论文部分内容阅读
【摘 要】由于计算机网络系统的开放性,以及现有网络协议和软件系统固有的安全缺陷,使任何一种网络系统都不可避免地地存在一定的安全隐患。本文从不同角度了解计算机网络安全面临的威胁,并从几个方面提出计算机网络安全防范措施,以确保网络的安全管理与有效运行。
【关键词】计算机网络;安全隐患;防范策略
随着计算机网络技术的飞速发展,越来越多的计算机联成网络,政府等各部门和行业以及个人对网络环境和网络资源的依赖程度逐渐加强。然而,随之而来的网络系统安全问题,也正变得日益突出。网上信息被泄露、篡改,黑客入侵,病毒蔓延和不良信息传播等,对网络构成了极为严重的威胁,因此解决计算机网络安全隐患问题成为迫在眉睫的事情。
一、计算机网络信息安全面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,目前人为攻击和网络本身的缺陷是导致网络不安全的主要因素。
(一)人为因素
1.人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享及硬件的配置不协调等都会对网络安全带来威胁。
2.人为的恶意攻击:这是计算机网络所面临的最大威胁,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。网络攻击的常见手法主要有以下几种:
(1)利用网络系统漏洞进行攻击
许多网络系统都存在着或多或少的漏洞,这些漏洞有可能是系统本身所具有的,也有可能是由于网管的疏忽而造成的。黑客就是利用这些漏洞来完成密码探测、系统入侵等攻击。
(2)通过电子邮件进行攻击
电子邮件是互联网上运用最广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆而无法使用。
(3)解密攻击
在互联网上,取得密码也是黑客进行攻击的一个重要手法。黑客取得密码也有好几种方法,一种是对网络上的数据进行监听。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。黑客所监听到的数据是经过加密的密文,黑客只有破解密文后才能得到相应的操作权。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件会尝试所有可能字符所组成的密码,这项工作需要一定的时间,如果用户的密码设置得比较简单,有可能在瞬间便被破解。
(4)后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制。除了可以进行文件操作外,也可以在对方桌面抓图,通过识别对方键盘录入的字符等手段来盗取密码。这些后门软件一般都比较小,会附带在某些软件或游戏上。有可能当用户下载了一个小游戏并运行时,后门软件就已安装完成了。而且大部分后门软件的重生能力也比较强,给用户进行清除造成了一定的麻烦。
(5)拒绝服务攻击
互联网上许多大型网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,而它的破坏性却非常大。拒绝服务攻击的具体手法就是向目标服务器发送大量的数据包,几乎占取该服务器所有的网络带宽,从而使其无法对正常的服务请求进行处理,而导致网站无法进入网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。
(二)网络本身存在的安全缺陷。
如网络操作系统的脆弱性、TCP/IP协议的安全缺陷、数据库管理系统安全的脆弱性、网络资源共享、数据通信、计算机病毒等。新的操作系统或应用软件刚一上市,漏洞就已被找出。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。
二、计算机网络安全的防范措施
(一)加强设施管理,确保计算机网络系统实体安全
建立健全安全管理制度,防止非法用戶进入计算机控制室和各种非法行为的发生,注重在保护计算机系统、网络服务器、打印机等外部设备和通信链路上狠下功夫,并不定期的对运行环境条件进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(二)强化访问控制,保证计算机网络系统运行正常
①建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。系统管理员根据他们的实际需要为他们分配操作权限,审计用户,负责网络的安全控制与资源使用情况的审计。
②建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。
③建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。安装非法访问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。
(三)从技术上解决信息网络安全问题
1.数据备份。所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等,这样即使连接在网络上的计算机被攻击破坏,只要将已备份好的文件和数据拷回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。 2.数据加密技术
数据加密技术是通过变换和转换等各种方法将被保护信息转换成密文,然后再进行信息的存储和传输,即使加密信息在存储或者传输过程中被非授权人员所获得,也可以保证这些信息不为他人所认知,从而达到保护信息的目的。
3.物理隔离网闸。它是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
4.防火墙技术。它是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。主要类型有:包过滤型防火墙 、代理型防火墙 、监测型防火墙。
5.网络安全扫描技术
网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应的防范措施,从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术可以对局域网、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞進行扫描,可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误等。
6.网络入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,如果通过网络安全检测技术与防火墙系统的结合,就可以实现一个完整的网络安全解决方案。
当前,计算机网络的安全直接影响我们的生活、工作。以上从不同角度阐述了计算机网络信息安全所面临的威胁,并针对性的从多个方面提出了计算机网络安全的防范措施,以确保网络的安全管理与有效运行。
参考文献:
[1]夏丹丹.李刚.程梦梦.于亮.入侵检测系统综述.网络安全技术与应用.2007.01.
[2]王达.网络管理员必读[M].北京:电子工业出版社,2007.6
[3]吴卫祖.计算机网络技术基础..北京:清华大学出版社,2006.
[4]陈晶.《防火墙在校园网络安全中的应用研究》.网络安全技术与应用.2008.3.
[5]殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.
【关键词】计算机网络;安全隐患;防范策略
随着计算机网络技术的飞速发展,越来越多的计算机联成网络,政府等各部门和行业以及个人对网络环境和网络资源的依赖程度逐渐加强。然而,随之而来的网络系统安全问题,也正变得日益突出。网上信息被泄露、篡改,黑客入侵,病毒蔓延和不良信息传播等,对网络构成了极为严重的威胁,因此解决计算机网络安全隐患问题成为迫在眉睫的事情。
一、计算机网络信息安全面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,目前人为攻击和网络本身的缺陷是导致网络不安全的主要因素。
(一)人为因素
1.人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享及硬件的配置不协调等都会对网络安全带来威胁。
2.人为的恶意攻击:这是计算机网络所面临的最大威胁,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。网络攻击的常见手法主要有以下几种:
(1)利用网络系统漏洞进行攻击
许多网络系统都存在着或多或少的漏洞,这些漏洞有可能是系统本身所具有的,也有可能是由于网管的疏忽而造成的。黑客就是利用这些漏洞来完成密码探测、系统入侵等攻击。
(2)通过电子邮件进行攻击
电子邮件是互联网上运用最广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件向目标邮箱发送大量内容重复、无用的垃圾邮件,从而使目标邮箱被撑爆而无法使用。
(3)解密攻击
在互联网上,取得密码也是黑客进行攻击的一个重要手法。黑客取得密码也有好几种方法,一种是对网络上的数据进行监听。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。黑客所监听到的数据是经过加密的密文,黑客只有破解密文后才能得到相应的操作权。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件会尝试所有可能字符所组成的密码,这项工作需要一定的时间,如果用户的密码设置得比较简单,有可能在瞬间便被破解。
(4)后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。BackOrifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制。除了可以进行文件操作外,也可以在对方桌面抓图,通过识别对方键盘录入的字符等手段来盗取密码。这些后门软件一般都比较小,会附带在某些软件或游戏上。有可能当用户下载了一个小游戏并运行时,后门软件就已安装完成了。而且大部分后门软件的重生能力也比较强,给用户进行清除造成了一定的麻烦。
(5)拒绝服务攻击
互联网上许多大型网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,而它的破坏性却非常大。拒绝服务攻击的具体手法就是向目标服务器发送大量的数据包,几乎占取该服务器所有的网络带宽,从而使其无法对正常的服务请求进行处理,而导致网站无法进入网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。
(二)网络本身存在的安全缺陷。
如网络操作系统的脆弱性、TCP/IP协议的安全缺陷、数据库管理系统安全的脆弱性、网络资源共享、数据通信、计算机病毒等。新的操作系统或应用软件刚一上市,漏洞就已被找出。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。
二、计算机网络安全的防范措施
(一)加强设施管理,确保计算机网络系统实体安全
建立健全安全管理制度,防止非法用戶进入计算机控制室和各种非法行为的发生,注重在保护计算机系统、网络服务器、打印机等外部设备和通信链路上狠下功夫,并不定期的对运行环境条件进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(二)强化访问控制,保证计算机网络系统运行正常
①建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。系统管理员根据他们的实际需要为他们分配操作权限,审计用户,负责网络的安全控制与资源使用情况的审计。
②建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。
③建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。安装非法访问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。
(三)从技术上解决信息网络安全问题
1.数据备份。所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等,这样即使连接在网络上的计算机被攻击破坏,只要将已备份好的文件和数据拷回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。 2.数据加密技术
数据加密技术是通过变换和转换等各种方法将被保护信息转换成密文,然后再进行信息的存储和传输,即使加密信息在存储或者传输过程中被非授权人员所获得,也可以保证这些信息不为他人所认知,从而达到保护信息的目的。
3.物理隔离网闸。它是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
4.防火墙技术。它是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。主要类型有:包过滤型防火墙 、代理型防火墙 、监测型防火墙。
5.网络安全扫描技术
网络安全扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应的防范措施,从而降低系统的安全风险而发展起来的一种安全技术。利用安全扫描技术可以对局域网、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞進行扫描,可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误等。
6.网络入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应。利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,如果通过网络安全检测技术与防火墙系统的结合,就可以实现一个完整的网络安全解决方案。
当前,计算机网络的安全直接影响我们的生活、工作。以上从不同角度阐述了计算机网络信息安全所面临的威胁,并针对性的从多个方面提出了计算机网络安全的防范措施,以确保网络的安全管理与有效运行。
参考文献:
[1]夏丹丹.李刚.程梦梦.于亮.入侵检测系统综述.网络安全技术与应用.2007.01.
[2]王达.网络管理员必读[M].北京:电子工业出版社,2007.6
[3]吴卫祖.计算机网络技术基础..北京:清华大学出版社,2006.
[4]陈晶.《防火墙在校园网络安全中的应用研究》.网络安全技术与应用.2008.3.
[5]殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.