第一篇:商业银行计算机网络安全管理探讨(写写帮推荐)
于计算机网络具有联接形式的多样性、开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨行为的攻击。因此,计算机网络安全和网上信息的安全、保密是至关重要的问题。
一、计算机网络面临的风险
商业银行网络呈现分层次的拓扑结构,由于其涉及信息的敏感性,会成为内部和外部黑客攻击的目标。当前商业银行网络系统面临的主要风险和威胁有以下几方面。
1.非法访问
商业银行网络系统是个远程互连的金融网络系统,现有网络系统利用操作系统、网络设备的部分安全功能进行访问控制。控制强度相对较弱,攻击者可以从任何一个终端/主机利用现有大量攻击工具发起对主机的攻击。整个网络通过公用网络互连,存在搭接终端进行攻击的可能。攻击的结果可以控制主机,进行非法操作,并修改数据。
2.窃取PIN/密钥等敏感数据
部分商业银行网络系统采用软件加密的形式保护关键数据,并且采用了公开加密算法(DES)。安全的关键是对加密密钥的保护,而软件加密最大的安全隐患在于无法安全保存加密密钥。程序员可以修改程序使其运行时得到加密密钥(显示于屏幕上或写入文件中)。加密密钥一旦得到,攻击者就可以容易解密主机中的敏感数据。
3.截获和篡改传输数据
目前很多商业银行还没有自己的专用数据传输光纤,利用现有网络系统通过公网传输的大量信息,其加密措施简单;商业银行传输信息量大,采用近似开放的TCP/IP协议,不法分子或网络黑客可以很容易截获、分析甚至修改信息。网络或主机口令等敏感信息一旦被截获,主机系统就成为极易被攻击的对象。
4.假冒终端/操作员进行非法操作
目前商业银行开始进行网上业务运营,银行网络系统及各分支网络中心通过公网相连。商业银行内、外网不能进行物理隔离,通过假冒银行终端和操作员非法操作,在传输线路上搭接终端获取银行客户资料;采用口令攻击工具,通过分析口令文件等手段轻易攻破银行非法入侵防范系统,达到破坏银行运行系统,非法转移、侵占合法客户资金以及非法洗钱等目的。
5.其他网络安全风险
其他网络安全风险主要是指商业银行所使用操作系统和业务运行程序的安全性和稳定性不足;数据库以及网银所使用数据仓库的类型和安全配置不足以适应网络安全的要求;系统出现灾难时不能自动热备和数据资料备份不完整;恢复网络正常运行的时间间隔超过安全时效等风险。
二、计算机网络系统安全解决的原则
商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关,一个好的安全设计应该结合现有网络和业务特点并充分考虑发展需求。计算机网络是个分层次的拓扑结构,商业银行的网络安全防护要充分考虑分层次的拓扑结构特点,采取分层次的拓扑防护措施,达到网络安全措施覆盖每个层次,并根据数据交换特点以及运营设备和执行指令在整个系统运营中所
处的重要性不同,设置不同级别的防护措施。下面针对某些商业银行的网络系统,结合部分商业银行的网络和业务规划,谈商业银行计算机系统网络安全解决的原则。
1.实行分级防护的原则
商业银行的计算机网络大部分是分层次的,即总行计算机中心、分行或部门计算机分中心、网点终端及个人用户,计算机网络安全防护也与之相适应,实行分级防护的原则。商业银行根据外部Internet网络规模大、用户众多的特点,对通过Internet/Intranet接入的网络信息安全实施分级管理的解决方案,对其控制点分为三级安全管理。第一级:中心级网络,实现内外网隔离,内外网用户的访问恰当控制,内部网的实时监控,传输数据的备份与稽查。第二级:分中心(部门)级,实现内部网与外部网用户的访问控制,同级部门间的访问控制,部门网内部的安全审计。第三级:网点终端及个人用户级,实现部门网内部主机的访问控制,数据库及终端信息资源的安全保护。
2.风险威胁与安全防护相适应原则
现代商业银行面对复杂多变的金融环境,要迎接多种风险和威胁。商业银行资源有限,计算机网络是个相对开放的系统,很难实现计算机网络的绝对安全。需要对网络及所处层次的重要性及风险威胁的程度进行科学的评估和研究,确定与之适应的安全解决策略。
3.系统性原则
商业银行计算机网络的安全防范要利用系统工程的原理、方法,分析网络的安全及应采取的具体措施。首先,系统性原则体现在各种管理制度的建立、执行和完善以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)的落实。其次,还要体现在综合考虑设备、软件、数据库等的性能、安全性以及在网络中的地位、影响作用等。第三,关注商业银行计算机网络每个链路和节点的安全性,建立综合、系统的网络安全防护体系。
4.效益与效率兼顾性原则
首先,商业银行网络安全措施需要人为完成,如果措施过于复杂,对人的要求太高,本身就会降低安全性。其次,措施的采用不能影响系统的正常运行。第三,由于网络系统及应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会增加。同时,实施信息安全措施需要相当的费用支出。因此采取分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
三、计算机网络安全采取的措施
商业银行应根据银监会颁发的《银行业金融机构信息系统风险管理指引》,引进信息系统审计师,对计算机网络安全性进行评估,认真分析商业银行计算机网络所面临的风险隐患,结合计算机网络系统安全解决原则,建立链路、网络安全、数据库等综合计算机网络防护措施(如图1所示)。
1.加强链路安全管理
利用链路数据加密机,对核心数据进行加密。数据加密机是对主机数据提供安全保护的密码设备,对所有用户数据一起加密。用户数据通过通信线路送到另一节点后立即解密,可靠、安全地保护商业银行计算机网络中的个人密码PIN、金额、账号、密钥等重要数据以及对消息来源的正确性(MAC)、交易完整性(TAC)进行鉴别。有效地防止信息泄露和被非法篡改;提供数字签名服务,防止假冒、抗
抵赖等诈骗行为。此外,加密机还可以提供完善的密钥管理功能,可对全系统的密钥进行分层次的结构管理。
2.加强网络安全管理
利用防火墙和入侵检测系统,构建多层次网络安全体系,保证商业银行网络安全。商业银行计算机网络已融入国际互联网,具有开放性、无边界性、自由性等特点,更应加强信息网络的安全管理。
首先,利用防火墙把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、可控制的内部网络。并且根据商业银行计算机系统和处理、存储数据的重要性,设置防火墙的级次。核心的业务系统、主机设备、数据,需要高级别的防火墙。在防火墙的设置上,应体现分层次的原则,每个层次和关键业务节点都要设置防火墙,起到层层拦截不法入侵行为和有限授权操作的作用,实现内部网与外部不可信任网络之间或内部网不同网络安全域的隔离与访问控制。
其次,建立入侵检测系统,及时发现商业银行计算机网络的非法入侵和对信息系统的攻击。建立入侵检测系统可以实时监控、自动识别网络违规行为并作出自动响应。它通过实时截获网络数据流,识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问,实现对网络上敏感数据的保护。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录、自动阻断通信连接或执行用户自定义的安全策略等。
3.加强数据信息安全
利用密码、密钥、数字证书等技术,识别用户身份,控制用户权限,保证商业银行计算机网络应用数据库安全。建立证书中心(即公钥密码证书管理中心),利用公钥密码算法,在密钥自动管理、数字签名、身份识别等方面增强安全性。使用端端加密机对用户数据中的数据字段部分加密,控制字段部分不加密,用户数据加密后通过网络路由交换到达目的地后再进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态,有效地防止了用户信息在网络环节上的泄漏和篡改问题。建立数据库安全保密系统是针对目前已选用的通用数据库开发的安全措施,在通用数据库基础上增加控件,实现对数据库的访问/存取控制及加密控制等。
4.建立网络安全审计评估系统
建立商业银行计算机网络安全审计评估系统,保证计算机信息系统的安全运行。根据银监会的要求,引进信息系统审计师(CISA),定期、不定期地对商业银行的核心业务系统和网络数据进行安全风险评估,发现风险隐患,制订相应的措施。同时在核心业务系统中利用嵌入式审计软件,对核心业务系统运行过程中的业务流、数据流进行监控,及时发现核心业务系统运行过程中出现的异常情况和不法入侵、攻击现象,侦测业务运行中出现的风险隐患和程序漏洞,提醒计算机系统维护人员及时修补漏洞、完善
第二篇:计算机网络安全管理
1、双机双网的优缺点?优点:(1)、内、外网络分别使用专用的通线线路和网络设备,两
套网络之间实现了彻底的物理隔离,系统安全性高。(2)、只要在制度和应用中能保证用户执行专网的规定,不随意改变计算机的归属,就可以实现真正的物理隔离。缺点:
(1)、两套网络需要单独组建和管理,建设和使用成本高。(2)、接入网络的计算机等设备的利用率低。(3)、内、外网之间无法实现数据共享,且两套系统之间无法实现实时的数据同步更新。
2、一机双网的优缺点?优点:(1)、每个用户只需要配置一台计算机,节约了成本。(2)、任何时刻只有一块硬盘和对应的网络连接被启动,而另一块硬盘和对应的网络连接被切断,实现了以硬盘访问位对象的物理隔离。(3)、系统安全性虽然比“双机网络”方案差,但能够满足对内网数据安全性不是很高的用户需求。缺点:(1)、需要组建两套独立的网络系统,造成资源的浪费和管理成本的增大。(2)、当在内、外之间切换时需要重启计算机,给用户带来不便。(3)、物理隔离卡上具有多个网络接口,分别接到内被网络和外部网络,物理隔离卡用于实现内外网络物理隔离。这种方法占用了计算机很多硬件资源,成本也很高。(4)、物理隔离卡的安全性决定着整个系统的安全。
3、计算机病毒的特征:(1)、非权限可执行性。(2)、隐蔽性。(3)、传染性。(4)、潜伏性
(5)、破坏性(6)、可触发性(7)、针对性(8)与黑客技术的结合性。
4、计算机病毒的分类:(1)、文件传染性病毒(2)、引导扇区病毒(3)、主引导记录病毒
(4)、复合型病毒(5)、宏病毒
5、计算机病毒检测的实现过程:(1)、从感染源中提取病毒样本(2)、从病毒样本中提取
病毒的特征码(3)、将特征码导入病毒数据库(4)、查毒操作
6、防火墙的基本功能:(1)、监控并限制访问(2)、控制协议和服务(3)、保护内部网络
(4)网络地址转换(5)、虚拟专用网(6)、日志记录与审计
7、防火墙应用的局限性:(1)、防火墙不能防范未通过自身的网络连接(2)、防火墙不能
防范全部的威胁(3)、防火墙不能防范内部用户的恶意破坏(4)、防火墙本身也存在安全问题(6)、认为因素在很大程度上影响了防火墙的功能
8、入侵检测系统的功能:(1)、监视、分析用户及系统行为,查找非法用户和合法用户的越权操作(2)、系统配置和漏洞的审计检查(3)、评估重要系统和数据文件的完整性(4)、识别、反应已知攻击的行为模式并报警(5)、异常行为模式的统计分析(6)操作系统的审计跟踪管理基违反安全策略的用户行为的识别
9、数字签名必须同时满足以下的要求:(1)、发送者事后不能否应对报文的签名。(2)、接
收者能够核实发送的报文签名。(3)、接收者不能伪造发送者的报文签名。(4)、接收者不能对发送者的报文进行部分篡改。(5)、网络的其他用户不能冒充报文的接收者或发送者。
10、VPN的特点:(1)、费用低(2)、安全保障(3)、服务质量保障(4)课扩张性和灵
活性(5)可管理性
第三篇:计算机网络安全管理责任状
计算机网络安全管理责任状
为明确任务,落实责任,不断增强教师的安全防范意识,更好地实施学校计算机与网络的安全管理,坚决杜绝意外事故的发生,现就加强计算机与网络的安全管理,打造平安校园,下达责任书,请认真执行。
一、责任目标
1、负责本校计算机与网络的安全保护管理工作,建立健全安全保护管理制度,定期检查计算机软硬件设备,做好计算机病毒和网络安全的防范工作。
2、每日检查计算机房、微机室安全设施,使用完毕,及时关闭门窗、电源,做好每天安全台帐记录。
3、负责对本校网络用户的安全操作培训。
4、教育与督促学生遵纪守规,爱护机房内所有公物,对不服从管理的学生有权作出取消上机资格的处理。
5、有权对师生员工的上网记录进行保留,检查与监督师生员工不利用计算机与网络从事非法活动,浏览不良网页,或破坏、随意改变学校网页内容。
6、定期做好计算机房与微机室环境卫生工作。
二、目标管理措施
1、根据以上目标任务,计算机与网络安全管理责任人应认真抓好落实工作,严格计算机与网络安全工作的管理,及时解决实施过程中的困难与问题,确保各项工作目标全面完成。
2、明确目标责任人。网管员_______ 为目标责任人。
三、目标考核办法
以上目标任务,由电教处进行目标考核,并列入教师学期工作考核。凡由于责任不到位,没有完成任务的,对目标责任人将实行评优“一票否决制”,对出现重大事故并造成重大损失和恶劣影响的,将依法追究相应的管理责任。
四、责任期限
本责任书有效期自____年___月___日至_____年___月____日
五、责任书一式两份,甲乙双方各执一份。
甲 方(教导主任)签名:____ 年___月___日
乙 方(网管员)签名:___ 年___月___日
第四篇:计算机网络安全管理工作总结
网管工作总结
2007年以来,我矿的计算机网络管理工作在我矿党政领导的正确领导下,在公司信息中心的关心、帮助、指导和支持下,我矿计算机管理工作取得了有效的进步,OA系统、瓦斯监测、财务系统、供应购销链及煤矿安全等网络系统的安全、稳定运行工作取得了较好成绩。计算机各项管理的工作得以顺利开展,并取得较好效果。现将一年来的计算机管理工作总结如下:
一、制定制度,明确责任
我矿共有电脑129台,打印机77台,分布在矿区的办公大楼,综合大楼,救护队各地,分布较散,由于局域网络的全面铺开应用,给我矿网络管理与维护工作带来难处。对此,在我矿党政领导的高度重视和指导下,我矿成立了计算机安全管理领导小组并制定出台了《计算机及网络管理办法》,对计算机的使用和网络的安全管理拟定了详细的规定和法则,坚持专业管理与业余小组管理相结合,落实责任,明确分工,使逢春煤矿的计算机与网络管理在制度上得到了健全,做到了责任落实到个人。
二、加强管理,规范员工行为,提高员工素质
为了规范我矿员工使用电脑的行为,我矿每个星期都坚持定时或不定时对电脑进行检查,检查杀毒软件是否升级,电脑是否做到人走关机,电脑上是否安装了游戏等。在雷雨季节时候,我矿更是加强了检查次数,并及时制定了《雷雨季节计算机使用办法》。办法规定:电脑使用者必须做到人走关机并将网线拔出,做好相关防雷措施。
在电脑使用上,我矿员工素质参差不齐,2007年3月,我矿遭受了一次因为ARP病毒导致全矿网络瘫痪的事故。事后经分析,这次事故是由于一个基层连队的电脑使用不当造成。这让我矿感到:要想让我矿网络长治久安,还得从提高电脑使用者素质抓起。为此,去年,我矿组建了一个电脑培训室,并组织举办了4次计算机安全培训,这4次培训都是针对对电脑知识欠缺的基层连队的队长、书记和机关管理人员而设计;培训课上除了学习《计算机及网络管理办法》以及一些办公自动化软件应用的基础知识,还重点讲解了计算机基础知识、计算机安全相关知识、病毒的防范、处理以及卸载、安装、杀毒软件的等技巧。经过培训,我矿各级管理人员对计算机网络安全意识得到了提高,同时也提高了他们电脑操作和应用水平。
另外,我矿在日常的计算机及网络维护过程中,采取现场讲解、指导的方式,如:问题原因出在那里,下次遇见这种情况怎么处理。同时还要求他们人走关机,重要资料不存C盘并备好份等。提高了计算机使用者的业务技能,才能进一步提高计算机使用者的安全意识、防范、处理技能。
三、加强学习,提高自身业务素质
计算机是一门很深的学科,技术更新很快,只有不断的学习才能提高自身水平,从矿计算机管理的实际情况出发,我们着重自学了计算机硬件日常保养及维护,以及常用软件使用等。
计算机和网络管理最主要的安全问题还是防治病毒的入侵。
2007年期间,ARP病毒在我矿盛行。后经公司信息中心的老师们指点,我矿学习了利用 Sniffer4_70工具进行抓包分析,大大减少了对病毒计算机的盲目性处理。后来,我矿从网络上找到了一款ARP防火墙单机版,这款软件能够拦截来自局域网中的ARP病毒攻击,也能够抑制感染了病毒的计算机对局域网的发包数量,我矿把这款软件安装在一些经常用U盘的电脑上,这样,一旦我矿有电脑感染了ARP病毒,我矿就能在最短的时间内知道并进行处理。
但这款软件并不能对感染了病毒的计算机进行杀毒处理,于是,我矿从网上找到了一款专门针对一些ARP病毒的杀毒工具,如USBCleaner6.0专杀工具,AV终结者-8749木马专杀工具等。有了这些软件工具,有效杜绝了该病毒的进一步蔓延和入侵,确保了我矿计算机的安全运行。
第五篇:计算机网络安全
黄冈职业技术学院
电子信息学院
课程期末项目考核任务书
课程名称:网络设备配置与管理学生姓名:张赢学生学号:200902081125专业名称:计算机网络技术
2011-2012学年第一学期
电子信息学院教务办室制
摘要...............2 前言...............2
第1章计算机通信网络安全概述...........2
第2章影响计算机通信网络安全的因素分析.....2
2.1影响计算机通信网络安全的客观因素...........2
2.1.1网络资源的共享性............2
2.1.2网络操作系统的漏洞..........2
2.1.3网络系统设计的缺陷..........3
2.1.4网络的开放性................3
2.1.5恶意攻击.............3
2.2影响计算机网络通信安全的主观因素...........3
第3章计算机网络的安全策略..............3
3.1物理安全策略.............3
3.2常用的网络安全技术.............3
3.2.1 网络加密技术................4
3.2.2 防火墙技术...........4
3.2.3 操作系统安全内核技术...............4
3.2.4 身份验证技术身份验证技术...........5
3.2.5 网络防病毒技术..............5
总结...............5 参考文献.................5摘要:随着计算机信息技术的迅猛发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。因此,认清网络的脆弱性和潜在威胁的严重性,采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况,分析网络安全问题并提出相应对策。
前言:随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。
第1章计算机通信网络安全概述
所谓计算机通信网络安全,是指根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。
第2章影响计算机通信网络安全的因素分析
计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。
2.1影响计算机通信网络安全的客观因素
2.1.1网络资源的共享性
计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角,还是远在天边,只要有网络,就能找到你所需要的信息。所以,资源共享的确为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。
2.1.2网络操作系统的漏洞
操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性,决定了操作系统必然存在各种的缺陷和漏洞。
2.1.3网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。
2.1.4网络的开放性
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的信息。
2.1.5恶意攻击
恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。无论是DOS 攻击还是DDOS 攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
DOS 攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DOS 的工具一点不难,黑客网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。
2.2影响计算机网络通信安全的主观因素
主要是计算机系统网络管理人员缺乏安全观念和必备技术,如安全意识、防范意思等。
第3章计算机网络的安全策略
3.1物理安全策略
物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络安全管理策略包括:确定安全管理等
级和安全管理范围。
3.2常用的网络安全技术
3.2.1 网络加密技术
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES 或者IDEA 来加密信息,而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
3.2.2 防火墙技术
防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来保证通信网络的安全对今后计算机通信网络的发展尤为重要。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。
3.2.3 操作系统安全内核技术
操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
3.2.4 身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
3.2.5 网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
总结
随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献
【1】 陶阳.计算机与网络安全 重庆:重庆大学出版社,2005.【2】 田园.网络安全教程 北京:人民邮电出版社,2009.【3】 冯登国.《计算机通信网络安全》,清华大学出版社,2001
【4】 陈斌.《计算机网络安全与防御》,信息技术与网络服务,2006(4):35-37.【5】 William Stallings.网络安全基础教程:应用与标准(英文影印版),清华大学出版社,2006(7)
【6】 赵树升等.《信息安全原理与实现》,清华大学出版社,2004(9)
点击咨询 