时间:2022-05-18 02:41:09
导语:在网络安全问题论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了一篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
[论文摘要]随着网络技术越来越广泛的应用于经济、政治和军事等各领域,其安全性问题也日益被重视。本文首先从“以传翰协议为途径发动攻击”等五个方面论述了计算机网络应用中的常见安全问题,随后从“运用入侵检测技术”等四个方面论述了相关防护策略。
〔论文关键词〕计算机网络应用网络安全问题策略
引言:随着万维网wWw的发展,Internet技术的应用已经渗透到科研、经济、贸易、政府和军事等各个领域,电子商务和电子政务等新鲜词汇也不再新鲜。网络技术在极大方便人民生产生活,提高工作效率和生活水平的同时,其隐藏的安全风险问题也不容忽视。因为基于TCP/IP架构的计算机网络是个开放和自由的网络,这给黑客攻击和人侵敞开了大门。传统的病毒借助于计算机网络加快其传播速度,各种针对网络协议和应用程序漏洞的新型攻击方法也日新月异。因此计算机网络应用中的安全问题就日益成为一个函待研究和解决的问题。
1.计算机网络应用的常见安全问题
计算机网络具有大跨度、分布式、无边界等特征,为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性,使得计算机网络应用中的恶意攻击性行为肆意妄为,计算机网络应用中常见的安全问题主要有:①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击,通过向Windows系统TCP端口139发送随机数来攻击操作系统,从而让中央处理器(CPU)一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击,通过恶意地请求资源导致服务超载,造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYNFlood攻击。或者,发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪,典型的攻击方法如ICMPF1ood}ConnectionFloa等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址,使受攻击的服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植人到目标主机中,用户的主机就被黑客完全控制,成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息,如口令、帐号、密码等,对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer(嗅探器)作为工具进行信息窥探。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,为进一步恶意攻击做准备。而嗅探器(sni$}er)是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被用户发现。
2.计算机网络安全问题的常用策略
2.1对孟要的信息数据进行加密保护
为了防止对网络上传输的数据被人恶意窃听修改,可以对数据进行加密,使数据成为密文。如果没有密钥,即使是数据被别人窃取也无法将之还原为原数据,一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制,常用的算法为DES算法,ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥,每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密,用于解密密钥。具体采取那种加密方式应根据需求而定。
2.2采用病毒防护技术
包括:①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原,从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office,Outlook,IE,Winzip,NetAnt等应用软件进行被动式杀毒。
2.3运用入俊检测技术
人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。人侵检测系统的应用,能使在人侵攻击对系统发生危害前,检测到人侵攻击,并利用报警与防护系统驱逐人侵攻击。在人侵攻击过程中,能减少人侵攻击所造成的损失。在被人侵攻击后,收集人侵击的相关信息,作为防范系统的知识,添加人知识库内,以增强系统的防范能力。
根据采用的检测技术,人侵检测系统被分为误用检测(MisuseDetec-lion)和异常检测(AnomalyDetection)两大类。误用检测根据事先定义的人侵模式库,人侵模式描述了人侵行为的特征、条件、排列以及事件间关系,检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。它的人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体,漏报率较高。而异常检测技术则是通过提取审计踪迹(如网络流量、日志文件)中的特征数据来描述用户行为,建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较,如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点:误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击,具有低的误报率,但面对新的攻击行为确无能为力,漏报率高;而异常检测技术具有发现新的攻击行为的能力,漏报率低,但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展,如NIDES,EMER-ALD,Haystack都为误用与异常检测的综合系统,其中用误用检测技术检测已知的人侵行为,而异常检测系统检测未知的人侵行为。
2.4利用网络防火墙和防毒墙技术
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。以包过滤技术为例,它是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过。。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生,它是指位于网络人口处,用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的IP/MAC地址,以及TCP/UDP端口和协议。
结束语:除了上述的策略外,还有漏洞扫描技术、VPN(虚拟网专用网络)技术、数据备份和容灾技术等,由于篇幅的原因文中没有详细论述。计算机网络应用安全问题随着各种新技术和算法的出现而不断更新和复杂化,相关策略也将愈加先进。
摘要:该文对计算机网络安全存在的问题进行了深入探讨,并提出了对应的改进和防范措施。
关键词:计算机;网络;安全;对策
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。罗辑安全包括信息的完整性、保密性和可用性。
2计算机网络不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.2操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现。所谓守护进程,比如说用户有没按键盘或鼠标,或者别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,比如防病毒程序,一有病毒出现就会被扑捉到。但是有些进程是一些病毒,一碰到特定的情况,比如碰到7月1日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生,比如7月1日,它才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。此外,操作系统的无口令的入口,也是信息安全的一大隐患。
7)尽管操作系统的漏洞可以通过版本的不断升级来克服,但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
2.3数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
2.4防火墙的脆弱性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
2.5其他方面的因素
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。
3计算机网络安全的对策
3.1技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7)研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。
3.2管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。公务员之家
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
4结束语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
【摘要】文章分析了上海嘉定区有线电视中心网络的安全管理所涉及的问题,并根据本身的工作实践介绍了对于网络内外的供电设备系统、计算机病毒防治、防火墙技术等问题采取的安全管理措施。
【关键词】网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
(四)针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,安全的配置是首要的。对于本中心来说主要需要2个方面的配置:服务器的操作系统(Windows2003)的安
全配置和数据库(SQLServer2000)的安全配置。1.操作系统(Windows2003)的安全配置
总之,网络安全是一个系统工程,包含多个层面,因此安全隐患是不可能完全消除的,但是通过各种有力措施,却可以将其减到最小程度。所以需在网络安全问题方面不断探索,使网络建设和应用两方面相互促进形成良性循环。
【摘要】文章分析了上海嘉定区有线电视中心网络的安全管理所涉及的问题,并根据本身的工作实践介绍了对于网络内外的供电设备系统、计算机病毒防治、防火墙技术等问题采取的安全管理措施。
【关键词】网络安全;防火墙;数据库;病毒;黑客
当今许多的企业都广泛的使用信息技术,特别是网络技术的应用越来越多,而宽带接入已经成为企业内部计算机网络接入国际互联网的主要方式。而与此同时,因为计算机网络特有的开放性,企业的网络安全问题也随之而来,由于安全问题给企业造成了相当大的损失。因此,预防和检测网络设计的安全问题和来自国际互联网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
一、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全是一个十分复杂的问题,它的划分大体上可以分为内网和外网。如下表所示:
由上表可以看出,外部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访问,破坏数据的完整性,拒绝服务攻击和利用网络、网页浏览和电子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防范内部网。因为内部网安全措施对网络安全的意义更大。据调查,在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的安全问题主要体现在:物理层的安全,资源共享的访问控制策略,网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问和数据灾难性破坏。
二、安全管理措施
综合以上对于网络安全问题的初步认识,有线中心采取如下的措施:
(一)针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和访问控制。
防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。
防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信;用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,从而保护内部网络操作环境。所以,安装防火墙对于网络安全来说具有很多优点:(1)集中的网络安全;(2)可作为中心“扼制点”;(3)产生安全报警;(4)监视并记录Internet的使用;(5)NAT的位置;(6)WWW和FTP服务器的理想位置。
但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此,中心选用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一种基于主机的实时入侵检测产品,一旦发现对主机的入侵,RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵,同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能,可以将服务器不开放的端口进行伪装,进一步迷惑可能的入侵者,提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品,在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后,除了可以及时切断攻击行为之外,还可以动态地调整防火墙的防护策略,使得防火墙成为一个动态的、智能的防护体系。
通过部署入侵检测系统,我们实现了以下功能:
对于WWW服务器,配置主页的自动恢复功能,即如果WWW服务器被攻破、主页被纂改,系统能够自动识别并把它恢复至事先设定的页面。
入侵检测系统与防火墙进行“互动”,即当入侵检测系统检测到网络攻击后,通知防火墙,由防火墙对攻击进行阻断。
(二)针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷击。
本中心采用二路供电的措施,并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中,所有的机箱都必须有接地的设计,在机房安装的时候必须按照接地的规定做工程;对于供电设备,也必须做好接地的工作。这样就可以防止静电对设备的破坏,保证了网内硬件的安全。
(三)针对病毒感染的问题
病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码;广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件,(例如:SymantecAntivirus等)并控制写入服务器的客户端,网管可以随时升级并杀毒,保证写入数据的安全性,服务器的安全性,以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。
总之,网络安全是一个系统工程,包含多个层面,因此安全隐患是不可能完全消除的,但是通过各种有力措施,却可以将其减到最小程度。所以需在网络安全问题方面不断探索,使网络建设和应用两方面相互促进形成良性循环。
[摘 要] internet技术的快速发展,使得电子商务应用日趋普遍,而互联网上的安全问题不断出现,黑客事件屡见不鲜,已经成为影响电子商务等互联网应用的重要因素。本文分析了目前常见的互联网网络安全事件,找出了影响电子商务发展的主要网络安全问题,并结合法律与应急事件响应、安全管理架构等方面,提出一些安全对策。
[关键词] 网络安全 事件 安全对策
随着网络时代的到来,越来越多的人通过internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出。近年来,网络安全事件不断攀升,电子商务金融成了攻击目标,以网页篡改和垃圾邮件为主的网络安全事件正在大幅攀升。在国家计算机网络应急技术处理协调中心(cncert/cc)2005处理的网络安全事件报告中,网页篡改占45.91%,网络仿冒占29%,其余为拒绝服务攻击、垃圾邮件、蠕虫、木马等。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为电子商务的所有参与者十分关心的话题。
一、电子商务中的主要网络安全事件分析
归纳起来,对电子商务应用影响较多、发生率较高的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒、网络仿冒等,网页篡改、网络仿冒(phishing),逐步成为影响电子商务应用与发展的主要威胁。
1.网页篡改
网页篡改是指将正常的网站主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说,主页的篡改对计算机系统本身不会产生直接的损失,但对电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子商务将被迫终止对外的服务。对企业网站而言,网页的篡改,尤其是含有攻击、丑化色彩的篡改,会对企业形象与信誉造成严重损害。
2.网络仿冒(phishing)
网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等,是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等,随后利用骗得的账号和密码窃取受骗者金钱。近年来,随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒事件在我国层出不穷,诸如中国银行网站等多起金融网站被仿冒。网络仿冒已经成为影响互联网应用,特别是电子商务应用的主要威胁之一。
网络仿冒者为了逃避相关组织和管理机构的打击,充分利用互联网的开放性,往往会将仿冒网站建立在其他国家,而又利用第三国的邮件服务器来发送欺诈邮件,这样既便是仿冒网站被人举报,但是关闭仿冒网站就比较麻烦,对网络欺诈者的追查就更困难了,这是现在网络仿冒犯罪的主要趋势之一。
3.网络蠕虫
网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统,自我复制,并继续向互联网上的其他系统进行传播。蠕虫的不断蜕变并在网络上的传播,可能导致网络被阻塞的现象发生,从而致使网络瘫痪,使得各种基于网络的电子商务等应用系统失效。
4.拒绝服务攻击(dos)
拒绝服务攻击是指在互联网上控制多台或大量的计算机针对某一个特定的计算机进行大规模的访问,使得被访问的计算机穷于应付来势凶猛的访问而无法提供正常的服务,使得电子商务这类应用无法正常工作。拒绝服务攻击是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多,则更难进行处置。尤其是被蠕虫侵袭过的计算机,很容易被利用而成为攻击源,并且这类攻击通常是跨网进行的,加大了打击犯罪的难度。
5.特罗伊木马
特罗伊木马(简称木马)是一种隐藏在计算机系统中不为用户所知的恶意程序,通常用于潜伏在计算机系统中来与外界联接,并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得,并且该系统也会被外界所控制,也可能会被利用作为攻击其他系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。
二、解决电子商务中网络安全问题的对策研究
随着网络应用日益普及和更为复杂,网络安全事件不断出现,电子商务的安全问题日益突出,需要从国家相关法律建设的大环境到企业制定的电子商务网络安全管理整体架构的具体措施,才能有效保护电子商务的正常应用与发展。
1.进一步完善法律与政策依据 充分发挥应急响应组织的作用
我国目前对于互联网的相关法律法规还较为欠缺,尤其是互联网这样一个开放和复杂的领域,相对于现实社会,其违法犯罪行为的界定、取证、定位都较为困难。因此,对于影响电子商务发展的基于互联网的各类网络安全事件的违法犯罪行为的立法,需要一个漫长的过程。根据互联网的体系结构和网络安全事件的特点,需要建立健全协调一致,快速反应的各级网络应急体系。要制定有关管理规定,为网络安全事件的有效处理提供法律和政策依据。
互联网应急响应组织是响应并处理公共互联网网络与信息安全事件的组织,在我国,cncert/cc是国家级的互联网应急响应组织,目前已经建立起了全国性的应急响应体系;同时,cncert/cc还是国际应急响应与安全小组论坛(first,forum of incident response and security teams)等国际机构的成员。应急响应组织通过发挥其技术优势,利用其支撑单位,即国内主要网络安全厂商的行业力量,为相关机构提供网络安全的咨询与技术服务,共同提高网络安全水平,能有效减少各类的网络事件的出现;通过聚集相关科研力量,研究相关技术手段,以及如何建立新的电子交易的信任体系,为电子商务等互联网应用的普及和顺利发展提供前瞻性的技术研究方面具有积极意义。
2.从网络安全架构整体上保障电子商务的应用发展
网络安全事件研究中看到,电子商务的网络安全问题不是纯粹的计算机安全问题,从企业的角度出发,应该建立整体的电子商务网络安全架构,结合安全管理以及具体的安全保护、安全监控、事件响应和恢复等一套机制来保障电子商务的正常应用。
安全管理主要是通过严格科学的管理手段以达到保护企业网络安全的目的。内容可包括安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,相关人员的安全意识的培训、教育,日常安全管理的具体要求与落实等。
安全保护主要是指应用网络安全产品、工具和技术保护网络系统、数据和用户。这种保护主要是指静态保护,通常是一些基本的防护,不具有实时性,如在防火墙的规则中实施一条安全策略,禁止所有外部网用户到内部网web服务器的连接请求,一旦这条规则生效,它就会持续有效,除非我们改变这条规则。这样的保护能预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
安全监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,网络安全不是一成不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。可以这样说,安全保护是基本,安全监控和审计是其有效的补充,两者的有效结合,才能较好地满足动态安全的需要。
事件响应与恢复主要针对发生攻击事件时相应的应急措施与恢复正常应用的机制。就是当攻击发生时,能及时做出响应,这需要建立一套切实有效、操作性强的响应机制,及时防止攻击的进一步发展。响应是整个安全架构中的重要组成部分,因为网络构筑没有绝对的安全,安全事件的发生是不可能完全避免的,当安全事件发生的时候,应该有相应的机制快速反应,以便让管理员及时了解攻击情况,采取相应措施修改安全策略,尽量减少并弥补攻击的损失,防止类似攻击的再次发生。当安全事件发生后,对系统可能会造成不同程度的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制能尽快恢复系统的正常应用,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。因此恢复在电子商务安全的整体架构中也是不可缺少的组成部分。
三、结论
internet的快速发展,使电子商务逐渐进入人们的日常生活,而伴随各类网络安全事件的日益增加与发展,电子商务的安全问题也变得日益突出,建立一个安全、便捷的电子商务应用环境,解决好电子商务应用与发展的网络安全问题必将对保障和促进电子商务的快速发展起到良好的推动作用。
试论计算机通信网络安全问题及防护措施
随着互联网技术在世界领域的快速发展,计算机网络技术已经步入了千家万户;随着我国国民经济信息化进程与技术的普及,使用计算机网络技术办公的行业越来越多,因此,他们对于信息系统是否具有较高的安全性十分重视,那么该怎样才能确保计算机网络通信技术的安全性呢?这是当前人们所关注的焦点。本文分析了计算机通信存在的安全问题,并在此基础上提出了提高计算机网络安全防护措施。
一、计算机通信网络威胁的成因
在高科技技术中,互联网技术和计算机技术具有相对的复杂性,运用的技术和知识也相对的较多,所以,对计算机通信网络造成安全问题的影响因素也特别多。计算机通信网络安全技术的主要作用就在于能对网络系统中的软件、硬件以及数据进行保护,避免遭受外界破坏,保证网络系统的正常运转。
(一)客观原因
首先,计算机通信网络所具有联结广泛的特性决定了给网络攻击带来了必要的条件,非法入侵者依据网络存在的漏洞或存在安全缺陷对网络系统的硬件、软件进行攻击,导致系统中数据的丢失,即便有些信息在安全级别方面进行了设置但还会收集整理有漏洞的存在。其次,计算机系统与通信网络自身较脆弱,因此遭受不同程度的攻击是不可避免的。再次,计算机病毒的传播也加剧了网络通信安全问题的出现,使网络系统遭受着不同程度的打击,造成数据的改动、删除最终破坏整个系统。最后,电子商务软件普遍应用到通信网络系统中,而这些电子商务软件的源代码又是公开的,这给非法入侵者寻找系统漏洞带来了便利。
(二)主观原因
主要是因为计算机系统网络管理工作人员忽视了其潜在的安全问题,还有就是他们的实际操作技术水平不高,在操作过程中经常会违反了安全保密所制定的要求,对于操作的规则章程也不够了解,比如,在工作中对于一些不能公开的秘密文件却公开,由于长时间使用一种密钥,使得密码被破解等种种因素,最终导致了网络系统在管理上失去了条理性以及大量的漏洞。在对网络系统进行管理与使用过程中,人们会更多的偏向效益以及人为管理是否方便上,对于安全保密方面的问题考虑的甚少。
二、计算机通信网络的安全防护措施
根据以上对计算机通信网络安全问题的原因分析,我们了解到隐患的来源,根据问题的原因,结合计算机通信网络资料和计算机通信网络的知识技术,提出了以下几个方面的防护措施。
(一)提高网络系统的自身性能
在设计网络系统的过程中,应该将通信软件和数据的保密难度进行全面的考虑。在对网络通信进行操作时,应该根据出现的问题制定相应的安全措施,并逐步的完善,这样就能将潜在的安全隐患和漏洞进行治理,与此同时,还能对不法分子通过系统存在的缺陷和漏洞进行规模性破坏进行防止和控制,对数据的完整性进行保证。
(二)制定网络安全策略
首先,控制用户的访问权限,并将访问权限和网络授权相融合,在网络管理方式的作用下,将有效的口令和访问许可证书发放给网络的使用者,将在未授权的情况之下进行网络的使用以及对网络资源的查询进行控制和管理。
其次,在访问的过程中,我们要对网络系统进行更加严格的加密,加密程序是非常重要的,不能忽略的。当数据在传输过程中,加密对不法分子对数据的盗取行为进行控制,保证数据的正常传输,将信息的有效性和正确性进行保护。同时,技术人员还应该为通信网络制定一套完整的鉴别数据的制度,避免不法分子对网络系统中信息和数据的修改与删除。
(三)提高网络安全技术
1.使用密码技术
密码技术的使用主要目的就是对信息进行伪装,密码技术主要包括两方面的内容,对称加密和不对称加密。密码技术的类型主要分为三种,这三种主要是移位密码、乘机密码和代替密码。乘积密码就是指在某种方式的运用之下,对两个密码或者多个密码进行连续性的使用;代替密码就是指用密文中的某一字符代替明文中的另一字符。
2.使用防火墙
在对网络系统的安全进行维护时,防火墙是维护安全的前提条件,防火墙主要包括三种,数据包过滤技术、技术、应用网关技术。防火墙的主要作用就是控制网络的出入权限,将操作过程中的所有连接都进行严格有效地检查,将外来的数据进行合理的鉴别和严格的限制。将通信内网的安全性进行保证。
(四)加强网络安全教育及内部管理
在计算机通信网络的使用中,计算机通信网络的安全性非常的重要,应该加强网络安全教育的知识,增加人们的网络安全意识,与此同时,还应该对专业的高素质网络技术人员进行培养,保证网络系统的安全性。此外,还应该加强各部门之间的联系,通过合作的形式制定合理的网络安全防护措施。在网络安全的维护中,网络技术人员是非常重要的, 要想对计算机通信网络安全进行有效地管理,还应该对网络管理人员的实践经验进行严格的核查。
三、结语
随着计算机技术的发展及网络安全技术不断更新,掌握必要的网络安全知识,增强网络安全防范是十分必要的。我们要时刻注意安全问题,尽量多的使用可靠、安全工具进行系统的维护,使得我们的网络安全更加稳定、持久的运行,这也是未来电子化、信息化发展的必然要求。
计算机通信存在的网络安全问题及对策
计算机网络通信具有迅速、灵活、开放、共享等特征,满足了人们不断发展的生产生活的要求,也为信息交流和共享创造了巨大的空间。与此同时,随着网络技术带给人们极大的方便的同时,也为计算机网络的快速发展带来了巨大的影响。需要注意的是,计算机网络迅猛发展的同时,安全问题仍然是人们十分关心的话题。
一、分析计算机通信网络存在的安全问题
计算机网络由计算机设备和通信网络两个部分组成,计算机设备室计算机通信的信源和终端,通信网络是指计算机数据传输和交换的手段和方式,正是二者的密切配合才实现了计算机的通信网络的共享功能。计算机通信网络的安全问题主要是指外来的以数据和行为为主要形式的攻击计算机网络操作系统、硬件、应用软件等,使其出现一定程度的被更改、被破坏、被泄露、被盗用等现象,从而使得计算机通信网络难以正常运行。一般说来,计算机通信存在的安全问题主要由以下两种:
(一)计算机网络的硬件安全问题
计算机的硬件安全主要是指计算机硬件系统的设置安全和设备的物理安全。系统设置安全是指网络路由器等关于网络设置连接设备的安全,而物理安全是指具体的计算机物理设备的安全,如路由器、交换机、网络服务器等。
(二)计算机网络的软件安全问题
计算机网络的软件安全问题是计算机安全问题最重要的问题。它主要表现在以下几个问题中:第一,系统安全漏洞。计算机网络技术的发展,在计算机网络操作中存在着一些安全漏洞,一方面为编程人员管理提供了方便,另一方面也给网络黑客提供了攻击机会,从而造成网络漏洞被攻陷,出现严重的安全问题。第二,计算机网络病毒。计算机网络病毒具有感染性、潜伏性、破坏性和触发性,对于计算机网络安全具有严重的影响,且随着网络病毒的种类和技术的发展,其传播越来越广阔和隐蔽,的确是网络软件安全最大的问题。第三,网络黑客攻击。网络中的黑客攻击不仅有针对性攻击,还有广泛性攻击,这些攻击活动变得越来越猖獗,为网络安全带来了非常大的威胁。第四,网络内部权限混用。网络中的用户账号本来只局限于个人使用,但是在现实中一个账号往往将用户名和密码告知他人,存在混用的情况,这给网络系统漏洞、黑客攻击和病毒等带来了可乘之机。
二、分析提高计算机通信网络安全的对策与技术
(一)全面认识计算机通信网络安全的重要性
只有正确认识计算机通信网络安全的重要性,才能在通信设置和管理中将网络安全放在突出的位置,全面落实计算机通信网络安全的防范行为。传统对于计算机通信网络的安全认识仅仅停留在计算机操作系统本身上面,只保证才做系统没有错误。但是,随着计算机网络技术的发展和计算机网络运用的广泛性发展,现代计算机网络安全意识应该从传统的操作系统无误上延伸到网络系统、网上信息、网上管理、数据信息、通道控制等上面,以实现计算机系统、信息、数据、通道等的保密完整性、可控可用性,让计算机通信网络实现正常运行的目标。
(二)强化网络管理
计算机通信网络安全要从内部和外部强化网络管理,让安全隐患被扼杀在摇篮里。首先,要加强计算机人员的管理。通过加大高级网络技术人员的培养和任用,发挥网络管理人才的作用,让计算机网络管理人员具有丰富的技术知识和实践经验,有效防护网络设备的安全问题。此外,还可以加强网络管理中的各个部门的合作和互动,促进网络管理实现完整化。其次,加强网络建立和使用的审批手续的严格性和严肃性。通过加强网络管理部门在通信网开设、关系、调整、改变工作状态中的作用,加强网络管理部门在用户网络增设终端等设备方面的批准管理作用,加强网络安全防护功能。
(三)采取具体的防范措施和技术
(1)采取具体的防范措施。为了防范计算机通信网络安全,就要全面对非法入侵进行监测、防伪、审查和追踪,从建立通信线路到传播信息我们可以采取以下几个防范措施:第一,身份鉴别,通过用户名和密码等鉴别方式让网络系统的权限分级,让一些受限的用户在连接过程中被受到终止或部分数据被屏蔽,实现数据的安全性。第二,网络授权,通过向终端用户发送许可证书从而让没有得到授权的用户无法访问网络和网络资源。第三,数据保护,通过对数据加密的形式对数据资源进行发送或访问,使得数据被截获之后也很难进行密码破解。第四,收发确认,通过对发送和接收信息的方式让发送和接受被承认,防止不承认发送和接收信息和数据而引起的争执。第五,保护数据完整性,通过数据检查核对方式对数据进行检查和核对,保持数据的完整性。第六,业务流分析保护,通过阻止网络中的垃圾信息出现,也无法让恶意网络终端无法从网络业务流分析中获取用户信息,达到保护用户信息安全的目的。
(2)采取具体的防范技术。在计算机通信网络安全的防范中,我们要采取具体的防范技术,并在实际操作中不断提高网络安全的相关技术,确保通信网络的保密性、可靠性和完整性。一般说来,计算机通信网络安全的防范技术主要有以下几种:
第一,密码技术。密码技术主要目的在于设置权限,伪装信息,密码技术由明文、密文、算法和秘钥组成。值得注意的是,密钥管理是密码技术中最重要的问题,不仅涉及到密钥的产生、检验、分配、传递,还涉及到密钥的保存、使用和消钥等过程,是一门综合性的技术。第二,鉴别技术。鉴别技术能够证实信息在传播和交换过程中的合法性、有效性和真实性,确保计算机通信网络的安全。例如,报文鉴别、身份鉴别、数字签名等都是常用的鉴别技术。第三,访问控制技术。此技术是用来确定用户的访问权限的,以防止一些非法用户进行网络系统。访问控制是计算机通信安全机制的核心所在,其技术主要包括控制策略、控制模型、控制机制等的基本理论和实现方法。第四,防火墙技术。计算机通信技术中的防火墙是指设置在被保护网络和外界之间的一道“墙”,通过鉴别、限制、更改跨越防火墙数据流等来实现对计算机通信网络的安全。防火墙技术主要包括数据包过滤技术、应用网关技术和技术。
[摘要]随着计算机技术和网络技术的发展, 网络安全问题, 在今天已经成为网络世界里最为人关注的问题之一 危害网络安全的因素很多, 它们主要依附于各种恶意软件, 其中病毒和木马最为一般网民所熟悉。针对这些危害因素, 网络安全技术得以快速发展, 这也大大提高了网络的安全性。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
[关键词]网络安全 计算机网络 入侵检测
一、 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护, 避免被窃听、篡改和伪造; 而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、 军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信, 保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致 因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
二、 常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
2.利用开放端口漏洞发动攻击
3.通过木马程序进行入侵或发动攻击
4.嗅探器和扫描攻击
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、vpn、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和vpn属早期的被动防护技术,入侵检测、入侵防御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
三、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.vpn
vpn(virtual private network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,vpn技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。vpn技术可以在不同的传输协议层实现,如在应用层有ssl协议,它广泛应用于web浏览程序和web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有socks协议,在该协议中,客户程序通过socks客户端的1080端口透过防火墙发起连接,建立到socks服务器的vpn隧道;在网络层有ipsec协议,它是一种由ietf设计的端到端的确保ip层通信安全的机制,对ip包进行的ipsec处理有ah(authentication header)和esp(encapsulating security payload)两种方式。
3. 防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(worm)和僵尸网络(bot)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的ip/mac地址,以及tcp/udp端口和协议。
四、 网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1. 入侵检测
入侵检测系统(intrusion detection system,ids)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2. 入侵防御
入侵防御系统(intrusion prevention system,ips)则是一种主动的、积极的入侵防范、阻止系统。ips是基于ids的、建立在ids发展的基础上的新生网络安全技术,ips的检测功能类似于ids,防御功能类似于防火墙。ids是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而ips部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为ips就是防火墙加上入侵检测系统,但并不是说ips可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于tcp/ip协议的过滤方面表现出色,同时具备网络地址转换、服务、流量统计、vpn等功能。
3. 漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
五、结束语
网络安全是一个复杂的问题, 涉及法律、 管理和技术等综合方面。 只有协调好三者之间的关系,构建完善的安全体系,才能有效地保护网络安全。
摘要:该文对计算机网络安全存在的问题进行了深入探讨,并提出了对应的改进和防范措施。
关键词:计算机;网络;安全;对策
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1 计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。罗辑安全包括信息的完整性、保密性和可用性。
2 计算机网络不安全因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:
2.1 计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。
2.2 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。操作系统本身有内存管理、cpu 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如ftp,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现。所谓守护进程,比如说用户有没按键盘或鼠标,或者别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,比如防病毒程序,一有病毒出现就会被扑捉到。但是有些进程是一些病毒,一碰到特定的情况,比如碰到7 月1 日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生,比如7 月1 日,它才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。此外,操作系统的无口令的入口,也是信息安全的一大隐患。
7) 尽管操作系统的漏洞可以通过版本的不断升级来克服, 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
2.3 数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
2.4 防火墙的脆弱性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使internet 与intranet 之间建立起一个安全网关(security gateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从lan 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
2.5 其他方面的因素
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。
3 计算机网络安全的对策
3.1 技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的u 盘和程序,不随意下载网络可疑信息。
6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7) 研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。
3.2 管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3 物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1) 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
4 结束语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
摘要:主要介绍了网络安全的含义,网络攻击和入侵的主要途径,网络安全缺陷及产生的原因,最后简单介绍了网络安全的防范措施。
关键词:网络安全;破译口令;ip欺骗;dns欺骗;黑客攻击
1 网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、ip欺骗和dns欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:利用目标主机的finger功能:当用finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的x.500服务:有些主机没有关闭x.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号;有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
ip欺骗是指攻击者伪造别人的ip地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行tcp/ip的计算机进行入侵。ip欺骗利用了tcp/ip网络协议的脆弱性。在tcp的三次握手过程中。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行ip欺骗。ip欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(dns)是一种用于tcp/ip应用程序的分布式数据库,它提供主机名字和ip地址之间的转换信息。通常,网络用户通过udp协议和dns服务器进行通信,而服务器在特定的53端口监听。并返回用户所需的相关信息。dns协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害dns服务器并明确地更改主机名—ip地址映射表时,dns欺骗就会发生。这些改变被写入dns服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的ip地址。因为网络上的主机都信任dns服务器,所以一个被破坏的dns服务器可以将客户引导到非法的服务器。也可以欺骗服务器相信一个ip地址确实属于一个被信任客户。
2 计算机网络中的安全缺陷及产生的原因
(1)网络安全天生脆弱。
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的。
(2)黑客攻击后果严重。
近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱……危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。
(3)网络杀手集团化。
目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在cpu中设置“芯片陷阱”,可使美国通过因特网指令让敌方电脑停止工作,以起到“定时炸弹”的作用。
(4)破坏手段多元化。
目前,“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”,更多的是采取借助工具软件对网络发动袭击,令其瘫痪或者盗用一些大型研究机构的服务器,使用“拒绝服务”程序,如tfn和与之相近的程序等,指挥它们向目标网站传输远远超出其带宽容量的垃圾数据,从而使其运行中断。多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且,黑客们还可以把这些软件神不知鬼不觉地通过互联网安装到别人的电脑上,然后,在电脑主人根本不知道的情况下“借刀杀人”。
3 安全防范措施
(1)提高思想认识。
近年来,中国的网络发展非常迅速,同时,中国的网络安全也越来越引起人们的关注,国家权威部门曾对国内网站的安全系统进行测试,发现不少单位的计算机系统都存在安全漏洞,有些单位还非常严重,随时可能被黑客入侵。当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,从思想上提高对计算机网络安全重要性的认识,是我们当前的首要任务。
(2)加强管理制度。
任何网站都不是绝对安全的,值得一提的是,当前一些单位在急忙赶搭“网络快车”时,只管好用,不管安全,这种短视必然带来严重的恶果,与“网络恐怖分子”的较量是一场“看不见硝烟的战争”,是高科技的较量,是“硬碰硬”的较量。根据这一情况,当前工作的重点,一是要狠抓日常管理制度的落实,要把安全管理制度落实到第一个环节中;二是要加强计算机从业人员的行业归口管理,对这些人员要强化安全教育和法制教育,建立人员管理档案并进行定期的检查和培训;三是要建立一支反黑客的“快速反应部队”,同时加快加紧培养高水平的网络系统管理员,并尽快掌握那些关键技术和管理知识。
(3)强化防范措施。
一般来说,影响计算机网络安全的因素很多,但目前最主要的因素是接受电子邮件和下载软件两种。下面就这两种方式谈谈基本的防范措施:切实保护电子邮件的安全:做好邮件帐户的选择。现在互联网上提供的e-mail帐户主要都是免费帐户,这些免费的服务不提供任何有效的安全保障而且有的免费邮件服务器常常会导致邮件受损。所以,单位用户应该选择收费邮件帐户。做好邮件帐户的安全防范。一定要保护好邮箱的密码。在web方式中,不要使用ib的自动完成功能,不要使用保存密码功能以图省事,入网帐号与口令应该是需要保护的重中之重,密码要取得有技巧、有难度,密码最好能有8位数,且数字字母相间,中间还代“*”号之类的允许怪符号。
防止邮件炸弹。下面介绍几种对付电子邮件炸弹(e-mail bomb)的方法:
①过滤电子邮件。凡可疑的e-mail尽量不要开启:如果怀疑信箱有炸弹,可以用邮件程序的远程邮箱管理功能来过滤信件,如国产的邮件程序foxmail。在进行邮箱的远程管理时,仔细检查邮件头信息,如果发现有来历可疑的信件或符合邮件炸弹特征的信件,可以直接把它从邮件服务器上删除。
②使用杀毒软件。一是邮件有附件的话,不管是谁发过来的,也不管其内容是什么(即使是文档,也往往能成为病毒的潜伏场所,像著名的melissa),都不要立即执行,而是先存盘,然后用杀毒软件检查一番,以确保安全。二是注意目前网上有一些别有用心的人以网站的名义,让你接受他们通过邮件附件推给你的软件,并以种种借口要求你立即执行。对此,凡是发过来的任何程序、甚至文档都应用杀毒软件检查一番。
③使用转信功能。用户一般都有几个e-mail地址。最好申请一个容量较大的邮箱作为收信信箱,如777信箱(.cn)速度也很快。对于其它各种信箱,最好支持转信功能的,并设置转信到大信箱。所有其它邮件地址的信件都会自动转寄到大信箱内,可以很好地起到保护信箱的作用。
④申请邮件数字签证。现在国内的首都在线提供了邮件数字签证的服务。数字签证不但能够保护邮件的信息安全,而且通过它可以确认信件的发送者。最后要注意对本地的已收发邮件进行相应的删除处理。切实保障下载软件的安全。对于网络软件,需要指出的是,我们对下载软件和接受的e-mail决不可大意。在下载软件时应该注意:下载软件应尽量选择客流大的专业站点。大型的专业站点,资金雄厚,技术成熟,水平较高,信誉较佳,大都有专人维护,安全性能好,提供的软件问题较少。
⑤此外,从网上下载来的软件要进行杀毒处理。对下载的任何软件,不要立即使用,word文档也不宜直接打开,而应先用杀毒软件检测一番,进行杀毒处理。杀毒软件应当始终保持最新版本,最好每月升级一次,防止染上“木马”。一旦染上木马后,它就会给你的windows留下后门,秘密监视网络信息,一旦发现远方控制指令,就会会秘密地予以回应,可以让远方的控制者掌握对机器的完全控制权。此后在你完全不知的情况下,远方的侵入者可以随时在因特网上无限制地访问你的计算机,因此它的危害是不育而喻的。最简便有效的预防措施是,避免启动服务器端(s端)消除木马的具体操作是,首先拜访注册表,获取木马的装入信息,找出s端程序放于何处。然后先将注册表中的木马配置键删掉,重新启动计算机,再将程序也删掉。
4 结论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
【摘要】本文针对目前高校校园网面临的各种安全威胁进行了分析,列举出影响校园网安全的因素,并从网络安全技术和网络安全管理两个方面提出了自己的观点。
【关键词】校园网络;网络安全与分析;安全策略;入侵检测;入侵防御
随着教育信息化的发展,计算机校园网络系统成为学校重要的现代化基础设施,为学校建设提供安全、可靠、快捷的网络环境,学校的学生思想教育、教学、科研、管理等对网络的依赖将越来越紧密。校园网的安全状况直接影响到这些活动的顺利进行,因此,保障校园网络信息安全已经成为当前各高校网络建设中不可忽视的首要问题。
1.校园网网络安全问题分析
校园网具有速度快、规模大,计算机系统管理复杂,随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。因此,在全面了解校园网的安全现状基础上,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。当前,校园网网络常见的安全隐患有以下几种。
1.1计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是windows,存在各种各样的安全问题,服务器、操作系统、防火墙、tcp/ip协议等方面都存在大量安全漏洞。而且随着时间的推移,将会有更多漏洞被人发现并利用。许多新型计算机病毒都是利用操作系统的漏洞进行传染,如不对操作系统进行及时更新,这些漏洞就是一个个安全隐患。
1.2计算机病毒的破坏。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。计算机病毒具有以下特点:一是攻击隐蔽性强;二是繁殖能力强;三是传染途径广;四是潜伏期长;五是破坏力大。如arp欺骗病毒、熊猫烧香病毒,网络执行官、网络特工、arpkiller、灰鸽子等木马病毒,表现为集体掉线、部分掉线、单机掉线、游戏帐号、qq帐号、网上银行卡等帐号和密码被盗等等,严重威胁了校园网络的正常使用。
1.3来自网络外部的入侵、攻击等恶意破坏行为。校园网与internet相连,在享受internet方便快捷的同时,也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。目前在因特网上,可以自由下载很多攻击工具,这类攻击工具设置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。因此,一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。
1.4校园网内部的攻击。高校校园网是广大师生进行教学与科研活动的主要平台,由于高校部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,干扰校园网的安全运行。
1.5校园网用户对网络资源的滥用。实际上有相当一部分的internet访问是与工作无关的,有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,甚至有的是去访问色情、暴力、反动站点,导致大量非法内容或垃圾邮件出入,占用了大量珍贵的网络带宽,internet资源严重被浪费,造成流量堵塞、上网速度慢等问题,而且不良信息内容也极大地危害青少年学生的身心健康。
1.6非正常途径访问或内部破坏。在高校中,有人为了报复而销毁或篡改人事档案记录;有人私自改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或者在考试前获得考试内容,使正常的教学练习失去意义。这些行为都严重地破坏了学校的管理秩序。
1.7网络硬件设备受损。校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成校园网络全部或部分瘫痪的严重后果。
1.8校园网安全管理有缺陷。随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。主要表现为对网络安全的认识不足,将网络系统作为一项纯技术工程来实施,没有一套完善的安全管理方案;网络系统管理员只将精力集中于ip的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。
2.造成这些现状的原因
2.1网络安全维护的投入不足。网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。
2.2网络管理员责任心不强。很多学校的网络管理员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人某些方面的原因,造成工作热情不高、责任心不强,所以也就不会花很多的心思去维护网络、维护硬件。
2.3师生的网络安全意识和观念淡薄。很多学生包括部分教师对网络安全不够重视,法律意识也不是很强。通过网络,或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网系统,干扰校园网的安全运行。
2.4盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,盗版安装的计算机系统今后会留下大量的安全漏洞。系统自动更新引起的电脑黑屏事件,就是因为microsoft公司对盗版的xp操作系统的更新作了限制。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
3.对策措施
校园网的安全问题是一个较为复杂的系统工程,要从用户、管理、技术三方面的因素来考虑。从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是一个循序渐进、不断完善的过程。 在目前的情况下,需要全面考虑综合运用防火墙、入侵检测、杀毒软件等多项技术,互相配合、加强管理。为了提高校园网络的安全性,提出以下几点安全策略。
3.1身份认证技术。身份认证是对通信方进行身份确认来阻止非授权用户进入。常用的身份认证方法有口令认证法。主要是给系统管理员帐户设置足够复杂的强密码,最好是字母+数字+符号的组合;系统管理员的口令应严格管理,不定期地予以更换。很多用户的windows xp/2000系统却根本没有设置密码,有的用户,虽然也设置了密码,但密码要么全是数字的,要么很短,对于这类密码,可以轻易的被破解。
3.2防范系统安全漏洞。及时更新操作系统,安装各种补丁程序非常重要。一般用户需要借助第三方产品(如:漏洞扫描系统)的帮助,及时发现安全隐患。目前,许多新型计算机病毒都是利用操作系统的漏洞进行传染的。比如“红色代码”病毒就是利用windows 2000 server iis漏洞进行传播的;“冲击波”病毒是利用windows 2000、windows xp、windows 2003操作系统的rpc漏洞进行传播的;还有一些病毒是利用ie6.0的漏洞进行传播的。那么,如何才能有效的保护系统不受病毒感染呢?可以通过安装360安全卫士或其它功能类似的软件来给系统的漏洞打好补丁,这样可以有效的保护系统。
3.3防范计算机病毒。计算机病毒防范工作,首先是防范体系的的建立,没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。
3.3.1作为校园网的网络管理人员,要为系统使用安全策略,如帐户设定、审核策略、网络访问、安全选项设定等。使用安全策略不仅可以有效防范病毒,监控系统状态,还可以防范黑客攻击。
3.3.2选择合适的防病毒软件,及时更新病毒库。防病毒软件分为两大类:网络版和单机版。单机版防毒软件适用于个人用户,管理功能相对较弱。从网络管理和病毒监控的角度来说,校园网更适用网络版防毒软件,因为网络版防毒软件的管理功能更强大,校园网的管理员只要及时在服务器端进行升级,客户端启动后就可自动升级,网管员还可对所有安装客户端的计算机进行病毒监控、进行远程杀毒,及时了解校园网中病毒疫情。
3.3.3计算机用户要增强网络安全意识。不要轻易使用盗版和存在安全隐患的软件;不轻易浏览一些缺乏可信度的网站;不要随便打开不明来历的电子邮件,尤其是邮件附件中的exe和com等可执行程序,对方发过来的电子邮件及相关附件的文档,首先要“另存为...”命令保存到本地硬盘,待用杀毒软件检查无毒后才可以打开使用;不要随便共享文件和文件夹,即使要共享,也得设置好权限;
3.4网络监控措施。在不影响网络正常运行的情况下,增加内部网络监控机制,可以最大限度地保护网络资源。如:配备入侵检测系统(ids, intrusion detection system),入侵防御系统(ips, intrusion prevention system),web、e-mail、bbs的安全监测系统和网络监听系统等。通过监控手段,增强网络安全的自我适应性和反应能力,及时发现不安全因素,从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、mrtg和sniffer等工具,形成一个功能较完整、覆盖面较广的监控管理系统。
3.5网络安全隔离。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。合理使用防火墙,可以构筑内外网之间的安全屏障,有效地将内部网与外部网隔离开来,有利于提高网络抵抗黑客攻击的能力和系统的安全性。在windowsxp/2000系统中可以开启自身带的防火墙功能,但最好还是安装专业的防火墙软件,如天网、360安全卫士和瑞星防火墙等。
3.6数据备份和恢复。对于计算机而言,最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区,避免因重装系统造成数据丢失。重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取异地备份、光盘备份等多种方式。对于校园网的管理员来说,要做好各种应急准备工作,必须要有一套应急修复工具,如系统启动盘、dos版杀毒盘、紧急系统恢复盘、各种操作系统盘、常用应用软件包、最新系统补丁盘等,并且做好分区表、dos引导扇区、注册表等的备份工作,这样可提高系统维护和修复时的工作效率。
3.7制定切实可行的网络安全管理制度。为了确保整个网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理。主要包括以下几方面的内容:(1)建立一个权威的信息安全管理机构,制定统管全局的网络信息安全规定;(3)制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;(4)对网络管理员进行专业知识和技能的培训,培养一支具有安全管理意识的网管队伍,使他们从技术上提高应对各种攻击破坏的能力;(5)把网络信息安全的基本知识纳入学校各专业教育之中;(6)对学校教师和其他人员进行信息安全知识普及教育;(7)在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。
校园网的安全问题是一个较为复杂的系统工程, 需要全方位防范,防范不仅是被动的,更要主动进行。在网络安全日益影响到校园网运行的情况下,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识;安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,尽一切可能去制止、减小一切非法的访问和操作,把校园网不安全因素降到最少。
浅谈计算机通信的网络安全问题
一、计算机通信安全现状
计算机网络伴随信息技术的快速发展在各个行业中得到广泛应用,但随之带来了信息安全问题的出现,这对计算机通信造成了严重威胁。据美国联邦调查局统计,美国每年因网络安全问题造成的经济损失高达70多亿美元,全球平均每20秒就出现一起计算机入侵事件,从这些入侵事件中也不难看出网络攻击所具有的显著特点:
1.社会安全威胁,有些计算机网络攻击者主要针对国家的军事、政府部门进行攻击,从而对社会及国家安全形成威胁。
2.攻击造成较大损失,由于计算机入侵主要是针对网络上的计算机,因此每次攻击如若成功都将会给计算机用户带来巨大灾难,甚至会出现系统无法运行、数据丢失或者被盗窃的现象。
3.攻击手段多样化且十分隐蔽,计算机攻击者通过非法手段窃取他人帐号及密码进入计算机,然后通过对网络监视获取机密信息。完成窃取、监听过程的时间十分短暂难以察觉,但攻击的杀伤力却十分强大。
计算机网络通信安全所涉及的方面较多,可以从不同的角度作出相应的解释,国际组织对网络通信安全是这样定义的:信息的可用性、完整性、可靠性及保密性。若从一般层次上讲,计算机网络通信的可靠性及安全性主要依靠网络自己的特性借助一些安全措施或与安全技术相互结合预防计算机在通信过程中操作系统、软件、硬件的应用能够正常运行,网络中数据的传输不受破坏及威胁,拒绝非法用户对数据或服务的窃取。即借助于安全措施,无论是通过安全软件来进行对计算机实施保护又或是通过安全硬件设备对计算机通信安全提供保障,预防计算机网络遭受非法入侵,进而实现网络通信的持久安全运行。从网络运行的具体环节来看,网络通信安全主要包含:数据信息在传输过程中的安全、硬件设备运行过程安全、用户登录信息安全识别。计算机通信过程如何实现安全传输,这涉及到较多的学科,例如,计算机科学、网络技术、通信技术、网络安全等等,它主要是以实现网络系统中的硬件、软件及系统中存放的数据进行安全保护为主。确保来自外部的不良因素无法形成对其威胁,从而使网络系统安全、持久不间断运行,形成网络服务的畅通。
二、计算机通信网络安全问题的原因分析
(一)客观原因
首先,计算机通信网络所具有联结广泛的特性决定了给网络攻击带来了必要的条件,非法入侵者依据网络存在的漏洞或存在安全缺陷对网络系统的硬件、软件进行攻击。导致系统中数据的丢失,即便有些信息在安全级别方面进行了设置但还会有漏洞的存在。其次,计算机系统与通信网络自身较脆弱,因此遭受不同程度的攻击是不可避免的,虽然,我们也可以看到当前有很多保护系统安全的软件出现,例如,微软操作系统在漏洞被发现后都会及时制定解决方案,而这些解决方案都是通过编写应用程序的方式出现,程序代码的编写不可能是完美无瑕的,安全隐患仍然会存在。最后,计算机病毒的传播也加剧了网络通信安全问题的出现,使网络系统遭受着不同程度的打击,造成数据的改动、删除最终破坏整个系统。再有,电子商务软件普遍应用到通信网络系统中,而这些电子商务软件的源代码又是公开的,这给非法入侵者寻找系统漏洞带来了便利。
(二)主观原因
计算机网络管理员往往忽视潜在的安全问题,亦有些管理员的实际操作水平不够,在操作过程中违反安全保密所制定的规则,对操作规程不够了解,例如,工作中不允许公开的机密资料却进行公开,而密钥又不进行及时更新,长时间使用相同密钥,使得密码被破解的几率急剧增加,最终导致网络系统在管理上没有任何规章可循。在对网络系统的管理和使用方面,人们的习惯偏移于方便操作而忽视安全保密方面的问题。
三、计算机通信网络安全问题的解决对策
计算机通信网络安全威胁可分为两类:故意(黑客入侵等)、偶然(信息去向错误的地址)。故意威胁又可分为被动威胁及主动威胁两类。被动威胁主要针对信息进行监听但不对数据内容进行改动,主动威胁则是针对信息监听但对数据进行恶意修改。从以上两种攻击不难看出,被动攻击的难度远远小于主动攻击,因此被动攻击更加容易实现。但是目前并没有一种统一的方式或方法对各种威胁进行区别或者进行分类划分,也难以判断不同的威胁之间有没有联系。威胁随时根据所存在的环境发生变化而改变。然而,人们为了解释网络安全服务所带来的作用,总结了现代计算机网络及通信过程中比较常见的一些威胁:安全威胁领域(植入威胁及渗入威胁),植入威胁比较常见的有:特洛伊木马、陷门。渗入威胁:授权侵犯、旁路控制、假冒。但我们也可以清楚的看到,在非法入侵者实施入侵时往往将几种攻击手段进行结合使用。例如,internet蠕虫就是将旁路控制与假冒攻击进行了结合形成的威胁。
(一)加强防范措施
网络攻击是针对系统及各方面安全缺陷进行非法操作的行为,因此防范策略应针对网络中的各个层次从技术角度进行安全设计这是安全防御系统形成的首要条件。目前所采用的安全防范措施从软件、硬件、软件及硬件相结合的设备主要有以下几种:安全过滤网关、系统加密、入侵检测、身份认证、漏洞扫描、杀毒软件等。
(二)数据加密方式
数据加密在当前数字货币、电子商务、电子银行等业务中得以普及,数据加密也是数据安全得以保障的核心技术,其加密的原理是由明文向密文进行转变的过程。与加密相对应的则是解密,即将密文恢复成明文的实现的过程,这两个环节均依靠密码算法进行实现。数据加密技术在网络通信中的应用有效促进数据通信、网络平台应用的安全系数的提高,保证双方的通信在安全下进行使得数据不被盗取及破坏。同时,数据加密技术也可在软件中实现加密,当加密程序本身没有受到病毒感染时便无法检查出数据或程序中是否含有数字签名,因此应将该加密技术应用在杀毒软件或反病毒软件当中。其次对网络数据库实施加密是十分必要的,由于数据通信传输中存储系统与公用传输信道十分脆弱,因此采用数据加密技术进行保护。以前我们对数据库的保护方式多采用设定访问权限及输入密码,此类问题解决的核心在于数据本身是否进行了加密,如若是进行了加密,那么数据即便被盗取也较难被破解。因此我们也不难看出数据加密技术在针对系统内、外部的安全管理中起到举足轻重的作用。随着数据加密技术日新月异,还应将当前的vpn技术与其结合,使数据以密文形式在互联网上实现通信传送,等数据到达局域网路由器时再进行解密,进而实现局域网用户明文查收数据,这样就有效的解决了局域网与广域网连接中网络通信数据传输的安全问题。
(三)数字签名及控制策略
数字签名技术是针对网络通信信息论证的科学方式手段,依据单向函数对报文进行处理及发送,进而得到报文认证的来源并判断传输过程中是否发生变化。数字网络通信中数字签名技术是认证的关键,它对解决伪造、冒充、篡改等问题起到主要作用,有着良好的无法抵赖性。当前数字签名技术成熟,尤其在电子政务及电子商务中得到普遍应用,具有较强的可操作性,在实践中我们应采用科学化、规范化的程序方式判断签名方身份,确保通讯内容的真实性、安全性性,进而实现有效的可控管理。其次,网络通信实践运行中还应引入科学的访问控制策略,确定相应权限,保障计算机网络安全、可靠运行,建立绝对安全的操作策略及保障机制有效预防非法攻击行为。
四、结语
计算机技术的发展与日俱进致使网络安全技术不断更新,掌握必要的网络安全知识,增强网络安全防范是十分必要的。我们要时刻注意安全问题,尽量多的使用可靠、安全工具进行系统的维护,使得我们的网络安全更加稳定、持久的运行,这也是未来电子化、信息化发展的必然要求。
论文关键词:网络 信息安全 办公自动化
论文摘要:办公自动化系统的建设方便了企业信息、共享资源、对外交流和提高办事效率,但同时也带来了来自外部网络的各种安全威胁。本文针对性地对系统常见安全问题提出七类主要的防范方法。
0引言
办公自动化系统(oas)是办公业务中采用intemet/intranet技术,基于工作流的概念,使企业内部人员方便快捷地共享信息,高效地协同工作,实现迅速、全方位的信息采集、信息处理,为企业的管理和决策提供科学的依据。一个企业实现办公自动化的程度是衡量其现代化管理水平的标准。oas从最初的以大规模采用复印机等办公设备为标志的初级阶段,发展到今天的以运用网络和计算机为标志的阶段,oas对企业办公方式的改变和效率的提高起到了积极的促进作用。近年来,办公自动化系统都是架设在网络之上的,它是一个企业与外界联系的渠道,企业的imranet最终都会接人internet,这种接人一方面方便了企业信息、共享资源、对外交流和提高办事效率,另一方面也带来了来自外部网络的各种安全威胁。
1办公自动化系统存在的安全晚息
随着internet的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开放互联环境中进行商务等机密信息的交换时,如何保证信息存取中不被窃取篡改,已成为企业非常关注的问题。在国际上,计算机犯罪案件正在以几何级数增长。计算机犯罪是一种高技术型犯罪,由于妇汀日罪的隐蔽侄,因川,寸办公自动化系统安全构成了很大的威胁。
目前,办公自动化系统的安全隐患主要存在以下几个方面:
假冒内网的ip地址登录内网窃取信息;软件系统自身的问题:利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息,或者进人系统进行物理破坏;病毒破坏,计算机病毒是一种人为制造的,在计算机运行中对计算机信息或者系统起破坏作用的程序。它通常隐蔽在其它程序或者文件中,按照病毒设计者设定的条件引发,从而对系统或信息起到破坏作用;黑客人侵;防范技术落后,网络安全管理不力,管理人员混乱,权限混乱等等。
2系统安全的防范
针对目前系统安全的上述问题,在办公自动化系统安全上提出下面几类主要的防范方法。
2.1加强机房管理
对目前大多数办公自动化系统来说,存在的一个很大的不安全因素是网络管理员的权力太大,据有关资料报道,80%的计算机犯罪来自内部,所以对机房工作人员要做好选择和日常考察,妾采取一定的手段来限制或者削弱网络管理员的权力,对机房工作人员,要结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;要加强业务、技术等方面的定期培训,提高管理人员的技术水平。
2.2设里访问控制
访问控制是保证网络安全最重要的策略之一。访问控制策略包括人网访问控制策略、操作权限控制策略等几个方面的内容。首先,网络管理员应该对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户账户应只有网络管理员才能建立,用户口令是用户访问网络所必须提交的准人证。针对用户登录时多次输人口令不正确的情况,系统应按照非法用户人人口令的次数给予给出报警信息,同时应该能够对允许用户输其次,用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。最后,针对用户和用户组赋予一定的操作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些资源,可以在服务器上进行何种类型的操作。网络管理员要根据访问权限将用户分为特殊用户、普通用户和审计用户等等。
2.3数据加密
主要针对办公自动化系统中的数据进行加密。它是通过网络中的加密系统,把各种原始的数据信息(明文)按照某种特定的加密算法变换成与明文完全不同的数据信息(密文)的过程。目前常用的数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密对用户来说比较容易实现,使用的密钥较少,而端到端加密比较灵活,对用户可见,在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。数据存储加密主要就是针对系统数据库中存储的数据本身进行加密,这样即使数据不幸泄露或者丢失,也难以被人破译。数据存储加密的关键是选择一个好的加密算法。
2.4建立工作日志
对所有合法登录用户的操作情况进行跟踪记录;对非法用户,要求系统能够自动记录其登录次数,时间,ip地址等信息,以便网络管理员能够根据日志信息监控系统使用状态,并针对恶意行为采取相应的措施。
2.5加强邮件安全
在众多的通信工具中,电子邮件以其方便、快捷的特点已成了广大网络用户的首选。然而这也给网络安全带来了很大的隐患,目前垃圾邮件数量巨大、邮件病毒防不胜防,而关于邮件泄密的报道更是层出不穷。面对电子邮件存在的巨大安全隐患,可以采取如下的防御措施:
1)加强防御,一般用户会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,勿开启来自未知寄件者的附件;勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息等。
2)对邮件进行加密,由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性和不被其他人截取和偷阅也变得日趋重要。据调查,74%邮件泄密是因为邮件中的机密信息未做任何加密措施引起的。因此,邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。
3)反垃圾邮件,垃圾邮件经常与病毒有关,因此用户需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含恶意软件的网站,而且病毒经常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,或在打开邮件附件之前用反病毒软件进行扫描等等。
2.6设置网络防火墙
通过安装并启用网络防火墙,可以有效地建立起计算机与外界不安全因素的第一道屏障,做到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵。
2.7保护传输线路安全
对于传输线路,应有相应的保护措施,并要求远离各种辐射源,以减少由于电磁干扰引起的数据错误;网络连接设备如hub等应放置在易于监视的地方,以断绝外连的企图;还要定期检查线路的连接状况,以检测是否有外连或破坏等行为。
3结束语
总之,网络应用已经渗透到社会经济生活的方方面面,internet和信息化办公在为人民提供便利的同时,也时刻受到网络信息安全的影响。我们在充分享受网络办公系统方便、快捷的同时,更要时刻注意维护系统信息的安全。
摘要:随着经济和科技的发展,无论是生活用电量还是工业用电量都在迅速的增长,这在一定程度上促进了电力的发展。因为资源分布不均,为了满足大家对电力的需求,所以电力调度自动化的发展就显得非常的重要。我国的电力调度自动化水平在不断的提高,但是在调度的过程中还存在网络安全问题,为了提高电力调度的效率并且改进电力调度自动化网络安全问题是非常有必要的。本文首先分析了电力调度自动化的概念,进而分析了电力调度自动化中存在的网路安全问题,并提出了相关的改进措施,希望能够提高电力调度的效率,促进电力行业的蓬勃发展。
关键词:电力调度自动化;网络安全问题;改进措施
0引言
在电力行业的发展中,电力调度自动化工作对于居民和企业的用电是非常重要的,保证着企业和居民的安全用电,同时也保证着电力企业的效益发展。我国现阶段电力已经得到了飞速的发展,但是随之而来的问题也非常的显著,电力调度自动化的网络安全问题就是其中一个比较重要的问题,所以急需改善电力调度的网络安全问题。这样才能促进电力行业的发展,进而促进经济和科技的发展。
1电力调度自动化概念
电力调度自动化是以互联网为平台的,通过互联网建立控制中心对电力系统进行监控和调度,从而能够实现电力调度的自动化,其中包括安全监控、现状分析、负载测试、安全分析、发电控制和自动经济调度等等,电力自动化调度能够实现对电力的监管及时发现电力线路中存在的问题,及时地给与解决。
2电力调度自动化网络安全问题分析
2.1网络系统管理工作不合理
电力调度包括安全监控、现状分析、负载测试、安全分析、发电控制和自动经济调度等内容,是一项很复杂的工作,调度工作人员在管理的时候很容易忽视某些环节。当问题发生时,不能及时的分析和解决问题,造成损失。同时,随着互联网技术的发展,现在网上存在很多病毒或恶意软件,这又加大了电力系统的网络风险,给工作人员带来一定的挑战。
2.2不能及时进行网络升级
网络技术是一个日新月异的存在,所以电力调度系统的更新非常的重要。如果不能及时对电力调度网络系统进行更新,将会大大影响调度工作的效率。严重者,存在的漏洞会成为网络攻击的对象,造成电力系统的损失。
2.3电力调度工作人员综合素质有待提升
电力调度工作人员综合素质对工作的展开影响非常的大,直接影响着管理的效率和效果。据调查表明,我国的电力自动化工作人员综合素质普遍偏低,不能高效地完成调度工作,更甚者还不能完成本职工作。如果在工作过程出现一个突发状况,工作人员不能及时对产生原因进行排查,不能及时的解决问题,将会加速问题的恶化,对电力自动化的运行产生严重的影响。
3提高电力调度自动化系统的网络安全管理水平的措施
3.1建设科学合理的网络结构
电力调度自动化系统在运行的过程中,存在很多的隐患造成对系统运行效率的影响,其中很大一部分原因是因为电力自动化系统的网络结构不合理。所以,构建科学合理的网络结构非常必要。在构建网络结构过程中,工作人员应该吸取以往经验,对实际中频发的干扰因素和实际环境进行考虑,并采取相应的措施排除干扰因素的影响。同时还应结合实际情况对电力系统的布线情况、设备安全性进行分析评估,按照设计要求进行落实。在电力系统运行的过程中,应该保持系统的敏感度,能时刻监控环境的湿度和问题,当湿度和温度超出正常水平之外时,能够做出预警。电力系统长时间工作在温湿度范围之外的环境中,很容易造成电路的短路,对电力系统的安全形成大的隐患。所以,工作人员应该时刻关注温度的变化,对机房进行降温处理,保证电力系统的正常运行。
3.2提高工作人员的综合素质
工作人员的素质对于提高电力系统的效率也是非常重要的。对于电力调度自动化的网络安全管理工作人员需要岗前的培训,使工作认识到工作的重要性,同时还要明确工作的具体细节。具体来说,首先应该熟悉电力系统的网络结构,明确网络结构的构成,能够及时的对网络结构的各个环节进行监控,在工作的过程中能够不断的吸取教训,形成系统的知识架构;其次,工作人员应该加强自身的安全意识,企业也应该定时的开展各种安全讲座以及加强安全技能培训。让工作人员在加强自我安全意识的同时还能掌握一定的自保技能,当事故发生时能够做出及时的应对;最后,应该加强工作人员的责任意识,可以定期展开相关的培训,帮组工作人员增加责任意识。使工作人员在实际的工作过程中能够负责地对待每一个工作细节,这样才能保证工作高质量地进行,有利于电力调度自动化网络安全工作的高效率运行,实现用户和企业的高效率。
3.3完善电力企业网络安全管理机制
完善电力企业网络安全管理机制对于电力调度自动化网络安全管理工作的开展是非常重要的。在制定电力企业网络安全管理制度时,可以从技术和法律俩个方面来制定管理制度。但是在制定的过程中,企业需要考虑到自身的实际情况,并依据制度进行落实,一套好的网络安全管理制度有利于工作高质量的落实,并且能够提升工作人员工作效率。另外,工作人员在工作的过程中可以借鉴别人成功的经验,并结合自身的工作环境,对网络安全制度进行完善。同时,还可以采用一些比较先进的设备对电力系统进行监控,防止网络上的木马、病毒和恶意软件对系统的攻击,保证电力系统安全的运行。
3.4制定完善安全管理措施
制定完善的安全管理措施是保证电力调度自动化安全系统高校运行的保证,同时还能保证工作人员和设备的安全,拥有良好的工作环境。在工作开展的过程中,工作人员必须根据实际对设备和技术进行管理,保证系统高校运行。首先,在系统工作之前,工作人员需要对设备进行详细的检查,保证设备各个指标能够满足制度要求。对于存在问题的设备,工作人员应该进行撤换;其次,在对技术管理的过程中,工作人员应该仔细的检查系统运转情况,检查系统是否处于最新状态,否则需要对系统进行升级处理。避免系统存在漏洞,从而受到病毒的攻击;最后,还应制定一套完整的工作流程和操作细节,对工作人员的操作进行管理,从最基本的地方提高工作人员的质量。
4工作原则
在电力调度自动化网络管理工作开展的过程中,主要的管理目的是为了减少系统受到的非法攻击,能够提高系统的安全性能。第一方面,管理工作应该遵循整体性原则,从检测和控制两个方面实现对系统的整体控制,在受到恶意攻击时能够及时给与解决,保证系统的安全运行。第二方面,管理工作应该遵循等级原则,管理过程中,采取等级管理制度划分不同等级的工作,这样有助于提高工作效率。而且当问题发生时,工作人员能够做出针对性的反应。在提高工作效率的同时还能减少工作人员的工作量。
5总结
综上所述,电力调度自动化工作的良好开展有助于提高电力输送的效率,同时还能提升电力系统的安全性能,保证了企业和用户的效益,极大地促进了电力行业的发展。虽然现阶段电力调度自动化网络还存在一定的安全问题,只有采取积极的应对措施才能实现用户和企业效益的最大化。在制定管理制度的过程中,电力企业应该从网络结构的设计、工作人员的素质、电力企业网络安全管理机制和安全管理措施四个方面来考虑。但是随着改善措施的提出以及科技的发展,相信在不久的将来电力行业水平将会有大幅提升。
作者:任涛 单位:乌兰察布电业局
摘要:
在油气田企业中,现在更加重视网络安全管理,但是依然存在很大的问题和漏洞,为了对产业的发展不造成影响,在计算机网络技术的辅助作用下促进企业的发展,就需要加强网络安全。目前最常用的就是防火墙,在这方面的引用该还需要不断的提高,提升安全保护。本文分析了油气田网络安全中存在的问题和提出防火墙安全防护措施。
关键词:
油气田企业;网络安全问题;防火墙;安全防护策略;探讨分析
油气田企业在发展过程中,需要应用到现代新的网络技术,而且这是对其发展是必不可少的,很多技术的应用都是以网络信息技术作为支撑的。但是网络有其本身的缺点和弊端,在使用过程中的一些问题也会对企业造成损害,所以有必要加强网络管理安全,采用防火墙技术,是较为常用的防护措施之一。
1油气田企业中的存在的网络安全问题
1.1网络漏洞容易受到外来的攻击
网络信息技术的使用中,本身是有缺陷漏洞的,势必会导致一些入侵的现象,也就是“钻空子”,非法侵入网络系统。这样的行为会对我们自身的安全造成很大的威胁,对一些机密的资料和技术会造成破坏和窃取。或者入侵网站,恶意的攻击,对油气田企业的正常发展和运营造成巨大的影响,比如说造成信息的流失和系统完整性的破坏。所以我们对网络技术安全建设需要加大力度,实时监督力度也要加强,防止破坏性的入侵[1]。
1.2网络管理水平低下
没有油气田企业设置有专门的网络管理部门,这样能够对网络进行实时维护和安全管理监控,随着现代科技的不断发展,网络技术的更新也很快,所以对安全管理提出了更高的要求。油气田企业中网络技术应用广泛,所以网络技术和安全需要重视,但是由于企业内部人员在网络技术方面欠缺能力,专业技能和知识不是很扎实,造成油气田企业的网络安全威胁,不能对网络做到维护,和构建安全完整的企业系统。所以,为了避免这样的情况发生,需要引入专业的计算机人才负责企业的整个网络运行,保证按安全生产。
1.3网络技术服务系统没有及时更新
网络信息具有时效性的特征,网络技术在油气田企业中的应用范围是很广泛的,既有网络技术,又有网络管理。大多数企业将重点放在了基础设备的更新使用上,对硬件比较重视,往往忽略了软件的使用更新和系统的升级,现代技术发展很快,所以对许多软件的淘汰率很高,如果不能做到及时的更新和升级,势必引起安全问题[2]。
2防火墙安全防护措施分析
防火墙是一种很基础也很普遍的网络安全防护技术,是保护计算机安全的基础。防火墙的本质是介于计算机和网络之间的一种安全软件。防火墙的主要作用是对互联网的一些业务信息进行过滤和监测,对计算机本身的使用具有监控,通过系统记录实现网络安全防护。现代油气田企业中大量使用网络技术,所以防火墙这种基本的安全防护手段用的较多,防火墙对现代油气田企业的网络安全发展形成一种辅助性服务作用,能够避免网络上的一些较大疏漏。防火墙再具体使用和设置的时候,为了保证安全,需要依据以下原则。第一,设置任务目标明确。根据企业具体的发展和网络设施的实际情况,以及油气田企业特殊的要求等等进行安全防护。第二,保证使用产品的安全性。防火墙也是有好有坏,性能也是不一样的,所以企业在选择的时候,应该不吝成本,购买安全性能高的防火墙,保证使用时安全防护功能的行使。第三,设施的维护要方便。放火墙的维护使用做到简便,这样对工作人员来说会更加得心应手,使防火墙得到有效的实际应用,管理操作人员需要有灵活的操作策略[3]。防火墙一方面能够将网络中的一些垃圾和恶意的信息进行拦截,另外使网络系统免受外界的攻击,这是其主要发挥的功能[4]。对于油气田企业来说,这是极其重要的。防火墙保证了油气田企业的一个良好安全的运行环境,使得网络服务和技术使用更加通畅。同时,抵御网络的攻击,保证企业的利益。
3结语
综上所述,在油气田企业中,现在更加重视网络安全管理,现代网络信息技术在油气田企业的使用中更加广泛和普遍,重要的是更新维护很快,对企业的发展具有促进作用。但是在实际管理中,又出现很多问题,影响到网络的安全正常的运行,所以我们需要针对这些出现的漏洞进行安全防护措施的实施,保证油气田企业网络的服务系统的安全。防火墙技术的使用具有很大的效果,在现代技术快速发展的前提下,我们需要做到全面的防护,才能保证真正的网络安全。
作者:赵强 叶秀芬 刘峰 单位:长庆油田分公司第一采气厂
摘要:
计算机局域网网络在给生产生活带来便捷的同时,也暴露出十分严重的安全问题,这就使得人们对局域网网络的安全问题日益关注。文章总结了局域网网络中存在的安全问题,并有针对性地探究了一些对策。
关键词:
局域网;网络安全;现状问题;有效对策
局域网使人们的工作实现了信息化、电子化模式,并以其自身的广泛性、开放性特点被普遍应用,但是也正是这些优点,也大大降低了局域网的应用安全性。局域网的易扩散、网络开放、资源共享等特征,导致各种计算机信息在传输中以及发生丢失、遗漏、干扰等问题,甚至还会造成信息被破坏、被窃取等严重事件的发生。那么,如何有效解决局域网网络安全现状问题,是相关部门急需解决的问题。
1局域网网络中存在的安全问题
笔者在调查中发现,当前局域网网络在应用中还存在一些安全问题,不利于高效利用目标的实现。现将这些安全问题总结如下:(1)病毒入侵。计算机病毒的破坏性、潜伏性很强,这就使得局域网网络极易受到木马、病毒的侵害,局域网承担着连接网络的作用,如果未及时更新病毒或操作不当,就会让计算机植入病毒,从而在数据传输中就会在感染服务器后再传递到其他计算机中。虽然很多计算机都安装有防火墙,但仍旧无法避免局域网网络内部的攻击。计算机局域网网络内部攻击问题,通常可分为被动攻击及主动攻击。被动攻击是指病毒截取、窃取、破译重要信息,但网络仍可正常运行;主动攻击是指病毒选择性地破坏数据的有效性及完整性。(2)恶意软件入侵。恶意软件指的是那些计算机未明确提示、未经用户批准而强行安装并运行的软件。有些黑客通过恶意软件实现盗取用户信息数据的目的;有些恶意软件借助对电脑攻击或扫描,使计算机局域网网络服务器不能正常运行,这就极易造成计算机信息泄露,甚至可给企业带来严重的经济及名誉损失。(3)管理人员素质不高。当前,很多计算机局域网网络管理人员普遍缺乏专业知识,甚至有些管理人员是从其他岗位借调过来的兼职人员,他们对网络安全专业知识了解有限,在他们看来计算机局域网的安全管理只是对广域网的防护,对局域网网络内部的危险因素没有充分认识,并且尚不具备预防与解决局域网网络安全问题的意识与能力。在这种情况下,局域网网络安全管理成效就十分低下,从而导致在使用中频繁出现安全问题,制约了局域网网络积极作用的充分发挥。(4)尚未建立健全的安全管理制度。当前,虽然局域网安全问题频发并且给使用者带来了很多麻烦,甚至给企业带来了严重损失,但是还没有健全的安全管理制度对使用人员的行为及操作方法进行严格的规范,这就要导致越位访问问题十分突出,从而给不法分子带来了可乘之机。
2解决局域网网络安全问题的对策
依据上文总结的,当前计算机局域网网络中存在的一些安全问题,笔者在全面分析出现这些问题原因的基础上,有针对性地探究了一些对策。
2.1谨慎挑选应用软件
随着计算机技术的迅猛发展,与局域网相关的软件也丰富起来,比如游戏软件、杀毒软件、聊天软件等,而这些软件的安全性参差不齐,这就需要安装人员谨慎选择,因为有些软件中隐藏有病毒,一旦携带有病毒的软件被安装到计算机后,病毒随时会侵入计算机,从而就可较为容易地窃取、篡改或破坏计算机中的数据信息,进而大大降低数据信息的安全性,因此,在选择安装软件时,应始终持以谨慎态度,以保证局域网网络始终处于安全状态。另一方面,局域网中的所有计算机均需要安装有效的杀毒软件,以随时监控与查杀错误信息及外来病毒,还应及时更新病毒库、升级软件,并且还应安装先进的病毒入侵检测软件,借助系统的识别能力严格限制携带病毒软件的安装,从而构建其较为安全的局域网网络系统。
2.2科学建立网络系统
计算机局域网网络项目的主要任务是全面分析并合理设计网络系统,从而有效提高网络系统的科学性及安全性。为了解决数据在局域网中传输时被同一以太网中的节点截取而导致数据泄密事件的发生,安全管理人员应积极采取逻辑分段及物理分段两种形式来严重控制局域网安全问题,从而从根源上减少局域网网络问题的发生。在实际操作中,借助逻辑分段与物理分段可有效隔离敏感用户级非法用户,从而确保数据信息通常传输。另一方面,将传统的共享集线器更新为交换集线器,也可较好地解决因非法用户在以太网节点侦听时截取数据问题的发生,并且还可预防病毒入侵问题,从而不断提高局域网网络的安全等级。
2.3提高服务器安全等级
要想提高局域网网络安全等级,就需要重视对设备的管理,努力构建完善的安全管理制度,以有效预防非法用户恶意进入局域网进行非法操作。管理人员应积极采取措施对计算机系统、网络服务器、打印机等外部设备严加保护,经常性检查、测试、维护各种设备的运行环境,从而确保计算机局域网网络系统始终处于一个较为安全的工作环境中。另一方面,还应依照管理制度严重控制访问情况,以保证局域网服务器可正常运行。对访问情况的合理控制,是保证局域网网络资源远离被非法占用的有效途径,并且也是提高局域网网络安全等级的重要方法。通常情况下,常用的控制局域网访问问题的模块有权限控制、入网访问功能、信息加密等。保密性是提升局域网网络安全等级的有效形式,在储存信息与传输信息的同时,依照数据等保密等级采取与之相适应的加密措施,从而实现对传输数据的有效保护,进而切实提高数据信息的安全性。
2.4提高管理人员素质
局域网网络管理人员的素质高低直接影响了管理质量的高低。因此,在重视对管理人员素质的提升。在实际操作中应依据管理人员的实际情况为其制定合理的技能及专业知识培训方案,促使他们及时更新管理技术、提升管理能力。比如,可定期邀请局域网网络管理专家为管理人员开展专题讲座、搭建局域网网络管理经验分享平台等。从而使得管理人员充分认识局域网网络安全的重大作用,并不断提高自身的职责意识,一旦发现病毒,应借助自己的专业知识与业务能力恰当采取措施予以处理,并及时将相关情况汇报有关部门。只有这样,管理人员才能将安全管理意识渗透到每一个工作细节中,并且有能力为局域网网络安全运行保驾护航。
2.5完善安全管理制度
建立完善的计算机局域网网络安全管理制度,是提高安全管理工作的基础与前提。只有不断健全安全管理制度,才能使得安全管理人员在处理安全问题时有法可依、有章可循,才能为计算机局域网网络使用人员的安全操作提供帮助与指导。因此,计算机局域网网络安全管理部门应深入调查各种安全问题形成的原因及危害性,并有针对性地制定完善而全面的安全管理制度。制度内容不仅应涵盖对于局域网网络安全有关的计算机软件、硬件的管理与维护内容,而且还应涵盖安全操作章程、访问权限问题、软硬件安装及杀毒问题等。另一方面,计算机局域网网络安全管理制度中还应对各种不安全操作、非法操作行为进行惩处的措施,以此来约束危险操作及恶意操纵行为。只有这样,计算机局域网网络才能始终处于安全状态,才能充分发挥其优势作用,才能规范而健康地发展。
3结语
总之,局域网网络安全问题是制约局域网作用充分发挥的重要因素,因此管理人员应通过谨慎挑选应用软件、科学建立网络系统、提高服务器安全等级、提高自身管理素质等措施,确保局域网网络的正常、安全运行,从而促使局域网网络更充分发挥自身积极作用。
作者:张婷 周亚沛 单位:武警石家庄士官学校网络安全教研室 武警沈阳指挥学院教研部战斗模拟室
摘要:
21世纪人类进入了信息时代。网络由传统的有线发展至如今的无线。无线网络大大扩展了网络用户的自由空间。无线网络通过无线电波传输数据,其具有覆盖面广、经济、灵活、方便、增加用户以及改变网络结构的特点。但是其信息的传递不同以往一对一的方式,任何网络用户都可以接收发射机覆盖区域的数据。有线环境下的安全方案和技术不能用于无线网络。本研究就无线网络的安全问题进行了分析,并对解决无线网络问题的技术进行了介绍,期望能为解决无线网络安全问题提供参考。
关键词:
无线网络;安全问题;技术
0引言
无线网络是一个开放的、复杂的环境。其开放性导致网络更容易受到被动窃听和主动干扰。攻击者可以通过适当的设备向无线网络中增加信息,使接收者获得假信息。攻击者也可以完全控制连接,对信息进行拦截,然后对信息进行修改后发出。无线网络也同样面临病毒问题,由于用户之间交互频率较高,病毒可以迅速传播。无线网络已经出现了涉及手机犯罪、诈骗、非法监听等技术的演示和交易。所以加强无线网络安全技术研发意义重大。
1无线网络出现的主要安全问题
1.1移动通信存在不安全因素
为满足人们的需求,移动通讯的技术在不断发展成熟。但是事物的发展具有两面性。往往有不法分子利用移动通讯的安全技术漏洞进行违法攻击。用户的隐私信息以及系统的保密信息被攻击者攻击而泄露。攻击者手段多样。通常,攻击者会对自己的真实身份进行隐蔽,这种隐蔽使得网络和用户不能识别潜在的危险。移动通信网络的链路很容易被窃听,链路中的信息可以让攻击者获取用户的地址,还可以获得比如在线支付、转账等交易信息。攻击者还会将截获的数据进行改写、重放甚至删除,严重影响用户接收信息的完整性和可靠性,不可靠信息可能使得用户被诈骗。攻击者通过滥用一些特殊系统服务使得系统崩溃,攻击者还通过阻塞用户控制数据、信令使合法用户不能正常使用网络资源。攻击者对系统干扰后有时会使得系统对网络或用户拒绝做出响应,从而使用户不能正常使用网络。
1.2无线传感器网络受到安全威胁
作为特殊网络的无线传感器网络具有其自身的特点使得传统安全机制无法在其上使用。传感器是一个微小装置,其存储空间有限。由于技术不成熟使得传感器节点的能量依靠电池供应。传感器网络节点是一种微型嵌入式设备,对数据处理能力较差。由于传感器网络信道误码率较高,导致数据传输不可靠,而且节点之间传输数据无需事先建立连接。传感器网络属于多跳无线网络,网络的拥塞和节点对包的处理均可导致网络的延迟。攻击者通过监控数据的传输,可以进行被动攻击,对数据进行监听。攻击者还能进行信息拦截和检查,依据信息通道模式推断出信息内容。攻击者还能通过耗尽目标节点的资源令目标节点无法正常采集数据。攻击者不知道密钥的情况下即使无法进行解密,依然可以将截获的信息重新发给目标节点进行重放攻击。攻击者不在域内的节点时进行外部攻击。依据TCP/IP模型,无线传感网络的安全威胁还可以分为物理层、数据连接层、网络层、传输层与应用层的威胁。
1.3移动AdHoc网络受到攻击
移动AdHoc网络是一个临时的无基础设施的网络。在移动AdHoc网络中不存在专门的硬件,无中央服务器。移动AdHoc网络使用的是无线链路,而无线链路的使用使得其容易受到攻击。由于缺乏核心的路由器和网管,使得每一个节点充当路由器,数据包必须通过多跳路由,穿越不同的移动节点方可到达目的节点。移动AdHoc网络还有移动节点内存较小,计算功率小的特点。恶意节点可以通过更改控制消息区域或者转发经过篡改数值的路由信息来重定向网络流量和进行DoS攻击。移动AdHoc网络还受到模拟攻击,一个节点通过模拟自己在网络中的ID,但在对外发送的数据包中更改自己的IP地址,这样的攻击容易结合修改攻击,两种攻击的结合使得网络出现譬如路径的环路等严重故障。移动AdHoc网络还受到伪造攻击。攻击者散播假的路由错误信息,然后发起路由攻击,从而导致数据包丢失和额外开销。攻击者还可以通过应用学习路由的方法毒化路由缓存。MAC和网络协议中在数据包传输中使用延迟来防止勾结,攻击者通过删除这些信息,来快速转发它的请求信息。攻击者也可以利用更强大的传输工具传输RREQ,使得信息传递给更远的节点,从而减少了跳数,达到快速攻击的目的。攻击者还可以利用虫洞技术进行快速攻击。
2解决无线网络安全问题的技术
2.1移动通信4G系统技术
移动通讯发展至今已经入第四代。第四代移动通讯(4G)将第三代移动通讯(3G)和WALN集为一体。4G技术具有较高传输速率,而且其技术发展以数字宽带技术为主。4G的智能技术使其能自适应进行资源动态分配,有很强的灵活性。4G相比3G具有较好的兼容性。4G技术可以依据网络的状况和信道条件进行处理,使低网速和高网速用户并存并可以进行互通。4G技术能提供各种标准的通信业务。4G系统将交互干扰抑制和多用户识别技术结合,用以消除不必要的邻近和共信道用户的交互干扰,从而确保了收机的高质量接收信号,两种技术的结合还能减少网络基础设施的部署。4G无线网络可以通过智能处理器处理节点故障,可以纠正网络故障。4G系统的微无线电接收器是嵌入式的,在智能和节能方面都具有较大改进。
2.2提高无线传感器网络安全的措施和技术
实体认证是无线传感器网络安全的第一道屏障,实体认证用于鉴别用户的真实身份,可以有效阻止非法用户的加入,为网络的接入提供安全准入机制。R.Watro等人提出了基于RSA公钥算法的TinyPK实体认证方案,方案指出将执行公钥算法中的加密和验证操作交给传感器节点负责,把计算量大、能量消耗多的解密和签名操作交给基站等安全通讯的外部组织来完成。任何要与传感器节点建立联系的外部组织必须拥有自己的公私密钥对,同时,其公钥必须经过认证中心的私钥签名,以此作为它的数字认证来确定其合法身份。无线传感器网络通信模式中需要采用信息认证来确保数据包的完整性及信息源的合法性。在单跳通信模式中,需要引进单播源认证和广播源认证。多路径认证方式解决了多条通信模式下的信息认证。由于WSNs中关键节点承担着较多的任务,所以需要对其位置隐私进行保护。可以在网络中没有数据传输时发送假包来迷惑攻击者,延长攻击者捕获到汇聚节点的时间,从而对汇聚节点的位置隐私进行了保护。将数据包进行多路径选择传输也可以对汇聚节点位置隐私进行保护。建立健全入侵检测体系,层次检测体系可以提高检测的准确性,减少资源开销,可主动发现入侵行为。
2.3解决AdHoc安全问题的技术
在AdHoc网络中,对路由的全阶段都使用认证技术,攻击者或没有授权的用户不能参与到路由的过程中。信任值是一种新的度量用以管理路由协议行为,这个度量被嵌入到控制包中,一个接收节点在收到包时需要提供信任级别才能进行处理和转发。在每个节点声明其他节点成为邻居前需要在两节点之间进行三轮的认证信息交换。交换失败时正常节点会忽略其他节点,也不处理由这个节点发送过来的数据包,从而解决了利用高功率发送快速攻击的非法性问题。
3结语
网络的飞速发展方便了人们的工作和生活。无线网对这个时代产生更深刻影响。无线网络采用的数字技术,让网络承载更多高质量信息。网络的便捷性为人们所公认。但由于技术问题,无线网络也存在安全问题,给用户带来经济损失,让用户的隐私泄露。所以研发新的技术至关重要。相信在不久的将来,在技术的成熟的情况下,安全的全球无线网络将会实现。
作者:杜成龙 单位:广东科技学院
摘要:
本文对现阶段国内无线网络安全问题进行深入探究,并提出相应的应对策略,希望能够更好的保证无线网络的安全,让人们更加放心地使用。
关键词:
网络安全;无线网络;存在问题;解决对策
0引言
无线网络不但可以充分利用无线网络技术来取代实体网线,还能够与有线网络之间进行相互备份,因此它凭借着自身优势得到了很好的发展和应用,然而受到实际的影响,使得无线网络在使用过程中还存在一定的安全问题,因此需要对其进行重视和解决。
1无线网络在使用期间的存在的安全问题
1.1开放性导致网络易受攻击
众所周知,有线网络是通过实体网线进行连接的,由于其具有一定的边界性以及固定性,所以非法攻击者需要进行物理接入网络或者是边界。例如,防护墙或者是网关等,这样才能够进入到有线网络中,所以通过对其接入端口进行管理就能够对控制非法用户的实际接入。而无线网络不具备较为明确防御边界,加之其自身的开放性,使得信息截取、未经授权就使用相应服务以及恶意的注入相应信息等安全问题频频发生。一般情况下在无线网络中会有分布式拒绝服务问题存在。
1.2移动性导致安全管理男队增加
有线网络的使用终端需要与相应接入设备使用线缆进行连接,并且终端不能进行较大范围的移动,因此在对用户进行管控时也比较容易。而无线网络终端可能在其覆盖范围内进行随意移动,并且还能够进行跨区域的满足,因此使得接入节点的认真难度系数增加,例如,移动通信系统中会存在接接入认证问题[1]。加之移动节点缺少相应的物理保护,进而很容易发生窃听破话以及劫持等现象,而非法攻击人员则可以在任一位置上通过相应的移动设备来进行攻击,因此在相对较广的范围内对其中的某一个特定的移动节点是十分困难的。此外,一旦网络内部的节点被入侵以后就会使其内部攻击被严重破坏,更加难以进行检测,同时还需要注意的就是,还需要使用密码安全算法,这样能够有效地减少密钥泄露的现象发生,防止其在受到攻击时出现节点妥协现象。
1.3拓扑结构的动态变化使安全方案实施存在困难性
在有线网络中使用的都是拓扑结构,并且在安全技术以及安全方案方面部署也较为容易。而基于无线网络环境下,对于动态且变化的拓扑结构来说,其集中管理机制的缺失,导致安全技术在运用和管理过程中,变得更加复杂。
1.4传输信号稳定性的缺失导致通信安全机制问题缺失
相比而言,有线网络本身的传输环境是相对稳定且固定的,其传输信号质量能够长时间的保证稳定,而无线网络的信道特性会跟随用户位置的变化而改变,并且还会受到干扰、多径、衰落以及多普勒频移等多方面的实际影响,进而导致无线网络信号出现较为严重的波动,严重的甚至还会导致通信系统正常运行受到阻碍。同时还有可能会使无线信道自身所具备的竞争共享机制也出现数据丢失或者是损失等情况,因此基于以上情况的存在也对无线网络本身的安全机制提出了更高层次上的要求。
1.5受到无线网络终端的影响
有线网络中包含了众多的实体设备,例如路由器、防火墙等等,而这些设备不会受到攻击者的物理接触,因此有线网络可以充分利用实体设备来避免攻击者攻击。但是无线网络中没有网络实体设备,所以网络AP就会很容易被攻击者基础到,进而导致不真实的AP存在[2]。
2应对无线网络安全问题的策略
在对无线网络安全问题进行解决时,首先要有明确的应对思路,然后在这一基础上使用有效的策略来提升无线网络的安全性以及稳定性。
2.1对系统进行假设以及约定
这一方法就是对网络终端、实体等有关节点系统所进行的假设和约定,一般都包含了对各节点间的计算、存储、通信以及电源等进行相应的假设[3]。而对于相同的安全问题而言,在不同的假设以及约定条件下,会有不同的解决方式。如,在网络终端节点自身所具备的计算能力是否存在被限制的情况,而可以确认的就是RFID与传感器二者之间的计算能力是存在区别的,所以部署和执行方面的安全算法也是存在一定却别,通常情况下传感器会使用轻量的算法,而RFID中则使用轻量分组算法,进而有效对相应的系统进行假定以及约定。
2.2对网络体系结构进行分析
想要保证无线网络安全问题得到很好的解决,就一定要对网络系统中的拓扑结构、通信类型、网络规模、业务数据种类、网络异构性以及时效性等进行明确。并且网络体系结构与系统假设、约定是构建安全方案的基础以及约束条件。例如,一般情况下路由安全会受到网络拓扑结构的实际影响、身份认证会受到节点移动的影响、密钥管理的好坏也会对网络规模造成一定的影响,以及加密方式会对业务数据种类造成一定的影响。同时在一定程度上还可能会致使信任模式以及敌手模型的构建。
2.3对网络业务构成进行分析
在解决网络安全问题过程中,要对网络自身的工作流程、操作程序、涉及实体以及业务通信内容等进行分析,并充分考虑这些对象与通信内容是否存在被威胁的可能。例如,网络业务在构成期间可能会受到相应的安全威胁,加之业务工作程序会需要保护的内容进行确定,所以在某种程度上也就决定了协议中访问控制的实际对象以及进行交互的双方。因此对网络结构进行分析能够进一步对安全威胁进行确定,从而更好地满足无线网络安全的实际需求[4]。
2.4对网络系统中包含的信任模型进行分析
在对无线网络中所存在的安全问题进行解决时,一定要明确解决方案中所涉及的对象以及通信链路本身的信任程度。简单来说也就是对通信链路以及实体的可信程度进行确定,然后再去思考和确定相应的安全边界。例如,如果信任模型根据相应的协议进行操作,但是在一定程度上会对协议通信内容等进行泄漏以及篡改。而对于不可信的敌手而言,它们有可能不会按照相应的网络协议来进行操作,所以这时就需要采用非密码学等方式来进行解决。如,入侵检测机制以及信任管理机制等。
2.5对攻击网络系统的敌手模型进行分析
在无线网安全受到威胁时不管是内部或是外部攻击,还是主动或者被动攻击,都先要对敌手实际能力进行攻击,并构建一些较为典型的攻击情境,然后对攻击后可能产生的后果进行预估,进而保证能够有效解决安全问题。例如,在攻击传感器的诸多方式中,Sybil攻击以及虫洞攻击都可能会使RFID网络中的隐私问题造成一定的影响。同时也就表明,越是将的敌手模型假设的越强,那么相对的安全性也就越高。此外,如果按照网络特征来进行分析,就会发现在对网络的安全威胁以及攻击模式都存在一定的特有性,因此对于这些威胁进行防御时一般性的安全措施都不能对其进行有效解决,所以就需要按照相应的业务特点以及安全方案的实际情况来进行相应的设计,并且还要充分考虑安全方案的完整性以及创新性。
2.6确定安全威胁的共性需求
一般想要进一步确定威胁共性自身的安全需求,都是基于其自身的角度来进行分析的,其中不仅包含了保密性、可用行、隐私保护、信任管理、完整性以及可靠性等等。同时还需要注意的就是由于无线网络自身所具备的移动行以及设备稳定性等,都使得需要对隐私保护等方面进行重视和关注。
2.7对安全目标进行设计
要在上述步骤所归纳出来的安全需求、系统假设确定以及网络体系结构等来确定相应的安全目标,并且还要满足该目标完成时需要满足的特性。例如,安全算法必须要对实际计算量的上限、存储空间上线、容错本身的健壮性以及安全方案的对容性等进行满足,只有这样才能更好的对无线网络安全问题进行解决。此外还要在此基础上制定完善的安全体系,提升安全体系的科学性、必要性、完善性以及合理性,进而对其进行提升无线网络运行的安全性。
3结论
总而言之,随着无线网络的覆盖面积以及使用水平的提升,加之其自身所具有的诸多特性,都使得无线网络受到安全威胁水平出现上升。因此一定要使用合理的措施来对其进行解决,进而保证无线网络施工的安全性以及稳定性。
作者:肖伟 单位:湖北省烟草公司仙桃市公司