论文部分内容阅读
摘 要: 在我们使用网络的过程中,病毒、攻击、数据泄露等安全事件总会时有发生,面对这些安全事件有可能会带来的可怕后果,我们该如何做好网络的安全管理?
关键词: 网络安全;安全管理;防范策略
中图分类号:U472.42 文献标识码:A 文章编号:1671-7597(2011)0810100-01
随着网络应用的发展,计算机网络在日常生活和工作中的作用变得越来越重要,网络不仅为人们提供了很多宝贵的信息,更是一个现代化企事业单位的工作基础和维持业务正常运转的基本条件。人们对网络的依赖程度不断增加的同时,网络本身的功能及结构也变得越来越复杂。随着网络规模的扩大,以及网络资源的种类和数量的增多,大量在网络中存储和传输的数据就需要保护。网络管理,尤其是网络安全管理工作也就显得尤为重要。
1 网络安全内容
网络安全在不同的环境和应用中有不同的解释。对于网络用户、网络运行和管理人员及安全保密部门侧重的含义不同。从广义上讲,凡是涉及网络上信息的机密性、完整性、可用性、真实性、不可抵赖性和可控性的相关技术和理论都是网络安全所要研究的领域。也就是说归根结底,网络安全从其本质上来讲就是网络上的信息安全。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全的主要内容包括:
1.1 机密性
机密性就是保证敏感数据不被未授权实体查看,即防止信息泄露给非授权的用户、实体。通俗地说,就是只有通信的双方能够理解传输的信息内容。
1.2 鉴别
鉴别就是验证通信的对方就是要通信的用户或实体,而不是第三者冒名顶替。
1.3 完整性和不可否认性
完整性就是信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中,不能被偶然或蓄意地删除、修改、仿造、乱序、重放、插入等破坏和丢失的特性。
不可否认性则是防止信息被通信的一方否认,即确保用户无法否认对信息进行的发送、签收、接收等行为。
1.4 可用性和访问控制性
可用性是网络信息可被授权实体访问并按需求使用的特性,即网络信息服务在需要时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。为了提高网络的可用性,可以采取访问控制技术,确保网络的资源仅供拥有访问权限的用户或其他实体访问。
2 威胁网络安全的主要因素
2.1 人为的无意失误
人为的无意失误是造成网络不安全的重要原因。如,用户安全意识不强,不按照安全规定操作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会对网络安全带来威胁。
2.2 人为的恶意攻击
人为攻击又可以分为两类:一是主动攻击,即以各种方式有选择的破坏系统和数据的有效性和完整性;二是被动攻击,即在不影响网络和应用系统正常运行的情况下,进行截获、窃取或破译等以获得重要机密信息。 这两种攻击均可对计算机网络造成极大的危害,导致网络瘫痪或机密数据的泄露。
2.3 网络软件系统的漏洞和“后门”
网络软件系统不可能百分之百无缺陷和无漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,许多软件都存在“后门”,这是软件开发公司的设计编程人员为了自便而设置的,一般不为外人所知。但是一旦“后门”被别有用心的人掌握,造成的后果将不堪设想。
3 网络安全防范策略
面对各种对网络安全的威胁,网络安全防范是每个网络系统设计人员和网络管理人员的重要任务和职责。采用何种控制技术保证网络的安全访问,同时禁止非法者进入,已经成为网络建设及安全的重大对策问题。
3.1 防火墙技术
目前,保护网络安全最主要的手段之一是构筑防火墙。防火墙是一种逻辑装置,用来保护内部的网络不受来自外界的侵害,是近年来日趋成熟的保护计算机网络安全的重要措施。防火墙是一种隔离控制技术,它的作用是在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,防火墙也可以被用来阻止保密信息从企业的网络上被非法传出。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许网络管理人员“同意”的人和数据进入他的网络,同时将网络管理人员“不同意”的人和数据拒之门外,阻止网络中的黑客来访问企业的网络,防止他们更改、拷贝、毁坏企业的重要信息。
3.2 入侵和漏洞检测技术
入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。
入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
3.3 病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快,病毒破坏的范围更广。病毒防护技术的主要目标是检查和清除病毒,并阻止病毒的传播。
3.4 数字签名技术
数字签名是指使用密码算法对待发的数据进行加密处理,生成一段信息,附在原文上一起发送,接收方对其进行验证,判断原文真伪。数字签名总是伴随着某个报文的,在网络上传送具有数字签名的报文不仅可以防止发送方抵赖,而且还可防止第三者冒充发送方发的报文。进行数字签名要求数字签名是可鉴别的、不可仿造的和不可否认的。也就是说,数字签名一方面必须能够证明由某个人在一个文档上的签名确实是由该人签署的,另一方面还能证明只有那个人签署了那个文件。通常可使用公钥技术来实现数字签名。
参考文献:
[1]《计算机网络技术基础》(第三版),电子工业出版社.
[2]《计算机网络技术》,电子工业出版社.
关键词: 网络安全;安全管理;防范策略
中图分类号:U472.42 文献标识码:A 文章编号:1671-7597(2011)0810100-01
随着网络应用的发展,计算机网络在日常生活和工作中的作用变得越来越重要,网络不仅为人们提供了很多宝贵的信息,更是一个现代化企事业单位的工作基础和维持业务正常运转的基本条件。人们对网络的依赖程度不断增加的同时,网络本身的功能及结构也变得越来越复杂。随着网络规模的扩大,以及网络资源的种类和数量的增多,大量在网络中存储和传输的数据就需要保护。网络管理,尤其是网络安全管理工作也就显得尤为重要。
1 网络安全内容
网络安全在不同的环境和应用中有不同的解释。对于网络用户、网络运行和管理人员及安全保密部门侧重的含义不同。从广义上讲,凡是涉及网络上信息的机密性、完整性、可用性、真实性、不可抵赖性和可控性的相关技术和理论都是网络安全所要研究的领域。也就是说归根结底,网络安全从其本质上来讲就是网络上的信息安全。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全的主要内容包括:
1.1 机密性
机密性就是保证敏感数据不被未授权实体查看,即防止信息泄露给非授权的用户、实体。通俗地说,就是只有通信的双方能够理解传输的信息内容。
1.2 鉴别
鉴别就是验证通信的对方就是要通信的用户或实体,而不是第三者冒名顶替。
1.3 完整性和不可否认性
完整性就是信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中,不能被偶然或蓄意地删除、修改、仿造、乱序、重放、插入等破坏和丢失的特性。
不可否认性则是防止信息被通信的一方否认,即确保用户无法否认对信息进行的发送、签收、接收等行为。
1.4 可用性和访问控制性
可用性是网络信息可被授权实体访问并按需求使用的特性,即网络信息服务在需要时允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。为了提高网络的可用性,可以采取访问控制技术,确保网络的资源仅供拥有访问权限的用户或其他实体访问。
2 威胁网络安全的主要因素
2.1 人为的无意失误
人为的无意失误是造成网络不安全的重要原因。如,用户安全意识不强,不按照安全规定操作,如口令选择不慎,将自己的账户随意转借他人或与别人共享,都会对网络安全带来威胁。
2.2 人为的恶意攻击
人为攻击又可以分为两类:一是主动攻击,即以各种方式有选择的破坏系统和数据的有效性和完整性;二是被动攻击,即在不影响网络和应用系统正常运行的情况下,进行截获、窃取或破译等以获得重要机密信息。 这两种攻击均可对计算机网络造成极大的危害,导致网络瘫痪或机密数据的泄露。
2.3 网络软件系统的漏洞和“后门”
网络软件系统不可能百分之百无缺陷和无漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外,许多软件都存在“后门”,这是软件开发公司的设计编程人员为了自便而设置的,一般不为外人所知。但是一旦“后门”被别有用心的人掌握,造成的后果将不堪设想。
3 网络安全防范策略
面对各种对网络安全的威胁,网络安全防范是每个网络系统设计人员和网络管理人员的重要任务和职责。采用何种控制技术保证网络的安全访问,同时禁止非法者进入,已经成为网络建设及安全的重大对策问题。
3.1 防火墙技术
目前,保护网络安全最主要的手段之一是构筑防火墙。防火墙是一种逻辑装置,用来保护内部的网络不受来自外界的侵害,是近年来日趋成熟的保护计算机网络安全的重要措施。防火墙是一种隔离控制技术,它的作用是在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,防火墙也可以被用来阻止保密信息从企业的网络上被非法传出。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许网络管理人员“同意”的人和数据进入他的网络,同时将网络管理人员“不同意”的人和数据拒之门外,阻止网络中的黑客来访问企业的网络,防止他们更改、拷贝、毁坏企业的重要信息。
3.2 入侵和漏洞检测技术
入侵检测和漏洞检测系统是网络安全系统的一个重要组成部分,它不但可以实现复杂烦琐的信息系统安全管理,而且还可以从目标信息系统和网络资源中采集信息,分析来自网络外部和内部的入侵信号和网络系统中的漏洞,有时还能实时地对攻击做出反应。
入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统。
3.3 病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快,病毒破坏的范围更广。病毒防护技术的主要目标是检查和清除病毒,并阻止病毒的传播。
3.4 数字签名技术
数字签名是指使用密码算法对待发的数据进行加密处理,生成一段信息,附在原文上一起发送,接收方对其进行验证,判断原文真伪。数字签名总是伴随着某个报文的,在网络上传送具有数字签名的报文不仅可以防止发送方抵赖,而且还可防止第三者冒充发送方发的报文。进行数字签名要求数字签名是可鉴别的、不可仿造的和不可否认的。也就是说,数字签名一方面必须能够证明由某个人在一个文档上的签名确实是由该人签署的,另一方面还能证明只有那个人签署了那个文件。通常可使用公钥技术来实现数字签名。
参考文献:
[1]《计算机网络技术基础》(第三版),电子工业出版社.
[2]《计算机网络技术》,电子工业出版社.