時間:2023-09-19 16:31:05
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇保護網絡安全的措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]計算機 網絡安全 防范技術
一、計算機網絡安全的含義
國際標準化組織(ISO)對計算機系統安全的定義是:為系統數據處理建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。
二、計算機網絡安全的特征
網絡安全應該具有以下四個方面的特征:
1.保密性:信息不泄露給非授權用戶、實體、過程或供其利用的特性;
2.完整性:數據未經授權不能進行改變的特性,及信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性;
3.可用性:可被授權實體訪問并按需求使用的特性,即當需要時能否存取所需的信息;
4.可控性:對信息的傳播及內容具有控制能力。
三、影響計算機網絡安全的因素
1.無意的威脅――人為操作錯誤(如使用不當、安全意識差等)、設備故障、自然災害(意外事故)等不以人的意志為轉移的事件。
2.有意的威脅――黑客行為(由于黑客入侵或侵擾,造成非法訪問、拒絕服務、計算機病毒、非法鏈接等)、垃圾郵件和間諜軟件、信息戰的嚴重威脅、計算機犯罪等人為的破壞。
四、網絡安全防護措施
目前廣泛運用和比較成熟的網絡安全技術主要有:漏洞掃描技術、防火墻技術、信息加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
1.漏洞掃描技術
漏洞掃描技術也就是對計算機系統或者其他網絡設備進行安全相關的檢測,以找出安全隱患和可被黑客利用的漏洞。漏洞掃描是保證系統和網絡安全必不可少的手段。
2.防火墻技術
防火墻技術是一種允許接入外部網絡,但同時又能夠識別和抵抗非授權訪問的網絡安全技術,用來防止非法用戶和數據進出的一種安全防范措施,是在被保護網絡和其他網絡之間限制訪問的一種設備。它的核心技術就是包過濾,大部分路由器都有這個功能,它可針對各種應用單獨設置,使用靈活,適用于互聯網。但是它存在著安全性較低;適用范圍窄;過濾規則是靜態的,過濾規則的維護、測試相當復雜;無法進行強電子數字簽名和強身份鑒別等缺點。
3.信息加密技術
信息加密技術是保障信息安全的最基本、最核心的技術措施和理論基礎。數據加密技術是為了提高信息系統與數據的安全性和保密性,防止機密數據被外部破譯而采用的主要技術手段之一。它的基本思想是偽裝明文以隱藏真實內容。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端一端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
4.入侵檢測技術
入侵檢測技術又稱為IDS(Intrusion Detection svstem),是近幾年出現的新型網絡安全技術,目的是提供實時的入侵檢測以及采取相應的防護手段。它是基于若干預警信號來檢測針對主機和網絡入侵事件的技術。一旦檢測到網絡被入侵之后,立即采取有效措施來阻斷攻擊,并追蹤定位攻擊源。入侵檢測技術包括基于主機的入侵檢測技術和基于網絡的入侵檢測技術兩種。
5.防病毒技術
網絡防病毒技術是網絡應用系統設計中必須解決的問題之一。病毒在網上的傳播極其迅速,且危害極大。并且在多任務、多用戶、多線程的網絡系統工作環境下,病毒的傳播具有相當的隨機性,從而大大增加了網絡防殺病毒的難度。目前最為有效的防治辦法是購買商業化的病毒防御解決方案及其服務,采用技術上和管理上的措施。要求做到對整個網絡集中進行病毒防范、統一管理,防病毒產品的升級要做到無需人工干預,在預定時間自動從網站下載最新的升級文件,并自動分發到局域網中所有安裝防病毒軟件的機器上。
6.加強網絡安全的人為管理
在強調技術解決信息網絡安全的同時,還必須花大力氣加強對使用網絡的人員的管理。要注意管理方式和實現方法,因為諸多的不安全因素恰恰反映在組織管理或人員工作時錄入、使用等方面,而這又是計算機網絡安全所必須考慮的基本問題。所以,要采取切實可行的方法,加強管理,立章建制,增強內部人員的安全防范意識。例如:
(1)對一些重要設備(如主機、服務器等)要獨立存放,并嚴格控制出入其中的人員,還要盡可能的給這些設備增加備份,以防不測發生。
(2)加強計算機操作人員的安全防范意識,不隨意下載、安裝不明軟件。
(3)定時對殺毒軟件、防火墻軟件升級,謹慎使用他人的存儲介質。
(4)限定網絡用戶的權限。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,有權訪問某些目錄、子目錄、文件和其他資源,可以對這些文件、目錄、設備執行指定操作。根據訪問權限可將用戶分為以下幾類:
特殊用戶:即系統管理員;
―般用戶:系統管理員根據他們的實際需要為他們分配操作權限;
審計用戶:負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
7.數據備份
關鍵詞:網絡安全隱患防范措施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2012)03-0000-00
Internet的飛速發展給人類社會的科學與技術帶來了巨大的推動與沖擊,同時也產生了網絡信息與安全的問題。因此計算機的安全行也就成了人們討論的主要話題之一,計算機安全主要研究的是病毒的防治和系統的安全。計算機不僅要防治病毒的入侵,更要提高自身系統抵抗外來黑客的入侵能力,同時還有提高遠程數據的傳輸保密性,避免在傳輸中遭到不法程序的竊取。
1、計算機網絡安全隱患分析
互聯網的快速發展,計算機網絡的資源共享在世界范圍內進一步的加強,但網絡傳播安全也隨之而來。互聯網的安全面臨著重大的挑戰,資源共享必然面臨著信息的安全,是一對不可調和的矛盾,在公共開放的網絡環境中,大量的信息流動,這就成為不法分子攻擊的目標。不法分子選擇不同的攻擊手段,以獲得訪問權限或者在網中的流動信息中竊取敏感信息,成功的闖入個人用戶或者政府機關的計算機系統,以此來進行對用戶數據的窺視、竊取、篡改。網絡安全最為主要的特點就是不受時間、地點、條件限制,而犯罪的“低成本和高收入”又在一定程度上刺激了網絡安全犯罪的增長,針對計算機信息系統的犯罪增多也是其中一個原因。
一般的理論和經驗認為,計算機網絡系統安全最主要的威脅主要來自黑客的攻擊和計算機病毒以及拒絕服務攻擊三個方面。黑客攻擊早在計算機主機終端時代就已經出現,伴隨著網絡的發展,黑客攻擊則早已經轉變的方式,已經從以往的攻擊系統轉變為攻擊網絡用戶。現在黑客常用的手法包括:運用網絡監聽軟件獲取上網用戶的賬號和密碼;監聽網絡密匙的分配規律和過程,攻擊密鑰管理服務器,得到密鑰或認證碼,從而取得合法資格;利用UNIX操作系統提供的守護進程的缺省帳戶進行攻擊,如Telnet Daemon、FTP Daemon和RPC Daemon等;利用Finger等命令收集信息,提高自己的攻擊能力;利用SendMail,采用debug、wizard和pipe等進行攻擊;利用FTP,采用匿名用戶訪問進行攻擊;利用NFS進行攻擊。目前已經知道的網絡黑客的攻擊手段有500種之多,因此網絡安全的防護就顯得尤為重要了。
2、計算機網絡安全問題的防范措施
解決計算機網絡安全,從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,要采用單獨的組件是根本無法確保網絡信息技術安全的。因此只有采用綜合的網絡安全手段,才能從真正意義上實現網絡的安全。目前廣泛運用和比較成熟的網絡安全技術主要有:數據加密技術,防火墻技術,云查殺技術,防病毒技術等;就對于網絡安全而言,目前比較廣泛應用的網絡防護措施包括:
3、網絡防火墻
防火墻技術是一種隔離控制技術,它是一種預定義的網絡安全策略,通過內外網通信強制實施控制訪問。常用的防火墻技術分為包過濾技術、用網關技術、狀態檢測技術。包過濾技在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據流中的每個數據包。根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過,狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待。構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
4、數據加密技術
數據加密技術對于控制用戶的訪問控制比較靈活,因此更加適用于開放的網絡系統。網絡用戶的授權訪問主要是為了保護其靜態信息,通過系統級別的支持平臺,在操作系統中實現訪問。數據的加密主要是用于對網絡用戶的動態訪問信息的保護,而一般來說動態數據的攻擊分為主動攻擊和被動攻擊,主動給攻擊不能避免但可以預防檢測;但被動攻擊一般是無法檢測的,避免其受到攻擊的最好辦法就是數據加密。
5、安全管理隊伍的建設能有效的保護網絡安全
總所周知的是,計算機網絡系統中絕對安全是不存在的。要減小網絡安全隱患,就必須建立和制定一套健全的安全管理體制,才能最大限度的保障計算機網絡的安全運行,同時還有網絡管理人員和廣大的網絡用戶一起努力,使用諸如殺毒軟件和一切的技術和工具來減小網絡安全危害。同時要加大力度對付一起暴利的網絡非法行為,盡可能的不安全因素控制在最小范圍。同時,要不斷強化計算機網絡的安全規范化管理力度,加大網絡安全技術的建設;大力宣傳網絡使用安全,強化網絡資源的使用者和管理者的安全意識。還有一點值得注意的就是,網絡用戶使用的IP地址也是網絡安全的一個重要部分,只有對本網絡內的IP地址進行統一的管理、統一的分配,才能起到有效的保護網絡安全。
6、結語
總之,網絡安全是個綜合性的問題,網絡安全所涉及到的技術、管理和使用的許多方面。計算機信息系統本身的安全是一個復雜的問題,一種技術職能解決一個問題,所以要達到網絡安全的全面升級不僅需要建立一個特色的網絡安全,還需要國家政策和法規的支持。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
參考文獻
[1] 于臻,魏景新,冉小英.我國網絡信息安全的現狀調查與解決方案[J].華北科技學院學報,2006年01期.
[2] 張旭珍,薛鵬騫,葉瑜.網絡信息安全與防范技術[J].華北科技學院學報,2006.
[3] 程冉,皮德常.入侵檢測技術的研究[J].科技廣場,2005.
關鍵詞:黑客 防火墻 網絡安全策略
1、網絡威脅現狀
1.1 人為的無意失誤
人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
1.2 為的惡意失誤
人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
1.3 黑客(hacker)
源于英語動詞hack,意為“劈,砍”,引申為“干了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中,“黑客”則有“惡作劇”之意,尤指手法巧妙、技術高明的惡作劇。他們往往做一些重復的工作(如用暴力法破解口令),他們也具備廣泛的電腦知識,但與黑客不同的是他們以破壞為目的。這些群體成為“駭客”。當然還有一種人兼于黑客與入侵者之間。
黑客攻擊的目的:
取目標系統的非法訪問---獲得不該獲得的訪問權限b、獲取所需資料---獲得黑客想要獲得的相關資料,包括科技情報、個人資料、金融帳戶、技術成果、系統信息等等c、篡改有關數據---篡改以上資料,達到非法目的d、利用有關資源---利用這臺機器的資源對其它目標進行攻擊,虛假信息,占用存儲空間黑客攻擊的方式:遠程攻擊---遠程攻擊指外部黑客通過各種手段,從該子網以外的地方向該子網或者該子網內的系統發動攻擊。遠程攻擊的時間一般發生在目標系統當地時間的晚上或者凌晨時分,遠程攻擊發起者一般不會用自己的機器直接發動攻擊,而是通過跳板的方式,對目標進行迂回攻擊,以迷惑系統管理員,防止暴露真實身份。
1.4 網絡軟件的漏洞和“后門
無論多么優秀的網絡軟件,都可能存在這樣那樣的缺陷和漏洞,而那些水平較高的黑客就將這些漏洞和缺陷作為網絡攻擊的首選目標。在曾經出現過的黑客攻擊事件中,大部分都是因為軟件安全措施不完善所招致的苦果。一般,軟件的“后門”都是軟件公司的設計和編程人員為了為方便設計而設置的,很少為外人所知。不過,一旦“后門”公開或被發現,其后果將不堪設想。
后門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。
2、網絡安全的技術和措施
2.1 物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
2.2 訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
2.3 信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
2.4 網絡安全管理策略
所謂網絡安全管理策略是指一個網絡中關于安全問題采取的原則,對安全使用的要求,以及如何保護網絡的安全運行。
制定網絡安全管理策略首先要確定網絡安全管理要保護什么,在這一問題上一般有兩種截然不同的描述原則。一個是“沒有明確表述為允許的都被認為是被禁止的”,另一個是“一切沒有明確表述為禁止的都被認為是允許的”。對于網絡安全策略,一般采用第一種原則,來加強對網絡安全的限制。對于少數公開的試驗性網絡可能會采用第二種較寬松的原則,這種情況下一般不把安全問題作為網絡的一個重要問題來處理。
網絡安全策略還應說明網絡使用的類型限制。定義可接受的網絡應用或不可接受的網絡應用,要考慮對不同級別的人員給予不同級別的限制。但一般的網絡安全策略都會聲明每個用戶都要對他們在網絡上的言行負責。所有違反安全策略、破環系統安全的行為都是禁止的。具體涉及到如下類似的一些問題:
(1)如果用戶碰巧發現他對一個不屬于他的文件具有寫權限,是否允許用戶修改該文件?
(2)是否允許用戶共享帳號?
一般網絡安全策略對上述問題的回答都是否定的。
在大型網絡的安全管理中,還要確定是否要為特殊情況制定安全策略。例如是否允許某些組織如CERT安全組來試圖尋找你的系統的安全弱點。對于此問題,對來自網絡本身之外的請求,一般回答是否定的。
網絡安全對策最終一定是要送至網絡的每一個使用者手中。對付安全問題最有效的手段是教育,提高每個使用者的安全意識,從而提高整體網絡的安全免疫力。網絡安全策略作為向所有使用者發放的手冊,應注明其解釋權歸屬何方,以免出現不必要的爭端。
參考文獻
[1]齊德顯,胡錚.網絡與信息資源管理[M].北京:北京兵器工業出版社,北京:北京希望電子出版社,2005.
1.1網絡存儲技術安全
對于一個企業來說,網絡存儲數據的安全性是極其重要的一個工作內容,一旦重要的數據被損壞或者丟失,便會對企業日常生產、運作造成重大的影響,甚至是會產生無法估計和難以彌補的損失,故計算機系統不是永遠可靠的,單單依靠雙機熱備份、磁盤陣列、磁盤鏡像、數據庫軟件的自動復制等備份功能已經遠遠解決不了網絡安全的問題,所以,計算機網絡需要有完整的數據存儲模式。目前的存儲模式有直接連接存儲模式(DirectAttachedStorage,DAS)、網絡存儲模式(NetworkAttachedStorage,NAS)、存儲區域網絡(StorageAreaNetwork,SAN)。
1.2網絡規劃、設計及實施安全
在網絡規劃、設計及實施方面側重于網絡安全性的方案選取,包括選用安全的操作系統、設置網絡防火墻、網絡防殺病毒、數據加密和信息工作制度的保密等等方面,充分發揮網絡安全性的原則。
2網絡安全管理策略
在計算機網絡系統中,絕對的安全是不存在的,制定健全的網絡安全管理策略是計算機網絡安全的重要保證,只有通過網絡管理人員、與企業相關的、及網絡使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小、降低以及避免一切非法的網絡行為,盡可能地把不安全的因素降到最低。
2.1網絡安全管理策略的可變性
網絡安全策略并不是一成不變的,它具有可變的特性。一方面,由于企業或者單位組織內部結構、組織方式的不斷變化,相關業務和數據類型和分布的更新也不斷地發生著變化;另一方面:從網絡安全技術的角度講,攻擊者的攻擊方式、防止攻擊的措施也在不斷地升級和改進,所以,安全策略是一個變化性的策略,必須要和網絡當前的狀態相適應。
2.2網絡安全策略的核心內容
網絡安全策略的核心內容有:定方案、定崗、定位、定員、定目標、定制度、定工作流程(方崗位員目制流),也就是我們通常所說的“七定”。
2.3網絡安全策略的設計與實施步驟
(1)確定網絡安全需求,確定網絡安全需求的范圍,評估面臨的網絡風險;
(2)制訂可實現的網絡安全策略目標;
(3)制訂網絡安全策略規劃:制定本地網絡安全規劃、遠程網絡安全規劃、Internet網絡安全規劃等規劃內容;
(4)制訂網絡安全系統的日常維護計劃。
3網絡安全防御與改善措施
3.1網絡安全防范管理
做好網絡安全防范計劃于與策略,對網絡安全進行防范控制盒管理,提高網絡自身穩定性、可靠性,要有較高的警惕安全的意識,從而,能夠抵御較大的網絡安全風險。網絡安全防范措施可以有:
(1)國家信息安全漏洞共享平臺;
(2)反網絡病毒聯盟組織。
3.2建立良好的網絡安全機制
目前,常用的安全機制有身份驗證、授權、數據加密、密鑰加密和數字簽名、數據包過濾、防火墻、入侵監測系統、物理安全等。在此,我們重點介紹數據加密、入侵檢測系統和防火墻技術。
(1)數據加密:該技術更好的實現了信息的保密性,確保了信息在傳輸及存儲過程中不會被其他人獲取,它是一種十分有效的網絡安全技術措施。因此,為了保障數據的存儲和傳輸安全,需要對一些重要數據進行加密。
(2)入侵檢測系統:在系統檢測或者可能的情況下,阻止入侵者試圖控制自己的系統或者網絡資源的行為。入侵檢測系統是一種主動保護網絡免受攻擊的安全技術,從而簡化網絡管理員的工作,保護網絡安全的運行。
(3)防火墻技術:建立在內外網絡邊界上的過濾封鎖機制。內部網絡被認為是安全和可信賴的,外部網絡(通常是Internet,互聯網)被認為是不安全和不可信賴的。防火墻技術是一種被動網絡安全技術,是目前應用最多的一種網絡安全技術,但是,防火墻技術有它的局限性,它假設了網絡邊界和服務,導致對內部的非法訪問難以有效的進行控制。
3.3引入網絡安全審計系統
關鍵詞:網絡;安全
計算機網絡安全策略是指在某個安全區域內,與安全活動有關的一套規則,由安全區域內的一個權威建立,它使網絡建設和管理過程中的工作避免了盲目性,但在目前它并沒有得到足夠的重視。國際調查顯示,目前55%的企業網沒有自己的安全策略,僅靠一些簡單的安全措施來保障網絡安全。
計算機網絡安全策略包括對企業各種網絡服務的安全層次和權限進行分類,確定管理員的安全職責,如實現安壘故障處理.確定網絡拓撲結構、入侵及攻擊的防御和檢測、備份和災難恢復等。這里所說的安全策略主要涉及4個大的方面:物理安全策略、訪問控制策略、信息加密策略和網絡安全管理策略。
一、物理安全策略和訪問控制策略
1、物理安全策略
制定安全策略的目的是保護路由器、交換機、工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的機房安全管理制度,妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。
2、訪問控制策略
訪問控制策略是網絡安壘防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,而訪問控制策略可以認為是保證網絡安全最重要的核心策略之一。
(1)入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為3個步驟:用戶名的識別以驗證、用戶帳號的缺省限制檢查。
(2)網絡的權限控制
網絡權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。可以根據訪問權限將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,由系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
(3)目錄級安全控制
網絡應能夠控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有以下8種:系統管理員權限,也叫超級用戶權限、主動權限、寫權限、創建權限、刪除權限、修改權限、文件查找、存取控制。
(4)屬性安全控制
當使用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全。網絡上的資源都應預先標出一組安全屬性,網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除,執行修改、顯示等。
(5)網絡服務器安全控制
計算機網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網絡服務器的安全控制包括:可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息數據;可以設定服務器控登錄時間限制、非法訪問者檢測和關閉的時間間隔。
(6)網絡監測和鎖定控制
計算機網絡管理員對網絡實施監控,服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問進行報警,以引起網絡管理員的注意,并自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
(7)網絡端口和節點的安全控制
網絡中服務器的端口往往使用自動回呼設備和靜默調制解調制器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防范黑客的自動撥號程序對計算機進行攻擊。網絡還通常對服務器端采取安全限制,用戶必須攜帶證實身份的驗證器。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務端再進行相互驗證。
(8)防火墻控制
防火墻是近十多年來發展起來的一種保護計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進出方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離外部和內部網絡,以阻止來自外部網絡的侵入。
二、信息加密策略
信息加密的目的是保護網絡的數據、文件、口令和控制信息,保護網絡會話的完整性。網絡加密可設在鏈路級、網絡級,也可以設在應用級等,它們分別對應干網絡體系結構中的不同層次形成加密通信通道。用戶可以根據不同的需求,選擇適當的加密方式。保護網絡信息安全行之有效的技術之一就是數據加密策略。它是對計算機信息進行保護的最實用和最可靠的方法。
三、網絡安全管理策略
網絡安全管理策略是指在特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。實現網絡安全,不僅要靠先進的技術,而且要靠嚴格控的管理和威嚴的法律。三者的關系如同安壘平臺的三根支柱,缺一不可。網絡安全管理策略包括:(1)確定安全管理等級和安全管理范圍;(2)制定有關網絡操作使用規程和人員出入機房管理制度;(3)制定網絡系統的維護制度和應急措施等;安全管理的落實是實現網絡安全的關鍵。
四、計算機網絡物理安全管理
涉及計算機網絡的物理安全管理是保護計算機網絡設備、設施以及其他媒體免遭地震、水災等環境事故和人為地操作失誤導致的破壞過程。網絡物理安全管理主要包括:機房的安全技術管理、通信線路的安全管理、設備安全管理和電源系統的安全管理。
防火墻是確保網絡安全的有效手段,其基本功能如下:
(1)過濾網絡中的不安全要素,只讓授權的服務和協議進入內部網絡。
(2)如果子網絡的大部分或者全部需要修改的軟件能夠集中地放在防火墻的系統之中,而并非分散到各個主機中,這樣其保護作用將會集中一些。
(3)防火墻為用戶提供制定網絡安全以及執行這些策略的有效手段。
(4)使用防火墻技術的網絡站點可以有效防止finger和DNS域名,也可以封鎖域名中的服務信息。
(5)防火墻能夠對企業的內部網進行集中的安全網絡管理,不用在內部網各個計算機設備上分別設立相應的安全策略。
(6)提供其他的安全控制服務,各個組織機構能夠根據自身特殊要求配置獨特的防火墻技術和服務。
2防火墻技術的缺陷
防火墻技術也并非完美無缺,它同樣存在著一些缺陷。
(1)限制了網絡服務。防火墻為了最大限度提高網絡安全性,對一些存在著一些安全隱患的服務進行關閉或者限制措施,這讓具有實用價值但是在設計過程中為充分考慮到網絡的安全性的一些網絡服務不能得到有效使用。
(2)不能抵御繞過防火墻系統的攻擊。不分用戶認為需要進行認證的服務器很麻煩,因而嘗試跳過防火墻所提供的安全服務直接進行連接,這給后門攻擊創造了很大的機會,不利于個人網絡的安全,網絡用戶應該杜絕這種不安全的連接。
(3)無法防御內網用戶的攻擊。防火墻作為網絡安全系統的重要組成部分,但也并不是全部。防火墻系統不可能為用戶解決一切安全問題。相反,它只能保護網絡邊沿,而并不能有效防止網絡內部的一些攻擊,防火墻技術與內網用戶來講形同虛設。
(4)不能預防新產生的網絡安全問題。防火墻技術是被動的網絡安全手段,只能對其已知的攻擊產生作用,而對于一些不短翻新和變化的安全問題,唯有不斷地改進防火墻技術、提高安全防護的水平,如制定相應的法規、提高安全意識、對信息進行加密等措施,才能切實保護網絡安全。
3防火墻技術未來的發展趨勢
防火墻技術變化和發展速度驚人,它將順應著更易于管理、集成全新的信息安全防護技術、和更加便于推廣和應用的趨勢發展,具體來講,防火墻的未來發展趨勢如下:
(1)防火墻對用戶網絡流量的損耗和影響將會降到最低。
(2)將增強檢測以及預警的功能,完善網絡安全所謂管理工具,尤其是針對一些可疑進程的日志進行分析的工具。
(3)過濾的功能將會不斷加強,從技術層面來講更加具有綜合性,結合了網關技術以及過濾技術,而且將采用對數據進行加密的技術和對身份驗證加以強化的技術等控制訪問的措施。
(4)現在的防火墻技術采用的是靜態的安全策略,當網絡安全受到威脅時,靜態的防火墻技術經常束手無策,而未來的防火墻技術精能夠根據動態的網絡威脅,進行自主的學習,這將是防火墻發展的一種趨勢。
(5)想在的防火墻技術產品多種多樣,在網絡安全維護方面都發揮著突出作用,當下的防火墻技術有一種多功能化設計的趨勢。防火墻技術不斷發展,并且一直在創新,這種良好的發展趨勢將會一直持續下去。同時,防火墻技術的管理功能也會在未來的不斷發展中得到強化。
4結束語
關鍵詞:網絡安全威脅技術
0引言
網絡安全技術指致力于解決諸如如何有效進行介入控制,以及何如保證數據傳輸的安全性的技術手段,主要包括物理安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,及其它的安全服務和安全機制策略。一影響計算機網絡安全的因素很多,有人為因素,也有自然因素,其中人為因素的危害最大。
1計算機網絡的安全策略
1.1物理安全策略物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊驗證用戶的身份和使用權限、防止用戶越權操作確保計算機系統有一個良好的電磁兼容工作環境建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
1.2訪問控制策略訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。
1.3信息加密策略信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全端-端加密的目的是對源端用戶到目的端用戶的數據提供保護節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
1.4網絡安全管理策略在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括:確定安全管理等級和安全管理范圍制訂有關網絡操作使用規程和人員出入機房管理制度制定網絡系統的維護制度和應急措施等。
2常用的網絡安全技術
由于網絡所帶來的諸多不安全因素,使得網絡使用者必須采取相應的網絡安全技術來堵塞安全漏洞和提供安全的通信服務。如今,快速發展的網絡安全技術能從不同角度來保證網絡信息不受侵犯,網絡安全的基本技術主要包括網絡加密技術、防火墻技術、網絡地址轉換技術、操作系統安全內核技術、身份驗證技術、網絡防病毒技術。
2.1網絡加密技術網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
信息加密過程是由形形的加密算法來具體實施的,它以很小的代價提供很牢靠的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特而后者則先將信息序列分組,每次處理一個組。
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件(或病毒)的有效方法之一。
2.2防火墻技術防火墻(Firewall)是用一個或一組網絡設備(計算機系統或路由器等),在兩個或多個網絡間加強訪問控制,以保護一個網絡不受來自另一個網絡攻擊的安全技術。防火墻的組成可以表示為:防火墻=過濾器+安全策略(+網關),它是一種非常有效的網絡安全技術。在Internet上,通過它來隔離風險區域(即Internet或有一定風險的網絡)與安全區域(內部網,如Intranet)的連接,但不防礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據,從而完成僅讓安全、核準的信息進入,同時又抵制對企業構成威脅的數據進入的任務。
2.3網絡地址轉換技術(NAT)網絡地址轉換器也稱為地址共享器(AddressSharer)或地址映射器,設計它的初衷是為了解決IP地址不足,現多用于網絡安全。內部主機向外部主機連接時,使用同一個IP地址相反地,外部主機要向內部主機連接時,必須通過網關映射到內部主機上。它使外部網絡看不到內部網絡,從而隱藏內部網絡,達到保密作用,使系統的安全性提高,并且節約從ISP得到的外部IP地址。
2.4操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統對操作系統的安全配置利用安全掃描系統檢查操作系統的漏洞等。
美國國防部(DOD)技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2級(例如,Unix、WindowsNT),其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別②系統可以根據用戶注冊名決定用戶訪問資源的權限③系統可以對系統中發生的每一件事進行審核和記錄④可以創建其他具有系統管理權限的用戶。
2.5身份驗證技術身份驗證(Identification)是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證(或身份鑒別)。
它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否是合法的用戶,如是合法的用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
企業辦公的信息系統是基于公司防火墻、服務器、訪問web、郵件、公司內部網絡、辦公pc機、數據庫、互聯網技術及相應的輔助硬件設備組成的,是一個綜合管理系統。從安全形勢來看,企業辦公的信息系統存在著嚴重的威脅。信息設備提供了便捷及資源共享,但同時在安全方面又是脆弱和復雜的,對數據安全和保密構成威脅。潛在的安全威脅主要有以下方面:信息泄露:信息被泄露或透露給某個非授權的實體;破壞信息的完整性:數據未經非授權被增刪、修改或破壞而受到損失;拒絕服務:對信息或其他資源的合法訪問被無條件地阻止;非授權訪問:某一資源被某個非授權的人,或以非授權的方式使用;竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息;業務流分析:通過對系統進行長期監聽,利用統計分析方法對某些參數進行研究,從中發現有價值的信息和規律;假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是采用假冒攻擊;旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱獲得非授權的權利;授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此權限用于其他非授權的目的,也稱作“內部攻擊”;特洛伊木馬:軟件中含有一個覺察不出的有害的程序段,當其被執行時,會破壞用戶的安全;陷阱門:在某個系統或某個部件中設置的“機關”,使得在特定的數據輸入時,允許違反安全策略;抵賴:這是一種來自用戶的攻擊,如否認自己曾經過的某條消息、偽造一份對方來信等;重放:出于非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新發送;計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序;人員不慎:一個授權的人為了某種利益,或由于粗心,將信息泄露給一個非授權的人;媒體廢棄:信息被從廢棄的磁碟或打印過的存儲介質中獲得;物理侵入:侵入者繞過物理控制而獲得對系統的訪問;竊取:重要的安全物品,如令牌或身份卡被盜;業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自愿地放棄敏感信息等。
2企業辦公中的信息安全策略
2.1保護網絡安全
網絡安全是為保護企業內部各方網絡端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下:全面規劃網絡平臺的安全策略;制訂網絡安全的管理措施;使用防火墻;盡可能記錄網絡上的一切活動;注意對網絡設備的物理保護;檢驗網絡平臺系統的脆弱性;建立可靠的鑒別機制。
2.2保護應用安全
保護應用安全,主要是針對特定應用(如Web服務器、數據庫服務器、ftp服務器等)所建立的安全防護措施,這種安全防護措施獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊,如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。由于應用層對安全的要求最嚴格、最復雜,因此更傾向于在應用層而不是在網絡層采取各種安全措施。雖然網絡層上的安全仍有其特定地位,但是人們不能完全依靠它來解決企業信息系統的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。
2.3保護系統安全
保護系統安全,是指從整體信息系統的角度進行安全防護,與網絡系統硬件平臺、操作系統、各種應用軟件等互相關聯,其安全策略包含下述一些措施:①在安裝的軟件中,檢查和確認未知的安全漏洞;②技術與管理相結合,使系統具有最小穿透風險性。③建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
2.4加強員工的信息安全培訓
1計算機網絡安全的基本定義
網絡安全從根本上說就是在網絡里信息的安全,所涉及的范圍很寬廣。造成這種情況的原因是,在現在的公眾通信網絡里存有各式各樣的安全危機和漏洞,在普遍的方面說,只要和網絡上信息的安全性、有效性、整體性和控制性有關聯的理論和實踐,它們都是網絡安全進行鉆研的區域,所以網絡的最普遍的定義就是網絡系統內部的軟件、硬件和利用內部的相關數據都被保護。不被外部的其他原因影響,保護信息的安全性和網絡系統的正常運行,防止有不法之人借助網絡系統危害其他人,防止違法行為的產生,最根本上是保護人們人權和維護國家的根本利益。狹義上的信息安全其實就是網絡里信息內容的安全性,它主要保護了網絡信息的整體性、保密性和安全性,防止黑客借助網絡系統的安全漏洞大做文章,對本人的信息進行盜用和冒用等行為。在根本上保護人們的隱私和利益。網絡安全和被它保護的信息人員有關系,它的定義主要是借助計算機網絡的密保技術和信息安全技術,維護在公眾通訊中的傳播交換和儲存的信息的秘密性、整體性和實際性,同時針對信息的傳播的控制功能上進行創新突破。
2計算機網絡安全的形式與特點
2.1網絡安全的形式在當代的網絡時代中,網絡的信息具有一定開放性,計算機網絡安全一旦表示為系統穩定安全的運行,尤其是計算機的信息系統運行的安安全性,其實這就是網絡安全的中心要求。影響網絡安全的因素有很多。在當代網絡的進步方面說,必須著重維護計算機網絡的系統安全,只有這樣才能保護互聯網的安全,促進互聯網的進步發展。
2.2網絡安全的特點計算機網絡安全的主要有三個特點:第一是系統化特點,是說安全制度體系化和計算機網絡安全技術,比如現在針對網絡安全體系的建設不迫在眉睫的,建設健全的系統形式,確保計算機能夠在安全的環境下進行,并且在雜亂的網絡形勢下不停進行革新;第二是多樣化特點,是說現在計算機的表示模式和定義的多元化,能夠促進網絡安全漸漸清晰的模式轉變,在當代的安全機制中,基本都是按照多模式、多技術、多系統的技術來面對計算機網絡的多樣化;第三是雜亂化特點,當今互聯網的進步讓客戶端網絡形式逐漸變的雜亂化,網絡受外部的影響比較大,這能夠讓網絡的安全性受到沖擊,所以,只有讓互聯網的各個方面都受到網絡安全的保護,才能阻止計算機網絡受到侵害,因為這樣就要求我們必須不斷革新網絡安全機制,才能在雜亂的網絡壞境中生存下來。
2.3計算機網絡安全機制分析所謂的安全性機制就是操作系統的管理程序和硬件軟件相關部件和兩者的隨意組合。這是一種信息機制的隨意部件測試和組織主動和被動威脅的方式。安全和安全性機制是有關系的,所謂機制就是為了達成服務的形式。安全性機制和安全相互有聯系。比如:秘密能夠借助加密的通信來補充和路由操作來完成。此外,加密不僅僅可以是秘密的組成部分,它也可以是整體性和分辨性的組成部分。在各式各樣的安全機制里,加密模式是最受歡迎的應用,它同時能夠給予最大范圍的安全性,加密機制的主要目的是預防對加密性整體性和分辨性的毀壞。所謂數字簽名就是一個用在分別的主要技術,數字簽名能能夠用在辨別服務,同時也能夠用在無拒絕服務和整體。一旦數字簽名應用在沒有拒絕服務的時候,他就離不開公證的幫助,公證是借助能夠相信的第三者來檢驗信息的,從網絡終端用戶的角度出發,最普遍的安全性操作是借助應用口號來進行控制的,口號的表現模式是一連串數字或者符號,借助這些數字和符號來對用戶的身份信息進行鑒別,在獲取對信息的訪問權限以前,一般都讓用戶說出一個口號,為了達到安全標準,口號和填寫問卷的方法也很有效,也能鑒別用戶的身份。
3計算機網絡安全問題的應對措施
3.1信息加密與數字簽名所謂信息加密技術是一個自主的信息安全防范系統,同時也保護網絡信息安全正常運行的中心技術,信息加密技術的原理理論是借助正規的加密運算法。把文字轉變為不能夠直接獲取的密碼文字,針對不合法的用戶獲得和理解原始數據產生了有效的抑制作用,保證了數據的秘密性,將文字轉變為密碼形狀文字的期間,我們把它叫做加密過程。把秘密形狀文字轉變為文字的期間我們叫做解密過程。解密過程使用的參照數我們管它叫做秘密鑰匙,信息加密的技術主要是兩種方式,第一種是非對稱加密技術。第二種是對稱加密技術。為了防止其他人對上傳的文件進行損壞和明確發信人的信息,我們采用了數字簽名這一模式,數字簽名主要應用在電子行業,在電子行業中起著舉足輕重的作用,它的特點是,不能被偽造,簽字的一方不能耍賴,在公證方就可以能夠檢驗真假。
3.2數字證書、數字摘要以及數字證書數字證書作為互聯網通信里的標志性特征,它能夠標志各個用戶的身份信息,它是由專業機構來實行的,它屬于一種證明運用這一方法能夠鑒別用戶的實際身份。所謂數字指紋就是應用計算函數的方來對文件進行加密處理,簡單概括為一些秘密文字,這段秘密文字被稱為數字摘要,它是唯一的一個和數值相對應的數值。所謂數字信封就是指信息接收端的鑰匙,將一個相對的通訊鑰匙進行加密處理,最終產生的數據被稱為數字信封,僅僅在確定的接受方才能夠用自己的鑰匙打開信封,從而獲取信封中的信息。
4結論
關鍵詞:計算機網絡;網絡安全;網絡安全技術
計算機網絡,是指利用通信線路把具有獨立功能的若干計算機和外部設備連接起來,通過網絡操作系統,網絡管理軟件和網絡通信協議的管理協調,達到資源共享和信息傳遞的計算機系統。
網絡安全是指保護網絡系統的硬件、軟件和系統中的數據,不因外因而使系統連續可靠正常地運行遭到破壞、泄露、更改,不中斷網絡服務。本質上說,網絡安全就是網絡上的信息安全。網絡安全研究領域包括網絡信息的保密性、可用性、完整性、真實性及可控性的相關技術、理論。網絡安全涉及到計算機科學、網絡技術、密碼技術、通信技術、信息安全技術、數論、應用數學、信息論等多學科。
網絡安全技術的三大內容是防火墻技術、入侵檢測技術以及防病毒技術。
一、網絡安全及網絡安全技術發展現狀
計算機網絡是基于網絡可識別的網絡協議基礎上的各種網絡應用的完整組合,協議本身及應用都可能發生問題,網絡安全問題包括網絡所使用的協議的設計問題,也包括實現協議及應用軟件,還包含人為因素和系統管理失誤等網絡安全問題。
針對網絡安全問題,網絡安全商試圖通過發展各種安全技術來防范,如:訪問控制技術、密碼技術、防火墻系統、計算機病毒防護、數據庫系統安全等,陸續推出防火墻、入侵檢測(IDS)、防毒軟件等各類安全軟件,這些措施使得網絡安全問題某些問題得以解決。
發展過程中,網絡安全技術已經從系統和網絡基礎層面的防護問題上升到應用層面的安全防護問題,安全防護已從底層或簡單數據層面上升到應用層面,應用防護問題已滲透至業務行為的相關性及信息內容的語義,更多的安全技術已跟應用相結合。
近年,我國網絡安全技術的發展得益于政府的廣泛重視和網絡安全問題日益嚴重,網絡安全企業逐步研發最新安全技術,滿足用戶要求、具時代特色的安全產品逐步推出,網絡安全技術的發展得以促進。
二、現有網絡安全技術面臨的問題
現有的網絡安全技術只可解決一個或幾個方面的網絡安全問題,不能防范解決其他問題,更不能有效的保護整個網絡系統。如身份認證及訪問控制技術只能確認網絡用戶身份,而不能防止用戶間傳遞信息的安全性;病毒防范技術只防病毒對網絡系統的危害,網絡用戶的身份卻無法識別和辨認。
現有的網絡安全技術,防火墻可解決網絡安全,但防火墻產品也有局限。現代網絡環境下,防火墻就是在可信網絡和不可信網絡間的緩沖;也是防范由其它網絡發起攻擊的屏障。防火墻放行的數據安全防火墻自身是無法保證的,這是它最大的局限性。此外,內部攻擊防火墻無法防御;繞過防火墻的攻擊行為無法防御;完全新的威脅無法防御;數據驅動的攻擊防火墻無法防御。從用戶角度看,雖然系統安裝了防火墻,但蠕蟲泛濫、病毒傳播、垃圾郵件和拒絕服務的侵擾仍無法避免。
漏報及誤報嚴重是入侵檢測技術最大的局限性,它只是個參考工具,作為安全工具則不可信賴。單個產品未經入侵檢測,在提前預警方面存在先天不足,在精確定位及全局管理方面還存在很大空間。
大多用戶在單機、終端上都安裝了防毒軟件,但內網的安全并不只是防病毒,安全策略執行、外來非法侵入、補丁管理和合規管理等方面也都是跟內網安全相關的問題。
針對單個系統、數據、軟硬件和程序自身安全的保障形成的網絡安全技術,就網絡安全整體技術框架講仍存在著相當的問題。應用層面的安全必須要把信息語義范疇的內容及網絡虛擬世界的行為作為側重點。
更有效的安全防范產品出現前,大多用戶保護網絡安全仍會選取并依靠于防火墻。但是,隨著新的OS漏洞及網絡層攻擊不斷出現,攻破防火墻、攻擊網絡的事件日益明顯。所以,各網絡安全商及用戶的共都希望開發出一個更完善的網絡安全防范系統,有效保護網絡系統。
三、網絡安全不安全主要成因
應用了網絡安全技術保護的網絡本該是安全的,但卻存在著諸多不安全因素,究其成因,主要有幾下幾方面:
(一)網絡建設單位、管理人員及技術人員安全防范意識匱乏,未主動的實施安全措施防范網絡安全,行為上完全處于被動。
(二)組織及部門的有關人員未明確網絡安全現狀,對網絡安全隱患認識不清,防御攻擊先機人為錯失。
(三)組織及部門完整的、系統化的體系結構的網絡安全防范尚未形成,暴露的缺陷使攻擊者有機可乘。
(四)組織及部門的計算機網絡完善的管理體系尚未建立,未能充分有效地發揮安全體系及安全控制措施的效能。業務活動中的安全疏漏泄露了不必要的信息,給攻擊者提供了收集敏感信息的良機。
(五)網絡安全管理人員及技術人員必要的專業安全知識匱乏,不具備安全地配置管理網絡的能力,已存在的或隨時可能發生的安全問題未能及時被發現,未能積極、有效的反應突發安全事件。
四、網絡安全技術的解決辦法
實現網絡安全的過程勢必是復雜的。只有實施嚴格的管理才能使整個過程是有效的,安全控制措施有效地發揮效能才可保證,預期安全目標才可最終確保實現。所以,組織建立安全管理體系是網絡安全的核心。從系統工程的角度搭建網絡安全結構體系,利用管理的手段把組織及部門的所有安全措施融為一個整體。安全體系結構由許多靜態的安全控制措施和動態的安全分析過程組成。
(一)需求分析知已知彼。明白自身安全需求才可構建出適用的安全體系結構,有效保障網絡系統安全。
(二)安全風險管理。用組織及部門可接受的投資實現最大的安全,對安全需求分析結果中出現的安全威脅及業務安全需求實施風險評估就是安全風險管理。風險評估為制定組織及部門的安全策略、構架安全體系結構提供了直接的依據。
(三)制定安全策略。按組織及部門安全需求、風險評估結論制定出組織及部門的計算機網絡安全策略。
(四)定期安全審核。安全審核的首要任務是是否正確有效地執行了審核組織的安全策略。網絡安全是動態的,組織及部門的計算機網絡配置變化頻繁,所以組織及部門對安全需求也隨之波動,組織的安全策略要實施相應調整。為在變化發生時,安全策略及控制措施能適時反映該變化,定期安全審核勢在必行。
(五)外部支持。計算機網絡安全必須依靠必要的外部支持。依靠專業安全服務機構的支持,可完善網絡安全體系,還可獲得更新的安全資訊,給網絡安全提供安全預警。
(六)網絡安全管理。網絡安全的重要環節是實施安全管理,它是網絡安全體系結構的基礎組成。獲得網絡安全的重要條件是依靠適當的管理活動,規范各項業務,使網絡實施有序。
四、結語
計算機網絡安全和網絡的發展密不可分。網絡安全是個系統工程,不能只倚重殺毒軟件、防火墻等來防護,計算機網絡系統是個人機系統,是對計算機實施安全保護。人是安全保護的主體,除了注重計算機網絡安全硬件產品研發,構建一個優秀的計算機網絡安全系統外,還要重視人的計算機安全意識。只有規范了各種網絡安全制度,強化了網絡安全教育及培訓,才能防微杜漸,將能把損失降到最低,最終建成一個高效、安全、通用的計算機網絡系統。
參考文獻:
[1]楊永旭.防火墻技術在網絡安全應用中的現狀[J].甘肅科技 .2009.
[2]張旭斌. 計算機網絡安全現狀及防范策略[J].數字技術與應用.2009.
[3]周剛偉.蘇凱.對網絡安全技術的淺析[J].數字技術與應用 .2009.
[4]李忍.戴書文.淺談網絡安全問題及防御[J]. 知識經濟.2009.
雖然現如今已有很多技術和工具能夠處理網絡安全問題,但是目前網絡環境的安全性依然不容樂觀,其中存在的安全問題主要有以下方面:計算機病毒泛濫屬于計算機使用過程中的重要安全問題,其主要特征包含傳播性、感染性和隱蔽性等,病毒可以直接進入網絡的系統內部,對系統造成損害,除此之外,網絡病毒還具備滋生的能力,留存在文件夾或者程序中,甚至跟隨文件或者程序傳播到其他電腦上[1]。隨著當前網絡平臺的開放性提升,病毒的形式開始多樣化,例如,木馬病毒、網絡蠕蟲等,消滅病毒的難度和工作量不斷增加,因此,技術人員需要關注并努力解決。隨著網絡技術的發展,多元化的網絡軟件開始出現,隨著網絡用戶數量的激增,用戶需求更加多元化,網絡軟件的數量激增,就目前網絡環境中應用的諸多網絡軟件來看,其整體的增長速度和更新的速度極快,很多網絡軟件沒有獲取安全許可證卻進入網絡環境中,供用戶使用,雖然獲取了經濟效益,但是安全隱患問題不容忽視。一些網絡黑客盜取信息,不會強行破壞整個網絡系統,不會發生嚴重的安全問題,但是很多黑客由于報復心理或者謀取私利的心理驅使,入侵到計算機系統中,對用戶的網絡系統發起針對性攻擊。創建的每種安全制度都對應了一定的范圍,并且符合安全環境。其中防火墻就是一種安全性能較高,并且對網絡安全防護作用較大的一種網絡安全技術[2]。防火墻的主要特點就是其在網絡內部中具有較好的隱蔽性,且能夠較大限度阻止外來用戶訪問內部網絡,這展現了防火墻在限制外來用戶方面的作用。但如果是內部網絡環境之間的互相訪問,防火墻就形同虛設。網絡安全工具的使用,會有較多的制約因素,其中影響最大的就是人為因素,網絡安全工具的效用能否發揮到最大化,很大程度都取決于使用網絡安全工具的人,人這一因素決定了開發出網絡工具的功能。
2網絡安全關鍵技術
2.1防火墻技術
保護網絡安全最有效、最經濟和最基本的技術之一就是防火墻技術,防火墻是保護網絡安全的一個最重要的屏障,通常由軟件與硬件有機結合組成,是不同網絡安全區域的唯一信息出口,可以根據計算機網絡的允許、監測或拒絕等安全策略管理內部用戶的外界訪問權限,限制外來用戶對內部用戶的訪問,其本身就具有較強的抗攻擊能力,可以強化網絡安全。對網絡存取和訪問進行監控審計,因特網服務性企業內部網絡技術體系VPN能夠得到防火墻支持,防止內部信息外泄,允許合法用戶不受阻礙地訪問網絡資源,拒絕未經授權的用戶訪問或存取敏感數據。
2.2入侵檢測系統
入侵檢測系統在非授權用戶使用系統資源時,能夠及時對其進行判斷和記錄,其設計與配置就是為了能夠保證網絡系統的安全,這項技術還能夠對網絡中違反安全策略等行為進行監控。入侵檢測系統可以根據入侵檢測信息來源的不同分為兩類。首先是基于主機的入侵檢測系統,其檢測方式是監視和分析主機的日志文件和審計記錄。在主機的日志中保存著系統中發生的不尋常的活動數據,這些數據能夠反映有人正在入侵或者已入侵了網絡系統。其次是基于網絡的入侵檢測系統,通常此系統都會被放置在較為重要的網段之中,其主要功能是對網絡關鍵路徑的信息進行實時監控,并且實時分析可疑操作。若出現數據包與系統內置的規則符合的情況,該系統就會產生警報或者中斷系統連接。當前在網絡安全保護中使用較多的就是基于網絡的入侵檢測系統。
2.3信息加密技術
使用信息加密是通過端點加密、節點加密和鏈路加密有效保護網上傳輸數據,保護網內的口令、文件、控制信息和數據等,是一種以很小的代價就能保護信息安全的有效措施。到目前為止,最少有幾百種加密算法,可以將這些算法分為共鑰密碼算法和常規密碼算法兩種。常規密碼很依賴密鑰的管理,能夠禁得起實踐的檢驗,有著很高的保密強度。而公鑰密碼雖然算法比較復雜,但是有利于數字簽名和驗證的實施,可以適應網絡的開放性。為了保證網絡數據安全,進行秘鑰的恢復、更新和備份也是必不可少的,應設計和開發完善的秘鑰管理方案。
2.4防病毒技術
防病毒技術主要是針對網絡病毒設計的一種新技術,其被分成主機防病毒和網關防病毒兩種。主機防病毒主要作用是針對網絡文件訪問的全過程涉及的病毒代碼進行分析,在計算機中攜帶的很多病毒文件和網絡數據進行交換的過程中,該種技術可以被用來進行病毒特征和數據代碼的比較分析,如果發現病毒攜帶者的話,會直接將其進行解讀,將原先報讀的結果上報到計算機系統的主機上,避免計算機受到病毒的侵害。網關防病毒主要目的在于防御網關位置的相關病毒,針對網關位置中可能出現的病毒進行查殺。
3結語
互聯網的出現,有效節約了人們的時間,提升了工作的便捷性,在為人們的生活工作帶來便捷的同時,由于網絡本身具有很強的開放性和互動性,網絡很容易受到惡意軟件、黑客或者其他安全隱患的進攻,導致用戶的個人信息泄露,引發安全問題或者資金問題,因此,安全問題是有關人員需要重點研究和解決的問題,否則,網絡的應用勢必會受到阻礙。為了深入維護網絡的安全性,需要加大對網絡安全關鍵技術的研發力度,由此保證公眾的信息安全,凈化網絡環境。因此,研究網絡安全關鍵技術刻不容緩。
參考文獻
關鍵詞:計算機網絡;安全;管理;技術
1計算機網絡安全的主要隱患
1.1計算機網絡軟、硬件技術不夠完善
由于人類認識能力和技術發展的局限性,在設計硬件和軟件的過程中,難免會留下種種技術缺陷,由此造成信息安全隱患。如Internet作為全球使用范圍最廣的信息網,自身協議的開放性雖極大地方便了各種計算機入網,拓寬了共享資源,但TCP/IP協議在開始制定時沒有考慮通信路徑的安全性,缺乏通信協議的基本安全機制,沒有加密、身份認證等功能,在發送信息時常包含源地址、目標地址和端口號等信息。由此導致了網絡上的遠程用戶讀寫系統文件、執行根和非根擁有的文件通過網絡進行傳送時產生了安全漏洞。
1.2計算機網絡安全系統不夠健全
計算機網絡系統內部的安全威脅包括以下幾個方面:①計算機系統及通信線路的脆弱性。②系統軟硬件設計、配置及使用不當。③人為因素造成的安全泄漏,如網絡機房的管理人員不慎將操作口令泄漏,有意或無意地泄密、更改網絡配置和記錄信息,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,等等。
1.3物理電磁輻射引起的信息泄漏
計算機附屬電子設備在工作時能經過地線、電源線、信號線將電磁信號或諧波等輻射出去,產生電磁輻射。電磁輻射物能夠破壞網絡中傳輸的數據,這種輻射的來源主要有兩個方面,一是網絡周圍電子設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源;二是網絡的終端、打印機或其他電子設備在工作時產生的電磁輻射泄漏。這些電磁信號在近處或者遠處都可以被接收下來,經過提取處理,重新恢復出原信息,造成信息泄漏。
1.4網絡安全制度不夠健全
網絡內部的安全需要用完備的安全制度來保障,管理的失敗是網絡系統安全體系失敗的非常重要的原因。網絡管理員配置不當或者網絡應用升級不及時造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網絡站點下載的軟件、在防火墻內部架設撥號服務器卻沒有對賬號認證等嚴格限制、用戶安全意識不強、將自己的賬號隨意轉借他人或與別人共享等,都會使網絡處于危險之中。
2計算機網絡受攻擊的主要形式
計算機網絡被攻擊,主要有六種形式。①內部竊密和破壞。內部人員有意或無意的泄密、更改記錄信息或者破壞網絡系統。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內安裝截收裝置等方式,截獲機密信息,或通過對信息流和流向、通信頻度和長度等參數的分析,推出有用的信息。它不破壞傳輸信息的內容,所以不易察覺。③非法訪問。指未經授權使用網絡資源或以未授權的方式使用網絡資源,主要包括非法用戶進入網絡或系統進行違法操作和合法用戶以未授權的方式進行操作。④TCP/IP協議上的某些不安全因素。目前廣泛使用TCP/IP協議存在安全漏洞。如IP層協議就有許多安全缺陷。IP地址可以軟件設置,造成地址假冒和地址欺騙兩類安全隱患;IP協議支持源路由方式,即源點可以指定信息包傳送到目的節點的中間路由,這就提供了源路由攻擊的條件。⑤病毒破壞。網絡病毒主要是通過一些應用服務器來傳播的病毒,擁擠了有限的網絡帶寬,可能導致網絡癱瘓。病毒還可能破壞群組服務器,讓這些服務器充斥大量垃圾,導致數據性能降低。⑥其它網絡攻擊方式。攻擊者可能破壞網絡系統的可用性,使合法用戶不能正常訪問網絡資源,拒絕服務甚至摧毀系統,破壞系統信息的完整性,還可能冒充主機欺騙合法用戶,欺騙系統占用資源,等等。
3加強計算機網絡安全的對策措施
3.1加強網絡安全教育和管理
對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。同時,要保護傳輸線路安全。對于傳輸線路,應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻射引起的數據錯誤;電纜鋪設應當使用金屬導管,以減少各種輻射引起的電磁泄漏和對發送線路的干擾。對連接要定期檢查,以檢測是否有搭線竊聽、外連或破壞行為。
3.2運用網絡加密技術
網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。加密數據傳輸主要有三種:①鏈接加密。在網絡節點間加密,在節點間傳輸加密的信息,傳送到節點后解密,不同節點間用不同的密碼。②節點加密。與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密,然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多,在實際應用中,人們通常根據各種加密算法結合在一起使用,這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一。既可以對付惡意軟件攻擊,又可以防止非授權用戶的訪問。
3.3加強計算機網絡訪問控制
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問,也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同,可靈活地設置訪問控制的種類和數量。
3.4使用防火墻技術
采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中。防火墻是在網絡之間執行訪問控制策略的系統,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制,并且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,可以有效地監控內部網和Internet之間的任何活動,保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行,它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。
參考文獻
[1]吳鈺鋒,劉泉,李方敏,網絡安全中的密碼技術研究及其應用[J].真空電子技術,2004.
