第一篇:計算機信息安全論文計算機信息技術論文:醫院信息系統中的數據安全與備份
計算機信息安全論文計算機信息技術論文:
醫院信息系統中的數據安全與備份
摘要:論述了醫院信息系統中的數據安全問題,并著重分析了威脅數據安全的因素,提出數據備份的內容及方法。
關鍵詞:醫院信息系統;網絡安全;數據備份
隨著醫院信息系統數據庫的不斷擴大,各項業務對信息系統的依賴性也越來越強,使得系統保護和數據防災顯得愈發重要。因此,要通過多種技術措施、管理機制和控制手段為系統及數據及時備份,預防數據因錯誤或災難而丟失,保證系統可用性及數據安全性。
1威脅醫院信息系統數據安全的因素
正確分析威脅數據安全的因素,能使系統的安全防護更有針對性。導致系統失效的原因主要有物理故障、軟件設計缺陷、人為操作失誤、計算機病毒、自然災害等。
1.1物理故障
包括系統設備的運行損耗、存儲介質失效、運行環境(溫度、濕度、灰塵等)的影響,電源供給系統故障、人為破壞等。
1.2軟件設計缺陷
軟件本身的設計缺陷會使系統無法正常工作;此外,版本升級、程序補丁等也會對系統造成影響。
1.3人為操作失誤
如由于操作不慎誤刪了系統重要文件,或修改了影響系統運行的參數;沒有按規定要求操作,導致系統失靈等。
1.4計算機病毒
近年來,由于計算機病毒品種繁多、感染性強,經常破壞系統造成重大經濟損失。
1.5自然災害
如雷擊、火災、地震、嚴重的洪澇災害等。2醫院管理系統數據備份的內容及方法
完善的醫院信息系統網絡數據備份應包括硬件物理容錯和軟件級數據備份,且能自動跨越整個系統網絡平臺,主要涉及構造雙機容錯系統、各類數據庫的備份、網絡故障和災難恢復等幾個方面。
2.1計算機中心必須構造醫院信息管理的雙機容錯系統 醫院信息系統中最關鍵的網絡設備是數據庫服務器,為保證系統連續運行,該服務器必須采用雙機熱備份容錯技術,以解決硬件可能出現的故障,從物理上保證軟件運行所需的環境。
2.2應根據醫院實際情況設計數據備份方案
我們認為采用在線復制加冷備份來滿足對系統高可用的需求是一個比較實用的方案。
2.2.1建立數據異地實時同步復制在醫院計算機中心以外的另一座建筑中建立一個機房,配備一臺服務器專用于數據備份用,當業務系統對數據進行任何修改,都會實時同步復制到備份中心服務器。復制產品選用已被大量全球客戶認同的Veritas Storage Replicator(VSR)2.1,針對SQL、Oracle等數據庫管理系統實施一對一的數據復制。VSR每天做全一次復制后,以后做連續的增量復制。
2.2.2建立數據在線和離線備份實時復制是高可用和異地容災手段,并不能消除數據邏輯錯誤和保持歷史數據;此外,還要避免人為誤操作、硬盤損壞、病毒等造成的關鍵數據永久丟失,這就要求在備用機房對包括操作系統文件、數據庫系統文件和用戶文件在內的所有數據做離線備份,儲存到磁帶機等介質當中。通常采用的方式方法有:
●定時自動備份:通過定時的備份操作和磁帶庫的自動更換磁帶功能完成,同時也避免人為誤操作導致的備份數據丟失。
●通過數據庫的代理程序,實現對數據的在線備份。
●通過客戶端的代理程序,將其他平臺(包括所有的駐留操作系統)上的數據拉到備份服務器上,實現跨平臺數據備份。
2.2.3樹立正確的備份觀念很多計算機用戶和管理人員雖然認識到備份的重要性,也具備一定的備份概念,但仍存在一些誤區。比如有用戶認為備份就是簡單地做一份拷貝,這往往達不到實際要求。此外,制定周密的計劃也很重要。有些系統人員不重視備份計劃的設計,缺乏完整規則和策略,使備份效果大打折扣。應注意備份過程可能對一些應用系統造成的影響,要針對系統運行情況安排備份時段,避免與應用程序發生沖突。備份的最終目的是確保數據安全,因此在確定安全備份策略后,還要注意將備份的磁帶在異地或防火箱內;定期清洗磁帶機的磁頭;注意磁帶的使用期限;定期從備份磁帶中恢復一些文件,以了解備份文件狀態等。
總之,備份方案是存儲設備、備份工具、運作方式、恢復摻假方法、操作性、可靠性等方面的綜合考慮。一個完整的備份方案應具備以下特點:保證數據資料完整性,能自動排序設定,實現備份任務的管理,能對不同的存儲介質進行有效管理,支持多種操作系統平臺等。
隨著數字化醫院和計算機網絡的不斷擴大,網絡及數據資源的安全日益重要。認識到數據備份的重要性,規劃一套完整的醫院信息系統數據備份方案并付諸實施,系統數據安全就會得到有效保障。
參考文獻: [1]傅紅.網絡環境下的數據備份探討[J].甘肅科技,2003,19(9):55-76.[2]王玲.企業數據備份和災難恢復[J].信息技術和信息化,2006,(3):64-66.[3]劉慧敏.數據備份策略分析[J].福建電腦,2007,(8):70.[4]國務院信息化工作辦公室.重要信息系統災難恢復指南[Z].2005-04.
第二篇:電力信息系統信息安全信息安全論文計算機論文
電力信息系統信息安全-信息安全論文-計算機論文 ——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
1.我國電力信息系統現狀分析
1.1 電力信息系統缺陷
當前階段在我國電力企業中,通常信息系統不是十分健全和完善,科學性和規范性沒有在電力信息系統管理中得到有效體現,因此在當前互聯網+時代,電力信息系統的信息安全難易進行有效的融合,進而其安全保障相對較為落后。
1.2 缺乏電力信息安全意識
在我國部分電力企業中沒有給予電力信息系統信息安全工作充分的重視,缺乏安全管理,因此現階段企業中缺乏科學的信息安全防護系統。同時缺少對信息安全技術方面的研究,導致這方面技術的應用十分有效,通常很多電力企業只是對于安全信息防護只停留在安裝一定防火墻和殺毒軟件的層面,這對于龐大的電力系統來說是遠遠不夠的,難以實現電力信息系統的安全防護。
1.3 電力信息系統安全威脅眾多
在電力信息系統運行過程中會有多方面的因素來影響其安全性,例如有些惡意代碼能夠對指令進行篡改和偽造,從而實現電力設備的控制,或者控制變電站系統的程序界面等。當前階段很多電力企業沒有充分重視信息安全的發展,雖然科學技術發展了,企業內電力系統中的安全技術防護手段卻沒有更新,導致電力系統的安全運行受到眾多威脅,給電力系統帶來了嚴重的隱患。
1.4 信息安全關鍵技術
要想保證電網的安全穩定運行就必須要落實有效的系統信息安全管理,這是一個涉及范圍廣的復雜工程,其中涉及到繼電保護、配電網自動化、電網調度等多方面領域的生產和管理。但是當前階段我國很多電力企業內缺乏有效的信息安全管理體系,防火墻和殺毒軟件只能起到最基本的防護作用,如果發生重大的信息安全問題,很難做出有效的應對。甚至部分企業中連防火墻和殺毒軟件都十分落后,沒有統一的規劃和設計電力信息系統安全防護。
2.信息安全技術分析
2.1 網絡協議隔離技術
這種技術主要是借助協議分離器來實現內網與外網之間的隔離,而內外網之間的信息交流必須要通過兩個接口的設置來得以實現。因此必須要保證內網和外網之間的斷開才能實現協議隔離技術的應用,如果需要進行一定的信息交流,可以再連接上兩個接口。
2.2 防火墻技
在內外網之間建立一道隔離的屏障從而實現安全防護作用,這就是所謂的防火墻技術。通過這個屏障能夠有效的防止惡意代碼已經病毒的攻擊,防止其侵入系統。防火墻自身具有獨特的檢測技術以及限制功能,因此能夠實現外來數據的檢測功能以及攔截功能。防火墻對于系統的信息安全具有至關重要的作用,能夠有效防護系統的結構安全和網絡信息安全,防止數據泄漏,對外網實現隱藏工作,從而給系統內部的安全穩定運行提供有效保障。
2.3 身份認證技術
身份認證也是眾多安全防護技術中的一個重要部份,它能夠在終端或者是主機中輸入特定用戶信息,在實際操作過程中要對身份信息進行檢測,只有通過檢測后才能進入系統進行操作,通常來說可以通過口令、智能卡、指紋、人臉識別以及密鑰等方式來實現信息認證。這也是電力信息系統運行中重要的保護手段之一,能夠一定程度上保證數據的安全以及電力信息系統的安全可靠。
3.保證電力系統信息安全的主要措施
3.1 完善電力信息安全體系
對國內外信息安全技術的發展狀況以及應用現狀進行比較和分析是保證電力系統信息安全的出發點所在,要時刻緊跟世界安全技術的發展以及應用才能應對眾多的安全威脅。當前階段要充分結合我國的國情以及電力企業信息安全技術的發展狀況,對電力信息系統的安全體系框架和結構進行初步的構建,當安全體系在電力企業中進行實際的應用后,要根據其效果進行實時的調整和更新,對內容進行補充和完善,從而充分發揮電力系統信息安全建設的指導作用。
3.2 信息安全監測中心的建立
在信息安全監測系統中,主要是通過模擬黑客等威脅的攻擊,從而完成信息系統的相關測試,通過測試來對系統的弱點進行分析和研究,并且根據實際的威脅程度來對安全漏洞進行列表。結合列表中的相關內容來第一時間解決系統漏洞問題,同時對系統配置進行一定的整改和完善。通過信息安全監測系統的建立,能夠對時段性敏感的數據流進行及時的攔截,防護系統安全,一旦發現網絡中出現違規的模式,或者出現網絡訪問受限的情況,會根據事先的設定,采取設定好的措施來對突發情況加以應對。除此之外,網絡層也會有一定危險因素的存在,對此可以通過網絡掃面器來進行網絡層各種設備的掃描,如果發現有安全漏洞的存在,第一時間采取有效的措施來加以處理。例如系統掃描器和數據庫掃面器是主要的兩種設備。系統掃描器實際上是一種評估系統,能夠對系統的安全進行有效評估,掃描器主要部分是主機,掃描器依附在主機上實現安全漏洞的掃描功能,這種系統掃描器的優勢在于能夠有效的發現安全漏洞,并且及時采取相應的措施加以有效處理。通過系統掃描器能夠一定程度上防止系統中相應數據的盜用,避免誤操作現象以及惡意破壞問題,能夠有效的防護電力信息系統信息安全。數據庫掃描器中安全檢測技術能夠有效的保護服務器安全。通過相應的測試能夠得出檢測報告程序,用戶可以對漏洞情況了如指掌,并且對于不同的漏洞采取相應的措施進行修補。
3.3 在系統中建立病毒防范體系
我們知道計算機病毒的威脅非常大,通常有著自我復制能力高、傳染速度快以及隱藏能力強等特點,往往在我們還沒有注意到的情況下就已經對系統造成了嚴重的破壞,給計算機以及相關數據帶來嚴重
威脅。當前階段病毒多種多樣,一些病毒以網絡為傳播媒介從而對企業用戶或者是個人用戶計算機進行入侵,導致系統在無防備情況下遭受病毒攻擊。隨著現階段科學技術的進一步發展,網絡規模也有所擴大,并且越來越多的重要信息都會在網絡中出現,因此一旦發生病毒入侵的現象則不但會造成嚴重的經濟損失,同時對電力信息系統的安全也會造成重大的不利影響。近些年來網絡即時的發展導致網絡技術覆蓋了更加廣泛的電力系統,涉及到電力企業的眾多工作環節,有時在用戶進行數據交換過程中難免會遭遇到病毒的入侵,并且現階段電力企業也不斷朝著市場化的方向逐步發展,這也在一定程度上增加了電力系統與外界信息交流的機會,例如在于其他企業進行業務溝通時,有時采用電子郵件的方式來進行,在這過程中給病毒的入侵提供了機會,并且還有可能在企業內部網絡中進行復制和傳播,危害不堪設想。因此電力信息系統中每一個安全防護環節都不能掉以輕心,從而為系統的安全提供充分保障,防止病毒的威脅。
4.結語
總的來說,電力信息系統中安全防護工作一直是電力企業所面臨的重要問題之一,怎樣落實系統信息安全性防護工作時電力企業領導部門所需要重點解決的難題,完善系統的安全保障對于電力系統的長期穩定安全運行具有至關重要的作用,同時還要注重與時俱進,時刻緊跟當前時代市場的發展,不能故步自封,要及時的更新和優化系統的安全防護技術,為電力企業的發展創造堅實的后盾。
——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第三篇:信息安全保障體系信息安全論文計算機論文
信息安全保障體系-信息安全論文-計算機論文 ——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
【摘要】隨著社會的現代化發展,促進了信息技術的提高。在 管理中,傳統的 管理模式存在著較多的問題,受各種安全隱患的影響,給 信息資料的保存帶來了一定的安全威脅。
具有憑證的價值,是信息傳遞的重要途徑,影響著我國的可持續發展。在疾控中心,的管理具有一定的特殊性,具有專業性、機密性、政策性等特點。本文敘述了疾控中心 信息安全保障體系建設的重要性,還闡述了構建 信息安全保障體系的措施。
【關鍵詞】疾控中心; 信息;安全保障體系
1.疾控中心 信息安全保障體系建設的重要性
在我國,疾控預防控制中心的發展歷史悠久,而疾控中心的前身是防疫站,在防疫站時期,我國的信息化建設還未得到良好的發展,那個時期主要以紙質 為主,從而增加了 管理的難度。隨著國家信息化建設的推進,近年來,我國疾控中心的工作量不斷的加大,管理難度越來越大,國家對公共衛生事業十分的重視,對疾控中心的 安全管理工作提出了明確的要求。在這種艱難的環境下,疾控中心若想實現信息化的穩步發展,需要結合時代的特點,加強 管理的信息化建設,并著力構建 信息安全保障體系,以確保疾控中心的可持續發展。上文提到,疾控中心的 管理具有機密性的特點,信息一旦被泄露,不僅是疾控中心的損失,還會對國家造成危害,其影響極其惡劣,因此,在疾控中心建設中,加強 信息安全保障體系的構建是十分重要的。
2.影響疾控中心 信息安全的因素
在疾控中心內,信息的內容十分復雜,其中包含了:疫情信息、科研、傳染病 資料、突發性流行病資料、公共衛生信息、艾滋病信息等方面,所涉及的信息內容具有特殊性和機密性。在國家的現代化建設中,保障 信息的安全是疾控中心的重要工作內容。在疾控中心 信息安全管理中,信息的安全仍然會受到多個方面因素的影響,例如:網絡安全,隨著我國的信息化,促進了 管理的信息化發展,電子 成為了 信息的重要組成部分,受網絡安全問題的影響,電子 可能會受到病毒、黑客等不良因素攻擊,造成 丟失或外泄,引發 管理安全問題;系統軟件安全,在管理電子 的過程中,若發生硬件故障等問題,則可能造成信息的丟失;人員安全問題,工作人員責任意識和安全意識不高,在管理中存在監守自盜的行為,引發信息安全問題。
3.構建 信息安全保障體系的措施
為了確保疾控中心 信息的安全,加強安全保障體系的建設是重要的安全保障措施,建設安全保障體系的措施主要有以下幾點:
3.1 完善安全管理制度保障體系
完善的制度管理是規范工作人員行為的重要措施,工作人員是 信息管理中重要的組成部分,承擔著重要的安全責任。在安全保障體系的建設中,完善安全管理制度,可以提高工作人員的責任意識和安全意識,有利于工作人員將 信息的安全管理工作落到實處,從而降低安全問題的發生率,提升我國疾控中心 信息管理的安全性。結合我國對 信息管理的相關要求和規范,例如:《 信息系統安全等級保護定級工作指南》,根據疾控中心的實際情況,制定出合理的、科學的安全管理制度。在建設之前,工作人員需要對 信息進行合理的統籌規劃,加強 信息的數字化建設,結合各個工作環節的要求和功能,制定完善的安全管理制度。
3.2 重視工作人員的安全教育
在疾控中心內,管理人員承擔著重要的責任,是 信息安全管理的中心,是實際的運行者和操作者,亦是安全保障體系建設的核心。疾控中心應該加強管理人員安全意識培訓,可以在中心內,定期開展有關安全知識講解的培訓會,鼓勵并組織管理人員積極的參與培訓,并加強對管理人員的考核,以提高管理人員對安全知識學習的重視程度。另外,給予管理人員更多有關專業技能和素養的培訓機會,提高管理人員的整體素質,提升管理人員的業務能力,有利于提高管理人員 信息安全管理的水平。
3.3 完善安全技術保障體系
提高安全技術是維護疾控中心 信息安全管理的重要途徑,隨著我國 信息管理的信息化發展,信息系統的安全管理需要安全技術的大力支持,以降低發生安全問題的概率。結合疾控中心的實際發展情況,加強系統安全技術、技術創新、數據安全技術、物理安全技術等方面的研究,以強化 信息的數據備份和恢復、數據庫防火墻、數據加密、信息的安全儲存、云數據的安全處理等方面,從而降低文件信息被篡改或泄露、病毒攻擊、硬件故障等方面的發生率,保障 信息管理的安全。
結語
綜上所述,在新時代的背景下,我國 信息管理正面臨著巨大的挑戰,在信息化建設中,信息管理不僅需要加強 信息化建設,還需要重視 信息的安全管理,重視安全保障體系的構建。通過完善安全管理制度保障體系、重視工作人員的安全教育、完善安全技術保障體系等方面,提高疾控中心 信息安全管理的水平,降低安全問題的發生率,有利于促進疾控中心 管理的可持續發展。
參考文獻:
[1]駱念.疾控中心 信息化建設與管理初探[J].職業衛生與病傷.2016.31(2):127-128
——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第四篇:計算機安全論文
XXXXX學院 成人高等教育
畢
業
論
文
論文題目: 計算機網絡安全技術研究
姓
名
XXXXXX 院(系):
XXXXXX院
專業班級
(113474016)計算機科學與技術 學
號
2XXXXXX 指導教師
XXXX
XXXXX院繼續教育學院制
學生承諾書
本人承諾在畢業論文(設計)活動中遵守學校有關規定、恪守學術規范,在本人畢業論文(設計)內容除特別注明和引用外,均為本人觀點,不存在剽竊、抄襲他人的學術觀點、思想和成果,不存在偽造、篡改實驗數據。如有違規行為發生,我愿承擔一切責任,接受學校的處理,并承擔相應的法律責任。
承諾人(簽名):
摘 要
21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。隨著計算機互聯網技術的飛速發展,網絡信息已經成為社會發展的重要組成部分。它涉及到政府、經濟、文化、軍事等諸多領域。由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征,致使網絡信息容易受到來自黑客竊取、計算機系統容易受惡意軟件攻擊,因此,網絡信息資源的安全及管理維護成為當今信息話時代的一個重要話題。
文中首先論述了信息網絡安全內涵發生的根本變化,闡述了我國發展民族信息安全體系的重要性及建立有中國特色的網絡安全體系的必要性,以及網絡面臨的安全性威脅(黑客入侵)及管理維護(防火墻安全技術)。進一步闡述了網絡拓撲結構的安全設計,包括對網絡拓撲結構的分析和對網絡安全的淺析。然后具體講述了網絡防火墻安全技術的分類及其主要技術特征,防火墻部署原則,并從防火墻部署的位置詳細闡述了防火墻的選擇標準。同時就信息交換加密技術的分類及RSA算法做了簡要的分析,論述了其安全體系的構成。
關鍵詞:信息安全 網絡 防火墻 數據加密
目 錄
摘要...................................................................3 目錄...................................................................4 第一章 引言
1.1 概述..............................................................6 1.2 網絡安全技術的研究目的 意義和背景................................6 1.3 計算機網絡安全的含義..............................................7 第二章 網絡安全初步分析
2.1 網絡安全的必要性..................................................8 2.2 網絡的安全管理....................................................8 2.2.1安全管理原則...................................................8 2.2.2安全管理的實現...................................................8 2.3 采用先進的技術和產品
2.3.1 防火墻技術.....................................................9 2.3.2 數據加密技術...................................................10 2.3.3 認證技術.......................................................10 2.3.4 計算機病毒的防范...............................................10 2.4 常見的網絡攻擊及防范對策.......................................11 2.4.1 特洛伊木馬.....................................................11 2.4.2 郵件炸彈.......................................................11 2.4.3 過載攻擊........................................................12
2.4.4 淹沒攻擊.......................................................12 第三章
網絡攻擊分析................................................13 第四章
網絡安全技術................................................15 4.1 防火墻的定義和選擇...............................................15 4.2 加密技術.........................................................16 4.2.1 對稱加密技術...................................................16 4.2.2 非對稱加密/公開密鑰加密........................................16 4.2.3 RSA算法.......................................................16
4.3注冊與認證管理..................................................17 4.3.1 認證機構....................................................17 4.3.2 注冊機構....................................................18 4.3.3 密鑰備份和恢復..............................................18 4.3.4 證書管理與撤銷系統...........................................18
第五章 安全技術的研究
5.1 安全技術的研究現狀和方向....................................19 5.2 包過濾型....................................................19 5.3 代理型......................................................19
結束語.............................................................21 參 考 文 獻
第一章 引言
1.1 概述
我們知道, 21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。要實現信息化就必須依靠完善的網絡,因為網絡可以非常迅速的傳遞信息。因此網絡現在已成為信息社會的命脈和發展知識經濟的基礎。
隨著計算機網絡的發展,網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時,大量在網絡中存儲和傳輸的數據就需要保護。當人類步入21世紀這一信息社會、網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國特色的網絡安全體系。
一個國家的安全體系實際上包括國家的法律和政策,以及技術與市場的發展平臺。我國在構建信息信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展名族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾個特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷的變化;第三,隨著網絡在社會各個方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合開發。安全與反安全就像矛盾的兩個方面,總是不斷的向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題,對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來數字化、網絡化、信息化的發展將起到非常重要的作用。
1.2 網絡安全技術的研究目的、意義和背景
目前計算機網絡面臨著很大的威脅,其構成的因素是多方面的。這種威脅將不斷給
社會帶來巨大的損失。網絡安全已被信息社會的各個領域所重視。
隨著計算機絡的不斷發展,全球信息化已成為人類發展的大趨勢;給政府機構、企事業單位帶來了革命性的改革。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統、銀行和政府等傳輸銘感數據的計算機網絡系統而言,其網上信息的安全性和保密性尤為重要。因此,上述的網絡必須要有足夠強的安全措施,否則該網絡將是個無用、甚至會危機國家安全的網絡。無論是在局域網中還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅和網絡的脆弱性,故此,網絡的安全措施應是能全方位的針對各種不同的威脅和網絡的脆弱性,這樣才能確保網絡信息的保密性、完整性、和可行。為了確保信息安的安全與暢通,研究計算機網絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網絡安全的管理及技術措施。
認真分析網絡面臨的威脅,我認為計算機網絡系統的安全防范工作是一個極為復雜的系統工程,是一個安全管理和技術防范相結合的工程。在目前法律法規尚不完善的情況下,首先是各計算機網絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執行各項安全制度,在此基礎上,再采用現金的技術和產品,構造全防衛的防御機制,使系統在理想的狀態下運行。
1.3 計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者的不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的災害,軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件極其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
第二章 網絡安全初步分析
2.1 網絡安全的必要性
隨著計算機技術的不斷發展,計算機網絡已經成為信息時代的重要特征。人們稱它為信息高速公路。網絡是計算機技術和通信技術的產物,適應社會對信息共享和信息傳遞的要求發展起來的,各國都在建設自己的信息高速公路。我國近年來計算機網絡發展的速度也很快,在國防、電信、銀行、廣播等方面都有廣泛的應用。我相信在不長的時間里,計算機網絡一定會得到極大的發展,那時將全面進入信息時代。正因為網絡應用的如此廣泛,又在生活中扮演很重要的角色,所以其安全性是不容忽視的。
2.2 網絡的安全管理
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡安全的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題。
2.2.1安全管理原則
網絡信息系統的安全管理主要基于3個原則:
多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作以得到保障。與安全有關的活動有:訪問控制使用證件的發放與回收,信息處理系統使用的媒介發放與回收,處理保密信息,硬件與軟件的維護,系統軟件的設計、實現和修改,重要數據的刪除和銷毀等。
任期有限原則
一般來講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期的循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。職責分離原則
除非經系統主管領導批準,在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情。出于對安全的考慮,下面每組內的兩項信息處理工作應當分開:計算機操作與計算機編程、機密資料的接收與傳送、安全管理與系統管理、應用程序和系統程序的編制、訪問證件的管理與其他工作、計算機操作與信息處理系統使用媒介的保管等。
2.2.2 安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應的規范。具體工作是:
根據工作的重要程度,確定該系統的安全等級。
根據確定的安全等級,確定安全管理范圍。
制定相應的機房出入管理制度,對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別系統,采用此卡、身份卡等手段,對人員進行識別,登記管理。
2.3 采用先進的技術和產品
要保證計算機網絡安全的安全性,還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。
2.3.1 防火墻技術
為保證網絡安全,防止外部網對內部網的非法入侵,在被保護的網絡和外部公共網絡之間設置一道屏障這就稱為防火墻。它是一個或一組系統,該系統可以設定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。它可以監測、限制、更改跨越防火墻的數據流,確認其來源及去處,檢查數據的格式及內容,并依照用戶的規則傳送或阻止數據。其主要有:應用層網關、數據包過濾、代理服務器等幾大類型。
2.3.2 數據加密技術
與防火墻配合使用的安全技術還有數據加密技術,是為了提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要技術手段之一。隨著信息技術的發展,網絡安全與信息保密日益引起人們的關注。目前各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟件和硬件兩方面采取措施,推動著數據加密技術和物理防范技術的不斷發展。按作用的不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
2.3.3 認證技術
認證技術是防止主動攻擊的重要手段,它對于開放環境中的各種信息的安全有重要作用。認證是指驗證一個最終用戶或設備的身份過程,即認證建立信息的發送者或接受者的身份。認證的主要目的有兩個:第一,驗證信息的發送者是真正的,而不是冒充的,這稱為信號源識別;第二,驗證信息的完整性,保證信息在傳送過程中未被篡改或延遲等。目前使用的認證技術主要有:消息認證、身份認證、數字簽名。
2.3.4 計算機病毒的防范
首先要加強工作人員防病毒的意識,其次是安裝好的殺毒軟件。合格的防病毒軟件應該具備以下條件:
① 較強的查毒、殺毒能力。在當前全球計算機網絡上流行的計算機病毒有4萬多種,在各種操作系統中包括Windows、UNIX 和 Netware 系統都有大量能夠造成危害的計算機病毒,這就要求安裝的防病毒軟件能夠查殺多種系統環境下的病毒,具有查殺、殺毒范圍廣、能力強的特點。
② 完善的升級服務。與其他軟件相比,防病毒軟件更需要不斷的更新升級,以查殺層出不窮的計算機病毒。
2.4 常見的網絡攻擊和防范對策
2.4.1 特洛伊木馬
特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執行時,表面上是執行正常的程序,而實際上是在執行用戶不希望的程序。特洛伊木馬的程序包括兩部分,即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力,在網絡中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的過程中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網絡攻擊者可以讀寫未經授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時,對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
2.4.2 郵件炸彈
郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同以地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬,占據郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,妨礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復消息,也可以使自己的SMTP連接只能
達成指定的服務器,從而免受外界郵件的侵襲。
2.4.3 過載攻擊
過載攻擊是攻擊者通過服務器長時間發出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態,從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進程攻擊,它是通過大量地進行人為的增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數;殺死一些耗時的進程。然而,不幸的是這兩種方法都存在著一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統的響應,從而出現類似拒絕服務的現象。通常,管理員可以使用網絡監視工具來發現這種攻擊,通過主機列表和網絡地址列表來的所在,也可以登錄防火墻或路由器來發現攻擊究竟是來自于網絡內部還是網絡外部。另外,還可以讓系統自動檢查是否過載或者重新啟動系統。
2.4.4 淹沒攻擊
正常情況下,TCP連接建立要經過3次握手的過程,即客戶機向客戶機發送SYN請求信號;目標主機收到請求信號后向客戶機發送SYN/ACK消息;客戶機收到SYN/ACK消息后再向主機發送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發出SYN請求信號,當被攻擊主機收到SYN請求信號后,它向這臺不存在IP地址的偽裝主機發出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發送RST,因此,造成被攻擊的主機一直處于等待狀態,直至超時。如果攻擊者不斷的向被攻擊的主機發送SYN請求,被攻擊主機就一直處于等待狀態,從而無法響應其他用戶請求。
對付淹沒攻擊的最好方法就是實時監控系統處于SYN-RECEIVED狀態的連接數,當連接數超過某一給定的數值時,實時關閉這些連接。
第三章 網絡攻擊分析
攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網絡上成功實施的攻擊級別以來于擁護采取的安全措施。
在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊:Does是Denial of Service的簡稱,即拒絕服務,造成Does的攻擊行為被稱為Does攻擊,其目的是使計算機或網絡無法提供正常的服務。最常見的Does攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。而分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊是借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。而且現在沒有有限的方法來避免這樣的攻擊。
因為此攻擊基于TCP/IP 協議的漏洞,要想避免除非不使用此協議,顯然這是很難做到的那我們要如何放置呢?
1.確保所有服務器采用最新系統,并打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 運行什么? 誰在使用主機? 哪些人可以訪問主機? 不然,即使黑客侵犯了系統,也很難查明。
3.確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS.等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的權限,并能訪問其他系統—甚至是受防火墻保護的系統。
4.確保運行在 Unix上的所有服務都有TCP封裝程序,限制對主機的訪問權。5.禁止內部網通過Modem連接至PSTN 系統。否則,黑客能通過電話線發現未受保
護的主機,即刻就能訪問極為機密的數據。
6.禁止使用網絡訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳遞口令,而Telnet和 Rlogin 則正好相反,黑客能搜尋到這些口令,從而立即訪問網絡上的重要服務器。此外,在Unix上應該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網絡文件共享。這會使黑客有機會截獲系統文件,并以特洛伊木馬替換他,文件傳輸功能無異將陷入癱瘓。
8.確保手頭上有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備,還應該包括網絡邊界、非軍事區(DMZ)及網絡的內部保密部分。
9.在防火墻上運行端口映射程序或端口掃描程序。大多數時間是由于防火墻配置不當造成的,使DoS/ DDoS攻擊成功率很高,所以一定要認真檢查特權端口和非特權端口。
10.檢查所有網絡設備和主機/服務器系統的日志。只要日志出現紕漏或時間出現變更,幾乎可以坑定:相關的主機安全收到了威脅。
第四章 網絡安全技術
4.1 防火墻的定義和選擇
4.1.1防火墻的定義
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。
目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸。但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客入侵等方向發展。
4.1.2 防火墻的選擇
總擁有成本防火墻產品作為網絡系統的安全屏障,其總擁有成本(TCO)不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例,假如其系統中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關鍵部門來說,其所造成的負面影響和連帶損失也不應該考慮在內。如果僅作粗略估算,非關鍵部門的防火墻購置成本不應該超過網絡系統的建設總成本,關鍵部門則應另當別論選擇防火墻的標準有很多,但最重要的是以下兩條:
(1)防火墻本身是安全的
作為信息系統安全產品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。
如果像瑪奇諾防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統內部,網絡系統也就沒有任何安全性可言了。
通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,其二是使用不當。一般來說,防火墻的許多配置需要系統管理員手工修改,如果系統管理員對防火墻十分不熟悉,就有可能在配置過程中遺留大量的安全漏洞。
(2)可擴充性
在網絡系統建設的初期,由于內部信息系統的規模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產品。但隨著網絡的擴容和網絡應用的增加,網絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統,而隨著要求的提供,用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產品的廠商來說,也擴大產品的覆蓋面。
4.2 加密技術
信息交換加密技術分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術
在對稱加密技術中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏,那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足,如果交換一方有N個交換對象,那么他就要維護N個私有密鑰,對稱加密存在的另一個問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES(數據加密標準)的一種變形,這種方法使用兩個獨立的56位密鑰對信息進行3次加密,從而使有效密鑰長度達到112位。
4.2.2 非對稱加密技術
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛分布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數學難題之上,是計算機復雜性理論發展的必然結果。最具有代表性是RSA公鑰密碼體制。
4.2.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數的困難性。在RSA體制中使用了這樣一個基本事實:到目前為止,無法找到一個有效的算法來分散兩大素數之積。RSA算法的描述如下:
公開密鑰: n=pq(p、q 分別為兩個互異的大素數,p、q 必須保密)e與(p-1)(q-1)互素
私有密鑰:d=e-1 {mod(p-1)(q-1)} 加密:c=me(mod n),其中 m 為明文,c為密文。解密:m=cd(mod n)利用目前已經掌握的只是和理論,分解2048bit的大整數已經超過了64位計算機的運算能力,因此在目前和預見的將來,它是足夠安全的。
4.3 注冊與認證管理
4.3.1 認證機構
CA(Certification Authorty)就是這樣一個確保信任度的權威實體,它的主要職責是頻發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明一證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的,這不僅與密碼學有關系,而且還與整個PKI系統的構架和模型有關。
4.3.2 注冊機構
RA(Registration Authority)是用戶和CA的借口,它所獲得的用戶標識的準確性是CA發給證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。
4.3.3 密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。
4.3.4 證書管理與撤銷系統
證書是用來證明證書持有者身份的電子介質,它是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況這就需要進行證書撤銷,證書撤銷的理由是各種各樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統實現是利用周期性的發布機制撤銷證書或采用在線查詢機制,隨時查詢被撤銷的證書。
第五章 安全技術的研究
5.1 安全技術的研究現狀和方向
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。根據防火墻所采用的技術不同,將它分為4個基本類型:包過濾型、網絡地址轉換-NAT、代理型和監測型。
5.2 包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會含一些特定信息,防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一單發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。
但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入。
5.3 代理型
代理型的安全性能要高過包過濾型,并已經開始向應用層發展。代理服務器位于客戶
機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。
代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
結束語
互聯網現在已經成為了人們不可缺少的通信工具,其發展速度也快的驚人,以此而來的攻擊破壞層出不窮,為了有效的防止入侵把損失降到最低,我們必須適合注意安全問題,使用盡量多而可靠的安全工具經常維護,讓我們的網絡體系完善可靠。在英特網為我們提供了大量的機會和便利的同時,也在安全性方面給我們帶來了巨大的挑戰,我們不能因為害怕挑戰而拒絕它,否則就會得不償失,信心安全是當今社會乃至整個國家發展所面臨的一個只管重要的問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要的組成部分,甚至應該看到它對我國未來電子化、信息化的發展講起到非常重要的作用。網絡安全是一項動態的、整體的系統工程,我們應該結合現在網絡發展的特點,制定妥善的網絡安全策略,將英特網的不安全性降至到現有條件下的最低點,讓它為我們的工作和現代化建設做出更好的服務。
參 考 文 獻
[1] 謝希仁.計算機網絡 電子工業出版社
[2]湯小丹、梁紅兵.計算機操作系統 西安電子科技大學出版社 [3] 李偉.網絡安全實用技術標準教程 清華大學出版社 [4] Andrew S.Tanenbaum.計算機網絡 清華大學出版社
第五篇:計算機安全論文
論計算機安全
-----淺談計算機網絡安全的防護
姓名
班級
學號
摘要:
隨著社會的不斷發展,整個社會對網絡的依賴越來越大,隨之而來的網絡安全問題也益發凸顯。如何采取行之有效的策略確保計算機網絡安全顯得尤為重要。本文計算機網絡存在的一些安全問題,并提出了相應的防護措施。
關鍵詞:
網絡安全;安全防護 ;安全策略
正文:
本學期,有幸選修了計算機安全這門拓展課。經過一學期的學習,我膚淺的談談計算機網絡的安全防護。
現代社會,隨著互連網的飛速發展,網絡技術全面地影響和改造著人們的生活,上網已經成為人們工作和生活不可缺少的一部分,其作用遠遠超出了人們的想象,網絡已經深入到社會生活的各個方面。一旦計算機網絡受到攻擊而不能正常工作,甚至癱瘓,整個社會就會陷入危機。如何更有效地保護重要信息數據,提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題
一、計算機網絡安全的概念
國際標準化組織將計算機安全定義為:為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
二、計算機網絡存在的安全問題
現階段計算機網絡安全存在的主要問題有以下幾個方面:
(一)計算機病毒、惡意程序泛濫。
計算機病毒是人為編制的具有某種破壞作用的程序,并有隱蔽性、傳播性和破壞性等特征。計算機病毒及惡意程序這些特征,都對網絡安全構成了很大的威脅,使得網絡工作者們對它們聞之色變。
(二)網絡安全觀念薄弱
目前,我國的計算機網絡用戶越來越多,網絡的用途越來越廣,但對網絡安全缺乏觀念,隨意下載使用來歷不明的軟件,在不知情的情況下使電腦受到病毒的侵入,計算機出現故障便不知所去,維修電腦是他們的唯一選擇,所以網絡安全的觀念必須加強。
(三)病毒防護方式單一。
目前,計算機網絡安全的防護一般選擇“防火墻”這一基本技術防范惡意程序的侵入,缺少對隱藏性強的病毒的特殊防范措施。
三、影響網絡的安全因素
(一)黑客攻擊。
隨著互聯網的飛速發展,網絡的安全性不斷受到挑戰。黑客的技術也越來越高明,目前對于一些技術好的黑客來說,要闖入大部分人的電腦實在是太容易了。也就是說,只要你上網,就免不了遇到黑客的來訪。所以說我們必須知已知彼,才能在在保護網絡安全中占據主動。
(二)軟件漏洞。
網絡軟件的漏洞有兩大類:一類是蓄意制造的漏洞,設計者用于竊取別人信息等專門設計的漏洞,另一類是無意產生的漏洞,設計者為了方便,設計了便捷的入口,不設密碼,這樣一旦泄漏,將可能導致系統受到破壞。
(三)計算機病毒。
20世紀90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統中進行擴散。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
(四)垃圾郵件和間諜軟件。
一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。
(五)計算機犯罪。
計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。
(六)環境影響。
計算機網絡時常受到自然環境以及社會環境的影響。如火災、水災、風暴、雷電、磁場、網絡設備人為的破壞等會對網絡造成損害和影響。
(七)人為安全因素。
工作人員的操作失誤使系統出錯,使用安全配置不當會造成網絡安全漏洞,用戶安全意識不強,對用戶口令不夠謹慎,計算機的文件等重要信息隨意與別人共享都會對網絡安全帶來威脅。
四、計算機網絡的安全策略
計算機網絡安全從技術上來說,主要由防火墻、防病毒、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、訪問控制、防御病毒技術等。以下就此幾項技術分別進行分析。
(一)采用存取權限控制。
因互聯網具有開放性這一特性,系統可能受到各種惡意程序的侵入和攻擊,這就要求我們應該設置一定權限:1.設定哪些用戶可以訪問哪些網絡資源。2.設定訪問系統的用戶各自具備的操作權限等,這樣能夠有效的防止非法用戶侵入網絡系統或合法用戶對系統資源的非
(二)防火墻技術。
防火墻,是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指位于計算機和它所連接的網絡之間的硬件或軟件,也可以位于兩個或多個網絡之間,比如局域網和互聯網之間,網絡之間的所有數據流都經過防火墻。通過防火墻可以對網絡之間的通訊進行掃描,關閉不安全的端口,阻止外來的DoS攻擊,封鎖特洛伊木馬等,以保證網絡和計算機的安全。一般的防火墻都可以達到以下目的:一是可以限制他人進入內部網絡,過濾掉不安全服務和非法用戶;二是防止入侵者接近你的防御設施;三是限定用戶訪問特殊站點;四是為監視Internet安全,提供方便。
(三)有效防范黑客攻擊。
要經常對計算機系統進行檢測,發現漏洞及時對漏洞進行修補,是對黑客利用漏洞攻擊的最有效措施。同時,要大力發展我國自己的網絡安全產品,防范黑客的攻擊。當前,由于技術水平的限制,我國使用的網絡安全產品主要依賴于國處的產品,而國外的廠商生產的過程中有所保留,對其網絡產品留有不同程度的“后門密碼”,使得我國的網絡安全很難得到根本保證。
(四)加強備份管理。
備份可以有效的防止系統出現災難性的崩盤,網絡服務器的管理人員應經常備份。由于傳統的備份只能防止人為故障,而且這種備份來恢復系統耗時特別長,不少網絡管理人員開始使用網絡備份的方式,同時要注意的是,備份需要不間斷的進行經常進行,并且要單獨存放,以免由于人為或自然原因導致備份的數據丟失。
(五)防御病毒技術。
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC機上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其他資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。病毒的侵入必將對系統資源構成威脅,因此用戶要做到“先防后除”。很多病毒是通過傳輸介質傳播的,因此用戶一定要注意病毒的介質傳播。在日常使用計算機的過程中,應該養成定期查殺病毒的習慣。用戶要安裝正版的殺毒軟件和防火墻,并隨時升級為最新版本。還要及時更新windows操作系統的安裝補丁,做到不登錄不明網站等等。
(六)對網絡實施信息加密。
信息加密技術通常是采用數學或物理的方法,對電子信息在輸入和輸出進行保護,以防止信息泄漏的技術。現在信息加密技術主要有:保密通信,計算機密鑰,防復制軟盤等,一般情況下,保證信息機密性的最好的方法便是信息加密。
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型:私匙加密和公匙加密
1、私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建加密一條有效的消息。這種加密方法的優點是速度很快,很容易在硬件和軟件中實現。
2、公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的(七)因地制宜。
制定安全策略為了有效防范來自網絡外部或內部可能的非法攻擊,應根據各單位網絡的實際情況,對系統做出網絡安全等級評估,制定相應的安全策略,構造相應的安全防范體系。如建立自己的防火墻,在內部安裝黑客入侵檢測與報警系統,對一些非法入侵活動及時發出警報。使用網絡漏洞掃描軟件,經常查找系統可能存在的漏洞,并及時對其進行修補。對重要業務系統和數據文件設置定期更新,對重要業務數據采取必要的加密措施,安裝網絡防病毒軟件,統一配置防病策略,統一升級病毒代碼,對重要數據采取備份措施等。
有上面所述,不難看出,計算機網絡安全不光是安全技術方面的問題,同時也是一個網絡管理的問題。現階段,任何網絡安全的技術都無法保證網絡的絕對安全。這就使得,人們更加關注網絡安全技術與信息保密的發展。目前,世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。我們應該不斷創新,發展新的加密技術,加強對計算機信息保密工作制度化和科學化的管理,以保證計算機網絡的信息安全與保密,使人們有一個安全的網絡環境。
參考文獻:
[ 1 ] 張琳,黃仙姣.淺談網絡安全技術[J].電腦知識與技術,2006,(11).[ 2 ]李湘江.網絡安全技術與管理[j].現代圖書館技術,2002,2
[ 3 ]肖軍模,劉軍,周海剛.網絡信息安全[m].北京:機械工業出版社,2006
[ 4 ]徐超漢.計算機網絡安全與數據完整性技術[M ].北京:電子工業出版社,2005.
點擊咨詢 