摘要:随着计算机网络网络技术的发展和网络应用的迅速增长,人们对计算机网络安全也越来越重视,网络的系统的全性和可靠性开始成为世界各国政府、各行业关心的问题。网络安全不仅影响网络稳定运行和用户的正常使用,还有可能威胁到国家安全、造成重大的经济损失。本文对当前计算机网络存在的安全隐患进行了分析,并探讨了一些针对计算机网络安全隐患的防范策略。
关键词:网络安全;计算机网络;入侵检测;防火墙;
引言
在当今这个计算机网络技术日新月异,飞速发展的时代里,计算机网络遍及世界各个角落,在计算机网络已经广泛应用于商业、金融、科研等各个领域的今天,我们的生活和工作都越来越依赖于网络。但开放的信息系统必然存在众多潜在的安全隐患,安全技术作为一个独特的领域越来越受到关注,并逐渐成为计算机网络应用所面临的主要问题。
1、 计算机网络安全概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。计算机网络安全可以从狭义和广义来定义,从狭义的保护角度来看是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。从其本质上来讲就是系统上的信息安全。从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2、 计算机网络安全现状
据美国联邦调查局统计,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。在我国,公安机关受理各类信息网络违法犯罪案件逐年剧增。此外,随着信息和秘密越来越集中于计算机,利用网络窃取或泄露国家政治、经济、军事、科技等机密将成为间谍活动的主要手段,网上秘密争夺战将愈演愈烈。计算机网络与信息安全已成为互联网健康发展必须面对的严重问题。
3、常见的网络安全问题
3.1计算机病毒和特洛伊木马
计算机病毒是一个程序,一段可执行码。它具有传播性、隐蔽性、破坏性等等,网络的发展使得病毒可以在短短的时间内蔓延整个网络,造成网络瘫痪。特洛伊木马(以下简称木马),英文叫做"Trojanhouse",其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。一旦被木马控制,您的电脑将毫无秘密可言,同时还会被作为黑客攻击的跳板。
3.2网络监听
网络监听工具原来是提供给网络管理员的管理工具,用来监视网络的状态,数据流情况,现在也被网络入侵者广泛使用,入侵者可以捕获被入侵计算机的敏感信息,其中包括一些明文密码,并对数据包进行详细的分析,就有可能对被入侵计算机所在网络的其他计算机产生安全威胁,所以说网络监听造成的安全风险级别很高。
3.3网络欺骗和网络钓鱼
“网络钓鱼”是攻击者利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用和口令、社保编号等内容。"网络钓鱼"攻击者常采用具有迷惑性的网站地址和网站页面进行欺骗,轻易就让很多人落入圈套。
3.4其它安全问题
其中包括账号秘密窃取、拒绝服务攻击和分布式拒绝服务攻击、通过网络下载传播各种非法信息,利用系统自身安全漏洞等。
4、网络安全的主要技术
网络安全技术随着网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、防火墙技术、数据加密及入侵检测等是网络安全的重要防线。
4.1认证
对合法用户进行认证,使用认证机制可以防止合法用户访问他们无权查看的信息。例如:身份认证,当系统的用户要访问系统资源时要求确认是否是合法的用户。采用用户名和口令是最简易的用户身份的认证识别。报文认证,通信双方对通信的内容进行验证,以保证报文由确认的发送方产生、到了要发给的接受方、传送中报文没被修改过。
4.2防火墙技术
防火墙是是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,是保护内部网络操作环境的特殊网络互联设备,它是网络安全的第一道防线,因此,对网络防火墙要精心配置,反复核查,严格把关。防火墙是不同网络或网络安全域之间信息的惟一出入口,通过预定义的访问控制策略,对内外网通信强制实施访问控制,其本身具有较强的抗攻击能力。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术等
4.3数据加密技术
数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被外部破译而采用的主要技术手段之一。加密技术通常分为三大类:"对称式"、"非对称式"和"单项式"。对称式加密就是加密和解密使用同一个密钥,通常称之为"SessionKey"。非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为"公钥"和"私钥",它们两个必需配对使用,否则不能打开加密文件。"公钥"是指可以对外公布的,"私钥"则不能。单项加密也叫做哈希加密,使用hash算法把一些不同长度的信息转化成杂乱的确定128位的编码里,叫做hash值。Hash加密用于不想对信息解密或读取。使用这种方法解密在理论上是不可能根据密明文,所以叫做单向加密。但可以通过比较两个实体的hash值是否一样而确定数据是否可靠。
4.4反病毒技术
计算机病毒是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序,具有极强的破坏性和传染性,它可以将自身纳入其它程序中,以此来进行隐蔽、复制和传播,从而破坏用户的文件、数据甚至硬件。一方面,计算机病毒的种类和数量以难以想象的速度增加,并四处蔓延,破坏性越来越大,另一方面,病毒技术也迅速发展,新病毒层出不穷,正向着种类多样化、技术完善化、病毒制作自动化、传播快速化等方向发展。目前网络反病毒技术主要包括检测病毒和清除病毒。
4.5入侵检测技术(IDS)
入侵检测系统是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。入侵检测系统是根据入侵检测识别库的规则,判断网络中是否存在非法的访问。它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
4.6入侵防御系统
入侵防御系统(IPS)是一种主动的、积极的入侵防范、阻止系统遭受攻击。不仅能实现检测攻击,还能有效阻断攻击,提供深层防护,注重主动防御。IPS部署在网络的进出口处,当检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中,这样,有问题的数据包以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。IPS在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。
4.7访问控制
访问控制决定了用户可以访问的网络范围、使用的协议、端口;能访问系统的何种资源以及如何使用这些资源。在路由器上可以建立访问控制列表,它是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。
5.网络安全策略
5.1制定安全策略时应遵循的原则
适应性原则:必须是和网络的实际应用环境相结合。
动态性原则:安全策略又是在一定时期采取的安全措施。由于用户增加,网络规模扩大,网络技术发展,所以制定的安全措施必须不断适应网络发展和环境的变化。
简单性原则:网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性就越大,安全的网络是相对简单的网络。
系统性原则:网络的安全管理是一个系统化的工作,必须考虑到整个网络的方方面面,也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、各种情况,有计划、有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低。
5.2网络规划时的安全策略
明确网络安全的责任人和安全策略的实施者。对于小型网络来说,网络管理员可以是网络安全责任人。对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(单独供电、温度)。对小型的局域网最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许出现一些故障,并且可以很快恢复。网络的主备份系统应在中心机房。如果与Internet有固定连接(静态的IP地址),必须安装防火墙。网络使用代理服务器访问Internet。不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
5.4网络管理员的安全策略
最重要的是保证服务器的安全和分配好各类用户的权限,修改默认“Administrator”用户名,加上“强口令”(多于10个字符且必须包括数字和符号),使网络管理员账号不易被攻破,并且管理员账号仅用于网络管理,不要在客户机上使用管理员账号。网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读),定期对各类用户进行安全培训。使用最新的ServicePack升级你的系统。设置服务器的BIOS,不允许从可移动的存储设备(软驱、光驱)启动。取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差。不要将服务器的Windows设置为自动登录,系统文件和用户数据文件分别存储在不同的卷上。鼓励用户将数据保存到服务器上。DOS和Windows9x客户机没有NT提供的安全性,所以不建议用户在本地硬盘上共享文件。不允许一般用户在服务器上拥有除读ö执行以外的权限。一般不直接给用户赋权,而通过用户组分配用户权限。
5.4网络用户的安全策略
首先用一个长且难猜的口令,不要将自己的口令告诉任何人,清楚自己私有数据存储的位置,知道如何备份和恢复,了解网络安全知识,养成注意安全的工作习惯,不要在本地硬盘上共享文件。其次设置屏幕保护,并且加上口令保护,当你较长时间离开机器时一定要退出网络。最后一定要安装启动病毒扫描软件。虽然绝大多数病毒对服务器不构成威胁,但会通过网络在客户端很快传播开来。
5.5远程访问用户安全策略
用户在局域网和远程登录分别使用不同的用户账号和口令,因有些方式的远程登录、账号和口令没有加密,有可能被截获。不用任何未经网络安全管理员确认的远程访问软件。最好将拨入时间、连接时间和电话号码告知网络安全管理员,不要远程拨入其他未经网络安全管理员确认的机器,尤其是该机器连接在Internet上。
网络安全策略很多,这里只是列出了一部分,网络管理员可以自己总结。总之保证网络安全有五条措施:防火墙、安全检查(身份认证)、加密、数字签名、内容检查。而所有的策略总结起来主要是两条:(1)保护服务器;(2)保护口令。
结束语
计算机网络安全是一个涉及多方面的系统工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,才能有效地维护自己的网络及信息的安全,生成一个高效、通用、安全的网络系统。有了以上网络安全方面的认识和手段,针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程中,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡,如何正确运用这些技术方案,应根据自身的实际情况来确定,而不要去追求所谓的设备档次最高、技术最先进、功能无所不包的全能网络。
参考文献:
1.梁亚声.计算机网络安全技术教程网.北京:机械工业出版社,2004
2.郭丽蓉等.网络安全技术[J].现代教育技术,2007,(1):88-89
3.戴军,李鹏.计算机网络安全技术浅析[J].中国水运,2006,(6):104-105
4.冯冲.网络安全中的入侵防御系统[J].中国信息导报,2007,(I):48-51
5.李淑芳.网络安个浅析.维普资讯.2006.2
6.梅云红.计算机网络安全隐患与防范策略的探讨[J].计算机与信息技术.2007.
7.汪海慧.浅议网络安全问题及防范对策[J].信息技术.2007.
8.孙晓南.防火墙技术与网络安全[J].科技信息.2008.
搜论文知识网致力于为需要刊登论文的人士提供相关服务,提供迅速快捷的论文发表、写作指导等服务。具体发表流程为:客户咨询→确定合作,客户支付定金→文章发送并发表→客户接收录用通知,支付余款→杂志出版并寄送客户→客户确认收到。鸣网系学术网站,对所投稿件无稿酬支付,谢绝非学术类稿件的投递!