联系我们摘要本文在介绍计算机网络安全概述的基础上,分析了计算机网络安全威胁产生的原因及方式,提出了计算机网络安全的防范措施。
关键词网络;网络安全;措施
网络深刻地影响着我们的生活和娱乐方式。但网络在给我们便利的同时,也给我们带来了烦恼:各种病毒的入侵,网络设备、操作系统、应用软件的安全漏洞,黑客们不择手段的侵入,都给正常使用网络的用户带来不可估计的损失。这就需要人们采取有力的方法与措施,维护网络安全。
1计算机网络安全概述
计算机网络安全主要指硬件实体安全和信息安全。数据信息已经成为网络中最宝贵的资源。网上失密、泄密、窃密及传播有害信息的事件屡有发生。信息安全关注信息及信息系统的保密性、完整性、可用性和信息保障。所谓计算机网络信息安全是指利用网络管理控制技术防止网络本身及网上传输的信息被故意的或偶然的非授权泄漏、更改、破坏,或使信息被非法系统辨认、控制。
计算机网络作为重要的基础资源向客户提供信息,而建立安全的网络系统所要解决的根本问题是:在保证网络连通的同时,对网络服务、客户应用进行管理,以保证网络信息资源的正确性不受影响。网络信息安全有如下特点[1]:(1)完整性:信息在存储和传输过程中保持不被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的数据特征。(2)可用性:信息可被合法用户访问并能按照要求顺序使用的特征,即在需要时就可以使用所需信息。(3)保密性:信息仅允许授权个人和实体使用的特征。(4)可控性:授权机构可以随时控制信息的机密性。(5)抗抵赖性:即使数据的发送方否认发送过某些数据,数据接受方也能证明这些数据是该发送方发送的。
2计算机网络安全威胁产生的原因及方式
2.1计算机网络安全威胁产生原因
有威胁才会有安全问题,计算机网络安全是针对威胁制定的对策。网络威胁的产生是社会发展到一定阶段的产物,其产生的根本原因是不法分子的私欲。当然还有其它直接间接的原因,主要有以下几种[2]:
(1)来源威胁:现在几乎所有的 CPU、操作系统、外设、网络系统甚至一些加密解密工具都来源于国外。这就相当于自己的秘密掌握在别人手里一样,不可能不受制于人。
(2)传输渠道威胁:网络的传输要经过有线或无线的通道来进行。信息在传输的过程中就可能被窃听、篡改、伪造。信息的安全受到了威胁,合法用户的权益也受到了侵害。网络的传输还要经过有形和无形的介质,由于外界环境的因素会使信号减弱、失真、丢失,导致传输的信号被严重破坏。
(3)设备故障威胁:设备的故障会导致通信中断。在整个网络系统中,硬件设备非常多,因而故障率也非常高。
(4)网络人员威胁:这主要体现在两个方面。一方面,软件开发者在开发的软件中还有残留错误,往往这些埋藏很深的错误会导致不可挽回的损失;另一方面,网络管理员的文化素质和人品素质影响着网络安全。网络管理员是最直接接触网络机密的人,他们有机会窃取用户的密码以及其它的秘密资料,并且他们的行为可能会破坏网络的完整性,是对网络安全最直接的威胁。
(5)所处环境威胁:网络安全立法滞后的特点为黑客们的违法犯罪行为提供了可乘之机,而且由于存在各自的国家利益,在联合打击国际黑客犯罪方面的合作力度不够。网络安全技术本身的发展过程中还有很多不成熟的地方,这些地方经常被不法分子所利用。
(6)病毒威胁:计算机病毒成为严重危害。近来通过网络传播的计算机病毒越来越多,产生的危害性也越来越大。防毒软件具有一定的滞后性,不能产生防患于未然的效果。
2.2计算机网络安全威胁产生的方式
网络安全威胁产生的方式主要有:身份窃取、假冒、数据窃取、否认、错误路由、拒绝服务、业务量分析、非授权存取等[3]。具体形式有如下6个方面: (1)利用系统缺陷或后门进行攻击,即利用主机系统的一些漏洞可以获得对系统或某些用户信息的控制权。
(2)防火墙的安全隐患。很多防火墙不能实现与外部网的隔离,如有些防火墙的IP很容易得到,甚至是公开的,使黑客轻而易举得知网络系统结构,从而研究攻击方法。
(3)内部用户的窃密、泄密和破坏。内部人员对信息的存取位置、信息的重要性非常了解,使得内部攻击更容易奏效。
(4)网络监督和系统安全性评估手段缺乏。 有些公众信息网上的“共享软件” 很可能是逻辑炸弹或“黑客程序”。
(5)口令攻击和拒绝服务。用户口令有时非常简单,且与登录用户本身特点有很大相关性。黑客常常以破译普通用户口令作为攻击的开始,然后采用字典穷举法破译口令,因此用户口令的选择对系统安全很重要。
(6)来自应用服务方面的安全探测和网络协议分析,被用于窥视和破译网络管理员的口令,并非法侵入网络。
3计算机网络安全防范措施
针对上述网络安全的威胁,我们应制定一套完整的防范措施,以利于用户安全使用计算机,维护广大用户的利益。计算机网络安全防范措施主要是从技术和管理两个方面来制定,具体措施如下:
3.1技术方面措施
3.1.1防火墙技术
它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和 Internet 之间的访问控制。防火墙在被保护内部网和外部网络之间形成一道屏障,使互联网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可通过检测、限制、更改跨越防火墙的数据流来实现网络的安全保护。防火墙的主要组成部分应包括一个不允许访问的 IP 地址表、一个不允许通过的用户地址表、IP 地址匹配算法、过滤某类具体应用或信息包的过滤算法。到目前为止,已出现了三种类型的防火墙:数据包过滤器、电路层网关和应用层网关(即代理服务器)。
3.1.2数据加密
加密技术是提供信息的加密解密,提供对信息来源的鉴别,保证信息的完整性和不可否认性的一种技术。加密是通过一种复杂的方式将信息变成不规则的加密信息,其主要目的是防止信息的非授权泄密。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密。以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的、对网络服务影响较小的一种途径,并可望成为网络安全问题最终的一体化解决途径。 这是针对来源威胁与传输渠道威胁所采用的防范措施,虽然不一定能够百分之百地防止威胁,但是采用数据加密在很大程度上减少了网络安全的威胁。
3.1.3入侵检测
入侵检测是主机网络安全的一个重要组成部分。目前普遍采用的入侵检测系统是静态异常模型和规则滥用模型,基本是基于服务器操作系统或网络故障的入侵检测,但随着入侵攻击网络的多样性,其隐蔽和破坏性也越来越强。未来对入侵检测技术的研究主要面向以下几个方面:分布式入侵检测与通用式入侵检测架构;开发研制具有自学习、自适应能力的智能入侵检测系统;设置应用层的入侵检测保护;研制硬件入侵检测系统等。
3.1.4物理隔离网闸
物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
3.1.5反病毒技术的发展
为了解决病毒的善后问题,反病毒产品融合了硬盘备份恢复系统,在用户硬盘受到攻击后仍能恢复关键数据。后来,邮件病毒产生了,为了对付这种病毒,邮件系统会在人们收邮件的时候直接对邮件进行扫描,只要发现病毒就会直接删除病毒邮件。网络的发展使得黑客攻击变得普遍,于是,反病毒产品中又融合了能够防止黑客的个人防火墙功能。随着互联网的飞速发展和计算机的日益普及,人们越来越多地接触到计算机病毒,在进行一般计算机操作时都会感染计算机病毒。例如我们进行文件拷贝、下载、传递、运行等操作时,传统的查杀病毒方式不能满足对病毒随时随地、每时每刻地进行查杀的要求。 3.2管理方面防范措施
在强调技术解决信息网络安全的同时,还必须花大力气加强对使用网络的人员的管理,注意管理方式和实现方法。因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全所必须考虑的基本问题。所以,要采取切实可行的方法,加强管理,立章建制,提高内部管理人员整体素质,增强内部人员的安全防范意识。在宏观方面,要快速加强法制建议,进一步完善关于网络安全的法律,以便更有利地打击不法分子。
4结束语
计算机网络安全是对付威胁、保护网络资源的所有措施的总和,涉及政策、法律、管理、教育和技术等方面的内容。计算机网络安全是一项系统工程,针对来自不同方面的安全威胁,需要采取不同的安全对策.
返回 计算机论文 列表
计算机网络安全技术浅析