学文网安全技术防范论文篇1
摘要:论述了在构建电子商务网站时应采取的安全措施:防火墙技术、入侵检测系统、网络漏洞扫描器、防病毒系统和安全认证系统,以及它们之间的相互配合。关键词:网站;安全;电子商务前言由于电子商务网站是在Internet这个完全开放的网络中运行,大量的支付信息、订货信息、谈判信息、商业机密文件等在计算机系统中存放、传输和处理,而网络黑客、入侵者、计算机病毒在网上随处可见,它们窃取、篡改和破坏商务信息。为了确保电子商务活动的健康发展和正常进行,除了应加大对黑客和计算机犯罪的打击力度外,加强电子商务网站自身的安全防护也是非常重要的。因此,当一个企业架设电子商务网站时,应选择有效的安全措施。
1电子商务网站安全的要求影响
电子商务网站安全的因素是多方面的。从网站内部看,网站计算机硬件、通信设备的可靠性、操作系统、网络协议、数据库系统等自身的安全漏洞,都会影响到网站的安全运行。从网站外部看,网络黑客、入侵者、计算机病毒也是危害电子商务网站安全的重要因素。电子商务网站的安全包括三个方面的要求:1.1网站硬件的安全要求网站的计算机硬件、附属通信设备及网站传输线路稳定可靠,只有经过授权的用户才能使用和访问。1.2网站软件的安全网站的软件不被非法篡改,不受计算机病毒的侵害;网站的数据信息不被非法复制、破坏和丢失。1.3网站传输信息的安全指信息在传输过程中不被他人窃取、篡改或偷看;能确定客户的真实身份。本文主要论述当电子商务网站面对来自网站外部的安全威胁时,应采取哪些有效的安全措施保护网站的安全。
2电子商务网站的安全措施
2.1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙基本分为两类:包过滤和基于的防火墙。包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。防火墙能够将网络通信链路分为两段,使内部网与Internet不直接通信,而是使用服务器作为数据转发的中转站,只有那些被认为可信赖的数据才允许通过。这两种防火墙各有其优缺点:包过滤器只能结合源地址、目标地址和端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。防火墙比包过滤器慢,当网站访问量较大时会影响上网速度;防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。目前市场上最新的防火墙产品集成了和包过滤技术,提供了管理数据段和实现高吞吐速度的解决方案。这些混合型的设备在安全要求比吞吐速度有更高要求时,能实行验证服务,在需要高速度时,它们能灵活地采用包过滤规则作为保护方法。
2.2入侵检测系统防火墙是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。入侵检测系统所采用的技术有:(1)特征检测:这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又网络时空不会将正常的活动包含进来。(2)异常检测:假设入侵者活动异于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
2.3网络漏洞扫描器没有绝对安全的网站,任何安全漏洞都可能导致风险产生。网络漏洞扫描器是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式:(1)外部扫描:通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的FTP目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。(2)内部扫描:漏洞扫描器以root身份登录目标主机,记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。2.4防病毒系统病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。常用的防病毒技术有:(1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。(2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。(3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试***在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
2.5启用安全认证系统企业电子商务网站的安全除网站本身硬件和软件的安全外,还应包括传输信息的安全。对一些重要的的传输信息,应保证信息在传输过程中不被他人窃取、偷看或修改。因此,应在网站服务器中启用安全认证系统。安全认证系统对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,在电子商务中普遍采用SSL安全协议。SSL安全协议主要提供三方面的服务:(1)认证用户和服务器,使得它们能够确信数据将被发送到正确的客户机和服务器上。(2)加密数据以隐藏被传送的数据。(3)维护数据的完整性,确保数据在传输过程中不被改变。
3结束语
任何一种安全措施都有其局限性,企业电子商务网站的设计人员必须在精心的安全分析、风险评估、商业需求分析和网站运行效率分析的基础上,制定出整体的安全解决方案。为保证整体安全解决方案的效率,各安全产品之间应该实现一种联动机制。当漏洞扫描器发觉安全问题时,就会通知系统管理员,及时采取补漏措施;当入侵检测系统检测到攻击行为时,就会利用防火墙进行实时阻断;当防病毒系统发现新病毒时,也会及时更新入侵检测系统的病毒攻击库,以提高入侵检测系统的检测效率;由于安全产品和服务器、安全产品与安全产品之间都需要进行必要的数据通信,为了保证这些通信的保密性和完整性,可以采用安全认证手段。只有当各种安全产品真正实现联动时,网络安全才能得到保障。
参考文献
[1]徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社,1999:104-105.
[2]田俊华.网络信息系统安全策略[J].西安工程科技学院学报,2003,4(17).
[3]覃琴.Intranet安全技术分析[J].陕西工学院学报,2002,4(18).
安全技术防范论文篇2
编者按:本论文主要从安全策略维度的关联分析;安全策略维度的节点安全问题;安全策略维度的安全技术分布等进行讲述,包括了系统自身的保护构造依靠的是节点后移、通过同一操作系统出现了强关联,使其安全策略维度降至一维甚至更低等,具体资料请见:
论文摘要:电子商务的安全防范方面,已经出现了许多新技术新方法,但网络安全问题仍然让人担忧。引入安全策略的维度思想,对各种安全技术进行整合,使各种安全技术在搭配组合上更科学合理,发挥最大的安全效能。
论文关键词:网络安全;安全策略;雏度思想
1概述
计算机信息安全策略维度思想是将计算机信息安全首先从不同的角度(维度)进行拆分,然后对某一些角度(维度)的信息加以限制(如进行加密),当这一维度被抽出后,其它的信息即便被人得到,只要该被限制的维度不能被获得,则其他人无法得到真实完整的信息,或者说是得到无用的信息。这种体系发生作用的原因就是前面提过的,为当某一维度被限制后,它的上一层维度将会被限制,这样向上的一层层维度都将被限制直到最顶层。在计算机领域里,我们知道计算机信息需要传输,而传输过程中将涉及到传输的内容(加密内容、非加密内容)、传输使用的方式(电话、网络、卫星信号)、传输的时间等诸多维度。在这些维度中如果我们能将任何—个维度加以限制,就能保证这次传输的信息安全可靠。
2安全策略维度的关联分析
为了加强计算机信息安全,我们往往同时采用多种安全技术,如加密、安全认证、访问控制、安全通道等。这样高强度的安全措施为什么还会出现那么多的安全漏洞,以致于大家普遍认为“网络无安全“呢?经过思考,我们认为计算机信息安全策略存在的缺陷,是造成这一现象的重要原因。主要问题出在几个安全维度之间出现了强关联,使原本三维、四维的安全措施降低了维数,甚至只有一维。这样一来,就使得安全防范技术的效力大打折扣。举例来讲,如果我们采取了加密、安全通道这两种技术措施,则我们可以认为这是—个二维安全策略,但是由于它们都是在WINDOWS操作系统上运行,于是这两种本不相关联的安全技术,通过同一操作系统出现了强关联,使其安全策略维度降至一维甚至更低。因为一旦有人在当事人完全不知道的情况下,通过木马或其他手段操控了WINDOWS操作系统,那么无论是加密还是安全通道都变得毫无意义。因为这时入侵者已经被认为是—个合法的操作者,他可以以原主人的身分自行完成诸如加密、安全通道通信的操作,从而进行破坏。究其原因是加密、安全通道技术都分别与操作系统发生了强关联,而加密与安全通道技术通过操作系统,它们俩之问也发生了强关联,这就使安全强度大打折扣。为了减少各维度间的关联尽量实现各维度的正交,我们必须尽量做到各维度之间相互隔离减少软、硬件的复用、共用。共用硬件往往随之而来的就是软件的共用(通用),因此实现硬件的***使用是关键。举例来说,要是我们能把操作系统与加密、安全通道实现隔离,则我们就可以得到真正的二维安全策略。为了实现这种隔离,我们可以作这样的设计:我们设计出用各自分离的加密、通讯硬件设备及软件操作系统这些设施能***的(且功能单一的)完成加密、通讯任务,这样操作系统、加密、安全通道三者互不依赖,它们之间只通过一个预先设计好的接口传输数据(如:Rs232接口和PKCS#11加密设备接口标准)。这样一来,对于我们所需要保护的信息就有了一个完全意义上的二维安全策略。在电子交易的过程中,即便在操作系统被人完全操控的情况下,攻击者也只能得到—个经过加密的文件无法将其打开。即便攻击者用巨型计算机破解了加密文件,但由于安全通道的***存在,它仍能发挥其安全保障作用,使攻击者无法与管理电子交易的服务器正常进行网络联接,不能完成不法交易。综上所述,我们在制定安全策略时,要尽量实现各个维度安全技术的正交,从硬件、软件的使用上尽量使各个安全技术不复用操作系统不复用硬件设施,从而减少不同维度安全技术的关联程度。
3安全策略维度的节点安全问题
为了保护节安全,我们可以采取的方法一般有两种:加强对节点的技术保护或是将节点后移。为了加强对节点的技术保护,我们采取的方法很多,如加设防火墙,安装防病毒、防木马软件,以及应用层次防御和主动防御技术等等,这方面已经有很多成熟的技术。这种方法强调的是使用技术手段来防御,但也有其缺点,就是防御手段往往落后于攻击手段,等发现技术问题再填补漏洞时很可能已经造成很大的损失。节点后移则更多是强调一种策略而不强调先进的技术,它不强调用最新的病毒库、最新解码技术来进行节点保护,而是通过现有的成熟技术手段尽可能延长节点并将节点后移,从而实现对节点的保护。
为了理清这俩个方法的区别,可以将保护分成系统自身的保护性构造与外部对系统的保护。
系统自身的保护构造依靠的是节点后移,它讲的是系统自身如何通过没汁的合理来保证系统内操作的安全性。但是如果仅靠系统自身的构造是不足以保证系统安全的,因为如果系统的源代码被攻击者购得,又或者高级节点的维护人员恶意修改系统内容等等安全系统外情况的出现,再完美的系统也会无效。这就如同金库的门再厚,管钥匙的人出了问题金库自身是无能为力的。计算机安全能做的事就如同建—个结实的金库,而如何加强对金库的管理、维护(或者说保护)则是另外一件事。事实上金库本身也需要维护与保护,所以我们按照维度思维构建了计算机信息安全体系本身的同时也需要按维度思维对安全体系自身进行保护。具体来讲比如,越是重要的数据服务器越要加强管理,对重要数据服务器的管理人员审查越要严格,工资待遇相对要高,越重要的工作场所越要加强值班、监控等等。
4安全策略维度的安全技术分布
在所没汁安全策略采用了加密、密码认证、安全通道三种技术,则认为是采用了三维的安全防范策略。有以下技术分布方法。方法1中三个安全技术维度直接与顶点相接,只有两级层次没有实现前文所述的节点后移无法进行层级管理,也没有按照二叉树结构进行组织。所以安全性能最差;
方法2中,三个安全技术分成了三个层级,它比方法l要好。但它也有问题它的加密与认证关联于同一个节点,因此如果***中的“二级节点”一旦被攻破则两种安全技术被同时攻破。
方法3中三个安全技术分成四个层级,且加密与认证被分布在不同的节点上,两个三级节点任意—个被攻破仍无法攻破二级节点。因此方法3的安全性能最高。
因此,在有限的可用安全技术中,应该尽量使用二叉树结构,并将这些安全技术尽可能地分布在不同的节点上。
5结论
利用维度理论来构建的安全策略可以通过不断增加各种安全技术的使用(增加安全维度的使用)来增加防护能力,还可以通过将节点不断后移来加大攻破的难度,但我们可以看到这些都是与增加硬件、软件不可分割的,因为硬、软件的不可复用性决定了使用安全维度这一策略构筑的系统是一种开销丰常巨大的系统,它并不适用于普通的网络、计算机的安全防范。可以想象,如果我们上网时每—个点击、每一次***都要输入密码,要进行加密,要进行文件转换等等操作,即便是—个二维的安全策略也让^、无法忍受。但涉及到一些重要的文件、信息时,尤其是需要保护的文件本身不大但却极其重要时,维度安全策略就非常合适。
安全技术防范论文篇3
兰州大学安全防范技术与策略研究所所长申永***,多年来一直怀揣着铸造安全之盾的梦想,带领着他的团队屡创佳绩。
金色盾牌铸就 熠熠生辉锦绣
“信息安全是互联网的头等大事”,作为一个致力于信息安全防范研究的科技工作者,申永***更是深谙信息安全对于一个国家的重要性。
兰州大学安全防范技术与策略研究所自2001年9月创立以来,主要致力于社会公共安全技术防范、网络安全技术、信息安全技术的教学和科研工作。在申永***的带领下,研究所先后完成了***下达的科技攻关项目2项,省科技厅的科技攻关项目5项,***府、企业委托的科研项目20多项,此外,申永***还在国内外主要学术期刊和学术会议上发表学术论文30余篇。
申永***承担的主要项目包括:甘肃省委***法委“天兰线铁路联防护路监控系统及安全机制研究”、青海省公安厅“第二代藏、汉文身份证信息处理系统及安全机制研究”、甘肃省科技厅攻关项目“公安业务系统的身份认证研究”、甘肃省科技厅攻关项目“一种动态令与指纹识别结合的身份认证系统”、***科技攻关项目“基于防卫空间理论的西北城市公共安全防控体系模型研究”、***试点项目“张掖市城市报警与监控系统试点工程”、兰州市铁路局“机车前大灯自动转向及节能的研究”。其中申请国家专利5项,包括发明专利4项、实用新型专利1项。此外,申永***还获得软件著作权4项,参与制订甘肃省地方标准2项。
以上项目的开发成功,大大推动了我国安全技术的发展,申永***作为项目带头人,先后获得甘肃省科学技术进步一等奖1项、甘肃省技术发明奖二等奖1项、信息产业部“信息产业科技创新先进工作者”、甘肃省“555创新人才工程”第二层次人选、兰州大学优秀***员等多项奖励及荣誉称号。
科研不遗余力 征程续写新绩
自兰州大学安全防范技术与策略研究所成立以来,申永***深知人才的重要性,研究所内共有教师10名,教授2名,副教授2名,讲师2名,工程师4名,同时还设有硕士研究生培养点,培养在读硕士18名。在学科建设与研究生的培养上,该所坚持产学研结合,先后与美国趋势科技、美国英飞拓有限公司、天津嘉杰有限公司、北京启明星辰技术有限公司、甘肃省国家保密局等进行密切合作,建立了国家保密局涉密信息系统安全测评中心系统测评(甘肃省)分中心、兰州大学甘肃省信息安全等级保护测评中心、趋势科技认证授权培训中心等,围绕着国家与社会亟须的关键技术进行研究与实践。
兰州,我国古丝绸之路的重要枢纽,它承东启西、联南济北。如今,在国家“西部大开发”的号召下,申永***带领着他的研究所,正在这片热土上,为祖国建设及科技发展编写着更完美的程序。
转载请注明出处学文网 » 安全技术防范论文范文精选