第一篇:计算机信息安全论文计算机信息技术论文:医院信息系统中的数据安全与备份
计算机信息安全论文计算机信息技术论文:
医院信息系统中的数据安全与备份
摘要:论述了医院信息系统中的数据安全问题,并着重分析了威胁数据安全的因素,提出数据备份的内容及方法。
关键词:医院信息系统;网络安全;数据备份
随着医院信息系统数据库的不断扩大,各项业务对信息系统的依赖性也越来越强,使得系统保护和数据防灾显得愈发重要。因此,要通过多种技术措施、管理机制和控制手段为系统及数据及时备份,预防数据因错误或灾难而丢失,保证系统可用性及数据安全性。
1威胁医院信息系统数据安全的因素
正确分析威胁数据安全的因素,能使系统的安全防护更有针对性。导致系统失效的原因主要有物理故障、软件设计缺陷、人为操作失误、计算机病毒、自然灾害等。
1.1物理故障
包括系统设备的运行损耗、存储介质失效、运行环境(温度、湿度、灰尘等)的影响,电源供给系统故障、人为破坏等。
1.2软件设计缺陷
软件本身的设计缺陷会使系统无法正常工作;此外,版本升级、程序补丁等也会对系统造成影响。
1.3人为操作失误
如由于操作不慎误删了系统重要文件,或修改了影响系统运行的参数;没有按规定要求操作,导致系统失灵等。
1.4计算机病毒
近年来,由于计算机病毒品种繁多、感染性强,经常破坏系统造成重大经济损失。
1.5自然灾害
如雷击、火灾、地震、严重的洪涝灾害等。2医院管理系统数据备份的内容及方法
完善的医院信息系统网络数据备份应包括硬件物理容错和软件级数据备份,且能自动跨越整个系统网络平台,主要涉及构造双机容错系统、各类数据库的备份、网络故障和灾难恢复等几个方面。
2.1计算机中心必须构造医院信息管理的双机容错系统 医院信息系统中最关键的网络设备是数据库服务器,为保证系统连续运行,该服务器必须采用双机热备份容错技术,以解决硬件可能出现的故障,从物理上保证软件运行所需的环境。
2.2应根据医院实际情况设计数据备份方案
我们认为采用在线复制加冷备份来满足对系统高可用的需求是一个比较实用的方案。
2.2.1建立数据异地实时同步复制在医院计算机中心以外的另一座建筑中建立一个机房,配备一台服务器专用于数据备份用,当业务系统对数据进行任何修改,都会实时同步复制到备份中心服务器。复制产品选用已被大量全球客户认同的Veritas Storage Replicator(VSR)2.1,针对SQL、Oracle等数据库管理系统实施一对一的数据复制。VSR每天做全一次复制后,以后做连续的增量复制。
2.2.2建立数据在线和离线备份实时复制是高可用和异地容灾手段,并不能消除数据逻辑错误和保持历史数据;此外,还要避免人为误操作、硬盘损坏、病毒等造成的关键数据永久丢失,这就要求在备用机房对包括操作系统文件、数据库系统文件和用户文件在内的所有数据做离线备份,储存到磁带机等介质当中。通常采用的方式方法有:
●定时自动备份:通过定时的备份操作和磁带库的自动更换磁带功能完成,同时也避免人为误操作导致的备份数据丢失。
●通过数据库的代理程序,实现对数据的在线备份。
●通过客户端的代理程序,将其他平台(包括所有的驻留操作系统)上的数据拉到备份服务器上,实现跨平台数据备份。
2.2.3树立正确的备份观念很多计算机用户和管理人员虽然认识到备份的重要性,也具备一定的备份概念,但仍存在一些误区。比如有用户认为备份就是简单地做一份拷贝,这往往达不到实际要求。此外,制定周密的计划也很重要。有些系统人员不重视备份计划的设计,缺乏完整规则和策略,使备份效果大打折扣。应注意备份过程可能对一些应用系统造成的影响,要针对系统运行情况安排备份时段,避免与应用程序发生冲突。备份的最终目的是确保数据安全,因此在确定安全备份策略后,还要注意将备份的磁带在异地或防火箱内;定期清洗磁带机的磁头;注意磁带的使用期限;定期从备份磁带中恢复一些文件,以了解备份文件状态等。
总之,备份方案是存储设备、备份工具、运作方式、恢复掺假方法、操作性、可靠性等方面的综合考虑。一个完整的备份方案应具备以下特点:保证数据资料完整性,能自动排序设定,实现备份任务的管理,能对不同的存储介质进行有效管理,支持多种操作系统平台等。
随着数字化医院和计算机网络的不断扩大,网络及数据资源的安全日益重要。认识到数据备份的重要性,规划一套完整的医院信息系统数据备份方案并付诸实施,系统数据安全就会得到有效保障。
参考文献: [1]傅红.网络环境下的数据备份探讨[J].甘肃科技,2003,19(9):55-76.[2]王玲.企业数据备份和灾难恢复[J].信息技术和信息化,2006,(3):64-66.[3]刘慧敏.数据备份策略分析[J].福建电脑,2007,(8):70.[4]国务院信息化工作办公室.重要信息系统灾难恢复指南[Z].2005-04.
第二篇:电力信息系统信息安全信息安全论文计算机论文
电力信息系统信息安全-信息安全论文-计算机论文 ——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
1.我国电力信息系统现状分析
1.1 电力信息系统缺陷
当前阶段在我国电力企业中,通常信息系统不是十分健全和完善,科学性和规范性没有在电力信息系统管理中得到有效体现,因此在当前互联网+时代,电力信息系统的信息安全难易进行有效的融合,进而其安全保障相对较为落后。
1.2 缺乏电力信息安全意识
在我国部分电力企业中没有给予电力信息系统信息安全工作充分的重视,缺乏安全管理,因此现阶段企业中缺乏科学的信息安全防护系统。同时缺少对信息安全技术方面的研究,导致这方面技术的应用十分有效,通常很多电力企业只是对于安全信息防护只停留在安装一定防火墙和杀毒软件的层面,这对于庞大的电力系统来说是远远不够的,难以实现电力信息系统的安全防护。
1.3 电力信息系统安全威胁众多
在电力信息系统运行过程中会有多方面的因素来影响其安全性,例如有些恶意代码能够对指令进行篡改和伪造,从而实现电力设备的控制,或者控制变电站系统的程序界面等。当前阶段很多电力企业没有充分重视信息安全的发展,虽然科学技术发展了,企业内电力系统中的安全技术防护手段却没有更新,导致电力系统的安全运行受到众多威胁,给电力系统带来了严重的隐患。
1.4 信息安全关键技术
要想保证电网的安全稳定运行就必须要落实有效的系统信息安全管理,这是一个涉及范围广的复杂工程,其中涉及到继电保护、配电网自动化、电网调度等多方面领域的生产和管理。但是当前阶段我国很多电力企业内缺乏有效的信息安全管理体系,防火墙和杀毒软件只能起到最基本的防护作用,如果发生重大的信息安全问题,很难做出有效的应对。甚至部分企业中连防火墙和杀毒软件都十分落后,没有统一的规划和设计电力信息系统安全防护。
2.信息安全技术分析
2.1 网络协议隔离技术
这种技术主要是借助协议分离器来实现内网与外网之间的隔离,而内外网之间的信息交流必须要通过两个接口的设置来得以实现。因此必须要保证内网和外网之间的断开才能实现协议隔离技术的应用,如果需要进行一定的信息交流,可以再连接上两个接口。
2.2 防火墙技
在内外网之间建立一道隔离的屏障从而实现安全防护作用,这就是所谓的防火墙技术。通过这个屏障能够有效的防止恶意代码已经病毒的攻击,防止其侵入系统。防火墙自身具有独特的检测技术以及限制功能,因此能够实现外来数据的检测功能以及拦截功能。防火墙对于系统的信息安全具有至关重要的作用,能够有效防护系统的结构安全和网络信息安全,防止数据泄漏,对外网实现隐藏工作,从而给系统内部的安全稳定运行提供有效保障。
2.3 身份认证技术
身份认证也是众多安全防护技术中的一个重要部份,它能够在终端或者是主机中输入特定用户信息,在实际操作过程中要对身份信息进行检测,只有通过检测后才能进入系统进行操作,通常来说可以通过口令、智能卡、指纹、人脸识别以及密钥等方式来实现信息认证。这也是电力信息系统运行中重要的保护手段之一,能够一定程度上保证数据的安全以及电力信息系统的安全可靠。
3.保证电力系统信息安全的主要措施
3.1 完善电力信息安全体系
对国内外信息安全技术的发展状况以及应用现状进行比较和分析是保证电力系统信息安全的出发点所在,要时刻紧跟世界安全技术的发展以及应用才能应对众多的安全威胁。当前阶段要充分结合我国的国情以及电力企业信息安全技术的发展状况,对电力信息系统的安全体系框架和结构进行初步的构建,当安全体系在电力企业中进行实际的应用后,要根据其效果进行实时的调整和更新,对内容进行补充和完善,从而充分发挥电力系统信息安全建设的指导作用。
3.2 信息安全监测中心的建立
在信息安全监测系统中,主要是通过模拟黑客等威胁的攻击,从而完成信息系统的相关测试,通过测试来对系统的弱点进行分析和研究,并且根据实际的威胁程度来对安全漏洞进行列表。结合列表中的相关内容来第一时间解决系统漏洞问题,同时对系统配置进行一定的整改和完善。通过信息安全监测系统的建立,能够对时段性敏感的数据流进行及时的拦截,防护系统安全,一旦发现网络中出现违规的模式,或者出现网络访问受限的情况,会根据事先的设定,采取设定好的措施来对突发情况加以应对。除此之外,网络层也会有一定危险因素的存在,对此可以通过网络扫面器来进行网络层各种设备的扫描,如果发现有安全漏洞的存在,第一时间采取有效的措施来加以处理。例如系统扫描器和数据库扫面器是主要的两种设备。系统扫描器实际上是一种评估系统,能够对系统的安全进行有效评估,扫描器主要部分是主机,扫描器依附在主机上实现安全漏洞的扫描功能,这种系统扫描器的优势在于能够有效的发现安全漏洞,并且及时采取相应的措施加以有效处理。通过系统扫描器能够一定程度上防止系统中相应数据的盗用,避免误操作现象以及恶意破坏问题,能够有效的防护电力信息系统信息安全。数据库扫描器中安全检测技术能够有效的保护服务器安全。通过相应的测试能够得出检测报告程序,用户可以对漏洞情况了如指掌,并且对于不同的漏洞采取相应的措施进行修补。
3.3 在系统中建立病毒防范体系
我们知道计算机病毒的威胁非常大,通常有着自我复制能力高、传染速度快以及隐藏能力强等特点,往往在我们还没有注意到的情况下就已经对系统造成了严重的破坏,给计算机以及相关数据带来严重
威胁。当前阶段病毒多种多样,一些病毒以网络为传播媒介从而对企业用户或者是个人用户计算机进行入侵,导致系统在无防备情况下遭受病毒攻击。随着现阶段科学技术的进一步发展,网络规模也有所扩大,并且越来越多的重要信息都会在网络中出现,因此一旦发生病毒入侵的现象则不但会造成严重的经济损失,同时对电力信息系统的安全也会造成重大的不利影响。近些年来网络即时的发展导致网络技术覆盖了更加广泛的电力系统,涉及到电力企业的众多工作环节,有时在用户进行数据交换过程中难免会遭遇到病毒的入侵,并且现阶段电力企业也不断朝着市场化的方向逐步发展,这也在一定程度上增加了电力系统与外界信息交流的机会,例如在于其他企业进行业务沟通时,有时采用电子邮件的方式来进行,在这过程中给病毒的入侵提供了机会,并且还有可能在企业内部网络中进行复制和传播,危害不堪设想。因此电力信息系统中每一个安全防护环节都不能掉以轻心,从而为系统的安全提供充分保障,防止病毒的威胁。
4.结语
总的来说,电力信息系统中安全防护工作一直是电力企业所面临的重要问题之一,怎样落实系统信息安全性防护工作时电力企业领导部门所需要重点解决的难题,完善系统的安全保障对于电力系统的长期稳定安全运行具有至关重要的作用,同时还要注重与时俱进,时刻紧跟当前时代市场的发展,不能故步自封,要及时的更新和优化系统的安全防护技术,为电力企业的发展创造坚实的后盾。
——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第三篇:信息安全保障体系信息安全论文计算机论文
信息安全保障体系-信息安全论文-计算机论文 ——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
【摘要】随着社会的现代化发展,促进了信息技术的提高。在 管理中,传统的 管理模式存在着较多的问题,受各种安全隐患的影响,给 信息资料的保存带来了一定的安全威胁。
具有凭证的价值,是信息传递的重要途径,影响着我国的可持续发展。在疾控中心,的管理具有一定的特殊性,具有专业性、机密性、政策性等特点。本文叙述了疾控中心 信息安全保障体系建设的重要性,还阐述了构建 信息安全保障体系的措施。
【关键词】疾控中心; 信息;安全保障体系
1.疾控中心 信息安全保障体系建设的重要性
在我国,疾控预防控制中心的发展历史悠久,而疾控中心的前身是防疫站,在防疫站时期,我国的信息化建设还未得到良好的发展,那个时期主要以纸质 为主,从而增加了 管理的难度。随着国家信息化建设的推进,近年来,我国疾控中心的工作量不断的加大,管理难度越来越大,国家对公共卫生事业十分的重视,对疾控中心的 安全管理工作提出了明确的要求。在这种艰难的环境下,疾控中心若想实现信息化的稳步发展,需要结合时代的特点,加强 管理的信息化建设,并着力构建 信息安全保障体系,以确保疾控中心的可持续发展。上文提到,疾控中心的 管理具有机密性的特点,信息一旦被泄露,不仅是疾控中心的损失,还会对国家造成危害,其影响极其恶劣,因此,在疾控中心建设中,加强 信息安全保障体系的构建是十分重要的。
2.影响疾控中心 信息安全的因素
在疾控中心内,信息的内容十分复杂,其中包含了:疫情信息、科研、传染病 资料、突发性流行病资料、公共卫生信息、艾滋病信息等方面,所涉及的信息内容具有特殊性和机密性。在国家的现代化建设中,保障 信息的安全是疾控中心的重要工作内容。在疾控中心 信息安全管理中,信息的安全仍然会受到多个方面因素的影响,例如:网络安全,随着我国的信息化,促进了 管理的信息化发展,电子 成为了 信息的重要组成部分,受网络安全问题的影响,电子 可能会受到病毒、黑客等不良因素攻击,造成 丢失或外泄,引发 管理安全问题;系统软件安全,在管理电子 的过程中,若发生硬件故障等问题,则可能造成信息的丢失;人员安全问题,工作人员责任意识和安全意识不高,在管理中存在监守自盗的行为,引发信息安全问题。
3.构建 信息安全保障体系的措施
为了确保疾控中心 信息的安全,加强安全保障体系的建设是重要的安全保障措施,建设安全保障体系的措施主要有以下几点:
3.1 完善安全管理制度保障体系
完善的制度管理是规范工作人员行为的重要措施,工作人员是 信息管理中重要的组成部分,承担着重要的安全责任。在安全保障体系的建设中,完善安全管理制度,可以提高工作人员的责任意识和安全意识,有利于工作人员将 信息的安全管理工作落到实处,从而降低安全问题的发生率,提升我国疾控中心 信息管理的安全性。结合我国对 信息管理的相关要求和规范,例如:《 信息系统安全等级保护定级工作指南》,根据疾控中心的实际情况,制定出合理的、科学的安全管理制度。在建设之前,工作人员需要对 信息进行合理的统筹规划,加强 信息的数字化建设,结合各个工作环节的要求和功能,制定完善的安全管理制度。
3.2 重视工作人员的安全教育
在疾控中心内,管理人员承担着重要的责任,是 信息安全管理的中心,是实际的运行者和操作者,亦是安全保障体系建设的核心。疾控中心应该加强管理人员安全意识培训,可以在中心内,定期开展有关安全知识讲解的培训会,鼓励并组织管理人员积极的参与培训,并加强对管理人员的考核,以提高管理人员对安全知识学习的重视程度。另外,给予管理人员更多有关专业技能和素养的培训机会,提高管理人员的整体素质,提升管理人员的业务能力,有利于提高管理人员 信息安全管理的水平。
3.3 完善安全技术保障体系
提高安全技术是维护疾控中心 信息安全管理的重要途径,随着我国 信息管理的信息化发展,信息系统的安全管理需要安全技术的大力支持,以降低发生安全问题的概率。结合疾控中心的实际发展情况,加强系统安全技术、技术创新、数据安全技术、物理安全技术等方面的研究,以强化 信息的数据备份和恢复、数据库防火墙、数据加密、信息的安全储存、云数据的安全处理等方面,从而降低文件信息被篡改或泄露、病毒攻击、硬件故障等方面的发生率,保障 信息管理的安全。
结语
综上所述,在新时代的背景下,我国 信息管理正面临着巨大的挑战,在信息化建设中,信息管理不仅需要加强 信息化建设,还需要重视 信息的安全管理,重视安全保障体系的构建。通过完善安全管理制度保障体系、重视工作人员的安全教育、完善安全技术保障体系等方面,提高疾控中心 信息安全管理的水平,降低安全问题的发生率,有利于促进疾控中心 管理的可持续发展。
参考文献:
[1]骆念.疾控中心 信息化建设与管理初探[J].职业卫生与病伤.2016.31(2):127-128
——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第四篇:计算机安全论文
XXXXX学院 成人高等教育
毕
业
论
文
论文题目: 计算机网络安全技术研究
姓
名
XXXXXX 院(系):
XXXXXX院
专业班级
(113474016)计算机科学与技术 学
号
2XXXXXX 指导教师
XXXX
XXXXX院继续教育学院制
学生承诺书
本人承诺在毕业论文(设计)活动中遵守学校有关规定、恪守学术规范,在本人毕业论文(设计)内容除特别注明和引用外,均为本人观点,不存在剽窃、抄袭他人的学术观点、思想和成果,不存在伪造、篡改实验数据。如有违规行为发生,我愿承担一切责任,接受学校的处理,并承担相应的法律责任。
承诺人(签名):
摘 要
21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。随着计算机互联网技术的飞速发展,网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到来自黑客窃取、计算机系统容易受恶意软件攻击,因此,网络信息资源的安全及管理维护成为当今信息话时代的一个重要话题。
文中首先论述了信息网络安全内涵发生的根本变化,阐述了我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性,以及网络面临的安全性威胁(黑客入侵)及管理维护(防火墙安全技术)。进一步阐述了网络拓扑结构的安全设计,包括对网络拓扑结构的分析和对网络安全的浅析。然后具体讲述了网络防火墙安全技术的分类及其主要技术特征,防火墙部署原则,并从防火墙部署的位置详细阐述了防火墙的选择标准。同时就信息交换加密技术的分类及RSA算法做了简要的分析,论述了其安全体系的构成。
关键词:信息安全 网络 防火墙 数据加密
目 录
摘要...................................................................3 目录...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 网络安全技术的研究目的 意义和背景................................6 1.3 计算机网络安全的含义..............................................7 第二章 网络安全初步分析
2.1 网络安全的必要性..................................................8 2.2 网络的安全管理....................................................8 2.2.1安全管理原则...................................................8 2.2.2安全管理的实现...................................................8 2.3 采用先进的技术和产品
2.3.1 防火墙技术.....................................................9 2.3.2 数据加密技术...................................................10 2.3.3 认证技术.......................................................10 2.3.4 计算机病毒的防范...............................................10 2.4 常见的网络攻击及防范对策.......................................11 2.4.1 特洛伊木马.....................................................11 2.4.2 邮件炸弹.......................................................11 2.4.3 过载攻击........................................................12
2.4.4 淹没攻击.......................................................12 第三章
网络攻击分析................................................13 第四章
网络安全技术................................................15 4.1 防火墙的定义和选择...............................................15 4.2 加密技术.........................................................16 4.2.1 对称加密技术...................................................16 4.2.2 非对称加密/公开密钥加密........................................16 4.2.3 RSA算法.......................................................16
4.3注册与认证管理..................................................17 4.3.1 认证机构....................................................17 4.3.2 注册机构....................................................18 4.3.3 密钥备份和恢复..............................................18 4.3.4 证书管理与撤销系统...........................................18
第五章 安全技术的研究
5.1 安全技术的研究现状和方向....................................19 5.2 包过滤型....................................................19 5.3 代理型......................................................19
结束语.............................................................21 参 考 文 献
第一章 引言
1.1 概述
我们知道, 21世纪的一些重要特征就是数字化,网络化和信息化,它是一个以网络为核心的信息时代。要实现信息化就必须依靠完善的网络,因为网络可以非常迅速的传递信息。因此网络现在已成为信息社会的命脉和发展知识经济的基础。
随着计算机网络的发展,网络中的安全问题也日趋严重。当网络的用户来自社会各个阶层与部门时,大量在网络中存储和传输的数据就需要保护。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国特色的网络安全体系。
一个国家的安全体系实际上包括国家的法律和政策,以及技术与市场的发展平台。我国在构建信息信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展名族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几个特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断的变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合开发。安全与反安全就像矛盾的两个方面,总是不断的向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题,对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来数字化、网络化、信息化的发展将起到非常重要的作用。
1.2 网络安全技术的研究目的、意义和背景
目前计算机网络面临着很大的威胁,其构成的因素是多方面的。这种威胁将不断给
社会带来巨大的损失。网络安全已被信息社会的各个领域所重视。
随着计算机络的不断发展,全球信息化已成为人类发展的大趋势;给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络容易受黑客、病毒、恶意软件和其他不轨行为的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C3I系统、银行和政府等传输铭感数据的计算机网络系统而言,其网上信息的安全性和保密性尤为重要。因此,上述的网络必须要有足够强的安全措施,否则该网络将是个无用、甚至会危机国家安全的网络。无论是在局域网中还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性,故此,网络的安全措施应是能全方位的针对各种不同的威胁和网络的脆弱性,这样才能确保网络信息的保密性、完整性、和可行。为了确保信息安的安全与畅通,研究计算机网络的安全以及防范措施已迫在眉睫。本文就进行初步探讨计算机网络安全的管理及技术措施。
认真分析网络面临的威胁,我认为计算机网络系统的安全防范工作是一个极为复杂的系统工程,是一个安全管理和技术防范相结合的工程。在目前法律法规尚不完善的情况下,首先是各计算机网络应用部门领导的重视,加强工作人员的责任心和防范意识,自觉执行各项安全制度,在此基础上,再采用现金的技术和产品,构造全防卫的防御机制,使系统在理想的状态下运行。
1.3 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者的不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的灾害,军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件极其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
第二章 网络安全初步分析
2.1 网络安全的必要性
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征。人们称它为信息高速公路。网络是计算机技术和通信技术的产物,适应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。我相信在不长的时间里,计算机网络一定会得到极大的发展,那时将全面进入信息时代。正因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的。
2.2 网络的安全管理
面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络安全的安全管理,因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面,而这又是计算机网络安全所必须考虑的基本问题。
2.2.1安全管理原则
网络信息系统的安全管理主要基于3个原则:
多人负责原则
每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作以得到保障。与安全有关的活动有:访问控制使用证件的发放与回收,信息处理系统使用的媒介发放与回收,处理保密信息,硬件与软件的维护,系统软件的设计、实现和修改,重要数据的删除和销毁等。
任期有限原则
一般来讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。职责分离原则
除非经系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情。出于对安全的考虑,下面每组内的两项信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、应用程序和系统程序的编制、访问证件的管理与其他工作、计算机操作与信息处理系统使用媒介的保管等。
2.2.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。具体工作是:
根据工作的重要程度,确定该系统的安全等级。
根据确定的安全等级,确定安全管理范围。
制定相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别系统,采用此卡、身份卡等手段,对人员进行识别,登记管理。
2.3 采用先进的技术和产品
要保证计算机网络安全的安全性,还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。
2.3.1 防火墙技术
为保证网络安全,防止外部网对内部网的非法入侵,在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统,该系统可以设定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。它可以监测、限制、更改跨越防火墙的数据流,确认其来源及去处,检查数据的格式及内容,并依照用户的规则传送或阻止数据。其主要有:应用层网关、数据包过滤、代理服务器等几大类型。
2.3.2 数据加密技术
与防火墙配合使用的安全技术还有数据加密技术,是为了提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外,从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用的不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。
2.3.3 认证技术
认证技术是防止主动攻击的重要手段,它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程,即认证建立信息的发送者或接受者的身份。认证的主要目的有两个:第一,验证信息的发送者是真正的,而不是冒充的,这称为信号源识别;第二,验证信息的完整性,保证信息在传送过程中未被篡改或延迟等。目前使用的认证技术主要有:消息认证、身份认证、数字签名。
2.3.4 计算机病毒的防范
首先要加强工作人员防病毒的意识,其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件:
① 较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种,在各种操作系统中包括Windows、UNIX 和 Netware 系统都有大量能够造成危害的计算机病毒,这就要求安装的防病毒软件能够查杀多种系统环境下的病毒,具有查杀、杀毒范围广、能力强的特点。
② 完善的升级服务。与其他软件相比,防病毒软件更需要不断的更新升级,以查杀层出不穷的计算机病毒。
2.4 常见的网络攻击和防范对策
2.4.1 特洛伊木马
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马的程序包括两部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的过程中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
2.4.2 邮件炸弹
邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同以地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,妨碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复消息,也可以使自己的SMTP连接只能
达成指定的服务器,从而免受外界邮件的侵袭。
2.4.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用的最多的一种方法是进程攻击,它是通过大量地进行人为的增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在着一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络内部还是网络外部。另外,还可以让系统自动检查是否过载或者重新启动系统。
2.4.4 淹没攻击
正常情况下,TCP连接建立要经过3次握手的过程,即客户机向客户机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时的主机IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断的向被攻击的主机发送SYN请求,被攻击主机就一直处于等待状态,从而无法响应其他用户请求。
对付淹没攻击的最好方法就是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三章 网络攻击分析
攻击是指非授权行为。攻击的范围从简单的使服务器无法提供正常的服务到安全破坏、控制服务器。在网络上成功实施的攻击级别以来于拥护采取的安全措施。
在此先分析下比较流行的攻击Dodos分布式拒绝服务攻击:Does是Denial of Service的简称,即拒绝服务,造成Does的攻击行为被称为Does攻击,其目的是使计算机或网络无法提供正常的服务。最常见的Does攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。而分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在 Internet 上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。而且现在没有有限的方法来避免这样的攻击。
因为此攻击基于TCP/IP 协议的漏洞,要想避免除非不使用此协议,显然这是很难做到的那我们要如何放置呢?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么? 谁在使用主机? 哪些人可以访问主机? 不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS.等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统—甚至是受防火墙保护的系统。
4.确保运行在 Unix上的所有服务都有TCP封装程序,限制对主机的访问权。5.禁止内部网通过Modem连接至PSTN 系统。否则,黑客能通过电话线发现未受保
护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传递口令,而Telnet和 Rlogin 则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost 和 hosts.equiv 文件删除,因为不用猜口令,这些文件就会提供登录访问!7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换他,文件传输功能无异将陷入瘫痪。
8.确保手头上有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数时间是由于防火墙配置不当造成的,使DoS/ DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现纰漏或时间出现变更,几乎可以坑定:相关的主机安全收到了威胁。
第四章 网络安全技术
4.1 防火墙的定义和选择
4.1.1防火墙的定义
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客入侵等方向发展。
4.1.2 防火墙的选择
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也不应该考虑在内。如果仅作粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论选择防火墙的标准有很多,但最重要的是以下两条:
(1)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
如果像玛奇诺防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙十分不熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(2)可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提供,用户仍然有进一步增加选择的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大产品的覆盖面。
4.2 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密.4.2.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁.这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄漏,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56位密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2.2 非对称加密技术
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛分布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制。其安全性是基于分散大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分散两大素数之积。RSA算法的描述如下:
公开密钥: n=pq(p、q 分别为两个互异的大素数,p、q 必须保密)e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 为明文,c为密文。解密:m=cd(mod n)利用目前已经掌握的只是和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.3 注册与认证管理
4.3.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是频发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且还与整个PKI系统的构架和模型有关。
4.3.2 注册机构
RA(Registration Authority)是用户和CA的借口,它所获得的用户标识的准确性是CA发给证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.3 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.3.4 证书管理与撤销系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤销,证书撤销的理由是各种各样的。可能包括工作变动到对密钥怀疑等一系列原因。证书撤销系统实现是利用周期性的发布机制撤销证书或采用在线查询机制,随时查询被撤销的证书。
第五章 安全技术的研究
5.1 安全技术的研究现状和方向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。根据防火墙所采用的技术不同,将它分为4个基本类型:包过滤型、网络地址转换-NAT、代理型和监测型。
5.2 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会含一些特定信息,防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一单发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制定判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
5.3 代理型
代理型的安全性能要高过包过滤型,并已经开始向应用层发展。代理服务器位于客户
机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
结束语
互联网现在已经成为了人们不可缺少的通信工具,其发展速度也快的惊人,以此而来的攻击破坏层出不穷,为了有效的防止入侵把损失降到最低,我们必须适合注意安全问题,使用尽量多而可靠的安全工具经常维护,让我们的网络体系完善可靠。在英特网为我们提供了大量的机会和便利的同时,也在安全性方面给我们带来了巨大的挑战,我们不能因为害怕挑战而拒绝它,否则就会得不偿失,信心安全是当今社会乃至整个国家发展所面临的一个只管重要的问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要的组成部分,甚至应该看到它对我国未来电子化、信息化的发展讲起到非常重要的作用。网络安全是一项动态的、整体的系统工程,我们应该结合现在网络发展的特点,制定妥善的网络安全策略,将英特网的不安全性降至到现有条件下的最低点,让它为我们的工作和现代化建设做出更好的服务。
参 考 文 献
[1] 谢希仁.计算机网络 电子工业出版社
[2]汤小丹、梁红兵.计算机操作系统 西安电子科技大学出版社 [3] 李伟.网络安全实用技术标准教程 清华大学出版社 [4] Andrew S.Tanenbaum.计算机网络 清华大学出版社
第五篇:计算机安全论文
论计算机安全
-----浅谈计算机网络安全的防护
姓名
班级
学号
摘要:
随着社会的不断发展,整个社会对网络的依赖越来越大,随之而来的网络安全问题也益发凸显。如何采取行之有效的策略确保计算机网络安全显得尤为重要。本文计算机网络存在的一些安全问题,并提出了相应的防护措施。
关键词:
网络安全;安全防护 ;安全策略
正文:
本学期,有幸选修了计算机安全这门拓展课。经过一学期的学习,我肤浅的谈谈计算机网络的安全防护。
现代社会,随着互连网的飞速发展,网络技术全面地影响和改造着人们的生活,上网已经成为人们工作和生活不可缺少的一部分,其作用远远超出了人们的想象,网络已经深入到社会生活的各个方面。一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。如何更有效地保护重要信息数据,提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题
一、计算机网络安全的概念
国际标准化组织将计算机安全定义为:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
二、计算机网络存在的安全问题
现阶段计算机网络安全存在的主要问题有以下几个方面:
(一)计算机病毒、恶意程序泛滥。
计算机病毒是人为编制的具有某种破坏作用的程序,并有隐蔽性、传播性和破坏性等特征。计算机病毒及恶意程序这些特征,都对网络安全构成了很大的威胁,使得网络工作者们对它们闻之色变。
(二)网络安全观念薄弱
目前,我国的计算机网络用户越来越多,网络的用途越来越广,但对网络安全缺乏观念,随意下载使用来历不明的软件,在不知情的情况下使电脑受到病毒的侵入,计算机出现故障便不知所去,维修电脑是他们的唯一选择,所以网络安全的观念必须加强。
(三)病毒防护方式单一。
目前,计算机网络安全的防护一般选择“防火墙”这一基本技术防范恶意程序的侵入,缺少对隐藏性强的病毒的特殊防范措施。
三、影响网络的安全因素
(一)黑客攻击。
随着互联网的飞速发展,网络的安全性不断受到挑战。黑客的技术也越来越高明,目前对于一些技术好的黑客来说,要闯入大部分人的电脑实在是太容易了。也就是说,只要你上网,就免不了遇到黑客的来访。所以说我们必须知已知彼,才能在在保护网络安全中占据主动。
(二)软件漏洞。
网络软件的漏洞有两大类:一类是蓄意制造的漏洞,设计者用于窃取别人信息等专门设计的漏洞,另一类是无意产生的漏洞,设计者为了方便,设计了便捷的入口,不设密码,这样一旦泄漏,将可能导致系统受到破坏。
(三)计算机病毒。
20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
(四)垃圾邮件和间谍软件。
一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。
(五)计算机犯罪。
计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
(六)环境影响。
计算机网络时常受到自然环境以及社会环境的影响。如火灾、水灾、风暴、雷电、磁场、网络设备人为的破坏等会对网络造成损害和影响。
(七)人为安全因素。
工作人员的操作失误使系统出错,使用安全配置不当会造成网络安全漏洞,用户安全意识不强,对用户口令不够谨慎,计算机的文件等重要信息随意与别人共享都会对网络安全带来威胁。
四、计算机网络的安全策略
计算机网络安全从技术上来说,主要由防火墙、防病毒、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、访问控制、防御病毒技术等。以下就此几项技术分别进行分析。
(一)采用存取权限控制。
因互联网具有开放性这一特性,系统可能受到各种恶意程序的侵入和攻击,这就要求我们应该设置一定权限:1.设定哪些用户可以访问哪些网络资源。2.设定访问系统的用户各自具备的操作权限等,这样能够有效的防止非法用户侵入网络系统或合法用户对系统资源的非
(二)防火墙技术。
防火墙,是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指位于计算机和它所连接的网络之间的硬件或软件,也可以位于两个或多个网络之间,比如局域网和互联网之间,网络之间的所有数据流都经过防火墙。通过防火墙可以对网络之间的通讯进行扫描,关闭不安全的端口,阻止外来的DoS攻击,封锁特洛伊木马等,以保证网络和计算机的安全。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全,提供方便。
(三)有效防范黑客攻击。
要经常对计算机系统进行检测,发现漏洞及时对漏洞进行修补,是对黑客利用漏洞攻击的最有效措施。同时,要大力发展我国自己的网络安全产品,防范黑客的攻击。当前,由于技术水平的限制,我国使用的网络安全产品主要依赖于国处的产品,而国外的厂商生产的过程中有所保留,对其网络产品留有不同程度的“后门密码”,使得我国的网络安全很难得到根本保证。
(四)加强备份管理。
备份可以有效的防止系统出现灾难性的崩盘,网络服务器的管理人员应经常备份。由于传统的备份只能防止人为故障,而且这种备份来恢复系统耗时特别长,不少网络管理人员开始使用网络备份的方式,同时要注意的是,备份需要不间断的进行经常进行,并且要单独存放,以免由于人为或自然原因导致备份的数据丢失。
(五)防御病毒技术。
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。病毒的侵入必将对系统资源构成威胁,因此用户要做到“先防后除”。很多病毒是通过传输介质传播的,因此用户一定要注意病毒的介质传播。在日常使用计算机的过程中,应该养成定期查杀病毒的习惯。用户要安装正版的杀毒软件和防火墙,并随时升级为最新版本。还要及时更新windows操作系统的安装补丁,做到不登录不明网站等等。
(六)对网络实施信息加密。
信息加密技术通常是采用数学或物理的方法,对电子信息在输入和输出进行保护,以防止信息泄漏的技术。现在信息加密技术主要有:保密通信,计算机密钥,防复制软盘等,一般情况下,保证信息机密性的最好的方法便是信息加密。
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密
1、私匙加密
私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建加密一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2、公匙加密
公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的(七)因地制宜。
制定安全策略为了有效防范来自网络外部或内部可能的非法攻击,应根据各单位网络的实际情况,对系统做出网络安全等级评估,制定相应的安全策略,构造相应的安全防范体系。如建立自己的防火墙,在内部安装黑客入侵检测与报警系统,对一些非法入侵活动及时发出警报。使用网络漏洞扫描软件,经常查找系统可能存在的漏洞,并及时对其进行修补。对重要业务系统和数据文件设置定期更新,对重要业务数据采取必要的加密措施,安装网络防病毒软件,统一配置防病策略,统一升级病毒代码,对重要数据采取备份措施等。
有上面所述,不难看出,计算机网络安全不光是安全技术方面的问题,同时也是一个网络管理的问题。现阶段,任何网络安全的技术都无法保证网络的绝对安全。这就使得,人们更加关注网络安全技术与信息保密的发展。目前,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。我们应该不断创新,发展新的加密技术,加强对计算机信息保密工作制度化和科学化的管理,以保证计算机网络的信息安全与保密,使人们有一个安全的网络环境。
参考文献:
[ 1 ] 张琳,黄仙姣.浅谈网络安全技术[J].电脑知识与技术,2006,(11).[ 2 ]李湘江.网络安全技术与管理[j].现代图书馆技术,2002,2
[ 3 ]肖军模,刘军,周海刚.网络信息安全[m].北京:机械工业出版社,2006
[ 4 ]徐超汉.计算机网络安全与数据完整性技术[M ].北京:电子工业出版社,2005.
点击咨询 