论文部分内容阅读
【摘 要】就目前而言,网络攻击技术严重威胁着网络信息系统的安全,较为常见的攻击行为技术包括拒绝服务、恶意软件、利用脆弱性及内部攻击等。在设计网络防御系统时,不仅要考虑设计方案的目标与用户职责,同时还要重点进行网络风险分析,进而制定网络策略。可以说,通过网络、系统及数据三方面的各种安全技术手段,可以有效保护网络信息系统的安全性。
【关键词】网络防御系统 设计 入侵检测
一、引言
目前,网络问题已经引起人们的广泛关注,这主要是因为网络病毒或者网络黑客最近几年呈猖獗之势、网络攻击造成巨大的经济与社会损失以及网络管理面临着巨大的挑战。可以说,在当今日趋发达的网络信息社会中,确保网络信息系统的安全无论是对个人、企业,还是对整个国家,其意义都是重大的。假如,个人隐私信息被泄露,公司的财务与商业信息被恶意窃取,或者关系到一个国家的国防信息被盗取,都会造成不同程度上的损失。本研究正是基于此,探讨网络防御系统的设计过程、安全策略及防御系统的实现,从某种程度上来说,对确保网络具有一定的理论与实际价值。
二、几种常见的网络攻击行为技术及相应的应对策略
从某种程度上来说,网络和网络攻击有着千丝万缕的联系,假如没有网络攻击,网络也就无从说起,一般来说,目前,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,如果没有一个系统完善的网络防御系统的设计,网络信息将很容易被修改、泄露。
(一)拒绝服务与恶意软件
拒绝服务攻击主要采用淹没、分片攻击及带外数据包攻击等几种方式。其中淹没是指网络黑客通过向主机发送大量的无效请求或者数据,来实现扰乱服务器为合法的用户提供服务的目的;带外数据包攻击是指通过向用户发送带外数据包的垃圾信息,进而造成该用户系统运行不正常。目前分布式网络攻击已经成为互联网上黑客主要的攻击手段,所以,需要从源头上保护好上网主机的安全,此外,还需要协调好ISP和网络管理员之间的关系。恶意软件攻击网络主要是通过逻辑炸弹、后门、蠕虫、病毒及特洛伊木马等程序来实现的,其中逻辑炸弹是由于系统存在漏洞而对目标系统产生破坏作用的一种程序;蠕虫是一种将病毒从一个系统繁殖到另一系统上的独立程序;特洛伊木马是一种具有隐藏性且执行任意命令的非法程序。一般可以采用安装反病毒工具及时清除恶意软件工具来防止这些恶意软件威胁网络。
(二)利用脆弱性与内部攻击
一般来说,利用脆弱性主要是通过访问权限、信息泄露、蛮力攻击机缓冲区溢出等方式来实现, 网络黑客利用这些缺陷来实现攻击的目的,通过可以采取持续升级系统软件版本,安装补丁及设置口令等方式来加以防范。内部攻击会通过“后门”守护程序、日志修改、隐藏、窃听及“非盲”欺骗来实现,其中“后门“守护程序是指黑客通过在主机上安装守护程序来达到对主机的控制,进而实现全方位的攻击。
三、网络防御系统的设计过程与网络防御系统的实现
(一)网络防御系统的设计过程
1.网络防御设计方案的目标与用户职责
构建一个安全的网络防御系统对防止各种网络攻击行为有着非常重要的意义,一般来说,网络防御系统的设计涉及到设计方案的目标、用户职责、风险分析及制定安全策略等方面。定义整个网络系统所期望使用的策略是设计一个网络防御系统首选目标,此外,在设计一个网络方案之前,要定义好每一个用户在整个安全方案中所承担的责任。
2.网络防御风险分析
在确定好网络设计方案的目标与用户职责后,要进行风险分析,因为风险分析可以有效避免将时间与经费花在不必要的系统上,从某种程度上来说,网络防御风险分析是网络防御系统设计过程中一个非常关键性的一个阶段,做好这一阶段的分析工作有着非同寻常的意义。一般来说,在风险分析时,需要确定系统资产情况与风险大小,其中系统资产包括数据、软硬件、人员、物资及档案等。通常情况下,这些资源并不是所有的都很关键,因此,需要根据其重要程度来采取有区别性地保护措施,进而确保用户在安全投入上物有所值。一般情况下,这些系统资源依据其重要程度,分为公开信息、内部信息、私有信息及秘密信息等四个级别,其中公开信息是敏感度最低级别的信息,秘密信息则是敏感度最高级别的信息,对这类信息要加大安全投入,需要确保数据的完整性、保密性及可用性。
3.网络策略
在完成系统风险分析之后,就需要执行网络策略,一般来说,制定一个完整的网络系统安全策略需要注重考虑诸如整体安全、信息安全、个人安全、计算机安全及网络等策略。其中整体安全策略的目标是重点保护关键性的数据,且依据系统资产重要程度来采取相应的措施;信息安全策略通常情况下会涉及到信息的存储、信息的传输及信息的销毁等方面,因此,需要从信息存储、传输及销毁等方面来采取有区别的安全策略;个人安全策略一般包括口令策略、软件策略、网络策略、互联网策略及嵌入式计算机使用策略等,此外,在个人原则上,需要注意不要向别人透漏自己的账号与口令,不要滥用系统资源,不要拷贝没有授权的软件;计算机系统管理策略一般包括物理安全策略、访问控制策略、登录策略、信度策略、日志与审计策略及可靠服务策略等,其中可信度策略主要是定期对系统安全进行审计工作,确保它的可信度;网络策略主要包括网络分布式系统的策略、拨入访问策略、撥出访问策略、互联网防火墙管理策略及和其他网络的接口策略等。其中网络分布式系统策略涉及到可信度、鉴别与认证、责任与审计、访问控制、准确性、数据交换机服务的可靠性等策略。此外,为了确保网络在事故后,能够快速恢复正常工作环境,需要设置一个应急响应措施。
(二)网络防御系统的实现
构建一个完善的网络防御系统需要采取各种安全技术手段,进而确保设计方案中的安全策略能够成功实现,一般来说,这些技术手段包括防火墙技术、鉴别与授权技术、审计与监控技术、加密技术及安全扫描技术等。其中防火墙主要是实现各级网络用户间的相互访问,及对用户起到一定的隔离作用,防止某一子网所引发的安全事故波及到其他的子网;鉴别与授权技术主要是针对用户的一种访问控制措施,它由多个层次共同构成;审计与监控技术主要是借助网络中所有活动的记录,发现及追查一些非法的活动,降低攻击的后果;加密技术主要包括存储加密与传输加密两种技术,它是一种较为有效的信息安全措施;安全扫描技术主要是扫描网上设备的漏洞,以便于及时修补漏洞,另外安全扫描还具有防治病毒的功能,借助网上病毒扫描功能,可以有效防止病毒的蔓延或者新病毒的入侵。总之,在整个网络防御系统中,需要使用多种安全技术手段,才能有效防御各种网络攻击,本研究重点将重点介绍网络、系统安全及数据安全两个维度来说明网络防御系统的实现。
1.系统安全
系统安全一般涉及到鉴别认证机制、安全操作系统及周期性的安全检查,其中,在整个网络防御系统中,主要使用了利用安全操作系统提供的鉴别机制及双向鉴别认证机制;安全操作系统需要具有较好的安全特性,比如登陆控制、进程权限控制、系统完整性保护及安全审计等;周期性的安全扫描可以及时发现网络漏洞,且及时加以修补,通过及时升级来防止新病毒的入侵。
2.数据安全
通常情况下,数据安全涉及到数据的完整性、保密性、可用性及可靠性。其中信息的完整性是指数据信息在数据库中,能够保持完整,且建立了一个数据备份恢复系统;保密性一般通过SSL通道加密、安全邮件系统及内容监控软件来实现,确保数据不被泄露或者公开;通常情况下,借助数据完整性检查可以有效确保数据的完整性与可靠性,假如范闲数据遭到破坏,通过备份数据恢复程序,就可以实现数据的可用性。
四、结束语
总之,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,网络防御系统的设计过程包括方案的目标与用户职责、风险分析及网络策略制定等方面,借助网络、系统及数据等方面的各种安全技术手段,可以有效保护网络信息系统的安全性。
参考文献:
[1]张剑.网络防御系统的设计与实现[J].电子科技大学,2001
[2]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息,2008
[3]刘建炜.基于网络层次结构安全的校园网络防护体系解决方案[J].教育探究,2010
[4]石鹏.网络工具的分析与设计实现[J].电子科技大学,2001
[5]张里.数据挖掘在网络入侵检测系统中的应用[J].重庆工学院学报,2008
作者简介:
张克文,女,1985年4月出生,助教,硕士,中共党员,2010毕业于辽宁工程技术大学计算机技术专业,现工作于黑龙江工业学院。
【关键词】网络防御系统 设计 入侵检测
一、引言
目前,网络问题已经引起人们的广泛关注,这主要是因为网络病毒或者网络黑客最近几年呈猖獗之势、网络攻击造成巨大的经济与社会损失以及网络管理面临着巨大的挑战。可以说,在当今日趋发达的网络信息社会中,确保网络信息系统的安全无论是对个人、企业,还是对整个国家,其意义都是重大的。假如,个人隐私信息被泄露,公司的财务与商业信息被恶意窃取,或者关系到一个国家的国防信息被盗取,都会造成不同程度上的损失。本研究正是基于此,探讨网络防御系统的设计过程、安全策略及防御系统的实现,从某种程度上来说,对确保网络具有一定的理论与实际价值。
二、几种常见的网络攻击行为技术及相应的应对策略
从某种程度上来说,网络和网络攻击有着千丝万缕的联系,假如没有网络攻击,网络也就无从说起,一般来说,目前,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,如果没有一个系统完善的网络防御系统的设计,网络信息将很容易被修改、泄露。
(一)拒绝服务与恶意软件
拒绝服务攻击主要采用淹没、分片攻击及带外数据包攻击等几种方式。其中淹没是指网络黑客通过向主机发送大量的无效请求或者数据,来实现扰乱服务器为合法的用户提供服务的目的;带外数据包攻击是指通过向用户发送带外数据包的垃圾信息,进而造成该用户系统运行不正常。目前分布式网络攻击已经成为互联网上黑客主要的攻击手段,所以,需要从源头上保护好上网主机的安全,此外,还需要协调好ISP和网络管理员之间的关系。恶意软件攻击网络主要是通过逻辑炸弹、后门、蠕虫、病毒及特洛伊木马等程序来实现的,其中逻辑炸弹是由于系统存在漏洞而对目标系统产生破坏作用的一种程序;蠕虫是一种将病毒从一个系统繁殖到另一系统上的独立程序;特洛伊木马是一种具有隐藏性且执行任意命令的非法程序。一般可以采用安装反病毒工具及时清除恶意软件工具来防止这些恶意软件威胁网络。
(二)利用脆弱性与内部攻击
一般来说,利用脆弱性主要是通过访问权限、信息泄露、蛮力攻击机缓冲区溢出等方式来实现, 网络黑客利用这些缺陷来实现攻击的目的,通过可以采取持续升级系统软件版本,安装补丁及设置口令等方式来加以防范。内部攻击会通过“后门”守护程序、日志修改、隐藏、窃听及“非盲”欺骗来实现,其中“后门“守护程序是指黑客通过在主机上安装守护程序来达到对主机的控制,进而实现全方位的攻击。
三、网络防御系统的设计过程与网络防御系统的实现
(一)网络防御系统的设计过程
1.网络防御设计方案的目标与用户职责
构建一个安全的网络防御系统对防止各种网络攻击行为有着非常重要的意义,一般来说,网络防御系统的设计涉及到设计方案的目标、用户职责、风险分析及制定安全策略等方面。定义整个网络系统所期望使用的策略是设计一个网络防御系统首选目标,此外,在设计一个网络方案之前,要定义好每一个用户在整个安全方案中所承担的责任。
2.网络防御风险分析
在确定好网络设计方案的目标与用户职责后,要进行风险分析,因为风险分析可以有效避免将时间与经费花在不必要的系统上,从某种程度上来说,网络防御风险分析是网络防御系统设计过程中一个非常关键性的一个阶段,做好这一阶段的分析工作有着非同寻常的意义。一般来说,在风险分析时,需要确定系统资产情况与风险大小,其中系统资产包括数据、软硬件、人员、物资及档案等。通常情况下,这些资源并不是所有的都很关键,因此,需要根据其重要程度来采取有区别性地保护措施,进而确保用户在安全投入上物有所值。一般情况下,这些系统资源依据其重要程度,分为公开信息、内部信息、私有信息及秘密信息等四个级别,其中公开信息是敏感度最低级别的信息,秘密信息则是敏感度最高级别的信息,对这类信息要加大安全投入,需要确保数据的完整性、保密性及可用性。
3.网络策略
在完成系统风险分析之后,就需要执行网络策略,一般来说,制定一个完整的网络系统安全策略需要注重考虑诸如整体安全、信息安全、个人安全、计算机安全及网络等策略。其中整体安全策略的目标是重点保护关键性的数据,且依据系统资产重要程度来采取相应的措施;信息安全策略通常情况下会涉及到信息的存储、信息的传输及信息的销毁等方面,因此,需要从信息存储、传输及销毁等方面来采取有区别的安全策略;个人安全策略一般包括口令策略、软件策略、网络策略、互联网策略及嵌入式计算机使用策略等,此外,在个人原则上,需要注意不要向别人透漏自己的账号与口令,不要滥用系统资源,不要拷贝没有授权的软件;计算机系统管理策略一般包括物理安全策略、访问控制策略、登录策略、信度策略、日志与审计策略及可靠服务策略等,其中可信度策略主要是定期对系统安全进行审计工作,确保它的可信度;网络策略主要包括网络分布式系统的策略、拨入访问策略、撥出访问策略、互联网防火墙管理策略及和其他网络的接口策略等。其中网络分布式系统策略涉及到可信度、鉴别与认证、责任与审计、访问控制、准确性、数据交换机服务的可靠性等策略。此外,为了确保网络在事故后,能够快速恢复正常工作环境,需要设置一个应急响应措施。
(二)网络防御系统的实现
构建一个完善的网络防御系统需要采取各种安全技术手段,进而确保设计方案中的安全策略能够成功实现,一般来说,这些技术手段包括防火墙技术、鉴别与授权技术、审计与监控技术、加密技术及安全扫描技术等。其中防火墙主要是实现各级网络用户间的相互访问,及对用户起到一定的隔离作用,防止某一子网所引发的安全事故波及到其他的子网;鉴别与授权技术主要是针对用户的一种访问控制措施,它由多个层次共同构成;审计与监控技术主要是借助网络中所有活动的记录,发现及追查一些非法的活动,降低攻击的后果;加密技术主要包括存储加密与传输加密两种技术,它是一种较为有效的信息安全措施;安全扫描技术主要是扫描网上设备的漏洞,以便于及时修补漏洞,另外安全扫描还具有防治病毒的功能,借助网上病毒扫描功能,可以有效防止病毒的蔓延或者新病毒的入侵。总之,在整个网络防御系统中,需要使用多种安全技术手段,才能有效防御各种网络攻击,本研究重点将重点介绍网络、系统安全及数据安全两个维度来说明网络防御系统的实现。
1.系统安全
系统安全一般涉及到鉴别认证机制、安全操作系统及周期性的安全检查,其中,在整个网络防御系统中,主要使用了利用安全操作系统提供的鉴别机制及双向鉴别认证机制;安全操作系统需要具有较好的安全特性,比如登陆控制、进程权限控制、系统完整性保护及安全审计等;周期性的安全扫描可以及时发现网络漏洞,且及时加以修补,通过及时升级来防止新病毒的入侵。
2.数据安全
通常情况下,数据安全涉及到数据的完整性、保密性、可用性及可靠性。其中信息的完整性是指数据信息在数据库中,能够保持完整,且建立了一个数据备份恢复系统;保密性一般通过SSL通道加密、安全邮件系统及内容监控软件来实现,确保数据不被泄露或者公开;通常情况下,借助数据完整性检查可以有效确保数据的完整性与可靠性,假如范闲数据遭到破坏,通过备份数据恢复程序,就可以实现数据的可用性。
四、结束语
总之,拒绝服务、恶意软件、利用脆弱性及内部攻击是较为典型的网络攻击技术,这些网络攻击技术严重威胁着网络信息系统的安全,网络防御系统的设计过程包括方案的目标与用户职责、风险分析及网络策略制定等方面,借助网络、系统及数据等方面的各种安全技术手段,可以有效保护网络信息系统的安全性。
参考文献:
[1]张剑.网络防御系统的设计与实现[J].电子科技大学,2001
[2]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息,2008
[3]刘建炜.基于网络层次结构安全的校园网络防护体系解决方案[J].教育探究,2010
[4]石鹏.网络工具的分析与设计实现[J].电子科技大学,2001
[5]张里.数据挖掘在网络入侵检测系统中的应用[J].重庆工学院学报,2008
作者简介:
张克文,女,1985年4月出生,助教,硕士,中共党员,2010毕业于辽宁工程技术大学计算机技术专业,现工作于黑龙江工业学院。