網(wǎng)絡(luò)安全方面論文
網(wǎng)絡(luò)安全方面論文
隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)安全所面臨的問題也越來越復(fù)雜,越來越重要。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于網(wǎng)絡(luò)安全方面論文的內(nèi)容,歡迎大家閱讀參考!
網(wǎng)絡(luò)安全方面論文篇1
試論網(wǎng)絡(luò)信息安全
摘 要: 自以來,網(wǎng)絡(luò)信息安全等軟安全占據(jù)著愈來愈重要的地位。本文通過對網(wǎng)絡(luò)信息安全問題的分析,對網(wǎng)絡(luò)信息安全的各種解決辦法進行論證,最終證實除了要加強網(wǎng)絡(luò)信息安全技術(shù)及道德教育之外,更重要的是加緊網(wǎng)絡(luò)信息安全立法,以法律的形式來更好、更有效地保障網(wǎng)絡(luò)信息安全。
關(guān)鍵詞: 網(wǎng)絡(luò)信息 安全管理 立法
1信息安全及網(wǎng)絡(luò)信息安全簡析
在人類認知的有限范圍內(nèi),信息被定義為人類社會以及自然界其他生命體中需要傳遞、交換、存儲和提取的抽象內(nèi)容。而隨著信息化的步伐,信息的地位日益上升,信息安全的重要性也愈顯重要,然而什么樣的信息才認為是安全的呢?一般認為,同時具備完整性,機密性,有效性的信息是安全的。
在信息安全中,首要的便是網(wǎng)絡(luò)信息安全――網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全,網(wǎng)絡(luò)信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)??梢?,網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動態(tài)安全兩種。其中靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實性;動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
I Research市場咨詢調(diào)查顯示,我國普遍存在瀏覽器配置被修改、數(shù)據(jù)受損或丟失、系統(tǒng)使用受限、密碼被盜、受到病毒非法遠程控制等問題。調(diào)查表明,我國的網(wǎng)絡(luò)信息安全問題形勢比較嚴峻,信息安全問題的解決迫在眉睫。
由于中國網(wǎng)民數(shù)量在總?cè)丝诘谋戎卦絹碓街兀W(wǎng)民的力量是很強大,會形成巨大的輿論壓力。這股力量如果健康發(fā)展,不受到不良的網(wǎng)絡(luò)信息影響就可以形成健康的社會意識。只有保證網(wǎng)絡(luò)信息安全環(huán)境,才能使得國家的軍事安全、政治信息不被曲解、盜取,才能穩(wěn)定輿論減少網(wǎng)民恐慌。
故維護信息安全極為重要。
2現(xiàn)有且常用的的網(wǎng)絡(luò)信息安全技術(shù)
針對信息安全問題,通過信息安全技術(shù)在網(wǎng)絡(luò)信息系統(tǒng)中對存儲和傳輸輻射信息的操作和進程進行控制和管理,即為安全控制。常見的有操作系統(tǒng)的安全控制,網(wǎng)絡(luò)接口模塊的安全控制,網(wǎng)絡(luò)互連設(shè)備的安全控制。而安全服務(wù)是指在應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和真實性進行保護和鑒別,防止各種安全威脅和攻擊,其可以在一定程度上彌補和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全漏洞。安全服務(wù)主要內(nèi)容包括:安全機制、安全連接、安全協(xié)議、安全策略等。安全控制和安全服務(wù)都是通過信息安全技術(shù)來控制和解決網(wǎng)絡(luò)信息安全問題的。常見的網(wǎng)絡(luò)信息安全技術(shù)有:防火墻技術(shù),網(wǎng)絡(luò)信息數(shù)據(jù)的加密技術(shù),數(shù)字簽名。
3網(wǎng)絡(luò)信息安全所存在的障礙及后果
(1)許多網(wǎng)民缺乏信息安全意識,在目前網(wǎng)絡(luò)發(fā)達的環(huán)境中,對網(wǎng)絡(luò)通信的對象無法作明確的認證,導(dǎo)致一些非法、欺騙的犯罪活動。更為嚴重的是,要是綁定識別碼的密碼被人截獲、識破或篡改,那對個人或團體造成的影響將是致命的。
(2)信息安全與隱私及自由。電子郵件是比較廣泛的通信方式,也是對家用計算機的最大威脅之一。
(3)信息安全與財產(chǎn)保護。網(wǎng)絡(luò)黑客入侵的目標(biāo)――計算機用戶,竊取信用卡的號碼、銀行賬號的信息、個人背景資料以及他們所能找到的其他信息。
(4)信息安全與教育。信息安全主要是指防止信息受到惡意攻擊,彌補信息安全系統(tǒng)本身的安全缺陷和軟件漏洞以消除計算機網(wǎng)絡(luò)的結(jié)構(gòu)隱患。而信息安全與教育往往做得很少。
因此,如果不能正確的對待和解決網(wǎng)絡(luò)信息安全問題,勢必對對人們的生活、工作和學(xué)習(xí)帶來嚴重的后果,并且其后果和威脅都是極其嚴重和多方面的。
4網(wǎng)絡(luò)信息安全問題的解決方法
除了密碼技術(shù)的應(yīng)用,防火墻技術(shù)以及分層局部內(nèi)部管理等信息安全技術(shù)之外,更重要的是道德規(guī)范宣傳教育,多途徑培養(yǎng)專門網(wǎng)絡(luò)信息安全人才,加緊網(wǎng)絡(luò)信息安全立法工作,特別是網(wǎng)絡(luò)信息安全立法更是解決網(wǎng)絡(luò)信息安全問題的根本中得根本。下面將主要從網(wǎng)絡(luò)安全立法的方面來討論網(wǎng)絡(luò)信息安全。
4.1關(guān)于網(wǎng)絡(luò)信息安全立法存在的問題
4.1.1網(wǎng)絡(luò)信息安全法律體系凌亂,完整性不足,兼容性差
我國規(guī)范網(wǎng)絡(luò)的部門規(guī)章及地方性法規(guī)很多,反映出我國各方力圖促使網(wǎng)絡(luò)健康發(fā)展的決心和積極性,行為舉措是可以給予肯定的。但正我國網(wǎng)絡(luò)法律法規(guī)過于凌亂,數(shù)量多而明確性低。另一方面,由于立法主體眾多,不同的條例、規(guī)范之間存在太大差異,缺乏關(guān)系與支持,甚至出現(xiàn)許多重復(fù)、空白和失誤之處。
4.1.2法律法規(guī)缺乏持續(xù)性和一體性
法律的可持續(xù)性和一體性是一個完善法律體系的標(biāo)志,所謂一體性,就是法律的完善連貫性。法律在執(zhí)行過程中,要具有連貫性才能發(fā)揮最強的效應(yīng)。由于互聯(lián)網(wǎng)的迅猛發(fā)展,法律早已跟不上計算機技術(shù)的發(fā)展速度,這就導(dǎo)致法律的滯后性。法律的滯后性無疑給那些網(wǎng)絡(luò)違法者制造一個逃脫懲罰的絕好機會。
4.1.3現(xiàn)實問題的覆蓋范圍狹窄,存在空白
網(wǎng)絡(luò)立法存在失衡問題,偏重于網(wǎng)絡(luò)管理及網(wǎng)絡(luò)信息立法兩大方面,不能覆蓋由網(wǎng)絡(luò)引起的各種法律問題,造成許多重要而實際的網(wǎng)絡(luò)信息問題缺乏法律引導(dǎo)和規(guī)范的局面。操作繁瑣,可實施性不強。
綜上可知,網(wǎng)絡(luò)法規(guī)的可實施性受到很大制約,網(wǎng)絡(luò)法規(guī)本來的法律效力也影響了它的實際操作,而網(wǎng)絡(luò)技術(shù)的復(fù)雜性和網(wǎng)絡(luò)本身的虛擬性也增加了法律法�實施的難度。另外,網(wǎng)絡(luò)信息立法各部門的處罰不盡一致,導(dǎo)致實際操作困難。
4.2網(wǎng)絡(luò)信息安全立法的必要性
伴隨網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展,安全問題日益增多,人們逐漸認識到因特網(wǎng)需要引進法律規(guī)范。尤其是網(wǎng)絡(luò)信息系統(tǒng)作為一種傳播媒介,不僅不可能自動消除不良信息的危害性,而且因其使用便利、傳播快捷的特點,反而可能在缺乏管理的狀態(tài)下大大增強其危害性。網(wǎng)絡(luò)信息安全極其復(fù)雜多樣,治本之策便是進行法律規(guī)范,尤其需要像網(wǎng)絡(luò)結(jié)構(gòu)一樣的一個安全法律法規(guī)體系來有效保障信息、網(wǎng)絡(luò)系統(tǒng)的安全。
網(wǎng)絡(luò)信息的安全,關(guān)系到國家的安全、主權(quán)和社會的穩(wěn)定,必須提高安全意識,采取可靠的安全措施,強化防范和管理,保證政府信息網(wǎng)絡(luò)系統(tǒng)的安全。強調(diào)網(wǎng)絡(luò)信息安全的立法迫切性,不僅僅是因為信息網(wǎng)絡(luò)安全在實現(xiàn)信息資源共享方面的重要作用,更因為它是保障國家網(wǎng)絡(luò)信息安全、�濟安全、政治安全的戰(zhàn)略問題,它和國家主權(quán)緊緊相連。
其次,網(wǎng)絡(luò)信息安全立法也是做好安全防范的要求之一。網(wǎng)上的數(shù)據(jù)安全問題、保密問題、病毒的傳播等問題,是目前信息網(wǎng)絡(luò)發(fā)展中存在的普遍問題。對有害于信息網(wǎng)絡(luò)使用的行為要與之堅決斗爭。為此,必須制定管理規(guī)則,規(guī)范人們的行為,查處有害行為,組織力量對付‘黑客’,維護正常的秩序。第三,安全意識薄弱現(xiàn)象的普遍存在,證明信息安全法律責(zé)任的迫切性。安全意識不強,安全技術(shù)落后,是造成安全隱患的主要問題。如果加強立法,明確法律責(zé)任,這些問題將會得到較大程度的改善。信息網(wǎng)絡(luò)既是實現(xiàn)信息、資源共享的平臺,也可能成為威脅國家安全、危害國計民生的通道。網(wǎng)絡(luò)信息安全的法律則是對免疫系統(tǒng)的保護之一,其迫切性也是不言而喻的。
4.3網(wǎng)絡(luò)信息安全立法工作的可行性分析
網(wǎng)絡(luò)信息安全問題不僅是個別國家的國內(nèi)安全問題,也不是單憑一個國家或一種技術(shù)就能解決得了的問題,而是必須通過開展長期、廣泛和深入的國際合作,包括各國政府、各種地區(qū)組織等等的充分合作,才有可能解決。隨著網(wǎng)絡(luò)信息安全逐漸被認識,許多國家都爭相開始進行立法工作,例如美國、俄羅斯、日本以及歐盟各國。隨著網(wǎng)絡(luò)信息安全法律的健全,確保了國家相關(guān)部門切實履行其職能,提高了行政效率,保護了網(wǎng)絡(luò)信息人的私權(quán)如隱私權(quán)、名譽權(quán)、著作權(quán)等,同時推動了信息產(chǎn)業(yè)發(fā)展,比如推動和保護電子商務(wù)并且完善了訴訟程序和其他救濟程序,保障被侵權(quán)人的自救和他救,加大處罰力度,強化侵權(quán)者的責(zé)任,形成法律威懾力。
八屆人大五次會議于1997年3月14日通過,同年10月1日正式實施的新修訂的《刑法》增加了三個法律條款:非法侵入計算機系統(tǒng)罪(285條),破壞計算機信息系統(tǒng)功能、破壞計算機信息系統(tǒng)數(shù)據(jù)或應(yīng)用程序罪,制作、傳播計算機病毒等破壞計算機程序罪(第286條)以及屬于廣義計算機犯罪范疇的利用計算機實施的犯罪(第287條)等。這對預(yù)防和打擊計算機違法犯罪起到了積極的作用,但由于這三個條款只作了較原則性的規(guī)定,且具有較強的專業(yè)性,因此對有關(guān)計算機犯罪的定罪量刑尺度把握較難,故網(wǎng)絡(luò)安全立法必須有更進一步的行動,也將會建立更加完善的網(wǎng)絡(luò)環(huán)境,創(chuàng)造更加和諧的綠色網(wǎng)絡(luò)虛擬世界。
5總結(jié)
隨著我國經(jīng)濟的高速增長,中國信息化有了顯著的發(fā)展和進步,信息在現(xiàn)代化過程中占據(jù)著越來越重要的地位。“十一五”期間,我國電子信息產(chǎn)業(yè)規(guī)模繼續(xù)壯大,然而信息安全的問題也越來越迫在眉睫。本文詳細分析了我國網(wǎng)絡(luò)信息安全的現(xiàn)狀以及存在的問題,并指出雖然現(xiàn)行網(wǎng)絡(luò)信息安全措施早已出臺,但是網(wǎng)絡(luò)信息安全依然存在許多障礙。本文強調(diào),網(wǎng)絡(luò)信息安全的有效辦法是道德規(guī)范教育與網(wǎng)路安全規(guī)范立法并行,并從各個方面論證了該方法的可行性以及有效性,對我國網(wǎng)絡(luò)信息安全維護和控制有一定的指導(dǎo)意義。
參考文獻
[1] 王世偉.論信息安全,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)空間安全[J].中國圖書館學(xué)報,2015, 41(2):72-84.
[2] 徐明,等.網(wǎng)絡(luò)信息安全[M].西安電子科技大學(xué)出版社,2006.
[3] 王紅梅,宗慧娟,王愛民.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].價值工程, 2015,34(1):209-210.
[4] 王世偉.論大數(shù)據(jù)時代信息安全的新特點與新要求[J].圖書情報工作,2016, 60(6):5-14.
[5] [美]雷蒙德.S.R.庫.網(wǎng)絡(luò)信息法:案例與資料[M].中信出版社,2003.
[6] 黃海峰.網(wǎng)絡(luò)信息安全2016年呈現(xiàn)五大發(fā)展趨勢[J].通信世界,2016(1): 55.
[7] 燕金武.網(wǎng)絡(luò)信息政策導(dǎo)論[M].北京圖書館出版社,2006.
[8] 劉品新.網(wǎng)絡(luò)法學(xué)[M].中國人民大學(xué)出版社.2009.
[9] 高永強,郭世澤.網(wǎng)絡(luò)平安技術(shù)好應(yīng)用大典[M].人民郵電出版社,2009.
[10] 劉冰.社交網(wǎng)絡(luò)中用戶信息安全影響因素實證研究[J].情報科學(xué),2016(5): 14.
[11] 姜勇,王丹淋.移動互聯(lián)網(wǎng)信息安全威脅與漏洞分析[J].信息化建設(shè), 2016(2):121-123.
[12] 谷俊濤.網(wǎng)絡(luò)信息安全技術(shù)研究[J].信息技術(shù),2016,40(5):193-194.
網(wǎng)絡(luò)安全方面論文篇2
試論校園網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全的概念
包括物理安全和邏輯安全
物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信 計算 機設(shè)備以及相關(guān)設(shè)備的物理保護,免予破壞、丟失等; 邏輯安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏給未經(jīng)授權(quán)的人,完整性是指計算機系統(tǒng)能夠防止非法修改和刪除數(shù)據(jù)和程序,可用性是指系統(tǒng)能夠防止非法防止非法獨占計算機資源和數(shù)據(jù),合法用戶的正常請求能及時、正確、安全的得到服務(wù)或回應(yīng)。
網(wǎng)絡(luò)計算機中安全威脅主要有:身份竊取,身份假冒、數(shù)據(jù)竊取、數(shù)據(jù)篡改,操作否認、非授權(quán)訪問、病毒等。
校園網(wǎng)絡(luò)都是借助主干通信網(wǎng),將各地的分部門和總部連接,同時與Internet互聯(lián)。這就存在著以下幾方面的網(wǎng)絡(luò)安全問題:
●總部局域網(wǎng)和各分、子部門局域網(wǎng)之間,分、子部門與下屬機構(gòu)局域網(wǎng)之間廣域網(wǎng)干線上信息傳輸?shù)陌踩C軉栴}。
●總部局域網(wǎng)及各分、子部門局域網(wǎng)自身的安全,要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶非法授權(quán)訪問和破壞。
●來自外部的非授權(quán)用戶非法攻擊和破壞,以及內(nèi)部用戶對外部非法站點的訪問。
2. 解決方案的分類
解決網(wǎng)絡(luò)安全問題涉及的范圍廣泛;不安全因素主要集中在網(wǎng)絡(luò)傳播介質(zhì)及網(wǎng)絡(luò)協(xié)議的缺陷、密碼系統(tǒng)的缺陷、主機操作系統(tǒng)的缺陷上,因此在安全策略方面重點考慮:
2.1 基礎(chǔ)結(jié)構(gòu)安全
主要包括:操作系統(tǒng)選擇和問題規(guī)避;帳號設(shè)置、口令強度、網(wǎng)絡(luò)參數(shù)、文件監(jiān)測保護在現(xiàn)實運作中,密碼系統(tǒng)已經(jīng)非常完善,標(biāo)準的DES、RSA和其他相關(guān)認證體系已經(jīng)成為公認的具有計算復(fù)雜性安全的密碼標(biāo)準協(xié)議,這個標(biāo)準的健壯性也經(jīng)受了成千上萬網(wǎng)絡(luò)主機的考驗,但是在網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)本身上,仍然有很多可被攻擊的入口。很多網(wǎng)絡(luò)安全中的問題集中在操作系統(tǒng)的缺陷上。Unix及類 Unix操作系統(tǒng)是在 Internet中非常普遍的操作系統(tǒng),主要用于網(wǎng)絡(luò)服務(wù)。它的源代碼是公開的,所以在很多場合下使用者可以定制自己的Unix,操作系統(tǒng),使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求。
由于網(wǎng)絡(luò)協(xié)議是獨立與操作系統(tǒng)的,它的體系結(jié)構(gòu)與操作系統(tǒng)端是無關(guān)的,網(wǎng)絡(luò)協(xié)議所存在的安全隱患也是獨立于操作系統(tǒng)來修正的。
2.2 管理安全
安全管理是網(wǎng)絡(luò)必須考慮的,主要包括:權(quán)限管理,單點登錄,安全管理中心等。
管理的技術(shù)手段很多,通過采用加強身份確認的 方法 獲得網(wǎng)上資源控制權(quán)如智能IC身份卡,提供安全的遠程接入手段;采用虛擬專網(wǎng)技術(shù)如網(wǎng)絡(luò)保密機解決數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩?安全郵件和安全Web服務(wù)器也是一類重要的安全產(chǎn)品。然而,對一個具體的網(wǎng)絡(luò)系統(tǒng),我們在安全風(fēng)險評估確定合適的安全需求后,從技術(shù)上講可以架構(gòu)一個滿足基本要求的安全設(shè)備平臺。但是發(fā)生最頻繁的安全威脅實際上是非技術(shù)因素,安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來,這個網(wǎng)絡(luò)信息系統(tǒng)的安全性才有保障。因此,采用集中統(tǒng)一的管理策略,以技術(shù)手段實現(xiàn)非技術(shù)的安全管理,主要由安全管理中心實現(xiàn)。
2.3 邊界安全
校園網(wǎng)絡(luò)與外界的邊界劃分是否 科學(xué) ?IT系統(tǒng)與外界、內(nèi)部關(guān)鍵部門之間是否安全隔離?這都屬于邊界安全范圍??梢栽陉P(guān)心的實體之間安裝防火墻產(chǎn)品和攻擊檢測軟件,來加強邊界安全,實施攻擊防御方案。關(guān)于防火墻技術(shù)的使用成功與否對網(wǎng)絡(luò)的安全有決定性作用,對此我們進行主要討論
2.3.1防火墻的概念
當(dāng)一個網(wǎng)絡(luò),接入Internet以后,而系統(tǒng)的安全性除了考慮病毒、系統(tǒng)的健壯性之外,更主要的防止非法用戶的入侵。而 目前 防制措施主要是靠防火墻技術(shù)完成。
防火墻是指由一個軟件和硬件設(shè)備組合而成,處于網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對于內(nèi)部網(wǎng)絡(luò)訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。
實際上防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過濾器,它監(jiān)視每一個通過的數(shù)據(jù)報文和請求。一方面對可信賴的報文和 應(yīng)用 請求允許通過,另一方面對有害的或可疑的報文禁止其通過。防火墻具有使用簡便,高速、邏輯漏洞少等特點。
2.3.2防火墻在網(wǎng)絡(luò)中的位置
為了達到對網(wǎng)絡(luò)數(shù)據(jù)傳輸進行監(jiān)視的目的,防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。
防火墻位于局域網(wǎng)和廣域網(wǎng)之間。
Intranet<---> F<---->Interant ;
在這種情況之下,防火墻的主要作用是允許局域網(wǎng)內(nèi)的用戶訪問Internet,如瀏覽WWW網(wǎng)站,收發(fā)E-mail,并且禁止來自于Internet上的未知用戶闖入局網(wǎng)進行破壞或竊取機密信息。
防火墻在局網(wǎng)與局域網(wǎng)之間,如圖:
Intranet<---> F<---->Intranet
在這種情況下,防火墻的作用是允許公用信息在兩個網(wǎng)絡(luò)中傳輸,保證每個網(wǎng)段的私有信息不被對方訪問。
可以看出無論哪一種形式,防火墻都是數(shù)據(jù)報文進出網(wǎng)絡(luò)的必經(jīng)之路,這樣才能保證防火墻對網(wǎng)絡(luò)的監(jiān)視保護作用。
2.3.3防火墻的分類
2.3.3.1按防火墻在網(wǎng)絡(luò)中所起的作用,防火墻可以分成兩種,一種是與路由設(shè)備合二為一,通常為過濾路由器或是網(wǎng)關(guān)主機防火墻,另一種叫做堡壘主機式防火墻,它不具有路由功能。
過濾路由器、網(wǎng)關(guān)主機防火墻是在路由器和網(wǎng)關(guān)主機上加上包過濾的功能,是網(wǎng)絡(luò)中的第一道防線。因為它具有路由的功能,所以它的安全性較差。
堡壘主機式防火墻是網(wǎng)絡(luò)中最為重要的安全設(shè)備,通常以橋接的方式安裝在路由器和網(wǎng)絡(luò)之間,它的唯一作用是保證網(wǎng)絡(luò)的安全使用,這種防火墻在網(wǎng)絡(luò)中的具體位置如圖。
Intranet< ------>F< ------ > 邊界路由器< ------ > internet
2.3.3.2按照ISO所定義的網(wǎng)絡(luò)層次,防火墻可分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。
包過濾型防火墻是網(wǎng)絡(luò)層防火墻,它以用戶定義的過濾規(guī)則對每一個通過它的數(shù)據(jù)報文進行過濾,一般是檢查一個IP報文的五個基本元素:源地址、目的地址、協(xié)議、源端口號、目的端口號。如果規(guī)則允許報文通過,報文就可以通過防火墻,反之則不能。包過濾不檢查連接請求的會話狀態(tài),也不會對傳輸數(shù)據(jù)進行檢查。
代理型防火墻,屬于應(yīng)用層防火墻,代理的功能是對來自局域網(wǎng)內(nèi)用戶的會話求進行會話請求轉(zhuǎn)發(fā)。在轉(zhuǎn)發(fā)過程中對會話進行過濾。因為代理在應(yīng)用層,它可以對會話的狀態(tài)和傳輸?shù)臄?shù)據(jù)進行檢查和過濾。從安全上講,代理的安全性要比包過濾功能更強,因為一個IP報文到了代理層,它的壽命就已經(jīng)截止了,也就是說代理真正地阻斷了網(wǎng)絡(luò)的傳輸。
目前應(yīng)用于網(wǎng)絡(luò)安全的防火墻系統(tǒng)基本上屬于上面所講到的兩種防火墻系統(tǒng)。但在實際應(yīng)用中的防火墻經(jīng)常是這兩種方法的合體,即包過濾加代理行防火墻。
同時,為了防范黑客的各種各樣攻擊行為,通常的防火墻產(chǎn)品還要加上其他許多功能。
2.3.4.防火墻集中的主要功能
2.3.4.1.支持透明連接
透明性是指對客戶的透明和對網(wǎng)絡(luò)設(shè)備的透明。無論安裝防火墻還是卸載防火墻,第一不必改變網(wǎng)絡(luò)的拓撲結(jié)構(gòu),不需要修改網(wǎng)絡(luò)設(shè)備的參數(shù)與設(shè)置。第二在用戶端亦不必作任何修改和設(shè)置就可以實現(xiàn)基于IP協(xié)議的各種信息的傳輸。
2.3.4.2.帶有DMZ區(qū)的連接
DMZ原意為?;饏^(qū),在防火墻的應(yīng)用中是指防火墻將邏輯上同一網(wǎng)段分成物理上的兩個網(wǎng)段,其中一個物理網(wǎng)段為正常的受保護網(wǎng)段,另一個物理網(wǎng)段為DMZ,用來連接要對外開放的主機,防火墻對DMZ區(qū)只作少量的保護或不做保護。
2.3.4.3.包過濾功能
包過濾功能防火墻最主要的功能之一,是防火墻必備的功能模塊。
包過濾指的是對IP數(shù)據(jù)包的過濾。對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號,數(shù)據(jù)包的源地址、目的地址、源端口、目的端口等,然后和設(shè)定規(guī)則進行比較,根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。大多數(shù)數(shù)據(jù)包過濾系統(tǒng)在數(shù)據(jù)本身上不作任何事,不作關(guān)于 內(nèi)容 的決定。有了數(shù)據(jù)過濾包,可以不讓任何人從外界使用Telent 登錄,或者讓每個人經(jīng)SMTP向我們發(fā)送 電子 郵件,或者是某個機器經(jīng)由NNTP把新聞發(fā)給我,而其他機器不能這樣做。但是你不能控制這個用戶能從外部遠程登錄而他用戶不能這樣做,因為“用戶”不是數(shù)據(jù)過濾包系統(tǒng)所能辨認的。同時你也不能做到發(fā)送這些文件而不是那些文件,因為“文件”也不是數(shù)據(jù)包過濾系統(tǒng)所能辨認的。
防火墻包過濾功能應(yīng)具有的特點:支持對進入報文、轉(zhuǎn)發(fā)報文和出去的報文的分別過濾。支持非操作符;支持端口范圍的控制;支持ICMP報文類型的控制。
使用包過濾模塊會對 網(wǎng)絡(luò) 傳輸速率有 影響 ,但速率的降低不能超過25%
2.3.4.4. 應(yīng)用 層過濾
應(yīng)用層的過濾是一種細粒度的過濾,實際上是對報文數(shù)據(jù)內(nèi)容的過濾。在應(yīng)用層可以實現(xiàn)對URL的過濾以及其它網(wǎng)絡(luò)應(yīng)用層協(xié)議(如FTP)的協(xié)議命令的過濾和報文內(nèi)容的過濾。通過應(yīng)用層過濾,可以禁止非法站點的連接(這些站點通常是含有反動、黃色信息)達到對非法信息的過濾。
2.3.4.5.透明代理與控制功能
代理的功能是對來自局域網(wǎng)內(nèi)的用戶的會話請求進行會話規(guī)劃請求轉(zhuǎn)發(fā)。從安全角度講,這樣做有以下幾個用處:
●完全阻斷了網(wǎng)絡(luò)的傳輸通道。
●可以進行訪問控制。
●隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),因為最終請求是由防火墻發(fā)出的,外面的主機并不知道與哪個用戶通信。
●解決IP地址緊缺的 問題 。使用代理服務(wù)器只需防火墻有一個公網(wǎng)的IP地址。
代理服務(wù)器優(yōu)點在于:支持多種TCP上層協(xié)議,完全的透明性,對防火墻以外任何設(shè)備以及主機無需作任何修改。代理服務(wù)器不僅僅是為了接通網(wǎng)絡(luò),更重要的一點是為了保證網(wǎng)絡(luò)的安全。代理層訪問控制模塊使代理服務(wù)器模塊具有完整的安全手段。
2.3.4.6防止IP 地址欺騙。
黑客的一種慣用手段是修改報文,使報文的源地址成為他要攻擊的主機的同網(wǎng)段的地址。利用這種辦法欺騙目標(biāo)主機并取得目標(biāo)主機的信任,達到為所欲為的目的。防火墻應(yīng)能智能地判斷數(shù)據(jù)報文的真正來源,對假冒報文予以,使黑客無法進入內(nèi)部網(wǎng)絡(luò),做到防止外部用戶盜用內(nèi)部網(wǎng)段空閑的IP 地址。
2.3.4.6.地址綁定功能
地址綁定即固定主機IP地址和網(wǎng)絡(luò)適配器的MAC地址的一一對應(yīng)關(guān)系。地址綁定的主要作用是防止非法用戶盜用合法用戶的IP地址,由于每塊網(wǎng)卡的MAC地址都是固定的,經(jīng)過地址綁定后,地址就與 計算 機或用戶(若每臺計算機的用戶固定)的對應(yīng)關(guān)系就固定了。也就是說,只有特定的主機才能使特定的IP地址,這就可以保證IP地址不盜用。
地址綁定加快了網(wǎng)絡(luò)的速度,因為綁定之后,防火墻就不用定時地動態(tài)查詢局域網(wǎng)內(nèi)部主機的MAC地址,這就減少了網(wǎng)絡(luò)資源的浪費,加快了網(wǎng)絡(luò)的速度。
2.3.4.7.地址轉(zhuǎn)換功能
防火墻通過地址轉(zhuǎn)換技術(shù),將所有從內(nèi)部發(fā)出的通過防火墻報文的源地址修改成為防火墻本身的IP地址,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)使用地址轉(zhuǎn)換技術(shù),要求所有的網(wǎng)絡(luò)連接只能從內(nèi)部發(fā)起,這樣更是極大的提高了網(wǎng)絡(luò)安全性。另外除了安全性,地址轉(zhuǎn)換,還有一個好處,解決IP地址缺乏的問題,如果一個園區(qū)只有少數(shù)的公網(wǎng)地址,利用地址轉(zhuǎn)換技術(shù),可以使所有連接到防火墻上的主機都可以與Internet相連。局域網(wǎng)的用戶認為在與Internet之間通信,而Internet上的主機以為是與防火墻通信。這樣就因隱藏了網(wǎng)段的網(wǎng)絡(luò)結(jié)構(gòu),因為只能見到防火墻的一個地址。
2.3.4.8. 功能
是指虛擬專用網(wǎng)絡(luò)。實際上是在公共網(wǎng)上建立內(nèi)部網(wǎng)絡(luò)。其重點就是保證在公眾網(wǎng)上傳播的內(nèi)部信息不被外人獲取。一般有專用的網(wǎng)絡(luò)保密機與防火墻在此功能上有交叉 。
2.3.4.9.規(guī)則設(shè)施功能
網(wǎng)絡(luò)安全管理人員想知道一個確定的包進入入防火墻后會發(fā)生什么事情,這時可以利用規(guī)則測試的功能。安全管理員可以設(shè)計一些虛擬的報文,利用規(guī)則測試功能來驗證設(shè)計的規(guī)則是否正確,是否符合設(shè)計的目標(biāo)。這樣可以增加工作效率并保證規(guī)則設(shè)置的正確性。
2.3.4.10.支持遠程在線狀態(tài)管理、配置管理、審記管理
通過安全管理中心和其他管理軟件可以對防火墻進行遠程在線管理。既可以在遠程非常直觀的觀察到防火墻的運行情況,也可以遠程啟動關(guān)閉防火墻和重新啟動防火墻。
防火墻系統(tǒng)中運行的代理守護進程,通過守護進程管理程序,可以在遠端對防火設(shè)備的各個功能模塊進行設(shè)置和維護,以便于安全管理人員對防火墻的管理。
日志能記錄完整的網(wǎng)絡(luò)信息,包括建立的連接時間,雙方地址,以及傳輸信息量。
支持遠程審記日志是保障安全的重要手段,由于網(wǎng)絡(luò)設(shè)備的審記信息通常大得驚人,觀察 分析 審記日志是讓管理人員非常頭痛的是工作。好的防火墻應(yīng)支持遠程審記管理,使得管理人員能夠在遠端的GUI界面下輕松地觀察和分析審記信息,使得審記的分析更加直觀。從安全的角度講,日志主要是起到抗抵賴的作用的,即防火墻記錄了用戶的網(wǎng)絡(luò)使用情況,如果有人對網(wǎng)絡(luò)進行了攻擊或是有竊密的行為,事后使我們有據(jù)可查,對這樣的人進行 法律 上的制裁或者防止他下一次的攻擊。
2.3.1.11.支持安全管理中心集中統(tǒng)一管理
防火墻的管理代理守護進程為安全管理中心留有接口程序,能夠?qū)崿F(xiàn)安全管理中心對防火墻的安全管理。使用安全管理中心,好處在于它的安全性和集中統(tǒng)一管理能力。
其一、安全管理中心通過安全通道與網(wǎng)絡(luò)安全設(shè)備通信來保證對防火墻設(shè)備設(shè)置和維護管理信息的安全。
其二、安全管理中心能夠做到遠程的統(tǒng)一管理,一臺安全管理中心機可以管理多臺防火墻以及其它網(wǎng)絡(luò)安全設(shè)備。
3.安全方案實施的生命周期
安全管理的方案的實施需要正確的 方法 和次序,全面的網(wǎng)絡(luò)信息安全方案需要在正確的 企業(yè) 安全策略的指導(dǎo)下按部就班地進行實施。網(wǎng)絡(luò)安全方案實施生命周期如下所示
風(fēng)險評估――>方案設(shè)計―――>方案實施―――>人員培訓(xùn)―――>安全監(jiān)控―――>信息反饋――>重新評估
安全管理方案的核心是制定的安全策略。任何安全產(chǎn)品和方案都必須服從此安全策略。應(yīng)由安全管理專家與領(lǐng)導(dǎo)者一同制定系統(tǒng)的安全管理策略。
在安全方案實施的第一步,是實施方案的風(fēng)險評估。即對 目前 網(wǎng)絡(luò)環(huán)境進行綜合考察, 發(fā)現(xiàn)安全隱患,分析可能面臨的不安全因素,從而為將來的安全方案提供總體策略。 從信息安全的角度來為校園IT環(huán)境進行進行合理劃分,找出邊界因素,對癥下藥,并對指定的安全策略進行方案設(shè)計和具體實施。 在實施的過程中或?qū)嵤┲?,必須重視人的因素。要對用戶和相關(guān)人員進行有效的培訓(xùn)。為網(wǎng)絡(luò)信息安全培養(yǎng)安全管理人員是安全方案中非常重要的一個方面。 實施企業(yè)安全方案,對安全性進行總體監(jiān)控是網(wǎng)絡(luò)安全生命周期中的執(zhí)行階段,如果發(fā)生不安全事件,檢查是否能夠?qū)嵤┢髽I(yè)安全策略,能否進行正確的反應(yīng):安全防范的強度是否足夠;是否有未能防止的入侵事件。定時或隨時進行園區(qū)網(wǎng)絡(luò)安全策略的檢查,及時反饋安全信息,針對漏洞重新進行安全評估,網(wǎng)絡(luò)安全方案周期重新開始。
參考文獻:
1.《通信網(wǎng)的安全---- 理論 與技術(shù)》 王育民 劉建偉 西安電子 科技 大學(xué)出版社
2. Andrew S.Tanenbaum Albert S.Woodhull ”Operating Design and implementation”
3.《網(wǎng)絡(luò)與信息安全》