【摘 要】
:
本文侧重论述保护网络及其边缘的安全.网络边缘是组织的内部网络与不受信网络交界的地方.随着网络在企业中应用的不断深入,各个组织正在创建更为开放和宽容的边缘安全解决方案.当减少了对传统边缘的保护时,必须对内部网络采取更多的安全措施.本文通过入侵检测(IDS)、防火墙、无线网对现有的网络边缘安全存在的限制进行分析,并给出可以采取的弥补及防范措施.
【机 构】
:
上海交通大学信息安全工程学院(上海) 上海交通大学网络信息中心(上海)
【出 处】
:
全国网络与信息安全技术研讨会2004
论文部分内容阅读
本文侧重论述保护网络及其边缘的安全.网络边缘是组织的内部网络与不受信网络交界的地方.随着网络在企业中应用的不断深入,各个组织正在创建更为开放和宽容的边缘安全解决方案.当减少了对传统边缘的保护时,必须对内部网络采取更多的安全措施.本文通过入侵检测(IDS)、防火墙、无线网对现有的网络边缘安全存在的限制进行分析,并给出可以采取的弥补及防范措施.
其他文献
本文通过网络传播的计算机病毒和蠕虫程序不仅破坏计算机系统而且对网络本身造成的破坏也变得越来越严重.自防御网络是指通过综合的安全手段,使得网络自身能从各个方面抵御有害的攻击.本文的研究将集中于自防御网络的实现手段的研究,提出一个基于网络自动重配置的自防御网络体系架构并研究其实现方式.
本文在分析了网络内容审计系统和互联网的现状,并在此基础上提出了一个网络内容审计系统下分布式的数据采集和分析模型,以此模型来作为网络审计系统的基础构件,适应当今的网络状况.该模型能灵活地为实际的网络审计系统提供其所需要的关于网络的多方面信息,在起到其作为网络审计系统基础件作用的同时,也使网络审计系统组件化.
应急响应是近年来人们为了应对各种突发网络事件而提出来的一种采用联动策略的综合防范措施.本文通过对网络安全事件的现状与特点的分析,给出了应急响应体系的关键属性,进而指出网络可生存性理论是应急响应的先进理论.文章进一步探讨了应急响应的总体架构和具体实施流程.最后从技术和实施进程两个角度对网络安全应急响应体系建设的实施方案进行了研究.
为了保障网络上信息的安全性,需要对网络中的邮件进行检测、封堵和拦截,在此过程中,会产生大量的残缺邮件,这样会导致后续工作的分析负担加重.为了准确地对残缺邮件进行识别,本文在对RFC规范中对邮件格式规范的分析的基础上,介绍了一种残缺邮件的识别方法,并进行了大量的实验,最后给出了实验结果及分析.
用于安全协议形式化分析的串空间(strand space)模型,是一种结合定理证明和协议迹的混合方法,可以有效地描述和证明安全协议的正确性.本文对串空间模型近年来在扩展性、与其它形式化方法的关系、安全协议自动检验技术以及串空间模型的应用等几个研究层面作了全面介绍.
网络的广泛使用让网络风险不断提高.但是传统的网络安全工具存在功能单一、扩展性差、沟通困难的缺点,这些安全工具越来越难以适应用户的需求.本文提出了一种面向网络安全的程序设计语言NSL,该语言提供了一个统一的抽象层次,可以用来构建多用途、分布式、扩展性高的网络安全应用程序,满足各种级别的网络安全需求.同时,本文详细的探讨了其面向网络的特点和结构,描述了NSL提供的三种安全机制.本文也讨论了NSL解释器
由于IPv4协议存在着地址空间不足等设计缺陷,已经很难满足未来互连网络的发展需要.IPv6实现了比IPv4更为先进协议设计,可以预见IPv6必将取代IPv4协议成为下一代互连网的核心.伴随着IPv4向IPv6的过渡,网络的攻击事件的特征和行为必定会发生相应的改变,产生新的特点.对于传统的网络入侵检测系统而言,也面临着新的挑战,如果不改善传统入侵检测机制,将很难发挥检测入侵行为和保护网络安全的作用.
逻辑分析是安全协议分析的重要手段,本文在BAN(类)逻辑的基础上进行了重要的改进,并提出了目标驱动的分析方法以及协议分析树的概念.改进后的验证逻辑与原有逻辑相比,分析能力有所扩展、自动化分析系统的实现更为简便.
本文分析了IPv4协议存在的安全问题,简单介绍了IPv6协议对安全的增强,分别从协议的设计阶段、实现阶段和部署使用阶段详细讨论了引入IPv6协议后可能存在的安全问题.
本文通过分析近期流行计算机蠕虫病毒传播的趋势和途径手段,得出这几次全世界范围的恶性蠕虫病毒传播都是和微软操作系统的漏洞有关.防火墙和防病毒软件都对此类新蠕虫病毒控制能力有限,基于这种情况,通过部署微软的软件更新服务(SUS),可以有效大规模增强计算机的安全性,免受病毒感染.详细讨论了SUS的概念和架构并结合在上海交通大学校园网应用的实例,具体说明了其部署过程.