前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的機房網絡安全方案主題范文,僅供參考,歡迎閱讀并收藏。
隨著網絡科技的不斷提高,使用戶量的提高,網絡安全存在嚴重的問題,很難能得到解決。網絡的安全問題已經是社會比較熱門的話題,需要進行采取有效的解決措施。本文通過闡述計算機相關網絡安全問題,根據(jù)有關的概論、以及網絡安全問題受到的威脅、影響網絡安全因素,進一步闡述防范安全網絡技術的方法。
【關鍵詞】計算機網絡 安全 防護
隨著網絡科技的快速發(fā)展,方便了人們的日常生活需求,現(xiàn)代很多人們的生活、學習、工作中、旅游、人際交流中在平時生活中都會使用到網絡。給人們帶來便利的同樣情況下,也存在有安全隱患問題,對人們的生活造成了不利的影響。如,用戶人員的隱私權利、個人財產安全都受到網絡不良行為干擾,網絡侵害或者攻擊的不良現(xiàn)象,網絡安全中存在的隱患是人類是看到也摸不著一種現(xiàn)象,計算機存在很多的病毒問題,讓人應接不暇。用戶在進行的操作系統(tǒng)時或者操作中所應用到程序存在有安全漏洞問題,很容易暴露出去;網絡黑客的不斷增大,是網絡受到了極大的威脅。隨著網絡發(fā)展的不斷壯大,使用戶量的提高,網絡安全中存在嚴重的問題,很難能達到解決。網絡的安全問題已經是社會比較熱門的話題,對網絡存在問題進一步分析探討。
1 網絡安全受到威脅
(1)受到自然的威脅,來自大自然的威脅不能為人所控制,這些是不可避免的威協(xié)。如受電磁的干擾,設施設備逐漸老化等,這些威脅是不可避免的現(xiàn)象,要進行技術防護措施,以免會造成更大的損失。
(2)受到黑客的攻擊,黑客是很容易發(fā)現(xiàn)系統(tǒng)網絡中存在有漏洞問題,要針對這些漏洞進行有效性的攻擊。進入到內部之后,亂改信息或者盜竊,導致系統(tǒng)不能正常運行。主要原因是系統(tǒng)本身就存在有漏洞問題,成為別人利用的主要方向。網絡偵查也是黑客攻擊的一種方式,管理人員不了解情況下,對網絡中存在的數(shù)據(jù)亂寫篡改遭到,嚴重的破壞。
2 防范網絡安全技術
(1)對訪問內外網進行控制,用戶所使用的區(qū)域和互聯(lián)網使用間采取管理的方法:使用防火墻來進行管理,進行安全掃描,計算機內進行軟件,安裝殺毒軟件以及安全衛(wèi)士等,計算機運行的系統(tǒng)進行全面檢測,對存在有漏洞的系統(tǒng)進行修復,除掉一些不必要的木馬、病毒,對一些病毒入侵進行檢測,互聯(lián)網相互運作時,對系統(tǒng)里面的安全衛(wèi)士、殺毒軟件進行生升級,檢測一些正在運行的流動數(shù)據(jù),如果出現(xiàn)有木馬、病毒,就要采取相對應的措施進行檢測,該網站禁止登入。
(2)A.訪問內網進行控制,對用戶的身份進行驗證,訪問內網進行控制進行保護,用戶進入訪問網站是需要驗證帳號碼。入網前比較要注意的是用戶令對密碼進行加密。在計算機上使用的帳號要和上網使用的帳戶要使用同一個賬戶,防止在計算機上使用另一個帳戶。B.權限進行控制,在計算機中的用戶根據(jù)級別來控制用戶的權限,已經指定的用戶要規(guī)定有指定目錄和一些相關的文件查看或者進行修改,規(guī)定管理人員才具有這樣的權利。C.提高加密技術。D.加強客戶端防護。E.進行檢測是否安全。
(3)軟件層的應用與系統(tǒng)操作,系統(tǒng)造作操作是計算機能夠正常運行工作的基礎條件下,也是系統(tǒng)安全網絡的最基本的需求。所以在操作系統(tǒng)平臺中安全應行就伴隨著計算運行是否正常。A.如果選擇操作系統(tǒng)時,要有限選擇安全性比較高的安全系統(tǒng)功能。B.提高加密技術。針對一些比較重要的系統(tǒng)文件要加強保護要嚴謹?shù)募用?。阻止一些非法亂進行修改.C.防范病毒意識。已經安裝在計算機上的病毒軟件要要不斷的進行更新,主要是針對剛出現(xiàn)新的木馬與病毒,需要采用舊的病毒軟件來對計算機進行保護,避免病毒入侵和攻擊。D. 安全掃描要不定時進行。計算機中的用戶人員要不定時的對計算機進行系統(tǒng)掃描,從而能夠檢測計算機相關的運營的情況是值得信賴可靠,對存在的問題要及時進行解決,對系統(tǒng)不定時的要進行升級。E.入侵病毒進行檢查。
(4)貯存數(shù)據(jù)。安全系統(tǒng)是數(shù)據(jù)的貯存,a.要優(yōu)先考慮選擇安全性高的數(shù)據(jù)。很多數(shù)據(jù)都是c2安全級別。根據(jù)目前c2安全的數(shù)據(jù)庫中,要采用相對應的C2級安全策略與安全方法。b 提高加密技術,安全的數(shù)據(jù)庫要具備有很高的要求,采用一些保密軟件進行加密計及加密儲存,避免病毒進入。C數(shù)據(jù)進行安全掃描。要不定時的對數(shù)據(jù)庫進行升級或者更新,發(fā)現(xiàn)有漏洞進行修補。
3 結束語
社會信息化的不斷發(fā)展中,人們的生活需求及社會的發(fā)展里不離開網絡,網絡在社會的發(fā)展中扮演著要一個重要角色,隨著社會經濟的不斷發(fā)展中不斷的得到提升。本文通過簡述了網絡在發(fā)展中受到各方面的威脅和對網絡進行防護技術。安全網絡是比較復雜的課程。我們要不斷的加強提高安全網絡意識,采取相對應的防護措施,及不斷的加強管理人員和提高管理人員的素質,這樣才能不斷提高人們安全防范意識和社會提高道德水平。
參考文獻
[1]吳勝光.計算機網絡信息安全及防范技術[J].電腦編程技巧與維護, 20094(08):67-68.
[2]謝波,胡霞,羅光增.計算機網絡安全與防護問題初探[J].網絡與信息,2009,3(04):123-124.
[3]何暢.計算機系統(tǒng)安全與計算機網絡安全淺析[J].中國新技術新產品,20093(05):45-46.
[4]簡明.計算機網絡信息安全及其防護策略的研究[J].科技資訊,2006,5(28):56-57.
關鍵詞:網絡技術;安全漏斗;防御措施
計算機網絡安全話題備受關注,在同一個網絡中,系統(tǒng)的軟硬件設施,甚至包括數(shù)據(jù)信息在內,其安全和可使用性都面臨危險,為了防御危險保護個人甚至政府的機密信息不受侵害,從而延生出的一系列網絡安全管理技術。按主動與非主動進行分類,自身漏洞和黑客攻擊是導致網絡安全問題時有發(fā)生的兩大主要隱患。即使系統(tǒng)自身不存在漏洞,也極有可能面臨黑客的主動攻擊,他們會利用一切手段,無論是否合法,再利用其竊取的信息達到他們的目的。為了遏制黑客等非法的網絡行為,一個有效的網絡安全防御體系就顯得至關重要。
一、網絡攻擊和入侵的主要途徑及方法
網絡工具十分頻繁,攻擊者通常利用一些不合法的手段和方法,獲得被攻擊的系統(tǒng)的操作權限,在非授權的情況下,對被攻擊人的電腦進行非法操作。
(一)破譯口令在此之前,口令是計算機系統(tǒng)長期以來形成的一種抵御攻擊者某些入侵的常用方法,現(xiàn)如今,經常反過來被攻擊者所利用,借此更加方便地實施其入侵的行為??梢酝ㄟ^很多方法獲取一些合法用戶的賬號和口令,比如,利用finger命令查詢時,主機系統(tǒng)會自動保存用戶資料的特性,通過這種方式獲取用戶口令方便快速,還包括目標主機的X.500查詢服務中保存的信息,及用戶在其電子郵件地址中反映出的信息。
(二)ip欺騙除了破譯口令之外,ip欺騙也是攻擊者入侵被攻擊主機的常用方法,顧名思義就是通過偽造他人主機的IP地址,讓相關信息流向攻擊者所偽造的主機中,實現(xiàn)其入侵的目的。首先入侵者通過某種方式成功實現(xiàn)對被入侵主機的連接,然后再向被入侵主機信任的其他大量主機發(fā)送大量無用信息,在這種情況下,這些被信任主機就無法與被攻擊主機取得聯(lián)系,為攻擊者偽裝及發(fā)動攻擊提供了最佳的機會。
(三)dns欺騙網絡中的互聯(lián)網用戶如果想訪問某IP地址,則必須先與dns服務器進行溝通,在DNS域名系統(tǒng)中找到轉換信息,實現(xiàn)成功訪問。而DNS協(xié)議有一個致命的缺點就是,即使有人對轉換和相關信息進行更新的時候,該協(xié)議不會對更改的發(fā)起人進行身份驗證。這一缺點就給了攻擊者利用的窗口,攻擊者常常通過更改域名系統(tǒng)中主機名對ip地址的轉換關系,使客戶在不知情的情況下訪問了攻擊者事先設置的服務器。
二、現(xiàn)有的計算機網絡安全技術介紹
(一)數(shù)據(jù)加密技術數(shù)據(jù)加密技術都是圍繞加密算法這一核心技術展開的,根據(jù)某一分類方法,加密算法包括,第一,對稱加密技術,也就是對于文件加密和文件解密所使用的密鑰是相同的,沒有差別;第二,非對稱加密技術,與對稱加密技術不同,其包括兩種密鑰,一種公開,叫做公開密鑰,另一種只有生成密鑰的對手方才知道,叫做私有密鑰,兩種密鑰是一一對應的關系。
(二)防病毒技術計算機網絡安全中,病毒是威脅網絡安全最大的因素。病毒可以通過自我復制,在短時間內迅速傳播,具有十分強大的傳染性。病毒也是非法人員侵害網絡安全是最常使用的工具,受病毒攻擊的網絡安全事故發(fā)生頻率最高。而且一旦發(fā)生,將會使整個網絡系統(tǒng)陷入癱瘓,其破壞力不可估量。
(三)物理安全策略物理安全策略,顧名思義就是對計算機及網絡物理層面上實施保護,第一,確保服務器、打印機等硬件設施不因為人為因素而受損;第二,通過設置驗證流程,降低用戶越權操作的事件發(fā)生;第三,對計算機控制室進行嚴格管理,通過不斷完善安全管理制度,減少破壞行為的發(fā)生可能性。
(四)防火墻技術在原來,防火墻并非指的是內外部網絡建立的一個合理有效的監(jiān)控系統(tǒng),在最初的時候,它所代表的意思僅僅是汽車的一個零件?,F(xiàn)在它的作用主要是,防止一些有侵害性的外部網絡危害到網絡的安全性和保密性。這是一種有效的、相對安全的隔離技術,嚴禁非法的訪問,除此之外,還可以防止內部網絡的重要信息數(shù)據(jù)被偷窺?,F(xiàn)在很多企業(yè)都采取了防火墻技術,大大提高了企業(yè)內部信息的安全等級。對于設置了防火墻的企業(yè),可以選擇設置需要防備的信息和用戶,禁止接受這些主機發(fā)出的數(shù)據(jù)包,也可以通過防火墻設置企業(yè)向外部發(fā)送的信息。
(五)網絡安全管理策略的制定除了獨立個體間需要可以參考的網絡安全策略,一個行業(yè)公認的網絡安全管理策略也十分重要。比如,劃定網絡安全等級,并按照等級確定安全管理范圍;另外,制定相關的網絡操作流程及網絡系統(tǒng)維護制度等。
三、結束語
雖然網絡技術的發(fā)展十分迅速,但其面臨的挑戰(zhàn)也愈發(fā)嚴峻,面對各類網絡安全問題的沖擊,必須秉持著科學嚴謹?shù)膽B(tài)度,認真研究問題的根源,找到解決網絡安全問題的方法。面對日益復雜多變的網絡安全問題和攻擊者不斷變化進化的攻擊手段,必須不斷完善網絡安全技術手段,營造一個更加安全自由的網絡空間。
參考文獻
[1]楊照峰,王蒙蒙,彭統(tǒng)乾.大數(shù)據(jù)背景下的計算機網絡數(shù)據(jù)庫安全問題的相關探討[J].電腦編程技巧與維護,2019(12):157.
[2]唐慶誼.大數(shù)據(jù)時代背景下人工智能在計算機網絡技術中的應用研究[J].數(shù)字技術與應用,2019(10):72.
關鍵詞:高校;網絡安全;防范策略
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 19-0000-01
University Network Security and Prevention
Zhang Zhixin
(Nanchang University,Gongqing College,Jiujiang332020,China)
Abstract:The development of computer network technology to network security issues placed in the limelight of the position,the status of various network security is worth our consideration.Today,the campus's role in the university building more and more widely,the university network security has become a school building must pay attention to the problem.Article on the university network security analysis of the problem,raised a number of colleges and universities to solve network security strategy.
Keywords:University;Network security;Prevention strategies
計算機技術的發(fā)展給我們的學習生活帶來了很大的方便,學校也通過計算機技術有了新的發(fā)展。如今,校園網成為學校運行中不可缺少的部分,而系統(tǒng)的不斷更新和進步也讓校園網運行變得更加復雜。由于校園網承擔著各個高校之間的信息傳遞與共享,是實現(xiàn)遠程教育、教學,科研、辦公、交流等工作的技術支出,其連接形式多樣,終端分布不均,網絡的開放性、互連性強,這也讓校園網更加容易被攻擊,因此,高校網絡安全成為我們必須重視的問題。
一、利用先進的網絡管理技術,提高高校網絡管理水平
(一)采用防火墻技術,構筑校園網絡安全屏障。防火墻技術是一種能隔離網絡內外不良信息、病毒的保護技術,它能維護計算機網絡的使用安全,構筑校內外網之間的安全屏障。防火墻技術能對所有經過校園網絡的各種信息進行篩選隔離,并過濾掉一些攻擊,避免這些攻擊在計算機網絡使用中被執(zhí)行;防火墻還可以關閉一些不被使用的端口,預防特定窗口信息流動的不安全問題;它還可以禁止來自校外特殊站點的訪問,從而截斷了不明訪問者的入侵。(二)采用VLAN技術,實現(xiàn)校園網不同用戶群體的隔離,通過虛擬局域網技術可以將校園網分成幾個不斷地子網絡,這樣可以有效預防校園網絡中廣播風暴的出現(xiàn),同時還能維護網絡安全和信息傳遞的可靠性,控制不必要的數(shù)據(jù)廣播,提高網絡寬帶的利用率和安全性。每個子網之間通過設置具體的訪問控制列表(ACL),它們可以控制和允許某一方的訪問,更好的保護了各個子網絡,從整體上提高了網絡安全。(三)采用訪問權限控制技術,最大限度保護校園網資源。訪問權限控制技術就是檢測和拒絕網絡中的未授權訪問,保障授權用戶可以正常的訪問校內網資源,并提高這些訪問的安全性。
二、計算機病毒與黑客的防范措施
病毒是現(xiàn)代計算機遇到的主要威脅,尤其是木馬病毒,它是再現(xiàn)有的技術之外的一種病毒技術,其它技術總是跟隨其后,防范困難,一旦中毒便損失嚴重。可能在短時間內,這種病毒不會有很大的改變,但是,我們也必須做好準備工作,防患于未然。在與計算機病毒的較量中,如果病毒技術并未占據(jù)上風,那我們就要做好一切工作保護自己的網絡,將可能發(fā)生的危險阻擋在門外。(一)殺毒軟件。一套完成的殺毒、防毒系統(tǒng)不僅包括常見的查、殺病毒的功能,好包括了實時防毒、實時監(jiān)測、跟蹤軟件的功能,在發(fā)現(xiàn)計算機中出現(xiàn)病毒時會及時提醒,這有這樣,才能更好地預防計算機網絡被病毒侵犯。目前,市場上的殺毒軟件很多,可以選擇適合自己的殺毒軟件。(二)數(shù)據(jù)備份。有了殺毒軟件、防火墻等一些列的防毒設施,還需要進行計算機數(shù)據(jù)備份,這樣才能全面的確保計算機的絕對安全。用戶要定期對備份數(shù)據(jù)進行更新,保留最新的數(shù)據(jù)包,也可以將數(shù)據(jù)備份刻錄成光盤永久使用。當然,校園網絡安全建設并不是短時間就能完成的,我們能做到的就是最大限度地降低那些對網絡有威脅的不安全因素,維護網絡的正常運行。(三)隱藏IP地址。黑客會時常利用一些網絡探測技術來窺探我們計算機內的信息,其主要目的就是獲得我們的網絡IP地址。IP地址在網絡安全管理中是關鍵,如果黑客攻擊了你的IP地址,那就證明,他的下一步攻擊即將進行,他會向你的IP地址發(fā)動攻擊,所以,我們有必要隱藏好IP地址,主要的方式就是使用服務器,這與直接連接到Internet的方法相比,使用服務器可以保護用戶的IP地址。服務器的原理是在客戶機和遠程服務器之間構建一個中轉站,當客戶機向遠程服務器提出服務要求后,服務器首先截取用戶的請求,然后服務器將服務請求轉交遠程服務器,從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。
三、嚴格網絡信息安全管理,完善制度防范體系
網絡信息安全問題的根本就是一個管理上的問題。首先是人員上的管理,人員是網絡信息安全管理的核心。管理人員除了要具備先關的專業(yè)技術水平外,還應有安全性要求,即所有從事網絡管理工作的人員都應具備良好的素質道德和正確的工作價值觀,不能有犯罪行為和不良嗜好,而人員的應聘和選擇方面也要嚴格執(zhí)行國家有關計算機工作上崗的規(guī)定。其次是工作程序制度,工作程序制度是網絡安全管理的基礎。因此,必須完善計算機上網審查審批、加密信息和數(shù)據(jù)的采集、存儲、處理、傳遞、使用和銷毀、安全教育、安全檢查等一系列制度。高校網絡安全管理是一個值得思考的問題,任何一個細小的失誤和疏忽都有可能導致網絡被黑客和病毒攻擊,使不良信息快速傳播。高校計算機網絡安全的管理與維護是一個系統(tǒng)工程,需要網絡管理人員、廣大師生共同參與,管理人員也要時刻注意安全管理,不要放松警惕,并充分利用有效的軟硬件還原技術、Ghost恢復技術、反病毒技術、軟硬件防火墻技術、網絡監(jiān)控新技術,控制和維護網絡安全。
四、結論
高校網絡安全建設是一項復雜工程,涉及到的技術多,人員力量大,但嚴格意義上來說,根本就沒有絕對安全的網絡,因此,我們在加強技術管理和安全維護上面,應全面綜合運用部署防火墻、入侵檢測系統(tǒng)、上網行為管理系統(tǒng)和防病毒軟件等多項措施,提高校園網絡的安全性,建立起一套適合高校網絡運行的安全系統(tǒng)。
參考文獻:
[1]黃傳河.網絡規(guī)劃設計師教程[M].北京:清華大學出版社,2009,6
關鍵詞:軍事網絡;網絡安全;網絡防護
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)23-5229-03
隨著軍隊信息化建設的深入發(fā)展和信息網技術的創(chuàng)新,軍隊計算機網絡在經歷二十多年的發(fā)展后,目前在作戰(zhàn)、訓練、政工、后勤、裝備等部門都已初具規(guī)模,擔負的使命任務也越來越重要,網絡中存儲海量的信息數(shù)據(jù)量越來越大。如何在實現(xiàn)軍用網絡既有功能的基礎上,確保網絡的高度機密和安全,始終是一項迫切需要解決的問題。
1 軍事網絡現(xiàn)狀分析
目前我軍在網絡應用方面還處于初級階段,全軍指揮自動化網和綜合信息網的建設正面臨轉型發(fā)展期,大跨度的網絡發(fā)展面臨網絡安全危機。主要存在以下幾個方面的問題:
1)網絡信息安全面臨嚴重威脅
由于軍隊網絡都采用了國際互聯(lián)網的體系結構,網絡協(xié)議的開放性和主流操作系統(tǒng)的通用性,使得軍隊網絡無法避免存在安全隱患。另外,軍用計算機設備及芯片大多從市場上購置,可能被潛在對手預留“后門”或埋有病毒。
2)網絡建設無統(tǒng)一標準及不可信接入
由于缺乏頂層設計與管理,目前全軍各單位之間數(shù)據(jù)格式標準不同,接口不統(tǒng)一,之間資源共享率低,而且大多基于網絡的應用系統(tǒng)和軟件的研發(fā)都是獨自組織,由此出現(xiàn)軍事網絡建設中“大網套小網,小網聯(lián)大網,煙囪林立,漏洞頻出”的現(xiàn)象。
3)網絡安全風險評估技術發(fā)展和應用滯后
常見的軍事信息網絡風險評估主要依靠人工評估和自動評估兩種方法。目前人工評估在我國還占有相當?shù)谋壤?,盡管人工評估依靠專家經驗,對評估要素收集比較全面,但容易引入主觀因素;而自動評估技術很多方法介于實時監(jiān)測和靜態(tài)評估之間,在真實網絡環(huán)境中可操作性不強,在研究方面還欠缺系統(tǒng)性。
4)網絡用戶水平和安全維護管理機制有待完善
與世界先進國家相比,我軍用網絡還處于初步階段,主要以建設和使用為目的,信息保護和安全的總體方案還沒得到充分重視,對網絡的維護、管理不夠,職責不清。用戶水平和安全意識與網絡安全維護需求還有一定的差距。
2 攻擊軍事網絡的主要途徑
1)計算機病毒
計算機病毒被明確定義為:“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼”。計算機病毒可存駐在計算機硬盤或其他設備中,可通過計算機網絡進行傳輸。其自身具備:繁殖性、破壞性、傳染性、潛伏性、隱蔽性及可觸發(fā)性。在軍事斗爭中,病毒可以通過電磁輻射注入計算機,將病毒調制到電子設備發(fā)射的電磁波中,利用對方無線電接收機從電子系統(tǒng)薄弱環(huán)節(jié)進入信息網絡。此外還有固化病毒、節(jié)點注入和網絡傳播等手段。目前,許多國家都在研制和試驗用于軍事目的的計算機病毒。如美國中情局和國防保密局曾招標研制“軍用病毒”,將病毒和密碼固化在出口的集成電路芯片中,平時長期潛伏,戰(zhàn)時隨時遙控觸發(fā)。由于計算機病毒的種類和破壞威力在高速增長,病毒機理和變種不斷進化,給病毒的防范工作帶來巨大困難,計算機病毒已經成為軍事網絡安全的第一威脅。
2)黑客攻擊
由于軍事網絡存在多種漏洞和缺陷,主要包括:軟硬件缺陷、人為失誤、網絡協(xié)議的缺陷以及管理缺陷,這些為黑客攻擊提供了攻擊基礎。目前黑客的主要攻擊方式分為:
a)木馬程序
區(qū)別于一般病毒,木馬主要通過自身偽裝,吸引用過下載,以此打開被種者電腦,進行任意破壞、竊取文件,甚至遠程操控。
b)欺騙協(xié)議
針對網絡協(xié)議缺陷,假冒身份,以欺騙方式獲取相關特權進行攻擊或截取信息,主要包括源路由欺騙攻擊、Ip欺騙攻擊、ARP欺騙攻擊和DNS欺騙攻擊
c)攻擊口令
黑客把破譯用戶的口令作為攻擊的開始,以此獲得網絡或機器的訪問權和管理權,就可以隨意竊取、破壞和篡改直至控制被侵入方信息。
d)Dos攻擊
即拒絕服務攻擊,主要包括攻擊計算機網絡帶寬和連通性,其目的使計算機或網絡無法提供正常的服務。目前在此基礎上發(fā)展成DDos攻擊,即分布式拒絕服務。
e)緩沖區(qū)溢出
攻擊者輸入一超長字符串,植入緩沖區(qū),再向一有限空間植入超長字符串,導致兩種后果:一是引起程序失敗,可能導致系統(tǒng)崩潰;二是可執(zhí)行任意指令。
而黑客攻擊事件層出不窮。如在2011年6月23日,黑客組織侵入亞利桑那州公共安全部門盜取700份文件。被公布的文件包括數(shù)百份私人信息、培訓手冊、個人郵箱、分類文檔等諸多資料。隨后,該組織成功入侵了美國議會網站,貼出了文件系統(tǒng)的基本信息,包括用戶姓名和網頁服務器的配置文件。6月底,黑客組織公布了美國FBI附屬機構infraGard將近180名員工的郵箱、登陸證書和其他個人化認證信息,并迫使中情局對外公眾網站關停數(shù)小時。
3)設備攻擊
主要指電磁輻射泄密。電磁輻射主要來源于計算機及其設備和通信設備在信息處理時產生的電磁泄漏。利用高性能的電磁輻射接受等裝置截取信息。大量的成熟產品說明,在一定距離上使用檢測設備可以接受到任意一臺為采取安全保護措施的計算機屏幕信息。如美國96年就推出了DateSun接收機,其平均接受距離為270米。另外網絡傳輸?shù)慕橘|主要是電纜和電話線路,這為敵方利用網絡窺探器來截獲傳輸?shù)臄?shù)據(jù)提供可乘之機。如94年美國一名黑客在許多主機和主干網上建立窺探器,收集了近10萬個口令和用戶名。
4)軍隊內部泄密
網絡管理員的文化素質和人品素質影響網絡安全。網絡管理員是最直接接觸網絡機密的人,他們有機會竊取用戶密碼以及其它的秘密資料,并且他們的行為可能會破壞網絡的完整性,是對網絡安全最直接的威脅。此外網絡操作人員的非法操作方式,如私自連入互聯(lián)網、使用非保密移動介質接入軍網,都會導致巨大的損失和災難。
3 相應防護措施
1)病毒防護措施
對于病毒的防護,主要可從加強以下幾方面操作:
a)安裝最新版殺毒軟件,運行即時監(jiān)控功能。
b)及時給系統(tǒng)打補丁。
c)不隨意打開來歷不明的軟件和郵件。
d)使用安全性能高的路由器,針對不同協(xié)議攻擊方式配置好相應的系統(tǒng)安全策略。
e)采用安全系數(shù)高的密碼
f)對密碼輸入長度進行校驗。
2)網絡防火墻措施
網絡防火墻是由硬件和軟件組成的一個或一組系統(tǒng),用于增強內部網絡和Internet之間的訪問控制。防火墻在被保護內部網和外部網絡之間形成一道屏障,建立一個安全網關,防止發(fā)生不可預測、潛在破壞入。它可通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流在實現(xiàn)網絡的安全防護。而且采用的防火墻必須具備以下四方面的特征:所以在內部網絡和外部網絡之間傳輸?shù)臄?shù)據(jù)必須通過防火墻;只有被授權的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過防火墻;防火墻本身不受各種攻擊的影響;使用當前新的信息安全技術。其中所用到技術包括:信息過濾技術、網絡地址轉換技術以及、檢測技術。
3)入侵檢測措施
自1987年入侵檢測系統(tǒng)模型被提出后,網絡入侵檢測技術得到迅速發(fā)展,目前已逐步取代基于主機的檢測而成為入侵檢測研究的主流。網絡入侵檢測是通過分析網絡傳送的網絡包來實現(xiàn)對攻擊的檢測。入侵檢測技術主要分為兩類,即誤用檢測和異常檢測。誤用檢測的基礎是建立黑客攻擊行為特征庫,采用特征匹配的方法確定攻擊事件。異常檢測是通過建立用戶正常行為模型,以是否顯著偏離正常模型為依據(jù)進行入侵檢測。以往有多種機器學習方法被引入入侵檢測系統(tǒng),如神經網絡、遺傳算法、聚類算法等。目前也有多種檢測技術被國內外研究。軍網中需要挑選合適的入侵檢測系統(tǒng),從而能運行穩(wěn)定而且能有效快速檢測到絕大部分攻擊行為。像現(xiàn)在使用的JUMP網絡入侵檢測系統(tǒng),它集成了國內外最新的網絡攻擊行為特征數(shù)據(jù)庫,檢測功能強大。
4)數(shù)據(jù)加密措施
由于軍隊內部的數(shù)據(jù)的保密性不言而喻,為保證網絡信息數(shù)據(jù)的安全,數(shù)據(jù)加密措施應運而生。一般數(shù)據(jù)加密算法包括斯四種置換表算法、改進的置換表算法、循環(huán)移位算法和循環(huán)冗余校驗算法。部隊常用的數(shù)據(jù)加密技術一般包括以下三類:
a)鏈路加密
在網絡通信鏈路上對信息進行加密,通常用硬件在物理層實現(xiàn)。實現(xiàn)簡單,即把密碼設備安裝在兩個節(jié)點的線路上,使用相同的密鑰即可。它主要保護在信道或鏈路中可能被截獲的部分。但有兩個缺點:一是獨立密鑰多,成本高,二是報文以明文方式通過中央處理機,容易受到非法竊取。
b)節(jié)點加密
是鏈路加密的改進,在協(xié)議運輸層進行加密。首先解密接受到的數(shù)據(jù),然后在節(jié)點的安全模塊中使用不同的密鑰對數(shù)據(jù)進行加密。節(jié)點加密也是每條鏈路使用一個專用密鑰,但密鑰之間變換在保密模塊中進行。
c)端端加密
在網絡層以上加密。在整個數(shù)據(jù)傳輸過程中,數(shù)據(jù)一直以密文的形式傳輸,直到數(shù)據(jù)傳輸?shù)浇邮杖酥岸疾贿M行解密,達到一種高度的保密。目前端端加密一般由軟件完成,采用脫機調試方式。也可用硬件實現(xiàn),但難度較大。
5)人員監(jiān)督措施
在軍事信息安全防護方面,要始終做好人的工作。一是加強對軍事網絡安全的認知;二是提高素質;三是嚴厲打擊各種泄密、賣密行為。
6)防輻射措施
目前針對軍隊輻射泄漏,主要采用:
a)加載干擾器方法
干擾器其功能是對計算機設備產生的電磁輻射進行干擾,以消除潛在的信息泄漏。一般干擾器與計算機同步啟動,利用干擾器發(fā)射的干擾信號進行干擾,以電子信息對抗的方法防止周圍竊密者截獲信號。
b)建立專用機房
根據(jù)物理學屏蔽原理,在機房外部使用金屬網罩并接上地線可以屏蔽任何電磁輻射。
7)安全風險評估措施
選擇恰當?shù)脑u估屬性參數(shù),定義在可操作角度評估軍事信息網絡面臨的風險參數(shù),建立以時間采樣統(tǒng)計值為主的權值相關的網絡風險評估模型。該文采用文獻的模型,選取的評估指標包括:軍事信息網全網傳信總延時Td、網絡和節(jié)點吞吐量Tp、網絡延遲抖動Tw、每節(jié)點路由表更換的周期Pe、系統(tǒng)服務響應時間Tr和系統(tǒng)恢復時間Tc??紤]各因素的權重,得出評估值公式為:
SC=C*P=C1*P1+C2*P2+…+Cn*Pn
其中:0≤P1 ,P2,…,Pn≤1; P1+P2+…+Pn=1
根據(jù)評分給出網絡風險評估結果,進一步加強軍事網絡薄弱環(huán)節(jié)。在平時對軍事網絡風險評估,可以在戰(zhàn)時提前對軍事信息安全查缺補漏,了解未來的打擊方向。
4 結論
未來的戰(zhàn)爭中,軍事信息網絡必將成為敵我雙方爭奪的主要戰(zhàn)場。網絡安全關系到戰(zhàn)爭的走勢,甚至直接決定戰(zhàn)爭的結局。因此,完善網絡建設,加強我軍網絡安全防護,盡快形成具有我軍特色的、適應信息化建設和未來高科技戰(zhàn)爭需要的安全體系是當前的重要任務。
參考文獻:
[1] 魚靜.網絡中心戰(zhàn)下軍事信息網絡風險評估技術的研究[J].計算機安全,2011(2).
[2] 周矛欣.黑客攻擊的常見方式及預防[J].中國教育信息化高教職教,2010(9).
[3] 王秀和.計算機網絡安全技術淺析[J].中國教育技術裝備,2007(5).
[4] 高燕.論軍事信息網絡安全面臨的主要威脅[J].經濟研究導刊,2011(19).
[5] 朱寧寧.軍事網絡安全防御的研究[J].電腦知識與技術,2011,07(1).
【關鍵詞】計算機 網絡安全 防范技術
一、威脅計算機網絡安全的因素
(1)網頁瀏覽器存在安全漏洞。我們上網所用的WEB服務器和網頁瀏覽器存在安全漏洞。開始時開發(fā)人員引用CGI程序是要使網頁活動起來,但多數(shù)人員對CGI這一程序并不是很了解,而且編程時也只是對其進行適當修改,但網頁瀏覽器的核心部分仍然是相同的,所以可以說網頁瀏覽器有著類似的安全漏洞。因此在人們上網應用瀏覽器時,實際上是處于具有安全隱患的環(huán)境中,一旦進入網絡世界,就有被攻擊的可能。
(2)防火墻軟件的安全配置不當。計算機系統(tǒng)安裝的防火墻如果配置不當,即使使用者安裝了,但仍然是沒有起到任何的防范作用的。網絡入侵的最終目的是要取得使用者在計算機系統(tǒng)中的訪問權限、存儲權限甚至是寫權限,以便能夠惡意破壞此系統(tǒng),造成數(shù)據(jù)丟失被盜或系統(tǒng)崩潰,或者以此為跳板,方便進入其他計算機系統(tǒng)進行破壞。在計算機連接入網時,啟動了一些網絡應用程序后,實際上也打開了一條安全缺口,這時,除非使用者禁止啟動此程序或對安全配置進行正確配置,
否則計算機系統(tǒng)始終存在安全隱患。
(3)計算機病毒。計算機病毒是威脅計算機網絡安全的最大致命因素。它是人為制造的一種影響計算機正常運行、破壞計算機內的文件數(shù)據(jù),并且能夠自我復制的惡意程序代碼。就像現(xiàn)實生活中的病毒一樣具有傳染性、隱蔽性、復制性、潛伏性和破壞性,同時有可觸發(fā)性這一特有的特性。這些特性就容易導致計算機網絡安全存在嚴重隱患。
(4)木馬攻擊。無論是計算機的硬件還是軟件,制造者們?yōu)榱四軌蜻M行非授權訪問會故意在軟、硬件上設置訪問口令,即后門,木馬就是一種特殊的后門程序。在計算機聯(lián)網的情況下,通過木馬黑客可以無授權且隱蔽地來進行遠程訪問或控制計算機。也正是如此,計算機網絡存在嚴重的安全威脅,并且這一威脅還處于潛在的。
(5)黑客。黑客是精通編程語言和計算機系統(tǒng),對計算機有很深的研究的電腦專家,他們通過計算機網絡,利用計算機系統(tǒng)或應用軟件的安全漏洞非法訪問或控制計算機,以此來破壞系統(tǒng),竊取資料等一些惡意行為,可以說對計算機的安全,黑客比計算機病毒更具危害。
二、網絡安全防范相關技術
(1)入侵預防技術?,F(xiàn)在有很多針對入侵進行檢測的產品,但是這些入侵檢測產品只是被動的進行檢測計算機網絡有無受到攻擊,甚至有時也會有些誤檢測引起防火墻的錯誤操作,使之影響整個網絡系統(tǒng)。這時我們需要更高一級的入侵預防技術來保障計算機網絡的安全運行。入侵預防技術與傳統(tǒng)的入侵檢測程序最大的不同就是入侵預防技術根據(jù)預先設定好的防范規(guī)則,以此來判斷哪些行為是可以通過的,哪些行為是帶有威脅性的,并且一旦發(fā)現(xiàn)有可疑的入侵行為,入侵預防技術會積極主動地進行攔截或清除此系統(tǒng)行為。入侵預防技術安全地架構了一個防范網絡安全的應用軟件,它加強了用戶桌面系統(tǒng)和計算機網絡服務器的安全。從入侵預防技術的特點來說,入侵預防置于服務器前面,防火墻的后面是最佳選擇。
(2)防范計算機病毒的安全技術。計算機病毒具有的隱蔽性強、復制能力快、潛伏時間長、傳染性快、破壞能力大、針對性強等特點,應用的主要技術有“后門”攻擊、無線電、數(shù)據(jù)控制鏈接攻擊、“固化”的方式,針對這些特性防范計算機病毒的安全技術操作,我們應該注意幾個方面的內容,第一、安裝有層次級別的防病毒軟件,對計算機實施全方位的保護措施。第二、對光盤、U盤等移動存儲介質中的內容進行防毒殺毒措施。第三、對從網絡上下載的文件資料或郵件進行病毒查殺。第四、定期升級病毒庫,定期對計算機進行查殺。
(3)采用防火墻技術。為了保障計算機網絡的安全性,可以與其他安全防范技術相配合使用的一個技術就是防火墻技術。防火墻是一種用于加強網絡與網絡間的訪問控制,防止外部非法授權用戶訪問內部的網絡信息的應用軟件。防火墻的主要工作就是掃描所有經過它進入的外網網絡通信數(shù)據(jù),過濾具有威脅性的攻擊信息數(shù)據(jù),并且關閉不開啟的端口禁止數(shù)據(jù)流的進出,同時封鎖木馬禁止可疑站點的訪問,防止非法授權用戶的入侵,并且監(jiān)控網絡的使用情況,記錄和統(tǒng)計有無非法操作的行為。它主要是用來邏輯隔離計算機網絡的內網和外網,所以通常安裝在連接內網與外網的節(jié)點上,所以防火墻又有防外不防內的局限性。網絡管理員通常是把防火墻技術和其他的安全防范技術配合使用,能更好地保護網絡的安全使用。并且防火墻設置上要冗余多變,單點設置易使網絡出現(xiàn)故障,如果內網與外網出現(xiàn)連通故障,則會嚴重影響網絡的交流通訊。
(4)漏洞掃描技術。漏洞掃描技術的主要技術有Ping掃描、端口掃描、脆弱點探測,OS探測。它們根據(jù)要實現(xiàn)的不同目標運用不同的工作原理。在整個計算機網絡中,通過Ping掃描來確定目標主機的IP地址,通過端口掃描來確定主機所開啟的端口及該端口的網絡服務,并且用脆弱點探測和OS探測進行掃描,所得結果與網絡漏洞掃描系統(tǒng)所提供的漏洞庫進行特征匹配,以此確定有無漏洞存在。這種漏洞的特征匹配方法必須對網絡漏洞掃描系統(tǒng)配置特征規(guī)則的漏洞庫進行不斷的擴充和修正,即時更新漏洞庫,讓漏洞庫信息完整、有效、簡易。
關鍵詞:校園網;網絡安全;方案設計
當前網絡技術的快速發(fā)展,大部分高校已經建立了學校校園網絡,為學校師生提供了更好的工作及學習環(huán)境,有效實現(xiàn)了資源共享,加快了信息的處理,提高了工作效率【1】。然而校園網網絡在使用過程中還存在著安全問題,極易導致學校的網絡系統(tǒng)出現(xiàn)問題,因此,要想保證校園網的安全性,首先要對校園網網絡安全問題深入了解,并提出有效的網絡安全方案設計,合理構建網絡安全體系。本文就對校園網網絡安全方案設計與工程實踐深入探討。
1.校園網網絡安全問題分析
1.1操作系統(tǒng)的漏洞
當前大多數(shù)學校的校園網都是采用windows操作系統(tǒng),這就加大了安全的漏洞,服務器以及個人PC內部都會存在著大量的安全漏洞【2】。隨著時間的推移,會導致這些漏洞被人發(fā)現(xiàn)并利用,極大的破壞了網絡系統(tǒng)的運行,給校園網絡的安全帶來不利的影響。
1.2網絡病毒的破壞
網絡病毒是校園網絡安全中最為常見的問題,其能夠使校園網網絡的性能變得較為低下,減慢了上網的速度,使計算機軟件出現(xiàn)安全隱患,對其中的重要數(shù)據(jù)帶來破壞,嚴重的情況下還會造成計算機的網絡系統(tǒng)癱瘓。
1.3來自外部網絡的入侵和攻擊等惡意破壞行為
校園網只有連接到互聯(lián)網上,才能實現(xiàn)與外界的聯(lián)系,使校園網發(fā)揮出重要的作用。但是,校園網在使用過程中,會遭到外部黑客的入侵和攻擊的危險,給校園互聯(lián)網內部的服務器以及數(shù)據(jù)庫帶來不利的影響,使一些重要的數(shù)據(jù)遭到破壞,給電腦系統(tǒng)造成極大的危害。
1.4來自校園網內部的攻擊和破壞
由于大多數(shù)高校都開設了計算機專業(yè),一些學生在進行實驗操作的時候,由于缺乏專業(yè)知識,出于對網絡的興趣,不經意間會使用一些網絡攻擊工具進行測試,這就給校園網絡系統(tǒng)帶來一定的安全威脅。
2.校園網網絡安全的設計思路
2.1根據(jù)安全需求劃分相關區(qū)域
當前高校校園網都沒有重視到安全的問題,一般都是根據(jù)網絡互通需要為中心進行設計的。以安全為中心的設計思路能夠更好的實現(xiàn)校園網的安全性。將校園網絡分為不同的安全區(qū)域,并對各個區(qū)域進行安全設置。其中可以對高校校園網網絡安全的互聯(lián)網服務區(qū)、廣域網分區(qū)、遠程接入區(qū)、數(shù)據(jù)中心區(qū)等進行不同的安全區(qū)域。
2.2用防火墻隔離各安全區(qū)域
通過防火墻設備對各安全區(qū)域進行隔離,同時防火墻作為不同網絡或網絡安全區(qū)域之間信息的出入口,配置不同的安全策略監(jiān)督和控制出入網絡的數(shù)據(jù)流,防火墻本身具有一定的抗攻擊能力。防火墻把網絡隔離成兩個區(qū)域,分別為受信任的區(qū)域和不被信任的區(qū)域,其中對信任的區(qū)域將對其進行安全策略的保護,設置有效的安全保護措施,防火墻在接入的網絡間實現(xiàn)接入訪問控制。
3.校園網網絡安全方案設計
3.1主干網設計主干網可采用三層網絡構架,將原本較為復雜的網絡設計分為三個層次,分別為接入層、匯聚層、核心層。每個層次注重特有的功能,這樣就將大問題簡化成多個小問題。
3.2安全技術的應用3.2.1VLAN技術的應用。虛擬網是一項廣泛使用的基礎,將其應用于校園網絡當中,能夠有效的實現(xiàn)虛擬網的劃分,形成一個邏輯網絡。使用這些技術,能夠優(yōu)化校園網網絡的設計、管理以及維護。
3.2.2ACL技術的應用。這項技術不僅具有合理配置的功能,而且還有交換機支持的訪問控制列表功能。應用于校園網絡當中,能夠合理的限制網絡非法流量,從而實現(xiàn)訪問控制。
3.3防火墻的使用防火墻是建立在兩個不同網絡的基礎之間,首先對其設置安全規(guī)則,決定網絡中傳輸?shù)臄?shù)據(jù)包是否允許通過,并對網絡運行狀態(tài)進行監(jiān)視,使得內部的結構與運行狀況都對外屏蔽,從而達到內部網絡的安全防護【3】。如圖一所示。防火墻的作用主要有這幾個方面:一是防火墻能夠把內、外網絡、對外服務器網絡實行分區(qū)域隔離,從而達到與外網相互隔離。二是防火墻能夠將對外服務器、網絡上的主機隔離在一個區(qū)域內,并對其進行安全防護,以此提升網絡系統(tǒng)的安全性。三是防火墻能夠限制用戶的訪問權限,有效杜絕非法用戶的訪問。四是防火墻能夠實現(xiàn)對訪問服務器的請求控制,一旦發(fā)現(xiàn)不良的行為將及時阻止。五是防火墻在各個服務器上具有審計記錄,有助于完善審計體系。
4.結語
總而言之,校園網絡的安全是各大院校所關注的問題,當前校園網網絡安全的主要問題有操作系統(tǒng)的漏洞、網絡病毒的破壞、來自外部網絡的入侵和攻擊等惡意破壞行為、來自校園網內部的攻擊和破壞等【4】。要想保障校園網網絡的安全性,在校園網網絡安全的設計方面,應當根據(jù)安全需求劃分相關區(qū)域,用防火墻隔離各安全區(qū)域。設計一個安全的校園網絡方案,將重點放在主干網設計、安全技術的應用以及防火墻的使用上,不斷更新與改進校園網絡安全技術,從而提升校園網的安全性。
作者:金茂 單位:杭州技師學院
參考文獻:
[1]余思東,黃欣.校園網網絡安全方案設計[J]軟件導刊,2012,06:138-139
[2]張明,姜崢嶸,陳紅麗.基于WLAN的無線校園網的設計與實現(xiàn)[J]現(xiàn)代電子技術,2012,13:63-65+68
關鍵詞:網絡信息安全;安全技術;應用
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 24-0000-01
Network Communications Security Analysis and Security&Defense Measures
Tian Xinmeng
(Yangtze University,Jingzhou434023,China)
Abstract:With the continuous development of IT,network information security issues have also been threatened.In this paper,from the definition of network and information security,influence factors,several aspects of the defensive measures described some degree of hope can enhance the degree of safety of network information.
Keywords:Network security;Security technology;Application
如今的信息發(fā)展速度是飛快的,我們的通信與網絡之間的聯(lián)系也越來越緊密。此種情況下一定程度的促進了網絡的迅速發(fā)展,不可否認的是網絡通信在日益騰飛的今天,它的安全問題也逐漸受到消費者的重視,對于維護網絡通信的安全壓力也越來越大。網絡通信的天然屬性就是開放,與此同時開放性的存在也導致了許多安全方面的漏洞,隨著內外安全環(huán)境的日益惡化,諸如信息竊取或者網絡攻擊的活動也逐漸變得猖獗。同時網絡的惡意行為趨勢也漸漸變得明顯,在一定程度上充分的引起了我們的注重。許多有組織的集團或者駭客攻擊的存在都嚴重影響著我國網絡的通信安全。
一、網絡的通信安全
在對網絡的通信安全進行定義時需要從多方面來考慮。其定義從國際化的角度看來可以是信息的可用性、可靠性、完整性以及保密性。一般情況下網絡通信安全指的是依據(jù)網絡的特性由相關的安全技術以及預防計算機的網絡硬件系統(tǒng)遭迫害所采取的措施服務。
(一)影響網絡通信安全的因素
首先就是軟硬件的設施。許多的軟硬件系統(tǒng)一開始是為了方便管理才事先設置了遠程終端登錄的控制通道,這樣會極大程度的加大了病毒或者黑客攻擊的漏洞。除此之外很多軟件在一開始設計時雖然會將種種安全的因素考慮進去,但不可避免的時間一長就會出現(xiàn)缺陷。在出現(xiàn)問題后就需要立即補丁來進行漏洞彌補。與此同時一些商用的軟件源程序會逐漸變得公開或者半公開化的形態(tài),這就使得一些別有用心的人輕易找到其中漏洞進行攻擊。在一定程度上使得網絡的通信安全受到威脅。
其次就是人為的破壞。某些計算機的內部管理員工由于缺乏一定的安全意識以及安全技術,利用自身的合法身份進到網絡中,從事一些破壞、惡意竊取的行為。最后就是TCP/IP的服務比較脆弱,由于因特網的基本協(xié)議就是TCP/IP 協(xié)議,這個協(xié)議的設計雖然比較有實效但是安全因素比較匱乏。這樣就會增大代碼的量,最終也會導致TCP/1P 的實際運行效率降低。因此TCP/IP其自身的設計就存在著許多隱患。許多以TCP/IP為基礎的應用服務比如電子郵件、FTP等服務都會在不同的程度受到安全威脅。
(二)常用的幾種通信安全技術
比較常用的有數(shù)據(jù)加密技術,所謂的加密就是將明文轉化為密文的過程。還有數(shù)字簽名的技術,這時一種對某些信息進行研究論證的較有效手段。除此之外訪問控制也是一種有效地安全技術,這一種形式的機制就是利用實體的能力,類別確定權限。
二、通信網絡的安全防護措施
正是由于通信網絡的功能逐漸變得強大,我們的日常生活也越來越離不開它,因此我們必須采取一系列有效措施來將網絡的風險降到最低。
(一)防火墻技術
通常情況下的網絡對外接口所使用的防火墻技術可以使得數(shù)據(jù)、信息等在進行網絡層訪問時產生一定的控制。經過鑒別限制或者更改越過防火墻的各種數(shù)據(jù)流,可以實現(xiàn)網絡安全的保護,這樣可以極大限度的對網絡中出現(xiàn)的黑客進行阻止,在一定層面上可以防止這些黑客的惡意更改、隨意移動網絡重要信息的行為。防火墻的存在可以防止某些Internet中不安全因素的蔓延,是一種較有效地安全機制,因此防火墻可以說是網絡安全不可缺少的一部分。
(二)身份的認證技術
經過身份認證的技術可以一定范圍內的保證信息的完整機密性。
(三)入侵的檢測技術
一般的防火墻知識保護內部的網絡不被外部攻擊,對于內部的網絡存在的非法活動監(jiān)控程度還不夠,入侵系統(tǒng)就是為了彌補這一點而存在的。它可以對內部、外部攻擊積極地進行實時保護,網絡受到危害前就可以將信息攔截,可以提高信息的安全性。
(四)漏洞的掃描技術
在面對網絡不斷復雜且不斷變化的局面時,知識依靠相關網絡的管理員進行安全漏洞以及風險評估很顯然是不行的,只有依靠網絡的安全掃描工具才可以在優(yōu)化的系統(tǒng)配置下將安全漏洞以及安全隱患消除掉。在某些安全程度較低的狀況下可以使用黑客工具進行網絡的模擬攻擊,這樣可以一定層面的將網絡漏洞暴露出來。
(五)虛擬的專用網技術
由一個因特網建立一個安全且是臨時的鏈接,這是一條經過混亂公用網絡的穩(wěn)定安全通道。
三、總結
伴隨著網絡通信的全球發(fā)展,我們的生活工作與網絡之間的關系也變得越來越親密,在使用網絡通信提供的高效方面服務的同時,我們也遭受著網絡信息帶來的一些危害。因此只有銅鼓相關部門制定完善的法律體系,擁有安全的技術才可以保證網絡的安全,進一步促進網絡通信的發(fā)展。
參考文獻:
[1]陳震.我國信息與通信網建設安全問題初探[J].科學之友,2010年24期
[2]姜濱,于湛.通信網絡安全與防護[J].甘肅科技,2006年85期
關鍵詞:計算機;網絡安全;防范方式
隨著科學技術的進步,“網絡時代”已經成為21世紀的新標簽。人們的生活、工作、學習、娛樂等方面越來越離不開網絡,在享受著網絡帶來的眾多快樂、便捷的同時,也面臨著越來越嚴重和復雜的網絡安全問題。因此,如何保護計算機網絡安全,已經成為相關部門研究的關鍵性課題。
1 計算機網絡安全概念和防范重要性
1.1 計算機網絡安全概念。參照ISO為“計算機安全”的定義:“保護計算機網絡系統(tǒng)中的硬件、軟件和數(shù)據(jù)資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統(tǒng)聯(lián)系可靠性地正常運行,確保網絡服務正常有序?!庇嬎銠C網絡安全不僅包括組網的硬件、軟件,也包含共享的資源和服務,所以定義計算機網絡安全應考慮涉及計算機網絡的全部內容。
1.2 計算機網絡防范的重要性。在信息化飛速發(fā)展的今天,計算機網絡技術已經在各行各業(yè)得到廣泛應用。企業(yè)、家庭、個人可以通過互聯(lián)網獲取到豐富全面的資源,但同時自身保密的信息資源也存在著被盜用或者披露的威脅。比如目前網絡支付平臺的大規(guī)模發(fā)展,人們可以更方便、快捷的實現(xiàn)購買目的,但也致使一些非法分子利用某些手段竊取用戶賬號、密碼,給用戶和商家?guī)硪欢ǖ慕洕鷵p失。因此,必須采取相應措施,價錢網絡安全防范。
2 計算機網絡安全中潛在威脅
2.1 操作系統(tǒng)的安全問題。目前,我國用戶使用的最普遍操作系統(tǒng)是Window系列,并且多數(shù)是非正版軟件。非正版操作系統(tǒng)本身存在安全漏洞,特別是有時用戶會疑問為什么明明已經安裝殺毒軟件,但計算機依舊不明不白中毒了。這是因為使用的非正版操作系統(tǒng)不規(guī)范、和計算機硬件相沖突、無法及時更新病毒數(shù)據(jù)庫,致使系統(tǒng)安全大幅度降低,黑客就可以輕易利用漏洞侵入計算機,操控用戶的計算機。
2.2 資源共享的安全威脅。網絡時代的帶來,使人們可以簡單的實現(xiàn)網絡共享,比如同一局域網環(huán)境下用戶只需右鍵點擊文件包,輕觸“共享和安全”5個字即可實現(xiàn)共享;又如在互聯(lián)網中,用戶上傳本地文檔到網絡硬盤或者通過渠道向好友傳送文檔,均可實現(xiàn)資源數(shù)據(jù)共享。但用戶只看到大量數(shù)據(jù)信息的共享,卻沒有注意到病毒也會趁虛而入。用戶在共享的時候,沒有設置相應的要求,導致黑客、病毒、木馬等入侵者進入系統(tǒng)對數(shù)據(jù)進行破壞、篡改、刪除,更為嚴重可以竊取用戶重要個人信息,實施非法犯罪行為。
2.3 網絡協(xié)議的安全問題。目前使用最為廣泛的協(xié)議是TCP/IP協(xié)議,也是Internet最基本的協(xié)議。但是該協(xié)議在開發(fā)之初并沒有對協(xié)議內容的安全性進行設定,導致現(xiàn)在存在嚴重的安全隱患。入侵者可以利用IP地址追蹤盜用、源路由攻擊等手段侵入計算機刪除、盜取用戶大量機密數(shù)據(jù),特別是一些黑客利用截取連接等攻擊手段入侵銀行、企業(yè)等機構,竊取商業(yè)機密。這一問題已經成為當下網絡安全中的最重要問題。
2.4 病毒問題。和醫(yī)學上的“病毒”不同,計算機病毒不是天然存在的,往往是某些人編制的一組指令集或者程序代碼。因為計算機網絡的快速發(fā)展、網絡化的普及,計算機病毒通過某種途徑潛伏在計算機的存儲介質里或者程序軟件中,當用戶對存儲介質或者軟件進行操作時激活病毒,其以一定速度和數(shù)量繁殖傳播,從而感染其他軟件,致使整個計算機網絡癱瘓崩潰。
3 計算機網絡安全問題防范方式
3.1 建立健全安全機制。依據(jù)相關法律、管理辦法建立健全各種安全機制,特別是對公共場所的計算機網絡設置安全制度,加強網絡安全教育和培訓。
3.2 提高病毒防范意識。計算機安全問題的一大問題就是病毒防范,在當下網絡化的時代病毒的頻頻出現(xiàn)已經成為重要安全隱患。在個人計算機中,用戶不僅要重視查殺病毒,還要注意病毒的預防。例如,使用正版系統(tǒng)軟件,及時升級更新病毒數(shù)據(jù)庫,保證網絡安全;定時、定期地對計算機進行掃描,一旦發(fā)現(xiàn)病毒立即消除。在公共場所,比如學校、企業(yè)、網吧等需要建立局域網的地方,要使用基于服務器操作平臺的殺毒軟件和針對各客戶端操作系統(tǒng)的防病毒軟件。
3.3 打開防火墻。防火墻就是一個計算機和它所連接網絡之間的軟件,具備很好的網絡安全保護作用。入侵者如果想要接觸目標計算機,必須要穿越防火墻的安全防線。計算機網絡安全不止是單純的防治病毒,而且還要抵制外來非法入侵。防火墻可以最大限度的阻止網絡黑客的“拜訪”,防止他們隨意更改目標計算機的重要信息??梢哉f,防火墻就是一種簡單、有效、可以廣泛應用的網絡安全機制,可以防止網絡上的不安全因素進入局域網。計算機用戶可以根據(jù)自身需求,設置防火墻的配置,更加合理有效發(fā)揮防火墻的作用。
3.4 設置數(shù)據(jù)加密功能。對于當前網絡化社會,資源的共享避免不了,所以在這種情況下用戶有必要對計算機關鍵文檔信息設置加密處理。最常使用的數(shù)據(jù)加密方法有對稱加密、不對稱加密和不可逆加密三種。對稱加密即單鑰密碼加密,用戶以明文和加密鑰匙的方法對信息進行加密處理,目前是使用最早也是水平最高的加密技術。入侵者想要獲取相應文件,必須要通過加密鑰匙將其轉化為明文;不對稱加密算法就是用兩種不同又能相匹配的公鑰和私鑰進行加密,如果入侵者想要解讀文件信息,就必要要具備兩個鑰匙;不可逆加密算法不存在密鑰保管和分發(fā)問題,直接輸入明文,就能用加密方法將其轉換為密文,再經過相應數(shù)據(jù)處理,很難被破解。目前這項技術非常適合在分布式網絡系統(tǒng)使用,入侵者想要解讀數(shù)據(jù),就必須輸入明文才可通過相應加密步驟。
3.5 提高網絡安全管理人員技術水平。對于個人計算機用戶就是網絡管理人員,在日常使用中,用戶要不斷提高自我防范意識,加強網絡安全操作水平;對于企業(yè)、學校、機關單位等設立局域網的場所,必須要常備專業(yè)網絡管理人員,積極處理計算機網絡中遇到的各種突發(fā)事件,采取有效措施避免黑客和病毒、木馬的侵入,保證整個網絡的安全運行。
4 結束語
隨著計算機軟硬件的發(fā)展、互聯(lián)網技術的廣泛應用,計算機網絡技術已經深入到人們的生活中,發(fā)揮著越來越巨大的作用。然而,在人們對計算機網絡日益依賴的同時,某些不法分子利用病毒、木馬肆意破壞著用戶的計算機,嚴重影響到人們的正常工作和生活。因此,計算機網絡安全已經成為計算機用戶日益關心的話題,人們要提升個人防護意識,注意日常操作習慣,將網絡安全問題防范看作一件長期工作,不斷積累經驗,確保計算機網絡的安全性。
參考文獻
[1]巴大偉.計算機網絡安全問題及其防范措施[J].信息通信,2013(10).
[2]王威,劉百華,孟凡清.計算機網絡安全問題與防范方式[J].電子科技,2012(4).
[3]徐向陽.常見網絡攻擊方法與安全策略研究[J].赤峰學院學報:自然科學版,2008,24(5).
[關鍵詞] 網絡安全方案設計實現(xiàn)
一、計算機網絡安全方案設計與實現(xiàn)概述
影響網絡安全的因素很多,保護網絡安全的技術、手段也很多。一般來說,保護網絡安全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術,等等。為了保護網絡系統(tǒng)的安全,必須結合網絡的具體需求,將多種安全措施進行整合,建立一個完整的、立體的、多層次的網絡安全防御體系,這樣一個全面的網絡安全解決方案,可以防止安全風險的各個方面的問題。
二、計算機網絡安全方案設計并實現(xiàn)
1.桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進行本地安全管理,防止文件泄密等安全隱患。
本設計方案采用清華紫光公司出品的紫光S鎖產品,“紫光S鎖”是清華紫光“桌面計算機信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的內部集成了包括中央處理器(CPU)、加密運算協(xié)處理器(CAU)、只讀存儲器(ROM),隨機存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內部的芯片操作系統(tǒng)COS(Chip Operating System)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對S鎖進行操作。
2.病毒防護系統(tǒng)
基于單位目前網絡的現(xiàn)狀,在網絡中添加一臺服務器,用于安裝IMSS。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作,并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan。該產品作為網絡版的客戶端防毒系統(tǒng),使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內進行配置、監(jiān)視和維護趨勢科技的防病毒軟件,支持跨域和跨網段的管理,并能顯示基于服務器的防病毒產品狀態(tài)。無論運行于何種平臺和位置,TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)部署,網絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報,給管理帶來極大的便利。
3.動態(tài)口令身份認證系統(tǒng)
動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上,結合生成動態(tài)口令的特點,加以精心修改,通過十次以上的非線性迭代運算,完成時間參數(shù)與密鑰充分的混合擴散。在此基礎上,采用先進的身份認證及加解密流程、先進的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。
4.訪問控制“防火墻”
單位安全網由多個具有不同安全信任度的網絡部分構成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構成了對網絡安全的重要隱患。本設計方案選用四臺網御防火墻,分別配置在高性能服務器和三個重要部門的局域網出入口,實現(xiàn)這些重要部門的訪問控制。
通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻,通過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段,彼此隔離。這樣不僅保護了單位網絡服務器,使其不受來自內部的攻擊,也保護了各部門網絡和數(shù)據(jù)服務器不受來自單位網內部其他部門的網絡的攻擊。如果有人闖進您的一個部門,或者如果病毒開始蔓延,網段能夠限制造成的損壞進一步擴大。
5.信息加密、信息完整性校驗
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網之間建立起獨立的安全通道,通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。
SJW-22網絡密碼機系統(tǒng)組成
網絡密碼機(硬件):是一個基于專用內核,具有自主版權的高級通信保護控制系統(tǒng)。
本地管理器(軟件):是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網絡密碼機本地管理系統(tǒng)軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網的密碼機設備進行統(tǒng)一管理的系統(tǒng)軟件。
6.安全審計系統(tǒng)
根據(jù)以上多層次安全防范的策略,安全網的安全建設可采取“加密”、“外防”、“內審”相結合的方法,“內審”是對系統(tǒng)內部進行監(jiān)視、審查,識別系統(tǒng)是否正在受到攻擊以及內部機密信息是否泄密,以解決內層安全。
安全審計系統(tǒng)能幫助用戶對安全網的安全進行實時監(jiān)控,及時發(fā)現(xiàn)整個網絡上的動態(tài),發(fā)現(xiàn)網絡入侵和違規(guī)行為,忠實記錄網絡上發(fā)生的一切,提供取證手段。作為網絡安全十分重要的一種手段,安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關行為有關的信息。
在安全網中使用的安全審計系統(tǒng)應實現(xiàn)如下功能:安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。
本設計方案選用“漢邦軟科”的安全審計系統(tǒng)作為安全審計工具。
漢邦安全審計系統(tǒng)是針對目前網絡發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網絡管理人員而設計的一套網絡安全產品,是一個分布在整個安全網范圍內的網絡安全監(jiān)視監(jiān)測、控制系統(tǒng)。
(1)安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監(jiān)視的目標主機上,其監(jiān)視目標主機的人機界面操作、監(jiān)控RAS連接、監(jiān)控網絡連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網絡管理員通過安全監(jiān)控中心為主機傳感器設定監(jiān)控規(guī)則,同時獲得監(jiān)控結果、報警信息以及日志的審計。主要功能有文件保護審計和主機信息審計。
①文件保護審計:文件保護安裝在審計中心,可有效的對被審計主機端的文件進行管理規(guī)則設置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。
②主機信息審計:對網絡內公共資源中,所有主機進行審計,可以審計到主機的機器名、當前用戶、操作系統(tǒng)類型、IP地址信息。
(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內,系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。
②監(jiān)視鍵盤:在用戶指定的時間段內,截獲Host Sensor Program用戶的所有鍵盤輸入,用戶實時控制鍵盤截獲的開始和結束。
③監(jiān)測監(jiān)控RAS連接:在用戶指定的時間段內,記錄所有的RAS連接信息。用戶實時控制ass連接信息截獲的開始和結束。當gas連接非法時,系統(tǒng)將自動進行報警或掛斷連接的操作。
④監(jiān)測監(jiān)控網絡連接:在用戶指定的時間段內,記錄所有的網絡連接信息(包括:TCP, UDP,NetBios)。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表,當出現(xiàn)非法連接時,系統(tǒng)將自動進行報警或掛斷連接的操作。
單位內網中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全計算機,所以應在安全計算機安裝主機傳感器,保證探頭能夠采集進出網絡的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺主機上,負責為主機傳感器設定監(jiān)控規(guī)則,同時獲得監(jiān)控結果、報警信息以及日志的審計。單位內網中的安全計算機為600臺,需要安裝600個傳感器。
7.入侵檢測系統(tǒng)IDS
入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統(tǒng)受到危害之前攔截和響應入侵。從網絡安全的立體縱深、多層次防御的角度出發(fā),入侵檢測理應受到人們的高度重視,這從國際入侵檢測產品市場的蓬勃發(fā)展就可以看出。
根據(jù)網絡流量和保護數(shù)據(jù)的重要程度,選擇IDS探測器(百兆)配置在內部關鍵子網的交換機處放置,核心交換機放置控制臺,監(jiān)控和管理所有的探測器因此提供了對內部攻擊和誤操作的實時保護,在網絡系統(tǒng)受到危害之前攔截和響應入侵。
在單位安全內網中,入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網和其他部門子網之間,通過實時截取網絡上的是數(shù)據(jù)流,分析網絡通訊會話軌跡,尋找網絡攻擊模式和其他網絡違規(guī)活動。
8.漏洞掃描系統(tǒng)
本內網網絡的安全性決定了整個系統(tǒng)的安全性。在內網高性能服務器處配置一臺網絡隱患掃描I型聯(lián)動型產品。I型聯(lián)動型產品適用于該內網這樣的高端用戶,I型聯(lián)動型產品由手持式掃描儀和機架型掃描服務器結合一體,網管人員就可以很方便的實現(xiàn)了集中管理的功能。網絡人員使用I型聯(lián)動型產品,就可以很方便的對200信息點以上的多個網絡進行多線程較高的掃描速度的掃描,可以實現(xiàn)和IDS、防火墻聯(lián)動,尤其適合于制定全網統(tǒng)一的安全策略。同時移動式掃描儀可以跨越網段、穿透防火墻,實現(xiàn)分布式掃描,服務器和掃描儀都支持定時和多IP地址的自動掃描,網管人員可以很輕松的就可以進行整個網絡的掃描,根據(jù)系統(tǒng)提供的掃描報告,配合我們提供的三級服務體系,大大的減輕了工作負擔,極大的提高了工作效率。
聯(lián)動掃描系統(tǒng)支持多線程掃描,有較高的掃描速度,支持定時和多IP地址的自動掃描,網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Web方式的遠程管理,網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環(huán)境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活,可以跨越網段、穿透防火墻,對重點的服務器和網絡設備直接掃描防護,這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協(xié)調性,最大可能地消除安全隱患。
在防火墻處部署聯(lián)動掃描系統(tǒng),在部門交換機處部署移動式掃描儀,實現(xiàn)放火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動,保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協(xié)調性,最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進行修補,優(yōu)化資源,提高網絡的運行效率和安全性。
三、結束語
隨著網絡應用的深入普及,網絡安全越來越重要,國家和企業(yè)都對建立一個安全的網絡有了更高的要求。一個特定系統(tǒng)的網絡安全方案,應建立在對網絡風險分析的基礎上,結合系統(tǒng)的實際應用而做。由于各個系統(tǒng)的應用不同,不能簡單地把信息系統(tǒng)的網絡安全方案固化為一個模式,用這個模子去套所有的信息系統(tǒng)。
本文根據(jù)網絡安全系統(tǒng)設計的總體規(guī)劃,從桌面系統(tǒng)安全、病毒防護、身份鑒別、訪問控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案,目的是建立一個完整的、立體的、多層次的網絡安全防御體系。
參考文獻:
[1]吳若松:新的網絡威脅無處不在[J].信息安全與通信保密,2005年12期
[2]唐朝京張權張森強:有組織的網絡攻擊行為結果的建模[J].信息與電子工程,2003年2期