网络安全的根源篇1
关键词:网络;信息安全;现状;根源;措施
一、网络信息安全现状
(一)黑客日趋猖狂
计算机软件与硬件存在固有的缺陷,这就为黑客提供了机会,使他们得以开展破坏工作。更可怕的是,他们的攻击手段不断变换花样,一系列复杂的病毒、逻辑炸弹让防毒软件应接不暇,利用这些攻击手段,他们窃取机密信息,给网络信息安全带来极大危害。美国《金融时报》曾报道过:全球平均每20秒就发生一次网上入侵事件,他们给美国每年造成的经济损失也是令人咋舌,竟高达100多亿美元。
(二)计算机犯罪案件逐年增多
“计算机犯罪是指一些掌握计算机专业技术的人员,通过已掌握的技术,查询网络缺陷,对网络缺陷部分进行攻击,以达到盗取他人信息和钱财的目的。”计算机犯罪涉及物质和精神层面的内容,已经随着计算机的普及渗透到各行各业,且将演变成主要犯罪方式,危害更甚于传统犯罪。
我国的计算机犯罪数量逐年上升,曾经震惊世人的一起案件竟造成直接经济损失2100万元,令人不得不反思和警醒。
(三)计算机病毒入侵频繁
跟传统病毒一样,计算机病毒有极强的传染性,破坏性以及惊人的繁衍性,可以不断向网络系统入侵。计算机病毒入侵网络服务器系统后,可致使服务器瘫痪,大量有效数据丢失,信息系统的稳定性和安全性自然受到威胁。防毒软件发展滞后拿它也是束手无策。
(四)网络信息安全问题的重要性日益提升
2013年6月,前中情局(Cia)职员爱德华・斯诺登披露了美国国安局代号为“棱镜(pRiSm)”的秘密项目,一时间美国舆论一片哗然。而事实上,美国还有惊人规模的海外监听计划,经斯诺登揭露,有引发外国外交地震的趋势。
正所谓“明者因时而变,知者随事而制”,当前各种不安全因素充斥着我们的生活,面对此种复杂的环境,的新安全观应势而生,恰逢其时。这也表明中国越来越关注网络信息安全,将其上升至国家战略高度,但同时也存在着纰漏,有待进一步提高改善。
二、网络信息安全问题产生的根源
(一)认知上的根源
首先,对普通大众来说,他们对计算机安全问题特别是网络犯罪的态度较为“宽容”,主要原因是:(1)无人员伤害,破坏不明显;(2)造成的损失并非个人承担,而是由政府或单位善后;(3)认为计算机罪犯是“天才”。因此,他们对信息安全问题不太关心,安全意识淡薄。
(二)社会性根源
互联网中的自由为道德相对主义(“你想怎样就怎样”或者“怎样都行”)和极端个人主义提供了最好的土壤和借口,最直接表现为滥用网络现象的出现与屡禁不止。此外,西方社会传统的“冒险和发现”的精神滋生了大批黑客。虽然,我们应该承认早期的黑客确实存在冒险、发现知识一类的正面因素,然而,冒险和犯罪只有一线之隔,在物欲横流的今天,有些年轻人经不住诱惑,顶风作案。
(三)技术性根源
1、计算机系统本身的脆弱性。计算机系统本身具有脆弱性,无法抵御自然灾害和人为的破坏。如水、火、地震的破坏及环境(湿度、振动、冲击、污染)的影响以及硬件设备故障,突然断电或电源波动大及各种误操作等危害。这些危害有的会损害设备,有的则造成数据丢失。
2、技术本身的缺陷。电磁泄露、通信与网络的弱点、软件缺乏安全性、安全技术标准不统一等都是计算机网络本身存在的技术缺陷,即便是微软巨头也不可避免地存在技术漏洞。
(四)政治性根源
美国著名学者托夫勒曾经指出:“谁掌握了信息、控制了网络,谁就将拥有整个世界。”一句话道出了互联网对世界政治经济格局的影响,美国便是最好的例子,它凭借其在网络技术上的基础和优势,利用互联网,在各方面、各领域抢占先机,其他国家认识到这一重要性也加大投资想分一杯羹,甚至不惜从网上窃取他国机密信息,散布不实言论。“棱镜计划”的曝光,正是让美国的这种政治野心暴露无遗,也让其“贼喊捉贼”的虚伪外交公之于众。
(五)经济性根源
经济上的根源主要指:一方面是指网络犯罪成本低,仅需一网的终端机,过程大大加快;第二方面,网络犯罪获利高,例如,美国金融界就是相当大的受害者,每年损失达100多亿美元,英国每年近30亿美元。
三、网络信息安全的防范措施
(一)突出网络安全的战略地位
树大招风,中国作为最大的发展中国家,其崛起让其他国家不安,因而成为受网络冲击严重的国家,必须提高对网络安全的重视程度,将其上升至国家战略高度,建立完善网络安全防护体系,从根本上提升我国网络安全防护水平。
(二)建立一个权威性强的职能部门
各级领导要重视网络信息安全管理,做到有计划、有措施、有检查、有落实。成立技术管理机构,积极开展保密技术的研究和开发,对出现的安全问题能及时、准确的处理。建立健全软、硬件操作规程,作业运行规程和上机时间记录规程,形成有效、完整的网络信息安全管理运行机制。对违反制度的人要作出相应的处罚。
(三)提高重要档案管理人员的业务水平
国家各部门,社会各领域要对负责档案管理的工作人员进行培训,使之具备将各类重要信息分归档案和计算机高水平管理的能力,从而实现档案的安全管理。
(四)加快立法进程,健全法律体系
自1996年成立国务院信息化工作领导小组以来,我国先后颁布了《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》等法规,且网络安全法制工作还在进行。尽管这些法规在维护网络安全方面还有不健全的地方,但也起到了重要作用,我们还需吸取和借鉴国外的先进经验,结合我国实际,不断修改和完善现行法律体系,做网络安全强国。
四、结论
随着网络信息技术的飞速发展,新的安全问题将更加难以对抗。这就需要信息安全技术不断的创新与完善,要不断完善和加强自身管理制度,不断提高网络工作人员素质。从而引导网络发挥其正面的作用,让其更安全可靠地服务于国计民生。
参考文献:
[1]唐明双.论对计算机网络安全及建设的研究[J].数字技术与应用.2012(12).
[2]王大鹏.计算机网络安全与防范策略研究[J].科技视界.2012(26).
[3]朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息,2010.
[4]关良辉.电力企业局域网的信息安全研究[J].电力安全技术,2010.(6).
[5]钟福训.网络安全方案探讨[J].齐鲁石油化工,2004.32(4):322-325.
[6]刘广辉.计算机网络通信安全问题与防范策略探讨[J].信息安全与技术.2012(06).
[7]杨珂.浅谈网络信息安全现状[J].天津市信息中心.2005
网络安全的根源篇2
关键词:计算机网络;安全;管理;技术
1计算机网络安全的主要隐患
1.1计算机网络软、硬件技术不够完善
由于人类认识能力和技术发展的局限性,在设计硬件和软件的过程中,难免会留下种种技术缺陷,由此造成信息安全隐患。如internet作为全球使用范围最广的信息网,自身协议的开放性虽极大地方便了各种计算机入网,拓宽了共享资源,但tCp/ip协议在开始制定时没有考虑通信路径的安全性,缺乏通信协议的基本安全机制,没有加密、身份认证等功能,在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。
1.2计算机网络安全系统不够健全
计算机网络系统内部的安全威胁包括以下几个方面:①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏,如网络机房的管理人员不慎将操作口令泄漏,有意或无意地泄密、更改网络配置和记录信息,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,等等。
1.3物理电磁辐射引起的信息泄漏
计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去,产生电磁辐射。电磁辐射物能够破坏网络中传输的数据,这种辐射的来源主要有两个方面,一是网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;二是网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏。这些电磁信号在近处或者远处都可以被接收下来,经过提取处理,重新恢复出原信息,造成信息泄漏。
1.4网络安全制度不够健全
网络内部的安全需要用完备的安全制度来保障,管理的失败是网络系统安全体系失败的非常重要的原因。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制、用户安全意识不强、将自己的账号随意转借他人或与别人共享等,都会使网络处于危险之中。
2计算机网络受攻击的主要形式
计算机网络被攻击,主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用的信息。它不破坏传输信息的内容,所以不易察觉。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源,主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④tCp/ip协议上的某些不安全因素。目前广泛使用tCp/ip协议存在安全漏洞。如ip层协议就有许多安全缺陷。ip地址可以软件设置,造成地址假冒和地址欺骗两类安全隐患;ip协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。⑤病毒破坏。网络病毒主要是通过一些应用服务器来传播的病毒,拥挤了有限的网络带宽,可能导致网络瘫痪。病毒还可能破坏群组服务器,让这些服务器充斥大量垃圾,导致数据性能降低。⑥其它网络攻击方式。攻击者可能破坏网络系统的可用性,使合法用户不能正常访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,欺骗系统占用资源,等等。
3加强计算机网络安全的对策措施
3.1加强网络安全教育和管理
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐射引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。对连接要定期检查,以检测是否有搭线窃听、外连或破坏行为。
3.2运用网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
3.3加强计算机网络访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.4使用防火墙技术
采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和internet之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
参考文献
[1]吴钰锋,刘泉,李方敏,网络安全中的密码技术研究及其应用[J].真空电子技术,2004.
网络安全的根源篇3
【关键词】网络安全;动态防护体系;设计;实现
在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。
1动态安全防护机理分析
要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。
2设计与实现
2.1安全主动防御模型设计
网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:
1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。
2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。
3)技术层主要包括监测、预警、保护、检测、响应。
监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。
这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。
网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。
安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。
2.2动态策略联动响应设计
(1)数据流分类
网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源ip、目的ip、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维ip分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。
(2)深度特征匹配
数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。
为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。
(3)策略联动响应
检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。
3应用验证
通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。
该应用验证环境在设计上的主要特点在于:
1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。
2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。
3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。
4结论
为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、ip碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。
参考文献:
网络安全的根源篇4
【关键词】网络资源;配置;网络安全性
1引言
我们网络资源配置从这一需求出发,来积极提高网络信息资源的质量和资源配置的效率,通过规定网上信息资源的流向来划分网络信息资源的类型、内容、信息量以及信息资源在时间和空间上的分布,这样可以更加便捷地为用户提供所需要的信息服务,也可以有效提高网络信息资源的利用率,使信息资源被合理、充分地利用。同时,对其他网络资源进行合理的优化和配置,可以完善网络资源的管理体系,提高网络运行的安全性和稳定性。本文就对网络资源配置的优化措施进行探讨。
2网络资源配置优化的含义和必要性
1.1网络资源配置的基本含义
网络资源配置是以网络功能的实现为基本条件,以安全可靠为基本准则,以尽可能少的投入获取尽可能多的收益为基本目标。依据技术发展和经济规律,构筑和运行网络体系。电信网络资源优化配置问题包含电信网络规划设计、电信网络动态运行和电信产业运营机制等方面,寻求最佳状态的核心问题。因此,通过网络资源优化配置可以为网络安全性提供一定的保障。
1.2网络资源优化配置的必要性
研究网络资源优化配置理论与方法的目的,是解决电信网络构建、改造以及运营过程中存在的一系列现实问题。通过对网络资源的优化配置的探讨,研究出电信网络资源优化配置的理论体系,可以使网络资源得到合理、充分的利用,同时,优化网络资源与提高网络的安全性也密切相关,是提高网络安全性的一项重要内容。网络资源得到了合理、科学的配置和使用,整个网络环境才能有条不紊地运行,为净化网络环境和提高网络运行的安全提供基础的条件。
3网络资源利用现状及优化流程
网络资源作为一种特殊的资源,尤其是电信网络资源,在目前我国的优化配置还不够完善,由于网络信息资源的信息量比较大,增长速度也很快,加上信息质量和信息价值的差异比较大,网络信息资源以及其它网络资源都普遍存在无稳定性和无序性,这样也就造成了网络环境的不稳定以及网络安全问题的增加。
首先,要根据资源的特性,确定需要执行作业的资源;再建立执行成本;针对用户需要的资源,运用调度算法执行任务,对资源上部署的资源进行实时监控;收集结果和资源使用、支付记录,将结果返回给用户。实行反复调度和及时进行数据清理都会起到优化网络资源调度流程的作用。
4优化网络资源配置,提高网络安全性
随着新时期通信网络的不断发展,要想进行通信网络资源配置的优化,就必须从几个方面进行。
首先,利用股权结构的多元化,慢慢分解国有股“一股独大”的现象。如同上文之中提到的我国现阶段存在的电信业重复建设问题,这就是因为国有企业之间的非理性竞争造成的。有相关的研究者表示,民营资本参与国有企业改革,可以帮助实现投资主体的多元化。
其次,强化网络资源的宏观调控与引导,实现通信监管体制的创新。现阶段,我国的电信管理体制关于政策制度以及监管并没有真正的实现分离。鉴于此,为了使得所有的运营企业能够获取公平的竞争环境,电信产业要能够进一步分解政府职能,实现政策制度以及监管职能的有效分解。
然后,建立健全通信网络资源配置的相关法律法规,实现网络建设模式的创新。通过相关的法律法规建设,可以防止垄断的发生,同时创新网络建设模式,利用网络资源的共享机制,能够实现通信网络的统一管理,并有效地解决各家通信网络之间近距离建设以及同沟建设时存在的矛盾。
最后,通信行业属于我国信息化建设的主导力量,间接支撑和引导着我国国民经济的发展。因此,通信行业一定要认清自己的历史任务,电信业要充分发挥自身的作用,树立正确的发展观,各个企业之间要在竞争之中合作发展,为国民经济以及人民群众提供优质的服务。
5nRm系统在优化网络资源配置中的应用
电信企业网络资源管理系统nRm是网络资源优化配置的一个有效的体系。nRm系统由基础空间资源管理、管线资源管理、网络设备资源管理三个子系统做为系统数据平台,全面掌握资源、快速利用资源、合理优化资源是整个网络资源管理系统的特点。
中国电信公司依据“资源众多、分层管理、业务复杂”的特点,采用了这种全新升级的电信网络资源解决方案——nRm系统,通过配置指示,根据被资源管理部所管理的节点资源的状况,为让网络内的功能节点的功能以及处理对象的配置适当,运用节点功能来进行重新配置和控制。根据被资源管理部所管理的节点资源以及链路资源的状况,判断是否对节点功能配置控制部发出重新配置指示,是否对通道结构控制部发出重新构筑指示,传输指示并作出适当的控制。这种方式使中国电信公司实现了对电信企业基础资源的合理配置和管理,为提高网络的安全性贡献了巨大的力量。
6结束语
目前随着计算机网络与信息技术的飞速发展,人们对网站以及网络信息资源的需求越来越大,对网络资源的优化配置要求也越来越高,伴随着这种状况而产生的网络安全问题也与日俱增。通过对网络信息资源的优化配置的分析和研究,发现通过优化网络资源配置,可以有效提高网络运行的安全性。当然为了能够进一步对网络安全性进行提高,我们还需要不断研究,运用全新的技术和科学的手段完善和加强网络资源的优化配置,提高网络环境的稳定性。
参考文献
[1]芦艳芳,吴娜.浅谈威胁无线网络安全的途径与防范措施[J].计算机光盘软件与应用,2010(1):164-165.
[2]张金荣,曹长修,唐贤伦.圆分布双跳无线传感器网络配置及拓扑发现修复算法与仿真[J].中南民族大学学报(自然科学版),2008(1):283-284.
[3]马永强,刘娟.Snort入侵检测系统的使用与测试[J].集宁师专学报,2010(4):682-683.
[4]李鹰,刘涧疆.基于SDH的自动交换光网络安全保密技术研究[J].信息安全与通信保密,2011(6):222-223.
[5]常亮,郭克华.网络虚拟化环境下的分布式自主资源管理框架设计[J].信息网络安全,2013(2):657-658.
[6]邓雨荣,郭丽娟,李陶深等.无线传感器网络中事件驱动数据收集研究进展[J].计算机应用研究,2012(10):33-34.
[7]万项超,梁玉凤.基于GiS/GpS的通信网络资源管理系统的设计与实现[J].通信管理与技术,2011,06(15):45-46.
网络安全的根源篇5
关键字访问控制;银行网络安全;虚拟局域网;访问控制列表
1引言
随着计算机网络在银行各项业务的应用中不断普及,各大商业银行已把网络安全放在了金融电子化建设中的一个极其重要的位置上,网络安全已成为构建银行计算机网络体系进程中必须首先需要考虑和解决的问题。在目前国内各主要商业银行进行金融电子化建设的过程中,访问控制是保证计算机网络安全最重要的核心策略之一,同时它也是维护网络安全、保护网络资源的一个重要手段,其主要任务是保证网络资源不被非法使用和非正常访问。因此,加强以访问控制为核心的银行计算机网络安全,保证银行的资金安全以及提高银行风险防范能力已成为当前各大银行亟待解决的问题。
2访问控制的解决方案
目前访问控制的解决方案主要有以下几种:maC地址过滤、VLan隔离、基于ip地址的访问控制列表和防火墙控制等。
2.1maC地址过滤法
maC地址是网络设备在全球的惟一编号,它也就是我们通常所说的:物理地址、硬件地址、适配器地址或网卡地址。maC地址可用于直接标识某个网络设备,是目前网络数据交换的基础。
2.2VLan隔离法
VLan(虚拟局域网)技术是为了避免当一个网络系统中网络设备数量增加到一定程度后,众多的网络广播报文消耗大量的网络带宽,使得真正的数据传递受到很大的影响,确保部分安全性比较敏感的部门数据不被随意访问浏览而采用一种划分相互隔离子网的方法。
2.3基于ip地址的访问控制列表法
访问控制列表在路由器和三层交换机中被广泛采用,它是一种基于包过滤的流向控制技术。标准访问控制列表通过把源地址、目的地址以及端口号作为数据包检查的基本元素,并可以规定符合检查条件的数据包是允许通过,还是不允许通过。
2.4防火墙控制法
防火墙技术首先将网络划分为内网与外网,它通过分析每一项内网与外网通信应用的协议构成,得出主机ip地址及ip上联端口号,从而规划出业务流,对相应的业务流进行控制。防火墙技术在最大限度上限制了源ip地址、目的ip地址、源上联端口号、目的上联端口号的访问权限,从而限制了每一业务流的通断。
3访问控制在银行网络安全体系中的应用
银行网络安全体系是根据具体业务对网络安全的需求,以访问控制为核心而构建起来的,其中心思想就是“不同的部门及人员根据其所从事的工作有不同的网络使用权限”。
网络安全的根源篇6
目前医院网络现存主要问题是aRp病毒的泛滥,表现形式是:虽然网络连接正常,却无法打开网页;计算机网络经常断线,同时网络速度变慢。这些都是由于存在aRp问题,所表现出来的网络故障情况。
aRp欺骗攻击不仅影响网络稳定,更严重的是利用aRp欺骗攻击可进行中间人攻击,欺骗整个局域网内所有主机和网关,导致所有网络流量都经过攻击者主机进行转发,攻击者通过截得获取的信息可得到相关用户名和口令。aRp是把ip翻译成maC的一种协议,通过它交换机完成数据报文的快速转发,所以交换机要学习ip和maC的对应关系,形成aRp表项,存储在计算机和网络设备的内存中。因历史原因,aRp设计并没有考虑安全性,于是现实中出现了问题:局域网上的一台主机,如果接收到一个aRp报文,即使该报文不是该主机所发送的aRp请求的应答报文,该主机也会将aRp报文中的发送者的maC地址和ip地址更新或加入到aRp表中。
2某医院网络改造方案
根据前面与医院的交流,本次网络改造主要解决目前网络当中存在的aRp攻击欺骗为主,兼顾流量分析、终端管理等网络维护管理内容。设计本方案的基础是,网络因为无法再重新布线,需要维持原有网络拓扑,将原先的接入交换机和核心交换机替换为H3C全系列支持aRp攻击防御解决方案的接入交换机H3C3100ei及核心插卡式高端交换机H3CS7502e系列交换机。业界常用解决方案是在接入交换机上配置命令做网关ip和maC的绑定,防御网关仿冒,H3C也可以实现此方案,但这种方案局限性较大,仅适用某些特定网络场景和一种aRp攻击的防御,不够全面。下面以H3C交换机为例为该医院出现的一些问题进行设计介绍。
2.1全面的aRp攻击防御解决方案
根据该医院aRp攻击的特点,在DHCp监控模式下的防aRp攻击解决方案。通过接入交换机上开启DHCpSnooping功能、配置ip静态绑定表项、aRp入侵检测功能和aRp报文限速功能,可以防御常见的aRp攻击。1)DHCpSnooping功能。通过监听DHCp报文,记录DHCp客户端ip地址与maC地址的对应关系,并且所有重要服务器的ip的绑定关系将由H3CCamS认证服务器到计算机终端,避免被aRp攻击欺骗。2)aRp入侵检测功能。H3C接入交换机根据接收到的aRp报文重定向到CpU,综合DHCpSnooping安全特性判断合法性且进行处理。3)aRp报文限速功能。H3C接入交换机支持端口aRp报文限速功能,受到攻击时则临时关闭,避免该类攻击对CpU的影响。4)杜绝静态ip地址更改及aCL访问控制列表实施。5)绑定唯一对应maC和ip地址,只要有任何用户尝试修改其他地址,都将视为非法行为,产生网络中断,保证其安全性。这样对网络的访问,可挑选在接入及核心交换机上实施,很大程度上减轻出口防火墙的压力。不仅对于外网访问能做规则策略,对于内网网段之间同样可根据具体情况和需求实施不同访问控制。
2.2终端接入安全及管理
在该医院网络建设的过程中,如何提供安全的资源共享,有效的对访问网络资源的人员进行安全管理,成为网络管理人员越来越关注的焦点。目前,网络管理人员关注的问题主要有以下几个方面:①谁是你可信赖的用户?②这些用户应该看到什么?③他们允许在网络的资源上用到什么?④他们是否可以接入到信息资源?⑤他们什么时候可以获得操作权?⑥怎么管理这些移动的或分散于全省各地的用户?⑦这些用户对网络资源的访问是否符合该医院所设定的安全规范?进入隔离区的用户,只有通过一系列安装系统补丁、检查终端系统信息等操作,才能通过网络安全策略的检验。
3实施
3.1部门ip分配
由于网络地址为192.168.60.X到192.168.65.X,其中192.168.60.X是可以上医保网的网段,所以对名医堂、儿科、门诊大厅只能在网段192.168.60.X,药库、病案楼、新病房楼放入内网网段192.168.61.X和192.168.62.X,其余的部门放入外网网段,需要2个外网网段,最后192.168.65.X作为给分医院的。
3.2eaD部署说明
用户终端须安装inode客户端,在上网前首先进行802.1x和安全认证,否则将不能接入网络或者只能访问隔离区的资源。其中,隔离区是指在交换机中配置的一组aCL,一般包括eaD安全服务器、补丁服务器、防病毒服务器、DnS、DHCp等服务器的ip地址。其中eaD安全服务器和防病毒服务器必须部署于隔离区,杀毒软件可以选择瑞星杀毒软件、金山毒霸2013、norton防病毒、趋势防病毒、安博士防病毒、CaKill安全甲胄、mcaFee防病毒以及江民KV防病毒软件。
3.3实施效果
合法用户接入网络后,其访问权限受交换机中的aCL控制。特定的服务器只能由被授权的用户访问。用户之间的互访权限也同样受aCL控制,不同角色的用户分属不同的VLan,不可跨VLan访问。必须在通过安全客户端的检查后,保证没有感染病毒才能安全接入网络。而且病毒库版本和补丁得到及时升级。
4结束语
网络安全的根源篇7
【关键词】网络安全;网络管理
引言
信息化时代,高校走在前列,各个高校都提出了数字化校园的口号,这些高校也加大了网络基础设施方面的投入。建设校园网必然会有各种应用系统应运而生,这些系统服务于高校的教学、科研和管理。同样,网络也是高校对外交流的重要窗口和名片。但是,网络也是一把双刃剑,在给高校提供便捷的同时,也受到来自各方面的攻击和挑战。保证校园网安全有序运行,就成为了高校面临的一个新问题。
1高校网络发展模式
高校网络是教育网和运营商网络多网结合的特殊局域网,不同于企业网络,更重要的是它是非盈利性的网站,它有自己的特点。
1.1网络设备在布局上的差异
校园内教学楼,实验楼,图书馆等各个楼宇都对网络有一定的依赖性,但是依赖程度又不一样,这就要求用不同的设备将网络接入这些楼宇,然后汇聚到主核心,也正是这种差异性带来的网络故障使得问题错综复杂。
1.2网络应用系统众多
校园网在某种程度上是一个大型局域网,它提供了各种应用系统服务于校园师生。这些应用系统的管理员和使用者的使用习惯都会对网络安全产生一定的安全隐患。
1.3高校资源校内共享权限
教育网资源在校内是免费共享的,这就使得校园网有一定的访问权限,例如图书资源只在校园内共享;同时,校内的某些重要科研信息又是保密的,要求相关人员提高网络安全新人,警惕非法侵入或访问。
2高校网络安全现状分析及安全隐患
高校网络结合教育网和运营商网络,有足够的带宽高,各式各样的信息都能从网上快速搜索。随着社会的发展用户对网络依赖感增加,个人和高校的各种信息都暴露在网上,于是这些信息就会面临网络内外各种攻击的风险,同时有部分专业用户,通过技术手段了解到网络的整体架构后,会不断给网络安全带来挑战。综合分析内外因素,具体可以概括为以下几种风险:
2.1校内用户网络安全意识薄弱
大多用户包括老师和学生异与具有较高攻击防范意识的用户,他们普遍缺乏网络安全意识,有些时候会被攻击,甚至被动地成为网络黑客,使得校园网面临来自内部的攻击风险。
2.2病毒对校园网影响大
高校网络要接受众多在线用户的考验,这考验既包括对校园网处理能力的要求,更包括来自网络的攻击。如果终端被攻击并且没有积极采取防御措施的话,很容易使病毒在局域网内扩散,进而影响整个校园网的正常工作,影响网内其他用户的正常使用。
2.3大量的外部网络攻击
教育网有很多免费资源,访问量也很高,因此校园网的这些网络资源就成为被攻击的重点目标。同样他们也采取各种手段破解一些重点网络设备,使得校园网每天都在接受考验。
3解决高校网络安全隐患的对策
3.1制定符合实际情况的操作章程
网络安全涉及面很宽泛,并且每所高校基础建设以及网络结构都不一样,但总体的指导思路大同小异,这就要求相关管理人员根据实际情况,建立符合实际情况的网络安全管理制度,制订操作性强的用户上网规范,明确上网用户的责任和义务,提高用户的安全意识。
3.2对网络安全管理系统重点关注
在校园网络中,硬件投入和软件维护同样重要,大部分学校将精力投入到网络设备的基础设施建设上,却忽视了将部分精力投入到网络安全管理系统方面,隐患可想而知。在日益错综复杂的网络形势下,不仅要求技术人员有过硬的技术和足够的经验,还必须建立整套安全管理系统,及时有效排除安全隐患。
3.3定期培训,及时更新病毒库
网络技术日新月异,相关人员需及时关注网络技术的新变化和新进展,高校要提供机会让相关人员走出去进修学习,了解兄弟院校以及技术公司的新思路,提高业务人员的综合能力。另外,应及时更新病毒库,让工作事半功倍。
4总结
本文从多方面描述了网络安全的意义,并根据高校现状提出相应的解决方案。高校信息化和数字化校园在某种程度上也代表着高校迈入新时代的标志[3],随着越来越多的高校领导意识到网络的重要性,网络安全问题就上升到学校的形象层面,信息时代,资源是共享的,但同时也是竞争的,在网络安全方面高校要根据自身的状况要建立和完善相应符合校情的网络安全管理的规范和章程。作为专业技术人员,更应该增强主人翁意识,强化学习新技术的能力,找出解决新问题的方法,改善网络环境,减少网络风险,确保校园网络正常运行。
参考文献
[1]吴功宜,吴英.计算机网络应用技术教程(第3版)[m].北京:清华大学出版社,2009:17~18.
[2]李新,孙中涛.高校校园网安全管理研究[J].现代教育装备,2010,97(9):27~29.
网络安全的根源篇8
1计算机信息安全管理存在的问题
随着网络信息的发展,计算机信息安全管理直接影响用户的切身利益,对计算机网络信息管理而言,面临着巨大的挑战。用户在实际使用过程中也存在很多问题。下面就针对计算机信息安全管理存在的问题展开论述。
1.1不重视计算机信息安全管理
在使用计算机过程中,很多用户为了图省事,不重视信息的管理,受到传统管理理念的影响,认为只要下载安全软件就能保证计算机的安全,并没有对重要的信息数据进行备份。与此同时,随着社会的不断进步发展,网络安全潜在很多的隐患,而计算机信息系统安全性没有得到相应的提升,从而影响了计算机的安全运行。因此,为了提升计算机信息管理,维护用户的根本利益,用户要改变传统思想,加强对计算机信息安全管理。
1.2安全威胁不断增加
当前计算机信息安全威胁主要来自入侵者、病毒以及其他的突发事件。在实际过程中,很多入侵者通过病毒软件,读取用户的特权数据,并对数据库进行恶意的修改和破坏,严重损害了用户的权益,给用户造成极大的损失。突发事件主要是用户出现误操作,这种威胁往往被用户所忽视,存在误删的情况,导致重要的计算机信息被删除,影响到用户的正常使用。
1.3网络信息安全管理缺乏针对性
在使用计算机网络应用过程中,很多用户认识网络信息安全管理的重要性,因此,采取相应的指导措施,加强计算机信息安全管理,对潜在的风险进行评估,分析计算机面临的风险,从而采取针对性的解决措施,但是受到管理方式和管理理念的影响,对计算机安全风险评估效果不理想,甚至有的用户直接套用了其他人的安全管理方式,导致计算机安全信息管理缺乏针对性和有效性,直接影响计算机信息安全管理的效果。
2做好计算机信息安全管理的措施
为了保护用户的信息安全,在实际管理过程中,要采用技术和管理的措施,针对网络技术发展的特点,采取相应的知道措施,提升计算机安全性能,维护用户的根本利益。下面就如何做好计算机信息安全展开论述。
2.1技术层面
2.1.1加强网络访问控制
为了保护计算机信息的安全,就要加强计算机范文控制,主要是如何使用受保护的资源的规则库。在系统运行过程中,会根据访问控制,对用户资源使用行为行为进行合法判定。从根本上讲,网络访问控制就通过控制的策略来限制用户访问,在用户和资源之间建立了一道屏障,可以避免用户对资源无休止的访问,保证资源始终处在监控的范围内。
2.1.2做好数据库信息备份
在用户实际操作过程中,为了避免数据信息出现丢失的情况,做好数据库的备份和恢复,防止发生意外。(1)用户可以选择网络备份,就是用户将大量的数据上传到数据备份的主机上,并采用网络客户端软件进行处理,保证数据被传输到服务器中,通过备份介质对数据进行管理。(2)分级储存管理,随着计算机储存空间不断增加,网络数据也不断增加,为了满足用户更多的数据储存要求,在实际过程中,用户可以把自己认为有价值的数据进行复制,对文档进行备份管理,从而实现数据的长期储存,提升数据信息的安全性。对重要的数据放在一个可以引动的介质中,对普通的的信息数据进行压缩处理。
2.1.3数据加密技术
当前,计算机网络信息技术迅速发展,在数据传输过程中,会面临着安全威胁,可能出现被篡改的情况,不仅破坏了数据的完整性,而且影响了数据的质量,甚至数据丢失,给用户和企业带来巨大的损失。因此,为了保证数据和信息的安全,要进行保密设置,采取加密措施,从而保证数据信息的机密性和完整性,防止被他人窃取和盗用,维护企业的根本利益。在数据传输过程中,如果有的数据被篡改后,还可以采用校验技术,恢复已经被篡改的内容,从而保证数据的完整性,避免用户和企业出现损失。
2.1.4入侵检测技术
随着计算机的普及,计算机用户成倍增加,相应的也大大增加了计算机安全风险,影响了计算机的正常运行,为了提升计算机安全性能,用户可以结合自身的实际情况,针对性的采用入侵检测技术,对自己的计算机进行动态的监测和管理,及时有效的发现网络攻击行为,有效避免病毒进入,保证计算机信息基础结构的完整性和安全性。在计算机安装入侵检测系统以后,这个系统会自动对用户的网络进行动态的监测,对网络的通信情况进行检查,维护用户网络信息安全。
2.2管理层面
为了从根本上提升计算机网络安全,在实际管理过程中,不仅要采取先进的安全管理技术,还要完善相应的法律法规,实现二者的结合,为广大用户建立安全稳定的网络环境。(1)就要加强计算机用户的安全教育,建立完善的安全管理机制,明确计算机安全管理的功能,完善计算机网络安全立法,提升用户安全管理法律意识,有效防止计算机犯罪和干扰,提升抵御黑客攻击的能力;(2)在进行计算机网络安全法律教育过程中,要加强计算机犯罪法、保密法等宣传,明确计算机不同使用人员的权利和义务,建立合法信息系统的原则,抵制各种违法行为,从而维护用户的网络信息安全。(3)要建立完善的安全维护管理制度,做好人员、计算机处理、资料管理等制度,从而规范网络安全管理行为,提升网路信息安全管理的针对性和有效性。(4)为了建立安全稳定的网络信息环境,就要建立相应的法律法规,保证网络秩序的规范化,要求用户安全文明上网,严格遵守相关的法律法规,建立承担法律和道德责任的准则,根据法律法规要求有效打击各种网络犯罪。为了维护计算机信息的安全,在实际过程中,就要提升系统管理人员的职业素质和道德修养,不断规范网络环境。就目前而言,计算机网络信息安全也面临着很多安全问题,不法分子利用网络平台入侵用户系统,导致信息泄露和破坏,影响了用户的正常施工。因此,为了维护计算机信息安全,就要重视网络信息管理,从技术和管理两个方面,保证网络环境安全。
作者:段宇翔单位:河北省石家庄市二中
参考文献:
[1]马小娟.浅谈计算机信息管理技术在网络安全中的应用[J].数字技术与应用,2013(03):211.
[2]刘力源.浅谈计算机信息安全管理措施[J].计算机光盘软件与应用,2013(05):224-225.
[3]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61-62.
网络安全的根源篇9
[关键词]城域网网络安全防火墙防病毒
一、城域网络
1.城域网络
城域网是在一个城市范围内所建立的计算机通信网,是以计算机网络技术为基础的信息化集成应用系统。它是以计算机网络技术为基础、以网络资源与网络软件为核心、以构建现代管理模式为目的、以提高管理效益为根本、为区域信息化提供全方位服务的网络。
2.城域网络的特点
可靠性:城域网的信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。可靠性是系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。
可用性:是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。可用性还满足身份识别与确认、访问控制,防止或限制经隐蔽通道的非法访问。
二、目前城域网络安全面临的威胁
影响网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。归结起来,针对城域网络安全的威胁主要有5个方面:
1.无意失误带来的威胁
由内部人员的疏忽和误用所造成的损失也占了相当大的比例。如操作员安全配置不当造成的安全漏洞,操作员安全意识不强,用户口令选择不慎,操作员将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
2.黑客攻击的威胁
这是计算机网络所面临的最大威胁。此类攻击又可以分为2种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,他是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。
3.网络软件的威胁
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。
4.垃圾邮件的威胁
垃圾邮件可以分为良性和恶性的。良性垃圾邮件是各种宣传广告等对收件人影响不大的信息邮件。恶性垃圾邮件是指垃圾邮件炸弹或附带有病毒的具有破坏性的电子邮件。垃圾邮件的发送者利用“最小的成本”可以获得最大的利益,或者采取网络钓鱼的方式获得入侵和控制电脑的目的,这是垃圾邮件大量产生的原因。教育市场巨大利润以及淡薄的防护意识都使其成为了最严重的受害者之一。
5.不规范的程序代码
随着信息化的大力推进,城域信息网、资源网站、区域性的商户网站等等大量建立起来。人们在建立网站的时候考虑最多的是内容的丰富性和宣传效应,以及访问量。大部分的城域网站在建立的同时都会将大量的资金和人力投入到防火墙和入侵监测系统的建设,同时采用了比较安全的访问策略。不过有一个地方的确被管理员忽视了,那就是网站代码的安全,这也许是一个最容易被人遗忘的角落。
三、城域网的安全防范
1.城域网安全防范的要求
对用户的要求,主要是涉及个人隐私或资源的信息要受到机密性,完整性和真实性的保护,避免其他人窃听,冒充,修改和非法访问等。对网站的要求,主要是对本地资源的信息访问,读写等操作受到保护和控制,避免出现病毒,非法存取,拒绝服务和网络资源被非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。对主管的要求,主要是对非法的,有害或涉及国家机密的信息进行过滤和防堵,避免这类信息从网络上泄漏。
2.网络安全防范的措施
(1)在城域网络各节点处构筑防御(如防火墙),防止外网影响内网。目前的防火墙主要有包过滤防火墙、防火墙和双穴主机防火墙3种类型,并在计算机网络得到了广泛的应用。
(2)建立一个统一,完善的安全防护体系,该体系不仅包括防火墙,网关,防病毒及杀毒软件等产品,通过对网络的管理和监控,可以在第一时间发现问题,解决问题,防患于未然。
(3)需要建立安全管理机制。例如,口令管理;各种密钥的生成,分发与管理;全网统一的管理员身份鉴别与授权;建立全系统的安全评估体系;建立安全审计制度;建立系统及数据的备份制度;建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力,应制定灾难性事故的应急计划,如紧急行动方案,资源(硬件,软件,数据等)备份及操作计划,系统恢复和检测方法等。
3.网络安全防御对策
(1)防火墙技术。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,他是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的ip路由器,他通过对每一个到来的ip包依据一组规则进行检查来判断是否对之进行转发。服务器是防火墙系统中的一个服务器进程,他能够代替网络用户完成特定的tCp/ip功能。一个服务器本质上是一个应用层的网关,一个为特定网络应用而连接2个网络的网关。目前的防火墙主要有包过滤防火墙、防火墙和双穴主机防火墙3种类型,应用着可根据自己的网络选择防火墙技术。
(2)信息加密技术。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。①链路加密的目的是保护网络节点之间的链路信息安全;②端点加密的目的是对源端用户到目的端用户的数据提供保护;③节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形的加密算法来具体实施,他以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。密码技术是网络安全最有效的技术之一。
(3)访问控制技术。访问控制是网络安全防范和保护的主要策略,他的主要任务是保证网络资源不被非法使用和非常访问。他也是维护网络系统安全、保护网络资源的重要手段。可以说是保证网络安全最重要的核心策略之一。访问控制技术主要包括7种:①入网访问控制;②网络的权限控制;③目录级安全控制;④属性安全控制;⑤网络服务器安全控制;⑥网络监测和锁定控制;⑦网络端口和节点的安全控制。
根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。
我们一定要提高计算机网络的防御能力,加强网络的安全措施,否则教育城域网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
(4)计算机病毒。由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器,其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术,其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒,首先要进行计算机病毒的种类、性能、干扰机理的研究,加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御82技术的研究。要从根本上解决问题,就必须要用我国自己的安全设备加强信息与网络的安全性,大力发展基于自主技术的信息安全产业。这样才能从根本上摆脱引进国外的关键信息系统难以安全利用、有效监控的被动局面。
网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。
四、结束语
随着计算机技术和通信技术的发展,计算机网络已成为重要的信息交换手段,并渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,其中也不可避免的存在一些漏洞,因此,进行网络防范要不断追踪新技术的应用情况,及时升级、完善自身的防御措施。
参考文献:
[1]刘全利:浅议网络安全[J].重庆商学院学报,1999,(01)
网络安全的根源篇10
关键词:网络;计算机安全;防护;措施
中图分类号:tp393.08文献标识码:a文章编号:1007-9599 (2012) 19-0000-02
计算机网络又称 internet,是计算机交互网络的简称。它是利用通信设备和线路将整个世界上不同地理位置的、功能相对独立的、数以千万计的计算机系统互连起来,以功能完善的网络软件 (网络通信协议、网络操作系统等)实现网络资源共享和信息交换的数据通信网。从中科院高能物理研究所将中国的第一根网线接入互联网到现在已有近 20 年的历史,在这 20 年里,中国的互联网有了突飞猛进的发展,在不断完善的同时也随同国际网络一起产生重大的安全性问题。
1计算机网络及计算机网络安全
计算机网络是计算机科学发展到一定阶段的产物,它是由计算机系统及终端设备,通过线路连接起来的系统。计算机网络使用户实现了远程通信和资源共享,计算机网络化是信息社会的主要标志之一。计算机网络的主要用途是资源共享,系统可靠性高,具有可扩展性。
网络环境下计算机安全,就是指计算机系统中的各种数据、计算机的软件和硬件,在与网络连接的条件下,可以受到保护,免受来自外界的恶意或者偶然的信息泄露、数据破坏或者更改,从而免遭到经济损失、系统崩溃或者中断与外界的联系等恶果。计算机安全从本质上来讲,就是信息安全。它所包含的范嗣很大,意义很广泛,大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等都在计算机安全的范畴内。计算机安全所涉及到的内容,既有技术理论方面的问题,又有人为管理方面的问题,其中,技术方面主要负责防范外部的恶意攻击破坏.人为管理方而则侧重内部人员因素的管理.只有两者相辅相成,才能更有效地实现保护计算机免受威胁的目标。提高计算机的安全性也因此成为当前计算机业内亟待解决的一个重要问题。
2网络计算机安全的主要隐患
2.1黑客攻击
这是一种最严重的网络安全威胁。攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。维护网络安全,主要指维护网络的信息安全。保证数据的机密、完整是最基本的目标。一个安全的网络环境,数据未经授权应该是不能被任意修改的,任何想获取该数据信息的访问者都应是经过授权的合法用户。
2.2网络自身的安全缺陷
网络是一个开放的环境,tCp/ip是一个通用的协议,即通过ip地址作为网络节点的唯一标识,基于ip地址进行多用户的认证和授权,并根据ip包中源ip地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对ip地址的保护,缺乏对源ip地址真实性的认证机制,这就是tCp/ip协议不安全的根本所在。通过tCp/ip协议缺陷进行的常见攻击有:源地址欺骗、ip欺骗、源路由选择欺骗、路由选择信息协议攻击、SYn攻击等等。
2.3网页恶意代码及防范
目前,网页中的恶意代码开始威胁到网络系统安全,一般分为以下几种:(1)消耗系统资源。(2)非法向用户硬盘写入文件。(3)ie泄露,利用ie漏洞,网页可以读取客户机的文件,就可以从中获得用户账号和密码。(4)利用邮件非法安装木马。
2.4不正确的系统维护措施
系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。有时候,虽然专业人员已经对系统进行了维护,对软件进行了更新或升级,但由于路由器及防火墙的过滤规则过于复杂,系统又可能会出现新的漏洞。所以,及时、有效地改变管理可以大大降低系统所承受的风险。
3网络计算机安全的防护措施
3.1防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上inter net之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
3.2数据加密技术
数据加密是网络系统中一种比较有效的数据保护方式,目的是为了防止网络数据的篡改、泄露和破坏。通常数据加密采用链路加密、端端加密、节点加密和混合加密方式。链路加密是对网络中两个相邻节点之间传输的数据进行加密保护,能够防止搭线窃听。端端加密是对源节点用户到目标节点用户的数据进行保护,方式更加可靠,且易于设计和实现。节点加密是对源节点到目标节点的链路提供保护。混合加密是采用链路加密和端端加密相结合的混合加密方式,可以获得更高的安全。
3.3网页恶意代码的防范措施
(1)运行ie时,点击“工具internet选项安全 internet区域的安全级别”,把安全级别由“中”改为“高”。网页恶意代码主要是含有恶意代码的activeX或applet、 JavaScript的网页文件 ,所以在ie设置中将activeX插件和控件、Java脚本等全部 禁止就可以减少被网页恶意代码感染的几率。具体方案是:在ie窗口中点击“工具” “internet选项” ,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按 钮,就会弹出“安全设置”对话框,把其中所有activeX插件和控件以及与Java相关 全部选项选择“禁用”(如图1)。(2)网页恶意代码大多是在访问网站时候误下载和激活的,所以不要进入不信任的 陌生网站,对于网页上的各种超级连接不要盲目去点击,若被强制安装恶意代码,一经 发现立即删除,或者安装相应的恶意代码清除工具,或本机防火墙软件。
计算机网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了计算机网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的计算机网络系统。
参考文献:
[1]张宝剑.计算机安全与防护技术[m].北京:机械工业出版社,2005.