- 相關推薦
計算機網絡的防御策略的描述語言
計算機網絡的防御策略有多種描述語言,其中CNDPSL語言具有比較高的使用靈活性能,可擴展領域也非常廣,同時還具有很好的適應性。
計算機網絡的防御策略的描述語言【1】
摘要:該文主要介紹了一種計算機網絡系統的具有防御策略性的描述性語言,它對相應的計算機策略具有即時的響應、檢測和保護的特征,總體來看是面向CNDPM模型機制,并在此模型中利用先進的科學技術將比較抽象的計算機策略轉化為形象具體的規則原理,同時運用形式化的辦法對這一策略進行了驗證,表明其具有較高的完整性和統一性,并能夠為實踐的操作帶來實際的功效。
關鍵詞: 計算機網絡;防御策略;描述的具體語言;應用分析
計算機網絡的防御策略有多種描述語言,其中CNDPSL語言具有比較高的使用靈活性能,可擴展領域也非常廣,同時還具有很好的適應性。
總體來看,它是一種聲明式的計算機語言,對網絡控制的行為可以起到很好的控制與監督作用。
另外在計算機網絡技術仿真平臺的實驗中,利用這種防御性策略的描述語言可以實現技術規則轉化為防御效能的自動化,更加提高了運用的效率。
1 計算機網絡防御策略描述語言的概述
計算機網絡攻防演練的組成結構非常復雜涉及的環節比較多,其中網絡防御是非常重要的內容,同時也是計算機網絡信息對抗的關鍵構成部分,在實際的應用中起著舉足輕重的影響作用。
設置計算機網絡防御策略通常的目的是要保護計算機工作系統的穩定性與安全性。
具體的策略一般是由一些具有特定防御功能的規則和程序構成的。
依據PPDR 的虛擬模型,制定的防御策略主要包括三種策略,第一種是保護策略,第二種是檢測策略,第三種是響應策略。
在計算機系統網絡常規的攻防演練中,一般有兩種模式,真實的演練和模擬的演練,這兩種模式的應用效果有所不同,在具體的應用中應該具體問題具體分析。
模擬仿真方案在實際的使用過程中具有很多的優勢,因而使用的范圍也比較廣闊,開發出的工具也非常多樣,常見的有VNS,RINSE等,在這些工具的具體應用中,一般都是比較側重于防火墻的仿真模擬以及IDS的仿真模擬等,使用的方法也會根據實際的需求有所調整。
計算機網絡防御策略的實際演練過程,需要使用很多的安全措施來抵御外界對網絡系統的攻擊。
在選用具體的防御措施前,防御的策略起到一定的指導效用。
很多計算機防御策略的描述語言都是建立在人類抽象思維策略基礎之上的,因而要在使用時產生技術級的措施,就要通過人的翻譯。
這樣的過程在計算機網絡防御策略的應用中進行的次數非常多,利用的是高級思維能力,但是也有一定的局限性。
這是因為高層思維在使用低層工具進行代換的時候,對翻譯的正確性難以在很短的時間內進行有效的評估,運用不當也會導致翻譯差異性的出現,或者是思維語義上的誤解和損失,同時這種損失究竟到什么程度是不確定的。
可見計算機的自然語言存在著二義性,那么計算機的實際配置就會呈現出結構復雜、效率低下、程序運行出錯頻率高的特征,嚴重影響著計算機網絡的安全性,需要采用策略性強的形式化描述語言,提高系統接收數據信息的能力,將抽象的策略轉化為具有高效性和準確性的語言來使用,同時還要體現出系統的伸縮性與靈活性,這樣才能達到預期的防御目的。
2 計算機網絡防御策略的描述語言的設計要求
常見的計算機防御策略語言具有其獨特的使用特點,不僅有優勢,也有不足之處,在對優點和缺點進行描述的時候,要從全面立體的角度出發去考慮,兼顧描述的具體內容和抽象層次應用兩個方面。
PCIM把具體的策略描述成條件動作的特有方式,計算機系統的防御安全領域中,在PCIM基礎上進一步拓展出的語言包括CPIM,SPSL,NSPIM等,每一種語言都有其特殊性,但在實際應用上又有著同一性。
具體來看,SPSL現階段支持的防御策略主要包括系統過濾、IKE交換等;NSPIM的具體描述內容包括計算機系統的訪問控制層,同時還要對防御策略進行必要的檢測和管理,以提高其工作效率。
從層次應用方面來講,PCIM和ACL列表的功能有著很大的相似之處,所以在實際的應用中,欠缺對防御策略的高效管理性,在自動化方面也有待于進一步改善。
TPL在使用的過程中會經過XML的檢驗來表示認證策略,然而XML的編程語言非常復雜,實際使用時,不具備高效的可讀性,在其抽象層次的應用中也與防御策略的描述語言存在著很多的差異。
上述的這些語言的綜合特點就是直接對網絡層的實體進行研究,描述策略的拓展性有限,所以在抽象的層次上也會有一定的局限性,具體描述的內容也需要進一步加強。
基于上述的不足之處,CNDPSL的設計要點就要不斷克服這些不足之處,保證運行效率的顯著提高。
具體來看,這種防御策略的描述語言要起著對抽象網絡防御控制行為的操控能力,在語法的設置上必須清晰了然,具有很強的直觀性才能保證操作的具體化,利用這樣的語言借助計算機引擎的作用,可以將防御策略有效地轉化為實際可行的防御規則,提高操作性。
同時要求這種語言可以訪問控制領域相關策略的同時,也可以對其他的保護策略進行準確地描述,在此基礎上還能夠對檢測的配置以及規則的使用情況進行相應的監督,從而起到一定的控制效應。
3 計算機網絡防御策略模型的建構
計算機網絡防御策略模型最為常見的類型是在RBAC基礎上建立起來的模型以及在計算機組織結構訪問方式的基礎上建立起來的模型。
前者在運行的過程中經常將描述的主體定位為具體的角色,也沒有對權限進行抽象。
后者主要是把描述主體與客體以及描述的動作分別進行科學準確的抽象。
以上兩種模型的研究也存在很多的不足之處,為此次建立計算機網絡的防御策略描述語言的模型要克服這些缺陷,不斷拓寬訪問的控制領域,將每一語言概念之間的關系進行仔細地梳理,把握好每一環節的特點,將角色的分配方式落實到位,降低系統出現錯誤的幾率,提高運行的效率。
參照在計算機組織結構訪問方式的基礎上建立起來的模型,進行科學合理地改進與拓展,具體來看,CNDPM的模型構造圖如下所示:
圖1(實線箭頭表示relation,虛線箭頭表示include)
在模型的建構中涉及到的策略與規則主要包括以下四個方面:第一點是系統要具備比較豐富的防御性語言表達能力,同時要面向CNDPM的各種應用需求,對每一種保護、檢測以及系統的響應策略。
第二點是要保證程序的簡潔性與靈活性,不僅是要求語法形式的簡單性,還要在具體的內容上也體現出簡潔與直觀性。
第三點是要保證一定的無關性,可以讓系統自動解析成可以執行部件某種規定的防御性的規則。
第四點是要保證防御性的語言具有可擴展性,這樣就可以逐漸提高其防御的效率。
以下給出CNDPSL的EBNF的具體范式:
: : =<語句塊><3cndpsl><語句塊>
<語句塊>: : =<組織聲明>| (<組織名>|<組織聲明>) <策略語句
塊>|<組織名><策略>|<策略信息顯示>
<策略語句塊>: : = ‘{’<策略語句>{<策略語句>} ‘}’
<策略語句>: : =<角色語句>||<視圖語句>|<活動語句>
|<策略>|<上下文>
1)組織
組織是CNDPM模型的核心概念,通過搜索網絡配置想定目錄服務器的同名域建立,以下是組織的EBNF范式:
<組織聲明>: : =org<組織名>[ <組織繼承>]
<組織名>: : =|<組織名>. //組織名為點分字符串
<組織繼承>: : = sub_org<組織名>{<組織名>} //組織的包含關系
2)策略
由于策略可以封裝在組織中,策略表示成五元組的形式,有配置和刪除兩種操作。
<策略>: : =(policy| delete-policy) <措施><角色名><活動名><視圖短語>(<上下文名>| default)
其中,視圖可以通過角色的轉換得到,語法如下:
<視圖短語>: : =<視圖名>|
角色、視圖、活動都包括聲明、層次、定義和分配四種語句,其中聲明需指出相應的類型,而其余三種無須給出,但名字必須是聲明過的。
4 計算機網絡防御策略語言的具體特征和實施機制
計算機網絡防御描述語言CNDPSL具有很高的應用性能,它是在CNDPM的模型上建立起來的,通過計算機網絡防御策略形成的語言描述系統,經常使用的范式是EBNF,經過計算機的仿真驗證,明確表示該種語言的使用功能很有效,完全可以為計算機的攻防演練提供有效的支持。
在CNDPSL的描述內容中,主要的描述內容包括計算機防御的組織架構、策略定位、功能防御角色、視圖效果、具體活動、上下文的轉換和連接、防御措施的具體說明、計算機防御語言的聲明以及定位、各個組成部位的功能分配以及相關的繼承關系,這些內容之間是相互聯系的,對于具體的設計要求的落實,一方面要先確立好計算機網絡防御的描述語言的設計目標,這樣才好做好下一步的部署工作。
通常情況下,這種防御策略的描述語言要具有比較豐富的表達能力,在具體的設計上要與CDNPM模型保持一致性,這樣才能夠很好地將保護、檢測、響應策略有機統一在一起。
語言的簡潔靈活性、語法形式的簡單性和形象直觀性可以為防御策略的運作提供更好的運行環境。
同時要實現無關性的建設機制,使得系統可以自動化地形成具體的執行環節,對一些防御規則的運用有著獨到的地方,不僅可以提高運行的質量,還可以提高運行的速度,以便使計算機的防御系統更具有安全性和可靠性。
計算機防御策略的語言可拓展性對系統的運作效率也有著很大的影響。
在CNDPSL語言格式的實施策略中,通常都要將比較的抽象的模型轉化為具體的防御規則。
這就需要經過特定的推理,在模型實踐的過程中,通常會有兩種推理形式:第一種推理認為,每一組織中的任何一種角色或者是任何的主體具有相關性,主體同時可以作為角色,那么就用D1表示,分配的機制為:
Employ(or g,s)ΛDef ine(r,ch) Λ
Own(s,ch)→As(s,r)
這樣的分配方式可以運用到活動和視圖的分配過程中來。
另一種推理方式將組織雇傭為主體作為角色,用客體來作為視圖的內容,在活動的措施中對相關的防御策略進行評估。
例如在計算機信息安全系統的攻防模擬演練中,很多的CNDPSL格式的策略文件在具體的使用過程中,都要先經過計算機引擎的處理,與防御策略的信息庫進行交換處理,轉化為與之相關的各種有效的防御命令,然后再經過RTI的傳送,將命令進一步轉化為防御的具體動作。
對一些策略信息庫的傳送,通常要處理的是實體與實體之間的關系,先要對各部分的工作模塊進行劃分,對防御策略描述語言的語法、語義、詞法進行分析與判讀,將這些信息存入固定的防御信息庫中,然后依據網絡的信息將各種策略描述準確地提煉出來,在這一過程中將完成轉化的模塊依據相應的推導規則,將防御的策略映射為防御的具體規則,然后根據分發的模塊將防御的策略信息進行相應的推導,最終將分析所得的信息發送給防御節點,這樣就形成了CNDDL的防御命令。
5 結束語
綜上所述,計算機網絡防御策略的描述語言在實際應用中的作用是非常強大的,在進行模型建立和具體實施的時候,要根據具體的實踐需要,從以往的描述語言中和模型建構中尋找經驗,克服其不足之處,建立其具有使用性語言機制,CNDPSL防御策略的具有非常強的操作性,并且在實際的應用中效能比較高,拓展的領域比較寬廣,因而應該得到廣泛的推廣。
參考文獻:
[1] 魏玉娣,夏春和.一種計算機網絡防御策略描述語言[J].計算機研究與應用,2008(8).
[2] 吳秀敏,王曉蘭.EDA技術在計算機硬件設計中的應用與研究[J].計算機與數字工程,2010(10).
[3] 夏春和,李肖堅.計算機網絡防御策略描述語言研究[J].計算機研究與發展,2009(1).
[4] 朱小龍.EDA實踐教學與學生工程實踐素質的培養[J].教育與職業,2010(33).
[5] 楊蓮紅.EDA技術在模擬電子技術教學中的應用[J].高師理科學刊,2010(1).
[6] 田文英.計算機網絡防御策略描述語言研究[J].科技傳播,2012(7).
[7] 曹立杰,李松松.數字電子技術與EDA技術相結合的探討[J].現代電子技術,2009(20).
[8] 崔國瑋.基于EDA技術的數電課程設計新模式的探索與實踐[J].實驗技術與管理,2008(1).
[9] 朱怡健.簡單高性能微處理器的設計[J].電氣電子教學學報,2004(2).
[10] 高三紅,呂勇.計算機體系結構的發展趨勢分析[J].飛行器測控學報,2003(2).
[11] 陳智勇.機群計算中的負載共享策略[J].桂林電子工業學院學報,2001(4).
計算機網絡防御策略描述語言【2】
【摘 要】隨著計算機信息網絡的不斷發展,人們在享受計算機給人們帶來的便利同時,越來越意識到網絡安全問題所帶來的危害,計算機網絡已成為社會基礎設施建設的重要組成部分,社會生活對計算機及網絡系統的依賴性也越來越大,本文就計算機網絡防御策略描述語言進行了分析及探討。
【關鍵詞】計算機;網絡防御;策略;描述語言
計算機網絡安全所指的是凡是涉及網絡信息完整性、保密性、真實性、可靠性、可用性及抗抵賴性等相關技術及理論均是網絡安全要研究的領域,從本質上講網絡安全即是網絡信息安全,盡管網絡安全已經被信息社會各領域重視了,可因為計算機網絡本身就存在著一些潛在威脅因素,這就讓計算機網絡容易受到病毒、黑客、惡意軟件及其它不軌意圖行為等的攻擊,為了確保計算機網絡的安全及可靠,計算機內就需要一種較為強大的網絡防御策略來保護自身的網絡安全。
一、計算機網絡安全漏洞及攻擊分析
由于計算機網絡自身因素所造成的安全漏洞,主要有三個方面的因素,一是網絡結構不安全性,Internet是種網絡與網絡間的技術,主要有主機和自治系統所連接成的龐大網絡,在兩臺主機進行端與端通信的時候,相互傳輸的數據流一定會通過許多主機進行發送,這樣的話就給那些攻擊者帶來了便利,當他有一臺數據流傳輸中的主機,對用戶的數據包進行挾持就易如反掌了。
二是TCP/IP體系間的脆弱性,在上個世紀的70年代,當美國的國防部制定有關DARPA計劃時,并沒有想到會在全球范圍內使用,因此,TCP/IP協議所考慮的網絡安全性并不是很多,而且TCP/IP協議是開放的,當有人對這個協議很熟悉的時候,就有可能運用其安全缺陷實施網絡攻擊。
三是計算機用戶的安全意識較為缺乏,盡管在網絡中設置了較多的安全壁壘保護屏障,可人們的安全意識普遍不強,這些保護措施很多時候形同虛設,像用戶口令的選擇不夠謹慎,以及打開了來歷不明E-mail,這些都會給網絡帶來安全隱患,有些人為了避開有關防火墻的代理服務器額外認證,就會直接進行PPP連接,這樣也就避開了防火墻保護,還有些人是直接進行瀏覽器頁面的關閉,這些操作均給病毒及黑客入侵帶來了便利。
現在的攻擊行為主要是運用計算機網絡自身存在缺陷或者安全配置不恰當造成了安全漏洞來實施計算機網絡攻擊的,其攻擊程度與攻擊者采用的攻擊手段及攻擊思路不同而有著不同,但這些都給計算機的網絡安全帶來了較大的隱患。
二、有關計算機網絡的防御策略描述語言
1.CNDPSL概述
計算機網絡的防御策略所指的是為了實現特定安全目標,其網絡及信息系統依據一定條件來選擇防御措施規則,進行計算機防御就需要大量措施應對各種網絡攻擊,用人工配置的方法是比較復雜、低效及易錯的,運用網絡防御策略能夠實現措施的正確、高效及自動化的部署并且能夠讓系統具有靈活性及可伸縮性的特點。
這種策略具有較多的優點,已經被廣泛應用在網絡防御中了,并且是網絡防御核心,其檢測、保護及響應均是依據策略進行實施的,這種思想也被稱為PPDR模型思想,可由于這種模型的策略粒度有些太大,沒有辦法實現基于策略防御,依據這個先天不足,策略樹把防御策略表示成了目標/措施的形式,可并沒有實施機制,并且兼容性不是很好,層次也不是很清楚的問題。
而計算機網絡防御策略描述語言簡稱為CNDPSL,它所面向的是計算機網絡防御策略模型(CNDPM),能夠統一地對檢測、保護及響應策略進行描述,并能夠把抽象策略細化成具體的規則,還能夠以形式化方法來驗證策略一致性、完備性及有效性。
對于計算機網絡防御策略描述語言(CNDPSL)來說,它是一種聲明式的語言,對網絡防御控制行為進行了抽象,而且對網絡防御的需求具有比較好的適應性、靈活性及可擴展性,通過實驗表明,這種描述語言能夠將抽象的策略自動地轉為具體技術規則,且實現表達防御效能。
在CNDPSL設計中,需要滿足下列要求,一是語法簡潔直觀,能夠抽象網絡防御控制行為,并且能夠細化成有效及可實施防御的規則。
二是能夠表示訪問控制領域策略,也能夠對保密等其他保護策略進行描述,并控制響應及檢測規則配置。
2.計算機網絡防御策略模型描述
這里的防御策略模型代表是依據RBAC模型及組織機構訪問控制的模型Or-BAC,前者僅是把主體抽象成了角色,并沒有對權限給予抽象,后者則對客體、主體及動作等都給予了抽象,但它們僅是一些框架及概念,并沒有進行實際的應用防御。
而CNDPM是在Or-BAC的基礎上進行了擴展,引入了措施概念,把策略及具體規則統一成了元組形式,把Or-BAC中有關規則及策略的8個謂詞進行了去除,且給出了推導規則,概念間的關系進行了簡化,把剩下的七個多元謂詞進行演變成了一個四元謂詞及九個二元謂詞,從而對應成了十種關系。
同時引入了特性的定義機制,把視圖、角色及活動自動地分配給了客體、主體及動作。
并將策略結構轉化為了6元組,Policey:,其表示為在組織(org)中其角色(r)能夠對視圖(v)的活動(a)上下文(c)環境中采取相應措施(m)。
其具體規則結構化成了5元組,Rule:,這里所表示的是在組織(org)里主體(s)能夠對客體(o)的動作(a)運用措施(m)。
3.防御策略性質
計算機網絡防御策略性質主要包括有效性、完備性及一致性。
有效性所指的是當任何策略預期風險均在可接受范圍之內時,這個策略集就能夠被稱之為有效的了。
策略的有效性是依據上限值及評估函數進行決定的,當給定一個風險后,就應該選取合適策略,把威脅限制在能夠接受的范圍內。
完備性所指的是任何組織及任何一個事件至少應該對應一條策略,那么稱這個策略集為完備的,它所表示的在任意攻擊事件中,都可以在策略集里找到響應及檢測策略,有些已知攻擊響應策略可能并沒有定義,依據這種情況,可在每個組織中,定義出一條缺省的策略來實現策略集完備性,這樣對于未知的攻擊就會存在著漏檢情況,僅有當未知的攻擊轉變成了已知攻擊的時候,才能進行相關檢測及響應策略擴展。
當兩條策略組織及上下文相同的時候,并且視圖、角色及活動都存在交集的時候,采用了相沖突措施,像許可和禁止,這時策略集出現了不一致現象,而檢測一致性所指的是在某個策略集中,任意兩條不同策略,其組織不同、上下文不同、視圖不重疊、角色不重疊或者活動沒有重疊,那么這個策略集就是一致的。
三、CNDPSL設計及實施機制
CNDPSL是依據CNDPM模型而實現的一種策略描述語言,把計算機網絡防御策略所涉及的內容按照語言描述了出來,并給出了EBNF的范式,且通過仿真來驗證該語言是否有效,為攻防模擬的演練給予了支持。
CNDPSL所需要描述的內容主要有組織機構、角色、策略、活動、視圖、定義、上下文、措施聲明、分配和繼承關系等,其中,組織結構為CNDPM模型核心的概念,并運用搜索網絡配置來設定目錄服務器同名域的建立,這些內容有效地反映了有關CNDPM的思想。
在計算機攻防的模擬演練之中,人機交互命令或者CNDPSL格式策略文件,通過策略引擎及防御策略的信息庫進行交互處理,并轉化成相應CNDDL的防御命令,再通過RT1傳送至GTNetS仿真聯邦成員中,且有CNDDL解釋器把命令轉成防御動作,完成了對防御策略部署。
其執行系統總體設計主要包括策略引擎及防御策略的信息庫。
防御策略的信息庫主要是通過1dap來存儲策略需要的實體關系及實體信息。
其引擎具體工作原理為:先對模塊進行解析,主要是通過Yacc和Lex對CNDPSL的語法、詞法及語義進行分析,并從信息庫里讀出策略描述需要的客體、主體及動作,且存入防御策略的信息庫里,接著依照模型推導規則將模塊的防御策略映射成相應規則,并由分發模塊對防御策略信息庫查找,且把規則分發到相應防御節點上,最終轉化成了CNDDL的防御命令。
其中,訪問允許策略定要遞歸地在每個父組織防御節點上部署,這是由于數據包必定經過所有防火墻。
四、結束語
CNDPSL作為一種計算機防御策略描述語言,能夠在很多環境中,對計算機網絡的防御措施給予選擇,隨著新防御措施的出現,僅需要將措施集里加入相應描述就可以被策略發現及選擇了,而防御策略圖形化界面的提供,必將進一步加強計算機網絡防御的功能及可操作性。
參考文獻:
[1]楊鵬,楊帆.一種計算機網絡防御策略描述語言[J].硅谷,2011(13).
[2]吳鳳剛.計算機網絡的防御技術研究[J].中國新技術新產品,2010(11).
[3]夏春和,魏玉娣,李肖堅,王海泉,何巍.計算機網絡防御策略描述語言研究[J].計算機研究與發展,2009(01).
[4]于晶.淺析計算機的網絡安全及攻擊的防御措施[J].電腦知識與技術,2009(18).
計算機網絡安全的防御策略【3】
摘 要 隨著計算機技術和網絡通信技術的快速發展,計算機網絡已經深入到國民生活的方方面面,信息化已成為人類發展的必然趨勢,網絡安全問題也受到越來越多的高度重視,計算機網絡安全面臨著巨大的挑戰,如何提高計算機網絡的防御能力,確保在計算機網絡安全穩定運行,已經成為現階段急需解決的問題之一。
該文從介紹計算機網絡的安全要求,及對影響計算機網絡安全的主要因素進行了歸納和詳細闡述,提出了有效的防御策略,目的是為了計算機網絡能夠對人們生產、生活發揮出更大更好的作用。
關鍵詞 計算機網絡;網絡安全;防御策略
計算機網絡技術的迅速發展和應用,在給人們工作和生活帶來方便和物質享受的同時,也給人們帶來了來自網絡的安全威脅,計算機網絡的聯結形式具有復雜多樣性、開放性及網絡邊界的不確定性等特征,使網絡數據容易遭受到破壞、更改、泄露、網絡容易受到黑客的攻擊,所以網絡安全密是一個非常重要的課題,研究計算機網絡安全的防御策略就成了必然。
1計算機網絡概述
計算機網絡,是指將地理位置不同的具有獨立功能的多臺計算機及其外部設備,通過通信線路連接起來,在網絡操作系統,網絡管理軟件及網絡通信協議的管理和協調下,實現資源共享和信息傳遞的計算機系統[1]。
2 網絡安全的概述及要求
網絡安全是指網絡體系的軟件系統、硬件系統及其系統中的數據受到安全保護,網絡系統資源不受偶然的或者惡意的原因而遭到破壞、更改、泄露,網絡系統能夠可靠穩定正常運行。
廣義來說凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全所要研究的領域。
2.1網絡安全的要求
1)數據完整性:指數據的精確性和可靠性,未經授權不能進行改變的特性,數據在網絡中存儲或傳輸的過程中不遭受任何形式的修改、破壞和丟失的特性;
2)數據保密性:保護數據不被未授權者訪問,數據不泄露給未授權者并進行利用的特性;
3)數據可用性:可被授權用戶訪問并按需求使用的特性,在要求的數據資源得到保證的前提下,在規定的條件下和規定的時刻或時間區間內處于可執行規定功能狀態的能力。
是數據完整性、保密性和真實性的綜合反映;
4)數據可控性:是指數據的流向以及行為方式可以控制在授權范圍內,并對數據的傳播及內容具有控制能力;
5)可審查性:對出現的網絡安全問題提供調查的依據和手段。
3影響計算機網絡安全的主要因素
對計算機信息構成不安全的因素很多,包括網絡系統本身的問題,如操作系統存在網絡安全漏洞、網絡的開放性、自由性等;內部網絡安全威脅認識不足問題,局域網內部用戶未采取科學的防范措施,導致來自于內部的網絡安全事故逐年增加;網絡安全管理機制不健全等因素:
1)計算機網絡的不安全性,計算機網絡的多樣性、開放性和自由性的特性給網絡用戶提供了便捷的信息服務,同時也帶來了許多的網絡安全隱患,計算機網絡是全開放的,這就致使網絡易受來自多方面攻擊,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊,大多數的網絡對用戶的使用沒有技術上的約束,目前的技術難以對外部服務請求實現完全隔離,非授權者利用服務請求的機會很容易獲取網絡敏感信息;
2)防火墻的局限性,防火墻指的是一個由軟件和硬件設備組合而成、它能增強機構內部網絡的安全性。
它是內部網絡與外部公共網絡之間的第一道屏障、安全策略的一個部分,防止非法用戶、黑客、網絡破壞者等進入內部網絡。
禁止存在安全脆弱性的服務進出網絡,并抗擊來自各種路線的攻擊。
雖然防火墻是目前保護內部網絡免遭黑客襲擊的有效屏障,但也有它的局限性,它難以防范網絡內部的攻擊和病毒的侵犯,不能防止來自內部變節者和不經心的用戶們帶來的威脅,它甚至不能保護你免受所有那些它能檢測到的攻擊,不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊;
3)網絡中的設備包括計算機、網絡通信設備、傳輸設備、存儲設備、防火墻、網絡環境都是網絡安全的重要保障,易遭受到自然環境的影響,每個環節設備出現問題,都會造成網絡故障;
4)網絡安全管理的缺失,網絡安全意識不強,也會對網絡安全造成威脅,計算機網絡的安全管理,不僅要做到物理硬件的安全,邏輯軟件和數據資源的安全,還必須有人的配合、遵守和協助[2]。
4計算機網絡安全的防御策略
4.1網絡安全技術防御策略
計算機網絡安全技術主要有網絡訪問控制技術、計算機網絡入侵監測技術、信息加密技術、防火墻、認證的防范技術和系統安全管理技術。
綜合起來可以采取以下策略:
1)網絡訪問控制。
是對網絡信息系統資源進行保護的重要措施,是網絡安全防御和保護的主要策略。
通過對IP地址段限制、授權訪問服務控制體系,允許對限定資源的授權訪問,保證網絡資源不被非法使用和非授權訪問。
訪問控制不僅提供主動網絡安全防范和保護,而且還能維護網絡系統安全,對網絡資源起到安全隔離的作用。
訪問控制是對外部訪問過濾的關鍵技術,是實現數據保密性和完整性機制的主要手段;
2)計算機網絡入侵監測技術。
基于檢測技術上的報警和監測系統,是一種針對計算機入侵的技術措施,按照報警的數據來源來看,入侵報警可以分為對事件入侵的報警、基于流量入侵的報警這兩大類。
在事件基礎上的入侵報警的技術是通過分析網絡中正在發生或者數次發生的入侵事件。
通過對這些入侵進行實時而詳細的監控和記錄來發現入侵事件的規律性,然后進行報警并預測其未來發生的威脅;
3)建立完善的備份及恢復機制。
為了防止數據的存儲設備異常損壞,根據數據本身的重要程度、保密性要求、對業務連續性的影響程度、更新和使用頻率、面臨的風險等等,制定完善的數據備份策略和備份計劃,或者可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進行系統的實時熱備份,以保障數據安全性和完整性; 4)信息加密技術。
信息加密技術是信息安全核心技術,通過對敏感數據信息實施加密處理,可以維護數據信息的安全,實現網上數據的安全傳輸[3]。
常用的方針有線路加密和端到端加密兩種。
不同的加密技術可以應用到不同的情況,對保密信息通過各線路采用不同的加密密鑰提供安全保護,防止非法用戶存取數據或合法用戶越權存取數據;
5)通過安裝病毒防火墻,進行實時過濾。
對網絡服務器中的文件進行頻繁掃描和監測,在服務器和各客戶主機上分別布設防火墻是網絡安全防范的必要技術,加強網絡目錄和文件訪問權限的設置,實現安全隱患的提前判斷和攔截;
6)局域網內用戶計算機IP地址、MAC地址綁定技術,在網絡安全協議中,每一個網絡終端都有一個獨一無二的MAC地址,在局域網內將計算機IP地址、MAC地址綁定,防止IP 被盜用。
4.2網絡安全管理防御策略
網絡安全的關鍵在于安全管理,而安全管理的保證依賴于網絡安全技術[4]。
技術與管理是網絡安全的兩個重要組成部分,網絡安全必須依靠安全管理與安全技術來進行保證。
建立完善的網絡安全管理系統,要防止外部入侵,也要防范內部人員泄密可能。
建立健全安全管理方面的體制,加大全面管理的力度,要對安全管理足夠的重視。
管理是網絡安全中最為關鍵的部分,以防一些重要信息有意或無意的被泄漏。
建立安全管理制度,制定和完善相關法律、法規。
加強對網絡管理人員的技術培訓,提高網絡系統管理員和網絡用戶的職業道德修養和法律意識,明確責任,強化監督,維護計算機及網絡系統的安全,同時建立應急管理機制,加強應急管理,制定應急事件出現時的詳細應急預案,并定期開展應急演練,提高應對網絡安全事件的能力和水平,確保事件發生時能夠從容應對。
5結論
綜上所述,計算機網絡安全是一項復雜的系統工程,網絡安全隨著網絡技術的發展將面臨更為嚴重的挑戰,所以我們要增大計算機網絡安全管理的投入,加強安全意識教育,進行相關技術培訓,并建立完善的計算機管理制度和監督機制,采取強有力的安全策略預防安全問題的出現,只有這樣才能真正的提高計算機網絡安全性,使計算機網絡能夠更好的為人們服務。
參考文獻
[1]滿昌勇.計算機網絡基礎知識[J].清華大學出版社,2010(10):11-12.
[2]陳欣.安全網絡體系[N].中國計算機報,2004.
[3]俞承杭.計算機網絡與信息安全技術[M].北京:機械工業出版社,2008.
[4]王小芹.計算機網絡安全的防范技術及策略[J].內蒙古科技與經濟,2005(5).
【計算機網絡的防御策略的描述語言】相關文章:
計算機網絡防御策略模型10-26
計算機網絡的防御策略技術論文10-09
計算機網絡防御策略論文10-09
計算機網絡防御策略關鍵技術分析論文10-09
計算機網絡防御策略求精的關鍵技術論文10-08
計算機網絡防御策略求精關鍵技術探究論文10-09
網絡安全管理策略與防御措施10-06
計算機網絡攻擊與防御10-05
計算機安全問題的防御策略論文10-08