论文部分内容阅读
摘 要:该文对计算机网络安全存在的问题进行了深入探讨,并提出了对应的改进和防范措施。
关键词:计算机;网络;安全;对策
随着计算机技术的迅速发展,计算机在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,对于计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1、计算机网络安全的定义
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
2、计算机网络不安全因素
计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络存在的安全漏洞
网络系统的复杂性、网络协议的开放性、操作系统的漏洞、软件“后门”、人为因素等直接导致了网络安全漏洞存在的必然性。
组成网络系统的硬件和软件越多样化、异构化,存在安全漏洞的可能性就越大。根据网络安全检测软件的实际测试,一个没有安全防护措施的网络,其网络漏洞通常都在1500个左右。由于在设计初期过分强调其开放性,而没有仔细考虑其安全性问题,因此存在着许多原始的安全漏洞。目前已在TCP/IP协议上发现了100多种安全弱点或漏洞。?即使对网络的安全性至关重要的操作系统也同样存在着安全漏洞。据统计,在传统的UNIX操作系统中“臭虫成堆”,已发现的安全漏洞超过100个。微软Windows也可以说是“漏洞百出”。
软件的“后门”也会成为非法用户越过系统正常的安全检查,以非授权方式访问系统的秘密通道,其造成的后果不堪设想。???如果再加上安全防范意识差、人员技术素质差、操作失误或错误、用户口令人为地泄漏等,那么即便有再好的安全防御体系也是无济于事的。
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
2.2操作系统存在的安全问题
操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。主要体现在一下几个方面:
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,就会导致计算机系统的崩溃。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。
4)操作系统有些守护进程,如果被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,中间的通讯环节可能会出现被人监控等安全的问题。
2.3数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。
2.4防火墙的脆弱性
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
3、计算机网络安全的对策
3.1 技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下對策:
1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U 盘和程序,不随意下载网络可疑信息。
6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7) 研发并完善高安全的操作系统。目前恐怕没有绝对安全的操作系统可以选择,不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.2 管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3 物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识;计算机系统的环境条件温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面;机房场地环境的选择要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁;机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策等,因此要尽量避免网络的物理安全风险。
4、结束语
计算机网络安全是一项复杂的系统工程,我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。[论\文\网 LunWenNet\Com]
参考文献:
[1]张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
[3]常建平,靳慧云,娄梅枝.网络安全与计算机犯罪[M].北京:中国人民公安大学出版社,2002.
关键词:计算机;网络;安全;对策
随着计算机技术的迅速发展,计算机在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,对于计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。本文将对计算机信息网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1、计算机网络安全的定义
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
2、计算机网络不安全因素
计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络存在的安全漏洞
网络系统的复杂性、网络协议的开放性、操作系统的漏洞、软件“后门”、人为因素等直接导致了网络安全漏洞存在的必然性。
组成网络系统的硬件和软件越多样化、异构化,存在安全漏洞的可能性就越大。根据网络安全检测软件的实际测试,一个没有安全防护措施的网络,其网络漏洞通常都在1500个左右。由于在设计初期过分强调其开放性,而没有仔细考虑其安全性问题,因此存在着许多原始的安全漏洞。目前已在TCP/IP协议上发现了100多种安全弱点或漏洞。?即使对网络的安全性至关重要的操作系统也同样存在着安全漏洞。据统计,在传统的UNIX操作系统中“臭虫成堆”,已发现的安全漏洞超过100个。微软Windows也可以说是“漏洞百出”。
软件的“后门”也会成为非法用户越过系统正常的安全检查,以非授权方式访问系统的秘密通道,其造成的后果不堪设想。???如果再加上安全防范意识差、人员技术素质差、操作失误或错误、用户口令人为地泄漏等,那么即便有再好的安全防御体系也是无济于事的。
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
2.2操作系统存在的安全问题
操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。主要体现在一下几个方面:
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,就会导致计算机系统的崩溃。
2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。
4)操作系统有些守护进程,如果被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,中间的通讯环节可能会出现被人监控等安全的问题。
2.3数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。
2.4防火墙的脆弱性
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
3、计算机网络安全的对策
3.1 技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下對策:
1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U 盘和程序,不随意下载网络可疑信息。
6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7) 研发并完善高安全的操作系统。目前恐怕没有绝对安全的操作系统可以选择,不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.2 管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3 物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识;计算机系统的环境条件温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面;机房场地环境的选择要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁;机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策等,因此要尽量避免网络的物理安全风险。
4、结束语
计算机网络安全是一项复杂的系统工程,我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。[论\文\网 LunWenNet\Com]
参考文献:
[1]张千里.网络安全新技术[M].北京:人民邮电出版社,2003.
[2]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社,2006.
[3]常建平,靳慧云,娄梅枝.网络安全与计算机犯罪[M].北京:中国人民公安大学出版社,2002.