本文目录一览:
入侵防御系统的系统介绍
全球更佳的新一代IPS (NGIPS): HP TippingPoint
TippingPoint的主动式入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,TippingPoint的入侵防御系统在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外,TippingPoint的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。
通过全面的数据包侦测,TippingPoint的入侵防御系统提供吉比特速率上的应用、 *** 架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有 *** 架构保护能力,TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他 *** 基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源,从而确保网路资源的合理配置并保证关键业务的性能。
TippingPoint 应用情境:
1、 *** 忽快忽慢,不知原因2、经常AD lock,无法登入网域3、防火墙常被塞爆4、上微软Patch(补丁)却没时间重开机5、希望虚拟化环境中,提供IPS保护6、希望管理上网行为
WAF是什么意思?
Web应用防护系统称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登录后进行的操作行为;
(2) 对安全策略进行添加、修改、删除等操作行为;
(3) 对管理角色进行增加、删除和属性修改等操作行为;
(4) 对其他安全功能配置参数的设置或更新等行为。
产生背景
当WEB应用越来越为丰富的同时,WEB服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件,频繁发生。2007年,国家计算机 *** 应急技术处理协调中心(简称CNCERT/CC)监测到中国大陆被篡改网站总数累积达61228个,比2006年增加了1.5倍。其中,中国大陆 *** 网站被篡改各月累计达4234个。
企业等用户一般采用防火墙作为安全保障体系的之一道防线。但是在现实中,Web服务器和应用存在各种各样的安全问题,并随着黑客技术的进步也变得更加难以预防,因为这些问题是普通防火墙难以检测和阻断的,由此产生了WAF(Web应用防护系统)。
Web应用防护系统(Web Application Firewall,简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。
与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
求一片关于入侵防御系统(IPS)的论文
《科技传播》杂志
国家级科技学术期刊
中英文目录
知网 万方全文收录
随着对 *** 安全问题的理解日益深入,入侵检测技术得到了迅速的发展,应用防护的概念逐渐被人们所接受,并应用到入侵检测产品中。而在千兆环境中,如何解决应用防护和千兆高速 *** 环境中数据包线速处理之间的矛盾,成为 *** 安全技术发展一个新的挑战。
入侵检测技术的演进。
入侵检测系统(IDS, Intrusion Detection System)是近十多年发展起来的新一代安全防范技术,它通过对计算机 *** 或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。
但在入侵检测产品的使用过程中,暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出,并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给 *** 带来附加的安全,反而会增加管理员的困扰,建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。
从功能上来看,IDS是一种并联在 *** 上的设备,它只能被动地检测 *** 遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在 *** 的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此,从实用效果上来看,和IDS相比入侵防御系统IPS向前发展了一步,能够对 *** 起到较好的实时防护作用。
近年来, *** 攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析,目前对 *** 的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。因此,对具体应用的有效保护就显得越发重要。从检测 *** 上看,IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型,进行基于攻击特征串的匹配。但对于应用层的攻击,通常是利用特定的应用程序的漏洞,无论是IDS还是IPS都无法通过现有的检测技术进行防范。
为了解决日益突出的应用层防护问题,继入侵防御系统IPS之后,应用入侵防护系统(AIP,Application Intrusion Prevention)逐渐成为一个新的热点,并且正得到日益广泛的应用。
应用入侵防护
对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。
所谓应用入侵防护系统AIP,是用来保护特定应用服务(如web和数据库等应用)的 *** 设备,通常部署在应用服务器之前,通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。
在对应用层的攻击中,大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次 *** 安全评估过程中发现,97%的web站点存在一定应用协议问题。虽然这些站点通过部署防火墙在 *** 层以下进行了很好的防范,但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议,应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略,AIP能够对以下类型的web攻击进行有效防范:
恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 Sql插入 已知漏洞攻击
应用入侵防护技术近两年刚刚出现,但发展迅速。Yankee Group预测在未来的五年里, AIP将和防火墙,入侵检测和反病毒等安全技术一起,成为 *** 安全整体解决方案的一个重要组成部分。
千兆解决方案
应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要的作用,同时随着 *** 带宽的不断增加,只有在适合千兆环境应用的高性能产品才能够满足大型 *** 的需要。
传统的软件形式的应用入侵防护产品受性能的限制,只能应用在中小型 *** 中;基于x86架构的硬件产品无法达到千兆流量的要求;近年来, *** 处理器(NP)在千兆环境中得到了日益广泛的应用,但NP的优势主要在于 *** 层以下的包处理上,若进行内容处理则会导致性能的下降。
通过高性能内容处理芯片和 *** 处理芯片相结合形式,为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能,由 *** 处理芯片实现 *** 层和传输层以下的协议栈处理,通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实现了千兆流量线速转发和高速内容处理的完美结合,真正能够为用户提供千兆高性能的应用防护解决方案。
在上面系统框架中,包处理引擎收到数据包后,首先由 *** 处理器进行传输层以下的协议栈处理,并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理,根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器,攻击包则被丢弃。
在高性能的千兆解决方案中,能够实现 *** 层到应用层的多层次立体防护体系。对于面向大型web应用,产品通过多种功能的集成实现有效的应用防护:
Web应用入侵防护。通过系统内置的 *** 内容处理芯片,对web请求和回应流量进行细致的分析。根据内置的规则及启发式的安全策略,有效防范各种针对web应用的攻击行为。
DOS攻击的防护。系统通过 *** 处理芯片,对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等 *** 层的拒绝服务攻击进行过滤的防范,有效保护服务器。
访问控制。通过硬件的ACL匹配算法,系统能够在实现线速转发的同时对数据包进行实时的访问控制。
中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案,实现了千兆流量下的线速处理。系统以透明模式接入 *** ,在增强安全性的同时, *** 性能不会受到任何影响,真正实现了应用层内容处理和千兆高性能的完美结合。
求一篇计算机 *** 的论文
计算机 *** 安全1 绪论随着互联网的飞速发展, *** 安全逐渐成为一个潜在的巨大问题。 *** 安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证 *** 安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的 *** 对那些惯于作案的老手来说,收效甚微。
*** 安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的 *** 安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。2 方案目标本方案主要从 *** 层次考虑,将 *** 系统设计成一个支持各级别用户或用户群的安全 *** ,该网在保证系统内部 *** 安全的同时,还实现与Internet或国内其它 *** 的安全互连。本方案在保证 *** 安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对 *** 的侵扰和破坏,它的作用仅在于更大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说, *** 安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到更低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
*** 安全技术是实现安全管理的基础,近年来, *** 安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。3 安全需求通过对 *** 系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保 *** 系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程
完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部 *** 与外部不可信任的 *** 隔离,对与外部 *** 交换数据的内部 *** 及其主机、所交换的数据进行严格的访问控制。同样,对内部 *** ,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止 *** 攻击行为、追查 *** 泄密行为的重要措施之一。具体包括两方面的内容,一是采用 *** 监控与入侵防范系统,识别 *** 各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏4 风险分析 *** 安全是 *** 正常运行的前提。 *** 安全不单是单点的安全,而是整个信息网的安全,需要从物理、 *** 、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。 *** 安全系统必须包括技术和管理两方面,涵盖物理层、系统层、 *** 层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成 *** 的中断。根据国内 *** 系统的 *** 结构和应用情况,应当从 *** 安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是 *** 安全技术需要提供的一个重要功能。它要连续不断地对 *** 中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括 *** 中所有有关的成分。5 解决方案5.1 设计原则
针对 *** 系统实际情况,解决 *** 的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持 *** 原有的性能特点,即对 *** 的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原 *** 拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。
5.2 安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要 *** 设备进行风险评估,保证信息系统尽量在更优的状况下运行。
2.采用各种安全技术,构筑防御系统,主要有:
(1) 防火墙技术:在 *** 的对外接口,采用防火墙技术,在 *** 层进行访问控制。
(2) NAT技术:隐藏内部 *** 信息。
(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共 *** 上的延伸,通过一个私有的通道在公共 *** 上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共 *** 的存在,仿佛所有的机器都处于一个 *** 之中。公共 *** 似乎只由本 *** 在独占使用,而事实上并非如此。
(4) *** 加密技术(Ipsec) :采用 *** 加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决 *** 在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7) *** 的实时监测:采用入侵检测系统,对主机和 *** 进行监测和预警,进一步提高 *** 防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对 *** 攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3 防御系统
我们采用防火墙技术、NAT技术、VPN技术、 *** 加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成 *** 安全的防御系统。
5.3.1 物理安全
物理安全是保护计算机 *** 设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息 *** 系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是 *** 、军队、金融机构在兴建信息中心时首要的设置的条件。
为保证 *** 的正常运行,在物理安全方面应采取如下措施:
1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。
2.运行安全方面: *** 中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4.保安方面:主要是防盗、防火等,还包括 *** 系统所有 *** 设备、计算机、安全设备的安全防护。
5.3.2 防火墙技术
防火墙是一种 *** 安全保障手段,是 *** 通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个 *** 的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的 *** 遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部 *** 和Internet之间地任何活动,保证了内部 *** 地安全;在物理实现上,防火墙是位于 *** 特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行 *** 互连地路由器上实现防火墙。用防火墙来实现 *** 安全必须考虑防火墙的 *** 拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。
(3)主机过滤结构:这种结构实际上是包过滤和 *** 的结合。
(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、 *** 地址转换—NAT、 *** 型和监测型。
5.3.2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是 *** 中的分包传输技术。 *** 上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于 *** 层的安全技术,只能根据数据包的来源、目标和端口等 *** 信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
5.3.2.2 *** 地址转化—NAT
*** 地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部 *** 访问因特网。它还意味着用户不许要为其 *** 中每一台机器取得注册的IP地址。在内部 *** 通过安全网卡访问外部 *** 时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部 *** 连接,这样对外就隐藏了真实的内部 *** 地址。在外部 *** 通过非安全网卡访问内部 *** 时,它并不知道内部 *** 的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。 *** 地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
5.3.2.3 *** 型
*** 型防火墙也可以被称为 *** 服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。 *** 服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看, *** 服务器相当于一台真正的服务器;而从服务器来看, *** 服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给 *** 服务器, *** 服务器再根据这一请求向服务器索取数据,然后再由 *** 服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部 *** 系统。 *** 型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且 *** 服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
以上回答来自:
求采纳为满意回答。
计算机 *** 信息安全及对策的毕业论文,5000字
摘 要 探索了 *** 平安的目前状况及新问题由来以及几种主要 *** 平安技术,提出了实现 *** 平安的几条办法。
*** 平安 计算机 *** 防火墙
1 *** 平安及其目前状况
1.1 *** 平安的概念
国际标准化组织(ISO)将“计算机平安”定义为摘要:“为数据处理系统建立和采取的技术和管理的平安保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机平安的定义包含物理平安和逻辑平安两方面的内容,其逻辑平安的内容可理解为我们常说的信息平安,是指对信息的保密性、完整性和可用性的保护,而 *** 平安性的含义是信息平安的引申,即 *** 平安是对 *** 信息保密性、完整性和可用性的保护。
1.2 *** 平安的目前状况
目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达220亿欧元,而这些病毒主要是通过电子邮件进行传播的。据反病毒厂商趋向公司称,像Sobig、Slammer等 *** 病毒和蠕虫造成的 *** 大塞车,去年就给企业造成了550亿美元的损失。而包括从身份窃贼到间谍在内的其他 *** 危险造成的损失则很难量化, *** 平安新问题带来的损失由此可见一斑。
2 *** 平安的主要技术
平安是 *** 赖以生存的保障,只有平安得到保障, *** 才能实现自身的价值。 *** 平安技术随着人们 *** 实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是 *** 平安的重要防线。
2.1 认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下摘要:
2.1.1 身份认证
当系统的用户要访问系统资源时要求确认是否是合法的用户,这就是身份认证。常采用用户名和口令等最简易 *** 进行用户身份的认证识别。
2.1.2 报文认证
主要是通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、报文传到了要发给的接受方、传送中报文没被修改过。
2.1.3 访问授权
主要是确认用户对某资源的访问权限。
2.1.4 数字签名
数字签名是一种使用加密认证电子信息的 *** ,其平安性和有用性主要取决于用户私匙的保护和平安的哈希函数。数字签名技术是基于加密技术的,可用对称加密算法、非对称加密算法或混合加密算法来实现。
2.2 数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型摘要:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密 *** 的优点是速度很快,很轻易在硬件和软件件中实现。
2.2.2 公匙加密
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
2.3 防火墙技术
防火墙是 *** 访问控制设备,用于拒绝除了明确答应通过之外的所有通信数据,它不同于只会确定 *** 信息传输方向的简单路由器,而是在 *** 传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的 *** 不受恶意传输的攻击,其中更流行的技术有静态分组过滤、动态分组过滤、状态过滤和 *** 服务器技术,它们的平安级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑平安兼顾 *** 连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的平安控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的平安策略;而且防火墙只实现了粗粒度的访问控制,也不能和企业内部使用的其他平安机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、 *** 服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
2.4 入侵检测系统
入侵检测技术是 *** 平安探究的一个热点,是一种积极主动的平安防护技术,提供了对内部入侵、外部入侵和误操作的实时保护,在 *** 系统受到危害之前拦截相应入侵。随着时代的发展,入侵检测技术将朝着三个方向发展摘要:分布式入侵检测、智能化入侵检测和全面的平安防御方案。
入侵检测系统(Instusion Detection System, 简称IDS)是进行入侵检测的软件和硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据; *** 遭受威胁程度的评估和入侵事件的恢复等功能。
2.5 虚拟专用网(VPN)技术
VPN是目前解决信息平安新问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共 *** 上建立专用 *** ,使数据通过平安的“加密管道”在公共 *** 中传播。用以在公共通信 *** 上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障平安摘要:隧道技术(Tunneling)、加解密技术(Encryption %26amp; Decryption)、密匙管理技术(Key Management)和使用者和设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的平安服务,这些平安服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类 *** ,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
2.6 其他 *** 平安技术
(1)智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋和它一个口令或密码字,该密码字和内部 *** 服务器上注册的密码一致。智能卡技术一般和身份验证联合使用。
(2)平安脆弱性扫描技术,它为能针对 *** 分析系统当前的设置和防御手段,指出系统存在或潜在的平安漏洞,以改进系统对 *** 入侵的防御能力的一种平安技术。
(3) *** 数据存储、备份及容灾规划,它是当系统或设备不幸碰到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种平安技术方案。
其他 *** 平安技术还有我们较熟悉的各种 *** 防杀病毒技术等等。
3 *** 平安新问题的由来
*** 设计之初仅考虑到信息交流的便利和开放,而对于保障信息平安方面的规划则非常有限,这样,伴随计算机和通信技术的迅猛发展, *** 攻击和防御技术循环递升,原来 *** 固有优越性的开放性和互联性变成信息的平安性隐患之便利桥梁。 *** 平安已变成越来越棘手的新问题,只要是接入到因特网中的主机都有可能被攻击或入侵了,而遭受平安新问题的困扰。
目前所运用的TCP/IP协议在设计时,对平安新问题的忽视造成 *** 自身的一些特征,而所有的应用平安协议都架设在TCP/IP之上,TCP/IP协议本身的平安新问题,极大地影响了上层应用的平安。 *** 的普及和应用还是近10年的事,而操作系统的产生和应用要远早于此,故而操作系统、软件系统的不完善性也造成平安漏洞;在平安体系结构的设计和实现方面,即使再完美的体系结构,也可能一个小小的编程缺陷,带来巨大的平安隐患;而且,平安体系中的各种构件间缺乏紧密的通信和合作,轻易导致整个系统被各个击破。
4 *** 平安新问题策略的思索
*** 平安建设是一个系统工程、是一个社会工程, *** 平安新问题的策略可从下面4个方面着手。
*** 平安的保障从技术角度看。首先,要树立正确的思想预备。 *** 平安的特性决定了这是一个不断变化、快速更新的领域,况且我国在信息平安领域技术方面和国外发达国家还有较大的差距,这都意味着技术上的“持久战”,也意味着人们对于 *** 平安领域的投资是长期的行为。其次,建立高素质的人才队伍。目前在我国, *** 信息平安存在的突出新问题是人才稀缺、人才流失,尤其是拔尖人才,同时 *** 平安人才培养方面的投入还有较大缺欠。最后,在具体完成 *** 平安保障的需求时,要根据实际情况,结合各种要求(如性价比等),需要多种技术的合理综合运用。
*** 平安的保障从管理角度看。考察一个内部网是否平安,不仅要看其技术手段,而更重要的是看对该 *** 所采取的综合办法,不光看重物理的防范因素,更要看重人员的素质等“软”因素,这主要是重在管理,“平安源于管理,向管理要平安”。再好的技术、设备,而没有高质量的管理,也只是一堆废铁。
*** 平安的保障从组织体系角度看。要尽快建立完善的 *** 平安组织体系,明确各级的责任。建立科学的认证认可组织管理体系、技术体系的组织体系,和认证认可各级结构,保证信息平安技术、信息平安工程、信息平安产品,信息平安管理工作的组织体系。
最后,在尽快加强 *** 立法和执法力度的同时,不断提高全民的文明道德水准,倡导健康的“ *** 道德”,增强每个 *** 用户的平安意识,只有这样才能从根本上解决 *** 平安新问题。
参考文献
1 张千里,陈光英. *** 平安新技术[M.北京摘要:人民邮电出版社,2003
2 高永强,郭世泽. *** 平安技术和应用大典[M.北京摘要:人民邮电出版社,2003
3 周国民. 入侵检测系统评价和技术发展探究[J.现代电子技术,2004(12)
4 耿麦香. *** 入侵检测技术探究综述[J, *** 平安,2004(6)