论文部分内容阅读
摘要:在科技飞速发展的今天,计算机信息技术也发生了翻天覆地的变化。然而,在信息技术带动计算机通信发展的同时,也给其安全问题提出了新的挑战。本文分析了计算机通信网络的不安全因素,并针对问题提出了相应的防护措施。
关键词:计算机 通讯网络 安全 防护措施
【分类号】:TP317
一、网络安全概述
网络安全从其本质上来讲就是网络上的信息安全, 是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。网络安全涉及的内容既有技术方面的问题, 也有管理方面的问题, 两方面相互补充, 缺一不可。技术方面主要侧重于防范外部非法用户的攻击, 管理方面则侧重于内部人为因素的管理。
二、计算机通信网络的不安全因素
影响计算机网络安全的因素很多, 有人为因素,也有自然因素, 其中人为因素的危害最大。从目前对网络安全构成威胁的情况来看, 主要有非法入侵、病毒的侵袭及对网络安全问题的认识不足三方面因素。
(1)非法入侵
非法入侵攻击的方式是多样的, 如: 以各种方式有选择地破坏信息的有效性和完整性, 导致数据的丢失和泄密, 系统资源的非法占有等; 又如, 在不影响网络正常工作的情况下截获、窃取、破译以获得重要机密信息; 再如, 拒绝服务攻击, 此种攻击非法占用系统资源, 导致统服务停止、崩溃。这些攻击均可对计算机网络构成极大的危害, 并导致机密数据的泄露。
(2)病毒的侵袭
计算机病毒是一类攻击性程序, 它隐藏在计算机系统软件程序和数据资源中, 利用系统的软件程序和数据资源进行繁殖并生存, 并通过系统软件程序的运行和数据共享的途径进行传染。计算机病毒会影响计算机系统的正常运行, 它会破坏系统软件和文件系统。尤其在网络环境下, 计算机病毒的传播速度更快,破坏范围更广。
(3)人们对网络安全问题的认识不足
网络系统的安全环境是非常复杂并且不断变化的, 很少有人去研究网络安全状态的发展变化、网络入侵手段、系统安全防范措施和安全策略。甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用等, 这就导致了网络系统实际安全状态和预期标准之间相差很远。另一方面, 网络用户也只侧重于各类应用软件的操作上面, 以期望方便、快捷、高效地使用网络, 最大限度地获取有效的信息资源, 而很少考虑实际存在的风险和低效率, 很少学习密码保管、密码设置、信息保密的必备知识以及防止破坏系统和篡改数据的有关技术。
三、计算机通信网络安全的防护措施
1、技术层面上的安全防护对策
(1)实现网络拓扑
在实现网络拓扑时,应尽量遵守以下原则,以减少被攻击的可能性:
① 在WAN(广域网)中,尽可能采用点对点的连接,即计算机用线路接入WAN中;
② 在LAN(局域网)中,尽可能使用交换机代替一般的集线器,特别是在网络的关键部位(例如:LAN的顶层或与重要的服务器违接的地方);
③ 在LAN中,可用高端交换机划分VLAN(虚拟局域网),使用第三层交换的技术;
④ 如果必要的话,用网桥或路由器代替交换机,用桥接表或路由表代替三层交换。
(2)提高系统自身性能
计算机系统在研发设计时不能只考虑实效,而应该把通信安全因素考虑进去。网络系统在设计时戍该考虑到数据的保密难度,完善通信协议和通信软件系统,减少软件系统漏洞。使用通信网络的过程中。制定必要的安全等级鉴别和防护措施。防止攻击者利用软件的漏洞直接侵人网络系统。
(3)安装网络版防病杀毒软件防病毒服务器作为防病毒软件的控制中心,及时通过INTERNET 更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件。
(4)安装入侵检测系统
入侵检测技术又称为IDS,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外,它在计算机网络中是非常有效的安全技术。目前计算机网络大都是基于单一的TCP/IP协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完会不同的内部管理和信令协议,因此通信网络入侵检测技术对于一般的通信网协议具有针对性,我们可以利用这一特点,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统,基于节点的工作日志或网管系统的状态搜集、安全审计数据以及对网络数据包进行过滤、解释、分析、判断来发现入侵行为。
(5)选择合适路由表并安装防火墙
设计和选择合理的路由;尽可能用静态的路由表代替动态的路由表。专用路由器都具有静态分组过滤的功能,用户可利用这个功能提高网络的安全性。有的路由器还具有动态分组过滤的功能。对于不需要全方位保护的小型企业应用而言,这是十分有益的。软件代理服务器是标准的防火墙,建立代理服务器是企业内部INTRANET与使用INTERNET的良好接口,几乎所有的网络操作系统都有多种代理服务器软件来选择。
防火墙的结构分为:静态分组过滤,动态分组过滤和代理服务器。无论是哪一种结构的防火墙,其作用都是制定不安全的系统策略。根据策略选择合适的结构和与其相关的产品,实施防火墙技术。
(6)数据保密与安装动态口令认证系统
信息安全的核似是数据保密,一般就是我们所说的密码技术,随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来新技术和应用。
(7)通信网络内部协议安全
通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具,它们用来实现对协议数据的源发起点的实体认证和抗霞放的协议完整性鉴别。在安全协议的设计过程中,如果能够做到对于一个完整的信令过程一次加密,则安全性能够得到保证.
(8)使用访问控制机制如身份鉴别
利用用户口令和密码等鉴别方式达到网络系统权限分级,鉴别真伪,访问地址限制,如果对方是无权用户或是权限被限用户,则连接过程就会被终止或是部分访问地址被屏蔽,达到网络分级机制的效果。阻止非授权用户进入网络,从而保证网络系统的可用性。
2、管理体制上的安全防护策略
(1)管理制度的修订及进行安全技术培训;
(2)加强网络监管人员的信息安全意识,特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强;
(3)信息备份及恢复系统,为了防止核心服务器崩溃导致应用瘫痪。应根据网络情况确定完全和增量备份的时间点,定期给网络信息进行备份。
(4)开发计算机信息与网络安全的监督管理系统。
四、结束语
随着科技的发展,计算机通信技术已广泛融入人们的生活及工作当中,其安全问题越来越得到人们的高度关注。为了有效保护计算机通信网络的安全,必须先分析现在通信安全普遍存在的问题,有针对性的提出防护技术措施,加强通信系统本身的安全性;同时,应对网络管理人员进行相关的安全培训,从而提高管理人员的安全意识,确保计算机通信网络安全运行。
参考文献:
[1] 何欣.浅谈计算机网络的安全防护策略[J].甘肃科技,2004,10.
[2] 刘宗田等.Web 站点安全与防火墙技术.机械工业出版社,1998,6.
[3] 徐超汉.计算机网络安全与数据完整性技术.电子工业出版社,1999,5.
[4] 胡昌振等.面向21 世纪网络安全与防护.北京希望电子出版社,1999.6.
关键词:计算机 通讯网络 安全 防护措施
【分类号】:TP317
一、网络安全概述
网络安全从其本质上来讲就是网络上的信息安全, 是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行, 网络服务不中断。网络安全涉及的内容既有技术方面的问题, 也有管理方面的问题, 两方面相互补充, 缺一不可。技术方面主要侧重于防范外部非法用户的攻击, 管理方面则侧重于内部人为因素的管理。
二、计算机通信网络的不安全因素
影响计算机网络安全的因素很多, 有人为因素,也有自然因素, 其中人为因素的危害最大。从目前对网络安全构成威胁的情况来看, 主要有非法入侵、病毒的侵袭及对网络安全问题的认识不足三方面因素。
(1)非法入侵
非法入侵攻击的方式是多样的, 如: 以各种方式有选择地破坏信息的有效性和完整性, 导致数据的丢失和泄密, 系统资源的非法占有等; 又如, 在不影响网络正常工作的情况下截获、窃取、破译以获得重要机密信息; 再如, 拒绝服务攻击, 此种攻击非法占用系统资源, 导致统服务停止、崩溃。这些攻击均可对计算机网络构成极大的危害, 并导致机密数据的泄露。
(2)病毒的侵袭
计算机病毒是一类攻击性程序, 它隐藏在计算机系统软件程序和数据资源中, 利用系统的软件程序和数据资源进行繁殖并生存, 并通过系统软件程序的运行和数据共享的途径进行传染。计算机病毒会影响计算机系统的正常运行, 它会破坏系统软件和文件系统。尤其在网络环境下, 计算机病毒的传播速度更快,破坏范围更广。
(3)人们对网络安全问题的认识不足
网络系统的安全环境是非常复杂并且不断变化的, 很少有人去研究网络安全状态的发展变化、网络入侵手段、系统安全防范措施和安全策略。甚至更少有时间去监控网络的实际活动状态、入侵迹象或系统的错误使用等, 这就导致了网络系统实际安全状态和预期标准之间相差很远。另一方面, 网络用户也只侧重于各类应用软件的操作上面, 以期望方便、快捷、高效地使用网络, 最大限度地获取有效的信息资源, 而很少考虑实际存在的风险和低效率, 很少学习密码保管、密码设置、信息保密的必备知识以及防止破坏系统和篡改数据的有关技术。
三、计算机通信网络安全的防护措施
1、技术层面上的安全防护对策
(1)实现网络拓扑
在实现网络拓扑时,应尽量遵守以下原则,以减少被攻击的可能性:
① 在WAN(广域网)中,尽可能采用点对点的连接,即计算机用线路接入WAN中;
② 在LAN(局域网)中,尽可能使用交换机代替一般的集线器,特别是在网络的关键部位(例如:LAN的顶层或与重要的服务器违接的地方);
③ 在LAN中,可用高端交换机划分VLAN(虚拟局域网),使用第三层交换的技术;
④ 如果必要的话,用网桥或路由器代替交换机,用桥接表或路由表代替三层交换。
(2)提高系统自身性能
计算机系统在研发设计时不能只考虑实效,而应该把通信安全因素考虑进去。网络系统在设计时戍该考虑到数据的保密难度,完善通信协议和通信软件系统,减少软件系统漏洞。使用通信网络的过程中。制定必要的安全等级鉴别和防护措施。防止攻击者利用软件的漏洞直接侵人网络系统。
(3)安装网络版防病杀毒软件防病毒服务器作为防病毒软件的控制中心,及时通过INTERNET 更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件。
(4)安装入侵检测系统
入侵检测技术又称为IDS,作用在于:识别针对网络的入侵行为,并及时给出报警或采取安全措施以御敌于国门之外,它在计算机网络中是非常有效的安全技术。目前计算机网络大都是基于单一的TCP/IP协议,其入侵行为的模式有一定规律可循,而通信网络本身就具有不同的种类,有完会不同的内部管理和信令协议,因此通信网络入侵检测技术对于一般的通信网协议具有针对性,我们可以利用这一特点,设计基于节点的入侵检测系统或设计基于网络的入侵检测系统,基于节点的工作日志或网管系统的状态搜集、安全审计数据以及对网络数据包进行过滤、解释、分析、判断来发现入侵行为。
(5)选择合适路由表并安装防火墙
设计和选择合理的路由;尽可能用静态的路由表代替动态的路由表。专用路由器都具有静态分组过滤的功能,用户可利用这个功能提高网络的安全性。有的路由器还具有动态分组过滤的功能。对于不需要全方位保护的小型企业应用而言,这是十分有益的。软件代理服务器是标准的防火墙,建立代理服务器是企业内部INTRANET与使用INTERNET的良好接口,几乎所有的网络操作系统都有多种代理服务器软件来选择。
防火墙的结构分为:静态分组过滤,动态分组过滤和代理服务器。无论是哪一种结构的防火墙,其作用都是制定不安全的系统策略。根据策略选择合适的结构和与其相关的产品,实施防火墙技术。
(6)数据保密与安装动态口令认证系统
信息安全的核似是数据保密,一般就是我们所说的密码技术,随着计算机网络不断渗透到各个领域,密码学的应用也随之扩大。数字签名、身份鉴别等都是由密码学派生出来新技术和应用。
(7)通信网络内部协议安全
通信网络内部协议的安全性主要应通过数据的认证和完整性鉴别技术实现协议的安全变异和重构。其中公钥密码算法和哈希函数是设计中的基本工具,它们用来实现对协议数据的源发起点的实体认证和抗霞放的协议完整性鉴别。在安全协议的设计过程中,如果能够做到对于一个完整的信令过程一次加密,则安全性能够得到保证.
(8)使用访问控制机制如身份鉴别
利用用户口令和密码等鉴别方式达到网络系统权限分级,鉴别真伪,访问地址限制,如果对方是无权用户或是权限被限用户,则连接过程就会被终止或是部分访问地址被屏蔽,达到网络分级机制的效果。阻止非授权用户进入网络,从而保证网络系统的可用性。
2、管理体制上的安全防护策略
(1)管理制度的修订及进行安全技术培训;
(2)加强网络监管人员的信息安全意识,特别是要消除那些影响计算机网络通信安全的主观因素。计算机系统网络管理人员缺乏安全观念和必备技术,必须进行加强;
(3)信息备份及恢复系统,为了防止核心服务器崩溃导致应用瘫痪。应根据网络情况确定完全和增量备份的时间点,定期给网络信息进行备份。
(4)开发计算机信息与网络安全的监督管理系统。
四、结束语
随着科技的发展,计算机通信技术已广泛融入人们的生活及工作当中,其安全问题越来越得到人们的高度关注。为了有效保护计算机通信网络的安全,必须先分析现在通信安全普遍存在的问题,有针对性的提出防护技术措施,加强通信系统本身的安全性;同时,应对网络管理人员进行相关的安全培训,从而提高管理人员的安全意识,确保计算机通信网络安全运行。
参考文献:
[1] 何欣.浅谈计算机网络的安全防护策略[J].甘肃科技,2004,10.
[2] 刘宗田等.Web 站点安全与防火墙技术.机械工业出版社,1998,6.
[3] 徐超汉.计算机网络安全与数据完整性技术.电子工业出版社,1999,5.
[4] 胡昌振等.面向21 世纪网络安全与防护.北京希望电子出版社,1999.6.