网络安全技术探讨论文

网络安全技术探讨论文（共8篇）

篇1：网络安全技术探讨论文

摘要随着计算机技术的快速普及和发展,在计算机上处理业务已由传统单机内部网络业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。不论是外部网还是内部网都会安全问题。

关键词网络;防火墙(firewall);黑客;Internet

有人说,信息安全就像茫茫宇宙中闪烁的星星一样无序,看得见摸不着,具有混沌特征。过去两个世纪来对工业技术的控制,代表了一个国家的军事实力和经济实力,今天,对信息技术的控制将是领导21世纪的关键。

随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。本文主要从以下几个方面进行探讨。

1网络的开放性带来的安全问题

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:

(1)每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。

(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。而且安全工具也存在着自身的漏洞,不及时的更新很容易被别人利用漏洞成为攻击的工具。

(3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.省略)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)、杜琼斯工业平均指数因此双双下挫。看到这些令人震惊的事件,不禁让人们发出疑问:“网络还安全吗?”

这是web程序的漏洞,是由于程序员的疏乎所造成。这次仅仅是被人换成个“工行倒闭”,然后发给别人看,这算不了什么大不了的,也就是好玩而已。但是这个地方竟然可以嵌入html代码,这可就太糟糕了。一旦可以用html代码,就不是修改一点点文字,而是可以改变页面的功能了。比如说,我们在另外一个站点放一个输入用户名密码的对话框,然后用 iframe把这个页面嵌入到工行的网站上,然后用“新年礼品”之类的方式骗别人输入网上银行的账号密码,有多少人会上当?其实问题很容易解决,一是,广大公司能请一些精通安全编程的高级程序员来为自己量身打造web程序,二是请安全检测公司对上线前的web程序进行安全检测,以确保安全。

篇2：网络安全技术探讨论文

(1)网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。内部局域网需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的`防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。

(2)配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。

(3)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。

(4)Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。

(5)漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络?安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

(6)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。

(7)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。

参考文献

[1]卢开澄.计算机密码学――计算机网络中的数据预安全[J].清华大学出版社,.

[2]余建斌.黑客的攻击手段及用户对策[M].北京:北京人民邮电出版社,1998.

[3]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,.

篇3：网络安全技术探讨

随着计算机技术的发展, 在计算机上处理业务已由基于单机的数学运算、文件处理, 基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统、世界范围内的信息共享和业务处理。在信息处理能力提高的同时, 系统的连结能力也在不断提高。但在连结信息能力、流通能力提高的同时, 基于网络连接的安全问题也日益突出。本文主要从以下几个方面对网络安全技术进行探讨:

1 网络开放性带来的安全问题

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题, 各种安全机制、策略和工具被研究和应用。然而, 即使在使用了现有的安全工具和机制的情况下, 网络的安全仍然存在很大隐患, 这些安全隐患主要可以归结为以下几点:

(1) 每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具, 它可以隐蔽内部网络结构, 限制外部网络到内部网络的访问。但是对于内部网络之间的访问, 防火墙往往是无能为力的。因此, 对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为, 防火墙是很难发觉和防范的。

(2) 安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果, 在很大程度上取决于使用者, 包括系统管理者和普通用户, 不正当的设置就会产生不安全因素。例如, 基于N T系统的网络平台, 在进行合理的设置后可以达到C2级的安全性, 但很少有人能够对N T本身的安全策略进行合理的设置。虽然在这方面, 可以通过静态扫描工具来检测系统是否进行了合理的设置, 但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较, 针对具体的应用环境和专门的应用需求就很难判断设置的正确性。

(3) 系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题, 多数情况下, 这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说, 众所周知的A S P源码问题, 这个问题在IIS服务器4.0以前一直存在, 它是IIS服务的设计者留下的一个后门, 任何人都可以使用浏览器从网络上方便地调出ASP程序的源码, 从而可以收集系统信息, 进而对系统进行攻击。对于这类入侵行为, 防火墙是无法发觉的, 因为对于防火墙来说, 该入侵行为的访问过程和正常的W E B访问是相似的, 唯一区别是入侵访问在请求链接中多加了一个后缀。

黑客的攻击手段在不断地更新, 几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢, 绝大多数情况需要人为的参与才能发现以前未知的安全问题, 这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时, 其他的安全问题又出现了。因此, 黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

2 网络安全防护力漏洞分析及案例

几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人, 他们利用各种网络和系统的漏洞, 非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源, 可以任意使用和共享。不需要去了解那些攻击程序是如何运行的, 只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与, 非常智能化的扫描和破坏整个网络。这种情况使得近几年的攻击频率和密度显著增长, 给网络安全带来越来越多的安全隐患。

根据Warroon Research的调查, 1997年世界排名前一千的公司几乎都曾被黑客闯入;据美国FBI统计, 美国每年因网络安全造成的损失高达75亿美元;在最近一次黑客大规模的攻击行动中, 雅虎网站的网络停止运行3小时, 这令它损失了几百万美金的交易, 而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶, 亚马逊 (A m a z o n.c o m) 、AOL、雅虎 (Yahoo!) 、eBay的股价均告下挫, 以科技股为主的那斯达克指数 (Nasdaq) 打破过去连续三天创下新高的升势, 下挫了六十三点, 杜琼斯工业平均指数周三收市时也跌了二百五十八点。看到这些令人震惊的事件, 不禁让人们发出疑问:“网络还安全吗?”

据不完全统计, 目前, 我国网站所受到黑客的攻击, 还不能与美国的情况相提并论。因为我们在用户数、用户规模上还都处在很初级的阶段, 但以下事实也不能不让我们深思。

1993年底, 中科院高能所就发现有“黑客”侵入现象, 某用户的权限被升级为超级权限。当系统管理员跟踪时, 被其报复。1994年, 美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机, 并向我方系统管理员提出警告。

1996年, 高能所再次遭到“黑客”入侵, 私自在高能所主机上建立了几十个帐户, 经追踪发现是国内某拨号上网的用户。同期, 国内某ISP发现“黑客”侵入其主服务器并删改其帐号管理文件, 造成数百人无法正常使用。

1997年, 中科院网络中心的主页面被“黑客”用魔鬼图替换。

进入1998年, 黑客入侵活动日益猖獗, 国内各大网络几乎都不同程度遭到黑客的攻击。

3 网络安全防御技术的探讨

开放的信息系统必然存在众多潜在的安全隐患, 黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中, 安全技术作为一个独特的领域越来越受到全球网络建设者的关注。

通过在内部网络中部署防病毒软件、防火墙、入侵检测、补丁管理与系统监控等设施, 集中收集内部网络中的威胁, 分析面对的风险, 灵活适当地调整安全管理策略。但这是不够的, 还有另外一个重要的部分, 就是从网络结构上的接入层, 汇聚层和核心交换层设备上做好访问控制与流量管理。

现阶段为了保证网络安全, 通常采用下面的方法:

(1) 网络病毒防范技术。在网络环境下, 病毒传播扩散快, 仅用单机防病毒产品已经很难彻底清除网络病毒, 必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网, 就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连, 就需要网关级的防病毒软件, 加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换, 还需要一套基于邮件服务器平台的邮件防病毒软件, 识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品, 针对网络中所有可能的病毒攻击点设置对应的防病毒软件, 通过全方位、多层次的防病毒系统的配置, 通过定期或不定期的自动升级, 使网络免受病毒的侵袭。

(2) 防火墙技术。利用防火墙, 在网络通信时执行一种访问控制尺度, 允许防火墙同意访问的人与数据进入自己的内部网络, 同时将不允许的用户与数据拒之门外, 最大限度地阻止网络中的黑客来访问自己的网络, 防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制, 防止Internet上的不安全因素蔓延到局域网内部, 是网络安全技术中非常重要的一环。

(3) 采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录, 入侵检测系统能够识别出任何不希望有的活动, 从而达到限制这些活动, 以保护系统的安全。在校园网络中采用入侵检测技术, 最好采用混合入侵检测, 在网络中同时采用基于网络和基于主机的入侵检测系统, 则会构架成一套完整立体的主动防御体系。

(4) Web, Email, BBS的安全监测系统。在网络的w w w服务器、E-m a i l服务器等中使用网络安全监测系统, 实时跟踪、监视网络, 截获Internet网上传输的内容, 并将其还原成完整的w w w、E-mail、FTP、Telnet应用的内容, 建立保存相应记录的数据库;及时发现在网络上传输的非法内容, 及时向上级安全网管中心报告, 采取相应措施。

(5) 漏洞扫描系统。解决网络层安全问题, 首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况, 仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估, 显然是不现实的。必须寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具, 利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下, 可以利用各种黑客工具, 对网络模拟攻击从而暴露出网络的漏洞。

(6) IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时, 路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的M A C地址表相符, 如果相符就放行;否则不允许通过路由器, 同时给发出这个IP广播包的工作站返回一个警告信息。

(7) 利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决, 但是对于网络内部的侵袭则无能为力。在这种情况下, 我们可以采用对各个子网做一个具有一定功能的审计文件, 为管理人员分析自己的网络运作状态提供依据;设计一个子网专用的监听程序;该软件的主要功能为长期监听子网络内计算机间相互联系的情况, 为系统中各个服务器的审计文件提供备份。

4 结束语

网络安全是一个系统的工程, 涉及技术、管理、使用等许多方面, 既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施, 一种技术只能解决一方面的问题;不能仅仅依靠常用的防火墙单个系统, 而需要仔细考虑系统的安全需求, 并将各种安全技术, 如密码技术、数字签名技术等结合在一起, 才能生成一个高效、通用、安全的网络系统。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性, 为网络提供强大的安全服务——这也是21世纪网络安全领域的迫切需要。

摘要：网络已经成为人类所构建的最丰富多彩的虚拟世界, 网络的迅速发展, 给我们的工作、学习和生活带来了巨大的改变。我们通过网络获得信息, 共享资源。如今, Internet遍布世界任何一个角落, 并且欢迎任何一个人加入其中, 相互沟通, 相互交流。随着网络的迅猛延伸, 基于网络连接的安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。如何保护各类网络和应用的安全, 如何保护信息安全, 这是21世纪网络安全领域的迫切需要。

关键词：网络安全,防火墙 (firewall) ,黑客,Internet

参考文献

[1]卢开澄.计算机密码学—计算机网络中的数据预安全.清华大学出版社.2000

[2]余建斌.黑客的攻击手段及用户对策.北京人民邮电出版社.2004

[3]蔡立军.计算机网络安全技术.中国水利水电出版社.2005

[4]邓文渊, 陈惠贞, 陈俊荣.ASP与网络数据库技术.中国铁道出版社.2005.4

篇4：网络安全技术探讨

关键字：防火墙；网络安全；入侵检测

引言

计算机网络是随着现代社会对资源共享和信息交换与及时传递的迫切需要而不断发展起来的，人们在享受着网络所带来的巨大便利的同时，网络安全问题也变得越来越突出，成为人们日益关注的重点。一些常用的网络安全解决方案有防火墙技术、VPN(Virttml Private Network)、加密技术、入侵检测技术等，防火墙技术作为网络安全的重要组成部分格外受到关注，入侵检测系统与防火墙联动处理研究也是网络安全体系研究的一个热点问题。本文重点分析了网络安全技术中的防火墙技术和入侵检测技术，提出了一个入侵检测系统与防火墙联动的框架，探讨如何提高网络安全问题。

1、网络安全

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多种学科的综合性学科。网络信息安全一般是指网络信息的机密性(confideniSality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)。网络安全通常分为5个层次，如表1－1所示。

网络安全技术体现为保障以上某个或某几个层次的安全。现有的安全组件有访问控制、加密、鉴别与认证等，在Internet的时代，人们又采用了防火墙、入侵检测系统、数字签名、虚拟专网等来加强网络、系统的安全性。

2、防火墙技术

防火墙是网络安全技术中最常用的也是最成熟的技术，目前保护网络安全最主要的手段之一就是构建防火墙。防火墙系统是一种网络安全部件，它可以是硬件，也可以是软件，也可以是硬件和软件的结合体。这种安全部件处于被保护网络和其他网络的边界，接收进出被保护网络的数据流，并根据防火墙配置的访问控制策略进行过滤或做出其他操作。防火墙系统不仅能保护网络资源不受外部的侵入，而且还能够拦截从被保护网络向外传送的有价值的信息。

2、1包过滤技术

数据包过滤技术是防火墙最常用的技术，是一种基于网络层的安全防护技术。包过滤防火墙主要通过IP数据包过滤模块来实现。包过滤防火墙即可以由过滤路由器或普通路由器加包过滤软件来实现，也可以在一个双宿网关上安装包过滤软件来实现，还可以在一台服务器上来实现。根据用户事先定义好的过滤规则(访问控制表——AccessControl List)，禁止或允许数据包的通过，从而达到对站点与站点、站点与网络、网络与网络之间的相互访问控制。包过滤的最大优点是逻辑简单、价格便宜、对用户透明、传输性能高，但是不能控制传输的数据内容，因为内容是应用层数据，不是包过滤系统所能辨认的。

包过滤一般检查网络层的IP头和传输层的TCP头，包括下面几项：IP源地址、IP目标地址、协议类型(TCY、UDP、ICMP、IGMP)、TCP或UDP的源端口、TCP或UDP的目标端口、ICMP的消息类型、TCP报头中的ACK位和FIN位。此外，TCP的序列号、确认号、IP校验和分段偏移也往往是要检查的选项。

2.2代理技术

代理技术也称为应用网关(Application Gateway)技术。包过滤技术是在网络层拦截所有的信息流，代理是工作在应用层上特殊的应用服务程序。它是作为内外网之间的一个网关，在客户和服务器之间充当中继，通信双方不存在直接的网络连接，由代理服务器来维持两个连接：客户方一代理服务器与代理服务器一服务器方。实质上代理服务器分为两部分：一个是客户代理，完成与客户方的连接与通信；另一个是服务器代理，完成与服务器方的连接与通信。工作过程如图1－1所示。

2.3地址翻译技术

NAT(Network Address Translation)技术可以将局域网中节点的地址转换成(映射到)一个外部公用地址，反之亦然。它应用到防火墙技术中，从而实现一个机构内部局域网内多个主机以一个地址出现在Interact上，把内部IP地址隐藏起来不被外界发现，使外界无法直接访问内部设备。NAT有三种类型：静态NAT、动态NAT和端口映射NAT。

3、入侵检测技术

入侵检测系统(IDS Intrusion Detection System)是当今动态安全技术中最成熟且最具有代表性的技术，它能主动检测网络的易受攻击点和安全漏洞，其目的是尽可能实时的提供对内部或外部的未授权的使用或滥用计算机系统的行为进行鉴别和阻止。入侵检测技术是网络安全技术中不可缺少的组成部分，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

3.1分布式入侵检测

分布式入侵检测是目前入侵检测乃至整个网络安全领域的研究热点之一，研究人员已经提出并实现了多种原型系统。通常采用的方法中，一种是对现有的IDS进行规模上的扩展，另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种：分布式信息收集、集中处理；分布式信息收集、分布式处理。前者以DIDS、NADIR、ASAX为代表。后者则采用了分布式计算的方法，降低了对中心计算能力的依赖，同时也减少了对网络带宽带来的压力，因此具有更好的发展前景。

3.2智能化入侵检测

所谓的智能化入侵检测，即使用智能化的方法与手段来进行入侵检测。现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断升级与扩展，使设计的入侵检测系统防范能力不断增强。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

3.3全面的安全防御方案

使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方位对所关注的网络进行评估，然后提出可行的全面解决方案。

4、防火墙与入侵检测系统的联动实现

4.1联动的方式

入侵检测系统和防火墙之间的联动包括以下三种方式：

*系统嵌入方式：把入侵检测系统嵌入防火墙中，入侵检测系统的数据不再来源于网络的直接抓包，而是流经防火墙的数据流。所有通过的包既要接受防火墙的验证，还要判断是否有攻击，以达到真正的实时阻断。

*端口映像方式：防火墙将网络中指定的一部分流量镜像到入侵检测系统中，入侵检测系统再将处理后的结果通知防火墙，要求其相应的修改安全策略。

*专用响应方式：当入侵检测系统发现网络中的数据存在攻击企图时，通过一个开放接口实现与防火墙的通信，双方按照固定的协议进行网络安全事件的传输，更改防火墙安全策略，对攻击的源头进行封堵。

4.2联动的实现

本文提出的联动框架基于客户端／服务器(Client／Server)模式，通过扩展检测系统和防火墙的功能，在防火墙中驻留一个Server程序，在／DS端驻留一个Client端程序，Client端一旦发现需要防火墙阻断的攻击行为后，产生控制信息，将控制信息传送给Server端，Server端接收到Client端的控制信息-后，动态生成防火墙的过滤规则拦截攻击，最终实现联动。入侵检测系统与防火墙联动实现的过程如图1－2所示。

结束语

篇5：网络信息安全控制技术探讨论文

1计算机网络信息安全问题的现状

1.1计算机系统问题

目前，很多计算机系统网络都普遍存在控制性差的特点，计算机本身就具有开放性的特点，再加之缺乏相应控制的系统，很容易给电脑hacker提供可乘之机，电脑hacker会利用计算机系统存在的漏洞，来攻击和破坏计算机用户的系统，导致计算机系统瘫痪。

1.2计算机病毒传播

互联网技术的普遍运用，计算机病毒的类型也呈现出多种形式，这些计算机病毒严重的威胁着计算机信息安全，容易造成计算机用户的信息数据流失或者被破坏，威胁着计算机用户的信息安全。

1.3计算机存储传播

计算机信息在存储和传播的过程中，缺乏相应的保护措施，可能导致计算机信息在传播的过程中被任意修改，导致信息的失真。此外，计算机信息的保密技术不高，存在信息被偷看或者被偷盗的可能性，会给计算机用户带来一些不必要的麻烦。

★ 网络防御技术论文

★ 网络信息安全论文

★ 研究公路植草防护施工技术论文

★ 电力系统计算机网络信息安全防护的研究论文

★ 网络主动防御系统的设计与实现的分析论文

★ 实验室安全与防护心得体会

★ 仓库安全防护措施有哪些

★ 放射科安全防护管理规章制度

★ 网络信息安全与防范论文

篇6：网络安全技术探讨论文

摘 要：无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性，用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在，在研究相关技术的同时，相关专家应该加强交流，进行探讨。本文通过介绍无线网络的威胁，以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。

关键词：无线网络；非法访问；网络安全无线网络的现状和威胁

1.1 无线网络的现状

我们平时使用的无线局域网其实还存在着大量的安全隐患，这种隐患可能是我们遭受比较大的损失，特别对企业来说，黑客的侵入，可能会是一个企业的系统发生混乱和瘫痪，更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来，因为它对我们造成的影响已经无法继续无视下去，因此，我国对无线网络的安全问题已经开始重视，下发各种限令和规范措施来维护网络的安全性。

1.2 无线网络的威胁

我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络，网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题，其中安全问题是最重要的问题，因为网络是由很多交错的网络线路和众多的用户组成的巨型网络，设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内，任何都可以自由的获取信息或数据，当然这些都是在你根本没有察觉的情况下，你的隐私可以说是无处藏身的，一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外，一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析

2.1 无线网络安全的相关技术

现在为了保护无线网络的安全问题，出现了几种方法，第一种主要是控制他人的访问权，这样一来如果没有你的认证，其它人就不能访问，这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证，如果的不到用户的认证，那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施，一旦加密，就可以有效保护自己的信息或数据不被他人获取或拦截。当然，给自己的重要信息加密是保护我们网络信息安全的基础，我们每一个人都应该有这种意识。第三种是对访问者进行安全认证，我们可以通过安全认证来确定者是不是非法的，从而也能把它挡在门外。安全认证有实体认证和数据源认证，如果单单用其中的一种认证方式，那么安全认证效果就会大打折扣，两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证，这样可以防止不法访问者截取和谐该用户的重要信息和数据了。

2.2 无线网络安全的相关技术分析

为了维护无线网络的安全，出现了3A技术，这种技术是现在无线网络最基本的保证网络安全的用方法，同时也是应用最广泛，最基本的一种技术。另外新出现的WSAP技术，它其实是一种网络认证的协议，但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较，所以我们有信心有理由信任这种新的认证方法，它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展

要进一步实现保护无线网络安全的目的，除了用户自身要做好加密的措施外，还要好好利用一些功能和性能强大的认证体系，同时我们应加快一些更加好的协议出现的速度，因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着，所以无限网络安全的相关技术的开发工作时没有止境的，只有深刻的认识到无线网络存在的安全隐患，同时对不同的安全技术进行不断地研究和探讨，并不断开发新的保护技术才能使无线网络环境保持健康，继续成长。总结

近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中，特别是无线网络的兴起更加的方便了人们的生活，无线网络的开放性和移动性以及机动性都被我们所接受，但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境，我们应该加紧相关，安全技术开发的脚步，不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞，提前做好预防措施。相关研究开发人员应该加强交流和探讨，在对各种无线网络安全技术进行分析比较的情况下，开发出新的更有效的保护措施。

[参考文献]

篇7：网络安全技术

【摘要】随着我国网路信息科技的高速发展，网络信息安全问题日益突出。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。网络给人们生活带来极大便利的同时，也给许多部门、单位和个人带来了极大的风险，造成严重的经济损失。最新报道：央视《经济半小时》播出“我国黑客木马形成产业 2009年收入可超百亿元”节目，可以看出黑客通过网络传播木马的严重性。本文主要探讨了网络信息安全中存在的威胁，并提出了相应的技术保障和对策。【关键字】网络

信息

安全

黑客

病毒

技术

一、网络信息安全的内涵

在网络出现以前，信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护以实现电子信息的保密性、完整性、可用性、可控性和不可否认性。当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。

网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件;运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。

1.网络信息安全的内容

(1)硬件实体安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害，能够正常工作；预防地震、水灾、飓风、雷击等的措施；满足设备正常运行环境要求；防止电磁辐射、泄露；媒体的安全备份及管理等。

(2)软件系统安全。即计算机程序和文档资料及其网络中各种软件不被篡改或破坏，不被非法操作或误操作，功能不会失效，不被非法复制。

(3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测，发现不安全因素能及时报警并采取措施改变不安全状态，保障网络系统正常运行。

(4)数据信息安全。即网络中存储及流通数据的安全。要保护网络中的数据文件和数据信息在传输过程中不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。

2.网络信息安全的目标

(1)保密性。保密性是指利用密码技术对敏感信息进行加密处理同时采取抑制、屏蔽措施防止电磁泄漏，保证信息只有合法用户才能利用，而不会泄露给非授权人、实休。

(2)完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。

(3)可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息。

(4)可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性，可以控制授权范围内的信息流向以及方式。

(5)不可否认性。不可否认性是指在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。

二、网络信息安全面临的威胁

1.操作系统自身的因素

无论哪一种操作系统，其体系结构本身就是不安全的一种因素。由于操作系统的程序是可以动态连接的，包过I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接。而这种动态连接正是计算机病毒产生的温床，该产品的厂商可以使用，“黑客”成员也可以使用。因此，这种打补丁与渗透开发的操作系统是不可能从根本上解决安全问题。

2.网络协议和软件的安全缺陷

因特网的基石是TCP/IP协议簇，该协议簇在实现上力求效率，而没有考虑安全因素，因为那样无疑增大代码量，从而降低了TCP/IP的运行效率，所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗：大多数因特网上的流量是没有加密的，电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题，这很容易被一些对TCP/IP十分了解的人所利用，一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略：许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被内部人员滥用，黑客从一些服务中可以获得有用的信息，而网络维护人员却不知道应该禁止这种服务。配置的复杂性：访问控制的配置一般十分复杂，所以很容易被错误配置，从而给黑客以可乘之机。TCP/IP是被公布于世的，了解它的人越多被人破坏的可能性越大。现在，银行之间在专用网上传输数据所用的协议都是保密的，这样就可以有效地防止入侵。当然，人们不能把TCP/IP和其实现代码保密，这样不利于TCP/IP网络的发展。

3.电脑黑客攻击多样化

进人2006年以来，网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法，用形同互联网黄页的域名系统服务器来发动攻击，扰乱在线商务。宽带网络条件下，常见的拒绝服务攻击方式主要有两种，一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式，造成网络流量急速提高，导致网络设备崩溃，或者造成网络链路的不堪负重。

调查资料显示，2006年初发现企业的系统承受的攻击规模甚于以往，而且来源不是被绑架的“僵尸”电脑，而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标，目标系统不论是网页服务器、域名服务器，还是电子邮件服务器，都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理，借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络，把大量的查询要求传至开放的DNS服务器，这些查询信息会假装成被巨量信息攻击的目标所传出的，因此DNS服务器会把回应信息传到那个网址。

美国司法部的一项调查资料显示，1998年3月到2005年2月期间，82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下，外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络，即使最严密的用户认证保护系统也很难保护网络安全。另外，由于企业员工可以通过任何一台未经确认和处理的设备，以有效合法的个人身份凭证进入网络，使间谍软件、广告软件、木马程序及其它恶意程序有机可乘，严重威胁网络系统的安全。有资料显示，最近拉美国家的网络诈骗活动增多，作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”，网上诈骗活动日益增多。

4计算机病毒

计算机病毒是专门用来破坏计算机正常工作，具有高级技巧的程序。它并不独立存在，而是寄生在其他程序之中，它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用，病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种，其传播途径不仅通过软盘、硬盘传播，还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大。被病毒破坏全部数据的占14%，破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件，计算机病毒便会发作，轻者造成速度减慢、显示异常、丢失文件，重者损坏硬件、造成系统瘫痪。

5.人性的脆弱性

人们与生俱来就有信任他人、乐于助人以及对未知事物的好奇心等弱点。狡猾的电脑黑客往往利用这些弱点，通过E-mail、伪造的Web网站、向特定的用户提几个简单的问题的伎俩，骗取公司的保密资料或从个人用户那里骗取网上购物的信用卡、用户名和密码，达到入侵网络信息系统的目的，使得那些采用多种先进技术的安全保护措施形同虚设。

6管理因素

用户安全意识淡薄, 管理不善是当前存在的一个严重的问题。目前我国安全管理方面存在的问题主要有: 一是缺乏强有力的权威管理机构, 由于我国网络安全立法滞后, 安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,我国现有的网络系统大多数缺少安全审计, 安全日志形同虚设。三是安全意识淡薄。人们对信息安全认识不够, 过分依赖信息安全产品, 缺乏细致的内部网络管理机制, 一些用户警惕性不高, 操作麻痹, 甚至把自己账号随意给他人。

三、保障网络信息安全的对策和技术

1.安全通信协议和有关标准。

在网络安全技术应用领域，安全通信协议提供了一种标准，基于这些标准，企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL（TLS）、IPsec和S/MIME SL提供基于客户/服务器模式的安全标准，SSL（TLS）在传输层和应用层之间嵌入一个子层，主要用于实现两个应用程序之间安全通讯机制，提供面向连接的保护；IP安全协议（IPsec）提供网关到网关的安全通信标准，在网络层实现，IPsec能够保护整个网络；S/MIME在应用层提供对信息的安全保护，主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务，但是他们的具体应用范围是不同的，在实际应用中，应根据具体情况选择相应的安全通信协议。

2.防火墙技术

防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤，只有被授权的通信才允许通过。防火墙的安全意义是双向的，一方面可以限制外部网对内部网的访问，另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时，防火墙还可以对网络存取访问进行记录和统计，对可疑动作告警，以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种，一种是分组过滤技术，一种是代理服务技术。分组过滤基于路由器技术，其机理是由分组过滤路由器对IP分组进行选择，根据特定组织机构的网络安全准则过滤掉某些IP地址分组，从而保护内部网络。代理服务技术是由一个高层应用网关作为代理服务器，对于任何外部网的应用连接请求首先进行安全检查，然后再与被保护网络应用服务器连接。代理服务技术可使内、外网络信息流动受到双向监控。

3.访问拉制技术

访问控制根据用户的身份赋予其相应的权限，即按事先确定的规则决定主体对客体的访问是否合法，当一主体试图非法使用一个未经授权使用的客体时，该机制将拒绝这一企图，其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外，审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用，只有将上述各项技术很好地配合起来，才能为网络建立一道安全的屏障。

4.反病毒软件

反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。首先, 出现了病毒防火墙。该技术为用户提供了一个实时监防止病毒发作的工具,它对用户访问的每一个文件进行病毒检测, 确认无毒后才会让系统接管进行下一步的工作。其次, 反病毒软件提出了在线升级的方式。第三, 完成了统一的防病毒管理。第四,嵌入式查毒技术的形成, 它将杀毒引擎直接嵌挂到IE 浏览器和流行办公软件Office2003 和OfficeXP 组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体, 在占用系统资源最小的情况下查杀病毒。

5.入侵检测技术

随着网络安全风险系数的不断提高, 作为对防火墙及其有益的补充, IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应, 提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统, 该系统处于防火墙之后, 可以和防火墙及路由器配合工作, 用来检查一个LAN 网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析, 通过集中控制台来管理、检测。

6.PKI技术

PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。

在PKI体系中，CA(CertificateAuthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

7.增强网络安全意识

利用讲座和电视视频直播给上网的朋友们普及有关网络安全知识,使他们知道网络中时时刻刻都存在潜在的威胁,可能会带来经济损失和精神损失。同时，还要让他们知道一切不明身份的垃圾邮件千万不要打开，因为它可能给你的电脑带进病毒。通过事实中的案例告诉网民在网络中做任何事情一定不要放松自己的警惕，加强自己电脑的杀毒软件，多关注网上欺骗手段的视频。总之，利用一切可以利用的手段加强网民的网络安全意识。

8.法律保护

随着互联网技术的发展，大量的信息在互联网上进行传播，不可避免地会侵犯他人的合法权益，而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说，一个人可以不上网，但是他的合法权益被他人通过互联网侵犯却是有可能的，因此，加强与互联网相关的立法建设，对于全体国民都是非常重要的。

四、结论

随着信息技术的飞速发展，网络及网络信息安全技术已经深入到了社会的多个领域。网络和信息时代给我们带来技术进步和生活便利的同时，也给国家和个人都带了巨大经济损失。网民要加强自己的防范意识，保证自己的财产不受到侵犯。我还希望国家相关部门规范网络信息安全标准，加快先进技术的研发来保障网络通讯的安全。同时，加强相关法律法规的力度来保证人民的根本利益，为我们提供一个安全的网络环境。参考文献：

篇8：校园网络安全技术探讨

一、防病毒技术

新型病毒层出不穷, 传播速度快, 破坏能力越来越强。校园网必须在网络系统的各个环节严加防范, 才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大, 要建立全面的主动病毒防护体系, 在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关, 也要安装防病毒软件进行拦截, 以阻止病毒进入校园网传播扩散。由于师生信息浏览和EM A IL通信的普遍性, 在Internet浏览、下载的信息时有可能传播病毒到内部网络上, 防病毒软件要能阻止网页携带的A pplet小应用程序、A ctive X等病毒破坏, 发现并清除隐藏在EM A IL、Q Q、M SN、附件中的欺骗性病毒和木马。

目前, 主流的防病毒产品主要有赛门铁克、趋势、江民、金山等, 网络上也不乏免费杀毒软件, 如360杀毒。首次安装防病毒软件时, 一定要对计算机做一次彻底的病毒扫描, 注意定期查杀, 及时进行软件的更新。

二、防火墙与网络隔离技术

配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙, 网上这样的免费或限时软件很多, 比如:360安全卫士、天网。校园内外网之间, 可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统, 安全性有较大限制, 速度也比较慢, 建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统, 甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统, 它们的速度快、性能高、处理能力强。目前, 常用的软件防火墙有Checkpoint、K FW傲盾、天网等, 常用的硬件防火墙有N et Screen、Cisco、H illstone等, 还可根据学校需要选配N A T、D N S、V PN、ID S等不同模块。

网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统, 内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带, 消除了基于网络协议的攻击。这种技术的应用, 必将使校园网络管理高效化、简单化, 安全级别也更高。

三、VLAN技术

随着校园网络规模扩大, 网内机器超过200台时网络管理将极为困难。在实际应用时, 采取V LA N技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备, 各子网之间无法直接通信, 信息仅在V LA N内的成员之间传送, 限制非成员数据转发, 从而减少了主干网的数据流量, 控制网络风暴在必要范围内, 并增强网络的安全性, 利于管理。根据校园网管理特点, 通常选择下面三种方法划分V LA N。

(1) 基于端口的划分。根据以太网交换机的端口划分不同V LA N, 可以把跨交换机的端口划分到同一V LA N中, 一个V LA N对应一个端口集合, 一个端口在某一时间只能位于一个V LA N中。比如可以把交换机SW l的端口1、4-5和SW 2的端口2-3、6划为V LA N l;把交换机SW l的端口2、3和SW 2的端口1、4、5划为V LA N 2。这种方法简单易行, 但是灵活性差。当教学用机需要移动时, 新端口不位于原V LA N中时, 机器不能直接连接通信, 需要管理员重新定义端口配置。

(2) 基于MAC地址的划分。校园网中的每个M A C地址对应一台计算机, 一个V LA N就是一个M A C地址集合。比如把所有教师机的M A C地址添加到V LA N l中, 所有学生机的M A C地址添加到V LA N 2中。配置完成后, 交换机根据M A C地址识别和跟踪教学用机。即使教学用机或服务器移动位置, 更换端口, 也不会改变其所属的V LA N。这种方法, 用户使用灵活, 但是管理员工作量大而烦琐:初始化时, 如果用户数量较多, 要收集所有计算机M A C地址, 对所有计算机进行配置, 工作量极大;后期, 每一台新计算机入网时, 也需要添加到对应的V LA N中, 否则不能连接。

(3) 基于IP地址划分。校园网中的网络层IP地址对应一台计算机, 一个V LA N就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为V LA N I给教师使用, 把192.168.2.1-192.168.2.200设置为V LA N 2给学生使用。它具有第2种划分方法的优点, 用户计算机可以不修改网络配置移动, 并且无需收集M A C地址对所有计算机单独配置。但校园网中每次数据转发, 都需要检查TCP/IP协议的网络层, 网络工作效率低。

目前, 应用比较广泛的具备V LA N功能的交换机、路由器主要有Cisco、锐捷、神州数码等, 这些网络设备也不一定具备V LA N所有划分方式。因此, 学校要根据自己的要求和价格承受能力, 选择不同层次和功能的V LA N网络设备, 再根据实际设备选择适合的V LA N划分方式配置网络。

四、云防护技术

校园网中Em ail、BBS、W eb、即时通信、上传下载各种服务和应用繁多, 这也为黑客提供了更多的攻击途径。目前针对网络的联合攻击规模越来越大, 破坏性越来越强。许多校园网络工作站点要么成为“僵尸”, 要么成为被攻击的对象。比如:“僵尸网络”就是通过挂马、下载等途径控制数量巨大的“肉鸡”对目标进行D O S等攻击;还有“零日攻击”指恶意运用立即被发现的安全漏洞, 利用时间差在网络未及防范的情况下实施攻击。

云防护技术就是通过云火墙、网络防控中心, 动态、主动、协同阻止病毒、木马、蠕虫的蔓延和破坏。互联网中, 攻击经常是不可避免的。例如江苏一个网络感染蠕虫病毒, 立即把地址等信息报告云中心, 中心再同步其他网络, 就可能阻止上海等其他网络被感染。这种技术有别于防火墙技术的静态被动式防护, 极大地提高了防护的效率。目前, 市场上云防护安全产品主要有思科A SA云火墙, 一些个人防火墙也具备一些云防护功能。学校可以选择购买云防护构件, 加入这些云防护中心。