网络安全技术方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全技术方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全技术方案范文第1篇
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
网络安全技术方案范文第2篇
关键词:网络安全 防火墙
1 概论
当今社会互联网高度发达,几乎全世界的计算机都通过因特网联系在了一起。网络安全也成了互联网用户每时每刻要面对的问题。现在,网络安全已经成了专门的技术。保证网络安全有很多种措施,包括防火墙技术、数字签名、数据加密解密技术、访问控制、身份认证技术等,其中防火墙技术使用最广泛,实用性最强。
2 防火墙技术
防火墙技术是一个由硬件设备和软件组合而成,在内部网和外部网之间的界面上构造的保护屏障,是形象的说法。防火墙既可以是一个硬件设备也可以是运行在一般硬件上的一套软件。防火墙能加强网络之间访问控制,防止外网用户以非法手段访问内部网络,保护内部网络环境。防火墙能很好的保护用户,入侵者只有穿过防火墙,才能接触到用户计算机。防火墙可以阻挡大部分的网络进攻,能满足绝大多数用户的需要。
3 防火墙分类
3.1 从实现方式上分 从实现方式上防火墙可以分为软件防火墙和硬件防火墙两类。软件防火墙以纯软件的方式实现,只能通过软件设置一定的规则来限制外网用户非法访问内部网络。软件防火墙功能相对简单,价格便宜,广泛应用于小型企业及个人用户。硬件防火墙指通过软硬件的结合的方式来隔离内部外部网络,效果很好,但是价格昂贵,只适用于大型企事业单位。
3.2 从架构上分 防火墙从架构上分可以分为通用CPU架构、ASIC架构和网络处理器(NP)架构三种。
通用CPU架构以基于Inter X86架构的防火墙为代表。其特点是灵活性高和可扩展性好。由于PCI总线速度较低,CPU处理能力弱,通用CPU架构防火墙的数据吞吐量较低,和理论值2Gbps有很大差距。该架构的防火墙通常作为百兆级防火墙。
ASIC(Application Specific Integrated Circuit专用集成电路)技术是高端网络设备广泛采用的技术。其采用了多总线技术、数据层面、控制层面分离与硬件转发模式等技术。ASIC架构防火墙解决了宽带容量和性能不足的问题,稳定性也得到了很好的保证。ASIC架构防火墙是世界公认的满足千兆骨干级网络应用的技术方案,线速可达千兆。ASIC技术的优势体现在对网络层的数据转发,而对应用层的数据处理不占优势。
网络处理器(NP)是专门为处理数据包而设计的可编程处理器,它具有高处理能力、开放的编程接口、完全的可编程性、简单的编程模式等优点。
NP内含多个数据处理器,可以并发处理数据。数据处理能力较通用处理器强大很多,处理一般性任务时可以达到线速。网络处理器架构下的产品成本比通用CPU架构的成本要高,而处理能力比ASIC价格低。但是网络处理器架构防火墙集成度高由于有多个数据处理器,能够胜任高速数据处理。
3.3 从技术上分 目前有很多种防火墙技术,根据采用技术的不同,总体可以分为两大类:包过滤型和应用型。
3.3.1 包过滤型防火墙 包过滤型防火墙是最原始的防火墙,作用在网络层和传输层,技术依据是数据在网络中采用分组传输技术。数据在网络中传输前先被划分为多个数据包,每个数据包都包含一些特定信息,如数据源地址,目的地址、协议类型、端口号等标志。防火墙根据这些信息判断数据是否安全。满足防火墙过滤条件的数据包被转发到相应的目的地址,其余数据包则被丢弃。
在包过滤防火墙的发展过程中,出现了第一代静态包过滤型防火墙第二代动态包过滤型防火墙。
静态包过滤防火墙根据管理员预先定义好的数据过滤规则检查每个数据包,与过滤规则匹配成功则丢弃,否则让其通过。过滤规则基于数据包中的特定信息,如数据源地址,目的地址、协议类型、端口号等。
动态包过滤型防火墙的包过滤规则采用动态设置的方法,解决了静态包过滤型防火墙出现的问题。该技术后来发展成为状态监测(Stateful Inspection)包过滤技术。采用这种技术的防火墙利用状态表跟踪所有的网络会话状态,不仅根据规则表检查每一个包,还根据会话所处的状态检查数据包。状态检测防火墙规范了网络层和传输层的数据传输行为,增强了控制能力。状态检测防火墙对通过其建立的每一个连接都进行跟踪,并且可根据需要在过滤规则中动态地增加或更新条目。
包过滤技术既简单实用,又能适用于所有的网络服务,基本上能满足大多数企业的安全要求。但是包过滤技术也有它的缺点。该技术是基于网络层的安全技术,只能根据数据包的数据来源、目标地址和端口号等信息判断是否安全。对于应用层的入侵,如恶意软件以及文件附带的病毒则无能为力。因为伪造IP地址,骗过包过滤型防火墙对于有经验的黑客来说并不是一件难事。为特定服务开放的端口存在着一定的受攻击风险。
3.3.2 应用型防火墙 应用型防火墙工作在应用层。它通过对各种应用服务编制专门的程序,实现监控应用层通信流的作用。
在型防火墙技术的发展过程中,出现了第一代应用网关型防火和第二代自适应防火墙。
应用网关型防火墙有时也被称为服务器,其安全性远高于包过滤型防火墙。该防火墙位于服务器与客户机之间,对于服务器来说,它相当于客户机;对于客户机来说,它相当于服务器。从客户机发出的数据包经过防火墙处理后,可以隐藏内部网结构。由于外部客户机与内部服务器之间没有直接通信,所以外部的行为一般不会影响内部服务器。这种类型的防火墙被公认为是最安全的防火墙。它的核心技术就是服务器技术。
自适应型防火墙是一种新型防火墙,近年来得到了广泛的应用。它既具有包过滤防火墙的高速度的优点又具有类型防火墙的安全性的优点,能在不降低安全性的基础上将防火墙的性能提高数倍。自适应型防火墙的基本组成要素包括动态包过滤器和自适应服务器。
应用型防火墙是为防范应用层攻击设计的,它可以筛选保护OIS网络模型中的任意层数据通信。应用型防火墙有以下优点:隐藏内部IP;限制某些协议的传出请求;指定对连接的控制;能够记录连接日志,对追踪攻击和非法访问很有用。
应用防火墙的缺点:用户每次连接都要认证,带来不便;用户系统须定制;速度相对较慢,当网络通信速率较高时,就会影响内外部通信,但通常情况下不会很明显。
4 结束语
防火墙系统只是一种网络安全防护手段,并不能保证网络安全万无一失。它只能防护经过自身的非法访问和攻击,某些恶意的访问可以通过客户机的软件绕过放过防火墙,传输非法数据。另外对于数据驱动式攻击、带病毒的数据防火墙都不能直接拦截。
单纯的防火墙技术逐渐不能满足人们对网络安全的需要,防火墙技术的改进及与其他网络安全技术结合使用已经成为网络安全的重要手段。主要的技术手段有:多级过滤技术、分布式防火墙、入侵检查系统、入侵防御系统。
随着计算机技术的发展,防火墙技术会不断的向前发展,网络安全问题也会不断涌现。只有不断改进安全策略,才能保证网络安全稳定的发展。
参考文献:
[1]伍锦群.防火墙技术的探讨[J].长春理工大学学报.2008,(03).
网络安全技术方案范文第3篇
关键词:网络安全;攻击;防御;解决方案
一、网络安全概述
计算机网络安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保在一个网络环境里,网络信息数据的可用性、完整性和保密性受到保护。
网络安全问题实际上包含两方面的内容:一是网络的系统安全;二是网络的信息安全,而保护网络的信息安全是最终目的。要做到计算机网络信息数据的真正安全,应达到以下五个方面的目标:1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性;2)完整性:数据未经授权不能进行改变的特性;3)可用性:可被授权实体访问并按需求使用的特性;4)可控性:对信息的传播及内容具有控制能力;5)不可否认性:保证信息行为人不能否认其信息行为。
如何保证个人、企业及国家的机密信息不被黑客和间谍窃取,如何保证计算机网络不间断地工作,是国家和企业信息化建设必须考虑的重要问题。作为网络管理人员,首先要充分了解相关的网络攻击技术,才能够更好地防护自身的信息系统,以便制定较合理的网络安全解决方案。
二、常见的网络安全攻击技术
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。目前常用的网络攻击技术手段有:社会工程学、网络监听、暴力攻击、漏洞攻击、拒绝服务攻击等。
(一)社会工程学
社会工程学是一种攻击行为,攻击者利用人际关系的互动性发出攻击:通常攻击者如果没有办法通过物理入侵直接取得所需要的资料时,就会通过电子邮件或者电话对所需要的资料进行骗取,再利用这些资料获取主机的权限以达到其目的。通俗地讲,社会工程学是一种利用人性的弱点,如人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害等危害手段,获取自身利益的手法。
(二)网络监听
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如Sniffer等)就可轻而易举地截取包括口令和帐号在内的信息资料。
(三)漏洞攻击
有些安全漏洞是操作系统或应用软件与生俱来的,如缓冲区溢出攻击,由于非常多系统在不检查程式和缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别设置一串准备用作攻击的字符,他甚至能访问根目录提升用户,从而拥有对整个网络的绝对控制权。
(四)拒绝服务攻击
拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。这种攻击由于网络协议本身的安全缺陷造成的,如ICMP协议经常被用于发动拒绝服务攻击,它的具体做法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
三、常见的网络安全防御技术
面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。常见的网络安全防御技术主要包括信息加密、防火墙、入侵检测技术、漏洞扫描和数据备份等。
(一)信息加密技术
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。目前世界上最流行的加密算法有两大类:一种是常规算法,其特征是收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形;另外一种是公钥加密算法,其特征是收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有:RSA、Diffe Hellman、EIGamal算法等。
(二)防火墙
防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问,管理内部用户访问外部网络,防止对重要信息资源的非法存取和访问,以达到保护内部网络系统安全的目的。
(三)入侵检测技术
入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(Misuse Detection)或异常检测(Anomaly Detection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。按照数据源所处的位置不同,入侵检测技术(IDS)可以分为两大类:基于主机的IDS和基于网络的IDS。
(四)漏洞扫描
漏洞扫描是对系统进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则系统很容易受到网络的伤害甚至被黑客借助于系统的漏洞进行远程控制,所以漏洞扫描对于保护系统安全是必不可少的。
(五)数据备份
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。随着技术的不断发展,数据的海量增加,常用的技术有网络备份,它通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
四、网络安全解决方案
网络安全是一项系统工程,随着环境的改变和技术的发展,网络系统的安全状况呈动态变化,应综合运用多种计算机网络信息系统安全技术,将信息加密技术、防火墙技术、入侵检测技术、漏洞扫描技术等综合起来。但一份好的网络安全解决方案,不仅仅要考虑到技术,还要考虑到策略和管理。应协调三者的关系,技术是关键,策略是核心,管理是保证,其最终目的是根据目标网络系统的具体需求,有针对性地解决其面临的安全问题。
参考文献:
网络安全技术方案范文第4篇
关键词 网络安全 防火墙
中图分类号:TP391 文献标识码:A
1网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。
2防火墙介绍
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
3防火墙技术发展趋势
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求:
远程办公的增长。全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
内部网络“包厢化”(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
4结论
网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多,各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。
参考文献
[1] 周良洪.信息网络安全概论[M].群众出版社,2009:89-100.
[2] 邵波.计算机安全技术及应用[M].电子工业出版社,2010:11-100.
[3] 庞南.信息安全管理教程[M].中国人民公安大学出版社,2011:45-78.
网络安全技术方案范文第5篇
[关键词]移动网络;网络安全;防护技术
引言
根据工信部提供的数据,截至2018年3月,我国移动互联网用户总数高达13.2亿,同比增加16.1%,移动网络用户数量的持续增加,不仅催生了新的经济业态,便捷了用户生活,也诱发了信息数据丢失、泄露等安全问题。为保持移动网络的安全性与稳定性,研究团队与技术人员需要从安全防护技术的角度出发,厘清设计需求,强化技术创新,逐步构建起完备的移动网络安全防护技术体系。
1移动通信网络安全防护技术概述
探讨移动通信网络安全防护技术构成与类型,有助于技术人员形成正确的观念认知,掌握移动通信网络安全防护的特点,梳理后续安全防护技术的设计需求,为安全防护技术的科学应用提供方向性引导。随着移动网络技术的日益成熟,移动通信网络安全防护技术逐步完善,可以充分满足不同场景下的网络安全防护基本要求。具体来看,现阶段移动网络安全机制较为健全、完善,形成了网络接入安全、网络域安全、用户域安全、应用安全等几个层级[1],实现了移动网络的传输层、服务层以及应用层的有效联动,强化了对移动网络入网用户的身份识别能力,以更好地提升移动通信网络的安全防护能力,相关技术构成如图1所示。网络接入安全保护技术的作用,使得用户可以通过身份识别等方式,快速接入到移动网络之中,从而规避无线链路攻击风险,保证网络运行的安全性,降低网络安全风险。通过构建网络安全域安全技术模块,对移动网络中的数据交互路径采取加密保护等相关举措,可以降低数据丢失或者泄露的风险。与其他网络不同,移动网络用户相对而言较为固定,用户群体较为明显,这种特性使得在移动通信网络安全防护应用过程中,可以通过签约用户识别模块,形成移动实体/通用签约用户识别模块(UniversalSubscriberIdentityModule,USIM)安全环境,实现移动网络安全防护的灵活化、有效化,依托移动网络安全防护技术,使得电信运营商的服务质量显著提升,更好地满足不同场景下、不同用户群体的移动网络使用需求[2]。随着5G网络的日益成熟,移动网络安全防护技术也需要做出相应的转变,通过形成移动通信网络安全平台,实现硬件系统与软件系统的联动,构建起平台式、生态化的移动通信网络安全防护机制,最大限度地保证用户信息的安全性与有效性。
2移动通信网络安全防护技术设计需求
移动通信网络安全防护技术涉及的技术类型较为多元,为有效整合安全防护技术资源,技术人员应当明确安全防护技术需求,在技术需求导向下,提升移动通信网络安全防护技术应用的有效性。
2.1移动通信网络面临的主要威胁
移动通信网络在使用过程中,受到病毒、木马、垃圾邮件等因素的威胁日益严重,用户个人信息数据丢失案例逐年上升,网络安全形势日益严峻。出现这种情况的主要原因在于,移动通信网络经过多年发展,其形成以网络应用服务为核心,以移动终端为平台的应用场景[3]。这种技术特性,使得越来越多的用户愿意通过移动通信网络进行数据的访问。数据访问的完成,固然提升了用户的使用体验,但是移动通信网络在通过空中接口传输数据的过程中,出现数据截流或者丢失的概率也相对较大。移动通信网络具有较强的开放性,用户可以根据自身的需要,进行网络资源的获取与访问,这种开放性,无形之中增加了安全事件的发生概率。这些移动通信网络安全威胁要素的存在,势必要求技术人员快速做出思路的转变,通过技术创新与优化,持续增强技术的安全性。
2.2移动通信网络安全防护技术设计基本要求
2.2.1基于体系安全的移动通信网络安全防护为改善移动通信网络安全防护能力,有效应对各类外部风险,避免数据窃取或者泄漏等情况的发生。在移动通信网络安全防护工中,需要以平台为基础,丰富安全防护的路径与场景,基于这种技术思路,我国相关安全技术团队提出了平台化的解决方案。将移动通信网络终端作为主要平台,对终端实体设备与网络之间的初始认证路径、认证频次等做出适当的调整,形成安全信息的交互,这种平台式的移动通信网络安全防护技术,不仅可以提升实际的防护能力,还在很大程度上降低了移动通信安全防护技术的应用成本,避免了额外费用的产生,稳步提升了移动通信网络安全防护的实用性与可行性[4]。
2.2.2基于终端安全的移动通信网络安全防护终端是移动通信网络数据存储、交互、使用的重要媒介,基于这种认知,技术人员需要将终端作为安全防护的重要领域,通过技术的创新,打造完备的终端安全防护机制体系。例如,目前较为成熟的第三代移动通信网络的认证与密钥协商协议(AuthenticationandKeyAgreement,AKA),其根据终端特性,设置了可信计算安全结构,这种安全结构以可信移动平台、公钥基础设施作为框架,将用户终端中嵌入敏感服务,形成鲁棒性终端安全平台,从实践效果来看,这种安全认证技术方案,不仅可以识别各类终端攻击行为,消除各类安全风险,其技术原理相对简单,实现难度较小,在实践环节,表现出明显的实践优势。
3移动网络安全防护技术体系的构建
移动通信网络安全防护技术的应用,要求技术人员从实际出发,在做好防护技术设计需求分析的基础上,依托现有的技术手段,建立起完备的移动通信网络安全防护技术应用体系,实现安全防护体系的健全与完善。
3.1应用可信服务安全防护技术方案
基于移动通信网络安全防护技术设计要求,技术人员应当将平台作为基础,形成以移动可信计算模块为核心的安全防护技术体系。从实际情况来看,移动可信计算模块具有较强的独立性,可以为用户提供可靠的信息安全通道,对于移动通信网络终端安装的各类操作软件进行合法性检测,对于没有获得授权的软件,禁止安装与运行。这种技术处理方案实用性较强,具备较高的使用价值。
3.2应用安全服务器防护技术方案
为降低移动通信网络安全防护技术的应用难度,技术人员将安全服务器纳入防护技术方案中,通过安全服务器,移动通信网络可以在较短的时间内完成移动端软件完整性评估与合法性查询,通过这种辅助功能,移动通信网络使用的各类硬件、软件保持在安全运行状态,实现对各类安全事件的评估与应对,以保证安全防护成效。在安全服务器防护技术设置上,技术人员需要针对性地做好查询功能的设置工作,为移动终端提供软件合法性查询服务。这种技术机制使得安全服务器可以对移动终端安装或者运行软件进行系统化查询。例如,根据需要,对安装或者运行软件的合法性进行审查。审查过程中,终端通过本地的MTM进行查询,如没有获得查询结果,则发出查询申请,安全服务器在接受申请后,进行系列安全查询,并将查询结果及时反馈给终端。在安全服务器使用过程中,还需要做好升级工作。例如,加强与软件提供商的技术沟通,通过技术沟通,做好软件安全性、合法性信息的生成,实现软件的备案。还要持续提升运营网络的接入网服务器交互功能,逐步强化移动终端完整性的整体性接入能力,保证移动终端的安全性与整体性。
3.3应用大数据下安全防护技术方案
大数据背景下,移动通信安全防护技术的应用,要求技术人员从安全监测、安全响应、系统恢复等层面出发,形成完备的安全防护机制。在安全监测模块设计环节,技术人员通过入侵监测技术、网络深度过滤技术、网络抓包技术得以对移动通信网络漏洞开展评估与分析,并根据评估结果,进行网络安全补丁的下载,从而避免病毒等非法入侵行为的发生[5]。相应安全技术研发过程中,依托杀毒软件、防火墙等现有的网络安全防护技术方案,确保移动通信网络在遭受攻击后,可以快速响应,实现对网络病毒的查杀,确保信息数据的安全性。要做好网络终端数据的备份,定期进行移动通信网络数据的备份,一旦出现信息泄露或者网络遭受攻击的情况,让技术人员可以通过备份技术,快速完成数据的恢复,将信息泄露的损失降到最低。
