计算机网络防御(精选12篇)
计算机网络防御 篇1
一、网络病毒传播的模型研究
1. 病毒传播模型在计算机网络中的讨论。
多数情况下,作为通过许多的计算机按照一定的方式连接构成的组合之一的计算机网络,一定的结构与特征被表现在这些计算机的物理连接方式中。计算机网络病毒的传播和入侵是需要一定的载体才能完成的,比如用户的误操作和含有隐藏病毒的E-mail。网络病毒通过不同的条件和途径在计算机网络中进行传播,但它的传播方式并非只是通过简单的网络连接,其他如文件传输、电子邮件以及硬盘的交叉使用等这些最常见的联系形式也可以使得计算机病毒广泛地传播。
2. 同构的复杂环境。
在计算机的网络中,相同环境下,计算机的网络病毒的传播模型是一个分析模型,其有确定的连续性。依照复杂环境的基本特征和病毒在生物学上传播的一般原理所构建的模型,此模型是白箱模型的一种。
3. 随机的结构环境。
计算机网络中的用户通过一定的方式进行信息交流是指随机结构的计算机网络环境,在建模目的的基础上,可分为分析描述和预报等一系列类型。在客观现象和内部机理的基础上,将其表示为白箱、灰箱等一系列类型。
4. 仿真模型的结果。
(1)网络病毒的蔓延是在混合的局部网络环境下完成的。在网络的局部区域中,通过蠕虫类似物的病毒进行广泛传播时,仿真传播情况可以由同构的复杂模板来表示。
(2)在广域网络的内部由复杂环境下的网络病毒散播。在广域网络中,蠕虫类似物的病毒在计算机中传播时,其仿真的类型和传播种类是同构复杂环境。
(3)广域网是内部不同结构复杂环境下的网络病毒散播。在广域网络中,网络病毒在计算机中的传播类型是以电子邮件和其他类似的方式,用不同结构的复杂环境类来表示仿真的传播情况。在仿真的了解中,我们可以了解更多的关于计算机的网络病毒在一段时间内出现病毒感染的数目和可能性。
二、目前知名的网络病毒防卫技术
1. 防火墙的技术。
在现实中,计算机网络的系统的安全性是防火墙技术的重要组成部分,其重要方法之一是网络病毒的隔离。防火墙在网络中起到隔离过滤的重要作用。所以,依照防火墙的这个特点,防御策略需要提前准备,从而实现计算机网络的出入和资源信息的控制,以理性地阻止一些不符合提前预定的网络安全决策和资源流动信息。从这些来看,我们就能够科学地检测计算机内部的大众资讯情况的网络执行活动,计算机系统的安全性得以保证。
2. 检测病毒入侵的技术。
检测病毒入侵技术是发现来自计算机外部和内部的不正当的侵犯的技术。入侵检验技术主要是从计算机网络系统中相关资料中获取,并对其资料进行跟踪的分析和判断,从而找到计算机系统里违反网络安全的不正当行为。
3. 防卫病毒的安全技术。在系统杀毒软件中,当计算机网络受到病毒入侵的时候,这些杀毒的软件才可以检测到计算机是否存在病毒。可以根据检测的数据计算出是否存在网络病毒,并把检测出的安全结果向正在使用的计算机系统的用户进行反馈说明,让计算机网络系统在网络病毒入侵系统之前对计算机中的漏洞进行自动修复,把计算机网络感染病毒的几率减少到最低。
三、几种新型的网络病毒防御的对策
代码技术的特征。现在,被大多数人所接纳的就是被用来检测已知病毒的计算机系统,这种检测技术非常简单而且被很多计算机公司一直使用至今。
但就发展的实际情况来看,计算机的杀毒、自动扫描并和数据库中的病毒代码开始比较分析,如果这些病毒代码和数据库中的病毒代码完全符合,我们就认为它中病毒了。
四、总结
在计算机信息技术飞速发展的背景下,网络技术也得到了更广泛的推广和应用,人们的生产生活被紧密地与计算机网络连接在一起,计算机网络为人们带来便利的同时也因严重泛滥的网络病毒给人们带来烦恼和损失,因此,网络病毒的查杀就显得尤为重要。
摘要:目前的网络病毒问题极为严重,分析目前网络的病毒传播的模型,在计算机的网络病毒探究模型和防御的系统调研中,生物学中病毒的很多科研成果和方式都被很大程度地运用。在本篇文章中研究的网络的病毒类型,其前提和基础就是生物学模型。
关键词:计算机网络,检测技术,扫描技术
参考文献
[1]夏春和,魏玉娣,李肖坚,王海泉,何巍.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(01).
[2]赵机.计算机网络防御[J].中国科技信息,2005(12).
[3]王星河,余洋,夏春和.面向网络协同防御的动态风险评估模型[J].信息网络安全,2014(09).
[4]Liljenstam Michael,Liu Jason,Nicol David,et al.RI NSE:The real-timeimmersive network simulation Environment for network Security Exercises.Proc of the Workshop on Principles of Advanced and Distributed Simulation,2005.
[5]马苏安,骆文,张金鑫.应对高级网络威胁建立新型网络防御系统[J].信息安全研究,2016(04).
[6]Soh Seon-gyoung,Kim Jinoh,Na Jung-Chan.Design of network security policy information model for policy-based network management.Proc of the7th Int Conf on Advanced Communication Technology,2005.
计算机网络防御 篇2
计算机网络防御会在很大程度上采用大量的措施应对来自网络的攻击。
计算机系统处于网络环境下时,尤其是计算机系统处于大规模的网络环境下时,计算机的网络防御策略也将更为复杂。
而这些措施若是通过人工进行配置则较为复杂,容易产生错误,配置的效率也不高。
若是能使用计算机进行防御策略的配置,则能实现自动、准确且高效的配置和部署,并且适用于多种模式下的计算机系统,延展性以及灵活性都较高。
由此,通过策略进行计算机防御已经成为了网络防御的关键和核心,计算机的各种信息以及网络安全的维护都是依靠策略进行开展和实施的,这也是PPDR的模型思想。
在PPDR模型中,若是策略的力度过大,则无法建立以策略为基础的防御体系。
计算机网络防御策略描述语言初探 篇3
【关键词】计算机;网络防御;策略;描述语言
计算机网络安全所指的是凡是涉及网络信息完整性、保密性、真实性、可靠性、可用性及抗抵赖性等相关技术及理论均是网络安全要研究的领域,从本质上讲网络安全即是网络信息安全,尽管网络安全已经被信息社会各领域重视了,可因为计算机网络本身就存在着一些潜在威胁因素,这就让计算机网络容易受到病毒、黑客、恶意软件及其它不轨意图行为等的攻击,为了确保计算机网络的安全及可靠,计算机内就需要一种较为强大的网络防御策略来保护自身的网络安全。
一、计算机网络安全漏洞及攻击分析
由于计算机网络自身因素所造成的安全漏洞,主要有三个方面的因素,一是网络结构不安全性,Internet是种网络与网络间的技术,主要有主机和自治系统所连接成的庞大网络,在两台主机进行端与端通信的时候,相互传输的数据流一定会通过许多主机进行发送,这样的话就给那些攻击者带来了便利,当他有一台数据流传输中的主机,对用户的数据包进行挟持就易如反掌了。二是TCP/IP体系间的脆弱性,在上个世纪的70年代,当美国的国防部制定有关DARPA计划时,并沒有想到会在全球范围内使用,因此,TCP/IP协议所考虑的网络安全性并不是很多,而且TCP/IP协议是开放的,当有人对这个协议很熟悉的时候,就有可能运用其安全缺陷实施网络攻击。三是计算机用户的安全意识较为缺乏,尽管在网络中设置了较多的安全壁垒保护屏障,可人们的安全意识普遍不强,这些保护措施很多时候形同虚设,像用户口令的选择不够谨慎,以及打开了来历不明E-mail,这些都会给网络带来安全隐患,有些人为了避开有关防火墙的代理服务器额外认证,就会直接进行PPP连接,这样也就避开了防火墙保护,还有些人是直接进行浏览器页面的关闭,这些操作均给病毒及黑客入侵带来了便利。现在的攻击行为主要是运用计算机网络自身存在缺陷或者安全配置不恰当造成了安全漏洞来实施计算机网络攻击的,其攻击程度与攻击者采用的攻击手段及攻击思路不同而有着不同,但这些都给计算机的网络安全带来了较大的隐患。
二、有关计算机网络的防御策略描述语言
1.CNDPSL概述
计算机网络的防御策略所指的是为了实现特定安全目标,其网络及信息系统依据一定条件来选择防御措施规则,进行计算机防御就需要大量措施应对各种网络攻击,用人工配置的方法是比较复杂、低效及易错的,运用网络防御策略能够实现措施的正确、高效及自动化的部署并且能够让系统具有灵活性及可伸缩性的特点,这种策略具有较多的优点,已经被广泛应用在网络防御中了,并且是网络防御核心,其检测、保护及响应均是依据策略进行实施的,这种思想也被称为PPDR模型思想,可由于这种模型的策略粒度有些太大,沒有办法实现基于策略防御,依据这个先天不足,策略树把防御策略表示成了目标/措施的形式,可并沒有实施机制,并且兼容性不是很好,层次也不是很清楚的问题。而计算机网络防御策略描述语言简称为CNDPSL,它所面向的是计算机网络防御策略模型(CNDPM),能够统一地对检测、保护及响应策略进行描述,并能够把抽象策略细化成具体的规则,还能够以形式化方法来验证策略一致性、完备性及有效性。对于计算机网络防御策略描述语言(CNDPSL)来说,它是一种声明式的语言,对网络防御控制行为进行了抽象,而且对网络防御的需求具有比较好的适应性、灵活性及可扩展性,通过实验表明,这种描述语言能够将抽象的策略自动地转为具体技术规则,且实现表达防御效能。在CNDPSL设计中,需要满足下列要求,一是语法简洁直观,能够抽象网络防御控制行为,并且能够细化成有效及可实施防御的规则。二是能够表示访问控制领域策略,也能够对保密等其他保护策略进行描述,并控制响应及检测规则配置。
2.计算机网络防御策略模型描述
这里的防御策略模型代表是依据RBAC模型及组织机构访问控制的模型Or-BAC,前者仅是把主体抽象成了角色,并沒有对权限给予抽象,后者则对客体、主体及动作等都给予了抽象,但它们仅是一些框架及概念,并沒有进行实际的应用防御,而CNDPM是在Or-BAC的基础上进行了扩展,引入了措施概念,把策略及具体规则统一成了元组形式,把Or-BAC中有关规则及策略的8个谓词进行了去除,且给出了推导规则,概念间的关系进行了简化,把剩下的七个多元谓词进行演变成了一个四元谓词及九个二元谓词,从而对应成了十种关系。同时引入了特性的定义机制,把视图、角色及活动自动地分配给了客体、主体及动作。并将策略结构转化为了6元组,Policey:
3.防御策略性质
计算机网络防御策略性质主要包括有效性、完备性及一致性。有效性所指的是当任何策略预期风险均在可接受范围之内时,这个策略集就能够被称之为有效的了。策略的有效性是依据上限值及评估函数进行决定的,当给定一个风险后,就应该选取合适策略,把威胁限制在能够接受的范围内。完备性所指的是任何组织及任何一个事件至少应该对应一条策略,那么称这个策略集为完备的,它所表示的在任意攻击事件中,都可以在策略集里找到响应及检测策略,有些已知攻击响应策略可能并沒有定义,依据这种情况,可在每个组织中,定义出一条缺省的策略来实现策略集完备性,这样对于未知的攻击就会存在着漏检情况,仅有当未知的攻击转变成了已知攻击的时候,才能进行相关检测及响应策略扩展。当两条策略组织及上下文相同的时候,并且视图、角色及活动都存在交集的时候,采用了相冲突措施,像许可和禁止,这时策略集出现了不一致现象,而检测一致性所指的是在某个策略集中,任意两条不同策略,其组织不同、上下文不同、视图不重叠、角色不重叠或者活动沒有重叠,那么这个策略集就是一致的。
三、CNDPSL设计及实施机制
CNDPSL是依据CNDPM模型而实现的一种策略描述语言,把计算机网络防御策略所涉及的内容按照语言描述了出来,并给出了EBNF的范式,且通过仿真来验证该语言是否有效,为攻防模拟的演练给予了支持。CNDPSL所需要描述的内容主要有组织机构、角色、策略、活动、视图、定义、上下文、措施声明、分配和继承关系等,其中,组织结构为CNDPM模型核心的概念,并运用搜索网络配置来设定目录服务器同名域的建立,这些内容有效地反映了有关CNDPM的思想。在计算机攻防的模拟演练之中,人机交互命令或者CNDPSL格式策略文件,通过策略引擎及防御策略的信息库进行交互处理,并转化成相应CNDDL的防御命令,再通过RT1传送至GTNetS仿真联邦成员中,且有CNDDL解释器把命令转成防御动作,完成了对防御策略部署。其执行系统总体设计主要包括策略引擎及防御策略的信息库。防御策略的信息库主要是通过1dap来存储策略需要的实体关系及实体信息。其引擎具体工作原理为:先对模块进行解析,主要是通过Yacc和Lex对CNDPSL的语法、词法及语义进行分析,并从信息库里读出策略描述需要的客体、主体及动作,且存入防御策略的信息库里,接着依照模型推导规则将模块的防御策略映射成相应规则,并由分发模块对防御策略信息库查找,且把规则分发到相应防御节点上,最终转化成了CNDDL的防御命令。其中,访问允许策略定要递归地在每个父组织防御节点上部署,这是由于数据包必定经过所有防火墙。
四、结束语
CNDPSL作为一种计算机防御策略描述语言,能够在很多环境中,对计算机网络的防御措施给予选择,随着新防御措施的出现,仅需要将措施集里加入相应描述就可以被策略发现及选择了,而防御策略图形化界面的提供,必将进一步加强计算机网络防御的功能及可操作性。
参考文献:
[1]杨鹏,杨帆.一种计算机网络防御策略描述语言[J].硅谷,2011(13).
[2]吴凤刚.计算机网络的防御技术研究[J].中国新技术新产品,2010(11).
[3]夏春和,魏玉娣,李肖坚,王海泉,何巍.计算机网络防御策略描述语言研究[J].计算机研究与发展,2009(01).
[4]于晶.浅析计算机的网络安全及攻击的防御措施[J].电脑知识与技术,2009(18).
计算机网络病毒及其防御 篇4
随着计算机技术的不断发展, 网络存在的漏洞越来越容易引发安全问题, 世界各地的病毒感染和攻击事件屡见不鲜, 给计算机网络安全带来了严重的威胁和潜在的隐患, 邮件、聊天工具等现代化交流的常用工具在给人们带来方便的同时, 也成了潜在病毒的主要传播载体, 各种各样的病毒近几年已经成为了困扰网络环境的重要课题, 引起了多方的广泛重视。
1 计算机网络病毒的特点
所谓计算机病毒, 就是能够以计算机存储或者程序作为介质, 通过一些途径或者漏洞潜伏在其中, 在一定条件达成的情况下被激活, 完成对于计算机资源的破坏的程序或者命令。传统的计算机定义中, 还将木马和一些系统漏洞归纳其中。和大型程序相比, 计算机病毒虽然相对很小, 但是却具备了很多与众不同的特点。首先就是病毒的程序和其他合法的程序一样, 具有可执行性, 在一定网络环境下都可以完成执行, 但病毒程序自身又具有一定的不完整性, 而需要寄生在其他能够完成执行命令的合法程序上, 所以一些程序所能享有的特权, 有时也会被病毒程序加以利用。其次病毒具备感染性。病毒的传播是病毒的基本特征之一, 随着病毒种类的扩张, 传播渠道越来越多, 速度越来越快, 方式也越加悄无声息。还有, 一般的病毒都具有潜伏性, 隐藏的时间从几小时到几年不等, 潜移默化的对其他系统进行传染, 很难被发掘。另外计算机病毒还具备了可触发性和破坏性, 病毒在某种情况或某个时间发生的情况下, 使得病毒完成感染或者开启攻击的特性, 称之为可触发性。计算机病毒一旦攻击, 将会对系统或者网络造成程序的缺失、破坏或修改, 带来破坏性的损失。最后计算机病毒觉有主动性。一般来讲, 只要环境条件允许, 计算机病毒都具备主动供给的性质, 这导致计算机系统不管多么严密的保护, 都不可能在根本上完成对病毒的防护, 换言之, 病毒的主动攻击性使得保护措施沦为了一种简单的手段。
2 计算机网络病毒的分类
目前来看计算机病毒的分类方式按照传播方式进行, 分为驻留型病毒和非驻留型病毒。将自身内存驻留在内存程序中, 将这部分程序挂接系统调用并与系统完成合并, 只要病毒处于激活状态, 只要计算机完成重新启动或关闭程序, 非驻留的病毒就会得到激活, 并且不会对内存进行破坏, 有一部分病毒在内存中停留, 但不会通过这部分进行感染, 这类的病毒被归类成非驻留病毒。如果按照病毒的破坏程度分类主要分为以下几种。首先是无害型病毒, 这种病毒除了占用了一部分空间磁盘之外, 不会对其他程序的正常工作造成影响。与之对应的就是危害性病毒, 其存在于计算机系统中, 将在操作过程中形成严重的错误。另外还有超危险性病毒, 这种病毒将会对数据进行严重的破坏、删除或者篡改, 清除系统内的重要信息与文件。这些病毒对系统构成的危害, 是当被感染时, 会引起无法估量的毁灭性破坏。按照计算机病毒的算法进行分类, 第一类是伴随性病毒, 此类病毒不会更改文件本身的属性, 但是会伴随文件的运行随之衍生出伴随体文件, 伴随文件具有一样的名字和不同的扩展名字。第二类是蠕虫型病毒, 这种病毒以网络作为媒介进行传播, 不会对文件和资料信息加以篡改, 只是利用一台计算机的内存和网络地址, 将自身的病毒通过网络发送。
3 计算机网络病毒的防御措施
在计算机网络中, 最为重要, 也是最容易发生病毒入侵的环节就是服务站和工作站, 因此作为病毒防御的重点措施, 这两部分也是重点的防御范畴, 除此之外, 加强综合的治理也是十分重要的环节。
3.1 工作站的防御技术
工作站作为数据处理的集中环节, 已经成为了病毒容易集中的对象。经过多年的总结, 已经总结出相对有效的方法, 主要有三种。一是对于软件设备的防御和治理, 定期或者周期性的做反病毒软件的检测工作, 及时掌握工作站的病毒入侵情况。软件是工作站的核心, 对于软件的防御其实就是提升工作站的防治能力, 但这种方式经常会动用人力, 启动防毒软件, 这不但背离了智能化的网络建设原则, 还可能对于病毒的防止不及时, 造成不必要的损失。二是预插防病毒卡, 防病毒卡对于实时监测有着重要的意义, 但随着时间的推移, 当新病毒产生时, 防病毒卡的更新和升级容易跟不上, 从实际的效果出发, 对于运行和反应速率还是有一定的影响。三就是在网络入口, 即接口处安装具有防病毒系统的芯片。病毒芯片的存在, 最大的意义就是能够将病毒的防止与工作站存取的控制有机结合在一起, 对于保护工作站的终极目的, 有适时、快速、有效等方面的优势。但是这种方式同样存在升级方面的问题, 同时也可能对于网络传输的速度造成一定的负面影响。
3.2 服务器的防御技术
计算机网络的核心就是服务器, 没有服务器, 网络将失去现有的意义, 服务器是网络的支柱, 也是确保病毒不可入侵的中心区域。网络服务器一旦受到攻击陷入瘫痪状态, 那么整个网络都会处于工作停滞状态。服务器一旦被病毒击垮, 造成的损失将是不可估量的, 一旦数据遭到大面积破坏, 损失也将无法挽回。发展到现在, 以服务器为基础的病毒防御方法很多都采用可装载的模块, 这种模块几乎都具备随时对病毒进行扫描的能力, 必要时, 还会和服务器插防毒卡的技术进行配合使用, 最总达到服务器保护, 不受病毒侵害的目标, 从根本上切断病毒进攻的路线。
3.3 加强网络病毒的防御
就目前网络病毒的发展趋势和防治手段来看, 仅仅依赖于技术手段效果是十分有限的, 不能从根本上杜绝病毒的产生和蔓延, 由此可以看出, 管理机制对于病毒防御而言, 其地位和技术手段不分伯仲, 特别是对使用者防范意识的提升, 对于从根本上维护网络环境, 保证网络正常运行具有重要的意义。病毒防御技术发展至今, 仍然没有摆脱被动防御的局面, 所以从管理层面更应该积极主动地配合, 从硬件设备到软件管理, 再到系统的使用、服务、维护和保养等多个环节, 应当明确法律法规, 按章办事, 对网络系统的设立各领域专门的管理人员, 对管理人员的选择和培养要有针对性。另外, 要加强法制和职业教育的意识培养, 规范工作程序和操作规程, 对于从事网络违法行为, 制造、使用病毒已获得非法营利的组织或者个人, 要采取全新的技术和手段, 加大惩罚力度, 建立起注意汇总防治和查杀相结合, 预防为主, 查杀为辅, 标本兼职的最佳安全网络环境系统。
4 总结
计算机网络病毒的发展趋势不容乐观, 给计算机系统带来了大量潜在的威胁。病毒俨然已经发展成为困扰计算机系统安全和使用的首要问题。为了能够确保信息的安全, 应该从多方面入手, 分析病毒原理, 制定查杀和防御软件程序的基础上, 加强对于防毒杀毒意识的培养, 多方面相互配合, 才能给计算机网络运行创造安全可靠的工作环境。
摘要:科学技术的发展已经将世界推进到了网络时代, 全球的信息化建设和发展速度达到了前所未有的高度, 对科学、技术、经济、文化和军事等领域都带来了前所未有的冲击, 但有利必有弊, 虽然网络时代给各方面都带来了便利, 但随之而来的安全问题也成了与资源共享共生的孪生矛盾。所谓计算机网络安全威胁, 很大一方面都来源于计算机病毒的供给, 所以对于网络安全的防护, 从根本上说就是对于计算机病毒的防御和治理。笔者针对计算机病毒的种类和防御措施进行了浅要的分析。
关键词:计算机,网络病毒,防御
参考文献
[1]李寿廷.计算机网络安全技术[J].才智, 2009年12期
网络防御技术安全防护论文 篇5
由于调度自动化系统自身工作的性质和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度,企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况,因此调度自动化系统自身设有Web服务器,以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要通过其Web服务器公布于众[5],同时由于配网自动化系统本身的安全性要求,考虑到投资问题,可以把它的安全防护和调度自动化一起考虑进行设计。
2.2主动防御技术类型
目前主动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品,如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。Specter是一种商业化的低交互蜜罐,类似于BOF,不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人“攻陷”的网络,主要用来分析入侵者的一切信息、使用的工具、策略及目的等。
另一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具,如GuidanceSoftware的Encase,它运行时能建立一个独立的硬盘镜像,而它的.FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多,价格昂贵,国内部分企业也开发了一些类似产品。
2.3调度自动化系统安全模型
调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架,P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模型体系框架如图1所示。
在P2DR模型中,策略是模型的核心,它意味着网络安全需要达到的目标,是针对网络的实际情况,在网络管理的整个过程中具体对各种网络安全措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及方法来实现,主要有防火墙、加密和认证等方法。检测是动态响应的依据,通过不断的检测和监控,发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法,它在安全系统中占有最重要的地位。
2.4调度自动化系统的安全防御系统设计
调度自动化以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,结合调度自动化系统的实际运行情况,其安全防御体系模型的物理架构如图2所示。
防护是调度自动化系统安全防护的前沿,主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包,防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面,制造一个被入侵的网络环境诱导入侵,引开*客对调度自动化Web服务器的攻击,从而提高网络的防护能力。
检测是调度自动化安全防护系统主动防御的核心,主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测,主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描,找出漏洞或没有打补丁的主机,以便做出相应的补救措施。陷阱机是设置的蜜罐系统,其日志记录了网络入侵行为,因此不但充当了防护系统,实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的*客攻击方法和工具以及新的系统漏洞。响应包括两个方面,其一是取证机完整记录了网络数据和日志数据,为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。
综上所述,基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性:
(1)・在整个调度自动化系统的运行过程中进行主动防御,具有双重防护与多重检测响应功能;
(2)・企业内部和外部兼防,可以以法律武器来威慑入侵行为,并追究经济责任。
(3)・形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。
3结论
调度自动化系统的安全防护是一个动态发展的过程,本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合,在P2DR模型基础上进行的设计,使调度自动化系统安全防御在遭受攻击的时候进行主动防御,增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术,仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制,尤其是管理规章制度的严格执行等必须长抓不懈。
参考文献:
[1]梁国文.县级电网调度自动化系统实现的功能.农村电气化,,(12):33~34.
[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息网络安全中的应用.电力系统通信,2004,(8):42~45.
[3]赵阳.电力企业网的安全及对策.电力信息化,2004,(12):26~28.
[4]阮晓迅,等.计算机病毒的通用防护技术.电气自动化,,(2):53~54.
[5]郝印涛,等.配网管理与调度间的信息交换.农村电气化,2004,(10):13~14.
[6]韩兰波.县级供电企业管理信息系统(MIS)的应用.农村电气化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..
[8]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,,38(4):17~19.
[9]中华人民共和国国家经济贸易委员会第30号令.电网和电厂计算机监控系统及调度数据网络安全防护规定,2002,(5).
计算机网络安全防御探讨 篇6
关键词:计算机 网络 安全
一、引言
2003年中国网络安全产品的销售额超过了23亿元。这一事实说明:中国网络安全产业已经成为计算机产业中不可缺少的、重要的分支。现代计算机系统功能日渐复杂,网络体系日渐强大,由此而引发的计算机故障也越来越多,特别是计算机信息容易受自然的损坏,甚至人为的破坏,如黑客、恶意软件的攻击,所以使得安全问题越来越突出。尤其是对于军用的自动化指挥网络系统等,其网上信息的安全和保密尤为重要。因此,要提高计算机网络的防御能力,加强网络的安全措施,尽可能地消除存在的安全隐患。
二、计算机网络安全面临的威胁
影响计算机网络安全的因素很多,这里把其分为硬故障和软故障。硬故障主要指计算机及其网络的硬件故障,包括计算机软件及网络设计的缺陷等,可分为非人为和人为两种情况。软故障主要指操作员在使用计算机及其网络时而造成的计算机网络信息丢失等故障,也分为人为和非人为两种情况。
本文主要探讨由于软故障而造成的计算机安全问题。非人为即由于操作员操作不当而无意造成的失误,如资料丢失;计算机网络系统运行不正常,甚至导致瘫痪,造成无法弥补的损失;配置不当造成的安全漏洞;用户安全意识不强;用户口令选择不慎;用户将自己的账户随意转借他人或与人共享等,都会给网络安全带来威胁。人为的即由于操作者存在个人的某种特殊的原因,故意造成资料丢失,或计算机网络系统运行不正常,甚至导致计算机网络瘫痪。黑客攻击、病毒侵袭也属于人为因素。黑客攻击的目标是他能登陆到的计算机系统,对其进行肆意的破坏或进行截获、窃取、破译以获得对方重要的机密信息,进而达到损害对方利益的目的。计算机病毒侵袭到某用户的计算机,并发布操作命令,多数为删除文件、更改文件或占用其信息资源,破坏计算机网络系统正常运行。
三、计算机网络安全防御对策
计算机网络安全防御对策主要分两部分:一部分是对各类正常计算机应用人员进行系统培训,使他们减少失误操作,而对于非正常人员(黑客)就应该从社会道德,甚至法律的角度进行教育或进行严厉的打击。另一部分就是从技术方面解决,研制各类杀毒软件,各种防火墙的应用也能起到积极的预防作用,重要的计算机系统尽可能减少链接到其他网络上。如在組建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗破坏能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份验证、数据过滤,在内部网中进行安全区域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉。网络中的各个节点要相对固定,严禁随意连接,一些重要的部件安排专门的场地人员维修、看管,防止自然或人为的破环,加强场地安全管理,做好供电、接地、灭火的管理,与传统意义上的安全保卫工作的目标相吻合。防御对策重点是防御计算机病毒、黑客攻击。
(一)防御黑客攻击
黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞,并对这些缺陷实施攻击。在计算机网络飞速发展的同时,黑客技术也日益高超,目前黑客能运用的攻击软件已有1000多种。从网络防御的角度讲,计算机黑客是一个挥之不去的梦魔。借助黑客工具软件,黑客可以有针对性地频频对网络发起袭击令其瘫痪,多名黑客甚至可以借助同样的软件在不同的地点集中对一个或者多个网络发起攻击。
理论上开放的系统都会有漏洞,正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。黑客们最常用的手段是获得超级用户口令,他们总是先分析目标系统正在运行哪些应用程序,目前可以获得哪些权限,有哪些漏洞可以利用,并最终利用这些漏洞获取超级用户权限,再达到他们的目的。因此,对黑客攻击防御,主要从访问控制技术、防火墙技术和信息加密技术入手。
(二)防御计算机病毒
目前由于计算机病毒的传染性、潜伏性和巨大的破环性,它已经搅得世界不得安宁,并且在未来的信息传播中,它将始终呈现出永不消失的态势,成为各种计算机用户不得不认真对待的一种高技术难题。预防的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒侵入难度最大的是注入、激活技术和隔离技术。但是要从根本上解决问题,就必须要用安全的设备,加强信息与网络的安全性,大力发展基于自主技术的信息安全产业和建设新一代更快、更安全的互联网。
(三)计算机网络安全防御体系
只有国家、企业、用户多方参与建立完善的计算机网络安全防御体系,才能对发展计算机网络起到根本性的保障作用。
国内,据悉“国家信息安全专业人才培养高层研讨会”于2003年12月29日在北京召开。2000年12月28日,第九届全国人民代表大会常务委员会第十九次会议通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》。《互联网电子公告服务管理规定》也由信息产业部2000年10月8日第四次部务会议通过。2003年3月由辽宁省公安厅获悉,辽宁网络警察部队成立,将全面监管网络虚拟世界犯罪。“虚拟财产保护”成讨论焦点,相关立法有望出台。瑞星发布两款千兆防火墙。种种信息都说明了国家和企业对信息安全防范进一步加强。
国际上,韩国有关部门2004年2月20日宣布成立国家网络安全中心,这个隶属于韩国国家情报院的机构的任务是保护国家通信网络的安全。微软巨额奖金悬赏病毒编写者线索。这些都说明国际上各国和企业都在建立完善的计算机网络安全防御体系。
四、结语
计算机网络发展迅速,新技术层出不穷,其中也不可避免地存在一些漏洞,认清网络的脆弱性和潜在的威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。进行网络防范也要不断追踪新技术的应用情况,及时升级,完善自身的防御措施。
参考文献:
计算机网络防御策略模型分析 篇7
关键词:计算机,计算机网络防御策略,模型
1 计算机网络防御策略模型 (CNDPM) 的概述
1.1 组织
主要是指根据所构成部分及其之间的有序关系所组成的有机体, 例如图书馆、计算机网络等的内、外网, 均可以称为组织。
1.2 主体
主体主要是指能够使得计算机的信息流动、系统状态改变的实体, 具有明显的主动性质。一般CNDPM主体可以表示为:
其中, Active (e) 说明实体e是主动的, 而Operational (e) 则说明它是操作的。一般来说, 主体主要具有两种重要的表现形式, 即节点、用户。节点的构成要素有节点名、子网掩码、IP地址等, 用户则主要是由用户名和用户口令构成。
1.3 角色
角色一般是指特征相同的主体集合, 可以表示如下:
ROLE::{s|Own (s, ch) ∧ (Relate (ch, obligation) ∨Relate (ch, right)
ch∈CHARSCTER,
s∈SUB JECT,
right∈RIGHT, obligation on OBL IGATION}
由ch此可看出, Own (s, ch) 说明s拥有ch;Relate (ch, obligation) 和Relate (ch, right) ) 分别表示ch与obligation和right相关;而SUBJECT、RIGHT及OBLIGATION则分别表示主体类型、权限类型和职责类型。
由于角色r作为组织org当中的构成部分之一, 其相关关系可通过Relate (r, org) 来进行表示。
2 计算机网络防御策略的模型分析
2.1 策略分析
将策略形式化描述成6元组, 表示为:
POLICY::=
其中, org属于ORG;r属于ROLE;a属于ACTIVITY;v属于VIEW;c属于CONTEXT;m属于MEASURE。另外, F:OBG×R×A×V×C→M用于说明该策略中的实体彼此间具有偏函数关系。
将规则形式化描述成5元组, 表示为:
RULE::=
其中, 规则指主体对客体的全部判断动作及不良行为响应的声明;表示组织org中主体s对客体o的动作a应用措施m。
2.2 模型分析
2.2.1 网络拓扑
如图1。将模型的网络H划分成与防火墙各接口相对应的区域, 上边与网络IDS相连接, 下边属于DMZ区域, 具备2个用于供外部访问的服务器, 分别用于提供DNS服务和HTTP、E-mail和FTP服务。
2.2.2 模型构建
在组织网络H当中, 将角色Public Host分配给所有外网主机, 同时, 用ip=111.222.2.0∧mask=24来为角色Private Host进行定义。在视图分配方面, multiserver对应Multi Server视图, dnsserver对应Dns Server视图;在记录方面, 用protocol=tcp来对alltcp进行记录, 用protocol=tcp∧dport=21来对ftp进行记录, 用protocol=tcp∧ (dport110∨dport25∨dport=80∨dport=21) 来对multitcp进行记录, 另外, dns设置用protocol=udpdport=53来记录。
在本组织网络H中, ftp的溢出攻击为default和ftpoverflow_attack, 可作为组织的两种上下文类型。组织策略及其生成的位于防火墙ACL列表的配置分别为7项和11项, 结合其第一项和最后一项来看, 主要包含以下信息:
编号:ACL 1 (ACL 11)
接口:External In (External Out)
记录:access-list100permit udpanyeq53host111.222.1.2.eq53
(access-list 102 permit tcp 111.222.0 0.0.0.255 any any any)
2.2.3 模型防御规则的实现
(1) 由策略1开始, 赋予外网中的Public Host角色对Dns Server视图的DNS服务进行访问的权利。
(2) 外网主机均对应防火墙ACL列表中的源地址, 并用any表示。
(3) 结合上述DNS定义以及相关规则来看, udp和目的端口分配给53的访问活动, 可视为协议部分。其中, udp、53作为动作, 对应ACL列表里的协议和目的端口。由于ACL和DNS服务中的源端口通常保持一致, 为此, 可知acl与dns的源端口一致, 为53。
(4) 一般节点dnsserver仅对应Dns Server视图, 结合上述ACL 1的目的IP=host 111.222.1.2来看, 由RD可实现对ACL1的获取, 并实现对External In接口的配置。
(5) 由此可推断出策略2~5分别对应ACL2~5、ACL6、ACL7~10和ACL11;另外策略6和策略7能够根据实际情况, 检测和响应ftp的溢出攻击。
3 结语
计算机网络防御策略模型作为一个运行机制, 与其防御策略均具有不断发展和变化的特征。通过构建合适的计算机网络防御策略模型, 能够为计算机网络的稳定、正常运行提供重要保障, 提高计算机网络的安全性和可靠性。为此, 本研究通过结合实例, 对计算机网络防御策略模型的构建及其相关知识点进行了一些分析和探究, 希望能够为相关的研究人员提供一些参考和帮助, 为进一步实现网络安全共同努力。
参考文献
[1]夏春和, 魏玉娣, 李肖坚, 等.计算机网络防御策略模型[J].北京航空航天大学学报, 2008, 11 (8)
[2]程相然, 陈性元, 张斌, 等.基于属性的访问控制策略模型[J].计算机工程, 2010, 9 (15)
计算机网络防御策略模型探析 篇8
1.1 基础概念
1.1.1 组织
由组成部分及各部分之间的有序关系构成的有机体就叫做组织,比如图书馆、体育馆、计算机网络里的内网与外网等都叫做组织。
1.1.2 主体、客体、角色、视图、关系
直接进行操作,就是计算机中引起信息流动或令系统状态发生变化的具有主动特性的实体,就叫做主体。采用来表示,表达式中,Active(e)表示实体e是主动的,而Operational(e)则表示实体e是操作的。
节点与用户是主体的两种重要形式。节点主要由节点名、掩码与IP组成,用户的最主要特征则是用户名与口令。
某些拥有相同特征的主体集合就是角色,通常还联系着一组职责或权限,所有特征的综合体就是特性,采用ROLE::={s|Own(s,ch)∧(Relate(ch,obligation)∨Relate(ch,right)),ch∈C HARSCTER,sSUBJECT,right∈RIGHT,obligationOBLIGATION}来表示,表达式中,Own(s,ch)表示s拥有ch,Relate(ch,right)表示ch和right相关,同理Relate(ch,obligation)则表示ch还与obligation相关;其中主体类型是SUBJECT,权限类型是RIGHT,职责类型则是OBLIGATION。
因为角色r是组织org中的一个组成部分,那么就可以用Relate(r,org)来表示两者相关。
由定义可以知道,角色与主体之间是成员关系,角色对主体的分配方式主要有显式分配与隐式定义两种,而通常在org模型中只给于显式分配这一种。这里也只对其进行一些介绍。
显式分配。把角色分配给主体的办法主要是枚举法,主体s被组织作为角色r来雇用,用谓词Employ(org,s)∧As(s,r)来表示,其中表示org雇用s用式中Employ(org,s)来表示,而表达式中谓词As(s,r)则表示s作为r。因为上面两个谓词同时出现的频率很高,因此可以把上面的表达式转变为EmployAs(org,s,r)。这种方式需要用人手来实现枚举,不仅麻烦,而且容易出现误差,为了解决这个问题,本文引入角色的定义,实现角色对主体的间接、主动分配。
操作系统、服务、文件、节点等都是客体,它是指包含或对信息进行接收的具有被动特性的实体。而具有一系列相同特征的客体组合就叫做视图,采用VIEW::={o|ch∈CHARAC-TER,Own(o,ch),o∈OBJECT},表达式中Own(o,ch)表示o拥有ch。
因为网络节点不仅能够作为主体,也可以是客体,因此,将角色r看作是视图,能够用ToView(r)来表示。同时,假若用R来表示视图的自动分配规则,则Use(org,o)∧Define(v,ch)→Own(o,ch)→∧UseAs(org,o,v)
2 策略
可以把策略形式化描述成6元组:POLICY::=
主体对客体的所有判断动作或对不良行为的响应的声明就是具体规则。可以把规则形式化描述成5元组:RULE::=
再给出的策略中,如果上下文c里存在雇用作角色r的主体s,用作视图v的客体o,视为活动的动作,那么应用策略中的措施m,采用RD来表示:Ap(p=
3 实例分析
下面引用一个具体的防御策略作为例子,来分析该建模方法。
3.1 网络拓扑
由图1可以看出,网络H被虚线划分成四个区域,分别和防火墙的四个接口对应,四个接口都存在着输入、输出两个方向:左边是外网,右边为内网,上方连接着网络IDS,下方DMZ区域中存在着着两个能够被外部访问的服务器,分别是dnsserver与mulitiserver,其中前者主要提供DNS服务,后者则提供HTTP、E-mail及FTP服务。
3.2 策略的建模
将网络H视为一个组织,角色Public Host分配给外网中的所有主机,角色Private Host定义为ip=111.222.2.0∧mask=24,视图MultiServer、DnsServer分别分配给multiserver、dnsserver,活动alltcp记为protocol=tcp,ftp记为protocol=tcp∧dport=21,m ultitcp记为protocol=tcp∧(dport=110∨dport=25∨dport=80∨dport=21),dns记为protocol=udpdport=53,default与ftpoverflow_attack,即ftp溢出攻击,则是它的两种上下文类型。组织H中的策略共有7项,由策略生成的配置在防火墙上的ACL列表为11项,首项编号为ACL1,配置接口为External In,记为access-list 100 permit udp any eq 53 host 111.222.1.2.eq 53,末项编号为ACL11,配置接口为External Out,记为access-list 102
3.3 具体规则的产生
从策略1开始,给予角色PublicHost访问视图DnsServer的dns服务的权利。
(1)外网中由角色PublicHost分配的所有主机,都与防火墙配置的Acl列表中的源地址对应,表示为any。
(2)通过上面给出的dns定义和规则能够知道,协议就是udp、目的端口分配给53的访问的活动,动作包括udp和53,和ACL里的协议及目的端口对应。ACL中源端口通常与dns服务的源端口一致,由于dns为53,因此,acl也设为53。
(3)视图DnsServer只分配给dnsserver节点,参考上面给出的ACL1中的目的IP,值为houst111.222.1.2。由RD可以获得ACL1,并配置External In接口。
根据相关推导流程,策略2、3、4、5分别得到ACL2~5、ACL6、ACL7~10、ACL11。
策略6、7是ftp溢出攻击的检测与响应策略,根据实际攻击触发。
参考文献
[1]夏春和,魏玉娣,李肖坚,何巍.计算机网络防御策略模型[J].北京航空航天大学学报,2008(8)
计算机网络防御策略描述语言分析 篇9
1 计算机网络防御策略描述语言基本需求分析
一个优秀的计算机网络防御策略描述语言应当具备以下几个方面的内容: (1) 组织机构; (2) 视图元素; (3) 活动元素; (4) 策略元素; (5) 上下文元素; (6) 措施声明; (7) 角色元素; (8) 策略元素; (9) 继承关系元素。从设计方案的实施角度上来说, 对于计算机网络防御策略描述语言, 有如下几个方面的详细设计目标。
1.1 首先, 计算机网络防御策略描述语言应当具备良好的表达
能力, 能够建立在CNDPM模型的基础之上, 实现对各种保护策略、响应策略以及检测策略有效表达与描述。
1.2 其次, 计算机网络防御策略描述语言应当具备良好的灵活
性特征, 同时兼顾对整个描述语言结构的简单性, 确保语言设计所对应的语法形式直观、形象。
1.3 再次, 计算机网络防御策略描述语言应当实现描述动作的
无关性。确保在应用防御策略描述语言的过程当中, CNDPM语言能够自动解析为具体执行部件所对应的防御策略与防御规则。
1.4 最后, 计算机网络防御策略描述语言应当具备良好的可拓
展性, 能够在对描述语言进行拓展处理的过程当中, 达到表示更多防御策略的目的。
2 计算机网络防御策略描述语言实施方案分析
结合上述有关计算机网络防御策略描述语言应用功能的具体要求, 不难发现:不论是对于有关组织机构的描述、对于角色的描述, 或者是对于其他类型的元素的设计作业来看, 描述语言均应当包含对语句块的描述、策略语句块的藐视以及策略语句的描述情况。具体可以划分为以下几个方面的内容。
2.1 首先, 从计算机网络防御策略描述语言中对于组织机构的
描述设计分析角度上来说, 对于组织结构的描述应当是整个计算机网络防御策略描述语言的核心所在。可以通过对网络配置进行搜索的方式, 将组织机构的描述语言建立在与目录服务器同名域位置当中。按照此种方式, 以组织声明为例, 具体构建方式为:
_组织声明——::org_组织名[_包含关系-]
2.2 其次, 从计算机网络防御策略描述语言中对于策略元素的
描述设计分析角度上来说, 考虑到有关策略元素描述语言始终封装于整个组织结构当中, 从而要求在防御策略描述语言的设计过程当中, 将其定义为五元组形式, 具备包括删除以及配置在内的两项关键操作职能。具体的构建方式为:
_策略-::= (policy) |delete-policy) _措施-_角色名-_活动名-_视图短语- (_上下文名-|default)
2.3 再次, 从计算机网络防御策略描述语言中对于角色元素的
描述设计分析角度上来说, 描述语句的设计不仅应当包含一般意义上的声明语句 (声明语句需要将具体的类型予以制定) , 同时还应当包括层次语句、定义语句以及分配语句这三类语句在内。其中, 层次语句需要将角色元素所对应的继承关系予以描述, 而定义语句需要将角色元素中的基本特性予以全面描述, 同时还需要结合该特性, 在既定的目录列表当中将特性的实体挖掘出来, 实现间接性的实体分配目的;分配语句则是通过对实体列表的有效定义, 在既定的目录列表当中, 实现对试题信息的获取 (需要特别注意的一点是:一般意义上的语句名字定义均表现为字符串形式) 。且视图元素以及活动元素的语言描述方式同角色描述基本一致, 如下:
(1) 角色元素声明语句:_角色声明-::=role_角色名-_角色类型-[_角色继承-][_角色特性-][assign_to_主体列表-]
(2) 角色元素层次语句 (继承语句) :_角色继承-::=extends_角色名-{_角色名-}
(3) 角色元素定义语句 (角色特性及节点特性语句) :_角色特性-::=_节点特性-/*角色性质限于节点 (用户通过列表方式完成语句分配) ;_节点特性-::=_子网-{_子网-}
(4) 角色元素分配语句 (实体列表及分配关系语句) :_实体列表-::_用户列表-|_节点列表-;_角色分配-::=role_角色名-assign_to_主体列表-
2.4 最后, 从计算机网络防御策略描述语言中对于措施元素的
描述设计分析角度上来说, 防御策略描述语言的确定不单单需要包括一般意义上的保护措施以及检测措施, 同时还应当涉及到支持拓展特性的相应措施。确保在整个计算机网络防御策略描述语言的应用过程当中, 能够结合实际需求, 增加相应的描述, 确保防御措施的完备性。具体的构建方式如下所示:
_措施-::_保护措施-|_检测措施-|_响应措施-
结束语
通过本文以上分析不难发现:通过此种计算机网络防御策略描述语言的构建, 不仅能够实现对访问控制领域策略的详细表示, 同时还能够实现对包括保密在内的其他保护策略的有效描述, 有着良好的适应性能力。总而言之, 本文针对有关计算机网络防御策略描述语言所涉及到的相关问题做出了简要分析与说明, 希望能够引起各方工作人员的特别关注与重视。
参考文献
[1]董孟高, 毛新军, 常志明等.自适应多Agent系统的运行机制和策略描述语言SADL[J].软件学报, 2011, 22 (4) :609-624.[1]董孟高, 毛新军, 常志明等.自适应多Agent系统的运行机制和策略描述语言SADL[J].软件学报, 2011, 22 (4) :609-624.
[2]郝小雷, 董孟高, 毛新军等.自适应Agent策略描述语言的设计及编译器的实现[J].电子学报, 2009, 37 (z1) :65-69.[2]郝小雷, 董孟高, 毛新军等.自适应Agent策略描述语言的设计及编译器的实现[J].电子学报, 2009, 37 (z1) :65-69.
[3]张卓彬, 张, 李军怀等.一种面向消息的服务契约开发方法研究与实现[J].微电子学与计算机, 2008, 25 (8) :99-102.[3]张卓彬, 张, 李军怀等.一种面向消息的服务契约开发方法研究与实现[J].微电子学与计算机, 2008, 25 (8) :99-102.
[4]吴昊, 华庆一, 常言说等.一个轻量级多设备用户界面描述语言MDUIDL[J].计算机工程与应用, 2011, 47 (35) :14-21, 31.[4]吴昊, 华庆一, 常言说等.一个轻量级多设备用户界面描述语言MDUIDL[J].计算机工程与应用, 2011, 47 (35) :14-21, 31.
计算机网络信息管理及防御技术 篇10
关键词:计算机,网络信息管理,防御技术
计算机网络信息管理是在计算机网络技术快速发展之下对于网络信息技术进行管理的重要手段, 能够有效地保障计算机网络信息的安全性。但是, 我们现在的计算机网络信息管理存在着一些问题, 使得计算机网络信息容易遭到攻击、容易被泄露从而影响用户的信息安全。因此, 我们需要对计算机网络信息管理中存在的问题进行分析, 进而探索出相应的防御技术, 最终促进计算机网络信息管理目的的高效实现。
1 计算机网络信息管理中存在的问题
1.1 计算机网络信息管理体制不健全
健全的计算机网络信息管理体制能够有效地对计算机网络信息管理中的风险进行控制, 进而有效地保障计算机网络信息的安全。但是, 我们现有的计算机网络信息管理体制构建是不健全的, 给我们实现高效的计算机网络信息管理造成了一定的制约。首先, 计算机网络管理体系构建形式较为单一。较单一的网络管理体系主要是用来对集中形式的网络进行管理, 这种管理方式虽然对于访问的控制性较强, 但是却缺乏一个相对稳定和可靠的统计环境, 使得信息的统计变得困境重重。其次, 计算机网络管理体系在进行复杂的网络信息管理工作时, 呈现出碎片化的特征。呈现出碎片化的特征意味着, 计算机网络管理体系在开展管理工作的过程中, 不能够程序化的处理问题, 这样, 就使得网络信息管理效率低下, 难以及时发现存在的非常规性问题。
1.2 计算机网络信息管理配套较为落后
计算机网络管理的配套主要是指用来进行计算机网络管理的设备。在计算机网络技术以及计算机网络设备快速发展的现代社会, 设备的及时更新就意味着对于资源有更多的利用能力和管理能力, 而陈旧的设备由于其兼容性以及自身性能等问题很容易在管理的过程中出现故障, 以至于难以正常地完成对于整个计算机网络进行管理的任务。或者说由于自身存在的性能问题进而让一些别有用心者钻了空子, 从而导致计算机网络信息整体的不安全。
1.3 计算网络信息管理技术落后
计算机网络信息管理技术是实现计算机网络信息管理的重要保障, 而当前, 我们的计算机网络信息管理技术较为落后, 严重地影响了计算机网络信息管理的安全性。首先, 对于信息的检测技术较为落后。落后的信息检测技术使网络信息管理人员难以发现计算机网络信息中存在的问题, 从而影响计算机网络信息的安全。其次, 对于信息访问控制的技术较为落后。进行信息访问控制是保障计算机网络信息安全的重要手段, 一旦出现问题, 很容易造成网络信息的泄露和被篡改, 影响用户的正常使用。最后, 网络故障的处理较为落后。网络故障的处理十分考验计算机网络信息管理者的能力, 要求计算机网络信息管理者能够及时发展并且处理出现的问题, 避免问题的扩大导致难以控制。但是, 由于网络信息故障预警机制不完善, 所以导致一些网络信息在被泄露或者被篡改很长一段时间之后才被管理者发现, 影响整个计算机网络的安全。同时, 故障的处理能力较差, 不能够及时对发现的故障进行止损, 造成信息安全问题扩大。
2 计算机网络信息安全的防御技术
2.1 通过合理配置防火墙来保障计算机网络信息的安全
防火墙既能够防止计算机遭到外来的攻击, 还能够保障计算机网络通讯过程中的信息安全, 因此, 我们需要给计算机网络配置合理的防火墙, 以进行相应的访问控制, 从而保障计算机网络信息的安全。首先, 利用防火墙来进行信息检测, 以保障往来信息的安全。通过对防火墙进行合理的配置, 使用防火墙来对信息进行检测, 能够有效地将不安全的信息阻挡在主机之外, 从而有效避免信息攻击, 进而从根源上保障计算机网络的安全。其次, 根据实际的需要对防火墙进行相应的设置, 从而实现对访问者的控制, 避免网络信息的泄露。通过对防火墙的审查机制进行设置, 能够保障每个持有相应权限的访问者能够自主根据其权限来进行相应的网络访问, 在保障不越权访问的同时保障整个信息网络不受到威胁。
2.2 利用现代网络技术对信息访问者进行认证, 保障信息访问者身份不被盗用
信息访问者身份被盗用进而产生的信息泄露和被篡改问题是计算机网络信息管理中存在的重要问题, 因此, 我们需要利用现代网络技术对信息访问者进行唯一的认证, 从而保障网络信息的安全。利用数字认证技术对访问者进行认证。在具体的进行数字认证的过程中, 可以采用数字签名技术来对各种不同权限用户的身份进行唯一性认证, 从而对其信息访问行为进行控制, 保障信息的安全。
2.3 及时更新计算机网络信息管理配套设施
通过对计算机网络信息管理配套设施进行及时更新, 采用先进的、性能较好的设备来进行计算机网络信息管理, 能够有效地保障计算机网络信息管理的效率, 从而及时发现存在的各种隐患, 并且对其开展高效的处理。避免因为设备的老旧而在进行信息处理时出现处理速度慢乃至瘫痪等情况。
3 结语
综上所述, 计算机网络信息管理对于信息化时代个人、企业和政府部门的信息安全等都有着非常重大的影响, 因此, 我们需要对计算机网络信息管理中存在的问题以及其背后的原因进行分析, 进而对其防御技术进行研究, 以促进计算机网络信息管理效率的提高, 最终为计算机网络的使用者提供一个相对安全的网络信息环境。我们相信, 只有不断地根据计算机网络信息管理中存在的问题而采用相对应的、较新的防御技术, 才能够有效保障计算机网络信息的安全, 才能够为使用者提供一个相对稳定的网络信息环境。
参考文献
[1]李宝敏, 徐卫军.计算机网络安全策略与技术的研究[J].陕西师范大学学报 (自然科学版) , 2013 (01) .
谈计算机网络安全的防御技术 篇11
一、反攻击技术的核心问题
反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息(数据包信息,网络流量信息、网络状态信息、网络管理信息等),这既是进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。
二、攻击的主要方式
对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分以下几类:
1.拒绝服务攻击
一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、Win Nuke攻击等。
2.非授权访问尝试
是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
3.预探测攻击
在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4.可疑活动
是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP AddressFTU User事件等。
5.协议解码
协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
三、攻击行为的特征分析与反攻击技术
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测方法:判断网络数据包的源地址和目标地址是否相同。
反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
2.TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的1P地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其他合法的SYN连接,即不能对外提供正常服务。
检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
3.Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测方法:判断数据包的大小是否大于65535个字节。
反攻击方法:使用新的补丁程序,当收到大于WinNuk个字节的数据包时,丢弃该数据包,并进行系统审计。
4.WinNuke攻击
攻击类型:WinNuk攻击是一种拒绝服务攻击。
攻击特征:WinNuk攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测方法:判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的ardropC地址和IP地址C)。
5.Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP / UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测方法:统计外界对系统端口的连接请求,特别是对21、23、 25、 53、80、8000、 8080等以外的非常用端口的连接请求。
反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
四、入侵检测系统的几点思考
从性能上讲,入侵检测系统面临的一个矛盾就是系统性能与功能的折衷,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲,入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
一是如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
二是网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。
三是网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
四是对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。
五是采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
六是对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
计算机网络防御的关键技术探究 篇12
一、计算机网络技术的应用
(一)企业中网络技术的应用。
数字信息化时代的到来,带动了计算机网络技术的发展,对企业进步、社会发展具有深远意义,实现了企业管理的自动化控制、无纸化办公,从综合实力上提高了企业的竞争优势。如政府机构中通过计算机网络技术,实现了交流信息管理平台的构建,加快了数据信息的传输、自动化管理作业,保证工作效率大幅度提升。计算机行业对建筑领域来说贡献尤为显著,一方面互联网为设计人员带来了多方资源,加强了经验分享,另一方面,计算机网络技术的发展实现了工程项目的有序化、数据库形式的管理,保证了图纸相关信息的及时共享、高效精确。
(二)计算机网络安全问题分析。
一是计算机网络具有开放、资源共享的特点,导致易受到病毒入侵。病毒是一种人为编制的代码程序,可在计算机中安装实现一定的破坏作用,严重威胁计算机功能使用,同时容易导致系统瘫痪。网络病毒具有隐蔽、触发、寄生的特点,危害大,是网络中的重大隐患问题。二是在网络运行中,黑客的存在对计算机正常运行具有一定的威胁,黑客通过特殊技术可以实现侵占他人服务器的目的,进而通过隐藏命令、木马等方法进行控制操作,甚至进行病毒移植,实现其个人目的,对用户来说具有无法预知的潜在危害。三是计算机系统漏洞是自身缺陷,容易导致黑客、病毒等侵袭,对系统造成破坏,导致信息数据泄露,而操作人员的失误也是导致网络安全隐患的重要原因。
二、计算机网络防御关键技术
(一)防御模型。
计算机网络防御策略模型的构建可以通过三维模型进行表示,对其分析能够明确在防御策略模型中系统思想、方式技术、网络知识是构建计算机网络防御策略模型的重要支撑。在计算机网络防御策略模型中思想与技术的结合,知识体系与防御策略的统一对计算机网络系统在工程中的应用具有重要意义。计算机网络防御技术充分保证信息的精益化发展,同时加强高层防御的控制作用,提升计算机的操作防御能力,是计算机安全系统落实的基础环节。实际管理过程中,根据服务资源要求,需要在节点处进行计算机安全参数的获取,根据实际工况变化进行参数重新设置。参数设置过程中会与数据包等信息相关,在计算机防御效果改善的同时发生语法变化,进而形成相应代码,理论分析中,CNDPR模型可以实现防御体系的具象化,进而根据操作层的管理需求,将防御设备、节点新数据进行转化,实现可执行的操作手段。
(二)模型安全体系。
为了保证各行各业的计算机网络应用具有安全保障,需要构建模型安全体系。模型安全体系需要根据计算机、运行状况等多方面因素综合考虑。保证防御措施能够充分落实,实现计算机整体的安全保障。模型安全体系具有操作灵活、工作效率高的特点,同时能够充分降低人工管理的成本资金,更具有经济价值。防御模型是模型安全体的关键核心部门,同时安全体是计算机网络防御的基本框架结构。计算机网络防御模型的构建是模型安全体系的重要表现计算机网络防御策略模型是一个立体的、三维的概念,用数学模型来解释就是:防御模型是由x、z、y三个轴组成的,x轴为计算机安全特性;y轴分为物理层、数据链路层、网络层、传输层、应用层等层面;z轴为计算机的物理环境,其包含计算机的安全管理、信息网络和信息处理。通过加强防御模型的控制作用,可以保证计算机网络的安全性大幅度提升,建立网络防御模型时需要加强总体分析效果,实现网络的运行安全,能够充分满足用户、企业的各种管理体系的有效落实。
三、提高计算机网络防御技术的措施
(一)建立人性化网络安全管理系统。
计算机的发展与安全管理需要满足自身发展特点,进行逐渐变化的自身完善,保证功能、内容满足实际需要的前提下,进行人性化管理措施落实。计算机管理中需要加强相关操作人员的教育培训工作,从人的角度出发保证数据管理的安全、科学、合理性,合理的设备管理体系对企业、生产发展具有积极促进作用,利于各项管理细则高效落实。为了保证网络防御工作开展稳定,需要加强管理人员的宣传、教育培训工作,保证安全管理系统逐步完善。
(二)防火墙等安全设置分析。
防火墙作为计算机网络防御的基础软件,能够保证计算机与整体网络之间的高效连接,充分阻止潜在威胁,保证系统稳定运行,保护计算机网络免受诸多干扰,具有一定的现实意义。通过防火墙设置保护,可以实现长期未使用端口的自我保护、危险或不明网址的隔离访问,提升计算机安全抵抗能力,通过有效的屏障实现计算机安全运行。
(三)反病毒技术的应用。
为了保证计算机网络保护系统的完整性,需要在防火墙基础之上进行反病毒技术落实,网络病毒防御工作在现代互联网中重要程度较高,需要加强网络安全管理相关内容要求,同时避免用户自行下载的盗版反病毒软件,避免使用未经安检的软件,防止发生下载、安装导致的系统故障。针对计算机内部的机密文件、重要文件需要进行充分的备份管理,防止系统故障、病毒等状况导致的数据丢失,同时可根据实际情况进行访问权限设置,能够人为控制非法入侵状况的发生,对计算机网络系统的安全性提供一定保障。
(四)扫描技术提升网络防御效果。
计算机扫描技术作为现阶段广泛使用的防御手法,在网络安全中具有重大作用,能够根据操作人员的实际扫描行为进行内部威胁审查,范围广、应用方便、可信度高,在网络安全中具有重要价值,能够充分提升计算机的防御能力,配合防火墙、反病毒技术应用,对整体安全体系来说具有十分重要的意义。为了保证网络系统安全体系的合理规划,需要重视扫描软件的技术更新,保证其功能能够高效落实。为了能够在网络环境里使数据的扫描具有保密性和完整性,构建一个高效、合理的安全防御体系将势在必行。
四、结语
计算机网络技术的发展,为各行各业、生产、生活带来了翻天覆地的变化,但同时互联网安全问题也引起相关领域学者的重视,为了保证计算机网络技术的高效、安全运行,需要充分进行病毒、垃圾网站隔离处理,必须加强计算机安全防御体系的构建,充分利用现有科技水平,最大程度进行安全防御、反攻击、反病毒操作,保证计算机网络系统的功能能够完美实现,保证整体安全防御体系逐步完善,同时,防御体系构建需要重视管理人员的安全意识提高,加强操作管理人员的培训机制。
参考文献
[1]夏春和,魏玉娣,李肖坚等.计算机网络防御策略[J].北京航空航天大学学报,2010,34(8):925
[2]徐伟杰.计算机网络防御策略研究[J].计算机光盘软件与应用,2013,20(5):254~255
【计算机网络防御】推荐阅读:
计算机防御网络安全10-22
计算机网络安全与防御07-17
计算机病毒分析与防御10-11
计算机计算06-11
计算思维计算机基础06-13
计算机云计算技术05-16
并行计算、网格计算09-15
计算机类:计算机相关简历09-01
云计算环境下的计算机网络安全07-06