时间:2023-09-19 16:31:05
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇保护网络安全的措施,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[关键词]计算机 网络安全 防范技术
一、计算机网络安全的含义
国际标准化组织(ISO)对计算机系统安全的定义是:为系统数据处理建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
二、计算机网络安全的特征
网络安全应该具有以下四个方面的特征:
1.保密性:信息不泄露给非授权用户、实体、过程或供其利用的特性;
2.完整性:数据未经授权不能进行改变的特性,及信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;
3.可用性:可被授权实体访问并按需求使用的特性,即当需要时能否存取所需的信息;
4.可控性:对信息的传播及内容具有控制能力。
三、影响计算机网络安全的因素
1.无意的威胁――人为操作错误(如使用不当、安全意识差等)、设备故障、自然灾害(意外事故)等不以人的意志为转移的事件。
2.有意的威胁――黑客行为(由于黑客入侵或侵扰,造成非法访问、拒绝服务、计算机病毒、非法链接等)、垃圾邮件和间谍软件、信息战的严重威胁、计算机犯罪等人为的破坏。
四、网络安全防护措施
目前广泛运用和比较成熟的网络安全技术主要有:漏洞扫描技术、防火墙技术、信息加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
1.漏洞扫描技术
漏洞扫描技术也就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。漏洞扫描是保证系统和网络安全必不可少的手段。
2.防火墙技术
防火墙技术是一种允许接入外部网络,但同时又能够识别和抵抗非授权访问的网络安全技术,用来防止非法用户和数据进出的一种安全防范措施,是在被保护网络和其他网络之间限制访问的一种设备。它的核心技术就是包过滤,大部分路由器都有这个功能,它可针对各种应用单独设置,使用灵活,适用于互联网。但是它存在着安全性较低;适用范围窄;过滤规则是静态的,过滤规则的维护、测试相当复杂;无法进行强电子数字签名和强身份鉴别等缺点。
3.信息加密技术
信息加密技术是保障信息安全的最基本、最核心的技术措施和理论基础。数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破译而采用的主要技术手段之一。它的基本思想是伪装明文以隐藏真实内容。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端一端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.入侵检测技术
入侵检测技术又称为IDS(Intrusion Detection svstem),是近几年出现的新型网络安全技术,目的是提供实时的入侵检测以及采取相应的防护手段。它是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后,立即采取有效措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术两种。
5.防病毒技术
网络防病毒技术是网络应用系统设计中必须解决的问题之一。病毒在网上的传播极其迅速,且危害极大。并且在多任务、多用户、多线程的网络系统工作环境下,病毒的传播具有相当的随机性,从而大大增加了网络防杀病毒的难度。目前最为有效的防治办法是购买商业化的病毒防御解决方案及其服务,采用技术上和管理上的措施。要求做到对整个网络集中进行病毒防范、统一管理,防病毒产品的升级要做到无需人工干预,在预定时间自动从网站下载最新的升级文件,并自动分发到局域网中所有安装防病毒软件的机器上。
6.加强网络安全的人为管理
在强调技术解决信息网络安全的同时,还必须花大力气加强对使用网络的人员的管理。要注意管理方式和实现方法,因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全所必须考虑的基本问题。所以,要采取切实可行的方法,加强管理,立章建制,增强内部人员的安全防范意识。例如:
(1)对一些重要设备(如主机、服务器等)要独立存放,并严格控制出入其中的人员,还要尽可能的给这些设备增加备份,以防不测发生。
(2)加强计算机操作人员的安全防范意识,不随意下载、安装不明软件。
(3)定时对杀毒软件、防火墙软件升级,谨慎使用他人的存储介质。
(4)限定网络用户的权限。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,有权访问某些目录、子目录、文件和其他资源,可以对这些文件、目录、设备执行指定操作。根据访问权限可将用户分为以下几类:
特殊用户:即系统管理员;
―般用户:系统管理员根据他们的实际需要为他们分配操作权限;
审计用户:负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
7.数据备份
关键词:网络安全隐患防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)03-0000-00
Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。因此计算机的安全行也就成了人们讨论的主要话题之一,计算机安全主要研究的是病毒的防治和系统的安全。计算机不仅要防治病毒的入侵,更要提高自身系统抵抗外来黑客的入侵能力,同时还有提高远程数据的传输保密性,避免在传输中遭到不法程序的窃取。
1、计算机网络安全隐患分析
互联网的快速发展,计算机网络的资源共享在世界范围内进一步的加强,但网络传播安全也随之而来。互联网的安全面临着重大的挑战,资源共享必然面临着信息的安全,是一对不可调和的矛盾,在公共开放的网络环境中,大量的信息流动,这就成为不法分子攻击的目标。不法分子选择不同的攻击手段,以获得访问权限或者在网中的流动信息中窃取敏感信息,成功的闯入个人用户或者政府机关的计算机系统,以此来进行对用户数据的窥视、窃取、篡改。网络安全最为主要的特点就是不受时间、地点、条件限制,而犯罪的“低成本和高收入”又在一定程度上刺激了网络安全犯罪的增长,针对计算机信息系统的犯罪增多也是其中一个原因。
一般的理论和经验认为,计算机网络系统安全最主要的威胁主要来自黑客的攻击和计算机病毒以及拒绝服务攻击三个方面。黑客攻击早在计算机主机终端时代就已经出现,伴随着网络的发展,黑客攻击则早已经转变的方式,已经从以往的攻击系统转变为攻击网络用户。现在黑客常用的手法包括:运用网络监听软件获取上网用户的账号和密码;监听网络密匙的分配规律和过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击。目前已经知道的网络黑客的攻击手段有500种之多,因此网络安全的防护就显得尤为重要了。
2、计算机网络安全问题的防范措施
解决计算机网络安全,从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,要采用单独的组件是根本无法确保网络信息技术安全的。因此只有采用综合的网络安全手段,才能从真正意义上实现网络的安全。目前广泛运用和比较成熟的网络安全技术主要有:数据加密技术,防火墙技术,云查杀技术,防病毒技术等;就对于网络安全而言,目前比较广泛应用的网络防护措施包括:
3、网络防火墙
防火墙技术是一种隔离控制技术,它是一种预定义的网络安全策略,通过内外网通信强制实施控制访问。常用的防火墙技术分为包过滤技术、用网关技术、状态检测技术。包过滤技在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包。根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过,状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待。构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
4、数据加密技术
数据加密技术对于控制用户的访问控制比较灵活,因此更加适用于开放的网络系统。网络用户的授权访问主要是为了保护其静态信息,通过系统级别的支持平台,在操作系统中实现访问。数据的加密主要是用于对网络用户的动态访问信息的保护,而一般来说动态数据的攻击分为主动攻击和被动攻击,主动给攻击不能避免但可以预防检测;但被动攻击一般是无法检测的,避免其受到攻击的最好办法就是数据加密。
5、安全管理队伍的建设能有效的保护网络安全
总所周知的是,计算机网络系统中绝对安全是不存在的。要减小网络安全隐患,就必须建立和制定一套健全的安全管理体制,才能最大限度的保障计算机网络的安全运行,同时还有网络管理人员和广大的网络用户一起努力,使用诸如杀毒软件和一切的技术和工具来减小网络安全危害。同时要加大力度对付一起暴利的网络非法行为,尽可能的不安全因素控制在最小范围。同时,要不断强化计算机网络的安全规范化管理力度,加大网络安全技术的建设;大力宣传网络使用安全,强化网络资源的使用者和管理者的安全意识。还有一点值得注意的就是,网络用户使用的IP地址也是网络安全的一个重要部分,只有对本网络内的IP地址进行统一的管理、统一的分配,才能起到有效的保护网络安全。
6、结语
总之,网络安全是个综合性的问题,网络安全所涉及到的技术、管理和使用的许多方面。计算机信息系统本身的安全是一个复杂的问题,一种技术职能解决一个问题,所以要达到网络安全的全面升级不仅需要建立一个特色的网络安全,还需要国家政策和法规的支持。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献
[1] 于臻,魏景新,冉小英.我国网络信息安全的现状调查与解决方案[J].华北科技学院学报,2006年01期.
[2] 张旭珍,薛鹏骞,叶瑜.网络信息安全与防范技术[J].华北科技学院学报,2006.
[3] 程冉,皮德常.入侵检测技术的研究[J].科技广场,2005.
关键词:黑客 防火墙 网络安全策略
1、网络威胁现状
1.1 人为的无意失误
人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
1.2 为的恶意失误
人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3 黑客(hacker)
源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
黑客攻击的目的:
取目标系统的非法访问---获得不该获得的访问权限b、获取所需资料---获得黑客想要获得的相关资料,包括科技情报、个人资料、金融帐户、技术成果、系统信息等等c、篡改有关数据---篡改以上资料,达到非法目的d、利用有关资源---利用这台机器的资源对其它目标进行攻击,虚假信息,占用存储空间黑客攻击的方式:远程攻击---远程攻击指外部黑客通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。远程攻击的时间一般发生在目标系统当地时间的晚上或者凌晨时分,远程攻击发起者一般不会用自己的机器直接发动攻击,而是通过跳板的方式,对目标进行迂回攻击,以迷惑系统管理员,防止暴露真实身份。
1.4 网络软件的漏洞和“后门
无论多么优秀的网络软件,都可能存在这样那样的缺陷和漏洞,而那些水平较高的黑客就将这些漏洞和缺陷作为网络攻击的首选目标。在曾经出现过的黑客攻击事件中,大部分都是因为软件安全措施不完善所招致的苦果。一般,软件的“后门”都是软件公司的设计和编程人员为了为方便设计而设置的,很少为外人所知。不过,一旦“后门”公开或被发现,其后果将不堪设想。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
2、网络安全的技术和措施
2.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2 访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
2.3 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
2.4 网络安全管理策略
所谓网络安全管理策略是指一个网络中关于安全问题采取的原则,对安全使用的要求,以及如何保护网络的安全运行。
制定网络安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是被禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的”。对于网络安全策略,一般采用第一种原则,来加强对网络安全的限制。对于少数公开的试验性网络可能会采用第二种较宽松的原则,这种情况下一般不把安全问题作为网络的一个重要问题来处理。
网络安全策略还应说明网络使用的类型限制。定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。但一般的网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破环系统安全的行为都是禁止的。具体涉及到如下类似的一些问题:
(1)如果用户碰巧发现他对一个不属于他的文件具有写权限,是否允许用户修改该文件?
(2)是否允许用户共享帐号?
一般网络安全策略对上述问题的回答都是否定的。
在大型网络的安全管理中,还要确定是否要为特殊情况制定安全策略。例如是否允许某些组织如CERT安全组来试图寻找你的系统的安全弱点。对于此问题,对来自网络本身之外的请求,一般回答是否定的。
网络安全对策最终一定是要送至网络的每一个使用者手中。对付安全问题最有效的手段是教育,提高每个使用者的安全意识,从而提高整体网络的安全免疫力。网络安全策略作为向所有使用者发放的手册,应注明其解释权归属何方,以免出现不必要的争端。
参考文献
[1]齐德显,胡铮.网络与信息资源管理[M].北京:北京兵器工业出版社,北京:北京希望电子出版社,2005.
1.1网络存储技术安全
对于一个企业来说,网络存储数据的安全性是极其重要的一个工作内容,一旦重要的数据被损坏或者丢失,便会对企业日常生产、运作造成重大的影响,甚至是会产生无法估计和难以弥补的损失,故计算机系统不是永远可靠的,单单依靠双机热备份、磁盘阵列、磁盘镜像、数据库软件的自动复制等备份功能已经远远解决不了网络安全的问题,所以,计算机网络需要有完整的数据存储模式。目前的存储模式有直接连接存储模式(DirectAttachedStorage,DAS)、网络存储模式(NetworkAttachedStorage,NAS)、存储区域网络(StorageAreaNetwork,SAN)。
1.2网络规划、设计及实施安全
在网络规划、设计及实施方面侧重于网络安全性的方案选取,包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密等等方面,充分发挥网络安全性的原则。
2网络安全管理策略
在计算机网络系统中,绝对的安全是不存在的,制定健全的网络安全管理策略是计算机网络安全的重要保证,只有通过网络管理人员、与企业相关的、及网络使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小、降低以及避免一切非法的网络行为,尽可能地把不安全的因素降到最低。
2.1网络安全管理策略的可变性
网络安全策略并不是一成不变的,它具有可变的特性。一方面,由于企业或者单位组织内部结构、组织方式的不断变化,相关业务和数据类型和分布的更新也不断地发生着变化;另一方面:从网络安全技术的角度讲,攻击者的攻击方式、防止攻击的措施也在不断地升级和改进,所以,安全策略是一个变化性的策略,必须要和网络当前的状态相适应。
2.2网络安全策略的核心内容
网络安全策略的核心内容有:定方案、定岗、定位、定员、定目标、定制度、定工作流程(方岗位员目制流),也就是我们通常所说的“七定”。
2.3网络安全策略的设计与实施步骤
(1)确定网络安全需求,确定网络安全需求的范围,评估面临的网络风险;
(2)制订可实现的网络安全策略目标;
(3)制订网络安全策略规划:制定本地网络安全规划、远程网络安全规划、Internet网络安全规划等规划内容;
(4)制订网络安全系统的日常维护计划。
3网络安全防御与改善措施
3.1网络安全防范管理
做好网络安全防范计划于与策略,对网络安全进行防范控制盒管理,提高网络自身稳定性、可靠性,要有较高的警惕安全的意识,从而,能够抵御较大的网络安全风险。网络安全防范措施可以有:
(1)国家信息安全漏洞共享平台;
(2)反网络病毒联盟组织。
3.2建立良好的网络安全机制
目前,常用的安全机制有身份验证、授权、数据加密、密钥加密和数字签名、数据包过滤、防火墙、入侵监测系统、物理安全等。在此,我们重点介绍数据加密、入侵检测系统和防火墙技术。
(1)数据加密:该技术更好的实现了信息的保密性,确保了信息在传输及存储过程中不会被其他人获取,它是一种十分有效的网络安全技术措施。因此,为了保障数据的存储和传输安全,需要对一些重要数据进行加密。
(2)入侵检测系统:在系统检测或者可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的行为。入侵检测系统是一种主动保护网络免受攻击的安全技术,从而简化网络管理员的工作,保护网络安全的运行。
(3)防火墙技术:建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,外部网络(通常是Internet,互联网)被认为是不安全和不可信赖的。防火墙技术是一种被动网络安全技术,是目前应用最多的一种网络安全技术,但是,防火墙技术有它的局限性,它假设了网络边界和服务,导致对内部的非法访问难以有效的进行控制。
3.3引入网络安全审计系统
关键词:网络;安全
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。
计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。
一、物理安全策略和访问控制策略
1、物理安全策略
制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。
2、访问控制策略
访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。
(1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。
(2)网络的权限控制
网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
(3)目录级安全控制
网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。
(4)属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。
(5)网络服务器安全控制
计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
计算机网络管理员对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
(7)网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。
(8)防火墙控制
防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。
二、信息加密策略
信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。
三、网络安全管理策略
网络安全管理策略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。
四、计算机网络物理安全管理
涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。
防火墙是确保网络安全的有效手段,其基本功能如下:
(1)过滤网络中的不安全要素,只让授权的服务和协议进入内部网络。
(2)如果子网络的大部分或者全部需要修改的软件能够集中地放在防火墙的系统之中,而并非分散到各个主机中,这样其保护作用将会集中一些。
(3)防火墙为用户提供制定网络安全以及执行这些策略的有效手段。
(4)使用防火墙技术的网络站点可以有效防止finger和DNS域名,也可以封锁域名中的服务信息。
(5)防火墙能够对企业的内部网进行集中的安全网络管理,不用在内部网各个计算机设备上分别设立相应的安全策略。
(6)提供其他的安全控制服务,各个组织机构能够根据自身特殊要求配置独特的防火墙技术和服务。
2防火墙技术的缺陷
防火墙技术也并非完美无缺,它同样存在着一些缺陷。
(1)限制了网络服务。防火墙为了最大限度提高网络安全性,对一些存在着一些安全隐患的服务进行关闭或者限制措施,这让具有实用价值但是在设计过程中为充分考虑到网络的安全性的一些网络服务不能得到有效使用。
(2)不能抵御绕过防火墙系统的攻击。不分用户认为需要进行认证的服务器很麻烦,因而尝试跳过防火墙所提供的安全服务直接进行连接,这给后门攻击创造了很大的机会,不利于个人网络的安全,网络用户应该杜绝这种不安全的连接。
(3)无法防御内网用户的攻击。防火墙作为网络安全系统的重要组成部分,但也并不是全部。防火墙系统不可能为用户解决一切安全问题。相反,它只能保护网络边沿,而并不能有效防止网络内部的一些攻击,防火墙技术与内网用户来讲形同虚设。
(4)不能预防新产生的网络安全问题。防火墙技术是被动的网络安全手段,只能对其已知的攻击产生作用,而对于一些不短翻新和变化的安全问题,唯有不断地改进防火墙技术、提高安全防护的水平,如制定相应的法规、提高安全意识、对信息进行加密等措施,才能切实保护网络安全。
3防火墙技术未来的发展趋势
防火墙技术变化和发展速度惊人,它将顺应着更易于管理、集成全新的信息安全防护技术、和更加便于推广和应用的趋势发展,具体来讲,防火墙的未来发展趋势如下:
(1)防火墙对用户网络流量的损耗和影响将会降到最低。
(2)将增强检测以及预警的功能,完善网络安全所谓管理工具,尤其是针对一些可疑进程的日志进行分析的工具。
(3)过滤的功能将会不断加强,从技术层面来讲更加具有综合性,结合了网关技术以及过滤技术,而且将采用对数据进行加密的技术和对身份验证加以强化的技术等控制访问的措施。
(4)现在的防火墙技术采用的是静态的安全策略,当网络安全受到威胁时,静态的防火墙技术经常束手无策,而未来的防火墙技术精能够根据动态的网络威胁,进行自主的学习,这将是防火墙发展的一种趋势。
(5)想在的防火墙技术产品多种多样,在网络安全维护方面都发挥着突出作用,当下的防火墙技术有一种多功能化设计的趋势。防火墙技术不断发展,并且一直在创新,这种良好的发展趋势将会一直持续下去。同时,防火墙技术的管理功能也会在未来的不断发展中得到强化。
4结束语
关键词:网络安全威胁技术
0引言
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。一影响计算机网络安全的因素很多,有人为因素,也有自然因素,其中人为因素的危害最大。
1计算机网络的安全策略
1.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击验证用户的身份和使用权限、防止用户越权操作确保计算机系统有一个良好的电磁兼容工作环境建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
1.2访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
1.3信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全端-端加密的目的是对源端用户到目的端用户的数据提供保护节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
1.4网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围制订有关网络操作使用规程和人员出入机房管理制度制定网络系统的维护制度和应急措施等。
2常用的网络安全技术
由于网络所带来的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今,快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。
2.1网络加密技术网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全端点加密的目的是对源端用户到目的端用户的数据提供加密保护节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件(或病毒)的有效方法之一。
2.2防火墙技术防火墙(Firewall)是用一个或一组网络设备(计算机系统或路由器等),在两个或多个网络间加强访问控制,以保护一个网络不受来自另一个网络攻击的安全技术。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),它是一种非常有效的网络安全技术。在Internet上,通过它来隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网,如Intranet)的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。
2.3网络地址转换技术(NAT)网络地址转换器也称为地址共享器(AddressSharer)或地址映射器,设计它的初衷是为了解决IP地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密作用,使系统的安全性提高,并且节约从ISP得到的外部IP地址。
2.4操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统对操作系统的安全配置利用安全扫描系统检查操作系统的漏洞等。
美国国防部(DOD)技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2级(例如,Unix、WindowsNT),其特征包括:①用户必须通过用户注册名和口令让系统识别②系统可以根据用户注册名决定用户访问资源的权限③系统可以对系统中发生的每一件事进行审核和记录④可以创建其他具有系统管理权限的用户。
2.5身份验证技术身份验证(Identification)是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证(或身份鉴别)。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户,如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面:信息泄露:信息被泄露或透露给某个非授权的实体;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如Web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
1计算机网络安全的基本定义
网络安全从根本上说就是在网络里信息的安全,所涉及的范围很宽广。造成这种情况的原因是,在现在的公众通信网络里存有各式各样的安全危机和漏洞,在普遍的方面说,只要和网络上信息的安全性、有效性、整体性和控制性有关联的理论和实践,它们都是网络安全进行钻研的区域,所以网络的最普遍的定义就是网络系统内部的软件、硬件和利用内部的相关数据都被保护。不被外部的其他原因影响,保护信息的安全性和网络系统的正常运行,防止有不法之人借助网络系统危害其他人,防止违法行为的产生,最根本上是保护人们人权和维护国家的根本利益。狭义上的信息安全其实就是网络里信息内容的安全性,它主要保护了网络信息的整体性、保密性和安全性,防止黑客借助网络系统的安全漏洞大做文章,对本人的信息进行盗用和冒用等行为。在根本上保护人们的隐私和利益。网络安全和被它保护的信息人员有关系,它的定义主要是借助计算机网络的密保技术和信息安全技术,维护在公众通讯中的传播交换和储存的信息的秘密性、整体性和实际性,同时针对信息的传播的控制功能上进行创新突破。
2计算机网络安全的形式与特点
2.1网络安全的形式在当代的网络时代中,网络的信息具有一定开放性,计算机网络安全一旦表示为系统稳定安全的运行,尤其是计算机的信息系统运行的安安全性,其实这就是网络安全的中心要求。影响网络安全的因素有很多。在当代网络的进步方面说,必须着重维护计算机网络的系统安全,只有这样才能保护互联网的安全,促进互联网的进步发展。
2.2网络安全的特点计算机网络安全的主要有三个特点:第一是系统化特点,是说安全制度体系化和计算机网络安全技术,比如现在针对网络安全体系的建设不迫在眉睫的,建设健全的系统形式,确保计算机能够在安全的环境下进行,并且在杂乱的网络形势下不停进行革新;第二是多样化特点,是说现在计算机的表示模式和定义的多元化,能够促进网络安全渐渐清晰的模式转变,在当代的安全机制中,基本都是按照多模式、多技术、多系统的技术来面对计算机网络的多样化;第三是杂乱化特点,当今互联网的进步让客户端网络形式逐渐变的杂乱化,网络受外部的影响比较大,这能够让网络的安全性受到冲击,所以,只有让互联网的各个方面都受到网络安全的保护,才能阻止计算机网络受到侵害,因为这样就要求我们必须不断革新网络安全机制,才能在杂乱的网络坏境中生存下来。
2.3计算机网络安全机制分析所谓的安全性机制就是操作系统的管理程序和硬件软件相关部件和两者的随意组合。这是一种信息机制的随意部件测试和组织主动和被动威胁的方式。安全和安全性机制是有关系的,所谓机制就是为了达成服务的形式。安全性机制和安全相互有联系。比如:秘密能够借助加密的通信来补充和路由操作来完成。此外,加密不仅仅可以是秘密的组成部分,它也可以是整体性和分辨性的组成部分。在各式各样的安全机制里,加密模式是最受欢迎的应用,它同时能够给予最大范围的安全性,加密机制的主要目的是预防对加密性整体性和分辨性的毁坏。所谓数字签名就是一个用在分别的主要技术,数字签名能能够用在辨别服务,同时也能够用在无拒绝服务和整体。一旦数字签名应用在没有拒绝服务的时候,他就离不开公证的帮助,公证是借助能够相信的第三者来检验信息的,从网络终端用户的角度出发,最普遍的安全性操作是借助应用口号来进行控制的,口号的表现模式是一连串数字或者符号,借助这些数字和符号来对用户的身份信息进行鉴别,在获取对信息的访问权限以前,一般都让用户说出一个口号,为了达到安全标准,口号和填写问卷的方法也很有效,也能鉴别用户的身份。
3计算机网络安全问题的应对措施
3.1信息加密与数字签名所谓信息加密技术是一个自主的信息安全防范系统,同时也保护网络信息安全正常运行的中心技术,信息加密技术的原理理论是借助正规的加密运算法。把文字转变为不能够直接获取的密码文字,针对不合法的用户获得和理解原始数据产生了有效的抑制作用,保证了数据的秘密性,将文字转变为密码形状文字的期间,我们把它叫做加密过程。把秘密形状文字转变为文字的期间我们叫做解密过程。解密过程使用的参照数我们管它叫做秘密钥匙,信息加密的技术主要是两种方式,第一种是非对称加密技术。第二种是对称加密技术。为了防止其他人对上传的文件进行损坏和明确发信人的信息,我们采用了数字签名这一模式,数字签名主要应用在电子行业,在电子行业中起着举足轻重的作用,它的特点是,不能被伪造,签字的一方不能耍赖,在公证方就可以能够检验真假。
3.2数字证书、数字摘要以及数字证书数字证书作为互联网通信里的标志性特征,它能够标志各个用户的身份信息,它是由专业机构来实行的,它属于一种证明运用这一方法能够鉴别用户的实际身份。所谓数字指纹就是应用计算函数的方来对文件进行加密处理,简单概括为一些秘密文字,这段秘密文字被称为数字摘要,它是唯一的一个和数值相对应的数值。所谓数字信封就是指信息接收端的钥匙,将一个相对的通讯钥匙进行加密处理,最终产生的数据被称为数字信封,仅仅在确定的接受方才能够用自己的钥匙打开信封,从而获取信封中的信息。
4结论
关键词:计算机网络;网络安全;网络安全技术
计算机网络,是指利用通信线路把具有独立功能的若干计算机和外部设备连接起来,通过网络操作系统,网络管理软件和网络通信协议的管理协调,达到资源共享和信息传递的计算机系统。
网络安全是指保护网络系统的硬件、软件和系统中的数据,不因外因而使系统连续可靠正常地运行遭到破坏、泄露、更改,不中断网络服务。本质上说,网络安全就是网络上的信息安全。网络安全研究领域包括网络信息的保密性、可用性、完整性、真实性及可控性的相关技术、理论。网络安全涉及到计算机科学、网络技术、密码技术、通信技术、信息安全技术、数论、应用数学、信息论等多学科。
网络安全技术的三大内容是防火墙技术、入侵检测技术以及防病毒技术。
一、网络安全及网络安全技术发展现状
计算机网络是基于网络可识别的网络协议基础上的各种网络应用的完整组合,协议本身及应用都可能发生问题,网络安全问题包括网络所使用的协议的设计问题,也包括实现协议及应用软件,还包含人为因素和系统管理失误等网络安全问题。
针对网络安全问题,网络安全商试图通过发展各种安全技术来防范,如:访问控制技术、密码技术、防火墙系统、计算机病毒防护、数据库系统安全等,陆续推出防火墙、入侵检测(IDS)、防毒软件等各类安全软件,这些措施使得网络安全问题某些问题得以解决。
发展过程中,网络安全技术已经从系统和网络基础层面的防护问题上升到应用层面的安全防护问题,安全防护已从底层或简单数据层面上升到应用层面,应用防护问题已渗透至业务行为的相关性及信息内容的语义,更多的安全技术已跟应用相结合。
近年,我国网络安全技术的发展得益于政府的广泛重视和网络安全问题日益严重,网络安全企业逐步研发最新安全技术,满足用户要求、具时代特色的安全产品逐步推出,网络安全技术的发展得以促进。
二、现有网络安全技术面临的问题
现有的网络安全技术只可解决一个或几个方面的网络安全问题,不能防范解决其他问题,更不能有效的保护整个网络系统。如身份认证及访问控制技术只能确认网络用户身份,而不能防止用户间传递信息的安全性;病毒防范技术只防病毒对网络系统的危害,网络用户的身份却无法识别和辨认。
现有的网络安全技术,防火墙可解决网络安全,但防火墙产品也有局限。现代网络环境下,防火墙就是在可信网络和不可信网络间的缓冲;也是防范由其它网络发起攻击的屏障。防火墙放行的数据安全防火墙自身是无法保证的,这是它最大的局限性。此外,内部攻击防火墙无法防御;绕过防火墙的攻击行为无法防御;完全新的威胁无法防御;数据驱动的攻击防火墙无法防御。从用户角度看,虽然系统安装了防火墙,但蠕虫泛滥、病毒传播、垃圾邮件和拒绝服务的侵扰仍无法避免。
漏报及误报严重是入侵检测技术最大的局限性,它只是个参考工具,作为安全工具则不可信赖。单个产品未经入侵检测,在提前预警方面存在先天不足,在精确定位及全局管理方面还存在很大空间。
大多用户在单机、终端上都安装了防毒软件,但内网的安全并不只是防病毒,安全策略执行、外来非法侵入、补丁管理和合规管理等方面也都是跟内网安全相关的问题。
针对单个系统、数据、软硬件和程序自身安全的保障形成的网络安全技术,就网络安全整体技术框架讲仍存在着相当的问题。应用层面的安全必须要把信息语义范畴的内容及网络虚拟世界的行为作为侧重点。
更有效的安全防范产品出现前,大多用户保护网络安全仍会选取并依靠于防火墙。但是,随着新的OS漏洞及网络层攻击不断出现,攻破防火墙、攻击网络的事件日益明显。所以,各网络安全商及用户的共都希望开发出一个更完善的网络安全防范系统,有效保护网络系统。
三、网络安全不安全主要成因
应用了网络安全技术保护的网络本该是安全的,但却存在着诸多不安全因素,究其成因,主要有几下几方面:
(一)网络建设单位、管理人员及技术人员安全防范意识匮乏,未主动的实施安全措施防范网络安全,行为上完全处于被动。
(二)组织及部门的有关人员未明确网络安全现状,对网络安全隐患认识不清,防御攻击先机人为错失。
(三)组织及部门完整的、系统化的体系结构的网络安全防范尚未形成,暴露的缺陷使攻击者有机可乘。
(四)组织及部门的计算机网络完善的管理体系尚未建立,未能充分有效地发挥安全体系及安全控制措施的效能。业务活动中的安全疏漏泄露了不必要的信息,给攻击者提供了收集敏感信息的良机。
(五)网络安全管理人员及技术人员必要的专业安全知识匮乏,不具备安全地配置管理网络的能力,已存在的或随时可能发生的安全问题未能及时被发现,未能积极、有效的反应突发安全事件。
四、网络安全技术的解决办法
实现网络安全的过程势必是复杂的。只有实施严格的管理才能使整个过程是有效的,安全控制措施有效地发挥效能才可保证,预期安全目标才可最终确保实现。所以,组织建立安全管理体系是网络安全的核心。从系统工程的角度搭建网络安全结构体系,利用管理的手段把组织及部门的所有安全措施融为一个整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
(一)需求分析知已知彼。明白自身安全需求才可构建出适用的安全体系结构,有效保障网络系统安全。
(二)安全风险管理。用组织及部门可接受的投资实现最大的安全,对安全需求分析结果中出现的安全威胁及业务安全需求实施风险评估就是安全风险管理。风险评估为制定组织及部门的安全策略、构架安全体系结构提供了直接的依据。
(三)制定安全策略。按组织及部门安全需求、风险评估结论制定出组织及部门的计算机网络安全策略。
(四)定期安全审核。安全审核的首要任务是是否正确有效地执行了审核组织的安全策略。网络安全是动态的,组织及部门的计算机网络配置变化频繁,所以组织及部门对安全需求也随之波动,组织的安全策略要实施相应调整。为在变化发生时,安全策略及控制措施能适时反映该变化,定期安全审核势在必行。
(五)外部支持。计算机网络安全必须依靠必要的外部支持。依靠专业安全服务机构的支持,可完善网络安全体系,还可获得更新的安全资讯,给网络安全提供安全预警。
(六)网络安全管理。网络安全的重要环节是实施安全管理,它是网络安全体系结构的基础组成。获得网络安全的重要条件是依靠适当的管理活动,规范各项业务,使网络实施有序。
四、结语
计算机网络安全和网络的发展密不可分。网络安全是个系统工程,不能只倚重杀毒软件、防火墙等来防护,计算机网络系统是个人机系统,是对计算机实施安全保护。人是安全保护的主体,除了注重计算机网络安全硬件产品研发,构建一个优秀的计算机网络安全系统外,还要重视人的计算机安全意识。只有规范了各种网络安全制度,强化了网络安全教育及培训,才能防微杜渐,将能把损失降到最低,最终建成一个高效、安全、通用的计算机网络系统。
参考文献:
[1]杨永旭.防火墙技术在网络安全应用中的现状[J].甘肃科技 .2009.
[2]张旭斌. 计算机网络安全现状及防范策略[J].数字技术与应用.2009.
[3]周刚伟.苏凯.对网络安全技术的浅析[J].数字技术与应用 .2009.
[4]李忍.戴书文.浅谈网络安全问题及防御[J]. 知识经济.2009.
虽然现如今已有很多技术和工具能够处理网络安全问题,但是目前网络环境的安全性依然不容乐观,其中存在的安全问题主要有以下方面:计算机病毒泛滥属于计算机使用过程中的重要安全问题,其主要特征包含传播性、感染性和隐蔽性等,病毒可以直接进入网络的系统内部,对系统造成损害,除此之外,网络病毒还具备滋生的能力,留存在文件夹或者程序中,甚至跟随文件或者程序传播到其他电脑上[1]。随着当前网络平台的开放性提升,病毒的形式开始多样化,例如,木马病毒、网络蠕虫等,消灭病毒的难度和工作量不断增加,因此,技术人员需要关注并努力解决。随着网络技术的发展,多元化的网络软件开始出现,随着网络用户数量的激增,用户需求更加多元化,网络软件的数量激增,就目前网络环境中应用的诸多网络软件来看,其整体的增长速度和更新的速度极快,很多网络软件没有获取安全许可证却进入网络环境中,供用户使用,虽然获取了经济效益,但是安全隐患问题不容忽视。一些网络黑客盗取信息,不会强行破坏整个网络系统,不会发生严重的安全问题,但是很多黑客由于报复心理或者谋取私利的心理驱使,入侵到计算机系统中,对用户的网络系统发起针对性攻击。创建的每种安全制度都对应了一定的范围,并且符合安全环境。其中防火墙就是一种安全性能较高,并且对网络安全防护作用较大的一种网络安全技术[2]。防火墙的主要特点就是其在网络内部中具有较好的隐蔽性,且能够较大限度阻止外来用户访问内部网络,这展现了防火墙在限制外来用户方面的作用。但如果是内部网络环境之间的互相访问,防火墙就形同虚设。网络安全工具的使用,会有较多的制约因素,其中影响最大的就是人为因素,网络安全工具的效用能否发挥到最大化,很大程度都取决于使用网络安全工具的人,人这一因素决定了开发出网络工具的功能。
2网络安全关键技术
2.1防火墙技术
保护网络安全最有效、最经济和最基本的技术之一就是防火墙技术,防火墙是保护网络安全的一个最重要的屏障,通常由软件与硬件有机结合组成,是不同网络安全区域的唯一信息出口,可以根据计算机网络的允许、监测或拒绝等安全策略管理内部用户的外界访问权限,限制外来用户对内部用户的访问,其本身就具有较强的抗攻击能力,可以强化网络安全。对网络存取和访问进行监控审计,因特网服务性企业内部网络技术体系VPN能够得到防火墙支持,防止内部信息外泄,允许合法用户不受阻碍地访问网络资源,拒绝未经授权的用户访问或存取敏感数据。
2.2入侵检测系统
入侵检测系统在非授权用户使用系统资源时,能够及时对其进行判断和记录,其设计与配置就是为了能够保证网络系统的安全,这项技术还能够对网络中违反安全策略等行为进行监控。入侵检测系统可以根据入侵检测信息来源的不同分为两类。首先是基于主机的入侵检测系统,其检测方式是监视和分析主机的日志文件和审计记录。在主机的日志中保存着系统中发生的不寻常的活动数据,这些数据能够反映有人正在入侵或者已入侵了网络系统。其次是基于网络的入侵检测系统,通常此系统都会被放置在较为重要的网段之中,其主要功能是对网络关键路径的信息进行实时监控,并且实时分析可疑操作。若出现数据包与系统内置的规则符合的情况,该系统就会产生警报或者中断系统连接。当前在网络安全保护中使用较多的就是基于网络的入侵检测系统。
2.3信息加密技术
使用信息加密是通过端点加密、节点加密和链路加密有效保护网上传输数据,保护网内的口令、文件、控制信息和数据等,是一种以很小的代价就能保护信息安全的有效措施。到目前为止,最少有几百种加密算法,可以将这些算法分为共钥密码算法和常规密码算法两种。常规密码很依赖密钥的管理,能够禁得起实践的检验,有着很高的保密强度。而公钥密码虽然算法比较复杂,但是有利于数字签名和验证的实施,可以适应网络的开放性。为了保证网络数据安全,进行秘钥的恢复、更新和备份也是必不可少的,应设计和开发完善的秘钥管理方案。
2.4防病毒技术
防病毒技术主要是针对网络病毒设计的一种新技术,其被分成主机防病毒和网关防病毒两种。主机防病毒主要作用是针对网络文件访问的全过程涉及的病毒代码进行分析,在计算机中携带的很多病毒文件和网络数据进行交换的过程中,该种技术可以被用来进行病毒特征和数据代码的比较分析,如果发现病毒携带者的话,会直接将其进行解读,将原先报读的结果上报到计算机系统的主机上,避免计算机受到病毒的侵害。网关防病毒主要目的在于防御网关位置的相关病毒,针对网关位置中可能出现的病毒进行查杀。
3结语
互联网的出现,有效节约了人们的时间,提升了工作的便捷性,在为人们的生活工作带来便捷的同时,由于网络本身具有很强的开放性和互动性,网络很容易受到恶意软件、黑客或者其他安全隐患的进攻,导致用户的个人信息泄露,引发安全问题或者资金问题,因此,安全问题是有关人员需要重点研究和解决的问题,否则,网络的应用势必会受到阻碍。为了深入维护网络的安全性,需要加大对网络安全关键技术的研发力度,由此保证公众的信息安全,净化网络环境。因此,研究网络安全关键技术刻不容缓。
参考文献
关键词:计算机网络;安全;管理;技术
1 计算机网络安全的主要隐患
1.1 计算机网络软、硬件技术不够完善
由于人类认识能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患。如 Internet 作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源,但 TCP/ IP 协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能,在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。
1.2 计算机网络安全系统不够健全
计算机网络系统内部的安全威胁包括以下几个方面:①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意地泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,等等。
1.3 物理电磁辐射引起的信息泄漏
计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去,产生电磁辐射。电磁辐射物能够破坏网络中传输的数据,这种辐射的来源主要有两个方面,一是网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;二是网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏。这些电磁信号在近处或者远处都可以被接收下来,经过提取处理,重新恢复出原信息,造成信息泄漏。
1.4 网络安全制度不够健全
网络内部的安全需要用完备的安全制度来保障,管理的失败是网络系统安全体系失败的非常重要的原因。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制、用户安全意识不强、将自己的账号随意转借他人或与别人共享等,都会使网络处于危险之中。
2 计算机网络受攻击的主要形式
计算机网络被攻击,主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用的信息。它不破坏传输信息的内容,所以不易察觉。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源,主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④TCP/IP协议上的某些不安全因素。目前广泛使用TCP/IP协议存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,造成地址假冒和地址欺骗两类安全隐患;IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。⑤病毒破坏。网络病毒主要是通过一些应用服务器来传播的病毒,拥挤了有限的网络带宽,可能导致网络瘫痪。病毒还可能破坏群组服务器,让这些服务器充斥大量垃圾,导致数据性能降低。⑥其它网络攻击方式。攻击者可能破坏网络系统的可用性,使合法用户不能正常访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,欺骗系统占用资源,等等。
3 加强计算机网络安全的对策措施
3.1 加强网络安全教育和管理
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐射引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。对连接要定期检查,以检测是否有搭线窃听、外连或破坏行为。
3.2 运用网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
3.3 加强计算机网络访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.4 使用防火墙技术
采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和Internet之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
参考文献
[1]吴钰锋,刘泉,李方敏,网络安全中的密码技术研究及其应用[J].真空电子技术,2004.
