论文部分内容阅读
摘 要 网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统安全问题。计算机网络的安全问题越来越受到人们的重视,由于计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征,致使网络信息容易受到黑客的窃取、计算机系统容易受恶意软件攻击,因此,计算机网络信息资源的安全成为一个重要的话题。
关键词 计算机 网络安全性 防火墙
中图分类号:TP393.08 文献标识码:A
随着信息技术的飞速发展,网络及网络信息安全技术已经影响到社会的政治、经济、文化和军事等各个领域。以网络方式获取和传播信息已成为现代信息社会的重要特征之一。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。因此,网络安全必须有足够强的安全保护措施,确保网络信息的安全,完整和可用。
1 计算机网络安全定义
计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。
2 常见的计算机网络攻击方法
(1) 邮件炸弹。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。
(2)特洛伊木马。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它会在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(3)WWW的欺骗技术。在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的。
(4) 安全漏洞攻击。许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。
(5)过载攻击。过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
(6)网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
3 计算机网络安全的防范措施
(1)网络加密技术。密码技术是网络安全最有效的技术之一。一个加密网络不但可以防止授权用户的搭线窃听和入网,保护网内的数据、文件、口令和控制信息,而且也是对付恶意软件的有效方法之一。目前对网络加密主要有3种方式:链路加密、节点加密和端点加密。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护;端点加密的目的是对源端用户到目的端用户的数据提供加密保护。
网络信息的加密过程是由形形色色的加密算法具体实施的,以很小的代价就能提供很牢靠的安全保护。据不完全统计,到目前为止,已经公开发表的各种算法有将近300种。依照国际上的惯例,对加密算法有常见的以下两种分类标准:①私钥加密算法与DES。②公钥加密算法与RSA。
(2)防火墙技术。在网络中,防火墙是指两个网络之间实现控制策略的系统,用来保护内部的网络不易受带来自Internet的侵害。因此,防火墙是一种安全策略的体现。目前的防火墙技术一般都可以起到以下一些安全作用:集中的网络安全、安全报警、从新部署网络地址转换、监视Internet的使用和向外发布信息。典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火墙的技术包括4大类:包过滤型防火墙、应用级网关、电路级网关和代理服务器防火墙。这些技术各有所长,具体使用哪一种或是否混合使用,要根据具体情况而定。
(3)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
(4)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(5)入侵检测技术。防范网络入侵最常用的方法就是防火墙,防火墙具有简单的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,防火墙只是一种被动防御性的网路安全工具,仅仅使用防火墙是不够的。于是产生了入侵检测技术。入侵被检测出来的过程包括监测在计算机系统或者网路中发生的事件,再分析处理这些事件。入侵检测系统(IDS)就是使这种监控和分析过程自动化的独立系统,既可以是一种安全软件,也可以是硬件。IDS能够检测未授权对象针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。IDS对入侵的检测通常包括以下几个部分:对系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为做出响应;记录并报告检测过程结果。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。
(6)智能卡技术。数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器处注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
总之,计算机网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。
参考文献
[1] 谢希仁.计算机网络(第4版)[M].北京:电子工业出版社.
[2] 张仕斌.网络安全技术[M].清华大学出版社.
[3] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社.
关键词 计算机 网络安全性 防火墙
中图分类号:TP393.08 文献标识码:A
随着信息技术的飞速发展,网络及网络信息安全技术已经影响到社会的政治、经济、文化和军事等各个领域。以网络方式获取和传播信息已成为现代信息社会的重要特征之一。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。因此,网络安全必须有足够强的安全保护措施,确保网络信息的安全,完整和可用。
1 计算机网络安全定义
计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。
2 常见的计算机网络攻击方法
(1) 邮件炸弹。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。
(2)特洛伊木马。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它会在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
(3)WWW的欺骗技术。在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的。
(4) 安全漏洞攻击。许多系统都有这样那样的安全漏洞(Bugs)。其中一些是操作系统或应用软件本身具有的,如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。
(5)过载攻击。过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
(6)网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
3 计算机网络安全的防范措施
(1)网络加密技术。密码技术是网络安全最有效的技术之一。一个加密网络不但可以防止授权用户的搭线窃听和入网,保护网内的数据、文件、口令和控制信息,而且也是对付恶意软件的有效方法之一。目前对网络加密主要有3种方式:链路加密、节点加密和端点加密。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护;端点加密的目的是对源端用户到目的端用户的数据提供加密保护。
网络信息的加密过程是由形形色色的加密算法具体实施的,以很小的代价就能提供很牢靠的安全保护。据不完全统计,到目前为止,已经公开发表的各种算法有将近300种。依照国际上的惯例,对加密算法有常见的以下两种分类标准:①私钥加密算法与DES。②公钥加密算法与RSA。
(2)防火墙技术。在网络中,防火墙是指两个网络之间实现控制策略的系统,用来保护内部的网络不易受带来自Internet的侵害。因此,防火墙是一种安全策略的体现。目前的防火墙技术一般都可以起到以下一些安全作用:集中的网络安全、安全报警、从新部署网络地址转换、监视Internet的使用和向外发布信息。典型的防火墙系统通常由一个或多个构件组成,相应地,实现防火墙的技术包括4大类:包过滤型防火墙、应用级网关、电路级网关和代理服务器防火墙。这些技术各有所长,具体使用哪一种或是否混合使用,要根据具体情况而定。
(3)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
(4)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(5)入侵检测技术。防范网络入侵最常用的方法就是防火墙,防火墙具有简单的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,防火墙只是一种被动防御性的网路安全工具,仅仅使用防火墙是不够的。于是产生了入侵检测技术。入侵被检测出来的过程包括监测在计算机系统或者网路中发生的事件,再分析处理这些事件。入侵检测系统(IDS)就是使这种监控和分析过程自动化的独立系统,既可以是一种安全软件,也可以是硬件。IDS能够检测未授权对象针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。IDS对入侵的检测通常包括以下几个部分:对系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为做出响应;记录并报告检测过程结果。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。
(6)智能卡技术。数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡是密钥的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器处注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
总之,计算机网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。
参考文献
[1] 谢希仁.计算机网络(第4版)[M].北京:电子工业出版社.
[2] 张仕斌.网络安全技术[M].清华大学出版社.
[3] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社.