網(wǎng)絡(luò)安全防御技術(shù)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)安全防御技術(shù)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：云計算 網(wǎng)絡(luò)安全 防御技術(shù)

中圖分類號：TG519.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2014）05-0201-01

1 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，Internet已經(jīng)滲透到生活的各個方面，繼移動通信3G、4G之后，云計算也成為網(wǎng)絡(luò)技術(shù)領(lǐng)域的熱門話題和市場的熱捧目標(biāo)。云計算（cloud computing），分布式計算技術(shù)的一種，其最基本的概念，是透過網(wǎng)絡(luò)將龐大的計算處理程序自動分拆成無數(shù)個較小的子程序，再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計算分析之后將處理結(jié)果回傳給用戶。云計算是以公開的標(biāo)準(zhǔn)和服務(wù)為基礎(chǔ)，以互聯(lián)網(wǎng)為中心，提供安全、快速、便捷的數(shù)據(jù)存儲和網(wǎng)絡(luò)計算服務(wù)，讓互聯(lián)網(wǎng)這片"云"成為每一個網(wǎng)民的數(shù)據(jù)中心和計算中心。

2 云計算面臨的安全問題

談到云計算，安全性問題無法回避，實際上這也是目前云計算應(yīng)用普及過程中所遇到的最大難題。雖然目前云計算服務(wù)提供商都在竭力淡化或避免這一話題，但作為云計算的終端用戶，這恰恰是他們關(guān)注的一大重點。目前，云計算的商業(yè)價值被得到證實；而與此同時，這些“云”也開始成為黑客或各種惡意組織攻擊的目標(biāo)。綜合起來看，隨著云計算的發(fā)展和成功，由此帶來的云計算安全問題也越來越令人擔(dān)憂，具體表現(xiàn)在以下幾個方面。

2.1 數(shù)據(jù)存儲安全問題

云計算的模式?jīng)Q定了用戶的大量數(shù)據(jù)要存儲在云端，這樣就能給他們減少IT設(shè)備和資源的投資，同時也會帶來各種便利。但是越多的數(shù)據(jù)存于“云”中，對云的依賴性越大，一旦云端數(shù)據(jù)發(fā)生損壞或者丟失，這給用戶的造成的損失將是非常巨大的。

2.2 數(shù)據(jù)傳輸安全問題

一般情況下，企業(yè)IDC保存有大量的企業(yè)私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了企業(yè)的核心競爭力，如企業(yè)的客戶信息、財務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云計算模式下，企業(yè)將數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云計算服務(wù)商進行處理時，面臨著幾個方面的問題：一是如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中嚴(yán)格加密不被竊取；二是如何保證云計算服務(wù)商在得到數(shù)據(jù)時不將企業(yè)絕密數(shù)據(jù)泄露出去；三是在云計算服務(wù)商處存儲時，如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問，并保證企業(yè)在任何時候都可以安全訪問到自身的數(shù)據(jù)

2.3 數(shù)據(jù)審計安全問題

在云計算環(huán)境下，云計算提供商如何在確保不對其他企業(yè)的數(shù)據(jù)計算帶來風(fēng)險和干擾的同時，又提供必要的數(shù)據(jù)支持，以便協(xié)助第三方機構(gòu)對數(shù)據(jù)的產(chǎn)生進行安全性和準(zhǔn)確性的審計，實現(xiàn)企業(yè)的合規(guī)性要求；另外，企業(yè)對云計算服務(wù)商的可持續(xù)性發(fā)展進行認(rèn)證的過程中，如何確保云計算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有客戶的利益，使得企業(yè)能夠選擇一家可以長期存在的、有技術(shù)實力的云計算服務(wù)商進行業(yè)務(wù)交付，也是安全方面的潛在風(fēng)險。

3 云計算的網(wǎng)絡(luò)安全防御技術(shù)

3.1 數(shù)據(jù)加密

加密技術(shù)是網(wǎng)絡(luò)安全中一個非常重要的安全技術(shù)，數(shù)據(jù)加密是利用技術(shù)手段把要傳輸?shù)闹匾臄?shù)據(jù)變?yōu)槊芪模用埽┻M行傳送，到達(dá)接收端后再用相同或不同的手段對密文進行還原（解密）。加密既針對存儲在云服務(wù)提供商的服務(wù)器上的數(shù)據(jù)，還針對傳送給最終用戶的數(shù)據(jù)。加密技術(shù)在云計算中的應(yīng)用，對數(shù)據(jù)傳輸甚至數(shù)據(jù)存儲等安全問題的解決都能起到非常重要的作用。

3.2 安全存儲

在實際應(yīng)用中，網(wǎng)絡(luò)中數(shù)據(jù)的存儲是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計算模式下，數(shù)據(jù)存儲資源處于共享的環(huán)境下，即使有數(shù)據(jù)加密的技術(shù)的加入，云計算服務(wù)提供商是否能夠保證數(shù)據(jù)之間的有效隔離也是一個非常重要的問題；另外，還需要做好備份措施，以防止出現(xiàn)各種網(wǎng)絡(luò)和系統(tǒng)故障和宕機時，用戶的數(shù)據(jù)被破壞，造成重大損失。

3.3 安全認(rèn)證

安全認(rèn)證可通過單點登錄認(rèn)證、強制用戶認(rèn)證、、協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式，其中很多用戶是通過結(jié)合強制用戶認(rèn)證和單點用戶認(rèn)證的方式來允許用戶進入云應(yīng)用的認(rèn)證，用戶只需登陸一次進入整個web應(yīng)用，從而可以有效的避免用戶在使用自己的服務(wù)時將密碼泄漏給第三方。

3.4 以集中的安全服務(wù)中心應(yīng)對無邊界的安全防護

和傳統(tǒng)的安全建設(shè)模型強調(diào)邊界防護不同，存儲計算等資源的高度整合，使得用戶在申請云計算服務(wù)時，只能實現(xiàn)基于邏輯的劃分隔離.不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于用戶或用戶類型進行流量的匯聚并部署獨立的安全系統(tǒng)。因此，安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護，轉(zhuǎn)移到基于整個云計算網(wǎng)絡(luò)的安全防護。建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。

4 結(jié)語

本文主要在分析云計算的特征和面臨的安全威脅的基礎(chǔ)上，對云計算應(yīng)用安全進行分析與研究，并從云計算服務(wù)用戶的角度提出云計算應(yīng)用網(wǎng)絡(luò)安全防御策略與手段。隨著對網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的深入研究，以及與防火墻、入侵檢測系統(tǒng)和病毒檢測等網(wǎng)絡(luò)安全技術(shù)的有機結(jié)合，提高數(shù)據(jù)的處理速率并根據(jù)實際應(yīng)用修改完善安全功能，必定能為云計算模式下的網(wǎng)絡(luò)系統(tǒng)提供更可靠的安全屏障。

參考文獻(xiàn)

[1]IBM.虛擬化與云計算小組虛擬化與云計算[M].北京：電子工業(yè)出版社，2009.

[2]葉偉等.互聯(lián)網(wǎng)時代的軟件革命-SaaS架構(gòu)設(shè)計[M].北京：電子工業(yè)出版社，2009.

[3]谷歌在線文檔共享信息凸顯云計算安全問題[J].信息系統(tǒng)工程，2009.10.

[3]陳濤.云計算理論與技術(shù)研究[J].重慶交通大學(xué)學(xué)報，2009.8.

第2篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】計算機 網(wǎng)絡(luò)安全 防范技術(shù)

一、威脅計算機網(wǎng)絡(luò)安全的因素

（1）網(wǎng)頁瀏覽器存在安全漏洞。我們上網(wǎng)所用的WEB服務(wù)器和網(wǎng)頁瀏覽器存在安全漏洞。開始時開發(fā)人員引用CGI程序是要使網(wǎng)頁活動起來，但多數(shù)人員對CGI這一程序并不是很了解，而且編程時也只是對其進行適當(dāng)修改，但網(wǎng)頁瀏覽器的核心部分仍然是相同的，所以可以說網(wǎng)頁瀏覽器有著類似的安全漏洞。因此在人們上網(wǎng)應(yīng)用瀏覽器時，實際上是處于具有安全隱患的環(huán)境中，一旦進入網(wǎng)絡(luò)世界，就有被攻擊的可能。

（2）防火墻軟件的安全配置不當(dāng)。計算機系統(tǒng)安裝的防火墻如果配置不當(dāng)，即使使用者安裝了，但仍然是沒有起到任何的防范作用的。網(wǎng)絡(luò)入侵的最終目的是要取得使用者在計算機系統(tǒng)中的訪問權(quán)限、存儲權(quán)限甚至是寫權(quán)限，以便能夠惡意破壞此系統(tǒng)，造成數(shù)據(jù)丟失被盜或系統(tǒng)崩潰，或者以此為跳板，方便進入其他計算機系統(tǒng)進行破壞。在計算機連接入網(wǎng)時，啟動了一些網(wǎng)絡(luò)應(yīng)用程序后，實際上也打開了一條安全缺口，這時，除非使用者禁止啟動此程序或?qū)Π踩渲眠M行正確配置，

否則計算機系統(tǒng)始終存在安全隱患。

（3）計算機病毒。計算機病毒是威脅計算機網(wǎng)絡(luò)安全的最大致命因素。它是人為制造的一種影響計算機正常運行、破壞計算機內(nèi)的文件數(shù)據(jù)，并且能夠自我復(fù)制的惡意程序代碼。就像現(xiàn)實生活中的病毒一樣具有傳染性、隱蔽性、復(fù)制性、潛伏性和破壞性，同時有可觸發(fā)性這一特有的特性。這些特性就容易導(dǎo)致計算機網(wǎng)絡(luò)安全存在嚴(yán)重隱患。

（4）木馬攻擊。無論是計算機的硬件還是軟件，制造者們?yōu)榱四軌蜻M行非授權(quán)訪問會故意在軟、硬件上設(shè)置訪問口令，即后門，木馬就是一種特殊的后門程序。在計算機聯(lián)網(wǎng)的情況下，通過木馬黑客可以無授權(quán)且隱蔽地來進行遠(yuǎn)程訪問或控制計算機。也正是如此，計算機網(wǎng)絡(luò)存在嚴(yán)重的安全威脅，并且這一威脅還處于潛在的。

（5）黑客。黑客是精通編程語言和計算機系統(tǒng)，對計算機有很深的研究的電腦專家，他們通過計算機網(wǎng)絡(luò)，利用計算機系統(tǒng)或應(yīng)用軟件的安全漏洞非法訪問或控制計算機，以此來破壞系統(tǒng)，竊取資料等一些惡意行為，可以說對計算機的安全，黑客比計算機病毒更具危害。

二、網(wǎng)絡(luò)安全防范相關(guān)技術(shù)

（1）入侵預(yù)防技術(shù)?，F(xiàn)在有很多針對入侵進行檢測的產(chǎn)品，但是這些入侵檢測產(chǎn)品只是被動的進行檢測計算機網(wǎng)絡(luò)有無受到攻擊，甚至有時也會有些誤檢測引起防火墻的錯誤操作，使之影響整個網(wǎng)絡(luò)系統(tǒng)。這時我們需要更高一級的入侵預(yù)防技術(shù)來保障計算機網(wǎng)絡(luò)的安全運行。入侵預(yù)防技術(shù)與傳統(tǒng)的入侵檢測程序最大的不同就是入侵預(yù)防技術(shù)根據(jù)預(yù)先設(shè)定好的防范規(guī)則，以此來判斷哪些行為是可以通過的，哪些行為是帶有威脅性的，并且一旦發(fā)現(xiàn)有可疑的入侵行為，入侵預(yù)防技術(shù)會積極主動地進行攔截或清除此系統(tǒng)行為。入侵預(yù)防技術(shù)安全地架構(gòu)了一個防范網(wǎng)絡(luò)安全的應(yīng)用軟件，它加強了用戶桌面系統(tǒng)和計算機網(wǎng)絡(luò)服務(wù)器的安全。從入侵預(yù)防技術(shù)的特點來說，入侵預(yù)防置于服務(wù)器前面，防火墻的后面是最佳選擇。

（2）防范計算機病毒的安全技術(shù)。計算機病毒具有的隱蔽性強、復(fù)制能力快、潛伏時間長、傳染性快、破壞能力大、針對性強等特點，應(yīng)用的主要技術(shù)有“后門”攻擊、無線電、數(shù)據(jù)控制鏈接攻擊、“固化”的方式，針對這些特性防范計算機病毒的安全技術(shù)操作，我們應(yīng)該注意幾個方面的內(nèi)容，第一、安裝有層次級別的防病毒軟件，對計算機實施全方位的保護措施。第二、對光盤、U盤等移動存儲介質(zhì)中的內(nèi)容進行防毒殺毒措施。第三、對從網(wǎng)絡(luò)上下載的文件資料或郵件進行病毒查殺。第四、定期升級病毒庫，定期對計算機進行查殺。

（3）采用防火墻技術(shù)。為了保障計算機網(wǎng)絡(luò)的安全性，可以與其他安全防范技術(shù)相配合使用的一個技術(shù)就是防火墻技術(shù)。防火墻是一種用于加強網(wǎng)絡(luò)與網(wǎng)絡(luò)間的訪問控制，防止外部非法授權(quán)用戶訪問內(nèi)部的網(wǎng)絡(luò)信息的應(yīng)用軟件。防火墻的主要工作就是掃描所有經(jīng)過它進入的外網(wǎng)網(wǎng)絡(luò)通信數(shù)據(jù)，過濾具有威脅性的攻擊信息數(shù)據(jù)，并且關(guān)閉不開啟的端口禁止數(shù)據(jù)流的進出，同時封鎖木馬禁止可疑站點的訪問，防止非法授權(quán)用戶的入侵，并且監(jiān)控網(wǎng)絡(luò)的使用情況，記錄和統(tǒng)計有無非法操作的行為。它主要是用來邏輯隔離計算機網(wǎng)絡(luò)的內(nèi)網(wǎng)和外網(wǎng)，所以通常安裝在連接內(nèi)網(wǎng)與外網(wǎng)的節(jié)點上，所以防火墻又有防外不防內(nèi)的局限性。網(wǎng)絡(luò)管理員通常是把防火墻技術(shù)和其他的安全防范技術(shù)配合使用，能更好地保護網(wǎng)絡(luò)的安全使用。并且防火墻設(shè)置上要冗余多變，單點設(shè)置易使網(wǎng)絡(luò)出現(xiàn)故障，如果內(nèi)網(wǎng)與外網(wǎng)出現(xiàn)連通故障，則會嚴(yán)重影響網(wǎng)絡(luò)的交流通訊。

（4）漏洞掃描技術(shù)。漏洞掃描技術(shù)的主要技術(shù)有Ping掃描、端口掃描、脆弱點探測，OS探測。它們根據(jù)要實現(xiàn)的不同目標(biāo)運用不同的工作原理。在整個計算機網(wǎng)絡(luò)中，通過Ping掃描來確定目標(biāo)主機的IP地址，通過端口掃描來確定主機所開啟的端口及該端口的網(wǎng)絡(luò)服務(wù)，并且用脆弱點探測和OS探測進行掃描，所得結(jié)果與網(wǎng)絡(luò)漏洞掃描系統(tǒng)所提供的漏洞庫進行特征匹配，以此確定有無漏洞存在。這種漏洞的特征匹配方法必須對網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置特征規(guī)則的漏洞庫進行不斷的擴充和修正，即時更新漏洞庫，讓漏洞庫信息完整、有效、簡易。

第3篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】云計算環(huán)境；網(wǎng)絡(luò)安全；防范技術(shù)

隨著當(dāng)前社會經(jīng)濟的逐漸發(fā)展，網(wǎng)絡(luò)技術(shù)的通信能力和計算機技術(shù)水平也在不斷加強，網(wǎng)絡(luò)問題也成為了越來越多人關(guān)注的焦點。網(wǎng)絡(luò)安全問題涉及的范圍較為廣泛，包括了網(wǎng)絡(luò)使用的安全可靠性、網(wǎng)絡(luò)軟件的實施安全、以及網(wǎng)絡(luò)信息安全等等方面。筆者主要分析當(dāng)前經(jīng)濟現(xiàn)狀對網(wǎng)絡(luò)安全在云計算環(huán)境下引發(fā)的一系列問題，有效提出相應(yīng)策劃方案，從根本上提高網(wǎng)絡(luò)安全性和云計算的工作運行質(zhì)量。

一、網(wǎng)絡(luò)安全在云計算環(huán)境下的主要影響要素

云計算技術(shù)的主要發(fā)展是把計算內(nèi)容分布于由計算機構(gòu)建的各個資源平臺中，有助于網(wǎng)絡(luò)用戶更好地進行計算、貯存信息等快捷服務(wù)，雖然云計算為人們帶來了不少便利，但云計算環(huán)境下的網(wǎng)絡(luò)安全問題依舊不容忽視。當(dāng)前我國網(wǎng)絡(luò)信息安全方面還缺乏相應(yīng)的治理策略，用戶在訪問網(wǎng)站的同時，基于各大網(wǎng)站不同的防火墻，網(wǎng)絡(luò)權(quán)限也在不斷被擴展，一旦某網(wǎng)站被一些不法分子控制，這也將會成為網(wǎng)絡(luò)風(fēng)險中的一大隱患。另一方面，網(wǎng)絡(luò)系統(tǒng)的幾個方面都存在著脆弱和不牢靠的情況。一是數(shù)據(jù)庫的薄弱，在信息的儲存上，數(shù)據(jù)庫是最主要的主干，其決定著信息的完整性、保密性和可靠性幾點，如果網(wǎng)絡(luò)系統(tǒng)出現(xiàn)了用戶信息遭竊取，就會給信息安全帶來很嚴(yán)重的影響。二是通信系統(tǒng)的不完善和脆弱，如一些E-mail、FTP等等存在著相應(yīng)的漏洞，這也在一定程度上成為了黑客利用的工具。三是計算機操作系統(tǒng)上的不足，在一些特定的情況下，當(dāng)計算機受到黑客的攻擊，而且在攻擊之后也無法留下相關(guān)痕跡，不會影響到網(wǎng)絡(luò)用戶對于數(shù)據(jù)的獲取，這在網(wǎng)絡(luò)系統(tǒng)中也是一大安全問題。網(wǎng)絡(luò)的環(huán)境較為復(fù)雜，無論是生活還是學(xué)習(xí)，包括如今社會的衣食住行，都離不開計算機技術(shù)和網(wǎng)絡(luò)，計算機的云計算也在逐漸遍布家家戶戶，網(wǎng)絡(luò)信息的運用者群體也在不斷增加，這也導(dǎo)致了網(wǎng)絡(luò)風(fēng)險因素在不斷擴大，比較常見的有網(wǎng)絡(luò)欺詐行為、黑客病毒的入侵等等，都對網(wǎng)絡(luò)用戶人身財產(chǎn)安全造成威脅。

二、云計算環(huán)境下常用的網(wǎng)絡(luò)安全技術(shù)

2.1反病毒技術(shù)計算機網(wǎng)絡(luò)病毒在當(dāng)今時代已不是一件新鮮事了，隨著計算機水平的提高，網(wǎng)絡(luò)病毒也在不斷更新，為了有效預(yù)防和抵制病毒，避免病毒給計算機系統(tǒng)造成更深層次的風(fēng)險，也研究出了新的技術(shù)，如反病毒技術(shù)，此技術(shù)一般有兩種形式，一是靜態(tài)反病毒模式，這種方式主要針對的是網(wǎng)絡(luò)技術(shù)實施過程中的檢測和管理，按照網(wǎng)絡(luò)具體的運行情況來分析病毒的存在特征，從而保證了用戶信息的安全；二是動態(tài)反病毒模式，這種技術(shù)方法有著非常好的防控病毒效果，而且防控病毒的技術(shù)資源需要與大眾資源配置都十分接近，方便可行，能有效地加強病毒防控，保證信息資源的完整性。2.2智能防火墻技術(shù)較于傳統(tǒng)的防火墻，智能防火墻技術(shù)沒有采用數(shù)據(jù)過濾的體系原則，而是采用模糊數(shù)據(jù)庫的檢索功能，然后依據(jù)人工智能識別的技術(shù)，對數(shù)據(jù)規(guī)則進行動態(tài)化的模糊識別，運用這種新型技術(shù)方式，對網(wǎng)絡(luò)安全實況進行具體的分析，及時將需要保護的網(wǎng)絡(luò)安全數(shù)據(jù)計算出來，為用戶提供一個安全可靠的網(wǎng)絡(luò)環(huán)境。智能防火墻技術(shù)一般分為以下三種：1、防掃描技術(shù)掃描技術(shù)是計算機被病毒入侵，內(nèi)部發(fā)生一定紊亂，其各項信息將會被惡意掃描的形式竊取，智能防火墻在這里的合理運用，可以有效地預(yù)防黑客入侵，阻止網(wǎng)絡(luò)信息被包裝和掃描，進而強化信息數(shù)據(jù)的安全性。2、入侵防御網(wǎng)絡(luò)用戶在訪問網(wǎng)站時，經(jīng)常會出現(xiàn)數(shù)據(jù)包侵入主機的現(xiàn)象，這樣的隱患一旦出現(xiàn)，就會危害到用戶的正常數(shù)據(jù)，用戶很難再進行數(shù)據(jù)的使用，而智能防火墻可以對網(wǎng)絡(luò)數(shù)據(jù)加以防護，將數(shù)據(jù)安全的等級進行提升。3、防欺騙技術(shù)在用戶訪問網(wǎng)頁時，還會經(jīng)常出現(xiàn)MAC地址、裝作IP地址進入計算機網(wǎng)絡(luò)中的情況，在智能防火墻的使用中，可以有效地限制MAC地址，從而避免入侵帶來的危害，提高網(wǎng)絡(luò)信息安全的系數(shù)。2.3加密技術(shù)在云計算的環(huán)境下，加密技術(shù)是一項必不可少的重要網(wǎng)絡(luò)技術(shù)，這種技術(shù)主要被用于計算機網(wǎng)絡(luò)的防御中，通常采用加密算法對計算機網(wǎng)絡(luò)信息加以控制，將其轉(zhuǎn)換為無法被第三方而已獲取的信息數(shù)據(jù)，添加密鑰，想要獲取必須使用正確的密鑰才可以打開，這也大大提升了網(wǎng)絡(luò)數(shù)據(jù)的安全性和可靠性。加密技術(shù)在云計算環(huán)境下的實施中，一般有兩種常用技術(shù)體現(xiàn)，對稱加密和非對稱加密技術(shù)，前者主要采用DES加密技術(shù)，后者主要運用了PKI技術(shù)與DES緩和等等技術(shù)。

三、計算機網(wǎng)絡(luò)安全技術(shù)在云計算環(huán)境下的防范策略

作為網(wǎng)絡(luò)技術(shù)的使用者，網(wǎng)絡(luò)用戶需要提高在日常上網(wǎng)中的安全防范意識，制定相應(yīng)的計算機網(wǎng)絡(luò)安全基本戰(zhàn)略目標(biāo)。首先，需要對計算機網(wǎng)絡(luò)的使用采用實名身份認(rèn)證，使用網(wǎng)絡(luò)授權(quán)，對主體內(nèi)容加以明確和分析，這也可以在一定程度上為計算機網(wǎng)絡(luò)用戶提供安全性能的保障。在計算機網(wǎng)絡(luò)的使用中，也要強化監(jiān)管功能，及時確保網(wǎng)絡(luò)安全技術(shù)上的安全，做到及時性和全面性的檢查，對云計算環(huán)境下計算機網(wǎng)絡(luò)中易出現(xiàn)的安全問題進行認(rèn)真分析、科學(xué)化整理，積累相關(guān)的經(jīng)驗，并對這些漏洞提出有效的應(yīng)對和抵御方案，避免不良因素的影響。對于未經(jīng)授權(quán)惡意篡改用戶信息的行為，要制定相關(guān)的網(wǎng)絡(luò)安全制度來加以控制，只有在制定上有一定支撐，才可以體現(xiàn)網(wǎng)絡(luò)違法行為的代價，另外也需要更大力度上提升網(wǎng)民的安全隱患意識，相關(guān)部門應(yīng)加大對計算機網(wǎng)絡(luò)技術(shù)的發(fā)開投入，有效地保證計算機數(shù)據(jù)安全在云計算環(huán)境下得到合理、有效地提升。最后在保證網(wǎng)絡(luò)數(shù)據(jù)完整性的前提下，對相關(guān)的網(wǎng)絡(luò)技術(shù)進行創(chuàng)新和完善，找尋更加科學(xué)和高效的技術(shù)，網(wǎng)絡(luò)研究人員也要不斷地提升自我綜合素質(zhì)，在分析和探討的過程中積極開發(fā)，為網(wǎng)絡(luò)安全的檢測提供更加合理有效的策略。開發(fā)新的安全防御技術(shù)也是很有必要的，以避免出現(xiàn)更多的計算機網(wǎng)絡(luò)風(fēng)險。

四、總結(jié)

隨著社會科技的不斷進步，計算機網(wǎng)絡(luò)技術(shù)也在逐步發(fā)展，但在云計算環(huán)境下的網(wǎng)絡(luò)安全仍舊存在諸多不足和風(fēng)險，要想發(fā)揮計算機網(wǎng)絡(luò)在社會中的重要促進作用，就必須加強網(wǎng)絡(luò)安全防控措施，合理運用各項安全防范技術(shù)來保障網(wǎng)絡(luò)信息的安全，為網(wǎng)絡(luò)提供一個良好的網(wǎng)絡(luò)環(huán)境，并且在網(wǎng)絡(luò)監(jiān)管工作上加強力度，有效提高計算機網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)

[1]宋歌.網(wǎng)絡(luò)安全技術(shù)在云計算環(huán)境下的探討[J].無線互聯(lián)科技,2016,(21):33-34+60.

[2]肖澤.云計算環(huán)境下網(wǎng)絡(luò)安全防范技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,(01):54+56.

[3]朱睿.探索云計算環(huán)境下網(wǎng)絡(luò)安全技術(shù)實現(xiàn)路徑[J].數(shù)字技術(shù)與應(yīng)用,2015,(04):193.

[4]閆盛,石淼.基于云計算環(huán)境下的網(wǎng)絡(luò)安全技術(shù)實現(xiàn)[J].計算機光盤軟件與應(yīng)用,2014,(23):168+170.

第4篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】計算機網(wǎng)絡(luò)技術(shù) 安全隱患 安全防御策略

隨著時展與互聯(lián)網(wǎng)普及應(yīng)用的推進，計算機網(wǎng)絡(luò)技術(shù)在人們的日常生活工作中已占據(jù)愈發(fā)重要的地位與用途，從家居電器到證喚灰錐加屑撲慊網(wǎng)絡(luò)技術(shù)的應(yīng)用與存在，為人們的生活便利與高效工作提供著不可或缺的網(wǎng)絡(luò)數(shù)據(jù)資源。但隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用，其網(wǎng)絡(luò)安全隱患的問題也日益突出，威脅著應(yīng)用網(wǎng)絡(luò)技術(shù)的居民、企業(yè)的隱私和商業(yè)機密安全。一旦出現(xiàn)隱私或商業(yè)秘密的泄漏或破壞問題，將給居民企業(yè)的生活穩(wěn)定與經(jīng)濟利益造成嚴(yán)重?fù)p害。因此筆者以計算網(wǎng)絡(luò)技術(shù)為研究對象，就其發(fā)展做闡述概論，并對其技術(shù)所存在的安全隱患與具體的防御策略做細(xì)致的分析探討。

1 計算機網(wǎng)絡(luò)技術(shù)的發(fā)展

計算機網(wǎng)絡(luò)技術(shù)是指以計算機為載體的互聯(lián)網(wǎng)應(yīng)用技術(shù)，其技術(shù)基礎(chǔ)是通過將各地域的計算機設(shè)備以通信線路相互串聯(lián)銜接，并經(jīng)由用戶的網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)管理軟件與通信協(xié)議達(dá)到互聯(lián)網(wǎng)數(shù)據(jù)傳輸與資源信息共享的計算機網(wǎng)絡(luò)系統(tǒng)，計算機網(wǎng)絡(luò)技術(shù)即是為用戶的網(wǎng)絡(luò)系統(tǒng)與信息的有效使用提供保障的技術(shù)手段。其技術(shù)在計算機網(wǎng)絡(luò)的應(yīng)用推廣，表明我國現(xiàn)代信息化社會已進入一個新的發(fā)展時期，計算機網(wǎng)絡(luò)技術(shù)成為人們生活與工作中不可或缺的手段，并為人們建立信息交流與互動的網(wǎng)絡(luò)平臺，幫助提高其工作效率與質(zhì)量。伴隨計算機網(wǎng)絡(luò)技術(shù)在社會應(yīng)用中的快速發(fā)展，其存在的安全隱患開始顯露并日漸影響網(wǎng)絡(luò)用戶的信息安全，因此為確保計算機網(wǎng)絡(luò)技術(shù)的繼續(xù)進步與發(fā)展，為人們工作與社會建設(shè)提供助力，既需要從網(wǎng)絡(luò)技術(shù)所存在的安全隱患入手分析其成因，采取針對性的安全防御策略。

2 計算機網(wǎng)絡(luò)技術(shù)所存在的安全隱患及成因

2.1 計算機網(wǎng)絡(luò)共享、開放性帶來的惡意攻擊問題

計算機網(wǎng)絡(luò)通過其開放、自由與共享的特性為網(wǎng)絡(luò)用戶提供著便利豐富的數(shù)據(jù)信息服務(wù)，但同時其特征也給用戶的用網(wǎng)安全帶來安全隱患。互聯(lián)網(wǎng)本身的開放性令其容易遭受到惡意的網(wǎng)絡(luò)攻擊，其攻擊包括通過本地網(wǎng)絡(luò)或網(wǎng)絡(luò)通信協(xié)議的惡意技術(shù)攻擊，進而因計算機軟件、硬件的漏洞被實施攻擊造成用戶隱私與機密數(shù)據(jù)丟失損壞。同時利益的驅(qū)動誘使許多不法分子利用計算機網(wǎng)絡(luò)惡意攻擊其余用戶，通過盜取其隱私機密獲取不法所得，給網(wǎng)絡(luò)用戶帶來極大的經(jīng)濟利益損失。

2.2 系統(tǒng)軟件漏洞與防火墻的局限性

由于技術(shù)更新的滯后性原因，計算機網(wǎng)絡(luò)軟件都或多或少存在某些設(shè)計漏洞，很容易為不法分子所利用，并危及用戶網(wǎng)絡(luò)安全。目前，相當(dāng)一部分網(wǎng)絡(luò)安全被侵犯事件就是因用戶的安全防范意識不足，在軟件顯現(xiàn)漏洞后未及時對其做修護或更新升級，造成用戶隱私數(shù)據(jù)為不法分子通過漏洞竊取破壞。而防火墻作為用戶內(nèi)部網(wǎng)絡(luò)安全提供組織外部攻擊的屏障，也有自身的局限性，防火墻無法預(yù)防本地網(wǎng)絡(luò)內(nèi)部的惡意攻擊與計算機病毒，也難以阻止傳送有病毒或攻擊軟件文件進入用戶計算機，給用戶計算機網(wǎng)絡(luò)安全造成危害。

3 計算機網(wǎng)絡(luò)技術(shù)的安全防御技術(shù)與策略分析

3.1 信息加密技術(shù)與防御策略

信息加密技術(shù)是保護計算機信息數(shù)據(jù)安全的核心技術(shù)措施之一，經(jīng)由對敏感隱私信息與機密數(shù)據(jù)的加密化處理，以確保本地計算機的數(shù)據(jù)安全與傳輸信息的可靠，實現(xiàn)計算機網(wǎng)絡(luò)信息的安全處理與應(yīng)用。目前較為常用的信息加密技術(shù)主要有線路加密與端到端加密兩類方式，針對不同的信息類型與傳輸情況，采取對應(yīng)的加密技術(shù)以及加密密鑰等手段，為數(shù)據(jù)保存?zhèn)鬏斕峁┌踩Ｕ希员苊庥脩粜畔G失或遭盜取引發(fā)的損害。

3.2 病毒防火墻的設(shè)置防御策略

如前文所言，防火墻的一大局限就在于對計算機病毒難以進行防范與過濾，因此需加強對本地網(wǎng)絡(luò)中各文件、軟件的定期掃描檢測頻率。通過在網(wǎng)絡(luò)服務(wù)器與主機上分別安裝設(shè)置病毒防火墻或殺毒軟件，確保為計算機網(wǎng)絡(luò)的應(yīng)用安全。同時在防火墻中應(yīng)強化對網(wǎng)絡(luò)目錄與文件的訪問權(quán)限限制，達(dá)到對病毒安全隱患的提前甄別與攔截。

3.3 數(shù)據(jù)信息備份的防御策略

用戶在平時使用主機與互聯(lián)網(wǎng)時，應(yīng)培養(yǎng)建立對關(guān)鍵數(shù)據(jù)信息及時備份的良好習(xí)慣，通過將重要信息數(shù)據(jù)以光盤、U盤等工具備份保存的方式，保護計算機信息數(shù)據(jù)的安全，避免因計算機被侵犯而引發(fā)的數(shù)據(jù)丟失問題。同時在主機因意外故障出現(xiàn)網(wǎng)絡(luò)安全問題時，用戶也可用所備份的數(shù)據(jù)為計算機做信息恢復(fù)，是防止計算機數(shù)據(jù)意外丟失最為簡便快捷的防御手段。常用的備份手段包括數(shù)據(jù)庫備份、增量備份，或是以RAID5手段予以計算機系統(tǒng)實時熱備份，以確保用戶儲存?zhèn)鬏數(shù)臄?shù)據(jù)信息完整、安全。

3.4 計算機網(wǎng)絡(luò)安全管理防御策略

要切實保證用戶計算機網(wǎng)絡(luò)安全，除了各類網(wǎng)絡(luò)技術(shù)的應(yīng)用外，還需從網(wǎng)絡(luò)管理角度入手，為用戶互聯(lián)網(wǎng)使用提供安全保障。管理與技術(shù)是計算機網(wǎng)絡(luò)安全兩大重要構(gòu)成部分，有效的安全管理為計算機安全技術(shù)的合理使用提供合理規(guī)劃與準(zhǔn)確指導(dǎo)。通過建立計算機網(wǎng)絡(luò)安全管理策略，為用戶網(wǎng)絡(luò)安全提出具體的要求標(biāo)準(zhǔn)，以及各類隱患問題設(shè)定可采取的原則措施。并且計算機網(wǎng)絡(luò)安全管理的效果不僅決定其所采取的技術(shù)措施，同時也依賴管理規(guī)范的實施執(zhí)行力度，只有對安全管理建立起足夠的重視并切實在網(wǎng)絡(luò)安全中予以實行，才能為計算機網(wǎng)絡(luò)信息安全提供更為堅實的保障，避免其關(guān)鍵數(shù)據(jù)信息因管理疏忽或不到位造成的泄漏。

4 結(jié)束語

伴隨我國計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展與應(yīng)用，其技術(shù)已深入到人們的日常生活與工作之中，為其提供著極大的便利與幫助。但正因為計算機網(wǎng)絡(luò)技術(shù)如此重要的影響力，對其所存在的安全隱患就更需格外注意與防范。針對其技術(shù)隱患的各類成因與特征，采取針對性的安全防御策略，才能最大限度減少網(wǎng)絡(luò)安全事故的產(chǎn)生，并為人們應(yīng)用計算機網(wǎng)絡(luò)技術(shù)提供高效的安全保障。

參考文獻(xiàn)

[1]張偉杰.計算機網(wǎng)絡(luò)技術(shù)的發(fā)展及安全防御策略分析[J].河南科技，2014（21）：4.

[2]李偉彥.計算機網(wǎng)絡(luò)技術(shù)的應(yīng)用及安全防御探析[J].職業(yè)，2016（12）：150.

[3]馮媛媛.計算機網(wǎng)絡(luò)防御策略關(guān)鍵技術(shù)研究[J].數(shù)字技術(shù)與應(yīng)用，2016（04）：202.

第5篇：網(wǎng)絡(luò)安全防御技術(shù)范文

【關(guān)鍵詞】防火墻；網(wǎng)絡(luò)；安全技術(shù)

如何更好地促進網(wǎng)絡(luò)的有效運行，保障網(wǎng)絡(luò)的安全環(huán)境，在很大程度上取決于防火墻的設(shè)置。網(wǎng)絡(luò)安全問題成為了人們關(guān)注的焦點，防火墻可以說是解決網(wǎng)絡(luò)安全問題最有效方式。

1.防火墻的概念

防火墻指的是在外界網(wǎng)絡(luò)與本地網(wǎng)絡(luò)之間的一道隔離防御系統(tǒng)。應(yīng)用防火墻最重要的目的就是通過對網(wǎng)絡(luò)入、出環(huán)節(jié)的控制，促使各項環(huán)節(jié)都需要經(jīng)過防火墻檢查，進而有效預(yù)防網(wǎng)絡(luò)遭到外來因素的破壞與干擾，進一步達(dá)到保護內(nèi)部網(wǎng)絡(luò)不受非法訪問的目的。在本質(zhì)上來講，防火墻就是一種控制、隔離技術(shù)，在不安全的網(wǎng)絡(luò)環(huán)境中積極構(gòu)建相對安全的網(wǎng)絡(luò)內(nèi)部環(huán)境。站在邏輯層面來分析，防火墻不僅是一個限制器，還是一個分析器，防火墻要求所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過安全計劃或策略確定，與此同時，在邏輯上對內(nèi)外網(wǎng)絡(luò)進行分離。目前來說，有的防火墻通過軟件的方式在計算機上運行，有的防火墻以硬件形式固定在路由器中。從整體上來說，常用的防火墻分為三種：①包過濾防火墻。②服務(wù)器。③狀態(tài)監(jiān)視技術(shù)。

防火墻功能具有如下功能：①提高網(wǎng)絡(luò)安全性能，防火墻的應(yīng)用，能大幅度提升內(nèi)部網(wǎng)絡(luò)的安全性能，降低安全風(fēng)險。防火墻還能夠保護網(wǎng)絡(luò)避免來自路由的攻擊。防火墻能夠拒絕各種不安全因素，并通知管理員。②強化網(wǎng)絡(luò)安全，相對于傳統(tǒng)的將安全問題分散到不同主機上的方式相比較，這種集中安全管理的防火墻更加經(jīng)濟、安全。③監(jiān)控網(wǎng)絡(luò)訪問與存取，防火墻的應(yīng)用，能夠有效記錄各種網(wǎng)絡(luò)活動的開展，并且，對于可疑性的網(wǎng)絡(luò)活動進行報警。能夠為網(wǎng)絡(luò)管理員提供全面的信息。一旦防火墻監(jiān)控到可疑動作，就會自動報警，并提供攻擊與監(jiān)測的具體信息。④保護內(nèi)部信息不被泄露。通過防火墻對內(nèi)部網(wǎng)絡(luò)的保護與劃分，能夠?qū)崿F(xiàn)對內(nèi)部重點網(wǎng)絡(luò)的保護與隔離，進一步降低重點局部網(wǎng)絡(luò)安全問題對于整個局域網(wǎng)內(nèi)部的影響，有效保護內(nèi)部信息不被泄露。

2.基于防火墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)

2.1選擇防火墻

作為一種網(wǎng)絡(luò)完全的有效防護方式，防火墻有多種類型的實現(xiàn)方式。在合理選擇防火墻之前，需要全面的進行風(fēng)險分析、需求分析，并進一步制定安全防范策略，針對性的選擇防護方式，盡可能保持安全政策與防護方式的統(tǒng)一性。

2.2全面考慮防火墻失效并進行動態(tài)維護

在評價防火墻安全性以及性能過程中，一方面需要看防火墻工作是否正常，一方面需要看起能否阻擋非法訪問或惡意攻擊。如果防火墻被攻破，其狀態(tài)是怎樣的。按照一定的級別來劃分，失效有四種情況：①在沒有受到攻破時能進行正常工作。②在受到傷害時可以重新啟動，并恢復(fù)到之前的工作界面。③禁止與關(guān)閉所有通行的數(shù)據(jù)。④關(guān)閉且允許數(shù)據(jù)繼續(xù)通行。第一種與第二種狀態(tài)比較理想化，第四種狀態(tài)最不安全。在選擇防火墻過程中，需要驗證其失效狀態(tài)，并進行準(zhǔn)確評估。在安裝防火墻以及防火墻投入以后，需要對其運行狀態(tài)進行動態(tài)性維護，對其發(fā)展動態(tài)進行維護與跟蹤，時刻保持商家動態(tài)并與之保持聯(lián)系。一旦商家發(fā)現(xiàn)安全漏洞，就會積極推出補救措施，及時更新防火墻。

2.3全面指定防火墻可靠規(guī)則集

可靠規(guī)則集的制定是實現(xiàn)安全、成功防火墻的關(guān)鍵性步驟。如果防火墻的歸集不正確，再強大的防火墻也起不到任何作用。第一，制定安全性策略，上級管理人員制定安全防范策略，防火墻是實施這一安全防范策略的工具。在制定規(guī)則集之前，必須全面掌握安全策略。建設(shè)其包含以下內(nèi)容：①內(nèi)部員工訪問網(wǎng)絡(luò)不受限制。②外部用戶能夠使用email服務(wù)器與web服務(wù)器。③管理員能遠(yuǎn)程訪問其系統(tǒng)。在實際上來說，大部分部門的安全策略要遠(yuǎn)遠(yuǎn)超過上述內(nèi)容。第二，積極構(gòu)建安全體系，要想將一項安全策略積極轉(zhuǎn)化成技術(shù)。第一個內(nèi)容比較容易實現(xiàn)，內(nèi)部網(wǎng)絡(luò)中的所有數(shù)據(jù)信息都允許在網(wǎng)絡(luò)上傳輸。對于第二項的安全策略來說比較麻煩，需要建立email服務(wù)器與web服務(wù)器，因為所有的人都能訪問email服務(wù)器與web服務(wù)器，因此，不能信任他們。鑒于此，可以將email服務(wù)器與web服務(wù)器放到DMZ中去實現(xiàn)。DMZ作為一個孤立的網(wǎng)絡(luò)，經(jīng)常存放不被信任的系統(tǒng)，該網(wǎng)絡(luò)中的系統(tǒng)無法連接、啟動內(nèi)部網(wǎng)絡(luò)。第三項是必須讓管理員遠(yuǎn)程控制他人的訪問系統(tǒng)，要想實現(xiàn)這一功能，可以通過加密服務(wù)的方式進行。筆者建議在這一過程中需要加入DNS。在上述安全策略中雖然未陳述此項內(nèi)容，但是，在實際運營過程中需要積極提供該服務(wù)。第三，規(guī)則次序的制定，規(guī)則次序的制定非常重要。不同的規(guī)則次序排列相同的規(guī)則，可能會深刻改變防火墻的運行情況。比如說，大部分防火墻按照順序?qū)?shù)據(jù)包進行檢查，收到第一個數(shù)據(jù)包與第一條規(guī)則相對應(yīng)，收到第二個數(shù)據(jù)包與第二條規(guī)則相對應(yīng)，一直進行對應(yīng)。如果檢查到匹配選項，就會停止檢查。如果沒有找到相匹配的規(guī)則，就會拒絕這個數(shù)據(jù)包。一般來說，比較特殊的規(guī)則應(yīng)該放在前面，比較普通的放在后面。通過這樣的方式，能有效避免防火墻的錯誤配置。第四，落實規(guī)則集，一旦確認(rèn)了規(guī)則次數(shù)與安全防范策略，就要對規(guī)則集中的每條規(guī)則進行落實。在實際落實過程中，需要注意以下幾個關(guān)鍵點。①將不必要的防火墻默認(rèn)服務(wù)切斷。②內(nèi)部網(wǎng)絡(luò)的所有人都能出網(wǎng)，任何服務(wù)都被允許，與安全策略規(guī)定相吻合。③增添鎖定規(guī)則，除了管理員之外，其他人員都不能訪問防火墻。④將不匹配的數(shù)據(jù)包丟棄，且不記錄。⑤可以允許網(wǎng)絡(luò)用戶訪問DNS。允許內(nèi)部用戶以及網(wǎng)絡(luò)用戶通過郵件傳遞協(xié)議訪問郵件服務(wù)器。不允許內(nèi)部用戶對DMZ進行公開訪問。允許內(nèi)部進行POP訪問。⑥拒絕、警告同時記錄DMZ到內(nèi)部用戶之間的通話。⑦管理員能夠通過加密方式進行內(nèi)部網(wǎng)絡(luò)的訪問。⑧將最常用規(guī)則盡可能放到規(guī)則集上部，進一步提升防火墻安全性能。

3.結(jié)語

新形勢下，加強給予防火墻墻技術(shù)的網(wǎng)絡(luò)安全架構(gòu)探析，對于提高網(wǎng)絡(luò)安全具有重要意義，為此，還需要對防火墻技術(shù)進行深入探究，提高防火墻關(guān)鍵技術(shù)，保障網(wǎng)絡(luò)環(huán)境安全。[科]

【參考文獻(xiàn)】

［1］黃登璽，卿斯?jié)h，蒙楊.防火墻核心技術(shù)的研究和高安全等級防火墻的設(shè)計[J].計算機科學(xué)，2011(02).

第6篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：等保測評；數(shù)據(jù)中心；基礎(chǔ)網(wǎng)絡(luò)

伴隨著互聯(lián)網(wǎng)中的應(yīng)用程序日漸豐富與多樣化，數(shù)據(jù)中心的基礎(chǔ)運行環(huán)境由原來的C/S架構(gòu)逐漸向由通過網(wǎng)絡(luò)設(shè)備互聯(lián)的服務(wù)器集群的方面轉(zhuǎn)型。因此，由傳統(tǒng)的通過硬件、操作系統(tǒng)、操作系統(tǒng)之上的應(yīng)用系統(tǒng)所組成的基礎(chǔ)架構(gòu)變得越來越復(fù)雜。然而，這越來越復(fù)雜的結(jié)果導(dǎo)致即將轉(zhuǎn)型為數(shù)據(jù)中心的安全體系帶來了更多的風(fēng)險與困難，一些數(shù)據(jù)中心的安全策略配置不當(dāng)或者不正確，往往都會給非法入侵者留下可被利用的后門或漏洞。盡管網(wǎng)絡(luò)管理員、系統(tǒng)管理員、系統(tǒng)安全員等相關(guān)負(fù)責(zé)人都已經(jīng)擁有相對較高的安全防護理念與意識，并通過不斷架設(shè)安全設(shè)備來保障數(shù)據(jù)中心的安全性與健壯性，但對于層出不窮和日益完善的黑客攻擊手段，這些傳統(tǒng)的防御理念和措施仍不足以保障數(shù)據(jù)中心的安全。因此，管理集約化、精細(xì)化的產(chǎn)物——數(shù)據(jù)集中就應(yīng)運而生。目前國內(nèi)企業(yè)信息化建設(shè)、電子政務(wù)興起都將倚靠數(shù)據(jù)集中的蓬勃發(fā)展。同時，數(shù)據(jù)大集中以及大數(shù)據(jù)的推動也必將倚靠數(shù)據(jù)中心的建設(shè)。作為網(wǎng)絡(luò)中資源最密集的載體、數(shù)據(jù)交換最頻繁的中心基礎(chǔ)網(wǎng)絡(luò)，數(shù)據(jù)中心無疑是一個充滿發(fā)展前景的新星產(chǎn)業(yè)。然而，數(shù)據(jù)中心由于是大數(shù)據(jù)的集合，必然包含無數(shù)信息與機密，對于數(shù)據(jù)中心上的任何防護漏洞必將導(dǎo)致無法計算的損失，因此構(gòu)筑一道完善且完整的安全防護體系將是其首要解決的問題。

一、現(xiàn)有數(shù)據(jù)中心安全分析

1.1 針對應(yīng)用層面的攻擊。應(yīng)用層面的攻擊方式包括緩沖區(qū)代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指"通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓"[1]。從本質(zhì)上講，蠕蟲可以在網(wǎng)絡(luò)中主動進行傳播，進而對系統(tǒng)進行破壞，而病毒則需要手工干預(yù)，比如利用外部存儲介質(zhì)的讀寫、點擊非法鏈接而被植入病毒。1.2 針對網(wǎng)絡(luò)層面的攻擊。在數(shù)據(jù)中心中針對網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。DOS攻擊程序有UDP反彈以及ICMP Smurf等方式。DDOS/DoS攻擊利用了TCP/IP的開放性原則，即協(xié)議自身規(guī)定的從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包，導(dǎo)致DDOS/DOS利用合理的、海量的、不間斷的服務(wù)請求來耗盡網(wǎng)絡(luò)、系統(tǒng)等可利用的資源，使得合法用戶無法獲取正常的服務(wù)響應(yīng)。隨著分布式技術(shù)的不斷的完善與改進，及時在網(wǎng)絡(luò)和系統(tǒng)性能的大幅提升的今天，數(shù)以億計的主機同時對某一網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊，造成的后果不言而喻，最直接的影響即使網(wǎng)絡(luò)癱瘓、系統(tǒng)無法正常使用。1.3 針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊。數(shù)據(jù)中心作為一個充滿發(fā)展前景的新星產(chǎn)業(yè)。又是大數(shù)據(jù)的集合，其中包含了無數(shù)信息與機密數(shù)據(jù)，即使安全設(shè)備部署的再完善，如果內(nèi)部管理不當(dāng)，依然會被攻破，而且來自內(nèi)部的攻擊更具破壞性。企業(yè)內(nèi)部的不法分子在充分了解數(shù)據(jù)中心的架構(gòu)與部署的前提下，不僅可以通過黑客技術(shù)繞過防火墻，還可以憑借對網(wǎng)絡(luò)構(gòu)架的充分了解，通過嗅探技術(shù)、違規(guī)訪問、攻擊路由器/交換機設(shè)備等手段，訪問非授權(quán)的數(shù)據(jù)，這將無疑對企業(yè)造成更為重大的損失。1.4 數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計原則。由于數(shù)據(jù)中心承載著其上用戶的所有機密數(shù)據(jù)、核心業(yè)務(wù)或核心技術(shù)，并且數(shù)據(jù)中心還為內(nèi)部之間提供數(shù)據(jù)之間的交換與業(yè)務(wù)之間的交互。因此，在構(gòu)建數(shù)據(jù)中心的網(wǎng)絡(luò)安全時，要從以下幾個方面進行合理規(guī)劃與建設(shè)：1.4.1安全分區(qū)：要將數(shù)據(jù)中心的網(wǎng)絡(luò)劃分為各個不同的安全區(qū)域，同時確保不同區(qū)域之間未經(jīng)許可不能訪問，用戶和客戶機在對數(shù)據(jù)中心訪問時只可以訪問他可以訪問的區(qū)域，禁止違規(guī)外聯(lián)和非法訪問以及惡性的入侵攻擊。1.4.2性能保障：要通過建立高性能、可靠性高的網(wǎng)絡(luò)環(huán)境，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)耐暾?，同時可以利用CRC循環(huán)校驗算法校驗數(shù)據(jù)在網(wǎng)絡(luò)中的丟失情況，使得數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中加了雙重保險。1.4.3技管并重：很多人會認(rèn)為，只要技術(shù)上有了足夠的保證，那么安全性必然有了保證。其實不然，正所謂系統(tǒng)的安全性保證都是三分靠技術(shù)，七分靠管理，技術(shù)層面設(shè)計得再優(yōu)良，也要有與之對應(yīng)的管理制度去推動。1.4.4新近原則：及時汲取當(dāng)前最新的安全技術(shù)，以減輕安全管理的負(fù)擔(dān)為目標(biāo)，實現(xiàn)安全管理的自動化，同時減小因為人為管理認(rèn)知上的漏洞對系統(tǒng)安全造成威脅。1.4.5平衡發(fā)展：在構(gòu)建數(shù)據(jù)中心的時候要充分考慮今后業(yè)務(wù)和網(wǎng)絡(luò)安全的共同協(xié)調(diào)發(fā)展，既要能滿足今后業(yè)務(wù)的擴展，又要能夠?qū)崿F(xiàn)當(dāng)前技術(shù)與未來新技術(shù)的無縫鏈接，避免只滿足系統(tǒng)安全要求，而給業(yè)務(wù)發(fā)展帶來障礙，或者為了擴展業(yè)務(wù)而忽視了安全建設(shè)的情況發(fā)生。

二、數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計要求

2.1 物理安全設(shè)計要求

2.1.1 物理訪問控制。機房存放著網(wǎng)絡(luò)設(shè)備、服務(wù)器、辦公環(huán)境以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)及相關(guān)設(shè)備場所，機房各出入口應(yīng)安排專人負(fù)責(zé)，記錄進入的人員，劃分關(guān)鍵設(shè)備與非關(guān)鍵區(qū)域，區(qū)域之間通過玻璃隔斷實現(xiàn)物理隔離，關(guān)鍵區(qū)域采用智能卡和指紋識別的門禁系統(tǒng)，對進入關(guān)鍵區(qū)域人員實現(xiàn)“雙道”鑒別。2.1.2 溫濕度控制。機房存放著不同業(yè)務(wù)系統(tǒng)的主機，由于主機在運行時會產(chǎn)生大量的熱量，而保證良好機房環(huán)境的精密空調(diào)系統(tǒng)則成為不可獲取的必備設(shè)施。而機房精密空調(diào)系統(tǒng)就是為了保證公司內(nèi)部機房中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等一系列硬件設(shè)施能夠連續(xù)、穩(wěn)定、可靠地運行，同時，精密空調(diào)系統(tǒng)還需要維持機房內(nèi)恒溫恒濕狀態(tài)，防止靜電現(xiàn)象的產(chǎn)生導(dǎo)致設(shè)備的損壞。2.1.3 電力供應(yīng)。公司機房的其供電要求非常高，按照等級保護四級系統(tǒng)的要求應(yīng)采用UPS不間斷電源，以保證在機房斷電的同時，通過UPS不間斷的供電來保證機房內(nèi)部實施的穩(wěn)定、正常運行，為電力搶修贏得時間。同時其供配電系統(tǒng)應(yīng)采用N+1冗余并機技術(shù)以實現(xiàn)空調(diào)設(shè)備、動力設(shè)備、照明設(shè)備、測試設(shè)備等設(shè)備的正常使用。2.1.4 動力環(huán)境監(jiān)控系統(tǒng)。數(shù)據(jù)中心機房除了部署視頻監(jiān)控系統(tǒng)、UPS系統(tǒng)、消防系統(tǒng)、精密空調(diào)系統(tǒng)，還應(yīng)該部署水敏感檢測裝置、紅外告警裝置等，且所有系統(tǒng)統(tǒng)一集成動力環(huán)境監(jiān)控系統(tǒng)中，方便機房管理員有效了解溫濕度、消防、電源、UPS等狀態(tài)以及告警信息，及時對告警信息進行分析和處理。

2.2 網(wǎng)絡(luò)安全設(shè)計要求

2.2.1 區(qū)域邊界安全。應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進行檢查；應(yīng)逐步采用網(wǎng)絡(luò)準(zhǔn)入、終端控制、身份認(rèn)證、可信計算等技術(shù)手段，維護網(wǎng)絡(luò)邊界完整性。安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護措施，禁止任何穿越數(shù)據(jù)中心中不同業(yè)務(wù)之間邊界的通用網(wǎng)絡(luò)服務(wù)。 數(shù)據(jù)中心中的的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)具有高安全性和高可靠性，禁止采用安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)功能。2.2.2 拒絕服務(wù)攻擊。在數(shù)據(jù)中心中針對網(wǎng)絡(luò)層面的攻擊主要包括分布式拒絕服務(wù)攻擊（DDoS）、拒絕服務(wù)攻擊（DoS）等。雖然DDOS/DOS存在由來已久，但其破壞力卻仍然被網(wǎng)絡(luò)管理員以及安全管理員所忌憚。最常見的DDOS攻擊方法有ECF（Established Connection Flood）、SYN Flood和CPSF(Connection Per Second Flood)。部署相關(guān)的網(wǎng)絡(luò)安全設(shè)備，抵御DDOS/DOS的攻擊。2.2.3 網(wǎng)絡(luò)設(shè)備防護。實施工程師和客戶之間存在不可或缺交流的問題，大部分實施工作以能夠“通信”為原則，忽略網(wǎng)絡(luò)設(shè)備安全防護的能力。設(shè)備應(yīng)該關(guān)閉使用多余接口、采用SSH V2作為遠(yuǎn)程管理協(xié)議、為不同管理員分配不同權(quán)限的賬號，實現(xiàn)“權(quán)限分離，多人賬號管理”根據(jù)業(yè)務(wù)的要求，制定詳細(xì)訪問控制策略，提升網(wǎng)絡(luò)設(shè)備的安全性。2.2.4 惡意代碼防護。隨著技術(shù)的快速，數(shù)據(jù)中心網(wǎng)絡(luò)面臨各種可能性的攻擊。緩沖區(qū)代碼溢出、植入病毒、蠕蟲攻擊、植入后門木馬等，其中，應(yīng)用攻擊中最典型的方式為蠕蟲攻擊。蠕蟲是指“通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓”[1]。在數(shù)據(jù)中心網(wǎng)絡(luò)出口處部署惡意代碼防護系統(tǒng)，防止計算機病毒、木馬和蠕蟲從網(wǎng)絡(luò)邊界處入侵而造成的傳播破壞，對惡意代碼進行檢測和清除。2.2.5 入侵防護防御系統(tǒng)。隨著業(yè)務(wù)系統(tǒng)發(fā)展的需要，WEB服務(wù)器需要暴露公網(wǎng)環(huán)境中，隨時都面臨被攻擊的可能性。在DMZ邊界部署入侵防御系統(tǒng)，能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點到點應(yīng)用濫用，制定詳細(xì)入侵防范策略，修改默認(rèn)策略，發(fā)生攻擊行為時記錄日志。

2.3 安全審計設(shè)計要求

2.3.1 日志服務(wù)器。日志可以幫助我們分析設(shè)備是否正常，網(wǎng)絡(luò)是否健康，任何設(shè)備或系統(tǒng)都應(yīng)該建立完整的日志系統(tǒng)。部署日志服務(wù)器，對交換機、路由器、安全及相關(guān)設(shè)備運行日志進行集中收集， 便于管理員了解網(wǎng)絡(luò)運行情況以及方便故障排除。2.3.2 安全審計。數(shù)據(jù)中心部署審計平臺網(wǎng)絡(luò)設(shè)備的運行狀況、網(wǎng)絡(luò)流量、管理記錄等進行監(jiān)測和記錄，記錄時間、類型、用戶、時間類型、事件是否成功等相關(guān)信息，利用審計平臺生成的記錄和報表進行定期分析，為了方便管理員能夠及時準(zhǔn)確地了解網(wǎng)絡(luò)設(shè)備運行狀況和發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。

2.4 數(shù)據(jù)備份與恢復(fù)設(shè)計要求

涉及數(shù)據(jù)中心的業(yè)務(wù)相對比較重要，數(shù)據(jù)大而多，多存放于本地或異地容易容災(zāi)系統(tǒng)，一旦發(fā)生不可預(yù)見對的困難，影響范圍廣和后果難以估計。因此，數(shù)據(jù)中心必須具備備份與恢復(fù)檢測，確認(rèn)信息的完整性和可用性，確保數(shù)據(jù)能夠及時恢復(fù)。數(shù)據(jù)備份與基本要求：（1）每天進行增加備份，每周進行全額備份；（2）應(yīng)部署異地容災(zāi)系統(tǒng)，通過數(shù)據(jù)中心基礎(chǔ)架構(gòu)實現(xiàn)關(guān)鍵數(shù)據(jù)的異地備份；（3）與容災(zāi)中心進行異地備份要進行完整性校驗，確保備份數(shù)據(jù)有效性；（4）數(shù)據(jù)須至少每個月進行恢復(fù)測試，以確保備份的有效性和備份恢復(fù)的可行性。

三、結(jié)束語

數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)突破了傳統(tǒng)的物理結(jié)構(gòu)限制的壁壘，高效整合和利用了各項基礎(chǔ)設(shè)施資源，為網(wǎng)絡(luò)技術(shù)發(fā)展和虛擬化技術(shù)發(fā)展帶來革命性突破，同時也給信息產(chǎn)業(yè)帶來新的機遇。但新的技術(shù)總是伴隨著新的安全隱患，而安全問題若不能得到合理解決將會阻礙其技術(shù)的發(fā)展，這需要在未來技術(shù)發(fā)展中深入分析和了解以尋求解決之道。數(shù)據(jù)中心建設(shè)過程中的網(wǎng)絡(luò)安全是數(shù)據(jù)中心安全體系的最基本、也是最重要的環(huán)節(jié)，只有合理的設(shè)計網(wǎng)絡(luò)安全規(guī)劃方案，并提供持續(xù)安全加固的擴展性設(shè)計，才可以保證基礎(chǔ)網(wǎng)絡(luò)平臺的安全性與可靠性。但要構(gòu)建全方位、高安全的數(shù)據(jù)中心體系，還需要融合物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全、應(yīng)用安全、以及管理制度等方面，從各種安全角度出發(fā)進行相應(yīng)的安全規(guī)劃，并不斷完善數(shù)據(jù)中心的安全防范等級。

作者:馮國禮 李蓉 王曄 單位:國網(wǎng)寧夏電力公司信息通信公司

參考文獻(xiàn)

[1]GB/T22239-2008.信息系統(tǒng)安全等級保護基本要求[S].

第7篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞 大數(shù)據(jù)時代；計算機網(wǎng)絡(luò)信息；安全；防護

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2018）209-0143-02

隨著信息化時代的到來，計算機網(wǎng)絡(luò)也隨之逐漸改變著人們的工作以及日常生活。但是任何一樣?xùn)|西都具有兩面性，計算機網(wǎng)絡(luò)技術(shù)也是如此。S著計算機網(wǎng)絡(luò)技術(shù)的大眾化，計算機網(wǎng)絡(luò)帶來了便利的同時也帶來了巨大的安全隱患，這些安全隱患將會給人們造成非常嚴(yán)重的損失。雖然現(xiàn)如今計算機網(wǎng)絡(luò)技術(shù)的安全性越來越被人們所重視，但是由于計算機網(wǎng)絡(luò)擁有的聯(lián)結(jié)形式多樣性、終端分布不均勻性、開放性以及互聯(lián)性等特點，導(dǎo)致了計算機網(wǎng)絡(luò)之中存在著自然以及人為等多種因素所造成的安全隱患。因此，人們在使用計算機網(wǎng)絡(luò)進行信息傳遞的時候想保證傳遞信息的安全性以及可靠性，就必須要加強計算機網(wǎng)絡(luò)信息安全與防護工作。

1 計算機網(wǎng)絡(luò)信息安全中存在的問題

1.1 計算機網(wǎng)絡(luò)本身的問題以及人為因素影響

計算機網(wǎng)絡(luò)信息之中出現(xiàn)的安全缺陷主要有4點，分別是TCP/IP的脆弱性、網(wǎng)絡(luò)結(jié)構(gòu)的不安全性、易被竊聽以及缺乏安全意識[1]。

其中TCP/IP的脆弱性主要是因為網(wǎng)絡(luò)的基礎(chǔ)是TCP/IP協(xié)議，但是在該協(xié)議之中對于計算機網(wǎng)絡(luò)的安全性并沒有給予足夠的重視，此外由于該協(xié)議是開放性的，因此，計算機網(wǎng)絡(luò)攻擊者很容易就可以找出其中存在的漏洞從而對計算機網(wǎng)絡(luò)進行攻擊；網(wǎng)絡(luò)結(jié)構(gòu)的不安全性主要是因為計算機網(wǎng)絡(luò)是由無數(shù)個局域網(wǎng)組合而成的巨大網(wǎng)絡(luò)，因此當(dāng)用戶使用一個局域網(wǎng)與另一個局域網(wǎng)進行通信操作的時候，因該操作而產(chǎn)生的信息流會經(jīng)過很多臺主機的轉(zhuǎn)發(fā)才能到達(dá)另一端，這時計算機網(wǎng)絡(luò)攻擊者就可以利用其中一臺主機對該信息流進行截取操作，從而完成攻擊；易被竊聽主要是因為計算機網(wǎng)絡(luò)之中大多數(shù)的數(shù)據(jù)流都沒有進行過加密的操作，因此當(dāng)用戶使用網(wǎng)絡(luò)之中的免費軟件時就非常容易被第三方進行竊聽；至于缺乏安全意識這點與以上3點不同，其主要是因為計算機網(wǎng)絡(luò)用戶所造成的?，F(xiàn)如今雖然計算機網(wǎng)絡(luò)之中已經(jīng)擁有了許多安全保護措施，但是由于計算機網(wǎng)絡(luò)用戶普遍缺乏足夠的安全意識，這就使得這些保護措施形同虛設(shè)。比如說一些計算機用戶為了方便便避開了計算機網(wǎng)絡(luò)防火墻服務(wù)器的額外認(rèn)證操作，直接進行了ppp連接，這就導(dǎo)致計算機網(wǎng)絡(luò)防火墻發(fā)揮不出其應(yīng)有的作用。

1.2 黑客入侵

網(wǎng)絡(luò)黑客入侵也是造成現(xiàn)如今計算機網(wǎng)絡(luò)信息出現(xiàn)安全隱患的主要原因之一，網(wǎng)絡(luò)黑客入侵攻擊的范圍則包括簡單的服務(wù)器無法給用戶提供正常的服務(wù)至完全破壞或者控制服務(wù)器?，F(xiàn)如今計算機網(wǎng)絡(luò)攻擊者的主流攻擊方式主要是通過利用計算機網(wǎng)絡(luò)通信協(xié)議之中存在的漏洞或者是用戶因為安全配置不當(dāng)而產(chǎn)生的安全隱患來進行計算機網(wǎng)絡(luò)攻擊的。通過根據(jù)目標(biāo)系統(tǒng)攻擊以及被入侵程度依賴于攻擊者的攻擊思路和采用攻擊手段的不同，可以借此將計算機網(wǎng)絡(luò)攻擊分為兩種模式，一種是被動攻擊的模式，另一種是主動攻擊的模式[2]。

被動攻擊指的是網(wǎng)絡(luò)黑客對用戶進行監(jiān)視從而獲得一些機密信息。這種攻擊模式主要是基于計算機網(wǎng)絡(luò)以及系統(tǒng)的，同時這種類型的攻擊模式也是計算機網(wǎng)絡(luò)攻擊之中最難察覺到一種，因此對于此種攻擊模式最好的防御方式就是提早做好預(yù)防措施，比如說對計算機網(wǎng)絡(luò)進行數(shù)據(jù)加密。

主動攻擊就是網(wǎng)絡(luò)黑客采取措施對計算機網(wǎng)絡(luò)安全防線進行突破的行為。這種攻擊模式主要涉及到對計算機網(wǎng)絡(luò)的數(shù)據(jù)流的更改以及在計算機網(wǎng)絡(luò)之中創(chuàng)建錯誤信息流，該攻擊模式所采用的方法主要是假冒、消息篡改以及拒絕服務(wù)等，不同于被動攻擊，主動攻擊無法有效進行預(yù)防但是非常容易就能夠察覺，因此應(yīng)對這種攻擊模式最好就是加強對計算機網(wǎng)絡(luò)進行檢測，比如說設(shè)置網(wǎng)絡(luò)防火墻以及入侵檢測系統(tǒng)等[3]。

2 大數(shù)據(jù)時代下加強計算機網(wǎng)絡(luò)信息安全性的措施

對于計算機網(wǎng)絡(luò)的攻擊對計算機網(wǎng)絡(luò)信息安全造成的影響，計算機網(wǎng)絡(luò)用戶最好的防御措施就是在自身計算機網(wǎng)絡(luò)被攻擊以及破壞的時候及時察覺，然后及時采取相應(yīng)的措施，借此有效減少自身的損失。在計算機網(wǎng)絡(luò)之中建立起的防御系統(tǒng)主要包括計算機網(wǎng)絡(luò)安全防護機制、計算機網(wǎng)絡(luò)安全監(jiān)測機制、計算機網(wǎng)絡(luò)安全反應(yīng)機制以及計算機網(wǎng)絡(luò)安全恢復(fù)機制這幾種機制，借此有效保護計算機網(wǎng)絡(luò)信息傳輸?shù)陌踩砸约翱煽啃浴Ｆ渲邪踩雷o機制指的是結(jié)合計算機網(wǎng)絡(luò)系統(tǒng)之中存在的安全隱患進行相應(yīng)的防護措施，有效避免計算機網(wǎng)絡(luò)攻擊；安全監(jiān)測機制指的是實時對計算機網(wǎng)絡(luò)運行狀況進行監(jiān)測，及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)遭受到的攻擊；安全反映機制指的是及時提醒用戶計算機網(wǎng)絡(luò)遭受到攻擊，同時針對性做出防御措施，及時止損；安全恢復(fù)機制指的是當(dāng)安全防護機制失效的時候及時進行修復(fù)和處理，及時止損。在建立這些防御措施時會應(yīng)用到如防火墻技術(shù)以及加密技術(shù)等計算機網(wǎng)絡(luò)防御技術(shù)。

第8篇：網(wǎng)絡(luò)安全防御技術(shù)范文

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)安全；防護

中圖分類號：TP393.08

隨著計算機和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活和工作當(dāng)中必不可少的一部分。大中型企業(yè)信息化建設(shè)隨著網(wǎng)絡(luò)系統(tǒng)的快速發(fā)展也在日新月異，網(wǎng)絡(luò)和信息化已經(jīng)融入到企業(yè)的生產(chǎn)和管理當(dāng)中，對企業(yè)的正常運轉(zhuǎn)越來越重要。隨著大中型企業(yè)網(wǎng)絡(luò)和信息化業(yè)務(wù)系統(tǒng)的日益增多，遭受網(wǎng)絡(luò)安全威脅與攻擊的可能性也大大增加，一旦遭受攻擊導(dǎo)致網(wǎng)絡(luò)和信息化系統(tǒng)服務(wù)異常，影響到生產(chǎn)的話，將會給企業(yè)造成極大的經(jīng)濟損失和社會負(fù)面影響。

1 企業(yè)網(wǎng)絡(luò)安全防護的重要性和建設(shè)目標(biāo)

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全的主要特性為：保密性、完整性、可用性、可控性和可審查行。

企業(yè)的網(wǎng)絡(luò)與信息化系統(tǒng)應(yīng)用的越多，企業(yè)對網(wǎng)絡(luò)的依賴度就更高，目前大中型企業(yè)提高信息化發(fā)展水平已經(jīng)是一種趨勢，信息化的發(fā)展必然面臨各種網(wǎng)絡(luò)安全威脅，若不采取相應(yīng)措施保護企業(yè)網(wǎng)絡(luò)和信息化系統(tǒng)安全，則企業(yè)的網(wǎng)絡(luò)和信息化系統(tǒng)將隨時遭受攻擊而癱瘓或崩潰，影響企業(yè)的生產(chǎn)秩序。

大中型企業(yè)網(wǎng)絡(luò)所面臨的嚴(yán)峻安全形勢，使得各企業(yè)必須意識到構(gòu)建完備安全體系的重要性。隨著網(wǎng)絡(luò)攻擊的多樣化，企業(yè)不能只針對單一方面進行網(wǎng)絡(luò)安全防護，應(yīng)該從整理著眼，建立完整的網(wǎng)絡(luò)安全防護體系。完整的安全體系建設(shè)不僅要能有效抵御外網(wǎng)攻擊，而且要能防范可能來自內(nèi)部的攻擊、入侵和泄密等威脅。

2 企業(yè)網(wǎng)絡(luò)安全的隱患與危害

2.1 計算機病毒

計算機病毒出現(xiàn)的初期，其危害主要為刪除文件數(shù)據(jù)、格式化硬盤等，但隨著計算機應(yīng)用和互聯(lián)網(wǎng)技術(shù)的發(fā)展，計算機病毒通過網(wǎng)絡(luò)進行瘋狂傳播，大量消耗網(wǎng)絡(luò)資源，使企業(yè)甚至互聯(lián)網(wǎng)網(wǎng)絡(luò)癱瘓。

計算機病毒造成的最大破壞，不是技術(shù)方面的，而是社會方面的。計算機感染病毒后導(dǎo)致計算機的使用率減低，甚至導(dǎo)致企業(yè)、銀行等關(guān)鍵信息泄露，造成社會聲譽損失和商業(yè)風(fēng)險。

2.2 黑客威脅和攻擊

計算機信息網(wǎng)絡(luò)上的黑客攻擊事件越演越劇烈，目前以非法牟利為目的的黑客產(chǎn)業(yè)鏈已經(jīng)成為新的暴力產(chǎn)業(yè)，黑客通過網(wǎng)絡(luò)非法入侵計算機信息系統(tǒng)，肆意竊取信息系統(tǒng)里面存儲的用戶信息和關(guān)鍵數(shù)據(jù)等，給信息系統(tǒng)所有者和用戶帶來無法估計的損失。

2.3 內(nèi)部威脅和攻擊

企業(yè)在管理內(nèi)部人員上網(wǎng)時，由于對內(nèi)部威脅認(rèn)識不足，所以沒有采取全面的安全防范措施，導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全事故逐年上升。機器都是人進行操作的，由于懶惰、粗心大意或者對設(shè)備的使用和業(yè)務(wù)不太熟練等原因，都有可能造成數(shù)據(jù)的損壞和丟失，或者企業(yè)機密信息泄露。另外還有一些企業(yè)員工，為了一己私利對企業(yè)的計算機網(wǎng)絡(luò)系統(tǒng)進行攻擊和破壞。不管是有意的還是偶然的，內(nèi)部威脅都是一個最大的安全威脅，而且是一個很難解決的威脅。

2.4 系統(tǒng)漏洞

許多網(wǎng)絡(luò)系統(tǒng)和應(yīng)用信息系統(tǒng)都存在著這樣那樣的漏洞，這些漏洞可能是網(wǎng)絡(luò)建設(shè)考慮不全和系統(tǒng)本身所有的。另外，在企業(yè)信息化應(yīng)用系統(tǒng)建設(shè)時，由于技術(shù)方面的不足或者為了遠(yuǎn)程維護的方面導(dǎo)致應(yīng)用系統(tǒng)在開發(fā)過程中存在漏洞或后門，一旦這種漏洞或后門被惡意利用，將會造成非常大的威脅。

3 企業(yè)網(wǎng)絡(luò)安全的技術(shù)防護措施

完整的網(wǎng)絡(luò)安全防護體系，必須具體綜合的防護技術(shù)，對攻擊、病毒、訪問控制等全面防御，目前企業(yè)網(wǎng)絡(luò)安全防護技術(shù)主要有以下幾種：

3.1 防火墻隔離

防火墻提供如下功能：訪問控制、數(shù)據(jù)包過濾、流量分析和監(jiān)控、攔截阻斷非法數(shù)據(jù)連接、限制IP連接數(shù)等。此外通過防火墻將內(nèi)網(wǎng)、外網(wǎng)和DMZ（非軍事區(qū)）區(qū)劃分不同的等級域，限制各域之間的相互訪問，達(dá)到保護內(nèi)網(wǎng)和公共服務(wù)站點安全的目的；

3.2 VPN安全訪問系統(tǒng)

VPN（虛擬專用網(wǎng)絡(luò)）是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。VPN屬于一種安全的遠(yuǎn)程訪問技術(shù)，通過在公網(wǎng)上建立一個私有的隧道，利用加密技術(shù)對數(shù)據(jù)進行加密，保證數(shù)據(jù)的私有性和安全性。

3.3 入侵檢測系統(tǒng)與入侵防御系統(tǒng)

入侵檢測系統(tǒng)（Intrusion Detection System）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)通過對來自外部網(wǎng)和內(nèi)部的各種行為的實時檢測，及時發(fā)現(xiàn)未授權(quán)或異?，F(xiàn)象以及各種可能的攻擊企圖，并記錄有關(guān)事件，以便網(wǎng)管員及時采取防范措施，為事后分析提供依據(jù)。入侵檢測系統(tǒng)采用旁路部署模式，將網(wǎng)絡(luò)的關(guān)鍵路徑上的數(shù)據(jù)流進行鏡像和收集分析。

入侵防御系統(tǒng)（Intrusion Prevention System）是一種在線部署到網(wǎng)絡(luò)關(guān)鍵路徑上的產(chǎn)品，通過對流經(jīng)該關(guān)鍵路徑上的網(wǎng)絡(luò)數(shù)據(jù)流進行2-7層的深度分析，能精確、實時的識別、阻斷、限制各類網(wǎng)絡(luò)攻擊和泛洪攻擊，進行主動的、實時的防護，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷。

第9篇：網(wǎng)絡(luò)安全防御技術(shù)范文

一、反攻擊技術(shù)的核心問題

反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息(數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等)，這既是進行攻擊的必然途徑，也是進行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

二、攻擊的主要方式

對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用“系統(tǒng)配置的缺陷”“操作系統(tǒng)的安全漏洞”或“通信協(xié)議的安全漏洞”來進行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分以下幾類：

1.拒絕服務(wù)攻擊

一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象（通常是工作站或重要服務(wù)器）的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、Win Nuke攻擊等。

2.非授權(quán)訪問嘗試

是攻擊者對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權(quán)限所做的嘗試。

3.預(yù)探測攻擊

在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

4.可疑活動

是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動，也可以指網(wǎng)絡(luò)上不希望有的活動，如IP Unknown Protocol和Duplicate IP AddressFTU User事件等。

5.協(xié)議解碼

協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進行解碼工作，并獲得相應(yīng)的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。

三、攻擊行為的特征分析與反攻擊技術(shù)

入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為，要有效的進反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進行分析，并提出相應(yīng)的對策。

1.Land攻擊

攻擊類型：Land攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因為當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

檢測方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包)，并對這種攻擊進行審計(記錄事件發(fā)生的時間，源主機和目標(biāo)主機的MAC地址和IP地址)。

2.TCP SYN攻擊

攻擊類型：TCP SYN攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：它是利用TCP客戶機與服務(wù)器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當(dāng)被攻擊主機接收到大量的SYN數(shù)據(jù)包時，需要使用大量的緩存來處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的1P地址，并一直等待ACK數(shù)據(jù)包的回應(yīng)，最終導(dǎo)致緩存用完，不能再處理其他合法的SYN連接，即不能對外提供正常服務(wù)。

檢測方法：檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。

反攻擊方法：當(dāng)接收到大量的SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進行系統(tǒng)審計。

3.Ping Of Death攻擊

攻擊類型：Ping Of Death攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：該攻擊數(shù)據(jù)包大于65535個字節(jié)。由于部分操作系統(tǒng)接收到長度大于65535字節(jié)的數(shù)據(jù)包時，就會造成內(nèi)存溢出、系統(tǒng)崩潰、重啟、內(nèi)核失敗等后果，從而達(dá)到攻擊的目的。

檢測方法：判斷數(shù)據(jù)包的大小是否大于65535個字節(jié)。

反攻擊方法：使用新的補丁程序，當(dāng)收到大于WinNuk個字節(jié)的數(shù)據(jù)包時，丟棄該數(shù)據(jù)包，并進行系統(tǒng)審計。

4.WinNuke攻擊

攻擊類型：WinNuk攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：WinNuk攻擊又稱帶外傳輸攻擊，它的特征是攻擊目標(biāo)端口，被攻擊的目標(biāo)端口通常是139、138、137、113、53，而且URG位設(shè)為“1”，即緊急模式。

檢測方法：判斷數(shù)據(jù)包目標(biāo)端口是否為139、138、137等，并判斷URG位是否為“1”。

反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器就可以防止這種攻擊手段(丟棄該數(shù)據(jù)包)，并對這種攻擊進行審計(記錄事件發(fā)生的時間，源主機和目標(biāo)主機的ardropC地址和IP地址C)。

5.Teardrop攻擊

攻擊類型：Teardrop攻擊是一種拒絕服務(wù)攻擊。

攻擊特征：Teardrop是基于UDP的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的IP包(IP分片數(shù)據(jù)包中包括該分片數(shù)據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息)，某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。

檢測方法：對接收到的分片數(shù)據(jù)包進行分析，計算數(shù)據(jù)包的片偏移量(Offset)是否有誤。

反攻擊方法：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進行審計。

6.TCP / UDP端口掃描

攻擊類型：TCP/UDP端口掃描是一種預(yù)探測攻擊。

攻擊特征：對被攻擊主機的不同端口發(fā)送TCP或UDP連接請求，探測被攻擊對象運行的服務(wù)類型。

檢測方法：統(tǒng)計外界對系統(tǒng)端口的連接請求，特別是對21、23、 25、 53、80、8000、 8080等以外的非常用端口的連接請求。

反攻擊方法：當(dāng)收到多個TCP/UDP數(shù)據(jù)包對異常端口的連接請求時，通知防火墻阻斷連接請求，并對攻擊者的IP地址和MAC地址進行審計。

對于某些較復(fù)雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法，還需要利用狀態(tài)轉(zhuǎn)移、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等方法來進行入侵檢測。

四、入侵檢測系統(tǒng)的幾點思考

從性能上講，入侵檢測系統(tǒng)面臨的一個矛盾就是系統(tǒng)性能與功能的折衷，即對數(shù)據(jù)進行全面復(fù)雜的檢驗構(gòu)成了對系統(tǒng)實時性要求很大的挑戰(zhàn)。

從技術(shù)上講，入侵檢測系統(tǒng)存在一些亟待解決的問題，主要表現(xiàn)在以下幾個方面：

一是如何識別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中，我們了解到安全問題日漸突出，攻擊者的水平在不斷地提高，加上日趨成熟多樣的攻擊工具，以及越來越復(fù)雜的攻擊手法，使入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。

二是網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)?，因此對信息的改變或重新編碼就可能騙過入侵檢測系統(tǒng)的檢測，因此字符串匹配的方法對于加密過的數(shù)據(jù)包就顯得無能為力。

三是網(wǎng)絡(luò)設(shè)備越來越復(fù)雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制，以適應(yīng)更多的環(huán)境的要求。

四是對入侵檢測系統(tǒng)的評價還沒有客觀的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術(shù)，隨著技術(shù)的發(fā)展和對新攻擊識別的增加，入侵檢測系統(tǒng)需要不斷的升級才能保證網(wǎng)絡(luò)的安全性。

五是采用不恰當(dāng)?shù)淖詣臃磻?yīng)同樣會給入侵檢測系統(tǒng)造成風(fēng)險。入侵檢測系統(tǒng)通常可以與防火墻結(jié)合在一起工作，當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，過濾掉所有來自攻擊者的IP數(shù)據(jù)包，當(dāng)一個攻擊者假冒大量不同的IP進行模擬攻擊時，入侵檢測系統(tǒng)自動配置防火墻將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是造成新的拒絕服務(wù)訪問。