第一篇:計算機網絡安全管理普遍含義
計算機網絡安全管理普遍含義
網絡安全管理是指對所有計算機網絡應用體系中各個方面的安全技術和產品進行統一的管理和協調,進而從整體上提高整個計算機網絡的防御入侵、抵抗攻擊的能力體系。
最初人們對網絡安全的普遍認識是單點式的、分散的安全管理。
一個系統中采用各類不同的安全設施實現不同的安全功能,目前大部分單個的網絡安全管理工具比較分散,各個安全功能需要分別進行配置,不同的管理工具之間缺乏連通性,但是由各種技術和產品構成的系統日益復雜。
管理員如果要實現一個整體安全策略需要對不同的設備分別進行設置,特別是在全局安全策略需要進調整時,很難考慮周全和實現全局的一致性。
網絡管理的趨勢是向分布式、智能化和綜合化方向發展。
(1)基于Web的管理。www以其能簡單、有效地獲取如文本、圖形、聲音與視頻等不同類型的數據在Internet上廣為使用;
(2)基于CORBA的管理。公共對象請求代理體系結構CORBA是由對象管理小組為開發面向對象的應用程序提供的一個通用框架結構;
(3)采用Java技術管理。Java用于異購分布式網絡環境的應用程序開發,它提供了一個易移植、安全、高性能、簡單、多線程和面向對象的環境,實現“一次編譯,到處運行”。將Java技術集成至網絡管理,可以有助于克服傳統的純SNMP的一些問題,降低網絡管理的復雜性。
總之,計算機技術和網絡技術已深入到社會各個領域,人類社會各種活動對計算機網絡的依賴程度已經越來越大。增強社會安全意識教育,普及計算機網絡安全教育,提高計算機網絡安全技術水平,改善其安全現狀,成為當務之急。
第二篇:計算機網絡安全的含義
計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。計算機網絡攻擊的特點
計算機網絡攻擊具有下述特點:①損失巨大。由于攻擊和入侵的對象是網絡上的計算機,所以一旦他們取得成功,就會使網絡中成千上萬臺計算機處于癱瘓狀態,從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。②威脅社會和國家安全。一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。③手段多樣,手法隱蔽。計算機攻擊的手段可以說五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息;也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統;還可以通過一些特殊的方法繞過人們精心設計好的防火墻等等。這些過程都可以在很短的時間內通過任何一臺聯網的計算機完成。因而犯罪不留痕跡,隱蔽性很強。④以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的。它完全不同于人們在生活中所見到的對某些機器設備進行物理上的摧毀。因此,這一方面導致了計算機犯罪的隱蔽性,另一方面又要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。計算機網絡中的安全缺陷及產生的原因
網絡安全缺陷產生的原因主要有:
第一,TCP/IP的脆弱性。因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
第二,網絡結構的不安全性。因特網是一種網間網技術。它是(轉載自中國教育文摘http://,請保留此標記。)由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
第三,易被竊聽。由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
第四,缺乏安全意識。雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:
利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中,入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時,網絡入侵者最容易獲得目標網絡的信任關系,從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址,它們之間互相信任。由于這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。
域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫,它提供主機名字和IP地址之間的轉換信息。通常,網絡用戶通過UDP協議和DNS服務器進行通信,而服務器在特定的53端口監聽,并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名—IP地址映射表時,DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器,所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器,也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。常見的網絡攻擊及其防范對策
5.1 特洛伊木馬
特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統隱藏一個會在Windows啟動時運行的程序,采用服務器/客戶機的運行方式,從而達到在上網時控制你電腦的目的。
特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執行時,表面上是執行正常的程序,而實際上是在執行用戶不希望的程序。特洛伊木馬程序包括兩個部分,即實現攻擊者目的的指令和在網絡中傳播的指令。特洛伊木馬具有很強的生命力,在網絡中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的程序中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網絡攻擊者可以讀寫未經授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時,對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執行,運用網絡掃描軟件定期監視內部主機上的監聽TCP服務。
5.2 郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網絡的帶寬,占據郵箱的空間,使用戶的存儲空間消耗
(轉載自中國教育文摘http://,請保留此標記。)殆盡,從而阻止用戶對正常郵件的接收,防礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息,也可使自己的SMTP連接只能達成指定的服務器,從而免受外界郵件的侵襲。
5.3 過載攻擊
過載攻擊是攻擊者通過服務器長時間發出大量無用的請求,使被攻擊的服務器一直處于繁忙的狀態,從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊,它是通過大量地進行人為地增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處于等待狀態。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數;殺死一些耗時的進程。然而,不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統的響應,從而出現類似拒絕服務的現象。通常,管理員可以使用網絡監視工具來發現這種攻擊,通過主機列表和網絡地址列表來分析問題的所在,也可以登錄防火墻或路由器來發現攻擊究竟是來自于網絡外部還是網絡內部。另外,還可以讓系統自動檢查是否過載或者重新啟動系統。
5.4 淹沒攻擊
正常情況下,TCP連接建立要經歷3次握手的過程,即客戶機向主機發送SYN請求信號;目標主機收到請求信號后向客戶機發送SYN/ACK消息;客戶機收到SYN/ACK消息后再向主機發送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發出SYN請求信號,當被攻擊主機收到SYN請求信號后,它向這臺不存在IP地址的偽裝主機發出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發送RST,因此,造成被攻擊的主機一直處于等待狀態,直至超時。如果攻擊者不斷地向被攻擊的主機發送SYN請求,被攻擊主機就會一直處于等待狀態,從而無法響應其他用戶的請求。
對付淹沒攻擊的最好方法是實時監控系統處于SYN-RECEIVED狀態的連接數,當連接數超過某一給定的數值時,實時關閉這些連接。
第三篇:計算機網絡安全管理
1、雙機雙網的優缺點?優點:(1)、內、外網絡分別使用專用的通線線路和網絡設備,兩
套網絡之間實現了徹底的物理隔離,系統安全性高。(2)、只要在制度和應用中能保證用戶執行專網的規定,不隨意改變計算機的歸屬,就可以實現真正的物理隔離。缺點:
(1)、兩套網絡需要單獨組建和管理,建設和使用成本高。(2)、接入網絡的計算機等設備的利用率低。(3)、內、外網之間無法實現數據共享,且兩套系統之間無法實現實時的數據同步更新。
2、一機雙網的優缺點?優點:(1)、每個用戶只需要配置一臺計算機,節約了成本。(2)、任何時刻只有一塊硬盤和對應的網絡連接被啟動,而另一塊硬盤和對應的網絡連接被切斷,實現了以硬盤訪問位對象的物理隔離。(3)、系統安全性雖然比“雙機網絡”方案差,但能夠滿足對內網數據安全性不是很高的用戶需求。缺點:(1)、需要組建兩套獨立的網絡系統,造成資源的浪費和管理成本的增大。(2)、當在內、外之間切換時需要重啟計算機,給用戶帶來不便。(3)、物理隔離卡上具有多個網絡接口,分別接到內被網絡和外部網絡,物理隔離卡用于實現內外網絡物理隔離。這種方法占用了計算機很多硬件資源,成本也很高。(4)、物理隔離卡的安全性決定著整個系統的安全。
3、計算機病毒的特征:(1)、非權限可執行性。(2)、隱蔽性。(3)、傳染性。(4)、潛伏性
(5)、破壞性(6)、可觸發性(7)、針對性(8)與黑客技術的結合性。
4、計算機病毒的分類:(1)、文件傳染性病毒(2)、引導扇區病毒(3)、主引導記錄病毒
(4)、復合型病毒(5)、宏病毒
5、計算機病毒檢測的實現過程:(1)、從感染源中提取病毒樣本(2)、從病毒樣本中提取
病毒的特征碼(3)、將特征碼導入病毒數據庫(4)、查毒操作
6、防火墻的基本功能:(1)、監控并限制訪問(2)、控制協議和服務(3)、保護內部網絡
(4)網絡地址轉換(5)、虛擬專用網(6)、日志記錄與審計
7、防火墻應用的局限性:(1)、防火墻不能防范未通過自身的網絡連接(2)、防火墻不能
防范全部的威脅(3)、防火墻不能防范內部用戶的惡意破壞(4)、防火墻本身也存在安全問題(6)、認為因素在很大程度上影響了防火墻的功能
8、入侵檢測系統的功能:(1)、監視、分析用戶及系統行為,查找非法用戶和合法用戶的越權操作(2)、系統配置和漏洞的審計檢查(3)、評估重要系統和數據文件的完整性(4)、識別、反應已知攻擊的行為模式并報警(5)、異常行為模式的統計分析(6)操作系統的審計跟蹤管理基違反安全策略的用戶行為的識別
9、數字簽名必須同時滿足以下的要求:(1)、發送者事后不能否應對報文的簽名。(2)、接
收者能夠核實發送的報文簽名。(3)、接收者不能偽造發送者的報文簽名。(4)、接收者不能對發送者的報文進行部分篡改。(5)、網絡的其他用戶不能冒充報文的接收者或發送者。
10、VPN的特點:(1)、費用低(2)、安全保障(3)、服務質量保障(4)課擴張性和靈
活性(5)可管理性
第四篇:計算機網絡安全管理責任狀
計算機網絡安全管理責任狀
為明確任務,落實責任,不斷增強教師的安全防范意識,更好地實施學校計算機與網絡的安全管理,堅決杜絕意外事故的發生,現就加強計算機與網絡的安全管理,打造平安校園,下達責任書,請認真執行。
一、責任目標
1、負責本校計算機與網絡的安全保護管理工作,建立健全安全保護管理制度,定期檢查計算機軟硬件設備,做好計算機病毒和網絡安全的防范工作。
2、每日檢查計算機房、微機室安全設施,使用完畢,及時關閉門窗、電源,做好每天安全臺帳記錄。
3、負責對本校網絡用戶的安全操作培訓。
4、教育與督促學生遵紀守規,愛護機房內所有公物,對不服從管理的學生有權作出取消上機資格的處理。
5、有權對師生員工的上網記錄進行保留,檢查與監督師生員工不利用計算機與網絡從事非法活動,瀏覽不良網頁,或破壞、隨意改變學校網頁內容。
6、定期做好計算機房與微機室環境衛生工作。
二、目標管理措施
1、根據以上目標任務,計算機與網絡安全管理責任人應認真抓好落實工作,嚴格計算機與網絡安全工作的管理,及時解決實施過程中的困難與問題,確保各項工作目標全面完成。
2、明確目標責任人。網管員_______ 為目標責任人。
三、目標考核辦法
以上目標任務,由電教處進行目標考核,并列入教師學期工作考核。凡由于責任不到位,沒有完成任務的,對目標責任人將實行評優“一票否決制”,對出現重大事故并造成重大損失和惡劣影響的,將依法追究相應的管理責任。
四、責任期限
本責任書有效期自____年___月___日至_____年___月____日
五、責任書一式兩份,甲乙雙方各執一份。
甲 方(教導主任)簽名:____ 年___月___日
乙 方(網管員)簽名:___ 年___月___日
第五篇:計算機網絡安全
黃岡職業技術學院
電子信息學院
課程期末項目考核任務書
課程名稱:網絡設備配置與管理學生姓名:張贏學生學號:200902081125專業名稱:計算機網絡技術
2011-2012學年第一學期
電子信息學院教務辦室制
摘要...............2 前言...............2
第1章計算機通信網絡安全概述...........2
第2章影響計算機通信網絡安全的因素分析.....2
2.1影響計算機通信網絡安全的客觀因素...........2
2.1.1網絡資源的共享性............2
2.1.2網絡操作系統的漏洞..........2
2.1.3網絡系統設計的缺陷..........3
2.1.4網絡的開放性................3
2.1.5惡意攻擊.............3
2.2影響計算機網絡通信安全的主觀因素...........3
第3章計算機網絡的安全策略..............3
3.1物理安全策略.............3
3.2常用的網絡安全技術.............3
3.2.1 網絡加密技術................4
3.2.2 防火墻技術...........4
3.2.3 操作系統安全內核技術...............4
3.2.4 身份驗證技術身份驗證技術...........5
3.2.5 網絡防病毒技術..............5
總結...............5 參考文獻.................5摘要:隨著計算機信息技術的迅猛發展,計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。因此,認清網絡的脆弱性和潛在威脅的嚴重性,采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務,它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況,分析網絡安全問題并提出相應對策。
前言:隨著計算機技術的迅速發展,在計算機上完成的工作已由基于單機的文件處理、自動化辦公,發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理,也就是我們常說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
第1章計算機通信網絡安全概述
所謂計算機通信網絡安全,是指根據計算機通信網絡特性,通過相應的安全技術和措施,對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護,防止遭到破壞或竊取,其實質就是要保護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。
第2章影響計算機通信網絡安全的因素分析
計算機通信網絡的安全涉及到多種學科,包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種,這些技術各司其職,保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破壞、更改、泄露,保證系統連續可靠正常運行。
2.1影響計算機通信網絡安全的客觀因素
2.1.1網絡資源的共享性
計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
2.1.2網絡操作系統的漏洞
操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
2.1.3網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。
2.1.4網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
2.1.5惡意攻擊
惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
2.2影響計算機網絡通信安全的主觀因素
主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等。
第3章計算機網絡的安全策略
3.1物理安全策略
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等
級和安全管理范圍。
3.2常用的網絡安全技術
3.2.1 網絡加密技術
網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
3.2.2 防火墻技術
防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
3.2.3 操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
3.2.4 身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
3.2.5 網絡防病毒技術
在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。
總結
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
【1】 陶陽.計算機與網絡安全 重慶:重慶大學出版社,2005.【2】 田園.網絡安全教程 北京:人民郵電出版社,2009.【3】 馮登國.《計算機通信網絡安全》,清華大學出版社,2001
【4】 陳斌.《計算機網絡安全與防御》,信息技術與網絡服務,2006(4):35-37.【5】 William Stallings.網絡安全基礎教程:應用與標準(英文影印版),清華大學出版社,2006(7)
【6】 趙樹升等.《信息安全原理與實現》,清華大學出版社,2004(9)
點擊咨詢 