序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了七篇安全網(wǎng)絡(luò)論文范文，愿它們成為您寫作過(guò)程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

檔案信息化以計(jì)算機(jī)技術(shù)為基礎(chǔ)，與以往的紙質(zhì)檔案資料相比，具有以下特征：

1.1設(shè)備依賴性。

不同于過(guò)往的檔案記載，信息化的檔案資料再也不是一支筆、一份紙記錄的過(guò)程，從輸入到輸出都是經(jīng)由計(jì)算機(jī)與其輔助設(shè)備實(shí)現(xiàn)，管理與傳輸也都依賴各種軟件與網(wǎng)絡(luò)資源共享，信息處理速度與質(zhì)量在某些程度上依賴于計(jì)算機(jī)的性能與軟件的適應(yīng)性。

1.2易控性和可變性。

信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲(chǔ)存下來(lái)，這給信息共享帶來(lái)了便利，但也增加了檔案資料的易控性和可變性，對(duì)于文檔資料可以通過(guò)office工具刪除修改文字、對(duì)于圖片資料可以通過(guò)photoshop輕易地改變其原有的面貌、對(duì)于音頻和視頻資料可以通過(guò)adobeaudition和premiere工具的剪輯變成完全不同的模樣，這些都造成了檔案信息易丟失的現(xiàn)象。

1.3復(fù)雜性。

檔案信息量不斷增加、信息存儲(chǔ)形式也變得豐富多樣，不僅有前文所述的文檔、圖像、視頻、音頻等形式，不同格式之間的信息資料還可以相互轉(zhuǎn)換，如視頻與圖片、文字與圖片的轉(zhuǎn)換等等，進(jìn)一步增加了檔案信息的復(fù)雜性。

2目前網(wǎng)絡(luò)環(huán)境下檔案信息安全管理存在的問(wèn)題

2.1網(wǎng)絡(luò)環(huán)境下檔案信息安全問(wèn)題的特性。

檔案信息化有其顯著特征，在此基礎(chǔ)上的檔案信息安全問(wèn)題屬性也發(fā)生了較大變化。首先表現(xiàn)在信息共享的無(wú)邊界性，發(fā)達(dá)的網(wǎng)絡(luò)技術(shù)使得整個(gè)世界變成一張巨大的網(wǎng)，上傳的信息即使在大洋彼岸也能及時(shí)查看，一旦信息泄露，傳播的范圍廣、造成的危害難以估量。同時(shí)，在某種程度上檔案信息化系統(tǒng)也存在著脆弱性問(wèn)題，計(jì)算機(jī)病毒可以入侵系統(tǒng)的眾多組成部分，而任何一部分被攻擊都可能造成整個(gè)系統(tǒng)的崩潰。此外，網(wǎng)絡(luò)安全問(wèn)題還存在一定的隱蔽性，無(wú)需面對(duì)面交流，不用對(duì)話溝通，只需打開(kāi)一個(gè)網(wǎng)頁(yè)或是鼠標(biāo)輕輕點(diǎn)擊，信息就會(huì)在極短時(shí)間內(nèi)被竊取，造成嚴(yán)重后果。

2.2網(wǎng)絡(luò)環(huán)境下檔案信息安全面臨的主要問(wèn)題。

1）檔案信息化安全意識(shí)薄弱。很多情況下，檔案信息被竊取或損壞并不是因?yàn)槿肭终呤侄胃呙鳎菣n案信息管理系統(tǒng)自身安全漏洞過(guò)多，其本質(zhì)原因是檔案信息管理安全意識(shí)不夠。受傳統(tǒng)檔案管理觀念的桎梏、自身技術(shù)水平的限制，很多管理人員并未將檔案信息看作極為重要的資源，對(duì)相關(guān)資料處理的隨意性大，也無(wú)法覺(jué)察到潛在的風(fēng)險(xiǎn)，日常操作管理不規(guī)范，增加了檔案安全危機(jī)發(fā)生的可能性。

2）檔案信息化安全資金投入不夠。現(xiàn)代信息環(huán)境復(fù)雜多變，數(shù)據(jù)量急劇增加，信息管理難度也越來(lái)越大，對(duì)各種硬件、軟件設(shè)備的要求也進(jìn)一步提高，需要企業(yè)在檔案信息管理方面投入更多的人力、物力，定期檢查系統(tǒng)漏洞。而就目前情況而言，大部分企業(yè)在這方面投入的資源還遠(yuǎn)遠(yuǎn)達(dá)不到要求，檔案信息管理的安全性得不到有效保障。

3）檔案信息化安全技術(shù)問(wèn)題。技術(shù)問(wèn)題首先表現(xiàn)在互聯(lián)網(wǎng)自身的開(kāi)放性特征中，互聯(lián)網(wǎng)的基石是TCP/IP協(xié)議，以效率和及時(shí)溝通性為第一追求目標(biāo)，必然會(huì)導(dǎo)致安全性的犧牲，諸如E-mail口令與文件傳輸?shù)炔僮骱苋菀妆槐O(jiān)聽(tīng)，甚至于不經(jīng)意間計(jì)算機(jī)就會(huì)被遠(yuǎn)程操控，許多服務(wù)器都存在可被入侵者獲取最高控制權(quán)的致命漏洞。此外，網(wǎng)絡(luò)環(huán)境資源良莠不齊，許多看似無(wú)害的程序中夾雜著計(jì)算機(jī)病毒代碼片段，隱蔽性強(qiáng)、傳染性強(qiáng)、破壞力大，給檔案信息帶來(lái)了嚴(yán)重威脅。

3網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)檔案信息安全保障原則

3.1檔案信息安全的絕對(duì)性與相對(duì)性。

檔案信息安全管理工作的重要性是無(wú)需置疑的，是任何企業(yè)特別是握有核心技術(shù)的大型企業(yè)必須注重的問(wèn)題，然而，檔案信息管理并沒(méi)有一勞永逸的方法，與傳統(tǒng)檔案一樣，不存在絕對(duì)的安全保障，某一時(shí)期看起來(lái)再完善的系統(tǒng)也會(huì)存在不易發(fā)現(xiàn)的漏洞，隨著科技的不斷發(fā)展，會(huì)愈來(lái)愈明顯地暴露出來(lái)。同時(shí)，檔案信息安全維護(hù)技術(shù)也沒(méi)有絕對(duì)的優(yōu)劣之分，根據(jù)實(shí)際情況的需求，簡(jiǎn)單的技術(shù)可能性價(jià)比更高。

3.2管理過(guò)程中的技術(shù)與非技術(shù)因素。

檔案信息管理工作不是單一的網(wǎng)絡(luò)技術(shù)維護(hù)人員工作，也不是管理人員的獨(dú)角戲，而需要技術(shù)與管理的有機(jī)結(jié)合。檔案管理人員可以不具備專業(yè)網(wǎng)絡(luò)技術(shù)人才的知識(shí)儲(chǔ)備量，但一定要具備發(fā)現(xiàn)安全問(wèn)題的感知力與責(zé)任心，對(duì)于一些常見(jiàn)入侵跡象要了然于心，對(duì)于工作中出現(xiàn)的自身無(wú)法解決的可疑現(xiàn)象應(yīng)及時(shí)通知更專業(yè)的技術(shù)人員查看。可根據(jù)企業(yè)實(shí)際情況建立完善的檔案安全管理機(jī)制，充分調(diào)動(dòng)各部門員工的力量，以系統(tǒng)性、全面性的理念去組織檔案信息管理工作。

4網(wǎng)絡(luò)環(huán)境下檔案信息安全管理具體保障方法

4.1建立制度屏障。

完善的制度是任何工作順利進(jìn)行的前提與基礎(chǔ)，對(duì)于復(fù)雜網(wǎng)絡(luò)環(huán)境下的檔案信息安全管理工作來(lái)說(shuō)更是如此。在現(xiàn)今高度發(fā)達(dá)的信息背景下，檔案管理再不是鎖好一扇門、看好一臺(tái)計(jì)算機(jī)的簡(jiǎn)單工作，而是眾多高新技術(shù)的集合體，因此，做好檔案信息安全管理工作首先要加強(qiáng)安全意識(shí)的宣傳，包括保密意識(shí)教育與信息安全基礎(chǔ)教育，加強(qiáng)檔案管理人員特別是技術(shù)操作人員的培訓(xùn)工作。同時(shí)，應(yīng)注重責(zé)任制度的落實(shí)，詳細(xì)規(guī)定庫(kù)房管理、檔案借閱、鑒定、銷毀等責(zé)任分配，詳細(xì)記錄檔案管理培訓(xùn)與考核工作、記錄進(jìn)出檔案室的人員信息，具體工作落實(shí)到人。在實(shí)際操作中，應(yīng)嚴(yán)格記錄每一個(gè)操作步驟，將檔案接收、借閱、復(fù)制等過(guò)程完整、有條理地編入類目中，以便日后查閱。

4.2建立技術(shù)屏障。

網(wǎng)絡(luò)環(huán)境下的信息安全技術(shù)主要體現(xiàn)在通信安全技術(shù)和計(jì)算機(jī)安全技術(shù)兩個(gè)方面。

1）通信安全技術(shù)。通信安全技術(shù)應(yīng)用于檔案資料的傳輸共享過(guò)程中，可分為加密、確認(rèn)與網(wǎng)絡(luò)控制技術(shù)等幾大類。其中，信息加密技術(shù)是實(shí)現(xiàn)檔案信息安全管理的關(guān)鍵，通過(guò)各種不同的加密算法實(shí)現(xiàn)信息的抽象化與無(wú)序化，即使被劫持也很難辨認(rèn)出原有信息，這種技術(shù)性價(jià)比高，較小的投入便可獲得較高的防護(hù)效果。檔案信息確認(rèn)技術(shù)是通過(guò)限制共享范圍達(dá)到安全性要求，每一個(gè)用戶都掌握著識(shí)別檔案信息是否真實(shí)的方案，而不法接收者難以知曉方案的實(shí)際內(nèi)容，從而預(yù)防信息的偽造、篡改行為。

2）計(jì)算機(jī)安全技術(shù)。從計(jì)算機(jī)安全角度入手，可采用芯片卡識(shí)別制度，每一名合法使用者的芯片卡微處理機(jī)內(nèi)記錄特有編號(hào)，只有當(dāng)編號(hào)在數(shù)據(jù)庫(kù)范圍內(nèi)時(shí)方可通過(guò)認(rèn)證，防止檔案信息經(jīng)由計(jì)算機(jī)存儲(chǔ)器被竊的現(xiàn)象發(fā)生。同時(shí)，應(yīng)加強(qiáng)計(jì)算機(jī)系統(tǒng)的防火墻設(shè)計(jì)，注意查找系統(tǒng)漏洞。

4.3建立法律屏障。

篇(2)

【關(guān)鍵詞】VPN;遠(yuǎn)程教育;遠(yuǎn)程教育平臺(tái)

【中圖分類號(hào)】 G40-057 【文獻(xiàn)標(biāo)識(shí)碼】A【論文編號(hào)】1009―8097(2009)12―0130―03

一 引言

遠(yuǎn)程教育具有用戶數(shù)量多、分布范圍廣、接入方式多樣化的特征,如何保證遠(yuǎn)程教育得以順利開(kāi)展,是構(gòu)建遠(yuǎn)程教育系統(tǒng)時(shí)應(yīng)該考慮的主要問(wèn)題[1]。隨著Internet的迅速發(fā)展,各種寬帶接入方式的出現(xiàn),虛擬專用網(wǎng)技術(shù)(VPN)也應(yīng)運(yùn)而生。VPN是利用開(kāi)放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道,將遠(yuǎn)程的站點(diǎn)、伙伴、移動(dòng)辦公人員等連接起來(lái),并且提供安全的端到端的數(shù)據(jù)通信,是一種虛擬技術(shù)。把VPN技術(shù)應(yīng)用于遠(yuǎn)程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠(yuǎn)程用戶的訪問(wèn)費(fèi)用,同時(shí)可以在VPN上開(kāi)展不同形式的遠(yuǎn)程教學(xué)。本文結(jié)合實(shí)際,探討高校遠(yuǎn)程教育VPN網(wǎng)絡(luò)平臺(tái)的實(shí)現(xiàn)過(guò)程[2]。

二 建設(shè)目標(biāo)

總體目標(biāo)是利用VPN技術(shù)建立一個(gè)基于Internet的遠(yuǎn)程教育系統(tǒng)的私有網(wǎng)絡(luò),實(shí)現(xiàn)在該VPN網(wǎng)絡(luò)平臺(tái)上,遠(yuǎn)程教育各個(gè)管理應(yīng)用系統(tǒng)數(shù)據(jù)的安全傳輸,以及對(duì)接入用戶身份的有效認(rèn)證和方便控制。尤其在對(duì)教師、學(xué)員等移動(dòng)用戶的接入身份認(rèn)證上,需要將VPN系統(tǒng)和高校遠(yuǎn)程教育應(yīng)用系統(tǒng)的身份認(rèn)證模塊無(wú)縫整合,實(shí)現(xiàn)VPN接入和應(yīng)用系統(tǒng)用戶身份的集中管理和統(tǒng)一控制,極大方便系統(tǒng)管理員管理和用戶使用。

三 系統(tǒng)設(shè)計(jì)

在我校遠(yuǎn)程教育系統(tǒng)信息中心,通過(guò)千兆光纖連接到互聯(lián)網(wǎng)。由于中心網(wǎng)點(diǎn)是整個(gè)系統(tǒng)的核心,要確保高可靠性,所以在出口處部署2臺(tái)100/1000M自適應(yīng)級(jí)安全網(wǎng)關(guān),實(shí)現(xiàn)雙機(jī)熱備功能。對(duì)于分支機(jī)構(gòu),根據(jù)各分支機(jī)構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機(jī)構(gòu)。對(duì)于老師這類移動(dòng)用戶,采用“USB KEY”硬件方式進(jìn)行身份認(rèn)證,通過(guò)配套的安全客戶端軟件實(shí)現(xiàn)遠(yuǎn)程移動(dòng)安全接入[3]。對(duì)于學(xué)員這類移動(dòng)用戶,采用“用戶名+密碼”純軟件方式進(jìn)行身份認(rèn)證(在安全客戶端啟動(dòng)界面上輸入),結(jié)合安全客戶端軟件實(shí)現(xiàn)遠(yuǎn)程移動(dòng)安全接入(如圖1)。

圖1 系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

1 服務(wù)端

在網(wǎng)絡(luò)的出口處,部署VPN安全網(wǎng)關(guān)(安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認(rèn)證技術(shù)來(lái)保護(hù)大學(xué)遠(yuǎn)程教育系統(tǒng)和下屬市、縣遠(yuǎn)程教育系統(tǒng)內(nèi)網(wǎng)的安全通訊、安全傳輸)[4]。另外,安全網(wǎng)關(guān)可以提供高可靠性的雙機(jī)熱備功能,可以在主設(shè)備發(fā)生故障時(shí),備份網(wǎng)關(guān)自動(dòng)快速進(jìn)行狀態(tài)切換,確保系統(tǒng)工作不中斷。安全網(wǎng)關(guān)可以實(shí)現(xiàn)以下幾方面功能:

(1) 和遠(yuǎn)地分支機(jī)構(gòu)網(wǎng)絡(luò)邊界部署的VPN安全網(wǎng)關(guān)或安全客戶端建立VPN加密隧道,確保數(shù)據(jù)傳輸安全;并能夠通過(guò)VPN通訊策略的靈活設(shè)置,根據(jù)用戶要求實(shí)現(xiàn)對(duì)指定網(wǎng)段/范圍/IP地址的PC的應(yīng)用系統(tǒng)數(shù)據(jù)傳輸進(jìn)行加密保護(hù)。

(2) 對(duì)總部?jī)?nèi)網(wǎng)的防火墻防護(hù):安全網(wǎng)關(guān)具備優(yōu)良的狀態(tài)檢測(cè)防火墻功能,可以防御外網(wǎng)對(duì)內(nèi)部主機(jī)的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應(yīng)用層攻擊。另外,可以通過(guò)VPN安全網(wǎng)關(guān)上的訪問(wèn)控制策略,對(duì)內(nèi)網(wǎng)PC進(jìn)行嚴(yán)格的基于“五元組+時(shí)間”的訪問(wèn)控制[5]。如:為確保安全性,可對(duì)允許上網(wǎng)的PC進(jìn)行IP和MAC綁定,并通過(guò)網(wǎng)關(guān)中的安全策略設(shè)置對(duì)這些PC的數(shù)據(jù)流進(jìn)行狀態(tài)檢測(cè),以確保不能被仿冒;也可以使用網(wǎng)關(guān)中的“用戶上網(wǎng)認(rèn)證”功能,使用戶在使用瀏覽器上網(wǎng)瀏覽時(shí),首先要通過(guò)網(wǎng)關(guān)的訪問(wèn)密碼認(rèn)證;禁止某些URL網(wǎng)址的訪問(wèn)等[6]。

(3) 安全網(wǎng)關(guān)具備八個(gè)等級(jí)的QoS控制功能,能夠?yàn)閂OIP和視頻等需要優(yōu)先的網(wǎng)絡(luò)應(yīng)用保留帶寬和優(yōu)先處理,這樣當(dāng)網(wǎng)絡(luò)擁擠時(shí),也能夠保障VOIP和視頻的暢通和話音質(zhì)量。安全網(wǎng)關(guān)能夠?qū)⒃L問(wèn)控制策略與保留帶寬綁定,并能為這些應(yīng)用設(shè)定優(yōu)先級(jí),共有8個(gè)處理等級(jí)可以設(shè)置。

2 各地分支機(jī)構(gòu)

可以根據(jù)各分支機(jī)構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)或安全客戶端系統(tǒng)(配合USB KEY)到各駐外機(jī)構(gòu)。具有子網(wǎng)的各駐外機(jī)構(gòu)采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規(guī)模的局域網(wǎng)出口處,部署中低端型號(hào)的安全網(wǎng)關(guān),如:SGW25A或SGW25B;建議在僅有少數(shù)終端的分支機(jī)構(gòu)(如辦事處),在需要聯(lián)入遠(yuǎn)程教育網(wǎng)的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網(wǎng)軟件或NAT軟件配合構(gòu)成軟件網(wǎng)關(guān),從而和總部聯(lián)網(wǎng)實(shí)現(xiàn)VPN加密通訊(如圖2)。

圖2 中等規(guī)模分支機(jī)構(gòu)網(wǎng)絡(luò)示意圖

可根據(jù)用戶的網(wǎng)絡(luò)接入帶寬和網(wǎng)絡(luò)規(guī)模,選擇合適的安全網(wǎng)關(guān)產(chǎn)品。對(duì)于規(guī)模較小的網(wǎng)點(diǎn),可以采用安全客戶端軟件加硬件USB KEY實(shí)現(xiàn)和總部的互連(如圖3)。

圖3 小規(guī)模分支機(jī)構(gòu)網(wǎng)絡(luò)示意圖

3 教師和學(xué)員等移動(dòng)用戶

遠(yuǎn)程教育系統(tǒng)的用戶數(shù)目龐大,主要包括教師和學(xué)員。

對(duì)于大數(shù)量的用戶,需要有一個(gè)很好的組織方式,方便管理和維護(hù),并且和應(yīng)用系統(tǒng)能夠無(wú)縫整合,實(shí)現(xiàn)VPN接入身份認(rèn)證和應(yīng)用系統(tǒng)身份認(rèn)證完全實(shí)現(xiàn)統(tǒng)一:統(tǒng)一管理、單點(diǎn)登錄[7]。對(duì)于教師,由于數(shù)量較少,人員比較穩(wěn)定,而且使用的系統(tǒng)與內(nèi)部管理關(guān)聯(lián)緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來(lái)解決教師和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通。

對(duì)于學(xué)員,由于數(shù)量龐大,而且分布在全國(guó)各地,不便進(jìn)行現(xiàn)場(chǎng)支持,而且穩(wěn)定性相對(duì)較差,所以建議采用純軟件版的安全客戶端系統(tǒng)實(shí)現(xiàn)和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通,同時(shí)通過(guò)“帳戶名+口令”的方式進(jìn)行VPN接入身份認(rèn)證;并且通過(guò)定制,實(shí)現(xiàn)VPN接入的“帳戶名+口令”與應(yīng)用系統(tǒng)的“帳戶名+口令”完全一致,實(shí)現(xiàn)單點(diǎn)登錄。

根據(jù)上述方法,一種對(duì)用戶(教師和學(xué)員)實(shí)現(xiàn)統(tǒng)一管理的方法,可采用LDAP目錄來(lái)保存用戶信息,所有的用戶信息都保存在LDAP服務(wù)器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫,基于X.500標(biāo)準(zhǔn),但是簡(jiǎn)化了很多并且可以根據(jù)需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問(wèn)Internet所必須的。通過(guò)LDAP可以訪問(wèn)存儲(chǔ)在LDAP目錄中的信息。LDAP目錄采用樹(shù)型層次結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù),就象DNS的主機(jī)名一樣,LDAP目錄中記錄的的標(biāo)志名(Distinguished Name)用來(lái)讀取單個(gè)記錄,并回溯到目錄樹(shù)的頂部。

大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進(jìn)行專門的優(yōu)化。因此,當(dāng)從LDAP服務(wù)器中讀取數(shù)據(jù)的時(shí)候會(huì)比從關(guān)系型數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)快一個(gè)數(shù)量級(jí)。也是因?yàn)閷ｉT為讀的性能進(jìn)行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲(chǔ)需要經(jīng)常改變的數(shù)據(jù)。對(duì)于學(xué)員組織結(jié)構(gòu)這樣需要經(jīng)常查詢,但是很少修改的信息,非常適合存儲(chǔ)在LDAP目錄中。

LDAP允許根據(jù)需要使用ACL(訪問(wèn)控制列表)來(lái)控制對(duì)數(shù)據(jù)的讀寫權(quán)限,指定不同的用戶可以擁有不同的操作權(quán)限,實(shí)現(xiàn)用戶信息的分級(jí)管理。

針對(duì)我校遠(yuǎn)程教育網(wǎng)的情況,LDAP目錄用來(lái)存儲(chǔ)學(xué)院的學(xué)員信息,LDAP目錄可以根據(jù)學(xué)院的組織結(jié)構(gòu)來(lái)組織。LDAP目錄以學(xué)院為根目錄,以不同的系為下一級(jí)目錄,如果有需要,每個(gè)系可形成再下一級(jí)的目錄,最后的記錄項(xiàng)保存學(xué)員的相關(guān)信息。同時(shí),通過(guò)使用LDAP的ACL,允許學(xué)院的管理員對(duì)所有用戶信息有讀寫權(quán)限,而系管理員只對(duì)本系的用戶信息有完全的讀寫權(quán)限。

采用LDAP目錄來(lái)存儲(chǔ)用戶信息,可以根據(jù)學(xué)院組織結(jié)構(gòu)來(lái)組織用戶,方便地實(shí)現(xiàn)用戶的分級(jí)管理,減少管理員的工作量。當(dāng)用戶通過(guò)VPN客戶端請(qǐng)求連接到安全網(wǎng)關(guān)時(shí),先以SSL方式連接到SGW25C安全網(wǎng)關(guān),并上傳“帳戶名和密碼”,安全網(wǎng)關(guān)從LDAP服務(wù)器獲取用戶的相關(guān)信息,并校驗(yàn)用戶身份。如果用戶身份校驗(yàn)通過(guò),安全客戶端將和安全網(wǎng)關(guān)通過(guò)IKE協(xié)商建立VPN隧道,通過(guò)隧道訪問(wèn)內(nèi)網(wǎng)應(yīng)用服務(wù)器。LDAP服務(wù)器由應(yīng)用系統(tǒng)管理員進(jìn)行管理。

四 結(jié)束語(yǔ)

遠(yuǎn)程教育平臺(tái)的發(fā)展日新月異,新技術(shù)在遠(yuǎn)程教育中的應(yīng)用更是層出不窮,如何選擇最佳的技術(shù)和開(kāi)發(fā)方案,并遵循合理的開(kāi)發(fā)規(guī)范來(lái)設(shè)計(jì)現(xiàn)代遠(yuǎn)程教育平臺(tái),一直是業(yè)界研究的熱點(diǎn)。VPN具有較高的安全性,良好的擴(kuò)展性,靈活的控制策略,強(qiáng)大的管理功能等優(yōu)勢(shì),隨著技術(shù)的進(jìn)一步發(fā)展,VPN還能夠提供QoS服務(wù)質(zhì)量保證,支持各種多媒體業(yè)務(wù),因此,VPN在遠(yuǎn)程教育中將會(huì)得到更廣泛的應(yīng)用[9]。

――――――――

參考文獻(xiàn)

[1] 姜慶.MPLSVPN在現(xiàn)代遠(yuǎn)程教育中的應(yīng)用[J].軟件導(dǎo)刊(教育技術(shù)),2008,(7):62-64.

[2] 高海英等.VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社.2004.

[3] 肖曉梅.利用VPN實(shí)現(xiàn)高校校園網(wǎng)的遠(yuǎn)程訪問(wèn)[J].中國(guó)教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術(shù)在高校圖書(shū)館遠(yuǎn)程訪問(wèn)中的應(yīng)用[J].現(xiàn)代情報(bào),2008,(4):82-84.

[5] 劉衛(wèi)國(guó).VPN技術(shù)在高校圖書(shū)館的應(yīng)用[J].圖書(shū)館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術(shù)實(shí)現(xiàn)高校圖書(shū)館資源共享[J].情報(bào)科學(xué),2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網(wǎng)絡(luò)組建案例實(shí)錄[J].北京:科學(xué)出版社,2008.

篇(3)

【關(guān)鍵詞】隧道技術(shù)，應(yīng)用，研究

中圖分類號(hào)：U45文獻(xiàn)標(biāo)識(shí)碼： A

一、前言

由于網(wǎng)絡(luò)的發(fā)展和完善以及速度的不斷提高，越來(lái)越多的公司逐步進(jìn)行運(yùn)用隧道技能。大規(guī)模的組建VPN網(wǎng)絡(luò)已經(jīng)成為一種趨勢(shì)，這種技術(shù)越來(lái)越多地遭到用戶的廣泛重視。

二、VPN的隧道技術(shù)

VPN技術(shù)比較復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué)。具體來(lái)講，目前VPN主要采用下列四項(xiàng)技術(shù)來(lái)保證其安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道技術(shù)的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱為“隧道”。

三、隧道技術(shù)

1、第二層隧道協(xié)議

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。創(chuàng)建隧道的過(guò)程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F、PPTP、L2TP等。

（一）、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)

PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過(guò)IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù)，使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過(guò)隧道傳送。可以對(duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。

（二）、第2層轉(zhuǎn)發(fā)(L2F)

L2F是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒(méi)有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。

（三）、第2層隧道協(xié)議(L2TP)

L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L(zhǎng)2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí)，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

2、第三層隧道協(xié)議

IPSec是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全I(xiàn)P協(xié)議集，是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護(hù)的安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)是把安全機(jī)制引入IP協(xié)議，通過(guò)使用密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)等安全服務(wù)。IPSec通過(guò)在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制―認(rèn)證頭(AH)和封裝安全載荷(ESP)來(lái)支持IP數(shù)據(jù)報(bào)的認(rèn)證、完整性和機(jī)密性。IPSec協(xié)議族包括:IP安全架構(gòu)、認(rèn)證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個(gè)框架，是IP層安全的標(biāo)準(zhǔn)協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認(rèn)證和完整性驗(yàn)證的應(yīng)用方法。ESP為IP數(shù)據(jù)報(bào)文提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、抗重播和數(shù)據(jù)加密服務(wù)。IKE為AH和ESP提供密鑰交換機(jī)制，在實(shí)際進(jìn)行IP通信

時(shí)，可以根據(jù)實(shí)際安全需求，同時(shí)使用AH和ESP協(xié)議，或選擇使用其中的一種。

3、新興的隧道協(xié)議

SSL是Netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議。SSL被設(shè)計(jì)為使TCP提供一個(gè)可靠的端到端的安全服務(wù)，它不是一個(gè)單一的協(xié)議，而是由多個(gè)協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式，它位于可靠的傳輸協(xié)議TCP之上，用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合，壓縮和解壓縮，以及消息認(rèn)證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務(wù)器與客戶機(jī)在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認(rèn)證、協(xié)商加密算法和密鑰。通信雙方首先通過(guò)SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道，SSL記錄協(xié)議通過(guò)分段、壓縮、添加MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄，最后再進(jìn)行傳輸。

四、隧道技術(shù)的應(yīng)用模型

1、端到端安全應(yīng)用

IPSec存在于一個(gè)主機(jī)或終端系統(tǒng)時(shí)，每一個(gè)離開(kāi)和進(jìn)入的PI數(shù)據(jù)包都可得到安全保護(hù)。PI包的安全保護(hù)可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收。制定相應(yīng)的安全策略，一對(duì)獨(dú)立的SA可以保護(hù)兩個(gè)端點(diǎn)之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根據(jù)兩個(gè)端點(diǎn)之間通信的協(xié)議的不同(TCP和UDP)和端口的不同，分別用不同的SA保護(hù)兩個(gè)端點(diǎn)之間的不同的通信。在這種模式下，通信的端點(diǎn)同時(shí)也是PISec的端點(diǎn)。所以，端到端安全可以在傳送模式下，

利用PISec來(lái)完成；也可以在隧道模式下，利用額外IP頭的新增來(lái)提供端到端的安全保護(hù)。

2、虛擬專用網(wǎng)

IPSec存在于路山器等網(wǎng)絡(luò)互連設(shè)備時(shí)，司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”，因?yàn)樗皇且粋€(gè)物理的、明顯存在的網(wǎng)絡(luò)。兩個(gè)不同的物理網(wǎng)絡(luò)通過(guò)一條穿越公共網(wǎng)絡(luò)的安全隧道連接起來(lái)，形成一個(gè)新的網(wǎng)絡(luò)VPN。VPN是“專川的”，因?yàn)楸患用艿乃淼揽梢蕴峁?shù)據(jù)的機(jī)密性。而今，人們從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到利用公共網(wǎng)絡(luò)的網(wǎng)絡(luò)，逐漸意識(shí)到節(jié)省費(fèi)用的VPN重耍性。通過(guò)在路山器上配置PISec，就可以構(gòu)建一個(gè)VPN。在路山器的一端，連接著一個(gè)受保護(hù)的私有網(wǎng)絡(luò)，對(duì)這個(gè)網(wǎng)絡(luò)的訪問(wèn)要受到嚴(yán)格的擰制。在另一端連技的是一個(gè)不安全的網(wǎng)絡(luò)帳Internet。在兩個(gè)路山器之間的公共網(wǎng)絡(luò)上建立一條安全隧道，通信就可以從一個(gè)受保護(hù)的本地子網(wǎng)安全地傳送到另一個(gè)受保護(hù)的遠(yuǎn)程子網(wǎng)。這就是VPN，在VPN中，母一個(gè)具有IPSec的路由器都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn)。在兩個(gè)PISec的路山器之間通常使用隧道模式，可以采用多種安全策略，建立一對(duì)或多對(duì)SA，試圖對(duì)VPN進(jìn)布J屯通信分析將是非常困難的。如果在一個(gè)本地私有網(wǎng)絡(luò)中的數(shù)據(jù)包的目的地是VPN的遠(yuǎn)程網(wǎng)絡(luò)―它是從一個(gè)路由器發(fā)送到另一個(gè)路山器的、加密的數(shù)據(jù)包。

3、移動(dòng)IP

在端到端安IP全中，數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個(gè)主機(jī)進(jìn)行加密和解密.在VPN中，

網(wǎng)絡(luò)中的一個(gè)路由器對(duì)一個(gè)受安全保護(hù)的網(wǎng)絡(luò)中的主機(jī)(或多個(gè))的數(shù)據(jù)包進(jìn)行加密和解密。這兩個(gè)組合一般稱為移動(dòng)IP。移動(dòng)IP一般是獨(dú)立的，它要求計(jì)問(wèn)受安全保護(hù)的網(wǎng)絡(luò)，它是一個(gè)移動(dòng)的客戶，不停留在某個(gè)固定的地方。他必須通過(guò)旅店、或任何一個(gè)可以進(jìn)行internetPOP的地方，安全地訪問(wèn)公司資源。在移動(dòng)IP的方案中，移動(dòng)主機(jī)和路由器都支持PISec，它們之間可以建立一條安個(gè)隧道。它們能夠在外出數(shù)據(jù)包抵達(dá)通信線路之前對(duì)它進(jìn)行安全保護(hù):能夠在對(duì)進(jìn)入包進(jìn)行IP處理之前，驗(yàn)證它們的安全保護(hù)。具有PISec的路山器保護(hù)的是移動(dòng)主機(jī)想要訪問(wèn)的那個(gè)網(wǎng)絡(luò)，它也可以是支持V戶N的路山器，允許其它的移動(dòng)主機(jī)進(jìn)行安全的遠(yuǎn)程訪問(wèn)。在這種方案中，一方是移動(dòng)主機(jī)，它既是通信方。另一方將PISec當(dāng)作一項(xiàng)服務(wù)提供給另一個(gè)網(wǎng)絡(luò)實(shí)體。

4、嵌套式隧道

有時(shí)，需要支持多級(jí)網(wǎng)絡(luò)安全保護(hù)。比如下面一個(gè)例子:一個(gè)企業(yè)有一個(gè)安全網(wǎng)關(guān)，以防止其網(wǎng)絡(luò)受到競(jìng)爭(zhēng)者或黑客的侵犯和攻擊，而企業(yè)內(nèi)部另有一個(gè)安全網(wǎng)關(guān)，防止某些內(nèi)部員工進(jìn)入敏感的子網(wǎng)。比如銀行系統(tǒng)的企業(yè)網(wǎng)。這種情況下，如果某人希望對(duì)網(wǎng)絡(luò)內(nèi)部的保護(hù)子網(wǎng)進(jìn)行訪問(wèn)，就必須使用嵌套式隧道。

5、鏈?zhǔn)剿淼?/p>

一種常見(jiàn)的網(wǎng)絡(luò)安全配置是Hub-and-spoke。從一個(gè)網(wǎng)絡(luò)橫過(guò)Hub-and-spoke網(wǎng)絡(luò)，到達(dá)另一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包都由一個(gè)安全網(wǎng)關(guān)加密，由中心路由器解密，再加密，并由保護(hù)遠(yuǎn)程網(wǎng)絡(luò)的另一個(gè)安全網(wǎng)關(guān)解密。

6、隧道交換模型

如果從交換的角度來(lái)看，它也可以稱為隧道交換模型。在中心路由器所連接的四個(gè)網(wǎng)絡(luò)可以是不同類型的網(wǎng)絡(luò)，隧道的實(shí)現(xiàn)方式也可以不同，但是，不同網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)在進(jìn)行數(shù)據(jù)傳輸時(shí)，并不關(guān)心隧道的實(shí)現(xiàn)媒體，隧道可以接力的方式進(jìn)行數(shù)據(jù)的傳遞。從安全的角度，假設(shè)每一個(gè)隧道是安全的，且中心路由器也是安全的，那么任何兩個(gè)節(jié)點(diǎn)之間的通信也應(yīng)該是安全的。假設(shè)隧道間彼此不能信任，那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道，再使用前面所論述的隧道模型實(shí)現(xiàn)安全保護(hù)，如點(diǎn)到點(diǎn)的隧道安全模式。

五、結(jié)束語(yǔ)

由于Internet基礎(chǔ)設(shè)施的完善，隧道技能必將將在網(wǎng)建等各范疇，發(fā)揮著越來(lái)越重要的效果。實(shí)現(xiàn)隧道技能的多種多樣，它們各有各的優(yōu)勢(shì)，如今，市場(chǎng)上大多數(shù)都在使用VPN這類技能。

參考文獻(xiàn)

[1]毛小兵，VPN演進(jìn)之隧道交換.《計(jì)算機(jī)世界》2000

[2]沈鑫剡.IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn)[M].北京:人民郵電出版社，2003.

篇(4)

本文結(jié)合工作實(shí)際的維護(hù)工作介紹防火墻技術(shù)的部分應(yīng)用，對(duì)如何保護(hù)各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護(hù)信息安全成為了本文探討的重點(diǎn)。

關(guān)鍵詞：bss網(wǎng)、mss網(wǎng)、防火墻

正文

1、 防火墻 簡(jiǎn)介

通過(guò)防火墻的運(yùn)用，將那些危險(xiǎn)的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。。

1.1防火墻功能

防火墻的基本功能是對(duì)網(wǎng)絡(luò)通信進(jìn)行篩選屏蔽以防止未授權(quán)的訪問(wèn)進(jìn)出計(jì)算

機(jī)網(wǎng)絡(luò)，簡(jiǎn)單的概括就是，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制。

防火墻是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使不同網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。

1.2防火墻基本原理

防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(如Internet)分開(kāi)的方法，實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)

2、 防火墻種類

從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過(guò)濾

型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。

2.1網(wǎng)絡(luò)級(jí)防火墻

一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷。

2.2應(yīng)用級(jí)網(wǎng)關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。

2.3電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話（Session）是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高二層。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：服務(wù)器（Proxy Server）。

2.4規(guī)則檢查防火墻

該防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。

3、防火墻實(shí)際應(yīng)用

在實(shí)際工作中，按照承載業(yè)務(wù)的不同，某運(yùn)營(yíng)商的網(wǎng)絡(luò)大致可以分為兩類。

一是BSS網(wǎng)絡(luò)，用于承載運(yùn)營(yíng)商的計(jì)費(fèi)業(yè)務(wù)；二是MSS網(wǎng)絡(luò)，用于滿足日常辦公的需要；

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

3.2網(wǎng)絡(luò)說(shuō)明

如圖3-1所示，BSS網(wǎng)絡(luò)承載主用IP承載網(wǎng)，一條ATM可以承載辦公網(wǎng)，N*2M電路作為MSS網(wǎng)絡(luò)備用電路，達(dá)到了熱備和擴(kuò)容的目的。而且出口的擁塞不會(huì)影響MSS網(wǎng)絡(luò)的使用，保證日常辦公正常。

3.3安全域的劃分

安全域的劃分根據(jù)設(shè)備的用途、存儲(chǔ)數(shù)據(jù)的重要性等因素，分為五個(gè)層級(jí)。從0-4安全等級(jí)依次遞減。劃分設(shè)備安全等級(jí)的原則包括以下幾個(gè)要點(diǎn)：

存儲(chǔ)私密數(shù)據(jù)，除系統(tǒng)工程師外不允許其他人隨意訪問(wèn)的設(shè)備安全等級(jí)最高；

需要存取數(shù)據(jù)，又要提供對(duì)外接口的設(shè)備，安全等級(jí)次之；

有互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)安全等級(jí)更低，如：辦公網(wǎng)設(shè)備；

公網(wǎng)或VPN接入的設(shè)備可信度最低，所以安全等級(jí)最低。

3.4核心安全區(qū)域劃分

3.4.1 核心安全網(wǎng)絡(luò)圖3-3

3.4.2

如圖3-3所示，以兩對(duì)防火墻作為分割線。PIX525以內(nèi)的主機(jī)屬于第0級(jí)；PIX525和NetScreen 500F之間的主機(jī)屬于第1級(jí)；NetScreen 500F以外BSS網(wǎng)絡(luò)設(shè)備，沒(méi)有互聯(lián)網(wǎng)出口，屬于第2級(jí)；辦公網(wǎng)設(shè)備屬于第3級(jí)；通過(guò)互聯(lián)網(wǎng)由VPN接入的設(shè)備等級(jí)最低，統(tǒng)一歸屬于第4安全等級(jí)。

以兩對(duì)防火墻作為分割線。PIX525以內(nèi)的主機(jī)屬于第0級(jí)；PIX525和NetScreen 500F之間的主機(jī)屬于第1級(jí)；NetScreen 500F以外BSS網(wǎng)絡(luò)設(shè)備，沒(méi)有互聯(lián)網(wǎng)出口，屬于第2級(jí)；辦公網(wǎng)設(shè)備屬于第3級(jí)；通過(guò)互聯(lián)網(wǎng)由VPN接入的設(shè)備等級(jí)最低，統(tǒng)一歸屬于第4安全等級(jí)。

3.5地市網(wǎng)絡(luò)安全域的劃分

地市網(wǎng)絡(luò)可以分為兩級(jí)，純生產(chǎn)終端劃入高安全區(qū)域，辦公終端劃入低安全區(qū)域，中間增加安全隔離設(shè)備。注意到這里BSS網(wǎng)絡(luò)和MSS網(wǎng)絡(luò)的概念已經(jīng)被淡化了，我們只是根據(jù)重要程度的不同把所有設(shè)備置入了不同的安全區(qū)域里，再根據(jù)業(yè)務(wù)需要定制訪問(wèn)控制列表。

3.6訪問(wèn)控制列表

參照?qǐng)D3-3所示，我們把最重要的設(shè)備至于0級(jí)，并為其分配獨(dú)立的IP地址空間。在安全設(shè)備上啟用NAT功能（地址映射），對(duì)1-4級(jí)設(shè)備隱藏其真實(shí)地址，即0級(jí)設(shè)備從表象上看是不存在的。并制訂嚴(yán)格的訪問(wèn)策略，僅允許指定主機(jī)訪問(wèn)特定主機(jī)的特定協(xié)議端口。默認(rèn)拒絕一切網(wǎng)絡(luò)連接請(qǐng)求。

1級(jí)設(shè)備的訪問(wèn)控制列表是雙向的，對(duì)內(nèi)允許特定服務(wù)器對(duì)特定主機(jī)數(shù)據(jù)庫(kù)端口的訪問(wèn)；對(duì)外允許特定的客戶群訪問(wèn)特定的協(xié)議端口。

2級(jí)設(shè)備是指重要性較低的生產(chǎn)設(shè)備。此級(jí)設(shè)備可根據(jù)業(yè)務(wù)需求設(shè)定訪問(wèn)控制策略。

3-4級(jí)就是辦公終端了，因?yàn)槠淠芘c互聯(lián)網(wǎng)互通，或者通過(guò)互聯(lián)網(wǎng)接入，所以較易感染病毒或受到攻擊。一般僅開(kāi)放最小的系統(tǒng)訪問(wèn)權(quán)限，給預(yù)最為嚴(yán)格的認(rèn)證，和路由控制。

為了更好的保護(hù)0-1級(jí)設(shè)備，我們?cè)诮涌谔幵O(shè)置了入侵檢測(cè)系統(tǒng)，并對(duì)進(jìn)入0-1級(jí)區(qū)域的操作進(jìn)行了審計(jì)。審計(jì)系統(tǒng)還可以關(guān)聯(lián)系統(tǒng)帳戶和訪問(wèn)進(jìn)程，限制合法的用戶只能通過(guò)合法的程序操作授權(quán)范圍內(nèi)的數(shù)據(jù)。

4、.部分配置

4.1限制客戶端物理位置和設(shè)備的功能（即要求軟件、硬件VPN產(chǎn)品在使用過(guò)程中只能是公司指定的地點(diǎn)、機(jī)器和人員）通過(guò)訪問(wèn)控制列表來(lái)實(shí)現(xiàn)。

又比如通過(guò)MAC訪問(wèn)列表，限制只有特定物理地址的主機(jī)才能接入：

4.2控制訪問(wèn)時(shí)間的功能（包括按小時(shí)、按天的控制）

篇(5)

論文摘要：文章主要針對(duì)在電子商務(wù)應(yīng)用中所經(jīng)常使用到的幾種信息安全技術(shù)作了系統(tǒng)的闡述，分析了各種技術(shù)在應(yīng)用中的側(cè)重點(diǎn)，強(qiáng)調(diào)了在電子商務(wù)應(yīng)用中信息安全技術(shù)所具有的重要作用。

21世紀(jì)是知識(shí)經(jīng)濟(jì)時(shí)代，網(wǎng)絡(luò)化、信息化是現(xiàn)代社會(huì)的一個(gè)重要特征。隨著網(wǎng)絡(luò)的不斷普及，電子商務(wù)這種商務(wù)活動(dòng)新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)、工作和生活方式，可是，電子商務(wù)的安全問(wèn)題依然是制約人們進(jìn)行電子商務(wù)交易的最大問(wèn)題，因此，安全問(wèn)題是電子商務(wù)的核心問(wèn)題，是實(shí)現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。

信息安全技術(shù)在電子商務(wù)應(yīng)用中，最主要的是防止信息的完整性、保密性與可用性遭到破壞；主要使用到的有密碼技術(shù)、信息認(rèn)證和訪問(wèn)控制技術(shù)、防火墻技術(shù)等。

1密碼技術(shù)

密碼是信息安全的基礎(chǔ)，現(xiàn)代密碼學(xué)不僅用于解決信息的保密性，而且也用于解決信息的保密性、完整性和不可抵賴性等，密碼技術(shù)是保護(hù)信息傳輸?shù)淖钣行У氖侄巍Ｃ艽a技術(shù)分類有多種標(biāo)準(zhǔn)，若以密鑰為分類標(biāo)準(zhǔn)，可將密碼系統(tǒng)分為對(duì)稱密碼體制(私鑰密碼體制)和非對(duì)稱密碼體制(公鑰密碼體制)，他們的區(qū)別在于密鑰的類型不同。

在對(duì)稱密碼體制下，加密密鑰與解密密鑰是相同的密鑰在傳輸過(guò)程中需經(jīng)過(guò)安全的密鑰通道，由發(fā)送方傳輸?shù)浇邮辗健１容^著名的對(duì)稱密鑰系統(tǒng)有美國(guó)的DES，歐洲的IDEA，Et本的RC4，RC5等。在非對(duì)稱密碼體制下加密密鑰與解密密鑰不同，加密密鑰公開(kāi)而解密密鑰保密，并且?guī)缀醪豢赡苡杉用苊荑€導(dǎo)出解密密鑰，也無(wú)須安全信道傳輸密鑰，只需利用本地密鑰的發(fā)生器產(chǎn)生解密密鑰。比較著名的公鑰密鑰系統(tǒng)有RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC等。

數(shù)字簽名是一項(xiàng)專門的技術(shù)，也是實(shí)現(xiàn)電子交易安全的核心技術(shù)之一，在實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務(wù)等領(lǐng)域有重要的應(yīng)用價(jià)值。數(shù)字簽名的實(shí)現(xiàn)基礎(chǔ)是加密技術(shù)，它使用的是公鑰加密算法與散列函數(shù)一個(gè)數(shù)字簽名的方案一般有兩部分組成：數(shù)字簽名算法和驗(yàn)證算法。數(shù)字簽名主要的功能是保證信息傳輸?shù)耐暾浴l(fā)送者身份的驗(yàn)證、防止交易中抵賴的發(fā)生。

2信息認(rèn)證和訪問(wèn)控制技術(shù)

信息認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個(gè)重要方面，用于保證通信雙方的不可抵賴性和信息的完整性。在網(wǎng)絡(luò)銀行、電子商務(wù)應(yīng)用中，交易雙方應(yīng)當(dāng)能夠確認(rèn)是對(duì)方發(fā)送或接收了這些信息，同時(shí)接收方還能確認(rèn)接收的信息是完整的，即在通信過(guò)程中沒(méi)有被修改或替換。

①基于私鑰密碼體制的認(rèn)證。假設(shè)通信雙方為A和B。A，B共享的密鑰為KAB，M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽(tīng)，A將M加密后再傳送，如圖1所示

由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發(fā)出的，這種方法可以對(duì)信息來(lái)源進(jìn)行認(rèn)證，它在認(rèn)證的同時(shí)對(duì)信息M也進(jìn)行了加密，但是缺點(diǎn)是不能提供信息完整性的鑒別。通過(guò)引入單向HASH函數(shù)，可以解決信息完整性的鑒別問(wèn)題，如圖2所示

在圖2中，用戶A首先對(duì)信息M求HASH值H(M)，之后將H(M)加密成為m，然后將m。和M一起發(fā)送給B，用戶B通過(guò)解密ml并對(duì)附于信息M之后的HASH值進(jìn)行比較，比較兩者是否一致。圖2給出的信息認(rèn)證方案可以實(shí)現(xiàn)信息來(lái)源和完整性的認(rèn)證。基于私鑰的信息認(rèn)證的機(jī)制的優(yōu)點(diǎn)是速度較快，缺點(diǎn)是通信雙方A和B需要事先約定共享密鑰KAB。

②基于公鑰體制的信息認(rèn)證。基于公鑰體制的信息認(rèn)證技術(shù)主要利用數(shù)字簽名和哈希函數(shù)來(lái)實(shí)現(xiàn)。假設(shè)用戶A對(duì)信息M的HASH值H(M)的簽名為SA(dA，H(m)，其中dA為用戶A的私鑰)，用戶A將M／／SA發(fā)送給用戶B，用戶B通過(guò)A的公鑰在確認(rèn)信息是否由A發(fā)出，并通過(guò)計(jì)算HSAH值來(lái)對(duì)信息M進(jìn)行完整性鑒別。如果傳輸?shù)男畔⑿枰獔?bào)名，則用戶A和B可通過(guò)密鑰分配中心獲得一個(gè)共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖3所示。由圖3可知，只有用戶A和B擁有共享密鑰KAB，B才能確信信息來(lái)源的可靠性和完整性。

訪問(wèn)控制是通過(guò)一個(gè)參考監(jiān)視器來(lái)進(jìn)行的，當(dāng)用戶

對(duì)系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問(wèn)時(shí)，參考監(jiān)視器邊查看授權(quán)數(shù)據(jù)庫(kù)，以確定準(zhǔn)備進(jìn)行操作的用戶是否確實(shí)得到了可進(jìn)行此項(xiàng)操作的許可。而數(shù)據(jù)庫(kù)的授權(quán)則是一個(gè)安全管理器負(fù)責(zé)管理和維護(hù)的，管理器以阻止的安全策略為基準(zhǔn)來(lái)設(shè)置這些授權(quán)。

③防火墻技術(shù)。防火墻是目前用得最廣泛的一種安全技術(shù)，是一種由計(jì)算機(jī)硬件和軟件的組合。它使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，可以過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為、對(duì)某些禁止的訪問(wèn)行為、記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)及對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警等。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，它限制外部對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)，也限制內(nèi)部對(duì)外部的非授權(quán)訪問(wèn)，同時(shí)還限制內(nèi)部系統(tǒng)之間，特別是安全級(jí)別低的系統(tǒng)對(duì)安全級(jí)別高的系統(tǒng)的非授權(quán)訪問(wèn)，為電子商務(wù)的施展提供一個(gè)相對(duì)更安全的平臺(tái)，具體表現(xiàn)如下：

①防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻身上。

②對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

③防止內(nèi)部信息的外泄。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。

防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

④網(wǎng)絡(luò)安全協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了加密技術(shù)、認(rèn)證技術(shù)等保證信息安全交換的安全網(wǎng)絡(luò)協(xié)議。目前，Intemet上對(duì)七層網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的加密協(xié)議，在所有的這些協(xié)議中，會(huì)話層的SSL和應(yīng)用層的SET與電子商務(wù)的應(yīng)用關(guān)系最為密切。

①ssL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議。SSL使用對(duì)稱加密來(lái)保證通信保密性，使用消息認(rèn)證碼(MAC)來(lái)保證數(shù)據(jù)完整性。SSL主要使用PKI在建立連接時(shí)對(duì)通信雙方進(jìn)行身份認(rèn)證。SSL協(xié)議主要是使用公開(kāi)密鑰體制和X．509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。它主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸，提供基于客戶／服務(wù)器模式的安全標(biāo)準(zhǔn)，它在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，在建立連接過(guò)程中采用公開(kāi)密鑰，在會(huì)話過(guò)程中使用私人密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過(guò)程中判斷決定。

SSL安全協(xié)議是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購(gòu)活動(dòng)中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務(wù)的開(kāi)始階段，商家也是擔(dān)心客戶購(gòu)買后不付款，或使用過(guò)期的信用卡，因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。所以，它運(yùn)行的基點(diǎn)是商家對(duì)客戶信息保密的承諾。顯然，SSL協(xié)議無(wú)法完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

②SET協(xié)議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協(xié)議的缺點(diǎn)，實(shí)現(xiàn)更加完善的即時(shí)電子支付，SET協(xié)議應(yīng)運(yùn)而生。

篇(6)

1 移動(dòng)互聯(lián)網(wǎng)的安全現(xiàn)狀

自由開(kāi)放的移動(dòng)網(wǎng)絡(luò)帶來(lái)巨大信息量的同時(shí)，也給運(yùn)營(yíng)商帶來(lái)了業(yè)務(wù)運(yùn)營(yíng)成本的增加，給信息的監(jiān)管帶來(lái)了沉重的壓力。同時(shí)使用戶面臨著經(jīng)濟(jì)損失、隱私泄露的威脅和通信方面的障礙。移動(dòng)互聯(lián)網(wǎng)由于智能終端的多樣性，用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時(shí)代很不相同，使得移動(dòng)網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別，移動(dòng)互聯(lián)網(wǎng)的安全威脅要遠(yuǎn)甚于傳統(tǒng)的互聯(lián)網(wǎng)。

⑴移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣，部分業(yè)務(wù)還可以由第三方的終端用戶直接運(yùn)營(yíng)，特別是移動(dòng)互聯(lián)網(wǎng)引入了眾多手機(jī)銀行、移動(dòng)辦公、移動(dòng)定位和視頻監(jiān)控等業(yè)務(wù)，雖然豐富了手機(jī)應(yīng)用，同時(shí)也帶來(lái)更多安全隱患。應(yīng)用威脅包括非法訪問(wèn)系統(tǒng)、非法訪問(wèn)數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個(gè)人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問(wèn)題。

⑵移動(dòng)互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò)，其核心是IP化，由于IP網(wǎng)絡(luò)本身存在安全漏洞，IP自身帶來(lái)的安全威脅也滲透到了移動(dòng)專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面，存在進(jìn)行非法接入網(wǎng)絡(luò)，對(duì)數(shù)據(jù)進(jìn)行機(jī)密性破壞、完整性破壞；進(jìn)行拒絕服務(wù)攻擊，利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負(fù)荷過(guò)重等等，還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進(jìn)行攻擊。

⑶隨著通信技術(shù)的進(jìn)步，終端也越來(lái)越智能化，內(nèi)存和芯片處理能力也逐漸增強(qiáng)，終端上也出現(xiàn)了操作系統(tǒng)并逐步開(kāi)放。隨著智能終端的出現(xiàn)，也給我們帶來(lái)了潛在的威脅：非法篡改信息，非法訪問(wèn)，或者通過(guò)操作系統(tǒng)修改終端中存在的信息，產(chǎn)生病毒和惡意代碼進(jìn)行破壞。

綜上所述，移動(dòng)互聯(lián)網(wǎng)面臨來(lái)自三部分安全威脅：業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動(dòng)終端的安全威脅。

2 移動(dòng)互聯(lián)網(wǎng)安全應(yīng)對(duì)策略

2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》第11號(hào)政府令，對(duì)網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求。客戶需求和政策導(dǎo)向成為了移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題的新挑戰(zhàn)，運(yùn)營(yíng)商需要緊緊圍繞“業(yè)務(wù)”中心，全方位多層次地部署安全策略，并有針對(duì)性地進(jìn)行安全加固，才能打造出綠色、安全、和諧的移動(dòng)互聯(lián)網(wǎng)世界。

2.1 業(yè)務(wù)安全

移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類：第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動(dòng)互聯(lián)網(wǎng)上的復(fù)制；第二類是移動(dòng)通信業(yè)務(wù)在移動(dòng)互聯(lián)網(wǎng)上的移植，第三類是移動(dòng)通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合，適配移動(dòng)互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全：

⑴提升認(rèn)證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實(shí)現(xiàn)對(duì)業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配，能夠?qū)崿F(xiàn)用戶賬號(hào)的分級(jí)管理和分級(jí)授權(quán)。針對(duì)業(yè)務(wù)安全要求較高的應(yīng)用，應(yīng)提供業(yè)務(wù)層的安全認(rèn)證方式，如雙因素身份認(rèn)證，通過(guò)動(dòng)態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級(jí)，防止機(jī)密數(shù)據(jù)、核心資源被非法訪問(wèn)。

⑵健全安全審計(jì)能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計(jì)模塊，對(duì)相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫(kù)操作等處理行為進(jìn)行分析和記錄，實(shí)施安全設(shè)計(jì)策略，并提供事后行為回放和多種審計(jì)統(tǒng)計(jì)報(bào)表。

⑶加強(qiáng)漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng)，定期對(duì)主機(jī)、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進(jìn)行漏洞掃描和安全評(píng)估，確保攔截來(lái)自各方的攻擊，保證業(yè)務(wù)系統(tǒng)可靠運(yùn)行。

⑷增強(qiáng)對(duì)于新業(yè)務(wù)的檢查和控制，尤其是針對(duì)于“移動(dòng)商店”這種運(yùn)營(yíng)模式，應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步，通過(guò)SDK和業(yè)務(wù)上線要求等將安全因素植入。

2.2 網(wǎng)絡(luò)安全

移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分：接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動(dòng)通信網(wǎng)，由終端設(shè)備、基站、移動(dòng)通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成；后者主要涉及路由器、交換機(jī)和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。

⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動(dòng)互聯(lián)網(wǎng)的接入方式可分為移動(dòng)通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對(duì)移動(dòng)通信接入網(wǎng)安全，3G以及未來(lái)LTE技術(shù)的安全保護(hù)機(jī)制有比較全面的考慮，3G網(wǎng)絡(luò)的無(wú)線空口接入采用雙向認(rèn)證鑒權(quán)，無(wú)線空口采用加強(qiáng)型加密機(jī)制，增加抵抗惡意攻擊的安全特性等機(jī)制，大大增強(qiáng)了移動(dòng)互聯(lián)網(wǎng)的接入安全能力。針對(duì)Wi-Fi接入安全，Wi-Fi的標(biāo)準(zhǔn)化組織IEEE使用安全機(jī)制更完善的802.11i標(biāo)準(zhǔn)，用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net代了原來(lái)的RC4，提高了加密魯棒性，彌補(bǔ)了原有用戶認(rèn)證協(xié)議的安全缺陷。針對(duì)需重點(diǎn)防護(hù)的用戶，可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò)，實(shí)現(xiàn)內(nèi)網(wǎng)的安全接入。

⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1）實(shí)施分域安全管理，根據(jù)風(fēng)險(xiǎn)級(jí)別和業(yè)務(wù)差異劃分安全域，在不同的安全邊界，通過(guò)實(shí)施和部署不同的安全策略和安防系統(tǒng)來(lái)完成相應(yīng)的安全加固。移動(dòng)互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2）在關(guān)鍵安全域內(nèi)部署人侵檢測(cè)和防御系統(tǒng)，監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作，判別非法進(jìn)入網(wǎng)絡(luò)和破壞系統(tǒng)運(yùn)行的惡意行為，提供主動(dòng)化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問(wèn)等惡意操作時(shí)，系統(tǒng)會(huì)及時(shí)作出響應(yīng)，包括斷開(kāi)網(wǎng)絡(luò)連接、記錄用戶標(biāo)識(shí)和報(bào)警等。3）通過(guò)協(xié)議識(shí)別，做好流量監(jiān)測(cè)。依據(jù)控制策略控制流量，進(jìn)行深度檢測(cè)識(shí)別配合連接模式識(shí)別，把客戶流量信息捆綁在安全防護(hù)系統(tǒng)上，進(jìn)行數(shù)據(jù)篩選過(guò)濾之后把沒(méi)有病毒的信息再傳輸給用戶。攔截各種威脅流量，可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4）加強(qiáng)網(wǎng)絡(luò)和設(shè)備管理，在各網(wǎng)絡(luò)節(jié)點(diǎn)安裝防火墻和殺毒系統(tǒng)實(shí)現(xiàn)更嚴(yán)格的訪問(wèn)控制，以防止非法侵人，針對(duì)關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護(hù)等加固措施。

2.3 終端安全

移動(dòng)互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護(hù)手段、移動(dòng)終端的保密管理、終端的準(zhǔn)入控制等。

⑴加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理。移動(dòng)通信終端生產(chǎn)企業(yè)在申請(qǐng)入網(wǎng)許可時(shí)，要對(duì)預(yù)裝應(yīng)用軟件及提供者 進(jìn)行說(shuō)明，而且生產(chǎn)企業(yè)不得在移動(dòng)終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個(gè)人信息的軟件，也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動(dòng)終端通信功能、造成流量耗費(fèi)、費(fèi)用損失和信息泄露的軟件。

⑵不斷提高移動(dòng)互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測(cè)處置能力，建設(shè)完善相關(guān)技術(shù)平臺(tái)。移動(dòng)通信運(yùn)營(yíng)企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測(cè)處置能力。

⑶安裝安全客戶端軟件，屏蔽垃圾短信和騷擾電話，監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能，將重要數(shù)據(jù)備份到遠(yuǎn)程專用服務(wù)器，當(dāng)用戶的手機(jī)丟失時(shí)可通過(guò)發(fā)送短信或其他手段遠(yuǎn)程鎖定手機(jī)或者遠(yuǎn)程刪除通信錄、手機(jī)內(nèi)存卡文件等資料，從而最大限度避免手機(jī)用戶的隱私泄露。

⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法，由指定研究機(jī)構(gòu)跟蹤國(guó)內(nèi)外的智能終端操作系統(tǒng)漏洞信息，定期官方的智能終端漏洞信息，建設(shè)官方智能終端漏洞庫(kù)。向用戶宣傳智能終端安全相關(guān)知識(shí)，鼓勵(lì)安裝移動(dòng)智能終端安全軟件，在終端廠商的指導(dǎo)下及時(shí)升級(jí)操作系統(tǒng)、進(jìn)行安全配置。

3 從產(chǎn)業(yè)鏈角度保障移動(dòng)互聯(lián)網(wǎng)安全

對(duì)于移動(dòng)互聯(lián)網(wǎng)的安全保障，需要從整體產(chǎn)業(yè)鏈的角度來(lái)看待，需要立法機(jī)關(guān)、政府相關(guān)監(jiān)管部門、通信運(yùn)營(yíng)商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價(jià)值鏈各方共同努力來(lái)實(shí)現(xiàn)。

⑴立法機(jī)關(guān)要緊跟移動(dòng)互聯(lián)網(wǎng)的發(fā)展趨勢(shì)，加快立法調(diào)研工作，在基于實(shí)踐和借鑒他國(guó)優(yōu)秀經(jīng)驗(yàn)的基礎(chǔ)上，盡快出臺(tái)國(guó)家層面的移動(dòng)互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動(dòng)互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù)，明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時(shí)，要加大執(zhí)法力度，嚴(yán)專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net厲打擊移動(dòng)互聯(lián)網(wǎng)信息安全違法犯罪行為，保護(hù)這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。

⑵進(jìn)一步加大移動(dòng)互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國(guó)家層面建立一個(gè)強(qiáng)有力的移動(dòng)互聯(lián)網(wǎng)監(jiān)管專門機(jī)構(gòu)，統(tǒng)籌規(guī)劃，綜合治理，形成“事前綜合防范、事中有效監(jiān)測(cè)、事后及時(shí)溯源”的綜合監(jiān)管和應(yīng)急處置工作體系；要在國(guó)家層面建立移動(dòng)互聯(lián)網(wǎng)安全認(rèn)證和準(zhǔn)入制度，形成常態(tài)化的信息安全評(píng)估機(jī)制，進(jìn)行統(tǒng)一規(guī)范的信息安全評(píng)估、審核和認(rèn)證；要建立網(wǎng)絡(luò)運(yùn)營(yíng)商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度，以經(jīng)濟(jì)手段促進(jìn)其改善和彌補(bǔ)網(wǎng)絡(luò)運(yùn)營(yíng)模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。

⑶運(yùn)營(yíng)商、網(wǎng)絡(luò)安全供應(yīng)商、手機(jī)制造商等廠商，要從移動(dòng)互聯(lián)網(wǎng)整體建設(shè)的各個(gè)層面出發(fā)，分析存在的各種安全風(fēng)險(xiǎn)，聯(lián)合建立一個(gè)科學(xué)的、全局的、可擴(kuò)展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護(hù)措施，保護(hù)各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全，并對(duì)安全產(chǎn)品進(jìn)行統(tǒng)一的管理，包括配置各相關(guān)安全產(chǎn)品的安全策略、維護(hù)相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng)，做到防患于未然。移動(dòng)互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強(qiáng)設(shè)備安全性能研究，利用集成防火墻或其他技術(shù)保障設(shè)備安全。

⑷內(nèi)容提供商要與運(yùn)營(yíng)商合作，為用戶提供加密級(jí)業(yè)務(wù)，并把好內(nèi)容安全之源，采用多種技術(shù)對(duì)不合法內(nèi)容和垃圾信息進(jìn)行過(guò)濾。軟件提供商要根據(jù)用戶的需求變化，提供整合的安全技術(shù)產(chǎn)品，要提高軟件技術(shù)研發(fā)水平，由單一功能的產(chǎn)品防護(hù)向集中統(tǒng)一管理的產(chǎn)品類型過(guò)渡，不斷提高安全防御技術(shù)。

⑸普通用戶要提高安全防范意識(shí)和技能，加裝手機(jī)防護(hù)軟件并定期更新，對(duì)敏感數(shù)據(jù)采取防護(hù)隔離措施和相關(guān)備份策略，不訪問(wèn)問(wèn)題站點(diǎn)、不下載不健康內(nèi)容。

4 結(jié)束語(yǔ)

解決移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題是一個(gè)復(fù)雜的系統(tǒng)工程，在不斷提高軟、硬件技術(shù)水平的同時(shí)，應(yīng)當(dāng)加快互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)、法規(guī)建設(shè)步伐，加大對(duì)互聯(lián)網(wǎng)運(yùn)營(yíng)監(jiān)管力度，全社會(huì)共同參與進(jìn)行綜合防范，移動(dòng)互聯(lián)網(wǎng)的安全才會(huì)有所保障。

[參考文獻(xiàn)]

篇(7)

關(guān)鍵詞：網(wǎng)絡(luò)；安全；技術(shù)；機(jī)制

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 19-0000-01

Analysis of Computer Network Security Technology and Mechanisms

Zhou Wanhong

(Panzhihua Iron and Steel Group,Panzhihua Steel and Vanadium Co.,Ltd.Department of Transportation,Panzhihua617000,China)

Abstract:With the development of computer networks,more in-depth computer applications,computer systems and network security issues become increasingly prominent and complex,this paper describes the current computer network security threats facing some of the key,and the current major network security technology to take some of the and mechanisms.

Keywords:Metwork;Security;Technology;Mechanism

一、網(wǎng)絡(luò)安全概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，尤其是Internet的廣泛應(yīng)用，使得計(jì)算機(jī)的應(yīng)用更加廣泛深入，同時(shí)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全問(wèn)題日益突出和復(fù)雜。一方面，網(wǎng)絡(luò)系統(tǒng)提供了資源的共享性；另一方面，也正因?yàn)檫@些特點(diǎn)，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性和網(wǎng)絡(luò)安全的復(fù)雜性，資源共享增加了網(wǎng)絡(luò)受威脅和攻擊的可能性。隨著資源共享的加強(qiáng)，網(wǎng)絡(luò)安全問(wèn)題日益突出。

影響網(wǎng)絡(luò)安全的因素很多，這些因素可宏觀地分為人為因素和自然因素，重點(diǎn)是人為因素。主要的網(wǎng)絡(luò)安全威脅有以下幾種：（1）自然災(zāi)害、意外事故；（2）計(jì)算機(jī)犯罪；（3）人為失誤，如使用不當(dāng)，安全意識(shí)差等；（4）“黑客”行為，由于黑客的入侵或侵?jǐn)_，如非法訪問(wèn)、非法連接等；（5）內(nèi)部與外部泄密；（6）信息丟失等等。

網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)收到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全內(nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。

二、網(wǎng)絡(luò)安全技術(shù)

（一）防火墻技術(shù)

“防火墻”是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)關(guān)，把互聯(lián)網(wǎng)和內(nèi)部網(wǎng)隔開(kāi)，有效地控制互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)，阻擋外部網(wǎng)絡(luò)的侵入。

防火墻可分為：

1.包過(guò)濾防火墻：原理是將收到的包（即分組）與規(guī)則表進(jìn)行匹配，對(duì)符合規(guī)則的數(shù)據(jù)包進(jìn)行處理，不符合規(guī)則的就丟棄。這種技術(shù)既缺乏效率又容易產(chǎn)生安全漏洞。

2.狀態(tài)檢測(cè)防火墻：原理是將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過(guò)規(guī)則表與連接狀態(tài)的共同配合，大大提高了系統(tǒng)的傳輸效率和安全性。

（二）入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)過(guò)程分為三部分：信息收集、信息分析、信息處理。

信息收集：由放置在不同網(wǎng)段的傳感器或不同主機(jī)的來(lái)收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。

結(jié)果處理：控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施。

（三）漏洞檢測(cè)技術(shù)

漏洞檢測(cè)技術(shù)是對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采取兩種策略，被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略基于主機(jī)檢測(cè)，對(duì)系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對(duì)象進(jìn)行檢查；主動(dòng)式策略基于網(wǎng)絡(luò)檢測(cè)，通過(guò)執(zhí)行一些腳本文件對(duì)系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

（四）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指將一個(gè)信息經(jīng)過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無(wú)意義的密文，而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙還原成明文。是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止數(shù)據(jù)被外部偵聽(tīng)破析所采用的重要手段之一，是網(wǎng)絡(luò)安全技術(shù)的基石。

三、網(wǎng)絡(luò)安全機(jī)制

（一）加密機(jī)制

加密是提供數(shù)據(jù)保密的最常用方法。用加密的方法與其它技術(shù)相結(jié)合，可以提供數(shù)據(jù)的保密性和完整性。分為對(duì)稱加密機(jī)制和非對(duì)稱加密機(jī)制。

1.對(duì)稱加密機(jī)制：使用相同的秘鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密，發(fā)送者和接收者使用相同的密鑰。

2.非對(duì)稱加密機(jī)制：運(yùn)用某種數(shù)學(xué)方法使得加密過(guò)程成為一個(gè)不可逆過(guò)程，即用公鑰加密的信息只能用與該公鑰配對(duì)的私鑰才能解密。特點(diǎn)是發(fā)送者和接收者使用不同密鑰。

（二）數(shù)據(jù)完整性機(jī)制

數(shù)據(jù)完整性包括兩種形式：一是數(shù)據(jù)單元的完整性，另一種是數(shù)據(jù)單元序列的完整性。數(shù)據(jù)單元完整性包括兩個(gè)過(guò)程，一個(gè)過(guò)程發(fā)生在發(fā)送實(shí)體，另一個(gè)過(guò)程發(fā)生在接收實(shí)體。保證數(shù)據(jù)完整性的一般方法是：發(fā)送實(shí)體在一個(gè)數(shù)據(jù)單元上加一個(gè)標(biāo)記，這個(gè)標(biāo)記是數(shù)據(jù)本身的函數(shù)，如一個(gè)分組校驗(yàn)，或密碼校驗(yàn)函數(shù)，它本身是經(jīng)過(guò)加密的。接收實(shí)體是一個(gè)對(duì)應(yīng)的標(biāo)記，并將所產(chǎn)生的標(biāo)記與接收的標(biāo)記相比較，以確定在傳輸過(guò)程中數(shù)據(jù)是否被修改過(guò)。

數(shù)據(jù)單元序列的完整性要求數(shù)據(jù)標(biāo)號(hào)的連續(xù)性和時(shí)間標(biāo)記的正確性，以防止假冒、丟失、重發(fā)、插入或修改數(shù)據(jù)。

（三）業(yè)務(wù)流量填充機(jī)制

這種機(jī)制主要是對(duì)抗非法者在線路上監(jiān)聽(tīng)數(shù)據(jù)并對(duì)其進(jìn)行流量和流向分析。采用的方法一般由保密裝置在無(wú)信息傳輸時(shí)，連續(xù)發(fā)出偽隨機(jī)序列，使得非法者不知道哪些是有用信息，哪些是無(wú)用信息。

（四）路由控制機(jī)制

在一個(gè)大型網(wǎng)絡(luò)中，從源點(diǎn)到目的節(jié)點(diǎn)可能有多條線路，有些線路可能是安全的，而另一些線路是不安全的。路由控制機(jī)制可使發(fā)信者選擇特殊的路由，以保證數(shù)據(jù)安全。

參考文獻(xiàn)：

[1]飛思科技產(chǎn)品研發(fā)中心.縱橫四海――局域網(wǎng)組建與管理[M].北京:電子工業(yè)出版社,2002