotary)。
一、国内Ca的现状
Ca认证机构是电子商务发展的需要。各级Ca认证机构的存在组成了整个电子商务的信任链。如果Ca机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。自1998年国内第一家以实体形式运营的上海Ca中心成立以来,全国各地、各行业已经建成了几十家不同类型的Ca认证机构。从Ca中心建设的背景来分,国内的Ca中心可以分为三类:行业建立的Ca,如CFCa,CtCa等;政府授权建立的Ca,如上海Ca、北京Ca等商业性Ca。不难看出,行业性Ca不但是数字认证的服务商,也是其他商品交易的服务商,他们不可避免的要在不同程度上参与交易过程,这与Ca中心本身要求的“第三方”性质又有很大的不同。就应用的范围而言,行业性Ca更倾向于在自己熟悉的领域内开展服务。例如,外经贸部的国富安Ca认证中心适当完善之后将首先应用于外贸企业的进出口业务。政府授权建立的第三方认证系统属于地区性Ca,除具有地域优势外,在推广应用和总体协调方面具有明显的优势,不过需要指出地区性Ca离不开与银行、邮电等行业的合作。
二、国内Ca存在的问题
在电子商务系统中,Ca安全认证中心负责所有实体证书的签名和分发。Ca安全认证体系由证书审批部门和证书操作部门组成。就目前的情况而言,Ca的概念已经深入到电子商务的各个层面,但就其应用而言,还远远不够,都还存在一些问题。
1.在技术层面上
标准不统一,既有国际上的通行标准,又有自主研发的标准,这必将导致交叉认证过程中出现“公说公有理,婆说婆有理”的局面。
2.在应用层面上
一些Ca认证机构对证书的发放和审核不够严谨。从法理上讲这些审核人员不具备法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的Ca中心本身往往也是交易或合同的一方,难免存在不公正性。在分布格局上,很多Ca认证机构还存在明显的地域性和行业性,无法满足充当面向全社会的第三方权威认证机构的基本要求,而就互联网而言,不应该也不可能存在地域限制。
三、认证的解决方案
在传统的商务贸易中,公证机构作为国家的证明机构,以交易信用的第三方中介行使国家证明权,其权威性与统一性历来为法律所确认。公证证明属国际惯例,中国加入wto后,在与国际法律制度的接轨中,公证机构的证明效力日益显现出来。正因如此,将权威的国家证明权引入虚拟的网络世界,实行网络公证能够彻底填补网络世界的法律真空,解决目前国内Ca认证的弊端,使现实世界的真实性向网络世界延伸。
网络公证方案首先从网络身份的真实性证明入手,在确认网络主体的真实身份的基础上,对网络交易内容以公正的第三方的角度加以证据保全,对交易履约中的资金支付采用公证行业特有的第三方安全支付加以解决,因此,我认为网络公证方案是电子商务安全与信用的一个整体解决方案。
1.网络中真实身份审核的解决
一个安全、完整的电子商务系统必须建立一个完整、合理的Ca安全认证体系。以pKi技术为核心的Ca证书能解决网络数据传输中的签名问题,日益显现出其确认网络主体身份的优越性。但是,在实际运作中,网络Ca电子身份证书仍然为大家所怀疑。究其原因,关键在于网络中的Ca证书持有人与现实世界中的真实身份是否一致并未得到彻底解决。如不解决这个前提,则用Ca证书所做的任何签字将不产生任何法律效力,因为没有一个现实世界的主体与之相对应,并承担网上义务,而法庭更是无从受理。
纵观诸多国家的电子交易,数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,应具有中立性。因此,银行所办的Ca中心以及其他纯商业性的Ca中心是不符合国际惯例的。一个身份认证必须满足两种鉴别需要:当面鉴别和网上鉴别。当面鉴别以生物特征为主,网上鉴别则以逻辑特征为主。在Ca证书的发放中,最关键的环节是Ra(Registrationauthority)证书离线面对面审核,交易当事人最关心的基本信息,如网上的对方究竟是谁,真实的身份与信用状况如何等。然而,目前相当多的Ca公司在实际操作中或多或少地存在随意性,并未建立起严格的审核要求与流程。申请数字证书的用户只要在网上将相关的表格随意填写后,即可从Ca公司那里获得个人Ca证书。异地申请的企业只要将相关资料盖上公章邮寄过去,并交足相关费用即可获得Ca证书。造成这种状况的一个重要原因是:要在全国建立几千个面对面的审核点,目前还具有很大的难度,因而建立严格的审核流程是十分困难的。然而网络公证可以彻底解决这一困惑。网络公证可以将传统的公证证明应用到Ca证书的身份审核上。其具体解决办法是:将遍布全国的数千家公证机构通过因特网联成一个统一的网络―中国公证网络,以实现将社会公众、公证客户、公证机构与公证相联结。也就是说,通过中国公证网,将遍布全国各地的公证机构有机地联在一起,彻底解决了异地审核的难度,并确保了网络身份的真实性。当用户需要申请Ca证书时,即可到所在地的公证机构进行离线的面对面审核,也即Ra审核。该审核严格按照公证机构的审核要求与流程进行,公证机构自然地对所审核的内容承担相应的法律责任,经过Ra审核后的资料统一进入公证机构的中心数据库中进行安全存放。这样,经网络公证Ra审核后所颁发的Ca证书就自然地与其真实身份相对应,以后在电子商务交易中的网上签名行为即为其真实持有人所为。进行Ra审核的人员不是普通公民,而是现行法律体系中承担法定审核工作的公证员,他们负有审核身份的法律责任,行使的是国家的证明权。由此可见,网络公证所构建的网络真实身份审核体系,可以与Ca中心以及其他公司相配合,为其发放Ca证书提供审核环节的服务,以解决其审核布点困难以及审核者身份不合法的问题。
就技术而言,Ca在现阶段的应用已趋成熟,pKi公钥管理体系也很实用。它通过给个人、企事业单位及政府机构签发公用密钥与私人密钥组成的数字证书,来确认电子商务活动中交易各方的身份,并通过加解密方法来实现网络信息传输中的签名问题,以确保交易安全性。
2.网络中的交易数据的安全保存
在确定网络身份后,交易双方就进入了实质谈判,以达成双方认可的条款。在传统交易中,协议的合同化过程是在书面合同上签字盖章,一旦交易双方日后在履约中出现争议,就可以以当初所签署的书面合同作为证据来解决存在的争议。与此对应,在虚拟的网络交易中,也必须能让虚拟的交易数据得以固化并在日后可能发生的纠纷中作为证据为法院所采证。网络公证方案可以采用的解决方法是提供第三方数据保管服务。当交易双方在网上达成协议后,各自用Ca证书对合同进行加密签名,并将合同的电文数据内容提交到网络公证的数据保存中心。由于进行了加密签名,数据保存中心也无法打开并知悉当初的交易合同,这就真正确保了其安全性。事实上,由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。交易双方一旦出现纠纷,通过解密打开的合同将由公证机构出具其保存的公证书证据。而公证文书在法庭上是可以作为证据直接被采纳的。
3.网上合同履行的提存服务
电子商务交易的信任危机除了主体身份确认危机、交易数据的证据危机外,网络交易履行中的支付信任更是阻碍网络交易发展的阻力。双方达成交易意向后,买家担心的是能否准确、及时地收到货物;卖家担心的是交了货后能否准确、快捷地收到货款。也就是说,网络交易双方共同关心着网络合同履行中的信用安全问题。网络公证可以依照传统的提存公证思路,结合网络技术展开网络提存业务。在网络电子商务交易中,买方不必将货款直接交付卖方,而是将货款提存到网络公证提存中心,在其收到货物并签署完相关单据后,提存中心再将货款支付给卖方。这样,网络公证提供的第三方提存服务彻底解决了网络交易双方对网上合同履行的困惑,尤其是支付的担忧。法律制度和传统贸易中早已有的公证提存方式对网络世界中的交易尤为适用。
可以预见,随着信息安全领域的标准化、法制化建设的日益完善,网络公证依托中国公证网络,运用公证的国家证明力所构建的第三方信用与安全服务以及网上合同履行的提存服务,将彻底解决网络交易主体对电子商务的信用问题,也必将极大地推动我国电子商务的发展。
四、小结
总之,通过向网络主体在经过Ra审核后发放Ca电子身份证,解决了网上虚拟主体的真实身份及网上签名问题,并通过网络公证的数据备份中心为交易双方的网上电子合同提供了证据保全,最终以网上提存电子合同的履行来提供网上支付信用服务。“网络公证”作为一个第三方法律服务平台,以其几个有机连结的在线服务系统、完整地解决了电子商务中的安全及信用问题,在虚拟的网络空间构建起一座沟通双方的真实桥梁。
参考文献:
[1]谭卫:电子商务中安全技术的研究[D].哈尔滨:哈尔滨工业大学,2006
[2]卢震宇戴英侠郑江:基于认证中心的多级信任模型的分析与构建仁[J].计算机工程,2001
[3]mclaughlin.L,HolisticsecurityieeeSecurityandprivacy3(3),2005
网络安全及解决方法篇4
关键词:wSn端到端数据链路层
中图分类号:tp212.9文献标识码:a文章编号:1007-3973(2013)003-068-02
1物理层面临的威胁及解决方案
物理层面临直接的袭击,因为它负责频率选择、信号监测和数据的加密。
事实上,实践过程中,很大一部分的网络故障都归结于物理层连接。物理安全是一切安全性的起点。可靠的机房布线是物理安全的重要组成部分之一。传统上,网络管理员一直面临着耗时巨大、几乎不可能完成的任务,即对所有物理网络连接及任何移动、增加和改动(maC)保持准确的纸面记录。
物理安全最重要的方面就是控制。如果你能取得一个设备的物理控制,那么这基本上也就意味着你可以轻易地控制这个设备的行为。这也就是为什么物理安全比其他的安全都重要的原因。从窃取数据到硬件修改的很多方面,物理安全在很多方面都可能受到攻击。每一种攻击都可能提供了访问权限或理解安全控制是如何工作的。
因为资源的有限性使得传统加密算法不适合传感器网络。为了节省能量,对称加密机制如RC4、参数可变的分组密码算法、iDea(国际加密算法)、安全哈希算法、消息摘要算法第五版等得到了广泛的应用。实验结果表明,相比较而言,RC4的表现是最佳的。传统非对称加密算法的失效,使得在无线传感器网络中实现数字签名和认证变得很难。但是新开发出来的eCC算法,作为非对称加密的代表,却可以在有限的资源环境中降低成本、以便获得更好的性能。
2链路层面临的威胁及解决方案
媒体访问控制子层被放置在无线传感器网络中,传感器节点的数据链路层提供可靠的通信渠道。
很多提出的建议无线传感器网络的maC协议都是基于载波检测的。传感器节点的通信通道监听器侦听通信信道,如果不相邻的节点在信道上发送邮件,然后该节点就使用通信信道,这种类型的媒体访问控制子层就很容易受到拒绝服务攻击。
也有一些无线传感器网络中的媒体访问控制子层协议使用清除发送/请求发送机制来提供信道接入。这也极易受到对方拒绝服务的攻击。
链路层面临的威胁主要是DHCp服务器欺骗和DHCp地址耗尽。DHCp服务器欺骗即客户端将自己配置为DHCp服务器,分派虚假的ip地址及其信息或者直接响应DHCp请求。DHCp地址耗尽即客户端不断的冒充新客户发送DHCp请求,请求服务器分派ip地址,这样很快耗尽DHCp配置的ip地址池,其他计算机无法使用。ip地址欺骗,客户端使用自己配置的ip地址冒充其他客户端或网络管理员,对其他用户、设备、服务器等进行非法操作,ip地址欺骗主要是利用自行配置ip地址实现的。
3网络层面临的威胁
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
当今社会网络层面临的威胁体现在方方面面。例如,企业网络主要面临两种威胁,一种是网络层威胁,如防火墙、Vpn、ipS等,一种是内容威胁,如病毒、垃圾邮件、weB过滤;国内校园特别是大学网站的安全状况日益令人担忧,缺少必要安全防范措施的高校网络,令众多黑客“实际仅采用SQL注入式攻击就可以顺利进入”,这对学术资料、师生的个人信息构成了严重威胁。
进行数据融合的初衷是为了减少网络中数据流的数量及能量消耗,但这会造成端到端的机制不能保证无线传感器网络的安全。加上很多的路由协议未加考虑、未被修改的被直接应用到无线传感器网络中,造成了路由层更容易遭到攻击,具体攻击如下:(1)路由欺骗信息。(2)选择性转发。(3)陷阱攻击。(4)西比尔攻击。(5)虫洞。(6)hello洪泛攻击。
针对网络层安全,应该主要是基于以下几点考虑:(1)控制不同的访问者对网络和设备的访问。(2)划分并隔离不同安全域。(3)防止内部访问者对无权访问区域的访问和误操作。
按照网络区域安全级别的不同,建议将网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离,在关键服务器区域内部,也同样需要按照安全级别的不同进行安全隔离。与此同时,还需要结合网络系统的安全防护与监控需要与实际应用环境,工作业务流程以及机构组织形式与机构进行了密切结合,从而在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御、系统访问控制、网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
此外,系统和数据库的漏洞扫描对大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。最后,建议将所有安全系统都能够被整合在统一的网络管理平台或者专用的网络安全管理平台上进行管理。
4应用层面临的威胁及解决方案
今天,各种蠕虫、间谍软件、网络钓鱼灯应用层威胁和emaiL、移动代码结合,形成复合型威胁,是威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用给企业带来了重大损失;攻击终端用户计算机,给用户带来信息风险甚至财产损失;对网络基础设施进行DoS/DDoS攻击,造成基础设施的瘫痪;更有甚者,像电驴、Bt等p2p应用和mSn、QQ等即时通信软件的普及,企业宝贵宽带资源被业务无关流量浪费,形成巨大的资源损失。面对这些问题,传统解决方案最大的问题是,防火墙工作在tCp/ip的3-4层上,根本就"看"不到这些威胁的,所以,需要提出解决方案来减少应用层面临的威胁。
应用层的安全问题依赖于实际的应用。密钥管理是很容易实现的,但是如果该节点被捕获,它将使整个网络受到攻击。如果多项式的密钥分配协议提前建立,则可以避免网络受到攻击,但是这种解决方案需要付出昂贵的计算成本。
5结束语
本文介绍了无线传感器网络的四层架构,分别是物理层、数据链路层、网络层和应用层。详细介绍了每层各自所面临的安全威胁,并给出了部分解决方案。路由层的安全问题是无线传感器网络中最重要的安全问题,应该给予足够重视。
参考文献:
[1]JiaXiangyu,wangChao.theSecurityRoutingResearchforwSnintheapplicationofintelligenttransportSystem[m].ieeeinternationalConferenceonmechatronicsandautomation,2006.
[2]于斌,孙斌,温暖,等.nS2与网络模拟[m].北京:人民邮电出版社,2007.
[3]otclandtclCL.http:///projects/otcl-tclcl.
[4]孙利民,力建中,陈渝,等.无线传感器网络[m].北京:清华大学出版社,2005.
[5]任丰原,黄海宁,林闯.无线传感器网络[J].软件学报,2003,14(7):1289-1291.
网络安全及解决方法篇5
【关键词】网络安全;安全隐患;解决方案
ResearchonnetworkSecuritytechnologyandSolution
Hemao-hui
(wuhanBioengineeringinstituteHubeiwuhan430415)
【abstract】withtherapiddevelopmentofcomputertechnologyandnetworksecurity,security,integrity,availability,controllabilityandcanbereviewedandotherfeaturesmakethenetworksecurityincreasinglybecomethefocusofpublicattention.inthispaper,theimportanceofnetworksecurityisdiscussed,andthemainformsofnetworksecurityrisksareanalyzed,andthesolutionofnetworksecurityisputforward.
【Keywords】networksecurity;hiddendanger;solution
1引言
随着网络时代的发展,网络安全问题成了当今社会不得不注意的重要问题,防范网络安全隐患应该从每个细节抓起,提高网络安全技术水平,加强网络信息管理,从根本上塑造一个和谐的网络环境。
2网络安全的重要性
2.1网络安全隐患的危害
(1)泄露私人信息。在信息化时代里,由于电脑等网络工具不断普及,网络也渗透到各行业以及私人生活中。人们利用网络进行资料的收集、上传、保存,在共享的资源模式中,形成了信息的一体化。同时,网络中也储存着大量的私人信息,一旦信息泄密,就会飞速流传于互联网中,带来网络舆论,恶劣情况下还会造成网络人身攻击。
(2)危及财产安全。随着网络一卡化的运用,人们不用麻烦的随身携带大量财物,只需要几张卡片就能进行各类消费,在一卡化模式的运作下,网络也最大化地便利了人们。如今,由网络芯卡衍生出了更高端的消费方式,常见的微信转账、微信红包、支付宝等支付手段,只需在手机网络中就能实现网络消费,为网络数字时展撑起了一片天。而在这样的环境背后,网络消费却潜藏着巨大的财产安全隐患。密码是数字时代的重要组成部分,网络中的众多信息都牵涉着密码,但是密码并非不可破译的,一旦被危险的木马软件抓到漏洞,无疑等于是凿开了保险柜的大门。在以牟取利益为宗旨的经济犯罪中,网络经济犯罪占据着极大的比例,无论个人还是企业,其经济财产安全都受到网络安全隐患严重的威胁。
2.2提高网络安全技术水平的必要性
首先,提高网络安全技术水平有利于塑造一个干净的网络氛围,可以使各行业在安全的网络环境中和谐发展。其次,提高网络安全技术水平有利于打击网络违法犯罪,保护公民隐私权、财产权,维护社会安定。最后,提高网络安全技术水平就是保障国家经济不受损害,保证国家国防安全,是国家科学技术水平的综合体现。
3对网络安全隐患主要形式的分析
3.1操作系统的漏洞
任何计算机操作系统都有着自身的脆弱性,因此其被称之为操作系统的漏洞。操作系统自身的脆弱性一旦被放大,就会导致计算机病毒通过系统漏洞直接入侵。不仅如此,操作系统的漏洞具有推移性,会根据时间的推移,在不断解决问题的过程中不断衍生,从解决了的旧漏洞中又产生新的漏洞,周而复始,长期存在于计算机系统之中。不法者通过系统漏洞可以利用木马、病毒等方式控制电脑,从而窃取电脑中重要的信息和资料,是当今网络安全隐患存在的主要形式之一。
3.2恶意代码的攻击
恶意代码的概念并不单指病毒,而是一种更大的概念。病毒只是恶意代码所包含的一种,网络木马、网络蠕虫、恶意广告也从属于恶意代码。恶意代码的定义是不必要的、危险的代码,也就是说任何没有意义的软件都可能与某个安全策略组织产生冲突,恶意代码包含了一切的此类软件。通常情况下,黑客就是恶意代码的撰写者,一般黑客受人雇佣,旨在通过非法的侵入盗取机密信息,或者通过破坏企业计算机系统,非法获取经济利益,形成行业恶性竞争。现在的网络环境中,恶意代码是最常见的网络安全隐患,常隐藏在正常的软件或网站之中,并且不易被发现,渗透性和传播性都非常强,具有极大的威胁性。
4网络安全的解决方案
4.1设置防火墙
防火墙是一种集安全策略和控制机制为一体的有效防入侵技术,是指通过网络边界所建立的安全检测系统来分隔外部和内部网络,并明确限制内部服务与外部服务的权限,可以实际阻挡相关攻击性网络入侵。防火墙的基本类型有六种,分别是复合型、过滤型、电路层网关、应用层网关、服务及自适应技术。在目前的大多数企业中,都运用到了防火墙技术。
4.2对访问进行监控
访问监控是在对网络线路的监视和控制中,检查服务器中的关键访问,从而保护网络服务器重要数据的一种防护技术。访问监控技术通过主机本身的访问控制,与防火墙、安全防护软件等形成联动,对所有通过网路的访问进行严密监视和审核,以达到对计算机网络安全的保护。
4.3采用多重加密
网络安全的威胁途径主要来源于数据的内部传送、中转过程以及线路窃听,采用多重加密技术,可以有效地提高信息数据及系统的保密性和安全性。多重加密技术主要分为几个过程:首先是传输数据的加密,这是保证传输过程的严密,主要有端口加密和线路加密两种方式;其次是数据储存的加密,目的是为了防范数据在储存中失密,主要方式是储存密码控制;最后是数据的鉴别和验证,这包括了对信息传输、储存、提取等多过程的鉴别,是一种以密钥、口令为鉴别方式的综合数据验证。日常的网络生活中,加密技术也常能看见,比如在微信、微博、游戏账号、邮箱等各大社交软件中,都设有个人密码,这是多重加密技术的第一层屏障,随着高级别威胁的出现,第一层的密码保护无法满足数据安全的需要。因此,在社交软件中就出现了动态码、验证码、密保信息等更高级的数据保护措施,在多元的数据保护手段下就形成了多重加密的安全技术。
4.4实名身份认证
网络作为一种虚幻的构成,并没有形成良好的秩序,要防范网络安全隐患,就要加强现实生活对网络信息的干预。采用实名身份认证能够从实际生活中规范网络言行,从另一个角度说,这是一种法律意义上的监控。在实名身份制的网络认证下,便于法律的约束和治理,可以有效控制网络犯罪,从根本上促进网络世界的安全化与和谐化。
5结束语
安全是一种概率性的词,没有绝对的安全,只有相对的安全。网络世界也是一样,绝对安全的网络环境是不存在的,就好比只要有利益,就会有犯罪,网络犯罪是会不断滋生的。但是,网络安全的隐患是可以防范的,正确的运用信息技术,加强网络安全的管理,在网络法律的有效制约中,就能拒各种“网络毒瘤”于网络的大门之外,共同塑造一个干净安全的新信息时代。
参考文献
[1]李春晓.校园网网络安全技术及解决方案分析[J].电子测试,2013,18:100-101.
[2]关勇.网络安全技术与企业网络安全解决方案研究[J].电子技术与软件工程,2015,05:227.
[3]任戎.网络安全技术与校园网络安全解决方案刍探[J].四川文理学院学报,2008,05:43-45.
网络安全及解决方法篇6
一、维护网络信息安全的必要性
随着互联网技术的日益发展,现今世界各国联系越来越密切。不同于传统国界的有限性,网络世界的无限延展性在全球形成了一个超主权国家管辖范围的空间。新型的网络空间超越了传统主权国家的管辖,对所有国家存在着潜在的侵权威胁。
现今,网络信息技术已经全面渗透到社会的各个方面,且已经演变为全球重要的信息基础设施。信息已经成为一国的新型战略资源,信息涵盖了大量的利益,小到网民的隐私权等个人权益,大到社会公共利益乃至关系到各国的主权利益。基于利益的考虑,在网络信息技术的使用过程中,不可避免会出现国家、组织和个人破坏网络信息安全的行为。
相较传统的国际关系,网络空间引发的利益冲突关系更为复杂。一方面,由于网络技术和应用的不断创新,网络信息将整个世界紧密联系在一起,网络信息安全可能涉及所有的网络使用者,一旦发生侵权行为就突破了传统国际法的管辖权,影响范围涉及多国家。
另一方面,由于国际法体系并不存在普遍公认的国际法规则,并且各国网络信息技术发展的不对称性使得各国网络立法存在界定是否构成网络信息侵权的标准不一。难免出现网络信息技术发展强国依靠自身的先进技术肆意侵害他国网络信息安全,干涉他国内政,对他国的政治、经济、社会秩序甚至是国家安全产生重大影响。
伴随着全球化进程的不断加强,网络信息安全的管理面临新的挑战。首先,当前网络并非由政府机构完全掌控。现今由于市场激烈的竞争环境使得网络信息安全管理自身就面临着很大的威胁。其次,网络信息系统的不断发展,使得原有对网络信息的传统管辖模式无法应对当前的新趋势。最后,互联网全球化的加强,现今网络服务都是跨国性的,网络信息内容安全风险的解决要考虑到各国不同的国情。因此,网络信息内容安全管理的对策必须要符合国际惯例。
二、解决网络信息安全的国际法途径
(一)通过双边会议、多边会议建立区域网络信息安全维护组织
由于国际社会不存在一个超国家政府,所以使得国家单边主义威胁网络信息的安全性。不同类型的国家,无论其大小与网络信息技术的优劣,都理应处于平等位置,平等的享有被保护网络信息安全的权利。当前已经有国家和地区通过交流达成共识,希望通过制定协议共同促进信息安全的保护,可以在此基础上根据政治或地理位置的相近形成区域网络信息安全维护组织。
区域网络信息安全维护组织作为国际组织,其有助于解决集体的困境和相互依赖的选择问题,并且其具有组织制定统一区域网络信息安全维护组织章程的权利。该网络信息安全维护组织内的成员可以实现获取信息、网络信息技术共享、联合打击非法利用、滥用信息技术及加强网络关键信息技术设施的建设等权利,但同时网络信息安全维护组织内的各成员也必须履行相应的义务。例如,使用网络获取信息必须避免将其用于破坏国家稳定和安全的目的,避免给各成员国国内基础设施的完整性带来不利影响,危害各国的安全。
除此之外,各成员国有合作打击利用信息通信技术从事犯罪和恐怖活动或者破坏成员国政治、经济和社会稳定行为的义务。各个成员之间必须加强互联网技术的共享,相互之间转让网络信息技术,相互弥合数字鸿沟,提升区域网络信息安全维护组织应对威胁的能力。针对区域组织内成员的网络信息安全实行统一的监管,制定统一的涉密信息交换的标准和程序。
组织内成员共享使用信息,必须严格遵守程序,其目的在于使各成员提高保障信息安全的能力,一方面可以相互放心安全地使用网络,另一方面在本国以外多了一层区域网络信息安全维护组织内其余成员国的保护。使得本国公民的信息得到更多的保护,并且保障国家的信息安全,使得网络安全性提高。
区域性网络信息安全维护组织的成立需建立在各成员国相互信任,平等互惠的原则上。一旦组织内部成员实施了违反组织章程侵害成员国网络信息安全的行为将受到区域组织成员国一致的制裁,例如限制该国在成员国公司的经营业务等。
(二)建立全球范围内广泛适用维护网络信息安全的国际公约
在2015年1月9日,中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、塔吉克斯坦、乌兹别克斯坦常驻联合国代表呼吁各国在联合国框架内就网络信息完全的保护展开进一步讨论,尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识,建立一个具有广泛适用性的国际公约。
国际公约的目的是在各方利益主体博弈的过程中,通过保障网络信息安全使网络信息时代下的各行为主体可以公平占有使用网络资源共享网络发展带来的利益并且保障各国的主权安全,维护各主体的合法权益。
首先,国际公约需遵循《联合国宪章》,根据《联合国宪章》国际公约应明确指出国家应尊重主权原则,要求国家行为应尊重其他国家的主权,不得以非法手段侵害其他国家主权,这里不仅包含了传统国际法所称的主权平等、主权安全和不干涉内政,也包含了非传统安全的网络信息安全,国家应当尊重主权国家之间彼此的核心利益,并且尊重与网络信息安全有关的国家政策问题的安全。例如“国家不应以窃取、监听等不文明手段获得他国信息”。
其次,根据1948年《世界人权宣言》第12条即规定了任何人对于其私生活、家庭、住所、通讯有受法律保护和不受侵犯的权利。公民的网络信息也属于公民的隐私,并且随着网络技术的不断发展,网络信息的安全涉及到公民的财产,所以公民的网络信息也是公民的财产权利,保证公民网络信息安全同样是对公民财产权利的保护。
国际公约应尊重公民的基本权利,所以国家应在“充分尊重信息空间的权利和自由,包括在遵守各国法律法规的前提下寻找、获得、传播信息权利和自由”;对他国公民通讯的监控和信息的获取,应取得合法手续,并且必须出于合法目的。
网络信息技术的不断发展是科技不断创新的产物,未来全球化进程不断加剧,网络信息技术将会涉及方方面面,只有保证网络信息技术的安全性才能使得各国不断运用创新。否则无法保障网络信息技术的安全,国家就会丧失建设全球网络时代的信心,科技的发展将会倒退。
再次,国际公约的制定旨在维护网络信息安全,避免国家实施违反国际法原则的侵权行为。例如对别国公民、企业组织、政府机关进行监控,对主权国家进行监听和非商业用途收集信息。出于对各国共同安全利益的考量,国际公约应该本着平等互助的原则制定统一的监管网络信息的标准,保护国家间共同的利益,统一制定评价国家行为需要参考的因素,明确国家网络信息安全不可侵犯的界限。
最后,由于网络信息技术涵盖范围广泛涉及了信息收集、监听监控、国家安全等领域,所以内容的特殊性和复杂性使得国际公约在实施过程中其约束力存在不足,故而要结合国际法以及其他国际公约。例如《联合国宪章》、反恐领域的国际公约、人权保护公约、《国家对国际不法行为的责任条款》《跨国公司和其他商业企业关于人权责任的准则》并且配合联合国国际法委员、人权委员会等机构相互合作。
(三)在联合国的框架内建立网络信息安全的监管机构和执行机构
从网络信息安全的侵权事件中可以发现,跨国公司成为政府的侵权工具。此时追究侵权责任时会涉及到网络信息侵权责任的归因问题。从国际法的角度,归因的目的在确定某一行为可否归于一个国家而成为该国的国家行为。
就已发生的网络信息侵权行为进行分析,不难发现确定实施侵权行为的主体是国家还是个人将直接影响到当事国的国家责任以及受害国采取何种法律救济的途径。
例如侵权行为的实施主体归因为企业或者个人发起的则通常属于网络犯罪行为,这将涉及到有关国家国内法的管辖以及国家间的司法合作来加以解决。由此可见网络信息安全侵权主体的复杂性和特殊性,涉及领域的广泛性,并非能简单通过单个机构来解决,需要多个领域机构的共同合作。
当前主流学者的观点是,由于平等国家之间无管辖权,全球网络空间并不存在超国家机构的实体可以系统的对网络侵权行为实施强制性管辖。因此,不同的行为体试图通过拓展自身网络空间的行动范围,渴望获得更多的网络资源,掌握网络管理的主动权,为自身谋取利益。此种竞争将对未来国际网络信息安全的发展造成隐患。
所以可以在联合国框架下成立网络信息安全保护有关的专门机构。该机构一方面建立国家网络信息安全行为的监管机制,可以借鉴“世界贸易组织的贸易政策评审机制”①,定期对各国的信息安全行为等进行评议并公开报告,另一方面建立解决国家网络信息安全争端纠纷的解决机制。
由于网络信息安全涉及的领域并非国际法传统完全的领土、领海领域,一旦发生纠纷难以诉求专门法院解决。所以应当借鉴wto的争端解决机制,针对网络信息安全的特殊性成立专门的解决机制,使得纠纷得到公平的裁决。
网络安全及解决方法篇7
关键词:统计学习;风险评估;支持向量机
中图分类号:F224文献标识码:a文章编号:1671-7597(2012)0110102-01
0引言
互联网络时代的到来使得网络重要性和人们对其依赖也日益增强。网络安全问题也不容乐观。网络安全风险评估是保证网络安全的重要环节。基于人工智能的评估方法是近些年发展起来的,其评估结果较为客观和准确,克服了传统方法的缺陷,为网络安全评估拓展新的空间。支持向量机[1]就是其中一种,其学习能力强,解决了在神经网络方法中无法避免的局部极值问题,具有较好的泛化推广能力。
1风险评估及支持向量机
1.1网络风险评估。准确进行网络安全风险评估并预测其发展趋势成为保障各种网络服务安全急需解决的问题。网络安全风险评估[2]是指依据国家有关网络信息安全技术标准,对网络信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。风险计算是对通过对风险分析计算风险值的过程。风险分析中要涉及资产、威胁、脆弱性等基本要素,每个要素有各自的属性。
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险。风险计算原理利用范式(1)给出:
风险值=R(a,t,V)=R(L(t,V),F(ia,Va))(1)
其中,R表示安全风险计算函数;a表示资产;t表示威胁;V表示脆弱性;ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
1.2支持向量机理论。SVm是在统计学习理论基础上发展起来的,是根据Vapnik提出的结构风险最小化原则来提高学习机泛化能力的方法。SVm对小样本、非线性和高维特征具有很好的性能[4]。具有理论完备、适应性强、全局优化、训练时间短、泛化性能好等优点[6]。
假定训练数据可以被超平面
无错误地分开,且距离超平面最近的向量与超平面间的距离最大,则称这个超平面为最优超平面。而SVm的主要思想就是:通过某种事先选择的非线性映射将输入向量x映射到一个高维特征空间Z,在这个空间中构造最优分类超平面。SVm就是解决如何求解得到最优分类超平面及如何解决高维空间常遇到的维数灾难问题。而通过核函数方法向高维空间映射时并不增加计算复杂度,又可以有效克服维数灾难问题。
SVm中不同的核函数将形成不同的算法,对于在具体问题中核函数的选定和构造也是SVm中的研究内容之一。
2支持向量机的评估方法
支持向量机可以较好的解决小样本、非线性模式识别、过拟合、高维数等问题,具有学习能力强,全局最优以及很好的泛化能力和结果简单等优点,应用于风险评估具有其可行性及优势[3,5]。
2.1算法可行性。将SVm运用到风险评估中,对目标网络进行安全风险评估具有其可行性。支持向量机是专门针对有限样本情况的,目标是得到现有信息下的最优解。其次,支持向量机能将分类问题最终转化成一个二次寻优问题。最后,风险评估对问题解决方法的泛化能力及简单性要求较高。支持向量机能将实际问题通过非线性变换转到高维特征空间,在高维特征空间中构造线性判别函数使得原始空间具有了非线性判别函数的功能。在保证模型推广性的同时也消除了维数灾难的问题。
2.2基于SVm的评估模型。随着SVm的广泛应用及对其深入研究,结合具体需求将SVm与其他算法相结合进行优化,出现一些新型的SVm方法。在对SVm参数优化方法也有相关深入的算法研究。本论文结合SVm实际应用模型与网络风险评估要求及流程,提出基于SVm的评估模型。评估模型主要分四部分:评估观测期、风险分析期、基于SVm的评估期、防护措施调整期。该模型采用周期循环的理念,可以得到目标网络实时的安全状况,更好的保证网络安全可靠。
基于SVm的评估期对评估指标进行归一处理,作为SVm的输入。对数据初始化后通过对训练数据进行机器学习,最终获得SVm的训练模型。然后运用模型对测试数据进行处理,得到测试集中样本的分类结果即评估结果。
3结束语
网络安全评估成为解决网络安全问题以及网络优化的关键手段之一。支持向量机能较好地解决传统评估方法不能解决的非线性、高维和局部极小等实际问题,克服了神经网络的过拟合、局部最优的缺陷,成为网络安全领域的又一研究热点。该领域仍需完善和改进SVm算法,结合其他学科提高SVm训练速度、降低算法复杂度和运算量等。
参考文献:
[1]邓乃扬、田英杰,支持向量机理论、算法与拓展[m].北京:科学出版社,2009.
[2]黄光球、朱擎等,基于信息融合技术的动态安全态势评估模型[J].微计算机信息,2010,26(1-3):27-29.
[3]党德鹏、孟真,基于支持向量机的信息安全风险评估[J].华中科技大学学报(自然科学版),2010,38(3):46-49.
[4]殷志伟,基于统计学习理论的分类方法研究[D].哈尔滨:哈尔滨工程大学,2009.
[5]王伟,aHp和SVm组合的网络安全评估研究[J].计算机仿真,2011,28(3):182-185.
[6]故亚祥、丁世飞,支持向量机研究进展[J].计算机科学,2011,38(3):14-17.
网络安全及解决方法篇8
作为一种全新的增强型体系结构,无线网状网解决方案对wLan技术进行了重新定义,基于无需执照的802.11技术,允许运营商增加无线宽带服务。同时,还结合了无线和有线解决方案的最佳性能特点,为企业和公众终端用户提供可靠的无线接入。此外,该解决方案还引入了对等网状拓扑的概念,以实现接入点之间的无线通信。
组成
无线网状网络解决方案由无线接入点、无线网关和optivity网络管理系统3个主要部分构成。其中,无线接入设备采用自动恢复和自我路由技术,由多个接入点wirelessap7220组成动态的网络。而无线网关则由wirelessGateway7250构成,可以为用户提供移动性和接入点之间的数据流量安全性。此外,在该解决方案中,网管系统作为软件管理的集中式设施,用于监控和管理网络操作。
无线网状网络解决方案基于无需执照的802.11技术,允许运营商增加无线宽带服务,而无须进行昂贵的无线频谱投资。同时,该网络还采用无线上联方案,企业或运营商可以用最少的以太网电缆或其它设施来安装wLan,极大地降低专用设备进行数据传输的成本,从而帮助运营商和企业轻松扩展wLan,覆盖以前由于网络限制或成本因素而无法覆盖到的地区。
另外,无线网状网络解决方案还为wLan接入提供一个安全的平台,并在容量、覆盖率和可用性方面非常灵活。该解决方案包含最新的安全标准,保护用户接入,并通过在接入点之间的无线转接链路上提供安全性来保护网络和用户。
此外,由于无线网状网络解决方案提供了自我组织和自动配置功能,增加了容量、覆盖面和可用性,这意味着用户可以部署更多的wirelessap7220,而最少的布线设计也使得用户很容易在紧急事件或特殊事件发生时安装临时装置。
简化网络管理
无线网状网络解决方案继承了固有的系统级的主要功能,包括自我配置(发现、路由选择、错误恢复)、移动性、安全性以及集中化的管理,不仅满足终端用户的应用要求,还简化了网络管理。
在无线网状网络中,网络以“端到端”的模式运行,每个wirelessap7220都有嵌入式的路由选择功能,并且还可以使用相邻wirelessap7220作为路由器向宽带网络往返传输业务。同时,wirelessap7220还结合了其相邻wirelessap7220的自动发现技术,在不需要人为干预的情况下,自动识别其它wirelessap7220,以及可能的路由选择路径。当oSpF(开放最短路径优先)和相应的路由选择算法结合使用时,就提供一种“自愈”网络,可以通过和相邻wirelessap7220的连接,并使用备用路由,使网络可以实现自动恢复的功能。
另外,在无线网状网络解决方案中,终端用户还可以透明、无缝地在整个accesspoint7220网络中漫游。而对于每一个移动节点上,用户不需要安装移动客户端软件,而且其路径更新对移动节点来说也是透明的。在安全性方面,无线网状网络还提供一个综合的wLan安全解决方案,其中涉及验证、许可,数据隐私、机密性以及数据完整性,用以保证终端用户业务的安全,同时,正确的用户验证和许可对运营商而言,也保证了服务没有被窃取或收入未受损失。此外,在该解决方案中,网络操作支持系统(noSS)还提供用于监控和管理网络操作的集中设施,网管中心由optivity网络管理系统(onmS)、行业标准的RaDiUS、Ftp及DHCp服务器组成。同时,该系统还提供快速有效的方法管理和解决网络故障的能力,支持对网络性能、可扩展性及安全性的要求,最多可支持10,000个ip设备。此外,onmS还具有对所有被支持设备的网络错误进行整合和互相关联的能力,可用来管理大型、复杂的网络。
应用前景广阔
无线网状网络解决方案适用于在覆盖广阔开放式区域构建wLan网络,而不管该区域是在室内还是在室外,对于那些以太网线缆不能到达和禁止安装的地方都可以考虑使用。通过无线网状网络及其无线回程功能,企业可以降低与安装相关的资本成本,减少部署所需的时间。此外,通过扩大关键数据网络资源连接范围,很多企业和部门也为终端用户的劳动生产率提高而收益。
对有线和无线运营商来说,他们可以在很多情况下部署无线网状网络,特别是其可以增强运营商当前的服务产品,增加新的收入增长机会。运营商可以选择多种灵活的计费方式,使用户的付费变得简单,从而产生新收益。而无线因特网运营商(wiSp)作为新兴的运营商,他们完全可以通过ieee802.11无线接入技术,在无须认证的频段内提供因特网服务,并且具有快速、可扩展、经济灵活的部署方式。
网络安全及解决方法篇9
我们在去年看到众多端点安全产品进入市场,它们试图消除企业网络面临的非常严重的威胁。那么企业的it管理人员该如何评估这种产品呢?本文就提供了一份路线图,并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
一、哪几个部分最重要?
端点安全对不同的人来说意味着不同意思。为了便于讨论,我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同,也许现在想实施其中一两个部分,打算将来时机成熟时再升级到其余几个部分。
策略定义:你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略,而且能够轻松修改。
用户检测:不管你的用户是在本地总部还是从远地连接到企业网络,你的系统都应当能够检测到他们。这包括每个客户端上使用或者无的操作。
健康评估:你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下,应当在访问网络之前进行扫描,不过你的系统也应当允许登录之后进行其他检查。
策略执行:你的策略确定了应当保护哪些网络资源,包括交换机、虚拟专用网(Vpn)和服务器等等。视策略而定,你应当能够隔离资源或者完全拒绝访问网络。
采取补救:如果客户端不符合策略,接下来会怎样?理想的系统会启动反病毒特征更新、给操作系统打上补丁,或者采取其他措施。记住:目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数it管理人员希望最先看到实施的方面,却也是大多数解决方案最薄弱的方面。问题在于,补救起来很棘手,而且需要依赖许多单个的软件和硬件正常工作。
目前正在开发中的有三种总体架构方法:微软的网络访问保护(nap)、思科的网络准入控制(naC)以及可信计算组织的可信网络连接(tnC)。
思科的naC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向windows客户端和Linux客户端的交换机及路由器中,从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分,因为思科并不提供一切。思科架构的强项在于执行和检测,补救是它的弱项。
tnC一开始是这种概念:使用Radius和802.1x等开放标准对特定的网络客户端进行验证,那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。tnC专注于提供能够协同工作的解决方案,所以难怪其强项在于策略定义,弱项在于健康评估。
nap还没有真正实施到微软的任何产品中,第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救,弱项在于执行,对另外两种架构起到了很好的补充作用。最初,nap会单单支持windowsXp和Vista客户端,把其他市场让给另外两种架构。
建议:
不是每个端点解决方案都能够有效地提供五个方面,大多数的强项在于健康评估或者策略执行等一、两个方面,在其他方面比较弱。认真阅读说明书,确定你最初关注的重心。
二、现有的安全和网络基础设施是什么?
下一步就是了解你现有的安全产品组合是什么,端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备,或者不想购买功能与现有设备重复的端点产品,这取决于你何时购买了防火墙、入侵预防设备和验证服务器。
有些产品(如Vernier)自身随带入侵检测和预防系统或者虚拟专用网络网关,这些是端点安全解决方案的必要部分;而另一些产品(如Lockdownnetworks)可与现有的ipS、iDS和Vpn产品协同工作。如果你准备选购这些产品,这可能是好消息,但要认识到:你的端点安全只能保护远程用户在使用的机器,却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户,你需要实施802.1x验证之类的机制。
思科的naC假定你使用的所有思科产品都是最新版本:如果不是,那么就要考虑其他架构,除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器,那么支持另外两种架构的产品更有意义。
建议:
如果你没有Vpn,或者正在考虑实施Vpn,那么Juniper和F5(其次是思科和aventail)提供的SSLVpn具有相当可靠的端点健康扫描功能。至于已经有企业ipsecVpn的用户,比较适合实施端点安全解决方案,假定你在所有的本地机器上也能够运行这些安全ipsec协议。大多数端点产品支持这种方法。
如果你已经有了切实可行的Vpn而现在又不想改动,不妨考虑自身随带802.1x验证服务的产品解决方案,譬如赛门铁克或者infoexpress的方案。你需要加强验证机制,以便处理下面提到的端点健康评估工具。
如果你需要升级交换机,nevis和Consentry都提供各自集成了端点安全功能的48端换机。
三、要保护网络上的哪些部分?
接下来要确定你想把端点安全设备放在网络上的哪个部位,想保护企业计算资源的哪些部分。显然,网络上所要保护的部分越多,项目成本就会变得越高。有些设备应直接放在企业防火墙后面,保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好,或者部署用来保护某些子网或者部门级网络。
tnC架构似乎是三者当中最灵活的,适用于最广泛的部署及保护场景。nap旨在保护微软服务器,而naC是为思科网络交换机和路由器设计的。
有些设备(如Vernier、Consentry和nevisnetworks)采用嵌入式工作方式,这意味着位于这种设备后面的任何网络资源都会得到保护;只有健康的网络客户机才能通过进而访问这些资源。另一些设备(如mirage、Forescout和aepnetworks)采用带外工作方式,通常经由网络跨接端口连接起来,监控某个子网上的所有网络流量;一旦用户通过活动目录或者Vpn登录成功通过验证,它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处,就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限,无法处理较大网络的较高吞吐量。
建议:
对于吞吐量需求较高的大型网络,不妨考虑Juniper的端点解决方案,它适用于75mbps到30GBps的多种吞吐量。
如果无法确定使用嵌入式还是带外式,那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
四、管理所有桌面系统吗?
下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高(譬如说10%以上),合作伙伴或者承包商使用自己的计算机,或者远程员工不来总部办公室上班,那么你无法轻松接触外面的这些pC。如果你分发软件更新版,牢牢控制桌面pC,就能够更轻松地安装软件,进行健康评估,采取纠正措施。
每种设备都有可能使用三种基本类型的中的一种:
“胖”,也就是每个端点pC上永久安装的可执行文件。
按需,只有pC连接到网络时才存在,通常通过浏览器会话或者网络登录过程的一部分来提供。
无解决方案,不在端点上安装任何软件,但能够与pC上已有的软件协同运行。
问题在于,使用哪一种软件来处理实际工作,要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和ie浏览器版本,但也有一些例外,如果你使用的不是windows操作系统更是如此。
微软的nap在这方面的功能最弱,如果你仍在运行windowsXp之前的版本,功能将更弱。微软已承诺为windowsXpSp2和Vista推出支持其网络访问保护系统的。如果你使用的windows版本比较旧,就要寻求第三方供应商。naC和tnC都旨在更广泛地支持windows、mac和Linux等端点操作系统客户端。
有些厂商提供多个,不过有不同的功能及对操作系统的支持。譬如说,nevisnetworks为windows提供的activeX控件可以执行健康评估。对于非windows客户机,nevis只能使用无连接,进行最基本的身份控制。
建议:
如果你需要macoS支持“胖”,不妨考虑aep、infoexpress和Lockdownnetworks的解决方案。赛门铁克的按需可运行在macoS和Linux上,但“胖”只能运行在windows2000和Xp上。赛门铁克和Consentry承诺今年晚些时支持macoS和Linux。
Lockdown和miragenetworks更进了一步:两家公司都把端点放在了各自的专用虚拟局域网(VLan)上,因而能够确保有风险的设备与其他设备隔离开来。
想获得完全无的方法,不妨考虑Forescout和Vernier。
五、非pC端点需要管理吗?
想弄清楚使用哪种,一方面要知道你的网络上还有什么,需要管理什么。“胖”无法管理企业网络上运行自身操作系统的非pC设备,譬如打印服务器、网络摄像机和pDa等。这些设备大多有ip地址,运行各自的操作系统,不容易由端点设备来管理。
处理非pC端点的最合适的架构就是tnC方案,它能够兼容类别最广泛的设备。naC会在网络层实施支持非pC端点的功能;至于微软的nap,你需要指定策略才能处理这些设备。
大多数厂商提供这种功能:把maC或者ip地址加入白名单或者对它们进行预验证,那样它们仍可以连接到网络上完成任务。不过,把这些设备加入白名单只是临时解决方案,因为其中一些设备一旦被感染,安全就会受到危及,进而对网络造成危害。Forescout和miragenetworks都能检测到来自这些专门设备的流量模式出现的变化,并且能够隔离设备。
建议:
你网络上的非pC端点数量可能比你想像的多得多,可能无法轻易把它们隔离到单一VLan或者网段。要进行认真的现场勘查,确定这些端点与任何计划中的解决方案有着怎样的关系。
六、在何处制订及执行安全策略?
众所周知,任何端点解决方案都会影响到众多计算设备:客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来,你需要作出决定:存放端点策略的集中存储库放在何处;在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地,也有可能是全新的安全设备。
tnC倾向于使用802.1x验证协议作为存储库,不过这是其架构的可选部分,而不是必需要求。naC比nap更注重执行功能,至少目前是这样。
建议:
最自然的起步就是使用微软的活动目录作为这样一个策略存储库;而且,微软的nap确实是为这种目的而设计的,最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能,这看你是如何进行设置的。
另一个解决办法就是使用第三方厂商来完成这项任务,譬如Lockdown、trustednetworktechnologies或者Consentry,不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
网络安全及解决方法篇10
【关键词】全台业务网网络安全管理
全台业务网从根本上改变了以往传统的运作模式,节目以文件传递取代了磁带,最大限度的实现了跨平台跨频道的信息流通,并为运作、管理、应用提供了先进完善的技术手段,使节目的业务处理更加优质高效。随着全台业务网的规模逐渐增大,网络安全问题越来越突出,那么怎样保证全台业务网的安全运行呢?
1网络安全建设的重要性
建设全台网是为了更好地实现资源共享,提高资源利用率。从全局层面上看,全台网是一个涵盖电视台“制、编、播、存、管”等业务的全网络化平台。这就决定了这个平台不单是电视节目内容交互平台,也是一个现代化办公和信息交互的it平台。全台网在方便信息交流的同时也面临着网络安全的威胁,过去我们比较关注的是如何实现全台网的互联互通,很多工作都是围绕如何解决工作流程、如何解决格式统一、如何解决资源共享等问题。但是,随着全台业务网的规模逐渐增大,网络安全问题越来越突出。
各个子网之间大量的数据信息交换和外来数据引入等往往会导致不安全因素的入侵。这些信息交换也为“病毒”和“攻击”提供了一个感染和快速传播的“方便之门”。一旦某个网络节点感染了病毒,就有可能使病毒在网络内部迅速蔓延,继而扩散到全网,导致网络瘫痪系统崩溃的严重后果。
面对日趋严重的网络安全问题,应该引起我们的高度重视。网络攻击和病毒感染是影响广电网正常运行的两大主要杀手!各个子网大量外来信息的导入是网络安全威胁的源头!要解决这一难题,满足对广电网络安全保障的需求,就要建立一个有安全防护机制、安全管理和审计机制及安全恢复机制的网络安全综合解决方案。
2全台网结构及风险分析
全台业务网是由多个子网板块组成,每个板块按着其功能属性各不相同,但就其网络结构特点和信息交换的本质却基本趋同。
一个典型的业务子网从结构上看主要包括:核心交换机、各种服务器、存储阵列及各种用途的业务终端等。操作人员通过业务终端开展工作,如果涉及到需要使用外部数据,为了确保安全,需要先把数据在中转工作站上经过杀毒处理,然后再拷贝到相应的系统中使用。
目前我们一般都采用“杀毒软件+防火墙”的安全防护模式。通过杀毒软件,对外部引入的数据进行扫描杀毒处理抵御病毒和木马的入侵,通过防火墙来防御外来的攻击。
防火墙的作用就是建立一个安检“大门”,把守住进入网络的必经通道,所以在网络的边界安全设计中,防火墙起到了很重要防护作用。但是,防火墙存在以下的安全隐患:(1)存在网络通道,安全策略遭到破坏后攻击行为可长驱直入;(2)采用通用传输协议,对于协议漏洞造成的安全问题无法解决。因为防火墙存在上述问题,使用防火墙作网间隔离设备,是不能完全屏蔽外来威胁的,有一定的安全隐患,并且防火墙本身的安全策略也需要不断升级。
杀毒软件虽然可以杀灭病毒和木马,但是杀毒软件也有以下问题:(1)病毒库升级落后于新病毒的产生,容易漏杀,正所谓先有“病”后有“药”,一旦病毒库更新不及时,就有被感染病毒的危险;(2)黑名单方式,查杀速度慢,尤其针对大文件速度会更慢,视频文件往往又都是很大的,查杀起来效率会很低;(3)容易造成误杀,把本不是病毒的数据删除。(4)占用一定的系统资源。
同时在传统的安全管理中,往往忽视了内部的自动化安全管理和控制,很多机房都是基本靠一份《机房管理守则》对使用者的行为进行约束,这种人为的管理方式也存在着很大的安全隐患,必须加强管理。
3全台业务网安全解决综合方案
针对广电网络的“安全第一”行业特点,在实际工作中我们提出:“边界安全、管控安全、数据安全和应用安全”的综合安全理念,从四个方面全方位保护全台业务网。通俗地讲就是:看好大门、管好终端、数据不丢、服务不断(防止灾难)!
网络安全部署实行中我们尽量不改变现有的网络结构和使用习惯,以最低的设备成本、维护成本实现对网络的全方位综合保护。
(1)网络边界是指一个封闭的网络与外界交换信息的出入口,是信息交换的唯一途径,因为边界而产生的安全问题是不可避免的,如何做到“安全地交换信息”是安全管理工作努力的方向。在实际应用中我们关闭所有网络边界只预留特定网络接口并通过物理隔离设备与外界交换信息。物理隔离技术的应用,为网络边界安全提供了更理想的解决方案。
物理隔离实际上是没有物理连接,也不支持标准的tCp/ip协议,采用专用的通信硬件,有效地把内、外部网络隔离开来,实现内、外部网络数据的安全交换,并透明支持多种网络应用,以到达“交换与隔离”的目的。所谓“交换”就是网络间进行有用的数据传输;所谓“隔离”是指在进行数据传输的过程中,屏蔽病毒和攻击等有害信息。
(2)通过部署监控与审计系统,对内网的所有终端使用行为进行规范,禁止非法外联、禁止非法接入、避免出现新的网络边界和非法软件的使用等等,使得网络上的所有用户和设备都处于被管理和监控的状态,通过认证、授权、审计的方式追踪用户的行为轨迹。
(3)通过部署近线容灾备份系统,实现对重要数据、信息的实时备份,确保即使在特殊灾难情况下的数据信息不丢失、并在尽可能短的时间内恢复服务。近线备份系统的关键词是“近线”,不同于在同一系统中边运行边备份的方式,同时近线备份系统和在线系统实行分开运行和放置的方法,可以抵御大的灾难风险。
总之,面对日趋严重的网络安全问题,应该引起我们的高度重视。一个运行稳定的全台业务网,硬件性能可靠、软件平台安全、机房环境规范、管理制度严格,是必不可少的基本的条件。在此基础上,网络安全要考虑的目标就是外来信息的安全、内部管控的严谨、重要数据不丢失和服务不中断。
参考文献
[1]李海文.对计算机网络安全管理问题的探讨[J].青春岁月,2015(09).
[2]邓丽玲.广播业务网络安全分析[J].计算机光盘软件与应用,2014(15).