论文部分内容阅读
[摘要]随着计算机技术和通信技术的发展,计算机网络正变得日益重要,已经渗透到各行业的生产管理、经营管理等各个领域。因此,认清网络的脆弱性和存在的潜在威胁,并采取强有力的防范措施,对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。分析对网络安全建设造成威胁的诸多原因,并在技术及管理方面提出了相应的防范对策。
[关键词]网络安全 网络建设 安全技术
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)1210066-02
随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击,也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。
一、计算机网络安全概述
计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。建立网络安全保护措施的目的,是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
计算机网络安全是一门涉及到多个专业的综合性学术研究问题,其中包括:计算机科学、计算机网络技术、网络通信技术、加密技术、信息安全技术等多门学科,而其设计的因素也有物理安全、系统安全、信息安全等。一个安全的网络应该具有可用性、完整性、保密性和可控性等特点。
(一)可用性
存在着由于计算机病毒或其他人为的原因可能造成的对主人的拒绝服务、被他人滥用机时或信息的情况。这就提出了网络信息安全制度可用性需求。
(二)完整性
让人们在网络的虚拟环境中,确认电子信息的真实性、以及真实的发送者和接受者、怎么知道信息没有被伪造和篡改、并且在法律意义上做到责任的不可抵赖,这就提出了网络信息安全中的完整性和非否认性需求。
(三)保密性
我们在网络上发布和接受信息,不可避免的会涉及个人隐私的问题,保护任何个人隐私,就是网络信息安全中的保密性需求。
(四)可控性
所有的网络应用环境,包括银行、电子交易、电子政务,保密级的公共电信载体和互联专用网络都有网络安全的要求,这就出现了信息安全中的可控性需求。
二、威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:
(一)非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(二)信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。
(三)破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
(四)拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
(五)利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
三、网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。
(一)计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。
(二)防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个“保护层”,网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。
(三)入侵检测
攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。
基于网络的IDS,即入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流,当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
(四)安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在发布,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。
(五)数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
(六)安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念“安全隔离技术”应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
(七)黑客诱骗技术
黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客,网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假信息。这样,当黑客正为攻入目标系统而沾沾自喜的时候,他在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平,通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标,根据这些信息,管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。
(八)网络安全管理防范措施
对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
四、结束语
以上我们介绍了威胁计算机网络安全的主要因素及进行网络安全建设的方法与技术,网络安全是信息系统安全的重要组成部分,在我国网络信息安全技术的研究处于起步阶段,仍有大量的工作需要我们去共同研究。重视网络安全中存在的问题,采取多种措施有针对性地解决这些问题,可以让我们更好的利用网络资源,加快社会信息化建设的进程。
参考文献:
[1]董超,李立旭. 浅析计算机网络安全及防范[J].煤炭科技,2006(1).
[2]韦小妮. 浅述网络安全建设及安全技术[J].广西轻工业,2008(9).
[3]徐苏. 浅谈计算机网络安全[J].电脑知识与技术,2004(20).
[4]仝世君. 浅谈计算机网络安全问题与对策[J].中国科技信息,2006(10).
[5]张琳,黄仙姣. 浅谈网络安全技术[J]. 电脑知识与技术,2006(11).
[6]卢云燕. 网络安全及其防范措施[J].科技情报开发与经济,2006(10).
[7]徐文,蒋廷波. 浅议网络安全[J].苏州大学学报,2005(6).
[8]黄文华. 网络安全技术研讨[J].企业技术开发,2006(5).
作者简介:
狄振强,男,汉族,曲阜师范大学物理工程学院。
[关键词]网络安全 网络建设 安全技术
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)1210066-02
随着计算机网络的不断发展,信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点,致使网络易受攻击。具体的攻击是多方面的,有来自黑客的攻击,也有其他诸如计算机病毒等形式的攻击。因此,网络的安全措施就显得尤为重要,只有针对各种不同的威胁或攻击采取必要的措施,才能确保网络信息的保密性、安全性和可靠性。
一、计算机网络安全概述
计算机网络的安全可以理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。建立网络安全保护措施的目的,是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。
计算机网络安全是一门涉及到多个专业的综合性学术研究问题,其中包括:计算机科学、计算机网络技术、网络通信技术、加密技术、信息安全技术等多门学科,而其设计的因素也有物理安全、系统安全、信息安全等。一个安全的网络应该具有可用性、完整性、保密性和可控性等特点。
(一)可用性
存在着由于计算机病毒或其他人为的原因可能造成的对主人的拒绝服务、被他人滥用机时或信息的情况。这就提出了网络信息安全制度可用性需求。
(二)完整性
让人们在网络的虚拟环境中,确认电子信息的真实性、以及真实的发送者和接受者、怎么知道信息没有被伪造和篡改、并且在法律意义上做到责任的不可抵赖,这就提出了网络信息安全中的完整性和非否认性需求。
(三)保密性
我们在网络上发布和接受信息,不可避免的会涉及个人隐私的问题,保护任何个人隐私,就是网络信息安全中的保密性需求。
(四)可控性
所有的网络应用环境,包括银行、电子交易、电子政务,保密级的公共电信载体和互联专用网络都有网络安全的要求,这就出现了信息安全中的可控性需求。
二、威胁计算机网络安全的因素
计算机网络安全所面临的威胁是多方面的,一般认为,目前网络存在的威胁主要表现在:
(一)非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
(二)信息泄漏或丢失
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。
(三)破坏数据完整性
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加、修改数据,以干扰用户的正常使用。
(四)拒绝服务攻击
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
(五)利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
三、网络安全建设方法与技术
网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略,并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全,需要从多个方面采取对策。攻击随时可能发生,系统随时可能被攻破,对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。
(一)计算机病毒防治
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时,对于病毒库中已知的病毒或可疑程序、可疑代码,杀毒软件可以及时地发现,并向系统发出警报,准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有,对于不明来历的软件、程序及陌生邮件,不要轻易打开或执行。感染病毒后要及时修补系统漏洞,并进行病毒检测和清除。
(二)防火墙技术
防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合,能在内部网络与外部网络之间构造起一个“保护层”,网络内外的所有通信都必须经过此保护层进行检查与连接,只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问,也可以控制内部对外部特殊站点的访问,提供监视Internet安全和预警的方便端点。当然,防火墙并不是万能的,即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙,尽量少开端口,采用过滤严格的WEB程序以及加密的HTTP协议,管理好内部网络用户,经常升级,这样可以更好地利用防火墙保护网络的安全。
(三)入侵检测
攻击者进行网络攻击和入侵的原因,在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制,那么即使攻击者已经侵入到内部网络,侵入到关键的主机,并从事非法的操作,我们的网管人员也很难察觉到。这样,攻击者就有足够的时间来做他们想做的任何事情。
基于网络的IDS,即入侵检测系统,可以提供全天候的网络监控,帮助网络系统快速发现网络攻击事件,提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流,当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。
(四)安全漏洞扫描技术
安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点,让网络管理人员能在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描,网络漏洞扫描,以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新,操作系统的漏洞随时都在发布,只有及时更新才能完全的扫描出系统的漏洞,阻止黑客的入侵。
(五)数据加密技术
数据加密技术是最基本的网络安全技术,被誉为信息安全的核心,最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
(六)安全隔离技术
面对新型网络攻击手段的不断出现和高安全网络的特殊需求,全新安全防护理念“安全隔离技术”应运而生。它的目标是,在确保把有害攻击隔离在可信网络之外,并保证可信网络内部信息不外泄的前提下,完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。
(七)黑客诱骗技术
黑客诱骗技术是近期发展起来的一种网络安全技术,通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客,网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假信息。这样,当黑客正为攻入目标系统而沾沾自喜的时候,他在目标系统中的所有行为,包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录,可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平,通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标,根据这些信息,管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。
(八)网络安全管理防范措施
对于安全领域存在的问题,应采取多种技术手段和措施进行防范。在多种技术手段并用的同时,管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等,对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;指定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
四、结束语
以上我们介绍了威胁计算机网络安全的主要因素及进行网络安全建设的方法与技术,网络安全是信息系统安全的重要组成部分,在我国网络信息安全技术的研究处于起步阶段,仍有大量的工作需要我们去共同研究。重视网络安全中存在的问题,采取多种措施有针对性地解决这些问题,可以让我们更好的利用网络资源,加快社会信息化建设的进程。
参考文献:
[1]董超,李立旭. 浅析计算机网络安全及防范[J].煤炭科技,2006(1).
[2]韦小妮. 浅述网络安全建设及安全技术[J].广西轻工业,2008(9).
[3]徐苏. 浅谈计算机网络安全[J].电脑知识与技术,2004(20).
[4]仝世君. 浅谈计算机网络安全问题与对策[J].中国科技信息,2006(10).
[5]张琳,黄仙姣. 浅谈网络安全技术[J]. 电脑知识与技术,2006(11).
[6]卢云燕. 网络安全及其防范措施[J].科技情报开发与经济,2006(10).
[7]徐文,蒋廷波. 浅议网络安全[J].苏州大学学报,2005(6).
[8]黄文华. 网络安全技术研讨[J].企业技术开发,2006(5).
作者简介:
狄振强,男,汉族,曲阜师范大学物理工程学院。