时间:2023-06-04 10:50:03
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络攻击的防范措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】 网络安全;网络攻击;安全策略
一、常见网络攻击的原理和手段
1.口令入侵。口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。
2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,达到控制你的计算机的目的。
3.电子邮件攻击。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
4.网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,不管这些信息的发送方和接收方是谁。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。
5.安全漏洞攻击。许多系统都有这样那样的安全漏洞(B ugs)。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
二、网络攻击应对策略
1.利用安全防范技术。(1)加密技术。加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快,缺点是一旦被解密者追踪到算法,算法就彻底废了。公开算法的算法是公开,有的是不可逆,有用公钥,私钥的,优点是非常难破解,可广泛用于各种应用;缺点是运算速度较慢,使用时很不方便。(2)身份认证技术。身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。(3)防火墙。防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。
2.制订安全策略。(1)提高安全意识。一是不随意打开来历不明的电子邮件及文件,不随意运行不明程序;二是尽量避免从Internet下载不明软件,一旦下载软件及时用最新的病毒和木马查杀软件进行扫描;三是密码设置尽可能使用字母数字混排,不容易穷举,重要密码最好经常更换;四是及时下载安装系统补丁程序。(2)使用防毒、防黑等防火墙。防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。(3)设置服务器,隐藏自己的IP地址。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法,保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。(4)将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。(5)对于重要的资料做好严密的保护,并养成资料备份的习惯。
参考文献
[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006:155~158
关键词:网络熵 计算机网络 攻击 安全性 效果 定量评估 方法 分析
中图分类号:G623.58 文献标识码:A 文章编号:1672-3791(2013)02(b)-0018-01
随着计算机技术以及网络信息技术在实际应用中的不断发展进步,计算机网络安全的要求也随之提高。比如,在信息安全领域,对于信息安全的内涵理解就在不断的延伸扩展,由原来的对于信息安全的保密性理解,逐渐扩展成为不仅包含信息保密性,更包括信息的完整性以及可用性、可靠性、不可否认性等,同时在进行信息安全保护的过程中,也逐渐发展并包含了对于信息攻击以及防范、检测、控制、管理、评估等多方面的安全防护理论以及技术等。在现代的信息管理系统中,对于信息安全的管理主要核心就是对于信息安全密码的应用与管理,实现对于信息安全密码的应用管理,首先需要通过进行可信信息系统的建立与评估,在此基础上,实现对于信息密码安全管理。计算机网络攻击效果的评估是信息系统安全综合评估的重要组成部分,进行计算机网络攻击效果的评估,不仅有利于提高计算机信息系统在复杂网络环境下的突发网络攻击应对能力,而且对于计算机网络攻击反击也具有一定的应对参考作用。
1 计算机网络安全性能指标的选取分析
在进行计算机网络攻击效果的定量评估过程中,要实现对于计算机网络攻击效果的评估分析,首先需要通过选取计算机网络安全性能指标因素,对于计算机网络攻击前后的安全变化情况进行分析的基础上,才能实现对于计算机网络攻击效果的评估。
通常情况下,进行计算机网络攻击的目的,就是为了破坏计算机网络的安全特性,是计算机网络失效或者是达到降低的效果。因此,通过对于计算机网络攻击前后安全性能指标的选取分析,来实现对于计算机网络攻击前后安全性能的变化描述,并且计算机网络攻击前后的安全性能指标差值,就是进行计算网络攻击效果评价的重要标准。本文主要通过系统分析法,通过对于计算机网络安全机制的研究分析,通过计算机网络安全机制以及准则、指标三级特性,实现对于计算机网络攻击效果的评估。通常情况下,计算机网络安全机制主要包含计算机网络的放绕过性、防篡改性以及可验证性、正确性、可用性等各种性能机制,而计算机网络安全的准则则主要包含防更改性、多样性以及隔离性、多重性、强制性等各要素,而通常情况下,根据计算机网络安全指标的测量结果,对于计算机网络的安全特性又可以分为布尔型、实数型以及分级数值等各种类型,并且在进行网络安全性能指标的选取过程中,进行安全性能指标的选取,还需要根据整体性或者是时效性等选择原则要求进行选取实施,比较麻烦并且繁杂,在实际选择评估应用中,需要注意结合指标选取实际情况进行简化选取实施。
2 基于网络熵的网络攻击效果计算分析
2.1 网络熵的含义概述
通常情况下,在进行计算机网络攻击效果的评估过程中,进行网络安全性能指标的简化选取之后,由于进行网络攻击效果的评估只是对于网络攻击前后的安全性能变化的评估分析,因此,评估分析过程中可以使用网络熵对于网络安全性能情况进行描述评价,通常情况下网络熵的值越小,那么就表示计算机网络系统的安全性能越好,而一旦计算机网络在服务运行过程中受到攻击,那么网络服务的性能就会下降,同时计算机网络系统的稳定性就会受到破坏,网络熵值也会增加。一般用下列公式(1)所示的网络熵差值对于计算机网络攻击效果进行表示描述。
2.2 单个网络安全指标网络熵差计算方法
在计算机网络安全性能指标因素中,根据计算机网络安全机制以及准则等的不同,会有各方面不同的对于网络安全性能产生影响的重要指标因素,比较复杂并且繁多,因此,在实际计算机网路安全性能指标的选取中,应注意进行简化选择。以计算机网络系统的可用性为例,在确定网络安全可用性的影响指标后,对于网络熵差值的计算方法如下。
根据计算机可用性的影响指标因素情况,主要有网络数据吞吐量、网络信道利用率以及网络延迟情况、延迟抖动频率等,其中用S1表示计算机网络攻击前的吞吐量情况,用S2计算机网络攻击后的吞吐量情况,根据相关要求原则,那么网络数据流量在该项指标的攻击效果可表示为下列公式(2)所示。
2.3 计算机网络系统的网络熵差值计算
根据上述对于计算机网络安全性能单个指标的网络熵差值计算表示分析,在进行整个计算机网络系统的网络熵差值的计算中,就是在进行安全性能指标权重值确定的情况下,通过对于计算机网络安全性能指标的权重因素的网络熵差值计算,来实现对于计算机网络系统网络熵差值的计算描述。如下公式(4)所示,就是系统网络熵为H情况下,用H’表示网络攻击后系统的网络熵值,那么对于网络攻击效果的计算就可以表示为如下公式所示。
3 结语
总之,基于网络熵的计算机网络攻击效果定量评估方法,是通过网络熵描述理论,在对于计算机网络安全性能指标权重因素的定量计算分析基础上实现的,对于计算机网络攻击效果的评估具有一定的适用性。
参考文献
[1] 张义荣,鲜明,王国玉.一种基于网络熵的计算机网络攻击效果定量评估方法[J].通信学报,2004(11).
[2] 王桐桐.计算机网络安全面临的问题及防范措施[J].都市家教,2012(9).
[3] 黄祖文.计算机网络运行中常见安全威胁与防范措施[J].中国新通信,2012(22).
随着计算机的普及以及网络的飞速发展,人们生活的各个方面越来越多地依赖于计算机,它
为人类带来了新的工作学习和生活方式,人们与计算机网络的联系也越来越密切。计算机网络系统给用户提供了很多可用的共享资源,但是也增加了网络系统的脆弱性和受攻击的可能性以及网络安全等问题,网络的安全性逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。对于这一问题我们应该十分重视。
一、计算机网络中的安全缺陷及产生的原因
网络出现安全问题的原因主要有:
第一,TCP/IP的脆弱性。
因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性
因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,缺乏安全意识
虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
二、网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:
利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
三、确保计算机网络安全的防范措施
1.防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
2.强化访问控制,力促计算机网络系统运行正常。
访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。
第一,建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。
3.数据加密技术
关键词:计算机网络;网络安全;威胁;防范措施
互联网一直不平静,近来闹得沸沸扬扬的“斯诺登事件”和“棱镜门”揭示了黑客行为不单是个人所为,还有政府组织背景。笔者无意探讨其中的是非曲折,仅结合计算机网络中的一些的安全威胁及防范措施进行分析和探讨。据《CNCERT互联网安全威胁报告》,2013年4月份我国境内感染网络病毒的终端数近371万个;被篡改网站数量为9020个,其中被篡改政府网站数量为810个;CNVD收集到系统安全漏洞732个,其中高危漏洞226个,可被利用实施远程攻击的漏洞有624个。这里指出了计算机网络常见的几大安全威胁:病毒、网络攻击、安全漏洞。下面进行讨论。
一、网络安全与主要威胁
1.关于网络安全。网络安全是指计算机网络系统的软硬件以及系统数据处于保护状态,不因自然因素或人为恶意破坏而导致系统破坏、数据被恶意地篡改和泄漏,从而保证计算机系统可以安全、可靠、稳定的运行。从该定义可以看出,“棱镜门”导致全球范围内难以计数的计算机系统受到了安全威胁,因为在人们不知不觉中个人信息可能已经泄漏出去了。
2.计算机网络主要威胁。(1)病毒威胁。按照《中华人民共和国计算机信息系统安全保护条例》给出的定义,病毒(Virus)是编写或插入计算机程序中,具有破坏计算机功能或数据,影响计算机使用并且可以自我复制的一组计算机指令或程序代码。计算机病毒可以像生物病毒那样,通过电脑硬盘、光盘、U盘、网络等途径自我复制而大量传播,也能像生物病毒对待宿主那样造成巨大破坏,例如几年前“熊猫烧香”病毒的破坏力人们记忆尤存。(2)木马威胁。木马(Trojan)源于希腊传说特洛伊木马计的故事。木马也是一种计算机程序,与病毒不同的是它一般不会自我复制,也不会感染其他文件,而常常伪装成游戏或对话框吸引用户下载,一旦进入用户计算机系统就如同施了特洛伊木马计那样,在用户电脑中破坏、盗取数据或者通过远程操控用户电脑。可见,木马的危害不亚于病毒。(3) 黑客攻击。黑客(Hacker)是指那些利用网络攻击技术攻击计算机网络中的计算机系统的人。黑客攻击目标可能是个人电脑,也可能是企业、政府部门的服务器系统,攻击所要达到的目的可以是获取商业机密,进行网络诈骗、网络钓鱼,也可能怀有某种政治目的而进行破坏,如篡改网站,攻击政府、企事业单位的网站而使其瘫痪。(4)安全漏洞。安全漏洞是指计算机系统中存在的可能被黑客利用的缺陷,它包括系统漏洞、应用软件漏洞、网络设备漏洞、安全产品漏洞(如防火墙、入侵检测系统等存在的漏洞)等。漏洞是客观存在的,而且很难完全避免,这是由计算机系统的复杂性所决定的。但有那么一些漏洞是人为设置的,如软件后门。(5)操作与管理漏洞。有些计算机用户操作不当及安全意识较差。例如无意中的操作失误,口令设置过于简单,随意将自己的帐号转借给他人或者与人共享等。部分集团用户缺乏严密的管理措施,使内部网络容易受到攻击,如一些单位的局域网、校园网为了便于资源共享,访问控制或安全通信方面有所欠缺,采用移动设备无线传输数据时不经过必要的安全检查,增加了数据泄密的几率。
3.网络威胁的后果。计算机网络中的威胁已带来许多不良影响,比较典型的后果有:一是数据丢失,对于失去重要的商业资料,其经济损失难以估量;二是系统瘫痪,对于一些经营性网站将无法提供服务;三是机密失窃,对于推行办公自动化的部门、单位而言,核心机密失窃不仅意味着巨大经济损失,而且对其以后发展可能是致命的;四是威胁社会安定,一些政府网站信息资料被篡改及传播谣言,将对社会稳定构成极大威胁。
二、计算机网络安全防范措施
1.构建网络安全防护体系。目前,网络安全的形势已不单局限于国内、某一部门、单位或个人,“棱镜门”事件说明网络安全更需要国际合作。从国内来说网络安全的法律体系尚不完善,针对网络犯罪存在一些明显的不足,例如量刑程度较粗,相比传统犯罪刑罚偏轻,所以健全法律法规体系建设是确保网络安全的基础。网络安全防护体系应由网络安全评估体系、网络安全服务体系和安全防护结构体系组成。评估体系是对网络漏洞、管理进行评估;服务体系包括应急服务体系、数据恢复服务和安全技术培训服务;防护结构体系包括病毒防护体系、网络访问控制技术、网络监控技术和数据保密技术。
2. 网络安全技术防范措施。(1) 重视安全漏洞的修补。安全漏洞意味着系统存在可预知的不足,既然如此就应当设法弥补漏洞。如系统漏洞、应用软件漏洞可借漏洞扫描软件定期扫描找出漏洞,再打足补丁。对于操作系统和应用软件应该开启实时更新功能,及时打上补丁或更新软件。(2)防范病毒。一般可通过安装防病毒软件防范病毒攻击。防病毒软件有单机版和网络版两种类型。单机版可用于个人电脑和局域网内使用,网络版可用于互联网环境。但需要注意的是,在当今网络环境中使用防病毒软件也只能提供有限度的防护,对于黑客入侵并不总有效,仍需要其他安全防护措施。(3)利用好防火墙技术。防火墙技术实质上是隔离内网与外网的屏障,避免非授权访问。使用防火墙的关键是合理配置,不少人却忽略了这一点。正确配置方案包括身份验证、口令验证级别以及过滤原则等。(4)访问控制技术。访问控制就是根据用户身份设置不同的访问权限。通过访问控制技术可阻止病毒或恶意代码入侵,减少非授权用户访问行为。(5)数据加密技术。数据加密可有效防止机密失窃,即使数据传输时被截获,信息也不会完全泄漏。数据加密方法一般可分为对称加密算法和非对称加密算法两种,前者加密与解密的密钥相同,系统安全性与密钥安全性关系较大;后者加密与解密密钥不同,且需要一一对应,安全性更高。(6)其他常用安全技术。如入侵防御技术(IPS)、入侵检测技术(IDS)、虚拟专用网技术(VPN)、网络隔离技术等。日常应加强数据备份管理,确保数据丢失、破坏后可以迅速恢复。
三、结语
计算机网络已经改变了人们的生活方式,也提升了生活质量,但无法忽略的是网络威胁也始终相伴。通过有效的管理机制、技术防范措施,可以减少网络威胁所带来的问题,然而没有绝对安全的技术,唯有不断提高安全意识和更新安全技术,才能最大限度地保障网络安全。
参考文献:
关键词:DNS;网络攻击;防范技术
1 引言
DNS(Domain Name System)域名系统,提供了Internet的底层基础服务,它实现了将网络域名映射为网络IP地址,因此其安全性对整个Internet的安全性起着十分重要的作用。DNS作为当今全球最大、最复杂的分布式层次数据库系统,由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足,再加上人为的攻击和破坏,DNS已面临非常严重的安全威胁。
2 DNS的工作原理
DNS是为了实现域名和IP地址之间的转换,它的工作原理就是在域名与IP地址两者之间进行相互的映射,起到相当于翻译的作用。DNS可分为Server和Client两部分,当Client向Server发出域名的解析请求时,本地的Server先查询自己的数据库是否存在需要的内容,如果有则发送应答数据包并给出相应的结果,否则它将向上一层Server进行查询。如此不断查询,直至找到相应的结果或将查询失败的信息反馈给Client。DNS具体的工作流程如下:
(1)Client首先向本地的Server发出查询请求,如要查询解析域名为的IP地址;
(2)本地Server如没有对应的记录,转而向根Server寻求帮助;
(3)根Server返回com域的Server地址;
(4)本地Server向com域的Server发出域名解析请求;
(5)com域的Server返回域的Server地址;
(6)本地Server继续向域的Server发出域名解析请求;
(7)域的Server向本地Server返回域名为的IP地址查询结果;
(8)本地Server向Client成功返回域名的解析结果,并且更新本地Server的缓存记录。
从上述DNS的工作流程中我们可以看到DNS的服务机制具有以下的漏洞和不足:
(1)DNS容易成为暴露用户行为的工具;
(2)Internet的DNS体系无法承受加密带来的开销和技术升级的成本;
(3)迭代查询,对根域与顶级域服务器的依赖非常严重;
(4)DNS主要使用无连接的UDP协议明文传送,很容易被伪造投毒;
(5)明文传输的DNS不具备任何保密性;
(6)DNS服务器具有软件漏洞。
3 常见的DNS攻击
由于DNS已成为了网络攻击的热门目标,因此也成为了互联网网络安全的一个十分重大的隐患。网络攻击者们通过攻击DNS达到了利用最少的成本,获得最大的效益,利用最少的资源,发起最有破坏力的攻击的目标,而且其攻击也可以轻而易举地绕过严密的安全监控和防护。如在2010年1月,网络攻击者们修改了百度的域名指向,以致百度网站出现无法访问的情况;2011年3月,网络攻击者们利用Bind 9软件出现的漏洞,使得部分DNS服务无法正常解析.com的域名。比较常见的DNS攻击有缓存投毒、DNS欺骗和DDoS攻击等,具体分析如下:
3.1 缓存投毒
缓存投毒是通过控制DNS的缓存服务器,把用户从原本需要访问的网站带到其它的网站,从而实现黑客的目的。缓存投毒实现的方式主要有两种:
3.1.1 攻击或控制用户ISP端的DNS缓存服务器的漏洞,将该ISP内的用户访问域名的响应结果改变;
3.1.2 利用权威域名服务器上的漏洞,在用户权威域名服务器同时被当作缓存服务器使用时,就可以实施缓存投毒,将错误的域名纪录存入服务器的缓存当中,使所有使用该服务器的用户得到的都是错误的DNS解析结果。从网络拓扑的角度来看,缓存投毒针对的DNS服务器是最接近用户的服务器,因此对这些服务器的攻击将会直接影响到连接这些服务器的所有用户。
3.2 DNS欺骗
DNS 欺骗是局域网常见的一种DNS攻击方式,是冒充域名服务器进行的一种欺骗行为。网络攻击者在DNS服务器响应之前先将虚假的响应结果交给用户,从而通过欺骗的手段使用户去访问恶意的网站。假设当用户提交给DNS服务器的域名解析请求报文数据包被截获,然后按网络攻击者的意图将一个虚假的IP地址作为应答信息返回给用户,用户就会把这个虚假的IP地址作为他所要的IP地址而进行访问,这样他就会被不知不觉地被欺骗到了网络攻击者想要其访问的那个网站,从而实现了DNS欺骗。
3.3 DDoS攻击
DDoS攻击主要有两种实现方式:
3.3.1 针对DNS的服务器软件,利用其软件程序中存在的各种漏洞,导致DNS服务器崩溃或拒绝提供服务;
3.3.2 利用DNS服务器作为中间的“攻击放大服务器”,去攻击其它互联网上的主机或服务器,导致被攻击的主机或服务器拒绝服务。
4 常见DNS攻击的防范方法
4.1 缓存投毒的防范方法
4.1.1 必须及时更新DNS的数据,重建DNS的缓存,根据DNS服务器的性能和网络的实际运行情况,将服务器缓存记录的TTL值适当减少,以防止缓存中毒;
4.1.2 将UDP端口随机化,在UDP端口的范围内随机选择使用端口,而不是固定使用53端口,这样可以使端口号和ID号的组合空间扩大到6万多倍 ,从而有效降低缓存投毒的命中率;
4.1.3 设置静态的DNS映射表,对动态DNS的更新进行限制,达到保护少数重要网站不受攻击的目的。
4.2 DNS欺骗的防范方法
4.2.1 防范由于ARP欺骗而引起的DNS欺骗,由于这种DNS欺骗是以ARP欺骗为基础的,所以可以通过将网关路由器的MAC地址和IP地址进行绑定以达到避免此类欺骗的目的;
4.2.2 在DNS欺骗中,客户端会收到一个合法的应答包和一个欺骗的应答包。欺骗应答包为了能尽量快地返回给客户端,它的报文结构比合法应答包简单,甚至只有一个应答域,而没有授权域和附加域。这样我们就可以通过监听DNS的应答包,按照一定的算法,鉴别出合法和欺骗两种应答包,进而避免DNS的欺骗攻击;
4.2.3 对DNS服务器做适当的安全配置和安全管理,限制DNS服务器作出应答的IP地址的范围,安装最新版的软件,关闭服务器的递归功能等;
4.2.4 个别安全级别要求较高的服务可以直接用IP地址进行访问,从而绕开DNS服务,这样全部针对DNS的攻击就都可以避免了。
4.3 DDoS攻击的防范方法
对于DDoS攻击可以采取以下几个防范措施:取消DNS服务器中允许查询网址的递回功能;部署入侵检测系统IDS;对重要的DNS服务器做冗余备份;安装相应的防火墙,对高DNS流量的请求进行限制和过滤。
4.4 除了上述防范攻击的方法之外,也应对DNS做好必要的保护措施,保证DNS的安全性,具体如下:
4.4.1 使用最新版本的DNS服务器软件,并且还要随着新漏洞的出现,不断升级或安装相应的补丁程序;
4.4.2 通过交叉检验功能,服务器反向查询已得到的IP地址所对应的主机名,再用该主机名查询DNS系统对应于该主机名的IP地址,判断两者是否一致,从而判定用户的合法性;
4.4.3 安装防火墙,将DNS服务器分为内部、外部服务器,并且进行隔离。内部服务器只提供内部网络域名的解析,外部服务器提供外部用户的查询,并处理内网服务器提交的解析请求;
4.4.4 通过设置访问控制列表ACL限制用户对DNS服务器的访问;
4.4.5 对区域传送进行限制,防止网络攻击者通过正常的查询命令获得详尽的的网络内部信息。
5 结束语
本文基于当前DNS的现状,阐述了DNS的工作原理,并对常见的DNS缓存投毒、DNS欺骗、DDoS攻击等进行了详细的分析和给出了防范这些攻击的方法,对于提高DNS的可靠性、安全性和抗攻击能力具有积极的作用。在日益发展的互联网中,DNS将占据着越来越重要的地位,如何更进一步提高DNS的主动、智能安全防御能力将是我们下一步工作和研究的重点。
参考文献
[1]孔政,姜秀柱.DNS欺骗原理及其防御方法[J].计算机工程,2010(2).
【关键词】计算机网络工程安全;因素;对策
中图分类号:TP39
文献标识码:A
文章编号:1006-0278(2015)02-117-01
一、引言
计算机网络工程安全的含义十分广泛,它的使用者不同,含义也不同,例如一般的使用者和供应商对网络安全的看法就大相径庭,一般的上网者只是单纯的关注电脑的病毒问题,会不会造成计算机的崩溃,损失一些资料等问题。网络的供应商不仅关注网络的信息是否安全还会关注网络的连接性能是否良好,计算机的硬件是否安全等问题。在平日的生活中,计算机受到来自其它角落的威胁难以避免。但是如果从相反的角度来看待这个问题,这种威胁就意味着要出现高技术的防范措施来抵御这种威胁。所以这就促进了计算机网络的发展,计算机网络工程安全问题影响了人们的生活秩序,随着时间的推移,这种威胁还会变的更加强大。
二、计算机的网络攻击特点
一般情况下,计算机的网络攻击有以下几个特点:网络攻击会造成大量的损失,因为网络黑客一旦入侵,就会使大量的计算机无法正常运行,给广大用户造成无法估量的损失;计算机网络工程安全会给国家和社会造成重大威胁,存在某些黑客专门攻击国家的机密文件,这就给国家和社会带来了无法估量的损失;攻击手段富有变化,而且不易被查出。攻击计算机网络的手段具有多样性,黑客能够利用各种隐蔽性的手段来套取一些保密信息,甚至能够使用户的防火墙崩溃,对用户造成重大的损失;计算机网络攻击主要是以软件攻击为主,一般来说,它就是靠软件来侵入其它的计算机。
三、计算机网络工程的安全问题
(一)计算机网络工程是脆弱的
由于网络具有开放性,所以这就对计算机网络带来了很大的麻烦。可以说,对于当下的网络环境,网络传输和共享逐渐普及,也正是因为每个人都能够享受到这种便利的条件,计算机网络才会而临着很大的挑战。计算机网络的脆弱性主要是由网络的自由性、国际性和开放性来表现出来的。所以,计算机网络工程经常会受到黑客的攻击,而且上述的特征给黑客攻击计算机网络带来了便利。
(二)计算机操作系统所产生的安全问题
计算机操作系统是网络传输和资源共享的最常用的软件,在这个过程中经常会出现各种问题。只有得到操作系统的有力支持我们才能正常获取各种信息。如果操作系统一旦遭到破坏,那么网络安全也不复存在。计算机操作系统的最主要的部分是软件部分和硬件部分,这两大部分为计算机的管理提供了很多功能。计算机的正常运行需要依靠一定的自然条件,也就是说,计算机的网络安全与自然环境息息相关。此外,计算机网络还会受到一些突发的自然灾害和措手不及的外部力量的威胁,这些因素都使计算机网络安全难免遭受影响。
四、维护计算机网络工程安全的措施
(一)加强技术防范
加强对计算机安全管理系统的管理,对相关的管理人员进行技术培训,大力改善网络系统的安全,加强相关人员的素质,严格把控系统中的每一道关卡。时刻备份好系统内的重要信息,建立责任制,将具体的责任落实到每个人身上。设置一定的网络访问权限,这样可以禁止非法人员入侵网络,对用户的使用权限管理相当于为网络安全的大门上了一道“锁”。
(二)加强管理
管理是计算机网络安全问题的关键性环节,计算机的网络安全不能仅仅依靠技术防范来保证,还应加强安全管理,或者是将这项内容纳入到立法程序中来,只是在管理中会有很多认为因素的存在,所以在实际操作过程中会有很大难度,提升管理人员的安全意识可以维护计算机网络工程的安全。
(三)进行安全层面的保障
维护计算机网络工程的安全需要有一个安全的物理条件,所以,机房的选址就显得尤为重要。防止人为的攻击和来自环境的破坏。在操作的过程中首先应该控制一下虚拟地址的访问,限制某些用户的权限,利用身份识别功能,这样可以减少非法入侵网络的现象。
(四)保证网路安全的综合措施
加强对网络管理者和使用者的安全教育,使他们认识到安全的重要性。由于网络的开放性,所以用户信息需要认证就显得尤为重要,这方而的密码技术需要提升。在使用密码加密的基础之上还可以加强防火墙的防范技术,使防火墙技术与侵入检测系统相连接,使它们能够更加合理的运行,共同为计算机的网络完全提供可靠的保障。
五、结语
在这个信息技术飞速发展的时代,信息化进程的脚步逐渐加快,人类已经离不开网络。但是计算机的网络系统运行还存在着很多问题,给人们的生活带来了不便之处。所以,解决计算机网络安全问题就摆在了人们的而前,随着经济技术的不断进步,我们应该坚信,计算机的网络技术会有重大突破,安全防范技术也会不断加强,相关的管理人员和技术人员会为大家提供一个更加安全的计算机网络环境,使人们的学习生活有一个良好稳定的网络环境,使国家愈加安全繁荣。
参考文献:
[1]黄丹关于计算机网络安全问题分析及对策研究[J].信息与电脑(理论版).2013,12(15):245-246.
关键词:互联网经济;计算机网络;安全隐患;防范对策
互联网经济时代背景下,社会各行各业都在积极应用信息技术,都在接入计算机网络。传统行业融入互联网经济的不断加快,为行业发展提供前所未有的发展机遇和嬗变契机。以互联网为平台的各种创新经济形式不断出现,以信息技术和互联网为依托的创新经济体雨后春笋般涌现,互联网+的创新型企业不断发展壮大,这都推动着我国经济发展方式转变和产业结构升级。计算机网络在社会经济中的地位和作用日益突出,而各种以计算机网络为攻击对象的黑客不断出现,网络病毒在制造传播过程中不断变种,给计算机网络安全带来了极大的威胁。
一、互联网经济时代网络安全存在的安全隐患类型分析
(一)计算机木马病毒侵入
当前,木马程序和网络病毒入侵个人电脑、公司工作电脑、网站服务器等现象非常普遍,每天都有大量的木马程序和病毒释放威力,导致个人电脑系统瘫痪,企业运行系统无法工作,网站不能浏览。甚至造成个人信息和企业信息泄露,核心机密、企业关键技术被盗,个人账号、企业账号盗刷。很多的木马程序对网络攻击的方式非常隐秘,且带有一定的诱惑性,而且感染以后不同于其他破坏性病毒程序,不会造成系统的瘫痪,却能够控制电脑的运行,能够将硬盘中的各种重要数据信息自动上传,从而盗取重要的信息,给个人和公司带来重大损害。病毒是对电脑影响最为直接,而且变种不断增多,对电脑和系统的攻击性非常强,不仅会破坏电脑文件,甚至造成电脑瘫痪,数据完全破坏。信息化时代,网络经济背景下,很多的资产都是无形的,一次攻击给企业带来的损失非常巨大。计算机木马和网络病毒对计算机的破坏性非常大,造成的经济损失无法估量的。
(二)黑客网络攻击
信息化时代,网络联系世界的最为重要的平台,虚拟环境下每一个人都在不同的位置,一时很难看到他的行为方式,不能感觉其动作目的。有着高超的电脑专业知识能力,熟悉网络结构及各种应用原理的网民非常之多,总会有一部分人缺乏基本的社会道德,置于他人利益、集体利益甚至国家利益于不顾,为了各种各样的目的和经济利益驱使,去攻击整体网络系统的个人电脑、公司服务器等。他们利用各种技术漏洞,借助自己高超的编程技术,伺机探寻那些网络防火墙、杀毒软件落后或者根本没有防火墙及杀毒软件的对象,进入对方的电脑,盗取其重要的信息。或者进行各种没有直接经济目的的破坏性删除修改,或者为了某种商业目的、倒卖信息库等,破解对方的账号和密码,进入以后获取重要信息,给个人带来重大影响,也给企业带来无法弥补的损失。
(三)应用系统存在重大缺陷
计算机最为重要的是系统及各种应用软件,操作系统的稳定性非常关键,不仅决定着电脑的平稳运行,还制约着各种软件的安装运行和稳定运行,更制约着相对应的个人和企业的安全。互联网经济时代,信息化、自动化、智能化是最为突出的特点,各种应用操作实现了自动化,各种信息处理也实现了信息化,管理也在推动智能化。对于个人而言,很多的生活信息都在电脑上,各种生活中的经济行为需要通过网络来实现,不仅是重要的交际对象在网络,各种网上消费在电脑互联网,而且很多的工作需要在电脑上完成,工作中的重要文件和设计都是在电脑上进行。竞争不断加剧的时代,工作延续到家里的现象非常普遍。个人电脑系统存在缺陷,尤其是选用了盗版系统或者软件,影响工作的效率和质量,也会给各种网络攻击和病毒入侵以可乘之机。造成信息泄露,或者系统瘫痪,各种数据尽毁,影响非常之大。企业电脑系统更为重要,各种软件采购出现了质量问题,使用了盗版系统,或者购买了非正规大企业的应用软件,都会造成系统瘫痪,也会给网络黑客攻击和病毒入侵带来重要隐患。
(四)计算机网络自身的缺陷
网络将世界连为一体,打破了时空限制,给人们的交流、生活、工作、消费带来了极大的方便,也直接催生了一个非常庞大的经济形式——互联网经济,也让传统的经营模式得到很好地改进,推动世界经济向前发展,推动人类社会不断进步。但是,任何事物都有其两面性,在带来各种积极作用的同时,也带来了诸多的威胁。网络是一个开放的空间,是一个没有限制的虚拟共享空间,各种信息通过网络能够快速传播,每一个人既是信息资源的享用者,也是各种信息资源的传播者。构成计算机互联网的关键部件有交换器、网络服务器、集成线路等,这些都植入一个非常开放的环境中,其自身的缺陷很容易被人识别,进而找到漏洞,转而进行各种形式的攻击,影响网络安全,更影响千千万万的个人和企业,给互联网经济蒙上一层厚厚的阴影。
二、互联网经济时代计算机安全的防范对策分析
互联网是人类社会最为伟大的发明创新,改变了世界的联系,方便了人类的交往,推动着传统行业和经济模式的发展变革,更是催生一个又一个影响世界的企业,成就了最具发展潜力的互联网经济。当今世界,尤其是中国,互联网企业发展非常迅猛,诞生了阿里巴巴这样市值超过2700亿美元的电商企业,有市值超过2500亿美元的腾讯这样的即时通讯互联网企业巨头;美国由谷歌、微软、思科等这些影响世界的互联网企业巨头。也更有基于互联网而生的众多的创新型企业,还有更多传统行业之虎添上了互联网之翼的企业,例如,华为、国美、京东这样的企业,形成了生机勃勃的互联网经济。尽管存在各种各样的安全隐患,也因此出现了很多的网络恶性事件。做好防范,趋利避害,从技术和制度法律等方面做好防范,采取有针对性的对策,一定能够将各种隐患消除在萌芽状态,最大限度地降低各种风险,还互联网一个安全的空间环境,给互联网经济更好地保驾护航。
(一)强化网络安全防范意识
山东大学生徐玉玉事件就是其信息泄露所致,被黑客盗取信息并倒卖给电信诈骗分子,最后造成徐玉玉不幸离世的悲剧。就是因为犯罪嫌疑人杜某某4月利用安全漏洞侵入“山东省2016高考网上报名信息系统”网站,下载了60多万条高考考生信息,高考结束后网上非法出售,总计获取赃款5万多元。互联网经济时代,网络安全非常重要,各种危害给个人和企业带来的破坏性非常大,不仅造成重大信息数据泄露,还会带来重大的财产损失,影响社会的稳定。个人、企业和网络服务商都应强化安全意识,重视安全防范措施。
(二)安全可靠的防火墙及杀毒软件
互联网经济时代,网络安全最为重要的保障措施就是安装防火墙,及时更新杀毒软件。防火墙是最为重要的控制手段,能够有效控制网络之间的信息数据访问,将各种危害挡在坚固的墙外。杀毒软件是现阶段最为常用也是最为有效的技术应用手段,做好基本保护的同时,及时做好各种应用扫描和拦截,对一些网络病毒进行及时查杀,能够很好地保护个人电脑系统安全。企业应该采购更高级别的企业级杀毒软件,对企业电脑、系统网络进行更高级别的保护,防止木马植入,狙击黑客攻击。
(三)构建高水平网络监管队伍
互联网经济时代,网络安全不仅是个人和企业行为,更应该是国家行为。关系国家的经济安全,涉及各方面的经济犯罪和刑事犯罪,国家应从经济发展、社会稳定和国家安全层面考虑,做好网络安全的监管和防范工作。精选高素质的精干业务人员,组建一支专业化的网络安全管理队伍,能够适时关注网络安全,及时做好预警和防范,打击各种网络侵权和犯罪行为,营造一个安全稳定的网络环境。依靠先进的计算机应用和网络技术,做好入侵检测和网络架空,通过网络通信技术、统计技术、推理技术等,提前预判计算机系统和网络受到入侵。总之,互联网经济实体在充分利用计算机网络不断降低成本、拓展业务、开拓市场的同时,还需要做好各种防范措施,保护自身的网站不受攻击,能够稳定运行,保护企业的核心机密不被泄露。电子商务平台在做好基础服务的同时,为商家提供更多的安全保障,保护信息不被泄露,保障资金安全,推动我国互联网经济不断发展状况。
参考文献:
[1]陈泽楷.关于计算机网络安全隐患与防范策略的探究[J].无线互联科技,2014(01).
[2]王盼盼.计算机网络安全隐患分析及其防范措施的探讨[J].计算机光盘软件与应用,2013(01).
[3]张彦.企业网络运行的安全问题及防范措施[J].中小企业管理与科技(中旬刊),2014(11).
[关键词] 协议风险分析 协议风险计算
一、引言
当前计算机网络广泛使用的是TCP/IP协议族,此协议设计的前提是网络是可信的,网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性,而且协议也是软件,它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的,而信息的传输是依靠协议来实现的,所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
网络安全的任务就是要保障网络的基本功能,实现各种安全需求。网络安全需求主要体现在协议安全需求,协议安全服务对协议提出了安全需求。为满足协议安全需求,就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险,协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险,从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险,满足协议安全需求,实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的,它不可能是全方位的,而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的,通常所说的没有风险的安全是相对的,这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后,网络安全中与协议安全相关地各项因素之间的关系如图1。
三、网络协议风险综合计算模型――多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。
四、协议风险评估流程
按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。
五、总结
为了规避风险,网络安全管理人员必须制定合适的安全策略,风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估,为网络管理人员更好地制定安全策略提供了强有力的支持。
参考文献:
[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]. Cambridge University Press, 2001
[2]Peltier T R. Information Security Risk Analysis[M]. Auerbach Publishtions, 2001
[3]郭仲伟:风险分析与决策[M].机械工业出版社,1992
关键词:计算机 网络 安全技术 网络防攻击
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)04-0000-00
在计算机网络的快速发展下,网络安全防护技术也逐渐得以发展。网络是一个比较开放化的平台,它在给用户提供了海量的资源和信息的同时,也伴随着一定的安全威胁。要想改变这种威胁的状态,就一定要重视起网络安全技术和网络攻击防范策略的研究,以便于能真正的提出有益措施。下面将对计算机网络安全技术与网络攻击防范策略进行详细的讨论。
1计算机网络安全现状及其重要性
计算机网络安全问题近年来越来越受到人们的关注。计算机网络安全事实上是一种信息安全的引申意义,也就是对计算机当中的一些内容和资源等进行保护,保证其不受到外部的影响。当中主要进行保护的内容可以划分为两个不同的部分,一是对于计算机系统上的安全保护,避免资料泄露,二是进行网络信息安全保护,主要通过加密或者其他的方式来进行权限设置,避免计算机受到病毒的侵扰。计算机的使用范围十分大,当中涉及到的内容也比较广泛,一旦安全方面受到了侵扰,那么所造成的损失也将是巨大的。
当前社会中人们正处于一个开放性的网络社会当中,人们能够利用计算机网络来进行各种工作,但在黑客等方面仍然难以避免,这种威胁的到来不仅会对计算机网络数据造成影响,更加会影响到使用者的直接利益。因此,当前阶段积极的采取措施进行计算机网络安全保护是十分有必要的。
2 计算机网络安全问题
2.1病毒和恶意程序
计算机病毒是一种通过语言代码形式进入到计算机网当中的病毒,其攻击性比较强,传播速度也比较快,对于计算机网络系统和数据的安全性能够造成十分严重的影响。当前我们所使用的计算机杀毒软件并不能将这种病毒完全的进行清除,但我们可以采取措施在病毒侵袭之前进行预防。计算机网络安全隐患可以分为两种,一是人为方面的影响因素[1]。在使用计算机的过程中人所起到的是主导性作用,很多的不法分子会利用先进技术来进行网络窃听或者资料盗取,这种人为的恶意行为将严重的影响到计算机网络的安全运行,最终导致计算机病毒出现并开始传播。二是技术防护方面的影响因素。计算机的病毒传播模式十分的广泛,同时速度较快,要想提升计算机安全防护能力,专业人员一定要在个人素质和能力上不断加强,并了解到病毒的特点和问题的根本所在。只有在此基础上才能找到最终的解决措施。但由于技术上的缺失常常会导致计算机病毒传播难以控制。
2.2系统安全问题
计算机的操作系统中经常会出现安全隐患问题。计算机的操作系统主要是用来进行文件的传输,因此在安装的过程中,都会在程序中存在着一些可执行文件。这当中就会包含一定的不安全因素,如果操作系统中出现安全问题,就会导致使用中出现安装等方面的问题。
2.3垃圾文件
在当前的社会环境中,办公自动化已经成为了工作中最常见的现象。电子邮件的使用是进行文件传输的重要手段,但在进行使用的过程中也难以避免垃圾文件的出现和病毒文件的出现。黑客利用邮件方式来进行计算机网络攻击在当前已经成为了一种重要的方式,这不仅会给网络的营销环境造成影响,更重要的是会给网购的用户造成信誉损失,最终影响电子商务的健康发展[2]。
3计算机网络安全技术与网络攻击防范策略
3.1应用防火墙技术
防火墙技术的应用在当前是一种重要的安全防护措施。它可以用来进行网络的监控,并以系统保护屏障的形式来进行计算机的保护,以此来实现网络资源安全保障。在网络通信当中,利用防火墙技术能够直接的控制访问者,并利用密钥等形式来组织不法分子的进入,从而提升安全性。
3.2病毒防范
要想彻底的清除网络病毒,需要采取适当的病毒防范措施,并利用有效的防病毒软件来进行保护。同时还需要重视起计算机网络系统的安全保护工作。在用户进行访问的时候首先对其进行病毒扫描和查杀,在确认没有病毒的情况下才能进行资料保存。在此基础上还需要对所保存的信息进行严格的安全管理,严格控制盗版等问题出现,保证网络运行环境的健康和安全。
3.3身份认证
近年来用户相关信息被黑客盗取的现象越来越明显,这对用户的信息安全将造成严重的影响。面对这样的问题,很多用户已经开始重视起身份认证[3]。在身份认证技术上,最为重要的内容是通过对用户的合法身份进行授权控制,来提升安全保护性。只有当用户的身份受到了保障,才能更进一步的维护网络系统的安全。
3.4信息加密技术
信息加密技术指的是利用数据二次加密方式来对数据进行保护,让黑客无法获得真实的信息数据。对数据的加密处理能够防止数据在存储过程中被人用非法的手段进行修改,并准确无误的到达目的地。当前数据加密技术已经得到了社会各界的认可,是一种十分值得推广的安全防护措施。
4结语
网络安全当中涉及到的内容十分广泛,当前阶段要想保证计算机网络安全,就需要从多方面入手,建立防火墙、对信息加密等措施需要全面实施。总之,计算机网络安全防护是一项系统化工程,不能单纯的依靠防火墙措施,而是应根据实际需要来全面考虑,最终将合适的技术进行应用,促使网络安全得到更进一步的保障。
参考文献
[1]丰丹.计算机网络安全问题及对策分析[J].才智,2016,(02):55-56.
[2]吴尚.我国计算机网络安全的发展与趋势分析[J].电子技术与软件工程,2015,(24):40-49.
[3]初征.计算机网络安全与防范对策[J].数字技术与应用,2015,(12):60-62.
关键词:企业;网络安全;防护
中图分类号:TP393.08
随着计算机和网络技术的高速发展,网络已经成为人们生活和工作当中必不可少的一部分。大中型企业信息化建设随着网络系统的快速发展也在日新月异,网络和信息化已经融入到企业的生产和管理当中,对企业的正常运转越来越重要。随着大中型企业网络和信息化业务系统的日益增多,遭受网络安全威胁与攻击的可能性也大大增加,一旦遭受攻击导致网络和信息化系统服务异常,影响到生产的话,将会给企业造成极大的经济损失和社会负面影响。
1 企业网络安全防护的重要性和建设目标
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。网络安全的主要特性为:保密性、完整性、可用性、可控性和可审查行。
企业的网络与信息化系统应用的越多,企业对网络的依赖度就更高,目前大中型企业提高信息化发展水平已经是一种趋势,信息化的发展必然面临各种网络安全威胁,若不采取相应措施保护企业网络和信息化系统安全,则企业的网络和信息化系统将随时遭受攻击而瘫痪或崩溃,影响企业的生产秩序。
大中型企业网络所面临的严峻安全形势,使得各企业必须意识到构建完备安全体系的重要性。随着网络攻击的多样化,企业不能只针对单一方面进行网络安全防护,应该从整理着眼,建立完整的网络安全防护体系。完整的安全体系建设不仅要能有效抵御外网攻击,而且要能防范可能来自内部的攻击、入侵和泄密等威胁。
2 企业网络安全的隐患与危害
2.1 计算机病毒
计算机病毒出现的初期,其危害主要为删除文件数据、格式化硬盘等,但随着计算机应用和互联网技术的发展,计算机病毒通过网络进行疯狂传播,大量消耗网络资源,使企业甚至互联网网络瘫痪。
计算机病毒造成的最大破坏,不是技术方面的,而是社会方面的。计算机感染病毒后导致计算机的使用率减低,甚至导致企业、银行等关键信息泄露,造成社会声誉损失和商业风险。
2.2 黑客威胁和攻击
计算机信息网络上的黑客攻击事件越演越剧烈,目前以非法牟利为目的的黑客产业链已经成为新的暴力产业,黑客通过网络非法入侵计算机信息系统,肆意窃取信息系统里面存储的用户信息和关键数据等,给信息系统所有者和用户带来无法估计的损失。
2.3 内部威胁和攻击
企业在管理内部人员上网时,由于对内部威胁认识不足,所以没有采取全面的安全防范措施,导致内部网络安全事故逐年上升。机器都是人进行操作的,由于懒惰、粗心大意或者对设备的使用和业务不太熟练等原因,都有可能造成数据的损坏和丢失,或者企业机密信息泄露。另外还有一些企业员工,为了一己私利对企业的计算机网络系统进行攻击和破坏。不管是有意的还是偶然的,内部威胁都是一个最大的安全威胁,而且是一个很难解决的威胁。
2.4 系统漏洞
许多网络系统和应用信息系统都存在着这样那样的漏洞,这些漏洞可能是网络建设考虑不全和系统本身所有的。另外,在企业信息化应用系统建设时,由于技术方面的不足或者为了远程维护的方面导致应用系统在开发过程中存在漏洞或后门,一旦这种漏洞或后门被恶意利用,将会造成非常大的威胁。
3 企业网络安全的技术防护措施
完整的网络安全防护体系,必须具体综合的防护技术,对攻击、病毒、访问控制等全面防御,目前企业网络安全防护技术主要有以下几种:
3.1 防火墙隔离
防火墙提供如下功能:访问控制、数据包过滤、流量分析和监控、拦截阻断非法数据连接、限制IP连接数等。此外通过防火墙将内网、外网和DMZ(非军事区)区划分不同的等级域,限制各域之间的相互访问,达到保护内网和公共服务站点安全的目的;
3.2 VPN安全访问系统
VPN(虚拟专用网络)是在公用网络上建立专用网络的技术。VPN属于一种安全的远程访问技术,通过在公网上建立一个私有的隧道,利用加密技术对数据进行加密,保证数据的私有性和安全性。
3.3 入侵检测系统与入侵防御系统
入侵检测系统(Intrusion Detection System)是一种对网络传输进行即时监视,在发现可疑传输时发出警报网络安全设备。入侵检测系统通过对来自外部网和内部的各种行为的实时检测,及时发现未授权或异常现象以及各种可能的攻击企图,并记录有关事件,以便网管员及时采取防范措施,为事后分析提供依据。入侵检测系统采用旁路部署模式,将网络的关键路径上的数据流进行镜像和收集分析。
入侵防御系统(Intrusion Prevention System)是一种在线部署到网络关键路径上的产品,通过对流经该关键路径上的网络数据流进行2-7层的深度分析,能精确、实时的识别、阻断、限制各类网络攻击和泛洪攻击,进行主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断。
【关键词】计算机网络 网络安全 对策措施
一、网络安全概述
(一)网络安全的含义
网络安全指通过采用各种技术和管理措施保护网络数据,使网络系统能够正常地运行,网络服务不中断。网络安全是一个系统的的概念,包含网络设备安全、网络信息安全、网络软件安全等几个方面[1]。攻击网络安全的目的主要有两种:一是网络来攻击商业竞争对手企业,造成网络企业无法正常运营;二是通过通过入侵网络达到窃取敏感信息。网络安全就是为了防范商业竞争攻击和信息盗窃所采取的措施。
(二)衡量网络安全的指标
衡量网络安全的主要指标是包括保密性、完整性、可用性。[2]
1.保密性:不能将信息泄露或供非授权用户利用的特性。从技术角度来讲,任何传输线路都有被窃听的可能,因此保密性贯穿网络安全的始终。
2.完整性:信息未经授权不能被修改、破坏和丢失的特性。对信息完整性破坏有两种因素,一是系统或软件的差错等客观因素,二是非法侵入或计算机病毒等人为因素。
3.可用性:用户可以对信息访问、存取并使用的特性。影响网络可用性的因素有两种,一是非法占用资源、切断网络通讯等人为因素;二是自然灾害、系统故障等非人为因素。
二、网络安全现状及隐患
(一)网络安全现状
随着互联网和网络应用的飞速发展,信息网络已经成为社会发展的重要保证,随之而来的网络安全问题成为了互联网发展中面临的重要课题。与此同时,网络攻击行为千变万化,新的攻击技术层出不穷,使网络安全防御更加困难。恶意攻击行为相继出现并日趋泛滥,形式主要有网上木马、恶意网站、间谍程序、网络仿冒等;以前黑客攻击行为主要是单纯的追求“荣耀感”,现在已形成获取多方面实际利益为攻击目标;手机、掌上电脑等无线终端的网络攻击行为已经相继出现并发展。[3]除此之外,网络实体由于自身抵抗外界影响能力较弱,还要经受自然因素造成的网络安全威胁,诸如水灾、火灾、地震、电磁辐射等自然力都会对网络安全造成威胁。总之,网络安全问题迫在眉睫,必须采取措施严加防范,保证网络信息系统的安全。
(二)网络安全的隐患
计算机网络中存在的安全隐患无处不在,不仅有对网络信息的威胁,网络设备和网络软件也存在严重的安全隐患。归结起来,主要包括以下几点:
1.电子信息在计算机上存储、传输和处理的过程,缺乏信息保护措施,只能依靠应用层支持的服务协议来维系的。2.e-mail的保密性难以保证,存在着被拆看和伪造的可能性,传输重要机密信息往往存在很大的风险。3.internet有开放性和无控制机构的特点,该特性容易被黑客利用,从而侵入网络中的计算机系统破坏重要数据或窃取机密数据。[4]4.计算机病毒通过internet的传播会导致数据和文件丢失,甚至网络系统瘫痪,给上网用户带来极大的危害。5.tcp/ip通信协议是internet是进行数据传输的依据,这些协议缺乏安全措施,容易在传输过程被窃取信息。6.internet上主要使用unix操作系统来支持通信业务,unix操作系统安全脆弱性问题明显存在,会直接影响安全服务。
三、计算机网络安全的对策措施
计算机网络安全主要有三个方面:系统安全、网络安全和应用服务安全。[5]这三个方面不是独立存在的,要同时保护三个方面的安全,才能保证网络的正常运行和使用。
(一) 保护系统安全
保护系统安全,是指与网络系统硬件平台、各种应用软件、操作系统等相互关联,从网络支付系统或整体电子商务系统的角度进行安全防护的措施。保护系统安全的主要措施如下:1.检测并跟踪入侵攻击,建立详细的安全审计日志。2.在安装软件时,检查和确认未知的安全漏洞。3.管理与技术有效结合,将系统的风险性降到最低。如在连通时须通过诸多认证,严格审计所有接入数据,严格安全管理系统用户。
(二)保护网络安全
网络安全的概念是保护商务各方网
络端系统之间通信过程的安全。[6]保护网络安全通常包括以下措施:
1.全面制定网络安全的管理措施。2.规划网络平台的安全策略。3.对网络设备进行物理保护。4.使用防火墙。5.建立可靠的鉴别和识别机制。6.对网络平台系统的脆弱性进行检验。7.网络上的一切活动都要进行记录。
(三)保护应用安全
保护应用安全主要是针对特定应用所建立的安全防护措施,应用安全保护范围主要包括访问控制、数据完整性、安全认证、web安全性、edi和网络支付等。[7]
保护应用安全独立于网络的任何其他安全防护措施,它的独立性表现在,虽然有些防护措施可能是网络安全业务的一种重叠或替代,但大部分的应用还有特定的安全要求,因此应用系统采取各种安全措施时,不能完全依靠网络层而更倾向于在应用层。
四、结语
总之,计算机网络中存储和传递着大量的重要信息,若被非法篡改或窃用,就会对社会活动造成严重的影响,因此计算机网络安全必须引起广泛的重视。网络安全是一个涉及管理、技术、使用等多方面的综合性课题,没有任何一种技术是万能的,因此保护网络安全需要同时使用多种技术措施。因此,提高计算机网络安全技术水平、普及计算机网络安全教育、增强社会安全意识教育、改善网络安全现状,成为我们的当务之急。
参考文献:
[1]李良斌,王劲林,陈君. 网络服务系统可生存性分析与验证[j]. 沈阳工业大学学报.
[2]崔孝科,白雪. 当前网络环境下教师网络安全意识的研究[j]. 计算机光盘软件与应用.
[3]叶锋. 浅议计算机网络安全及其防范措施[j]. 计算机光盘软件与应用.
[4]任婕.防火墙与网络安全技术[j].考试周刊.2010(29)
[5]王子源.计算机的安全问题及应对策略[j].才智.2010(19)
【 关键词 】 OSI;数据链路层;网络攻击;防范技术
Research of Preventive Technology on Data Link Layer
Zhi Li-feng
(Agriculrural Bank Of China Jilin Branch Business Department Jilin 130000)
【 Abstract 】 With the society constantly information-making and networking, network security is becoming increasingly severe. This paper makes an analysis on the common and main attacks on data link layer of the OSI network reference model, and proposes preventive measures accordingly.
【 Keywords 】 OSI; data link layer; network attacks; preventive technology
0 引言
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨的攻击,从而给企业甚至政府机构造成巨大损失。所以,网上信息的安全和保密是一个至关重要的问题。本文针对二层网络上的重要的安全隐患进行了探讨和预防。
OSI网络模型采用的分层的网络模型,如图1,它允许在不同的层次上进行不同的网络活动,而且在每一层所应用的协议及其规范都是不同的,这就使得OSI的网络模型每一层几乎都是一个相对独立的整体,数据在网络中的完整传输过程需要这七层同时协调工作才能够完成,整个数据传输过程也就是一个封装和解封装的过程。
网络模型中处于底部的分层对高层的影响:在OSI网络参考模型中,要实现一个完整的数据通信,是靠每一层相互之间的协作来完成的,并不是通过某一层独立完成的,但是各层的工作都是相互独立的,并不受其它层的影响,处于低层的网络只是向高层的提供服务,某一层出现其他问题其余的分层都不知道。也就是说当网络中的某一层被攻击了,其余的分层并不知道。在网络模型中最容易受到攻击的是处于低层的网络,也就是第二层数据链路层。网络安全尤其是低层的网络安全问题对公司所造成的损失是巨大的。 此外,并不是只有少部分的人可以对网络造成威胁。现在有很多的应用攻击软件,其操作难度很低,只要能够对计算机进行基本操作即可使用,这个问题也说明了网络安全问题所面临的形势非常严峻。
本文主要介绍了几种在数据链路层上使用的攻击及其防御技术,通过这些防范措施,可以使数据链路层的安全性得到很大的提升,下面逐一介绍存在于数据链路层上的攻击及其防范措施。
1 主要的攻击方法
1.1 VLAN的跳跃攻击
VLAN的跳跃攻击利用了 IEEE802.1Q的封装漏洞,同时在以太网帧中加入了两个TAG字段,第一个TAG字段是虚假的,第二个TAG字段才是真正的目的VLAN,其具体的工作过程如图2。
如图2所示,VLAN的跳跃攻击共分为5个步骤:1) 攻击者通过协商并获取Trunk信息;2) 攻击者向攻击目标发送双Tag帧;3) 交换机A处理第一个虚假的Tag,并将其发往下一跳交换机B;4) 接着交换机B处理真正的Tag;5) 最终攻击者将攻击包Data发送到希望的目标主机。
1.2 MAC地址攻击
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满后,流量以泛洪方式发送到所有接口,这时攻击者可以利用各种嗅探攻击获取网络信息。同时,trunk接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
MAC地址攻击的方式是以MAC地址的泛洪来攻击网络中的交换机,使交换机的MAC地址表来不及存储有效的MAC地址,这样交换机就会把没有存储进去的MAC地址以广播的形式通告出去,这时攻击者就可以轻松的获得这个网络中的所有MAC地址。其攻击主要基于几点:1) 二层交换机是基于MAC地址来转发数据帧的;2) 转发过程中依靠对CAM表的查询来确定正确的转发接口;3) 一旦在查询过程中无法找到相关的MAC对应条目,此数据帧将作为广播帧来处理;4) CAM表的容量有限,只能存储不多的条目,当CAM表记录的 MAC地址到达上限后,新的条目将不会被添加到CAM表中。
基于以上原理,网络会产生一个有趣而且危险的现象,假如某台PC不断发送去往某未知目的地的数据帧,而且每个包的源MAC地址都不同,当这样的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满,那么CAM表会被这些伪造的MAC地址占据,而真实的MAC地址条目却无法写入CAM表,那么任何一个经过交换机的正常的单播数据帧都会以广播的形式来处理,这时整个网络的MAC地址就有很大的安全威胁。