第一篇:计算机网络安全与防护
《计算机网络安全与防护》
计算机网络安全与防护
作者:某某君 日期:2010年6月
摘要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。
关 键 词:网络安全;黑客;病毒;防火墙;访问权限
计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确保网络系统的安全性,网络信息的保密性、完整性和可用性。
1网络安全面临的主要问题
计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面:
1.1网络黑客:指的是熟悉特定的电脑操作系统,并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。
1.2配置不当:安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70%的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。
1.3计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件
扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。
1.4安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。
2网络安全性的解决方法
2.1有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCP/UDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。
为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。
2.2制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。
防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。
为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。
2.3建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
2.4加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。
对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。
总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。
参考文献:
[1]孙学军,喻梅.《计算机网络》.电子工业出版社,2003
[2]郑再欣.“浅谈计算机网络安全及防范”.《广东公安科技》,2004
[3]徐翼超.“计算机网络安全问题初探”.《交通企业管理》,2004
第二篇:计算机网络安全及防护
摘要:
随着信息系统的不断发展,计算机网络系统已经扩散到了各个领域,且在其中扮演着重要角色,同时也对人们的日常生产带来了很大影响。但在计算机网络系统迅速发展的同时,也带来了安全隐患,严重威胁到了人们的经济财产安全,所以确保计算机网络系统正常运行,做好相应的防护工作至关重要。本文就计算机网络的安全及防护进行简要分析,希望对计算机网络系统的进一步发展有良好的促进作用。
关键字:安全防护;网络病毒;计算机系统
0引言
随着计算机技术的广泛传播,人类开始进入了信息化时代。社会各界也逐步提高了对网络技术的重视,依赖性越来越大。但由于计算机网络技术自身的局限性,致使网络信息平台安全性越来越低,从而给不法分子提供了机会。所以增强计算机网络系统的安全性,已经逐步成为了社会各界重点关注的话题。
1.威胁计算机网络安全的因素
1.1黑客攻击
网络攻击与网络监听是两种常见的黑客攻击方式,其攻击的手段很难让人察觉,不仅仅局限于卫星、微波、无线等几种通讯方式。网络攻击就是黑客利用系统漏洞、互联网协议、缓冲区溢出等各种攻击手段,占用网络系统的可用资源,最终造成系统崩溃、网络崩盘的局面,致使网络无法正常使用。而网络监听则是通过冰河、灰鸽子等病毒软件,在对方不注意的情况下,通过互联网进入对方电脑,待入侵成功后便轻松截取对方信息,可以说,一旦目标电脑被入侵便没有了秘密可言[1]。
1.2木马程序的威胁
木马程序与普通的计算机软件不同,它是通过远程操作控制目标主机。它可为攻击者提供入侵目标主机的捷径,可以在对方没有察觉的情况下,肆意获取目标主机的机密文件,甚至可以远程操作目标主机,给使用者带来严重的威胁。通常这种恶意程序是通过与其他程序捆绑、伪装或利用网站挂马的方式吸引目标下载执行,其隐蔽性及强,很难让人一眼看出。在当今网络开放的时代,木马程序极度泛滥,严重威胁网络用户的人身安全[2]。
1.3计算机病毒
所谓计算机病毒就是入侵者往计算机程序中插入了一段可以影响计算机使用,且能够自我复制的程序代码或者计算机指令,这种病毒具有潜伏性、传染性、寄生性和传染性的特点。因此这类病毒通常在数据传输、复制以及运行程序中传播,在日常使用中,光盘、硬盘、U盘等都是传播计算机病毒的主要途径。一些计算机病毒破坏性很大,比如熊猫烧香病毒等,它给网络运行带来了极大危害,严重影响了计算机网络的正常运行。
1.4系统漏洞的威胁
网络软件并不是百毒不侵的,其中存在着很多的缺陷与不足,各类软件与操作系统都是通过反复调试与编写才投入使用,即使这样其自身的结构与设计都会出现问题,不可能任何漏洞都没有,而这些漏洞就给计算机病毒与恶意程序提供了机会,使得计算机处于一种非常危险的境地,一旦联网,就有被入侵的可能[3]。
1.5内部的威胁
内部威胁主要来自于企业员工或离职人员,通常内部威胁要远远超过外部威胁。主要是因为企业员工是重要数据直接管理者,因为他们的安全意识淡薄,在网络平台上,缺少适当的安全防范措施,给非法分子提供了可乘之机,致使企业机密泄露,进而给企业带来严重的经济损失,同时也严重威胁到了个人信息安全。近几年企业内部威胁事故时有发生,已成为了企业安全管理的重要内容。
2.增强网络防护的有效措施
2.1防火墙技术
防火墙技术是当前应用最为广泛的一种网络安全防护技术,该技术的作用是控制网络访问,阻止非法进入内网,从而对内网资源进行保护。防火墙会对传输的数据包以及数据包中的信息进行逐一检测,确保其中的数据满足计算机系统的访问控制规则(目标端口、源端口、源地址等),如果满足,则允许通过,若不满足则会将数据包丢弃。当前已有的防火墙技术主要有三种包过滤防火墙、状态监测防火墙和应用代理防火墙三种。包过滤防火墙是通过对数据包中的信息进行匹配,实现对内网资源的保护;状态监测防火墙除了具有包过滤防火墙的功能外,还会对监测表的状态进行检测;而应用代理防火墙则是通过代理服务器先对即将访问的客户端进行检测,完成数据包信息的匹配,然后再根据数据信息的匹配结果决定是否可以访问服务器。防火墙技术的缺陷在于无法阻止内部网络用户造成的威胁,也无法有效地阻止传送携带病毒的文件和程序。
2.2入侵检测技术
入侵检测技术属于一种新兴的计算机安全防护技术,该技术是对数据加密和防火墙等传统技术的补充。入侵检测技术作用的发挥通常需要信息收集、分析和结果处理三个步骤。首先是对计算机网络、运行系统等数据信息进行收集,包括正在运行的程序、文档、网络系统的日志文件等。其次,对所收集到的信息进行分析处理,检测出这些信息是否存在异常情况,同时将检测的报告传送给控制台。最后,根据告警信息,控制台将采取相应的防护措施,比如改变文件属性、切断内网与外网间的联系、终止进程以及重新设置路由器和防火墙。
2.3防病毒技术
就是监测计算机系统是否存在异常请求与非法操作的一项安全技术,一旦发现系统有安全隐患或病毒特征码的资源,就会立即报警,然后通过清除或隔离的方式,来降低病毒对计算机系统的干扰。不管是单机型系统或网络型防病毒软件,都具有自动更新病毒数据库、检测并清除病毒等功能。安装防病毒软件后,可以实现定时查杀病毒软件、定时更新病毒库、实时监测并保护计算机系统,从而有效降低病毒软件的影响。
2.4漏洞扫描技术
漏洞扫描技术是通过检测并收集目标主机请求,然后将收集的信息与数据库逐一匹配,从而找出目标主机脆弱性的检测技术。通过漏洞扫描技术能够实现定位、分析目标系统的漏洞与安全隐患,以便网络管理者进行修复,同时还能定期进行安全评估,有效避免病毒入侵,实现防护、修复功能,形成多层安全保护体系,有效降低了系统被攻击的危险,提高了网络系统的稳定性。
2.5采用数据加密技术
通过加密技术来避免计算机数据丢失。数据加密技术主要确保计算机系统内的口令、文件以及数据等的安全。数据加密的对象主要是网络传输中的数据流。一般采用的方法有:端对端与线路加密两种。其中端对端加密就是设置用户权限、区分用户资格,避免用户非法存取数据,这一技术通常用于网络操作系统以及NT技术中,在系统中可以设置用户权限,以达到保护计算机数据,避免信息泄露的目的。线路加密则是通过加密模块或加密法转换等方法实现,侧重的是对线路的加密,不考虑信源和信终,是对传输信息通过加密密匙来实现安全保护。此外还有数据存储加密,这种加密技术侧重的是存储过程的保护,避免数据信息在存储环节上失密,其中又分为存取控制和密文存取。
结语:
总之,计算机网络系统安全问题是一项综合性的课题,需要综合考虑用户实际需求以及网络安全需求,结合实际情况合理选用网络防护技术,管理者也要积极配合,进而形成一套完善的安全防护系统,有效避免了外来病毒的侵害,从而更好的服务于社会各个行业。
参考文献:
[1]姚相振.2015年RSA大会网络安全热点议题[J].信息技术与标准化,2015(06):11-13.[2]王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程,2015(01):209-210.[3]张建华.关于计算机网络安全防护技术的探讨[J].计算机光盘软件与应用,2014,12(26):5628-5629.
第三篇:计算机网络安全与防护
计算机网络安全与防护
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,计算机信息和资源也很容易受到黑客的攻击,甚至是后果十分严重的攻击,诸如数据被人窃取,服务器不能提供服务等等。因此,网络和信息安全技术也越来越受到人们的重视,由此推动了防火墙、入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。防火墙技术作为网络安全的重要组成部分,格外受到关注。本文就网络安
全、防火墙的种类以及防火墙技术在现实中的应用等进行简要的介绍。
一、计算机网络和计算机网络安全的概念
计算机网络是计算机科学发展到一定阶段的产物,是由计算机系统和终端设备,通过线路连接形成的,实现了用户远程通信和资源的共享,而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。
互联网是通过TCP/IP协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流,但正如引言中所指出的,网络的发展也带来安全方面的问题,例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题,需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。计算机的安全是指计算机信息系统和信息资源不受自然和人为有害因素的威胁和危害。计算机安全的范围包括实体安全、运行安全、数据安全、软件安全和通信安全等。实体安全主要是指计算机硬件设备和通信线路的安全,其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全,其威胁主要来自信息被破坏和信息被泄漏。当前信息安全方面存在的主要问题是计算机病毒、计算机黑客、传输线路和设备的电辐射等。
二、计算机网络的安全漏洞
网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,而且受到攻击后的伤害是严重的,诸如数据被人窃取,服务器不能正常提供服务等等。其所以会受到攻击,是因为存在着如下漏洞。
(1)口令
计算机网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
(2)协议
互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,例如只能对主机地址进行认证,而不能对用户进行认证就是一个漏洞。通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击者就可利用被授权的主机与服务器通信,对系统进行攻击。其在通信前先设置好一台被信任的主机,与某主机有相同的名字和IP地址,然后建立联系,使服务器认为它是真正的用户,而从容地进行信息窃取活动。因此,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。
再如,由于IP技术过多考虑的是性能,而对安全性就消弱了许多,使得黑客捕获目标IP地址不是一件复杂的事情,其实这是很危险的。黑客可利用IP和客户软件的漏洞使远程用户瞬间死机。为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
(3)操作系统和应用软件
网络操作系统和应用软件也存在着安全漏洞,特别是在传统的UNIX操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。另外,许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
(4)互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击。此外,网关还需根据IP地址和端口数据对每一包进行滤波,使互联网的网关成为防火墙的一部分。
三、防火墙技术简介
由于计算机网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DoS攻击、DdoS攻击和碎片攻击等等。为了防止计算机网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙是实现网络安全策略的重要组成部分。
(1)防火墙要解决的安全问题
防火墙要解决的安全问题分为两大类:
1、被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。
在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
2、自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)防火墙的关键技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。
1、包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
2、代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
第四篇:浅析计算机网络安全防护措施
浅析计算机网络安全防护措施
摘要:计算机网络由于其特有的性质使其容易受到黑客的攻击,这也给网络安全防护提出了新的要求。本文从计算机网络安全的现状入手,探讨了其目前存在的问题,并提出了相应的安全技术措施以抵御黑客的攻击,文章还针对几个常见的网络攻击,提出了防护措施及合理化建议,希望能对加强计算机网络安全起到一定的作用。
关键词:计算机;网络安全;防护措施;木马;病毒;攻击;安全概论
计算机网络的快速迅猛发展,给人们的日常生活带来了深远的影响。随着人们对计算机网络的不断使用。网络的安全性已经变得越来越重要。各种电脑病毒造成的大规模网络安全攻击事件给全球的互联网和军事情报网、商业带来了重大冲击,网络病毒传播速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机网络的时代。计算机网络技术的发展,打破了传统意义上的信息传递概念,是一种跨时代的飞跃。相对的,计算机网络的安全性也至关重要,所以,各种保密手段和防黑客技术也在新的世纪得到突飞猛进的进展。掌握一定的网络安全防护技术已经变得相当重要。网络安全定义
网络安全牵扯到多种学科的多个方面,采用各种技术手段,使网络系统中的软硬件和信息数据等受到全面监护,从而不会被盗取,维持网络数据的完整性。计算机网络安全现状
3.1 恶意代码。如今恶意代码问题主要体现在政治、经济和军事上,已经成为网络安全面临的当务之急。通过系统漏洞、电子邮件等多种手段恶意代码在主机间大量相互传播,给国家和社会造成巨大的经济损失、安全危机和利益损害。
3.2 安全漏洞。操作系统和各种应用程序的漏洞花样繁多并且层出不穷,使得黑客攻击得得心应手,任何系统都有漏洞,攻击者们可以方便地从新闻组获取程序漏洞进行攻击。
3.3 黑客利用合法管理工具。用来改进系统管理及服务质量的电脑上存在的一些工具软件。本意是用来改进系统管理状态,但也会被黑客们用来收集非法信息及加强攻击力度。4 网络安全相关技术
4.1 防火墙技术。防火墙网络安全的重要保护依靠,是21世纪新兴的网络安全保护措施,为保证安全上网及信息不外泄,人们普遍采用为计算机配置防火墙的办法来保证网络安全。通过软件、硬件相补充,防火墙能在内外网之间搭建起一个“保护膜”,与电脑进行交互的各种通信都必须在此保护膜进行检查过滤,木马、病毒及可疑信息被屏蔽掉,可信信息可通过保护膜进行通信。
防火墙的作用主要有以下四点:(1)对通过它与电脑进行交互的网络信息进行检查并过滤扫描,将病毒、木马攻击过滤掉;(2)关闭不使用的端口,禁止特定端口的输出信息;(3)禁止来自特殊站点的访问,过滤掉不安全的服务和控制非法用户对网络的访问:(4)控制网络内部人员对网络特殊站点的访问。
4.2 计算机病毒防治技术。(1)杀毒软件:是用于消除病毒、伊木马和恶意软件的一类
软件。具有监控识别、病毒扫描清除和自动升级等功能,是计算机防御系统的重要组成部分。网络版杀毒软件可以对局域网内所有计算机进行病毒查杀,保证局域网系统安全。(2)防毒墙:传统防火墙不能满足企业安全防护的需要,而防毒墙作为一类高端杀毒设备,适合于大型网络,在网关处进行查毒作业。目前比较知名的防毒墙有卡巴斯基、瑞星、驱逐舰、cp防毒墙。
4.3 入侵检测技术。入侵检测是指通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析,通过对网络传输的监控,检测网络或系统中是否有违反安全策略的行为和遭受袭击的迹象,并对此进行日志记录和采取相应措施,使病毒无法进入个人用户计算机,避免信息丢失的一种安全技术。
作为一种积极主动的安全防护技术,入侵检测技术提供了对内外攻击和误操作的实时保护,极大地方便了网络管理,尽管目前在技术上仍有许多为克服的问题,但随着科学技术的发展,入侵检测技术也会不断成熟更新。
4.4 漏洞扫描技术。所谓漏洞扫描技术,是利用系统自动检测本地计算机或者远程主机安全缺口的技术。它主要是通过安全扫描程序具体实现的,可以迅速且准确得在较大范围内发现系统的薄弱环节,在黑客攻击之前发现并修补漏洞。
4.5 密码技术。密码技术是基于密码学的原理上发展起来的,其中密码体制是密码技术中最为核心的一个概念。一个密码体制被定义为一对数据变换。对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。常见的网络攻击及其防范对策
5.1 特洛伊木马。特洛伊木马程序在个人电脑中隐藏一个会在系统启动时自动运行的程序,用户在上网时,木马便可以控制你的电脑。该程序是一段额外的恶意操作编码,附加在正常程序中。含有木马的程序在执行时,实际上暗地执行了用户不希望的程序。该木马生命力非常顽强,它能够不断复制并插入到未被感染的程序中,逐渐使电脑瘫痪,黑客通过特洛伊木马读写没有授权的文件,并可以获得计算机的掌控权。
避免在程序中隐藏特洛伊木马的主要方法是,对新生成的文件进行数字签名,然后通过对运行文件的数字签名的检查来判断文件是否被植入木马。对发现的木马通过编辑win.ini文件更改木马文件,检查注册表,并在注册表中将木马程序删除;若下载到可疑程序后应该立即拒绝执行,运用杀毒软件查杀完以后再运行。另外,用户不要随便从网站上下载软件,经常检查自己的系统文件、注册表,提高自己的网络安全意识。
5.2 邮件炸弹。电子邮件炸弹是发信人通过匿名的电子邮件地址,不断重复性的将电子邮件邮寄给同一个邮箱地址,就像是战争时期用某个战争工具对同一地方进行疯狂攻击,因此被称作邮件炸弹。通过电邮炸弹,黑客将被攻击者的电子邮箱全部用垃圾邮件占满,造成邮件服务器拒绝响应请求或执行任务服务,造成网络连接丢失、系统崩溃。
避免邮件炸弹的一个简单实现就是,在以太网中安置一个嗅探器(Sniffer),借助嗅探器管理人员可以诊断出大量单个主机需不断不可见的问题;通过路由器的配置,选择性获取电子邮件。
5.3 过载攻击。过载攻击是黑客攻击者通过服务器发出大量无用请求,在过载攻击中,一个共享的资源或者服务由于需要处理大量的请求,以至于无法满足从其他用户到来的请求。
防止过载攻击的措施主要有:手动杀死一些耗时的进程;限制单一用户所使用的进程的最大数量。但是都存在负面作用,两种方法都会使用户的正常的请求得不到电脑系统的正常响应。电脑系统管理人员可以使用网络地址列表和监视工具来发现过载攻击,也可以通过路由器或前面介绍的防火墙来发现攻击来源;在公共资源中,划分计算机中的资源,限制单个用户的使用量。结语
随着计算机在人类生活中的广泛应用,越来越多的计算机病毒传播、计算机网络非法入侵事件、计算机信息数据丢失问题造成巨大的国民经济损失,甚至危害国家的安全。因此网络安全问题已经受到人们的普遍重视,由此带来的工种问题必须给予及时的解决。网络安全不能仅仅依靠杀毒防毒技术发展。在研究技术的同时,电脑使用者也要加强网络安全防范措施,增加网络安全教育,提高安全意识。避免因为自己的失误,造成一些不必要的损失。
第五篇:·网络安全与防护
摘要: 随着互联网技术以及信息技术的飞速发展,网络安全技术已经影响到社会的政治、经济、文化和军事等各个领域。网络技术的成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。安全性是互联网技术中很关键的也是很容易被忽略的问题。曾经,许多的组织因为在使用网络的过程中未曾意识到网络安全性的问题,直到受到了资料安全的威胁,才开始重视和采取相应的措施。可以举例我们身边的例子,如网上银行。用户可能没有意识到网络存在木马程序的现象,未经检查软件的安全性就放心使用,其结果自然是损失惨重了。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。
关键词:网络;安全;防范
引言
现今这个高速信息化的时代里,网络作为计算机技术发
展到一定阶段的必然产物,在生产生活中越来越发挥出主导和支配性作用。网络的开放性和共享性在方便人们交换信息的同时,多节点的结构使网络也越来越容易受到攻击。因此,网络和信息安全技术也越来越受到人们的重视。
如何才能解决网络安全问题,避免网络环境遭到攻击,使网络得到良性发展,我们就要了解目前网络安全可能存在的各种安全风险、网络安全防范的定义和范围以及在网络环境下如何应对这些不可控的风险。
1网络安全的含义及特征
1.1 含义网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。
网络安全的内容远不只是防范黑客和病毒,它包括着广泛的规则和惯例。网络的安全内容由数据的安全性和通信的安全性内容组成。数据的安全性具体内容包括阻止对数据的非授权的访问、转移、修改和破坏。通信的安全性要求在通信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对通信安全性信息采用物理安全性措施。
1.2 特征网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。
2网络安全现状分析
网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整
性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。3网络安全解决方案
要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
4网络安全是一项动态、整体的系统工程。
网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术:
①防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。②防火墙技术。通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。③入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。④安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。⑤网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。⑥安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全
作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
5结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。参考文献:
[1]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[4]张世永.网络安全原理与应用[M].出版社.
[5]李明之.网络安全与数据完整性指南[M].机械出版社.