时间:2023-09-28 18:00:36
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机网络安全分类,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
中图分类号:TN702文献标识码:A 文章编号:1009-3044(2008)31-0850-02
Under the Multi-Path Transmission of Computer Network Security
DU Xiao-lei
(Tianjin University of Technology Computer and Automation Institute, Tianjin 300160, China)
Abstract: The computer communication network security has been of great concern at home and abroad. Multi-path transmission is a new kind of information transmission methods. Based on the security methods have been proposed on the basis of a new multi-path transmission and distribution Biaoxiang combination of security information transmission method, thus greatly enhancing the transmission of network information security. In this paper, multi-path transmission to improve network security, is a complete theoretical analysis and strict proof, to a complete realization of the multi-path routing method, which came to the conclusion the actual computer network to transmit information security Is of important significance.
Key words: computer network security;security leak rate
1 引言
随着互联网络的发展,计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大,越来越多的重要的和机密的信息通过计算机网络来传输,因此,计算机网络的安全,己经成了社会乃至人民的安全所在。如何安全有效的通过计算机网络传送信息,己成为研究的一个重要课题。本文针对于多路径传输用于提高计算机网络的安全性给出了一个较为全面的解决方案,并且证明了信息通过多路径传输比单路径传输在安全性上有更好的优势和灵活性。
2 计算机网络安全概述
2.1 网络安全的脆弱性
计算机网络尤其是互连网络,由于网绍分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而使计算机网络存在很多严重的脆弱点,例如:不设防的网络有上干个漏洞和后门、电磁辐射、串音干扰、硬软件故障等。它们是网络安全的隐患,问题严重,原因复杂。为攻击型的威胁提供了可乘之机。
2.2 网络安全的威胁
目前,网络安全所潜在的威胁可谓形形:有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等。对网络安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等力一面。
安全威胁的途径主要有一下几种:系统存在的漏洞;系统安全体系的缺陷;使用人员的安全意识薄弱,制度不严等。
2.3 网络安全的技术对策
网络安全是对付外来威胁、克服本身脆弱性、保护整个网络资源的所有防范措施的总和,涉及政策、法律、管理、教育和技术等方面的内容。它是一项系统工程,同时针对来自不同方面的安全威胁,需要采取不同的安全对策。从政策、法律、制度、管理、教育和技术上采取综合措施,以便相互补充,达到较好的安全效果。技术措施是最直接的屏障,目前常用而有效的网络安全技术对策有加密、数字签名、防火墙、访问限制等。
3 多路径传输对计算机网络安全性的影响
3.1 多路径传输时信息全部泄漏的概率
如果在一对节点中有N条路径,数据在一对节点间的n条路径间传输时每一条路径分担的数据量比为ri,而且每一条路径中有mi个路由器,每个路由器受到攻击的概率为pi,那么当数据在这n条路径上传输时全部泄漏的概率为:
P[n│l=1]=■[1-(1-pi)mi](1)
当数据全部丢失,在上述设定的条件下,就意味着所有传输的路径都受到了攻击,那么数据全部泄漏的概率就是在传输的n条路径上都受到攻击的概率,也等于每一条路径受到攻击概率的乘积,所以公式1成立。
对于多路径传输来说,每条路径所受到攻击的概率大于零小于1,也就是0
1) 当从源节点到目的节点通过多路径传输数据时,在每条路径上的流量分担系数和受到攻击的概率一定的情况下,选择传输的路径数n越大,数据全部泄漏的概率就越小;
2) 在多路径传输数据时数据全部泄漏的概率一定比单路径传输时数据全部泄漏的概率小。
3.2 多路径传输时部分信息泄漏的概率
如果在一对节点中有N条路径,数据通过节点间的n条路径间传输时每一条路径分担的数据量比为ri,每一条路径中有mi个路由器,每个路由器受到攻击的概率为Pi,那么当数据在其中n条路径上传输时数据泄漏率大于零,也就是发生数据丢失的概率P{n―i>0}为:
P[n│l>0]=1-P[n│l=0]=1-■(1-pi)mi(2)
在单路径传输的情况下,信息泄漏率或者是1,或者是0,即:
P{i―l
P{i―l>0}=P{i―l=1}
3.3 多路径传输时信息泄漏率小于安全信息泄漏率的概率
设t为安全信息泄漏率(相应于安全包泄漏数量T),即如果信息在通过多路径的传输过程中总的信息泄漏率小于t(或包泄漏数量小于T),则认为此传输过程是安全的。
当这个原理应用于计算机网络中数据的传输时,包含有两个意思:第一,当攻击者(末授权获取信息者)通过各种攻击手段获得的信息量小于安全信息泄漏率时,他无法从得到的信息中获取关键信息,因而对于这个通信系统来说是安全的;第二,信息通过多路径到达接收端时,只要接收到的信息大于或等于T时,就可以恢复出完整的关键信息。
4 多路径传输下的安全分布表
如果信息完全通过一条单路径来传输到目的节点的话,攻击者就有可能通过攻击这条传输路径上的任何一个节点来获取到完整的信息。因此,当应用多路径传输的技术时,就可以极大的降低信息完全丢失的可能性。在此基础上再应用安全分布表的技术,将进一步增强计算机网络通信的安全性。(T,K)安全分布表能够将信息分为K个子信息通过多路径传输,如果接收节点能够正确的收到T或T以上个子信息的时候就能够正确的重新构建原信息。
4.1 (T,K)极限安全分布表
对于一个安全分配表来说,如果任一个不合格部分的子集都不提供关于主要信息W的内容,则这个安全分配表是完备的。这就意味着先验概率P(W=W0)等于条件概率P(W=W0 | 给定一个不合格集合的任何或是较少的关键信息)。通过平均信息函数H,能够表述对于一个完备的(T,K)安全分配表的要求:
H(K―Si1,…,Si7)=0
H(K―Si1,…,Si7-1)=H
其中:{i1 ,…,i7}是来源于{1,…,K}的集合。
假定主要信息W是在GF(q)上随机选取的,因此有H(W)=Sq。
设f(x)= ar-1xr-1+…+aix+W是整个有限域GF(q)上的T-1阶多项式。则K个部分的信息Si可以由f(x)计算,Si=f(i), i=1,…,K,很明显给定任意T个安全部分Si1,…,SiT,{i1,…,iT}?奂{1,…,K},根据拉格朗日插值多项式f(x)1,能够被重新构建如下:
f(x)=■Sik・■ ■(3)
因此,关键信息可能通过f(0)获得。另一方面,给定任何m-1个安全部分Si1,…,Sit-1,{i1,…,iT}?奂{l,…,K),f(0)能够被写为
f(0)=a+SiT・b
其中:
a=■Sik・■ ■andb=■ ■ (4)
因为Sim是在整个有限域上的均匀分布的,则有:
H(K | Si1,…,Si7-1)=H(f(0)/Si1,…,Si7-1)=H(a+SiT・b)=H(SiT)=S q=H(K)
因此,(T,K) 安全分配表是完备的。
4.2 根据(T,K)安全分布表重建信息
为了在多路径传输上应用(T,K)安全分布表,需要在多路径传输中添加两个算法,应用在源节点的算法我们称为剖分算法,它的作用是将原信息分为K个子信息;应用在目的节点的算法称为合成算法,它用来是从子信息数据包中提取信息,并通过计算来重构原信息,它可以由任意T个或大于T个的正确信息包重构原信息,但当在合处理器端接收到的正确信息包少于T时,将无法重构原信息。也就是说,在多路径传输中采用(T,K)安全分布表,只要丢失的信息包小于T个时,信息完全不会泄漏。
5 结束语
本文根据目前的网络安全形势,提出了采用将多路由路径与安全分配表相结合的算法进行信息的传输,以提高信息传输的安全性。本文提出了在信息传输中可以采用多路径传输来作为当前这些安全技术的一种补充手段,并且从理论上证明了通过多路径信息传输可以大幅度地提高网络信息的安全性。在采用多路径传输时提出了一个安全信息泄漏率t来作为衡量信息在计算机网络传输时的一个标准,并且通过理论分析和计算得出了当允许存在一定信息泄漏率的情况下采用多路径传输可以全面增强计算机网络信息传输的安全性。
参考文献:
[1] 许福永,林晓辉.计算机网络中路由选择的优化研究[J].甘肃工业大学学报.2008, 29(1):86-89.
[2] 许福永,梅中磊.基于现代超启发式搜索方法的计算机通信网络中路由选择优化的研究[J].兰州大学学报(自然科学版).2007,37(2):63-70.
关键词:计算机网络;安全;问题;对策
中图分类号:TP399文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Discussion on the Problems and Countermeasures in Computer Network Security in the New
Sui Zhenyou1,Tong Lu2
(1.Adult Education College,Inner Mongolia University for the Nationalities,Tongliao028043,China;2.Xingan Vocational and Technical College,Wulanhaote137400,China)
Abstract:The extensive use of computer networks in the 21st century,bringing fast and convenient at the same time,also makes computer network security issues have become increasingly prominent in the form of its performance is diverse,we must take appropriate measures to ensure the safety of the entire computer operating environment.This article will focus on the status of the new era of computer network security,and explore ways and means of security computer network security.
Keywords:Computer networks;Security;Problem;Countermeasures
21世纪计算机网络技术发展日新月异,在各个领域都得到了广泛的运用,它不仅跟人们的日常生活产生了越来越紧密的联系,甚至对国家安全也形成了一定的影响。因此,保障计算机网络安全有着极其重要的意义,必须引起高度的重视。
一、新时期计算机网络安全的定义及特点
(一)计算机网络安全的定义
计算机网络是计算机科学发展到一定阶段的产物,是信息社会的主要标志之一。[1]对计算机网络安全的理解,国际标准化组织将其定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。对于一般用户而言,网络安全意味着保证个人隐私或者其他机密信息在网络传输的过程中能够得到保护,不被他人窃取或篡改。对网络提供商来说,他们除了要保证信息的正常传输,还要考虑各类意外因素导致对网络运行环境的破坏情况下对网络安全的维护。
(二)计算机网络安全的特点
计算机网络安全的特征主要表现在系统保密性、可用性、完整性和可控性四个方面。其中(1)保密性是指网络信息只提供给特定授权的用户使用,其他用户和实体无权处理和使用,通常运用加密技术来实现;(2)可用性是指网络信息可被授权用户和实体访问,并按需求使用,可通过系统正常使用与全部工作时间之比进行衡量;(3)完整性是指在信息存储和传输过程中,未经授权不得发生改变、丢失的情况;(4)可控性是指对信息的传播及内容具有控制能力,并确保计算机系统受到攻击或破坏时,网络信息能够实现自动恢复。[2]从这几个方面来看,计算机网络安全主要是指网络信息安全,尤其是信息传输过程中的安全。
二、计算机网络安全的现状分析
随着计算机网络技术的发展,其安全也受到了各个方面的威胁,从我国目前的情况来看,主要包括:(1)不法分子利用计算机网络传播不健康的信息,高危漏洞的比例不断增加;(2)网络安全意识薄弱,个人隐私或其他机密信息的安全得不到有效保障;(3)网络环境日益复杂,为网络犯罪提供了平台;(4)网络安全人才短缺,技术发展不完善;(5)网络安全制度、安全体系和程序亟待健全和完善。这些无疑给我国计算机网络安全带来了很大的隐患,如果不能得到及时的防治,将会对我国的发展带来更加严峻的挑战。
目前,计算机网络安全问题主要包括六个层面[3],即:
(一)计算机网络物理层安全问题
其范畴包括服务器、交换机、路由器等机房网络设备和维持机房物理环境的设备,如UPS、精密空调等,以及计算机硬件和网络传输线路等。其面临的问题主要有无力通路的破坏、干扰和窃听等。
(二)计算机网络的网络层安全性问题
此类问题的产生主要源于安全配置不当造成的安全漏洞以及计算机网络用户自身安全意识的不足,导致黑客等不法分子的攻击和对信息的恶意窃取或篡改。
(三)计算机网络系统层安全性问题
主要是指操作系统存在的安全性漏洞及其带来的安全风险,是目前最为普遍的计算机网络安全问题。
(四)计算机网络的病毒传播
计算机病毒通过对计算机资源进行的自我复制,以及依靠不可预测的传播能力通过多种渠道进行传播,来破坏计算机的数据信息,致使计算机系统紊乱,甚至使整个局域网都陷入瘫痪状态。
(五)计算机网络的数据安全问题
此类问题在计算机的局域网中较为突出,只要是指局域网在进行数据传输时未进行加密,或者未设置专门的软件和硬件进行控制,从而使得传输线路存在被窃听的威胁,导致传输安全的风险性增大。
(六)计算机网络的安全管理问题
此类问题主要是指计算机网络的内部人员疏于对用户使用权限的管理,容易为黑客的入侵埋下隐患,根本上是源于缺乏完善的安全管理制度。
三、新时期加强计算机网络安全的对策
为了防范各类计算机网络安全问题,我们应当从物理层面、技术层面和管理层面等入手,全面、有效地控制计算机网络安全风险,提高对计算机网络使用的信任度。具体的措施体现在:
(一)物理安全层面
主要是从安全的物理环境的条件出发,保证计算机网络系统的安全性和可靠性,包括机房及其设施的选择与防护。[4]在机房场地环境选择方面,要考虑到外部环境安全性、地质可靠性以及场地抗电磁干扰性等方面的因素,同时还要注意出入口的管理。在机房的安全防护方面要做到区域安全,主要是指通过物理访问控制的方式对用户的使用权限进行合法性验证,并限定其活动范围,而且要在计算机系统中心设备外设多层安全防护圈,同时,还需在设备所在的建筑物中配备抵御各种自然灾害的设施,以防意外因素导致的破坏与入侵。
(二)技术安全层面
计算机网络安全技术主要包括实时扫描、实时监测、防火墙、病毒情况分析报告技术和系统安全管理技术等方面,随着计算机科学的发展与进步,这些技术日渐成熟,在保障计算机网络安全的过程中起着至关重要的作用。总的来说,技术层面的计算机网络安全主要包括:
1.数据加密技术,其工作原理就是将一个消息转换成无意义的密文,通过数据传输之后到达接收方,他们即可利用解密函数或钥匙等将其还原成明文,以此来保证数据和信息传送的保密性,比较可靠的做法就是引入密钥管理机制,对全过程进行全方位的控制;
2.防火墙技术,它是一种介于计算机和它所连接的网络之间的软件,通过隔离控制技术来控制两个网络之间的互相访问,以此来确保网络安全。其常用的技术还有网关技术、过滤态检测技术等,具有很好的保护作用,使用也比较广泛,可以实现扫描网络通信、过滤攻击、封锁病毒等,能够在一定程度上减少对网络安全的威胁,不足的是它还不能防止从LAN内部的攻击;
3.病毒预防技术,计算机病毒预防技术主要有三种,即预防病毒技术、检测病毒技术和消灭病毒技术,其中预防病毒技术是整个病毒预防的初级阶段,通过相关的控制系统和监控系统来确定病毒是否存在,从而防止计算机病毒入侵和损害计算机系统;检测病毒技术则是通过各种方式对计算机病毒的特征进行辨认,包括检测关键字和文件长度的变化等;消灭病毒技术则是具有删除病毒程序并回复原文件的软件,是病毒预防的高级阶段;
4.数据备份,是指在计算机系统出现瘫痪、数据丢失情况时,可以利用其进行数据恢复的手段,通过备份数据并以某种方式加以存储和保留,来确保系统在遭受攻击或破坏之后还可以重新使用;
5.不间断电源。主要用来应对突如其来的断电所造成的数据丢失和软硬件系统的故障,不间断电源可以在停电的情况下继续保持与操作系统的沟通,提供即时的能量。[5]
(三)管理安全层面
有了物理安全和技术安全的保障,还需要加强对计算机网络安全的管理,提高计算机安全保护相关法律法规的执行力度,只有将三者紧密结合,才能全面确保计算机网络安全。其内容主要包括对计算机用户的安全教育、建立专门的安全管理机构、加强相关制度的立法和执法的力度等。目前我国有关计算机网络安全的法律法规主要有计算机安全法、计算机犯罪法、保密法和数据保护法等,它们明确规定了计算机用户和系统管理人员的权利和义务。其中,计算机网络的内部工作人员,还应自觉遵守人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、资料管理制度以及机房保卫管理制度等。当然,做好自觉抵制一切与网络安全相关的违法犯罪行为的宣传,提高安全防范意识也是极其重要的。
四、结语
综上所述,我们在对发达的计算机网络技术进行系统应用的同时,也需要不断加强计算机网络安全的防护工作,分别从物理层面、技术层面和管理层面入手,全方位的减少计算机网络使用的安全风险,为信息提供安全的交流平台,从而更好地让计算机为人类各项事业的发展做出应有的贡献。
参考文献:
[1]任大伟.浅析计算机网络安全与防范[J].国土资源高等职业教育研究,2011,3:85
[2]王冶.计算机网络安全分析及其防范措施[J].科技传播,2011,12:189
[3]胡朝清.计算机网络安全存在的问题及对策[J].德宏师范高等专科学校学报,2011,20(2):95-96
关键词:网络安全管理;网络安全构建;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2013) 01-0147-02
随着计算机网络的推广,现在已成为人们日常生活不可缺少的一部分。它给人们提供众多的便利。但同时另一个问题也暴露出来,那就是计算机网络安全问题,计算机安全问题威胁到计算机的正常使用,严重的造成大量的经济损失,给人们的生活、财产造成威胁。面对危害日益突出的计算机网络问题,我们必须引起高度重视,认真分析原因,从而找到有效措施改变这一现状。
1 影响计算机网络安全的因素
随着经济和科学技术的快速发展,计算机网络技术也日益成熟,计算机网络被广泛应用到人们的工作和生活中,但人们对计算机网络安全的认识不足,安全制度也不健全,在管理上出现诸多纰漏,这给计算机网络安全埋下祸源。同时,在计算机维护上,人们仅仅注重硬件的建设,疏忽软件的管理,因管理上的不足造成计算机网络漏洞出现,致使计算机丧失一个坚实的平台,这样的计算机随时可能出现问题。下面主要分析了计算机网络安全存在哪些威胁。具体分析如下:
1.1 网络安全技术的发展。计算机网络安全技术本身就是一个复杂的系统工程,又因为计算机网络的发展疏忽安全方面的研究,从而使得网络安全技术的发展却略显滞后,每一种安全机制都有其应用的范围和应用环境,新一代的产品就安全性来讲,还是延续上一代的安全技术,在使用这些产品的计算机网络很容易受到攻击。同时网络安全技术的发展和使用也受到人为因素的影响,即便运用了现有的安全工具和机制,网络的安全问题仍然存在。
1.2 操作系统和网络软件的漏洞。漏洞是计算机由于设计和技术方面上的缺陷而出现的程序错误。这种缺陷或错误允许非法用户未经授权去访问系统或提高其访问系统的层次。计算机网络的快速发展,使得计算机的操作系统给为复杂,在这复杂的系统里面必须有严格的结构,这就不可避免的在设计上出现一些漏洞。在使用过程中这些漏洞被人们发现并借机利用,这使网络安全问题面临着更加严峻的挑战。网络黑客正是利用这样的网络漏洞进行恶意的攻击,最后造成计算机资料的损坏和系统的崩溃,使计算机彻底瘫痪。
1.3 网络黑客袭击。由于计算机网络的开放性,黑客可以入侵到各级网络,利用非法手段窃取重要的信息,破坏有用的数据,而且这种破坏行为能够迅速地在网络中传播使网络安全受到威胁,对网络上的用户信息资料造成严重的影响,干扰网络的安全运行,甚至造成其系统的瘫痪。
1.4 网络用户的使用安全性。在网络的使用用户中内部用户所带来的安全威胁远远地大于外部网用户,究其主要原因是内部网用户可以无视网络系统的防火墙,一旦操作出现问题,防火墙无能为力,因而就会带来安全隐患。有些人出自好奇,去访问一些不健康网站,下载视频,大量浪费资源,加重了网络运行负担,导致一些病毒有机可入,严重影响网络正常运行,危害人们的身心健康,也是网络安全一大隐患。
1.5 网络维护人员缺乏、管理制度不到位。计算机网络在不断的增大,人员却不成正比增加,造成人单力薄,维护困难重重,时常顾东就顾不了西,只能找重点维护,网络安全得不到保证。没有及时安装和升级杀毒软件。计算机使用人员总存在侥幸心理,认为没有杀毒软件计算机运行速度会快,就是出现问题也有专人来维护,已完全忽视了计算机运行的安全。安装了杀毒软件也不及时升级,造成一些新病毒入侵,使网络安全无保障。信息安全防范技术和管理制度的不健全,网络安全管理制度不健全。人们只注重硬件建设,设备虽然很多,但管理跟不上去,几年也不修改规章制度,跟不上网络发展的需要。
这些是影响计算机网络安全的主要因素,除此之外还有诸多因素如网上犯罪人员对网络的非法使用及破坏;自然灾害以及人为操作失误或错误意外事故的损害等等。
2 加强计算机网络安全保护的相关对策建议
计算机网络安全越来越重要,它关系到用户对计算机网络安全的信心,关系到计算机网络技术能否健康持续的发展,关系到相关存储和传输数据的安全,这引起全社会的进一步关注,应切实采取有效措施保障计算机网络的安全。
2.1 对有关数据进行加密处理。在计算机网络进行数据维护,采用最重要的一个方法就是将数据进行加密。数据加密就是将那些需要保护的数据进行加密处理,使得信息有明文转换为密文,在用户需要的是时候再把信息密文转换成明文,这样就可以有效保证数据在传输和保存过程中的安全性。数据加密主要包含三个方面:应用层加密、传输层加密、数据链路加密。
2.2 充分发挥计算机网络防火墙的保护作用。在计算机网络快速发展的过程中,人们意识到网络安全的重要性,从而加强了计算机网络防火墙的研发。防火墙的原理就是通过网络边界建立相应的网络通信监控,有效的保证了真实有效数据传输,将不健康或非法数据拒之门外。防火墙的主要作用是有效保护脆弱的网络、控制外界网络对网络内部的破坏和监视网络内部安全运行等。在众多的保护措施中,计算机网络防火墙是最基本防护手段,其防护作用虽然强大,但也存在一些缺陷,计算机网络有必要再进行其他方式措施的保护,目的实现计算机网络的安全、快速、畅通。
2.3 建立全方位、多层次的防毒产品。在网络快速发展的今天,病毒借助计算机网络正以惊人的速度向网络用户传播,传播的途径也越来越多元化,传播的范围也越来越大,要保证计算机能够安全的运行,除了要增强病毒防护意识外,更要切实际的加强防护病毒的工作。为防止病毒传播用户要及时建立全方位、多层次的防毒软件,并要及时获得有关病毒知识,加强对计算机的日常监测,对计算机出现的异常情况进行观察和判断,并对有关病毒的入侵进行及时有效的防范,以保证计算机系统的安全。
2.4 制定有效可行的网络安全管理制度。为保障网络系统能够安全高效地运转,就要从实际出发,制定出一套切实可行的网络安全管理制度,并且能够得到不断的完善,这样才能够保证网络安全方案的有效实施。人作为实现网络系统安全的主体,必须要让每个人都有安全意识,同时也要提高网络工作人员的责任心,制定一些关于网络操作和系统维护章程建立应急措施,同时还要加大自动化的管理力度,完善相关的法律、法规,加强对计算机犯罪的制裁。
总之,要保障计算机网络的安全,必须将用户、管理、技术这三方面的工作做到位,使三者相互关联,有机的结合在一起,缺一不可。在三者管理工作中,不仅仅需要过硬的技术力量,同时还需要建立健全的管理机制和管理措施进行辅助,只有这样才可以有效保证计算机网络的安全。
参考文献:
[1]王群.计算机网络安全管理[M].北京:人民邮电出版社,20l0.
[2]葛彦强,汪向征.计算机网络安全实用技术[M].北京:中国水利水电出版社,2010.
[3]张友纯.计算机网络安全[M].武汉:华中科技大学出版社,2006.
[4]王腊梅.计算机网络安全的防范措施[J].武汉市经济管理干部学院学报,2003(6).
关键词:计算机网络;安全设计;系统管理
中图分类号:TP 文献标识码:A 文章编号:1009-914x(2014)02-01-01
一 计算机网络设计的信息安全
当今世界信息的快速传播得益于计算机网络的发展,计算机网络在运用方面最主要的还是在信息的传播上。因此,计算机网络的安全设计上,信息安全应该被摆在第一位,信息安全包括信息的保密、信息的不被盗用等等。计算机网络安全可以说就是信息的安全,计算机网络设计有义务使信息得到安全防护。
(一)计算机网络信息安全设计浅析
计算机网络设计有着繁琐的设计程序,其主要在技术上要求比较高,其特征有关联性、开放性和多样性。因为特征复杂,在安全设计上就要下一定的功夫。在普遍的传输方式上面有着两种网络模式:广域网与局域网。传送路径的差异,在对网络设计的潜在安全要求就不同。在各种安全因素交织的情况下,网络信息的安全设计考虑的范围广阔,对差异安全问题采取的设计方案就要有所针对性,并进行全方面的系统设计。
(二)网络安全设计的信息储存
网络安全设计应该做到信息存储安全,网络信息存在状态为传播与储存。在储存安全性上,要保证储存信息的整体性和秘密性,而且可控与可用。注重储存位置与安全是信息储存的重要方面。
在现实生活中,计算机网络信息储存易受到以下两方面的攻击:1.非法访问。计算机网络的非法访问大多隐蔽性强,防止了安全设置的的阻挡,未经授权用户进行非法访问加密文件极易造成信息的泄密。被入侵的信息可能不会直接泄密,但是破坏较为严重,信息失去了其完整性。2.基础性的物理硬件设备的破坏与故障。计算机网络信息储存遭到破坏后,信息发生丢失与毁坏的可能性极大,信息完整性丧失,不再可用,失去现实有效性。
为了解决上述安全风险,保护网络信息的储存,经研究,可采用以下设计:1.重视对物理基础硬件设施的保养。信息安全储存应该重视硬件设备的保养,如果硬件设备一旦损坏或丢失,往往造成无法弥补的后果,所以,对硬件设备的保护应该受到应有的重视。2.设置信息访问权。从信息安全的访问要件与非法访问引起的严重后果来看,首先应该在信息访问上设定安全级别,进行有针对性的设计与控制。作为防止非法访问的重要手段,安全访问的信息访问权设定可采用系统控制与个人设置控制融合使用。可采用的方式多为访问用户信息判别、安全等级设计、访问跟踪设定、安全文件控制和物理推理位置。此外可下载防毒软件控制及文件的加密等方式来维护储存安全。作为挽救办法,可以采用数据云备份或加密等手段,预防非法访问后计算机信息储存完整性的破坏。
二 网络的信息安全设计
计算机网络的信息安全保障很多层面上得益于计算机网络的分层结构,如局域网的安全,最主要的是数据链路层的设计。数据链路层是局域网用户间相互交流的桥梁,统一光缆为计算机建立局域网提供了条件。保护局域网的前提首先应保护数据链路层。而对其原理的把握,可在设计上提供有效借鉴。
数据链路层及用桥接设备把中继器相连,形成特定网段的整体。分组广播是数据传播的主要方式,MAC、信道共享对于接收与否定也是通过分组广播进行的。为确保信息安全,应该以信息的防泄密、加密传播与加密的设计为主要方式。
三 计算机网络安全之系统化管理
计算机的系统化管理即用户进行的安全管理与设置。与计算机网络设计以技术人员不同,系统化管理以用户为主体。用户要想有效的管理计算机,一般应当进行安全体系的认证:1.安全证书认证。以国际标准开发的安全认证具有加密性。组成部分为注册、签发、、查询和备份系统。2.目录服务器。这是访问控制的基础,因其可用性强,在用户的管理体系当中居于核心地位。3.服务器上的确证。用户大多采用内部访问的方式进行。用户设置访问授权与认证,可提高访问的安全与平稳。
Windows系统是现代计算机网络系统的主流,以该系统为例,用户应该着重注意几方面:1.登录系统管理。登录是用户使用计算机的前提,用户可设置账号进行登录。登录的安全方面主要考虑授权密码登录,用户设置授权登录许可与禁止。对于强制性登录而言,可设置审核程序,再允许继续操作。2.账号与密码管理。用户可以管理员身份设置Admini5trator,再进行其他操作。用户可以安全保密性的需要自行设置账号与密码。或文件不需安全设置,也可Admini5trator修改账户或删除。3.多用户管理设置。多用户管理一般是以资源共享为目的,是对网络中存在用户账户而言的。用户在进行此操作时,应慎重考虑个人文件安全重要性。
四 结语
因计算机网络有开放性和高速的传播性。网络安全设计主要考虑的范围为信息的传输安全及存储安全。存储设计以分层结构为原理,主要是数据链路层的设计。对于用户而言,计算机系统的安全管理也是不可忽视的。安全管理主要涉及账户设置及访问密码设置上。
参考文献:
[1] 苏广文,高翔,高德远等.计算机网络三维安全模型[J].微电子学与计算机,2002,19(1):47-46,53.
[2] 高翔,王敏,苏广文等.计算机网络综合安全模型[C].//中国计算机学会网络与数据通信学术会议论文集.2002:451-455.
[3] 张世民.计算机网络的安全设计与系统化管理探究[J].煤炭技术,2013,(6):224-225,226.
论文摘要:随着计算机网络技术的越加广泛的应用,人们无论是从日常的生活起居还是工作娱乐无处不充斥着计算机的影子,更重要的是计算机网络已经成为人们进行管理、交易的不可或缺的桥梁,但是与此同时对于计算机网络应用的安全性方面的要求也越来越高。该文从当前计算机发展所存在的威胁入手,论述了计算机网络安全认证体系的发展与完善以及其具有的功能,以达到计算机网络能够更好地为人们服务的目的。
1 计算机网络发展存在的威胁
目前计算机网络的现状是面临着多方面的攻击与威胁。第一种威胁的表现形式为伪装,指的就是威胁源在特定时刻装扮成另一个实体的形式,并借助这个实体的权利进行操控;第二种威胁的表现形式为非法连接,指的是威胁源利用非法的手段建立一个合法的身份, 再通过将网络实体与网络源两者之间建立非法的连接一达到最终的目的;第三种威胁的表现形式为非法授权访问,指的就是威胁源采用一定的手段破坏访问并控制服务,最终实现了越权访问;第四种威胁的表现形式为拒绝服务,指的是通过一定手段的利用阻止合法的网络用户或者拥有其他合法权限的用户使用某项服务;第五种威胁的表现形式为信息泄露,指的是没有经过授权的实体通过某种特定手段获取到信息后造成的某些信息的泄露;最后一种威胁的表现形式为无效的信息流,即为对正确的信息序列进行非法修改、删除的操作,使之成为无效信息的非法手段。上述种种威胁的形成原因大多数是人为造成的, 威胁源可以来自于用户,也可以来自于部分程序,也可以来自于某些潜在的威胁等。所以加强对于计算机网络安全的管理和研究的目的就是最大限度地消除这些威胁。
2 计算机网络安全认证体系的完善
首先表现为安全服务系统的建立。
第一,身份认证。身份认证作为访问控制的基础,是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与,而且常规验证身份的方式在网络上也不是十分地适用,同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透, 所以网络环境下的身份认证特别复杂,而“身份认证如果想要做到准确无误地对来访者进行辨别, 同时还必须提供双向的认证”1,必须采用高强度的密码技术来进行身份认证的建立与完善。
第二,访问控制。进行访问控制是为了达到控制不同的用户对信息资源的访问权限的目的,实质上是针对越权使用资源的一种防御措施。而访问控制的种类亦可从方式上分为自主式访问控制和强制式访问控制两类。实现的机制可以是通过对访问属性控制的访问控制表的控制, 也可以是根据安全标签、用户分类以及资源分档等三类控制实现的多级控制。
第三,数据保密。数据保密是为了防止信息泄露所采取的防御措施。数据加密是最为常见的确保通信安全的手段, 但是随着计算机网络技术的迅猛发展,传统的加密方法不断地被用户以及黑客们破译,所以不得不加强对更高强度的加密算法的研究, 以实现最终的数据保密的目的。
第四,数据完整性。所谓的数据完整性是针对那些非法篡改信息、文件及业务流等威胁而采取的较为有效的防范措施。实质上就是保护网上所传输的数据防以免其被修改、替换、删除、插入或重发, 从而全面保护合法用户在接收和使用该数据时的真实性与完整性。
其次表现为安全机制的发展与完善
在经过了对于计算机网络的安全认证提的创建之后,完善与健全与安全服务有关的安全机制也是必不可少的。第一方面是安全服务方面的安全机制的发展,具体表现为加密机机制、认证交换机制、数字签名机制、数据完整性机制、访问控制机制、路由控制机制等多个方面;第二方面是对于与管理有关的安全机制的健全,主要包含有安全审核机制、安全标记机制以及安全恢复机制等三个方面。
1989年,为了实现开放系统的互联网环境下对于信息安全的要求, 国际标准化组织ISO/TC97的技术委员会专门制订了对于计算机网络安全与管理ISO7498- 2的国际标准。这一标准的建立不仅实现了对于OSI参考模型之间的安全通信所必须的安全服务和安全机制的开建,同时也建立了“开放系统互联标准的安全体系结构框架”2, 为网络安全与管理的系统研究奠定了坚实的基础。同时也开创了网络安全的保证需要进行认证的先河。 转贴于
3 计算机网络当前的管理功能
针对计算机网络的管理一共可分为两类:第一类指的是计算机网络应用的程序、用户帐号以及存取权限的管理, 属性上归类为与软件有关的计算机网络管理问题;第二类指的是针对组成计算机网络的硬件方面的管理,主要包括有对工作站、路由器、网卡、服务器、网桥和集线器等多方面、多角度的管理。在应用计算机网络进行管理时需要遵循以下原则: 一是不能因为管理信息而带来的通信量增加而增加网络的通信量;而是注意不应增加被管理设备上的协议进行系统处理时的额外开销, 从而导致削弱设备的主要功能的现象发生。而当前的计算机网络管理的功能主要表现为以下几个方面:
1) 对于故障的管理。故障管理指的是对网络中出现的问题或者故障进行检测、隔离和纠正的过程。通过对故障管理技术的使用,可以使得网络管理者在最快的时间内确定问题和故障点,以达到最终排除问题故障的目的。而故障管理的过程主要包括发现问题、分离问题、找出故障的原因三个方面,所以,想要保证计算机网络管理的安全,应该在尽可能地情况下,尽量地保证故障的排除。
2) 配置管理。配置管理是在进行计算机网络管理的过程中发现并进行设置网络设备的过程。配置管理的主要功能指的是通过快速提供设备的配置数据从而实现快速的访问的目的,同时在一定程度上行加强管理人员对于网络的整体制, 可以采用正在使用中的配置数据与存储于系统中的数据相比较的方式发现问题,进而根据需要尽可能地修改配置。对于计算机网络的配置管理主要包括有获取关于目前网络配置的信息,提供远程修改设备配置的手段和存储数据以及维护最新的设备清单并据此产生报告等三方面的内容。
3) 安全管理。安全管理指的是对于计算机网络中的信息的访问过程进行控制的一种管理模式。“功能主要包含为支持身份鉴别和规定身份鉴别过程的两个方面。”3随着计算机网络的规模越来越庞大,其复杂程度和精细程度也越来越高,为了保证计算机网络功能的良好运行, 确保其提供给客户满意的服务,亟须使用计算机网络管理系统进行全方位自动化的管理。计算机网络的管理系统通过对管理、监视和控制计算机网络三方面的功能的控制, 即实现了对计算机网络进行管理的目的,所以说计算机网络管理系统的应用对于计算机网络功能的正常运行及发挥具有极其重要的决定作用。
4 结束语
据资料显示:目前有55% 的企业网站缺乏安全战略的考虑,仅仅依靠一些简单的措施来进行防护,这样的做法既无法实现对网络安全的保障, 同时又会对网络的服务性能产生一定的影响。所以应加大发展计算机网络安全与管理的投入力度。只有从根本上加强了网络与信息安全管理的意识, 同时不断地改进和发展网络安全的保密技术, 才能防患于未然,减少不必要的损失。
参考文献
[1] 赵怡.基于视频技术的交通管理系统的研究与设计[D].复旦大学,2009.
[2] 李凌.民航机场安检信息管理系统开发与实施[D].西南交通大学,2009.
[3] 王健.计算机网络的安全技术[J].宁夏机械,2009(4).
[4] 宋华平.计算机网络安全与防范[J].机电信息,2010(12).
[5] 刘君.计算机网络安全分析及其对策[J].科技风,2010(9).
[6] 倪汝鹰.企业网络安全管理维护之探析[J].现代企业教育,2010(10).
关键字 数据融合;网络安全;态势评估
【中图分类号】TN915.08文献标识码:B文章编号:1673-8500(2013)01-0022-02
1网络安全评估技术概念分析
目前涉及网络安全的评估技术主要两种,一种基于数据探测和短板理论的研究,另一种是安全模型的评估技术。下面先对两种评估技术概念进行解释说明。
1.1数据探测和针对短板的检测技术。在计算机网络的发展初期,网络系统的短板主要体现在安全防范措施的欠缺上,当黑客通过这个短板入侵计算机后,便能很快探测到主机管理员账户及系统数据,同时,它还会继续寻找一些其他薄弱环节作为后续入侵的准备。随着越来越复杂的攻击软件的开发研究,这些软件对数据的侦测技术越来越广泛,可以利用一些数据侦测技术来扫描计算机的短板,从而实现对计算机的成功入侵和攻击。目前,数据侦测技术在自动攻击软件上的应用主要体现在以下两个方面,
一是探测有漏洞的计算机及系统,软件将对系统漏洞的入侵变成一次数据探测的扫描活动,达到提升这些黑客软件攻击速度的目的;二是自动提供攻击报告,软件中包含的侦测工具会对入侵的过程进行实时分析并反馈详细报告,从而为下一步的入侵提供数据支持。
从攻击软件对数据侦测工具的使用上来看,现有的数据侦测技术有各自不同的特点和历史局限性,这方面的研究,我国的科技工作者起步较晚,针对数据侦测技术的研究还不够深入,不够系统化,通过这种技术对网络系统的安全评估效果并不理想,因此就出现了下面的安全评估技术。
1.2安全模型化的评估技术。我国科技工作者对安全评估技术研究的越来越深入,已经从原先的基于数据探测的安全评估形式开始逐步发展到多元化的评估形式,安全模型的核心就在于准确描述系统的当前的状态及可能。模型分析工具就是针对模型来制定测试方案,从而实现计算机系统的整体安全评估。这种技术的优势在于包含的安全状态更多,检测的结果更加接近现实,同时建立模型相对简单,易于加深对系统短板的了解,目前基于安全模型化的评估技术已经成为国内外研究的重点。
2数据融合技术
数据融合技术产生于上个世纪80年代,最早应用于军事领域,其主要作用是对目标的检测识别以及对双方军事状态的评估,其实现在网络安全和网络攻击完全等同于军事敌我双方,因此将应用于军事研究的数据融合技术就很容易移植到计算机网络安全状态分析、入侵状况分析以及病毒入侵的检测和安全状态的评估等技术中。数据融合技术主要依托计算机网络中多元化的数据源,并且基于这个数据源建立一整套智能化的决策系统,数据融合网络安全态势评估结果产生过程主要分以下几个步骤:
第一步:数据采集,从安全问题分析角度通过分布式计算机网络数据库采集多元化的数据,并提取关键信息进行格式转化。
第二步:要对采集的信息进行分析,消除掉可能重复的数据和不真实的数据,提高数据的可信度。
第三步:要进行针对性数据处理,主要是对多元数据信息进行相关性处理和定量分析,按照一定的原则对数据进行分类,每个类别的数据要和数据源有联系。
第四步:融合处理,从数据类别中进行信息筛选,然后参照相关数据源对各数据项进行修改。同时还要对不同的信息源进行验证及补充综合等,然后形成综合数据。
第五步:建立数据信息库,这些数据库就能够为不同领域的专家进行模型化的分析打下基础。
基于数据融合的网络安全评估技术就是通过利用系统漏洞扫描软件来扫描系统漏洞,然后对这些漏洞信息进行过滤筛选,提取漏洞数据的基本特征,建立漏洞数据库。最后对这些漏洞数据库进行关联分析。这时候就可以通过漏洞数据库和关联漏洞数据库来建模,并按照模糊理论和贝叶斯网络结构算法对网络的安全态势进行评估。
3基于数据融合的网络安全评估技术
在数据融合技术中,数学的工具作用是最为基础且多重的,这些数据工具通过对所有输入的数据在一个公共的空间里进行有效性描述,并对这些数据进行综合分析加权,并以适当的形式输出和表现这些数据。在众多数学工具中,模糊推理是最为适合的。模糊推理在数据融合技术中的作用主要体现在五个方面,一是输入变量的模糊化,也就是把一些确定输入转化成一个能够通过隶属度表达的模糊集中;二就是在模糊规则下使用模算子,主要包括或、与、非三个。三根据模糊推理运算来推断相对准确的结论;四就是将模块的分结论进行综合而得出总结论;五是反模糊化的运算,这个过程和模糊化的过程相反,是将模糊化的数据集转化成确定的输出。下面再来分析一下模糊推理的主要步骤。在现有的网络安全评估技术中,往往会使用一个简单的数字标准作为分界线,这个数据的两边被分成两个截然不同的级别,因为在模糊推理过程中,对风险要素的赋值是离散的,不是属于连续性数据,所以对风险要素的评定肯定会存在很大的主观性,从而产生不精确性的特征。在模糊集理论中,我们可以通过隶属度来描述大量的模糊界限。隶属度能够使用函数定义,比如当PI值为49时,那表示这个风险向相对低的,但是当PI值为51时,那么风险就变成中等,这时候如果运用模糊概念,隶属度要比分界线的描述相对就会准确的多,比如当PI值为45时,那么隶属度的风险程度为低,而且低于标准隶属度为70%。
4总结
作为计算机网络安全的研究重点,计算机网络安全的评估技术研究越来越重要,衍生了多种的网络安全评估技术,对此本文重点分析了基于数据融合的网络安全评估技术,然后从网络数据侦测技术开始研究了如何建立系统漏洞数据库,同时分析了评估技术的必要性和合理性。
参考文献
[1]邓维斌,朱振国,都羽.融合网络安全信息的网络安全态势评估模型[J].微计算机信息,2007,8
[2]肖道举等.网络安全评估模型研究[J].华中科技大学学报(自然科学版).2002,30(4):37-39
关键词:电子商务;计算机网络;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 06-0000-01
Computer Network Security Analysis and Countermeasures in E-commerce
Li Dong
(Hubei Vocational College of BIO-Technology,Wuhan430070,Chian)
Abstract:With the development of computer network,E-commerce faces some opportunities,but also faces some challenges,particularly in computer network security,to the development of electronic commerce posed a grave threat,which requires the enterprises measures to strengthen security technology and management.This paper analyzes the security of computer networks,electronic commerce issues,and proposed countermeasures.
Keywords:Electronic commerce;Computer network;Network security
计算机网络的出现及快速发展,为社会带来了巨大的贡献。然而,当前电子商务的发展仍存在一定的问题,尤其是随网络而来的安全问题,对电子商务的发展造成了严重的影响。因此,企业应逐渐消除其安全问题,加强网络安全管理,促进电子商务的持续发展。
一、电子商务中的计算机网络安全分析
(一)网络黑客的侵犯。网络黑客指的是在网络中利用个人所掌握的技术来非法地进入其他网站的行为人,一般说来,网络黑客都具有高超的网络技术,能够破解一些电子商务网站设置的技术防护。近年来,很多网络黑客破坏网站,篡改网站的内容信息,甚至盗取了企业、商户的账户密码及资金,严重影响了电子商务的正常运转。
(二)电子商务网站的管理不力。多数电子商务企业都没有树立较高的警惕性,缺乏对网络安全的有效管理。还有一些企业盲目地崇拜各种安全产品,它们认为安装入侵监测系统或者防火墙等安全产品,就足以确保网站的安全性,所以,缺乏有效的技术防范,从而使得外来入侵者有了机会。
(三)电子商务网络的安全问题。网络自身带有共享性和开放性的特点,它的设计原则为不要由于局部损坏使信息传输受到影响,这样一来,就形成了网站安全隐患。特别是一些电子商务企业,其技术不达标,而且网站安全管理手段相对落后,使网络安全增加了大量隐患。
(四)电子商务软件的漏洞。一些软件开发商由于缺乏成熟的技术,导致电子商务软件技中存在一定的安全漏洞,这样一来,就易于被外来的入侵者攻破防护,给电子商务企业带来了巨大的经济损失。还有一些企业购买并安装了相关病毒防护软件,然而,缺乏对软件及时更新及升级的重视,从而导致防护软件丧失了自身的防护功能。
(五)人为管理相对滞后。一些电子商务企业缺乏对企业安全管理的重视,也不注重安全技术上的投入,管理人员的管理与配备也不合理;也有一些企业的制度缺失,或者没有真正落实这些制度,或者管理不到位;还有一些企业的管理人员为了满足自身的利益,蓄意地利用网络来对外泄露企业的商务秘密。
二、强化电子商务中计算机网络安全的对策
(一)制定电子商务安全规划。电子商务贸易方式具有诸多的优点,如效率高和成本低等等,若能够完全排除其中的安全问题,那么,电子商务形式的发展优势一定的巨大的。所以,电子商务企业应该提高对计算机网络安全的重视程度,从企业发展总体战略的高度来看待安全问题。可聘请专业人士来制定企业安全防范的合理规划,同时,在监控机制、人员配备、技术防范、技术投入、安全管理以及人员管理等方面进行精心规划,并选择科学周密的安全防范方案。
(二)加大电子安全的技术投入及管理投入。企业要加大计算机网络安全的资金投入,以购置各种必要的技术防范设备以及防护软件,并注重这些软件的升级与更新,同时加大技术的改造与设备的更新和投入。此外,还应大力引进安全管理的专业人才,加强岗位培训,不断提升这些人才的技术水平,并适度地优化其待遇,以确保网络安全管理队伍的稳定性。
(三)强化安全技术管理。应该重视电子商务的网站建设、软件升级和系统维护,加强管理网站服务器,在日常工作中,做好安全备份。另外,还应制定安全防范预案,这样一来,如果出现了安全问题,才能尽快得以解决,从而防止出现经济损失。还应建立服务器恢复系统,从而一旦遭遇安全攻击,引发网站篡改等危害性事件之后,以确保能够在最短的时间使系统恢复正常状态,也使网站恢复正常的功能。企业还需注意的是,要采用权威的、知名的病毒防护软件,从而确保其可以正常升级、启动,以及有效发挥其防护功能。
(四)强化电子商务企业的自身管理。安全作为企业的生命线,必须引起企业的高度重视,企业应该教育员工在工作中从安全出发,具有较强的安全意识以及敏锐性,彻底消除安全工作中的侥幸心理。安全技术作为电子商务企业一个重要的防范屏障,其有效发挥作用离不开严密的管理,也就是说,只有建立有效、完善的安全防范管理系统,才能够保障企业的安全。
(五)提高对电子商务疫情信息的重视程度。各个企业应进行行业联合,进而组成企业联盟。特别是在电子商务的安全信息上,应做到互通有无,对于安全疫情与有关信息要及时通报。企业应注重网络安全领域中病毒的疫情预报,从而在每个时期都能有针对性地对其进行重点防范,此外,还应时刻关注本行业协会的安全通报,对已经出现的安全事件做到引以为戒,加强重点管理,一定要避免出现相同的安全事件。此外,还需注意的是在电子商务中,信誉度是企业维护客户市场的一个重要因素,所以,企业还要注重客源市场的稳定性,加强自身网络的安全。
三、结束语
综上所述,电子商务中的网络安全问题是不容忽视的,相关企业必须提高重视程度、加强制度建设,并强化落实安全管理。有效运用计算机网络,并消除其中存在的各种弊端,推动计算机网络技术的进步,促进电子商务的发展。
参考文献:
[1]孙敬武,李雅静,刘波,张翠.身份认证方式的选择与电子商务安全需求分析[J].河北省科学院学报,2009,3
[2]黄学翔,童军,乐群.Internet上的数据安全传输和身份鉴别[J].电脑知识与技术(学术交流),2007,1
[3]万绪江,班显秀,刘小东,万朔.网络安全的防御方法和可行性研究[J].电脑编程技巧与维护,2010,8
关键词:企业;计算机;内部网络;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 07-0000-02
在计算机网技术快速发展的今天,企业计算机网络平台在其经营生产活动中做出了巨大贡献。越来越多的企业利用Internet 开拓国内外市场,实施产品展示、网络营销等新业务。电子商务不仅在大中型企业广泛开展,而且中小企业的应用也在不断的延伸。但是,随着企业内部网络规模的日益扩大,安全隐患层出不穷。近年来,每年都有一些企业因安全问题遭受极大损失,如2011年的京东商城、CSDN网站等国内知名站点账号被盗,令人触目惊心。
一、企业内部计算机网络安全现状
我国计算机违法犯罪行为不断增长,在信息安全方面的发展,我国和发达国家的水平有着很大差距,与此同时企业计算机网络安全的防护技术也远远落后,所以我国企业计算机网络信息安全现状有以下几个特点:首先网络安全人才素质低下,虽然我国网络安全人才培养工作起步比较晚,但是其发展日益加快,仍然远远不能够满足社会需求;其次信息安全意识比较淡薄,我国很多个人或者企业对网络安全的认识相当浅显,自我防护能力相当低下,严重缺少相关严格的信息安全管理对策,同时没有足够认识信息安全事故的后果严重性;最后基础信息产业比较薄弱,硬件方面的很多核心技术与核心部件严重依靠于外国,在软件方面上,国际市场价格与垄断对其构成威胁 。
二、内部计算机网络安全隐患
(一)操作系统及软件不能及时升级、修补
企业内网一般自成一个体系,相对于外网,它无法做到系统自动升级,需要操作人员定期进行,这样才可以有效防控一些系统的漏洞和缺陷,因此,各种操作系统的升级尤为重要,一旦升级工作不到位,很容易造成内网安全性降低。另外,内网毫不例外的要使用一些软件程序,如果在选择供应商或应用程序上不够谨慎,在使用软件时监控不足,也会对内网造成威胁,比如,有的应用软件在编程中就忽视安全性,造成黑客可以利用其中的权限、解码漏洞,远程溢出漏洞、数据库的注入式漏洞等,还有的程序员为一己私利或操作员日后管理便利,在软件中故意设置后门等。
(二)计算机系统安全存在缺陷
计算机在网络硬件配置上一旦出现缺陷,也会影响计算机系统的安全,通常有表现为以下几种:1.文件服务器运行的稳定性、功能完善性将直接影响网络系统的质量,是因为其是网络的中枢。网络的可靠性、扩充性和升级换代受设计和选型的影响,再加上网络应用的需求得不到足够的重视,最终限制网络功能发挥。2.网络不稳定可能是网卡选配不当或者安全策略漏洞引起。3.系统和操作软件的漏洞:任何完美的操作系统、网络软件难以避免存在安全缺陷和漏洞。具有安全漏洞得计算机一旦连接入网,就会给计算机病毒和木马可乘之机。
(三)网络安全意识不强及管理制度不完善
目前,一部分企业进行的内网的建设,但在建设过程中,对于内网安全均认识不足,首先,内网管理制度的制定比较滞后,有的单位虽然制定了相关制度,但并不是专业人员制定,内容就显得极不全面。其次,一些企业建网时间较短,没有配之以专业的技术人员,对素质较差的非专业员工也没有及时开展岗位培训,使操作人员在内网安全上没有建立防范意识,在技术上没有防范手段,最后,企业领导没有重视内网安全工作,管理制度执行不力,使内网的各种信息、文件安全时常受到破坏、丢失的威胁,严重的就会影响企业的竞争力和战略决策的实施。
(四)病毒入侵、黑客攻击
企业内部网络中黑客的攻击可以致使网络瘫痪,信息泄露、公司资金安全等给企业造成难以估量的损失。黑客之所以可以轻松入侵,原因就在与他们使用了非常先进的、安全的工具,一旦他们发现没有防御功能,或者对方使用的安全工具很陈旧,就会趁隙而入。因此,计算机安装的安全工具是否安全、先进,对于防范黑客、病毒入侵非常重要。如果工具更新缓慢,就会出现对一些新的安全漏洞无法及时响应,或者需要人为干预才能消除的问题。使计算机的安全受到威胁。
计算机病毒是一些违法黑客、程序员利用自己的技术在计算机程序中植入一些指令或代码,它们可以疯狂破坏计算机的原有程序、功能、数据,造成计算机的软硬件无法正常工作或错误工作。同时,它还具有自我复制、繁殖功能,一些加壳病毒甚至可以隐藏在计算机程序中逃过杀毒软件的搜索。因此,病毒是计算机安全,尤其是数据安全的重大隐患。
三、企业内部计算机网络安全控制措施
(一)物理安全策略
物理性安全策略主要针对于计算机硬件设备提供保护,例如打印机、网络服以及通信链路等。物理性安全策略能保障计算机的安全工作环境,即保障电磁环境的兼容性。另外,这种策略还包括设定用户使用权限范围,制定计算机安全使用制度,防止越权使用、非法盗窃、破坏等行为的发生。由于计算机及其配套设备均有电磁泄漏的可能威胁,因此,物理安全策略还涵盖着应对传导、辐射的防护的各种措施实施和研究。
(二)信息加密策略
企业内部与外部及企业内部之间的大量机密信息,绝大部分是通过计算机网络进行访问。在网络技术高度发达的时代,企业高层与各个部门间的联系都是通过内部邮件、网络设施服务实现的。而在企业信息在内部网络中相互传递的过程中,信息的泄露常有发生,能够给企业造成灾难的后果,甚至关乎企业的存亡。因此,信息加密策略,一直被企业高度重视。目前信息加密有三种较为常用的方法:即节点加密、链路加密、端点加密,这些加密法主要的作用是为计算机内存贮的,以及在网络中进行传输的各种口令、文件、数据等提供安全性。这种技术可以保证信息在传输过程中的安全,保证明文在密钥的解密下才可以显现。至于如何选择,用户完全可以根据自身条件和计算机、网络等情况进行自由选择。
(三)访问控制策略
近年来,在企业内部网络安全方面策略中,访问控制策略是比较有效的安全防范措施。访问控制策略是保障网络安全的最为关键、最为有效的手段之一,它主要被应用于防范非法访问和使用网络资源这一部分,通常有几种常用措施:第一,属性安全控制,这种控制是在计算机网络服务器存贮的文件和目录与网络设备之间架起一座专属桥梁,可以较为有效的保证信息的安全性。第二,防火墙控制,主要有三种:过滤防火墙,防火墙、双穴主机防火墙。这是近几年比较流行,也是比较有效的防范黑客入侵的一种网络安全防护手段,被称之为控制进出口两个方向通信的门槛。第三,入网访问控制,这种控制比较表浅,主要控制分发用户进入和使用某些网络资源,最大限度控制非法访问。
(四)安全检测技术策略
对于企业内部网络安全的检测策略十分重要。安全的检测技术不仅可以对一些安全隐患及时发现,并采取有效措施避免了企业内部网络遭受严重的破坏。不仅如此,还能够检测企业计算机的非法插件、病毒感染、木马危害,从而构建一道安全保障,确保了企业信息安全。从目前的使用情况来看安全检测技术策略主要包括以下方面:1.应用端口安全检测法可以及时检测和发现计算机端口被非法占用的问题,并可及时采取补救措施。2.利用专业软件进行网络系统,如站点、网页扫描,可以随时监测系统的安全指标,防御性能,还可以进行模拟攻击测试,在发现漏洞及时采取措施。3.运用网络安全检测法可随时监督网络系统的异常情况,一旦发生,立刻可以报告,使相关人员及时应对,防止入侵的成功。
四、总结
随着计算机网络安全防范水平的不断提高和安全应对策略的完善,未来的计算机网络将会有更广泛的应用前景。网络安全涵盖范围很宽泛,涉及的技术、理论、方法非常多,是业界一项复杂的科技研究课题,在这一过程中,不仅要进行技术革新,建设整体的安全体系,还要构建人们的安全意识。目前,作为企业,应认识到这种现实,对于网络安全工作要给予足够的重视,应用现有的技术,采用多层次,多样化的手段建立企业自身内网统一的安全体系,最大限度的保证信息的通畅安全。
参考文献
[1]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)
[2]刘昕.企业局域网的安全分析及防范措施[J].信息系统工程,2011(09)
[3]杨晶.论计算机网络安全问题及防范措施[J].科技创新导报,2011(08)
关键词:计算机;网络安全;入侵检测技术
基于网络的入侵检测系统的数据源是网络流量,它实时监视并分析通过网络的所有通信业务,检测范围是整个网络,由于网络数据是规范的TCP/IP协议数据包,所以基于网络的入侵检测系统比较易于实现[1]。但它只能检测出远程入侵,对于本地入侵它是看不到的。
1入侵检测技术概述
探测器一般由过滤器、网络接口引擎器以及过滤规则决策器构成,其功能是按一定的规则从网络上获取与安全事件相关的数据包,然后传递给分析引擎器进行安全分析判断。分析引擎器将从探测器上接收到的包结合网络安全数据库进行分析,把分析的结果传递给配置构造器。配置构造器根据分析引擎的结果构造出探测器所需要的配置规则。分析引擎器是它的一个重要部件,用来分析网络数据中的异常现象或可疑迹象,并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为,它常用的4种入侵和攻击识别技术包括根据模式、表达式或字节匹配;利用出现频率或穿越阀值;根据次要事件的相关性;统计学意义上的非常规现象检测[2]。
2计算机网络安全的现状
在新系统的设计中,利用数据挖掘技术从系统日志、系统调用序列、网络流等大量数据中提取与安全相关的系统特征属性,为了高效地利用特征属性,采用特征向量集代替特征属性变量集,设计中采用遗传算法选择其特征子集,以降低入侵检测系统的负荷。进行数据挖掘时,所选用的安全审计数据须具备以下特点:
(1)相对于正常的用户和系统行为,攻击事件的发生概率很小[2]。
(2)在正常情况下所选用的安全审计数据非常稳定。
(3)攻击事件的发生会使安全审计数据的某些特征变量明显偏离正常值。
特权程序一般都具有最高权限,因此特权程序一直是攻击者的主要目标。通过研究发现,对特权程序,系统调用序列较好地满足了数据挖掘对安全审计数据提出的要求,是理想的挖掘数据源。国外有关研究机构还提供了大量的有关系统调用序列的数据供IDS的研究者下载使用,基本上满足了完备性的要求。
系统调用序列检测的工作主要流程如下:
(1)准备训练数据集,该数据集中数据记录具有广泛的代表性,即具有较高的支持度;所有数据已经被准确标识为正常或异常,采用有关系统调用序列的数据作为分类器的训练数据集。
(2)用RIPPER算法分析训练数据集,提取特征属性,生成规则。
(3)基于所生成的规则,用滑动窗口法分析待检测系统调用序列[3]。
3入侵检测系统在计算机网络安全维护中的应用
为进一步提高IDS的性能,减少IDS组件对被保护系统的负荷,所设计的新人侵检测系统采用特征向量集代替特征属性变量集(短序列集),在数据挖掘时产生了更简单、准确的入侵判别规则集。在此基础上进一步研究用特征向量子集代替特征向量集,采用遗传算法优化特征向量子集的选择过程,使IDS的性能得到进一步的提升[3]。
在系统调用序列数据的挖掘过程中使用特征向量法,用特征向量的一位标识一个短序列,用挖掘算法能从特征向量集中找出检测入侵的规则来。由于短序列的数量较大,导致特征向量位数过大,特征向量集也相应过大。为了更高效可行地使用数据挖掘算法,采用遗传算法对特征向量集进行优化,寻找特征子集,利于后续的数据挖掘[4]。
该最优个体必然是0、1交替的位串,将其所有1所在位置进行分析,可以得到1所在位置代表的短序列集,即为寻找的特征子集。后续挖掘算法根据该特征子集中的短序列,对训练数据进行分类等挖掘工作。
采用标准交叉算子和变异算子,交叉概率取0.6,变异概率取0.001。遗传过程中,个体的选择比较复杂。因为这里是针对入侵检测进行的优化,所以在选择个体时,是将该个体代表的入选子集的短序列应用到数据分类算法(RIPPER),该算法训练数据并应用规则得到测试数据,根据检测的性能来确定上述要选择的个体的适应度值。根据个体的适应度值就可以对其进行选择,继续遗传优化工作。研究表明,个体的适应值可以取决于有多少攻击被正确检测和正常使用连接被误判为攻击,同时考虑个体中置1位的数目,本系统设计的适应度函数为[4]:
[F(xi)=[(a/A)-(b/B)]δm]
式中:[xi]为某个个体,a为正确检测到的攻击数目;A为总有攻击数目;b为被误判为攻击的连接数;B为总的正常连接数;m为[xi]中1的个数;[δm]为m对于该适应度函数的相关系数,即高检出率低误报率使适应度函数值高,低检出率高误报率使适应度函数值低。个体中置l的位数越少,适应度值越大,这是出于寻找最小特征子集的考虑,其影响的强弱由相关系数d去控制。
if
{
一个网络连接有如下特征:
源IP地址d2.Of.**.**;
目标IP地址c0.a8.a*.**;
源端口号43226;
目标端口号80;
持续时间482 s;
终止状态(由发起连接的人终止连接)11;
使用协议(TCP协议)2;
发送方发送了7341B;
接收方接收了37761B;
}
then
{
终止该连接;
}
结论
总之,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。进行人侵检测的软件与硬件的组合便是入侵检测系统。
参考文献:
[1]杨岭. 基于网络安全维护的计算机网络安全技术应用研究[J]. 信息系统工程,2015,01:77.
[2]张旭东. 基于混合数据挖掘方法的入侵检测算法研究[J]. 信息安全与技术,2015,02:31-33.
一 绪论 安全管理的发展趋势和现状
1、 网络安全现状
计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利,而且正在创造着巨大的财富,以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次不断深入,应用领域更是从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
与此同时,计算机网络也正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长,网页被修改、非法进入主机、发送假冒电子邮件、进入银行系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等,都造成了各种危害,包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出,已经成为影响国家安全、社会稳定和人民生活的大事,发展与现有网络技术相对应的网络安全技术,保障网络安全、有序和有效的运行,是保证互联网高效、有序应用的关键之一。
2、 现有网络安全技术
计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合,协议本身和应用都有可能存在问题,网络安全问题包括网络所使用的协议的设计问题,也包括协议和应用的软件实现问题,当然还包括了人为的因素以及系统管理失误等网络安全问题,下表示意说明了这些方面的网络安全问题。
问题类型 问题点 问题描述
协议设计 安全问题被忽视 制定协议之时,通常首先强调功能性,而安全性问题则是到最后一刻、甚或不列入考虑范围。
其它基础协议问题 架构在其他不穏固基础协议之上的协议,即使本身再完善也会有很多问题。
流程问题 设计协议时,对各种可能出现的流程问题考虑不够周全,导致发生状况时,系统处理方式不当。
设计错误 协议设计错误,导致系统服务容易失效或招受攻击。
软件设计 设计错误 协议规划正确,但协议设计时发生错误,或设计人员对协议的认知错误,导致各种安全漏洞。
程序错误 程序撰写习惯不良导致很多安全漏洞,包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。
人员操作 操作失误 操作规范严格且完善,但是操作人员未受过良好训练、或未按手册操作,导致各种安全漏洞和安全隐患。
系统维护 默认值不安全 软件或操作系统的预设设置不科学,导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。
未修补系统 软件和操作系统的各种补丁程序没有及时修复。
内部安全问题 对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统,成为不信任领域内系统攻击信任领域的各种跳板。
针对上表所示的各种网络安全问题,全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题,这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等,相继陆续推出了包括防火墙、入侵检测(IDS)、防病毒软件、CA系统、加密算法等在内的各类网络安全软件,这些技术和安全系统(软件)对网络系统提供了一定的安全防范,一定程度上解决了网络安全问题某一方面的问题。
3、 现有网络安全技术的缺陷
现有的各种网络安全技术都是针对网络安全问题的某一个或几个方面来设计的,它只能相应地在一定程度上解决这一个或几个方面的网络安全问题,无法防范和解决其他的问题,更不可能提供对整个网络的系统、有效的保护。如身份认证和访问控制技术只能解决确认网络用户身份的问题,但却无法防止确认的用户之间传递的信息是否安全的问题,而计算机病毒防范技术只能防范计算机病毒对网络和系统的危害,但却无法识别和确认网络上用户的身份等等。
现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。同时,防火墙还存在着一些弱点:一、不能防御来自内部的攻击:来自内部的攻击者是从网络内部发起攻击的,他们的攻击行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的攻击无能为力;二、不能防御绕过防火墙的攻击行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;四、防火墙不能防御数据驱动的攻击:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的攻击,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。
入侵检测技术也存在着局限性。其最大的局限性就是漏报和误报严重,它不能称之为一个可以信赖的安全工具,而只是一个参考工具。
在没有更为有效的安全防范产品之前,更多的用户都选择并依赖于防火墙这样的产品来保障自己的网络安全,然而相对应的是,新的OS漏洞和网络层攻击层出不穷,攻破防火墙、攻击计算机网络的事件也越来越多,因此,开发一个更为完善的网络安全防范系统来有效保护网络系统,已经成为各网络安全厂商和用户的共同需求和目标。
4发展趋势:
中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
4.1、现阶段网络安全技术的局限性
谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。
任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这“老三样”。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全“老三样”或者说是以其为主的安全产品正面临着许多新的问题。
转贴于
首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。
其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。
再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。
所以说,虽然“老三样”已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,“老三样”基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的“内容”和网络虚拟世界的“行为”上。
4.2、技术发展趋势分析
.
防火墙技术发展趋势
在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。
(1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。
二 网络安全面临的主要问题
1. 网络建设单位、管理人员和技术人员缺乏安全防范意识,从而就不可能采取主动的安全 措施加以防范,完全处于被动挨打的位置。
2. 组织和部门的有关人员对网络的安全现状不明确,不知道或不清楚网络存在的安全隐 患,从而失去了防御攻击的先机。
3. 组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构,其缺陷给攻击 者以可乘之机。
4. 组织和部门的计算机网络没有建立完善的管理体系,从而导致安全体系和安全控制措施 不能充分有效地发挥效能。业务活动中存在安全疏漏,造成不必要的信息泄露,给攻击者以收集敏感信息的机会。
5. 网络安全管理人员和技术有员缺乏必要的专业安全知识,不能安全地配置和管理网络, 不能及时发现已经存在的和随时可能出现的安全问题,对突发的安全事件不能作出积极、有序和有效的反应。
三 网络安全的解决办法
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。
1. 安全需求分析 "知已知彼,百战不殆"。只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构,从而有效地保证网络系统的安全。
2. 安全风险管理 安全风险管理是对安全需求分析结果中存在的安全威胁和业务安全需求进行风险评估,以组织和部门可以接受的投资,实现最大限度的安全。风险评估为制定组织和部门的安全策略和构架安全体系结构提供直接的依据。
3. 制定安全策略 根据组织和部门的安全需求和风险评估的结论,制定组织和部门的计算机网络安全策略。
4. 定期安全审核 安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。其次,由于网络安全是一个动态的过程,组织和部门的计算机网络的配置可能经常变化,因此组织和部门对安全的需求也会发生变化,组织的安全策略需要进行相应地调整。为了在发生变化时,安全策略和控制措施能够及时反映这种变化,必须进行定期安全审核。
5. 外部支持 计算机网络安全同必要的外部支持是分不开的。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供安全预警。
6. 计算机网络安全管理 安全管理是计算机网络安全的重要环节,也是计算机网络安全体系结构的基础性组成部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地进行,是获取安全的重要条件。
一、民航空管网络信息安全的重要性
随着民航空管工作对网络信息技术依赖的不断增强,民航空管网络信息安全已经成了保证民航安全的重要组成部分。网络信息系统的共享性和开放性在给民航空管工作带来方便的同时,也给病毒和黑客提供了可乘之机。民航空管核心业务的计算机网络信息服务一旦遭到破坏,整个民航机场和航空公司都不能正常运营。如果民航空管核心业务遭到窃取或篡改,很可能给飞机的飞行带来极大的安全隐患,甚至出现非常严重的后果。所以,保证民航空管网络信息安全,确保民航空管网络信息系统连续、可靠、正常的运行,才能保障民航航班安全正常飞行。
二、在民航空管中,计算机网络安全管理的不足
(1)操作系统存在安全问题。操作系统会受到各种不利因素的攻击,而且部分空管计算机操作系统的结构体系存在缺陷,黑客就会对操作系统不完善的地方进行利用,攻击系统,从而导致系统瘫痪。在传输文件的时候,网络安装程序中可执行文件也可能存在一定不安全的因素。在传送文件或者加载程序时,一旦某个地方出现漏洞,就有可能导致系统崩溃。在创建和调用远程时,若是存在网络漏洞,则中间的通信环节就可能被监控,更甚者会被破坏,从而泄露或者丢失网络信息。再者,黑客也会对空管计算机操作系统的后门进行利用,进而轻易避开安全控制,给网络信息安全带来重大威胁。
(2)网络存在安全问题。近几年,网络结构日益复杂,而且网络应用广泛,从而给网络信息安全管理带来了巨大的挑战。部分空管网络系统需要借助电信运营商的网络基础设施,而且一些重要网络信息在远程管理和维护方面,也需要应用电信网络,利用电信基础网络设施,很容易导致空管网络信息出现窃听和篡改现象。随着空管网络系统应用日益广泛,为了满足业务的各项要求,在传输资料和交流信息时需要利用互联网,而且这种需求日益增多。此外,在建设空管网络系统时,可能会出现重功能轻安全的情况,再加上技术人员的能力不足,而且网络安全知识不高,导致空管网络系统内部出现网络安全问题。
三、网络安全的对策
1.在技术层面上的对策
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。这里说的计算机的安全就是指保护信息的保密性、完整性和可用性。安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术有如下几点:
(1)对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。现列举几种如下:身份认证、报文认证、访问授权、数字签名等。
(2)防病毒技术。防病毒技术就是识别出恶意程序,并消除其影响的一种技术。它可以分为病毒预防技术、病毒检测技术和病毒清除技术。病毒预防技术指的是系统监控技术、磁盘引导区保护、读写控制技术和加密可执行程序等,病毒检测技术则是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,以特征分类来检测病毒;或是对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性己遭到破坏,感染上了病毒。从防病毒产品对计算机病毒的作用来分析,病毒清除技术一般是在某种病毒出现后才操作,具有相应杀毒功能的软件的发展总是滞后于病毒的出现,因此当新病毒的出现时也不可能有效地防范。另外由于杀毒软件自身的局限性,根本无法清除某些变种病毒。
2.在管理层面上民航空管网络信息安全对策
(1)建立健全规章制度。健全的规章制度是保证民航空管网络信息的安全的基础。制定并民航空管信息安全规定,对民航空管网络信息系统的建设、运行、管理和维护做出相应的要求,完善民航空管网络信息安全规章制度,才能增强民航空管工作人员的责任心,从根本上预防民航网络信息安全事件的发生。
(2)加强信息安全技术监管。网络技术发展迅速,更新快,民航空管工作人员要不断研究网络信息安全问题,提高网络信息安全管理的技术和方法,逐步减小民航空管网络信息面临的风险。在网络信息安全技术领域多借鉴国外发达国家的经验,搭建自己的网络信息安全技术平台,从根本上解决网络信息安全问题。
(3)建立高素质人才队伍。人才的稀缺,尤其是高端网络信息安全技术人才稀缺,一直是制s民航空管网络信息安全发展的突出问题之一。所以,定期进行专业人才技术培训,增强民航空管网络信息安全技术人员的法制观念和责任意识,提高其专业技能和综合素质,培养其观察能力和分解决问题的能力,才能有效保证民航空管的网络信息安全。
参考文献:
[1]许婷.民航空管中计算机网络信息安全分析[J].硅谷,2014(20):206-198.
关键词:局域网;网络设备;维护;计算机病毒
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 22-0000-01
Computer Local Area Network Hardware Maintenance and Network Security
Zhang Jian
(Qianjiang College Hangzhou Normal University,Hangzhou 310012,China)
Abstract:Network security has become a problem can not be ignored.In this case,the performance requirements of the computer itself is also higher.Therefore,to rethink the hardware support for the role of network security is essential.Based on the basic network security hardware components and their security analysis,this paper discusses the improved protection of network security hardware to run through some of the strategies,while on the LAN hardware maintenance and network security were discussed,I hope to discuss with you.
Keywords:LAN;Network equipment;Maintenance;Computer virus
目前是计算机网络时代,把各自独立的计算机通过通信介质互相连接,并按照一定的协议相互访问,就能实现信息和资源的共享。局域网作为一种计算机网络,在网络协议上基本符合OSI模型,该网络采用TCP/IP技术,实现数据的传输和处理功能。由于局域网短距离、高速率、低延时、低出错等特点,被众多企事业应用。目前,计算机网络安全的问题主要围绕在硬件和软件之间,主要表现在以下几个方面:网络的物理安全问题、网络拓扑结构安全问题、网络系统安全问题、应用系统安全和网络管理的安全问题等。一个主要的趋势是将功能集中于硬件,从图像处理到浮点运算,都从应用级软件转移到了硅晶片中,而信息安全,也已经被转移到了硬件中。从防火墙到加密,硅晶片的速度优势被充分的利用来处理安全应用。
一、硬件维护
(一)网卡安装与维护。如今的算机都以配置网卡,其功能设置也很简单。(二)网络检查与维护。网络互联系统主要指网络的连接转发设备,包括HUB、交换机、路由器等。检测HUB或交换机故障。HUB或交换机的状态指示灯如果闪烁或常亮黄灯、表明数据包在网络上有堵塞情况、需要检查同一局域网中是否有重复的IP地址分配或局域网IP地址分割有交叉。如果网线和主机都没有问题、则应测量网络设备的地线和零线之间的电压、如果电压超过3V则表明HUB或交换机的供电系统有问题、静电不能及时释放、干扰了数据信号。检测路由器故障。利用MIB变量浏览器、用它收集路由器的路由表、端口流量数据、计费数据、路由器CPU的温度、负载以及路由器的内存余量等数据。通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据、并及时给出报警。(三)双绞线的标准使用。双绞线的正确联接很重要。对8根4对双绞线的不正确联结使用,会影响通讯效果。在10Base-T标准中,第1,第2为一对线,第3、第6为一对线。在一对线的传输中,由于线路是双绞的,会将涡流相互抵消,延缓数据信号的衰减。如果线路不正确使用,就起不到涡流抵消的双绞线作用,使传输距离和传输速度都要打折扣。如果双方为同样的线序,表明是接集线器的直联线。如果为1,3,2,6反接,则为双机直联线,又称Hub集线器级联线。
二、局域网安全控制与病毒防治策略
(一)局域网安全控制策略。安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。1.利用桌面管理系统控制用户入网。入网访问控制是保证网络资源不被非法使用,是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。2.采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。(二)病毒防治。病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的,主要从以下几个方面制定有针对性的防病毒策略:1.增加安全意识和安全知识,对工作人员定期培训。首先明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀等,都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,主观能动性起到很重要的作用。2.小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外。
三、结束语
本文对局域网的硬件维护和网络安全做了一定的介绍,但单位局域网有着自己不同的特点,所以局域网管理员应根据自己网络的特点采取适合自己的维护方法,并不断学习新的网络维护方法,使得局域网速度、安全等得到更大的提高。随着计算机技术的发展异常的迅猛,传统的单处理器的网络安全设备越来越不能满足现实的需要。因此,正是时候从根本上重新思考使用硬件来支持网络安全分析,这需要借助大规模并行计算提供必要的性能保障网络的安全性。
参考文献:
