摘要:文中就信息网络安全内涵发生的根本变化,阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。论述了网络防火墙安全技术的分类及其主要技术特征。
关键词:网络安全 防火墙 技术特征
1.概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
2.防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。�
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。�
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
2.1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点
,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2.网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
NAT的工作过程如图1所示:
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3.代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
⑵ 怎么解释社会网络的概念
社会网络(socialnetwork)是一种基于“网络”(节点之间的相互连接)而非“群体”(明确的边界和秩序)的社会组织形式,也是西方社会学从1960年代兴起的一种分析视角。随着工业化、城市化的进行和新的通讯技术的兴起,社会呈现越来越网络化的趋势,发生“社会网络革命”(socialnetworkrevolution),与移动革命(mobilerevolution)、互联网革命(internetrevolution)并列为新时期影响人类社会的三大革命. 社会网络是指社会个体成员之间因为互动而形成的相对稳定的关系体系,社会网络关注的是人们之间的互动和联系, 社会互动会影响人们的社会行为。社会网络是由许多 节点构成的一种社会结构,节点通常是指个人或组织,社会网络代表各种 社会关系,经由这些社会关系,把从偶然相识的泛泛之交到紧密结合的家庭关系的各种人们或组织串连起来。社会关系包括朋友关系、同学关系、生意伙伴关系、种族信仰关系等。社会网络作为一种社会学视角发端于德国社会学家齐美尔(Georg Simmel, 1858-1918),并在 1960 年代随着冷战的开始和西方普遍出现的社会动乱开始在西方广为发展。社会网络分析不把人看作是由个体规范或者独立群体的共同活动所驱动,相反它关注人们的联系如何影响他们行动中的可能性和限制。一个多世纪以来,社会科学家都在使用“社会网络”这一隐喻表示不同尺度上的各种复杂社会关系。
⑶ 社会网络的特征有哪些
1、基于“网络”(节点之间的相互连接)构成的一种社会结构;
2、具有个人化与互动性,信息传播更加自主化、个人化,每个人既是信息的接受者,也是创造者;
3、社会网络是一对一交流,基于多样化群体;
4、以朋友为基础建立关系,较弱的社会控制及转向其他网络,与其他网络界限模糊;
5、更偏向于私人空间和线上活动,是属于网络化组织。
6、社会网络具有多变性、不确定性。
(3)社会网络连接规定扩展阅读:
社会网络的发展
社会网络作为一种社会学视角发端于德国社会学家齐美尔(Georg Simmel, 1858-1918),并在 1960 年代随着冷战的开始和西方普遍出现的社会动乱开始在西方广为发展。
一个多世纪以来,社会科学家都在使用“社会网络”这一隐喻表示不同尺度上的各种复杂社会关系。直到 1950 年代,才开始系统化而自知地使用这一词汇表示一种不同于传统意义上的有边界的社会群体和将人看作分离的个体的社会类别的联系方式。
⑷ 什么是社会网络
社会网络(socialnetwork)是一种基于“网络”(节点之间的相互连接)而非“群体”(明确的边界和秩序)的社会组织形式,也是西方社会学从1960年代兴起的一种分析视角。随着工业化、城市化的进行和新的通讯技术的兴起,社会呈现越来越网络化的趋势,发生“社会网络革命”(socialnetworkrevolution),与移动革命(mobilerevolution)、互联网革命(internetrevolution)并列为新时期影响人类社会的三大革命.
社会网络是指社会个体成员之间因为互动而形成的相对稳定的关系体系,社会网络关注的是人们之间的互动和联系,社会互动会影响人们的社会行为。
社会网络是由许多节点构成的一种社会结构,节点通常是指个人或组织,社会网络代表各种社会关系,经由这些社会关系,把从偶然相识的泛泛之交到紧密结合的家庭关系的各种人们或组织串连起来。社会关系包括朋友关系、同学关系、生意伙伴关系、种族信仰关系等。
社会网络分析是社会科学领域的叫法。类似的东西在物理和计算机领域叫复杂网络。在数学领域叫做图论。也有一些学者叫网络科学。基本的东西都类似,但关注的点不同。就和一个男人有时是爸爸,有时是儿子,有时是孙子。
最早的溯源可以归到哥尼斯堡七桥问题。莫雷诺在上世纪初开始将可视化和类似的网络分析技术应用在分析社会现象上,比如女生的午餐关系。之后生物领域和社会领域分别独立发展出比较完善的分析技术。集大成者是Harvard的HarrisonWhite,许多之后着名的学者都是他的徒子徒孙。
很难说SocialNetworkAnalysis是一门特定的学科。更多的应用是作为一种研究方法,有时候也会作为一种研究视角(perspective)。当然,也产生了一些中层的理论(theory),比较常见的是Granovetter的弱联系理论,Burt的结构洞理论,Watts的小世界模型,Barabasi的PowerLaw。
之前的社会科学往往关注个体(或者行动者,如企业、个人)的特性,而忽略个体之间的关系。而社会网络的研究正是研究关系的方法、视角。最大的特征在于考虑了个体之间的互相依赖,更接近于现实社会。将这些关系用如题头所示的图片展示出来,可以直观的看到各个行动者在网络中的位置和网络整体结构。
⑸ 社会网络的发展历程
社会网络作为一种社会学视角发端于德国社会学家齐美尔(Georg Simmel, 1858-1918),并在 1960 年代随着冷战的开始和西方普遍出现的社会动乱开始在西方广为发展。社会网络分析不把人看作是由个体规范或者独立群体的共同活动所驱动,相反它关注人们的联系如何影响他们行动中的可能性和限制。
一个多世纪以来,社会科学家都在使用“社会网络”这一隐喻表示不同尺度上的各种复杂社会关系。然而直到 1950 年代他们才开始系统化而自知地使用这一词汇表示一种不同于传统意义上的有边界的社会群体(比如村庄和家庭)和将人看作分离的个体的社会类别(比如性别与种族)的联系方式。自 1960 年代中期开始,一种详尽的学说开始出现来帮助我们理解人们是如何以网络化方式相互连接的。
“社会网络”这一概念的兴起,源于其对社会互动的恰当描述。如果将咖啡馆里的人、一起工作的同事或者在互联网上互动的人认为是一个有边界社会群体,就会错误地认为他们是相互认识的,而对共同群体有归属感。然而事实上人们是在不断地进入和退出一个社会网络,而这种社会网络中又具有复杂的结构,含有丛、裂痕和分离的联结。而其中一些重要联结往往是越过网络边界的。
⑹ 社会网络关系
根据维基网络的解释,“社会网络(Social Networking:SN)”是指个人之间的关系网络。
据一些不系统的分析,社会网络(或称为社会性网络)的理论基础源于六度分隔理论(Six Degrees of Separation)和150法则(Rule Of 150)。
六度分隔理论(Six Degrees of Separation)
美国着名社会心理学家米尔格伦(Stanley Milgram)于20世纪60年代最先提出。“你和任何一个陌生人之间所间隔的人不会超过六个,也就是说,最多通过六个人你就能够认识任何一个陌生人。”
六度分隔理论(Six Degrees of Separation)由美国着名社会心理学家米尔格伦(Stanley Milgram)于20世纪60年代最先提出。1967年,哈佛大学的心理学教授Stanley Milgram(1933-1984)想要描绘一个连结人与社区的人际连系网。做过一次连锁信实验,结果发现了“六度分隔”现象。简单地说:“你和任何一个陌生人之间所间隔的人不会超过六个,也就是说,最多通过六个人你就能够认识任何一个陌生人。”
“六度分隔”说明了社会中普遍存在的“弱纽带”,但是却发挥着非常强大的作用。有很多人在找工作时会体会到这种弱纽带的效果。 通过弱纽带人与人之间的距离变得非常“相近”。
Jon Kleinberg 把这个问题变成了一个可以评估的数学模型,并发表在自己的论文“The Small-World Phenomenon”中。我们经常在与新朋友碰面的时候说“世界真小”,因为往往可能大家有共同认识的人。Jon的研究实证了这个观点。
曾经“六度分隔”理论只能作为理论而存在。但是,互联网使一切成为现实。
六度理论的发展,使得构建于信息技术与互联网络之上的应用软件越来越人性化、社会化。软件的社会化,即在功能上能够反映和促进真实的社会关系的发展和交往活动的形成,使得人的活动与软件的功能融为一体。六度理论的发现和社会性软件的发展向人们表明:社会性软件所构建的“弱链接”,正在人们的生活中扮演越来越重要的作用。
150法则(Rule Of 150)
从欧洲发源的“赫特兄弟会”是一个自给自足的农民自发组织,这些组织在维持民风上发挥了重要作用。有趣的是,他们有一个不成文的严格规定:每当聚居人数超过150人的规模,他们就把它变成两个,再各自发展。
“把人群控制在150人以下似乎是管理人群的一个最佳和最有效的方式。”
150法则在现实生活中的应用很广泛。比如中国移动的“动感地带”sim卡只能保存150个手机号,微软推出的聊天工具“MSN”(也是一种SS)只能是一个MSN对应150个联系人。
150成为我们普遍公认的“我们可以与之保持社交关系的人数的最大值。”无论你曾经认识多少人,或者通过一种社会性网络服务与多少人建立了弱链接,那些强链接仍然在此次此刻符合150法则。这也符合“二八”法则[3],即80%的社会活动可能被150个强链接所占有
.................................................
.............................................
社会网络分析法/社会科学研究方法经典译丛(社会科学研究方法经典译丛)
作者:(美)约翰·斯科特 译者:刘军 --------------------------------------------------------------------------------
内容简介
社会是一个由多种多样的关系构成的巨大网络。如何研究关系?视角当然多种多样,既可以像林语堂的小说中描述的那样对关系进行细致的刻画,又可以像黄光国等社会心理学家那样对人情、面子和关系网进行质的描述,更可以用社会网络分析法对关系进行量化的表征,从而揭示关系的结构,解释一定的社会现象。社会网络分析的意义在于,它可以对各种关系进行精确的量化分析,从而为某种中层理论的构建和实证命题的检验提供量化的工具,甚至可以建立“宏观和微观”之间的桥梁。
本书就像一本手册,引导读者进入社会网络分析的研究领域。它既适用于社会网络分析的初学者,也适用于对社会网络分析有所了解的人士。
--------------------------------------------------------------------------------
作者简介
约翰·斯科特,英国埃塞克斯大学社会学教授。出版30余部书,论文近130篇。主要出版物有《企业、阶级和资本主义》,《谁支配英国》,《社会学理论》、《分层和权力》,《社会网络分析》,主编《牛津社会学词典》。他是《社会学评论》杂志的编委,《英国社会学杂志》和《欧洲社会理论杂志》的编委会成员。最近的着述有《社会理论:社会学中的核心问题》,主编《当代50位重要社会学家》。
--------------------------------------------------------------------------------
目录
1 网络和关系
关系和属性
本书概要
2 社会网络分析的发展
社会计量分析和图论
人际结构和派系
网络:全网与局部网
哈佛的突破
3 关系数据的处理
关系数据的整理
关系数据的存储
关系数据的选择
4 点、线和数据
社群图的图论
个体中心密度和社群中心密度
社区结构和密度
5 中心度和中心势
局部中心度和整体中心度
中心势和图的中心
关于绝对密度的题外话
公司网络中的银行中心性
6 成分、核与派系
成分、循环和结群
成分的轮廓
派系及其交叉
成分和引文圈
7 位置、角色和聚类
点的结构对等性
聚类:聚集和分裂
块模型:CONCOR和BUBT
走向规则结构对等性
连锁与参与
8 维度和展示
距离、空间和量纲
主成分和因子
一些非量纲的方法
在网络可视化方面的一些进展
精英,社区和影响力
附录 社会网络软件包
参考文献
术语(人名)英汉对照表
...........................................
⑺ 社会网络连接关系怎么算
社会网络关系由节点和关系两部分组成,围绕这两部分进行计算。
社会网络是指社会个体成员之间因为互动而形成的相对稳定的关系体系。
社会网络关系就是社会资本,在新经济中,社会网络关系即指社会资本已经成为科技创新的一个关键因子,是在一个组织网络能够进行团结协作、相互促进生产收益的情况下而形成的“库存”。
⑻ 社会网络如何使社会不平等永久化
社会网络分析方法是由社会学家根据数学方法、图论等发展起来的定量分析方法。
社会网络分析是对社会网络的关系结构以及属性加以分析的一套规范和方法。它又被称为结构分析法(structural analysis)
社会网络分析不仅是对关系和结构加以分析的技术,还是一种理论方法--结构思想。
社会网络分析是社会学领域比较成熟的分析方法,该方法可以解决一些社会学的问题。
社会网络要素:
①行动者,在社会网络中用节点表示;
②关系,在社会网络中用剑线表示,关系的内容可能是友谊、借贷或是沟通,其关系可以是单向或双方,且存在关系强度的差异,关系不同即构成不同的网络
社会网络分析的原理:
关系纽带经常是不对称地相互作用着的,在内容和强度上都有所不同
关系纽带间接或直接地把网络成员连接在一起;故必须在更大的网络结构背景中进行分析
社会纽带结构产生了非随机的网络,因而形成了网络群(network clusters)、网络界限和交叉关联
交叉关联把网络群以及个体联系在一起
不对称的纽带和复杂网络使稀缺资源的分配不平等
网络产生了以获取稀缺资源为目的的合作和竞争行为
社会网络分析方法--数学表达式:
①图论法和矩阵法,这是社会网络分析最基本的方法
②二方关系图和三方关系图
③图的矩阵表达
④反应行动者的关系图。通过网络密度、结点度、割点、桥等指标进行具体测量距离,行动者之间的距离越小,意味着他们之间的联系越密切,交流互动越充分。由此可以了解一个网络中行动者之间的分化与差异
⑼ 根据《网络安全法》的规定,个人和组织使用网络应遵守哪些规定
《中华人民共和国网络安全法》第十二条规定:任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一。
宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
(9)社会网络连接规定扩展阅读:
国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
⑽ 社会网络的特征有哪些
社会网络(social
network)是一种基于“网络”(节点之间的相互连接)而非“群体”(明确的边界和秩序)的社会组织形式,也是西方社会学从
1960
年代兴起的一种分析视角。随着工业化、城市化的进行和新的通讯技术的兴起,社会呈现越来越网络化的趋势,发生“社会网络革命”(social
network
revolution),与移动革命(mobile
revolution)、互联网革命(internet
revolution)并列为新时期影响人类社会的三大革命
特征:
(1)开放式的网络体系结构,使不同软硬件环境、不同网络协议的网可以互连,真正达到资源共享,数据通信和分布处理的目标。
(2)向高性能发展。追求高速、高可靠和高安全性,采用多媒体技术,提供文本、声音图像等综合性服务。
(3)计算机网络的智能化,多方面提高网络的性能和综合的多功能服务,并更加合理地进行网络各种业务的管理,真正以分布和开放的形式向用户提供服务。
随着社会及科学技术的发展,对计算机网络的发展提出了更加有利的条件。计算机网络与通信网的结合,可以使众多的个人计算机不仅能够同时处理文字、数据、图像、声音等信息,