论文部分内容阅读
摘要:本文就如何加强计算机网络安全技术及其防范进行论述。
关键词:网络安全 防范
【分类号】:TP393.08
1、计算机网络安全技术
1.1计算机网络安全的基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保
护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。
计算机网络由计算机和通信网络两部分组成。计算机是通信网络的终端,通信网络为计算机之间的数据传输和交换提供了必要的手段。
计算机网络最重要的资源是它向用户提供了服务及其所拥有的信息。
1.2计算机网络安全的基本内容
计算机网络包括网络系统的安全和网络的信息安全。按照性质可分为:
①物理安全,物理安全包括防盗、防火、防雷击、防静电、防电
磁泄漏等;
②逻辑安全,逻辑安全指计算机的逻辑安全需要用口令字、文件许可、查账等方法来实现。例如可以限制登录的次数或对试探操作加上时间限制;
③操作系统安全,操作系统安全要求操作系统必须能区分用户.
以便于防止他们相互干扰:
④连网安全,连网安全通过访问控制服务(用来保护计算机和联
网资源不被非授权使用)与通信安全服务(用来认证数据机要性与完整性以及各通信的可信赖)来达到安全服务。
2.计算机网络攻击的特点
计算机网络攻击具有下述特点:①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。②威胁社会和国家安全。一些计算机网络攻击者出于种种目的经
常把政府要害部门和国家机密部门的计算机作为攻击目标,从而对社
会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段
可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的
保密信息;也可以通过截取别人的账号和口令堂而皇之地进入别人的
计算机系统:还可以通过一些特殊的方法绕过人们精心设计好的防火
墙从而破坏计算机系统等等。④以软件攻击为主,几乎所有的网络入
侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全
不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因
此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计
算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
3、計算机网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
3.1口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实
施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户
的账号,然后再进行合法用户口令的破译。获得普通用户账号的方法
很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上:利用目标主机的X500服务:有些主机没有关闭X500的
目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子
邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的
账号:查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。
3.2 IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
3.3域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名一IP地
址映射表时,DNS欺骗就会发生。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。
4.计算机网络安全策略
计算机网络安全所面临的威胁是来自很多方面的,针对来自不同方面的安全威胁,需要采取不同的安全对策。目前常用有效的网络安全防御策略有如下几种:物理安全策略、访问权限控制、信息加密策略、防火墙安全策略。
4.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境:建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
4.2访问权限控制
安装在windows xP操作系统中的许多程序,都要求用户具有一定的管理权限才能让用户使用程序,因此为了能够使用好程序,我们
有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限
时,我们可以先普通用户身份登录到windowsXP的系统中,然后用鼠标右键单击程序安装文件,同时按住键盘上的Shif键,从随后出现的快捷菜单中点击“运行方式”,最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。
4.3信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全:端一端加密的目的是对源端用户到目的端用户的数据提供保护:节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.4防火墙安全策略
防火墙是一个控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档
外部网络的侵入。目前的防火墙主要有以下三种类型:①包过滤防火
墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。②代
理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和
过滤路由器组成,是目前较流行的一种防火墙。③双穴主机防火墙:
该防火墙是用主机来执行安全控制功能。
5.结束语
随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,因此,要具备完善的管理系统来设置和维护安全的防护策略。
关键词:网络安全 防范
【分类号】:TP393.08
1、计算机网络安全技术
1.1计算机网络安全的基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保
护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。
计算机网络由计算机和通信网络两部分组成。计算机是通信网络的终端,通信网络为计算机之间的数据传输和交换提供了必要的手段。
计算机网络最重要的资源是它向用户提供了服务及其所拥有的信息。
1.2计算机网络安全的基本内容
计算机网络包括网络系统的安全和网络的信息安全。按照性质可分为:
①物理安全,物理安全包括防盗、防火、防雷击、防静电、防电
磁泄漏等;
②逻辑安全,逻辑安全指计算机的逻辑安全需要用口令字、文件许可、查账等方法来实现。例如可以限制登录的次数或对试探操作加上时间限制;
③操作系统安全,操作系统安全要求操作系统必须能区分用户.
以便于防止他们相互干扰:
④连网安全,连网安全通过访问控制服务(用来保护计算机和联
网资源不被非授权使用)与通信安全服务(用来认证数据机要性与完整性以及各通信的可信赖)来达到安全服务。
2.计算机网络攻击的特点
计算机网络攻击具有下述特点:①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。②威胁社会和国家安全。一些计算机网络攻击者出于种种目的经
常把政府要害部门和国家机密部门的计算机作为攻击目标,从而对社
会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段
可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的
保密信息;也可以通过截取别人的账号和口令堂而皇之地进入别人的
计算机系统:还可以通过一些特殊的方法绕过人们精心设计好的防火
墙从而破坏计算机系统等等。④以软件攻击为主,几乎所有的网络入
侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全
不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因
此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计
算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
3、計算机网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
3.1口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实
施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户
的账号,然后再进行合法用户口令的破译。获得普通用户账号的方法
很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上:利用目标主机的X500服务:有些主机没有关闭X500的
目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子
邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的
账号:查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。
3.2 IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
3.3域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名一IP地
址映射表时,DNS欺骗就会发生。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。
4.计算机网络安全策略
计算机网络安全所面临的威胁是来自很多方面的,针对来自不同方面的安全威胁,需要采取不同的安全对策。目前常用有效的网络安全防御策略有如下几种:物理安全策略、访问权限控制、信息加密策略、防火墙安全策略。
4.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境:建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
4.2访问权限控制
安装在windows xP操作系统中的许多程序,都要求用户具有一定的管理权限才能让用户使用程序,因此为了能够使用好程序,我们
有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限
时,我们可以先普通用户身份登录到windowsXP的系统中,然后用鼠标右键单击程序安装文件,同时按住键盘上的Shif键,从随后出现的快捷菜单中点击“运行方式”,最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。
4.3信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全:端一端加密的目的是对源端用户到目的端用户的数据提供保护:节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.4防火墙安全策略
防火墙是一个控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档
外部网络的侵入。目前的防火墙主要有以下三种类型:①包过滤防火
墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。②代
理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和
过滤路由器组成,是目前较流行的一种防火墙。③双穴主机防火墙:
该防火墙是用主机来执行安全控制功能。
5.结束语
随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,因此,要具备完善的管理系统来设置和维护安全的防护策略。