论文部分内容阅读
摘 要:当今世界,计算机网络技术飞速发展,这一变化使得互联网的应用变得越来越宽广,在带来海量信息的同时,网络的安全性受到极大的挑战,由此网络信息的安全性也就变得日益重要起来,现已被信息社会的各个领域所重视。本文对计算机网络安全方面存在的一些隐患做了一些分析,并提出了一些防范策略。
关键词:计算机网络 防火墙 网络安全
中图分类号:G640;TP393 文献标识码:A 文章编号:1673-9795(2011)07(b)-0183-01
当前,人类社会对计算机的依赖程度达到了空前的地步。一旦计算机网络受到一些不可预测的外界条件的影响或者是黑客的攻击而倒致不能正常工作,甚至瘫痪,整个社会就会陷入危机,将会带来极大的损失。
1 计算机网络安全的现状
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。与此同时,在我国由于网民缺乏网络安全防范意识,且各种操作系统及应用程序的漏洞不断出现,使我国极易成为黑客攻击利用的首选目标,互联网安全形势非常严峻。据最新调查显示,多达1.1亿网民在半年内遭遇账户或密码被盗情况,只有不到三成的网民认为网上交易是安全的。另据中国反钓鱼网站联盟的统计显示,截至2010年7月底,累计收到19817个“钓鱼网站”举报。从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰,网购安全问题成为电子商务发展的一大瓶颈。由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
2 计算机网络面临的威胁
由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面。
(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。(2)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。(3)计算机病毒与间谍软件。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。(4)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。(5)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。(6)计算机网络中经常受到攻击。
目前计算机网络中主要出现的攻击方式:(1)服务拒绝攻击。服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为。(2)利用型攻击。利用型攻击是一类试图直接对你的机器进行控制的。(3)信息收集型攻击。信息收集型攻击并不对目标本身造成危害,这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。(4)假消息攻击。用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
3 计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
(1)防火墙技术。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
(2)数据加密与用户授权访问控制技术。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
(3)入侵检测技术。入侵检测系统(Intr-usion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
(4)防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
(5)安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。
关键词:计算机网络 防火墙 网络安全
中图分类号:G640;TP393 文献标识码:A 文章编号:1673-9795(2011)07(b)-0183-01
当前,人类社会对计算机的依赖程度达到了空前的地步。一旦计算机网络受到一些不可预测的外界条件的影响或者是黑客的攻击而倒致不能正常工作,甚至瘫痪,整个社会就会陷入危机,将会带来极大的损失。
1 计算机网络安全的现状
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。与此同时,在我国由于网民缺乏网络安全防范意识,且各种操作系统及应用程序的漏洞不断出现,使我国极易成为黑客攻击利用的首选目标,互联网安全形势非常严峻。据最新调查显示,多达1.1亿网民在半年内遭遇账户或密码被盗情况,只有不到三成的网民认为网上交易是安全的。另据中国反钓鱼网站联盟的统计显示,截至2010年7月底,累计收到19817个“钓鱼网站”举报。从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰,网购安全问题成为电子商务发展的一大瓶颈。由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
2 计算机网络面临的威胁
由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面。
(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。(2)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。(3)计算机病毒与间谍软件。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。(4)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。(5)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。(6)计算机网络中经常受到攻击。
目前计算机网络中主要出现的攻击方式:(1)服务拒绝攻击。服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为。(2)利用型攻击。利用型攻击是一类试图直接对你的机器进行控制的。(3)信息收集型攻击。信息收集型攻击并不对目标本身造成危害,这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。(4)假消息攻击。用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
3 计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
(1)防火墙技术。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络(Internal)和不可信任网络(Internet)之间。
(2)数据加密与用户授权访问控制技术。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。
(3)入侵检测技术。入侵检测系统(Intr-usion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
(4)防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
(5)安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。