引论:我们为您整理了13篇安全网络论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
1.2钓鱼网站为金融信息的安全带来较大风险
随着互联网信息的不断发展,各种网络技术都在不断成熟。在这种背景下,通过百度、谷歌等搜索引擎就可以了解到一定的用户信息,因为在当前的环境下,很多人都习惯于借助各种搜索引擎来对各种特定的金融信息加以了解。因此也就有人利用这些系统当中存在的漏洞来对客户的一些金融信息和金融资料加以盗取,或者是做成钓鱼网站。所谓的钓鱼网站是通过互联网技术以某种特定的方式在互联网上进行信息的,通过某些具有吸引力的信息来诱导用户加以访问,以此方式来对用户重要的个人信息逐条盗取,最后再对客户进行各项敲诈活动,这为广大网民的安全上网和个人利益造成了非常严重的损害。虽然说钓鱼网站的技术含量很低,但是其门槛也很低,通常而言也很难识别,这对金融行业产生了很严重的影响。从我国反钓鱼网站联盟在2014年6月的钓鱼网站处理简报上看,截止到2014年6月份,联盟共计处理了钓鱼网站8186个,累计认定并处理钓鱼网站192914个。从中分析可以得出,电子商务和金融证券类的通信安全问题依然是主要问题,随着“网银”的不断普及,金融信息泄露等事件而造成的用户财产损失将会成为威胁网络金融体系的主要问题。
2网络经济环境下的金融安全防范探究
2.1金融机构信息安全保障机制的构建
在当前,我们将政策性银行、大型商业银行和股份制银行作为银行业的金融信息集散中心,防范金融机构信息泄露是金融安全防范的重点问题,其根本在于对其安全保障机制加以完善。对金融信息的安全保障机制做出完善,需要建立在金融信息安全政策和安全标准的前提之下,对金融机构内部的信息安全管理机制做出规范和调整,在此基础上创新信息安全技术和信息安全运行机制。因为各种因素的影响,很多中小型的金融机构在在金融安全管理方面一直都存在着诸多的问题。所以对于中小型金融机构而言,需要构建出一个合理的管理手段和技术手段相结合的度层次、全方位信息安全防范体系。这样才能够为金融业的发展提供必要的信息化基础保障。所以在对中小型金融机构信息安全保障机构进行构建的时候需要对金融机构的相关做法加以参考,要重视从联合结构和外包服务等层面来对相关问题做出思考。
2.2健全金融机构的信息安全服务体系
总管金融信息网络的传播途径,信息安全隐患主要是因为交互过程中对信息的非法索取有关,此外通过客户端进行身份识别、通过数字签名、密钥管理、终端病毒和访问权限等也能够在技术层面上对相关客户的信息资料加以盗取。所以在这些方面进行有效的保障是弥补网络安全技术缺陷的主要环节。按照人们的常规思维来讲,只有开发出先进的金融安全技术才能够更好地对金融风险做出防范,而现阶段对于网络信息安全的防范技术主要是通过相关的技术隔离和技术加密来实现数字签名的相关内容。所以金融服务济公应该重视在技术上对相关的网络安全服务体系做出防范,适当的时候需要提供相关的软件升级服务,进行更为严格保密的加密和相关的数字签名服务。只有这样才能够通过信息备份和信息回复来使相关的安全技术得到认证,这对于客户本人而诺言,具有很高的保护效果,能够帮助客户提供对金融信息风险防范的识别,进而更好地杜绝可能造成用户信息泄露的风险源为用户带来的危害。
篇2
2.1加强网络信息安全管理网络信息安全实质就是一个管理方面的问题,特别是在我国网络信息安全行业刚刚发展初期,做好网络信息安全的管理工作更显得尤为重要。①严格根据管理流程实施管理操作。对网络进行微观操作,这是网络内网产生不安全的主要原因,因此,对业务不得进行越权查看及使用,不许私自对数据库或某些机密文件进行修改,以此来杜绝内网中计算机及网络受到恶意攻击。②实施连续性管理网络系统。作为网络管理人员,一定要把系统恢复和系统备份策略应用于网络系统,这不仅可实现连续性管理系统的要求,而且还可有效避免因恶意破坏、自然灾害等原因使设备遭到破坏、无法正常提供服务的问题发生。③加强管理人员的日常操作管理。要有效对系统进行管理,最为重要的在于管理人员,因此,作为网络系统管理人员,一定要具备超强的技术能力,此外,还必须具备一定的网络信息安全意识。不管是企业,还是公司,在进行网络管理人员选拔时,一定要综合考虑有关技术能力和安全意识等方面的因素;同时,还要创造条件对这些网络管理人员实施一定的职业培训以及网络信息安全教育,以此来让网络管理人员切实懂得网络信息安全的重要性,并让他们明白在维护网络信息安全中他们个人所应承担的责任。此外,对于网络信息的相关操作管理,一定要让网络管理人员熟练掌握,对于安全的网络管理策略能予以正确的执行和落实,这样,就可最大限度避免因人为原因所带来的网络信息安全漏洞。
2.2设置防火墙网络威胁绝大多数是从互联网来的,应用防火墙来判断与辨别进出网络的各种信息,能够有效避免内网或计算机系统遭到病毒和木马的攻击;所以,要对网络信息安全进行有效保护,一定要选择一个防火墙来进行保护,而且要让所选择的防火墙,不仅要技术性强,而且防御功能要足够强大。
2.3安装vpn设备所谓vpn设备,其实就是一个服务器,电脑在进行网络信息传递过程中,要使网络信息先向vpn服务器进行传递,然后再通过vpn设备向目的主机进行传递,这样就可让计算机不直接连接于物联网,从而让网络黑客无法得到真正的ip地址,无法完成对网络进行攻击,这样就有效对网络信息安全起到了保护作用。
篇3
(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。
(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。
2对于网络通信中存在的信息安全问题的应对方案
对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:
(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。
(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。
(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。
篇4
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
篇5
1.国家安全将遭受到威胁
网络黑客攻击的目标常包括银行、政府及军事部门,窃取和修改信息。这会对社会和国家安全造成严重威胁,有可能带来无法挽回的损失。
2.损失巨大
很多网络是大型网络,像互联网是全球性网络,这些网络上连接着无数计算机及网络设备,如果攻击者攻击入侵连接在网络上的计算机和网络设备,会破坏成千上万台计算机,从而给用户造成巨大经济损失。
3.手段多样,手法隐蔽
网络攻击所需设备简单,所花时间短,某些过程只需一台连接Internet的PC即可完成。这个特征决定了攻击者的方式多样性和隐蔽性。比如网络攻击者既可以用监视网上数据来盗取他人的保密信息;可以通过截取他人的帐号和口令潜入他人的计算机系统;可以通过一些方法来绕过或破坏他人安装的防火墙等等。
网络安全防范技术
1.病毒的防范
计算机病毒变得越来越复杂,对计算机信息系统构成极大的威胁。在网络环境中对计算机病毒的防范是网络安全性建设中重要的一环。它的入侵检测技术包括基于主机和基于网络两种。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。对网络病毒的防范主要包括预防病毒、检测病毒和杀毒三种技术。网络版防病毒系统包括:(1)系统中心:系统中心实时记录计算机的病毒监控、检测和清除的信息,实现对整个防护系统的自动控制。(2)服务器端:服务器端为网络服务器操作系统应用而设计。(3)客户端:客户端对当前工作站上病毒监控、检测和清除,并在需要时向系统中心发送病毒监测报告。(4)管理控制台:管理控制台是为了网络管理员的应用而设计的,通过它可以集中管理网络上所有已安装的防病毒系统防护软件的计算机。
2.防火墙的配置
首先我们了解防火墙所处的位置决定了一些特点包括(1)所有的从外部到内部的通信都必须经过它(。2)只有有内部访问策略授权的通信才能被允许通过。(3)系统本身具有很强的高可靠性。所以防火墙是网络安全的屏障,配置防火墒是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其他任何非信任网络上提供了不同的规则进行判断和验证,确定是否允许该类型的信息通过。一个防火墙策略要符合4个目标,而每个目标通常都不是通过一个单独的设备或软件来实现的。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。也可对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时,也能提供网络使用情况的统计数据。当有网络入侵或攻击时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响,防止内部信息的外泄。
3.数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密包括传输过程中的数据加密和存储数据加密,对于传输加密,一般有硬件加密和软件加密两种方法实现。网络中的数据加密,要选择加密算法和密钥,可以将这些加密算法分为对称密钥算法和公钥密钥算法两种。对称密钥算法中,收发双方使用相同的密钥。比较著名的对称密钥算法有:美国的DES、欧洲的IDEA等。
4.应用入侵检测技术
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这些信息分析入侵特征的网络安全系统。入侵检测系统的功能包括:监控和分析系统、用户的行为;评估系统文件与数据文件的完整性,检查系统漏洞;对系统的异常行为进行分析和识别,及时向网络管理人员报警;跟踪管理操作系统,识别无授仅用户活动。具体应用就是指对那些面向系统资源和网络资源的未经授权的行为进行识别和响应。入侵检测通过监控系统的使用情况,来检测系统用户的越权使用以及系统外部的人侵者利用系统的安全缺陷对系统进行入侵的企图。目前主要有两类入侵检测系统基于主机的和基于网络的。前者检查某台主机系统日志中记录的未经授权的可疑行为,并及时做出响应。后者是在连接过程中监视特定网段的数据流,查找每一数据包内隐藏的恶意入侵,并对发现的人侵做出及时的响应。
5.规范安全管理行为
篇6
2局域网网络安全研究
局域网网络安全是业内人士讨论的经典话题,而且随着互联网攻击的日益频繁,以及病毒种类的不断增加与衍生,使人们不得不对局域网安全问题进行重新审视。采取何种防范手段确保局域网安全仍是人们关注的重点。那么为确保局域网网络安全究竟该采取何种措施呢?接下来从物理安全与访问控制两方面进行探讨。
1)物理安全策略。物理安全策略侧重在局域网硬件以及使用人员方面对局域网进行保护。首先,采取针对性措施,加强对局域网中服务器、通信链路的保护,尤其避免人为因素带来的破坏。例如,保护服务器时可设置使用权限,避免无权限的人员使用服务器,导致服务器信息泄露;其次,加强局域网使用人员的管理。通过制定完善的工作制度,避免外来人员使用局域网,尤其禁止使用局域网时随意安装相关软件,拆卸局域网硬件设备;最后,提高工作人员局域网安全防范意识。通过专业培训普及局域网安全技术知识,使局域网使用者掌握有效的安全防范技巧与方法,从内部入手做好局域网安全防范工作。
2)加强访问控制。访问控制是防止局域网被恶意攻击、病毒传染的有效手段,因此,为进一步提高局域网安全性,应加强访问控制。具体应从以下几方面入手实现访问控制。首先,做好入网访问控制工作。当用户试图登录服务器访问相关资源时,应加强用户名、密码的检查,有效避免非法人员访问服务器;其次,给用户设置不同的访问权限。当用户登录到服务器后,为防止无关人员获取服务器重要信息,应给予设置对应的权限,即只允许用户在权限范围内进行相关操作,访问相关子目录、文件夹中的文件等,避免其给局域网带来安全威胁;再次,加强局域网的监测。网络管理员应密切监视用户行为,详细记录其所访问的资源,一旦发现用户有不法行为应对其进行锁定,限制其访问;最后,从硬件方面入手提高网络的安全性。例如,可根据保护信息的重要程度,分别设置数据库防火墙、应用层防火墙以及网络层防火墙。其中数据库防火墙可对访问进行控制,一旦发现给数据库构成威胁的行为可及时阻断。同时,其还具备审计用户行为的功能,判断中哪些行为可能给数据库信息构成破坏等。应用层防火墙可实现某程序所有程序包的拦截,可有效防止木马、蠕虫等病毒的侵入。网络层防火墙工作在底层TCP/IP协议堆栈上,依据制定的规则对访问行为进行是否允许访问的判断。而访问规则由管理员结合实际进行设定。
3)加强安全管理。网络病毒由来已久而且具有较大破坏性,因此,为避免其给网络造成破坏,管理员应加强管理做好病毒防范工作。一方面要求用户拒绝接受可疑邮件,不擅自下载、安装可疑软件。另一方面,在使用U盘、软盘时应先进行病毒查杀。另外,安装专门的杀毒软件,如卡巴斯基、360杀毒等并及时更新病毒库,定期对系统进行扫描,以及时发现病毒将其杀灭。另外,安装入侵检测系统。该系统可即时监视网络传输情况,一旦发现可疑文件传输时就会发出警报或直接采用相关措施,保护网络安全。依据方法可将其分为误用入侵检测与异常入侵检测,其中异常检测又被细分为多种检测方法,以实现入侵行为检测,而误用入侵检测包括基于状态转移分析的检测法、专家系统法以及模式匹配法等。其中模式匹配法指将收集的信息与存在于数据路中的网络入侵信息进行对比,以及时发现入侵行为。
篇7
当前,我国较多局域网体系没有单独创建针对服务器的安全措施,虽然简单的设置可令各类数据信息位于网络系统中高效快速的传播,然而同样为病毒提供了便利的传播感染渠道。局域网之中虽然各台计算机均装设了预防外界攻击影响的安全工具,制定了防范措施,然而该类措施恰恰成为网络安全的一类薄弱环节。在应对局域网络内部影响攻击时,效果不佳,尤其在其服务器受到病毒侵袭影响,会令全网系统不良崩溃。为此,对其服务器独立装设有效防护措施尤为重要。我们应在服务器内部安装单独的监控网内系统、各类病毒库的实时升级系统,令其在全过程的实时安全监督、优化互补管控之下安全快速的运行。当发觉网内计算机系统受到病毒侵袭时,应快速将联系中断,并面向处理中心报告病毒种类,实施全面系统的杀毒处理。而当服务器系统被不良攻击影响时,则可利用双机热备体系、阵列系统安全防护数据信息,提升整体系统安全水平。
树立安全防范意识,提升应用者防毒水平
局域网产生的众多安全问题之中,较多由于内网操作应用人员没有树立安全防范意识,令操作失误频繁发生。例如操作控制人员没有有效进行安全配置令系统存在漏洞、或是由于安全防范意识不强,令外网攻击借机入侵。在选择口令阶段中由于操作不慎,或将自身管理应用账号随意的借他人应用,均会给网络安全造成不良威胁影响。另外,网络钓鱼也成为影响计算机局域网络安全的显著隐患问题。不法分子惯用该类方式盗取网络系统账号、窃用密码,进而获取满足其利益需求的各类重要资讯、信息,还直接盗取他人经济财产。一些网络罪犯基于局域网络系统资源信息全面共享的客观特征而采取各类方式手段实施数据信息的不良截获,或借助垃圾邮件群发、发送不明数据包、危险链接等诱导迷惑方式,令收信方进行点击,对于计算机局域网络系统的优质安全管理运行形成了较大的隐患威胁。为此,应用管理局域网人员应明晰自身责任重大性,以身作则,对于陌生人传输信息、不明邮件不应理睬,还可利用删除、截获、屏蔽、权限管控等手段阻断钓鱼者侵入通道,不给他们以可乘之机,进而净化网络环境。
3实施制度化的文件信息备份管理,预防不可逆损失
篇8
1.2风险威胁与安全防护相适应原则商业银行面对的是极其复杂的金融环境,要面临多种风险和威胁,然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究,制定与之匹配的安全解决方式。
1.3系统性原则商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一,系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二,要充分为综合性能、安全性和影响等考虑。第三,关注每个链路和节点的安全性,建立系统安防体系。
2计算机网络安全采取的措施
商业银行需要依据银监会的《银行业金融机构信息系统风险管理指引》,引进系统审计专家进行评估,结合计算机网络系统安全的解决原则,建立综合计算机网络防护措施。
2.1加强外部安全管理网络管理人员需要认真思考各类外部进攻的形式,研究贴近实际情况的网络安全方法,防止黑客发起的攻击行为,特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统,组成多层次网络安全系统,确保金融网络安全。入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位,当这些位置受到进攻时,可以马上检测和立即响应。构建入侵检测系统,可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻,可以实时监控、自动识别网络违规行为并马上自动响应,实现对网络上敏感数据的保护。
2.2加强内部安全管理内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合,构建多层次的内部网络安全体系。基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时,客户端会先向接入交换机设备发送接入请求,并将相关身份认证信息发送给接入交换机,接入交换机将客户端身份认证信息转发给认证服务器,如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离,保证服务器区域不被非法访问。同时结合访问控制列表(ACL)方式,限制内部客户端允许访问的区域或应用,保证重要服务器或应用不被串访。同时结合内部漏洞扫描技术,通过在内部网络搭建漏洞扫描服务器,通过对计算机网络设备进行相关安全扫描收集收集网络系统信息,查找安全隐患和可能被攻击者利用的漏洞,并针对发现的漏洞加以防范。
2.3加强链路安全管理对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿,通过在线路两端设置加密机,通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件,采用加密算法对所发送的信息进行加密,把相应的敏感信息加密成密文,然后再在局域网或专线上传输,当这些信息一旦到达目的地,将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用,针对加密数据的破解也越来越猖獗,对数据加密算法的要求也越来越高,目前根据国家规定越来越多的商业银行开始使用国密算法。
篇9
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
二、保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
篇10
2加强计算机管理技术在网络安全中的应用方法
2.1要裴炎高素质的计算机网络维护人才,毕竟现代社会是知识经济时代,拥有专业知识的人才对国家和企业的发展是十分重要的,因此就要引进和培养一批懂计算机的专业人才来服务国家和企业,防止一些不法分子利用一些邪门歪道来窃取重要的信息。计算机专业人才因为学过这方面的专业知识,他们会熟练的使用计算机管理技术来实现整个局域网的安全,随着计算机不断的发展,专业人才的知识也在不断的更新,他们能掌握计算网络当中一些重要的信息,熟练操作一些重要的软件和数据库,从而让计算机网络平稳的运行。因此,人才的引进是十分重要的,只有拥有软实力,才能在今后的竞争中占据有利的位置,不断适应时展的潮流。
2.2要做好计算机网络的信息安全管理工作,首先就要建立起一套安全的网络信息实施计划,并要根据计划一步一步的实施,要给社会营造一种绿色的上网环境,同时要在计划当中增加一些科学的元素,在实际的使用过程中,要构建一个管理模型,要多向先进的管理团队看齐,掌握好计算网络管理的中坚技术,这个时候计算网络信息系统就显得十分的重要,在面临问题的时候,可以系统中的步骤一步一步的拯救和改善,这样才能合理并安全的实现计算机信息网络的安全,相关的技术人员也要认真对待自身的本职工作,只有通过这样将责任个人化,才能使得计算机网络信息安全得到保障。
2.3在日常使用计算网络进行工作的时候,为了防止计算机网络出现漏洞,就必须要定期给计算机进行检查,使用一些计算机安全软件实时保护和监视计算机的基本情况,如果计算机出现问题,就要对存在的问题进行分析和采取一些措施来补救,不能拖延的太久,越拖得久,计算机积累的垃圾也就越多。与此同时,要针对不同的用户制定不一样的登录口令和验证码,避免一些不法分子很轻易的就用一些软件破译计算机的登录密码,做好计算机的网络信息管理工作,要将防范的范围扩大化,重视计算机软硬件之间的结合工作,做好细节的防范工作是保护重要信息不被窃取的重要途径之一。
2.4要提高计算信息信息管理的水平,最重要的一点就是引起足够的重视,对一些微乎其微的问题也要杜绝,时刻保持安全防范的意识,在工作中多加注意每个小细节,对于一些不良的信息要及时的清理,避免存在一些病毒从而窃取机密信息,企业和各个机关单位也要组建一批高素质的技术人员,并要培训这些计算机技术人员的计算机安全防范意识和管理能力,让他们从思想上牢固树立计算机安全防范意识,在工作中将这种思想传播给更多的人,毕竟做好计算机信息网络管理工作是一项相当紧迫的任务,因此,一旦信息系统受到黑客和病毒的进攻,各种隐私材料将在非常短的时间内消失,会给企业和机关单位带来惨重的灾难,因此,提高防范的警惕性是非常重要的。
篇11
一方面,电力调度自动化具有复杂性,也正是因为它的这种复杂性,让电力调度人员在对电力调度自动化的网络系统进行管理的时候,出现了难以对其进行管理的现象。另一方面,随着互联网的不断发展,更是增强了一些恶意软件和黑客的技术手段,这就从很大程度上增加了电力调度自动化的网络安全问题。随着电力调度自动化网络安全问题的加深,电力调度自动化在运行的过程当中,就会出现越来越多的问题,从而导致整个电力调度自动化不能正常的进行运转。
3电力调度人员没有尽到该尽的责任
电力调度人员自身的素质,在电力调度自动化管理的过程当中起着决定性的作用。因此,电力调度人员要是不具备很高的个人素质,那么他在工作的整个过程当中,就不会用严谨的态度去履行工作的义务,那就更别说是承担起相应的责任了。于是,一旦网络安全出现问题,他们也就无法及时找到造成这些问题出现的因素,从而导致问题越来越严重,以致于最后危及到了整个电力调度自动化的运行。
4探究解决电力调度自动化网络安全问题的方法
通过对电力调度自动化的网络安全问题进行仔细的分析和探究,现将能够有效解决这一问题的方法列举出来:
4.1为电力调度自动化建造一个基于科学之上的网络结构
建设人员在为电力调度自动化建立网络结构的时候,要严格的按照网络安全中所规定的去进行,以确保网络结构的一致性和完整性。
4.2安排专业的技术人员对电力调度自动化的网络系统进行管理
当电力调度自动化在运行的时候,电力企业要安排专业的技术人员,对电力调度自动化网络系统进行实时的监控和管理。一旦网络系统出现了问题,那么技术人员就可以及时的发现,并找出造成这一问题出现的原因,然后对其进行全面的分析和探究,最后总结出一个能够有效解决这一问题的办法。其次,电力企业还要对这些技术人员进行定期的网络安全管理知识的培训,以提高他们的网络管理水平。
4.3对电力调度自动化的网络系统进行定期的维护
对网络系统进行定期的维护,可以有效的减少网络系统出现问题的概率。当然,在对网络系统进行维护的时候,要对网络系统进行全方位的检查和维护,比如:可以用杀毒软件清理网络系统中的垃圾、对需要升级的软件进行升级和检查网络系统中的信息等等。只有加强了对网络系统的维护,才能够从很大程度上避免网络系统在运行的过程当中出现安全性问题。
篇12
1.通过伪装发动攻击
利用软件伪造IP包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造IP地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VPN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VPN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VPN
VPN(VirtualPrivateNetwork)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VPN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VPN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VPN隧道;在网络层有IPSec协议,它是一种由IETF设计的端到端的确保IP层通信安全的机制,对IP包进行的IPSec处理有AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(IntrusionDetectionSystem,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(IntrusionPreventionSystem,IPS)则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IPS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IPS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统,但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,同时具备网络地址转换、服务、流量统计、VPN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊,2008,(3):74~75
篇13
在网络信息系统中,安全标记是强制访问控制实施的基础。实现安全标记与课堂之间的绑定是多级安全网络中实现数据安全共享的关键。实现安全标记与客体的绑定包括信息客体、进程等,当前的安全标记与客体的绑定并不能够满足多级安全控制的需要,需要对存在的问题进行分析,在此基础上提出基于数据树统一化描述的安全标志与课堂的绑定方式,从而实现了绑定的统一性,确保了安全标记的安全性,为实施更为细粒度的访问控制提供了保障。
三、信息客体聚合推导控制方法
多级安全网络中存在着客体信息聚合导致了信息泄密问题。需要对客体之间的关系进行分析,通过多级安全网络信息课堂聚合推导控制方法实现对多级安全网络访问控制策略的制定。通过对关联客体与相似客体的角度研究了客体聚合推导控制。信息客体聚合推导控制方法包括两个方面,一方面是基于属性关联的客体聚合信息级别推演方法,另一方面是基于聚类分析的客体聚合信息级别推演方法。通过这两种方式实现多级安全网络防护基本原则的改变,对多级安全网络中主体对客体的访问进行有效的控制,降低或者消除泄密的风险。
四、通信协议簇设计
通信的基础就是协议,只有通过安全协议才能够实现安全互联。在多级安全网络中,存在着通信关系比较复杂的现象,其灵活性较差。尤其是在实现了信息系统互联之后,容易引起攻击者兴趣的往往是具有了一定安全级别的信息。在对多级安全网络的特点进行分析了基础上,对多级安全网络的通信协议簇进行了设计,产生了MLN-SCP,这种通信协议簇包括两个方面,一方面是多级安全通道建立协议ML-STEP,主要的作用是建立多级安全通道,对通道的秘钥材料进行协商,从而确保数据传输过程中的安全,另一方面是多级安全网络传输协议MLN-STP,主要的作用是通过安全通道模式与UDP封装通道模式实现数据的安全封装与安全标记的携带,对通道内数据传输的安全进行保障。通信协议簇MLN-SCP更加适合与多级安全网络信息系统之间的安全互联。
