时间:2023-09-22 17:05:10
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机网络的安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
[中图分类号]TP309.5 [文献标识码]A [文章编号]1009-5349(2015)05-0112-01
计算机网络的发展和进步,在改变人们生产生活方式的同时,也因其自身的特点给计算机网络用户带来了一定的安全风险。由于计算机网络的开放性和互连性特征,使得网络容易遭到黑客和恶意软件的攻击,存在诸多潜在的安全隐患。
一、计算机网络安全隐患分析
(一)计算机网络软件及系统存在风险
计算机网络软件是计算机的核心部分,也是计算机的“软肋”,如果对计算机软件缺乏有效的防护,缺乏及时的漏洞疏堵,很容易使网络黑客通过网络漏洞而侵入计算机,盗取计算机用户的信息数据,危及计算机用户的隐私及财产安全。在软件设计过程中,为了提升设计的便利性,部分设计人员容易忽视软件的封闭性,这也直接导致软件在运用过程中成为黑客攻击的首选。系统是计算机运行的载体,是计算机的“外衣”,在网络系统设计过程中,存在着不周密的情况,使网络的可靠性、扩充性和升级换代功能发挥受到影响。文件服务器是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网卡用工作站选配不当,导致网络不稳定。
(二)病毒及黑客的攻击容易造成计算机瘫痪
在计算机网络运行过程中,由于计算机网络的开放性,使计算机用户在运用公开交互性的网络进行信息传输的过程中,一旦接收或下载带着病毒的文件,很容易造成计算机网络的中断,甚至造成计算机网络系统的瘫痪。计算机病毒可以说是计算机网络的“空白区域”,在计算机网络产生后的很长一段时间里,并没有科学有效的方法进行防治。黑客的攻击是计算机网络面临的最大威胁,信息网络本身的不完善和缺陷,被黑客利用作为攻击的途径。黑客通过利用计算机网络中的薄弱环节,侵入计算机系统中,进行有目的的破坏行为,窃取用户的个人信息,严重危及计算机网络用户的隐私权利,甚至获取计算机网络用户的账号密码,危及计算机网络用户的自身财产安全。垃圾邮件是另外一种行为的计算机网络危险行为,通过一些携带病毒的软件,在计算机网络用户进行下载软件的过程中,自行在系统后台进行下载,这些软件的存在,容易更改用户的指令,侵入破译用户的邮箱密码,甚至迫使计算机网络用户接受垃圾邮件。
(三)计算机网络安全缺乏有效监管
我国计算机网络安全技术发展不成熟,技术力量薄弱,在计算机网络安全防护方面,难以有效地进行危险行为的监管。由于很多站点在防火墙配置上,无意识地扩大了访问权限,使得这些权限被其他人员滥用,造成安全性降低。此外,我国关于网络监管的体系不健全,缺乏相应的制度保障,对网络危险行为及网络犯罪缺乏强有力的打击,这在一定程度上也造成了计算机网络安全问题比较突出。
二、提升计算机网络安全的具体措施
计算机网络安全问题凸显,严重影响着我国计算机网络用户的用网安全、信息安全、财产安全。因此针对计算机网络中凸显的安全问题,应该采取积极的措施进行应对,以提升我国计算机网络的安全性能。
(一)规范软件设计标准,提升系统的防范能力
在计算机网络软件的设计过程中,应该不断提升网络软件的设计标准,加强网络软件的审,重点检查网络软件的漏洞,并针对漏洞进行相关的补丁研究,及时封堵网络软件中存在的漏洞。在计算机系统的设计与维护过程中,应该采用相应的访问权限设置,禁止不明网络插件或非法访问进入。运用科学合理的防火墙技术,禁止不明网络或外部网络进行自动链接,并采用相应的提醒设置,当不明网络进行访问时,防火墙技术可以向用户揭示风险,由用户自行决定是否链接。这样有助于加强网络行为的筛选与把关,强化计算机网络软件及系统的安全。
(二)不断更新病毒防治技术,进行信息加密
随着计算机网络的发展,恶意软件、恶意病毒的技术也不断更新,为了准确地进行病毒防治,应该不断更新病毒防治技术,鼓励用户积极运用高规格的病毒查杀软件,从而提升计算机网络的病毒防治能力。为了充分抵制黑客的攻击,计算机用户在利用计算机网络进行信息处理时,应该加强信息加密工作,通过运用信息加密软件,既可以提升对不法行为的监测与拦截,同时也可以尽可能地维护用户的网络安全,保障用户网络信息的安全。计算机网络用户应该定期更新密码,提升密码的难度,避免黑客轻松破解。此外,还应该努力构建网络属性,利用这种方式,可以控制向某个文件写数据、拷贝、删除、执行、共享等,还可以保护重要的目录和文件。
(三)加强网络监管及网络安全技术的发展
计算机网络安全风险及威胁始终处于发展的过程中,因此计算机网络安全监管技术也应该不断创新,不断更新技术水平,不断提升安全防护能力,才能有效应对新的挑战。我国网监部门还应该加强网络的安全监管,制定严格的网络准入制度,提升我国网络监管水平,更好地保障计算机用户的用网安全。
三、总结
计算机网络安全存在着诸多隐患,软件漏洞、系统风险、网络黑客等都对计算机网络的安全构成了一定的威胁。为提升计算机网络的安全,应该不断提升软件设计标准,加强系统的病毒防御,运用防火墙等技术来应对网络黑客的攻击。
【参考文献】
关键词:计算机网络;信息安全;对策
一、威胁计算机网络信息安全的主要因素
国际标准化委员会关于网络安全的定义是:“为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”从当前网络信息安全的状况看,威胁计算机网络信息安全的主要因素是自然、人为和技术三方面的因素。
1、自然因素
作为一个精密的智能系统,计算机网络具有分布域广、体系结构开放、信息共享、信道共用等特点,通过光缆传输向不同地域的计算机终端传递信息。因此自然环境对计算机网络信息的安全影响较大,诸如风灾、水灾、雪灾、地震、雷电等自然灾害以及意外事故都可能对计算机网络产生毁灭性的打击,导致信号系统或计算机瘫痪,强电、磁场也会对数据信息产生严重干扰。由于大多数计算机房在水火雷电、电磁泄漏或干扰等方面缺乏周到地设计,因此对自然灾害的防范能力较弱。
2、人为因素
计算机网络信息安全的威胁因素,很大程度上来自人为的原因。计算机网络本身的缺陷,以及计算机管理员安全意识薄弱,口令的设置不当,账号共享或操作错误都会形成安全漏洞,威胁网络安全。尤其是黑客的攻击,通过病毒、木马等程序对用户电脑实施恶意攻击,窃取重要机密信息,或瘫痪用户计算机,使重要数据信息丢失,构成计算机网络信息安全的最大威胁。
3、技术因素
人为的因素是计算机网络信息安全受到威胁的最大因素,这既是人的道德自律的问题,更是技术层面的问题。随着技术的不断发展进步,网络软件、病毒程序、垃圾邮件等都可能成为计算机犯罪的工具。计算机病毒是计算机系统中的灰色幽灵,它的严重危害是损坏文件、瘫痪系统,甚至损坏计算机硬件。网络软件中的间谍软件一旦侵入用户计算机,就成为监视用户行为、威胁用户隐私和计算机安全的工具,很难被用户察觉,即使发现隐秘信息被浏览或下载也很难寻觅其踪影。而且,网络软件的编程人员方便后期维护设置的“后门”,往往是熟悉计算机系统和网络脆弱性的黑客首选的攻击路径。他们采用各式攻击手段非法入侵用户政府部门或个人计算机系统,实施盗窃、篡改信息甚至进行诈骗、金融犯罪。这种犯罪依凭的工具,就是计算机网络技术。所以说计算机信息技术是一把双刃剑,既给人们带来工作生活便利的同时,也带来网络信息安全的问题。
二、计算机网络信息安全的对策
1、加强计算机网络信息安全管理
从法律层面看,计算机网络信息的安全需要通过依靠立法来保证,这是世界各国的普遍共识。加强和完善信息网络安全的相关法律,对计算机犯罪实施有效地打击和严惩,才能使计算机网络信息安全得到保障。它的安全防范工作,是一个涉及学科和多领域的系统工程,不仅有技术层面的要求,也与管理水平息息相关。
从制度层面看,计算机网络信息的安全必须制定系统完善的管理制度,包括安全管理等级和范围、网络使用规定、网络系统的维护、网络事故应急预案、机房管理规定、网络监控、技术安全等制度,并落实责任人,确保网络安全地运行,净化网络环境。
2、构建计算机网络信息安全防护体系
计算机网络信息安全的保障是构建强有力的安全防护体系,其主要内容包括到防火墙、杀毒软件、漏洞扫描系统、入侵检测系统、网络监测系统等。
(1)防火墙
作为一种行之有效的访问控制尺度,防火墙是第一屏障,能够防止网络威胁因素进入局域网内部,在一定程度上制约了陌生用户与数据访问。防火墙的功能,是对通过它的数据信息进行记录和过滤,对访问行为进行控制或阻断,网络攻击的监测和告警。
(2)防毒软件
病毒是计算机网络安全的常见威胁因素。在网络环境下,应安装适合个人计算机或局域网的全方位杀毒防毒软件,这是目前使用最普遍、最广泛的安全技术,通过及时升级病毒库,可以有效地清除隐藏在系统中的病毒或抵御木马程序的攻击。
(3)漏洞扫描系统
所谓百密而有一疏,即使是最为先进的计算机网络系统,也有其脆弱点,形成易受攻击的漏洞而成为安全隐患,仅凭人的技术和经验很难防范。因此,漏洞扫描系统就成为问题的解决方案,通过它自动查找网络安全漏洞,形成评估数据,为技术人员优化系统配置和设计补丁程序提供依据,从而消除安全隐患。
(4) 入侵检测系统
设计入侵检测技术系统的目的就是为了能及时发现和报告系统中未授权或异常现象,是一种专门用于检测计算机网络中违反安全策略行为的技术,从而保障计算机系统的安全。在局域网中,采用基于网络和基于主机的混合入侵检测系统是较为理想的选择,因为这种混合能构成一套完整立体的主动防御体系。
(5)网络监测系统
网络监测系统的对象是web、BBS、Email服务器,实时跟踪,监控因特网信息,还原成完整的www、Email、Telnet、FTP应用的内容并建立数据库,及时发现非法信息内容,向上级安全网管中心发送报告,以便采取反制手段或者措施。
3、重视计算机网络信息技术人才的培养
计算机网络信息安全人才是确保网络信息安全的重要力量。在实际工作中,应重视技术人员的培训,通过定期的思想教育和职业技术培训,以提高安全意识,增强工作责任心,不断提高技术人员的思想素质、技术素质和职业道德,打造一支善于网络信息安全管理、网络信息监控、网络技术科研的专业人才队伍,形成网络精英团队,为计算机网络信息安全提供强大的技术支持。
[参考文献]
[1]张小磊计算机病毒诊断与防治[M]北京:中国环境科学出版社,2005
[2]戴英侠.计算机网络安全[M]清华大学出版社
[3]彭秀芬,徐宁全防护分析[J] 网络安全,2006,(12)
关键字:计算机网络;网络安全;问题分析;预防措施
在科技信息水平不断发展的同时,计算机网络在人们生活工作中的重要性也在日益增长,这不仅使人们有了更为便捷的网络信息环境,同时也产生了各种各样的网络信息安全问题。目前各种形式的网络攻击不仅使许多计算机的信息被窃取、修改,更成为一种犯罪的渠道,解决这些问题的关键就是掌握各种不同的网络信息安全问题及原因。
1 计算机网络安全概述
计算机网络安全的定义是针对网络信息技术应用环境下的计算机进行信息安全的保护,其保护的对象即包括计算机的基础硬件存储数据,也包括各种软件信息或者数据。目前计算机网络安全面临的主要问题就是各种信息数据被窃取、修改、破坏,所以计算机的网络安全归根结底就是计算机的网络信息安全。在解决计算机网络安全问题时需要关注的是保持计算机信息能够一直处于保密、完整、可控的状态,而不产生其它任何不可控的风险因素,使评价能够随时保持对计算机信息的有效掌控。
2 计算机网络安全影响因素分析
2.1 硬件原因
硬件因素对计算机网络安全的影响是非常直接的,由于硬件是储存信息的最主要途径,因此对安全标准的要求也是极高的,然而在事实操作中硬件往往无法在网络系统的完全稳定的运行,而是常常会出现各种各样的问题,例如常规的故障问题或者硬件老化而产生的运行故障等,每一部分的硬件产生了问题都会直接影响计算机存储的数据,而这些庞大的数据往往会直接关系到计算机用户的各种利益。硬件的运行在保持一定时间的正常运转之后,会产生各种部位的故障问题,一旦故障产生就会影响到整个计算机系统的信息正常读取,因此而带来信息的安全问题。
2.2 网络原因
网络系统并非一个绝对稳定运行的体系,一般情况下网络协议的整个结构都可以稳定、准确的运行而不产生任何错误或者有差别的数据操作行为,但其中出现的各种问题或者故障却是不可避免的,也是客观存在,这是产生网络安全问题的直接原因。网络信息安全故障产生的过程主要发生在计算机网络协议条件下的数据传输,在整个网络与计算机之间发生数据传输的过程中许多程序或者专业性的操作可截取这些数据传输流,从而对某些重要的信息截获、窃取,产生对计算机网络用户的信息安全威胁。产生这种现象是网络系统自身的原因,仍然是由于各种不规范因素的存在,才造成了这种严重的网络安全问题隐患。
2.3 网络安全管理原因
网络安全管理水平对计算机网络安全管理同样有最直接的影响,但网络安全管理的任务也是非常繁重且难于实现的。目前网络安全管理主要集中在各种相关部门的日常职责,或者是网络运营商的技术安全管控上,这种管理模式使管理者与网络安全问题的影响者并非相同的利益主体,因此在管理效果和效率上严重不足。主要表现为网络安全的管理技术水平不足、网络安全意识薄弱、网络安全操作不合理等等,都产生了各种影响网络安全的现象,诸如机密信息的泄漏、重要信息数据的破坏等等。
3 计算机网络安全问题的主要表现
3.1 系统漏洞
系统漏洞是一种最为常见的计算机网络安全问题,它基本上在每一台计算机上都会出现,系统漏洞产生的主要原因是由于存在于网络上的每一台计算机都有着相对的开放性特点,因此许多系统漏洞难以避免,而计算机信息受到网络侵害的主要途径也是由于系统漏洞而发生的。当计算机的系统不断调整、优化时,系统漏洞就会被修补或升级,以控制各种不正当的攻击或信息窃取行为。系统漏洞只有及时更新、修补才能不给其它网络上的非法操作以任何机会,才能实现计算机网络的信息安全。
3.2 计算机系统安全
计算机系统安全水平是决定计算机是否能够在网络环境中保持自身的信息安全不受到网络上的侵害,系统安全除了要依赖于基本的软件系统功能之外,还需要依赖一定的硬件功能,例如网络的实现需要依赖的各种设备都会通过特定的方式与计算机系统连接起来,而这些不同类型的连接方式可能会因计算机系统的安全系数不足而直接使网络设备损坏,这样就会通过网络设备影响到计算机系统安全,产生数据的泄漏或者损坏。
3.3 病毒与黑客攻击
病毒和黑客攻击是当前计算机网络安全是了最主要的被动攻击形式,以上两种原因是来自计算机网络或计算机自身的因素造成的安全风险,而病毒与黑客攻击则是外界主动发起的对计算机网络信息的攻击、破坏、窃取、篡改行为,这种行为对计算机网络安全造成的影响往往是非常严重的。另外黑客攻击往往会直接涉及到利益的损害,通过对某些企业或单位的系统入侵获取个人的非法利益,对其网络计算机中的各种信息窃取、篡改,进行非法的网络操作等等。这些行为都不仅仅是影响计算机的网络信息安全这么简单,更会由于其非法手段的利用产生对计算机网络用户或单位的直接经济损失而造成严重的后果。由于目前计算机病毒和黑客攻击所产生的后果极为严重,因此加强对这两种恶意的计算机网络操作行为的重视,并且选择有效的防范手段将其发生的概率有效控制,是当前计算机网络安全工作的重要任务。
3.4 网络信息传输
网络信息传输过程是一个最容易被网络上控制或影响的过程,这是除病毒、黑客攻击之外的最主要的计算机网络信息安全问题,也是最为普遍的网络安全问题表现。在计算机用户通过网络进行信息传递时,这些信息会被转化成网络语言的形式,而传输过程却是最不受计算机网络用户主观控制的,因此就成为外来因素实施信息入侵的主要对象。当在网络中传输的信息被非法破坏、篡改或者删除时,数据传输两端的用户往往无法立即注意到问题的产生,而是在问题发生后才能注意到信息传输的问题或者错误,这使得网络信息传输的安全非常难于掌握和控制。
4 计算机网络安全预防措施
4.1 提高硬件安全性
硬件安全性的提高需要从提高防护水平上做起,最主要的方式是设立安全系数更高的防火墙保证硬件数据信息的安全。防火墙是一种以硬件与软件结合的手段保证计算机信息安全的方式,它能够将非正常的访问行为有效的阻挡出去,进而保证计算机网络功能的使用不产生数据丢失或被破坏。通过防火墙的应用硬件数据防护能够达到非常好的效果,基本上能够保证了硬件信息的安全以及功能的稳定,然而由于防火墙并非牢不可破的,一些高水平的黑客技术能够通过各种高明的手段攻破计算机网络用户的防火墙,进而实现非法目的,所以防火墙防护还需要根据网络技术的发展变化而及时更新,才能最大程度地将每一种外来信息侵入行为有效阻挡。
4.2 加强病毒防范
一些简单的病毒小程序可能会比较容易识别和控制,基本上常规的杀毒程序就能够有效防范,而一部分相对复杂、危害程度较强的病毒所造成安全风险则较难控制。病毒库即时更新升级就是目前采用的比较有效的最大化控制病毒对计算机网络安全造成危害的有效手段。病毒的最大特点就是可预防性,如果用户能够保证良好的计算机网络使用习惯,对每一次的文件下载、链接跳转都能够有效控制,定期执行病毒查杀的话,基本上病毒危害就能够被有效预防,因此在病毒防范的工作中最需要注意的就是有效的防范。
4.3 限制访问和信息加密
限制访问的优势在于能够对重要信息进行有效的保护。一般来说计算机网络功能的使用会涉及到多种数据信息或文件的访问、修改、上传等操作,而这些文件基本上也都是非常重要的,当设定了限制访问之后大部分网络用户就无法对这些信息进行访问读取,而只有那些个别拥有访问权限的用户可以对信息进行访问,另外限制访问还有一层技术涵义,就是对于允许访问的权限进行不同级别的限制。例如某一计算机网络平台所包含的信息有A、B、C三类,访问就可设置为一级权限、二级权限、三级权限,分别可访问ABC三类、AB两类、A类信息,这就是典型的限制访问网络安全管理手段。
信息加密在许多个人计算机网络用户中都非常普遍,即将重要文件或数据进行密码加密,无论是文件数据的读取还是修改都需要输入密码方可实施操作,这种保护方法最为简便也最为有效,缺点就是当加密密码或者解密方式忘记之后,再破解加密就难以实现。
4.4 提高计算机网络安全管理人员的综合素质
从技术培训角度增加安全管理人员的专业素质,使每一位用户的信息都能够得到有效保护。―方面在基本的应对网络恶意攻击或者病毒破坏时的技术能力需要足够强大,以保证能够就对基本的外来安全风险;另一方面从管理制度上实施改革,保证安全管理流程按标准执行,每一位管理人员的责任分工明确,实现完善的人员管理制度,提高对计算机网络安全管理的能力。
关键词:计算机网络安全;体系管理;网络机制
一.计算机网络发展存在的威胁
目前计算机网络的现状是面临着多方面的攻击与威胁。第一种威胁的表现形式为伪装,指的就是威胁源在特定时刻装扮成另一个实体的形式,并借助这个实体的权利进行操控;第二种威胁的表现形式为非法连接,指的是威胁源利用非法的手段建立一个合法的身份,再通过将网络实体与网络源两者之间建立非法的连接达到最终的目的;第三种威胁的表现形式为非法授权访问,指的就是威胁源采用一定的手段破坏访问并控制服务,最终实现了越权访问;第四种威胁的表现形式为拒绝服务,指的是通过一定手段的利用阻止合法的网络用户或者拥有其他合法权限的用户使用某项服务;上述种种威胁的形成原因大多数是人为造成的,威胁源可以来自于用户,也可以来自于部分程序,也可以来自于某些潜在的威胁等。所以加强对于计算机网络安全的管理和研究的目的就是最大限度地消除这些威胁。
二.计算机网络安全认证体系的完善
首先表现为安全服务系统的建立。第一,身份认证。身份认证作为访问控制的基础,是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与,而且常规验证身份的方式在网络上也不是十分地适用,同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透,所以网络环境下的身份认证特别复杂,而“身份认证如果想要做到准确无误地对来访者进行辨别,同时还必须提供双向的认证”,必须采用高强度的密码技术来进行身份认证的建立与完善。第二,访问控制。进行访问控制是为了达到控制不同的用户对信息资源的访问权限的目的,实质上是针对越权使用资源的一种防御措施。而访问控制的种类亦可从方式上分为自主式访问控制和强制式访问控制两类。实现的机制可以是通过对访问属性控制的访问控制表的控制,也可以是根据安全标签、用户分类以及资源分档等三类控制实现的多级控制。第三,数据保密。数据保密是为了防止信息泄露所采取的防御措施。数据加密是最为常见的确保通信安全的手段,但是随着计算机网络技术的迅猛发展,传统的加密方法不断地被用户以及黑客们破译,所以不得不加强对更高强度的加密算法的研究,以实现最终的数据保密的目的。
其次表现为安全机制的发展与完善。在经过了对于计算机网络的安全认证提的创建之后,完善与健全与安全服务有关的安全机制也是必不可少的。第一方面是安全服务方面的安全机制的发展,具体表现为加密机机制、认证交换机制、数字签名机制、数据完整性机制、访问控制机制、路由控制机制等多个方面;第二方面是对于与管理有关的安全机制的健全,主要包含有安全审核机制、安全标记机制以及安全恢复机制等三个方面。1989年,为了实现开放系统的互联网环境下对于信息安全的要求,国际标准化组织ISO/TC97的技术委员会专门制订了对于计算机网络安全与管理ISO7498-2的国际标准。这一标准的建立不仅实现了对于OSI参考模型之间的安全通信所必须的安全服务和安全机制的开建,同时也建立了“开放系统互联标准的安全体系结构框架”,为网络安全与管理的系统研究奠定了坚实的基础。同时也开创了网络安全的保证需要进行认证的先河。
三.计算机网络当前的管理功能
针对计算机网络的管理一共可分为两类:第一类指的是计算机网络应用的程序、用户帐号以及存取权限的管理,属性上归类为与软件有关的计算机网络管理问题;第二类指的是针对组成计算机网络的硬件方面的管理,主要包括有对工作站、路由器、网卡、服务器、网桥和集线器等多方面、多角度的管理。在应用计算机网络进行管理时需要遵循以下原则: 一是不能因为管理信息而带来的通信量增加而增加网络的通信量;而是注意不应增加被管理设备上的协议进行系统处理时的额外开销,从而导致削弱设备的主要功能的现象发生。而当前的计算机网络管理的功能主要表现为以下几个方面。
(一)对于故障的管理:故障管理指的是对网络中出现的问题或者故障进行检测、隔离和纠正的过程。通过对故障管理技术的使用,可以使得网络管理者在最快的时间内确定问题和故障点,以达到最终排除问题故障的目的。而故障管理的过程主要包括发现问题、分离问题、找出故障的原因三个方面,所以,想要保证计算机网络管理的安全,应该在尽可能地情况下,尽量地保证故障的排除。
(二)配置管理:配置管理是在进行计算机网络管理的过程中发现并进行设置网络设备的过程。配置管理的主要功能指的是通过快速提供设备的配置数据从而实现快速的访问的目的,同时在一定程度上行加强管理人员对于网络的整体制,可以采用正在使用中的配置数据与存储于系统中的数据相比较的方式发现问题,进而根据需要尽可能地修改配置。对于计算机网络的配置管理主要包括有获取关于目前网络配置的信息,提供远程修改设备配置的手段和存储数据以及维护最新的设备清单并据此产生报告等三方面的内容。
论文摘要:随着通讯技术、光纤技术的不断发展,计算机网络技术也同时不断进步,计算机网络的安全也成为计算机网络设计师与客户重视的焦点。本文主要对计算机网络安全面临的威胁和安全体系的建立与计算机网络管理进行了探讨。
一.引言
近年来,在计算机网络技术应用的深入发展中,网络安全问题已经逐渐成为网络建设中的核心问题。网络系统是一个由众多计算机和网络设备,以及网络系统软件构成的一个复杂的集成系统。在因特网络上,互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。因此,计算机网络的安全与管理越来越受到人们的关注,成为一个研究的新课题。
二.计算机网络安全威胁分析
(1)计算机网络面临的安全性威胁
①非法授权访问。威胁源成功地破坏访问控制服务, 如修改访问控制文件的内容, 实现了越权访问。②非法连接。威胁源以非法手段形成合法的身份, 在网络实体与网络源之间建立非法连接。③拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。④信息泄露。未经授权的实体获取到传输中或存放着的信息, 造成泄密。⑤无效的信息流。对正确的通信信息序列进行非法修改、删除或重复, 使之变成无效信息。⑥伪装。威胁源泉成功地假扮成另一个实体,随后滥用这个实体的权利。
(2)计算机网络面临的安全攻击
安全攻击的形式: 计算机网络的主要功能之一是通信,信息在网络中的流动过程有可能受到中断、截取、修改或捏造形式的安全攻击。
①中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信, 如切断通信线路、禁用文件管理系统等。②截取。截取是指未授权者非法获得访问权,截获通信双方的通信内容。③修改。修改是指未授权者非法截获通信双方的通信内容后, 进行恶意篡改。如病毒可能会感染大量的计算机系统,占用网络带宽,阻塞正常流量,发送垃圾邮件,从而影响计算机网络的正常运行。④捏造。捏造是指未授权者向系统中插入仿造的对象, 传输欺骗性消息。
三. 计算机网络安全体系的建立
建立开放系统互联标准的安全体系结构框架,为网络安全的研究奠定了基础。
(1)身份认证。身份认证是访问控制的基础,是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向认证,即互相证明自己的身份。网络环境下的身份认证更加复杂,因为验证身份一般通过网络进行而非直接参交互,常规验证身份的方式(如指纹)在网络上已不适用;再有,大量黑客随时随地都可能尝试向网络渗透,截获合法用户口令,并冒名顶替以合法身份入网,所以需要采用高强度的密码技术来进行身份认证。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(2)访问控制。访问控制的目的是控制不同用户对信息资源的访问权限,是针对越权使用资源的防御措施。访问控制可分为自主访问控制和强制访问控制两类。实现机制可以是基于访问控制的属性的访问控制表(或访问控制矩阵), 也可以是基于安全标签、用户分类及资源分档的多级控制。
(3)数据保密。数据保密是针对信息泄露的防御措施。数据加密是常用的保证通信安全的手段,但由于计算机技术的发展,使得传统的加密算法不断地被破译,不得不研究更高强度的加密算法,如目前的DES算法,公开密钥算法等。
(4)数据完整性。数据完整性是针对非法篡改信息、文件及业务流而设置的防范措施。也就是说网上所传输的数据防止被修改、删除、插入、替换或重发,从而保护合法用户接收和使用该数据的真实性。
(5)加密机机制。加密技术的出现为全球电子商务提供了保证,从而使基于因特上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
(6)路由控制机制。一套完整的防火墙系统通常是由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个服务器本质上是一个应用层的网关一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同服务器打交道,服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后,服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
(7)入侵检测技术。随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
(8)备份系统。备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
四.计算机网络管理
(1)计算机网络管理概述
计算机网络管理分为两类。第一类是计算机网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理,属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件管理, 包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。通常情况下这些设备都分散在网络中,当设备有问题发生时网络管理员希望可以自动地被告通知,为了解决这个问题,在一些设备中已经具有网络功能,可以远程地询问它们的状态,使它们在有某种特定类型的事件发生时能够发出警告。这种设备通常被称为“智能”设备。网络管理应遵循以下的原则: 由于管理信息而带来的通信量不应明显的增加网络的通信量。被管理设
备上的协议不应明显的增加系统处理的额外开销,以致于削弱该设备的主要功能。
(2)计算机网络管理的功能
国际标准化组织ISO定义了网络管理的五个功能域,分别是: 故障管理、配置管理、计费管理、性能管理和安全管理。
①故障管理。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术,网络管理者可以尽快地定位问题或故障点,排除问题故障。故障管理的过程包括3个步骤。a.发现问题;b.分离问题,找出故障的原因;c.如果可能, 尽量排除故障。
②配置管理。配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问,增强网络管理人员对网络的控制;可以将正在使用的配置数据与存储在系统中的数据进行比较,而发现问题;可以根据需要方便地修改配置。配置管理主要是包括下面三个方面的内容:a.获得关于当前网络配置的信息;b.提供远程修改设备配置的手段;C.存储数据、维护最新的设备清单并根据数据产生报告。
③安全管理。安全管理是控制对计算机网络中的信息的访问的过程。提供的主要功能是正确操作网络管理和保护管理对象等安全方面的功能。具体包括:
a.支持身份鉴别, 规定身份鉴别过程;b.控制和维护授权设施;c.控制和维护访问权限;d.支持密钥管理;f.维护和检查安全日志。
计算机网络的规模越来越大、复杂程度越来越高,为了保证计算机网络良好的性能,确保向用户提供满意的服务,必须使用计算机网络管理系统对计算机网络进行自动化的管理。计算机网络管理系统的功能是管理、监视和控制计算机网络, 即对计算机网络进行了配置, 获取信息、监视网络性能、管理故障以及进行安全控制。计算机网络管理系统对计算机网络的正常运行起着极其重要的作用。
五.结束语
计算机网络信息安全工作贯穿于计算机网络建设、发展的始终,需要我们时刻重视,不断学习。只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,确保计算机网络的安全、可靠地运行。
参考文献:
1.1网络中恶意程序及病毒的影响
来自恶意程序和病毒的影响,最为常见的是网络的病毒和黑客,这也是对于企业信息安全的最大威胁之一,我们已经见识到了很多骇人听闻的病毒了,比如木马病毒,木马病毒通过网络连接和系统的一些微小漏洞进入用户的计算机系统并且隐藏起来,并向外界泄露用户的私人信息。而黑客病毒则有一个可视的页面,对用户的计算机进行远程的控制。还有好多病毒诸如脚本病毒、系统病毒、后门病毒。现在木马和黑客常常组合,木马负责入侵电脑,而黑客则对计算机进行控制,拥有很大的破坏力。一般企业的计算机系统都是在相互信任的基础上建立的,所以企业的计算机系统不但要有防护病毒和黑客的恶意进攻,还要积极地自主研发一些高安全性、人机友好化和安全高效的计算机系统,是计算机的软硬件很好的配合,对企业起到更加有效的作用。
1.2网络信息管理工作不到位
对算机管理者出现的一些问题,对于计算机网络安全的管理不仅仅是技术上的还有管理层面,加强管理层面的建设迫在眉睫。要加强计算机管理层面的建设,加强对于计算机类的法律法规的认识和学习是十分必要的。只有做到法律法规、技术与管理的三结合才能保证计算机网络系统的安全高效运行。计算机犯罪的现象时有发生,信息管理者往往大意了对于一些信息的保密性,导致一些内部的信息资料外流,有的计算机用户故意进入企业的信息系统来盗取一些信息谋取利益,所以对于管理者出现的一些问题要十分注意和警惕,从而来维护计算机的信息安全。
2关于计算机网络安全系统管理的若干建议
2.1加强对计算机网络安全方面的意识
首先对于计算机的管理层面,企业本身应加强对于企业计算机管理者的法律知识和法规知识的了解和教育,提高计算机用户的法律和道德水平,提升其安全方面的意识,防止计算机犯罪等事件的发生。了解一些法律法规比如《计算机安全法》、《犯罪法》等关于计算机的法律法规。还要建立一些安全机构,来加强计算机网络安全方面立法、执法的管理机制,并定期向计算机用户进行一定的教育,提升计算机用户的安全防范意识,防止计算机违法犯罪现象的发生。其次应建立一套有关计算机安全管理的维护制度来维护其安全性,对于企业内部的计算机给予严格的管理,制定对重要资料和计算机中心的保密机制和保护方案。在对计算机安全方面应该实行分工明确的监管和等级管理制度,控制企业内部的计算机系统,以此来严格保证计算机的安全性。
2.2建立并完善安全保护机制
切实建立计算机安全系统的保护与防范机制,一个企业如果想加强其自身的计算机安全方面的能力,最好最实用的办法就是建立一套属于自己企业的计算机网络安全保护和防范机制。只有好的计算机系统安全机制才能保证计算机安全稳定的运行,对整个企业的计算机系统进行监督和管理往往有意想不到的作用。想要维护计算机的网络系统的安全,一套切实可行的网络安全体系必不可少。在信息化的潮流中,建立计算机网络安全体系是时展的趋势,也是维护计算机网络安全的重要措施,它在企业的现代化和信息化过程中起到了保驾护航的重要作用。同时在计算机建立安全体系时,有很多注意事项,但这些注意事项都要结合企业的实际情况。必须制定一身适合自己企业的信息安全体系和防御系统。有些共性的注意点在这里给以简单介绍,首先企业的计算机系统应实行分区块划分,以免当计算机出现安全性文体时影响到整个企业的计算机可以降低来自安全性的威胁;再有就是对于企业的信息在重要性的等级上给予划分,对高价值的信息资料给以严格的保护,并设定其使用者的权限,实行分等级管理,避免信息的外漏;在使用计算机时对于企业内部网络流量给以监管并且制定相应的规章和要求,保证企业内部使用计算机者网络的无阻和稳定性。建立一套行之有效的安全防范体系可以增强企业的信息化管理实力和企业计算机网络安全。
2.3做好数据备份及恢复,加强防护联合
计算机的病毒入侵,计算机被病毒入侵时往往有比较严重的后果比如破坏计算机系统,使系统崩溃甚至无法使用;造成数据的丢失,或者运行速度大打折扣;盗取企业内部的信息等。面对如此严重的威胁,企业应如何让应对呢。建立一套完备的文件备份和恢复机制,在计算机遭受病毒侵袭时能够完整的保存和恢复全部数据。在防范措施上,应用防火墙和杀毒软件是一般用户最先使用的措施。防火墙可以有效地组织不安全IP地址程序的入侵和攻击,这种方式在维护企业内部网络安全方面十分实用也十分有效,如果能把防火墙和关键部位的检测系统结合起来,不仅能检测来自外部网络的进攻还会避免企业内部网络的相互入侵。两者相互结合,在维护企业计算机网络安全方面起到了十分完美的作用。除此之外,信息交换和物理隔离系统可以对影响企业内部局域网的不安全因素予以隔离,组织不安全因素的入侵,往往这种防止入侵的方式优于防火墙。定期的对计算机进行病毒的查杀,这些事看起开来很小,到对于防止病毒寄生在计算机内部十分有效,不可忽视。企业也要定期对内部计算机进行安全监测。
3结束语
论文摘要:网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统安全问题。计算机网络的安全问题越来越受到人们的重视,本文简要的分析了计算机网络存在的安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
现今高速发展的社会已经进入了21世纪,而21世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的信息时代。In-ternet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击,同时也产生了网络信息与安全的问题。而作为计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。因此,计算机的安全性成了人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。下面就计算机网络存在的安全隐患及相关策略进行探讨分析。
一、计算机网络存在的安全隐患分析
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国FBI统计,美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中,Internet/Intranet安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用SendMail,采用debug、wizard和pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、网络瘫痪。
总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Internet瘫痪或引起Internet商业的经济损失等等。人们面临的计算机网络系统的安全威胁日益严重。
二、计算机网络的安全策略分析
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网络防护措施包括:
1、防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2、数据加密与用户授权访问控制技术。
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
3、安全管理队伍的建设。
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献:
[1]严明:多媒体技术应用基础[M].华中科技大学出版社,2004.
摘要: 本文主要介绍了计算机网络系统设计的原则和连接技术的方法,以及在实际应用过程中的计算机网络安全问题。
关键词: 网络技术 设计 安全
随着计算机在社会中的地位越来越高,网络技术已广泛应用于各个领域,各个单位的计算机软件、硬件资源也同样得到了充分的发挥。局域网LAN是计算机网络系统的一种,它指的是在较小的地理范围内,将有限的通信设备互联起来的计算机网络。广域网简称WAN,是一种地域跨越大的网络,通常包括一个国家或州,主机通过通信子网连接。通信子网的功能是把消息从一台主机传到另有一台主机。无论是局域网还是广域网都要具有安全性,安全性是互联网技术中很关键也是很容易被忽略的问题。曾经有许多组织当受到网络安全的威胁时,才开始重视和采取相应的措施。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。因此,我们在设计、规划一个计算机网络时,要从局域网和广域网这2个方面保证安全性和可用性来加以考虑和研究。
1 局域网系统设计的总体原则
我们依据计算机网络实验室建设的先进实用性、符合标准性、开放性、灵活可扩充性、安全可靠性的设计原则,以标准化、规范化为前提,开展系统分析和系统设计。
1)开放性原则。只有开放的、符合国际标准的网络系统才能够实现多厂家产品的互联,才能实现网络系统同其它单位及其它系统的互联。
2)可扩充性原则。具有良好扩充性的网络系统,可以通过产品升级,采用新技术来扩充现有的网络系统,以减少投资。
3)可靠性原则。网络平台必须具有一定的可靠和容错能力,保障在意外情况下,不中断用户的正常工作。
4)可管理性原则。网络系统应支持SNMP(简单网管协议),便于维护人员通过网管软件随时监视网络的运行状况。
2 广域网接入的设计
目前,广域网的常用接入技术主要有:电话线调制解调器(Modern)、电缆调制解调器(Cable Modern)、ISDN、DDN、ADSL(非对称数字用户环网)、无线微波接入等。
根据目前电信行业的发展状况和计算机室的需求,我们认为可以采用以下3种接入方式:
1)通过校园网接入Internet;
2)运用ADSL技术通过中国公用信息网接入Internet;
3)运用DDN技术通过中国公用信息网接入Internet。
3 计算机网络系统的安全问题
1)结构方面
为了保证计算机网络的安全,网络结构采取了以下措施:物理层上,服务器与交换机的连接采用冗余连接的方法,既可以保证链路上无断点故障,又能均衡网络流量,减少拥塞的发生,使信息传输比较畅通,有效减少数据丢失。网络层安全通过正确设计拓扑结构,将计算机室网络划分为内、外两个网段。一方面通过合理配置路由器的访问控制列表,设置地址转换功能,利用路由器充当外部防火墙,防止来自Internet的外部入侵;另一方面,在内、外网段间添加服务器,利用服务器充当内部防火墙,即可以屏蔽计算机室内部网络结构,防止来自Internet的外部入侵,又可以通过正确使用加密模块,防止来自内部的破坏。
2)综合布线方面
应考虑网络布线设计的可靠性。双绞线布线,应保证其与电力导线平行铺设间距大于0.5m,以防止电磁干扰;所布线长度应保证比Hub到工作台实际距离略长,但又不可留的太长,5类线的传输距离为90m,考虑到各种干扰,实际布线长度不应大于75m。
3)电源和消防报警方面
摘要: 本文主要介绍了计算机网络系统设计的原则和连接技术的方法,以及在实际应用过程中的计算机网络安全问题。
关键词: 网络技术 设计 安全
随着计算机在社会中的地位越来越高,网络技术已广泛应用于各个领域,各个单位的计算机软件、硬件资源也同样得到了充分的发挥。局域网LAN是计算机网络系统的一种,它指的是在较小的地理范围内,将有限的通信设备互联起来的计算机网络。广域网简称WAN,是一种地域跨越大的网络,通常包括一个国家或州,主机通过通信子网连接。通信子网的功能是把消息从一台主机传到另有一台主机。无论是局域网还是广域网都要具有安全性,安全性是互联网技术中很关键也是很容易被忽略的问题。曾经有许多组织当受到网络安全的威胁时,才开始重视和采取相应的措施。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。因此,我们在设计、规划一个计算机网络时,要从局域网和广域网这2个方面保证安全性和可用性来加以考虑和研究。
1 局域网系统设计的总体原则
我们依据计算机网络实验室建设的先进实用性、符合标准性、开放性、灵活可扩充性、安全可靠性的设计原则,以标准化、规范化为前提,开展系统分析和系统设计。
1)开放性原则。只有开放的、符合国际标准的网络系统才能够实现多厂家产品的互联,才能实现网络系统同其它单位及其它系统的互联。
2)可扩充性原则。具有良好扩充性的网络系统,可以通过产品升级,采用新技术来扩充现有的网络系统,以减少投资。
3)可靠性原则。网络平台必须具有一定的可靠和容错能力,保障在意外情况下,不中断用户的正常工作。
4)可管理性原则。网络系统应支持SNMP(简单网管协议),便于维护人员通过网管软件随时监视网络的运行状况。
2 广域网接入的设计
目前,广域网的常用接入技术主要有:电话线调制解调器(Modern)、电缆调制解调器(Cable Modern)、ISDN、DDN、ADSL(非对称数字用户环网)、无线微波接入等。
根据目前电信行业的发展状况和计算机室的需求,我们认为可以采用以下3种接入方式:
1)通过校园网接入Internet;
2)运用ADSL技术通过中国公用信息网接入Internet;
3)运用DDN技术通过中国公用信息网接入Internet。 3 计算机网络系统的安全问题
1)结构方面
为了保证计算机网络的安全,网络结构采取了以下措施:物理层上,服务器与交换机的连接采用冗余连接的方法,既可以保证链路上无断点故障,又能均衡网络流量,减少拥塞的发生,使信息传输比较畅通,有效减少数据丢失。网络层安全通过正确设计拓扑结构,将计算机室网络划分为内、外两个网段。一方面通过合理配置路由器的访问控制列表,设置地址转换功能,利用路由器充当外部防火墙,防止来自Internet的外部入侵;另一方面,在内、外网段间添加服务器,利用服务器充当内部防火墙,即可以屏蔽计算机室内部网络结构,防止来自Internet的外部入侵,又可以通过正确使用加密模块,防止来自内部的破坏。
2)综合布线方面
应考虑网络布线设计的可靠性。双绞线布线,应保证其与电力导线平行铺设间距大于0.5m,以防止电磁干扰;所布线长度应保证比Hub到工作台实际距离略长,但又不可留的太长,5类线的传输距离为90m,考虑到各种干扰,实际布线长度不应大于75m。
3)电源和消防报警方面
网络安全的现状
一般认为,网络安全是指利用网络管理控制和技术措施,保证在网络环境里信息数据的机密性、完整性以及使用性受到保护。安全网络主要是做到或者确保经过网络传递的信息,在到达目的地时没有任何增加、改变、丢失或被非法读取。
美国FBI(美国联邦调查局)的调查显示,仅仅是网络安全的问题在美国每年造成的经济损失就高达甚至超过170亿美元;75%的公司报告财政损失是由于计算机系统的安全问题造成的,并且超过50%的安全威胁来自内部,但是可以定量估算的损失仅有59%。在我国,根据2001年的调查显示,全国约有将近75%的电脑网络用户曾经感染过病毒,然而,到2003年感染过病毒的用户已上升至85%左右。其中超过一半的用户感染病毒3次以上。另外针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失额已高达数亿元,同时针对其它行业的网络安全威胁也时有发生。因此,计算机网络必须要有足够强的安全措施和防御体系,才能保证人类在使用网络时对网络的可信度。
由此可见,计算机黑客对网络安全性的威胁日趋明显。对计算机网络的安全性来说,网络的开放性、脆弱性无疑是致命的威胁。就国内的形势看,我国的网络管理中心中有超过9成都受到过来自境内外黑客的攻击和破坏。其中,经济部门、金融机构遭受的攻击是最严重的。
防御能力薄弱的原因
电脑网络和内置系统技术不健全 在我国,网络信息化建设缺少自主技术的支持。电脑网络安全存在着3个比较大的漏洞:操作系统、数据库、CPU芯片与软件大部分依赖进口。
大部分人群缺少安全意识 由于网络属于新生事物,许多人初次接触对其充满好奇。所以,在安全的问题上普遍存在认知盲区的因素。大部分人一开始接触就迫不及待地用于娱乐、工作或者是学习,无暇顾及网络的安全性,对不安全的网络信息认识不够。而且,大部分用户普遍看重的是网络的效应问题,在安全防御领域的投入和管理与安全的要求相差甚远。整体上看,我国网络的安全性现在还是处于被动防御阶段,大部分人群普遍存在着侥幸心理,没有形成主动防御、积极应对的全民防范意识,这样就更做不到从最基本上提高网络检测、防护、恢复和抗击打的能力。
运行管理上的缺憾和不足 其一,管理网络安全的专精人才明显不足。因为现在网络通信的费用较低,各种服务器和各种配置也在不断更新和发展,技术应用扩展相应的技术管理也应该一同扩展。但事实却是:这些管理人员中大部分对安全管理所需的技能、资源和利益的导向掌握远远不够,造成管理人才不能适应网络信息安全形势的需求。其二,对安全问题的解决方法不到位。计算机网络的综合性和及时性的特点日趋明显,是造成网络不安全的主要原因。但是,绝大部分的用户对网络安全缺少认知和了解,没有进行必要的安全检查,在网络还处于不安全的情况下就急于操作,最后就造成敏感数据外泄、计算机系统遭受风险的结果。同时,如果是因为用户操作超时或电脑系统的配置不恰当,计算机本身的网络和程序都存在被入侵和被利用的缺陷,若不能采取及时有效的安全保护措施,那么,检查和阻截安全漏洞就不可能及时发现和解决。
网络信息安全建议
第一,要对国家在网络信息方面的优势利益和正在遭受的各方面威胁进行透彻钻研和了解,进而制定出完全符合我国现状和国情的方案,使我国从政治领域、军事领域甚至是人民群众的生活领域的网络安全体系都能得到全面的加强与提高。第二,要对原先的不合理状况进行改革,必须要组织实用有效的网络信息安全管理系统,杜绝原来职业能力模糊、职能分配不合理的情况再次发生,这样才能使政府的管理职能和效率得到提升。第三,要想真正做到这些,必须有相关法律作支撑,就要出台一些与网络安全问题相关的法律法规,用来制约目前网络领域混乱的局面,改变现有法律界限不清晰的现状。第四,在信息技术尤其是信息安全关键产品的研发方面,提供全局性的、具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
关键词:计算机;网络;安全技术
Abstract: With the rapid development of computer network technology, network has been applied into thousands of households, online entertainment, online payment, online shopping has become an indispensable part of people's life. Due to the lack of home computer user security awareness, which brought many hidden safety dangers, not only affects the stable operation of the network and the normal users, but also may cause significant losses on the economy. Based on the current status of home computer users, through the network security knowledge to strengthen its safety coefficient has become a pressing matter of the moment.
Key words: computer; network; security technology
中图分类号:G623.58
1、网络安全的定义
1.1网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。
1.2从广义上说,网络安全包括网络硬件资源和信息资源的安全性。硬件资源包括通信线路、通信设备(交换机、路由器等)、主机等,要实现信息快速、安全地交换,一个可靠的物理网络是必不可少的。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中存储和传输的用户信息数据等。网络信息安全涉及到信息的保密性、完整性、可用性、真实性、可控性。
2、网络安全的重要性
网络安全技术是指针对数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露。随着计算机网络的发展,已涉及到个人信息和财产的安全,当网络安全因素遭到破坏时,不仅影响计算稳定运行,更有可能使个人财产受到巨大损失,因此家庭计算机用户加强安全管理,保证网络环境安全是十分必要的。
3、影响网络安全的因素
3.1计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁。针对目前家庭计算机用户,网络安全主要来自网络中信息的威胁性。
网络信息的威胁主要来自以下几点:
用户自身失误。用户安全意识不强,设置空控制或口令选择不慎(如使用自己的名字、出生年月等作为安全密码),随意将密码告诉他人等都会给网络安全带来威胁,甚至有可能造成财产的损失。
人为的恶意攻击。此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。这也是目前计算机网络所面临的最大威胁。
网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。由于家庭计算机用户安全意识和技术知识的缺乏,一般不主动修复漏洞,因此网络软件的漏洞和后门造成的网络威胁也占有很大的比例。
4、增强网络安全的措施
4.1使用正版系统。尽量购买使用使用正版操作系统。开启自动更新。开启系统更新,及时修补系统漏洞,防止恶意攻击者利用系统漏洞,窃取个人机密信息。
4.2开启防火墙。采用防火墙技术是解决网络安全问题的主要手段。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
4.3设置安全密码。不用空密码或弱口令,应使用强口令,密码要包含大小写字母、数字、符号等,密码不使用姓名缩写、生日日期、电话号码等。定期或不定期地更改密码。
安装杀毒软件。安装并启动杀毒软件,并及时更新病毒库,定期查杀病毒。不浏览不安全网页。不上非法、不可靠网站,不随意点击链接,以防网页木马侵入。
4.4不打开可疑邮件。不随意打开邮件附件和别人发来的文件,要先检查文件是否有伪装、捆绑。注意文件扩展名、是否捆绑其他木马文件。电子邮件方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。为了减少病毒带来的损失,在平时应注意操作习惯。
4.5正确使用移动存储设备。不随意使用移动存储设备;使用移动存储设备之前进行病毒的扫描和查杀;不设置移动设备的自动运行;避免双击打开移动设备。
4.6关闭不必要的端口。黑客在入侵时常常会扫描你的计算机端口,关闭用不到的网络端口,可以有效提供计算机的安全系数。
4.7更换管理员帐户。Administrator帐户作为系统的超级用户拥有最高的系统权限,黑客入侵的常用手段之一就试图获得该帐户的密码。为了避免Administrator用户留下的安全隐患,首先应为Administrator帐户设置强壮的密码,然后重命名Administrator帐户。
4.8设置Guest帐户。禁用或删除Guest帐户。做好IE的安全设置。ActiveX控件和Java Applet有较强的功能,但网页中的恶意代码往就是利用这些控件编写的小程序,只要打开网页就会被运行,因此必须做好IE的安全设置。
5、计算机网络攻击的常见手法及防范措施
互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。
5.1利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
5.2通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。
5.3解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。
另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。而且要经常更换密码,这样使其被破解的可能性又下降了不少。
5.4后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。
当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。
5.5拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
关键词 计算机病毒;黑客;防火墙;加密
中图分类号 TN915 文献标识码 A 文章编号 1673-9671-(2012)111-0127-01
随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。
1 网络问题分析
1.1 PC的安全问题
大家都经常上网,有的肯定已经有了自己的个人电脑,但在使用过程中经常会有信息污染严重、电子邮件安全、计算机病毒侵害、黑客的入侵等问题,相信大家对这些安全问题会有所体会。
1.2 常用服务器的安全问题
常用服务器的安全问题形形,比较有代表性的问题包括:FTP文件传输的安全问题、Telnet的安全问题、电子邮件问题、DNS服务的安全问题、网络管理服务器的安全问题。
2 计算机病毒及其防范
2.1 计算机病毒的特点
计算机病毒具有攻击隐蔽性强、繁殖能力强、传染途径广、潜伏期长、破坏力大、针对性强等特点。当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失.
2.2 计算机病毒的防治
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。
计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。所以预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。
安装杀毒软件和杀毒防火墙是我们常用的一种防治病毒的方法。老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护,只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒,在计算机病毒运行之前发出警报,还能屏蔽掉计算机病毒程序的传染功能和破坏功能,使受感染的程序可以继续运行。同时还能利用计算机病毒的行为特征,防范未知计算机病毒的侵扰和破坏。另外,新一代的防杀计算机病毒软件还能实现超前防御,将系统中可能被计算机病毒利用的资源都加以保护,不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除更有效地保护计算机系统。
计算机病毒可以通过网络进行传播,网络已经成为计算机病毒的第一传播途径。电子邮件是传播计算机病毒最主要的媒介,如风靡全球的Red Code、Nimda、Papa等病毒都是通过电子邮件的方式进行传播的。计算机病毒主要以电子邮件的附件形式进行传播,所以防范电子邮件病毒需要升级操作系统、做好安全措施外,还需要做到不要轻易执行附件中的EXE和COM等可执行程序,不要轻易打开附件中的文档文件等等。
3 黑客攻击及其防范
3.1 常见的黑客攻击手段
黑客对网络的攻击方式是多种多样的,一般来讲,大概可以分为拒绝服务攻击、非授权访问尝试、预探测攻击、可疑活动、协议解码、系统攻击六类。一般情况下,拒绝服务攻击是通过使被攻击对象的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
3.2 黑客攻击的检测和防御
下面通过对黑客攻击方法的特征分析,来研究如何对黑客攻击行为进行检测与防御。我们主要讲拒绝服务器攻击的防范。①Land攻击是一种拒绝服务攻击。通过判断网络数据包的源地址和目标地址是否相同检测。反攻击方法为适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为,并对这种攻击进行审计。②TCP SYN攻击是一种拒绝服务攻击。检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。③Ping Of Death攻击是一种拒绝服务攻击。检测方法:判断数据包的大小是否大于65535个字节。反攻击方法为使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。适当配置防火墙设备或过滤路由器就可以防止这种攻击手段,并对这种攻击进行审计。④ardrop攻击是一种拒绝服务攻击。通过对接收到的分片数据包进行分析,计算数据包的片偏移量是否有误检测。反攻击方法为添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
4 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙能有效地控制内部网络与外部网络的访问和数据传输,从而达到保护内部网络不受外部非授权用户的访问,并过滤不良信息的目的。安全,管理,速度是防火墙的三大要素。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
5 加密技术
5.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。
5.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。加密技术的应用是多方面的,但最为广泛的还是在电子商务和VPN上的应用。
6 结束语
网络安全是一个涉及面很广的问题。要想达到安全的目的光从防范上做是不够的。网络是一个全球性的网络,所以在我看来要通过管理网络以到达解决网络安全的话,必须要同过全球共同来管理,建立一个统一的管理规则。就如同我们现实中的安全问题一样,防范永远是被动的。我们因该加强其法制和道德的建设,开设网络道德教育等,从人入手以达到解决问题的目的。
参考文献
[1]张小兵,严望佳.黑客分析与防范技术[J].清华大学出版社,1999.
[2]charis brenton,马树奇.网络安全从入门到精通[J].电子工业出版社,2003.