论文部分内容阅读
摘要:随着计算机网络技术的迅猛发展,信息化的程度越来越高,网络安全已经成为计算机领域所关注的焦点。本文旨在分析计算机网络面临的威胁和存在的安全隐患,并提出安全防范措施,维护计算机网络安全。
关键词:计算机;局域网;安全管理;防护
Abstract: With the rapid development of computer network technology, the information is more and more, network security has become the focus of attention in the computer field. This paper aims at the analysis of computer network threat and security risks exist, and put forward the security measures, the maintenance of computer network security.
Key words: computer; network; security management; protection
中图分类号:G623.58
一、计算机网络面临的威胁
1、软件编写存在bug:无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的程序,都会存在不同程度的bug。bug主要分为以下几类:(1)缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。(2)意料外的联合使用问题:一个程序经常由功能不同的多层代码组成,甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容,以达到窃取信息的目的。(3)不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。(4)Raceconditions:多任务多线程的程序越来越多,在提高运行效率的同时,也要注意Raceconditions的问题。例如:程序A和程序B都按照“读/改/写”的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完“读/改/写”的全部工作,这时A继续执行写工作,结果是A的操作没有了表现,入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。
2、TCP/IP初始设计存在缺陷:即使软件编写不出现bug,程序执行时也按照正确的步骤进行,但初始设计存在缺陷仍会导致入侵者的攻擊。TCP/IP协议现在已经广泛应用,但是它却是在入侵者猖狂的今天之前设计出来的,因此存在许多不足,造成安全漏洞在所难免。例如ICMPUnreachable数据包断开,IP地址欺骗以及SY'N湮没。然而,最大的问题在于IP协议是非常容易“轻信”的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。
3、系统配置不当:(1)默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为easytouse。但遗憾的是,easytouse还意味着easytobreakin。所以,一定对默认配置进行扬弃的工作。(2)管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空置,而且随后不进行添加和修改。(3)临时端口:有时候为了测试之用,答理员会在机器上打开一个临时端口,但测试完后却忘记了关闭,这样就会给入侵者有空可钻。(4)信任关系:网络间的系统经常建立信任关系以方便资源共享,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全联盟。
4、安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
5、病毒:目前数据安全的头号大敌是计算机病毒。新型病毒正向着更具破坏性、更加隐秘、感染率更高、传播速度更快、适应平台更广泛的方向发展。病毒给人类造成的经济损失逐年上升,因此,提高对病毒的防范刻不容缓。
6、黑客:从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。形势的日益严峻使得反病毒行业,防毒、防黑客产品的研究和开发已成为一种趋势。
二、局域网系统安全范围
计算机网络系统安全的主要目标是保护系统资源免受毁坏、替换、盗窃和丢失,这些资源包括计算机设备、存贮介质、软件和计算机数据等等。计算机网络系统安全主要包括实体安全、运行安全、信息安全。
实体安全主要指环境的安全和设备安全,包括主机房、各终端以及网络系统的走线。运行安全指局域网运行中的安全性。信息泄露是局域网的主要保密隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
三、强化计算机管理是网络系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全。建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、志线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。
第一,建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该网络。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令,否则,用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。
第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
第四,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。
第五,建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
第六,建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址操作类型操作对象及操作执行时间等,以备日后审计核查之用。
第七,建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。第八建立安全管理机构。安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。
四、结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
关键词:计算机;局域网;安全管理;防护
Abstract: With the rapid development of computer network technology, the information is more and more, network security has become the focus of attention in the computer field. This paper aims at the analysis of computer network threat and security risks exist, and put forward the security measures, the maintenance of computer network security.
Key words: computer; network; security management; protection
中图分类号:G623.58
一、计算机网络面临的威胁
1、软件编写存在bug:无论是服务器程序、客户端软件还是操作系统,只要是用代码编写的程序,都会存在不同程度的bug。bug主要分为以下几类:(1)缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串,超过的部分通常就是入侵者想要执行的攻击代码,而程序编写者又没有进行输入长度的检查,最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。(2)意料外的联合使用问题:一个程序经常由功能不同的多层代码组成,甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容,以达到窃取信息的目的。(3)不对输入内容进行预期检查:有些编程人员怕麻烦,对输入内容不进行预期的匹配检查,使入侵者输送炸弹的工作轻松简单。(4)Raceconditions:多任务多线程的程序越来越多,在提高运行效率的同时,也要注意Raceconditions的问题。例如:程序A和程序B都按照“读/改/写”的顺序操作一个文件,当A进行完读和改的工作时,B启动立即执行完“读/改/写”的全部工作,这时A继续执行写工作,结果是A的操作没有了表现,入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的,所以,编程人员要注意文件操作的顺序以及锁定等问题。
2、TCP/IP初始设计存在缺陷:即使软件编写不出现bug,程序执行时也按照正确的步骤进行,但初始设计存在缺陷仍会导致入侵者的攻擊。TCP/IP协议现在已经广泛应用,但是它却是在入侵者猖狂的今天之前设计出来的,因此存在许多不足,造成安全漏洞在所难免。例如ICMPUnreachable数据包断开,IP地址欺骗以及SY'N湮没。然而,最大的问题在于IP协议是非常容易“轻信”的,就是说入侵者可以随意地伪造及修改IP数据包而不被发现。
3、系统配置不当:(1)默认配置的不足:许多系统安装后都有默认的安全配置信息,通常被称为easytouse。但遗憾的是,easytouse还意味着easytobreakin。所以,一定对默认配置进行扬弃的工作。(2)管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空置,而且随后不进行添加和修改。(3)临时端口:有时候为了测试之用,答理员会在机器上打开一个临时端口,但测试完后却忘记了关闭,这样就会给入侵者有空可钻。(4)信任关系:网络间的系统经常建立信任关系以方便资源共享,只要攻破信任群中的一个机器,就有可能进一步攻击其他的机器。所以,要对信任关系严格审核、确保真正的安全联盟。
4、安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
5、病毒:目前数据安全的头号大敌是计算机病毒。新型病毒正向着更具破坏性、更加隐秘、感染率更高、传播速度更快、适应平台更广泛的方向发展。病毒给人类造成的经济损失逐年上升,因此,提高对病毒的防范刻不容缓。
6、黑客:从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。形势的日益严峻使得反病毒行业,防毒、防黑客产品的研究和开发已成为一种趋势。
二、局域网系统安全范围
计算机网络系统安全的主要目标是保护系统资源免受毁坏、替换、盗窃和丢失,这些资源包括计算机设备、存贮介质、软件和计算机数据等等。计算机网络系统安全主要包括实体安全、运行安全、信息安全。
实体安全主要指环境的安全和设备安全,包括主机房、各终端以及网络系统的走线。运行安全指局域网运行中的安全性。信息泄露是局域网的主要保密隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,特别是秘密信息和敏感信息,从而造成泄密事件。
三、强化计算机管理是网络系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全。建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、志线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的核心策略之一。
第一,建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问该网络。网络用户的用户名与口令进行验证是防止非法访问的第一道防线。网络用户注册时首先输入用户名与口令,远程服务器将验证所输入的用户名是否合法,如果验证合法,才能进一步验证口令,否则,用户将被拒之门外。网络管理员将对普通用户的帐号使用、访问网络时间、方式进行管理,还能控制用户登录入网的站点以及限制用户入网的工作站数量。
第二建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
第四,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。
第五,建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用、传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
第六,建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,这所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址操作类型操作对象及操作执行时间等,以备日后审计核查之用。
第七,建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。第八建立安全管理机构。安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。
四、结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。