第一篇:计算机网络安全之宽带网络安全与防护
西北民族大学电气工程学院《计算机网络安全》论文
宽带网络安全与防护
(电气工程学院2008级电子信息工程2班郭彩茹)
摘要:随着网络技术的发展,以及电脑和互联网的广泛应用,网络规模日渐庞大,网络结构也日趋复杂,这使得网络安全问题变得越来越重要。近年来电子商务、电子政务等数据业务的出现和兴起,使得对宽带网络的安全保障和防护能力提出了更高的要求。因此,宽带网络的安全建设与保障已经成为能够影响宽带运营的重要因素。对于宽带运营企业来讲,安全问题已经对企业发展产生重要的影响。众所周知,Internet的开放性和共享性不可避免地导致网络的安全性将受到严重影响,为了使宽带数据业务如电子商务、电子政务良好的开展,网络安全已成为宽带网络建设的核心问题。而网络安全建设的关键是保证网络数据业务的安全。所谓网络安全建设是指数据信息的保密性、完整性、可靠性、可用性、实用性和占有性。
关键词:宽带网络;安全问题;防护方法
1引言
互联网高速发展的今天,越来越多的用户使用了宽带接入互联网的方式。宽带对应的安全问题日益突出,帐户被盗、密码丢失、系统被黑等系列问题又带来了多级代理、恶意盗号、非法充网络游戏币值等更多更严重的问题。下面我们来看看宽带的安全问题以及涉及到的防护方法。
2盗用宽带帐号及密码问题
这个问题由来已久,只是大家心照不宣,没有把这个问题拿到台面上说。其实这个问题很大程度是由于电信验证以及宽带业务的不同种类引起的。
2.1旧病用新药:宽带帐号的盗用
带拨号用户的认证方式主要有PPPOE和WEB认证两种。PPPOE采用先认证,后分配IP的方式,需注意,如果是包月制,采用PPPOE方式不能解决对非法用户的远程停、开机,这些用户可盗用他人帐号及密码上网,采用WEB认证方式也解决不了这个问题。目前国内的宽带用户大多是基于PPPOE的DSL用户,当终端接入INTERNET时需要拨号验证,而验证的用户名及密码是在用户办理宽带业务时取得,由于电信出于管理原因,这个帐号及密码有很大规律可循:用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,猜解这个帐号及密码非常容易。
宽带用户对帐号密码更根本没有安全意识,甚至某些宽带安装人员也对用户-1-
说,宽带密码不存在安全问题,只有你的电话能用。久而久之,这个隐性问题非常普遍,去找到一个宽带账号非常容易。我曾经测试编写专用程序猜解宽带账号,判定条件是猜出来的帐号密码匹配,测试时间是凌晨2点,半小时内找到了100多个帐号可以使用,其结果是惊人的。
2.2 电信的政策
这个问题也还是根源于电信的政策,目前电信的宽带验证过程如下:第一,你的电话必须办理了宽带业务,物理上线路是可用的。第二,你在拨号时用的用户名及密码是匹配的。
我们来看看第二点:用户名及密码匹配,就是说只要是一对用户名和密码,即使这个用户名密码不和你的线路匹配,你一样可以通过电信的机房设备认证,拨号分得IP连上网。去年的时候笔者在全国的各个城市验证过,同一时间同一个帐号及密码可以几个人一起使用。今年电信作了调整,同一帐号及密码在同一时间只能有一个用户使用。遵循先入为主原则,这样就会引起账号盗用问题。因为ADSL数据信号与普通电话语音信号走不同的频段,而且使用ADSL上网的时候并不经过电话交换机,所以没有办法根据电话号码查出来是谁在盗用你的帐号及密码,这样的后果其实很严重,也就是说使用你的帐号及密码接入网络后一切违法后果均由帐号及密码办理人承担,因为最终确立责任是查找电信的宽带业务记录。
2.3盗用别人帐号和密码的原因
前边我们说了,盗用者必须也办理宽带业务,那么可能有人会问,既然已经办理宽带业务了,还盗用别人的帐号及密码?原因有三:第一,为了隐藏身份。这种情况黑客居多或其它有恶意得破坏者居多。第二,一些办理按流量上网的人可以不受流量限制使用宽带。一个办理按流量上网的宽带用户可以使用其它的办理包月的宽带用户的帐号及密码而不受流量限制,其结果是正当包月用户的权益受损。这样电信记录的是包月上网用户的上网记录,而不是按流量上网的用户的记录。第三,当使用他人帐号及密码拨号后,可以支付一些游戏的点卡购买的网上交易业务。最后这点引起的问题尤其严重,要引起我们的注意。
有城市开通了帐号及密码捆绑业务,可以去电信营业厅办理捆绑业务,这样你的宽带账号只能在你申请宽带的线路上使用(即你的宽带账号只能通过你本身的ADSL/LAN线路拨号上网),无需再担心账号被他人盗用而影响你的正常使用。目前,申请了捆绑业务的宽带用户不到总用户的百分之十,一方面是由于宽带用户的安全意识不强,另一方面由于这项业务不是所有城市都开通了。目前我们最重要的是形成安全意识,保管好自己的宽带帐号及密码,往往帐号及密码泄露是由于所有者本人造成的。定期修改密码和设置强口令也是必须做的,当我们都形
成了这种安全意识,不法者的生存空间也就少了。
3不被注意的角落:路由器的安全
使用路由器,或带路由功能的猫时,当用户不使用路由方式上网,MODEM只工作在二层以下,只起到桥接作用,完成对MAC帧的SAR功能和物理层透传功能,电脑上的拨号软件完成拨号的过程,公网IP由拨号电脑获得。
3.1 使用路由功能时的情况
我们看看使用路由功能时的情况,现在相当部分用户为了上网方便,打开了MODEM的路由功能,把宽带账号输入到MODEM中,让MODEM完成拨号的过程。在这种方式下公网IP地址分配给MODEM,然后通过路由器作为网关来实现上网。大多数带路由功能的MODEM都提供了Web和Telnet等配置方式供用户使用,这些MODEM的端口80、23默认打开。那么他人可以远程就能访问到你的MODEM的配置页面,然后查看存放用户名、密码一页的HTML源代码,就可以看到明文的用户名和密码。
3.2 实例说明
首先我们启动流光,由于这是大家比较熟悉的软件,这里不罗嗦使用方法,我这里用的是5.0,在其高级扫描选项选择一个网段,检查项目只选择FTP和Telnet,这样可以加快速度。选择好字典,开始扫描可以看到帐号及密码了吧?密码是星号,经验判断就是帐号内的电话号,查看网页的源码,验证猜想正确——这就是目前网上非常流行的充QQ币值的方法!
路由暴露的问题是目前普遍存在的,希望可以引起注意。目前主流的宽带路由器都支持FTP和Telnet访问,且大多数用户根本不修改其默认密码及端口,每个品牌的路由器都有默认密码,在网上很容易找到,这里也不公布了。使用宽带路由器时,在设置时一定要更改默认选项,尤其是默认密码,最好能把默认的FTP,Telnet默认端口也改了,或者不允许使用,因为往往是使用者的不当设置造成了安全隐患。
4操作系统的问题
4.1系统问题
另外系统问题很多,也让人苦笑不得,比如病毒木马引起的后门问题,系统本身空密码或者弱密码,没有打上最新的补丁等。回忆近几年来4星以上的病毒,诸如红色代码II,求职信,尼姆达等留有后门的病毒给我们留下的印象很是深刻。路由器问题和系统本身的问题往往又会引起宽带帐号泄露问题,这样就会形成一
个恶性循环。这些问题都应该引起我们的注意。
4.2 中国宽带网络发展的当务之急
安全看似遥远,其实就在你我身边。安全性往往取决要进攻的对象之所花费与为保护数据花费的一种动态平衡,只有建立在深度防御基础上的整体安全系统,才能有效地保护系统中每一个点的安全;才能有效地防止外界的非法入侵;也才能在发生故障的情况下,迅速找出最佳方法来恢复业务。总之,用户、运营商和网络安全商携起手来尽快采取积极有效的防护措施,已经成为中国宽带网络发展的当务之急。
5结束语
随着计算机技术和通信技术的发展,信息传输的手段发生了极大的变化。人们对各种业务的需求,也越来越提高,要求业务的种类越来越多样化,如语音、数据、图像等各种业务,使得多媒体业务的需求迅速上升。为了满足上述业务迅速上升的需求,这就要求网络建设向宽带化、智能化、综合化方向发展。使得宽带网络成为适应上述业务需求急待加快建设的一种网络。目前,全球每天有超过40种新的计算机病毒出现,累计已有8万种电脑病毒在流行;2002年平均每月有600种至700种新电脑病毒问世,黑客每年给全世界电脑网络带来的损失大约高达100多亿美元。今年年初,蠕虫病毒在短短的5天内就肆虐全球、至少造成了12亿美元的损失。而情人节前后迅速蔓延的“爱虫”病毒更是雪上加霜……
绿盟刘闻欢介绍,国内网络中最为常见的被攻击形式是服务入侵、拒绝服务和病毒感染,会分别导致页面信息被篡改,系统资源、网络资源、磁盘资源被占用,病毒大量复制传播等危害,使工作无法正常进行。对此,可以采取不同的安全措施,如加强网关的安全性来限制不明身份者的入侵,同时对于有漏洞的地方还要及时做补丁修整,加固防火墙的抗攻击程度等等,都可以在一定程度上免费防火墙被攻破。企业安装防火墙还可实现对进出网络的数据进行管理,安装反病毒软件监测电子邮件和Web流量,安装入侵控测软件随时监测来自外部的可能的攻击。
Cisco相关人员强调,只有建立在深度防御基础上的整体安全系统,才能有效地保护系统中每一个点的安全;才能有效地防止外界的非法入侵;也才能在发生故障的情况下,迅速找出最佳方法来恢复业务。总之,用户、运营商和网络安全商携起手来尽快采取积极有效的防护措施,已经成为中国宽带网络发展的当务之急。
那么我们作为一个独立的个体,怎么才能保护自己宽带的网络安全呢? 我认为:首先,也是最起码的,就是为你的administrator账号设一个密码(不
能太简单),因为这个账号是删不掉的,你即使不用也不能让密码空着。在实验的过程中我发现有好多用户平时可能用另外一个账号,密码倒是设了,但administrator的密码却是空的,那你岂不是白忙一场?
还有些用户administrator账号密码设了,但又开了几个密码为空的账号,这同样是危险的。记住,所有的可用账号都要设密码,而且要定时管理这些账号,关闭长期不用的账号,对于administrator账号最好是能经常更换密码。
安装一两个防火墙是好方法,但记住一定要对防火墙进行设置,因为一般预设里面对局域网主机是没有严密防范的,而你看到这里应该知道我们最需要防范的恰好是这些“局域网”主机。同时,防火墙本身也可能是有漏洞的,所以我用的是天网+Norton,这样交叉防范还是比较令我放心的。
还要提醒你的就是,作了这样防范之后,如果你的网络结构采用的是第一种方案,那么你的几台主机之间也不能共享了,因为这几台主机和本网段的其他主机是处在平等地位。所以你如果要建设自己的网络,考虑到安全性,建议你采用第二种方案,如果能用硬件路由器代替软路由那就更佳了。
参考文献
[1] 朗为民,雷承达.北京大学出版社.网络安全与防护基础教程.2005.07:15-105.[2] 闫宏生,王雪莉,杨军.电子工业.计算机网络安全与防护.2011.11:51-52.[3] 谢希仁.计算机网络.电子工业出版社.2010.07:32-33.[4] 袁津生,齐建东.人民邮电出版社.计算机网络安全基础.2008.03:49-52.[5] 张晓明.清华大学出版社.计算机网络教程.2010.09:65-67.
第二篇:计算机网络安全与防护
《计算机网络安全与防护》
计算机网络安全与防护
作者:某某君 日期:2010年6月
摘要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。
关 键 词:网络安全;黑客;病毒;防火墙;访问权限
计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确保网络系统的安全性,网络信息的保密性、完整性和可用性。
1网络安全面临的主要问题
计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面:
1.1网络黑客:指的是熟悉特定的电脑操作系统,并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。
1.2配置不当:安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70%的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。
1.3计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件
扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。
1.4安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。
2网络安全性的解决方法
2.1有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCP/UDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。
为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。
2.2制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。
防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。
为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。
2.3建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
2.4加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。
对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。
总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。
参考文献:
[1]孙学军,喻梅.《计算机网络》.电子工业出版社,2003
[2]郑再欣.“浅谈计算机网络安全及防范”.《广东公安科技》,2004
[3]徐翼超.“计算机网络安全问题初探”.《交通企业管理》,2004
第三篇:计算机网络安全及防护
摘要:
随着信息系统的不断发展,计算机网络系统已经扩散到了各个领域,且在其中扮演着重要角色,同时也对人们的日常生产带来了很大影响。但在计算机网络系统迅速发展的同时,也带来了安全隐患,严重威胁到了人们的经济财产安全,所以确保计算机网络系统正常运行,做好相应的防护工作至关重要。本文就计算机网络的安全及防护进行简要分析,希望对计算机网络系统的进一步发展有良好的促进作用。
关键字:安全防护;网络病毒;计算机系统
0引言
随着计算机技术的广泛传播,人类开始进入了信息化时代。社会各界也逐步提高了对网络技术的重视,依赖性越来越大。但由于计算机网络技术自身的局限性,致使网络信息平台安全性越来越低,从而给不法分子提供了机会。所以增强计算机网络系统的安全性,已经逐步成为了社会各界重点关注的话题。
1.威胁计算机网络安全的因素
1.1黑客攻击
网络攻击与网络监听是两种常见的黑客攻击方式,其攻击的手段很难让人察觉,不仅仅局限于卫星、微波、无线等几种通讯方式。网络攻击就是黑客利用系统漏洞、互联网协议、缓冲区溢出等各种攻击手段,占用网络系统的可用资源,最终造成系统崩溃、网络崩盘的局面,致使网络无法正常使用。而网络监听则是通过冰河、灰鸽子等病毒软件,在对方不注意的情况下,通过互联网进入对方电脑,待入侵成功后便轻松截取对方信息,可以说,一旦目标电脑被入侵便没有了秘密可言[1]。
1.2木马程序的威胁
木马程序与普通的计算机软件不同,它是通过远程操作控制目标主机。它可为攻击者提供入侵目标主机的捷径,可以在对方没有察觉的情况下,肆意获取目标主机的机密文件,甚至可以远程操作目标主机,给使用者带来严重的威胁。通常这种恶意程序是通过与其他程序捆绑、伪装或利用网站挂马的方式吸引目标下载执行,其隐蔽性及强,很难让人一眼看出。在当今网络开放的时代,木马程序极度泛滥,严重威胁网络用户的人身安全[2]。
1.3计算机病毒
所谓计算机病毒就是入侵者往计算机程序中插入了一段可以影响计算机使用,且能够自我复制的程序代码或者计算机指令,这种病毒具有潜伏性、传染性、寄生性和传染性的特点。因此这类病毒通常在数据传输、复制以及运行程序中传播,在日常使用中,光盘、硬盘、U盘等都是传播计算机病毒的主要途径。一些计算机病毒破坏性很大,比如熊猫烧香病毒等,它给网络运行带来了极大危害,严重影响了计算机网络的正常运行。
1.4系统漏洞的威胁
网络软件并不是百毒不侵的,其中存在着很多的缺陷与不足,各类软件与操作系统都是通过反复调试与编写才投入使用,即使这样其自身的结构与设计都会出现问题,不可能任何漏洞都没有,而这些漏洞就给计算机病毒与恶意程序提供了机会,使得计算机处于一种非常危险的境地,一旦联网,就有被入侵的可能[3]。
1.5内部的威胁
内部威胁主要来自于企业员工或离职人员,通常内部威胁要远远超过外部威胁。主要是因为企业员工是重要数据直接管理者,因为他们的安全意识淡薄,在网络平台上,缺少适当的安全防范措施,给非法分子提供了可乘之机,致使企业机密泄露,进而给企业带来严重的经济损失,同时也严重威胁到了个人信息安全。近几年企业内部威胁事故时有发生,已成为了企业安全管理的重要内容。
2.增强网络防护的有效措施
2.1防火墙技术
防火墙技术是当前应用最为广泛的一种网络安全防护技术,该技术的作用是控制网络访问,阻止非法进入内网,从而对内网资源进行保护。防火墙会对传输的数据包以及数据包中的信息进行逐一检测,确保其中的数据满足计算机系统的访问控制规则(目标端口、源端口、源地址等),如果满足,则允许通过,若不满足则会将数据包丢弃。当前已有的防火墙技术主要有三种包过滤防火墙、状态监测防火墙和应用代理防火墙三种。包过滤防火墙是通过对数据包中的信息进行匹配,实现对内网资源的保护;状态监测防火墙除了具有包过滤防火墙的功能外,还会对监测表的状态进行检测;而应用代理防火墙则是通过代理服务器先对即将访问的客户端进行检测,完成数据包信息的匹配,然后再根据数据信息的匹配结果决定是否可以访问服务器。防火墙技术的缺陷在于无法阻止内部网络用户造成的威胁,也无法有效地阻止传送携带病毒的文件和程序。
2.2入侵检测技术
入侵检测技术属于一种新兴的计算机安全防护技术,该技术是对数据加密和防火墙等传统技术的补充。入侵检测技术作用的发挥通常需要信息收集、分析和结果处理三个步骤。首先是对计算机网络、运行系统等数据信息进行收集,包括正在运行的程序、文档、网络系统的日志文件等。其次,对所收集到的信息进行分析处理,检测出这些信息是否存在异常情况,同时将检测的报告传送给控制台。最后,根据告警信息,控制台将采取相应的防护措施,比如改变文件属性、切断内网与外网间的联系、终止进程以及重新设置路由器和防火墙。
2.3防病毒技术
就是监测计算机系统是否存在异常请求与非法操作的一项安全技术,一旦发现系统有安全隐患或病毒特征码的资源,就会立即报警,然后通过清除或隔离的方式,来降低病毒对计算机系统的干扰。不管是单机型系统或网络型防病毒软件,都具有自动更新病毒数据库、检测并清除病毒等功能。安装防病毒软件后,可以实现定时查杀病毒软件、定时更新病毒库、实时监测并保护计算机系统,从而有效降低病毒软件的影响。
2.4漏洞扫描技术
漏洞扫描技术是通过检测并收集目标主机请求,然后将收集的信息与数据库逐一匹配,从而找出目标主机脆弱性的检测技术。通过漏洞扫描技术能够实现定位、分析目标系统的漏洞与安全隐患,以便网络管理者进行修复,同时还能定期进行安全评估,有效避免病毒入侵,实现防护、修复功能,形成多层安全保护体系,有效降低了系统被攻击的危险,提高了网络系统的稳定性。
2.5采用数据加密技术
通过加密技术来避免计算机数据丢失。数据加密技术主要确保计算机系统内的口令、文件以及数据等的安全。数据加密的对象主要是网络传输中的数据流。一般采用的方法有:端对端与线路加密两种。其中端对端加密就是设置用户权限、区分用户资格,避免用户非法存取数据,这一技术通常用于网络操作系统以及NT技术中,在系统中可以设置用户权限,以达到保护计算机数据,避免信息泄露的目的。线路加密则是通过加密模块或加密法转换等方法实现,侧重的是对线路的加密,不考虑信源和信终,是对传输信息通过加密密匙来实现安全保护。此外还有数据存储加密,这种加密技术侧重的是存储过程的保护,避免数据信息在存储环节上失密,其中又分为存取控制和密文存取。
结语:
总之,计算机网络系统安全问题是一项综合性的课题,需要综合考虑用户实际需求以及网络安全需求,结合实际情况合理选用网络防护技术,管理者也要积极配合,进而形成一套完善的安全防护系统,有效避免了外来病毒的侵害,从而更好的服务于社会各个行业。
参考文献:
[1]姚相振.2015年RSA大会网络安全热点议题[J].信息技术与标准化,2015(06):11-13.[2]王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程,2015(01):209-210.[3]张建华.关于计算机网络安全防护技术的探讨[J].计算机光盘软件与应用,2014,12(26):5628-5629.
第四篇:计算机网络安全与防护
计算机网络安全与防护
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,计算机信息和资源也很容易受到黑客的攻击,甚至是后果十分严重的攻击,诸如数据被人窃取,服务器不能提供服务等等。因此,网络和信息安全技术也越来越受到人们的重视,由此推动了防火墙、入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。防火墙技术作为网络安全的重要组成部分,格外受到关注。本文就网络安
全、防火墙的种类以及防火墙技术在现实中的应用等进行简要的介绍。
一、计算机网络和计算机网络安全的概念
计算机网络是计算机科学发展到一定阶段的产物,是由计算机系统和终端设备,通过线路连接形成的,实现了用户远程通信和资源的共享,而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。
互联网是通过TCP/IP协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流,但正如引言中所指出的,网络的发展也带来安全方面的问题,例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题,需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。计算机的安全是指计算机信息系统和信息资源不受自然和人为有害因素的威胁和危害。计算机安全的范围包括实体安全、运行安全、数据安全、软件安全和通信安全等。实体安全主要是指计算机硬件设备和通信线路的安全,其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全,其威胁主要来自信息被破坏和信息被泄漏。当前信息安全方面存在的主要问题是计算机病毒、计算机黑客、传输线路和设备的电辐射等。
二、计算机网络的安全漏洞
网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,而且受到攻击后的伤害是严重的,诸如数据被人窃取,服务器不能正常提供服务等等。其所以会受到攻击,是因为存在着如下漏洞。
(1)口令
计算机网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
(2)协议
互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,例如只能对主机地址进行认证,而不能对用户进行认证就是一个漏洞。通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击者就可利用被授权的主机与服务器通信,对系统进行攻击。其在通信前先设置好一台被信任的主机,与某主机有相同的名字和IP地址,然后建立联系,使服务器认为它是真正的用户,而从容地进行信息窃取活动。因此,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。
再如,由于IP技术过多考虑的是性能,而对安全性就消弱了许多,使得黑客捕获目标IP地址不是一件复杂的事情,其实这是很危险的。黑客可利用IP和客户软件的漏洞使远程用户瞬间死机。为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
(3)操作系统和应用软件
网络操作系统和应用软件也存在着安全漏洞,特别是在传统的UNIX操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。另外,许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
(4)互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击。此外,网关还需根据IP地址和端口数据对每一包进行滤波,使互联网的网关成为防火墙的一部分。
三、防火墙技术简介
由于计算机网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DoS攻击、DdoS攻击和碎片攻击等等。为了防止计算机网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙是实现网络安全策略的重要组成部分。
(1)防火墙要解决的安全问题
防火墙要解决的安全问题分为两大类:
1、被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。
在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
2、自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)防火墙的关键技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。
1、包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
2、代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
第五篇:浅析计算机网络安全防护措施
浅析计算机网络安全防护措施
摘要:计算机网络由于其特有的性质使其容易受到黑客的攻击,这也给网络安全防护提出了新的要求。本文从计算机网络安全的现状入手,探讨了其目前存在的问题,并提出了相应的安全技术措施以抵御黑客的攻击,文章还针对几个常见的网络攻击,提出了防护措施及合理化建议,希望能对加强计算机网络安全起到一定的作用。
关键词:计算机;网络安全;防护措施;木马;病毒;攻击;安全概论
计算机网络的快速迅猛发展,给人们的日常生活带来了深远的影响。随着人们对计算机网络的不断使用。网络的安全性已经变得越来越重要。各种电脑病毒造成的大规模网络安全攻击事件给全球的互联网和军事情报网、商业带来了重大冲击,网络病毒传播速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机网络的时代。计算机网络技术的发展,打破了传统意义上的信息传递概念,是一种跨时代的飞跃。相对的,计算机网络的安全性也至关重要,所以,各种保密手段和防黑客技术也在新的世纪得到突飞猛进的进展。掌握一定的网络安全防护技术已经变得相当重要。网络安全定义
网络安全牵扯到多种学科的多个方面,采用各种技术手段,使网络系统中的软硬件和信息数据等受到全面监护,从而不会被盗取,维持网络数据的完整性。计算机网络安全现状
3.1 恶意代码。如今恶意代码问题主要体现在政治、经济和军事上,已经成为网络安全面临的当务之急。通过系统漏洞、电子邮件等多种手段恶意代码在主机间大量相互传播,给国家和社会造成巨大的经济损失、安全危机和利益损害。
3.2 安全漏洞。操作系统和各种应用程序的漏洞花样繁多并且层出不穷,使得黑客攻击得得心应手,任何系统都有漏洞,攻击者们可以方便地从新闻组获取程序漏洞进行攻击。
3.3 黑客利用合法管理工具。用来改进系统管理及服务质量的电脑上存在的一些工具软件。本意是用来改进系统管理状态,但也会被黑客们用来收集非法信息及加强攻击力度。4 网络安全相关技术
4.1 防火墙技术。防火墙网络安全的重要保护依靠,是21世纪新兴的网络安全保护措施,为保证安全上网及信息不外泄,人们普遍采用为计算机配置防火墙的办法来保证网络安全。通过软件、硬件相补充,防火墙能在内外网之间搭建起一个“保护膜”,与电脑进行交互的各种通信都必须在此保护膜进行检查过滤,木马、病毒及可疑信息被屏蔽掉,可信信息可通过保护膜进行通信。
防火墙的作用主要有以下四点:(1)对通过它与电脑进行交互的网络信息进行检查并过滤扫描,将病毒、木马攻击过滤掉;(2)关闭不使用的端口,禁止特定端口的输出信息;(3)禁止来自特殊站点的访问,过滤掉不安全的服务和控制非法用户对网络的访问:(4)控制网络内部人员对网络特殊站点的访问。
4.2 计算机病毒防治技术。(1)杀毒软件:是用于消除病毒、伊木马和恶意软件的一类
软件。具有监控识别、病毒扫描清除和自动升级等功能,是计算机防御系统的重要组成部分。网络版杀毒软件可以对局域网内所有计算机进行病毒查杀,保证局域网系统安全。(2)防毒墙:传统防火墙不能满足企业安全防护的需要,而防毒墙作为一类高端杀毒设备,适合于大型网络,在网关处进行查毒作业。目前比较知名的防毒墙有卡巴斯基、瑞星、驱逐舰、cp防毒墙。
4.3 入侵检测技术。入侵检测是指通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析,通过对网络传输的监控,检测网络或系统中是否有违反安全策略的行为和遭受袭击的迹象,并对此进行日志记录和采取相应措施,使病毒无法进入个人用户计算机,避免信息丢失的一种安全技术。
作为一种积极主动的安全防护技术,入侵检测技术提供了对内外攻击和误操作的实时保护,极大地方便了网络管理,尽管目前在技术上仍有许多为克服的问题,但随着科学技术的发展,入侵检测技术也会不断成熟更新。
4.4 漏洞扫描技术。所谓漏洞扫描技术,是利用系统自动检测本地计算机或者远程主机安全缺口的技术。它主要是通过安全扫描程序具体实现的,可以迅速且准确得在较大范围内发现系统的薄弱环节,在黑客攻击之前发现并修补漏洞。
4.5 密码技术。密码技术是基于密码学的原理上发展起来的,其中密码体制是密码技术中最为核心的一个概念。一个密码体制被定义为一对数据变换。对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。常见的网络攻击及其防范对策
5.1 特洛伊木马。特洛伊木马程序在个人电脑中隐藏一个会在系统启动时自动运行的程序,用户在上网时,木马便可以控制你的电脑。该程序是一段额外的恶意操作编码,附加在正常程序中。含有木马的程序在执行时,实际上暗地执行了用户不希望的程序。该木马生命力非常顽强,它能够不断复制并插入到未被感染的程序中,逐渐使电脑瘫痪,黑客通过特洛伊木马读写没有授权的文件,并可以获得计算机的掌控权。
避免在程序中隐藏特洛伊木马的主要方法是,对新生成的文件进行数字签名,然后通过对运行文件的数字签名的检查来判断文件是否被植入木马。对发现的木马通过编辑win.ini文件更改木马文件,检查注册表,并在注册表中将木马程序删除;若下载到可疑程序后应该立即拒绝执行,运用杀毒软件查杀完以后再运行。另外,用户不要随便从网站上下载软件,经常检查自己的系统文件、注册表,提高自己的网络安全意识。
5.2 邮件炸弹。电子邮件炸弹是发信人通过匿名的电子邮件地址,不断重复性的将电子邮件邮寄给同一个邮箱地址,就像是战争时期用某个战争工具对同一地方进行疯狂攻击,因此被称作邮件炸弹。通过电邮炸弹,黑客将被攻击者的电子邮箱全部用垃圾邮件占满,造成邮件服务器拒绝响应请求或执行任务服务,造成网络连接丢失、系统崩溃。
避免邮件炸弹的一个简单实现就是,在以太网中安置一个嗅探器(Sniffer),借助嗅探器管理人员可以诊断出大量单个主机需不断不可见的问题;通过路由器的配置,选择性获取电子邮件。
5.3 过载攻击。过载攻击是黑客攻击者通过服务器发出大量无用请求,在过载攻击中,一个共享的资源或者服务由于需要处理大量的请求,以至于无法满足从其他用户到来的请求。
防止过载攻击的措施主要有:手动杀死一些耗时的进程;限制单一用户所使用的进程的最大数量。但是都存在负面作用,两种方法都会使用户的正常的请求得不到电脑系统的正常响应。电脑系统管理人员可以使用网络地址列表和监视工具来发现过载攻击,也可以通过路由器或前面介绍的防火墙来发现攻击来源;在公共资源中,划分计算机中的资源,限制单个用户的使用量。结语
随着计算机在人类生活中的广泛应用,越来越多的计算机病毒传播、计算机网络非法入侵事件、计算机信息数据丢失问题造成巨大的国民经济损失,甚至危害国家的安全。因此网络安全问题已经受到人们的普遍重视,由此带来的工种问题必须给予及时的解决。网络安全不能仅仅依靠杀毒防毒技术发展。在研究技术的同时,电脑使用者也要加强网络安全防范措施,增加网络安全教育,提高安全意识。避免因为自己的失误,造成一些不必要的损失。
![下载计算机网络安全之宽带网络安全与防护[五篇模版]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 