1垃圾邮件阻塞网络
当我们打开个人邮箱时,总会发现邮箱内填满了各式各样的莫名其妙的邮件,占用内存和网络带宽,严重影响网络安全问题质量。而邮件地址的获得途径多种多样,比如人工收集、各类信箱自动收集机、垃圾信制造者之间的交易、邮件列表等,让人们防不胜防,只能不随便打开这些来历不明的邮件来避免受到侵害。
2计算机网络工程安全问题防护策略的手段
2.1数据存储时的防护策略当数据存储在用户主机或系统服务器时,为了保证数据不受到外部不明入侵者的窃取和损害,我们必须在系统和外部网络的接口处安装某种机制,检测外部用户的安全性,解决请求是否合法、内部用户是否向外部非法用户传递机密不可共享性文件等问题。并在此同时保证内外部用户之间正常合法的通信质量。
2.1.1入侵检测系统(IDS)
入侵检测系统是一种实时监测网络通信的网络安全设备,根据设备安装位置可分为基于主机的IDS和基于网络的IDS。基于主机的IDS安装在主机与网络接口处,该设备一般只是保护单一用户,配置简单。但在用户数量较大的时候,网络设备升级较为麻烦。基于网络的IDS一般配置在内部可信任网络与外部不可信任网络的接口处,它可以保护整个内部网络。但配置比较复杂。而当病毒变异事件数据库需要更新时,只需更新该IDS就可以保护整个内部用户主机,十分方便。从技术上来分,入侵检测技术可分为基于异常检测和基于行为检测。基于异常检测系统会给出用户正常操作所具有的轮廓用来构建事件数据库,当用户操作与正常行为有重大偏差时,则认为入侵。而基于行为检测系统则由专家分析用户非正常操作的行为特征,并建立相应特征库,当发现用户行为与特征库的记录相匹配时,则认为入侵。
2.1.2入侵保护系统(IPS)IPS与IDS相似,但IDS在发现入侵时只是发出警报不采取措施,而IPS在发现入侵时,发出警报的同时采取相应措施,能更全面地保护网络信息安全。(1)防火墙技术(firewall)防火墙技术是一种软硬件结合的技术,使得intranet与internet之间形成一个保护级网关,从而保护内部网络免受外部非法用户的入侵。从实现原理上划分可分为简单包过滤防火墙、状态监测包过滤防火墙和应用代理防火墙。简单包过滤防火墙是配置最简单的防火墙,它只检查IP数据包的包头、原地址、目的地址和端口号,通过定义TCP或UDP的端口号来决定是否允许该连接的建立。状态监测包过滤防火墙是配置最复杂的防火墙,它需要检查每一个数据包的内容,包括具体通信内容,形成较严谨的访问控制,但是在现实中较为复杂,不具有透明性。应用代理防火墙处于简单包过滤与状态检测包过滤之间,它主要检测受信用户与不受信用户之间的TCP握手连接。(2)身份认证通过口令密码或用户生物特征来认证操作者身份,避免非法人员窃取隐私信息。
2.2数据传播时的防护策略
由于网络链路的不可靠传输,数据在传播过程中容易被拦截,为了避免机密数据的泄露,需要对发送的数据加密,根据加密技术可分为对称与非对称加密。对称加密发送方与接收方的密钥相同,由同一机构PKI为每对连接发放临时密钥,著名的有DES、3DES、AES等算法。非对称加密不需要统一密钥,提高了安全性,CA机构为每个用户发放各自的公钥,发送方用接收方的公钥加密信息,而接收方用自己的私钥就可以解密数据,著名的有RAS算法。
3结语
在提高计算机网络工程安全问题防护策略技术的同时,应该加强计算机网络安全的教育,提高公民素质,双向结合才能最大化提高信息的安全性。
作者:乔亮 肖明华 李琳 单位:江西应用技术职业学院
相关专题:构建三级课程体系 中国服务贸易发展现状