众所周知,作为全球使用范围最大的信息网,internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,在管理和使用上的无**状态,逐渐使internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
1.网络的主要安全隐患。
网络安全威胁的主要**包括。
1) 病毒、木马、蠕虫和恶意软件的入侵。
2) 网络黑客的攻击。
3) 重要文件和资料的非法窃取、访问和篡改。
4) 数据在传输过程中被截取、更改。
5) 安全漏洞和系统后门程序。
6) 拒绝服务攻击。
7) 备份数据和存储**的损坏、丢失。
1.1网络的主要安全解决技术。
针对这些安全隐患,我们就从网络威胁出发,有针对性的解决网络安全问题。网络安全技术大概分为以下几类:
密码、密码协议和认证技术;
防火墙技术;
vpn(虚拟专用网)技术;
检测、扫描技术;
监控、审计和信息过滤;
及时的为系统打补丁,升级病毒库。
部署两台防火墙的好处,就是可以起到冗余的作用,一台设备出故障后,不会影响后面的业务数据。
1.1.1 防火墙的定义。
控制介于网络之间不同区域的流量的一如设备或一套系统(隔离);保护内网资产免受攻击。
1.1.5 防火墙的主要功能。
具体来讲,防火墙可以完成以下几方面的任务:
1)强化安全策略。
一般来说,防火墙在配置上防止来自“外部”。
2)有效地记录网上的活动。
由于所有进出网络的信息流都必须通过防火墙,因此,防火墙可以记录每次访问,并提供有关网络使用率的有价值的统计,防火墙可以记录站点和外部网络之间进行的所有事件。
3)隐藏用户站点或网络拓扑。
防火墙能够将网络中的某个网段隔离开来。防火墙的nat功能不仅将内部网络拜年信息隐藏起来。而且有利天缓解大量主机要求上网与公共ip地址空间短缺的矛盾,这一技术告别是利用防火墙组建大型内联网时显示出很大的优越性。
4)安生策略的检查。
所有进出网络的信息都必须通过防火墙,防火墙便成为一个安全检查点,将可疑的访问拒绝于门外,并过滤掉本不安全的服务来降低系统风险,大大提高了网络的安全性。
1.1.1 vpn的定义。
虚拟专用网络(virtual private network ,简称vpn)指的是在公用网络上建立专用网络的技术。
1.1.3 vpn安全技术。
1.隧道技术。
隧道技术是vpn的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。
2.加解密技术:
为确保私有资料在传输过程中不被其他人浏览、窃取或篡改。
1)对称加密算法。
特点:算法公开、计算量小、加密速度快、加密效率高,加解密使用同一个key;
对称加密算法有des、3des和aes。
2)非对称加密算法。
特点:机密性用公钥加密,私钥解密,数字签名用私钥加密,公钥解密;
非对称加密算法有rsa算法和美国国家标准局提出的 dsa。
1.14 ids和ips
1.1.1 ids的定义。
专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
1.1.2 ids的工作原理。
入侵检测可分为实时入侵检测和事**侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事**侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
1.2.1 ips的定义。
入侵预防系统(intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
3.2.1 ips的工作原理。
ips实现实时检查和阻止入侵的原理在于ips拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,ips就会创建一个新的过滤器。ips数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。
如果有攻击者利用layer 2(介质访问控制)至layer 7(应用)的漏洞发起攻击,ips能够从数据流中检查出这些攻击并加以阻止。所有流经ips的数据包都被分类,分类的依据是数据包中的报头信息,如源ip地址和目的ip地址、端口号和应用域。每种过滤器负责分析相对应的数据包。
通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
计算机网络安全
什么是计算机网络安全,尽管现在这个词很火,但是真正对它有个正确认识的人并不多。做为要考取职称计算机资格认证的考生也一定要学一学。事实上要正确定义计算机网络安全并不容易,困难在于要形成一个足够去全面而有效的定义。通常的感觉下,安全就是 避免冒险和危险 在计算机科学中,安全就是防止 未授权的使用者访问信...
计算机网络安全
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件 软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。一 计算机网络安全的概...
计算机网络安全
摘要 本文针对网络安全的三种技术方式进行说明,比较各种方式的特色以及可能带来的安全风险或效能损失,并就信息交换加密技术的分类作以分析,针对pki技术这一信息安全核心技术,论述了其安全体系的构成。关键词 网络安全防火墙加密技术 pki技术 随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛...