第一篇:网络安全与技术
网 络 安 全 与 技 术
计算机网络安全之防火墙概述
随着计算机网络技术的普及和越来越广泛地应用于工业、农业、交通等国民经济各个领域和国防建设和军事领域,计算机网络时常出现的安全问题日益增多,存在的安全隐患,促使人们采取各种方案保护计算机网络的安全。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我们将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我们要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样
于(Checkpoint)。使用这类防火墙,需要网管对所工作的操作系统平台比较熟悉。
2.硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上所谓二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的(Unix、Linux和FreeBSD)系统。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此依然会受到OS操作系统本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口,分别接(内网,外网和DMZ区)非军事化区,现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
3.芯片级防火墙
“芯片级”防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有(NetScreen、FortiNet、Cisco)等。这类防火墙由于是专用OS操作系统,因此防火墙本身的漏洞比较少,不过价格相对比较高昂。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
1.包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个
4.监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
当前信息安全技术发展迅速,但没有任一种解决方案可以防御所有危及信息安全的攻击,这是“矛”与“盾”的问题,需要不断吸取新的技术,取众家所长,才能使“盾”更坚,以防御不断锋利的“矛”,因此,要不断跟踪新技术,对所采用的信息安全技术进行升级完善,以确保相关利益不受侵犯。
我国信息网络安全技术的研究和产品开发尚处于起步阶段,就更需要我们去研究、开发和探索,以走有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国网络信息的安全,推动我国围民经济的高速发展。
第二篇:网络安全技术
网络安全技术
——防火墙技术与病毒
摘 要:
计算机网络安全,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。而计算机网络安全主要包括计算机网络安全的概况、虚拟网技术、防火墙技术、入侵检测技术, 安全扫描技术, 电子认证和数字签名技术.VPN技术、数据安全、计算机病毒等。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。本文将以最常见的WORD宏病毒为例来解释计算机病毒传播过程。
关键词:网络安全 防火墙技术 计算机病毒
1.1 研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。
1.2 计算机病毒简介
计算机病毒是指那些具有自我复制能力的计算机程序, 它能影响计算机软件、硬件的正常运行, 破坏数据的正确与完整。计算机病毒的来源多种多样, 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的;有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚, 因为他们发现病毒比加密对付非法拷贝更有效且更有威胁, 这种情况助长了病毒的传播。还有一种情况就是蓄意破坏, 它分为个人行为和政府行为两种, 个人行为多为雇员对雇主的报复行为, 而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或实验而设计的“有用”程序, 由于某种原因失去控制扩散出实验室, 从而成为危害四方的计算机病毒。
1987 年, 计算机用户忽然发现, 在世界的各个角落, 几乎同时出现了形形色色的计算机病毒。Brain, Lenig h, IBM 圣诞树, 黑色星期五, 特别是近期发现的几种病毒, 其名气也最大, 它们是: 台湾一号病毒、DIR-Ⅱ病毒、幽灵病毒、米开朗基罗病毒等, 至今, 病毒种类已超过一万种。
1988 年底, 我国国家统计系统发现小球病毒。随后, 中国有色金属总公司所属昆明、天津、成都等地的一些单位, 全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后,已发现越来越多的国产病毒。比如目前国内主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
纵观计算机病毒的发展历史, 我们不难看出, 计算机病毒已从简单的引导型、文件型病毒或它们的混合型发展到了多形性病毒、欺骗性病毒、破坏性病毒。已从攻击安全性较低的DOS平台发展到攻击安全性较高的Window s95/ 98平台;从破坏磁盘数据发展到直接对硬件芯片进行攻击。1995 年宏病毒的出现, 使病毒从感染可执行文件过渡到感染某些非纯粹的数据文件。最近有资料显示已发现JAVA病毒, 各种迹象表明病毒正向着各个领域渗透, 这些新病毒更隐秘, 破坏性更强。
计算机病毒的种类很多, 不同种类的病毒有着各自不同的特征, 它们有的以感染文件为主、有的以感染系统引导区为主, 大多数病毒只是开个小小的玩笑。
按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区, 系统从包含了病毒的磁盘启动时传播, 它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM, EXE), 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点, 既感染引导区又感染文件, 因此扩大了这种病毒的传染途径。
按连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3 种。其中源码型病毒主要攻击高级语言编写的源程序, 它会将自己插入到系统的源程序中, 并随源程序一起编译、连接成可执行文件, 从而导致刚刚生成的可执行文件直接带毒;入侵型病毒用自身代替正常程序中的部分模块或堆栈区的病毒, 它只攻击某些特定程序, 针对性强;操作系统型病毒是用其自身部分加入或替代操作系统的部分功能, 危害性较大。
病毒按程序运行平台分类可分为DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它们分别是发作于DOS,Windows9X,WindowsNT, OS/2等操作系统平台上的病毒。而计算机病毒的主要危害:不同的计算机病毒有不同的破坏行为, 其中有代表性的行为如下: 一是攻击系统数据区, 包括硬盘的主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说, 攻击系统数据区的病毒是恶性病毒, 受损的数据不易恢复。二是攻击文件, 包括删除、改名、替换文件内容、删除部分程序代码、内容颠倒、变碎片等等。三是攻击内存。
1.3防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
2.防火墙的原理及分类
顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层,IP包的包头中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP消息类型,TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。例如,HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
复合型防火墙:由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
3.1防火墙包过滤技术发展趋势
(1)安全策略功能
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)功能扩展
功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
3.1防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。参考文献
[1] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79一82.[2] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311一312.[3] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17一18.[4] 郑林.防火墙原理入门[Z].E企业.2000.[5] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62
[6] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59一61
[7] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27
[8] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一78
[9] 付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一65
[10] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一508
[11] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188一192
[12] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一392
第三篇:网络安全技术
网络信息安全与策略
【摘要】随着我国网路信息科技的高速发展,网络信息安全问题日益突出。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。网络给人们生活带来极大便利的同时,也给许多部门、单位和个人带来了极大的风险,造成严重的经济损失。最新报道:央视《经济半小时》播出“我国黑客木马形成产业 2009年收入可超百亿元”节目,可以看出黑客通过网络传播木马的严重性。本文主要探讨了网络信息安全中存在的威胁,并提出了相应的技术保障和对策。【关键字】网络
信息
安全
黑客
病毒
技术
一、网络信息安全的内涵
在网络出现以前,信息安全是指为建立信息处理系统而采取的技术上和管理上的安全保护以实现电子信息的保密性、完整性、可用性、可控性和不可否认性。当今信息时代,计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁,必须考虑信息的安全这个至关重要的问题。
网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全,即硬件平台、操作系统、应用软件;运行服务安全,即保证服务的连续性、高效率。信息安全则主要是指数据安全,包括数据加密、备份、程序等。
1.网络信息安全的内容
(1)硬件实体安全。即网络硬件和存储媒体的安全。要保护这些硬设施不受损害,能够正常工作;预防地震、水灾、飓风、雷击等的措施;满足设备正常运行环境要求;防止电磁辐射、泄露;媒体的安全备份及管理等。
(2)软件系统安全。即计算机程序和文档资料及其网络中各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
(3)运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
(4)数据信息安全。即网络中存储及流通数据的安全。要保护网络中的数据文件和数据信息在传输过程中不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
2.网络信息安全的目标
(1)保密性。保密性是指利用密码技术对敏感信息进行加密处理同时采取抑制、屏蔽措施防止电磁泄漏,保证信息只有合法用户才能利用,而不会泄露给非授权人、实休。
(2)完整性。完整性是指信息未经授权不能被修改、不被破坏、不被插人、不迟延、不乱序和不丢失的特性。对网络信息安全进行攻击的最终目的就是破坏信息的完整性。
(3)可用性。可用性是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息。
(4)可控性。可控性是指授权机构对信息的内容及传播具有控制的能力的特性,可以控制授权范围内的信息流向以及方式。
(5)不可否认性。不可否认性是指在信息交流过程结束后,通信双方不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。
二、网络信息安全面临的威胁
1.操作系统自身的因素
无论哪一种操作系统,其体系结构本身就是不安全的一种因素。由于操作系统的程序是可以动态连接的,包过I/O的驱动程序与系统服务都可以用打补丁的方法升级和进行动态连接。而这种动态连接正是计算机病毒产生的温床,该产品的厂商可以使用,“黑客”成员也可以使用。因此,这种打补丁与渗透开发的操作系统是不可能从根本上解决安全问题。
2.网络协议和软件的安全缺陷
因特网的基石是TCP/IP协议簇,该协议簇在实现上力求效率,而没有考虑安全因素,因为那样无疑增大代码量,从而降低了TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。很容易被窃听和欺骗:大多数因特网上的流量是没有加密的,电子邮件口令、文件传输很容易被监听和劫持。很多基于TCP/IP的应用服务都在不同程度上存在着安全问题,这很容易被一些对TCP/IP十分了解的人所利用,一些新的处于测试阶级的服务有更多的安全缺陷。缺乏安全策略:许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被内部人员滥用,黑客从一些服务中可以获得有用的信息,而网络维护人员却不知道应该禁止这种服务。配置的复杂性:访问控制的配置一般十分复杂,所以很容易被错误配置,从而给黑客以可乘之机。TCP/IP是被公布于世的,了解它的人越多被人破坏的可能性越大。现在,银行之间在专用网上传输数据所用的协议都是保密的,这样就可以有效地防止入侵。当然,人们不能把TCP/IP和其实现代码保密,这样不利于TCP/IP网络的发展。
3.电脑黑客攻击多样化
进人2006年以来,网络罪犯采用翻新分散式阻断服务(DDOS)攻击的手法,用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。宽带网络条件下,常见的拒绝服务攻击方式主要有两种,一是网络黑客蓄意发动的针对服务和网络设备的DDOS攻击;二是用蠕虫病毒等新的攻击方式,造成网络流量急速提高,导致网络设备崩溃,或者造成网络链路的不堪负重。
调查资料显示,2006年初发现企业的系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”电脑,而是出自于域名系统(DNS)服务器。一旦成为DDOS攻击的目标,目标系统不论是网页服务器、域名服务器,还是电子邮件服务器,都会被网络上四面八方的系统传来的巨量信息给淹没。黑客的用意是借人量垃圾信息妨碍系统正常的信息处理,借以切断攻击目标对外的连线。黑客常用“僵尸”电脑连成网络,把大量的查询要求传至开放的DNS服务器,这些查询信息会假装成被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
美国司法部的一项调查资料显示,1998年3月到2005年2月期间,82%的人侵者掌握授权用户或设备的数据。在传统的用户身份认证环境下,外来攻击者仅凭盗取的相关用户身份凭证就能以任何台设备进人网络,即使最严密的用户认证保护系统也很难保护网络安全。另外,由于企业员工可以通过任何一台未经确认和处理的设备,以有效合法的个人身份凭证进入网络,使间谍软件、广告软件、木马程序及其它恶意程序有机可乘,严重威胁网络系统的安全。有资料显示,最近拉美国家的网络诈骗活动增多,作案手段先进。犯罪活动已经从“现实生活转入虚拟世界”,网上诈骗活动日益增多。
4计算机病毒
计算机病毒是专门用来破坏计算机正常工作,具有高级技巧的程序。它并不独立存在,而是寄生在其他程序之中,它具有隐蔽性、潜伏性、传染性和极大的破坏性。随着网络技术的不断发展、网络空间的广泛运用,病毒的种类急剧增加。目前全世界的计算机活体病毒达14万多种,其传播途径不仅通过软盘、硬盘传播,还可以通过网络的电子邮件和下载软件传播。从国家计算机病毒应急处理中日常监测结果来看,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大。被病毒破坏全部数据的占14%,破坏部分数据的占57%。只要带病毒的电脑在运行过程中满足设计者所预定的条件,计算机病毒便会发作,轻者造成速度减慢、显示异常、丢失文件,重者损坏硬件、造成系统瘫痪。
5.人性的脆弱性
人们与生俱来就有信任他人、乐于助人以及对未知事物的好奇心等弱点。狡猾的电脑黑客往往利用这些弱点,通过E-mail、伪造的Web网站、向特定的用户提几个简单的问题的伎俩,骗取公司的保密资料或从个人用户那里骗取网上购物的信用卡、用户名和密码,达到入侵网络信息系统的目的,使得那些采用多种先进技术的安全保护措施形同虚设。
6管理因素
用户安全意识淡薄, 管理不善是当前存在的一个严重的问题。目前我国安全管理方面存在的问题主要有: 一是缺乏强有力的权威管理机构, 由于我国网络安全立法滞后, 安全管理部门受人力、技术等条件的限制影响着安全管理措施的有效实施。二是缺乏安全审计,安全审计是把与安全相关的事件记录到安全日志中,我国现有的网络系统大多数缺少安全审计, 安全日志形同虚设。三是安全意识淡薄。人们对信息安全认识不够, 过分依赖信息安全产品, 缺乏细致的内部网络管理机制, 一些用户警惕性不高, 操作麻痹, 甚至把自己账号随意给他人。
三、保障网络信息安全的对策和技术
1.安全通信协议和有关标准。
在网络安全技术应用领域,安全通信协议提供了一种标准,基于这些标准,企业可以很方便地建立自己的安全应用系统。目前主要的安全通信协议有SSL(TLS)、IPsec和S/MIME SL提供基于客户/服务器模式的安全标准,SSL(TLS)在传输层和应用层之间嵌入一个子层,主要用于实现两个应用程序之间安全通讯机制,提供面向连接的保护;IP安全协议(IPsec)提供网关到网关的安全通信标准,在网络层实现,IPsec能够保护整个网络;S/MIME在应用层提供对信息的安全保护,主要用于信息的安全存储、信息认证、传输和信息转发。三种安全通信协议虽然均提供了类似的安全服务,但是他们的具体应用范围是不同的,在实际应用中,应根据具体情况选择相应的安全通信协议。
2.防火墙技术
防火墙技术是为了保证网络路由安全性而在内部网和外部网之间的界面上构造一个保护层。所有的内外连接都强制性地经过这一保护层接受检查过滤,只有被授权的通信才允许通过。防火墙的安全意义是双向的,一方面可以限制外部网对内部网的访问,另一方面也可以限制内部网对外部网中不健康或敏感信息的访问。同时,防火墙还可以对网络存取访问进行记录和统计,对可疑动作告警,以及提供网络是否受到监视和攻击的详细信息。防火墙系统的实现技术一般分为两种,一种是分组过滤技术,一种是代理服务技术。分组过滤基于路由器技术,其机理是由分组过滤路由器对IP分组进行选择,根据特定组织机构的网络安全准则过滤掉某些IP地址分组,从而保护内部网络。代理服务技术是由一个高层应用网关作为代理服务器,对于任何外部网的应用连接请求首先进行安全检查,然后再与被保护网络应用服务器连接。代理服务技术可使内、外网络信息流动受到双向监控。
3.访问拉制技术
访问控制根据用户的身份赋予其相应的权限,即按事先确定的规则决定主体对客体的访问是否合法,当一主体试图非法使用一个未经授权使用的客体时,该机制将拒绝这一企图,其主要通过注册口令、用户分组控制、文件权限控制三个层次完成。此外,审计、日志、入侵侦察及报警等对保护网络安全起一定的辅助作用,只有将上述各项技术很好地配合起来,才能为网络建立一道安全的屏障。
4.反病毒软件
反病毒软件已成为人们抵御病毒进攻的有力武器。目前的反病毒软件具有几项技术特色。首先, 出现了病毒防火墙。该技术为用户提供了一个实时监防止病毒发作的工具,它对用户访问的每一个文件进行病毒检测, 确认无毒后才会让系统接管进行下一步的工作。其次, 反病毒软件提出了在线升级的方式。第三, 完成了统一的防病毒管理。第四,嵌入式查毒技术的形成, 它将杀毒引擎直接嵌挂到IE 浏览器和流行办公软件Office2003 和OfficeXP 组件当中,使其与可能发生病毒侵扰的应用程序有机地结合为一体, 在占用系统资源最小的情况下查杀病毒。
5.入侵检测技术
随着网络安全风险系数的不断提高, 作为对防火墙及其有益的补充, IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力包括安全审计、监视、进攻识别和响应, 提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统, 该系统处于防火墙之后, 可以和防火墙及路由器配合工作, 用来检查一个LAN 网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析, 通过集中控制台来管理、检测。
6.PKI技术
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAuthority,认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心,它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节,因此又称作PKI/CA。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。数字证书,又叫“数字身份证”、“数字ID”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。
7.增强网络安全意识
利用讲座和电视视频直播给上网的朋友们普及有关网络安全知识,使他们知道网络中时时刻刻都存在潜在的威胁,可能会带来经济损失和精神损失。同时,还要让他们知道一切不明身份的垃圾邮件千万不要打开,因为它可能给你的电脑带进病毒。通过事实中的案例告诉网民在网络中做任何事情一定不要放松自己的警惕,加强自己电脑的杀毒软件,多关注网上欺骗手段的视频。总之,利用一切可以利用的手段加强网民的网络安全意识。
8.法律保护
随着互联网技术的发展,大量的信息在互联网上进行传播,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。从这个意义上来说,一个人可以不上网,但是他的合法权益被他人通过互联网侵犯却是有可能的,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。
四、结论
随着信息技术的飞速发展,网络及网络信息安全技术已经深入到了社会的多个领域。网络和信息时代给我们带来技术进步和生活便利的同时,也给国家和个人都带了巨大经济损失。网民要加强自己的防范意识,保证自己的财产不受到侵犯。我还希望国家相关部门规范网络信息安全标准,加快先进技术的研发来保障网络通讯的安全。同时,加强相关法律法规的力度来保证人民的根本利益,为我们提供一个安全的网络环境。参考文献:
[1]庞淑英.网络信息安全技术基础及应用.2009 [2]李俊宇.信息安全技术基础冶金工业出版社.2004.12 [3]王丽辉.网络安全及相关技术吉林农业科技学院学报,第19卷第2期.2005 [4]何万敏.网络信息安全与防范技术甘肃农业.2005年第1期 [5]黄慧陈阂中.针对黑客攻击的预防措施计算机安全.2005 [6]王云峰.信息安全技术及策略[J].广东广播电视大学学报,2006
第四篇:网络安全技术现状与展望
计算机前沿讲座论文
《网络安全技术现状与展望》
班级: 计算机民本(12-1)
姓名:吐尔逊阿依.达吾提 学号: 5011107127 讲师: 李鹏 日期: 2011-12-02
塔里木大学教务处制
网络安全技术现状与展望
1、引言
安全问题是伴随人类社会进步和发展而日显其重要性的。信息技术革命不仅给人们带来工作和生活上的方便,同时也使人们处于一个更易受到侵犯和攻击的境地。例如,个人隐私的保密性就是在信息技术中使人们面对的最困难的问题之一。在“全球一村”的网络化时代,传统的物理安全技术和措施不再足以充分保证信息和系统的安全了。
近年来,世界各国相继提出自己的信息高速公路计划──国家信息基础设施NII(National Information Infrastructure),同时,建立全球的信息基础设施GII(Global Information Infrastructure)也已被提上了议事日程。问题在于,仅从物理通信基础的角度来看,这种基础设施因主要涉及技术问题而相对容易解决得多。然而,这是远远不够的。以将影响人类未来生活方式的电子商务应用来说,它不仅涉及技术问题,而且更多地与社会、生活、道德、法律等相关,更有甚者,有些问题可能是道德和法律都无能为力的,这个时侯,人们又想到了技术,寄期望于技术能解决一切问题。不幸的是,当前的技术离我们的目标还有一定的距离。
在信息技术领域,信息安全和计算机系统安全是两个相互依赖而又很难分开的问题。保证信息安全的一个必要条件是实现计算机系统的安全,而保证计算机系统安全的一个必要条件也是实现信息安全。这或许就是此问题是如此之难的原因。如果说两者有什么基本的共同之处的话,那就是在于两者的实现都是通过“存取控制”或“访问控制”来作为最后一道安全防线(如果不考虑基于审计或其它信息的攻击检测方法的话)。在这道防线之前,自然就是“身份鉴别”或“身份认证”。为此,各种“授权”或“分配”技术就应运而生了。从根本上说,操作系统安全、数据库安全和计算机网络安全的基本理论是相通的。由于此问题的复杂性,以及在当前的计算机网络环境下,在某种意义上说计算机网络的安全为操作系统安全和数据库安全提供了一个基础,在本文中我们主要讨论计算机网络安全的问题。
2、计算机网络安全研究的现状
人类社会发展历程中,必须与各种困难作顽强的斗争。这些困难对他们生存的威胁不仅来自自然灾害如风、雨、雷、电等,还来自野兽或异族的攻击。在石器时代,虽然人类可以有了简单的生产工具甚至武器,但人们对山洞的依赖性可能怎么强调都不会过分。这个时期的身份“鉴别”或“认证”技术可能只需要山洞的看门人认识其每一个成员即可。到了中世纪,人们不仅可以有金属制的更为强有力的装备,同时也有了更为坚固的城堡。这个时期的身份“鉴别”或“认证”技术可能需要每一个成员佩带一个特殊的标志。在当代,人类有了诸如原子弹这种大规模杀伤性武器的同时,人们也试图实现诸如“太空防御”计划这种“反武器”,与此相应的是,用于身份“鉴别”或“认证”的技术也从传统的物理身份发展到了 1
基于计算、生物统计学特征的数字身份。
纵观整个人类社会发展史,可以清楚地看到,安全技术是“矛”和“盾”的对立统一,两者相辅相承,相互促进。所谓“道高一尺,魔高一丈”,紧接其后的“魔高一尺,道高一丈”,就是当前这种相互刺激的写照。
2.1基于密码术的网络安全
密码术在历史上对军事、国防和外交的重要性是不言而喻的,尤其是在第二次世界大战中,盟军成功破译德国和日本密码系统为早日结束这埸战争起了相当大的作用。然而,到那时为止的密码术在很大程度上是一门艺术而非科学,它过分依赖于密码设计人员的创造性甚至“小聪明”。
在本世纪30年代,Shannon成功地建立了通信保密系统的数学原理,从此,密码术的研究开始进入一个科学领域的时代。尽管不实用,毕竞人们看到了存在完美保密的密码系统。但真正使密码术为广大民间人士作嘱目的里程碑是70年代由IBM最先发表而由美国国家标准局和商业部采用的DES(Data Encryption Standard)──这是传统的对称密钥体制的里程碑,以及几年之后由Diffie和Hellman发表的基于离散对数求解困难性的公钥密码系统,Rivest、Shamir和Adleman发表了基于大合数因子分解困难性的公钥密码系统RSA──开创了密码学研究的新纪元。
应该注意到,实用的密码系统的建立是基于当前计算机的计算能力,同时也是基于计算机科学理论中的计算复杂性和结构复杂性研究成果的。由于众所周知的原因,当前的计算密码学成果都是基于尚未证明的假设即P和NP不是同一个集合的。而且,由于复杂性理论研究本身的复杂性,当前的复杂性成果是基于最坏情形复杂性而不是平均情形复杂性的,这又使我们感到了问题的严重性。然而,无论如何可以自慰的是,越来越有理由使我们相信我们所基于的复杂性假设是正确的。而且,最近的有关研究成果表明,人们在基于平均复杂性的密码系统研究和设计方面有期望会取得突破。当前已取得的成果主要是基于传统的“数的几何”这门学科中的与格有关的计算难题而构造出来的,基于一个自然问题的密码系统还有待进一步的工作。
自从计算机网络技术和系统被人们使用一开始,密码术就被应用到计算机网络和系统中实现信息的机密性、完整性,并用于用户身份的鉴别或认证。在计算机网络体系结构的各个层次,都成功的应用过密码术。但是,一个明显的趋势是,安全机制已从传统的通信子网(如链路层或物理层)上升到资源子网(如应用层或会话层)。一个重要的原因是,由于当前条件下存在多种异构的计算机通信网络。在这方面,国际标准化组织发表的一系列网络安全框架起了指导作用。由于计算机网络领域的一个典型特征是,先有应用或平台后有标准,这种市场驱动带来的一个直接结果是,各层都有相应的安全机制。下面我们将从协议栈的低层到高层分别介绍已有的安全机制。由于TCP/IP已成为事实上的工业标准,在以下的讨论中,我们基于TCP/IP协议栈而不是ISO/OSI的标准的七层模式。
2.1.1网络层安全机制
安全的IP层已成为网络安全研究中的重点之一。安全的IP层应该提供报文鉴别机制以实现信息完整性,提供数据加密机制以实现信息的机密性,还要提供路由加密机制来对付通信量分析的攻击。关于IP层的数据完整性(通过MD5报文摘要算法实现)机制和数据机密性(通过对称的或非对称的密码算法实现)机制实现已在RFC 1826和RFC 1825中讨论,该两份文档基本上给出了一个可行的方案。在RFC 1826中定义了鉴别头AH(Authentication Header)来实现报文完整性,在RFC 1825中定义了封装安全载荷头ESP(Encapsulation Security Payload)来实现报文机密性。
IP的功能和实现决定了通信量分析攻击是IP网络中一个固有的脆弱点,因为IP数据分组中的路由信息对攻击方是可读的。通信量分析指攻击方通过分析协议实体间报文频率、长度等信息,并据此推断出有用信息。为了对付通信量分析的攻击,一种最简单的方法即所谓的通信量填充机制,但这种方法显然会浪费网络带宽,更进一步,这种方法仅能用于当某两个节点之间的通信量突然减少时这种情况。如果与此相反,通信量填充就无能为力了。
我们已有工作成果表明,不仅在链路层或物理层实现抗通信量分析攻击,而且可在IP层本身解决此问题。有关技术细节就不在这里介绍了。有趣的是,网络层防火墙的有效性也依赖于IP层的安全性。
2.1.2 会话层安全机制
到目前为止最引人注目的会话层安全机制是Netscape公司提出的安全套接字层SSL(Secure Socket Layer)。SSL提供位于TCP层之上的安全服务。它使用的安全机制包括通过对称密码算法和非对称密码算法来实现机密性、完整性、身份鉴别或认证。SSL已用于浏览器和www.xiexiebang.communication Technology)。
2.1.3 应用层安全机制
在人们注重于会话层安全机制的同时,应用层安全机制也受到了同样的重视。从类似于电子商务这种应用的角度出发,已提出了两种实用的应用。就安全电子邮件而言,因特网工程任务组IETF(Internet Engineering Task Force)在1993年提出了加强保密的电子邮件方案PEM(Privacy-Enhanced Mail)。但是,由于多种原因,该方案并未得到广泛支持。后来,由于RSA数据安全公司的介入,在1995年提出了S/MIME协议(Secure/Multipurpose Internet Mail Extensions)。从World-Wide Web角度来看,人们提出了三种安全的HTTP协议或协议簇。第一个是HTTPS,它事实上就是基于SSL来实现安全的HTTP。第二个是SHTTP(Secure HTTP),是CommerceNet在1994年提出的,其最初的目的是用于电子商务。该协议后来也提交给了因特网工程任务组IETF的WEB事务安全工作组讨论。象SSL一样,SHTTP提供了数据机密性、数据完整性和身份鉴别或认证服务。二者的不同之处在于,SHTTP是HTTP的一个扩展,它把安全机制嵌入到HTTP中。显然,由于SHTTP较之SSL更面向应用,3
因此实现起来要复杂一些。在早期,各厂商一般只选择支持上述两个协议之一,但现在许多厂商对两者都支持。第三个是安全电子交易(Secure Electronic Transaction)SET。这是一个庞大的协议,它主要涉及电子商务中的支付处理。它不仅定义了电子支付协议,还定义了证书管理过程。SET是由Visa和MasterCard共同提出的。
2.1.4基于密码术的网络安全体系结构
综合本节的讨论,我们可以从下图中看出当前已提出和实现的在网络体系结构各层实现的安全机制。
2.2 基于网络技术本身的网络安全
我们认为,基于密码术的安全机制不能完全解决网络中的安全问题的一个主要原因在于,尽管密码算法的安全强度是很强的,但当前的软件技术不足以证明任一个软件恰好实现的是该软件的规格说明所需要的功能。由于象操作系统这种核心的系统软件的正确性也不能形式地证明,因此不能保证任何重要的软件中没有安全漏洞。事实告诉我们,那些被黑客们发现的系统软件中的安全漏洞恰好成了他们使用的攻击点。在本节中我们不讨论这种原因导致的安全问题。这种安全漏洞或许只有等到形式的软件开发和正确性证明技术取得突破后,才能得到很好地解决。
基于网络技术本身的网络安全机制方面,主要是防火墙技术。常用的主要有网络层防火墙和应用层防火墙两种。
目前常用的网络层防火墙主要工作在IP层,通过分析IP包头来决定允许或禁止某个信息包通过该防火墙,如路由器过滤就是一种最常见的类型。
应用层防火墙是主要是通过应用层网关或服务代理来实现的。即当来自内部网络的请求到达应用层网关时,它代理内部主机与外部公共网上的服务器建立连接,进而转发来自外部服务器的请求响应。这种代理对内部主机来说可以是透明的,对外部服务器来说也可以是透明的。
由于目前已有许多介绍防火墙的文章,本文不拟介绍有关的技术实现细节。
2.3 问题
尽管到目前为止人们已实现了许多安全机制,但安全问题仍然倍受怀疑和关注。事实上,象电子商务这种应用是否会得到充分的推广,将在很大程度上取决于人们对网络安全机制的信心。虽然目前有关计算机犯罪中,非技术因素导致的损失大于技术因素(如黑客或密码分析)的损失,但对于安全技术和机制的要求将越来越高。这种需求将不仅驱动理论研究的进展,还必将促进实际安全产品的进一步发展。
3.展望
对网络安全本质的认识却还处于一个相当原始的阶段,其表现形式是基于密码术的网络安全和基于防火墙的网络安全尚不能完美地结合成一种更加有效的安全机制。我们期望,如果能够提出一个合理的数学模型,将会对网络安全的研究和可实际应用网络安全系统的开发 4
起非常大的促进作用。
从实用的角度出发,目前人们已提出了一些基于人工智能的网络安全检测专家系统。这方面,SRI(Stanford Research Institute)和Purdue大学已做了许多工作。同时,基于主动网络安全检测的安全系统的研究也已起步,在这方面,Internet Security Systems也已有一些产品问世。
参考文献
[1]孟令奎,史文中,张鹏林.网络地理信息系统原理与技术[M].北京:科学出版社.2005 [2]刘南,刘仁义.地理信息系统[M].北京:高等教育出版社.2002 [3]姬婧,孟景风.浅论WebGIS系统[J].煤炭技术,2006 [4]田洪阵,刘沁萍,刘军伟.WebGIS的现状及其发展趋势[J].许昌学院学报.2004 [5]尚武.网络地理信息系统(WebGIS)的现状及前景[J].地质通报.2006 [6]龚健雅.当代GIS的若干理论与技术[J].武汉:武汉测绘科技大学出版社.1999 [7]李一鸣.基于Internet的地理信息系统——WEBGIS[J].电脑知识与技术.2005
第五篇:网络安全技术论文
当前网络常见安全问题分析
指导老师:
摘要:信息时代,人们对计算机和网络的应用和依赖程度愈来愈高,信息安全问题日益突显,海量的信息存储在网络上,随时可能遭到非法入侵,存在着严重的安全隐患本文针对根据几火突出的网络安全问题,归纳并提出了一些网络信息安全防抄的方法和策略计算机网络的广泛应用给计算机的安全提出了更高的要求,也使网络安全问题日渐突出。如果不很好地解决这个问题,必将阻碍计算机网络化发展的进程。关键词:网络安全
黑客入侵
网络诈骗
1、网络安全的基本内涵
网络安全从本质上来讲就是网络上的信息安全,网络安全从其本质上来讲就是网络上的信息安全,具体指的是网络系统的硬件、软件及其系统中的数据受到保护,不会因为偶然的或者恶意的攻击而遭到破坏、更改、泄漏,系统能够连续可靠、正常地运行,网络服务不中断网络安全包括数据安全和系统安全两方面,它具有保密性、完整性、可用性可控性、不可否认性五大特征
从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
2、常见的网络安全问题
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。
2.1遭受黑客攻击
自 1994 年国际互联网进入我国以来,我国的网民人数急剧增长,随着网络的逐渐普及,黑客队伍也相应产生并逐渐壮大,其作案范围日益扩大,作案手段日益高明,对网络安全造成了危害。
黑客主要是使用一些现有的工具对操作系统的弱口令或安全漏洞加以利用攻击,获得一般用户甚至管理员用户权限,进而达到实施破坏的目的。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的
电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
2.2计算机病毒
病毒实际上是一种特殊的程序或普通程序中的一段特殊代码,它的功能是破坏计算机的正常运行或窃取用户计算机上的隐私。计算机感染上病毒后,轻则使系统效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。有了互联网后,病毒的传播速度更快,涉及范围更广,危害性更大。计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。
2.3 垃圾邮件和间谍软件
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能不同程度地影响系统性能。
2.4 计算机犯罪
计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污盗窃、诈骗和金融犯罪等活动。网络安全的防范措施
3.1 安装杀毒软件
计算机病毒有以下五种特征:寄生性、传染性、破坏性、可触发性、可潜伏性。根据计算机病毒的特征,人们摸索出了许多检测计算机病毒和杀毒的软件。国内的有瑞星、KV3000、金山毒霸、360杀毒软件等,国外的有诺顿、卡巴斯基等。但是,没有哪种杀毒软件是万能的,所以当本机的杀毒软件无法找到病毒时,用户可以到网上下载一些专杀工具,如木马专杀工具、蠕虫专杀工具或宏病毒专杀工具等。值得注意的是,安装了杀毒软件后,我们还必须每周至少更新一次杀毒软件病毒库,因为防病毒软件只有最新才是最有效的。每周还要对电脑硬盘进行一次全面的扫描、杀毒,以便及时发现并清除隐藏在系统中的病毒。当不慎感染上病毒时,应立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描,清除一切可以查杀的病毒。当受到网络攻击时,我们的第一反应就是拔掉网络连接端口以断开网络。3.2 安装网络防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。常见的个人网络防火墙有天网防火墙、瑞星防火墙和360安全卫士等。.安装防病毒网关软件 防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时,可能已经感染了很多计算机,防病毒网关可以将大部分病毒隔离在外部,它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时,管理员只要将防病毒网关升级就可以抵御新病毒的攻击。
3.3 数据加密
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施的,它以很小的代价来提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的惟一方法。一般把受保护的原始信息称为明文,编码后的称为密文。数据加密的基本过程包括对明文进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该加密的编码信息转化为原来的形式的过程。机密资料被加密后,无论是被人通过复制数据、还是采用网络传送的方式窃取过去,只要对方不知道你的加密算法,该机密资料就成了毫无意义的乱码一堆。常见的加密软件有SecWall、明朝万达、完美数据加密大师等。
3.4 警惕“网络钓鱼”
“网络钓鱼”(phishing)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。黑客就是利用这种欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。黑客通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。对此,用户应该提高警惕,可安装一款有反垃圾邮件功能的良好杀毒软件。大多数安全产品都能将这种邮件识别为垃圾邮件,使你对它们的花言巧语提高警惕。不登录不熟悉的网站,键入网站地址时要认真校对。多用常识思考,因为这是你 抵御诈骗的最有效方式。没有人会无条件地给予你什么,而网上一见钟情的概率也是微乎其微。因此,你从一开始就要对这种联络抱有高度怀疑,以防误入圈套。结语
本文简要地分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。目前解决网络安全问题的大部分技术是存在的,但是随着社会的发展,人们对网络功能的要求愈加苛刻,这就决定了通信网络安全维护是一个长远持久的课题。我们必须适应社会,不断提高技术水平,以保证网络安全维护的顺利进行。
参考文献
1、尹建璋《计算机网络技术及应用实例》西安电子科技大学出版社,2、刘远生、辛一主编《计算机网络安全》北京:清华大学出版社.2009.6
3、张千里,陈光英《网络安全新技术》北京:人民邮电出版社,2003.1
4、徐茂智《信息安全概论》人民邮电出版社2007.8
5、刘永华、解圣庆《局域网组建、管理与维护》清华大学出版社2006.6
5、吕江。网络安全现状分析及应对措施[J].中国新技术新产品,2009,23:44~45.
The current network common security analysis
Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud
点击咨询 