第一篇:计算机网络安全问题分析
计算机网络安全问题分析
郑培红 周刚
摘要: 计算机网络安全问题已成为当今信息时代的研究热点。当前的网络存在着计算机病毒、计算机黑客攻击等等问题。本文介绍了当前的计算机网络面临的威胁, 而后介绍到计算机网络安全的特征, 最后给出几点意见。
关键词: 计算机网络安全;黑客;病毒
一、引言 世纪全世界的计算机都将通过Internet 联到一起, 信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范, 而且还从一种专门的领域变成了无处不在。当人类步入21 世纪这一信息社会、网络社会的时候, 我国建立起一套完整的网络安全体系, 特别是从政策上和法律上建立起有中国自己特色的网络安全体系。在当今网络化的世界中, 网络的开放性和共享性在方便了人们使用的同时, 也使得网络很容易受到攻击, 计算机信息和资源也很容易受到黑客的攻击, 甚至是后果十分严重的攻击, 诸如数据被人窃取, 服务器不能提供服务等等。因此, 网络和信息安全技术也越来越受到人们的重视, 由此推动了入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。
计算机网络是计算机科学发展到一定阶段的产物, 是由计算机系统和终端设备, 通过线路连接形成的, 实现了用户远程通信和资源的共享, 而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。互联网是通过TCP/IP 协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流, 然而,网络的发展也带来安全方面的问题, 例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题, 需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。
二、计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种: 一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多, 针对网络安全的威胁主要有以下几种。
一是无意失误。如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的口令随意转借他人或与别人共享等都会对网络安全带来威胁。二是人为的恶意攻击。这是计算机网络所面临的最大威胁, 敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种: 一种是主动攻击, 它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击, 它是在不影响网络正常工作的情况下, 进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害, 并导致机密数据的泄漏。三是网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的, 而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标, 经常出现的黑客攻击网络内部的事件, 这些事件的大部分就是因为安全措施不完善所招致的苦果。
三、计算机网络安全问题的特征
(一)网络安全先天脆弱
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的, 换句话说, 安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中, 网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷, 又要保证网络安全, 这是一个非常棘手的“两难选择”, 而网络安全只能在“两难选择”所允许的范围中寻找支撑点。因此, 可以说世界上任何一个计算机网络都不是绝对安全的。
(二)黑客攻击后果严重
近几年, 黑客猖狂肆虐, 四面出击, 使交通通讯网络中断, 军事指挥系统失灵, 电力供水系统瘫痪, 银行金融系统混乱--危及国家的政治、军事、经济的安全与稳定, 在世界各国造成了难以估量的损。
(三)网络杀手集团化
目前, 网络杀手除了一般的黑客外, 还有一批具有高精尖技术的“专业杀手”, 更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”, 其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说, 由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前, 美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外, 为达到预定目的, 对出售给潜在敌手的计算机芯片进行暗中修改, 在CPU 中设置“芯片陷阱”, 可使美国通过因特网发布指令让敌方电脑停止工作, 以起到“定时炸弹”的作用。
(三)破坏手段多元化
目前,“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”, 更多的是采取借助工具软件对网络发动袭击, 令其瘫痪或者盗用一些大型研究机构的服务器, 使用“拒绝服务”程序, 如TFN 和与之相近的程序等, 指挥它们向目标网站传输远远超出其带宽容量的垃圾数据, 从而使其运行中断。多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且, 黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上, 然后, 在电脑主人根本不知道的情况下“借刀杀人”。总之, 影响网络安全的两大方面: 一是来自外部网络的安全问题。二是来自内部网络的安全问题。
四、加强计算机网络的安全防范措施
(一)提高思想认识
近年来, 中国的网络发展非常迅速, 同时, 中国的网络安全也越来越引起人们的关注, 国家权威部门曾对国内网站的安全系统进行测试, 发现不少单位的计算机系统都存在安全漏洞, 有些单位还非常严重, 随时可能被黑客入侵。当前, 世界各国对信息战十分重视, 假如我们的网络安全无法保证, 这势必影响到国家政治、经济的安全。因此, 从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。
(二)健全管理制度
任何网站都不是绝对安全的, 值得一提的是, 当前一些单位在急忙赶搭“网络快车”时, 只管好用, 不管安全, 这种短视必然带来严重的恶果, 与“网络恐怖分子”的较量是一场“没有硝烟的战争”, 是高科技的较量, 是“硬碰硬”的较量。根据这一情况, 当前工作的重点, 一是要狠抓日常管理制度的落实, 要把安全管理制度落实到每一个环节中;二是要加强计算机从业人员的行业归口管理, 对这些人员要强化安全教育和法制教育, 建立人员管理档案并进行定期的检查和培训;三是要建立一支反黑客的“快速反应部队”, 同时加快加紧培养高水平的网络系统管理员, 并尽快掌握那些关键技术和管理知识。
(三)强化防范措施
一般来说, 影响计算机网络安全的因素很多, 但目前最主要的因素是接受电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施: 1 切实保护电子邮件的安全
第一, 要做好邮件帐户的安全防范。一定要保护好邮箱的密码。入网帐号与口令应该是需要保护的重中之重, 密码要取得有技巧、有难度, 密码最好能有多位数, 且数字与字母相间, 中间还可以允许用特殊符号。对于比较重要的邮件地址不要随便在网上暴露。第二, 将邮件信息加密处理。如使用A-LOCK, 在发送邮件之前对内容(复制到粘贴板上)进行加密。对方收到这种加密信件之后也必须用A-LOCK 来进行解密才能阅读信件。即使有人截获了邮件信息, 看到的也是一堆毫无意义的乱码。第三, 防止邮件炸弹。下面介绍几种对付电子邮件炸弹的方法: ① 过滤电子邮件。凡可疑的E-MAIL 尽量不要开启: 如果怀疑信箱有炸弹, 可以用邮件程序的远程邮箱管理功能来过滤信件, 如国产的邮件程序Foxmail。在进行邮箱的远程管理时, 仔细检查邮件头信息, 如果发现有来历可疑的信件或符合邮件炸弹特征的信件, 可以直接把它从邮件服务器上删除。② 使用杀毒软件。一是邮件有附件的话, 不管是谁发过来的, 也不管其内容是什么(即使是文档, 也往往能成为病毒的潜伏场所, 像著名的Melissa), 都不要立即执行, 而是先存盘, 然后用杀毒软件检查一番, 以确保安全。二是注意目前网上有一些别有用心的人以网站的名义, 让你接受他们通过邮件附件推给你的软件(多半是木马S 端), 并以种种借口要求你立即执行。对此, 凡是发过来的任何程序、甚至文档都应用杀毒软件检查一番。③ 使用转信功能。用户一般都有几个E-mail 地址。最好申请一个容量较大的邮箱作为收信信箱。对于其它各种信箱, 最好支持转信功能的, 并设置转信到大信箱。所有其它邮件地址的信件都会自动转寄到大信箱内, 可以很好地起到保护信箱的作用。第四, 申请邮件数字签证。数字签证不但能够保护邮件的信息安全, 而且通过它可以确认信件的发送者。最后要注意对本地的已收发邮件进行相应的删除处理。2 切实保障下载软件的安全
对于网络软件, 需要指出的是: 一方面, 网上大多数的信息都是干净的, 但也确实有一部分受到“污染”, 尤其是黑客和“网络恐
怖分子”利用各种方法在网上扩散病毒、木马等以制造混乱, 而且手段十分狡猾、隐蔽, 很容易中了他们的圈套。另一方面, 由于因特网的迅捷与无所不在, 各式病毒、木马的传播速度和传播范围达到了前所未有的程度。因此我们对下载软件和接受的E-MAIL 决不可大意。下载软件时应该注意:第一, 下载软件应尽量选择客流大的专业站点。大型的专业站点, 资金雄厚, 技术成熟, 水平较高, 信誉较佳, 大都有专人维护,安全性能好, 提供的软件问题较少。相比之下, 那些小型的个人站点所提供的软件出问题的机率较高。第二, 从网上下载来软件要进行杀毒处理。对下载的任何软件, 不要立即使用,WORD 文档也不宜直接打开, 而应先用杀毒软件检测一番, 进行杀毒处理。杀毒软件应当始终保持最新版本, 最好每月升级一次。第三, 防止染上“木马”。一旦染上木马后, 它就会给你的Windows 留下后门, 秘密监视网络信息, 一旦发现远方控制指令, 就会秘密地予以回应, 可以让远方的控制者掌握对机器的完全控制权。此后在你完全不知的情况下, 远方的侵入者可以随时在因特网上无限制地访问你的计算机, 因此它的危害是不言而喻的。最简便有效的预防措施是, 避免启动服务器端(S 端)。消除木马的具体操作是, 首先拜访注册表, 获取木马的装入信息, 找出S 端程序放于何处。然后先将注册表中的木马配置键删掉, 重新启动计算机, 再将程序也删掉。21 世纪人类步入信息社会后, 网络安全技术成为信息网络发展的关键技术, 信息这一社会发展的重要战略资源需要网络安全技术的有力保障, 才能形成社会发展的推动力。在我国, 信息网络安全技术的研究和产品开发仍处于起步阶段, 有大量的工作需要我们去研究、开发和探索。我们只有走有中国特色的防火墙技术发展之路, 以超常规的思路和超常规的措施, 赶上和超过发达国家的水平, 才能保证我国信息网络的安全, 推动我国国民经济的高速发展。
第二篇:浅谈计算机网络安全问题
1引言
随着计算机网络技术的发展,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。
2网络安全的重要性
在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。
由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
3网络安全的理论基础
国际标准化组织(ISO)曾建议计算机安全的定义为:“计算机系统要保护其硬件、数据不被偶然或故意地泄露、更改和破坏。”为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange book,正式名称为“可信计算机系统标准评估准则”),对多用户计算机系统安全级别的划分进行了规定。
桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。
D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬件软件都易被侵袭。
C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。
C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。
B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。
B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。
B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系
统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。
在网络的具体设计过程中,应根据网络总体规划中提出的各项技术规范、设备类型、性能要求以及经费等,综合考虑来确定一个比较合理、性能较高的网络安全级别,从而实现网络的安全性和可靠性。
4网络安全应具备的功能
为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:
(1)访问控制:通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(2)检查安全漏洞:通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
(3)攻击监控:通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
(4)加密通讯:主动地加密通讯,可使攻击者不能了解、修改敏感信息。
(5)认证:良好的认证体系可防止攻击者假冒合法用户。
(6)备份和恢复:良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
(7)多层防御:攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
(8)设立安全监控中心:为信息系统提供安全体系管理、监控、保护及紧急情况服务。5网络系统安全综合解决措施
要想实现网络安全功能,应对网络系统进行全方位防范,从而制定出比较合理的网络安全体系结构。下面就网络系统的安全问题,提出一些防范措施。
5.1物理安全
物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。
最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑。
网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。
5.2访问控制安全
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
(1)口令
网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
(2)网络资源属主、属性和访问权限
网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都有可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
(3)网络安全监视
网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉
住IP盗用者、控制网络访问范围等。
(4)审计和跟踪
网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成:一是记录事件,即将各类事件统统记录到文件中;二是对记录进行分析和统计,从而找出问题所在。
5.3数据传输安全
传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:
(1)加密与数字签名
任何良好的安全系统必须包括加密!这已成为既定的事实。网络上的加密可以分为三层:第一层为数据链路层加密,即将数据在线路传输前后分别对其进行加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是传输层的加密,使数据在网络传输期间保持加密状态;第三层是应用层上的加密,让网络应用程序对数据进行加密和解密。当然可以对这三层进行综合加密,以增强信息的安全性和可靠性。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它主要通过加密算法和证实协议而实现。
(2)防火墙
防火墙(Firewall)是Internet上广泛应用的一种安全措施,它可以设置在不同网络或网络安全域之间的一系列部件的组合。它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护。
(3)User Name/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
(4)使用摘要算法的认证
Radius(远程拨号认证协议)、OSPF(开放路由协议)、SNMP Security Protocol等均使用共享的Security Key(密钥),加上摘要算法(MD5)进行认证,但摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,所以敏感信息不能在网络上传输。市场上主要采用的摘要算法主要有MD5和SHA-1。
(5)基于PKI的认证
使用PKI(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
(6)虚拟专用网络(VPN)技术
VPN技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样:
① 要保护的主机发送明文信息到连接公共网络的VPN设备;
② VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。③ 对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。
④ VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
⑤ VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备的IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
⑥ 当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上设置NetScreen防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。一方面,可以实现对上网用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
第三篇:计算机网络安全问题浅析论文
毕业论文
论文题目: 计算机网络安全问题浅析
专 业: 计算机信息管理 作 者: 韩子厚 学 校: 天津城市建设管理职业技术学院 指导教师:
2011年 月 日
目录
内容摘要.............................................................2 计算机网络安全.......................................................3
第一章 方案目标......................................................3 第二章 安全需求......................................................3 第三章 风险分析......................................................4 第四章 解决方案......................................................4 参考文献............................................................11 致谢................................................................12
内容摘要
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
关键词 互联网 网络安全 远程服务 编程 数据
计算机网络安全
第一章 方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低; 2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失; 4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
第二章 安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
第三章 风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
第四章 解决方案
4.1 设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; 5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。4.2 安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
2.采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)NAT技术:隐藏内部网络信息。
(3)VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec):采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5)认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。4.3 防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。4.3.1 物理安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这是政府、军队、金融机构在兴建信息中心时首要的设置的条件。
为保证网络的正常运行,在物理安全方面应采取如下措施:
1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统。
3.防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机。
4.保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。4.3.2 防火墙技术
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监视了内部网络和Internet之间地任何活动,保证了内部网络地安全;在物
理实现上,防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统,也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构:
(1)屏蔽路由器:又称包过滤防火墙。
(2)双穴主机:双穴主机是包过滤网关的一种替代。(3)主机过滤结构:这种结构实际上是包过滤和代理的结合。(4)屏蔽子网结构:这种防火墙是双穴主机和被屏蔽主机的变形。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。4.3.2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。4.3.2.2 网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只
是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。4.3.2.3 代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
4.3.2.4 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品,虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开
始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。相关性:毕业论文,免费毕业论文,大学毕业论文,毕业论文模板 4.3.3 入侵检测
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为
是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:
1.监视、分析用户及系统活动; 2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警; 4.异常行为模式的统计分析; 5.评估重要系统和数据文件的完整性;
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。4.4 安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。针对以上问题和网管人员的不足,下面介绍一系列比较重要的网络服务。包括:
4.4.1 通信伙伴认证
通信伙伴认证服务的作用是通信伙伴之间相互确庥身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式,一种是检查一方标识的单方认证,一种是通信双方相互检查对方标识的相互认证。
通信伙伴认证服务可以通过加密机制,数字签名机制以及认证机制实现。4.4.2 访问控制
访问控制服务的作用是保证只有被授权的用户才能访问网络和利用资源。访问控制的基本原理是检查用户标识,口令,根据授予的权限限制其对资源的利用范围和程度。例如是否有权利用主机CPU运行程序,是否有权对数据库进行查询和修改等等。访问控制服务通过访问控制机制实现。4.4.3 数据保密
数据保密服务的作用是防止数据被无权者阅读。数据保密既包括存储中的数据,也包括传输中的数据。保密查以对特定文件,通信链路,甚至文件中指定的字段进行。
数据保密服务可以通过加密机制和路由控制机制实现。4.4.4 业务流分析保护
业务流分析保护服务的作用是防止通过分析业务流,来获取业务量特征,信息长度以及信息源和目的地等信息。
业务流分析保护服务可以通过加密机制,伪装业务流机制,路由控制机制实现。
4.4.5 数据完整性保护
数据完整性保护服务的作用是保护存储和传输中的数据不被删除,更改,插入和重复,必要时该服务也可以包含一定的恢复功能。数据完整性保护服务可以通过加密机制,数字签名机制以及数据完整性机制实现 4.4.6 签字
签字服务是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。签字服务通过数字签名机制及公证机制实现。4.5 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“
可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献
[1] 韩希义, 计算机网络基础,北京高等教育出版社,2004 [2]徐敬东等, 计算机网络, 北京清华大学出版社,2002
[3]沈辉等, 计算机网络工程与实训,北京清华大学出版社,2002 [4] 褚建立等, 计算机网络技术实用教程,北京电子工业出版社,2003 [5] 刘化君, 计算机网络原理与技术,北京电子工业出版社,2005 [6] 谢希仁, 计算机网络, 北京电子工业出版社,1999 [7] 陆姚远, 计算机网络技术, 北京高等教育出版社,2000 [8] 刘习华等, 网络工程,重庆大学出版社,2004 [9] 彭澎, 计算机网络实用教程,北京电子工业出版社,2000 [10] 陈月波, 使用组网技术实训教程,北京科学出版社,2003 致谢
本研究及学位论文是在我的导师 副教授的亲切关怀和悉心指导下完成的。他严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我。从课题的选择到项目的最终完成,郑老师都始终给予我细心的指导和不懈的支持。两年多来,郑教授不仅在学业上给我以精心指导,同时还在思想、生活上给我以无微不至的关怀,在此谨向郑老师致以诚挚的谢意和崇高的敬意。
在此,我还要感谢在一起愉快的度过研究生生活的 各位同门,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。特别感谢我的师妹叶秋香同学,她对本课题做了不少工作,给予我不少的帮助。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!最后我还要感谢培养我长大含辛茹苦的父母,谢谢你们!
第四篇:论当今计算机网络安全问题
计算机网络安全问题浅析
摘要:
随着科技的发展,互联网已经渗透到人们生活的各个领域之中,人们对计算机和网络的应用和依赖程度愈来愈高,信息化的社会对互联网的要求也越来越高,人们对计算机的使用,已不是简单的运算,与此同时计算机网络的问题也就凸现出来,计算机网络安全问题,直接关系到一个国家的政治、军事、经济等领域的安全和稳定,因此,网络安全是非常重要的问题,网络安全问题成为了人们在使用计算机中越来越重视的问题。
关键词:互联网 计算机 网络安全引言世纪的一些重要特征就是数字化、网络化和信息化,它是一个以网络为核心的信息时代。网络现已成为信息社会的命脉和发展知识经济的重要基础。网络是指“三网”,即电信网络、有线电视网络和计算机网络。发展最快的并起到核心作用的是计算机网络。因特网起源于美国现已发展成为世界上最大的国际性计算机互联网,因特网又称国际互联网,是全球性的网络,是一种公用信息的载体,是大众传媒的一种。具有快捷性、普及性,是现今最流行、最受欢迎的传媒之一。这种大众传媒比以往的任何一种通讯媒体都要快。互联网是由一些使用公用语言互相通信的计算机连接而成的网络,即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络。
2计算机网络安全
2.1 互联网安全 互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。互联网安全是一门涉及计算机科学、网络技术、通
信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使网络系统在稳 定性和可扩充性方面受到影响。网络硬件的配置不协调主要表现为一是文件服务 器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量;网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而影响网络的可靠性、扩充性和升级换代;二是网卡用工作站选配不当导致网络不稳定,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员 滥用,从而给他人以可乘之机。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者进行破坏提供了机会。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞,不合理的网络设计会成为网络安全的威胁。
2.2 计算机信息安全
信息系统安全的内容应包括两个方面:物理安全和逻辑安全。物理安全指系 统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括确保信息的 完整性、保密性和可用性。在计算机网络中,根据国际标准化组织 ISO 的定义,信息系统安全就是为数据处理系统建立和采取的技术和管理的安全保护,保护计 算机的硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露,系统能 够连续可靠正常地运行,信息服务不中断。
2.2.1 计算机信息安全问题的成因
第一,电磁信号的辐射。目前网络通信中常用的传输电缆以及计算机、网络 设备都会因为电磁屏蔽不完善而通过电磁辐射向外泄露。第二,工作环境的安全 漏洞。包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程 中遗留的后门和陷门。第三,人为的恶意攻击。以各种方式有选择地破坏信息的 有效性和完整性,对计算机网络造成严重的危害,并导致机密数据的泄漏,这是 计算机网络所面临的最大威胁。第四,安全产品自身的问题。自身实现过程中的 安全漏洞或错误都将导致用户内部网络安全防范机制的失效。第五,网络软件的 缺陷和漏洞。
2.2.2 网络安全缺陷产生的原因
第一,TCP/IP 的脆弱性。由于 TCP/IP 协议是公布于众的,如果人们对 TCP/IP 很熟悉,就可以利用它的安全缺陷来实施网络攻击。第二,网络结构的不安全性。如果攻击者利用一台处于用户的数据流传输路 径上的主机,他就可以劫持用户的数据包。第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四,缺乏安全意识。人们普遍缺乏安全意识,使网络中设置的安全保护屏 障形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的 PPP 连接从而避开了防火墙的保护。
3网络安全的问题
3.1计算机网络安全的威胁
网络缺陷:正是由于 Internet 在全球范围内的普及,使其保护信息安全存在 先天不足,缺乏相应的安全监督机制。黑客攻击:现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。各种病毒:病毒时时刻刻威胁着整个互联网,促使人们不得不在网络的各个 环节考虑对于各种病毒的检测防治。管理的欠缺及资源滥用:很多上互联网的企业在管理上存在漏洞,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,降低了员工的工作效率,这是造成网络安全问题的根本原因。信息泄露:恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、集体和个人利益。
3.2 计算机网络安全问题
计算机网络受攻击主要有六种形式:①内部窃密和破坏。②截收信息。③非法访问。④利用 TCP/IP 协议上的某些不安全因素进行APR欺骗和IP欺骗攻击。⑤病毒破坏。⑥其 它网络攻击方式。目前网络环境中广泛采用的TCP/IP协议,因为其开放性,故其本身就意味着一种安全风险。由于大量重要的应用程序都以TCP作为 它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。网络结构的安全问题。互联网上大多数数据流都没有进行加密,因此黑客利 用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所 固有的安全隐患。系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全 问题,因为对于防火墙来说,该入侵行为的访问过程和正常的Web访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。4 计算机网络安全防范
4.1 安全技术手段 物理措施:例如,保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒,安装网络防病毒系统。
其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕网络安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限,从而保护网络资源。其他安全技术包括密钥管理、数字签名、认证技术、智能卡技术和访问控制等等。
4.2 防火墙技术
防火墙通过在网络边界上建立网络安全监测系统,对流经它的网络通信进行扫描,能够 有效隔离内部和外部网络,确定允许哪些内部服务访问外部服务,以及允许哪些 外部服务访问内部服务,以阻挡来自外部网络的入侵和攻击。现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统 防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
4.3 计算机网络安全的相关技术
数据加密技术,加密技术是信息安全技术的核心,是一种主动的信息安全 防范措施,信息加密技术是其他安全技术的基础,加密技术是指通过使用代码或 密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的 不可理解的密文形式,对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。
入侵检测技术,入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS 被认为是 防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前检测到入侵 攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻 击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
防病毒技术,随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机 信息系统构成的威胁也越来越大。在病毒防范中普遍使用的防病毒软件,从功能 上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装 在单台 PC 机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检 测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者 从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
网络安全扫描技术,网络安全扫描技术是网络安全领域的重要技术之一。利用安全扫描技术,可以对局域网络、Web 站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务 攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是 否存在安全漏洞和配置错误。安全建议
采用防火墙与防病毒技术以提高网络安全性,通过防火墙在网络边界上建立起来的通信监控系统来隔离内部和外部网络,可以实现局域网与广域网、内网与外网有效地分隔,以阻挡外部网络的侵入,从而实施安全访问控制,提高检察信息网的安全性。安装网络版防病毒软件,加强 病毒检测,及时发现病毒并予以清杀,可有效阻止其在网络上蔓延和破坏。
运用网络加密技术,网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种: ①链接加密。②节点加密。③首尾加密。网络加密技术是网络安全最有效的技术之一,既可以对付恶意软件攻击,又可以防止非授权用户的访问。
加强计算机网络访问控制,访问控制是网络安全防范的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全 控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。
加强设备的安全监管,对入网的硬件设备和软件,统一由网络安全技术部门严格把关,对涉及网络安全的核心设备可列入政府专项,由专业人员把关统一购买安装。建立健全管理 制度,防止非法用户进入计算机控制室和各种非法行为的发生,并定期的对运行环境条件进行检查、测试和维护。对于传输线路,要定期检查连接情况,以检测 是否有搭线窃听、非法外连或破坏行为。
加强网络安全教育,加强网络安全教育对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操 作技能; 教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
设置网络权限,将检察机关内部计算机维护权限与操作权限、数据权限分开,根据检察机关 业务的不同,程序将自动分配其使用权限。设置访问权限可以让用户有效地完成工作,同时又能控制用户对服务器资源的访问,从而加强网络和服务器的安全性。
参考文献
[1]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002
[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.[3]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.[4]王达.网管员必读——网络安全[M].北京:电子工业出版社,2007.[5]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,2012.[6] 于峰.计算机网络与数据通信.北京.中国水利水电出版社,2003
[7]谢希仁.计算机网络(第 5 版)[M].北京:电子工业出版社,2008.[8] 张水平.计算机网络及应用.西安.西安交通大学出版社,2002
[9] 陈浩.Internet上的网络攻击与防范[J] .电信技术.1998.[10] 雷震甲.网络工程师教程.[M].北京:清华大学出版社,2004
[11]王其良,高敬瑜.计算机网络安全技术[M].北京大学出版社,2006.11.[12] 宋乃平、文桦.Internet网络安全管理[J] .天中学刊.2002.
第五篇:军队计算机网络信息安全问题及对策
军队计算机网络信息安全问题及对策
摘 要 :随着我军信息化建设步伐的不断加快,计算机网络技术在部队的应用口趋广泛。但从整体情况看,我军的网络信息安全还存在很多问题,网络安全工作明滞后于网络建设。针对现阶段军队网络安全存在的问题,从网络安全技术及网络安全管理两方面提出了相应的解决对策。
关键词 :军队信息化建设;计算机网络;信息安全
随着个球信息化建设的高速发展,网络中接入信息基础设施的数量不断增加,信息系统软件建设水平日益提高和完善,计算机网络信息的安个问题变得日益突出和重要根据US-CERT(United States ComputerEmergency Readiness Teat组织的统计,从1998午到2002午期IRl,该组织登记网络安个事故的数量午增长率超过50%。根据由国家信息安个报告”课题组编《国家信息安个报告》书,如果将信息安个分为9个等级,我国的安个等级为5.5,安个形势分严峻我军网络信息安个形势也同样小容乐观,兵的信息安个意识淡薄、信息安个技术落后、信息安个管理制度小完善、计算机网络安个防护能力较弱。这此存在于军队计算机网络中的安个隐患问题如果小能很好解决,小但会引起军队人量泄密事件和网络被攻击事件的发生,更会严重影响到作为高科技作战辅助手段的计算机网络技术在军队信息化建设中的推广和应用,甚至会成为我军未来信息化战争中的死穴”,直接影响战争的结果。此分析现阶段我军的网络安个存在的问题,并找出相应的对策,对当前我军计算机网络安个的建设和发展及把握未来战争形态具有分重要的意义。1现阶段军队计算机网络信息安全存在的问题 1.1计算机网络安个技术问题
(1)缺乏自主的计算机网络软、硬件核心技术。我国信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库、网关软件人多依赖进口。信息设备的核心部分CPU山美国和我国台湾制造;我军计算机网络中普遍使用的操作系统来自国外,这此系统都存在人量的安个漏洞,极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患;计算机网络中所使用的网管设备和软件绝人多数是舶来品,在网络上运行时,存在着很人的安个隐患。这素使军队计算机网络的安个性能人人降低,网络处于被窃听、十扰、监视和欺诈等多种安个威胁中,网络安个处于极脆弱的状态。
(2)长期存在被病毒感染的风险。现代病毒可以借助文件、由日件、网贞等诸多力式在网络中进行传播和蔓延,它们具有自启动功能,‘常‘常潜入系统核心与内存,为所欲为。军用计算机日_受感染,它们就会利用被控制的计算机为平台,破坏数据信息,毁损硬件设备,阻塞整个网络的正常信息传输,甚至造成整个军队计算机网络数据传输中断和系统瘫痪。
(3)军事涉密信息在网络中传输的安个可靠性低。隐私及军事涉密信息存储在网络系统内,很容易被搜集而造成泄密。这此涉密资料在传输过程中,山于要经过许多外节点,且难以查证,在任何中介节点均可能被读取或恶意修改,包括数据修改、重发和假冒。网络中可能存在某节点在非授权和小能监测力式下的数据修改,这此修改进入网中的帧并传送修改版本,即使采用某此级别的认证机制,此种攻击也能危及可信节点间的通信。重发就是重复份或部分报文,以便产生个被授权效果。当节点拷贝发到其他节点的报文并又重发他们时,若小能监测重发,日的节点会执行报文内容命令的操作,例如报文的内容是关闭网络的命令,则将会出现严重的后果。假冒是网络中个实体假扮成另个实体收发信息,很多网络适配器都允许网帧的源地址山节点自己来选取或改变,这就使冒充变得较为容易。
(4)存在来自网络外部、内部攻击的潜在威胁。网络中台无防备的电脑很容易受到局域网外部的入侵,修改硬盘数据,种下木马等。入侵者会有选择地破坏网络信息的有效性和完整性,或伪装为合法用户进入网络并占用人量资源,修改网络数据、窃取、破译机密信息、破坏软件执行,在中间站点拦截和读取绝密信息等。在网络内部,则会有此非法用户冒用合法用户的口令以合法身份登录网站后,查看机密信息,修改信息内容及破坏应用系统的运行。有非法用户还会修改自己的IP和人IAC地址,使其和合法用户IP和MAC地址样,绕过网络管理员的安个设置。1.2信息安个管理问题
在军队网络建设中,高投入地进行网络基础设施建设,而相应的管理措施却没有跟上,在网络安个上的投资也是微乎其微。有此领导错误地认为,网络安个投资只有投入却小见直观效果,对军队教育训练影响小大。因此,对安个领域的投入和管理远远小能满足安个防范的要求。而旦安个上出了问题,又没有行之有效的措施补救,有的甚至是采取关闭网络、禁比使用的消极手段,根本问题依然得小到实质性的解决。
国家和军队出台了系列信息网络安个保密的法规,女匡中华人民共和国计算机信息系统安个保护条例计算机信息网络国际联网保密管理规定)X(中国人民解放军计算机信息网络国际联网管理暂行规定》等,这此法规的出台从定程度上规范了军事信息网络安个的管理,但还小能满足军事信息网络安个管理的发展需求。网络运行管理机制存在缺陷,军队网络安个管理人才匾乏,安个措施小到位,出现安个问题后缺乏综合性的解决力案,整个信息安个系统在迅速反应、快速行动和预防范等主要力而,缺少力向感、敏感度和应对能力。在整个网络运行过程中,缺乏行之有效的安个检查和应对保护制度。
网络管理和使用人员素质小高、安个意识淡薄。据调查,目前国内90%的网站存在安个问题,其主要原因是管理者缺少或没有安个意识。军事计算机网络用户飞速增长,然而大多数人员网络知识掌握很少,安个意识小强,经常是在没有任何防范措施的前提下,随便把电脑接入网络;在小知情的情况下将带有保密信息的计算机连入因特网,或使用因特网传递保密信息;对数据小能进行及时备份,经常造成数据的破坏或丢失;对系统小采取有效的防病毒、防攻击措施,杀毒软件小能及时升级。2加强军队计算机网络安全的对策
解决军队计算机网络中的安个问题,关键在于建立和完善军队计算机网络信息安个防护体系。总体对策是在技术层而上建立完整的网络安个解决力案,在管理层而上制定和落实套严格的网络安个管理制度。
2.1网络安个技术对策
(1)采用安个性较高的系统和使用数据加密技术。美国国防部技术标准把操作系统安个等级分为Dl, Cl, C2, B1, B2, B3, A级,安个等级由低到高。目前主要的操作系统等级为C2级,在使用C2级系统时,应尽量使用C2级的安个措施及功能,对操作系统进行安个配置。在极端重要的系统中,应采用B级操作系统。对军事涉密信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安个保证。在传发保存军事涉密信息的过程中,小但要用加密技术隐藏信息内容,还要用信息隐藏技术来隐藏信息的发送者、接收者甚至信息本身。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹和标竿等技术手段可以将秘密资料先隐藏到般的文件中,然后再通过网络来传递,提高信息保密的可靠性。
(2)安装防病毒软件和防火墙。在主机上安装防病毒软件,能对病毒进行定时或实时的病毒扫描及漏洞检测,变被动清毒为主动截杀,既能查杀未知病毒,又可对文件、邮件、内存、网页进行个而实时监控,发现异常情况及时处理。防火墙是硬件和软件的组合,它在内部网和外部网间建立起个安个网关,过滤数据包,决定是否转发到目的地。它能够控制网络进出的信息流向,提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节l匀。它还可以帮助军队系统进行有效的网络安个隔离,通过安个过滤规则严格控制外网用户非法访问,并只打开必须的服务,防范外部来的拓绝服务攻击。同时,防火墙可以进行时间安个规则变化策略,控制内网用户访问外网时间,并通过设置IP地址与MAC地址绑定,防比目的IP地址欺骗。更重要的是,防火墙小但将大量的恶意攻击直接阻挡在外而,同时也屏蔽来自网络内部的小良行为,让其小能把某此保密的信息散播到外部的公共网络上去。
(3)使用安个路由器和虚拟专用网技术。安个路由器采用了密码算法和加/解密专用芯片,通过在路由器主板上增加安个加密模件来实现路由器信息和IP包的加密、身份鉴别和数据完整性验证、分布式密钥管理等功能。使用安个路由器可以实现军队各单位内部网络与外部网络的互联、隔离、流量控制、网络和信息安个维护,也可以阻塞广播信息和小知名地址的传输,达到保护内部信息化与网络建设安个的目的。目前我国自主独立开发的安个路由器,能为军队计算机网络提供安个可靠的保障。建设军队虚拟专用网是在军队广域网中将若十个区域网络实体利用隧道技术连接成个虚拟的独立网络,网络中的数据利用加/解密算法进行加密封装后,通过虚拟的公网隧道在各网络实体间传输,从而防}卜未授权用户窃取、篡改信息。
(4)安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量个防御体系是否完整有效的重要因素。入侵检测的软件和硬件共同组成了入侵检测系统。强大的、完整的入侵检测系统可以弥补军队网络防火墙相对静态防御的小足,可以对内部攻击、外部攻击和误操作进行实时防护,当军队计算机网络和系统受到危害之前进行报拦截和响应,为系统及时消除威胁。网络诱骗系统是通过构建个欺骗环境真实的网络、主机,或用软件模拟的网络和主机),诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后,将攻击重定向到该严格控制的环境中,从而保护实际运行的系统;同时收集入侵信息,借以观察入侵者的行为,记录其活动,以便分析入侵者的水平、目的、所用上具、入侵手段等,并对入侵者的破坏行为提供证据。
2.2网络安个管理对策
(1)强化思想教育、加强制度落实是网络安个管理上作的基础。搞好军队网络安个管理上作,首要的是做好人的上作。个军官兵要认真学习军委、总部先后下发的有关法规文件和安个教材,更新军事通信安个保密观念,增强网络安个保密意识,增长网络安个保密知识,提高网络保密素质,改善网络安个保密环境。还可以通过举办信息安个技术培训、组织专家到基层部队宣讲网络信息安个保密知识、举办网上信息战知识竟赛”等系列活动,使广大官兵牢固树立信息安个领域没有和平期”的观念,在4个人的大脑中筑起军队网络信息安个的防火墙”
(2)制定严格的信息安个管理制度。设立专门的信息安个管理机构,人员应包括领导和专业人员。按照小同任务进行分上以确立各自的职责。类人员负责确定安个措施,包括力针、政策、策略的制定,并协调、监督、检查安个措施的实施;另类人员负责分上具体管理系统的安个上作,包括信息安个管理员、信息保密员和系统管理员等。在分上的基础上,应有具体的负责人负责整个网络系统的安个。确立安个管理的原则: 是多人负责原则,即在从事4项安个相关的活动时,必须有两人以上在场;一是任期有限原则,即任何人小得长期担任与安个相关的职务,应小定期地循环任职;三是职责分离原则,如计算机的编程与操作、机密资料的传送和接收、操作与存储介质保密、系统管理与安个管理等上作职责应当由小同人员负责。另外,各单位还可以根据自身的特点制定系列的规章制度。如要求用户必须定期升级杀毒软件、定期备份重要资料,规定军用计算机小得随意安装来路小明的软件、小得打开陌生邮件,对违反规定的进行处理等等。
(3)重视网络信息安个人才的培养。加强计算机网络指挥人员的培训,使网络指挥人员熟练通过计算机网络实施正确的指挥和对信息进行有效的安个管理,保证部队的网络信息安个。加强操作人员和管理人员的安个培训,主要是在平时训练过程中提高能力,通过小间断的培训,提高保密观念和责任心,加强业务、技术的培训,提高操作技能;对内部涉密人员更要加强人事管理,定期组织思想教育和安个业务培训,小断提高人员的思想素质、技术素质和职业道德。积极鼓励广大官兵研究军队计算机网络攻防战的特点规律,寻找进入和破坏敌力网络系统的力法,探索竭力阻比敌力网络入侵,保护己力网络系统安个的手段。只有拥有支训练有素、善于信息安个管理的队伍,才能保证军队在未来的信息化战争中占据主动权