时间:2023-10-11 16:32:45
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机网络安全分析,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
控制安全以及信息安全属于网络安全中的两个重要组成部分,控制安全指的是实名认证、授权、访问控制等等。但是在国际标准化的组织系统中,信息安全指的是信息的可使用性、完整性、保密性以及可靠性等等。发展至今,网络环境不管是控制安全或者是信息安全,都遭受着来自各界的安全威胁。
1.1电脑病毒感染一些金融单位、银行等等常常会受到黑客的供给
而电脑病毒的出现,也为计算机的安全运行造成了巨大的威胁,早年间的电脑病毒“熊猫烧香”至今仍然是让人心有余悸。
1.2网络自身缺乏健全的防御能力
现如今的有些网络和应用还是处于一种没有防备的状态之下,并且人们对网络的安全知识认知有限,更加大的网络危险性地概率。
1.3国内现如今计算机研发技术落后
现在虽然已经进入到了现代化社会之中,可是我国在信息技术的研发方面,基本上还是要依靠国外一些先进的技术和专业的设备,不管是硬件还是软件,都缺乏自主创新的研发力度。
1.4计算机安全管理人才欠缺
现如今的网络安全管理人员通常否是网络或者是电脑运行体系的维护工作进行兼职,没有专业的工作人员,因此在网络安全维护方面,人们花费的精力是有限的,计算机网络安全技术的不断发展,没有与之同步发展的计算机网络管理人员。目前社会的网络安全技术管理方面的专业人才还十分欠缺,现今的水平能力是无法和网络安全的发展环境相适应的。
2提升计算机网络安全的技术
要想绝对的实现计算机网络安全是不可能的,只能够做到一种相对安全的局面,尽可能的保证用户的数据安全不被外界干扰。对于目前的计算机网络中存在的各种不安全因素,使用针对性地应对方式以及保护方式,有效的提升计算机网络的安全性,这是现如今计算机网络安全保护方式中需要解决的最基本的问题,从之前的工作经验上分析,单纯的安全保护方式不能够获得有效的安全保护效果,相对有效的方式就是借助各种层级的保护方式对计算机的网络数据做全面的保护。所以,需要有针对性地分析计算机遭遇到的各种安全威胁因素,订立一个相对全面的保护运行体系,其中包含了计算机使用的各种制度办法、防火墙软件的普及和安全漏洞检测工具的全面提升等等。
2.1防火墙技术
防火墙技术是内在的网络以及外部的网络之间互相交换的硬件设备,其中心内容是和网络内外环境互相联系的路由器以及内外的网络都要在防火墙的检测中运行,进而有效的保证计算机网络得到各种有效的管理和控制。防火墙一项主要的功能就是隔断了内网和外网,有效的限制了外网对内网的随意访问,是内网的一项重要信息保障方式。并且,防火墙也能够有效的防止内网在进行外网访问时,接触到不安全和敏感的信息。
2.2数据加密技术
网络安全技术之中,出现最多的一项就是数据加密技术,此项技术借助对网络数据做加密编码,有效的保证了数据的安全性。数据加密能够为网络的数据访问设定权限,加密技术属于一种网络技术之中,效率高并且灵活性强的安全保护方式,在目前的各项网络活动之中,也有较为广泛的使用面,在最近几年,国内对加密方式的研究也加大力度,主要集中在密码的强度性以及实用性地分析上。
2.3访问控制技术
此项技术是借助网络访问的主要内容做控制的一种方式,针对各种有访问权限的使用者能够更快的进入到网络的运行体系之中,但是一些没有访问权限用户是无法进入的。访问控制技术有非常明确的目的,就是对被访问者的信息做安全性保护,访问控制不但能够确保使用者的信息安全和完整,而且能够有效的降低病毒感染的危险性因素。
3结语
关键词:计算机;网络;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0022-02
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性、可使用性受到保护。计算机网络安全包括物理安全和逻辑安全两方面,其中物理安全指系统设备及相关设备受到物理保护,防止丢失;逻辑安全包括信息的保密性、完整性和可用性。
1 计算机网络安全所面临的威胁
计算机病毒。计算机病毒是编织者在计算机程序中插入的破坏计算机功能或者数据的代码,计算机病毒能够影响计算机的正常使用,计算机病毒还能够自我复制。计算机病毒的传播速度很快,它就像生物病毒一样能够自我繁殖、激活再生或者是互相传染。计算机病毒的复制能力是独有的,它的蔓延速度很快,但是清除的时候很难清除掉,破坏性极强。它们往往都是附着于各种那个类型的文件之中,在文件的复制与传送之间蔓延。
在计算机病毒中比较典型的有1986年巴基斯坦兄弟编写的“大脑”病毒、1987年的“小球”与“石头”病毒、1989年的“石头2”、1992年的“金蝉”病毒、1995年中典型的病毒代表“病毒制造机”“VCL”、1988年的“CIH”病毒以及2000年以后的“冲击波杀手”“木马”“蠕虫”“黑客病毒”“求职信”等等这些病毒的威力都是非常巨大的。
黑客的攻击。随着互联网黑客技术的飞速发展,计算机网络受到的威胁越来越严重,对于黑客来说侵入你的电脑获取你的信息是一件非常容易的事情,黑客攻击的手段可以分为非破坏性攻击以及破坏性攻击,不管是哪一种攻击为危害都是非常大的。黑客比较常用的几种攻击方式分别是:后门程序、信息炸弹、拒绝服务、网络监听、密码破解。维护网络安全最主要的目标就是保证数据的机密性、完整性。在一个安全的计算机网络环境下,未经授权的数据是不可以随便修改的想要获取任何数据信息的人员都应该是经过授权的合法用户。
据《2008瑞星中国大陆地区互联网安全报告》显示以牟利为目的的黑客攻击已经形成了产业链,成为了新的暴利行业,在几年前中国的一些重要部门就曾经遭受过黑客的攻击,一些政府部门、军工企业等重要单位遇到了大型的网络黑客攻击。
内部威胁。由于上网单位对于内部危险的认识不够全面导致所采取的安全防范措施不当,近几年的内部网络的安全事故不断增加。认为的无意失误是造成网络安全威胁的重要因素,网络管理员在这一方面肩负重任,稍微有一点考虑的不慎重安全配置不妥当就可能造成比较大的安全漏洞。如果网络中存在一些安全漏洞,那么用户在网上冲浪时点击了文件中的恶意链接就会造成安全问题。
窃听。攻击者通过对于网络数据的监视而获取到一些敏感信息造成信息的泄露,窃听的主要表现就是网络上的信息被窃听。更有一些恶意的攻击者以此为基础,再利用其它的一些攻击手段进行攻击,造成更加惨重的损失。
2 计算机网络安全的对策措施
2.1 加强网络技术的安全防范
对于用户的身份进行验证,保证用户身份的真实性。例如:人脸识别、公钥加密认证、指纹识别等等,对网络安全进行保障。加强信息的保密性,保证机密的信息不会泄露给没有经过授权人,对不同人员进行权限设置,没有权限的人不能够访问,这样能够防止窃听以及网络截获。另外信息的完整性也需要加强,对于没有经过授权的人员是不能够对于数据或者是信息进行修改或者是删除,严格控制信息数据的访问权限,只能够允许经过许可放入当事人进行修改以及删除。网络安全还应该具有系统易用性、可审查性。系统易用性是指在能够满足其安全要求的条件下,系统的操作应该简单易学,操作方便。可审查性是指在系统出现问题的时候可以提供调查的依据以及手段。
2.2 加强入网访问控制
访问控制系统在一个安全的信息系统中不可或缺,它的目的就是在于拒绝非法的用户的访问并且对于合法用户的操作进行规范。网络访问的第一层访问控制就是入网访问控制。它能够准许用户入网的时间、准许他们在哪一个时间段入网和使某些用户能够登录到服务器并且获取网络资源。访问控制能够根据用户的权限让该用户进行访问,防止了用户无限制的对于资源进行访问,使得每一位访问者的操作都会处于系统的监控之下,进而让资源合法使用。入网访问控制的步骤就是当某一位用户发出访问请求的时候,访问控制就对用户的ID和身份到安全策略库中查询,,如果找到用户对于特定资源的访问请求就允许用户子进行访问,反之则拒绝。
2.3 加强网络权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户具有一定的权限可以指定访问一些目录文件或者是其他的资源,指定的一些用户可以对这些目录、文件和其他资源进行某一项操作。我们可以将访问的权限分为特殊用户,一般就是指系统管理员,一般用户就是系统管理员根据实际需要进行分类的用户,审计用户就是对网络安全以及资源使用情况的审计。
2.4 加强网络安全教育和管理
美国作为全球信息化程度最高的国家,它非常重视信息的安全性,信息系统的安全成为国家安全战略最重要的组成部分之一,并且采取了一系列的政策措施,所以想要加强我国计算机网络安全,那么就要制定相应的法律法规作为依据,还要加强网络安全教育和管理。国家应该在高度重视的同时还要大力普及家算计网络安全的教育,制定并且实施一系列的关于网络安全法律法规,强化对于公民的网络安全意识的教育以及对于网络运营人员和网络安全管理人员的教育,提高其素质以及管理的方式手段,旨在能够提高广大网民的网络安全意识,降低国家的计算机网络安全的威胁。另外在加强对于网络安全教育的同时也要加强网络安全的监管力度,对于恶意破坏计算机网络安全的行为进行严厉的处罚,对于无意破坏的进行教育,建立严密的网络安全管理体系,及时的检测维护计算机网络的安全。
2.5 提高网络用户操作技能
随着信息的不断进步,计算机网络安全问题对于网络用户的伤害越来越严重,所以提高网络用户的操作技能是刻不容缓的。对于提高网络用户的操作技能,首先就是要加强用户的病毒检测以及防御手段,在对于用户的权限进行辨别以后,自动开启网络防护功能以及防火墙功能,自动查杀病毒,提高用户的上网技巧。另外一方面就是注意防范外部的恶意攻击,访问和下载健康的文件,在下载之前对于文件进行必要的检测以及病毒查杀,从化多种途径措施来减少计算机网络安全问题的产生。
3 结语
随着计算机技术的不断发展,网络安全防护技术也必然会不断地进步与发展,网络安全是一个涉及技术、管理、使用等多方面的综合性课题,所以我们必须综合考虑。在当今复杂的网络环境下,我们应该高度的重视计算机网络问题,增强社会安全意识教育,普及计算机网络安全教育,要求有关部门加大对于网络安全的监管力度,提高计算机网络安全技术的水平,积极建设营造一种安全的计算机网络环境,改善现在的安全现状。
参考文献:
[1]蔡晓莲,李平.计算机网络安全威胁及防范策略的探讨[J]. 网络与信息, 2009(6):30-31.
随着信息技术的快速发展,计算机被广泛应用在人人们生活和经济领域中。计算机网络给人们带来便利的同时,也存在着诸多安全隐患,如病毒感染、黑客攻击、系统漏洞等,这给人们工作和生活带来了一定的影响。本文主要分析了影响计算机系统安全与网络安全的主要因素和安全防护措施,以保证计算机网络系统安全可靠地运行。
【关键词】计算机系统安全 计算机网络安全 防护措施
人们在日常使用计算机的过程中,时常会发生计算机病毒感染、网络黑客攻击等事件,这在一定程度上影响了人们的社会生活。为了有效控制病毒的传播和黑客的攻击,应做好相应的防范措施,建立一套完整的网络安全体系。
1 计算机安全系统与计算机网络安全概述
在信息时代下,计算机在生活、工作和学习领域中扮演着重要角色,尤其网络交流,网络购物等,这些行为给人类带来巨大的益处,然而,随着计算机系统安全与网络安全的不断出现和危害,在一定程度上给人类带来了一定的影响。分析计算机系统安全,其是指计算机在数据处理中所采取的安全保护技术和管理措施,一般情况下,计算机系统的安全保护主要包括基于身份的安全策略、基于角色的安全策略和基于规则的安全策略等三个方面。网络安全,随着互联网的出现,网络技术和信息技术在生活经济领域中得到广泛应用,在当前的计算机网络系统中,网络安全主要由控制安全、信息安全等两部分组成,其中,信息安全是指计算机网络系统中各种信息在使用过程中所具备的整体性、保密性和安全性,而控制安全是指网络安全和信息安全在计算机使用过程中的身份认证及访问控制的控制状态,其具有开放性、广泛性和分散型的特点。网络信息不仅可以促进人们对各种新技术和新理念的认识,也可以为人类社会的进步提供巨大的推动力。
2 计算机系统安全及网络安全现状分析
随着互联网的发展,信息共享为人类带来便利的同时,也带来一些网络信息安全问题,其主要体现在计算机系统安全和网络安全等几个方面。在开放的网络环境中,通常不法分子采用不同的攻击手段来获得访问或修改在网络中流动的敏感信息,甚至一些不法分子通过提供攻击目标来闯入用户或政府部门的计算机系统进行窃取和篡改数据,由于网络信息具有不受时间、地点、条件的限制,这个导致网络诈骗行为在网络信息中时常发生,进而造成计算机信息安全的犯罪活动日趋严重。一般情况下,计算机网络系统的安全威胁主要包括计算机病毒、黑客攻击、拒绝服务攻击等三个方面,其中,第一,黑客攻击的网络安全威胁在主机终端时代就已经出现,在互联网的时代下,现代的黑客攻击主要以网络为主,而不是以系统为主,常见的有:通过网络监听来获取计算机用户在网络中的账号和密码;通过攻击密钥管理服务器来获得密钥或认证码等攻击手法;第二,计算机病毒,其是指不法分子通过在计算机程序中插入破坏计算机中的数据,进而影响系统的正常使用,其具有传染性、隐蔽性和破坏性的特点,在当前的计算机病毒检测中,主要有自动检测、防毒并卡、人工方法等手段,采用人工方法检测病毒,主要是将引导区的内容读出并找一个无病毒的引导区进行对比,若发现有变化,则证明计算机系统有病毒感染;自动检测,常用的工具有反病毒软件,主要包括病毒检测技术和病毒消除技术;而计算机反病毒卡,其在计算机反病毒产品市场形成的初期得到了广泛的应用和发展。
对于计算机网络安全现状,其主要体现在保密性、完整性和可用性等三个特征方面,保密性是指网络资源只能由授权实体存取,完整性是指网络信息和数据在存储、传输过程中不被修改,而可用性是指对静态信息的可操作性及对动态信息内容的可见性。当前,计算机网络安全还存在诸多缺陷,包括:第一,操作系统的漏洞,由于操作系统是一个复杂的软件包,其中,最大的漏洞则属于I/O处理,其可以改变命令的源地址或目的地址;第二,应用系统安全漏洞,在编写程序过程中,大多数通常是对程序进行适当的修改,而不是新编程序,这就造成在编写程序中存在具有相同的安全漏洞;第三,TCP/IP协议漏洞,在传输过程中,若采用明文传输的方式,不法分子可以通过截取电子邮件来进行攻击,若用户在网页中输入口令、或填写个人资料时,也容易遭受攻击;第四,安全管理漏洞,主要体现在网络管理人员缺乏、不能定期进行安全测试、网络安全监控缺乏及信息系统管理不规范等方面,这些行为都对网络安全造成了严重威胁。
3 计算机系统安全及网络安全防范措施
3.1 实体安全
对于计算机主机以及主机外设的电磁干扰辐射,应符合国家标准要求,对于系统软件安全措施,第一,为了防止用户越权获取信息,操作系统应具有比较完善的存取控制功能;第二,为了防止用户在使用过程中读写制定范围以外的存贮区,操作系统应具备良好的存贮保护功能。另外,操作系统应具有较完善的管理功能,这样就可以有效记录系统的运行情况及检测对数据文件的存取,通过实体安全、备份和恢复等各种技术手段,可以有效保护数据的完整性。
3.2 输入输出控制
针对用户重要事务处理项目,必须由合法文件的法定人提交,若需要修改文件,应严格按照规定和批准的手续执行,并保存控制台打印记录。对于数据处理部门的输出控制,应由专人负责,并负责对数据输出文件的审核,确保输出文件发放手续的完整性,由于计算机识别用户的常用方法是口令,因此,在计算机用户识别中,必须对口令的产生、登记及更换期限进行严格管理,有效记录计算机系统中某些文件的使用情况,并及时跟踪各种非法请求,保证完整的日志记录,包括节点名、口令、操作数据等。
3.3 加密技术
在网络系统中,采用加密技术可以有效防止重要信息在网络传输过程中被窃取或篡改,其是通过实现相应技术手段来进行的保密工作,采用加密技术,可以为计算机用户提供重要的信息依据和保障信息数据安全。
3.4 防火墙技术
随着科学技术的发展,网络信息技术在现代化经济建设中发挥着重要作用,而防火墙技术是确保网络信息安全的主要依据,其是一种将内部网和公众访问网分开的方式,防火墙技术是在两个网络通讯时执行的一种访问控制尺度,其可以将“不同意”的人拒之门外,这样就可以有效防止黑客进入网络或篡改数据等,采用防火墙技术,主要包括网络级防火墙、电路级网关、应用级网关和规则检查防火墙等四个技术,防火墙技术的主要作用是通过防止非法用户使用内部网络资源来保护设备,避免内部网络信息和数据被窃取,通常防火墙系统主要由屏蔽路由器、服务器等两部分组成,其中,屏蔽路由器是一个多端口的IP路由器,其可以对每一个传输过来的IP包进行检查,并判断是否将IP包进行转发,而屏蔽路由器是从包头获取信息,并对IP包进行过滤。
3.5 加强计算机网络的安全管理
为了加强计算机病毒的防治,仅仅依靠技术手段是远远不够的,只有将技术手段和网络安全管理机制有效结合起来,才能从根本上保护网络系统的安全,由于当前网路安全在计算机病毒防治技术方面仍然处于被动防御的地位,但是,在网络管理上,其可以是积极主动的,因此,从硬件设备、维护、管理及软件使用等方面来加强网络管理人员和用户的安全教育,加强法制教育和职业道德教育,要求网络管理人员严格按照工作程序和操作规程进行管理,并采用新技术、新手段来建立最佳的网络病毒安全模式,即建立防杀结合,以防为主,以杀为辅的安全模式,以保证计算机系统安全运行。
4 结语
在计算机网络系统中,常见的有黑客攻击、计算机病毒及决绝服务攻击的安全问题,若不加强计算机网络系统的安全管理,则容易给用户造成严重的威胁,因此,分析当前计算机系统安全与网络安全的现状,有针对性地加强计算机网络系统安全管理,采用加密技术、防火墙技术等来防止黑客对网络信息的篡改及窃取,确保用户的信息不被窃取。
参考文献
[1]王巍奇.计算机系统安全与计算机网络安全浅析[J].电子制作,2013,02:1.
[2]张智.计算机系统安全与计算机网络安全浅析[J].黑龙江科技信息,2013,07:111.
[3]康铁峰.浅谈计算机系统安全与计算机网络安全浅析[J].计算机光盘软件与应用,2013,04:94-95.
[4]王一宏.计算机系统安全与计算机网络安全研究[J].数字技术与应用,2013,07:230-231.
[5]何畅.计算机系统安全与计算机网络安全浅析[J].中国新技术新产品,2009,05:27.
[6]梁国权.浅谈计算机系统安全与计算机网络安全[J].黑龙江科技信息,2011,35:108.
作者简介
赵景(1982-),女,河南省许昌市人。硕士学位。研究方向为网络信息安全。
李硕(1980-),男,河南省许昌市人。研究方向为计算机应用。
关键词:计算机网络;安全设计;存在问题;完善途径
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-01
Computer Network Security Design Study and Research
Huang Jintao
(Guangqi Toyota Engine Co.,Ltd.,Guangzhou 511455,China)
Abstract:With the rapid development of network technology,in changing people's lives,but also promote social development.At the same time,the network due to security issues are also increasingly prominent.Improve computer network security design,not only to maintain order in the normal operation of computer networks,while computer users to protect basic rights.Design for computer network security-related issues and countermeasures,do the following discussion paper.
Keywords:Computer network;Security design;Problems;Perfect ways
一、计算机网络安全的设计原则
计算机网络安全是指用户在操作计算机的过程中,能够在一个安全、完善的环境顺利的操作相关程序,且操作的信息不会泄露。在计算机网络安全设计的过程中,基于整个程序的严谨性、整体性以及工程规模,都需要在网络安全设计的过程中遵守一定的设计原则,具体分析如下:
(一)需求、风险、代价平衡分析原则。在计算机网络安全设计的过程中,若想达到“固若金汤”是不可能的,也没有必要花费巨大的人力、物力投资在网络安全设计上。只需要在用户操作的过程中,其操作程序得到保障就行。由此就需要相关技术人员在设计的过程中,能够充分结合计算机面临的风险以及承担的相关代价,设计出与之相适应的方案。
(二)综合性、整体性原则。网络运行由个人、设备、软件、数据等多个环节构成,其中任何一个环节出现问题,都会导致整个网络系统处于瘫痪的状况。由此就需要设计人员在网络设计的过程中,能够综合、全面的设计,只有从整体上出发,才能设计出有效、可行的措施。
(三)一致性原则。一致性原则主要是指网络安全问题应该与整个网络的工作周期同时存在,制订的安全体系结构必须与网络的安全需求相一致,实际上,在网络建设之初就考虑网络安全对策,比网络建设好后再考虑更容易,花费也少。
(四)易操作性原则。在计算机网络安全设计的过程中,归根到底由人对其进行操作,如果设计程序过于复杂,操作人员没有达到相应的操作水平,不仅无法解决计算机网络中存在的问题,同时还对起到“适得其反”的负面效果。
(五)适应性、灵活性原则。随着网络计算机的迅速发展,网络作为一种灵活多变的运行程序,其安全设计程序在研究设计的过程中,除了具备以上四种特点之外,还应在原有的基础上具备一定的适应性。使其在运行的过程中,能及时的发现系统中存在的问题,进而对存在的风险进行评估。只有这样,才能从根本上实现网络安全设计的设计效果。
二、计算机网络各层安全隐患分析
计算机网络在运行的过程中,由不同的环节及运行程序组成,倘若一个程序出现问题,则会直接造成整个系统程序瘫痪,严重时甚至会损坏计算机的硬件。而在计算机网络各层存在的安全隐患中,主要包括以下几个方面:
(一)数据链路层安全分析。在数据链路层中,连接计算机与网络之间的站直都接在了同一段电缆上,或者通过桥接设备和中继器连接在同一电缆上。这种连接方法能够使各个用户在同一时间内分享受到的信息,然而这一连接方式在运行的过程中,将会给计算机造成严重的信息泄密。不法人员若通过这一方式盗取用户信息,则会造成极其严重的后果。
(二)网络层安全分析。在近几年的网络犯罪中,利用IP地址进行网络诈骗的犯罪率正处于直线上升的趋势。在网络操作中,相关人员通过对逻辑地址的肆意改动,使其生成可以由人为直接控制的IP数据包,继而形成掩护地质进行欺骗,在扰乱网络运行秩序的同时,还对社会稳定造成了严重的破坏。
(三)信息储存中的安全分析。用户在计算机操作的过程中,往往由于计算机的保密性、完整性遭到相应的破坏,从而直接造成用户所储存的信息遭到非法窃取或间接泄密。在给计算机用户的信息安全造成威胁的同时,还直接影响着网络的正常运行秩序。
三、完善计算机网络安全设计措施
(一)数据链路层安全设计。针对数据链路层中存在的安全隐患,在完善其安全设计的过程中,主要包括两个方面:首先,对数据链路层得信息进行加密。即通过网络数据加密技术,可以在某种程度上提高数据传输的安全性。其次,对计算机网络中存在的局域网进行隔离。即在一定范围内,依据网络工作的具体性质以及工作的具体程序对不同性质的计算机进行不同的分类。使同一性质的网络处于一个局域内,这样则能有效的防治其他区域的人员进行信息窃取。
(二)网络层安全设计。在网络层的设计上主要需要考虑的是防止IP地址欺骗。主要采用的方法包括防火墙的使用、利用路由的设计进行数据包过滤等。由此就需要计算机用户在程序操作的过程中,能够使用性能较好的防火墙程序,这样则能有效的阻止不法程序的侵入。
(三)安全路由设计方案。在安全路由设计方案中,主要包括以下几个方面:首先,针对局域网中的专用路由器,则用Windows NT来取代。其次,将计算机用户的NT路由器转变为实现动态安全路由。最后,局域网内的所有主机上加载动态路由客户机(Dynamic Route client,以下简称DRC)。这样则能有效的防治同一局域网内的信息泄露,同时还能对计算机用户的相关信息进行保护。
四、总结
综上所述,计算机网络的发展,在推动社会进步的同时,还直接改善了人们的生活。计算机网络安全设计,不仅能从根本上维护计算机网络的运行秩序,同时还能保障计算机用户的信息安全,因而在计算机发展中有着极其重要的作用。由此就需要相关人员能够针对当前计算机网络中存在的问题,及时的采取措施。在维护计算机网络秩序的同时,还在一定程度上维护了社会的稳定。
参考文献:
[1]马建军,行花妮.中小型企业局域网网络安全设计及应用技术探讨[J].网络安全技术与应用,2006,2
[2]王建军,李世英.计算机网络安全问题的分析与探讨[J].赤峰学院学报(自然科学版),2009,1
含义
网络安全是网络硬件、软件和系统的数据受到保护,不因意外或恶意的原因,遭受损坏、更改、泄露,以保证系统连续可靠正常地运行,网络服务不中断。
网络安全应具有以下五个方面的特征
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需 的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:对信息的传播及内容具有控制能力。
可审查性:出现安全问题时提供依据与手段。
网络安全分析和网络安全威胁
网络安全分析
随着互联网和网络应用的日益普及,网络应用更为复杂,网络安全问题是互联网和网络应用面临的重要问题。越来越多的网络攻击以及各种方法相互融合,使网络安全防御更加困难。有组织的黑客攻击,攻击从单纯追求"荣耀感"向许多实际利益的方向转移,网上木马,间谍软件,恶意网站,网络仿冒等的出现和日趋泛滥,手机,掌上电脑等其他无线终端的处理能力和功能通用性提高,使它越来越接近一台个人电脑,对这些无线终端攻击已经开始出现,并进一步发展。总之,网络安全问题变得更加复杂,其影响将继续扩大,这是很难在短期内得到充分解决。所以,安全问题已被放置在一个非常重要的地位。网络安全,如果不能很好的加以防范,会严重影响网络应用。
网络安全威胁
计算机网络面临的威胁是多方面的,无论是对网络信息的威胁,还是对网络设备的威胁,概括起来,主要有三点:首先,无意的人为错误。如操作人员的安全配置不当造成的安全漏洞,用户安全意识不强,不小心选择密码,将自己的帐户与他人共享等都会对网络安全构成威胁。第二,人为的恶意攻击。如敌人的攻击和计算机犯罪,这也是最大的计算机网络威胁。第三,网络软件的漏洞和"后门"。任何软件都或多或少有缺陷的,正是这些缺陷和漏洞,成为黑客攻击的首选目标。大多数网络入侵事件,都是因为安全措施不完善,没有及时修补系统漏洞造成的。此外,软件公司的程序员为方便的软件维护而设置的"后门"是也一个巨大的威胁,一旦"后门"打开,其他人将能够自由进入系统,所带来的后果可能是灾难性的。
计算机网络安全对策
明确的网络安全目标
为了解决网络的安全性,我们必须首先明确目标:(1)身份真实性:对通信实体身份的真实性进行识别。(2)信息机密性:保证机密信息不会泄露给非授权的人或实体。(3)信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。(4)服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。(5)不可否认性:建立有效的责任机智,防止实体否认其行为。(6)系统可控性:能够控制使用资源的人或实体的使用方式。(7)系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。(8)可审查性:对出现问题的网络安全问题提供调查的依据和手段。
使用适当的网络安全技术,以提高安全性
(1)利用虚拟网络技术,防止基于网络监听的入侵手段。(2)利用防火墙技术保护网络免遭黑客袭击。(3)利用病毒防护技术可以防毒、查毒和杀毒。(4)利用入侵检测技术提供实时的入侵检测及采取相应的防护手段。(5)安全扫描技术为发现网络安全漏洞提供了强大的支持。(6)采用认证和数字签名技术。认证技术用以解决网络通讯过程中通讯双方的身份认可,数字签名技术用于通信过程中的不可抵赖要求的实现。(7)采用VPN技术。我们将利用公共网络实现的私用网络称为虚拟私用网VPN。(8)利用应用系统的安全技术以保证电子邮件和操作系统等应用平台的安全。
制定网络安全政策法规,普及计算机网络安全教育
作为全球信息化程度最高的国家,美国非常重视信息系统安全,把确保信息系统安全列为国家安全战略最重要的组成部分之一,采取了一系列旨在加强网络基础架构保密安全方面的政策措施。因此,要保证网络安全有必要颁布网络安全法律,并增加投入加强管理,确保信息系统安全。除此之外,还应注重普及计算机网络安全教育,增强人们的网络安全意识。
关键词 网络安全 防火墙
中图分类号:TP391 文献标识码:A
1网络安全技术
网络安全技术指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术以及应用系统的安全技术。
其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IPsweep,teardrop,sync-flood,IPspoofing攻击等。
防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、型、以及检测型。
病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。
认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。
应用系统的安全技术主要有域名服务、WebServer应用安全、电子邮件系统安全和操作系统安全。
2防火墙介绍
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
3防火墙技术发展趋势
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求:
远程办公的增长。全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
内部网络“包厢化”(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的“包厢”,对每个“包厢”实施独立的安全策略。
4结论
网络安全问题越来越引起世界各国的严密关注,随着计算机网络在人类生活各个领域的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多,各种病毒泛滥成灾。这一切,已给各个国家以及众多商业公司造成巨大的经济损失,甚至危害到国家安全,加强网络安全管理已刻不容缓。
参考文献
[1] 周良洪.信息网络安全概论[M].群众出版社,2009:89-100.
[2] 邵波.计算机安全技术及应用[M].电子工业出版社,2010:11-100.
[3] 庞南.信息安全管理教程[M].中国人民公安大学出版社,2011:45-78.
关键词:计算机网络;信息安全;安全管理
中图法分类号:TP393.08文献标识码:A文章编号:1009-3044(2010)21-5969-02
Discussion of How to Reinforce the Safety of Information Network
GU Yin-cong
(Tongchuan Power Supply, Tongchuan 727031, China)
Abstract: This paper summarized the kinds of threatens faced by computer information network, and then aimed at the concrete conditions of our administration to bring forward corresponding measure from aspect such as Physical safety, system safety, network safety , applying safety, management safety. atc.
Key words: computer network; information safety; safetymanagement
随着计算机信息网络技术的广泛应用和飞速发展,计算机信息网络已成为现代信息社会的基础设施。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,它作为进行信息交流、开展各种社会活动的工具,已经深入到人们生活的各个领域。同时,基于网络连接的安全问题也日益突出,网络安全问题已经成为人们普遍关注的问题。
1 网络安全分析
网络安全面临的威胁主要有以下几种:
1)物理安全威胁
物理安全是指在物理介质层次上对存储和传输信息的安全保护。这方面的威胁主要有:自然灾害、设备故障、电磁辐射、操作失误和意外事件。常用的有两种网络隔离技术:①单主板安全隔离计算机;②隔离卡技术。目前我局采用的就是后一种隔离技术实现了物理上的隔离。
2)系统的安全缺陷
系统的安全指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其他厂商开发的应用系统,其开发厂商必然有其Back―Door,而且系统本身必定存在安全漏洞,这些“后门”或安全漏洞都将存在重大安全隐患。
3)网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议,该协议在实现上力求高效,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。①很容易被窃听和欺骗;②缺乏安全策略;③配置的复杂性。TCP/IP协议是被公布于世的,了解它的人越多,被人破坏的可能性越大。
4)用户安全使用的缺陷
操作员安全配置不当造成的安全漏洞,用户安全意识不强,口令选择不慎,密码易于被破解,软件使用的错误,系统备份不完整,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
5)黑客入侵安全威胁
黑客利用计算机某些程序的设计缺陷,可以利用多种方法实现对网络的攻击,如:网络端口扫描、网络监听、IP电子欺骗等。
2 信息网络安全策略
通过以上几方面的网络安全分析,下面针对我局的具体情况,从物理安全、系统安全、网络安全、应用安全、管理安全等方面提出相应的措施。
2.1 物理安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括以下几个方面:
1)环境安全
对系统所在环境的安全保护、如区域保护和灾难保护、我局严格按照各类国家规范及标准进行了设计施工,信息机房安装了了机房监控系统,具有监视摄像系统、温、湿度监测、烟感监测等功能。机房内的场地区域严格按照“三级系统独立成域,二级系统统一成域”的要求进行了严格划分,机房运行环境和测试环境、场地物品摆放、步线管理等都严格按照国家相关要求进行了配置。
2)设备安全
设备安全主要包括设备的档案管理、设备标识管理、设备检修、设备缺陷、设备参数等;我们主要通过管理及提高员工的整体安全意识来实现,具备各类规章制度、技术图纸、记录簿、设备台帐等,装有计算机网络管理系统,对计算机网络、计算机系统、服务及应用等运行状况进行实时监测和管理。
2.2 系统安全
1)网络结构安全
我局信息网络已经覆盖新老区办公区(新区办公大楼、营业楼、生产楼、银河酒店、老区办公楼)、4个县电力局、35KV及以上变电站26个(其中330KV 3个,110KV 19个,35KV 5个)和供电所37个。目前担负着ERP系统、协同办公系统、远光财务系统、输变电可靠性系统、无功电压、线损系统、PMS系统、营销系统、营销辅助决策系统、95598呼叫系统、视频会议系统、农电SG186系统、变电站视频监控系统等重要系统的运行维护工作,同时进行了双网建设,双网隔离率100%,外网主要覆盖局财务网上银行业务、日常资料查询业务等。经过四级网建设和网络完善后,我局网络拓扑结构设计合理,满足线路有冗余、路由冗余等,网络安全大大提高。信息网络系统在我局生产、经营、管理中发挥着越来越重要得作用。
2)操作系统安全
操作系统安全主要采取安全配置、权限限制、补丁、安全扫描等策略进行安全防范。针对这一情况,我局信通中心对所有服务器所安装的Windows系统、UNIX系统的帐号进行了权限设置、系统帐号口令长度和复杂度满足安全要求,并关闭了系统中不安全的服务,设置了系统中重要文件的访问权限,限制了访问应用系统的用户,定期安装系统安全补丁程序,配置防病毒软件的防病毒策略,强化了系统相关安全配置等一系列安全措施。
3)应用系统安全
我们主要对应用系统上线前进行安全性测评,并由相关记录备案,对发现的问题提出整改意见并督促进行整改,保障系统上线的安全性。对应用服务器我们主要尽量避免开放一些不常用的协议及协议端口号并应加强登录身份认证、确保用户使用的合法性。
2.3 网络安全
网络安全是整个安全解决方案的关键,我局信息网络覆盖全局生产、经营和管理各个方面,网络上运行着各种信息管理系统,保存着大量的重要数据,为了保证网络的安全,针对计算机网络本身可能存在的安全问题,在网络安全管理上我们采取了以下技术措施:
1)进行系统分域管理
根据信息系统安全保护等级定级要求,对信息系统进行安全域划分,其中营销系统和95598系统按二级系统集成二级域,其他应用系统:PMS、OA、可靠性、输变电等系统均为一级系统,统一作为一级域。
关键词:入侵检测系统;入侵检测技术;入侵检测方法
0 引言
随着计算机的普及和网络应用的日趋广泛,计算机网络己经进入政治、经济、军事、文化、教育等各个社会领域,给整个人类社会的发展影响深远。但是随之而来的网络安全问题变得日益复杂和突出。由于网络本身的开放性和网络系统内潜在的漏洞,使其受到威胁和攻击的可能性大大增加。因此,增强网络安全意识,防范不明身份的入侵者,保证网络信息安全,显得尤为重要。
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机网络安全技术简称网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其它的安全服务和安全机制策略[1]。主要技术分类有:虚拟网技术;防火墙技术;病毒防护技术;入侵检测技术;安全扫描技术;认证和数字签名技术;vpn技术等等,其中入侵检测技术是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
1 入侵检测原理
入侵检测系统(intrusion detection system,简称“ids”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵(intrusion)是企图进入或滥用计算机系统的行为。入侵检测(intrusion detection)是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统(intrusion detection system)是进行入侵检测的软件与硬件的组合。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术[3]。
最早的入侵检测模型是由denning[6]给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异发现系统的入侵行为,如图1 所示。
图 1 ides入侵检测模型
2 入侵检测系统分类
入侵检测系统可分为以下两类:基于主机和基于网络的入侵检测系统
2.1 基于主机的入侵检测系统
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件,对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠住,所能检测的攻击类型受限。不能检测网络攻击。
2.2 基于网络的入侵检测系统
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
3 入侵检测方法
目前常见的入侵检测方法可分为三类:异常检测、误用检测、混合检测。
3.1 异常检测
异常检测也被称为基于行为的检测。这是对一些假定对象的违规操纵出现系统使用异常的入侵检测系统 ,通过对用户行为的比较,和正常的行为之间的不同差别来对客户做出正确的判断,对用户出现的细微行为的变化,对用户的动态的简介内容进行适当的调查,如果用户的行为发生了极大的变化,整个入侵检测系统就会出现报警
类的反应,这就是对固定用户异常行为入侵的检测。
1)专家系统:用专家系统对入侵进行检测, 经常是针对有特征的入侵行为。所谓的规则, 即是知识, 专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性.
2)基于模型:garvey和lunt[7]提出基于模型的入侵检测方法,通过建立入侵行为序列的响应模型,并采用证据推理和入侵模型相结合的方法检测入侵行为。该方法基于完善的不确定性推理数学理论,故不会出现专家系统那种放弃不确定的中间结论的问题。此外,它可以通过监测一些主要的审计事件,并在其发生后开始详细记录,从而减少审计事件处理的负荷。因此,早期采用基于规则的专家系统,后来都转而采用基于模型的方法。但该方法采用人工建模的方式,仅适用于入侵方式较简单的情况。此外,它要求入侵行为和正常行为是明显区分的,无法处理两者发生联系的情况。
3)模式匹配:基于模式匹配的入侵检测方法将已知的入侵特征编码成与审计记录相符合的模式。当新的审计事件产生时, 这一方法将寻找与它相匹配的已知入侵模式。
4)状态转换法:使用系统状态转换图和状态转换表达式检测和描述已知入侵,使用最优模式匹配来结构化误用检测问题。其最大优点是能检测出一些缓慢的协同攻击,处理一些已知攻击类型的变种行为,因效率较低而常与其他检测方法协同使用。 3.2 混合检测
单一的方法进行入侵检测受到一定的局限,不能检测未知入侵或检测率不高。因此,使用多种方法来检测入侵受到研究人员的关注,目前已提出多种混合检测方法。混合检测方法综合了滥用检测和异常检测的优点。由于滥用检测方法和异常检测方法存在互补性, 两者的结合可以取长补短, 能够有效提高整体检测性能。这种方法包括遗传算法、神经网络、生物免疫及数据挖掘等, 其性能分析如表1所示。
表1 混合检测方法性能分析
4 入侵检测技术未来发展方向
今后的入侵检测技术大致可朝下述三个方向发展
1)分布式入侵检测:第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
2)智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
3)全面的安全防御方案:即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。自从ips面市之日起,围绕ips和ids之间关系的讨论就不断升温,成为安全业界的一大热点。从实际应用来说,ips既非ids的替代品,更非ids的延伸者,而是术业有专攻,侧重不同的方面,是为了满足企业风险管理需求的两种不同解决方案。由于各行业客户不同的应用环境和实际需求,ids和ips在国内都呈现出繁荣发展的景象,因此二者之间的关系并非简单的升级和替代,长期来看,ids和ips将出现共同发展、和平共存的局面。
5 结束语
目前, 我国信息网络安全研究历经了通信保密、数据保护两个阶段, 正在进入网络信息安全研究阶段, 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段, 想要在黑客猖獗、病毒肆虐的信息高速公路上保证数据的安全、有效、可用、保密、完整, 就只有不断探究、完善、创新网络安全防范技术。
入侵检测随着信息安全问题的日益突出越来越多地受到人们的关注,尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵检测技术也会不断更新,成
熟。可以展望,入侵检测技术的发展将对信息的安全保护产生深远的影响。
参考文献:
[1] 张超,霍红卫,钱秀槟等.入侵检测系统概述.计算机工程与应用,2008,3:116~119.
[2] 蒋建春,冯登国.网络入侵检测原理与技术[m].北京:国防工业出版社,2010.
[3] 胡昌振.完善ids自防护体系,http://tech.ccidnet.com/pub /article/c231-a74458-p2.html,2003,12.
[4] 刘宏伟.ims 统一ids.中国计算机报,2004,(27)[8]唐正军.网络入侵检测系统的设计与实现[m].北京:电子工业出版社,2012.
[5]高永强,郭世泽.网络安全技术与应用大典[m].北京:人民邮电出版社,2009.
关键词:计算机 网络安全
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)11-0183-01
随着计算机科学技术的发展,计算机网络已成为一个全球信息化的服务平台,充分应用到了政治、经济、文化、军事等各个领域,也为人们生活的方方面面提供及其便捷的服务。但是,随之而来的网络安全问题也日益突出,甚至严重影响到了国家信息安全。因此,加强对于计算机安全的现状分析,制定相关的解决办法是极为重要的。
1 计算机网络安全概述
(1)计算机网络安全的定义。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。而网络安全的任务就是利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠的运行。
(2)网络安全的基本要素。网络安全的基本要素主要包括:1)保密性:保证信息为授权者享用而不泄露给未经授权者。2)完整性:包括数据完整性和系统完整性。数据完整性是指数据未被非授权篡改或损坏。系统完整性是指系统按既定的功能运行,未被非授权操作。3)可用性:保证信息和信息系统随时为授权者提供服务,而不要出现被非授权者滥用却对授权者拒绝服务的情况。4)可鉴别性:指对实体身份的鉴别,适用于用户、进程、系统、信息等。5)不可否认性:无论发送方还是接收方都不能抵赖所进行的传输。
2 计算机网络安全面临的威胁
信息的泄露和篡改是信息在网络传输的过程中出现的安全问题。计算机网络通信常面临以下四种威胁:(1)截获:攻击者从网络上窃听他人的通信内容。(2)中断:攻击者有意中断他人在网络上的通信。(3)篡改:攻击者故意篡改网络上传送的报文。(4)伪造:攻击者伪造信息在网络上传送。
网络面临的威胁除了网络信息的威胁之外,还包括网络设施,归结起来有如下几点,一是人为的疏忽大意,操作员因配置不当造成的安全漏洞;二是人为恶意攻击,攻击者通过修改、删除、延迟、复制、插入一些数据流,有目的地破坏;三是网络软件在设计和编程时遗留的漏洞。
3 网络安全的主要措施
(1)加密技术。加密技术是保证网络与信息安全的核心技术之一。加密的基本思想是伪装文明文以隐藏其真实内容。加密体制主要分为:对称密码体制和非对称密码体制。对称加密技术使用相同的密钥对信息进行加密和解密。由于通信双方加密与解密使用同一个密钥,因此如果第三方获取该密钥就会造成失密。密钥在加密和解密双方之间的传递必须通过安全通道进行,确保密钥在交换阶段未泄露。非对称加密技术对信息的加密与解密使用不同的密钥,用来加密的密钥可以是公开的,用来解密的密钥是需要保密的。其优势在于不需要共享通用密钥,用于解密的密钥不需要发往任何地方,公钥在传递和过程中即使被截获,由于没有与公钥相匹配的私钥,截获的公钥对入侵者也没有多大意义。
(2)防火墙技术。防火墙是由软件和硬件组成的在内部网络和外部网络之间,通过执行控制策略来保护网络的系统。防火墙能够检查所有从外部网络进入内部网络和从内部网络流出到外部网络的数据包,执行安全策略,限制所有不符合安全策略要求的数据包通过。并且具有防攻击能力,保证自身的安全性。
(3)防病毒技术。计算机防病毒技术主要有预防病毒技术、检测病毒技术和消灭病毒技术。其中预防病毒技术是初级阶段,通过相关控制系统和监控系统来确定病毒是否存在,从而防止计算机病毒入侵和损坏计算机系统;检测病毒技术则是通过各种方式对计算机病毒的特征进行辨认,包括检测关键字和文件长度的变化等;消灭病毒技术则是具有删除病毒程序并回复原文件的软件,是防病毒技术的高级阶段。
(4)入侵检测技术。入侵检测是对计算机和网络资源的恶意使用行为进行识别,目的在于监测和发现可能存在的攻击行为(包括来自系统外部的入侵行为和来自内部用户的非授权行为),并采取相应的防护手段。入侵检测技术,可以分为异常检测、误用监测及两种方式的结合。异常监测是指已知网络的正常活动状态,如果当前网络状态不符合正常状态,则认为有攻击发生。异常检测中建立了一个对应正常网络活动的特征原型。所有与特征原型中差别很大的行为均被视为异常。其关键在于选择一个区分异常事件的阈值。误用检测是根据入侵者在入侵时的某些行为过程的特征,建立一种入侵行为模型。如果用户的行为或者行为过程与入侵方案模型一致,则判断入侵发生。在实际使用的入侵检测系统多数同时使用了以上两种办法。
(5)其他网络安全技术。目前,除了以上介绍的传统典型的安全技术之外,还有智能网卡技术、安全脆弱性扫描技术、网络数据存储、备份及容灾规划等一系列技术用于维护计算机网络安全。
4 结语
计算机网络的维护,并不是简单的在技术层面进行的保护。计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素。只有明确网络安全目标;采用相应网络安全技术加强安全防范;制定网络安全政策规范,普及计算机网络安全教育等多管齐下,才能全方位做到计算机网络安全。
参考文献
[1]曾京力炜,付爱英,盛鸿宇.防火墙技术标准教材[M].北京:北京理工大学出版社,2007.
[2]何新权.全国计算机等级考试四级教程――网络工程师(2011年版)[M].北京:高等教育出版社,2010.
[3]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.
关键词:网络安全 检测 监控
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)05-0000-00
伴随着计算机网络的快速发展,计算机在广播电台中有了十分广泛的普及应用,与此同时相关的网络安全问题也愈发严重,因此就相关的网络安全检测与监控技术,展开相关的分析与探讨,其意义十分重大,为确保电台中的网络安全,据此下文之中将主要就结合目前网络安全的实际情况,设计出了相应的网络安全检测与监控技术的结构模型,同时针对其中的核心技术予以了设计探讨,并对于其中所存在的问题缺陷,进一步阐明了确保电台网络安全具体的改进、完善构想。
1 网络安全检测技术
在网络安全检测技术之中重点包含了实时安全监控与安全扫描技术。实时性的安全监控技术主要是借助于硬件或者是软件系统,对于网络的数据流采取及时的检查,同时还需要将数据流和数据库当中的存储数据采取对比分析,对于出现的各类病毒攻击行为,要能够及时的依据用户所设定的指令予以及时的应对处理。相关的指令内容通常可设置为切断网络连接、亦或是告知防火墙系统对于访问程序予以相应的调整,从而使入侵的数据内容能够被及时的过滤除去。安全扫描技术能够对于局域网络、操作系统、Web站点以及防火墙系统之中的缺陷隐患采取扫描处理,从而及时的将问题漏洞上报给主机系统予以修复处理,最大程度的降低系统所承受的安全风险性。
网络安全检测技术正是基于自适应的安全管理模式。在这一管理模式当中每一项接入的网络的部分,都无法完全避免安全隐患的存在。并且自适应性的安全管理模式通常具备有两项特点,第一个特点为:动态性与自适应性,此两方面的内容能够借助于对网络安全扫描软件的升级处理,以及病毒数据库的及时更新来实现;第二个特点为:更为广泛的应用层次,能够普遍的应用在网络层、应用层以及主机操作系统之中,从而促使每一个层次的网络安全隐患,都能够得到更加及时的检测。
网络安全检测系统的目的及时发现系统当中所存在的隐患漏洞,因此目前重点是采用在安全限定范围内的供给方式,来对网络系统采取模拟性供给,从而寻找出系统所存在的隐患问题与漏洞,以及相关的缺陷不足。整体网络安全检测系统的结构图形如下图1所示。
2 安全扫描系统
2.1 系统配置模块
这一模块是整体系统的主要操控者,可采用GUI亦或是HTML文档结合浏览器两类方式,来对于整体系统架构采取相应的管理措施。配置模块部分重点是针对系统当中不同模块的运行标准予以安排。
首先明确信息获取的具体范围。即获取某一子网掩码的信息或者是某一台具体主机的信息,如果需获取某一子网信息,则应当对这一子网掩码的具体IP地址予以明确的位置标注,如:202.117.176.1――202.117.176.253,从而便能够针对子网的202.117.176.0采取安全检测,将所获取到的各项信息内容予以详细的记录;如若所获取某一台特定主机的信息内容,便能够设置出相应主机的IP地基,例如202.117.176.154。其次要明确漏洞检查模块的目标对象,即确切掌握网络系统的服务漏洞或是操作系统漏洞。在应对网络服务漏洞之时,可以明确针对Telnet的服务漏洞予以检测,以及相关的Http、FTP等相关漏洞;在应对操作系统的漏洞之时,可针对文件的权限设置明确检查相应的漏洞问题,以及系统设置与口令设置等相关操作系统的漏洞。最终,要能够依据各类所配置的信息要素,产生出具体的系统配置文件,确保所有模块内容的初始化设置和后期运行,均要依据此文件予以配置。
2.2 信息收集模块
(1)构建目标网络的拓扑结构图。拓扑结构图能够直观的体现出目标网络之中,各个网络元素间的相关性。如:路由器、子网与网关三者之间的相关性,以及各个不同的路由器之间的相关性,乃至于子网内部同主机之间的相关性,只有明确的掌握了各个不同网络设备间的相关性,才能够使得相关的管理人员了解到各个设备间的连接状况。对于差异性较大的网络拓扑结构而言,每一个网络拓扑结构便存在有其自身的缺点与不足,即为网络的拓扑结构决定了网络结构的安全性,因此对于各类不同的网络拓扑结构便应当采取与之相适应的保护方法。(2)明确目标主机和操作系统的类型与版本。在网络环境当中,通常会同时存在有各种型号差异明显的计算机设备,类型不同的计算机其自身所搭载的操作系统往往也不尽相同,加之操作系统的版本多样性,各种类型的计算机操作系统所存在的安全隐患也是各式各样的。诸如:UNIX与WINDOWS NT操作系统,目前已经公开的系统漏洞多达上千个之多,因此在应对这些种类繁多的操作系统及其漏洞时,难免会存在疏漏情况,因此明确计算机的操作系统类型与版本是十分必要的。(3)确定目标主机开启的网络服务。在网络环境中每一个计算机主机系统均能够给予用户,提供以各类远程网络服务,诸如FTP、Http等相关服务内容。然而每一项服务内容均存在有安全隐患的可能,因此为了加强安全系数相关的网络管理人员,必须要能够明确主机所开启的服务内容。在此过程当中应当针对目标主机的特定端口采取扫描措施,重点是采用和目标主机各端口构建起TCP协议,来检测相应的端口是否存在有服务开通。进而针对所开通的服务程序予以安全检测。
2.3 扫描调度模块
这一模块内容可依据上一模块当中所获取到的信息,以及相关的系统配置模块所产生出的配置文件,采用模拟攻击方式,针对网络环境亦或是主机系统予以扫描,而后将扫描所得到的结果内容反馈至下一系统之中。
(1)网络扫描是指针对网络服务及传输过程当中,所存在的各类隐患问题及时的排查出来。并依据相应的漏洞特征状况,创设出各类检测工具与数据包,例如可采用ActiveX破坏控件,来针对HTTPD当中的隐患问题予以检测;创设出虚构的IP地址数据包来针对IP SPOOFING隐患问题予以检测等。(2)防火墙扫描,目前的防火墙配置较为复杂,在扫描检测的过程中首先需注意对防火墙配置规则的检测,其次要针对防火墙在应对各类网络攻击之时的防范能力予以检测。(3)操作系统扫描,此部分的扫描内容可分为本地与分布式两类,即为本地操作系统与远程主机系统的漏洞扫描,具体的检测目标应当为口令文件的权限设置、根目录的权限设置;以及系统攻击者是否在系统中设置以Sniffer程序,亦或是其他的木马脚本等程序。
3 安全分析系统
3.1 安全分析模块
最初的安全扫描程序仅是单一的将扫描测试结果逐一列举出来,简要、直观的提供给测试人员而针对具体的信息内容并未做出任何的处理措施,因此在对于网络状况的整体性评估方面缺乏全面性的评价。因此为了更加有效的辅助相关的网络管理人员,对于相关的网络安全问题予以明确的评估,安全分析模块至关重要。安全分析模块能够通过对扫描调度模块,所收集到的初始信息予以加工处理,重点是针对检测过程当中所检查出的隐患问题予以分类统计,即某一类漏洞问题是从属于操作系统、网络服务程序或者是网络传输等相关方面的漏洞,在处理完成之后将所得到的记过内容进一步发送至数据库控制与报警系统中。
3.2 数据库控制模块
这一模块的主要目标是为了实现漏洞信息库和报警系统的信息交互。即:将扫描得到的漏洞信息汇总至报警系统当中;亦或是将新型的漏洞问题进行记录处理,并及时的上报至数据库当中。
3.3 漏洞信息数据库
漏洞信息数据库主要是存储漏洞扫描、危害状况以及相关的补救内容等信息。
3.4 报警系统
报警系统重点是依据数据库的检索模块,以及相关的安全隐患问题分析,来形成具体的安全评估报告,报告的形式可选用直方图、饼状图以及HTML三种。
(1)直方图:可主要用于对安全漏洞的直观展示。(2)饼状图:可主要用于对不同程度漏洞的百分比展示。(3)HTML文件:可主要用于给予远端用户报告漏洞信息,以及操作系统的安全程度,同时提出相应的改进措施。
4 安全监控系统
4.1 监测网络的流量
首先,为了满足于对全网络流量的监控要求,则必然要将监控系统安排于网络系统的各个交换节点之上。这主要是由于所有出入网络系统的数据内容,均需经过此交换结点。另外,还要使交换结点之上的设备网卡格式,设置于混音格式,以促使进出于网络当中的数据包均能够被交换节点的设备获取。其次,要做到对网络的实时性流量监测,就必须要掌握不同网络访问的流量改变规律,同时采用特征性文件的方式将其保存于系统之中。
4.2 监控网络的连接情况
因为在TCP/IP端的协议涉及,最初未能够考虑较多的安全因素,这也便是造成当前大量恶意网络攻击是由TCP/IP端的薄弱环节采取攻击行为。要加强在这一方面的防范工作,通常较为实用的方法便是采用防火墙充当,具体的防范原理如图2所示。实际的连接情况为防火墙在接收到了SYN的命令请求之后,便会向客户机发送SYN/ACK数据,并在回馈接收到了客户机方面的ACK之后,才能够向服务器发送建立连接的请求。此种方式能够确保内部服务器免受外界网络攻击。
5 结语
综上所述,本文在电台工作中首先正对计算机网络的安全状况,以及相关的网络安全技术予以了详细的阐述,重点分析了网络安全技术当中的检测技术内容。并在对于这一技术的细致分析基础上,结合以相关扫描、分析与监控技术,设计出了一个整体性的网络安全检测以及监控系统结构模型,同时针对这当中的核心技术予以了系统化的构建。最终希望借助于本文的分析研究,能够促使相关的网络安全检测,以及相关监控系统的功能性能够更加的趋向于完善性,确保电台网络安全。
参考文献
[1] 何冀东.基于网络重要度的货运计量安全检测监控设备布局优化方法及应用研究[D].北京交通大学,2013(11).
[2] 孙凌洁,钟于胜,沈焱萍等.网络漏洞安全检测系统的研究与设计[J].广东农业科学,2014(1).
[3] 曹立铭,赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究,2013(5).
[4] 蔡翔.有关计算机网络安全的检测与监控技术探讨[J].计算机光盘软件与应用,2012(12).
[5] 许佳森,杨传斌.基于WinSock DLL 的网络安全检测方法研究[J].微机发展,2015(1).
防火墙的构成上主要包括3个部分, 即限制器、分离器和分析器。防火墙是用于计算机防病毒的硬件, 安装在互联网与内部网之间, 对互联网信息进入到内部网可以起到门户的作用, 对于不良信息进行阻隔, 可以起到降低内部网遭到病毒侵袭的发生率[1]。
可见, 防火墙技术事实上是隔离技术。如果外网信息传递中, 经过防火墙检测属于安全信息, 就可以允许进入到内部网络。防火墙是保证计算机安全运行环境的重要屏障。防火墙技术所发挥的功能具体如下。
1.1 防火墙技术对网络安全可以起到强化作用
防火墙技术对网络安全可以起到强化作用, 体现在防火墙的设计方案、口令等都是根据计算机网络的运行需要量身定做的。
安装防火墙后, 计算机可以过滤不安全信息, 使得网络环境更为安全。防火墙可以禁止网络数据信息系统 (Network File System;缩写:NFS) , 对网络起到一定的保护作用, 不良企图的分子就不会利用网络数据信息系统攻击内部网。防火墙还可以拒绝各种类型的数据块, 即网络中交换与传输的数据单元, 即为报文 (message) , 可以进行一次性发送, 由此提高了内网的安全性。
如果发现有不良信息, 还可以及时通知管理员, 由此可以降低自身的损失率。
1.2 防火墙技术可以避免内网信息出现泄露问题
防火墙技术可以将重点网段起到保护作用, 发挥隔离作用, 使得内网之间的访问受到限制。内网的访问人员得到有效控制, 对于经过审查后存在隐患的用户就可以通过防火墙技术进行隔离, 使得内网的数据信息更为安全[2]。
在内网中, 即便是不被人注意的细节也会引起不良用户的兴趣而发起攻击, 使得内网的数据信息泄露, 这是由于内网产生漏洞所导致的。
比如, Finger作为UNIX系统中的实用程序, 是用于查询用户的具体情况的。如果Finger显示了用户的真实姓名、访问的时间, 不良用户一旦获得这些信息后, 就会对UNIX系统的使用程度充分了解。在网络运行状态下, 不良用户就会对UNIX系统进行在线攻击。
防火墙技术的应用, 就可以避免这种网络攻击事件发生。域名系统 (Domain Name System;缩写DNS) 会被隐藏起来, 主机用户真实姓名以及IP地址都不是真实的, 不良用户即便攻击, 防火墙技术发挥作用, 使得没有授权的信息不会进入到网络环境中, 保护了网络环境, 网络安全性能有所提高[3]。
1.3 防火墙技术可以对网络访问的现象起到一定的监督控制作用
计算机安装防火墙后, 所有对主机的访问都要接受防火墙的审查, 在防火墙技术的使用中, 完整的访问记录会被制作出来。
如果有可疑的现象存在, 防火墙就会启动报警系统, 不良用户的IP地址提供出来, 包括各种记录的信息、网络活动状态都会接受审计, 而且还可以做出安全分析, 对于各种威胁也可以进行详细分析。通过使用防火墙技术, 就可以使得不良用户被抵挡在门外, 由此起到了预防隐患的作用[4]。
2 防火墙技术在计算机网络安全中的应用
2.1 采用防火墙技术对网络数据信息进行加密
采用防火墙技术对计算机数据信息实施保护, 就是通过数据信息加密的方法对数据信息实施保护。
在数据信息进行传输或者对数据信息存储的过程中, 就可以采用加密的形式, 以保证数据信息在传输的过程容易被识辨, 而且真实的信息被加密之后, 就会被错误的信息所覆盖, 不会被病毒所攻击而导致信息缺失或者被篡改, 由此降低了被网络病毒攻击的几率。
对数据信息采用防火墙技术实施保护, 所使用的密码是通过密码算法计算出来的, 这些密码可以是对称的, 也可以是不对称的。
对称密码所加密的数据信息, 加密的密码与解密的密码是相同的, 密码的安全度不是很高, 所以密码与数据信息的保密程度密切相关;不对称密码对数据信息加密所采用的密码与解密的密码不同, 而解密密码的安全度直接决定了数据信息的安全度[5], 所以不对称密码所发挥的保密作用会更好一些。
2.2 防火墙技术对域网系统安全运行提供保护
应用防火墙技术保护计算机网络, 是为了防止不良访问者攻击网络。防火墙安装在网络系统的外部, 阻止来自外部网络的病毒攻击, 由此维护了内部网络环境的安全。
防火墙技术重在保证信息安全, 是基于网络通信技术建立起来的。对于两个网络之间有不同的信任程度, 就可以使用防火墙这种防护设备, 由此避免了外来病毒的攻击[6]。
防火墙技术发挥作用, 可以避免非法用户访问, 确保网络处于安全稳定的运行状态, 维护了网络信息以及网络数据库信息。
当浏览网络信息的过程中有不良信息被拦截的提示的时候, 就意味着在网络上已经安装了防火墙, 对网络起到了安全保护的作用, 对不良信息进行了成功拦截。
防火墙技术的应用, 不仅可以发挥拦截信息的功能, 还会阻拦垃圾信息并对垃圾信息自动删除, 避免产生信息扰而无法发挥其作用的现象。
防火墙安装在局域网和互联网之间, 当信息在网络之间传输的时候, 防火墙就会检验信息, 对局域网系统运行实施了安全保护。
比如, 采用防火墙技术对校园网数据中心所接收的信息实时检测。对于要通过防火墙的病毒, 防火墙技术就可以发挥病毒检测作用, 对数据库中心进行防护。当数据库中心被攻击, 防火墙技术就可以在线检测, 有效地阻断网络型病毒的不良影响[7]。
3 结论
综上所述, 计算机网络是开放的空间, 在虚拟的网络空间中实现信息共享, 这就为网络型病毒的入侵提供了可利用的空间。
计算机网络运行中, 做好安全维护工作是非常必要的, 以在充分发挥计算机网络的作用的同时, 还可以提高信息传播质量。
计算机网络运行中, 由于安全维护不到位而存在问题, 就会给病毒以可乘之机, 使得病毒会通过网络运行中所存在的系统漏洞而入侵到计算机系统中。为了避免由此导致的严重后果, 就需要对网络型病毒进行分析, 对防火墙技术充分利用, 做好计算机网络的安全维护工作, 以避免计算机网络遭到威胁。
参考文献
[1]胡菊.计算机网络安全方面问题的分析[J].中国电子商情 (科技创新) , 2014 (3) :15.
[2]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用, 2013 (4) :178-179.
[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑 (理论版) , 2016 (4) :54-55.
[4]张武帅, 王东飞.防火墙技术在计算机网络安全中的应用探究[J].电脑知识与技术, 2015 (31) :35-36.
[5]李国胜, 张静薇.计算机网络安全管理相关安全技术探析[J].科技创新导报, 2013 (8) :215.
关键词:网络安全;防火墙;访问控制;数据加密;入侵检测
中图分类号:G434 文献标识码:A 文章编号:1009-010X(2015)03-0079-02
一、网络安全面临的问题及威胁
网络安全是指信息安全和控制安全。其中信息安全包括信息的完整性、可用性、保密性和可靠性;控制安全包括身份认证、不可否认性、授权和访问控制。信息安全和控制安全在网络安全建设中都很重要,缺一不可。没有信息安全,就会产生决策失误;没有控制安全,网络系统就可能崩溃。综合上述两方面,计算机网络安全主要存在以下几个问题:
(一)人为失误
网络操作人员对操作系统、硬件设备和相关软件的配置和使用不当,造成安全上的漏洞。如用户安全意识不强、用户口令过于简单,用户将自己的账号转借他人或与他人共享等,都会为网络安全带来隐患。
(二)软件漏洞
我们使用的软件主要有三类:第一类,操作系统;第二类,商用软件;第三类,自主开发的应用软件。这些软件都不可能毫无缺陷和漏洞。尤其是第三类软件,是我们根据本单位需求而自行研发的,在设计上存在一定的缺陷,这些正是网络黑客进行攻击的目标。
(三)恶意攻击
恶意的攻击分为主动攻击和被动攻击。主动攻击是以各种方式有目的地破坏信息的有效性和完整性;被动攻击是在不影响网络正常工作的情况下进行截获、窃取、破译从而获得重要机密信息。
(四)受制于人
目前我国信息化建设中的核心技术缺乏技术支撑,依赖国外进口,比如CPU芯片、操作系统、数据库、网络设备等,这样就存在许多安全隐患,容易留下嵌入式病毒、隐性通道和可恢复的密码等漏洞。
二、网络安全防范措施
解决网络安全问题的关键在于建立和完善计算机网络信息安全防护体系。一般常用的网络安全技术主要有防火墙技术、入侵检测技术、访问控制技术和数据加密技术。
(一)安装防火墙
防火墙是软件和硬件的组合,它在内网和外网之间建立起一个安全的网关,从而保护内部网络免受非法用户的侵入,作为一个分离器、控制器和分析器,用于执行两个网络之间的访问控制策略,有效地监控了内部网络和外部网络之间的活动。防火墙是目前使用最广泛的网络安全技术,对于非法访问具有预防作用。
(二)设置访问控制
访问控制的主要任务是保证网络资源不被非法使用和访问,它是针对网络非法操作而采取的一种安全保护措施。实施中需要对用户赋予一定的权限,不同权限的用户享有不同的权力。用户要实现对网络的访问一般经过三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的限制与检查。这三个步骤中任何一关没有通过,用户都无法进入网络。因此,通过设置访问控制可有效地保证网络的安全运行。
(三)采用数据加密
数据加密技术是为防止秘密数据被外部破解,以提高网络传输中信息的安全性、完整性所采用的技术手段,其关键技术在于密钥的管理、存储、分发等环节。一般采用密码管理系统、密码防护设备、终端加密设备、数据库加密设备、网间密码加密设备、拨号上网加密设备、远程拨号终端加密设备等技术。加密常用的办法有链路加密、端点加密和节点加密。
(四)加强入侵检测
入侵检测技术是为保证计算机系统的安全而配置的一种能及时发现并报告系统中未授权或异常现象的技术,是检测网络中违反安全策略行为的技术。系统日志就是操作系统自身附带的一种安全监测系统。我们可以定期生成报表,通过对报表进行分析,了解整个网络的运行情况,及时发现异常现象。
(五)阻断传播途径
由于网络是建立在公开、共享的基础上,因此各类的计算机网络系统不得直接或间接与互联网或其它公共信息网络相连接,必须实现物理隔离。对于级别很高的计算机,应该建立单独机房,指定专人操作,这样可以最大程度减少泄密的可能性。另一方面,对相关网络中的传输线路、终端设备也要进行安全处理。对于计算机要使用专用的工具软件把不需要的文件彻底删除,对于废弃的已格式化的硬盘,有时仍会留下可读信息的痕迹,一定要对硬盘进行物理销毁,这样才能把硬盘上的秘密完全清除。因此,对计算机的存储设备必须谨慎、规范处理,杜绝一切安全隐患。
(六)提高人员素质
在网络安全环节中,人员是工作的主体,网络安全所涉及的一切问题,决定因素是人,因此人员素质的高低直接决定着信息网络安全工作的好坏。注重人员培训、提高能力素质是构建网络安全体系的重要环节。良好的系统管理机制是增强系统安全性的保证,我们要加强对维护人员的安全教育、开展各种有关网络安全检测、安全分析、网上纠察等内容的专业技术培训,保证网络的维护者都能够成为掌握网络安全技能、熟练应用网络安全技术、严格执行网络安全守则和掌握最新安全防范动态与技术的全能型人才,以适应信息化建设的需要。
网络时代,网络安全威胁会在信息建设中时刻相伴。一方面,我们必须增强安全意识,建立主动防范、积极应对的观念。另一方面,网络安全的风险也是可以控制和规避的,只要我们能够从技术上建立完整的解决方案,从人员培养与管理上注重实效、严格制度,一定能为计算机网络构建起坚实的屏障,保证网络安全、顺畅地在科技和经济迅猛发展中发挥其无法替代的作用。
参考文献:
[1]陈建伟.计算机网络与信息安全[M].北京:科学出版社,2006.
