網絡安全防范策略范文
時間:2023-11-10 18:14:28
導語:如何才能寫好一篇網絡安全防范策略,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
【關鍵詞】云計算環境;網絡安全;防范技術
隨著當前社會經濟的逐漸發展,網絡技術的通信能力和計算機技術水平也在不斷加強,網絡問題也成為了越來越多人關注的焦點。網絡安全問題涉及的范圍較為廣泛,包括了網絡使用的安全可靠性、網絡軟件的實施安全、以及網絡信息安全等等方面。筆者主要分析當前經濟現狀對網絡安全在云計算環境下引發的一系列問題,有效提出相應策劃方案,從根本上提高網絡安全性和云計算的工作運行質量。
一、網絡安全在云計算環境下的主要影響要素
云計算技術的主要發展是把計算內容分布于由計算機構建的各個資源平臺中,有助于網絡用戶更好地進行計算、貯存信息等快捷服務,雖然云計算為人們帶來了不少便利,但云計算環境下的網絡安全問題依舊不容忽視。當前我國網絡信息安全方面還缺乏相應的治理策略,用戶在訪問網站的同時,基于各大網站不同的防火墻,網絡權限也在不斷被擴展,一旦某網站被一些不法分子控制,這也將會成為網絡風險中的一大隱患。另一方面,網絡系統的幾個方面都存在著脆弱和不牢靠的情況。一是數據庫的薄弱,在信息的儲存上,數據庫是最主要的主干,其決定著信息的完整性、保密性和可靠性幾點,如果網絡系統出現了用戶信息遭竊取,就會給信息安全帶來很嚴重的影響。二是通信系統的不完善和脆弱,如一些E-mail、FTP等等存在著相應的漏洞,這也在一定程度上成為了黑客利用的工具。三是計算機操作系統上的不足,在一些特定的情況下,當計算機受到黑客的攻擊,而且在攻擊之后也無法留下相關痕跡,不會影響到網絡用戶對于數據的獲取,這在網絡系統中也是一大安全問題。網絡的環境較為復雜,無論是生活還是學習,包括如今社會的衣食住行,都離不開計算機技術和網絡,計算機的云計算也在逐漸遍布家家戶戶,網絡信息的運用者群體也在不斷增加,這也導致了網絡風險因素在不斷擴大,比較常見的有網絡欺詐行為、黑客病毒的入侵等等,都對網絡用戶人身財產安全造成威脅。
二、云計算環境下常用的網絡安全技術
2.1反病毒技術計算機網絡病毒在當今時代已不是一件新鮮事了,隨著計算機水平的提高,網絡病毒也在不斷更新,為了有效預防和抵制病毒,避免病毒給計算機系統造成更深層次的風險,也研究出了新的技術,如反病毒技術,此技術一般有兩種形式,一是靜態反病毒模式,這種方式主要針對的是網絡技術實施過程中的檢測和管理,按照網絡具體的運行情況來分析病毒的存在特征,從而保證了用戶信息的安全;二是動態反病毒模式,這種技術方法有著非常好的防控病毒效果,而且防控病毒的技術資源需要與大眾資源配置都十分接近,方便可行,能有效地加強病毒防控,保證信息資源的完整性。2.2智能防火墻技術較于傳統的防火墻,智能防火墻技術沒有采用數據過濾的體系原則,而是采用模糊數據庫的檢索功能,然后依據人工智能識別的技術,對數據規則進行動態化的模糊識別,運用這種新型技術方式,對網絡安全實況進行具體的分析,及時將需要保護的網絡安全數據計算出來,為用戶提供一個安全可靠的網絡環境。智能防火墻技術一般分為以下三種:1、防掃描技術掃描技術是計算機被病毒入侵,內部發生一定紊亂,其各項信息將會被惡意掃描的形式竊取,智能防火墻在這里的合理運用,可以有效地預防黑客入侵,阻止網絡信息被包裝和掃描,進而強化信息數據的安全性。2、入侵防御網絡用戶在訪問網站時,經常會出現數據包侵入主機的現象,這樣的隱患一旦出現,就會危害到用戶的正常數據,用戶很難再進行數據的使用,而智能防火墻可以對網絡數據加以防護,將數據安全的等級進行提升。3、防欺騙技術在用戶訪問網頁時,還會經常出現MAC地址、裝作IP地址進入計算機網絡中的情況,在智能防火墻的使用中,可以有效地限制MAC地址,從而避免入侵帶來的危害,提高網絡信息安全的系數。2.3加密技術在云計算的環境下,加密技術是一項必不可少的重要網絡技術,這種技術主要被用于計算機網絡的防御中,通常采用加密算法對計算機網絡信息加以控制,將其轉換為無法被第三方而已獲取的信息數據,添加密鑰,想要獲取必須使用正確的密鑰才可以打開,這也大大提升了網絡數據的安全性和可靠性。加密技術在云計算環境下的實施中,一般有兩種常用技術體現,對稱加密和非對稱加密技術,前者主要采用DES加密技術,后者主要運用了PKI技術與DES緩和等等技術。
三、計算機網絡安全技術在云計算環境下的防范策略
作為網絡技術的使用者,網絡用戶需要提高在日常上網中的安全防范意識,制定相應的計算機網絡安全基本戰略目標。首先,需要對計算機網絡的使用采用實名身份認證,使用網絡授權,對主體內容加以明確和分析,這也可以在一定程度上為計算機網絡用戶提供安全性能的保障。在計算機網絡的使用中,也要強化監管功能,及時確保網絡安全技術上的安全,做到及時性和全面性的檢查,對云計算環境下計算機網絡中易出現的安全問題進行認真分析、科學化整理,積累相關的經驗,并對這些漏洞提出有效的應對和抵御方案,避免不良因素的影響。對于未經授權惡意篡改用戶信息的行為,要制定相關的網絡安全制度來加以控制,只有在制定上有一定支撐,才可以體現網絡違法行為的代價,另外也需要更大力度上提升網民的安全隱患意識,相關部門應加大對計算機網絡技術的發開投入,有效地保證計算機數據安全在云計算環境下得到合理、有效地提升。最后在保證網絡數據完整性的前提下,對相關的網絡技術進行創新和完善,找尋更加科學和高效的技術,網絡研究人員也要不斷地提升自我綜合素質,在分析和探討的過程中積極開發,為網絡安全的檢測提供更加合理有效的策略。開發新的安全防御技術也是很有必要的,以避免出現更多的計算機網絡風險。
四、總結
隨著社會科技的不斷進步,計算機網絡技術也在逐步發展,但在云計算環境下的網絡安全仍舊存在諸多不足和風險,要想發揮計算機網絡在社會中的重要促進作用,就必須加強網絡安全防控措施,合理運用各項安全防范技術來保障網絡信息的安全,為網絡提供一個良好的網絡環境,并且在網絡監管工作上加強力度,有效提高計算機網絡的安全性。
參考文獻
[1]宋歌.網絡安全技術在云計算環境下的探討[J].無線互聯科技,2016,(21):33-34+60.
[2]肖澤.云計算環境下網絡安全防范技術分析[J].網絡安全技術與應用,2016,(01):54+56.
[3]朱睿.探索云計算環境下網絡安全技術實現路徑[J].數字技術與應用,2015,(04):193.
[4]閆盛,石淼.基于云計算環境下的網絡安全技術實現[J].計算機光盤軟件與應用,2014,(23):168+170.
篇2
關鍵詞:計算機;網絡;安全策略;防范
無論是在局域網還是在廣域網中,都存在著諸多因素的安全威脅,如何確保網絡信息的保密性、完整性和可用性成為當前必須要解決和長期維護必要的課題。
一、計算機網絡安全面臨的困難
計算機網絡技術本身就是一種技術集合,肯定存在著一定的安全隱患,再加上一些人的人為因素,使得網絡信息的安全受到嚴重的挑戰。縱觀目前出現的網絡安全問題,我們歸納總結以下5點,來對網絡安全面臨的問題進行詮釋:
一是來自不可抗力因素威脅。主要體現在來自自然災害的破壞,如地震、雷擊、洪水及其他天災造成的損害。
二是來自操作不當帶來的損失。主要是操作人員操作不當造成的系統文件被刪除,磁盤被格式化等,還有就是因為網絡管理員對網絡的設置存在漏洞,造成網絡高手潛入威脅,有些用戶網絡安全意識不強,對用戶口令的選擇考慮不周,或者將自己的帳號沒有防備的輕信他人,造成與別人共享等,都會給網絡安全帶來威脅。
三是網絡“黑客”有意威脅。網絡“黑客”是目前計算機網絡所面臨的最大敵人,他們以各種方式進行有選擇地破壞電腦系統,造成計算機系統信息的不完整性;還有就是他們在不影響你電腦網絡正常工作情況下,在秘密進行截獲電腦傳送、竊取電腦儲存內容、破譯電腦程序以獲得更有效的攻擊目標。
二、計算機網絡的安全策略分析
隨著計算機系統功能的不斷完善,網絡體系化不斷加強,人們對網絡的依賴越來越強,網絡對人們的生活產生了巨大的影響,提高計算機網絡的防御能力,增強網絡的安全措施,已成為當前急需解決的問題。
1、計算機網絡安全的物理安全特性
物理安全是計算機安全的前提,是指計算機存在的環境和操作基本要求,包括自然環境,使用環境,關聯環境等,自然環境是要求設備在天災因素下的保護設施要求,更多的是考慮由于自然環境的變化引起的不必要的其他損害;使用環境強調的是建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生,更加防止計算機人為操作帶來的破壞和搭線攻擊,驗證用戶的身份和使用權限、防止用戶越權操作;關聯環境強調的是確保計算機系統有一個良好的電磁兼容工作環境,打印機、掃描儀、關聯設備的安全。
2、控制訪問策略
控制訪問是網絡安全防范和保護的主要策略,目的是保證計算機正常使用,網絡資源不被非法使用和非常訪問。也是維護網絡系統安全、保護網絡資源的重要手段,控制訪問可以說是保證網絡安全最重要的核心策略之一,只有電腦操作者嚴格控制訪問限制,保護自己的網絡網絡安全是沒有問題的。
一是限制入網訪問權利。入網訪問控制是網絡安全第一道防線。用戶名或用戶帳號是所有計算機系統中最基本的入網許可證據,是最安全形式之一。它控制一些用戶能夠登錄到服務器并獲取網絡資源,控制一些用戶入網的時間和準許他們在哪臺工作站入網等。用戶可以修改自己的口令,但系統管理員可以控制口令的最小長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數等。
二是文件目錄屬性級別安全設置。當文件、目錄和網絡設備在網絡系統管理員賦予一定的指定訪問屬性后。用戶的權限被限制在對所有文件和子目錄有效,還可進一步對指定目錄下的子目錄和文件的權限進行控制。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性,來抵御來自各個方面的網絡破壞。
3、網絡信息安全的技術保障策略
不安全的網絡一旦遭到惡意攻擊,將會造成巨大的損失。目前,適應各個行業和不同用戶的網絡軟件技術措施仍是最直接、最常用和有效的的網絡屏障,也是最有效的保護措施,下面就基本的措施做簡單總結。
一是采用先進的密碼技術。密碼技術體現在網絡使用者身上有加密需要,還要有解密技術。加密是網絡與信息安全保密的重要基礎,是防止被破壞網絡的有效措施。它是將需要保護的對象采用一些既定方式進行某種編排和篆寫,形成獨又的一種密文,保護自己的產品不被攻擊。
二是進行數字簽名確認。對于網絡上自由傳輸的電子文檔,完全可以使用數字簽名的方法來實現傳輸內容的確認。數據簽名一般采用不對稱加密技術,通過雙方認可或者約定的認可來證明身份的真實性,來確保文件傳輸的有效性和合法性,杜絕因此產生的流氓、抵賴、交換等行為的發生。
三、計算機網絡安全防范預警
一是必須拒絕不明服務攻擊。通過以上分析,對不明服務要提高警惕,黑客攻擊的主要目標是計算機網絡安全意識不夠的客戶,目的是讓你的計算機及網絡無法提供正常的使用。它基本上可以破壞計算機網絡使用的硬件設備,消耗計算機及網絡中不可再生的資源等,讓計算機處于癱瘓狀態。
二是堅決拒絕欺騙攻擊。黑客會利用TCP/IP協議本身的缺陷進行網絡攻擊,或者進行DNS設置進行欺騙和Web頁面進行欺騙,打破常規預防措施,提高警惕,以免上當受騙。
三是監測功能對移動設備的攻擊。日前,通過手機、PDA及其他無線設備感染惡意軟件的數量在不斷增加,破壞移動設備的正常使用,達到其不法傳播的目的,提高使用者的安全防范迫在眉睫。
縱上所述,只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,避免不必要的損失。
參考文獻:
[1]齊德顯,胡錚.網絡與信息資源管理[M].北京:北京兵器工業出版社,北京:北京希望電子出版社,2005.
篇3
關鍵詞:計算機網絡網絡安全策略
計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化,已經成為信息時代的主要推動力,在帶來了前所未有的海量信息的同時,其網絡數據也遭到不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息,竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容,偽造用戶身份,否認自己的簽名。甚至攻擊者可以刪除數據庫內容,摧毀網絡節點,釋放計算機病毒等等。因此,網絡信息的安全性變得日益重要,受到社會的各個方面的重視。
一、計算機網絡存在的安全隱患
計算機網絡存在的安全隱患主要來自于以下幾個方面。
1.網絡系統本身的問題
一是操作系統存在的網絡安全漏洞。
二是網絡硬件的配置不協調。
三是防火墻配置不完善。
2.來自內部網絡用戶的安全威脅
使用者缺乏安全意識,許多應用服務系統的訪問控制及安全通信方面考慮較少,并且,如果系統設置錯誤,很容易造成損失。管理制度不健全,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限,利用這些權限破壞網絡安全的隱患也是存在的。另外,有一些內部用戶利用自身的合法身份有意對數據進行破壞。如操作口令的泄漏 ,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,內部人員有意無意的泄漏給黑客帶來可乘之機等,都可能使網絡安全機制形同虛設。
3.來自外部的安全威脅
(1)自然災害、意外事故。
(2)硬件故障。
(3)網絡軟件的漏洞和“后門”。
(4)黑客的威脅和攻擊。
(5)計算機病毒。
(6)信息戰的嚴重威脅。
(7)計算機犯罪。
(8)網絡協議中的缺陷。
二、計算機網絡安全防范策略
常用的計算機網絡安全防范策略有:物理安全策略、訪問控制策略、信息加密策略、網絡安全管理策略。
1.物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
2.訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之一。常用的訪問控制策略包括:入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡端口和節點的安全控制、防火墻控制等。
3.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。密碼技術是網絡安全最有效的技術之一。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端—端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
4.網絡安全管理策略
網絡安全除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統本身的安全問題,也包括內部和外部的安全威脅。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網絡提供強大的安全保證。
參考文獻:
[1]劉羿,謝先彬.電子商務網絡技術基礎[M].北京.高等教育出版社,2001(4).
[2]郭春平.網絡安全體系[J].計算機世界.1999.
[3]李學詩.計算機系統安全技術[M].武漢:華中理工大學出版社,2003.
篇4
【關鍵詞】計算機網絡安全 漏洞 防范 策略
1 引言
隨著互聯網的飛速發展,當前,人們對計算機的依賴程度到達了空前的地步。隨時隨地的都在使用計算機,但是,一旦計算機網絡受到外界的惡性攻擊,就會導致計算機不能正常工作,甚至出現癱瘓的情況,帶來極大的損失。現在全球的計算機都可以通過網絡連接起來,網絡安全問題國際化,信息安全的內涵也跟根本上發生變化,不僅僅只是一般性的防衛問題,甚至會涉及到國際安全問題,正是因為這些無處不在的網絡,才會使得不法分子做出很多破壞網絡的行為。
2 網絡安全的現狀
根據相關統計顯示,在每20分鐘的時間內,在世界上就會有一次惡性攻擊互聯網絡的計算機安全事件發生,三分之一的計算機防火墻會被攻破。與此同時,我國的大多數網民極度的缺乏網絡安全方面的預防意識,并且使用的操縱系統和應用程序漏洞不斷的出現,我國成為黑客們攻擊的首要目標國家,由此可見我國的互聯網的安全問題非常的嚴重,根據最新的數據顯示,我國三分之一的人口在半年的時間內會發生賬戶或者密碼泄露的問題,只有少數的網絡使用者人為網上交易存在著不安全問題。由于技術條件的限制問題,很多的網絡使用者對網絡安全的預防意識還只是停留在預防病毒的階段,對網絡的安全缺乏根為深刻的認識。
3 計算機網絡安全漏洞
網絡的使用處在一種及其開放的環境中,造成了攻擊問題的出現,例如木馬、病毒、網絡爬蟲等問題,這是問題主要攻擊的對象包括對機密信息的竊取、中斷網絡服務等。例如比較常見的緩存區溢出問題。
3.1 操作系統漏洞以及鏈接漏洞
計算機操作系統作為一個統一的交互平臺,為了更好的滿足使用者的需求,最大可能的為用戶提供便利,使其處于一個開放的狀態下,但是不可避免的是計算機的功能越強大,出現的漏洞越多,受到網絡攻擊的可能性會越發的增大。如果一個操作系統長時間的使用,它的漏洞也會暴漏在人們的視野中,受到的網絡攻擊幾率隨之提高,即使擁有強大的設計性兼容性,也會存在漏洞。計算機在使用的過程中,通過鏈接進行各平臺之間的交互,實現網絡互通的效果,鏈接的存在,必然會有因素對鏈路進行攻擊,甚至有可能會對互通協議以及對話鏈路進行攻擊。
3.2 TCP/IP協議漏洞以及安全策略漏洞
網絡的安全運行依賴于應用協議的支持,但是TCP/IP協議存在著不可更改的漏洞,造成其沒有對源地址進行科學鑒別的控制機制,造成黑客可以通過竊聽的方式盜取數據,更改路由地址等問題的出現。另外,計算機中的各項應用的順利展開過分的依賴于開放的響應端口,端口的開放給網絡攻擊帶來便利。如果針對端口進行攻擊,建立傳統的防火墻已經不能有效的對其進行阻止。
4 計算機網絡安全防范策略
在技術方面,計算機網絡安全問題的產生主要是防火墻、防病毒、入侵檢測等多個安全組件完成,一個單獨的組件不能保證整個系統的安全。就目前的情況而言,使用最多的網絡安全技術包括:防火墻技術、防病毒技術、安全掃描技術以及對局域網絡的預防。
4.1 防火墻技術
在計算機系統自身攜帶的防火墻是用來阻控制經過其進行的網絡應用和數據的安全系統,它通過對硬件和軟件的結合,對沒有授權的應用訪問進行阻止,主要的目的是保護系統的正常運行。
在使用防火墻技術的時候,需要考慮到兩個因素:安全性和實用性。當兩者兼備的時候,需要以實用性來平衡安全性。主要是因為:需要把安全性考慮在首位。目前,防火墻技術設計時大多數都采用的“沒有允許的情況下進行禁止操作”的策略。第二點,當計算機處于一個相對安全的環境下,需要增強防火墻的實用性,如果沒有一個良好的實用性的防火墻,即使安全性再高,也很難投入到使用中。
4.2 防病毒技術
防病毒技術可分為三類:病毒預防、病毒檢測、病毒清理。
計算機病毒的預防主要通過一定的技術手段防止計算機病毒對系統的破壞。主要體現在對計算機磁盤的操作。主要是因為如果一個計算機的磁盤遭受到攻擊,雖然系統不會出現癱瘓,但是計算機中的所有數據將會丟失。計算機病毒預防的應用包括對已有夫人病毒進行預防和對未知病毒進行預防。
計算機病毒的檢測和清理處在一種必然的關系,通過一定的技術手段,對整個系統進行病毒的檢測,當發現病毒的時候,病毒的清理是一種必然的結果,。目前所使用的檢測和清理病毒大多是通過某種安全軟件進行。
4.3 安全掃描技術
安全掃描技術包括端口掃描、操作系統的檢測以及漏洞掃描等。其中端口掃描技術和羅東掃描技術是網絡安全掃描技術的核心技術,并且別廣泛的應用到各個網絡掃描器中。例如當優盤通過端口訪問計算機時,會對整個優盤進行端口掃描,檢測其是否帶有病毒。
5 總結
黑客技術的不斷發展,對網絡安全造成很大的威脅,漏洞越多,越容易受到攻擊。網絡安全對我們今后社會的發展、人們的生活起著重要的作用。我們處于一個全面網絡的是滴啊,我們就必須深入的研究網絡安全問題,最大可能的保證網絡的安全性。
參考文獻
[1]耿筠.計算機應用中的網絡安全防范對策探索[J].電腦迷,2014(01).
[2]牛建強.計算機應用中的網絡安全防范對策探析[J].商,2015(01).
作者單位
篇5
論文摘要:通過對計算機網絡面臨威脅的分析,該文提出了網絡安全方面的一些具體防范措施,提高了計算機網絡的安全性。
Analysis of the Computer Network Security and its Preventive Tactics
ZHANG Jing
(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)
Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.
Key words: network security;firewall;preventive tactic;network attack;computer virus
1 引言
隨著網絡時代的來臨,人們在享受著網絡帶來的無盡的快樂的同時,也面臨著越來越嚴重和復雜的網絡安全威脅和難以規避的風險,網上信息的安全和保密是一個至關重要的問題。網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性,計算機網絡的安全以及防范措施已迫在眉睫。
2 網絡安全面臨的威脅
由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、病毒、惡意軟件和其他意圖不軌的攻擊,常見的威脅主要來自以下幾個方面:
1) 非授權訪問非授權訪問指具有熟練編寫和調試計算機程序的技巧并使用這些技巧來獲得非法或未授權的網絡或文件訪問,侵入到他方內部網的行為。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。
2) 自然威脅 自然威脅可能來自與各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的的事件有時也會直接或間接地威脅網絡的安全,影響信息的存儲和交換。
3) 后門和木馬程序 后門是一段非法的操作系統程序,其目的是為闖人者提供后門,它可以在用戶主機上沒有任何痕跡地運行一次即可安裝后門,通過后門實現對計算機的完全控制,而用戶可能莫名其妙地丟失文件、被篡改了數據等。木馬,又稱為特洛伊木馬,是一類特殊的后門程序,它是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點。木馬里一般有兩個程序,一個是服務器程序,一個是控制器程序。
4) 計算機病毒計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒,就是以計算機為載體,利用操作系統和應用程序的漏洞主動進行攻擊,是一種通過網絡傳統的惡性病毒。它具有病毒的一些共性,如傳播性、隱蔽性、破壞性和潛伏性等。
3 網絡安全的防范策略
1) 防火墻技術的作用是對網絡訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網絡安全的方法。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
2) 建立安全實時相應和應急恢復的整體防御沒有百分百安全和保密的網絡信息,因此要求網絡要在被攻擊和破壞時能夠及時發現,及時反映,盡可能快的恢復網絡信息中心的服務,減少損失,網絡安全系統包括安全防護機制、安全檢測機制、安全反映機制和安全恢復機制。
3) 建立分層管理和各級安全管理中心建立多級安全層次和和級別,將網絡安全系統分為不同的級別。包括,對信息保密程度的分級(絕密、機密、秘密、普密);對用戶操作權限分級;對網絡安全程度分級;對系統實現的結構分級等。從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網絡中不同層次的各種實際需求。
4) 阻止入侵或非法訪問入網訪問控制為網絡訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許在哪臺工作站入網。控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。設定用戶權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備執行哪些操作。
5) 數據傳輸加密技術目的是對傳輸中的數據流加密,常用的方針有線路加密和端到端加密兩種。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發送者端自動加密,并進入TCP/IP數據包回封,然后作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數據。數據存儲加密技術目的是防止在存儲環節的數據失密。可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉換、附加密碼、加密模塊等方法實現;后者則是對用戶資格、權限加以審查和限制,防止非法用戶存取數據或合法用戶越權存取數據。
6) 密鑰管理技術為了數據使用的方便,數據加密在許多場合集中表現為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁帶、磁盤、半導體存儲器等。密鑰的管理技術包括密鑰的產生、分配保存、更換與銷毀等各環節上的保密措施。
7) 加強網絡的安全管理、制定有效的規章制度,對于確保網絡的安全、可靠運行,將起到十分有效的作用。加強網絡的安全管理包括:確定安全管理等級和安全管理范圍;制定有關網絡操作使用規程和人員出入機房管理制度。制定網絡系統的維護制度和應急措施包括:加強立法,及時補充和修訂現有的法律法規。用法律手段打擊計算機犯罪;加強計算機人員安全防范意識,提高人員的安全素質;健全的規章制度和有效的、易于操作的網絡安全管理平臺。
4 結束語
解決安全的措施有很多,僅靠其中的某一項或幾項是很難解決好網絡安全問題的。在具體工作中還需要根據網絡的實際情況做出細致而全面的多級安全防范措施,盡可能提高網絡系統的安全可靠性。
參考文獻:
篇6
【關鍵詞】計算機;網絡通信安全問題;防范策略
前言
計算機網絡通訊已經被廣泛的應用與人們的工作、學習與生活中,同時也在一定程度上改善了人們的生活與工作方式,增加社會的發展進程。但是在計算機網絡通訊技術帶來便捷的同時,相關的安全問題也逐漸的顯現出來。所以,如果在日常的工作與生活中需要運用計算機網絡通信時,應當提前做好相應的安全防護措施。
1計算機網絡通信安全問題
1.1人為因素
隨著對計算機網絡通信安全問題的深入研究,如果計算機網絡通訊技術出現了安全問題,很有可能是人為因素導致的,所以說,計算機網絡通訊技術的安全意識與人為因素使息息相關的[1]。例如,現代社會中,很多計算機的使用者對于安全問題的防范意識較為薄弱,因此并沒有針對網絡通信技術制定完善的防范措施。另外,有些在網絡技術管理部門工作的員工,會因為操作不當等行為,導致相關資料或數據被破壞。
1.2計算機網絡通信系統自身問題
由于計算機技術與網絡通信沒有固定的發展模式,所以導致網絡通信技術的種類繁多,具有自由性與開放性等特點。因此一些網絡黑客或是不法分子會利用網絡通信技術的這一特點,大開計算機技術的后門,造成了嚴重的使用風險。同時,計算機網絡為滿足用戶對于信息的需求,實現了信息與資源的共享,有的用戶甚至可以對信息及資源進行遠程管理,所以這種自由、開放性的情況非常容易導致計算機網絡通信出現安全問題[2]。例如,一些實際應用的計算機網絡通信設備中,如果沒有被設置安全監測系統,就會非常容易遭受到不法分子或是黑客的入侵,從而導致相關資料及數據出現破壞或丟失等情況。
1.3傳輸信息數據的通道出現了問題
通常計算機網絡通信出現了安全問題,最主要的原因是傳輸信息數據出現了問題[3]。因為如果傳輸通道設計的不夠合理,不能對相關數據進行管理,就會使得數據失去完整性,從而引發計算機網絡通信安全問題。
2防范計算機網絡通信問題出現的有效策略
2.1增強系統穩定性的防護力度
盡管人們對于計算機的依賴性越來越強,但是這種新型的通信技術并非完美的,還是存在真多的使用風險與安全威脅的。因此,想要避免出現安全問題,就應當對可能存在疏漏或者是已經存在疏漏的地方進行嚴格的檢查,綜合分析計算機網絡系統,從而杜絕網絡黑客或不法分子的攻擊[4]。
2.2引進先進的安全防護技術
目前,我國的計算機網絡通信防護技術中,安全防護技術較多,主要體現在防火墻安全技術、密碼防護技術等。盡管如此,在現實的生活與工作中,還是有很多計算機的使用者對于密碼防護技術的認知程度不夠,缺乏安全防護的意識。例如,使用簡單的數字或是計算機使用者自身的生日作為密碼。因為這些密碼過于簡單,所以很容易導致網絡黑客或不法分子能夠輕松的獲取使用者的信息。因此,想要杜絕這一現象的出現,就應當重視計算機的安全防護,充分發揮出密碼防護的重要作用。另外,在計算機中安裝防火墻,可以增加網絡通信的安全系數[5]。例如常見的360電腦管家以及金山殺毒防火墻系統等電腦軟件。當使用者瀏覽的信息或進行的操作中含有電腦病毒,或是要即將安裝到計算機上的軟件中含有木馬,都會被防火墻識別出來,然后提示使用者繼續操作的后果,并且禁止繼續瀏覽該信息或阻止使用者繼續安裝該軟件。
2.3貫徹落實安全管理工作
因為計算機網絡通信具有一定的自由性與開放性,所以貫徹落實計算機網絡通信的安全管理工作,能夠提升網絡通信的安全防護系數[6]。在進行計算機網絡通信安全的管理時,應當增強使用者的安全防護意識,創建完善的安全管理機制,從而增強計算機網絡通信安全的管理力度。
3結論
綜上所述,計算機網絡通訊技術已經與人們的工作生活有著密切的聯系,所以相關的安全問題也會隨之而來,因此相關的科學研究部門應當針對這些問題,制定出完善的安全防護措施,引進專業的技術人員,總結相關經驗,實現計算機網絡通信的安全。
參考文獻
[1]劉敬剛.計算機網絡通信的安全防范措施探討[J].通訊世界,2015,20:44.
[2]盛洪.分析計算機網絡通信安全問題與防范策略探究[J].電子測試,2015,07:65~67.
[3]李麗.計算機網絡通信安全問題與防范策略探究[J].中國校外教育,2014,29:166.
[4]康沛博.淺談計算機網絡通信安全問題及防范[J].通訊世界,2014,08:3~4.
篇7
關鍵詞:計算機;網絡安全;防范策略
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 06-0000-02
一、引言
隨著計算機的發展,計算機網絡已經成為人們學習、工作、生活中不可缺少的工具。但是由于網絡本身具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上本身技術弱點和人為疏忽的存在,計算機網絡在給人們帶來方便的同時也給一些犯罪分子帶來了可乘之機。比方說企業核心技術的泄露,商業機密被竊取,銀行卡金額被盜等等。因此私有數據的安全已經成為人們非常關注的問題,計算機網絡安全防范策略的研究和實施是網絡化發展的必然趨勢。
二、計算機網絡安全存在的含義
網絡安全從其本質上講就是保護計算機客戶網絡上的信息安全及利益等。從狹義的角度上看,網絡系統本身的硬件設施、軟件設施以及系統中的數據不會因為偶然的或者其他意外的原因而被破壞、更改或泄露。而在系統連續可靠的正常運行中,網絡服務不會中斷,同時保護計算機用戶的利益不被侵害。
三、計算機網絡安全存在的問題
計算機網絡安全主要包括保密、完整、可用、可控、審查5個方面。其實計算機網絡安全技術是一門綜合學科,因為它不僅涉及到網絡系統的本身,同時它也是一門涉及到信息安全技術、信息論、應用數學、通信技術等多方面的知識。另外系統本身的錯誤使用以及使用人員的方法不當等,也會加劇計算機網絡安全方面問題的嚴重性。主要表現在以下幾個方面。
(一)計算機網絡系統本身存在的問題
在計算機網絡安全存在的問題上,計算機本身的網絡系統中存在著一定的系統漏洞。它將會對網絡安全造成巨大的威脅,同時也對計算機網絡客戶的資料信息造成巨大的損失。同時,它也會在系統程序處理文件和同步方面存在問題,在程序處理的過程中,它可能存在一個機會窗口使攻擊者能夠強加外部的影響。從而影響程序的正常運行。
(二)存在于網絡外部的問題主要包括:黑客的威脅和攻擊、計算機病毒的侵害以及間諜軟件的威脅和隱患等。
首先,在黑客的威脅和攻擊這一方面,黑客除了擁有極為熟悉的網絡知識外,還能極為熟練的運用各種計算機技術和軟件工具。
其次是通過郵件傳播病毒,現在電子郵件系統已經是辦公自動化系統的基本要求,一些人通過垃圾郵件和病毒郵件進行病毒傳播。雖然隨著計算機應用的發展,現在郵件系統的功能和技術已經比較成熟,但是仍然避免不了垃圾郵件和病毒郵件的傳送。并且它已經成為一個全球性的問題,它對人們的影響不僅表現在時間上,而且也影響了安全,占用大量的網絡資源,使得正常的業務動作變得緩慢。除此之外,垃圾郵件和病毒郵件現在與一些病毒和入侵關系密切,成為黑客發動攻擊的重要平臺。
最后在間諜軟件威脅和隱患上這一方面,間諜軟件的功能多,不僅能竊取計算機信息網絡系統存儲的各種數據信息,還能在一定程度上監視用戶行為,修改系統設置,直接威脅到用戶隱私和計算機安全。并在一定程度上影響計算機系統工作的性能。
(三)網絡系統管理制度存在的問題
除上述問題之外,在網絡系統管理制度上也存在著一定的安全問題。首先,由于工作人員的疏忽而造成網絡系統安全受到威脅。由于工作人員對計算機的工作性能以及對計算機的正常規章制度不熟悉等問題,經常導致計算機出現錯誤的程序,從而造成信息的無意泄露。其次,工作人員的故意泄露。在當今社會中,一些信息工作人員經常會為了一己之私而致客戶的信息于不顧,在對網絡安全破壞的同時,也使計算機的信息系統、數據庫內的重要秘密泄露,甚至會把計算機保密系統的文件、資料向外提供,對計算機的網絡安全問題產生了嚴重的威脅。
四、計算機網絡安全的防范策略
在計算機網絡環境下,如果想徹底清除網絡病毒,僅采用單一的方法基本可以說是沒有任何實際意義,必須根據需要選擇與網絡適合的全方位的防范策略。
(一)要養成良好的使用電腦的習慣
盡量不要使用盜版軟件,因為大部分盜版軟件存在安全漏洞,很容易染上病毒,另外上網時要訪問可靠的網站,下載文件時首先要進行病毒掃描,確保無病毒后再進行下載,對一些重要數據要隨時進行備份。
(二)設置系統對用戶身份證明的核查
也就是說對用戶是否具有它所請求的資源的存儲使用權進行查明,這就是身份認證技術。因為現在黑客或木馬程序從網上截獲密碼的事件越來越多,用戶關鍵信息被竊取的情況也越來越多,而身份認證恰恰可以解決用戶的物理身份和數字身份的一致性問題,給其他安全技術提供權限管理的依據。
(三)入侵檢測
入侵檢測就是對網絡入侵行為進行檢測,入侵檢測技術屬于一種積極主動地安全保護技術,它對內部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術和異常監測技術。1)誤用檢測技術。這種檢測技術是假設所有的入侵者的活動都能夠表達為征或模式,對已知的入侵行為進行分析并且把相應的特征模型建立出來,這樣就把對入侵行為的檢測變成對特征模型匹配的搜索,如果與已知的入侵特征匹配,就斷定是攻擊,否則,便不是。2)異常檢測技術。異常檢測技術假設所有入侵者活動都與正常用戶的活動不同,分析正常用戶的活動并且構建模型,把所有不同于正常模型的用戶活動狀態的數量統計出來,如果此活動與統計規律不相符,則表示可以是入侵行為。
(四)數據加密技術
在計算機網絡實際運行中,所有的應用系統無論提供何種服務,其基礎運行都想通過數據的傳輸。因此,數據的安全是保證整個計算機網絡的核心。數據加密的基本過程是按某種算法,對原來為明文的文件或數據進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。
常用的加密技術有以下幾種:對稱數據加密技術、非對稱數據加密技術、公開密鑰密碼技術。
對稱數據加密技術是使用加密密鑰與解密密鑰是相同的密碼體制。該加密技術通信的雙方在加密和解密時使用的是同1個密鑰。在通信雙方能確保密鑰在交換階段未泄露的情況下,可以保證信息的機密性與完整性。典型的算法有DES及其各種變形。DES是一種對二元數據進行加密的算法,將信息分成64位的分組,并使用56位長度的密鑰,另8位用于奇偶校驗。它對每1個分組使用一種復雜的變位組合、替換,再進行異或運算和其他一些過程,最后生成64位的加密數據。對每一個分組進行l9步處理,每一步的輸出是下一步的輸入。以此類推,直到用完K(16),再經過逆初始置換,全部加密過程結束。
非對稱式加密就是使用不同的密鑰對數據進行加密和解密,通常為“公鑰”和“私鑰。其中“公鑰”是可以公開的,收件人解密時只要用自己的私鑰即可,這樣就很好地避免了密鑰的傳輸安全性問題。典型的算法有lISA體制。
為了數據傳輸的安全,人家設計了各種不同的數據加密工具,常用的有硬件加密、光盤加密、壓縮包加密:硬件加密就是在計算機的并行口或者USB接口加密。而光盤加密就是制作加密光盤,主要是通過對鏡像文件進行可視化的修改,隱藏光盤鏡像文件,把一般文件放大,把普通目錄改為文件目錄。壓縮包解壓密碼主要是在進行文件傳輸之前,先將該文件壓縮成ZIP和RAR的格式,并且在壓縮過程中可以設置密碼。也就是說在解壓的時候要有密碼才能獲取壓縮包內的信息內容。采取這幾種方式可以有效的保護用戶的隱私和信息,減少第三方竊取信息的可能性。
不過什么事情都有其兩面性,如果自己設置的密碼忘記了也會給工作帶來不便,因此與加密工具對應的解密工具也應運而生。所以數據信息的安全就如同戰爭,知己知彼才能久立不敗之地。
總之計算機網絡給人們的學習、工作、生活帶來方便的同時也帶來的許多安全隱患,人們只有提高自己的防范意識,養成良好的使用計算機的習慣,多掌握一些有關計算機網絡安全方面的知識,這樣就能針對不同隱患采取一定的措施來進行自我保護。也能讓計算機網絡更好的服務于我們的學習、工作和生活。
參考文獻:
[1]王燁興.網絡安全管理——實名認證系統[J].煤炭技術,2011,12
[2]胡瑞卿,田杰榮.關于網絡安全防護的幾點思考[J].電腦知識與技術,2008,16
[3]趙威.計算機網絡的安全防護與發展[J].煤炭技術,2011,10
[4]華建軍.計算機網絡安全問題探究[J].科技信息,2007,9
篇8
關鍵詞:校園網;網絡安全;防范
目前,我國校園計算機網絡的安全管理普遍存在問題,或是病毒入侵致使校園網癱瘓, 或是信息過濾不足致使大量垃圾郵件沖垮郵件服務器等。造成這些問題的原因主要有以下幾個方面因素:
1、在校園計算機網絡興起的初期,校園網的建設只重視規模不在乎安全很多學校將主要精力和財力集中于校園網的擴容建設,在網絡安全方面的投入不足,缺乏必要的網絡安全意識。
2、高校網絡安全管理人才缺乏
現有的網管人員多數對網絡安全的技術和經驗不足,難以應付日益復雜多變的網絡環境,缺乏處理突發網絡安全事故的經驗和能力。
3、網絡用戶安全防范意識薄弱,缺乏足夠的網絡安全防御技術和能力
高校校園網內的網絡用戶主體是大學生,收發郵件、聊天、下載等很流行,如果他們缺乏足夠的網絡安全防御技術和能力,就會在不經意間使機器感染病毒并加以傳播,對校園網造成嚴重影響甚至使其癱瘓。
4、網絡道德教育嚴重滯后
惡意使用網絡資源,瀏覽黃色網頁,接受、不良信息等問題日趨嚴重,大學生網絡犯罪也呈現上升趨勢。
5、相關的管理法規、制度不健全,監督機制不完備,管理漏洞多。
構建全面的計算機網絡安全防范策略。從學校政策層面考慮,應重視高校計算機網絡的安全管理,加大投入,完善校園網安全管理的各項規章制度,健全網絡安全監督機制;引進專業的網絡安全管理人才,對網絡管理人員進行專項培訓,加強安全意識和培養安全業務技能;重視校園網絡用戶安全教育,大力開展學生網絡道德教育,對大學生進行安全常識教育,如防殺病毒軟件的安裝、病毒庫的更新、來歷不明電子郵件的處理等,以抵御來自校園網外部的攻擊。
技術安全策略。從技術應用層面考慮,應通過合理有效的網絡管理技術來應對日趨復雜多變的網絡環境,通過各種技術手段來監督、組織和控制網絡通信服務以及信息處理,確保計算機網絡的持續正常運行,并在計算機網絡運行異常時能及時響應和排除故障。計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、訪問控制技術、入侵檢測技術、防病毒技術等。這些技術的主要任務是保證網絡資源不被非法使用和非常訪問,它們也是維護網絡系統安全、保護網絡資源的重要手段。主要控制方式有以下幾個方面:
(1)入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
(2)網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源,根據訪問權限將用戶分為特殊用戶(即系統管理員) 、一般用戶、審計用戶。
(3)目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效。用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種,即系統管理員權限,讀權限,寫權限,創建權限,刪除權限,修改權限,文件查找權限,存取控制權限。一個網絡系統管理員應當為用戶指定適當的訪問權限,控制用戶對服務器的訪問。訪問權限的有效組合可以讓用戶完成工作,同時又能控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
(4)網絡監測和鎖定控制。網絡管理員應對網絡實施監控;服務器應記錄用戶對網絡資源的訪問。對非法訪問,服務器應以圖、文、聲等形式報警,引起管理員的注意,如果不法之徒試圖進入網絡,網絡服務器應會自動記錄試圖進入網絡的次數,如果非法訪問的次數達到設定數值,該賬戶將被自動鎖定。
(5)網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作,用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網絡服務器的安全控制,包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據。可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
校園網是學校信息系統的核心,必須建立有效的網絡安全防范體系來保護學校的網絡應用的安全。本文粗略地列舉了校園網的安全防范技術。它是校園網絡安全防范體系的技術支撐,更需要配套建立相應的安全管理制度。當然,在高校計算機網絡安全管理方面絕不僅僅限于以上分析的技術手段,而應隨著網絡應用的深入和技術頻繁的升級,以及針對由此產生的負面影響,如非法訪問、惡意攻擊等安全威脅,不斷推陳出新,采用更前沿的技術手段做好防治工作,確保校園網絡的安全使用。
參考文獻:
〔1〕劉遠生. 計算機網絡安全[M ]. 北京:清華大學出版社, 2006.
〔2〕林國慶. 淺析計算機網絡安全與防火墻技術[J]. 恩施職業技術學院學報, 2007, (1) .
〔3〕王宏偉. 網絡安全威脅與對策[J] . 應用技術, 2006, (5) .
〔4〕陳斌. 計算機網絡安全與防御[J] . 信息技術與網絡服務, 2006, (11) .
篇9
關鍵詞:計算機系統網絡安全防范策略
1 概述
網絡辦公、視頻會議等已逐漸應用到企業辦公中,多數企業用戶已建立了完善的網絡辦公協同環境。計算機網絡給我們的生活帶來便捷的同時,也帶來了來自網絡安全的威脅,計算機網絡安全問題已關系到我們的工作質量、工作效率和個人信息的安全。網絡安全維護已成為信息化建設的重點研究問題。
2 計算機網絡安全現狀分析
計算機病毒具有破壞性、傳染性、潛伏性和隱蔽性的特點,傳播方式多樣、傳播速度快,可以隱藏在文件或是程序代碼中伺機進行復制和發作。由于計算機網絡組織形式多樣、終端分布廣以及網絡的開放性,其很容易遭到外部攻擊。黑客會通過系統漏洞侵入到網絡中對計算機系統進行攻擊,竊取或破壞數據,甚至使整個網絡系統癱瘓。
2.1 黑客攻擊
計算機安全隱患中另一個主要威脅是黑客攻擊。黑客利用系統或軟件中存在的漏洞進入到用戶計算機系統中,對用戶計算機進行操作,損壞、更改或泄露用戶的數據,或利用用戶的計算機進行非法操作,危害性極大。黑客攻擊分為網絡攻擊和網絡偵查,網絡攻擊通常是以入侵用戶計算機系統、竊取用戶機密數據或是破壞系統數據為目的。
2.2 用戶安全意識不強
在計算機的使用過程中,用戶安全意識薄弱是造成網絡安全問題的一個重要因素。用戶未對機密文件加密,對他人泄露操作口令或不設置操作口令,或是隨意泄露網絡賬號等信息,共享文件,啟用遠程桌面等,這些行為都埋下了網絡安全隱患,為攻擊者提供了便利條件。隨意打開未知文件或是網站、未經殺毒就直接打開移動存儲設備等操作行為都有可能陷入攻擊者的陷阱之中。
2.3 安全策略配置不當
為了提升計算機網絡的安全性,大多數企業都配備了防火墻等安全產品。只有結合各個企業的具體情況進行有效的安全策略設置,才能充分發揮安全設備的防護作用。而在實際工作中,不乏有些計算機安全管理人員未能對此有足夠的重視,忽視了一些安全策略的設置,造成了網絡安全隱患的存在。
3 計算機網絡安全改進措施
3.1 網絡物理安全
在整個網絡物理安全控制過程中,機房建設是重點。機房的建設要符合安全可靠、應用靈活、管理科學等要求,要重視供配電、安全防范、空氣凈化、防靜電、防磁、防水防潮、防雷、防火等多方面的安全設施。在改善設備運行環境的同時也要加強計算機及網絡設備的維護,對網絡設備和計算機進行定期檢修和維護,并做好相關記錄。
3.2 防火墻技術
防火墻技術作為企業內部與外部網絡的第一道安全屏障,最先受到人們的重視。防火墻技術能有效提升內部網絡的安全性,通過隔離、過濾、封鎖等技術阻止非法用戶對內部數據的訪問,保護企業信息資源,降低服務風險。通過配置防火墻的安全方案能將所有安全軟件配置在防火墻上,通過內外部的網絡規劃可實現對內部重點網絡區域的隔離,避免網絡敏感區域對全局網絡安全問題的影響。根據防火墻提供的服務和安全等級要求分為多種結構,常見的有:包過濾型防火墻、雙宿主主機防火墻、屏蔽主機防火墻、屏蔽子網防火墻。
3.3 加密技術
在當下計算機網絡安全現狀中,加密技術是保障信息安全傳遞和交流的基礎技術,對網絡安全起到了決定性的作用。加密技術的應用主要包含以下幾個方面:
3.3.1 存儲加密技術和傳輸加密技術
存儲加密技術分為密文存儲和存取控制,目的是為了防止數據在存儲過程中泄漏。主要通過加密算法轉換、附加密碼加密、加密模塊等方式實現,存取控制主要通過審核用戶資格和限制用戶權限,識別用戶操作是否合法,防止合法用戶越權存取數據,阻止非法用戶存取信息。傳輸加密技術通過線路和兩端加密兩種方式,對傳輸過程中的數據進行加密,保證傳輸過程中數據的完整和安全性。
3.3.2 密鑰管理加密技術和確認加密技術
密鑰管理加密技術的應用是為了方便用戶使用數據,數據加密多表現為密鑰的應用,密鑰的管理就顯得尤為重要,合理的密鑰管理技術方案要求能保證合法用戶的權限。密鑰的媒介主要有磁卡、磁帶、磁盤、半導體存儲器。密鑰的管理技術包含密鑰的生成、密鑰的分配、密鑰的保存、密鑰的更換以及密鑰的銷毀等環節上的保密措施。網絡信息的加密技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、纂改和假冒。
3.3.3 消息摘要和完整性鑒別技術
消息摘要是由一個單向Hash加密函數對消息作用而產生的。消息發送者使用個人的私有密鑰摘要,消息摘要的接收者可以通過密鑰解密確認消息的發送者,如果消息在發送途中被改變,接收者通過分析新摘要和原摘要的區別來確認消息是否已被改變,消息摘要保證了消息的完整性。完整性鑒別技術包含口令、密鑰、身份等幾項的鑒別,通常為了保密系統通過對比驗證對象的輸入的特征值預先設定的參數,實現信息的加密作用和保證數據的安全性。
3.4 提高網絡管理員及用戶的安全意識
網絡管理員和用戶的安全意識直接影響到對網絡系統安全問題的控制。要求提高網絡管理人員和用戶的安全意識,加強管理人員的職業道德,樹立良好的責任感,促進網路安全體制的建立和執行。
4 計算機網絡安全設計策略
4.1 建立信任體系
4.1.1 證書管理系統采用基于國際標準PKI技術開發的證書和密鑰管理系統,具有符合標準、開放、安全性高、功能全面、工組流程清晰、配置靈活等特點,且提供了與其它PKI/CA體系的接口,易于擴展。
4.1.2 目錄服務器集中存儲用戶的身份信息、服務數據、訪問策略和證書等,是整個方案設計的基石,是應用層訪問控制的基礎,是用戶管理的核心。系統中設置四個目錄服務器,內部兩個作為主目錄服務器,包含所有信息記錄,另外兩個相互復制來保持其含有最新數據,保證任何一個服務器發生故障都不會造成信息的損失。
4.1.3 認證服務器的主要功能是認證服務和授權策略管理,保證商業信息的安全傳輸。用戶認證/授權管理平臺實現了統一的用戶身份管理的功能。采用集中的策略管理、單點訪問控制、數字證書、令牌卡等方式增強應用程序和數據的安全性,提高用戶效率,減少系統維護工作量,提高運行效率。
4.2 網絡邊界保護策略
為了滿足網絡敏感信息系統的安全需求,采用密碼技術將企業核心業務網絡區域與外部網絡進行隔離,確保內部信息系統的安全性。
4.2.1 以密碼技術為基礎的網絡隔離系統是由外部訪問控制服務器、安全隔離與信息交換設備和內部訪問控制服務器組成的具有層次結構的系統,如圖1所示。該系統控制機制包含內外網、可信的數據交換、基于PKI/CA的身份認證與授權訪問等,并采用反向功能作為應用網關。系統配備病毒網關和內容過濾機制,起到凈化數據、控制消息類攻擊的作用。
4.2.2 以機制為基礎的訪問控制。針對企業安全層次的需求,對不同安全級別的資源進行多層次、多點訪問控制。系統中的服務器包括位于外網安全平臺的反向、位于內網安全平臺的正向、位于內網的應用和位于內外網中的安全。優化后安全網絡系統結構圖如圖2所示。
4.3 局域網計算機網絡安全策略
4.3.1 病毒防護。計算機病毒對網絡安全的威脅越來越嚴重,現在有效的防御措施就是在自己的pc上安裝殺毒軟件,并及時對操作系統安裝補丁。但是這種防御措施并不能在企業網絡管理中達到令人滿意的效果。而在企業網絡邊緣配置網關過濾產品,能在確保原有系統的穩定性的同時,效率上也遠遠高于在內部各個機器進行病毒防護和查殺。
4.3.2 網絡系統安全
①內外網的隔離與訪問控制。訪問控制主要通過制定嚴格的管理制度、配備相應的安全設備來實現。通過設置防火墻來實現內外網的隔離與訪問控制是最主要、最有效的措施之一。
②內部子網不同安全域的隔離和訪問控制。主要通過VLAN技術實現內部子網的物理隔離。在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域,實現內部網段的物理隔離。
③網絡安全檢測。網絡系統的安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡中的薄弱環節,最大限度的保證網絡系統的安全,最有效的方式是定期對網絡系統進行安全檢測和分析,及時發現并修正系統漏洞。
5小結
計算機網絡安全管理是一個涉及范圍比較廣、影響比較大的復雜的管理系統,需要多方面的配合。管理制度應注意以下幾項內容,確定安全管理等級,明確安全管理范圍,制定網絡操作規程,規定人員進入機房權限,對網絡系統設備的維護和檢修進行記錄,制定嚴格的防病毒管理制度,實行網絡安全責任制,配備網絡安全應急措施等,做到預防、監控、修復相結合,確保相關制度和規定的落實,確保計算機網絡安全運行。
參考文獻:
[1]宋杰,陳真靈.計算機網絡安全管理的研究[J].科技視界.2011(06).
篇10
關鍵詞:ARP協議;ARP欺騙;MAC地址;IP地址;網絡安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)34-1883-02
The Safety Methods to Avoid the ARP-Cheating in Network
LIU Yi, ZHU Yan-jin, CHEN Zhen
(Department of Technology and Education, Zhanjiang Normal College, Zhanjiang 524048, China)
Abstract: In this article, the meaning and the principle of address resolution protocol (ARP) is introduced. The process of ARP-cheating in LANs and out LANs based on the bug of ARP is given. Some effective methods to avoid the attack from ARP-cheating according to the actual work are submitted. The binding between IP Address and MAC Address, the binding between switch ports and MAC Address, and the technique of VLAN isolation are explained strictly.The effectiveness of above- mentioned have been demonstrated in our work.
Key words: address resolution protocol (ARP); ARP-Cheating;MAC address;IP address; network security
1 引言
ARP協議是“Address Resolution Protocol”(地址解析協議)的縮寫。在局域網中,網絡中實際傳輸的是“幀”,幀里面是包含目標主機的MAC地址的。在以太網中,一個主機要和另一個主機進行直接通信,必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢?它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址,查詢目標設備的MAC地址,以保證通信的順利進行[1-2]。所以說從某種意義上講ARP協議是工作在更低于IP協議的協議層。這也是為什么ARP欺騙更能夠讓人在神不知鬼不覺的情況下出現網絡故障,他的危害更加隱蔽。
從影響網絡連接通暢的方式來看,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。 第一種ARP欺騙的原理是――截獲網關數據。第二種ARP欺騙的原理是――偽造網關[3-5]。
該文就此提出了IP地址和MAC地址綁定、交換機端口和MAC地址綁定、VLAN隔離技術這幾種能有效防范ARP欺騙攻擊的方法,希望能給廣大網絡管理工作者一些啟示。
2 ARP協議簡介
ARP(Address Resolution Protocol)即地址解析協議,該協議將網絡層的IP地址轉換為數據鏈路層地址。TCP/IP協議中規定,IP地址為32位,由網絡號和網絡內的主機號構成,每一臺接入局域網或者Internet的主機都要配置一個IP地址。在以太網中,源主機和目的主機通信時,源主機不僅要知道目的主機的IP地址,還要知道目的主機的數據鏈路層地址,即網卡的MAC地址,同時規定MAC地址為48位。ARP協議所做的工作就是查詢目的主機的IP地址所對應的MAC地址,并實現雙方通信。
3 ARP協議的工作原理
源主機在傳輸數據前,首先要對初始數據進行封裝,在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段,我們能夠知道目的主機的IP地址,而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網段內,源主機會以第二層廣播的方式發送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址,以及目的主機的IP地址。當該報文通過廣播方式到達目的 主機時,目的主機會響應該請求,并返回ARP響應報文,從而源主機可以獲取目的主機的MAC地址,同樣目的主機也能夠獲得源主機的MAC地址。如果目的主機和源主機地址不在同一個網段內,源主機發出的IP數據包會送到交換機的默認網關,而默認網關的MAC地址同樣可以通過ARP協議獲取。經過ARP協議解析IP地址之后,主機會在緩存中保存IP地址和MAC地址的映射條目,此后再進行數據交換時只要從緩存中讀取映射條目即可。
4 ARP欺騙攻擊的實現過程
4.1 網段內的ARP欺騙攻擊
ARP欺騙攻擊的核心就是向目標主機發送偽造的ARP應答,并使目標主機接收應答中偽造的IP與MAC間的映射對,并以此更新目標主機緩存[6]。設在同一網段的三臺主機分別為A,B,C,詳見表1。
假設A與B是信任關系,A欲向B發送數據包。攻擊方C通過前期準備,可以發現B的漏洞,使B暫時無法工作,然后C發送包含自己MAC地址的ARP應答給A。由于大多數的操作系統在接收到ARP應答后會及時更新ARP緩存,而不考慮是否發出過真實的ARP請求,所以A接收到應答后,就更新它的ARP緩存,建立新的IP和MAC地址映射對,即B的IP地址1.1.1.2對應了C的MAC地址00-A0-4C-33-33-33。這樣,導致A就將發往B的數據包發向了C,但A和B卻對此全然不知,因此C就實現對A和B的監聽。
4.2 跨網段的ARP欺騙攻擊
跨網段的ARP欺騙比同一網段的ARP欺騙要復雜得多,它需要把ARP欺騙與ICMP重定向攻擊結合在一起[7]。假設A和B在同一網段,C在另一網段,詳見表2。
首先攻擊方C修改IP包的生存時間,將其延長,以便做充足的廣播。然后和上面提到的一樣,尋找主機B的漏洞,攻擊此漏洞,使主機B暫時無法工作。此后,攻擊方C發送IP地址為B的IP地址1.1.1.2,MAC地址為C的MAC地址00-A0-4C-33-33-33的ARP應答給A。A接收到應答后,更新其 ARP緩存。這樣,在主機A上B的IP地址就對應C的MAC地址。但是,A在發數據包給B時,仍然會在局域網內尋找1.1.1.2的MAC地址,不會把包發給路由器,這時就需要進行ICMP重定向,告訴主機A到1.1.1.2的最短路徑不是局域網,而是路由,請主機重定向路由路徑,把所有到1.1.1.2 的包發給路由器。主機A在接受到這個合理的ICMP重定向后,修改自己的路由路徑,把對1.1.1.2的數據包都發給路由器。這樣攻擊方C就能得到來自內部網段的數據包。
5 ARP欺騙攻擊安全防范策略
5.1 用戶端綁定
在用戶端計算機上綁定交換機網關的IP和MAC地址。
1)首先,要求用戶獲得交換機網關的IP地址和MAC地址,用戶在DOS提示符下執行arp
Ca命令,具體如下: C:\Documents and Settings\user>arp -a Interface: 1.1.1.1 --- 0x2 Internet Address Physical Address Type 1.1.1.254 00-A0-66-77-88-99 dynamic 其中1.1.1.254和00-A0-66-77-88-99分別為網關的IP 地址和MAC地址,因用戶所在的區域、樓體和交換機不同,其對應網關的IP地址和MAC地址也不相同。
2)編寫一個批處理文件arp.bat,實現將交換機網關的MAC地址和網關的IP地址的綁
定,內容如下:@echo off arp Cd arp -s 1.1.1.254 00-A0-66-77-88-99 用戶應該按照第一步中查找到的交換機網關的IP地址和MAC地址,填入arp Cs后面即可,同時需要將這個批處理軟件拖到“windows--開始--程序--啟動”中,以便用戶每次開機后計算機自動加載并執行該批處理文件,對用戶起到一個很好的保護作用。
5.2 網管交換機端綁定
在核心交換機上綁定用戶主機的IP地址和網卡的MAC地址,同時在邊緣交換機上將用戶計算機網卡的MAC地址和交換機端口綁定的雙重安全綁定方式[8]。
1) IP和MAC地址的綁定。在核心交換機上將所有局域網絡用戶的IP地址與其網卡MAC地址一一對應進行全部綁定。這樣可以極大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取。具體實現方法如下(以AVAYA三層交換機為例): P580(Configure)# arp 1.1.1.1 00:A0:4C:11:11:11 P580(Configure)# arp 1.1.1.2 00:A0:4C:22:22:22 P580(Configure)# arp 1.1.2.3 00:A0:4C:33:33:33
2) MAC地址與交換機端口的綁定。根據局域網絡用戶所在的區域、樓體和用戶房間所對應的交換機端口號,將用戶計算機網卡的MAC地址和交換機端口綁定。此方案可以防止非法用戶隨意接入網絡端口上網。網絡用戶如果擅自改動本機網卡的MAC地址,該機器的網絡訪問將因其MAC地址被交換機認定為非法而無法實現上網,自然也就不會對局域網造成干擾了。
5.3 采用VLAN技術隔離端口
局域網的網絡管理員可根據本單位網絡的拓卜結構,具體規劃出若干個VLAN,當管理員發現有非法用戶在惡意利用ARP欺騙攻擊網絡,或因合法用戶受病毒ARP病毒感染而影響網絡時,網絡管理員可利用技術手段首先查找到該用戶所在的交換機端口,然后將該端口劃一個單獨的VLAN將該用戶與其它用戶進行物理隔離,以避免對其它用戶的影響[9]。當然也可以利用將交換機端口Disable掉來屏蔽該用戶對網絡造成影響,從而達到安全防范的目的。
6 結論
網絡欺騙攻擊作為一種非常專業化的攻擊手段,給網絡安全管理者帶來了嚴峻的考驗。ARP欺騙是一種典型的欺騙攻擊類型,它利用了ARP協議存在的安全隱患,并使用一些專門的攻擊工具,使得這種攻擊變得普及并有較高的成功率。文中通過分析ARP協議的工作原理,探討了ARP協議從IP地址到MAC地址解析過程中的安全性,給出了網段內和跨網段ARP欺騙的實現過程,提出了幾種常規可行的解決方案,如在用戶計算機上綁定交換機網關的IP地址和MAC地址、在交換機上綁定用戶主機的IP地址和網卡的MAC地址或綁定用戶計算機網卡的MAC地址和交換機端口、VLAN隔離等技術。如果多種方案配合使用,就可以最大限度的杜絕ARP欺騙攻擊的出現。總之,對于ARP欺騙的網絡攻擊,不僅需要用戶自身做好防范工作之外,更需要網絡管理員應該時刻保持高度警惕,并不斷跟蹤防范欺騙類攻擊的最新技術,做到防范于未然。
參考文獻:
[1] 王佳,李志蜀.基于ARP協議的攻擊原理分析[J].微電子學與計算機,2004,21(4):10-12.
[2] 徐功文,陳曙,時研會.ARP協議攻擊原理及其防范措施[J].網絡與信息安全,2005(1):4-6.
[3] 孟曉明.基于ARP的網絡欺騙的檢測與防范[J].信息技術,2005(5):41-44.
[4] 蒲宏偉,唐光艷; 計算機網絡中的安全問題[J].遼寧師專學報:自然科學版,2006(1):30-31.
[5] 畢四軍; 淺析網絡協議對局域網性能和應用的影響[J].甘肅科技,2006(2):61-63.
[6] 劉貴松,晏華,章毅.基于ARP協議的局域網訪問控制[J].電子科技大學學報,2005(2):25.
[7] 彭學軍,李春麗.基于ARP協議的攻擊和保護[J].荊門職業技術學院學報,2005,20(6):32-35
