资源描述:
《构建一个安全的信息网络new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、126交通与计算机2005年第4期第23卷(总第125期)构建一个安全的信息网络朱剑勇(陕西省交通厅信息站西安710003)摘要随着互联网的发展,不可预见的网上攻击和安全问题会越来越多。文章介绍了信息网络所面临的安全威胁的几个方面,提出了构建一个安全的信息网络的策略、方法,可相对减少网络安全威胁,提高网络安全性。关键词网络安全;信息网络;安全策略中图分类号:TP393.08文献标识码:AAbstract:WiththeincreaseofInternet,therearemoreandmoreonlineattacksandotherse-curityproblems.This
2、paperintroducesthethreatstonetworksecurityinseveralaspects,andputsforwardastrategyandmethodtobuildasafeinformationnetwork.Asaresult,thethreatstonetworksecurityarereducedandnetworksecurityisimproved.Keywords:networksecurity;informationnetwork;securitystrategy随着计算机技术的不断发展,其在交通、国硬件平台、操作系统、应用软件、
3、网络架构、传输链防、电信、银行、广播等方面都有广泛的应用,随之路、存储介质、网络应用、网络协议、网络管理、数而来的安全问题也愈来愈多。对于政府部门来说,据库应用、MIS系统等。所以,网络系统可能存在如何构建一个安全的信息网络就显得非常重要。的安全威胁来自以下方面。1)硬件安全威胁。主机系统的安全缺陷,不1网络安全概述完整性;交换机、路由器本身存的不稳定性等。1.1网络安全的定义2)操作系统的安全性。操作系统均存在网络从本质上来讲,网络安全就是网络上的信息安全漏洞。安全,是指网络系统的硬件、软件及其系统中的数3)防火墙的安全性。防火墙产品自身是否安据受到保护,不受偶然的或者恶意的
4、原因而遭到全,是否设置错误,需要经过检验。破坏、更改、泄露,系统连续可靠正常地运行,网络4)协议族安全威胁。本身缺乏安全性。系统服务不中断。广义来说,凡是涉及到网络上信息的内运行多种网络协议(TCP/IP,IPX/SPX,NET-保密性、完整性、可用性、真实性和可控性的相关BEUA),而这些网络协议并非专为安全通讯而设技术和理论都是网络安全所要研究的领域。网络计。安全涉及的内容既有技术方面的问题,也有管理5)侦听(sniffing)。入侵者通过安装侦听器方面的问题,两方面相互补充,缺一不可。技术方程序来监视网络数据流,从而获取连接网络系统面主要侧重于防范外部非法用户的攻击,管理
5、方时用户键入的用户名和口令。面则侧重于内部人为因素的管理。如何更有效地6)病毒。来自Internet的电子邮件挟带的病保护重要的信息数据、提高计算机网络系统的安毒及Web浏览可能存在的恶意控件。全性已经成为所有计算机网络应用必须考虑和必7)欺骗(spoofing)。欺骗是用来骗取目标系须解决的一个重要问题。统,使之认为信息是来自或发向其所相信的人的1.2系统面临的安全威胁过程。欺骗可在IP层及以上层级发生(如地址解要建立安全的、可信任的网络系统,首先就要析欺骗、IP源地址欺骗、电子邮件欺骗等),当1分析网络存在来自那些方面的安全威胁。由于网台主机的IP地址假定为有效,并为TCP
6、和UDP络构成上存在许多的软硬件,即网络实体,包括:服务所相信,利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。收稿日期:2005-06-198)路由和中继攻击。向路由系统中插入错误构建一个安全的信息网络——朱剑勇127的路由信息,重定向流量到一个黑洞中、重定向流验证。量到慢速连接、重定向流量到不同的地方进行侦6)防火墙。网络防火墙技术作为内部网络与听或修改。外部网络之间的第1道安全屏障,是最先受到人9)应用软件的漏洞和“后门”。网络软件不可们重视的网络安全技术,就其产品的主流趋势而能是百分之百的无缺陷和无漏洞的,而这些漏洞言,大多数代理服务器(也称应
7、用网关)集成了包和缺陷恰恰是黑客进行攻击的首选目标;软件的滤技术,这两种技术的混合应用显然比单独使用“后门”都是应用软件开发公司的设计编程人员为具有更大的优势。那么究竟应该在哪些地方部署了自便而设置的。防火墙呢?首先,应该安装防火墙的位置是内部网10)人为有、无意的失误。如操作员安全配置络与外部Internet的接口处,以阻挡来自外部网不当造成的安全漏洞,用户安全意识不强,用户口络的入侵;其次,如果内部网络规模较大,并且设令选择不慎,用户将自己的帐号随意转借他人或置有虚拟局域网Vlan,那么