第一篇:計算機網絡安全管理
1、雙機雙網的優缺點?優點:(1)、內、外網絡分別使用專用的通線線路和網絡設備,兩
套網絡之間實現了徹底的物理隔離,系統安全性高。(2)、只要在制度和應用中能保證用戶執行專網的規定,不隨意改變計算機的歸屬,就可以實現真正的物理隔離。缺點:
(1)、兩套網絡需要單獨組建和管理,建設和使用成本高。(2)、接入網絡的計算機等設備的利用率低。(3)、內、外網之間無法實現數據共享,且兩套系統之間無法實現實時的數據同步更新。
2、一機雙網的優缺點?優點:(1)、每個用戶只需要配置一臺計算機,節約了成本。(2)、任何時刻只有一塊硬盤和對應的網絡連接被啟動,而另一塊硬盤和對應的網絡連接被切斷,實現了以硬盤訪問位對象的物理隔離。(3)、系統安全性雖然比“雙機網絡”方案差,但能夠滿足對內網數據安全性不是很高的用戶需求。缺點:(1)、需要組建兩套獨立的網絡系統,造成資源的浪費和管理成本的增大。(2)、當在內、外之間切換時需要重啟計算機,給用戶帶來不便。(3)、物理隔離卡上具有多個網絡接口,分別接到內被網絡和外部網絡,物理隔離卡用于實現內外網絡物理隔離。這種方法占用了計算機很多硬件資源,成本也很高。(4)、物理隔離卡的安全性決定著整個系統的安全。
3、計算機病毒的特征:(1)、非權限可執行性。(2)、隱蔽性。(3)、傳染性。(4)、潛伏性
(5)、破壞性(6)、可觸發性(7)、針對性(8)與黑客技術的結合性。
4、計算機病毒的分類:(1)、文件傳染性病毒(2)、引導扇區病毒(3)、主引導記錄病毒
(4)、復合型病毒(5)、宏病毒
5、計算機病毒檢測的實現過程:(1)、從感染源中提取病毒樣本(2)、從病毒樣本中提取
病毒的特征碼(3)、將特征碼導入病毒數據庫(4)、查毒操作
6、防火墻的基本功能:(1)、監控并限制訪問(2)、控制協議和服務(3)、保護內部網絡
(4)網絡地址轉換(5)、虛擬專用網(6)、日志記錄與審計
7、防火墻應用的局限性:(1)、防火墻不能防范未通過自身的網絡連接(2)、防火墻不能
防范全部的威脅(3)、防火墻不能防范內部用戶的惡意破壞(4)、防火墻本身也存在安全問題(6)、認為因素在很大程度上影響了防火墻的功能
8、入侵檢測系統的功能:(1)、監視、分析用戶及系統行為,查找非法用戶和合法用戶的越權操作(2)、系統配置和漏洞的審計檢查(3)、評估重要系統和數據文件的完整性(4)、識別、反應已知攻擊的行為模式并報警(5)、異常行為模式的統計分析(6)操作系統的審計跟蹤管理基違反安全策略的用戶行為的識別
9、數字簽名必須同時滿足以下的要求:(1)、發送者事后不能否應對報文的簽名。(2)、接
收者能夠核實發送的報文簽名。(3)、接收者不能偽造發送者的報文簽名。(4)、接收者不能對發送者的報文進行部分篡改。(5)、網絡的其他用戶不能冒充報文的接收者或發送者。
10、VPN的特點:(1)、費用低(2)、安全保障(3)、服務質量保障(4)課擴張性和靈
活性(5)可管理性
第二篇:計算機網絡安全管理責任狀
計算機網絡安全管理責任狀
為明確任務,落實責任,不斷增強教師的安全防范意識,更好地實施學校計算機與網絡的安全管理,堅決杜絕意外事故的發生,現就加強計算機與網絡的安全管理,打造平安校園,下達責任書,請認真執行。
一、責任目標
1、負責本校計算機與網絡的安全保護管理工作,建立健全安全保護管理制度,定期檢查計算機軟硬件設備,做好計算機病毒和網絡安全的防范工作。
2、每日檢查計算機房、微機室安全設施,使用完畢,及時關閉門窗、電源,做好每天安全臺帳記錄。
3、負責對本校網絡用戶的安全操作培訓。
4、教育與督促學生遵紀守規,愛護機房內所有公物,對不服從管理的學生有權作出取消上機資格的處理。
5、有權對師生員工的上網記錄進行保留,檢查與監督師生員工不利用計算機與網絡從事非法活動,瀏覽不良網頁,或破壞、隨意改變學校網頁內容。
6、定期做好計算機房與微機室環境衛生工作。
二、目標管理措施
1、根據以上目標任務,計算機與網絡安全管理責任人應認真抓好落實工作,嚴格計算機與網絡安全工作的管理,及時解決實施過程中的困難與問題,確保各項工作目標全面完成。
2、明確目標責任人。網管員_______ 為目標責任人。
三、目標考核辦法
以上目標任務,由電教處進行目標考核,并列入教師學期工作考核。凡由于責任不到位,沒有完成任務的,對目標責任人將實行評優“一票否決制”,對出現重大事故并造成重大損失和惡劣影響的,將依法追究相應的管理責任。
四、責任期限
本責任書有效期自____年___月___日至_____年___月____日
五、責任書一式兩份,甲乙雙方各執一份。
甲 方(教導主任)簽名:____ 年___月___日
乙 方(網管員)簽名:___ 年___月___日
第三篇:計算機網絡安全管理工作總結
網管工作總結
2007年以來,我礦的計算機網絡管理工作在我礦黨政領導的正確領導下,在公司信息中心的關心、幫助、指導和支持下,我礦計算機管理工作取得了有效的進步,OA系統、瓦斯監測、財務系統、供應購銷鏈及煤礦安全等網絡系統的安全、穩定運行工作取得了較好成績。計算機各項管理的工作得以順利開展,并取得較好效果。現將一年來的計算機管理工作總結如下:
一、制定制度,明確責任
我礦共有電腦129臺,打印機77臺,分布在礦區的辦公大樓,綜合大樓,救護隊各地,分布較散,由于局域網絡的全面鋪開應用,給我礦網絡管理與維護工作帶來難處。對此,在我礦黨政領導的高度重視和指導下,我礦成立了計算機安全管理領導小組并制定出臺了《計算機及網絡管理辦法》,對計算機的使用和網絡的安全管理擬定了詳細的規定和法則,堅持專業管理與業余小組管理相結合,落實責任,明確分工,使逢春煤礦的計算機與網絡管理在制度上得到了健全,做到了責任落實到個人。
二、加強管理,規范員工行為,提高員工素質
為了規范我礦員工使用電腦的行為,我礦每個星期都堅持定時或不定時對電腦進行檢查,檢查殺毒軟件是否升級,電腦是否做到人走關機,電腦上是否安裝了游戲等。在雷雨季節時候,我礦更是加強了檢查次數,并及時制定了《雷雨季節計算機使用辦法》。辦法規定:電腦使用者必須做到人走關機并將網線拔出,做好相關防雷措施。
在電腦使用上,我礦員工素質參差不齊,2007年3月,我礦遭受了一次因為ARP病毒導致全礦網絡癱瘓的事故。事后經分析,這次事故是由于一個基層連隊的電腦使用不當造成。這讓我礦感到:要想讓我礦網絡長治久安,還得從提高電腦使用者素質抓起。為此,去年,我礦組建了一個電腦培訓室,并組織舉辦了4次計算機安全培訓,這4次培訓都是針對對電腦知識欠缺的基層連隊的隊長、書記和機關管理人員而設計;培訓課上除了學習《計算機及網絡管理辦法》以及一些辦公自動化軟件應用的基礎知識,還重點講解了計算機基礎知識、計算機安全相關知識、病毒的防范、處理以及卸載、安裝、殺毒軟件的等技巧。經過培訓,我礦各級管理人員對計算機網絡安全意識得到了提高,同時也提高了他們電腦操作和應用水平。
另外,我礦在日常的計算機及網絡維護過程中,采取現場講解、指導的方式,如:問題原因出在那里,下次遇見這種情況怎么處理。同時還要求他們人走關機,重要資料不存C盤并備好份等。提高了計算機使用者的業務技能,才能進一步提高計算機使用者的安全意識、防范、處理技能。
三、加強學習,提高自身業務素質
計算機是一門很深的學科,技術更新很快,只有不斷的學習才能提高自身水平,從礦計算機管理的實際情況出發,我們著重自學了計算機硬件日常保養及維護,以及常用軟件使用等。
計算機和網絡管理最主要的安全問題還是防治病毒的入侵。
2007年期間,ARP病毒在我礦盛行。后經公司信息中心的老師們指點,我礦學習了利用 Sniffer4_70工具進行抓包分析,大大減少了對病毒計算機的盲目性處理。后來,我礦從網絡上找到了一款ARP防火墻單機版,這款軟件能夠攔截來自局域網中的ARP病毒攻擊,也能夠抑制感染了病毒的計算機對局域網的發包數量,我礦把這款軟件安裝在一些經常用U盤的電腦上,這樣,一旦我礦有電腦感染了ARP病毒,我礦就能在最短的時間內知道并進行處理。
但這款軟件并不能對感染了病毒的計算機進行殺毒處理,于是,我礦從網上找到了一款專門針對一些ARP病毒的殺毒工具,如USBCleaner6.0專殺工具,AV終結者-8749木馬專殺工具等。有了這些軟件工具,有效杜絕了該病毒的進一步蔓延和入侵,確保了我礦計算機的安全運行。
第四篇:計算機網絡安全
黃岡職業技術學院
電子信息學院
課程期末項目考核任務書
課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業名稱:計算機網絡技術
2011-2012學年第一學期
電子信息學院教務辦室制
摘要...............2 前言...............2
第1章計算機通信網絡安全概述...........2
第2章影響計算機通信網絡安全的因素分析.....2
2.1影響計算機通信網絡安全的客觀因素...........2
2.1.1網絡資源的共享性............2
2.1.2網絡操作系統的漏洞..........2
2.1.3網絡系統設計的缺陷..........3
2.1.4網絡的開放性................3
2.1.5惡意攻擊.............3
2.2影響計算機網絡通信安全的主觀因素...........3
第3章計算機網絡的安全策略..............3
3.1物理安全策略.............3
3.2常用的網絡安全技術.............3
3.2.1 網絡加密技術................4
3.2.2 防火墻技術...........4
3.2.3 操作系統安全內核技術...............4
3.2.4 身份驗證技術身份驗證技術...........5
3.2.5 網絡防病毒技術..............5
總結...............5 參考文獻.................5摘要:隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
前言:隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
第1章計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。
第2章影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
2.1影響計算機通信網絡安全的客觀因素
2.1.1網絡資源的共享性
計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
2.1.2網絡操作系統的漏洞
操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
2.1.3網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。
2.1.4網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
2.1.5惡意攻擊
惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
2.2影響計算機網絡通信安全的主觀因素
主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
第3章計算機網絡的安全策略
3.1物理安全策略
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等
級和安全管理范圍。
3.2常用的網絡安全技術
3.2.1 網絡加密技術
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
3.2.2 防火墻技術
防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
3.2.3 操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
3.2.4 身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
3.2.5 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
總結
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
第五篇:淺論計算機網絡安全
淺論計算機網絡安全
方倩
(北京科技職業學院 新聞傳播學院,北京 延慶 102100)
摘要計算機網絡為人們帶來了極大的便利,同時也在經受著垃圾郵件、病毒和黑客的沖擊,因此計算機網絡安全技術變得越來越重要。而建立和實施嚴密的網絡安全策略和健全安全制度是真正實現網絡安全的基礎。
關鍵詞網絡安全;防火墻;加密
1引言
在信息化社會的今天,計算機網絡在政治、軍事、金觸、電信、科教等方面的作用日益增強。社會對計算機網絡的依賴也日益增大。特別是Internet的出現,使得計算機網絡的資源共享進一步加強。隨著網絡上各種新興業務的興起,如電子商務、網絡銀行(Network Bank),使得網絡安全技術的研究成了計算機與通信界的一個熱點,并且成了信息科學的一個重要研究領域,日益受到人們的關注。
Internet一方面給人們帶來了經濟上的實惠、通信上的便捷,但另一方面黑客和病毒的侵擾又把人們置于進退兩難的境地。據FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起 Internet計算機侵入事件。
2003年夏天,IT人士在此期間受到了“沖擊波”和“霸王蟲”蠕蟲的雙面夾擊。“沖擊波”(又稱“Lovsan”或“MSBlast”)首先發起攻擊。病毒最早于當年8月11日被檢測出來并迅速傳播,兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播,利用了Windows 2000/XP的一個弱點進行攻擊,被激活以后,它會向計算機用戶展示一個惡意對話框,提示系統將關閉。在病毒的可執行文件MSBLAST.EXE代碼中隱藏著這些信息:“桑(San),我只想說愛你!”以及“比爾·蓋茨(Bill Gates)你為什么讓這種事情發生?別再斂財了,修補你的軟件吧!”。損失估計為20億~100億美元,受到感染的計算機不計其數。“沖擊波”一走,“霸王蟲”蠕蟲便接踵而至,對企業和家庭計算機用戶而言,2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F,它 8月19日開始迅速傳播,在最初的24小時之內,自身復制了100萬次,創下了歷史紀錄(后來被Mydoom病毒打破)。病毒偽裝在文件名看似無害的郵件附件之中。被激活之后,這個蠕蟲便向用戶的本地文件類型中發現的電子郵件地址傳播自身。最終結果是造成互聯網流量激增。損失估計為50億~100億美元,超過100萬臺計算機被感染.。
我國的信息化剛剛起步,但發展迅速,網絡已滲透到國民經濟的各個領域。在短短的幾年時間里,也發生了多起利用網絡進行犯罪的事件,給國家、企業和個人造成了重大的經濟損失和危害。特別是金融部門的犯罪,更是令人觸目驚心。近兩年來,“網游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗,以盜取用戶密碼賬號、個人隱私、商業秘密、網絡財產為目的。調查顯示,趨利性成為計算機病毒發展的新趨勢。網上制作、販賣病毒、木馬的活動日益猖獗,利用病毒、木馬技術進行網絡盜竊、詐騙的網絡犯罪活動呈快速上升趨勢,網上治安形勢非常嚴峻。
面對如此嚴重的種種威脅,必須采取有力的措施來保證計算機網絡的安全,但現在的大多數計算機網絡在建設之初都忽略了安全問題,即使考慮了安全,也只是把安全機制建立在物理安全機制上。2計算機網絡安全的含義
從本質上講,網絡安全就是網絡上的信息的安全。計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄漏,系統能連續可靠地正常運行,網絡服務不被中斷。
從廣義上看,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控制性的相關技術理論,都是網絡安全研究的領域。
從用戶角度來說,他們希望涉及個人隱私或商業機密的信息在網絡上受到機密性、完整性和真實性的保護,同時希望保存在計算機系統上的信息不受用戶的非授權訪問和破壞。
從網絡運行和管理角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕訪問等威脅,制止和防御網絡黑客的攻擊。
從社會教育的角度來說,網絡上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。網絡安全的特征
3.1保密性
保密性是指信息不泄漏給非授權用戶、實體或過程,或供其利用的特性。3.2完整性
完整性是指數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改,不被破壞和丟失的特性。
3.3可控性
可控性是指對信息的傳播及內容具有控制能力。3.4可用性
可用性是指可被授權實體訪問并按需求使用的特性。網絡環境下拒絕服務,破壞網絡和有關系統的常運行等都屬于對可用性的攻擊。
4網絡安全面臨的威脅
從技術角度上看,Internet的不安全因素,一方面是由于它是面向用戶的,所有資源通過網絡共享,另一方面是它的技術是開放和標準的。因特網是基于TCP/IP協議的,TCP/IP協議在當初設計和后來應用時并未考慮到安全因素,也未曾預料后來應用的爆發增長。這就好像在一間封閉的房間內打開緊閉的玻璃窗,新鮮空氣進來發,但大量的灰塵、蒼蠅和蚊子等害蟲也跟著進來。網絡世界也一樣,開放的、免費的信息帶來了溝通的便利。但垃圾郵件、網絡病毒以及黑客等使網絡經受著前所未有的沖擊。計算機網絡面臨的威脅大體上分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡安全的因素很多,有些是有意的,有些是無意的;可能是人為的,可能是非人為的,也可能是外來黑客對網絡系統資源的非法使用,歸結起來,針對網絡安全的威脅主要有以下四點[1]。
4.1人為的無意失
誤
操作員使用不當,安全配置不規范造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.2人為的惡意攻擊
此類攻擊又分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性、完整性和真實性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息,它不會導致系統中信息的任何改動,而且系統的操作和狀態也不會被改變,因此這類攻擊主要威脅信息的保密性。
4.3網絡軟件的漏洞和“后門”
網絡軟件不可能是百分之百的無缺陷和無漏洞的,例如TCP/IP協議的安全問題,然而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,大部分就是因為軟件本身的脆弱性和安全措施不完善所招致的苦果。另外,軟件的“后門”是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”打開,其造成的后果將不堪設想。
4.4人自身的因素
人自身的因素主要是指非授權訪問、信息漏洞或丟失、破壞完整性。非授權訪問是指預先沒有經過同意就使用網絡或計算機資源。信息丟失包括在傳輸中丟失或在傳輸介質中丟失兩種,例如黑客常使用竊收方式,利用可能的非法手段竊取系統中的信息資源和敏感信息。
5網絡安全的安全策略
5.1 物理安全策略
保證計算機信息系統中各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:①環境安全:對系統所在環境的安全保護,如區域保護和災難保護;②設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;③媒體安全:包括媒體數據的安全及媒體本身的安全。顯然,為保證信息網絡系統的物理安全,除在網絡規劃和場地、環境等方面要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失秘的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上安裝一定的防護措施,來減少或干擾擴散出去的空間信號,這成為政府、軍事、金融機構在建設信息中心時首要考慮的問題。[2]
5.2訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問,它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須配合才能真正起到保護作用。訪問控制可以說是保證網絡安全最重要的核心策略之一。
5.2.1入網訪問控制
入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站上入網。用戶的入網訪問控制分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。用戶名或用戶賬號是所有計算機中最基本的安全形式。實際上,這種“用戶 ID+密碼”的方法來進行用戶的身份認證和訪問控制的方案隱含著一些問題。例如,密碼容易被忘記,如果用戶忘記了他的密碼,就不能進入系統。另外,密碼被別人盜取則更是一件可怕的事情,因為用心不良的人可能會進一步竊取公司機密數據、可能會盜用別人的名義做不正當的事情,甚至從銀行、ATM 終端上提取別人的巨額存款。隨著科技的進步,生物識別(Biometric)技術已經開始走入了我們的日常生活之中。目前在世界上許多公司和研究機構都在生物識別技術的研究中取得一些突破性技術,從而推出了許多新產品。目前比較流行的是虹膜識別技術和指紋識別技術。指紋識別作為識別技術已經有很長的歷史了,它通過分析指紋的全局特征和指紋的局部特征,并從中抽取非常詳盡的特征值來確認一個人的身份。平均每個指紋都有幾個獨一無二可測量的特征點,每個特征點都有大約七個特征,我們的十個手指產生最少4900個獨立可測量的特征,這足夠來確認指紋識別是否是一個更加可靠的鑒別方式。另外,掃描指紋的速度很快,使用非常方便;讀取指紋時,用戶必須將手指與指紋采集頭相互接觸,與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法;指紋采集頭可以更加小型化,并且價格會更加的低廉。這都是指紋識別技術能夠占領大部分市場的主要原因。
5.2.2網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。[3]可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:①特殊用戶(即系統管理員);②一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;⑧審計用戶。負責網絡的安全控制與資源使用情況的審計。用戶網絡資源的訪問權限可以用一個訪問控制表來描述。
5.2.3 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對資源的訪問能力。屬性設置可以覆蓋已經指定的任何有效權限。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改和顯示等。
5.2.4網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字、聲音、短消息等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
5.2.5防火墻控制
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向的門檻,它用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據竊取。從實現上看,防火墻實際上是一個獨立的進程或一組緊密聯系的進程,運行于路由器或服務器上,控制經過它們的網絡應用服務及傳輸的數據。目前較流行的一種防火墻是代理防火墻,又稱為應用層網關級防火墻,它由代理服務器和過濾路由器組成,它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連,并對數據進行嚴格選擇,然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然后根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍來決定是否接受此項服務,若接受,它就向內部網絡轉發這項請求。
5.3信息加密策略
在各類網絡安全技術中,加密技術是基礎。信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。信息加密是保證信息機密性的惟一方法。加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,將機密信息變成難以讀懂的亂碼型文字。據不完全統計,目前已經公開發表的各種加密算法多達數百種。如果以密鑰為標準,可以將這些算法分為單鑰密碼(又稱對稱密鑰或私鑰密碼)和雙鑰密碼(又稱非對稱密碼或公鑰密碼)。單鑰密碼的特點是無論加密還是解密都使用同一種密鑰,因此,此密碼體制的安全性就是密鑰的安全。若密鑰泄漏,則此密碼系統就被攻破。最有影響的單鑰密碼是 1997年美國國家標準局頒布的DES算法,最近頒布的AES算法作為 DES算法的替代,正在逐漸被人們接受。單鑰密碼的優點是安全性高,加解碼速度快。它的缺點是:密鑰的管理困難;無法解決消息確認問題;缺乏自動檢測密鑰泄漏的能力。在雙鑰體制下,加密密鑰與解密密鑰不同,此時不需要安全信道來傳送密鑰,而只需利用本地密鑰發生器產生解密密鑰,并以此來控制解密操作。雙鑰密碼是1796年W.Diffie和M.E.Hellman提出來的一種新型密碼體制。由于雙鑰密碼體制的加密和解密不同,且能公開加密密鑰,而僅需保密解密密鑰,所以不存在密鑰管理問題。雙鑰密碼還有一個優點就是可以擁有數字簽名等新功能。最有名的雙鑰密碼是1977年由 Rivest、Shamir和 Adleman提出來的RSA密碼體制。雙鑰密碼的缺點是算法比較復雜,加解密速度慢。在實際使用過程中,加密通常是采用單鑰和雙鑰密碼相結合的混合加密體制,即加/解密時采用單鑰密碼,傳送密鑰時采用雙鑰密碼。這樣既解決了密鑰管理的困難,又解決了加/解密速度慢的問題。這無疑是目前解決網絡上傳輸信息安全問題的一種較好的解決辦法。
5.4網絡安全管理策略
面對網絡安全的脆弱性,除了在網絡設計上增加安全服務功能,完善系統的安全保密措施外,還必須花大力氣加強網絡的安全管理,因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面,而這又是計算機網絡安全所必須考慮的基本問題,所以應引起各計算機網絡應用部門領導的重視。
5.4.1安全管理的基本內容
網絡安全管理的根本目標是保證網絡和系統的可用性。網絡的安全管理涉及網絡安全規劃、網絡安全管理機構、網絡安全管理系統和網絡安全教育等。它的具體內容包括:標識要保護的對象;確定保護的手段;找出可能的威脅;實現具體的安全措施;要求有較好的性價比;了解網絡的安全狀態,根據情況變化重新評估并改進安全措施。[4]其中,安全管理原則包括:
5.4.2多人負責原則
每一項與安全有關的活動,都必須有兩人或多人在場。這些人應是系統主管領導指派的,他們忠誠可靠,能勝任此項工作;他們應該簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關的活動:①訪問控制使用權限的發放與回收;②信息處理系統使用的媒介發放與回收;③處理保密信息;④硬件和軟件的維護;⑤系統軟件的設計、實現和修改;⑥重要程序和數據的刪除和銷毀等。
5.4.3 任期有限原則
一般地講,任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使任期有限制度切實可行。
5.4.4職責分離原則
在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,除非系統主管領導批準。出于對安全的考慮。下面每組內的兩項信息處理工作應當分開。
①計算機操作與計算機編程;②機密資料的接收和傳送;③安全管理和系統管理;④應用程序和系統程序的編制;⑤訪問證件的管理與其它工作;⑥計算機操作與信息處理系統使用媒介的保管等。
5.4.5安全管理的實現
信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性,制訂相應的管理制度或采用相應的規范。具體工作是①根據工作的重要程度,確定該系統的安全等級;②根據確定的安全等級,確定安全管理的范圍;③制訂相應的機房出入管理制度;④制訂嚴格的操作規程;⑤制訂完備的系統維護制度;⑥制訂應急措施。
5.5操作系統安全[5]
操作系統安全是系統安全的基礎,要建立一個安全的信息系統,不僅要考慮具體的安全產品,包防火墻、安全路由器、安全網關、IP隧道、虛擬網、侵檢測、漏洞掃描、安全測試和監控產品,來被動封堵安全漏洞,而且還要特別注意操作系統平臺的安全問題。操作系統作為計算機系統的基礎軟件用來管理計算機資源的,它直接利用計算機硬件為用戶提供使用和編程接口。各種應用軟件均建立在操作系統提供的系統軟件平臺之上,上層的應用軟件要想獲得運行的高可靠性和信息的完整性、保密性,必須依賴于操作系統提供的系統軟件基礎,任何想像中的、脫離操作系統的應用軟件的高安全性就如同幻想在沙灘上建立堅不可摧的堡壘一樣,無根基可言。不難想象,在網絡環境中,網絡系統安全性依賴于網絡中各主機系統的安全性,而主系統的安全性正是由其操作系統的安全性所決定的,沒有安全的操作系統的支持,網絡安全也毫無基礎可言。所以,操作系統安全是計算機網絡系統安全的基礎。
6結束語
網絡安全技術是伴隨著網絡的誕生而出現的。但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起各國計算機安全界的高度重視,計算機網絡安全技術也因此出現了日新月異的變化。安全核心系統的安全隧道、身份認證、網絡底層數據加密和網絡入侵主動監測等越來越高深復雜的安全技術級別從不同層次加強了計算機網絡的整體安全性。互聯網已經日漸融入到人類社會的各個方面中,網絡防護與網絡攻擊之間的斗爭也將更加激烈。未來網絡安全技術將會涉及計算機網絡的各個層次中,隨著網絡在商業方面的應用日益廣泛,圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
參考文獻
[1]楚狂等.網絡安全與防火墻技術.人民郵出電版社,2000,(4)
[2]黃允聰等.網絡安全基礎.清華大學出版社,2000,(9)
[3]聶元銘等.網絡信息安全技術.科學出版社2001,(7)
[4]黃儉等.計算機網絡安全技術.東南大學出版社,2001,(8)
[5]蔡立軍.計算機網絡安全技術.中國水利水電出版社,2005
收稿日期:7月5日修改日期:7月12日
作者簡介:方倩(1982-),女,本科,研究方向:計算機網絡。2005年8月至今在北京科技職業學院任計算機專業教師。
點擊咨詢 