第一篇:計算機網絡安全教案
計算機網絡安全教案
第1章 計算機網絡安全基本知識 第2章 計算機網絡端口詳解
第3章 計算機防毒軟件安裝與使用 第4章 網絡版殺毒軟件詳解 第5章 網絡版防火墻詳解
第1章計算機網絡安全基本知識 本章學習要求:
掌握:網絡安全基本概念/典型網絡攻擊類型 學習主要內容:
1)網絡安全基本概念;
2)網絡安全應具有以下四個方面的特征; 3)主要的網絡安全威脅; 4)黑客常用的信息收集工具; 5)什么是木馬;
6)什么是防火墻?它是如何確保網絡安全的? 7)什么是后門、為什么會存在后門? 8)什么叫入侵檢測?
9)什么叫數據包監測、它有什么作用? 10)什么是NIDS?什么叫SYN包?
第2章計算機網絡端口基本知識
本章學習要求: 掌握:
常用的一些網絡端口; 常用端口的用途;
防火墻軟件如何通過商品進行相應服務的控制; 學習的主要內容:
公認端口:(Well Known Ports)從0到1023 注冊端口:(Registered Ports)從1024到49151 動態和/或私有端口:(Dynamic and/or Private Ports)從49152到65535 常用的FTP、POP3、SMTP、VEB、DNS、QQ、MSN、SKYPE等端口; 瑞星個人版防火墻的安裝;
瑞星個人版防火墻中規則的設定(通過端口如何進行控制)
第3章計算機殺毒軟件的安裝與使用 本章學習要求: 掌握: 常用的一些殺毒軟件的安裝; 殺毒軟件常規參數的設置; 系統漏洞的修補; 學習的主要內容:
瑞星殺毒軟件的安裝及殺毒參數的設定; 卡巴斯基殺毒軟件的安裝與殺毒參數的設定; 金山毒霸殺毒軟件的使用與殺毒參數的設定; 常用木馬專殺軟件的使用; 360安全衛士的使用; 常用木馬的封殺。
第4章網絡版殺毒軟件的安裝與使用 本章學習要求: 掌握:
網絡版殺毒軟件的優點;
網絡版殺毒軟件服務端的控制方式; 網絡版殺毒軟件客戶端的維護; 學習的主要內容:
瑞星網絡防病毒體系結構; 瑞星網絡版安裝注意事項; 網絡版殺毒軟件使用要求; 安裝防病毒軟件詳細步驟; 瑞星網絡版病毒庫升級;
第5章網絡版防火墻軟件的安裝與使用
本章學習內容: 掌握:
網絡版防火墻軟件的優點;
網絡版防火墻軟件服務端的控制方式; 網絡版防火墻軟件客戶端的維護;
學習的主要內容:
瑞星網絡防火墻體系結構; 瑞星網絡版安裝注意事項; 網絡版防火墻軟件使用要求; 安裝防火墻軟件詳細步驟;
瑞星網絡版防火墻病毒庫的升級。
第二篇:《計算機網絡安全》教案
《網絡安全》教案
[教材]
《網絡技術應用》第三單元第五節——中國地圖出版社
[教學安排]
1課時
[教學目標]
知識目標:
1、了解蠕蟲病毒、“特洛伊木馬”、“黑客”的基本常識;
2、了解防范網絡病毒的一般方法;
3、體會這些方法的作用和特點;
能力目標
1、掌握維護網絡安全的常用操作方法,如安裝殺毒軟件,升級病毒特征碼;
2、能為自己的電腦制訂一套行之有效的安全防范策略;
情感目標
認識網絡病毒的危害性,提高網絡防毒拒騙能力,增強網絡安全意識。
[教學重點]
讓學生實踐防范網絡病毒的幾個常用方法,比較各種方法的特點,從中能思考并得出一套行之有效的安全防范策略,提高學生的網絡安全意識。
[教學過程]
一、教學導入:
1、教師提問:同學們在上網時中過計算機病毒嗎?是在什么情況下中毒的?中毒癥狀是怎樣的?用什么方法殺除病毒的?
2、學生進行自我測試,一方面了解自己在上網時的安全指數,另一方面了解學生的整體測驗情況,對部分得分率低的測試題作一定的解釋,為接下來的教學做鋪墊和準備。
3、通過一個小活動“!!吐血推薦,最新的QQ升級程序!!QQ_Update.exe”,利用學生的好奇心,誘騙他們安裝冰河木馬的服務器程序。接著,演示如何使用冰河木馬的控制器程序控制某一臺已安裝了木馬的電腦,讓學生了解木馬的傳播途徑和一般特征。提問:我們如何殺除這個木馬程序呢?
二、學生自主活動:
為學生提供一些常用的操作方法,引導他們進行自主探究活動,體驗安裝殺毒程序、殺除所中的木馬程序的過程。(如果有學生沒有安裝木馬程序,則讓他們先安裝防范網絡病毒的軟件,然后嘗試安裝木馬,會有什么情況產生)
全班分成四個小組,分別進行下面1至4四個活動,基礎好的同學可以選做其他活動,看看哪一種方法可以殺除那個木馬程序?
1、安裝殺毒軟件,并更新病毒特征碼;
2、安裝個人版防火墻,并進行升級;
3、安裝木馬專殺工具;
4、安裝微軟公司發布的最新補丁程序;
5、設置瀏覽器的安全級別;在瀏覽器窗口上依次單擊“工具”—“Internet選項”—“安全”,進行設置。
教師指導:對各個活動進行一定的方法指導,幫助檢測安裝后木馬程序是否被殺除了,提問殺毒軟件為什么要更新病毒特征碼?防火墻的作用是什么?操作系統為什么要安裝更新補丁程序?
經過實踐,發現殺毒軟件Kill只能查出病毒,但不能殺除;防火墻可以阻擋外部程序的攻擊,但也不能殺除所中的毒;第3種方法在這里倒是最有效的;更新操作系統也是必需的,但在沒有連接到因特網的情況下,無法實現真正的效果。除此以外,還有什么方法(重新安裝系統、修改注冊表文件等等),促使他們思考、總結出一個行之有效的安全防范方案,在網絡環境下抵御網絡病毒、網絡黑客的攻擊。
教學意圖:
1、給學生提供一些殺除木馬病毒的程序和方法;
2、讓學生體驗各種防范網絡病毒軟件的安裝過程,了解各種方法的特點和作用,注意軟件要及時更新,認識到殺毒軟件不是萬能的,要根據實際情況綜合使用各種方法。
三、布置問題任務
通過自主探究活動,瀏覽提供的學習資源,思考并完成本節課的作業:為自己的電腦制訂一個行之有效的安全防范方案,在網絡環境下抵御網絡病毒、網絡黑客的攻擊。
教師引導:除了使用各種殺毒方法以外,人的安全意識顯得更為重要,如定時升級殺病毒程序、更新病毒特征碼,異地備份重要的文件資料,妥善保管好自己的各種密碼,不隨意透漏自己的生日、電話、電子郵箱、身份證號等,不打開來歷不明的郵件和程序,不瀏覽不知名的小網站??
四、總結
講評部分學生完成的作業,啟發學生思考問題的角度,對問題的解決得到一個再認識,提高學習效果。對待網絡病毒、網絡黑客,首先不能懼怕,而要勇敢面對。如何面對,一方面,要掌握各種殺毒軟件的安裝、使用方法,另一方面,要提高個人的網絡安全意識,防患于未然,只要這樣,才能將網絡病毒、網絡黑客拒之門外,將網絡危險指數降到最低點。
第三篇:計算機網絡安全
黃岡職業技術學院
電子信息學院
課程期末項目考核任務書
課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業名稱:計算機網絡技術
2011-2012學年第一學期
電子信息學院教務辦室制
摘要...............2 前言...............2
第1章計算機通信網絡安全概述...........2
第2章影響計算機通信網絡安全的因素分析.....2
2.1影響計算機通信網絡安全的客觀因素...........2
2.1.1網絡資源的共享性............2
2.1.2網絡操作系統的漏洞..........2
2.1.3網絡系統設計的缺陷..........3
2.1.4網絡的開放性................3
2.1.5惡意攻擊.............3
2.2影響計算機網絡通信安全的主觀因素...........3
第3章計算機網絡的安全策略..............3
3.1物理安全策略.............3
3.2常用的網絡安全技術.............3
3.2.1 網絡加密技術................4
3.2.2 防火墻技術...........4
3.2.3 操作系統安全內核技術...............4
3.2.4 身份驗證技術身份驗證技術...........5
3.2.5 網絡防病毒技術..............5
總結...............5 參考文獻.................5摘要:隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
前言:隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
第1章計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。
第2章影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
2.1影響計算機通信網絡安全的客觀因素
2.1.1網絡資源的共享性
計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
2.1.2網絡操作系統的漏洞
操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
2.1.3網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。
2.1.4網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
2.1.5惡意攻擊
惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
2.2影響計算機網絡通信安全的主觀因素
主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
第3章計算機網絡的安全策略
3.1物理安全策略
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等
級和安全管理范圍。
3.2常用的網絡安全技術
3.2.1 網絡加密技術
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
3.2.2 防火墻技術
防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
3.2.3 操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
3.2.4 身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
3.2.5 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
總結
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
第四篇:淺論計算機網絡安全
淺論計算機網絡安全
方倩
(北京科技職業學院 新聞傳播學院,北京 延慶 102100)
摘要計算機網絡為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網絡安全技術變得越來越重要。而建立和實施嚴密的網絡安全策略和健全安全制度是真正實現網絡安全的基礎。
關鍵詞網絡安全;防火墻;加密
1引言
在信息化社會的今天,計算機網絡在政治、軍事、金觸、電信、科教等方面的作用日益增強。社會對計算機網絡的依賴也日益增大。特別是Internet的出現,使得計算機網絡的資源共享進一步加強。隨著網絡上各種新興業務的興起,如電子商務、網絡銀行(Network Bank),使得網絡安全技術的研究成了計算機與通信界的一個熱點,并且成了信息科學的一個重要研究領域,日益受到人們的關注。
Internet一方面給人們帶來了經濟上的實惠、通信上的便捷,但另一方面黑客和病毒的侵擾又把人們置于進退兩難的境地。據FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起 Internet計算機侵入事件。
2003年夏天,IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊。“沖擊波”(又稱“Lovsan”或“MSBlast”)首先發起攻擊。病毒最早于當年8月11日被檢測出來并迅速傳播,兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播,利用了Windows 2000/XP的一個弱點進行攻擊,被激活以后,它會向計算機用戶展示一個惡意對話框,提示系統將關閉。在病毒的可執行文件MSBLAST.EXE代碼中隱藏著這些信息:“桑(San),我只想說愛你!”以及“比爾·蓋茨(Bill Gates)你為什么讓這種事情發生?別再斂財了,修補你的軟件吧!”。損失估計為20億~100億美元,受到感染的計算機不計其數。“沖擊波”一走,“霸王蟲”蠕蟲便接踵而至,對企業和家庭計算機用戶而言,2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F,它 8月19日開始迅速傳播,在最初的24小時之內,自身復制了100萬次,創下了歷史紀錄(后來被Mydoom病毒打破)。病毒偽裝在文件名看似無害的郵件附件之中。被激活之后,這個蠕蟲便向用戶的本地文件類型中發現的電子郵件地址傳播自身。最終結果是造成互聯網流量激增。損失估計為50億~100億美元,超過100萬臺計算機被感染.。
我國的信息化剛剛起步,但發展迅速,網絡已滲透到國民經濟的各個領域。在短短的幾年時間里,也發生了多起利用網絡進行犯罪的事件,給國家、企業和個人造成了重大的經濟損失和危害。特別是金融部門的犯罪,更是令人觸目驚心。近兩年來,“網游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗,以盜取用戶密碼賬號、個人隱私、商業秘密、網絡財產為目的。調查顯示,趨利性成為計算機病毒發展的新趨勢。網上制作、販賣病毒、木馬的活動日益猖獗,利用病毒、木馬技術進行網絡盜竊、詐騙的網絡犯罪活動呈快速上升趨勢,網上治安形勢非常嚴峻。
面對如此嚴重的種種威脅,必須采取有力的措施來保證計算機網絡的安全,但現在的大多數計算機網絡在建設之初都忽略了安全問題,即使考慮了安全,也只是把安全機制建立在物理安全機制上。2計算機網絡安全的含義
從本質上講,網絡安全就是網絡上的信息的安全。計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網絡服務不被中斷。
從廣義上看,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網絡安全研究的領域。
從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網絡上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。
從網絡運行和管理角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕訪問等威脅,制止和防御網絡黑客的攻擊。
從社會教育的角度來說,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。網絡安全的特征
3.1保密性
保密性是指信息不泄漏給非授權用戶、實體或過程,或供其利用的特性。3.2完整性
完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性。
3.3可控性
可控性是指對信息的傳播及內容具有控制能力。3.4可用性
可用性是指可被授權實體訪問并按需求使用的特性。網絡環境下拒絕服務,破壞網絡和有關系統的常運行等都屬于對可用性的攻擊。
4網絡安全面臨的威脅
從技術角度上看,Internet的不安全因素,一方面是由于它是面向用戶的,所有資源通過網絡共享,另一方面是它的技術是開放和標準的。因特網是基于TCP/IP協議的,TCP/IP協議在當初設計和后來應用時并未考慮到安全因素,也未曾預料后來應用的爆發增長。這就好像在一間封閉的房間內打開緊閉的玻璃窗,新鮮空氣進來發,但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網絡世界也一樣,開放的、免費的信息帶來了溝通的便利。但垃圾郵件、網絡病毒以及黑客等使網絡經受著前所未有的沖擊。計算機網絡面臨的威脅大體上分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡安全的因素很多,有些是有意的,有些是無意的;可能是人為的,可能是非人為的,也可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對網絡安全的威脅主要有以下四點[1]。
4.1人為的無意失
誤
操作員使用不當,安全配置不規范造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.2人為的惡意攻擊
此類攻擊又分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性、完整性和真實性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息,它不會導致系統中信息的任何改動,而且系統的操作和狀態也不會被改變,因此這類攻擊主要威脅信息的保密性。
4.3網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,例如TCP/IP協議的安全問題,然而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。另外,軟件的“后門”是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”打開,其造成的后果將不堪設想。
4.4人自身的因素
人自身的因素主要是指非授權訪問、信息漏洞或丟失、破壞完整性。非授權訪問是指預先沒有經過同意就使用網絡或計算機資源。信息丟失包括在傳輸中丟失或在傳輸介質中丟失兩種,例如黑客常使用竊收方式,利用可能的非法手段竊取系統中的信息資源和敏感信息。
5網絡安全的安全策略
5.1 物理安全策略
保證計算機信息系統中各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:①環境安全:對系統所在環境的安全保護,如區域保護和災難保護;②設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;③媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除在網絡規劃和場地、環境等方面要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上安裝一定的防護措施,來減少或干擾擴散出去的空間信號,這成為政府、軍事、金融機構在建設信息中心時首要考慮的問題。[2]
5.2訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問,它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須配合才能真正起到保護作用。訪問控制可以說是保證網絡安全最重要的核心策略之一。
5.2.1入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站上入網。用戶的入網訪問控制分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。用戶名或用戶賬號是所有計算機中最基本的安全形式。實際上,這種“用戶 ID+密碼”的方法來進行用戶的身份認證和訪問控制的方案隱含著一些問題。例如,密碼容易被忘記,如果用戶忘記了他的密碼,就不能進入系統。另外,密碼被別人盜取則更是一件可怕的事情,因為用心不良的人可能會進一步竊取公司機密數據、可能會盜用別人的名義做不正當的事情,甚至從銀行、ATM 終端上提取別人的巨額存款。隨著科技的進步,生物識別(Biometric)技術已經開始走入了我們的日常生活之中。目前在世界上許多公司和研究機構都在生物識別技術的研究中取得一些突破性技術,從而推出了許多新產品。目前比較流行的是虹膜識別技術和指紋識別技術。指紋識別作為識別技術已經有很長的歷史了,它通過分析指紋的全局特征和指紋的局部特征,并從中抽取非常詳盡的特征值來確認一個人的身份。平均每個指紋都有幾個獨一無二可測量的特征點,每個特征點都有大約七個特征,我們的十個手指產生最少4900個獨立可測量的特征,這足夠來確認指紋識別是否是一個更加可靠的鑒別方式。另外,掃描指紋的速度很快,使用非常方便;讀取指紋時,用戶必須將手指與指紋采集頭相互接觸,與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法;指紋采集頭可以更加小型化,并且價格會更加的低廉。這都是指紋識別技術能夠占領大部分市場的主要原因。
5.2.2網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。[3]可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:①特殊用戶(即系統管理員);②一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;⑧審計用戶。負責網絡的安全控制與資源使用情況的審計。用戶網絡資源的訪問權限可以用一個訪問控制表來描述。
5.2.3 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對資源的訪問能力。屬性設置可以覆蓋已經指定的任何有效權限。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改和顯示等。
5.2.4網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字、聲音、短消息等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
5.2.5防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向的門檻,它用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據竊取。從實現上看,防火墻實際上是一個獨立的進程或一組緊密聯系的進程,運行于路由器或服務器上,控制經過它們的網絡應用服務及傳輸的數據。目前較流行的一種防火墻是代理防火墻,又稱為應用層網關級防火墻,它由代理服務器和過濾路由器組成,它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍來決定是否接受此項服務,若接受,它就向內部網絡轉發這項請求。
5.3信息加密策略
在各類網絡安全技術中,加密技術是基礎。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。信息加密是保證信息機密性的惟一方法。加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,將機密信息變成難以讀懂的亂碼型文字。據不完全統計,目前已經公開發表的各種加密算法多達數百種。如果以密鑰為標準,可以將這些算法分為單鑰密碼(又稱對稱密鑰或私鑰密碼)和雙鑰密碼(又稱非對稱密碼或公鑰密碼)。單鑰密碼的特點是無論加密還是解密都使用同一種密鑰,因此,此密碼體制的安全性就是密鑰的安全。若密鑰泄漏,則此密碼系統就被攻破。最有影響的單鑰密碼是 1997年美國國家標準局頒布的DES算法,最近頒布的AES算法作為 DES算法的替代,正在逐漸被人們接受。單鑰密碼的優點是安全性高,加解碼速度快。它的缺點是:密鑰的管理困難;無法解決消息確認問題;缺乏自動檢測密鑰泄漏的能力。在雙鑰體制下,加密密鑰與解密密鑰不同,此時不需要安全信道來傳送密鑰,而只需利用本地密鑰發生器產生解密密鑰,并以此來控制解密操作。雙鑰密碼是1796年W.Diffie和M.E.Hellman提出來的一種新型密碼體制。由于雙鑰密碼體制的加密和解密不同,且能公開加密密鑰,而僅需保密解密密鑰,所以不存在密鑰管理問題。雙鑰密碼還有一個優點就是可以擁有數字簽名等新功能。最有名的雙鑰密碼是1977年由 Rivest、Shamir和 Adleman提出來的RSA密碼體制。雙鑰密碼的缺點是算法比較復雜,加解密速度慢。在實際使用過程中,加密通常是采用單鑰和雙鑰密碼相結合的混合加密體制,即加/解密時采用單鑰密碼,傳送密鑰時采用雙鑰密碼。這樣既解決了密鑰管理的困難,又解決了加/解密速度慢的問題。這無疑是目前解決網絡上傳輸信息安全問題的一種較好的解決辦法。
5.4網絡安全管理策略
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起各計算機網絡應用部門領導的重視。
5.4.1安全管理的基本內容
網絡安全管理的根本目標是保證網絡和系統的可用性。網絡的安全管理涉及網絡安全規劃、網絡安全管理機構、網絡安全管理系統和網絡安全教育等。它的具體內容包括:標識要保護的對象;確定保護的手段;找出可能的威脅;實現具體的安全措施;要求有較好的性價比;了解網絡的安全狀態,根據情況變化重新評估并改進安全措施。[4]其中,安全管理原則包括:
5.4.2多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關的活動:①訪問控制使用權限的發放與回收;②信息處理系統使用的媒介發放與回收;③處理保密信息;④硬件和軟件的維護;⑤系統軟件的設計、實現和修改;⑥重要程序和數據的刪除和銷毀等。
5.4.3 任期有限原則
一般地講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。
5.4.4職責分離原則
在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。出于對安全的考慮。下面每組內的兩項信息處理工作應當分開。
①計算機操作與計算機編程;②機密資料的接收和傳送;③安全管理和系統管理;④應用程序和系統程序的編制;⑤訪問證件的管理與其它工作;⑥計算機操作與信息處理系統使用媒介的保管等。
5.4.5安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作是①根據工作的重要程度,確定該系統的安全等級;②根據確定的安全等級,確定安全管理的范圍;③制訂相應的機房出入管理制度;④制訂嚴格的操作規程;⑤制訂完備的系統維護制度;⑥制訂應急措施。
5.5操作系統安全[5]
操作系統安全是系統安全的基礎,要建立一個安全的信息系統,不僅要考慮具體的安全產品,包防火墻、安全路由器、安全網關、IP隧道、虛擬網、侵檢測、漏洞掃描、安全測試和監控產品,來被動封堵安全漏洞,而且還要特別注意操作系統平臺的安全問題。操作系統作為計算機系統的基礎軟件用來管理計算機資源的,它直接利用計算機硬件為用戶提供使用和編程接口。各種應用軟件均建立在操作系統提供的系統軟件平臺之上,上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性,必須依賴于操作系統提供的系統軟件基礎,任何想像中的、脫離操作系統的應用軟件的高安全性就如同幻想在沙灘上建立堅不可摧的堡壘一樣,無根基可言。不難想象,在網絡環境中,網絡系統安全性依賴于網絡中各主機系統的安全性,而主系統的安全性正是由其操作系統的安全性所決定的,沒有安全的操作系統的支持,網絡安全也毫無基礎可言。所以,操作系統安全是計算機網絡系統安全的基礎。
6結束語
網絡安全技術是伴隨著網絡的誕生而出現的。但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統的安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術級別從不同層次加強了計算機網絡的整體安全性。互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。未來網絡安全技術將會涉及計算機網絡的各個層次中,隨著網絡在商業方面的應用日益廣泛,圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
參考文獻
[1]楚狂等.網絡安全與防火墻技術.人民郵出電版社,2000,(4)
[2]黃允聰等.網絡安全基礎.清華大學出版社,2000,(9)
[3]聶元銘等.網絡信息安全技術.科學出版社2001,(7)
[4]黃儉等.計算機網絡安全技術.東南大學出版社,2001,(8)
[5]蔡立軍.計算機網絡安全技術.中國水利水電出版社,2005
收稿日期:7月5日修改日期:7月12日
作者簡介:方倩(1982-),女,本科,研究方向:計算機網絡。2005年8月至今在北京科技職業學院任計算機專業教師。
第五篇:計算機網絡安全淺析
計算機網絡安全淺析
[論文關鍵詞]網絡安全 計算機網絡 信息網絡 黑客 防火墻
[論文摘要]隨著計算機互聯網技術的飛速發展,網絡信息已經成為社會發展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡信息容易受到來自黑客竊取、計算機系統容易受惡意軟件攻擊,因此,網絡信息資源的安全與保密成為一個重要的話題。詳細闡述常見的計算機網絡安全威脅,進而提出幾種常用的網絡安全防范措施.一、引言
計算機網絡是以共享資源(硬件、軟件和數據等)為目的而連接起來的,在協議控制下,由一臺或多臺計算機、若干臺終端設備、數據傳輸設備、以及便于終端和計算機之間或者若干臺計算機之間數據流動的通信控制處理機等組成的系統的集合,這些計算機系統應當具有獨立自治的能力。計算機網絡的最主要功能是向用戶提供資源的共享,而用戶本身無需考慮自己以及所用資源在網絡中的位置。資源共享包括硬件共享、軟件共享和數據共享。隨著網絡技術在全球迅猛發展,網絡信息化在給人們帶來種種的方便同時,我們也正受到日益嚴重的來自網絡的安全威脅。盡管我們廣泛地使用各種復雜的安全技術,如防火墻、數據加密技術、訪問控制技術、通道控制機制,但是,仍然有很多黑客的非法入侵,對社會造成了嚴重的危害。如何解決各種來自網絡上的安全威脅,怎樣才能確保網絡信息的安全性。本文通過對網絡安全存在的威脅進行分析,總結出對威脅網絡安全的幾種典型表現形式,從而歸納出常用的網絡安全的防范措施。
二、計算機網絡安全存在的威脅
由于計算機網絡計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡容易受到來自黑客、惡意軟件和其它種種攻擊。
(一)常見的計算機網絡安全威脅主要有:信息泄露、完整性破壞、拒絕服務、網絡濫用。
信息泄露:信息泄露破壞了系統的保密性,他是指信息被透漏給非授權的實體。常見的,能夠導致信息泄露的威脅有: 網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵犯、物理侵入、病毒、木馬、后門、流氓軟件、網絡釣魚。
完整性破壞:可以通過漏洞利用、物理侵犯、授權侵犯、病毒,木馬,漏洞來等方式實現。
拒絕服務攻擊:對信息或資源可以合法的訪問卻被非法的拒絕或者推遲與時間密切相關的操作。
網絡濫用:合法的用戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
(二)常見的計算機網絡絡安全威脅的表現形式主要有:竊聽、重傳、偽造、篡改、拒絕服務攻擊、行為否認、電子欺騙、非授權訪問、傳播病毒。
竊聽:攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。重傳:攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
篡改:攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
行為否認:通訊實體否認已經發生的行為。
電子欺騙:通過假冒合法用戶的身份來進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.非授權訪問:沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問。傳播病毒:通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范。
三、計算機網絡安全的防護措施
在當今網絡化的世界中,網絡的開放性和共享性在方便了人們使用的同時,也使得網絡很容易遭受到攻擊,而攻擊的后果是嚴重的,諸如數據被人竊取、服務器不能提供服務等等。隨著信息技術的高速發展,網絡安全技術也越來越受到重視,由此推動了物理措施、防火墻、訪問控制、數據加密、病毒的防護等各種網絡安全的防護措施蓬勃發展。
物理措施:比如,保護網絡關鍵設備,制定嚴格的網絡安全規章制度,采取防輻射、防火以及安裝不間斷電源等措施。
防火墻:目前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關,它將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問對專用網絡的非法訪問。
訪問控制:對用戶訪問網絡資源的權限進行嚴格的認證和控制。
數據加密:對網絡中傳輸的數據進行加密,到達目的地后再解密還原為原始數據,目的是防止非法用戶截獲后盜用信息。
病毒的防護:在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近幾年來,都是圍繞網絡安全問題提出了許多解決辦法,例如數據加密技術、防火墻技術安、安全審計技術、安全管理技術、系統漏洞檢測技術等等。
目前市場普遍被采用的網絡安全技術有:主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術。但是,有了安全技術還是遠遠不夠,許多網絡安全事件的發生都與缺乏安全防范意識有關,所以,我們要有網絡安全防范意識并建立起相應的安全機制(比如:加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、信息流填充機制、路由控制機制、公正機制等)就可以使網絡安全得到保障。
四、結束語
在網絡信息化時代,網絡安全已越來越受重視了。雖然現在用于網絡安全防護的產品有很多,但是黑客他們仍然無孔不入,對社會造成了嚴重的危害。根本原因是網絡自身的安全隱患無法根除,這就使得黑客進行入侵有機可乘。盡管如此,隨著網絡安全技術日趨完善,降低黑客入侵的可能性,使網絡信息安全得到保障。如何把握網絡技術給人們帶來方便的同
時,又能使信息安全得到保證,這將是我們培養新一代網絡管理人員的目標。
參考文獻:[1]張民、徐躍進,網絡安全實驗教程,清華大學出版社,2007,6.[2]許治坤、王偉、郭添森、楊冀龍,網絡滲透技術,電子工業出版社,2005-5-11.[3]武新華、翟長森等編著,黑客攻防秘技大曝光,清華大學出版社,2006.
[4](譯)吳世忠、馬芳,網絡信息安全的真相,機械工業出版社,2001-9-1.
點擊咨詢 