时间:2023-06-12 14:45:12
【关键词】计算机网络安全网络威胁
AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.
Keywordscomputer;network security;precautionary measure
一、网络安全的定义及内涵
1、定义。网络安全从其本质上来讲就是计算机网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全措施是指为保护网络免受侵害而采取的措施的总和。
2、内涵。网络安全根据其本质的界定,应具有以下三个方面的特征:①保密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的保密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息不外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶性攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容,接受者无法否认所接收的信息内容。
二、网络自身特性及网络安全发展现状
网络信息自身具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性,网络操作系统的漏洞及自身设计缺陷等,网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。现在越来越多的恶性攻击事件的发生说明当前网络安全形势严峻,不法分子的手段越来越先进,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
三、网络安全解决方案及实例分析
要解决网络安全,首先要明确我们的网络需要实现的目标,一般需要达到以下目标:①身份真实性:对通信实体身份的真实性进行识别。②信息保密性:保证密级信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机制,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
为了最大程度的保证网络安全,目前的方法有:安全的操作系统及应用系统、防火墙、防病毒、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件往往是无法确保信息网络的安全的。图1是某一网络实例的安防拓扑简图,日常常见的安防技术在里面都得到了运用:
1、防火墙技术。包括硬件防火墙和软件防火墙。图中的是硬件防火墙,一般设置在不同网络或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,市场上的防火墙种类繁多,它们大都可通过IE浏览器控制,可视化好,易于操作,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击。
2、防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防病毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。一般公司内部大都采用网络版杀毒软件,病毒库联网升级,管理员可通过系统中心制定统一的防病毒策略并应用至下级系统中心及本级系统中心的各台终端,可实施实时监控,主动防御,定时杀毒等功能。但实践证明,仅依靠一款杀毒软件,一种策略,并不能完整的清除所有病毒,有时需要制订不同的安全策略或与另外一款杀毒软件同时使用方可,此时需要具体情况具体分析。
3、入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
5、网络主机的操作系统安全和物理安全措施。操作系统种类繁多,而Windows因其诸多优点被普遍采用,但Windows存在诸多漏洞,易于被攻击,因此需要定期进行更新。北信源补丁分发系统通过定时探测各终端的补丁数,自动给各终端打上补丁,较大程度的避免了因系统漏洞导致的信息安全问题。安全系数要求高的网络,有必要对其进行物理隔绝,采用专用软件控制各终端的外设,对各终端操作人员进行身份验证等等。
6、安全加密技术。分为对称加密技术和不对称加密技术。前者是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥;不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。加密方式有硬件加密及软件加密,其中硬件加密又有信道机密和主机终端加密等。
7、网络安全应急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。应该随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全应急响应体系,专人负责,防范安全事件的突然发生。
总之,网络的第一道防线防火墙并不能完全保护内部网络,必须结合其它措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施,按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机制构成的整体安全检查和反应措施。
四、小结
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,单一的技术是不能解决网络的安全防护问题的。随着信息技术的不断发展,各行各业信息化建设的脚步也越来越快,计算机技术和网络技术已深入应用到人们生产生活的各个领域,各种活动对计算机网络的依赖程度也越来越高。增强人这一主体的安全意识,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,才是最有效的防范措施。
参考文献
[1]胡道元,闵京华.网络安全(2版).北京:清华大学出版社. 2008(10)
[2]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01)
[3]胡道元.计算机局域网[M].北京:清华大学出版社,2001
[4]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001
关键词:通信网络;安全隐患;管理体系;安全与防护
中图分类号:TN918.91文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Thinking of Communication Network Security and Protection
Li Jian
(Qinhuangdao Branch of China Tietong Group Ltd.,Qinhuangdao066100,China)
Abstract:The rapid development of information technology naturally led to the rapid rise of the communications network,both communications network to provide rare opportunities for development,but also inevitable to the communications network to bring some security risks.This paper discusses the security threats that currently exist on the communication network,in-depth thinking on the communication network security and protection,protection strategies to improve the security of network communications.
Keywords:Communication network;Security risks;Management system;Safety and Protection
一、前言
计算机网络包括两个部分:计算机和通信网络,计算机是信源或者终端,通信网络则是进行数据传输和交换,它最终实现计算机网络的资源共享。随着信息技术的不断更新,我国通信网络产业也在快速发展。目前,国内的通信网络系统覆盖地域广阔,设备复杂多样,针对各种特定类型的通信设备,很多的网管系统基本实现了使用专用的接口协议。
信息技术的快速发展,自然而然就带动了通信网络的快速发展,随着国民经济信息化进程的加快,使得信息技术得到普及,而各行业通信网络的依赖程度越来越高。通常,机遇与挑战是并存的,一方面给通信网络带来了发展机遇;另一方面又不可避免的给通信网络的安全造成一定的挑战。当前,通信网络安全问题日渐凸显,如病毒,黑客等等窃取信息的方式也不计其数,所以如何应对这些通信网络出现的安全问题,也就是保证网络通信的安全性是目前通信工程需要急需解决的难题。
为了维护网络通信的信息系统的正常工作,预防网络安全事故以保证通信网络的安全,防范猖狂的网络犯罪。需要制定相关的网络通信信息系统的安全防护策略。
二、通信网络安全防护工作现状
通信网络安全防护包括:网络安全的等级保护、网络安全的风险评估和网络安全的灾难备份等,这些都以事前防护和准备为主的,最终通过技术和管理落实和改进通信网络安全的维护和管理,并且与网络安全的重要性及潜在的威胁相适应,以提高通信网络的安全水平,降低重大网络安全事件的发生概率,以“积极防御、综合防范”为指导方针,以“预防为主”的原则,关键是进行事前预防保护。
通信网络安全是根据网络特性,通过相应的安全技术和措施以防止通信网络中泄露、破坏或更改了操作系统、软件、硬件和数据等资源,预防非法用户窃取服务,以确保通信网络的正常运行;网络通信安全包括设备安全、用户识别安全以及数据传输安全等内容。
国内外对通信网络安全的研究一直在进行,国外很早就进行信息网络安全研究,研究全面而广泛。上个世纪70年代美国在网络安全技术基础理论研究成果“计算机保密模型”的基础上,制定了“可信计算机系统安全评估准则”(TCSEC),之后又制定了网络系统数据库方面和系列安全解释,形成了安全信息体系结构的准则[3]。安全协议对信息安全而言是必不可少的,包括基于状态机、代数工具和模态逻辑三种分析方法。而今密码学成为网络信息安全的重要技术,近年来各个国家和地区相继举办信息学及安全密码学术会议。当前研究的热点是密钥密码,而电子商务的安全性也受到极大关注,目前处于研究和发展的阶段,加快了密钥管理及论证理论的研究步伐。国内的信息网络安全研究经历了两个阶段:通信保密和数据保护。目前主要从安全体系结构、现代密码结论、安全协议、信息分析和监控等方面提出的系统完整和协同的通信网络安全与防护的方案。2009年开始,国家的信息化部及工业计划每年对通信网络进行安全等级保护、通信风险评估,网络通信的灾难备份等相关防护工作。
三、探讨通信网络中的安全隐患
随着通信网络的一体化和互联互通,以及共享资源步伐的加快,通信的安全和保密问题就显得非常重要。
(一)关于安全管理体系建设
首先,网络安全机构不够健全,网络安全维护队伍还不充实。目前,非传统安全问题不断增加,而企业在进行人员素质培养、人员的配备及机构的设置未能很好地适应管理工作。其次,未能很好的统筹网络安全管理工作,整体性不足。虽然在业务发展中,各运营企业相继建设了不少的网络和系统,但没有统筹谋划和监督管理,缺乏统一标准,运营企业各自管理网络和系统的安全,因此,必然存在安全隐患。再者,由于缺乏安全技术手段。网络的应急处置、预警监控、安全防护和审计等技术水平不高。最后,网络安全制度未完善,未能涉及每个环节。安全管理主要集中在运行维护环节而忽略其他环节,最近几年企业建设了不少IT系统,但上线前未对设备和系统进行彻底的安全检测,同样带来安全隐患。
(二)关于适应形势的发展
运营企业未能深入认识到通信网络的基础性以及全局性作用,随着通信网络移动化、IP化、智能化的发展,网络安全观念相对滞后,传统的网络通信安全意识仍停在设备可靠性等物理安全层面上,而对网络攻击、非法远程控制和病毒传播等威胁意识仍然不够,对通信网络安全防护的投入很少,对网络安全存在侥幸心理。
(三)关于规范第三方服务的管理
运营企业在信息和网络系统的安全的保障、规划的设计、建设集成和网络的运行维护等环节基本都依赖第三方服务。但是由于缺乏规程规范和制度,运营企业对第三方服务的管控力度不够,致使服务过程存在较大风险。
(四)防护措施落实不到位
目前,网络通信防护内容主要是防病毒、防攻击、防入侵。但是,防护措施落实不够,未能防范和抵御网络系统的内外部安全风险,DDOS攻击堵塞城域网和IDC的事件时有发生;未能及时升级软件,漏洞管理不及时,被保护主机或系统会因为漏洞遭到黑客的攻击;如果没做好不同安全域之间和内外网隔离及其访问控制工作,就可能导致不同系统间的非授权访问;服务器或者系统开放不必要的服务和端口就会给黑客有机可乘,通过远程攻击和入侵;没有启用安全日志或者没做好日志审计工作就会对故障的排查及处理,安全事件的还原工作带来困难。
(五)关于网络的安全意识
目前,运营企业的网络和系统本身安全性不足,存在很多安全漏洞,而运营企业本身的内部网络防范措施不足,太过依赖边界安全,因此存在严重的安全隐患。
(六)关于远程维护管控措施
有的远程维护管理网络平台本身就有漏洞,而远程维护管理控制的审批的管理、平台的管理、日志的审计以及实时的监控等措施也不足,因此业务系统同时存在内外部的安全隐患。
(七)灾难备份工作不够完善
随着网络的集中管控程度的提高,在部分网络单元中,还存在同管道、单节点、单路由等问题。
四、关于网络安全的防护
(一)关于网络安全维护的新情况和新问题
监管部门应该加强管理及随时研究新技术带来的安全问题,为提高工作的有效性和主动性,应及时提出相关的措施。
(二)关于安全防护的检查力度
在传统的安全防护检查的基础上,需要制订和完善安全防护标准以针对非传统安全的薄弱环节和突出问题,深入开展风险和安全评测。
(三)贯彻落实各项制度标准
电信监管部门应该积极组织开展《互联网网络安全应急预案》、《通信网络安全防护管理办法》等制度的学习宣传和贯彻,落实安全防护工作。
(四)对应急事件的处理
随着网络技术的发展,网络安全事件发生频率将越来越高,电信监管部门应及时通报网络安全信息,重视重大的网络安全事件。
(五)关于主机、操作系统、数据库配置方案
基于Intranet体系结构的运营企业的网络系统,同时兼备广域网和局域网的特性,是一个范围覆盖广且充分利用了Intranet技术的分布式的计算机网络,面临的安全隐患很多,应安装核心防护产品在需要保护的核心服务器上,部署中央管理控制台在中央安全管理平台上,以对全部的核心防护产品进行统一管理。
(六)关于网络的安全技术水平
监管部门在网络安全工作中应重视技术手段建设,随时关注通信网络的发展趋势,加强技术研发,提高运营企业的抗击能力。一直以来,运营企业的安身立命需要保证通信网络的安全稳定运行。随着信息通信技术的飞速发展,通信网络所涉及的各种业务已经渗透到国家社会、政治及生活的各个方面,其地位和作用日趋重要。在新的发展形势下,网络的安全稳定已经成为通信运营企业所担负的社会责任。
五、结语
当今是信息时代,掌握了信息就掌握了主动权,不管是经济的发展还是战争的对抗,信息就是决定一切的先决条件。整个社会都在努力追赶信息时代的步伐,为的就是及时追随时代的步伐,走在信息时代的最前沿才能掌握发言权。
参考文献:
[1]杨朝军.关于计算机通信网络安全与防护策略的几点思考[J].应用科学
[2]丁全文.浅谈通信网络的安全与防护[J].信息与电脑,2011,5
[3]冯登国.国内外信息安全研究现状及其发展趋势[J].网络安全技术与应用,2001,1:8-13
[4]姜滨,于湛.通信网络安全与防护[J].甘肃科技,2006,12,22
关键词:计算机网络信息安全 防护策略 因素
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)11-0207-01
1 影响计算机网络信息安全的因素
1.1 管理人员安全意识程度不高
诚然,计算机网络信息安全现在已成为了信息技术发展过程中需要关注的重要内容,但仍然存在着部分管理人员的安全意识不高的情况。
管理人员安全意识程度不高主要表现在以下几个方面:第一,国家处于经济转型阶段,对网络技术人才需求量大,网络技术人才参差不齐,部分技术人员未经系统培训即上岗,对于计算机网络信息安全没有系统的认识,安全防护意识不高。第二,部分管理人员存在着侥幸心理,认为等到信息安全出现漏洞,甚至出现问题再来进行防护也为时不晚。
1.2 网络系统自身的漏洞性
互联网技术的发展,促进了计算机的开放性发展,与此同时,也造成了计算机网络信息系统存在着自身的漏洞,即容易受到来自不同方面的应先关于破坏,使得计算机网络存在一定程度上的脆弱性。
另一方面,当前英特网主要采用的是 TCP/IP 协议模式,该种协议模式的安全性能的强度也不足,当用户进行网络连接时,不能及时对不同的威胁或攻击实施数据截取、更改数据、实施欺骗攻击等行为。
1.3 来自他方的恶意侵害
当前,影响计算机网络信息安全的最为重要的因素,就是来自于他方的恶意侵害,包括网络黑客、不法分子等。这些不良分子通过采取不同的手段,对计算机网络进行主动地攻击,如通过病毒、木马程序,或通过破译他人的密码,盗取他人信息等,严重影响了计算机网络信息的安全。甚至还有部分网络黑客,利用刚开发的产品的漏洞,对其进行恶意攻击,使得新产品无法投入市场,破坏正常的市场经济秩序。
1.4 计算机用户操作不当
虽然网络技术早已成为当今人们生活、工作中不可缺少的重要技术,但仍然存在着部分用户对计算机操作不当的情况,由于用户无意间的操作,可能也会对计算机网络信息安全造成威胁。
用户在对计算机进行使用的过程中,可能为了方便,对于密码没有按照要求设置,仅设置简单的密码,造成了个人信息的泄露;也可能由于过失、粗心大意,忘记密码,忘记退出相关网站等,导致个人信息被恶意盗取等。用户的这些行为都给了不法分子可乘之机,使其利用用户的操作,对其进行恶意的攻击或威胁。
2 计算机网络信息安全防护策略
2.1 提高意识,重视信息管理
作为计算机的用户,必须提高自身的安全防护意识,对跟人信息进行妥善的管理。首先,用户在设置个人密码时,应当尽可能地避免采用通用、简单的密码,避免采用与自己的生日、电话等重合的密码,避免他人进行破取。
其次,用户应当及时安装防火墙及防盗软件。防火墙是保护计算机网络信息安全的重要保障,既能有效地对他人访问进行限制,也能较好地防止外部网络用户的恶意攻击。与此同时,还应当安装杀毒软件。杀毒软件是与防火墙共同使用的重要防护工具,既能及时抵挡病毒的入侵,也能对计算机现有的病毒进行查杀。
2.2 使用数据加密技术
由于用户在使用计算机的过程中,不可避免地要通过互联网实现数据的交换于传输,数据在传输的过程中,通过防火墙与杀毒软件难以对其进行保护,因此,就需要利用加密技术对数据进行进一层的保护。
通过端对端或者线路加密的方式,使得数据在传输的过程中,获得保护,能有效地提高计算机网络信息安全程度。数据加密技术需要通过密钥才能对用户的信息进行提取与解读,能通过将个人信息与密钥联系的方式,使得用户的个人信息得到较高程度的保护。
2.3 采用文件加密技术,使用数字签名
当前,许多用户也采用了文件加密技术,并通过使用数字签名的方式,提高了计算机网络信息的安全程度。通过这两种方式,能有效地保护电子信息及计算机网络信息系统的安全,避免电子信息被窃听、盗取等。
在数据的储存过程中,通过采用口令、密码、密令等方式,能有效地提高对数据使用者身份的鉴别度,使得不法分子难以对数据进行操作与破坏,维护计算机网络信息的安全与正常秩序。
2.4 提高计算机网络信息安全水平
实现计算机网络信息安全,不仅需要用户谨慎使用、正确操作,更为重要的,是提高整体的计算机网络信息安全水平。
网络信息安全水平关乎着所有计算机用户,因此,必须从宏观层面上提高安全水平。首先,国家应当不断完善计算机网络信息安全的相关法律法规,明确事前规范、事中制约、事后惩处机制。其次,企业也应当建立计算机网络安全保障体系,明确网络管理人员的责任,充分调动其积极性,主动提升自身的网络信息技术水平,维护企业的计算机网络信息安全。最后,应当加强对网络信息维护人员的培训,提高其综合能力,使得网络信息维护人员能更好地保护网络信息安全。
3 结语
随着信息技术的发展,计算机网络信息安全成为了人们越来越关心的重要问题。当前,所有计算机用户都应当提高其网络信息安全意识,从自身做起,加强对网络信息安全的维护,防止他人的恶意侵害。另一方面,通过采取不同的方式,不断地丰富计算机网络信息安全防护策略,为计算机网络信息的传递、发展、储存提供一个更为安全、有保障的环境。
参考文献
[1]王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程,2015(1).
关键词:计算机网络;安全防护;发展
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
随着信息化时代的来临和科技的高速发展,计算机网络的用户量在不断地上升,人们的工作和生活已经越来越离不开计算机网络,计算机网络的确给人们带来了巨大的方便和利益,然而,随着计算机网络的发展,用户人数越来越多,用户的一些个人信息和隐私、以及公司内部重要资料数据甚至国家政府的机密等信息也就在计算机网络上公开了,计算机网络具有很强的开放性和互联性,这些信息对于一些电脑黑客和不法分子来说,获取简直轻而易举,信息若被他们获取,将会带来严重的后果;再者,计算机病毒在互联网上的传播速度将会越来越快,危害性也越来越大,病毒的传播与蔓延,将会带来更大的问题,严重者甚至影响国家安全。因此,必须要特别重视而且要全面做好计算机网络的安全防护与发展趋势安全分析。
一、威胁计算机网络安全的因素
(一)存在一定的无意的人为因素
人为的因素主要是部分的电脑操作者操作不当,比如说没有进行正常的安全配置,威胁操作系统,没有较强的计算机安全防护意识,很多时候将自己的个人信息随意发送,这有很大可能将威胁到计算机网络安全。
(二)操作系统存在一定的不安全性
每个操作系统都存在一定的不安全性,操作系统支持数据的交换与连接,这对网络安全来说是一个漏洞;操作系统还可以创建进程,然而这些进程软件就是系统进程,黑客不法分子经常就利用这些进程软件窃取信息;再者,操作系统还支持在互联网中传送文件,文件传输过程中很有可能附带一些可执行文件,是人为编写的,一旦出现漏洞被不法分子利用,会对计算机网络系统带来很大的破坏。
(三)计算机病毒的威胁和恶意程序的破坏
由于计算机网络的互联性与广泛性,计算机病毒的传播速度和威胁力越来越大,病毒其实是一些破坏计算机数据或功能、阻碍计算机正常运行的,而且还可以自我复制的一段计算机指令或代码,而且病毒还有持续时间特别长、危害性特别大、传染性特别高的特点,病毒的传播途经也特别广,一些光盘和移动硬盘以及其他的硬件设施都是病毒传播的途径,一些恶意的程序如木马程序就是利用一些程序漏洞窃取信息的恶意程序,具有一定的自发性和隐蔽性。
(四)计算机网络安全技术人员和用户安全意识不强,技术人员能力有限
很多用户缺乏个人信息的安全保护意识,对于重要的信息实行共享、随意转借;技术人员水平有限,不能够建立一个很好的安全机制、提出安全策略。
(五)黑客的恶意攻击
黑客对计算机网络安全带来巨大的威胁,他们通常能够利用一些软件来进行网络上的攻击,他们经常窃取和篡改计算机中重要的系统数据和资源,还能自己编制病毒破坏计算机系统,对计算机的安全防护带来巨大的影响和威胁。
二、计算机网络安全防护的主要对策
(一)要健全计算机网络安全管理的防护机制
建立健全计算机网络安全防护机制,是规范计算机用户和管理员行为的保障,建立健全网络安全管理机制,有利于提高用户和计算机系统管理员的职业水准和专业素质,有利于使计算机操作人员形成良好的习惯,促使他们及时的对数据资料进行备份,促进计算机网络安全防护的工作能够顺利开展。
(二)要重视加强防火墙技术
采用防火墙技术是一种有效地手段,防火墙是一种网络的屏障[1],因为黑客要想窃取重要的机密与信息必须进入计算机内网,而要想访问内网就必须通过连接外网来实现,采用防火墙技术可以有效地防止这一现象发生,而且比较经济。一般把防火墙安装在内部网络的出口,这是一个最佳的位置,可以实现内网与外网之间的访问控制,防火墙具有网址转换功能,可以使外网连接都要经过保护层,可以对外网的状态和活动进行监听,对一些非法入侵的活动进行及时的控制和分析。而且可以通过防火墙保护层的只有被授权的活动,可以起到很大的作用,促使内网重要信息机密免受入侵。
(三)重视加强数据加密技术
数据加密技术简单来说就是通过使用一些密码或代码将一些重要的信息或数据从可以理解明白的明文方式变成一种错乱的不能理解明白的密文方式,在存储体内或传送过程中对信息进行保护,防止以明文方式丢取信息,确保信息安全。数据的加密技术包括数据传送、数据存储、密钥和数据的完整性四项[2],各个部分都能对数据信息进行全方位的安全性保护,有转换加密、增加密码、身份验证审核、加密密钥、端加密、还有口令、身份、密钥的鉴别,包括最后的自动解密。密钥在各个环节的管理的好坏常常决定数据资料的保密安全。
(四)重视加强数据的备份工作
及时对一些重要的数据资料进行备份工作,通过存储技术将计算机中的重要的需要被保护的数据用其他的存储设施,如移动硬盘或者光盘进行转存,以防系统崩溃时数据被破坏或者丢失,即使数据被破坏或丢失后,也可以依靠备份来进行数据的恢复,只是在备份时,不要将源数据和备份数据放在一个服务器之中,另找一个安全的地方进行存放。要切实建立健全数据备份与恢复机制。
(五)进行相关政策法规的保障,同时提高计算机操作人员与管理人员的专业能力与素养,提高安全防护意识
颁布相关的法律法规保障网络安全,加强管理,同时重视计算机网络的安全意识教育,再者要提高技术人员的专业能力与素养,对于一些基本的网络安全防护措施要很熟悉而且要做到位,及时的对新的技术人员进行培训与辅导,加强安全防护管理的意识,不断提高自身的专业技能与专业素养。
三、计算机网络安全防护的发展
对于计算机网络安全防护的发展,我们需要更加的完善网络安全防护措施,在不断进行完善更新的基础上采用更为先进和主动的防护措施,化被动为主动,我们可以采用“云安全”技术,云安全这项新的技术可以大范围的对网络中的异常的软件行为进行检测,获取关于病毒、木马等恶意程序的最新消息,并通过服务端进行自动的处理分析,然后给每一位客户发送解决方案。从而整个计算机互联网络就像是一个巨大的杀毒软件[3]。采用“云安全”等新技术会让计算机网络安全防护变得更有力。
四、小结
计算机互联网络是一个庞大而又复杂的信息网络,在这个信息网络之中,做好必要的安全防护措施是很重要的,计算机网络涉及的领域相当的广泛,如果不进行计算机网络的安全防护,那么一旦在计算机网络中一个领域中出现安全问题,那么其他的领域也会受到连锁的影响,这样会导致全社会各个领域的工作受到严重阻碍,甚至瘫痪,造成巨大的经济损失和人员的恐慌,有时甚至会影响到军事领域,威胁到国家的安全。因此全面认识到计算机网络中的不安全因素,及时提出实施安全防护措施,及时的让新技术加盟,我们才能够更好地确保计算机网络的安全,促进人们正常的学习、工作、生活,促进经济平稳迅速发展,确保国家安全。
参考文献:
[1]杨艳杰.计算机网络的安全防护与发展[J].电脑编程技巧与维护,2011,56(12):12-16
关键词:计算机,网络安全,防护技术,信息安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01
Computer Network Security Risks and Protection Technology
Wang Jinghai
(Hunan Loudi Municipal Bureau Radio,Film and Television,Loudi417000,China)
Abstract:With the progress and development of computer networks,information security has become increasingly prominent,computer networks not only provide people with a platform for information exchange,but also reveals to us the importance of network security.Data transfer process to ensure the integrity,confidentiality and availability,network security protection technology is fundamental.
Keywords:Computer network security;Protection technology;Information security
一、前言
社会信息化程度的提高,为信息数据安全提出了更高的要求,基于计算机网络安全防护技术而构建的强大信息平台,是我们目前生活中不可分割的重要组成部分。计算机网络安全,包括两个方面,即物理安全与逻辑安全。通常我们所说的网络安全技术指的是逻辑安全,就是保障信息的完整性、保密性与可用性。威胁计算机信息安全的因素有很多,网络安全技术主要针对人为因素带来的各种威胁,防止不法之徒利用网络漏洞侵入系统、盗用资源、截获数据、篡改程序、编制病毒等行为。
二、几种常见的计算机网络安全隐患
在计算机网络安全隐患中,既有针对信息数据的威胁,同时也有针对网络硬件设备的攻击威胁。针对信息数据的非法修改、窃取、删除和使用等都属于计算机网络逻辑安全隐患,而针对网络硬件设施的破坏则属于计算机网络物理安全隐患。
(一)网络结构与设备的安全隐患。网络的构成具有其鲜明的结构特性,网络拓补结构有很多种,通常在搭建网络的过程中大多会选择混合型结构,其中既包括星型拓补也包括总线型。拓补结构的节点正是网络安全隐患的切入点,不同的节点上可能使用不同的路由器、交换机等设备,而受设备自身的技术约束与功能约束,存在不同的安全缺陷,因此也就构成了设备安全隐患。
(二)操作系统安全隐患。为我们提供实现各种信息处理功能的软件,都是基于操作系统而开发出来的,因此,如果操作系统本身存在安全隐患,那么将很难保障我们在处理信息时能够受到保护。越来越多的应用软件需要获得操作系统的兼容许可,需要在操作系统中获得许可,因此,操作系统的任何漏洞和缺陷都可能被不法分子利用,从而使我们对信息数据的处理变成间接泄露信息的一种途径。
(三)病毒和黑客。当我们谈论计算机网络安全隐患的时候,病毒与黑客总是谈论的焦点,病毒既可以针对计算机网络物理安全进行攻击,同时也可以破坏逻辑安全,因此,病毒是计算机网络安全最大的隐患。而黑客通常是病毒的制造者与使用者,黑客与病毒已经与计算机网络安全技术形成一种伴生的状态,成为目前计算机网络所面临的最大威胁。
三、计算机网络安全防护技术
(一)数据加密技术。从数据安全的角度出发,最根本的防护技术之一就是数据加密,也是最为传统的一种安全防护措施。所谓加密,就是将原有的信息数据按照一定的算法置换成不易被识别的另一种密文方式,然后在进行存储或传输。信息数据的使用者必须在调用密文的过程中输入相应的密匙才能够正确破译并还原数据为可读状态,加固了信息数据的保密性,确保了信息复原之后的可用性。在采用数据加密技术时,最重要的是加密与解密的过程中算法与密匙的使用,随着黑客破译手段的不断提高,加密方式也在不断更新。
(二)防火墙技术。防火墙技术是网络之间的一道安全屏障,只有合法用户才能够顺利通过防火墙,对计算机数据进行访问和使用,从而防止了外部非法用户的侵入,最大限度的保护了网内资源的使用权限。不同安全级别的网络之间有了防火墙技术,通过检测数据包中的源地址、源端口等信息来判断数据包的安全性可以很大程度上过滤掉含有威胁的数据包,从而保障网内数据的安全。但防火墙也并不是完全对安全威胁能够进行阻截的,只能作为网络安全技术的一种存在于我们的网络中。
(三)入侵检测技术。入侵检测是针对用户非正常访问计算机的情况来进行拦截的,一方面入侵检测技术的通用性较强,受系统约束较小,但另一方面入侵检测技术也有其不可避免的弊端,即入侵检测很难进行全面扫描,因此会出现误警的情况。随着入侵检测技术的不断改进,误警率已经大大降低,相应速度也相应提高了很多,但数据的加密很大程度上干扰了入侵检测对数据包的正常扫描。
(四)防病毒技术。近年来随着网络病毒愈演愈烈,防病毒技术也在不断提高,其中包括病毒的预防、病毒的监测与检测、病毒的消除等。计算机网络安全首先应当具备完善的病毒防护系统,建立一套坚固的预防体系,使病毒入侵的可能降低到最低。其次,对非法代码实行实时监测,及时发现可疑程序或可疑代码,便于进行隔离清除,防止病毒扩大影响范围,或对数据造成损害。病毒检测是在掌握了病毒特征与数据特征的情况下,进行数据比对,从而判断被检测文件是否被病毒感染,如果被检测文件没能通过比对将会被视为被感染文件。通常病毒的消除常常是产生于病毒诞生之后,而开发出的逆程序。病毒消除通常借助杀毒软件或专杀程序,随着网络复杂程度的不断提高,病毒查杀也升级到云查杀阶段。
四、结语
网络功能的日益强大,已经成为我们生活中不可分割的重要组成部分,随着网络覆盖范围的不断扩大,信息安全也遍布生活中的各个领域。网络安全隐患的滋生与网络安全技术始终是一对相生相克的矛盾,只有从安全隐患的角度进行深刻剖析,才能够在安全技术开发上契合问题,消除安全隐患。网络安全问题已经成为广泛关注的社会问题,并引起各界的一致关注,保护网络安全不仅要依靠被动的技术,更重要的是提高信息安全与保护意识,从主观认识上提高安全防范意识,降低安全隐患的滋生,并积极的进行安全防护技术改进,使信息安全成为社会安全的重要组成部分。
参考文献:
关键词:DMZ;网络安全;防火墙;安全域;冗余
1引言
随着北京市怀柔区融媒体中心新媒体、移动端业务的快速开展和不断推进,需要进一步强化新媒体平台的安全性。如何确保平台安全稳定运行,以及重要信息完整、可靠、不泄漏,保障安全播出,已成为当前亟需解决的问题。本中心参照《中华人民共和国网络安全法》和《信息系统安全等级保护基本要求》的相关规定,结合中心的实际情况,在机房物理环境安全、服务器主机安全、网络安全、数据安全和安全制度管理等方面进行整改建设,排除安全隐患,以提高系统抵御攻击能力,从整体上提升中心新媒体平台系统的安全防护水平。
2物理安全防护
怀柔区融媒体中心采取的物理安全防护措施包括五个方面。一是中心机房配备防盗报警器,能够清晰录下现场作案者的图像、语音,远程遥控布防撤防或紧急报警,外接喇叭接口能声光报警。二是设置自动气体灭火消防系统,自动监测火情,自动报警,并自动喷洒七氟丙烷灭火;机房、工作场所建筑材料采用耐火材料;机房采用耐火阻燃隔离设施,将重要设备与其他设备隔离开。三是配备专用机房空调,保障设备运行在适宜的温湿度环境下,防止设备在非正常环境下运行造成安全隐患;采取必要的防水防渗保护措施,并安装了温湿度传感报警设备。四是机房计算机服务器等供电系统与其他供电系统分开,并采用双路供电系统保障安全播出;设置稳压和过压防护设备,配置了100kVA的UPS供电系统,在停电时可提供3个小时的供电;配备了柴油发电机。五是利用绝缘地板、铜带、防电磁干扰设备等防止外界电磁场、杂波干扰和临近设备的寄生耦合;强电电缆与弱电线缆实行分离部署,重要设备和磁介质实行电子屏蔽。
3网络安全防护
3.1安全域划分
安全域是由实施共同安全策略的主体和客体组成的集合。安全域的划分可以理顺系统架构,最大程度地为系统防护提供依据。网络安全域是指同一系统内有相同的安全防护护需求,计算机彼此间建立了信任关系,并具有相同的边界控制策略、安全访问控制和安全策略的网络。新媒体平台的安全域可分为核心区纵向系统(互联网接入区及核心交换)、公共服务区(DMZ区)、三级业务区、视频服务区(Sobey视频编辑系统)、安全管理区、内部办公区等6个部分。对于安全域的边界整合问题,根据组织结构和业务的相似性可以对安全域有选择地进行整体性保护,其基本原则是在保障业务系统的前提下,在安全域放置高效防火墙进行边界隔离,且防火墙必须具备负载均衡、双机热备的能力。
3.2通信安全网络防护
按照等级保护三级的要求,平台通常需要设置两个或两个以上来自不同运营商的外网出口,并且这些外网不能来自于同一根光纤线缆,如一条移动线路和一条联通线路。当一条线路故障时,数据自动快速切换,把用户导向服务器质量最好的一条线路上,保证对外应用与内网办公用户访问互联网资源不受影响。为实现这一需求,中心选用了链路负载均衡解决方案,在其静态和动态的就近判断以及链路带宽检测策略的基础上,定制特定的路由策略,能够基于源地址、目的地址以及应用业务来命定链路。一些用户的服务器被现有移动运营商IP限制,即使在增加联通链路后,访问这些特定服务器仍然必须使用移动链路。而使用负载均衡,能够通过路由策略来解决上述问题。中心网络设备和安全设备均使用双机热备。设备数据(包括数据库数据)同步写入两台、多台网络设备或者共享的存储设备中。在同一时间内只有一台网络设备运行。当运行的设备出现故障时,另一台备份设备通过心跳线侦测并将其激活,使得应用迅速切换至备用设备,保障业务的正常运行。网络结构的设计是网络安全建设的重要基础和前提,应保证重要网络设备业务处理的资源需求和网络各个部分的带宽满足高峰期业务的需要。依照不同业务的重要性,定义带宽分配的优先级,在网络拥堵时优先保障重要业务的带宽资源需求。合理规划路由,业务终端与业务服务器之间建立安全路径。根据各个域所承担业务的重要性和所涉及信息的敏感程度等因素,划分不同的网段或VLAN。承载重要业务系统及数据的网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。在网络访问控制中,我中心采用的技术手段包括防火墙技术和访问控制列表技术。访问控制一般在安全域的边界处进行控制,根据访问数据包的源地址、目的地址、协议类型、端口号、流量状态、用户身份、访问时间等诸多因素,进行控制,禁止那些不被允许的访问类型,或者阻断非法访问。
3.3网闸部署
采取逻辑强隔离设备对视频编辑系统与核心交换区进行逻辑隔离,是为了适应新媒体平台的业务发展需要,在保证原有对外业务连续性的同时保证核心数据的安全。用网闸将索贝制作系统与核心交换区隔离,并在网闸中做好黑白名单和摆渡策略的设置,以保障工作流的正常运转和内部数据的安全。
3.4防火墙部署
在新媒体平台内网与外网出口部署边界出口防火墙,在安全域间部署域间防火墙,并根据业务保护等级的需要进行不同的策略设置。(1)访问控制策略根据源、目标地址、协议、端口、时间、用户、流量等信息,防火墙对各个安全区域之间的访问进行严格的访问控制,限制非法和越权访问,保障内外网各类访问的有序性。(2)边界出口防火墙边界出口防火墙部署在重要区域边界,主要针对一些常见的拒绝服务攻击行为启用抗攻击策略;对外部终端的访问进行深度分析,直接阻断上述攻击行为;通过访问控制策略,限制对外进行某些访问。终端设备可通过边界出口防火墙限制外部直接访问上级单位服务器,而任何未授权的越界访问均被禁止,同时限制外部未经认证的用户访问内网其他资源。此外,边界出口防火墙还可启用带宽控制策略,即根据业务类型的重要性,分配不同的宽带,确保那些重要的业务能够得到更多的带宽资源,保障业务的持续性和带宽资源的合理分配。(3)域间防火墙根据业务需要,确定业务源、目标地址、访问协议、访问端口、设置访问控制。根据业务开放时间、带宽等因素制定访问控制策略。根据业务流程分析和数据流向设置严格的访问策略。例如,通过设置端到端的访问,增强访问控制的确定性、安全性;允许许可用户不受防火墙的限制访问应用服务器和其他指定服务器。
3.5VLAN及访问控制列表配置
根据业务需要,将重要的核心业务与非核心业务通过不同的VLAN划分为不同的子网,实现逻辑隔离。在核心交换机以及汇聚层交换机上配置访问控制列表策略,执行严格的访问控制,在防火墙的基础上进一步对应用服务器域、内部数据库域、业务终端域之间的访问进行控制,对源地址、目标地址、访问协议和访问端口等进行网络访问白名单控制。划分VLAN与配置访问控制列表策略的好处是投资小,并且不必对现有网络做过多的改造,只需对核心交换机做配置便可实现,但缺点是无法做到认证的整合和对应用级别的访问控制。对此,建议在应用安全设计中,通过认证管理来对不同的应用进行访问控制。
3.6安全管理域
目前,怀柔区融媒体中心信息网络由于设备太多存在较大的安全隐患,如账号管理不清晰、密码明文存放、明文通信容易被窃听、无过程审计以及未定义细化访问控制等。因此,有必要再部署账号集中管理与审计系统,建设统一的安全管理技术平台,使得安全管理员可以对系统设置安全策略。根据等级保护技术要求,应对支撑新媒体平台的重要网络设备,包括服务器、数据库以及重要的安全网关设备进行集中的日志审计,监控网络流量,识别和报警异常流量,同时集中管理各个网络设备产生的日志,深入分析记录形成报表,并对特殊的操作行为进行记录。因此,新媒体平台内部署了网络审计系统,全面收集各个重要网络设备、安全硬件设备的日志,集中存储到安全管理域内的日志服务器上,并进行归纳和分析,实现对网络当前运行状态的全面掌握。身份认证是等级保护建设的重点,本中心采用CA认证,使用身份专属公开密钥来确认身份实现访问控制。
3.7网络安全防御
在新媒体平台边界入口处部署网络入侵防御系统,深度检测数据包内容,对异常的访问进行深度检索,及时告警与阻断内部不正常的数据流。考虑到对蠕虫、木马、病毒恶意脚本的隔离,纵向和横向出口处部署了病毒过滤网关。为应对网站遭受黑客攻击、页面篡改和暴力破解等攻击,本中心还部署了负载均衡设备、抗DDos设备和WAF防火墙。
4安全管理制度
除了采用信息安全技术措施抵御信息安全威胁外,安全管理制度也是本中心新媒体平台网络安全保护建设中十分重要的一部分,所谓“三分技术,七分管理”就是这个道理。安全技术措施和安全管理制度可以相互补充,共同构建全面、有效的信息安全保障体系。为此,本中心建立健全了安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等体系制度。
5总结
计算机信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。也可以根据计算机通信网络特性,通过相应的安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等加以保护,防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。总之,我们必须加强计算机通信网络安全防范意识,提高防范手段。
2信息安全的内容
2.1硬件安全
即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。
2.2软件安全
即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复。
2.3运行服务安全
即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
2.4数据安全
即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
3信息安全风险分析
3.1计算机病毒的威胁
随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
3.2黑客攻击
黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源。
3.3信息传递的安全风险
企业和外部单位,以及国外有关公司有着广泛的工作联系,许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如:①被非法用户截取从而泄露企业机密;②被非法篡改,造成数据混乱、信息错误从而造成工作失误;③非法用户假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
3.4软件的漏洞或“后门”
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
3.5身份认证和访问控制存在的问题
企业中的信息系统一般供特定范围的用户使用,信息系统中包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单,不能灵活实现更详细的权限控制;各应用系统没有一个统一的用户管理,使用起来非常不方便,不能确保账号的有效管理和使用安全。
4信息安全的对策
4.1安全技术
为了保障信息的机密性、完整性、可用性和可控性,必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分,任何一方面薄弱都会产生巨大的危险。因此,应该合理部署、互相联动,使其成为一个有机的整体。具体的技术介绍如下:
4.1.1加解密技术在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。
4.1.2VPN技术VPN即虚拟专用网,通过一个公用网络(通常是因特网)建立一个临时的、安全的连接.是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
4.1.3防火墙技术防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,防止外界对内部资源的非法访问,以及内部对外部的不安全访问。
4.1.4入侵检测技术人侵检测技术IDS是防火墙的合理补充,帮助系统防御网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息,并进行分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
4.1.5防病毒技术随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
4.1.6安全审计技术包含日志审计和行为审计。日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性和安全策略的有效性,追溯、分析安全攻击轨迹。并能为实时防御提供手段。通过对员工或用户的网络行为审计,可确认行为的规范性,确保管理的安全。
4.2安全管理
只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面,企业信息安全才能真正得以实现。具体技术包括以下几方面。
4.2.1开展信息安全教育,提高安全意识员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计,信息安全的威胁除了外部的(占20%),主要还是内部的(占8O%)。在企业中,可以采用多种形式对员工开展信息安全教育,例如:①可以通过培训、宣传等形式,采用适当的奖惩措施,强化技术人员对信息安全的重视,提升使用人员的安全观念;②有针对性地开展安全意识宣传教育,同时对在安全方面存在问题的用户进行提醒并督促改进,逐渐提高用户的安全意识。
4.2.2建立完善的组织管理体系完整的企业信息系统安全管理体系首先要建立完善的组织体系,即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构,完成制定并信息安全管理规范和建立信息安全管理组织等工作,从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰,保障信息安全措施的落实以及信息安全体系自身的不断完善。
4.2.3及时备份重要数据在实际的运行环境中,数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施,但也无法保证系统不会出现安全故障,应该对重要数据进行备份,以保障数据的完整性。企业最好采用统一的备份系统和备份软件,将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查,保障数据备份的严格进行及可靠、完整性,并定期安排数据恢复测试,检验其可用性,及时调整数据备份和恢复策略。目前,虚拟存储技术已日趋成熟,可在异地安装一套存储设备进行异地备份,不具备该条件的,则必须保证备份介质异地存放,所有的备份介质必须有专人保管。
5信息安全的方法
从信息安全属性的角度来看,每个信息安全层面具有相应的处置方法。
5.1物理安全
指对网络与信息系统的物理装备的保护,主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。
5.2运行安全
指对网络与信息系统的运行过程和运行状态的保护,主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用以及数据备份等。
5.3数据安全
指对信息在数据收集、处理、存储、检索、传输、交换、显示和扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖,主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名和秘密共享等。
5.4内容安全
指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力,主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤以及系统的控制等。
5.5信息对抗
指在信息的利用过程中,对信息真实性的隐藏与保护,或者攻击与分析,主要的处置手段是消除重要的局部信息、加大信息获取能力以及消除信息的不确定性等。
6对网络信息安全的前景
关键词:计算机;网络安全;恶意攻击
1计算机网络安全概述
1.1计算机网络安全定义
网络系统中的硬件、软件以及网络传输信息的安全性都是计算机网络安全的范畴。究其本质,就是保护网络的信息安全,避免其遭到偶然或恶意的攻击。技术和管理问题是网络安全问题中关系紧密互相补充且不可缺一的两个方面[1]。
1.2计算机网络安全特征
随着信息技术的极大繁荣,计算机网络使用范围大大提高,改变了人们的生活和工作,也正因如此,计算机网络安全问题变得不能忽视。计算机网络安全具有可控性、完整性、保密性等很鲜明的特征。其中,信息传播是可以控制的即为可控性,信息数据传送时存储的完整即为完整性,保密性则是指未授权条件下用户端不能获取有关你的任何信息。
2计算机网络安全的影响因素
2.1病毒因素影响
影响计算机网络安全的众多因素中,病毒因素是相对较为严重的其中之一。病毒因素是导致计算机网络安全遭到破坏的最常见的因素之一。若在计算机中加入一些能够对计算机产生影响的恶意数据代码或者是功能,就会形成计算机病毒,计算机病毒的载体即为计算机网络。计算机感染病毒之后,会迅速进行传播繁殖,并且利用图片下载、电子邮件、电子消息等方式进行大范围散布,最终使计算机网络瘫痪,影响整个网络安全。
2.2计算机网络系统本身因素影响
除病毒因素以外,计算机网络本身系统的缺陷也会对计算机网络安全造成不小的影响。首先,目前的一些操作系统或多或少都会存在一些安全漏洞,这些漏洞恰恰是黑客侵入计算机网络系统的最好媒介。其次,不协调的网络硬件配置也会对计算机网络安全有影响。此外,网络的稳定性与可扩充性有待提高,系统设计方面存在的一些规范性、合理性以及安全性等方面的问题,严重影响了计算机网络安全。除硬件以外,软件方面对计算机网络安全也有很大影响,应用范围和技术方面的缺陷,影响了网络搭建和网络数据的共享,继而影响网络资源的使用和网络协议的工作,还有一些漏洞出现在信息加密与身份认证中,更加直接影响了计算机网络安全问题。
2.3电磁辐射对计算机网络安全问题的影响
计算机网络安全问题也会受到电磁辐射的影响,而且受到的影响不能忽视。电磁信号的传播在当前主要受到电源导线、地线与数据信号设置等方面的影响;另外,数据信息的传递很大程度上也会受到电磁辐射的影响。一些具有破坏性的数据设备终端是电磁辐射的一般来源,产生影响是因为发生了辐射泄漏的问题。
2.4其他因素
第一,强大的数据采集功能是计算机网络一大功能,同时正是由于这些数据库没有一个统一的管理,使得整个计算机网络所处环境太为广大,可能会导致计算机网络用户的信息使用和储存出现问题[2];第二,网络结构方面也有很大的不安全性,当攻击者攻击一台与其他机器连通中的正在进行信息传输中的主机,那么该传输路径上的其他机器也有可能因此受到攻击,使得用户数据包受到破坏;第三,目前防火墙自身也有一定的局限性,防火墙能够对计算机网络起到一个较好的保护作用,而目前来看,许多途径都可以对防火墙造成破坏,使其失去防止外来恶意攻击的能力;第四,若是没有有效的评估与监控手段,计算机网络安全也会受到威胁。
3计算机网络安全防范
3.1合理设计网络系统
要想建立安全可靠的计算机网络工程,首先需要对网络系统进行全面彻底的分析,注意使用网络分段技术,以便从源头上解决网络安全隐患问题,局域网工作时以交换机为中心,以路由器为边界,物理分段和逻辑分段的结合使用,能够隔离非法用户与一些网络资源,进而可以有效控制局域网的安全问题,很大程度上减少甚至消灭非法侦听的问题,从而使网络信息更加安全。
3.2完善提高计算机网络加密技术
计算机网络的安全加密工作能否做好对保障计算机网络安全有直接影响。当前较为常见的是对计算机数据的加密技术,这种加密技术类似于过去的一种电报加密技术,主要是在特殊算法的帮助下,实现信息数据到密文的转换,再对数据进行传输或者保存等工作,转换过程中,密匙只掌握在特定的接收者手里,可以获得数据信息原文的也只有特定的接收者,以保证数据信息的绝对安全与保密。
3.3加强计算机网络防火墙应用
防火墙是一种十分常见而且常用的现代技术,能够阻止外部人员进入内网,从而限制对计算机网络的访问。防火墙可以设置规则以限制计算机网络访问,当访问者达到有效数据的匹配标准后,即可通过数据信息,进行访问,这种方法可以有效过滤不良信息,保护数据信息安全,因此,对计算机的外部危害,防火墙可以起到很好的保护作用。
3.4加强病毒防范措施
在解决计算机网络安全问题时,要能够从多个角度考虑问题,实施多元化的方案,以提高效果。其中,最基础的防范措施便是计算机中杀毒软件的安装。安装杀毒软件,能够有效防止病毒因素对计算机网络安全造成破坏。杀毒软件中的单机防毒主要针对本地工作站的网络资源,网络防毒主要针对全体网络,该软件可以有效防止已入侵病毒对其他网络资源的传染,从而避免更大损失的发生。另外,定时检测分析计算机网络中的病毒并将其清除,也可以提高计算机网络安全。
3.5控制计算机网络的访问权限
为了更好的进行计算机网络安全防范,必须做好对计算机网络的访问权限工作。首先需要做好的是入网访问的功能模块的构建,这是访问的第一层,主要包括识别并认证用户名、识别认证用户口令、检查用户账号三个过程步骤,三个过程必须同时成立,否则不予进入的权利;其次,要做好网络的权限控制工作,以隔离非法操作;第三,注意建立属性安全服务模块,实现对重要文件的保护,避免出现误删的问题;第四,保证网络服务器的安全,可以利用如金山毒霸、瑞星等软件实现对非法访问用户的拦截;最后,还要注意安全管理机制的建立,直接保证计算机系统安全性。
4结束语
全文可以看出,计算机网络迅猛发展的同时,影响其安全的因素也日益增多,只有深入研究这些因素,多方面多角度多层次地对其进行防护,才能实现我国计算机网络的良性发展,这需要多方努力。
参考文献:
[1]林船.浅谈计算机网络安全存在的问题及应对策略[J].电子世界,2012,(15):144-145.
关键词:物理安全;VLAN;网络安全
中图分类号:TP393.2 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
Security Analysis and Protection of Network Management
Shi Qinghao
(Haimen New Cooperative Medical Management Committee,Haimen226100,China)
Abstract:With the rapid development of computer network technology,to a certain extent to human social life on a fast and free,open and interactive,but at the same network technology also brings new problems and challenges,the network work management network security has become an extremely important issue,causing more and more attention,this article will introduce the network management security analysis and response.
Keywords:Physical security;VLAN;Network security
一、引言
计算机网络在近几年得到了快速发展,回顾计算机网络的发展,可将其划分为四个阶段:第一,诞生阶段;第二,形成阶段;第三,互联互通阶段;第四,高速网络技术阶段。由于网络与人们的生活紧密相连,因此网络安全自然成为我们研究的热点,网络安全问题涉及国家机密信息或个人隐私,处理不当将成为不法分子的攻击目标,所以认识网络安全问题及加强安全技术的学习是十分必要的。
二、物理安全
物理安全是计算机系统信息系统安全的重要前提,是保护计算机网络设施、设备等其他媒体免遭火灾、水灾,地震等环境事故以及不可避免的人为操作失误及各种网络犯罪行为导致的破坏过程,物理安全主要包括环境安全、设备安全、媒体安全,网络临界点安全。
三、网络共享资源和数据信息安全的安全设计
(一)计算机网络物理隔离技术。基于软件的一种逻辑保护机制,可以被逻辑实体进行操纵,但这些技术也存在不足之处,它无法满足军队、科研、政党机关及企业等组织提出对数据安全方面的要求,而物理隔离技术的基本思想是如果不存在于计算机网络的物理连接,网络的安全威胁就会受到真正的限制。
(二)VLAN技术。1.VLAN性能介绍。VLAN(Virtual Local Area Network)即虚拟局域网,该技术是一种通过将局域网内的设备逻辑额划分为一个个网段以实现虚拟工作组的新技术。VLAN主要有两个作用,一是提高网络的安全性,拒绝未经授权的VLAN访问,二是提高网络传输效率,可把广播隔离在子网内。因此,VLAN能在网络安全性及稳定性方面都起着十分重要的作用。2.VLAN的优点。VLAN的优点主要有三:第一,控制网络的广播风暴。采用VLAN技术,可以将指定的交换端口划到某个VLAN中,且一个VLAN的广播风暴对其它VLAN的性能不构成影响。第二,确保网络安全。第三,简化网络管理。借助于VLAN技术,网络管理员能轻松管理整个网络。
四、网络安全的威胁及应对
(一)网络安全的威胁。如今,计算机网络所面临的安全性威胁主要有:1.非授权访问和破坏;2.拒绝服务攻击;3.计算机病毒;4.特洛伊木马;5.破坏数据的完整性;6.蠕虫;7.活板门;8.隐蔽通道;9.信息泄露或丢失。
(二)网络安全技术。网络安全领域的三大主流技术包括:防病毒技术、防火墙技术和入侵检测技术。1.防病毒技术。防病毒技术主要包括单机防病毒、网络防病毒、网关防病毒,系统防病毒四种情况。2.防火墙技术。防火墙可用来加强网络之间访问控制,防止非法分子通过外部网络进入内网访问内部网络资源,保护内网操作环境的特殊网络互联设备。3.入侵检测技术。入侵检测技术可看成是防火墙的合理补充,被认为是防火墙的第二道安全闸门,能在不影响网络性能的前提下对网络进行监测,从而达到对内外攻击和不当操作的实时保护。
五、网络安全策略
(一)安全检测评估。安全监测评估需要考虑以下五个方面。1.网络设备。 2.网络操作系统。3.数据库及应用软件。4.E-mail系统。5.Web站点。
(二)安全体系结构。安全体系结构主要包括访问控制、物理安全、数据完整性、数据保密和路由控制五个方面的内容。1.物理安全:是指在物理层次上对存储和传输的信息进行安全保护,是网络信息安全的基本保障。2.访问控制:访问控制通过对用户和数据进行分类,从而设置用户对数据的访问权限。3.数据保密:数据保密对各系统间的交换数据进行保护防止数据泄漏。4.数据完整性:确保接收方接到的信息与发送方发送信息的一致性,包括无恢复的完整性,可恢复的完整性、选择字段的完整性。5.路由控制:在大型网络中,有些线路是安全的,但有些是不安全的,通过路由控制机制,能让信息发送者选择指定路由,以确保数据的安全性。
(三)安全管理措施。网络安全管理不仅要保证网络资源和网络用户免遭非法使用,而且还要保证网络管理系统自身不被未经授权的访问,所以制定合理的安全管理措施是非常必要的。它主要包括网络设备的安全管理,软件的安全管理,管理网络的安全管理,安全的行政管理等。
(四)网络安全标准。网络安全标准是一个具有综合性、多学科、规范性等特点的标准,主要用来确保网络信息系统的安全运行,保证设备操作人员和用户的人身安全。目前国内外有许多安全方面的标准,可归纳为四大类,分别是基础类标准、物理类标准、网络类标准,应用类标准。
六、结束语
计算机网络在很多领域都得到了广泛使用,给人们的社会生活带来了很多便捷和自由,但同时也带来更多、更新的问题和挑战,只有加强对网络安全问题的学习和认识,才能使计算机网络更好的服务于人类。
参考文献:
[1]刘晓辉.网络安全设计,配置与管理大全[M].北京:电子工业出版社,2009
[2]钟九洲.浅谈VLAN技术与应用[J].达州职业技术学院学报,2007,Z:2
【关键词】信息系统网络;安全防护
1.前言
随着信息系统的不断发展,全球信息化已成为人类发展的大趋势。但由于信息系统具有连接形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,所以信息系统的安全和保密是一个至关重要的问题。信息系统网络必须有足够强的安全措施,否则该网络将是个无用的、会危及个人甚至国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。因此,信息系统网络的安全防护应该是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
2.信息系统网络面临的威胁
信息系统网络所面临的威胁主要包括自然灾害构成的威胁、人为或偶然事故构成的威胁、计算机犯罪构成的威胁、计算机病毒的威胁、计算机垃圾信息的威胁等几个方面。
2.1 自然灾害构成的威胁
主要体现在火灾、地震、水灾、雷击等几个方面。现实生活中,很多计算机信息系统常因雷击等自然灾害而导致设备损坏,数据丢失。
2.2 人为或偶然事故构成的威胁
主要有硬、软件故障引起的问题。工作人员的误操作使系统出错,使系统严重破坏或信息泄密;环境因素的突然变化如高温、低温、各种污染等。在2001年,曾有日本渔船在海上作业,弄断了中美之间的信息光缆,致使我国与境外的互联网断线长达数日之久,直接影响多地区和国家的因特网信息交流。因此,人为或偶然事故对信息系统网络造成的威胁在信息系统网络所受到的各种威胁中是最为普遍的,所造成的损失也是难以估算的。
2.3 网络软件的漏洞和“后门”。
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2.4 计算机垃圾信息的威胁
是近年来才提出的一个概念。简单地说,计算机垃圾信息就是在信息系统网络中的用户非主观需要,且造成信息系统网络资源被大量占用的信息。在信息系统网络中,垃圾信息占到用户所关心信息的1/3以上时,信息系统网络的快捷性、方便性、广泛性将受到极大的遏制。由于中国境内垃圾邮件的巨大,导致了欧美一些国家的禁令,给真正想利用互联网与国外联系的用户造成了无法弥补的损失。因此,广大信息系统网络用户对计算机垃圾信息的态度应该是杜本断源,彻底消灭信息系统网络中的垃圾信息。
3.计算机网络的安全防护
3.1加强内部监管力度
加强内部针对计算机网络的监管力度.主要分为两个方面:
3.1.1硬件设备监管
加强硬件设施的监管力度。做好硬件设备的备案、管理,包括主机、光缆、交换机、路由器,甚至光盘、硬盘等硬件设施,可以有效预防因硬件设施的破坏对计算机和网络造成的损害:
3.1.2局域网的监控。
网络监视的执行者通称为”网管”。主要是对整个网络的运行进行动态地监视并及时处理各种事件:通过网络监视可以简单明了地找出并解决网络上的安全问题.如定位网络故障点。捉住IP盗用者,控制网络访问范围等。
3.2配置防火墙
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障.是最受人们重视的网络安全技术。防火墙产品最难评估的是防火墙的安全性能.即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性~样.普通用户通常无法判断,即使安装好了防火墙,如果没有实际的外部入侵.也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的.所以用户在选择防火墙产品时.应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.3 网络病毒的防范
在网络环境下.病毒传播扩散快.仅用单机防病毒产品已经很难彻底清除网络病毒,因此.针对网络中所有可能的病毒攻击点设置对应的防病毒软件.通过全方位.多层次的防病毒系统的配置.定期或不定期的自动升级.最大程度上使网络免受病毒的侵袭。对于已感染病毒的计算机采取更换病毒防护软件,断网等技术措施。及时安装针对性的杀毒软件清理病毒,以保证系统的正常运行。
3.4系统漏洞修补
Windows操作系统自以后,基本每月微软都会安全更新和重要更新的补丁。已经的补丁修补了很多高风险
3.5使用入侵检测系统
入侵检测技术是网络安全研究的一个热点.是一种积极主动的安全防护技术.提供了对内部人侵、外部人侵和误操作的实时保护。入侵检测系统(Instusion Detection System。简称IDS)是进行入侵检测的软件与硬件的组合.其主要功能是检测.除此之外还有检测部分阻止不了的入侵:检测入侵的前兆.从而加以处理.如阻止、封闭等:人侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能.采用人侵检测系统.能够在网络系统受到危害之前拦截相应入侵.对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.6警惕来路不明的软件、程序及邮件
几乎所有上网的人都在网上下载过软件,在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中.比如病毒。因此需要选择信誉较好的下载网站下载软件.将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件.随时监控网上传递的信息。不要打开来历不明的电子邮件及其附件.以免遭受病毒邮件的侵害。
关键词:计算机;网络安全;漏洞;安全;防护
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。不仅包括组网的硬件、管理控制网络的的软件,也包括共享的资源,快捷的网络服务,涵盖了计算机网络所涉及的方方面面。网络是否安全一般可以根据保密性、完整性、可用性、可控性、可审查性等五个方面的特征进行判断。
一、网络安全现状分析和网络破坏手段的发展
(一)网络安全现状分析
近年来,随着互联网和网络应用的飞速发展,网络应用日益普及并且日趋复杂,在带来了前所未有的海量信息的同时,计算机网络的安全问题成为了互联网和网络应用发展中的重要问题。由于计算机网络本身构建的松散结构问题、网络本身的高度开放与共享问题、操作系统与应用软件本身的漏洞问题、安全配置不当的问题、个人安全意识不高等问题,导致病毒、黑客、恶意软件和其它不轨攻击行为相互融合,防御难度极具增加。当前,黑客的攻击目的由以往单纯追求“荣耀感”转移到实际利益的获取,组织行为更加缜密;网络安全问题在网络技术快速发展背景下,变得更加错综复杂,影响更加巨大。
(二)网络破坏手段的发展
当前,计算机网络的破坏手段有以下几种:
(1)利用操作系统和应用软件本身的漏洞,将伪造数据和有害程序(如计算机病毒等)嵌入系统,从而破坏系统的正常运行,或引入通信延迟程序等,改变信息系统的性能;
(2)利用病毒或木马,从而改变信息流向,篡夺系统的控制权;
(3)利用引起误操作,或抹掉系统中已有的数据或程序,或阻止合法用户对系统进行访问,或迫使网络节点脱离,系统出现功能紊乱,甚至关闭和摧毁整个系统和网络;
(4)利用网络通信结构的不完备、系统配置错误,通过“后门”、“陷阱”、“口令侦测术”等形式绕过保护,窃取用户的口令密码并非法访问系统,从事非法活动;
(5)搭线窃听、窃取计算机信息,特别是跨国计算机网络,对于是否被境外搭线窃听更难以控制和检查。
二、网络安全的防范措施
其基本思路可分为两类:一类是加强网络的入口控制;另一类是加强网络的运行过程控制。
(一)网络的入口管制
目前的主要技术手段有:加密、“防火墙”、卡片入口控制系统、键盘入口控制系统、逻辑安全控制系统、生物统计入口控制系统和网络监测系统等。加密就是通过密码设置对身份的真实性进行识别,确保信息机密不会泄露给非授权的人或实体。“防火墙”是一种隔离控制技术,通过预定义的安全策略,是保护一系列系统资源(如主机系统、局域网)免受外部网络用户(如Internet用户)攻击的硬件和软件,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。卡片入口控制系统主要包括威根卡、智能卡和红外卡。这些卡上预先存有密码,其加密的信息或由微机处理机产生的信息,可用来取得访问计算机系统或设施的权限。键盘入口控制系统一般包括硬件锁和键盘,用户只有按下一组正确的数字键码,才能打开门锁和其他机械结构。逻辑安全控制系统是指直接对用户或通过网络对用户的存取进行控制,当用户试图对主机或其他人进行存取访问时,除非提供正确的身份,则其通讯将受到阻止。生物统计入口控制系统是目前最安全可靠的入口控制系统,它通过识别用户的生理特征或行为特征,识别并允许合法用户进入。网络监测系统则通过一个监测系统,向超级用户(即网络管理员)报告未授权的非法登录操作。
有效的防护体系应包括多个防护层;第一层为访问控制层,应包括拦截入侵软件进入系统的措施;第二层为检测层,采用主动探测技术,将黑客、病毒清除在外层防线。第三层为应急反应层,主机双机或多机并行,提高快速反应能力和应急作战能力。
(二)网络的运行过程控制
主要通过运行过程中数据加密技术、智能卡技术及网络分段技术及VLAN的实现(虚拟网技术)四种方法实现。数据加密是计算机信息保密的一项重要措施,是指按照确定的加密变换方式,使未加密的明文变成不同的密文。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。智能卡技术是由授权用户所持有并由该用户赋与它一个口令。该口令与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡保密性加强。网络分段技术就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。VLAN的实现(虚拟网技术)主要基于近年发展的局域网交换技术(ATM和以太网交换)。
另外,人员素质、维护水平等其他“软”因素,也是网络安全防范措施的重要方面。只有综合各类影响网络安全的因素,不断加强网络运行状况检测,制定合理的方案、相关的配套法规,才能减少网络安全风险,确保网络系统安全稳定的运行。
参考文献:
[1]胡世昌.计算机网络安全隐患分析与防范措施探讨[J].信息与电脑,2010,10:6
近年来,随着计算机网络技术的成熟,计算机网络应用迅速普及。伴随我国国民经济信息化进程的推进和信息技术的普及,各行各业对计算机网络的依赖程度越来越高,对信息系统的安全性更加关注,如何保证网络通信的安全性成为人们必须面对的问题。
一、计算机通信网络安全概述
通信网络可以为计算机信息的获取,传输,处理、利用与共享提供一个高效、快捷,安全的通信环境与传输通道。计算机通信网络安全技术从根本上来说,就是通过解决通信网络安全存在的问题,来达到保护在网络环境中存储、处理与传输的信息安全的目的。计算机通信网的信息安全是指挥,控制信息安全的重要保证。随着通信网的一体化和互联互通,共享资源步伐的加快,在人类正在享受信息革命带来的巨大便利的同时也不得不面对因此而生的通信网络安全问题。通信网络安全的实质就是要保护计算机通讯系统或通信网络中的各种信息资源免受各种类型的威胁、干扰和破坏,即保证通信信息的安全性。根据国际标准本文由收集整理化组织的定义,信息安全性的含义主要是指信息的完整性,可用性,保密性和可靠性。因此,如何保证通信网络的安全和保密问题对今后计算机通信网络的发展就显得尤为重要。
二、计算机通信网络安全存在的原因
(一)系统自身的问题。由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理,总是留有“窗口”或是“后门”,这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括以下几个方面:1.网络的开放性;2.软件的漏洞;3.脆弱的tcp/ip服务。
(二)网络传输信道上的安全隐患。网络在传输信道上设计不完善,没有必要的防范措施。这也会给计算机通信网络留下安全隐患。因为如果传输信道没有相应的电磁屏蔽措施,那么在信息传输过程中将会向外产生电磁辐射,专门设备是可以接收到。
(三)人为因素。缺乏安全意识和安全技术的计算机内部管理人员、利用合法身份进入网络。进行有目的破坏的人员、恶意窃取、篡改和损坏数据的网络黑客以及网上犯罪人员对网络的非法使用及破坏等对网络构成了极大威胁。
三、计算机通信网络的防护策略
(一)提高系统自身性能。在计算机通信网络设计的管理时,不能盲目的只考虑实效,而应该把安全因素考虑进去。通信软件系统,数据的保密难度和完善通信协议等在网络系统的初步设计时就应该考虑。必要的安全等级鉴别和防护措施在使用网络通信的过程中逐步制定,减少软件系统漏洞,防止攻击者利用系统漏洞直接侵人网络系统,破坏或窃取数据。
(二)制定时络安全策略。实行用户权限访问控制,如用户口令和密码,身份鉴别等鉴别式。同时也可结合网络授权,利用网络管理方式向终端用户发放访问许可证书及有效口令,以防止非授权用户使用网络和网络资源。在以上的访问过程中.加密机制是不可缺少的,他能使未授权用户“看不懂”在此网络上的信息,保证数据不会在设备上或传输过程中被非法窃取,从而实现信息的保密性。当然,为了防止没有得到允许的用户修改、插人、删除传输的数据,通信网络应该建立一个数据完整性鉴别机制。另外一些审计、监控、防抵赖等安全措施也应该完普。
(三)加强网络安全教育和内部管理。要认识到计算机通信网安全的重要性,广泛开展网络安全的研究和讨论,在技术层次上面应该加强研究和交流,培养和选拔高级网络技术人员。各部门应该加强协作,达到有效的防护网设。当然管理人员是网络安全的关键之一,所以在计算机通信网络的安全管理中,网络管理人才所具备的实践经验应该重视。
(四)提高网络安全技术。密码技术:密码技术的基本思想是伪装信息,它包括对称加密和不对称加密。其密码类型一般有三种,即代替密码、乘积密码和移位密码,代替密码是一种用其它字符或代码代替明码字符后获得的密码;乘积密码则是一种以某种方式连续执行两个或多个密码,以使得所得到的最后结果或乘积从密码编码的角度比其任意一个组成密码都更强;防火墙:防火墙是网络安全的第一道门槛,一般包括数据包过滤技术,应用网关和技术。它的主要作用是控制入、出一个网络的权限,并迫使操作所有连接都要接受它的检查,因此它具有对外来数据流的鉴别和限制从而达到对通信内网的一种安全保护;鉴别技术:为了避免出现非法传送、复制或篡改数据等不安全现象,保证信息在交换过程的合法性,有效性和真实性,此时就需要通过鉴别技术来证实。常有的技术有报文鉴别、身份鉴别和数字签名。
