第一篇:计算机通信网络安全与防护措施分析
计算机通信网络安全与防护措施分析
摘要 计算机通信技术的发展革新为人类创造了一个新的文明形态,进入到网络时代的人们改变了原有的生活方式和习惯,享受着现代科技带来的成果。只是便利的存在都是带着危险性的,就犹如方便、快捷省时省力的计算机通信技术带给人们欣喜的同时,一个个鲜明的事例不断的警醒着人类,危险无处不在,计算机通信的安全性使人产生强烈质疑。那么如何正确的认识计算机通信安全问题,以及如何防护计算机通信网络不受侵扰,安全的运行就成了人们关心的焦点。
关键词 计算机通信;网络安全;安全防护
一、计算机通信安全的主要内容
1.信息安全的概述
计算机通信指的信息安全是计算机信息网络的软硬件和计算机系统的数据是安全的,不会遭受攻击、破坏、泄露,计算机能够正常的运行保证信息服务是连续可靠的。计算机的通信安全涉及到关于网络、计算机、密码技术和数论等等多种学科,是一项复杂而缜密的技术。
2.信息安全的重要性
计算机中的信息是一种资源,具有共享、增值、处理等特性。信息安全的意义就在于保护信息系统或者计算机网络中的资源不受到外界无意或者恶意的威胁,攻击,干扰,保证了数据的安全。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。在经济发展和科学进步的今天,社会对于更大容量、更快速度的信息需求日益增加,已经到了一种爆炸性的阶段。人们对计算机的依赖,把很多的工作都交付计算机完成,在信息的传递过程中,都存在着呗窃取、篡改、伪造和泄露的危险。例如很多敏感的信息,如在利用计算机进行网上银行的财务转账时、公司领导在交流重要商业信息的时、医生在管理患者的病历时都有可能被不法分子所盗取,对人们的生活造成很大的伤害。因此必须加强计算机通信的保密措施,必须综合管理和技术上的各种的应用和保护方法,达到信息安全的目的。
3.计算机的通信安全
计算机的通信安全指的是保证是以电磁信号为主要的传递形式,在传递中获得信息、处理信息和利用信息和在各个位置、区域和存储、传输的媒介中处于动态的和静态的过程中,信息是完整、安全、保密和可利用的。
二、计算机信息安全面临的威胁
计算机的信息安全常见的威胁有恶意的攻击、窃听、窃取信息、计算机病毒和非法访问等等主动的、被动的、常见的和潜在的多种威胁。一般有四种:
窃取计算机通信过程中的机密文件是指,没有经过允许的攻击者非法访问计算机内部,攻入计算机的信息传递网络中窃取信息。
计算机的恶意攻击包括拒接服务攻击和缓冲溢出攻击,破坏计算机的硬件、篡改计算机通信内容等等。
计算机病毒是为了达到某种非法目的而编制的错误计算机程序,它能在计算机的系统中存在,并且自我复制和病毒传播,导致受感染的计算机系统损失,甚至被计算机病毒的编制者控制,信息安全受到极大的威胁。
非法访问是指未经同意而进行计算机数据的口令破解或者对计算机信息进行IP欺骗,制造特洛伊木马等传播到受害者的计算机系统中,造成信息的安全隐患。
三、计算机通信安全的防护
计算机的通信安全是非常复杂而繁琐的问题,涉及到很到方面的知识融合,不仅包括技术,还有管理、政策、制度等安全的问题。
(一).计算机通信安全的技术防护措施
1.对计算机电磁波辐射的技术防范措施
1.1使用低辐射的计算机设备,这是防止计算机因为辐射而泄密的根本解决方法。
1.2根据所使用的计算机的辐射大小和环境,对计算机的机房和计算机内部的设备部件加以屏蔽,等到计算机各个元件检测安全了再开机操作。
1.3根据电子对抗原理,采取电子干扰的技术,利用电子干扰器产生的电磁噪声和信息辐射一起向外界散发,这样对计算机的辐射信号进行了干扰,增加接收和解读信息的难度,保护了计算机通信的安全。也可以将处理不同信息类型的计算机同时工作,尽管同样可以检测到信息,但是增加了解读的难度,使之成为成为不可识别的信息。
1.4把在重要的计算机通信中的房间的电源线、电话线等等线路进行适当的屏蔽,放置信息的滤波器。
2.对网络泄密的技术防范措施
2.1设置计算机的防火墙,位于两个网络之间形成屏障。按照工作人员事先设置好的定义规则来控制数据的进出。防火墙中能够利用过滤器查出数据的来源和目的位置,根据工作人员的要求选择接收或者拒绝;对传递的信息进行扫描,超找需要的数据;对传递的数据进行模式的检查等等功能。
2.2计算机的防火墙能够对入侵和攻击采取防御措施。防火墙按照工作人员的设置对数据进行检测、监听和报警,对违规的活动进行阻断或者其他用防御措施。
2.3计算机对用户的识别主要是核实用户口令,因此要严格安全检测、身份验证的技术。或者采用指纹识别、声音识别、视网膜图像识别等其他的特定识别技术。
2.4将计算机中的信息进行加密存储和特殊口令,这样就算窃取者进入了计算机系统也无法查看计算机中的信息内容,在通信过程中对数据二次加密或者伪装,使得窃取者对截取的信息无法识别。
2.5在计算机的通信中采用两个密钥加密,组合模式的加密是计算机通信中的首选安全技术,解开文件的密钥被另一个密钥加密这是一种双重的防护措施。
2.6对于计算机病毒,除了要有防火墙、认证和加密的措施以外,也需要对内容的检查进行防范。完善防火墙,使用反病毒软件,对系统程序的运行加上标签等。
3.对媒介的泄密的技术防范措施
3.1,将媒介中的信息进行加密处理,使得常规的操作不能查看文件。
3.2将计算机保存信息的磁盘、软盘等介质释放或者外借时,将介质进行彻底的消磁,并且再用其他信息进行重写,次数不少于三次,彻底将剩磁消除干净。
(二).计算机管理防范的措施
1.建立健全机房的管理制度,禁止无关人员进出机房,将机房尽量选择在有保安措施的地方。
2.对信息的使用权限进行控制。对计算机的数据信息进行分级加密,采取不同的管理措施,分为秘密信息,高密信息与一般信息。级数越高的信息,加密的措施越多,权限的设置也就越少。
3.计算机的信息分析人员和操作人员应该职责分离,知晓信息的人尽量减少
4.对计算机信息媒体要加强管理。装载有计算机信息的媒体在复制、打印、外界、存放的过程中要按照有关的规定进行。同一个媒体不要存储两种以上的信息,妥善的保存媒体和打印的文件包括废止。
5.对工作人员也要加强管理。树立牢固的保密观念,认识到保密的紧迫性和重要性,经常进行保密教育,制定奖惩制度完善管理制度。
四、法律的监督措施
我国已有的《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》都是国家对于信息安全的重视体现,要遵守国家对计算机信息的防范要求。总结
计算机的通信安全保障是一项极复杂又艰巨的长期的,需要全部网民共同参与的工程。不仅要做到对计算机通信安全技术的熟悉掌握,还需要融合各种知识,在大家的共同努力下,建立一个强大的,安全的,可以随时随地的对网络进行过滤和防护的系统。在不断的倡导计算机通信安全的同时,加强网民的法律意识,提高网民的道德素质和技术水平,全面的保证网络运行的畅通无忧。
参考文献
[1]韩燕丽;计算机安全解析[J];决策探索;2005年06期
[2]杨辉;;浅谈计算机病毒[A];陕西省气象学会2006年学术交流会论文集[C];2006年
[3]张明明;;企业计算机网络的安全与防护[A];中国烟草行业信息化研讨会论文集[C];2004年
[4]刘璐;认识计算机病毒 才能科学防范[N];中国保险报;2008年
[5]綦朝晖;计算机入侵取证关键技术研究[D];天津大学;2006年
[6]刘晶;基于风险控制的对病毒及反病毒的研究[D];东南大学;2005年
[7]周梅;张振楠;;计算机应用中的安全问题[J];中国中医药现代远程教育;2006年03期
[8]肖灿文;基于k-ary n-cube网络的高效通信[D];国防科学技术大学;2005年
第二篇:计算机通信网络安全与防护策略
计算机通信网络安全与防护策略
摘要:信息技术的进步带动了通信网络的发展,同时也给其带来了安全隐患,给计算机通信网络的安全提出了新的挑战。本文探讨了目前计算机通信网络中存在的安全问题,提出提高计算机通信网络安全的防护策略。
关键词:计算机通信 网络安全防护策略
近年来,随着互联网技术的迅速发展,信息化进程不断深入,网络化已经成为现代企业信息化的大势所趋,绝大多数网络资源将转化为共享资源。但是,紧随而来的计算机通信网络安全问题也日益突出,值得我们加以探讨。
1、计算机通信网络安全概述。
通信网络可以为计算机信息的获取、传输、处理、利用与共享提供一个高效、快捷、安全的通信环境与传输通道。计算机通信网络安全技术从根本上来说,就是通过解决通信网络安全存在的问题,来达到保护在网络环境中存储、处理与传输的信息安全的目的。计算机通信网的信息安全是指挥、控制信息安全的重要保证。随着通信网的一体化和互联互通,共享资源步伐的加快,在人类正在享受信息革命带来的巨大便利的同时也不得不面对因此而生的通信网络安全问题。通信网络安全的实质就是要保护计算机通讯系统或通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏,即保证通信信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。
2、计算机通信网络安全存在的原因。
2.1系统自身的问题
由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理,总是留有“窗口”或是“后门”,这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括以下几个方面。
2.1.1网络的开放性:网络系统的开放性和广域性设计使得数据的保密难度加大,其中还包括网络自身的布线以及通信质量而引起的安全问题。
2.1.2软件的漏洞:通信协议和通信软件系统不完善,给各种不安全因素的入侵留下了隐患。如果在使用通信网络的过程中,没有必要的安全等级鉴别和防护措施,便使得攻击者可以利用上述软件的漏洞直接侵入网络系统,破坏或窃取通信信息。
2.1.3脆弱的tcp/ip服务:因特网的基石是tcp/ip协议,该协议在设计上力求实效而没有考虑安全因素,因为那样将增大代码量,从而降低了tcp/ip的运行效率,所以说tcp/ip本身在设计上就有许多安全隐患。很多基于tcp/ip的应用服务如卿服务、电子邮件服务、ftp服务都在不同程度上存在着安全问题这很容易被一些对tcp/ip十分了解的人所利用。
2.2人为因素
内部人员泄密:有缺乏安全意识,无意识泄密的人员;也有利用合法身份进入网络,进行有目的破坏的人员。网络黑客:侵入网络的黑客恶意窃取、篡改和损坏数据,对网络构成极大威胁。“还有网上犯罪人员对网络的非法使用及破坏。计算机病毒:大量涌现的计算机病毒在网上极快的传播,给网络安全带来了巨大灾难。
2.3其他原因
还有诸如安全防范技术、可靠性问题和管理制度的不健全,安全立法的疏忽,以及不可抗拒的自然灾害以及意外事故的损害等。
3、网络安全问题的防护策略。
3.1对物理层的保护既然物理层的电磁泄露对网络信息安全存在着重大隐患,那么就要对信息的传输回路进行有效的整理保护,需要采取的措施主要有:①对传输电缆加金属予以屏蔽,必要时埋于地下或加露天保护;②传输线路应远离各种强辐射源,以免数据由于干扰而出错;③监控集中器和调制解调器,以免外连;④定期检查线路,以防搭线接听、外连或破坏;⑤端口保护,即采用专用保护设备,对远程终端等端口实施安全保护;⑥选用安全的网络拓扑结构设计和网络协议,如采用双路由或环形网络结构,可以保证整个网络不会由于局部的故障而瘫痪。
3.2强化网络安全教育,发挥人在网络安全上的作用。
要认识到计算机通信网安全的重要性,广泛开展网络安全研究,加强技术交流和研究,掌握新技术,确保在较高层次上处干主动。人员是网络安全管理的关键之一,人员不可靠,再好的安全技术和管理手段也是枉然,故计算机通信网络的安全管理必须充分考虑人的因素。加大网络管理人才的保留,加强各部门协作,加大高级网络技术人员的培养和选拔,使他们具有丰富的网络技术知识,同时也具有一定的实践经验,从而达到有效的防护网设。
3.3制定并认真贯彻实施网络安全策略。
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。应该从法规政策、管理、技术三个层次制定相应的策略,实现以下“五不”的目的: ①使用访问控制机制如身份鉴别,利用用户口令和密码等鉴别式达到网络系统权限分级,鉴别真伪,访问地址限制,如果对方是无权用户或是权限被限用户,则连接过程就会被终止或是部分访问地址被屏蔽,达到网络分级机制的效果。阻止非授权用户进人网络,即“进不来”,从而保证网络系统的可用性。②使用授权机制,利用网络管理方式向终端或是终端用户发放访问许可证书,防止非授权用户使用网络和网络资源。实现对用户的权限控制,即不该拿走的“拿不走”,同时结合内容审计机制,实现对网络资源及信息的可控性。③使用加密机制,使未授权用户“看不懂”,保证数据不会在设备上或传输过程中被非法窃取,确保信息不暴露给未授权的实体或进程,从而实现信息的保密性。④使用数据完整性鉴别机制,优化数据检查核对方式,保证只有得到允许的人才能修改数据,而其它人“改不了”,防止数据字段的篡改、删除、插入、重复、遗漏等结果出现,从而确保信息的完整性。⑤使用审计、监控、防抵赖等安全机制,使得攻击
者、破坏者、抵赖者“走不脱”,并进一步对网络出现的安全问题提供调查依据和手段,实现信息安全的可审查性。
3.4 利用防火墙来防范攻击。
计算机网络的最大特点是开放性、无边界性、自由性,因而要想实现网络的安全,最基本的方法就是把被保护的网络从开放的、无边界的网络环境中独立出来,使之成为可管理的、可控制的、安全的网络,实现这一目标最基本的分隔手段就是防火墙。防火墙是网络安全的第一道门槛,它的主要目标是控制入、出一个网络的权限,并迫使所有连接都经过这样检查,因此它具有通过鉴别、限制、更改跨越防火墙的数据流来实现对网络的安全保护。防火墙技术一般包括数据包过滤技术,应用网关和代理技术三大类。
参考文献:
[1]本文课题选自博圆期刊网
[1]冯登国.国内外信息安全研究现状及其发展趋势[j].网络安全技术与应用,2001.1:8一13.[2]张咏梅.计算机通信网络安全概述[j].中国科技信息,2006.4:71.[3]黄伟.网络安全技术及防护体系分析[j].微型电脑应用,2005.12:6一9.
第三篇:浅析计算机网络安全防护措施
浅析计算机网络安全防护措施
摘要:计算机网络由于其特有的性质使其容易受到黑客的攻击,这也给网络安全防护提出了新的要求。本文从计算机网络安全的现状入手,探讨了其目前存在的问题,并提出了相应的安全技术措施以抵御黑客的攻击,文章还针对几个常见的网络攻击,提出了防护措施及合理化建议,希望能对加强计算机网络安全起到一定的作用。
关键词:计算机;网络安全;防护措施;木马;病毒;攻击;安全概论
计算机网络的快速迅猛发展,给人们的日常生活带来了深远的影响。随着人们对计算机网络的不断使用。网络的安全性已经变得越来越重要。各种电脑病毒造成的大规模网络安全攻击事件给全球的互联网和军事情报网、商业带来了重大冲击,网络病毒传播速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机网络的时代。计算机网络技术的发展,打破了传统意义上的信息传递概念,是一种跨时代的飞跃。相对的,计算机网络的安全性也至关重要,所以,各种保密手段和防黑客技术也在新的世纪得到突飞猛进的进展。掌握一定的网络安全防护技术已经变得相当重要。网络安全定义
网络安全牵扯到多种学科的多个方面,采用各种技术手段,使网络系统中的软硬件和信息数据等受到全面监护,从而不会被盗取,维持网络数据的完整性。计算机网络安全现状
3.1 恶意代码。如今恶意代码问题主要体现在政治、经济和军事上,已经成为网络安全面临的当务之急。通过系统漏洞、电子邮件等多种手段恶意代码在主机间大量相互传播,给国家和社会造成巨大的经济损失、安全危机和利益损害。
3.2 安全漏洞。操作系统和各种应用程序的漏洞花样繁多并且层出不穷,使得黑客攻击得得心应手,任何系统都有漏洞,攻击者们可以方便地从新闻组获取程序漏洞进行攻击。
3.3 黑客利用合法管理工具。用来改进系统管理及服务质量的电脑上存在的一些工具软件。本意是用来改进系统管理状态,但也会被黑客们用来收集非法信息及加强攻击力度。4 网络安全相关技术
4.1 防火墙技术。防火墙网络安全的重要保护依靠,是21世纪新兴的网络安全保护措施,为保证安全上网及信息不外泄,人们普遍采用为计算机配置防火墙的办法来保证网络安全。通过软件、硬件相补充,防火墙能在内外网之间搭建起一个“保护膜”,与电脑进行交互的各种通信都必须在此保护膜进行检查过滤,木马、病毒及可疑信息被屏蔽掉,可信信息可通过保护膜进行通信。
防火墙的作用主要有以下四点:(1)对通过它与电脑进行交互的网络信息进行检查并过滤扫描,将病毒、木马攻击过滤掉;(2)关闭不使用的端口,禁止特定端口的输出信息;(3)禁止来自特殊站点的访问,过滤掉不安全的服务和控制非法用户对网络的访问:(4)控制网络内部人员对网络特殊站点的访问。
4.2 计算机病毒防治技术。(1)杀毒软件:是用于消除病毒、伊木马和恶意软件的一类
软件。具有监控识别、病毒扫描清除和自动升级等功能,是计算机防御系统的重要组成部分。网络版杀毒软件可以对局域网内所有计算机进行病毒查杀,保证局域网系统安全。(2)防毒墙:传统防火墙不能满足企业安全防护的需要,而防毒墙作为一类高端杀毒设备,适合于大型网络,在网关处进行查毒作业。目前比较知名的防毒墙有卡巴斯基、瑞星、驱逐舰、cp防毒墙。
4.3 入侵检测技术。入侵检测是指通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析,通过对网络传输的监控,检测网络或系统中是否有违反安全策略的行为和遭受袭击的迹象,并对此进行日志记录和采取相应措施,使病毒无法进入个人用户计算机,避免信息丢失的一种安全技术。
作为一种积极主动的安全防护技术,入侵检测技术提供了对内外攻击和误操作的实时保护,极大地方便了网络管理,尽管目前在技术上仍有许多为克服的问题,但随着科学技术的发展,入侵检测技术也会不断成熟更新。
4.4 漏洞扫描技术。所谓漏洞扫描技术,是利用系统自动检测本地计算机或者远程主机安全缺口的技术。它主要是通过安全扫描程序具体实现的,可以迅速且准确得在较大范围内发现系统的薄弱环节,在黑客攻击之前发现并修补漏洞。
4.5 密码技术。密码技术是基于密码学的原理上发展起来的,其中密码体制是密码技术中最为核心的一个概念。一个密码体制被定义为一对数据变换。对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。常见的网络攻击及其防范对策
5.1 特洛伊木马。特洛伊木马程序在个人电脑中隐藏一个会在系统启动时自动运行的程序,用户在上网时,木马便可以控制你的电脑。该程序是一段额外的恶意操作编码,附加在正常程序中。含有木马的程序在执行时,实际上暗地执行了用户不希望的程序。该木马生命力非常顽强,它能够不断复制并插入到未被感染的程序中,逐渐使电脑瘫痪,黑客通过特洛伊木马读写没有授权的文件,并可以获得计算机的掌控权。
避免在程序中隐藏特洛伊木马的主要方法是,对新生成的文件进行数字签名,然后通过对运行文件的数字签名的检查来判断文件是否被植入木马。对发现的木马通过编辑win.ini文件更改木马文件,检查注册表,并在注册表中将木马程序删除;若下载到可疑程序后应该立即拒绝执行,运用杀毒软件查杀完以后再运行。另外,用户不要随便从网站上下载软件,经常检查自己的系统文件、注册表,提高自己的网络安全意识。
5.2 邮件炸弹。电子邮件炸弹是发信人通过匿名的电子邮件地址,不断重复性的将电子邮件邮寄给同一个邮箱地址,就像是战争时期用某个战争工具对同一地方进行疯狂攻击,因此被称作邮件炸弹。通过电邮炸弹,黑客将被攻击者的电子邮箱全部用垃圾邮件占满,造成邮件服务器拒绝响应请求或执行任务服务,造成网络连接丢失、系统崩溃。
避免邮件炸弹的一个简单实现就是,在以太网中安置一个嗅探器(Sniffer),借助嗅探器管理人员可以诊断出大量单个主机需不断不可见的问题;通过路由器的配置,选择性获取电子邮件。
5.3 过载攻击。过载攻击是黑客攻击者通过服务器发出大量无用请求,在过载攻击中,一个共享的资源或者服务由于需要处理大量的请求,以至于无法满足从其他用户到来的请求。
防止过载攻击的措施主要有:手动杀死一些耗时的进程;限制单一用户所使用的进程的最大数量。但是都存在负面作用,两种方法都会使用户的正常的请求得不到电脑系统的正常响应。电脑系统管理人员可以使用网络地址列表和监视工具来发现过载攻击,也可以通过路由器或前面介绍的防火墙来发现攻击来源;在公共资源中,划分计算机中的资源,限制单个用户的使用量。结语
随着计算机在人类生活中的广泛应用,越来越多的计算机病毒传播、计算机网络非法入侵事件、计算机信息数据丢失问题造成巨大的国民经济损失,甚至危害国家的安全。因此网络安全问题已经受到人们的普遍重视,由此带来的工种问题必须给予及时的解决。网络安全不能仅仅依靠杀毒防毒技术发展。在研究技术的同时,电脑使用者也要加强网络安全防范措施,增加网络安全教育,提高安全意识。避免因为自己的失误,造成一些不必要的损失。
第四篇:计算机网络安全与防护
《计算机网络安全与防护》
计算机网络安全与防护
作者:某某君 日期:2010年6月
摘要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。
关 键 词:网络安全;黑客;病毒;防火墙;访问权限
计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确保网络系统的安全性,网络信息的保密性、完整性和可用性。
1网络安全面临的主要问题
计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面:
1.1网络黑客:指的是熟悉特定的电脑操作系统,并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。
1.2配置不当:安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70%的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。
1.3计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件
扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。
1.4安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。
2网络安全性的解决方法
2.1有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCP/UDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。
为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。
2.2制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。
防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。
为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。
2.3建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
2.4加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。
对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。
总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。
参考文献:
[1]孙学军,喻梅.《计算机网络》.电子工业出版社,2003
[2]郑再欣.“浅谈计算机网络安全及防范”.《广东公安科技》,2004
[3]徐翼超.“计算机网络安全问题初探”.《交通企业管理》,2004
第五篇:网络安全防护措施
网络安全防护措施
为保证做好我部门“政务信息公开”工作,做到非涉密政务信息100%公开,同时严格执行政务信息公开保密审核制度,则必须保障网络安全维护工作,配备必要的安全防护设施及工作,确保信息与网络安全。要做到以下几点:
一、防火墙
在外部网络同内部网络之间应设置防火墙设备。如通过防火墙过滤进出网络的数据;对进出网络的访问行为进行控制和阻断;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的监测和告警。禁止外部用户进入内部网络,访问内部机器;保证外部用户可以且只能访问到某些指定的公开信息;限制内部用户只能访问到某些特定的Intenet资源,如WWW服务、FTP服务、TELNET服务等;它是不同网络或网络安全域之间信息的惟一出入口,能根据各部门的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。使用硬件防火墙,管理和维护更加方便有效。防火墙技术的作用是对网络访问实施访问控制策略。使用防火墙是一种确保网络安全的方法。
二、网络漏洞扫描入侵者一般总是通过寻找网络中的安全漏洞来寻找入侵点。进行系统自身的脆弱性检查的主要目的是先于入侵者发现漏洞并及时弥补,从而进行安全防护。由于网络是动态变化的:网络结构
不断发生变化、主机软件不断更新和增添;所以,我们必须经常利用网络漏洞扫描器对网络设备进行自动的安全漏洞检测和分析,包括:应用服务器、WWW服务器、邮件服务器、DNS服务器、数据库服务器、重要的文件服务器及交换机等网络设备,通过模拟黑客攻击手法,探测网络设备中存在的弱点和漏洞,提醒安全管理员,及时完善安全策略,降低安全风险。
三、防病毒系统要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源,才能保证整个网络免除计算机病毒的干扰,避免网络上有害信息、垃圾信息的大量产生与传播。单纯的杀毒软件都是单一版系统,只能在单台计算机上使用,只能保证病毒出现后将其杀灭,不能阻止病毒的传播和未知病毒的感染;若一个用户没有这些杀毒软件,它将成为一个病毒传染源,影响其它用户,网络传播型病毒的影响更甚。只有将防毒、杀毒融为一体来考虑,才能较好的达到彻底预防和清除病毒的目的。
因此,使用网络防、杀毒的全面解决方案才是消除病毒影响的最佳办法。它可以将进出企业网的病毒、邮件病毒进行有效的清除,并提供基于网络的单机杀毒能力。网络病毒防护系统能保证病毒库的及时更新,以及对未知病毒的稽查。
四、要求办公全部使用内部网络系统,涉密文件数据传输必须加密,其目的是对传输中的数据流加密,数据存储加密技术目的是防止在存储环节的数据失密。防止非法用户存取数据或合法用户越权存取数据。各
办公室的涉密文件、资料、信息应设置安全保护,不得保存于未设置保密措施的计算机上。未经授权,不得随意访问别人的保密文档。对已标明“秘密”、“机密”、“绝密”密级标识的,或虽未标明密级但通过保密审查、审批程序鉴定为国家秘密、工作秘密的,以及未以保密审批、审查的信息,严禁在网上发布。严禁在外网环境下办公及存储文件和资料。
五、定期排查计算机使用情况,保证计算机的使用安全,内部网络环境下使用移动存储设备必须经过检测,确认其安全后方可使用。要提高网络运行的管理水平,有效地、全方位地保障网络安全。
点击咨询 