第一篇:淺談計算機網絡安全問題與對策論文
淺談計算機網絡問題與對策
摘 要:
隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
Take to:
With the rapid development of computer information technology, computer network has become agriculture, industry, the tertiary industry and defense industry important information medium of exchange, and penetrated into every corner of social life.Therefore, clear understanding of network vulnerabilities and potential threats, to take strong security strategy be imperative.Computer network security work is a long-term and arduous task, it should be applied in the information network planning, composition, testing the entire process.In this paper, combined with the actual situation, the analysis of network security problems and corresponding countermeasures.關鍵詞:計算機;網絡安全;網絡威脅;
一、前言
隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
組織和單位的計算機網絡是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網絡防御系統,他就有訪問成千上萬計算機的可能性。據統計,近年來因網絡安全事故造成的損失每年高達上千億美元。計算機系統的脆弱性已為各國政府與機構所認識。
二、計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網絡的安全是指揮、控制信息安全的重要保證。
根據國家計算機網絡應急技術處理協調中心的權威統計,通過分布式密網捕獲的新的漏洞攻擊惡意代碼數量平均每天112次,每天捕獲最多的次數高達4369 次。因此,隨著網絡一體化和互聯互通,我們必須加強計算機通信網絡安全防范意思,提高防范手段。
三、影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
3.1影響計算機通信網絡安全的客觀因素。
3.1.1網絡資源的共享性。計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
3.1.2網絡操作系統的漏洞。操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
3.1.3網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。
3.1.4網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。
(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
3.2影響計算機網絡通信安全的主觀因素。主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
四、計算機網絡的安全策略
4.1物理安全策略。物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
4.2常用的網絡安全技術。
由于網絡所帶來的諸多不安全因素,使得網絡使用者必須采取相應的網絡安全技術來堵塞安全漏洞和提供安全的通信服務。如今,快速發展的網絡安全技術能從不同角度來保證網絡信息不受侵犯,網絡安全的基本技術主要包括網絡加密技術、防火墻技術、操作系統安全內核技術、身份驗證技術、網絡防病毒技術。
4.2.1 網絡加密技術。網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實施的,它以很小的代價提供很牢靠的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
4.2.2 防火墻技術。防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來實何保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。現對網絡的安全保護。防火墻的組成可以表示為:防火墻= 過濾器+ 安全策略+ 網關,它是一種非常有效的網絡安全技術。在Internet 上,通過它來隔離風險區域與安全區域的連接,但不防礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據,從而完成僅讓安全、核準的信息進入,同時又抵制對企業構成威脅的數據進入的任務。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術,工作在網絡層。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。但包過濾防火墻的缺點有三:一是非法訪問一旦突破防火墻,即可對主機上的軟件和配置漏洞進行攻擊;二是數據包的源地址、目的地址以及IP 的端口號都在數據包的頭部,很有可能被竊聽或假冒;三是無法執行某些安全策略。
網絡地址轉化—NAT。“你不能攻擊你看不見的東西”是網絡地址轉換的理論基礎。網絡地址轉換是一種用于把IP 地址轉換成臨時的、外部的、注冊的IP 地址標準。它允許具有私有IP 地址的內部網絡訪問因特網。當數據包流經網絡時,NAT 將從發送端的數據包中移去專用的IP 地址,并用一個偽IP 地址代替。NAT 軟件保留專用IP 地址和偽IP 地址的一張地址映射表。當一個數據包返回到NAT 系統,這一過程將被逆轉。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。如果黑客在網上捕獲到這個數據包,他們也不能確定發送端的真實IP 地址,從而無法攻擊內部網絡中的計算機。NAT 技術也存在一些缺點,例如:木馬程序可以通過NAT 進行外部連接,穿透防火墻。
代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品, 它分為應用層網關和電路層網關。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據, 然后再由代理服務器將數據傳輸給客戶機。從內部發出的數據包經過這樣的防火墻處理后,就好像是源于防火墻外部網卡一樣,從而可以達到隱藏內部結構的作用,這種防火墻是網絡專家公的最安全的防火墻。缺點是速度相對較慢。
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。它是由Check Point 軟件技術有限公司率先提出的,也稱為動態包過濾防火墻。總的來說,具有:高安全性,高效性,可伸縮性和易擴展性。實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器也集成了包過濾技術,這兩種技術的混合顯然比單獨使用具有更大的優勢。總的來說,網絡的安全性通常是以網絡服務的開放性和靈活性為代價的,防火墻只是整個網絡安全防護體系的一部分,而且防火墻并非萬無一失。除了使用了防火墻后技術,我們還使用了其他技術來加強安全保護,數據加密技術是保障信息安全的基石。所謂數據加密技術就是使用數字方法來重新組織數據,使得除了合法受者外,任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密技術就是加密和解密所用的密鑰不一樣。
4.2.3 操作系統安全內核技術。操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
4.2.5 身份驗證技術身份驗證技術。身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
為了使網絡具有是否允許用戶存取數據的判別能力,避免出現非法傳送、復制或篡改數據等不安全現象,網絡需要采用的識別技術。常用的識別方法有口令、唯一標識符、標記識別等。口令是最常用的識別用戶的方法,通常是由計算機系統隨機產生,不易猜測、保密性強,必要時,還可以隨時更改,實行固定或不固定使用有效期制度,進一步提高網絡使用的安全性;唯一標識符一般用于高度安全的網絡系統,采用對存取控制和網絡管理實行精確而唯一的標識用戶的方法,每個用戶的唯一標識符是由網絡系統在用戶建立時生成的一個數字,且該數字在系統周期內不會被別的用戶再度使用;標記識別是一種包括一個隨機精確碼卡片(如磁卡等)的識別方式,一個標記是一個口令的物理
實現,用它來代替系統打入一個口令。一個用戶必須具有一個卡片,但為了提高安全性,可以用于多個口令的使用。
4.2.6 網絡防病毒技術。在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
訪問控制也是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段,可以說是保證網絡安全最重要的核心策略之一。它主要包括:身份驗證、存取控制、入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制等。計算機信息訪問控制技術最早產生于上世紀60年代,隨后出現了兩種重要的訪問控制技術,自主訪問控制和強制訪問控制。隨著網絡的發展,為了滿足新的安全需求,今年來出現了以基于角色的訪問控制技術,基于任務的訪問控制。
五、結束語
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻:
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
第二篇:計算機網絡安全問題淺析論文
畢業論文
論文題目: 計算機網絡安全問題淺析
專 業: 計算機信息管理 作 者: 韓子厚 學 校: 天津城市建設管理職業技術學院 指導教師:
2011年 月 日
目錄
內容摘要.............................................................2 計算機網絡安全.......................................................3
第一章 方案目標......................................................3 第二章 安全需求......................................................3 第三章 風險分析......................................................4 第四章 解決方案......................................................4 參考文獻............................................................11 致謝................................................................12
內容摘要
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的,通常也是狡猾的、專業的,并且在時間和金錢上是很充足、富有的人。同時,必須清楚地認識到,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微。
關鍵詞 互聯網 網絡安全 遠程服務 編程 數據
計算機網絡安全
第一章 方案目標
本方案主要從網絡層次考慮,將網絡系統設計成一個支持各級別用戶或用戶群的安全網絡,該網在保證系統內部網絡安全的同時,還實現與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求,比如:可以滿足個人的通話保密性,也可以滿足企業客戶的計算機系統的安全保障,數據庫不被非法訪問和破壞,系統不被病毒侵犯,同時也可以防止諸如反動淫穢等有害信息在網上傳播等。
需要明確的是,安全技術并不能杜絕所有的對網絡的侵擾和破壞,它的作用僅在于最大限度地防范,以及在受到侵擾的破壞后將損失盡旦降低。具體地說,網絡安全技術主要作用有以下幾點:
1.采用多層防衛手段,將受到侵擾和破壞的概率降到最低; 2.提供迅速檢測非法使用和非法初始進入點的手段,核查跟蹤侵入者的活動;
3.提供恢復被破壞的數據和系統的手段,盡量降低損失; 4.提供查獲侵入者的手段。
網絡安全技術是實現安全管理的基礎,近年來,網絡安全技術得到了迅猛發展,已經產生了十分豐富的理論和實際內容。
第二章 安全需求
通過對網絡系統的風險分析及需要解決的安全問題,我們需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。即,可用性: 授權實體有權訪問數據
機密性: 信息不暴露給未授權實體或進程 完整性: 保證數據不被未授權修改
可控性: 控制授權范圍內的信息流向及操作方式 可審查性:對出現的安全問題提供依據與手段
訪問控制:需要由防火墻將內部網絡與外部不可信任的網絡隔離,對與外部網絡交換數據的內部網絡及其主機、所交換的數據進行嚴格的訪問控制。同樣,對內部網絡,由于不同的應用業務以及不同的安全級別,也需要使用防火墻將不同的LAN或網段進行隔離,并實現相互的訪問控制。
數據加密:數據加密是在數據傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。
安全審計: 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容,一是采用網絡監控與入侵防范系統,識別網絡各種違規操作與攻擊行為,即時響應(如報警)并進行阻斷;二是對信息內容的審計,可以防止內部機密或敏感信息的非法泄漏
第三章 風險分析
網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全,而是整個信息網的安全,需要從物理、網絡、系統、應用和管理方面進行立體的防護。要知道如何防護,首先需要了解安全風險來自于何處。網絡安全系統必須包括技術和管理兩方面,涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位,都會存在很大的安全隱患,都有可能造成網絡的中斷。根據國內網絡系統的網絡結構和應用情況,應當從網絡安全、系統安全、應用安全及管理安全等方面進行全面地分析。
風險分析是網絡安全技術需要提供的一個重要功能。它要連續不斷地對網絡中的消息和事件進行檢測,對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。
第四章 解決方案
4.1 設計原則
針對網絡系統實際情況,解決網絡的安全保密問題是當務之急,考慮技術難度及經費等因素,設計時應遵循如下思想:
1.大幅度地提高系統的安全性和保密性;
2.保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
3.易于操作、維護,并便于自動化管理,而不增加或少增加附加操作; 4.盡量不影響原網絡拓撲結構,同時便于系統及系統功能的擴展; 5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用; 6.安全與密碼產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分步實施原則:分級管理 分步實施。4.2 安全策略
針對上述分析,我們采取以下安全策略:
1.采用漏洞掃描技術,對重要網絡設備進行風險評估,保證信息系統盡量在最優的狀況下運行。
2.采用各種安全技術,構筑防御系統,主要有:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術,在網絡層進行訪問控制。
(2)NAT技術:隱藏內部網絡信息。
(3)VPN:虛擬專用網(VPN)是企業網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等與公司的企業網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用,而事實上并非如此。
(4)網絡加密技術(Ipsec):采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝,實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題,也可解決遠程用戶訪問內網的安全問題。
(5)認證:提供基于身份的認證,并在各種認證機制中可選擇使用。(6)多層次多級別的企業級的防病毒系統:采用多層次多級別的企業級的防病毒系統,對病毒實現全面的防護。
(7)網絡的實時監測:采用入侵檢測系統,對主機和網絡進行監測和預警,進一步提高網絡防御外來攻擊的能力。
3.實時響應與恢復:制定和完善安全管理制度,提高對網絡攻擊等實時響應與恢復能力。
4.建立分層管理和各級安全管理中心。4.3 防御系統
我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多層次多級別的防病毒系統、入侵檢測技術,構成網絡安全的防御系統。4.3.1 物理安全
物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。
為保證網絡的正常運行,在物理安全方面應采取如下措施:
1.產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。2.運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。
3.防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品,如輻射干擾機。
4.保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。4.3.2 防火墻技術
防火墻是一種網絡安全保障手段,是網絡通信時執行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監視了內部網絡和Internet之間地任何活動,保證了內部網絡地安全;在物
理實現上,防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統,也可以在一個進行網絡互連地路由器上實現防火墻。用防火墻來實現網絡安全必須考慮防火墻的網絡拓撲結構:
(1)屏蔽路由器:又稱包過濾防火墻。
(2)雙穴主機:雙穴主機是包過濾網關的一種替代。(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。(4)屏蔽子網結構:這種防火墻是雙穴主機和被屏蔽主機的變形。根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監測型。4.3.2.1 包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.3.2.2 網絡地址轉化—NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只
是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。4.3.2.3 代理型
代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統。代理型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。
4.3.2.4 監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品,雖然監測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開
始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。實際上,作為當前防火墻產品的主流趨勢,大多數代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。相關性:畢業論文,免費畢業論文,大學畢業論文,畢業論文模板 4.3.3 入侵檢測
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為
是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
1.監視、分析用戶及系統活動; 2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警; 4.異常行為模式的統計分析; 5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。4.4 安全服務
網絡是個動態的系統,它的變化包括網絡設備的調整,網絡配置的變化,各種操作系統、應用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網絡結構和應用的不斷變化,安全策略可能失效,必須及時進行相應的調整。針對以上問題和網管人員的不足,下面介紹一系列比較重要的網絡服務。包括:
4.4.1 通信伙伴認證
通信伙伴認證服務的作用是通信伙伴之間相互確庥身份,防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式,一種是檢查一方標識的單方認證,一種是通信雙方相互檢查對方標識的相互認證。
通信伙伴認證服務可以通過加密機制,數字簽名機制以及認證機制實現。4.4.2 訪問控制
訪問控制服務的作用是保證只有被授權的用戶才能訪問網絡和利用資源。訪問控制的基本原理是檢查用戶標識,口令,根據授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序,是否有權對數據庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現。4.4.3 數據保密
數據保密服務的作用是防止數據被無權者閱讀。數據保密既包括存儲中的數據,也包括傳輸中的數據。保密查以對特定文件,通信鏈路,甚至文件中指定的字段進行。
數據保密服務可以通過加密機制和路由控制機制實現。4.4.4 業務流分析保護
業務流分析保護服務的作用是防止通過分析業務流,來獲取業務量特征,信息長度以及信息源和目的地等信息。
業務流分析保護服務可以通過加密機制,偽裝業務流機制,路由控制機制實現。
4.4.5 數據完整性保護
數據完整性保護服務的作用是保護存儲和傳輸中的數據不被刪除,更改,插入和重復,必要時該服務也可以包含一定的恢復功能。數據完整性保護服務可以通過加密機制,數字簽名機制以及數據完整性機制實現 4.4.6 簽字
簽字服務是用發送簽字的辦法來對信息的接收進行確認,以證明和承認信息是由簽字者發出或接收的。這個服務的作用在于避免通信雙方對信息的來源發生爭議。簽字服務通過數字簽名機制及公證機制實現。4.5 安全技術的研究現狀和動向
我國信息網絡安全研究歷經了通信保密、數據保護兩個階段,正在進入網絡信息安全研究階段,現已開發研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發展成果,提出系統的、完整的和協同的解決信息網絡安全的方案,目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統五個方面開展研究,各部分相互協同形成有機整體。國際上信息安全研究起步較早,力度大,積累多,應用廣,在70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”(Beu& La padula模型)的基礎上,指定了“
可信計算機系統安全評估準則”(TCSEC),其后又制定了關于網絡系統數據庫方面和系列安全解釋,形成了安全信息系統體系結構的準則。
結論
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
本論文從多方面描述了網絡安全的解決方案,目的在于為用戶提供信息的保密,認證和完整性保護機制,使網絡中的服務,數據以及系統免受侵擾和破壞。比如防火墻,認證,加密技術等都是當今常用的方法,本論文從這些方法入手深入研究各個方面的網絡安全問題的解決,可以使讀者有對網絡安全技術的更深刻的了解。
參考文獻
[1] 韓希義, 計算機網絡基礎,北京高等教育出版社,2004 [2]徐敬東等, 計算機網絡, 北京清華大學出版社,2002
[3]沈輝等, 計算機網絡工程與實訓,北京清華大學出版社,2002 [4] 褚建立等, 計算機網絡技術實用教程,北京電子工業出版社,2003 [5] 劉化君, 計算機網絡原理與技術,北京電子工業出版社,2005 [6] 謝希仁, 計算機網絡, 北京電子工業出版社,1999 [7] 陸姚遠, 計算機網絡技術, 北京高等教育出版社,2000 [8] 劉習華等, 網絡工程,重慶大學出版社,2004 [9] 彭澎, 計算機網絡實用教程,北京電子工業出版社,2000 [10] 陳月波, 使用組網技術實訓教程,北京科學出版社,2003 致謝
本研究及學位論文是在我的導師 副教授的親切關懷和悉心指導下完成的。他嚴肅的科學態度,嚴謹的治學精神,精益求精的工作作風,深深地感染和激勵著我。從課題的選擇到項目的最終完成,鄭老師都始終給予我細心的指導和不懈的支持。兩年多來,鄭教授不僅在學業上給我以精心指導,同時還在思想、生活上給我以無微不至的關懷,在此謹向鄭老師致以誠摯的謝意和崇高的敬意。
在此,我還要感謝在一起愉快的度過研究生生活的 各位同門,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。特別感謝我的師妹葉秋香同學,她對本課題做了不少工作,給予我不少的幫助。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!最后我還要感謝培養我長大含辛茹苦的父母,謝謝你們!
第三篇:軍隊計算機網絡信息安全問題及對策
軍隊計算機網絡信息安全問題及對策
摘 要 :隨著我軍信息化建設步伐的不斷加快,計算機網絡技術在部隊的應用口趨廣泛。但從整體情況看,我軍的網絡信息安全還存在很多問題,網絡安全工作明滯后于網絡建設。針對現階段軍隊網絡安全存在的問題,從網絡安全技術及網絡安全管理兩方面提出了相應的解決對策。
關鍵詞 :軍隊信息化建設;計算機網絡;信息安全
隨著個球信息化建設的高速發展,網絡中接入信息基礎設施的數量不斷增加,信息系統軟件建設水平日益提高和完善,計算機網絡信息的安個問題變得日益突出和重要根據US-CERT(United States ComputerEmergency Readiness Teat組織的統計,從1998午到2002午期IRl,該組織登記網絡安個事故的數量午增長率超過50%。根據由國家信息安個報告”課題組編《國家信息安個報告》書,如果將信息安個分為9個等級,我國的安個等級為5.5,安個形勢分嚴峻我軍網絡信息安個形勢也同樣小容樂觀,兵的信息安個意識淡薄、信息安個技術落后、信息安個管理制度小完善、計算機網絡安個防護能力較弱。這此存在于軍隊計算機網絡中的安個隱患問題如果小能很好解決,小但會引起軍隊人量泄密事件和網絡被攻擊事件的發生,更會嚴重影響到作為高科技作戰輔助手段的計算機網絡技術在軍隊信息化建設中的推廣和應用,甚至會成為我軍未來信息化戰爭中的死穴”,直接影響戰爭的結果。此分析現階段我軍的網絡安個存在的問題,并找出相應的對策,對當前我軍計算機網絡安個的建設和發展及把握未來戰爭形態具有分重要的意義。1現階段軍隊計算機網絡信息安全存在的問題 1.1計算機網絡安個技術問題
(1)缺乏自主的計算機網絡軟、硬件核心技術。我國信息化建設缺乏自主的核心技術支撐,計算機網絡的主要軟、硬件,如CPU芯片、操作系統和數據庫、網關軟件人多依賴進口。信息設備的核心部分CPU山美國和我國臺灣制造;我軍計算機網絡中普遍使用的操作系統來自國外,這此系統都存在人量的安個漏洞,極易留下嵌入式病毒、隱性通道和可恢復密鑰的密碼等隱患;計算機網絡中所使用的網管設備和軟件絕人多數是舶來品,在網絡上運行時,存在著很人的安個隱患。這素使軍隊計算機網絡的安個性能人人降低,網絡處于被竊聽、十擾、監視和欺詐等多種安個威脅中,網絡安個處于極脆弱的狀態。
(2)長期存在被病毒感染的風險。現代病毒可以借助文件、由日件、網貞等諸多力式在網絡中進行傳播和蔓延,它們具有自啟動功能,‘常‘常潛入系統核心與內存,為所欲為。軍用計算機日_受感染,它們就會利用被控制的計算機為平臺,破壞數據信息,毀損硬件設備,阻塞整個網絡的正常信息傳輸,甚至造成整個軍隊計算機網絡數據傳輸中斷和系統癱瘓。
(3)軍事涉密信息在網絡中傳輸的安個可靠性低。隱私及軍事涉密信息存儲在網絡系統內,很容易被搜集而造成泄密。這此涉密資料在傳輸過程中,山于要經過許多外節點,且難以查證,在任何中介節點均可能被讀取或惡意修改,包括數據修改、重發和假冒。網絡中可能存在某節點在非授權和小能監測力式下的數據修改,這此修改進入網中的幀并傳送修改版本,即使采用某此級別的認證機制,此種攻擊也能危及可信節點間的通信。重發就是重復份或部分報文,以便產生個被授權效果。當節點拷貝發到其他節點的報文并又重發他們時,若小能監測重發,日的節點會執行報文內容命令的操作,例如報文的內容是關閉網絡的命令,則將會出現嚴重的后果。假冒是網絡中個實體假扮成另個實體收發信息,很多網絡適配器都允許網幀的源地址山節點自己來選取或改變,這就使冒充變得較為容易。
(4)存在來自網絡外部、內部攻擊的潛在威脅。網絡中臺無防備的電腦很容易受到局域網外部的入侵,修改硬盤數據,種下木馬等。入侵者會有選擇地破壞網絡信息的有效性和完整性,或偽裝為合法用戶進入網絡并占用人量資源,修改網絡數據、竊取、破譯機密信息、破壞軟件執行,在中間站點攔截和讀取絕密信息等。在網絡內部,則會有此非法用戶冒用合法用戶的口令以合法身份登錄網站后,查看機密信息,修改信息內容及破壞應用系統的運行。有非法用戶還會修改自己的IP和人IAC地址,使其和合法用戶IP和MAC地址樣,繞過網絡管理員的安個設置。1.2信息安個管理問題
在軍隊網絡建設中,高投入地進行網絡基礎設施建設,而相應的管理措施卻沒有跟上,在網絡安個上的投資也是微乎其微。有此領導錯誤地認為,網絡安個投資只有投入卻小見直觀效果,對軍隊教育訓練影響小大。因此,對安個領域的投入和管理遠遠小能滿足安個防范的要求。而旦安個上出了問題,又沒有行之有效的措施補救,有的甚至是采取關閉網絡、禁比使用的消極手段,根本問題依然得小到實質性的解決。
國家和軍隊出臺了系列信息網絡安個保密的法規,女匡中華人民共和國計算機信息系統安個保護條例計算機信息網絡國際聯網保密管理規定)X(中國人民解放軍計算機信息網絡國際聯網管理暫行規定》等,這此法規的出臺從定程度上規范了軍事信息網絡安個的管理,但還小能滿足軍事信息網絡安個管理的發展需求。網絡運行管理機制存在缺陷,軍隊網絡安個管理人才匾乏,安個措施小到位,出現安個問題后缺乏綜合性的解決力案,整個信息安個系統在迅速反應、快速行動和預防范等主要力而,缺少力向感、敏感度和應對能力。在整個網絡運行過程中,缺乏行之有效的安個檢查和應對保護制度。
網絡管理和使用人員素質小高、安個意識淡薄。據調查,目前國內90%的網站存在安個問題,其主要原因是管理者缺少或沒有安個意識。軍事計算機網絡用戶飛速增長,然而大多數人員網絡知識掌握很少,安個意識小強,經常是在沒有任何防范措施的前提下,隨便把電腦接入網絡;在小知情的情況下將帶有保密信息的計算機連入因特網,或使用因特網傳遞保密信息;對數據小能進行及時備份,經常造成數據的破壞或丟失;對系統小采取有效的防病毒、防攻擊措施,殺毒軟件小能及時升級。2加強軍隊計算機網絡安全的對策
解決軍隊計算機網絡中的安個問題,關鍵在于建立和完善軍隊計算機網絡信息安個防護體系。總體對策是在技術層而上建立完整的網絡安個解決力案,在管理層而上制定和落實套嚴格的網絡安個管理制度。
2.1網絡安個技術對策
(1)采用安個性較高的系統和使用數據加密技術。美國國防部技術標準把操作系統安個等級分為Dl, Cl, C2, B1, B2, B3, A級,安個等級由低到高。目前主要的操作系統等級為C2級,在使用C2級系統時,應盡量使用C2級的安個措施及功能,對操作系統進行安個配置。在極端重要的系統中,應采用B級操作系統。對軍事涉密信息在網絡中的存儲和傳輸可以使用傳統的信息加密技術和新興的信息隱藏技術來提供安個保證。在傳發保存軍事涉密信息的過程中,小但要用加密技術隱藏信息內容,還要用信息隱藏技術來隱藏信息的發送者、接收者甚至信息本身。通過隱藏術、數字水印、數據隱藏和數據嵌入、指紋和標竿等技術手段可以將秘密資料先隱藏到般的文件中,然后再通過網絡來傳遞,提高信息保密的可靠性。
(2)安裝防病毒軟件和防火墻。在主機上安裝防病毒軟件,能對病毒進行定時或實時的病毒掃描及漏洞檢測,變被動清毒為主動截殺,既能查殺未知病毒,又可對文件、郵件、內存、網頁進行個而實時監控,發現異常情況及時處理。防火墻是硬件和軟件的組合,它在內部網和外部網間建立起個安個網關,過濾數據包,決定是否轉發到目的地。它能夠控制網絡進出的信息流向,提供網絡使用狀況和流量的審計、隱藏內部IP地址及網絡結構的細節l勻。它還可以幫助軍隊系統進行有效的網絡安個隔離,通過安個過濾規則嚴格控制外網用戶非法訪問,并只打開必須的服務,防范外部來的拓絕服務攻擊。同時,防火墻可以進行時間安個規則變化策略,控制內網用戶訪問外網時間,并通過設置IP地址與MAC地址綁定,防比目的IP地址欺騙。更重要的是,防火墻小但將大量的惡意攻擊直接阻擋在外而,同時也屏蔽來自網絡內部的小良行為,讓其小能把某此保密的信息散播到外部的公共網絡上去。
(3)使用安個路由器和虛擬專用網技術。安個路由器采用了密碼算法和加/解密專用芯片,通過在路由器主板上增加安個加密模件來實現路由器信息和IP包的加密、身份鑒別和數據完整性驗證、分布式密鑰管理等功能。使用安個路由器可以實現軍隊各單位內部網絡與外部網絡的互聯、隔離、流量控制、網絡和信息安個維護,也可以阻塞廣播信息和小知名地址的傳輸,達到保護內部信息化與網絡建設安個的目的。目前我國自主獨立開發的安個路由器,能為軍隊計算機網絡提供安個可靠的保障。建設軍隊虛擬專用網是在軍隊廣域網中將若十個區域網絡實體利用隧道技術連接成個虛擬的獨立網絡,網絡中的數據利用加/解密算法進行加密封裝后,通過虛擬的公網隧道在各網絡實體間傳輸,從而防}卜未授權用戶竊取、篡改信息。
(4)安裝入侵檢測系統和網絡誘騙系統。入侵檢測能力是衡量個防御體系是否完整有效的重要因素。入侵檢測的軟件和硬件共同組成了入侵檢測系統。強大的、完整的入侵檢測系統可以彌補軍隊網絡防火墻相對靜態防御的小足,可以對內部攻擊、外部攻擊和誤操作進行實時防護,當軍隊計算機網絡和系統受到危害之前進行報攔截和響應,為系統及時消除威脅。網絡誘騙系統是通過構建個欺騙環境真實的網絡、主機,或用軟件模擬的網絡和主機),誘騙入侵者對其進行攻擊或在檢測出對實際系統的攻擊行為后,將攻擊重定向到該嚴格控制的環境中,從而保護實際運行的系統;同時收集入侵信息,借以觀察入侵者的行為,記錄其活動,以便分析入侵者的水平、目的、所用上具、入侵手段等,并對入侵者的破壞行為提供證據。
2.2網絡安個管理對策
(1)強化思想教育、加強制度落實是網絡安個管理上作的基礎。搞好軍隊網絡安個管理上作,首要的是做好人的上作。個軍官兵要認真學習軍委、總部先后下發的有關法規文件和安個教材,更新軍事通信安個保密觀念,增強網絡安個保密意識,增長網絡安個保密知識,提高網絡保密素質,改善網絡安個保密環境。還可以通過舉辦信息安個技術培訓、組織專家到基層部隊宣講網絡信息安個保密知識、舉辦網上信息戰知識竟賽”等系列活動,使廣大官兵牢固樹立信息安個領域沒有和平期”的觀念,在4個人的大腦中筑起軍隊網絡信息安個的防火墻”
(2)制定嚴格的信息安個管理制度。設立專門的信息安個管理機構,人員應包括領導和專業人員。按照小同任務進行分上以確立各自的職責。類人員負責確定安個措施,包括力針、政策、策略的制定,并協調、監督、檢查安個措施的實施;另類人員負責分上具體管理系統的安個上作,包括信息安個管理員、信息保密員和系統管理員等。在分上的基礎上,應有具體的負責人負責整個網絡系統的安個。確立安個管理的原則: 是多人負責原則,即在從事4項安個相關的活動時,必須有兩人以上在場;一是任期有限原則,即任何人小得長期擔任與安個相關的職務,應小定期地循環任職;三是職責分離原則,如計算機的編程與操作、機密資料的傳送和接收、操作與存儲介質保密、系統管理與安個管理等上作職責應當由小同人員負責。另外,各單位還可以根據自身的特點制定系列的規章制度。如要求用戶必須定期升級殺毒軟件、定期備份重要資料,規定軍用計算機小得隨意安裝來路小明的軟件、小得打開陌生郵件,對違反規定的進行處理等等。
(3)重視網絡信息安個人才的培養。加強計算機網絡指揮人員的培訓,使網絡指揮人員熟練通過計算機網絡實施正確的指揮和對信息進行有效的安個管理,保證部隊的網絡信息安個。加強操作人員和管理人員的安個培訓,主要是在平時訓練過程中提高能力,通過小間斷的培訓,提高保密觀念和責任心,加強業務、技術的培訓,提高操作技能;對內部涉密人員更要加強人事管理,定期組織思想教育和安個業務培訓,小斷提高人員的思想素質、技術素質和職業道德。積極鼓勵廣大官兵研究軍隊計算機網絡攻防戰的特點規律,尋找進入和破壞敵力網絡系統的力法,探索竭力阻比敵力網絡入侵,保護己力網絡系統安個的手段。只有擁有支訓練有素、善于信息安個管理的隊伍,才能保證軍隊在未來的信息化戰爭中占據主動權
第四篇:淺談計算機網絡安全問題
1引言
隨著計算機網絡技術的發展,網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網絡系統能夠更加可靠地運行,不受外來入侵者干擾和破壞。所以解決好網絡的安全性和可靠性問題,是保證網絡正常運行的前提和保障。
2網絡安全的重要性
在信息化飛速發展的今天,計算機網絡得到了廣泛應用,但隨著網絡之間的信息傳輸量的急劇增長,一些機構和部門在得益于網絡加快業務運作的同時,其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息,竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容,偽造用戶身份,否認自己的簽名。更有甚者,攻擊者可以刪除數據庫內容,摧毀網絡節點,釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。根據美國FBI(美國聯邦調查局)的調查,美國每年因為網絡安全造成的經濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統的安全問題造成的。超過50%的安全威脅來自內部。而僅有59%的損失可以定量估算。在中國,針對銀行、證券等金融領域的計算機系統的安全問題所造成的經濟損失金額已高達數億元,針對其他行業的網絡安全威脅也時有發生。
由此可見,無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。所以,計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
3網絡安全的理論基礎
國際標準化組織(ISO)曾建議計算機安全的定義為:“計算機系統要保護其硬件、數據不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區分和解決計算機網絡安全問題,美國國防部公布了“桔皮書”(orange book,正式名稱為“可信計算機系統標準評估準則”),對多用戶計算機系統安全級別的劃分進行了規定。
桔皮書將計算機安全由低到高分為四類七級:D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級,C1和C2級是具備最低安全限度的等級,B1和B2級是具有中等安全保護能力的等級,B3和A1屬于最高安全等級。
D1級:計算機安全的最低一級,不要求用戶進行用戶登錄和密碼保護,任何人都可以使用,整個系統是不可信任的,硬件軟件都易被侵襲。
C1級:自主安全保護級,要求硬件有一定的安全級(如計算機帶鎖),用戶必須通過登錄認證方可使用系統,并建立了訪問許可權限機制。
C2級:受控存取保護級,比C1級增加了幾個特性:引進了受控訪問環境,進一步限制了用戶執行某些系統指令;授權分級使系統管理員給用戶分組,授予他們訪問某些程序和分級目錄的權限;采用系統審計,跟蹤記錄所有安全事件及系統管理員工作。
B1級:標記安全保護級,對網絡上每個對象都予實施保護;支持多級安全,對網絡、應用程序工作站實施不同的安全策略;對象必須在訪問控制之下,不允許擁有者自己改變所屬資源的權限。
B2級:結構化保護級,對網絡和計算機系統中所有對象都加以定義,給一個標簽;為工作站、終端等設備分配不同的安全級別;按最小特權原則取消權力無限大的特權用戶。
B3級:安全域級,要求用戶工作站或終端必須通過信任的途徑連接到網絡系統內部的主機上;采用硬件來保護系統的數據存儲區;根據最小特權原則,增加了系統安全員,將系統管理員、系統操作員和系統安全員的職責分離,將人為因素對計算機安全的威脅減至最小。A1級:驗證設計級,是計算機安全級中最高一級,本級包括了以上各級別的所有措施,并附加了一個安全系統的受監視設計;合格的個體必須經過分析并通過這一設計;所有構成系
統的部件的來源都必須有安全保證;還規定了將安全計算機系統運送到現場安裝所必須遵守的程序。
在網絡的具體設計過程中,應根據網絡總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等,綜合考慮來確定一個比較合理、性能較高的網絡安全級別,從而實現網絡的安全性和可靠性。
4網絡安全應具備的功能
為了能更好地適應信息技術的發展,計算機網絡應用系統必須具備以下功能:
(1)訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
(2)檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
(3)攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。
(4)加密通訊:主動地加密通訊,可使攻擊者不能了解、修改敏感信息。
(5)認證:良好的認證體系可防止攻擊者假冒合法用戶。
(6)備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。
(7)多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。
(8)設立安全監控中心:為信息系統提供安全體系管理、監控、保護及緊急情況服務。5網絡系統安全綜合解決措施
要想實現網絡安全功能,應對網絡系統進行全方位防范,從而制定出比較合理的網絡安全體系結構。下面就網絡系統的安全問題,提出一些防范措施。
5.1物理安全
物理安全可以分為兩個方面:一是人為對網絡的損害;二是網絡對使用者的危害。
最常見的是施工人員由于對地下電纜不了解,從而造成電纜的破壞,這種情況可通過立標志牌加以防范;未采用結構化布線的網絡經常會出現使用者對電纜的損壞,這就需要盡量采用結構化布線來安裝網絡;人為或自然災害的影響,需在規劃設計時加以考慮。
網絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等,這需要對網絡的絕緣、接地和屏蔽工作做好。
5.2訪問控制安全
訪問控制識別并驗證用戶,將用戶限制在已授權的活動和資源范圍之內。網絡的訪問控制安全可以從以下幾個方面考慮。
(1)口令
網絡安全系統的最外層防線就是網絡用戶的登錄,在注冊過程中,系統會檢查用戶的登錄名和口令的合法性,只有合法的用戶才可以進入系統。
(2)網絡資源屬主、屬性和訪問權限
網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系,如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性,如可被誰讀、寫或執行等。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統的安全性。
(3)網絡安全監視
網絡監視通稱為“網管”,它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題,如定位網絡故障點、捉
住IP盜用者、控制網絡訪問范圍等。
(4)審計和跟蹤
網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統記帳等方面的記錄和分析。一般由兩部分組成:一是記錄事件,即將各類事件統統記錄到文件中;二是對記錄進行分析和統計,從而找出問題所在。
5.3數據傳輸安全
傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。對數據傳輸安全可以采取如下措施:
(1)加密與數字簽名
任何良好的安全系統必須包括加密!這已成為既定的事實。網絡上的加密可以分為三層:第一層為數據鏈路層加密,即將數據在線路傳輸前后分別對其進行加密和解密,這樣可以減少在傳輸線路上被竊取的危險;第二層是傳輸層的加密,使數據在網絡傳輸期間保持加密狀態;第三層是應用層上的加密,讓網絡應用程序對數據進行加密和解密。當然可以對這三層進行綜合加密,以增強信息的安全性和可靠性。
數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法,它主要通過加密算法和證實協議而實現。
(2)防火墻
防火墻(Firewall)是Internet上廣泛應用的一種安全措施,它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火墻的數據流,盡可能地檢測網絡內外信息、結構和運行狀況,以此來實現網絡的安全保護。
(3)User Name/Password認證
該種認證方式是最常用的一種認證方式,用于操作系統登錄、telnet(遠程登錄)、rlogin(遠程登錄)等,但此種認證方式過程不加密,即password容易被監聽和解密。
(4)使用摘要算法的認證
Radius(遠程撥號認證協議)、OSPF(開放路由協議)、SNMP Security Protocol等均使用共享的Security Key(密鑰),加上摘要算法(MD5)進行認證,但摘要算法是一個不可逆的過程,因此,在認證過程中,由摘要信息不能計算出共享的security key,所以敏感信息不能在網絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。
(5)基于PKI的認證
使用PKI(公開密鑰體系)進行認證和加密。該種方法安全程度較高,綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術,很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高,但是涉及到比較繁重的證書管理任務。
(6)虛擬專用網絡(VPN)技術
VPN技術主要提供在公網上的安全的雙向通訊,采用透明的加密方案以保證數據的完整性和保密性。
VPN技術的工作原理:VPN系統可使分布在不同地方的專用網絡在不可信任的公共網絡上實現安全通信,它采用復雜的算法來加密傳輸的信息,使得敏感的數據不會被竊聽。其處理過程大體是這樣:
① 要保護的主機發送明文信息到連接公共網絡的VPN設備;
② VPN設備根據網管設置的規則,確定是否需要對數據進行加密或讓數據直接通過。③ 對需要加密的數據,VPN設備對整個數據包進行加密和附上數字簽名。
④ VPN設備加上新的數據報頭,其中包括目的地VPN設備需要的安全信息和一些初始化參數。
⑤ VPN設備對加密后的數據、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝,重新封裝后的數據包通過虛擬通道在公網上傳輸。
⑥ 當數據包到達目標VPN設備時,數據包被解封裝,數字簽名被核對無誤后,數據包被解密。
綜上所述,對于計算機網絡傳輸的安全問題,我們必須要做到以下幾點。第一,應嚴格限制上網用戶所訪問的系統信息和資源,這一功能可通過在訪問服務器上設置NetScreen防火墻來實現。第二,應加強對上網用戶的身份認證,使用RADIUS等專用身份驗證服務器。一方面,可以實現對上網用戶帳號的統一管理;另一方面,在身份驗證過程中采用加密的手段,避免用戶口令泄露的可能性。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。一種方法是使用PGP for Business Security對數據加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。VPN在提供網間數據加密的同時,也提供了針對單機用戶的加密客戶端軟件,即采用軟件加密的技術來保證數據傳輸的安全性。
第五篇:淺析計算機網絡安全問題與防范策略
淺析計算機網絡安全與防范措施
關鍵詞: 計算機網絡 安全 防范技術
摘要:隨著計算機科學技術和網絡技術的高速發展,使得計算機系統功能與網絡體系變得日漸復雜與強大。但是計算機網絡技術的飛速發展,在給人們工作和生活提供方便的同時,也對人們構成日益嚴重的網絡網絡安全威脅。數據竊取、黑客侵襲、病毒感染、內部泄密等網絡攻擊問題無時無刻在困擾著用戶的正常使用。因此,如何提高計算機網絡的防范能力,增強網絡的安全措施,已成為當前急需解決的問題。
一、計算機網絡安全的基本概念。
計算機網絡安全是指“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改、泄漏,使系統能連續、可靠、正常運行、網絡服務不中斷,或因破壞后還能迅速恢復正常使用的安全過程。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的可靠性、保密性、真實性、完整性及可用性。本質上,網絡安全就是網絡中信息的安全。
二、計算機網絡安全面臨的威脅
目前,隨著網絡應用的深入以及技術頻繁升級,非法訪問、惡意攻擊等安全威脅也不斷出新。各種潛在的不安全因素使網絡每天都面臨著信息安全方面的威脅。主要面現為:
1.系統漏洞威脅
網絡系統本身存在的安全問題主要來自系統漏洞帶來的威脅,且是不可估量的。系統漏洞是指應用軟件或操作系統軟件在邏輯設計上無意中造成的缺陷或錯誤,形成一個不被注意的通道。許多時候,在運行系統或程序這些漏洞被不法者利用,通過網絡植入木馬、病毒等方式來攻擊或控制整個電腦,竊取電腦中的重要資料和信息,甚至破壞系統。在不同種類的軟、硬件設備,同種設備的不同版本之間,由不同設備構成的不同系統之間,以及同種系統在不同的設置條件下,都會存在各自不同的安全漏洞問題。
2.“黑客”的攻擊
當前黑客是影響網絡安全的最主要因素之一,因為它對網絡構成威脅,造成破壞。黑客是指:計算機網絡行家中,熱衷于神秘而深奧的操作系統之類的程序,又愛移花接木、拼湊或修改程序而隨意攻擊的人。黑客攻擊,是指黑客利用系統漏洞和非常規手段,進行非授權的訪問行為和非法運行系統或非法操作數據。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,并不盜竊系統資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。
3.計算機病毒的攻擊
計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或毀壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。由于計算機病毒具有隱蔽性、傳染性、潛伏性、破壞性、可觸發性、針對性、衍生性的特點。一旦計算機感染上病毒后,輕者會使計算機速度變慢,系統性能下降;重者能破壞系統的正常運行甚至還可以損失硬件,毀掉系統內部數據,格式化磁盤和分區,甚至導致整個網絡癱瘓。
4.網絡設備故障問題。
網絡中的設備包括計算機、網絡通信設備、存儲設備、傳輸設備、防雷系統、抗電磁干擾系統、網絡環境都是網絡安全的重要保障,每個環節設備出現問題,都會造成網絡故障。所以定期和不定期檢測設備、使用先進的網絡設備和產品是網絡安全不可忽視的問題。
5.管理制度的問題
網絡系統的正常運行離不開管理人員的管理。由于對管理措施不當,會造成設備的損壞,保密信息的人為泄露等,因而這些失誤人為的因素是主要的。如果管理不嚴格,網絡安全意識不強,設置的口令過于簡單,重要機密數據不加密,數據備份不及時,用戶級別權限劃分不明確或根本無級別限制,就容易導致病毒、黑客和非法受限用戶入侵網絡系統,讓數據泄露、修改、刪除,甚至使系統崩潰。或者將自己的口令隨意告訴別人或者無意中透露給他人等都會對網絡安全帶來威脅。或是,有條件接觸計算機信息網絡系統的工作人員為了獲取一定的利益故意泄露保密系統的文件和資料和對網絡安全進行破壞的行為。
三、計算機網絡安全的防范技術
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護網絡信息的安全。
1.入侵防范技術
入侵檢測技術只能對網絡系統的運行狀態進行監視,檢測發現各種攻擊企圖、攻擊行為或攻擊結果,無法有效的保護網絡被攻擊破壞。入侵防范軟件重在預防,能夠對應用層滲透,對緩沖區溢出、木馬、后門、SQL注入、XSS進行識別攔截。入侵防范技術的定義是哪些行為是正當的,哪些行為是可疑的,這樣一旦企圖作出超乎預期行為范圍的舉動,入侵防范技術會先發制人地削除不當的系統行為,一些高度結構化的入侵預防系統還能提供預先設定的規則,主動地加強桌面系統和服務器的安全,防止受到特征掃描的技術所無法實現的網絡攻擊的破壞。
2.病毒防范技術
在網絡環境下,病毒傳播的速度非常快,計算機病毒不斷升級,極大威脅到網絡的安全。現在我們普遍使用防病毒軟件進行病毒的防范,常用的防病毒軟件包括單機防病毒軟件和網絡防病毒軟件兩大類。單機病毒可以采取傳統的防治病毒技術,以及采用功能較強的反病毒軟件,基本上可保障計算機系統不受病毒侵害。在結構形式多樣,有局域網、內網和外網、公網和涉密網這樣的網絡中,必須有面向獨立網絡全方位的防病毒產品才能保證網絡系統良好運行。比如計算機網絡系統上安裝網絡病毒防治服務器,在內部網絡服務器上安裝網絡病毒防治軟件。對于網絡防病毒軟件注重網絡防病毒,病毒防范重點應在因特網的接入口,以及外網下的服務器和各獨立內網中心服務器等。
3.防火墻技術
防火墻技術是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是網絡安全的重要屏障,是指在網絡安全邊界控制中,用來陰止從處網想進入給定網絡的非法訪問對象的安全設備。防火墻是軟硬件的安全組合體,一邊與內部網相連另一邊與因特網相連,可根據安全策略需要的各種控制規,阻止未經受、授權的來自因特網或對因特網的訪問,或阻止某些通過訪問對象連接的地址或傳輸的數據包,并以安全管理提供詳細的系統活動的記錄。比如,為保證網絡中計算機的正常運行,可選用網絡級防火墻來防止非法入侵,此類防火墻有分組過濾器和授權服務器,前者可檢查所有流入本網的信息并拒絕不符合實現制定好的一套準則的數據,后者可檢查用戶的登錄是否合法,這樣最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
4.數據加密技術
要保證數據信息及在網絡傳輸中的保密信息不提供給非授權用戶進行更改、竊取、刪除等,應該對數據信息實行加密技術,即使數據被人截獲,沒有密鑰加密數據也不能還原為原數據,網絡數據的安全從而得到保證。數據加密技術是一種限制對網絡上傳輸數據的訪問權的技術主要是通過對網絡中傳輸的信息進行加密鑰匙及加密函數轉換,變成無意義的密文,只有在指定的用戶或網絡下,接收方方可將此密文經過解密函數、解密鑰匙還原成明文卻原數據。加密的基本功能包括:防止不速之客查看機密的數據文件、防止機密數據被泄露或篡
改、防止特權用戶(如系統管理員)查看私人數據文件、使入侵者不能輕易地查找一個系統的文件。數據加密可在網絡OSI七層協議的多層上實現、所以從加密技術應用的邏輯位置看,有三種方式:鏈路加密、節點加密、端對端加密。
5.漏洞掃描技術
漏洞掃描技術是利用網絡系統或者其他網絡設備進行網絡安全檢測,以查找出安全隱患和系統漏洞,并采取相應防范措施,從而降低系統的安全風險而發展起來的一種安全技術。利用漏洞掃描技術,可以對局域網、WEB站點、主機操作系統、系統服務以及防火墻系統的漏洞進行掃描,可以檢查出正在運行的網絡系統中存在的不安全網絡服務,在操作系統上存在的可能會導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢查出主機系統中是否被安裝了竊聽程序,防火墻系統是否存在安全漏洞和配置錯誤。漏洞掃描的結果實際就是對系統安全性能的評估,定時運行漏洞掃描技術,是保證網絡安全不可缺少的手段。
6.其他應對策略
建立健全網絡安全管理制度。只要有網絡存在,就不可避免有網絡安全問題的發生,為了把網絡安全問題降到最低,就要建立健全網絡安全管理制度,強化網絡管理人員和使用人員的安全防范意識,嚴格操作程序,運用最先進的工具和技術,盡可能把不安全的因素降到最低。此外,還要不斷加強網絡安全技術建設,加強計算機信息網絡的安全規范化管理,才能使計算機網絡的安全性得到保障,最大限度保障廣大網絡用戶的利益。最后,作為信息安全的重要內容——數據備份,數據備份與數據恢復是保護數據的最后手段,也是防止主動型信息攻擊的最后一道防線。
四、結語
總之,由于隨著計算機網絡技術的迅速發展和進步,網絡經常受到嚴重的安全攻擊與潛在威脅,采取強有力的安全防范,對于保障網絡的安全性將變得十分重要。因此,我們加強防范意識,建立嚴密的安全防范體系,采用先進的技術和產品,構造全方位的防范策略機制;同時,也要樹立安全意識,建立健全網絡安全管理制度,確保網絡系統能在理想狀態下運行。
參考文獻:劉學輝.計算機網絡安全的威脅因素肪防范技術.中國科技信息.2007(9)
張森.淺談網絡安全面臨的威脅因素.科技園向導.2010(34)
宋華平.計算機網絡安全與防范[J].機電信息.2010(12).孫會儒.淺談計算機網絡安全問題及應對策略.電腦知識與技術.2011(22)
點擊咨詢 