第一篇:中職計算機網(wǎng)絡安全技術教學探索
龍源期刊網(wǎng) http://.cn
中職計算機網(wǎng)絡安全技術教學探索
作者:沈俊
來源:《科技創(chuàng)新導報》2011年第18期
摘 要:隨著計算機網(wǎng)絡技術的廣泛應用,計算機網(wǎng)絡安全也存在嚴峻的挑戰(zhàn),如何讓中等職業(yè)學校學生適應新技術,能在工作崗位上滿足社會的需要,針對計算機安全問題展開學習。許多中職學校都開設有計算機網(wǎng)絡專業(yè),而計算機網(wǎng)絡專業(yè)教學中很重要的一個部分就是實驗教學。然而沒有扎實的理論,實驗教學也不可能走遠,所以處理好理論和實踐的結合,提高學生舉一反三的能力,是非常必要的。
關鍵詞:網(wǎng)絡安全攻擊漏洞防火墻
中圖分類號:G712 文獻標識碼:A 文章編號:1674-098X(2011)06(c)-0143-01
隨著計算機網(wǎng)絡的廣泛應用,一方面給一些技術型人才帶來新的挑戰(zhàn),同時也使中等職業(yè)教學面臨著嚴峻考驗。在教學過程中,我們卻發(fā)現(xiàn)本課程的課堂教學效果并不理想。主要表現(xiàn)在:網(wǎng)絡安全涉及知識面廣,內(nèi)容復雜,大多數(shù)學生反映網(wǎng)絡安全理論高深莫測,無從下手,對網(wǎng)絡安全的具體應用知之甚少。那么,如何合理選擇教學內(nèi)容如何讓學生更加感性地理解和掌握理論教學內(nèi)容,培養(yǎng)學生的分析能力、綜合解決問題的能力下面結合本人課堂教學實踐,談談如何提高網(wǎng)絡安全技術課的教學效果。影響計算機網(wǎng)絡安全的主要因素
1.1 合理選擇教材內(nèi)容,優(yōu)化教學內(nèi)容體系
《網(wǎng)絡安全技術》課程的教材選擇一直是個難題,至今沒找到特別適合中職學生需求、適合課堂教學的教材。為了克服教材的不足,豐富教學內(nèi)容,提高學生積極性,關鍵是使學生感到學有所用。在“基本理論教學以應用為目的,以必需、夠用為度”的指導下,在保證教材內(nèi)容體系完整的前提下,我們對該課程授課的內(nèi)容與形式作了調(diào)整,設置一些具有典型性的項目。項目一:網(wǎng)絡安全體系結構——網(wǎng)絡測試基本命令的使用;項目二:密碼技術——網(wǎng)上購物與電子支付,PGP加密軟件的使用;項目三:Windows2000操作系統(tǒng)的安全——Windows2000的安全配置,常用的系統(tǒng)進程和服務;項目四:網(wǎng)絡攻擊與防護——網(wǎng)絡嗅探器Snif-fer,使用“冰河”木馬進行遠程控制;項目五:計算機病毒防治——常見反病毒軟件的使用,項目六:防火墻技術——設置個人防火墻,項目七:WWW的安全——Web服務器和瀏覽器的安全配置。
為體現(xiàn)“在學中用,在用中學,學用結合,學以致用”,在項目設計時,我們舍去了深奧的理論,引入了網(wǎng)絡安全發(fā)展的新技術、新概念,把理論知識有機地融入到實驗中去,盡量做到內(nèi)容淺顯易懂,使學生在實踐中不僅能夠理解和掌握基本的理論、原理,還能了解和掌握一定的工程技術知識。
1.2 以能力為導向設計實驗
中職網(wǎng)絡專業(yè)的學生網(wǎng)絡試驗主要有以下幾個方面。
1.2.1 網(wǎng)絡組建方面
網(wǎng)絡綜合布線能力、局域網(wǎng)絡組建能力等。這類實驗主要培養(yǎng)學生網(wǎng)絡組建實施的能力,即對網(wǎng)絡的規(guī)模、設備、應用等進行設計,完成網(wǎng)絡的組建。這方面的實驗有:雙絞線制作實驗、SOHO對等網(wǎng)組建實驗、簡單局域網(wǎng)組建、交換機級聯(lián)和配置實驗、二層交換機的管理IP地址設置實驗、三層交換機的帶寬控制實驗、交換機訪問控制列表實驗。
1.2.2 網(wǎng)絡管理方面
網(wǎng)絡設備管理、網(wǎng)絡故障、性能管理、網(wǎng)絡認證、計費管理等方面的能力。這類實驗主要培養(yǎng)提高學生的網(wǎng)絡管理能力,以應付在工作中會出現(xiàn)的問題。這方面的實驗有:交換機的端口控制、MAC地址的綁定實驗、VLAN配置實驗、三層交換機的VLAN互通實驗、三層交換機接口配置實驗、配置安全的ACL實驗、配置動態(tài)路由實驗、帶寬監(jiān)控維護的實驗等。
1.2.3 網(wǎng)絡安全監(jiān)控方面
網(wǎng)絡安全監(jiān)控方面培養(yǎng)學生的網(wǎng)絡攻擊能力和防護能力,能夠應付一定的網(wǎng)絡攻擊,并且能對安全設備進行配置。這類實驗主要是:防火墻的配置實驗、網(wǎng)絡監(jiān)聽實驗、操作系統(tǒng)安全實驗、數(shù)據(jù)備份與災難恢復實驗等。
1.3 重視對實驗過程的管理
實驗室相比教室而言氛圍寬松很多,如果對實驗過程不加以重視可能實驗課會變成自由活動課。因此,必須制訂出一套行之有效的方法來防止這類情況的發(fā)生。中職學校設備一般都不能滿足所有學生同時上機,因此對學生恰當?shù)姆纸M是非常必要的,充分發(fā)揮組長的作用,是保證實驗效果的重要因素。比如,實驗課時間不得做與實驗無關的事;教師應隨時隨機抽查各實驗小組的進行情況;每隔一段時間教師隨機抽取部分同學檢查,讓學生扎扎實實掌握每一個實驗。通過對學生實驗的監(jiān)督檢查,有利于教師及時發(fā)現(xiàn)學生實驗存在的問題,促使學生改進。2 網(wǎng)絡安全在教學中的實現(xiàn)
2.1 網(wǎng)絡病毒的防范
在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。校園網(wǎng)絡是內(nèi)部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。在我們的校園網(wǎng)先后分別采用了“安博士”的網(wǎng)絡版和“瑞星的網(wǎng)絡版”在使用的過程中,能做到網(wǎng)絡同時殺毒,還可以使用安全策略。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,使網(wǎng)絡免受病毒的侵襲。
2.2 配置防火墻
利用Windows系統(tǒng)自帶的防火墻,在使用中根據(jù)要求,設置完全可以達到很好的效果。在教學中為能實現(xiàn)系統(tǒng)的安全,要求學生要開啟防火墻,并能合理配置,掌握端口添加和端口關閉的方法,這樣可以用不到的端口拒絕,來實現(xiàn)內(nèi)部網(wǎng)絡和外部網(wǎng)絡間訪問控制尺度。允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡,同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡,防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。
2.3 數(shù)據(jù)備份
計算機及網(wǎng)絡技術在信息的收集、處理、存儲、傳輸和分發(fā)中扮演著極其重要的角色,大大提高了工作效率,一些新的問題如系統(tǒng)失敗,數(shù)據(jù)丟失或遭到破壞等,會造成嚴重的后果。可能是人為的因素,也可能是一些不可預測的因素,如病毒、硬件故障、自然災害等。這就要讓學生學會數(shù)據(jù)的備份,制作相應的備份計劃和可靠的措施并能夠進行數(shù)據(jù)恢復。結語
總之,網(wǎng)絡安全是一個系統(tǒng)的工程,不能僅僅依靠某一方面的單個系統(tǒng),而需要仔細考慮系統(tǒng)的安全需求,并將各種安全技術,如密碼技術等結合在一起,才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。結合教學實際,作者粗淺地談了如何提高網(wǎng)絡安全技術課的教學效果,在課程改革的道路上,需要我們共同去探索和實踐。
參考文獻
[1] 謝希仁.計算機網(wǎng)絡(第4版)[M].北京:電子工業(yè)出版社,2003.[2] 容治.計算機網(wǎng)絡教學實驗環(huán)境存在的問題和改革探討[J].科技信息,2007(27).[3] 段治川.關于提高計算機網(wǎng)絡課程教學效果的思考[J].
第二篇:計算機網(wǎng)絡安全保密技術探索
計算機網(wǎng)絡安全保密技術探索
摘要:計算機網(wǎng)絡自身存在著一定的開放性和自由性,而網(wǎng)絡協(xié)議在制定過程中無疑會滋生一些問題和缺陷,這便使得網(wǎng)絡安全面臨著嚴峻的挑戰(zhàn),而計算機網(wǎng)絡技術是帶動經(jīng)濟建設的有效途徑,不能丟棄,其內(nèi)在的入侵行為也變得越來越繁多和復雜,所以,需要采取有效的電子資源保護措施來對網(wǎng)絡系統(tǒng)的安全性進行有效的改善。計算機網(wǎng)絡面臨的安全問題很多,通過前階段的監(jiān)督和管理,可以肯定防火墻的積極作用,但內(nèi)部還有很多未經(jīng)授權的活動在泛濫。為實現(xiàn)防治技術的改進和全面覆蓋,本文具體討論了關于數(shù)據(jù)加密等技術的相關手段。關鍵詞:計算機;網(wǎng)絡安全;保密技術
網(wǎng)絡建設的目的主要是保證全球性的信息匯集。隨著計算機的普及,這種技術也得到了廣泛認可和使用,使人們的交流更加方便,信息的搜索和學習工作更加輕松和全面,沒有時間和空間的差異,人們可以具體實現(xiàn)不同地區(qū)的交流與討論,有效地整合了所有地區(qū)的資源,加強了全世界的有效聯(lián)合,促進了經(jīng)濟等相關事業(yè)的高速發(fā)展。尤其是計算機提供的信息非常豐富和廣闊,對于不同人的精神滿足需要做出了突出貢獻,使我們的生活迎來一個全新的局面和場景時代。但伴隨著信息公開化的危機,使得其在安全保密方面的工作存在著嚴重不足,這便需要我們利用技術手段,分析現(xiàn)下的新型局勢,做到安全有效的改善。
一、計算機網(wǎng)絡安全方面的具體描述
計算機網(wǎng)絡的安全問題是伴隨著計算機網(wǎng)絡的高速發(fā)達一起產(chǎn)生的,由于文化的開放性,在一些資源上要求共享,但隨著網(wǎng)絡用戶的增多,各式各樣的領域的從事者全都龍盤虎踞的聚在一起,使得信息的公開化存在了一些安全方面的危機。嚴重的破壞信息的行為將使國家的利益受到損害,我們必須認識問題的嚴重性,采取積極有效的應對手段,保護信息系統(tǒng)的安全性和穩(wěn)固性,防止任何破壞信息系統(tǒng)的行為的發(fā)生。
網(wǎng)絡安全具體是指借助于有效的網(wǎng)絡管理手段,使網(wǎng)絡環(huán)境中的信息能有一定的完整性和機密性,確保經(jīng)過傳輸?shù)染W(wǎng)絡行為時不會被人探知和發(fā)現(xiàn),因此必須保證網(wǎng)絡環(huán)境的嚴密性和隱私性。嚴密是確保信息在傳輸過程中不被窺探,未授權者無權訪問;隱私就是要求信息在在網(wǎng)絡運轉(zhuǎn)的過程中不會被破壞,甚至掠奪占有。
信息安全主要是針對數(shù)據(jù)傳輸過程中的泄漏現(xiàn)象,禁止任何修改、破壞的行為,保證整個網(wǎng)絡環(huán)境資源的完整性,必須建立切實有效的信息識別機制,防止外界網(wǎng)絡環(huán)境打干擾。這不僅需要技術的支持,而且需要嚴密的管理行為去監(jiān)察,有正確的管理委員組織去限制任何不好行為的出現(xiàn),具體的做到,信息的共享許可,信息的明確分類;而在管理過程中的就要明確需要保護什么,實行的具體的保護措施以及這種措施的有效性,具體涉及的技術手段要結合實際進行商議,找到最新的、最適合我國計算機網(wǎng)絡運行的技術措施,切實地保護網(wǎng)絡環(huán)境的安全。
安全方面的攻擊普及的范圍很廣,不能局限在黑客的攻擊行為,任何涉及安全威脅的行為都應該加以重視,也就包括內(nèi)部操作人員的疏忽下的威脅安全的具體行為。針對這些安全攻擊問題的類型可以通過計算機系統(tǒng)功能進行相關的輔助工作,在具體的信息傳輸過程中安裝監(jiān)視源端和接收用戶的信息傳輸?shù)哪康亩耍唧w的行為表現(xiàn)為:防截取,對未授權的一方訪問系統(tǒng)的行為加以阻止和警告,防止有關重要信息的竊取行為;放中斷,杜絕通過軟件傳輸?shù)玫接嬎銠C運作系統(tǒng)的信息或者凍結計算機使用的行為,主要是信息的篩選工作足夠細致。這些安全攻擊的行為按主體者的角色位置可分為被動型和主動型。被動型主要是截取或監(jiān)聽傳輸?shù)膬?nèi)容,這種攻擊不易被察覺,但是可以通過加密技術,包括鏈路加密等做到有效的防護,對于被動型的安全問題主要采取防范的手段;而主動型的攻擊包括對傳輸數(shù)據(jù)的篡改和偽造,來達到其蒙騙的目的,主要形式為篡改信息和拒絕相關的服務,可以通過假冒傳輸者信任的、合法的計算機主機姓名進行信息發(fā)放,并試圖探尋對方的系統(tǒng),對相關數(shù)據(jù)進行篡改和復制,嚴重時會直接摧毀該網(wǎng)站的系統(tǒng)信息源,這些行為可以通過硬件和軟件的檢測中發(fā)現(xiàn),但很難做到徹底的防護。
二、具體應對的手段和措施
(一)硬件的防護手段
硬件的防護手段主要是保證計算機在運行過程中的硬件設施設備的完全性,防止用戶越權操作,確保計算機在一個良好的電磁兼容的環(huán)境中工作,建立完善的日常管理手段,防止非法進入計算機操作室的行為的發(fā)生。在硬件保護上,具體做到:在電源線和信號線加裝工作中選用良好的濾波器,減小傳輸過程中出現(xiàn)的阻擋,防止導線過于繁瑣造成的堆積和交叉;加強輻射的防護工作,由于計算機的工作范圍內(nèi)充滿著電磁輻射,會對信息的外傳造成隱患,因此要適當?shù)倪\用電磁屏蔽設施,盡量選用低輻射的設備和電磁波的干擾措施。
這些手段的基本原理主要是:低輻射設備的推廣和使用主要是防止計算機在運作過程中的信息泄露,對集成電路、連接線這些易受輻射影響到硬件設備加以防輻射措施的安裝,把設備可能造成的信息泄露方面的隱患杜絕;根據(jù)具體的輻射量的大小,對計算機控制室內(nèi)的具體位置進行屏蔽,并將全局屏蔽籠接地,防止外部人員的進入;利用干擾器的噪聲作用驅(qū)趕計算機工作造成的輻射,防止有用信息的擴散。
(二)相關訪問的控制手段
這種手段主要是為了防止信息被非法使用和訪問,切實的保證網(wǎng)絡環(huán)境的安全。在網(wǎng)絡權限的控制上,主要針對一些非法的網(wǎng)絡操作,用戶要滿足一定的權限,具體規(guī)劃用戶可以了解的信息的方向以及訪問的具體位置,對于程序的統(tǒng)一要足夠深刻,禁止使用來歷不明的程序,網(wǎng)絡管理員要加強網(wǎng)絡服務器的監(jiān)管,對信息進行嚴格篩選,信息的傳輸要滿足一定的協(xié)議,并設有一定的防火墻,防止沒有信息來源的外來信息的混入。
(三)常用的軟件防護手段
可以有效的使用防毒軟件,對任何外來接受信息進行自動過濾,自動獲取有效信息;在企業(yè)內(nèi)部網(wǎng)絡和公共網(wǎng)絡之間建立安全網(wǎng)關,即防火墻,防止私有的網(wǎng)絡資源被盜用,防火墻通常作為軟件單獨的安裝在各個計算機內(nèi),并與網(wǎng)絡的其他部分隔開,自動篩選信息后,使訪問者無法直接存取,但防火墻也有對數(shù)據(jù)沒有充分防范的弱點;還可以采用密碼對信息進行加密,結合虛擬專用網(wǎng)絡的使用,防止任何行為的偷盜和阻斷信息的有效傳輸?shù)男袨椋WC計算機網(wǎng)路系統(tǒng)的安全性。
總結:計算機技術在經(jīng)濟的帶動下越來越發(fā)達,隨著信息化產(chǎn)業(yè)的蓬勃發(fā)展,使得大多數(shù)信息存在著嚴重的安全威脅,因此要加大投入,進行信息安全系統(tǒng)維護技術的革新,采取新型的信息保護措施和手段,有效的實現(xiàn)電子計算機網(wǎng)絡的信息安全保密工作,保證網(wǎng)絡環(huán)境的安全與清潔,實現(xiàn)世界經(jīng)濟發(fā)展的一體化的終極目標。參考文獻:
[1]沈建.阻止信息從七種物理渠道泄露[J].計算機世界,2008(12).[2]周建峰.保密與銷毀,文件安保二重奏[J].電腦愛好者,2011(21).[3]李偉.高校數(shù)字化檔案信息安全的影響因素與對策[J].南陽師范學院學報,2011(4).[4]吳昌永.淺淡構建科學有效的信息安全風險管理系統(tǒng)[J].電腦知識與技術,2011(08).[5]曹宇.手機病毒的特點與防范策略[J].信息與電腦(理論版),2011(23).
第三篇:淺談計算機網(wǎng)絡安全防范技術
論文關鍵詞: 計算機 網(wǎng)絡技術 安全策略 防范技術
論文摘 要: 隨著現(xiàn)代計算機網(wǎng)絡信息技術的發(fā)展,計算機網(wǎng)絡逐漸成為人們生活和工作中不可或缺的組成部分,它改變了人們傳統(tǒng)的工作習慣和生活節(jié)奏。在人們越來越依賴網(wǎng)絡的今天,伴隨著計算機網(wǎng)絡技術的逐步發(fā)展和完善,計算機網(wǎng)絡的信息安全防護已經(jīng)變得越來越重要。文章在計算機網(wǎng)絡安全的概念基礎上,分析了當前計算機網(wǎng)絡安全的現(xiàn)狀,最后提出幾種常見的計算機網(wǎng)絡安全防范策略。
計算機技術和網(wǎng)絡技術的高速發(fā)展,對整個社會的科學技術、經(jīng)濟與文化帶來巨大的推動和沖擊,尤其近十幾年來,計算機網(wǎng)絡在社會生活各方面應用廣泛,已經(jīng)成為人們生活中不可或缺的部分,但同時也給我們帶來許多挑戰(zhàn)。隨著我們對網(wǎng)絡信息資源的開放與共享的需求日益增強,隨之而來的信息安全問題也越來越突出,并且隨著網(wǎng)絡規(guī)模的不斷擴大,網(wǎng)絡安全事故的數(shù)量,以及其造成的損失也在成倍地增長,病毒、黑客、網(wǎng)絡犯罪等給我們的信息安全帶來很大威脅。因此計算機網(wǎng)絡安全是一個綜合的系統(tǒng)工程,需要我們做長期的探索和規(guī)劃。
一、計算機網(wǎng)絡安全的概念與現(xiàn)狀
1.計算機網(wǎng)絡安全的基本概念。
計算機網(wǎng)絡安全是指“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡安全性的含義是信息安全的引申,即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。
2.計算機網(wǎng)絡安全的基本組成。
(1)網(wǎng)絡實體安全:如計算機的物理條件、物理環(huán)境及設施的安全標準,計算機硬件、附屬設備及網(wǎng)絡傳輸線路的安裝及配置等;(2)軟件安全:如保護網(wǎng)絡系統(tǒng)不被非法侵入,系統(tǒng)軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數(shù)據(jù)安全:如保護網(wǎng)絡信息的數(shù)據(jù)安全,不被非法存取,保護其完整、一致等;(4)網(wǎng)絡安全管理:如運行時突發(fā)事件的安全處理等,包括采取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內(nèi)容。
3.計算機網(wǎng)絡安全現(xiàn)狀。
計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有的復雜性和多樣性,使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。在Internet網(wǎng)絡上,因互聯(lián)網(wǎng)本身沒有時空和地域的限制,每當有一種新的攻擊手段產(chǎn)生,就能在一周內(nèi)傳遍全世界。這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力,時至今日,有愈演愈烈之勢。這幾類攻擊手段的新變種,與以前出現(xiàn)的攻擊方法相比,更加智能化,攻擊目標直指互聯(lián)網(wǎng)基礎協(xié)議和操作系統(tǒng)層次,從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新,向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。
二、當前可提高計算機網(wǎng)絡安全的技術
1.網(wǎng)絡安全的審計和跟蹤技術。
審計和跟蹤這種機制一般情況下并不干涉和直接影響主業(yè)務流程,而是通過對主業(yè)務進行記錄、檢查、監(jiān)控等來完成以審計、完整性等要求為主的安全功能。審計和跟蹤所包括的典型技術有:入侵檢測系統(tǒng)(IDS)、漏洞掃描系統(tǒng)、安全審計系統(tǒng),等等。我們以IDS為例,IDS是作為防火墻的合理補充,能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測是一種主動保護網(wǎng)絡和系統(tǒng)安全的技術,它從計算機系統(tǒng)或網(wǎng)絡中采集、分析數(shù)據(jù),查看網(wǎng)絡或主機系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,并采取適當?shù)捻憫胧﹣碜钃豕簦档涂赡艿膿p失。它能提供對內(nèi)部攻擊、外部攻擊和誤操作的保護。入侵檢測系統(tǒng)可分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)兩類。
2.運用防火墻技術。
防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡安全技術,它的核心思想是在不安全的網(wǎng)絡環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。防火墻的最大優(yōu)勢就在于可以對兩個網(wǎng)絡之間的訪問策略進行控制,限制被保護的網(wǎng)絡與互聯(lián)網(wǎng)絡之間,或者與其他網(wǎng)絡之間進行的信息存取、傳遞操作。它具有以下特性:所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它;只有內(nèi)部訪問策略授權的通信才允許通過;系統(tǒng)本身具有高可靠性。不僅如此,防火墻作為網(wǎng)絡安全的監(jiān)視點,它還可以記錄所有通過它的訪問,并提供統(tǒng)計數(shù)據(jù),提供預警和審計功能。防火墻的體系結構有
三種:(1)雙重宿主主機體系結構。它是圍繞具有雙重宿主功能的主機而構筑的,是最基本的防火墻結構。主機充當路由器,是內(nèi)外網(wǎng)絡的接口,能夠從一個網(wǎng)絡向另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。這種類型的防火墻完全依賴于主機,因此該主機的負載一般較大,容易成為網(wǎng)絡瓶頸。對于只進行IP層過濾的安全要求來說,只需在兩塊網(wǎng)卡之間轉(zhuǎn)發(fā)的模塊上插入對IP包的ACL控制即可。但是如果要對應用層進行代理控制,其代理就要設置到這臺雙宿主主機上,所有的應用要先于這個主機進行連接。這樣每個人都需要有一個登錄賬號,增加了聯(lián)網(wǎng)的復雜性。(2)屏蔽主機體系結構,又稱主機過濾結構,它使用一個單獨的路由器來提供內(nèi)部網(wǎng)絡主機之間的服務,在這種體系結構中,主要的安全機制由數(shù)據(jù)包過濾系統(tǒng)來提供。相對于雙重宿主主機體系結構,這種結構允許數(shù)據(jù)包從Internet上進入內(nèi)部網(wǎng)絡,因此對路由器的配置要求較高。(3)屏蔽子網(wǎng)體系結構。它是在屏蔽主機體系結構基礎上添加額外的安全層,并通過添加周邊網(wǎng)絡更進一步把內(nèi)部網(wǎng)絡和Internet隔離開。為此這種結構需要兩個路由器,一個位于周邊網(wǎng)絡和內(nèi)部網(wǎng)絡之間,另一個在周邊網(wǎng)絡和外部網(wǎng)絡之間,這樣黑客即使攻破了堡壘主機,也不能直接入侵內(nèi)部網(wǎng)絡,因為他還需要攻破另外一個路由器。
3.數(shù)據(jù)加密技術。
數(shù)據(jù)加密技術就是對信息進行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實內(nèi)容的一種技術手段。數(shù)據(jù)加密技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術按作用不同可分為數(shù)據(jù)存儲,數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別,以及密鑰的管理技術。數(shù)據(jù)存儲加密技術是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的,可分為密文存儲和存取兩種,數(shù)據(jù)傳輸加密技術的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數(shù)據(jù)內(nèi)容進行驗證,達到保密的要求,系統(tǒng)通過對比驗證對輸入的特征值是否符合預先設定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。
4.網(wǎng)絡病毒的防范。
在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學校、政府機關、企事業(yè)單位等網(wǎng)絡一般是內(nèi)部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡
內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網(wǎng)絡免受病毒的侵襲。
5.提高網(wǎng)絡工作人員的素質(zhì),強化網(wǎng)絡安全責任。
為了強化網(wǎng)絡安全的責任,還有一項重要任務——提高網(wǎng)絡工作人員的管理素質(zhì)。要結合數(shù)據(jù)、軟件、硬件等網(wǎng)絡系統(tǒng)各方面對工作人員進行安全教育,提高責任心,并通過相關業(yè)務技術培訓,提高工作人員的操作技能,網(wǎng)絡系統(tǒng)的安全管理要加以重視,避免人為事故的發(fā)生。由于網(wǎng)絡研究在我國起步較晚,因此網(wǎng)絡安全技術還有待提高和發(fā)展。此外,為了保障網(wǎng)絡能夠安全運行,我們還應該制定完善的管理措施,建立嚴格的管理制度,完善法規(guī)、法律,提高人們對網(wǎng)絡安全的認識,加大對計算機犯罪的法律制裁。
隨著計算機網(wǎng)絡技術的迅速發(fā)展和進步,信息和計算機網(wǎng)絡系統(tǒng)已經(jīng)成為社會發(fā)展的重要保證。由于計算機網(wǎng)絡系統(tǒng)應用范圍的不斷擴大,人們對網(wǎng)絡系統(tǒng)依賴的程度增大,對網(wǎng)絡系統(tǒng)的破壞造成的損失和混亂就會比以往任何時候都大。這使我們對計算機網(wǎng)絡系統(tǒng)信息的安全保護提出了更高的要求,也使得計算機網(wǎng)絡系統(tǒng)信息安全學科的地位顯得更加重要。現(xiàn)在,計算機網(wǎng)絡系統(tǒng)的安全已經(jīng)成為關系到國家安全和主權、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。因此,認清網(wǎng)絡的脆弱性和潛在威脅,采取強有力的安全防范,對于保障網(wǎng)絡的安全性將變得十分重要。
第四篇:淺談計算機網(wǎng)絡安全防范技術
論文關鍵詞: 計算機 網(wǎng)絡技術 安全策略 防范技術
論文摘 要: 隨著現(xiàn)代計算機網(wǎng)絡信息技術的發(fā)展,計算機網(wǎng)絡逐漸成為人們生活和工作中不可或缺的組成部分,它改變了人們傳統(tǒng)的工作習慣和生活節(jié)奏。在人們越來越依賴網(wǎng)絡的今天,伴隨著計算機網(wǎng)絡技術的逐步發(fā)展和完善,計算機網(wǎng)絡的信息安全防護已經(jīng)變得越來越重要。文章在計算機網(wǎng)絡安全的概念基礎上,分析了當前計算機網(wǎng)絡安全的現(xiàn)狀,最后提出幾種常見的計算機網(wǎng)絡安全防范策略。
計算機技術和網(wǎng)絡技術的高速發(fā)展,對整個社會的科學技術、經(jīng)濟與文化帶來巨大的推動和沖擊,尤其近十幾年來,計算機網(wǎng)絡在社會生活各方面應用廣泛,已經(jīng)成為人們生活中不可或缺的部分,但同時也給我們帶來許多挑戰(zhàn)。隨著我們對網(wǎng)絡信息資源的開放與共享的需求日益增強,隨之而來的信息安全問題也越來越突出,并且隨著網(wǎng)絡規(guī)模的不斷擴大,網(wǎng)絡安全事故的數(shù)量,以及其造成的損失也在成倍地增長,病毒、黑客、網(wǎng)絡犯罪等給我們的信息安全帶來很大威脅。因此計算機網(wǎng)絡安全是一個綜合的系統(tǒng)工程,需要我們做長期的探索和規(guī)劃。
一、計算機網(wǎng)絡安全的概念與現(xiàn)狀
1.計算機網(wǎng)絡安全的基本概念。
計算機網(wǎng)絡安全是指“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡安全性的含義是信息安全的引申,即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。
2.計算機網(wǎng)絡安全的基本組成。
(1)網(wǎng)絡實體安全:如計算機的物理條件、物理環(huán)境及設施的安全標準,計算機硬件、附屬設備及網(wǎng)絡傳輸線路的安裝及配置等;(2)軟件安全:如保護網(wǎng)絡系統(tǒng)不被非法侵入,系統(tǒng)軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數(shù)據(jù)安全:如保護網(wǎng)絡信息的數(shù)據(jù)安全,不被非法存取,保護其完整、一致等;(4)網(wǎng)絡安全管理:如運行時突發(fā)事件的安全處理等,包括采取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內(nèi)容。
3.計算機網(wǎng)絡安全現(xiàn)狀。
計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然或惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有的復雜性和多樣性,使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的。在Internet網(wǎng)絡上,因互聯(lián)網(wǎng)本身沒有時空和地域的限制,每當有一種新的攻擊手段產(chǎn)生,就能在一周內(nèi)傳遍全世界。這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer
(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力,時至今日,有愈演愈烈之勢。這幾類攻擊手段的新變種,與以前出現(xiàn)的攻擊方法相比,更加智能化,攻擊目標直指互聯(lián)網(wǎng)基礎協(xié)議和操作系統(tǒng)層次,從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新,向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。
二、當前可提高計算機網(wǎng)絡安全的技術
1.網(wǎng)絡安全的審計和跟蹤技術。
審計和跟蹤這種機制一般情況下并不干涉和直接影響主業(yè)務流程,而是通過對主業(yè)務進行記錄、檢查、監(jiān)控等來完成以審計、完整性等要求為主的安全功能。審計和跟蹤所包括的典型技術有:入侵檢測系統(tǒng)(IDS)、漏洞掃描系統(tǒng)、安全審計系統(tǒng),等等。我們以IDS為例,IDS是作為防火墻的合理補充,能夠幫助系統(tǒng)對付網(wǎng)絡攻擊,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測是一種主動保護網(wǎng)絡和系統(tǒng)安全的技術,它從計算機系統(tǒng)或網(wǎng)絡中采集、分析數(shù)據(jù),查看網(wǎng)絡或主機系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,并采取適當?shù)捻憫胧﹣碜钃豕簦档涂赡艿膿p失。它能提供對內(nèi)部攻擊、外部攻擊和誤操作的保護。入侵檢測系統(tǒng)可分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)兩類。
2.運用防火墻技術。
防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡安全技術,它的核心思想是在不安全的網(wǎng)絡環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。防火墻的最大優(yōu)勢就在于可以對兩個網(wǎng)絡之間的訪問策略進行控制,限制被保護的網(wǎng)絡與互聯(lián)網(wǎng)絡之間,或者與其他網(wǎng)絡之間進行的信息存取、傳遞操作。它具有以下特性:所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它;只有內(nèi)部訪問策略授權的通信才允許通過;系統(tǒng)本身具有高可靠性。不僅如此,防火墻作為網(wǎng)絡安全的監(jiān)視點,它還可以記錄所有通過它的訪問,并提供統(tǒng)計數(shù)據(jù),提供預警和審計功能。防火墻的體系結構有
三種:(1)雙重宿主主機體系結構。它是圍繞具有雙重宿主功能的主機而構筑的,是最基本的防火墻結構。主機充當路由器,是內(nèi)外網(wǎng)絡的接口,能夠從一個網(wǎng)絡向另一個網(wǎng)絡發(fā)送IP數(shù)據(jù)包。這種類型的防火墻完全依賴于主機,因此該主機的負載一般較大,容易成為網(wǎng)絡瓶頸。對于只進行IP層過濾的安全要求來說,只需在兩塊網(wǎng)卡之間轉(zhuǎn)發(fā)的模塊上插入對IP包的ACL控制即可。但是如果要對應用層進行代理控制,其代理就要設置到這臺雙宿主主機上,所有的應用要先于這個主機進行連接。這樣每個人都需要有一個登錄賬號,增加了聯(lián)網(wǎng)的復雜性。(2)屏蔽主機體系結構,又稱主機過濾結構,它使用一個單獨的路由器來提供內(nèi)部網(wǎng)絡主機之間的服務,在這種體系結構中,主要的安全機制由數(shù)據(jù)包過濾系統(tǒng)來提供。相對于雙重宿主主機體系結構,這種結構允許數(shù)據(jù)包從Internet上進入內(nèi)部網(wǎng)絡,因此對路由器的配置要求較高。(3)屏蔽子網(wǎng)體系結構。它是在屏蔽主機體系結構基礎上添加額外的安全層,并通過添加周邊網(wǎng)絡更進一步把內(nèi)部網(wǎng)絡和Internet隔離開。為此這種結構需要兩個路由器,一個位于周邊網(wǎng)絡和內(nèi)部網(wǎng)絡之間,另一個在周邊網(wǎng)絡和外部網(wǎng)絡之間,這樣黑客即使攻破了堡壘主機,也不能直接入侵內(nèi)部網(wǎng)絡,因為他還需要攻破另外一個路由器。
3.數(shù)據(jù)加密技術。
數(shù)據(jù)加密技術就是對信息進行重新編碼,從而隱藏信息內(nèi)容,使非法用戶無法獲取信息的真實內(nèi)容的一種技術手段。數(shù)據(jù)加密技術是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性,防
止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術按作用不同可分為數(shù)據(jù)存儲,數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別,以及密鑰的管理技術。數(shù)據(jù)存儲加密技術是防止在存儲環(huán)節(jié)上的數(shù)據(jù)丟失為目的,可分為密文存儲和存取兩種,數(shù)據(jù)傳輸加密技術的目的是對傳輸中的數(shù)據(jù)流加密。數(shù)據(jù)完整性鑒別是對介入信息的傳送、存取,處理人的身份和相關數(shù)據(jù)內(nèi)容進行驗證,達到保密的要求,系統(tǒng)通過對比驗證對輸入的特征值是否符合預先設定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護。
4.網(wǎng)絡病毒的防范。
在網(wǎng)絡環(huán)境下,病毒傳播擴散快,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學校、政府機關、企事業(yè)單位等網(wǎng)絡一般是內(nèi)部局域網(wǎng),就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網(wǎng)絡免受病毒的侵襲。
5.提高網(wǎng)絡工作人員的素質(zhì),強化網(wǎng)絡安全責任。
為了強化網(wǎng)絡安全的責任,還有一項重要任務——提高網(wǎng)絡工作人員的管理素質(zhì)。要結合數(shù)據(jù)、軟件、硬件等網(wǎng)絡系統(tǒng)各方面對工作人員進行安全教育,提高責任心,并通過相關業(yè)務技術培訓,提高工作人員的操作技能,網(wǎng)絡系統(tǒng)的安全管理要加以重視,避免人為事故的發(fā)生。由于網(wǎng)絡研究在我國起步較晚,因此網(wǎng)絡安全技術還有待提高和發(fā)展。此外,為了保障網(wǎng)絡能夠安全運行,我們還應該制定完善的管理措施,建立嚴格的管理制度,完善法規(guī)、法律,提高人們對網(wǎng)絡安全的認識,加大對計算機犯罪的法律制裁。
隨著計算機網(wǎng)絡技術的迅速發(fā)展和進步,信息和計算機網(wǎng)絡系統(tǒng)已經(jīng)成為社會發(fā)展的重要保證。由于計算機網(wǎng)絡系統(tǒng)應用范圍的不斷擴大,人們對網(wǎng)絡系統(tǒng)依賴的程度增大,對網(wǎng)絡系統(tǒng)的破壞造成的損失和混亂就會比以往任何時候都大。這使我們對計算機網(wǎng)絡系統(tǒng)信息的安全保護提出了更高的要求,也使得計算機網(wǎng)絡系統(tǒng)信息安全學科的地位顯得更加重要。現(xiàn)在,計算機網(wǎng)絡系統(tǒng)的安全已經(jīng)成為關系到國家安全和主權、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。因此,認清網(wǎng)絡的脆弱性和潛在威脅,采取強有力的安全防范,對于保障網(wǎng)絡的安全性將變得十分重要。
參考文獻:[1]嚴有日.論計算機網(wǎng)絡安全問題及防范措施.赤峰學院學報(自然科學版),2010.3.[2]王華.淺談計算機網(wǎng)絡安全技術應用.科技經(jīng)濟市場,2010.9.[3]吳曉東.計算機網(wǎng)絡信息安全防護探析.現(xiàn)代商業(yè),2010.27.[4]全豐菽.計算機網(wǎng)絡安全的防范策略分析.信息與電腦,2010.8.
第五篇:計算機網(wǎng)絡安全技術課程論文
淺談計算機網(wǎng)絡安全技術
學號******姓名 ** .1摘要:隨著計算機網(wǎng)絡在人類生活領域中的廣泛應用,針對計算機網(wǎng)絡的攻擊事件也隨之增加。網(wǎng)絡已經(jīng)無所不在的影響著社會的政治、經(jīng)濟、文化、軍事、意識形態(tài)和社會生活等各個方面。同時在全球范圍內(nèi),針對重要信息資源和網(wǎng)絡基礎設施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加,網(wǎng)絡攻擊與入侵行為對國家安全、經(jīng)濟和社會生活造成了極大的威脅。諸如此類的事件已給政府及企業(yè)造成了巨大的損失,甚至危害到國家的安全。網(wǎng)絡安全已成為世界各國當今共同關注的焦點,網(wǎng)絡安全的重要性是不言而喻的,因此,對漏洞的了解及防范也相對重要起來。在我的這篇論文里,將綜合概括計算機網(wǎng)絡安全來源,計算機通信網(wǎng)絡安全的客觀因素,以及應對計算機通信網(wǎng)絡安全的基本策略。
關鍵詞 :網(wǎng)絡安全的來源 /計算機網(wǎng)絡安全/ 防護技術
.2引言
隨著信息時代的加速到來,人們對因特網(wǎng)的依賴也越來越強,網(wǎng)絡已成為人們生活中不可缺少的一部分。計算機網(wǎng)絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰(zhàn)。
組織和單位的計算機網(wǎng)絡是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網(wǎng)絡防御系統(tǒng),他就有訪問成千上萬計算機的可能性。據(jù)統(tǒng)計,近年來因網(wǎng)絡安全事故造成的損失每年高達上千億美元。計算機系統(tǒng)的脆弱性已為各國政府與機構所認識,因此對于計算機網(wǎng)絡安全的建立與防護得到各國的極度關注。建立安全的全球性安全網(wǎng)絡是件迫不及待的任務,各國人們都在此投入大量人力,物力,財力來確保計算機網(wǎng)絡安全。
.3影響計算機通信網(wǎng)絡安全的因素分析
3.1影響計算機通信網(wǎng)絡安全的客觀因素。
3.1.1 網(wǎng)絡資源的共享性。計算機網(wǎng)絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網(wǎng)絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。
3.1.2
網(wǎng)絡操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計算機操作系統(tǒng)本身所存在的問題或技術缺陷。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。
3.1.3網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結構的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。
3.1.4網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的信息。
3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡病毒.是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網(wǎng)絡服務的黑客方式,雖然具體的實現(xiàn)方式千變?nèi)f化,但都有一個共同點,就是其根本目的是使受害主機或網(wǎng)絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現(xiàn)方式有以下幾種:(1)制造大流量無用數(shù)據(jù),造成通往被攻擊主機的網(wǎng)絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷,反復高頻的發(fā)出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷,反復發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源,使主機處于掛起狀態(tài)甚至死機。
DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡的誕生以來,就伴隨著互聯(lián)網(wǎng)絡的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網(wǎng)絡社區(qū)都有共享黑客軟件的傳統(tǒng),并會在一起交流攻擊的心得經(jīng)驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網(wǎng)者都可能構成網(wǎng)絡安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
3.2影響計算機網(wǎng)絡通信安全的主觀因素。主要是計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等網(wǎng)絡安全 4.1.防火墻技術
目前,防火墻有兩個關鍵技術,一是包過濾技術,二是代理服務技術。1)包過濾技術
包過濾技術主要是基于路由的技術,即依據(jù)靜態(tài)或動態(tài)的過濾邏輯,在對數(shù)據(jù)包進行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進行識別,只能對整個網(wǎng)絡提供保護。一般說來,包過濾必須使用兩塊網(wǎng)卡,即一塊網(wǎng)卡連到公網(wǎng),一塊網(wǎng)卡連到內(nèi)網(wǎng),以實現(xiàn)對網(wǎng)上通信進行實時和雙向的控制。
包過濾技術具有運行速度快和基本不依賴于應用的優(yōu)點,但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進行操作,而無法對用戶在某些協(xié)議上進行各種不同要求服務的內(nèi)容分別處理,即只是機械地允許或拒絕某種類型的服務,而不能對服務中的某個具體操作進行控制。因此,對于有些來自不安全的服務器的服務,僅依靠包過濾就不能起到保護內(nèi)部網(wǎng)的作用了。2)代理服務技術
代理服務又稱為應用級防火墻、代理防火墻或應用網(wǎng)關,一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成,其不僅能理解數(shù)據(jù)包頭的信息,還能理解應用信息本身的內(nèi)容。當一個遠程用戶連接到某個運行代理服務的網(wǎng)絡時,防火墻端的代理服務器即進行連接,IP報文即不再向前轉(zhuǎn)發(fā)而進入內(nèi)網(wǎng)。
代理服務通常被認為是最安全的防火墻技術,因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。
代理服務的代理工作在客戶機和服務器之間,具有完全控制會話和提供詳細日志、安全審計的功能,而且代理服務器的配置可以隱藏內(nèi)網(wǎng)的IP地址,保護內(nèi)部主機免受外部的攻擊。此外,代理服務還可以過濾協(xié)議,如過濾FTP連接,拒絕使用PUT命令等,以保證用戶不將文件寫到匿名的服務器上去。
代理服務在轉(zhuǎn)發(fā)網(wǎng)絡數(shù)據(jù)包的方式與包過濾防火墻也不同,包過濾防火墻是在網(wǎng)絡層轉(zhuǎn)發(fā)網(wǎng)絡數(shù)據(jù)包,而代理服務則在應用層轉(zhuǎn)發(fā)網(wǎng)絡訪問。
以上介紹了兩種防火墻技術。由于此項技術在網(wǎng)絡安全中具有不可替代的作用,因而在最近十多年里得到了較大的發(fā)展,已有四類防火墻在流行,即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。4.2.防病毒技術
Internet在為人類傳播和交換信息的同時,也為計算機病毒的傳播和發(fā)展提供了良好的平臺,針對網(wǎng)絡的病毒正以驚人的速度,向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應平臺更廣泛的方向發(fā)展。計算機網(wǎng)絡安全防范的一項重要內(nèi)容,就是在充分保證計算機網(wǎng)絡安全和對計算機網(wǎng)絡性能影響最小的前提下,有效地防止計算機病毒的侵襲。
4.3.加強計算機網(wǎng)絡安全的對策措施
4.3.1 加強網(wǎng)絡安全教育和管理
對工作人員結合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各個方面安全問題,進行安全教育,提高工作人員的安全觀念和責任心;加強業(yè)務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定,防止人為事故的發(fā)生。同時,要保護傳輸線路安全。對于傳輸線路,應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻__射引起的數(shù)據(jù)錯誤;線纜鋪設應當盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況,以檢測是否有搭線竊聽、非法外連或破壞行為。
4.3.2 運用網(wǎng)絡加密技術
網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種:①鏈接加密。在網(wǎng)絡節(jié)點間加密,在節(jié)點間傳輸加密的信息,傳送到節(jié)點后解密,不同節(jié)點間用不同的密碼。②節(jié)點加密。與鏈接加密類似,不同的只是當數(shù)據(jù)在節(jié)點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網(wǎng)絡的數(shù)據(jù)加密,然后待數(shù)據(jù)從網(wǎng)絡傳送出后再進行解密。網(wǎng)絡的加密技術很多,在實際應用中,人們通常根據(jù)各種加密算法結合在一起使用,這樣可以更加有效地加強網(wǎng)絡的完全性。網(wǎng)絡加密技術也是網(wǎng)絡安全最有效的技術之一。既可以對付惡意軟件攻擊,又可以防止非授權用戶的訪問。
4.3.3 加強計算機網(wǎng)絡訪問控制:
訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和非正常訪問,也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制技術主要包括入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制。根據(jù)網(wǎng)絡安全的等級、網(wǎng)絡空間的環(huán)境不同,可靈活地設置訪問控制的種類和數(shù)量。
4.3.4 使用防火墻技術:
采用防火墻技術是解決網(wǎng)絡安全問題的主要手段。防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息技術基礎上的應用性安全技術,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡之間執(zhí)行訪問控制策略的系統(tǒng),通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制,并且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動,保證內(nèi)部網(wǎng)絡的安全。防火墻的應用可最大限度地保障網(wǎng)絡的正常運行,它可以起著提高內(nèi)部網(wǎng)絡的安全性、強化網(wǎng)絡安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡防毒、信息加密、存儲通信、授權、認證等重要作用。
總之,網(wǎng)絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術措施。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網(wǎng)絡提供強大的安全保證。
05計算機網(wǎng)絡的安全策略
5.4.1物理安全策略。物理安全策略目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強網(wǎng)絡的安全管理,制定有關規(guī)章制度,對于確保網(wǎng)絡的安全、可靠地運行,將起到十分有效的作用。網(wǎng)絡安全管理策略包括:確定安全管理等級和安全管理范圍;
5.4.2常用的網(wǎng)絡安全技術。
5.2.1 網(wǎng)絡加密技術。網(wǎng)絡加密技術是網(wǎng)絡安全最有效的技術之一。一個加密網(wǎng)絡,不但可以防止非授權用戶的搭線竊聽和入網(wǎng),而且也是對付惡意軟件的有效方法之一。網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密,端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡情況選擇上述三種加密方式。
如果按照收發(fā)雙方的密鑰是否相同來分類,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規(guī)密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
5.2.2 防火墻技術。防火墻技術是設置在被保護網(wǎng)絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關,從而保護內(nèi)部網(wǎng)絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數(shù)據(jù)流,來保證通信網(wǎng)絡的安全對今后計算機通信網(wǎng)絡的發(fā)展尤為重要。
根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。
5.2.3 操作系統(tǒng)安全內(nèi)核技術。操作系統(tǒng)安全內(nèi)核技術除了在傳統(tǒng)網(wǎng)絡安全技術上著手,人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去,從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括:采用安全性較高的操作系統(tǒng);對操作系統(tǒng)的安全配置;利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部技術標準把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別;②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權限;③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄;④可以創(chuàng)建其他具有系統(tǒng)管理權限的用戶。
5.2.5 身份驗證技術身份驗證技術。身份驗證技術身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié),人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
5.2.6 網(wǎng)絡防病毒技術。在網(wǎng)絡環(huán)境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網(wǎng)絡安全技術中重要的一環(huán)。網(wǎng)絡防病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測,工作站上采用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。防病毒必須從網(wǎng)絡整體考慮,從方便管理人員的能,在夜間對全網(wǎng)的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網(wǎng)絡上每一臺機器出現(xiàn)故障、病毒侵入時,網(wǎng)絡管理人員都能及時知道,從而從管理中心處予以解決。06結束語
隨著信息技術的飛速發(fā)展,影響通信網(wǎng)絡安全的各種因素也會不斷強化,因此計算機網(wǎng)絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患,并探討了計算機網(wǎng)絡的幾種安全防范措施。
總的來說,網(wǎng)絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng),隨著計算機網(wǎng)絡技術的進一步發(fā)展,網(wǎng)絡安全防護技術也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。
參考文獻
[1]吳鈺鋒,劉泉,李方敏.網(wǎng)絡安全中的密碼技術研究及其應用[J].真空電子技術,2004.[2]楊義先.網(wǎng)絡安全理論與技術[M].北京:人民郵電出版社,2003.[3]李學詩.計算機系統(tǒng)安全技術[M].武漢:華中理工大學出版社,2003.
點擊咨詢 