計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計(jì)外文翻譯
《計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計(jì)外文翻譯》由會(huì)員分享,可在線閱讀,更多相關(guān)《計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 畢業(yè)設(shè)計(jì)外文翻譯(5頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、本科生畢業(yè)翻譯 單 位 計(jì)算機(jī)科學(xué)學(xué)院 姓 名 專業(yè)班級(jí)計(jì)算機(jī)科學(xué)與技術(shù)專業(yè) 指導(dǎo)教師(職稱) 翻譯完成時(shí)間二○○九年五月 Information Security Technical Report (2005) 10, 204e212 Firewalls e Are they enough protection forcurrent networks? J. Stuart Broderick Strategic Consulting, Symantec Corporation, 911 Central Parkway North, Suite
2、 300,San Antonio, TX 78232, USA 縱深防御 縱深防御是一個(gè)被安全從業(yè)人員吹捧多年的概念。盡管使用多重防火墻級(jí)聯(lián)的縱深防御已經(jīng)被廣泛應(yīng)用于世界各國的政府團(tuán)體機(jī)構(gòu),然而其在非政府領(lǐng)域的應(yīng)用還是十分有限的?;蛟S是由于成本的原因。幾年前,成本的理由是合理的。但是,隨著一些更快更小的防火墻技術(shù)和安全設(shè)備的產(chǎn)生,或許一些團(tuán)體機(jī)構(gòu)是時(shí)候該重新考慮一下他們應(yīng)首先顧慮的問題了。 為了讓團(tuán)體機(jī)構(gòu)的信息得到最佳的保護(hù),他們的網(wǎng)絡(luò)應(yīng)該被規(guī)劃(或重新設(shè)計(jì))這是從安全的立場(chǎng)(金等人)而不是從商業(yè)和地域角度來考慮。從安全角度來設(shè)計(jì)一個(gè)網(wǎng)絡(luò),應(yīng)該確保讓未經(jīng)授權(quán)的內(nèi)部訪問和來源于外部的訪問變
3、得非常困難。在下面這個(gè)圖表中就給出了一個(gè)分割或者隔離網(wǎng)絡(luò)的例子: 在圖中,用戶每向核心敏感層躍遷一次都要通過越來越嚴(yán)格的防火墻。此圖是一個(gè)簡(jiǎn)單的可靠分割網(wǎng)絡(luò)的例子,它不是一個(gè)萬能的解決方案。每個(gè)團(tuán)體機(jī)構(gòu)都可以根據(jù)自身的風(fēng)險(xiǎn)承受能力、所保護(hù)信息的價(jià)值以及其與第三方關(guān)系確定是否有權(quán)使用的信息,來論證、修改這一模式。 在現(xiàn)實(shí)中,只有被高度信賴的管理員和安全人員才能直接訪問系統(tǒng)關(guān)鍵任務(wù),他們使命關(guān)鍵是有原因的:團(tuán)體機(jī)構(gòu)的運(yùn)營(yíng)依靠他們,因此未經(jīng)授權(quán)的訪問是不可能的。對(duì)于值得信賴的管理員和其他特別授權(quán)的人員,使用強(qiáng)有力的身份驗(yàn)證和VPN技術(shù)可以使他們達(dá)到任意想要到達(dá)的處理辦公環(huán)境。 這種類型的網(wǎng)絡(luò)隔
4、離并不是一個(gè)新設(shè)想。各國政府在全球范圍內(nèi)使用相似的解決方案已經(jīng)很多年了。但直到最近,防火墻方案的成本才達(dá)到任意團(tuán)體機(jī)構(gòu)能實(shí)際承擔(dān)的水平。在大型團(tuán)體機(jī)構(gòu)的網(wǎng)絡(luò)中,通過幾十或幾百個(gè)防火墻來劃分復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò),以嚴(yán)格的限制阻擋任何入侵者(內(nèi)部或外部)對(duì)系統(tǒng)的損害于防火墻之外。 如果得到IT安全政策、標(biāo)準(zhǔn)和程序的支持,這種網(wǎng)絡(luò)解決方案將是最合適、有效的。 確保這些建立之前,首先要投資于這種解決方案,或者使團(tuán)體機(jī)構(gòu)的營(yíng)利相對(duì)較少。此類解決方案,考慮和關(guān)注的細(xì)節(jié)應(yīng)該是任意團(tuán)體機(jī)構(gòu)的雇員或者家庭網(wǎng)絡(luò)。 除非你所在團(tuán)體機(jī)構(gòu)持有或處理的信息是極其敏感的或者非常有價(jià)值的,它所需要的保護(hù)水平才要高于你競(jìng)爭(zhēng)對(duì)
5、手的團(tuán)體機(jī)構(gòu)一兩個(gè)級(jí)別。除非一個(gè)入侵者有特殊的目的來訪問你的信息,否則,他們將只能訪問最容易得到的信息。如果實(shí)施一個(gè)安全的解決方案,找到一個(gè)比你對(duì)手更高明的受挫原因,那所有最執(zhí)著的入侵者都將尋找另一個(gè)更容易攻擊的目標(biāo)。 設(shè)置主機(jī)防火墻/個(gè)人防火墻 最終的網(wǎng)絡(luò)邊界是指出計(jì)算機(jī)連接到哪個(gè)網(wǎng)絡(luò)。這一點(diǎn)是配置防火墻的總趨勢(shì),有時(shí)被成為個(gè)人防火墻。有些解決方案是安全有效的,其安全設(shè)置能被集中管理,其他只需依靠普通使用者的知識(shí)就能使用。通常情況下,pc機(jī)的使用者都不是安全專家,因此,指望他們能管理好自己的個(gè)人防火墻簡(jiǎn)直就是癡心妄想。 倘若管理員有豐富安全知識(shí),那中央管理的個(gè)人防火墻方案就能提供許多優(yōu)
6、點(diǎn)。不過,對(duì)于一些有能力的用戶,這些防火墻有時(shí)會(huì)影響他們進(jìn)行的工作,所以他們要求(或者入侵)在標(biāo)準(zhǔn)防火墻下存在特別漏洞。這些漏洞也許是或者不是同一個(gè)來源,但應(yīng)該進(jìn)行認(rèn)真評(píng)估,以減少對(duì)整個(gè)團(tuán)體機(jī)構(gòu)的威脅風(fēng)險(xiǎn)。 應(yīng)用程序安全 到目前為止,我們還之討論了防火墻、網(wǎng)絡(luò)協(xié)議及其使用。到頭來,還是應(yīng)用程序在保護(hù)數(shù)據(jù)本身。因此,即使所有的防火墻基礎(chǔ)設(shè)施是徹底安全的,應(yīng)用程序不正常響應(yīng)或者接受虛假、無效、意外的數(shù)據(jù),那么遭到未經(jīng)授權(quán)的訪問也是順理成章的。這一點(diǎn)已經(jīng)變得非常明顯,在過去幾年里,關(guān)于安全原則的程序代碼質(zhì)量顯著下降。部分原因可能是功能方面缺少這種安全需求,產(chǎn)品上市時(shí)間原因,或者干脆說,安全編程的
7、技術(shù)沒被教授(或許他們不被認(rèn)為是“酷”的技術(shù))。 用安全相關(guān)的軟件來彌補(bǔ)隨處出現(xiàn)的程序缺陷已經(jīng)司空見慣了。他們已經(jīng)存在于網(wǎng)絡(luò)通信的各環(huán)節(jié)的交流中。這些缺陷可能包括: ·TCP/IP協(xié)議 ·包含缺陷的TCP/IP協(xié)議的實(shí)現(xiàn) ·任意一款有數(shù)據(jù)流通過的操作系統(tǒng)(含補(bǔ)?。? ·防火墻軟件或者配置文件操作的軟件 ·加密軟件(如果用到的話) 一個(gè)在任意環(huán)節(jié)出現(xiàn)的代碼錯(cuò)誤都表明了它本身的安全弱點(diǎn)被發(fā)現(xiàn),這不是一個(gè)簡(jiǎn)單問題而且不能用簡(jiǎn)單的解決方案。 如前所述,IP V6 提供了一種解決方案,可以解決許多通過TCP/IP發(fā)送數(shù)據(jù)的綜合安全問題。從安全立場(chǎng)來看,它不可能也沒有解決那些不堪一擊的程序代
8、碼的問題。直到那些程序的安全質(zhì)量問題被暴露出來,成為最薄弱的安全環(huán)節(jié)。 無線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)一體化 計(jì)算機(jī)無線網(wǎng)絡(luò)技術(shù)的理論,已經(jīng)針對(duì)如何保護(hù)飽受非法訪問的網(wǎng)絡(luò)問題,提出了有重大意義的觀點(diǎn)。這主要是因?yàn)闊o線網(wǎng)絡(luò)有效地解決了網(wǎng)絡(luò)劃分的問題。兩個(gè)主要的非法來源在侵入網(wǎng)絡(luò)邊界時(shí)被確定,他們是: (1) 使用無線網(wǎng)卡鏈接到團(tuán)體有限網(wǎng)絡(luò)的筆記本和其他電腦 (2) 未被授權(quán)的非法網(wǎng)絡(luò)接入節(jié)點(diǎn)或者為了方便用戶而連接到有線網(wǎng)絡(luò)的路由器 在大多數(shù)情況下,不安全的介紹是無意的,只是缺少對(duì)部分用戶的教育。不安全的介紹通常是作為一種便利功能給出的。 更加危險(xiǎn)的潛在不安全因素是技術(shù)本身。無線設(shè)備(無線局域網(wǎng))
9、銷售時(shí)承諾有限制范圍和信息加密傳輸。但事實(shí)最有說服力。無線局域網(wǎng)信號(hào)能被接收到,通過用一些簡(jiǎn)單的專業(yè)技術(shù)就能做到,不是150尺的距離(常見的無線設(shè)備規(guī)格),而是幾百碼或者超過一里外的某些情況。非無線網(wǎng)絡(luò)的專家認(rèn)為,數(shù)據(jù)的傳輸應(yīng)該像有線網(wǎng)絡(luò)那樣點(diǎn)對(duì)點(diǎn)的進(jìn)行。但他們忘記了無線電可以在360°的任意方向向網(wǎng)絡(luò)周圍的三維空間傳播。這款無線網(wǎng)絡(luò)設(shè)備的廠商和安全委員會(huì)認(rèn)為他們包含數(shù)據(jù)加密技術(shù)。不幸的是,這種加密規(guī)格是很爛的,很容易被攻破。更糟的是,很多用戶甚至連這種級(jí)別的待遇都沒有?,F(xiàn)在的網(wǎng)絡(luò)邊界不僅是漏洞,根本就是空白的。 防火墻技術(shù) 防火墻解決方案(麥蒂安德烈,茲威基等)在過去的25年里,已經(jīng)在許
10、多方面取得了進(jìn)展,耗費(fèi)龐大而昂貴的軟硬件支持作為服務(wù)。在另一極端,未來的電子消費(fèi)產(chǎn)品可以裝配到掌上電腦而且花費(fèi)不到100美金。盡管這是顯著的進(jìn)展,但還是要取決于同一個(gè)問題:一個(gè)不可靠的協(xié)議簇和應(yīng)用軟件(無論是安裝在硬盤里或是加載在固件里)。 有三種基本類型的防火墻: 代理防火墻 ·使用規(guī)則,不僅檢查報(bào)頭信息,而且檢查有效的荷載內(nèi)容,如果報(bào)頭是已被授權(quán)的。 濾包防火墻 ·基本分為兩類:普通包過濾檢查每個(gè)數(shù)據(jù)包的報(bào)頭信息;狀態(tài)包過濾檢查初始報(bào)頭并在允許的情況下監(jiān)控其他包序列號(hào)的一致性。 ·電路級(jí)防火墻——已經(jīng)成歷史了,通常被忽略 幾乎類似宗教狂熱式的銷售戰(zhàn)在代理防火墻和包過濾防火墻間
11、持續(xù)了多年。在現(xiàn)實(shí)中,許多商業(yè)防火墻是這兩種防火墻的融合。這只不過是兩種技術(shù)所占的比例不同罷了。大部分的混合防火墻都是傾向于一種技術(shù),這要看開發(fā)團(tuán)隊(duì)的理解傾向了。那些團(tuán)體機(jī)構(gòu)并不關(guān)心他們購買和使用的是那種防火墻,他們只是需要這防火墻運(yùn)作起來并保護(hù)他們的數(shù)據(jù)而已。 無論那種解決方案被采用,防火墻軟件就是提供了一個(gè)可靠(但常常有缺陷)的安全保護(hù),當(dāng)然僅僅當(dāng)他們能做到時(shí)才算。 ·重點(diǎn)發(fā)展程序本身的安全性而非防火墻范圍的保護(hù)。 ·根據(jù)組織機(jī)構(gòu)的具體需求正確配置和安裝防火墻。 ·配置可靠的硬件基礎(chǔ)。 ·鎖定要保護(hù)的數(shù)據(jù)。 ·配置保證能夠正常運(yùn)行的最基本服務(wù)數(shù)量。 ·妥善處理防火墻本身的安全
12、及其功能配置。 保護(hù)不可能做到完美,因?yàn)槲覀兯^對(duì)保護(hù)數(shù)據(jù)的設(shè)計(jì)往往都存在缺陷,不可能做到。 以上列出的要求都適用于各種防火墻和依托防火墻的常見操作系統(tǒng)或硬件。 當(dāng)市場(chǎng)銷售和促銷時(shí),技術(shù)細(xì)節(jié)就會(huì)被忽略,防火墻只是一款安裝在操作系統(tǒng)上的應(yīng)用程序,只要它能負(fù)責(zé)控制TCP/IP通信的端口滿足其規(guī)則就行。同樣的防火墻軟件也要迎合其他軟件——和前面說的一樣。防火墻和其他軟件的不同就在于防火墻的開發(fā)者要比其他軟件的開發(fā)者更注重安全問題。 為了提高防火墻范圍內(nèi)的保護(hù)水平,應(yīng)該補(bǔ)充額外的安全技術(shù),如入侵檢測(cè)/防御惡意軟件技術(shù)。結(jié)合這項(xiàng)技術(shù)可以綜合一個(gè)個(gè)單一的安全技術(shù)為一體,這已經(jīng)變得越來越普通。前一
13、種做法可以由用戶自定義各種需求,而后者則全依賴開發(fā)商的安全側(cè)重點(diǎn)。沒有辦法來確定誰對(duì)誰錯(cuò),對(duì)于一個(gè)特定組織的具體工作。 防火墻不能保護(hù)你的組織機(jī)構(gòu)的內(nèi)容: ·會(huì)話劫持 ·偵聽數(shù)據(jù) ·修改網(wǎng)絡(luò)數(shù)據(jù) ·重新路由數(shù)據(jù) ·網(wǎng)絡(luò)信息詐騙 ·用戶信息泄露 ·用戶調(diào)制解調(diào)器附帶的防火墻系統(tǒng)保護(hù) ·社會(huì)工程攻擊 ·下載/接受的文件、信息包含病毒或惡意代碼 ·來自內(nèi)部的數(shù)據(jù)攻擊 最安全的防火墻實(shí)現(xiàn)需要: ·制定一個(gè)公司范圍的安全策略(安全策略標(biāo)準(zhǔn)和程序,格林堡,2003)并按此執(zhí)行 ·要按“攻擊者”而不是“防衛(wèi)者”的角度思考 ·培訓(xùn)用戶和管理者 ·為關(guān)鍵系統(tǒng)采用在防火墻和訪問控制
14、兩方面的“超前安全”策略 O允許的情況下,將防火墻集成到操作系統(tǒng)支持的硬件上 O禁用所有不必要的服務(wù) O盡可能利用強(qiáng)大的認(rèn)證手段 O檢測(cè)“后門” O檢測(cè)未被授權(quán)的擅自篡改 除了防火墻外,一個(gè)不錯(cuò)的信息保護(hù)計(jì)劃(格林伯格,2003)也將: ·執(zhí)行和監(jiān)督入侵檢測(cè)系統(tǒng),以便你知道自己什么時(shí)候在被攻擊 ·執(zhí)行事件處理和過程響應(yīng),來處理試圖或闖入的情況。 乍一看,防火墻可能會(huì)被認(rèn)為是一個(gè)簡(jiǎn)單的即插即用設(shè)備,放到那就能實(shí)施保護(hù)。但實(shí)際上,在介紹了防火墻的解決方案后,你會(huì)發(fā)現(xiàn),使之有效地開展工作,需要大量的知識(shí)和安全專長(zhǎng)。 接下來的步驟 由于您已經(jīng)閱讀這么深入了,很顯然,你關(guān)心自己的現(xiàn)
15、有的防火墻環(huán)境或以后的防火墻有關(guān)的配置方案。 解決這個(gè)問題的關(guān)鍵是要退一步,考慮一下你自己到底需要什么。 根據(jù)你自己習(xí)慣舒適的原則,你可以自己隨便安排,或者按你所在團(tuán)體的設(shè)置,或者干脆成為一個(gè)獨(dú)立的第三方。無論選擇那種方式,關(guān)鍵是你都要徹底審視一下環(huán)境和趨勢(shì),和其他安全問題一樣,問題是你所在團(tuán)體的風(fēng)險(xiǎn)承受力和他得承受能力。 總結(jié) 妥善設(shè)計(jì)、實(shí)施和管理防火墻技術(shù),為目前的計(jì)算機(jī)網(wǎng)絡(luò)提供重要的保護(hù)。他們不一定是過去吹噓的那種安全方面的靈丹妙藥,只不過是團(tuán)體機(jī)構(gòu)用來抵擋電腦系統(tǒng)被入侵的一個(gè)簡(jiǎn)單的護(hù)盾罷了。為了現(xiàn)在和光明的未來,防火墻仍是一個(gè)組織團(tuán)體防御的堅(jiān)定選擇。范圍僅限于安裝了防火墻設(shè)備的水
16、平,不過他們都肯定會(huì)被嵌入到硬件設(shè)備中,這是遲早的事。 盡管由于有防火墻技術(shù)的保證,他們正被試圖用來保護(hù)不可靠網(wǎng)絡(luò)通信的數(shù)據(jù),讓應(yīng)用程序盡可能的花費(fèi)較少的信息驗(yàn)證努力就能確保信息正確有效的接受和發(fā)送。在日益復(fù)雜的攻擊和用戶越來越少的安全意識(shí)下,就導(dǎo)致了防火墻就技術(shù)不斷面臨艱難的挑戰(zhàn)。實(shí)際中的防火墻只是整個(gè)安全解決方案的一部分,圍繞著這個(gè)單位的數(shù)據(jù)會(huì)有更強(qiáng)有力的保護(hù)措施。用防火墻作為其他技術(shù)的輔助,比如入侵檢測(cè)系統(tǒng)、惡意軟件保護(hù)系統(tǒng)等,當(dāng)然這些都軟件都是可靠地。接下來一個(gè)必須及時(shí)慎重考慮的問題就是:數(shù)據(jù)安全已經(jīng)越來越不能再被忽略了,在數(shù)據(jù)本身變成應(yīng)用的最后一步之前。 References
17、A definitive introduction to information security policies,standards and procedures. < ://enterprisesecurity. symantec /article.cfm?articleid?1155&EID?0>; 2002. Eric Greenberg. Mission critical security planner; 2003 [ISBN0-471-21165-6]. King, Dalton, Ertem Osmanoglu. Security architecture
18、design,deployment & operations [ISBN:0-07-213385-6]. Mandy Andress. Surviving security: how to integrate people,process and technology [chapter 7; ISBN:0-672-32129-7]. RFC 1883. Internet protocol, version 6 (IPv6) specification; December1995 () e originalspecification. RFC 2460. Internet protocol, version 6 (IPv6) specification; December1998 () e obsoletes RFC 1883.Zwicky, Cooper, Chapman. Building internet firewalls [chapter4; ISBN:1-56592-871-7].
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 市教育局冬季運(yùn)動(dòng)會(huì)安全工作預(yù)案
- 2024年秋季《思想道德與法治》大作業(yè)及答案3套試卷
- 2024年教師年度考核表個(gè)人工作總結(jié)(可編輯)
- 2024年xx村兩委涉案資金退還保證書
- 2024年憲法宣傳周活動(dòng)總結(jié)+在機(jī)關(guān)“弘揚(yáng)憲法精神推動(dòng)發(fā)改工作高質(zhì)量發(fā)展”專題宣講報(bào)告會(huì)上的講話
- 2024年XX村合作社年報(bào)總結(jié)
- 2024-2025年秋季第一學(xué)期初中歷史上冊(cè)教研組工作總結(jié)
- 2024年小學(xué)高級(jí)教師年終工作總結(jié)匯報(bào)
- 2024-2025年秋季第一學(xué)期初中物理上冊(cè)教研組工作總結(jié)
- 2024年xx鎮(zhèn)交通年度總結(jié)
- 2024-2025年秋季第一學(xué)期小學(xué)語文教師工作總結(jié)
- 2024年XX村陳規(guī)陋習(xí)整治報(bào)告
- 2025年學(xué)校元旦迎新盛典活動(dòng)策劃方案
- 2024年學(xué)校周邊安全隱患自查報(bào)告
- 2024年XX鎮(zhèn)農(nóng)村規(guī)劃管控述職報(bào)告