發布時間:2022-05-18 02:41:09
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇網絡安全問題論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[論文摘要]隨著網絡技術越來越廣泛的應用于經濟、政治和軍事等各領域,其安全性問題也日益被重視。本文首先從“以傳翰協議為途徑發動攻擊”等五個方面論述了計算機網絡應用中的常見安全問題,隨后從“運用入侵檢測技術”等四個方面論述了相關防護策略。
〔論文關鍵詞〕計算機網絡應用網絡安全問題策略
引言:隨著萬維網wWw的發展,Internet技術的應用已經滲透到科研、經濟、貿易、政府和軍事等各個領域,電子商務和電子政務等新鮮詞匯也不再新鮮。網絡技術在極大方便人民生產生活,提高工作效率和生活水平的同時,其隱藏的安全風險問題也不容忽視。因為基于TCP/IP架構的計算機網絡是個開放和自由的網絡,這給黑客攻擊和人侵敞開了大門。傳統的病毒借助于計算機網絡加快其傳播速度,各種針對網絡協議和應用程序漏洞的新型攻擊方法也日新月異。因此計算機網絡應用中的安全問題就日益成為一個函待研究和解決的問題。
1.計算機網絡應用的常見安全問題
計算機網絡具有大跨度、分布式、無邊界等特征,為黑客攻擊網絡提供了方便。加上行為主體身份的隱匿性和網絡信息的隱蔽性,使得計算機網絡應用中的惡意攻擊性行為肆意妄為,計算機網絡應用中常見的安全問題主要有:①利用操作系統的某些服務開放的端口發動攻擊。這主要是由于軟件中邊界條件、函數拾針等方面設計不當或缺乏限制,因而造成地址空間錯誤的一種漏洞。如利用軟件系統中對某種特定類型的報文或請求沒有處理,導致軟件遇到這種類型的報文時運行出現異常,從而導致軟件崩潰甚至系統崩潰。比較典型的如OOB攻擊,通過向Windows系統TCP端口139發送隨機數來攻擊操作系統,從而讓中央處理器(CPU)一直處于繁忙狀態。②以傳輸協議為途徑發動攻擊。攻擊者利用一些傳輸協議在其制定過程中存在的一些漏洞進行攻擊,通過惡意地請求資源導致服務超載,造成目標系統無法正常工作或癱瘓。比較典型的例子為利用TCP/IP協議中的“三次握手”的漏洞發動SYNFlood攻擊。或者,發送大量的垃圾數據包耗盡接收端資源導致系統癱瘓,典型的攻擊方法如ICMPF1ood}ConnectionFloa等。③采用偽裝技術發動攻擊。例如通過偽造IP地址、路由條目、DNS解析地址,使受攻擊的服務器無法辨別這些請求或無法正常響應這些請求,從而造成緩沖區阻塞或死機;或者,通過將局域網中的某臺機器IP地址設置為網關地址,導致網絡中數據包無法正常轉發而使某一網段癱瘓。④通過木馬病毒進行人侵攻擊。木馬是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點,一旦被成功植人到目標主機中,用戶的主機就被黑客完全控制,成為黑客的超級用戶。木馬程序可以被用來收集系統中的重要信息,如口令、帳號、密碼等,對用戶的信息安全構成嚴重威脅。⑤利用掃描或者Sniffer(嗅探器)作為工具進行信息窺探。掃描,是指針對系統漏洞,對系統和網絡的遍歷搜尋行為。由于漏洞普遍存在,掃描手段往往會被惡意使用和隱蔽使用,探測他人主機的有用信息,為進一步惡意攻擊做準備。而嗅探器(sni$}er)是利用計算機的網絡接口截獲目的地為其它計算機的數報文的一種技術。網絡嗅探器通過被動地監聽網絡通信、分析數據來非法獲得用戶名、口令等重要信息,它對網絡安全的威脅來自其被動性和非干擾性,使得網絡嗅探具有很強的隱蔽性,往往讓網絡信息泄密變得不容易被用戶發現。
2.計算機網絡安全問題的常用策略
2.1對孟要的信息數據進行加密保護
為了防止對網絡上傳輸的數據被人惡意竊聽修改,可以對數據進行加密,使數據成為密文。如果沒有密鑰,即使是數據被別人竊取也無法將之還原為原數據,一定程度上保證了數據的安全。可以采用對稱加密和非對稱加密的方法來解決。對稱加密體制就是指加密密鑰和解密密鑰相同的機制,常用的算法為DES算法,ISO將之作為數據加密標準。而非對稱加密是指加密和解密使用不同的密鑰,每個用戶保存一個公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密,用于解密密鑰。具體采取那種加密方式應根據需求而定。
2.2采用病毒防護技術
包括:①未知病毒查殺技術。未知病毒技術是繼虛擬執行技術后的又一大技術突破,它結合了虛擬技術和人工智能技術,實現了對未知病毒的準確查殺。②智能引擎技術。智能引擎技術發展了特征碼掃描法的優點,改進了其弊端,使得病毒掃描速度不隨病毒庫的增大而減慢。③壓縮智能還原技術。它可以對壓縮或打包文件在內存中還原,從而使得病毒完全暴露出來。④病毒免疫技術。病毒免疫技術一直是反病毒專家研究的熱點,它通過加強自主訪問控制和設置磁盤禁寫保護區來實現病毒免疫的基本構想。⑤嵌人式殺毒技術。它是對病毒經常攻擊的應用程序或對象提供重點保護的技術,它利用操作系統或應用程序提供的內部接口來實現。它對使用頻度高、使用范圍廣的主要的應用軟件提供被動式的防護。如對MS一Office,Outlook,IE,Winzip,NetAnt等應用軟件進行被動式殺毒。
2.3運用入俊檢測技術
人侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。人侵檢測系統的應用,能使在人侵攻擊對系統發生危害前,檢測到人侵攻擊,并利用報警與防護系統驅逐人侵攻擊。在人侵攻擊過程中,能減少人侵攻擊所造成的損失。在被人侵攻擊后,收集人侵擊的相關信息,作為防范系統的知識,添加人知識庫內,以增強系統的防范能力。
根據采用的檢測技術,人侵檢測系統被分為誤用檢測(MisuseDetec-lion)和異常檢測(AnomalyDetection)兩大類。誤用檢測根據事先定義的人侵模式庫,人侵模式描述了人侵行為的特征、條件、排列以及事件間關系,檢測時通過將收集到的信息與人侵模式進行匹配來判斷是否有人侵行為。它的人侵檢測性能取決于模式庫的完整性。它不能檢測模式庫中沒有的新入侵行為或者變體,漏報率較高。而異常檢測技術則是通過提取審計蹤跡(如網絡流量、日志文件)中的特征數據來描述用戶行為,建立典型網絡活動的輪廓模型用于檢測。檢測時將當前行為模式與輪廓模型相比較,如果兩者的偏離程度超過一個確定的閩值則判定為人侵。比較典型的異常檢測技術有統計分析技術、機器學習和數據挖掘技術等。二者各有優缺點:誤用檢測技術一般能夠較準確地檢測已知的攻擊行為并能確定具體的攻擊,具有低的誤報率,但面對新的攻擊行為確無能為力,漏報率高;而異常檢測技術具有發現新的攻擊行為的能力,漏報率低,但其以高的誤報率為代價并不能確定具體的攻擊行為。現在的人侵檢測技術朝著綜合化、協同式和分布式方向發展,如NIDES,EMER-ALD,Haystack都為誤用與異常檢測的綜合系統,其中用誤用檢測技術檢測已知的人侵行為,而異常檢測系統檢測未知的人侵行為。
2.4利用網絡防火墻和防毒墻技術
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。以包過濾技術為例,它是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過。。防火墻能夠對網絡數據流連接的合法性進行分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生,它是指位于網絡人口處,用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防毒墻使用簽名技術在網關處進行查毒工作,阻止網絡蠕蟲(Worm)和僵尸網絡(BOT)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址,以及TCP/UDP端口和協議。
結束語:除了上述的策略外,還有漏洞掃描技術、VPN(虛擬網專用網絡)技術、數據備份和容災技術等,由于篇幅的原因文中沒有詳細論述。計算機網絡應用安全問題隨著各種新技術和算法的出現而不斷更新和復雜化,相關策略也將愈加先進。
摘要:該文對計算機網絡安全存在的問題進行了深入探討,并提出了對應的改進和防范措施。
關鍵詞:計算機;網絡;安全;對策
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將對計算機信息網絡安全存在的問題進行深入剖析,并提出相應的安全防范措施。
1計算機網絡安全的定義
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和羅輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。
2計算機網絡不安全因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面:
2.1計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。互聯網的不安全性主要有以下幾項:
1)網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
2)網絡的國際性,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。
3)網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。
2.2操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟件。
3)操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或鼠標,或者別的一些處理。一些監控病毒的監控軟件也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到7月1日,它就會把用戶的硬盤格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如7月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
6)操作系統的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段,程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用,或在軟件前沒有刪除后門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
7)盡管操作系統的漏洞可以通過版本的不斷升級來克服,但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網絡癱瘓掉。
2.3數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問權限進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對于數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據。
2.4防火墻的脆弱性
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使Internet與Intranet之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入。
但防火墻只能提供網絡的安全性,不能保證網絡的絕對安全,它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅,但是卻不能防止從LAN內部的攻擊,若是內部的人和外部的人聯合起來,即使防火墻再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。
2.5其他方面的因素
計算機系統硬件和通訊設施極易遭受到自然環境的影響,如:各種自然災害(如地震、泥石流、水災、風暴、建筑物破壞等)對計算機網絡構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等,也對計算機網絡構成嚴重威脅。此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
3計算機網絡安全的對策
3.1技術層面對策
對于技術方面,計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以采取以下對策:
1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
2)網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的優秀策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
3)數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略:只備份數據庫、備份數據庫和事務日志、增量備份。
4)應用密碼技術。應用密碼技術是信息安全優秀技術,密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
5)切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網絡可疑信息。
6)提高網絡反病毒技術能力。通過安裝病毒防火墻,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
7)研發并完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
3.2管理層面對策
計算機網絡的安全管理,不僅要看所采用的安全技術和防范措施,而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網絡安全確實有效。公務員之家
計算機網絡的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網絡系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3.3物理安全層面對策
要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建筑物應具有抵御各種自然災害的設施。
4結束語
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
【摘要】文章分析了上海嘉定區有線電視中心網絡的安全管理所涉及的問題,并根據本身的工作實踐介紹了對于網絡內外的供電設備系統、計算機病毒防治、防火墻技術等問題采取的安全管理措施。
【關鍵詞】網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
(四)針對應用系統的安全
應用系統的安全主要面對的是服務器的安全,對于服務器來說,安全的配置是首要的。對于本中心來說主要需要2個方面的配置:服務器的操作系統(Windows2003)的安
全配置和數據庫(SQLServer2000)的安全配置。1.操作系統(Windows2003)的安全配置
總之,網絡安全是一個系統工程,包含多個層面,因此安全隱患是不可能完全消除的,但是通過各種有力措施,卻可以將其減到最小程度。所以需在網絡安全問題方面不斷探索,使網絡建設和應用兩方面相互促進形成良性循環。
【摘要】文章分析了上海嘉定區有線電視中心網絡的安全管理所涉及的問題,并根據本身的工作實踐介紹了對于網絡內外的供電設備系統、計算機病毒防治、防火墻技術等問題采取的安全管理措施。
【關鍵詞】網絡安全;防火墻;數據庫;病毒;黑客
當今許多的企業都廣泛的使用信息技術,特別是網絡技術的應用越來越多,而寬帶接入已經成為企業內部計算機網絡接入國際互聯網的主要方式。而與此同時,因為計算機網絡特有的開放性,企業的網絡安全問題也隨之而來,由于安全問題給企業造成了相當大的損失。因此,預防和檢測網絡設計的安全問題和來自國際互聯網的黑客攻擊以及病毒入侵成為網絡管理員一個重要課題。
一、網絡安全問題
在實際應用過程中,遇到了不少網絡安全方面的問題。網絡安全是一個十分復雜的問題,它的劃分大體上可以分為內網和外網。如下表所示:
由上表可以看出,外部網的安全問題主要集中在入侵方面,主要的體現在:未授權的訪問,破壞數據的完整性,拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防范外部網,同時更防范內部網。因為內部網安全措施對網絡安全的意義更大。據調查,在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在:物理層的安全,資源共享的訪問控制策略,網內病毒侵害,合法用戶非授權訪問,假冒合法用戶非法授權訪問和數據災難性破壞。
二、安全管理措施
綜合以上對于網絡安全問題的初步認識,有線中心采取如下的措施:
(一)針對與外網的一些安全問題
對于外網造成的安全問題,使用防火墻技術來實現二者的隔離和訪問控制。
防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制(允許、禁止、報警)。
防火墻可以監視、控制和更改在內部和外部網絡之間流動的網絡通信;用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,從而保護內部網絡操作環境。所以,安裝防火墻對于網絡安全來說具有很多優點:(1)集中的網絡安全;(2)可作為中心“扼制點”;(3)產生安全報警;(4)監視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經過防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機的實時入侵檢測產品,一旦發現對主機的入侵,RealSecure可以中斷用戶進程和掛起用戶賬號來阻止進一步入侵,同時它還會發出警報、記錄事件等以及執行用戶自定義動作。RealSecureSystemAgent還具有偽裝功能,可以將服務器不開放的端口進行偽裝,進一步迷惑可能的入侵者,提高系統的防護時間。Re?鄄alSecureNetworkEngin是基于網絡的實時入侵檢測產品,在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵后,除了可以及時切斷攻擊行為之外,還可以動態地調整防火墻的防護策略,使得防火墻成為一個動態的、智能的防護體系。
通過部署入侵檢測系統,我們實現了以下功能:
對于WWW服務器,配置主頁的自動恢復功能,即如果WWW服務器被攻破、主頁被纂改,系統能夠自動識別并把它恢復至事先設定的頁面。
入侵檢測系統與防火墻進行“互動”,即當入侵檢測系統檢測到網絡攻擊后,通知防火墻,由防火墻對攻擊進行阻斷。
(二)針對網絡物理層的穩定
網絡物理層的穩定主要包括設備的電源保護,抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中,所有的機箱都必須有接地的設計,在機房安裝的時候必須按照接地的規定做工程;對于供電設備,也必須做好接地的工作。這樣就可以防止靜電對設備的破壞,保證了網內硬件的安全。
(三)針對病毒感染的問題
病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件,(例如:SymantecAntivirus等)并控制寫入服務器的客戶端,網管可以隨時升級并殺毒,保證寫入數據的安全性,服務器的安全性,以及在客戶端安裝由奇虎安全衛士之類來防止廣告軟件和間諜軟件。
總之,網絡安全是一個系統工程,包含多個層面,因此安全隱患是不可能完全消除的,但是通過各種有力措施,卻可以將其減到最小程度。所以需在網絡安全問題方面不斷探索,使網絡建設和應用兩方面相互促進形成良性循環。
[摘 要] internet技術的快速發展,使得電子商務應用日趨普遍,而互聯網上的安全問題不斷出現,黑客事件屢見不鮮,已經成為影響電子商務等互聯網應用的重要因素。本文分析了目前常見的互聯網網絡安全事件,找出了影響電子商務發展的主要網絡安全問題,并結合法律與應急事件響應、安全管理架構等方面,提出一些安全對策。
[關鍵詞] 網絡安全 事件 安全對策
隨著網絡時代的到來,越來越多的人通過internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出。近年來,網絡安全事件不斷攀升,電子商務金融成了攻擊目標,以網頁篡改和垃圾郵件為主的網絡安全事件正在大幅攀升。在國家計算機網絡應急技術處理協調中心(cncert/cc)2005處理的網絡安全事件報告中,網頁篡改占45.91%,網絡仿冒占29%,其余為拒絕服務攻擊、垃圾郵件、蠕蟲、木馬等。如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為電子商務的所有參與者十分關心的話題。
一、電子商務中的主要網絡安全事件分析
歸納起來,對電子商務應用影響較多、發生率較高的互聯網安全事件可以分為網頁篡改、網絡蠕蟲、拒絕服務攻擊、特羅伊木馬、計算機病毒、網絡仿冒等,網頁篡改、網絡仿冒(phishing),逐步成為影響電子商務應用與發展的主要威脅。
1.網頁篡改
網頁篡改是指將正常的網站主頁更換為黑客所提供的網頁。這是黑客攻擊的典型形式。一般來說,主頁的篡改對計算機系統本身不會產生直接的損失,但對電子商務等需要與用戶通過網站進行溝通的應用來說,就意味著電子商務將被迫終止對外的服務。對企業網站而言,網頁的篡改,尤其是含有攻擊、丑化色彩的篡改,會對企業形象與信譽造成嚴重損害。
2.網絡仿冒(phishing)
網絡仿冒又稱網絡欺詐、仿冒郵件或者釣魚攻擊等,是黑客使用欺詐郵件和虛假網頁設計來誘騙收件人提供信用卡賬號、用戶名、密碼、社會福利號碼等,隨后利用騙得的賬號和密碼竊取受騙者金錢。近年來,隨著電子商務、網上結算、網上銀行等業務在日常生活中的普及,網絡仿冒事件在我國層出不窮,諸如中國銀行網站等多起金融網站被仿冒。網絡仿冒已經成為影響互聯網應用,特別是電子商務應用的主要威脅之一。
網絡仿冒者為了逃避相關組織和管理機構的打擊,充分利用互聯網的開放性,往往會將仿冒網站建立在其他國家,而又利用第三國的郵件服務器來發送欺詐郵件,這樣既便是仿冒網站被人舉報,但是關閉仿冒網站就比較麻煩,對網絡欺詐者的追查就更困難了,這是現在網絡仿冒犯罪的主要趨勢之一。
3.網絡蠕蟲
網絡蠕蟲是指一種可以不斷復制自己并在網絡中傳播的程序。這種程序利用互聯網上計算機系統的漏洞進入系統,自我復制,并繼續向互聯網上的其他系統進行傳播。蠕蟲的不斷蛻變并在網絡上的傳播,可能導致網絡被阻塞的現象發生,從而致使網絡癱瘓,使得各種基于網絡的電子商務等應用系統失效。
4.拒絕服務攻擊(dos)
拒絕服務攻擊是指在互聯網上控制多臺或大量的計算機針對某一個特定的計算機進行大規模的訪問,使得被訪問的計算機窮于應付來勢兇猛的訪問而無法提供正常的服務,使得電子商務這類應用無法正常工作。拒絕服務攻擊是黑客常用的一種行之有效的方法。如果所調動的攻擊計算機足夠多,則更難進行處置。尤其是被蠕蟲侵襲過的計算機,很容易被利用而成為攻擊源,并且這類攻擊通常是跨網進行的,加大了打擊犯罪的難度。
5.特羅伊木馬
特羅伊木馬(簡稱木馬)是一種隱藏在計算機系統中不為用戶所知的惡意程序,通常用于潛伏在計算機系統中來與外界聯接,并接受外界的指令。被植入木馬的計算機系統內的所有文件都會被外界所獲得,并且該系統也會被外界所控制,也可能會被利用作為攻擊其他系統的攻擊源。很多黑客在入侵系統時都會同時把木馬植入到被侵入的系統中。
二、解決電子商務中網絡安全問題的對策研究
隨著網絡應用日益普及和更為復雜,網絡安全事件不斷出現,電子商務的安全問題日益突出,需要從國家相關法律建設的大環境到企業制定的電子商務網絡安全管理整體架構的具體措施,才能有效保護電子商務的正常應用與發展。
1.進一步完善法律與政策依據 充分發揮應急響應組織的作用
我國目前對于互聯網的相關法律法規還較為欠缺,尤其是互聯網這樣一個開放和復雜的領域,相對于現實社會,其違法犯罪行為的界定、取證、定位都較為困難。因此,對于影響電子商務發展的基于互聯網的各類網絡安全事件的違法犯罪行為的立法,需要一個漫長的過程。根據互聯網的體系結構和網絡安全事件的特點,需要建立健全協調一致,快速反應的各級網絡應急體系。要制定有關管理規定,為網絡安全事件的有效處理提供法律和政策依據。
互聯網應急響應組織是響應并處理公共互聯網網絡與信息安全事件的組織,在我國,cncert/cc是部級的互聯網應急響應組織,目前已經建立起了全國性的應急響應體系;同時,cncert/cc還是國際應急響應與安全小組論壇(first,forum of incident response and security teams)等國際機構的成員。應急響應組織通過發揮其技術優勢,利用其支撐單位,即國內主要網絡安全廠商的行業力量,為相關機構提供網絡安全的咨詢與技術服務,共同提高網絡安全水平,能有效減少各類的網絡事件的出現;通過聚集相關科研力量,研究相關技術手段,以及如何建立新的電子交易的信任體系,為電子商務等互聯網應用的普及和順利發展提供前瞻性的技術研究方面具有積極意義。
2.從網絡安全架構整體上保障電子商務的應用發展
網絡安全事件研究中看到,電子商務的網絡安全問題不是純粹的計算機安全問題,從企業的角度出發,應該建立整體的電子商務網絡安全架構,結合安全管理以及具體的安全保護、安全監控、事件響應和恢復等一套機制來保障電子商務的正常應用。
安全管理主要是通過嚴格科學的管理手段以達到保護企業網絡安全的目的。內容可包括安全管理制度的制定、實施和監督,安全策略的制定、實施、評估和修改,相關人員的安全意識的培訓、教育,日常安全管理的具體要求與落實等。
安全保護主要是指應用網絡安全產品、工具和技術保護網絡系統、數據和用戶。這種保護主要是指靜態保護,通常是一些基本的防護,不具有實時性,如在防火墻的規則中實施一條安全策略,禁止所有外部網用戶到內部網web服務器的連接請求,一旦這條規則生效,它就會持續有效,除非我們改變這條規則。這樣的保護能預防已知的一些安全威脅,而且通常這些威脅不會變化,所以稱為靜態保護。
安全監控和審計是實時保護的一種策略,它主要滿足一種動態安全的需求。因為網絡安全技術在發展的同時,黑客技術也在不斷的發展,網絡安全不是一成不變的,也許今天對你來說安全的策略,明天就會變得不安全,因此我們應該時刻關注網絡安全的發展動向,以及網絡上發生的各種各樣的事情,以便及時發現新的攻擊,制定新的安全策略。可以這樣說,安全保護是基本,安全監控和審計是其有效的補充,兩者的有效結合,才能較好地滿足動態安全的需要。
事件響應與恢復主要針對發生攻擊事件時相應的應急措施與恢復正常應用的機制。就是當攻擊發生時,能及時做出響應,這需要建立一套切實有效、操作性強的響應機制,及時防止攻擊的進一步發展。響應是整個安全架構中的重要組成部分,因為網絡構筑沒有絕對的安全,安全事件的發生是不可能完全避免的,當安全事件發生的時候,應該有相應的機制快速反應,以便讓管理員及時了解攻擊情況,采取相應措施修改安全策略,盡量減少并彌補攻擊的損失,防止類似攻擊的再次發生。當安全事件發生后,對系統可能會造成不同程度的破壞,如網絡不能正常工作、系統數據被破壞等,這時,必須有一套機制能盡快恢復系統的正常應用,因為攻擊既然已經發生了,系統也遭到了破壞,這時只有讓系統以最快的速度運行起來才是最重要的,否則損失將更為嚴重。因此恢復在電子商務安全的整體架構中也是不可缺少的組成部分。
三、結論
internet的快速發展,使電子商務逐漸進入人們的日常生活,而伴隨各類網絡安全事件的日益增加與發展,電子商務的安全問題也變得日益突出,建立一個安全、便捷的電子商務應用環境,解決好電子商務應用與發展的網絡安全問題必將對保障和促進電子商務的快速發展起到良好的推動作用。
試論計算機通信網絡安全問題及防護措施
隨著互聯網技術在世界領域的快速發展,計算機網絡技術已經步入了千家萬戶;隨著我國國民經濟信息化進程與技術的普及,使用計算機網絡技術辦公的行業越來越多,因此,他們對于信息系統是否具有較高的安全性十分重視,那么該怎樣才能確保計算機網絡通信技術的安全性呢?這是當前人們所關注的焦點。本文分析了計算機通信存在的安全問題,并在此基礎上提出了提高計算機網絡安全防護措施。
一、計算機通信網絡威脅的成因
在高科技技術中,互聯網技術和計算機技術具有相對的復雜性,運用的技術和知識也相對的較多,所以,對計算機通信網絡造成安全問題的影響因素也特別多。計算機通信網絡安全技術的主要作用就在于能對網絡系統中的軟件、硬件以及數據進行保護,避免遭受外界破壞,保證網絡系統的正常運轉。
(一)客觀原因
首先,計算機通信網絡所具有聯結廣泛的特性決定了給網絡攻擊帶來了必要的條件,非法入侵者依據網絡存在的漏洞或存在安全缺陷對網絡系統的硬件、軟件進行攻擊,導致系統中數據的丟失,即便有些信息在安全級別方面進行了設置但還會收集整理有漏洞的存在。其次,計算機系統與通信網絡自身較脆弱,因此遭受不同程度的攻擊是不可避免的。再次,計算機病毒的傳播也加劇了網絡通信安全問題的出現,使網絡系統遭受著不同程度的打擊,造成數據的改動、刪除最終破壞整個系統。最后,電子商務軟件普遍應用到通信網絡系統中,而這些電子商務軟件的源代碼又是公開的,這給非法入侵者尋找系統漏洞帶來了便利。
(二)主觀原因
主要是因為計算機系統網絡管理工作人員忽視了其潛在的安全問題,還有就是他們的實際操作技術水平不高,在操作過程中經常會違反了安全保密所制定的要求,對于操作的規則章程也不夠了解,比如,在工作中對于一些不能公開的秘密文件卻公開,由于長時間使用一種密鑰,使得密碼被破解等種種因素,最終導致了網絡系統在管理上失去了條理性以及大量的漏洞。在對網絡系統進行管理與使用過程中,人們會更多的偏向效益以及人為管理是否方便上,對于安全保密方面的問題考慮的甚少。
二、計算機通信網絡的安全防護措施
根據以上對計算機通信網絡安全問題的原因分析,我們了解到隱患的來源,根據問題的原因,結合計算機通信網絡資料和計算機通信網絡的知識技術,提出了以下幾個方面的防護措施。
(一)提高網絡系統的自身性能
在設計網絡系統的過程中,應該將通信軟件和數據的保密難度進行全面的考慮。在對網絡通信進行操作時,應該根據出現的問題制定相應的安全措施,并逐步的完善,這樣就能將潛在的安全隱患和漏洞進行治理,與此同時,還能對不法分子通過系統存在的缺陷和漏洞進行規模性破壞進行防止和控制,對數據的完整性進行保證。
(二)制定網絡安全策略
首先,控制用戶的訪問權限,并將訪問權限和網絡授權相融合,在網絡管理方式的作用下,將有效的口令和訪問許可證書發放給網絡的使用者,將在未授權的情況之下進行網絡的使用以及對網絡資源的查詢進行控制和管理。
其次,在訪問的過程中,我們要對網絡系統進行更加嚴格的加密,加密程序是非常重要的,不能忽略的。當數據在傳輸過程中,加密對不法分子對數據的盜取行為進行控制,保證數據的正常傳輸,將信息的有效性和正確性進行保護。同時,技術人員還應該為通信網絡制定一套完整的鑒別數據的制度,避免不法分子對網絡系統中信息和數據的修改與刪除。
(三)提高網絡安全技術
1.使用密碼技術
密碼技術的使用主要目的就是對信息進行偽裝,密碼技術主要包括兩方面的內容,對稱加密和不對稱加密。密碼技術的類型主要分為三種,這三種主要是移位密碼、乘機密碼和代替密碼。乘積密碼就是指在某種方式的運用之下,對兩個密碼或者多個密碼進行連續性的使用;代替密碼就是指用密文中的某一字符代替明文中的另一字符。
2.使用防火墻
在對網絡系統的安全進行維護時,防火墻是維護安全的前提條件,防火墻主要包括三種,數據包過濾技術、技術、應用網關技術。防火墻的主要作用就是控制網絡的出入權限,將操作過程中的所有連接都進行嚴格有效地檢查,將外來的數據進行合理的鑒別和嚴格的限制。將通信內網的安全性進行保證。
(四)加強網絡安全教育及內部管理
在計算機通信網絡的使用中,計算機通信網絡的安全性非常的重要,應該加強網絡安全教育的知識,增加人們的網絡安全意識,與此同時,還應該對專業的高素質網絡技術人員進行培養,保證網絡系統的安全性。此外,還應該加強各部門之間的聯系,通過合作的形式制定合理的網絡安全防護措施。在網絡安全的維護中,網絡技術人員是非常重要的, 要想對計算機通信網絡安全進行有效地管理,還應該對網絡管理人員的實踐經驗進行嚴格的核查。
三、結語
隨著計算機技術的發展及網絡安全技術不斷更新,掌握必要的網絡安全知識,增強網絡安全防范是十分必要的。我們要時刻注意安全問題,盡量多的使用可靠、安全工具進行系統的維護,使得我們的網絡安全更加穩定、持久的運行,這也是未來電子化、信息化發展的必然要求。
計算機通信存在的網絡安全問題及對策
計算機網絡通信具有迅速、靈活、開放、共享等特征,滿足了人們不斷發展的生產生活的要求,也為信息交流和共享創造了巨大的空間。與此同時,隨著網絡技術帶給人們極大的方便的同時,也為計算機網絡的快速發展帶來了巨大的影響。需要注意的是,計算機網絡迅猛發展的同時,安全問題仍然是人們十分關心的話題。
一、分析計算機通信網絡存在的安全問題
計算機網絡由計算機設備和通信網絡兩個部分組成,計算機設備室計算機通信的信源和終端,通信網絡是指計算機數據傳輸和交換的手段和方式,正是二者的密切配合才實現了計算機的通信網絡的共享功能。計算機通信網絡的安全問題主要是指外來的以數據和行為為主要形式的攻擊計算機網絡操作系統、硬件、應用軟件等,使其出現一定程度的被更改、被破壞、被泄露、被盜用等現象,從而使得計算機通信網絡難以正常運行。一般說來,計算機通信存在的安全問題主要由以下兩種:
(一)計算機網絡的硬件安全問題
計算機的硬件安全主要是指計算機硬件系統的設置安全和設備的物理安全。系統設置安全是指網絡路由器等關于網絡設置連接設備的安全,而物理安全是指具體的計算機物理設備的安全,如路由器、交換機、網絡服務器等。
(二)計算機網絡的軟件安全問題
計算機網絡的軟件安全問題是計算機安全問題最重要的問題。它主要表現在以下幾個問題中:第一,系統安全漏洞。計算機網絡技術的發展,在計算機網絡操作中存在著一些安全漏洞,一方面為編程人員管理提供了方便,另一方面也給網絡黑客提供了攻擊機會,從而造成網絡漏洞被攻陷,出現嚴重的安全問題。第二,計算機網絡病毒。計算機網絡病毒具有感染性、潛伏性、破壞性和觸發性,對于計算機網絡安全具有嚴重的影響,且隨著網絡病毒的種類和技術的發展,其傳播越來越廣闊和隱蔽,的確是網絡軟件安全最大的問題。第三,網絡黑客攻擊。網絡中的黑客攻擊不僅有針對性攻擊,還有廣泛性攻擊,這些攻擊活動變得越來越猖獗,為網絡安全帶來了非常大的威脅。第四,網絡內部權限混用。網絡中的用戶賬號本來只局限于個人使用,但是在現實中一個賬號往往將用戶名和密碼告知他人,存在混用的情況,這給網絡系統漏洞、黑客攻擊和病毒等帶來了可乘之機。
二、分析提高計算機通信網絡安全的對策與技術
(一)全面認識計算機通信網絡安全的重要性
只有正確認識計算機通信網絡安全的重要性,才能在通信設置和管理中將網絡安全放在突出的位置,全面落實計算機通信網絡安全的防范行為。傳統對于計算機通信網絡的安全認識僅僅停留在計算機操作系統本身上面,只保證才做系統沒有錯誤。但是,隨著計算機網絡技術的發展和計算機網絡運用的廣泛性發展,現代計算機網絡安全意識應該從傳統的操作系統無誤上延伸到網絡系統、網上信息、網上管理、數據信息、通道控制等上面,以實現計算機系統、信息、數據、通道等的保密完整性、可控可用性,讓計算機通信網絡實現正常運行的目標。
(二)強化網絡管理
計算機通信網絡安全要從內部和外部強化網絡管理,讓安全隱患被扼殺在搖籃里。首先,要加強計算機人員的管理。通過加大高級網絡技術人員的培養和任用,發揮網絡管理人才的作用,讓計算機網絡管理人員具有豐富的技術知識和實踐經驗,有效防護網絡設備的安全問題。此外,還可以加強網絡管理中的各個部門的合作和互動,促進網絡管理實現完整化。其次,加強網絡建立和使用的審批手續的嚴格性和嚴肅性。通過加強網絡管理部門在通信網開設、關系、調整、改變工作狀態中的作用,加強網絡管理部門在用戶網絡增設終端等設備方面的批準管理作用,加強網絡安全防護功能。
(三)采取具體的防范措施和技術
(1)采取具體的防范措施。為了防范計算機通信網絡安全,就要全面對非法入侵進行監測、防偽、審查和追蹤,從建立通信線路到傳播信息我們可以采取以下幾個防范措施:第一,身份鑒別,通過用戶名和密碼等鑒別方式讓網絡系統的權限分級,讓一些受限的用戶在連接過程中被受到終止或部分數據被屏蔽,實現數據的安全性。第二,網絡授權,通過向終端用戶發送許可證書從而讓沒有得到授權的用戶無法訪問網絡和網絡資源。第三,數據保護,通過對數據加密的形式對數據資源進行發送或訪問,使得數據被截獲之后也很難進行密碼破解。第四,收發確認,通過對發送和接收信息的方式讓發送和接受被承認,防止不承認發送和接收信息和數據而引起的爭執。第五,保護數據完整性,通過數據檢查核對方式對數據進行檢查和核對,保持數據的完整性。第六,業務流分析保護,通過阻止網絡中的垃圾信息出現,也無法讓惡意網絡終端無法從網絡業務流分析中獲取用戶信息,達到保護用戶信息安全的目的。
(2)采取具體的防范技術。在計算機通信網絡安全的防范中,我們要采取具體的防范技術,并在實際操作中不斷提高網絡安全的相關技術,確保通信網絡的保密性、可靠性和完整性。一般說來,計算機通信網絡安全的防范技術主要有以下幾種:
第一,密碼技術。密碼技術主要目的在于設置權限,偽裝信息,密碼技術由明文、密文、算法和秘鑰組成。值得注意的是,密鑰管理是密碼技術中最重要的問題,不僅涉及到密鑰的產生、檢驗、分配、傳遞,還涉及到密鑰的保存、使用和消鑰等過程,是一門綜合性的技術。第二,鑒別技術。鑒別技術能夠證實信息在傳播和交換過程中的合法性、有效性和真實性,確保計算機通信網絡的安全。例如,報文鑒別、身份鑒別、數字簽名等都是常用的鑒別技術。第三,訪問控制技術。此技術是用來確定用戶的訪問權限的,以防止一些非法用戶進行網絡系統。訪問控制是計算機通信安全機制的優秀所在,其技術主要包括控制策略、控制模型、控制機制等的基本理論和實現方法。第四,防火墻技術。計算機通信技術中的防火墻是指設置在被保護網絡和外界之間的一道“墻”,通過鑒別、限制、更改跨越防火墻數據流等來實現對計算機通信網絡的安全。防火墻技術主要包括數據包過濾技術、應用網關技術和技術。
[摘要]隨著計算機技術和網絡技術的發展, 網絡安全問題, 在今天已經成為網絡世界里最為人關注的問題之一 危害網絡安全的因素很多, 它們主要依附于各種惡意軟件, 其中病毒和木馬最為一般網民所熟悉。針對這些危害因素, 網絡安全技術得以快速發展, 這也大大提高了網絡的安全性。文章分析了幾種常見的網絡入侵方法以及在此基礎上探討了網絡安全的幾點策略。
[關鍵詞]網絡安全 計算機網絡 入侵檢測
一、 計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護, 避免被竊聽、篡改和偽造; 而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、 軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信, 保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致 因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
二、 常見的幾種網絡入侵方法
由于計算機網絡的設計初衷是資源共享、分散控制、分組交換,這決定了互聯網具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進入各級網絡,并將破壞行為迅速地在網絡中傳播。同時,計算機網絡還有著自然社會中所不具有的隱蔽性:無法有效識別網絡用戶的真實身份;由于互聯網上信息以二進制數碼,即數字化的形式存在,所以操作者能比較容易地在數據傳播過程中改變信息內容。計算機網絡的傳輸協議及操作系統也存在設計上的缺陷和漏洞,從而導致各種被攻擊的潛在危險層出不窮,這使網絡安全問題與傳統的各種安全問題相比面臨著更加嚴峻的挑戰,黑客們也正是利用這樣的特征研發出了各種各樣的攻擊和入侵方法:
1.通過偽裝發動攻擊
2.利用開放端口漏洞發動攻擊
3.通過木馬程序進行入侵或發動攻擊
4.嗅探器和掃描攻擊
為了應對不斷更新的網絡攻擊手段,網絡安全技術也經歷了從被動防護到主動檢測的發展過程。主要的網絡安全技術包括:防火墻、vpn、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和vpn屬早期的被動防護技術,入侵檢測、入侵防御和漏洞掃描屬主動檢測技術,這些技術領域的研究成果已經成為眾多信息安全產品的基礎。
三、網絡的安全策略分析
早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。主要的網絡防護技術包括:
1.防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.vpn
vpn(virtual private network)即虛擬專用網絡,它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業伙伴及供應商與內部網建立可信的安全連接,并保證數據的安全傳輸。為了保障信息的安全,vpn技術采用了鑒別、訪問控制、保密性和完整性等措施,以防止信息被泄露、篡改和復制。vpn技術可以在不同的傳輸協議層實現,如在應用層有ssl協議,它廣泛應用于web瀏覽程序和web服務器程序,提供對等的身份認證和應用數據的加密;在會話層有socks協議,在該協議中,客戶程序通過socks客戶端的1080端口透過防火墻發起連接,建立到socks服務器的vpn隧道;在網絡層有ipsec協議,它是一種由ietf設計的端到端的確保ip層通信安全的機制,對ip包進行的ipsec處理有ah(authentication header)和esp(encapsulating security payload)兩種方式。
3. 防毒墻
防毒墻是指位于網絡入口處,用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數據流連接的合法性進行分析,但它對從允許連接的電腦上發送過來的病毒數據流卻是無能為力的,因為它無法識別合法數據包中是否存在病毒這一情況;防毒墻則是為了解決防火墻這種防毒缺陷而產生的一種安全設備。防毒墻使用簽名技術在網關處進行查毒工作,阻止網絡蠕蟲(worm)和僵尸網絡(bot)的擴散。此外,管理人員能夠定義分組的安全策略,以過濾網絡流量并阻止特定文件傳輸、文件類型擴展名、即時通信信道、批量或單獨的ip/mac地址,以及tcp/udp端口和協議。
四、 網絡檢測技術分析
人們意識到僅僅依靠防護技術是無法擋住所有攻擊,于是以檢測為主要標志的安全技術應運而生。這類技術的基本思想是通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,或者更廣泛意義上的信息系統的非法攻擊。包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。主要的網絡安全檢測技術有:
1. 入侵檢測
入侵檢測系統(intrusion detection system,ids)是用于檢測任何損害或企圖損害系統的保密性、完整性或可用性行為的一種網絡安全技術。它通過監視受保護系統的狀態和活動來識別針對計算機系統和網絡系統,包括檢測外界非法入侵者的惡意攻擊或試探,以及內部合法用戶的超越使用權限的非法活動。作為防火墻的有效補充,入侵檢測技術能夠幫助系統對付已知和未知網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應),提高了信息安全基礎結構的完整性。
2. 入侵防御
入侵防御系統(intrusion prevention system,ips)則是一種主動的、積極的入侵防范、阻止系統。ips是基于ids的、建立在ids發展的基礎上的新生網絡安全技術,ips的檢測功能類似于ids,防御功能類似于防火墻。ids是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限;而ips部署在網絡的進出口處,當它檢測到攻擊企圖后,會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為ips就是防火墻加上入侵檢測系統,但并不是說ips可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于tcp/ip協議的過濾方面表現出色,同時具備網絡地址轉換、服務、流量統計、vpn等功能。
3. 漏洞掃描
漏洞掃描技術是一項重要的主動防范安全技術,它主要通過以下兩種方法來檢查目標主機是否存在漏洞:在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務,將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,若模擬攻擊成功,則表明目標主機系統存在安全漏洞。發現系統漏洞的一種重要技術是蜜罐(honeypot)系統,它是故意讓人攻擊的目標,引誘黑客前來攻擊。通過對蜜罐系統記錄的攻擊行為進行分析,來發現攻擊者的攻擊方法及系統存在的漏洞。
五、結束語
網絡安全是一個復雜的問題, 涉及法律、 管理和技術等綜合方面。 只有協調好三者之間的關系,構建完善的安全體系,才能有效地保護網絡安全。
摘要:該文對計算機網絡安全存在的問題進行了深入探討,并提出了對應的改進和防范措施。
關鍵詞:計算機;網絡;安全;對策
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將對計算機信息網絡安全存在的問題進行深入剖析,并提出相應的安全防范措施。
1 計算機網絡安全的定義
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和羅輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。
2 計算機網絡不安全因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現在以下幾個方面:
2.1 計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。互聯網的不安全性主要有以下幾項:
1)網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
2)網絡的國際性,意味著對網絡的攻擊不僅是來自于本地網絡的用戶,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨著國際化的挑戰。
3)網絡的自由性,大多數的網絡對用戶的使用沒有技術上的約束,用戶可以自由的上網,和獲取各類信息。
2.2 操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1)操作系統結構體系的缺陷。操作系統本身有內存管理、cpu 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能,比如ftp,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那么系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那么用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟件。
3)操作系統不安全的一個原因在于它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或鼠標,或者別的一些處理。一些監控病毒的監控軟件也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會把用戶的硬盤格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如7 月1 日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
6)操作系統的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段,程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用,或在軟件前沒有刪除后門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
7) 盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網絡癱瘓掉。
2.3 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問權限進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對于數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據。
2.4 防火墻的脆弱性
防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使internet 與intranet 之間建立起一個安全網關(security gateway),從而保護內部網免受非法用戶的侵入。
但防火墻只能提供網絡的安全性,不能保證網絡的絕對安全,它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅,但是卻不能防止從lan 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火墻再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。
2.5 其他方面的因素
計算機系統硬件和通訊設施極易遭受到自然環境的影響,如:各種自然災害(如地震、泥石流、水災、風暴、建筑物破壞等)對計算機網絡構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等,也對計算機網絡構成嚴重威脅。此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
3 計算機網絡安全的對策
3.1 技術層面對策
對于技術方面,計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以采取以下對策:
1) 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
2) 網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的優秀策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
3) 數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。有三種主要備份策略:只備份數據庫、備份數據庫和事務日志、增量備份。
4) 應用密碼技術。應用密碼技術是信息安全優秀技術,密碼手段為信息安全提供了可靠保證。基于密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
5) 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的u 盤和程序,不隨意下載網絡可疑信息。
6) 提高網絡反病毒技術能力。通過安裝病毒防火墻,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
7) 研發并完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
3.2 管理層面對策
計算機網絡的安全管理,不僅要看所采用的安全技術和防范措施,而且要看它所采取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網絡安全確實有效。
計算機網絡的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網絡系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3.3 物理安全層面對策
要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
1) 計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2) 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3) 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建筑物應具有抵御各種自然災害的設施。
4 結束語
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。我們必須做到管理和技術并重,安全技術必須結合安全措施,并加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。此外,由于計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
摘要:主要介紹了網絡安全的含義,網絡攻擊和入侵的主要途徑,網絡安全缺陷及產生的原因,最后簡單介紹了網絡安全的防范措施。
關鍵詞:網絡安全;破譯口令;ip欺騙;dns欺騙;黑客攻擊
1 網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、ip欺騙和dns欺騙。
口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:利用目標主機的finger功能:當用finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的x.500服務:有些主機沒有關閉x.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號;有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
ip欺騙是指攻擊者偽造別人的ip地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行tcp/ip的計算機進行入侵。ip欺騙利用了tcp/ip網絡協議的脆弱性。在tcp的三次握手過程中。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時,網絡入侵者最容易獲得目標網絡的信任關系,從而進行ip欺騙。ip欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址,它們之間互相信任。由于這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。
域名系統(dns)是一種用于tcp/ip應用程序的分布式數據庫,它提供主機名字和ip地址之間的轉換信息。通常,網絡用戶通過udp協議和dns服務器進行通信,而服務器在特定的53端口監聽。并返回用戶所需的相關信息。dns協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。當攻擊者危害dns服務器并明確地更改主機名—ip地址映射表時,dns欺騙就會發生。這些改變被寫入dns服務器上的轉換表。因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的ip地址。因為網絡上的主機都信任dns服務器,所以一個被破壞的dns服務器可以將客戶引導到非法的服務器。也可以欺騙服務器相信一個ip地址確實屬于一個被信任客戶。
2 計算機網絡中的安全缺陷及產生的原因
(1)網絡安全天生脆弱。
計算機網絡安全系統的脆弱性是伴隨計算機網絡一同產生的,換句話說,安全系統脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中,網絡特性決定了不可能無條件、無限制的提高其安全性能。要使網絡更方便快捷,又要保證網絡安全,這是一個非常棘手的“兩難選擇”,而網絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網絡都不是絕對安全的。
(2)黑客攻擊后果嚴重。
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網絡中斷,軍事指揮系統失靈,電力供水系統癱瘓,銀行金融系統混亂……危及國家的政治、軍事、經濟的安全與穩定,在世界各國造成了難以估量的損失。
(3)網絡殺手集團化。
目前,網絡殺手除了一般的黑客外,還有一批具有高精尖技術的“專業殺手”,更令人擔憂的是出現了具有集團性質的“網絡恐怖分子”甚至政府出面組織的“網絡戰”、“黑客戰”,其規模化、專業性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網絡戰”、“黑客戰”是當前網絡安全的最大隱患。目前,美國正開展用無線電方式、衛星輻射式注入方式、網絡方式把病毒植入敵方計算機主機或各類傳感器、網橋中的研究以伺機破壞敵方的武器系統、指揮控制系統、通信系統等高敏感的網絡系統。另外,為達到預定目的,對出售給潛在敵手的計算機芯片進行暗中修改,在cpu中設置“芯片陷阱”,可使美國通過因特網指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
(4)破壞手段多元化。
目前,“網絡恐怖分子”除了制造、傳播病毒軟件、設置“郵箱炸彈”,更多的是采取借助工具軟件對網絡發動襲擊,令其癱瘓或者盜用一些大型研究機構的服務器,使用“拒絕服務”程序,如tfn和與之相近的程序等,指揮它們向目標網站傳輸遠遠超出其帶寬容量的垃圾數據,從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網絡發起攻擊。而且,黑客們還可以把這些軟件神不知鬼不覺地通過互聯網安裝到別人的電腦上,然后,在電腦主人根本不知道的情況下“借刀殺人”。
3 安全防范措施
(1)提高思想認識。
近年來,中國的網絡發展非常迅速,同時,中國的網絡安全也越來越引起人們的關注,國家權威部門曾對國內網站的安全系統進行測試,發現不少單位的計算機系統都存在安全漏洞,有些單位還非常嚴重,隨時可能被黑客入侵。當前,世界各國對信息戰十分重視,假如我們的網絡安全無法保證,這勢必影響到國家政治、經濟的安全。因此,從思想上提高對計算機網絡安全重要性的認識,是我們當前的首要任務。
(2)加強管理制度。
任何網站都不是絕對安全的,值得一提的是,當前一些單位在急忙趕搭“網絡快車”時,只管好用,不管安全,這種短視必然帶來嚴重的惡果,與“網絡恐怖分子”的較量是一場“看不見硝煙的戰爭”,是高科技的較量,是“硬碰硬”的較量。根據這一情況,當前工作的重點,一是要狠抓日常管理制度的落實,要把安全管理制度落實到第一個環節中;二是要加強計算機從業人員的行業歸口管理,對這些人員要強化安全教育和法制教育,建立人員管理檔案并進行定期的檢查和培訓;三是要建立一支反黑客的“快速反應部隊”,同時加快加緊培養高水平的網絡系統管理員,并盡快掌握那些關鍵技術和管理知識。
(3)強化防范措施。
一般來說,影響計算機網絡安全的因素很多,但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施:切實保護電子郵件的安全:做好郵件帳戶的選擇。現在互聯網上提供的e-mail帳戶主要都是免費帳戶,這些免費的服務不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以,單位用戶應該選擇收費郵件帳戶。做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。在web方式中,不要使用ib的自動完成功能,不要使用保存密碼功能以圖省事,入網帳號與口令應該是需要保護的重中之重,密碼要取得有技巧、有難度,密碼最好能有8位數,且數字字母相間,中間還代“*”號之類的允許怪符號。
防止郵件炸彈。下面介紹幾種對付電子郵件炸彈(e-mail bomb)的方法:
①過濾電子郵件。凡可疑的e-mail盡量不要開啟:如果懷疑信箱有炸彈,可以用郵件程序的遠程郵箱管理功能來過濾信件,如國產的郵件程序foxmail。在進行郵箱的遠程管理時,仔細檢查郵件頭信息,如果發現有來歷可疑的信件或符合郵件炸彈特征的信件,可以直接把它從郵件服務器上刪除。
②使用殺毒軟件。一是郵件有附件的話,不管是誰發過來的,也不管其內容是什么(即使是文檔,也往往能成為病毒的潛伏場所,像著名的melissa),都不要立即執行,而是先存盤,然后用殺毒軟件檢查一番,以確保安全。二是注意目前網上有一些別有用心的人以網站的名義,讓你接受他們通過郵件附件推給你的軟件,并以種種借口要求你立即執行。對此,凡是發過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。
③使用轉信功能。用戶一般都有幾個e-mail地址。最好申請一個容量較大的郵箱作為收信信箱,如777信箱(.cn)速度也很快。對于其它各種信箱,最好支持轉信功能的,并設置轉信到大信箱。所有其它郵件地址的信件都會自動轉寄到大信箱內,可以很好地起到保護信箱的作用。
④申請郵件數字簽證。現在國內的首都在線提供了郵件數字簽證的服務。數字簽證不但能夠保護郵件的信息安全,而且通過它可以確認信件的發送者。最后要注意對本地的已收發郵件進行相應的刪除處理。切實保障下載軟件的安全。對于網絡軟件,需要指出的是,我們對下載軟件和接受的e-mail決不可大意。在下載軟件時應該注意:下載軟件應盡量選擇客流大的專業站點。大型的專業站點,資金雄厚,技術成熟,水平較高,信譽較佳,大都有專人維護,安全性能好,提供的軟件問題較少。
⑤此外,從網上下載來的軟件要進行殺毒處理。對下載的任何軟件,不要立即使用,word文檔也不宜直接打開,而應先用殺毒軟件檢測一番,進行殺毒處理。殺毒軟件應當始終保持最新版本,最好每月升級一次,防止染上“木馬”。一旦染上木馬后,它就會給你的windows留下后門,秘密監視網絡信息,一旦發現遠方控制指令,就會會秘密地予以回應,可以讓遠方的控制者掌握對機器的完全控制權。此后在你完全不知的情況下,遠方的侵入者可以隨時在因特網上無限制地訪問你的計算機,因此它的危害是不育而喻的。最簡便有效的預防措施是,避免啟動服務器端(s端)消除木馬的具體操作是,首先拜訪注冊表,獲取木馬的裝入信息,找出s端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉,重新啟動計算機,再將程序也刪掉。
4 結論
隨著互聯網的飛速發展,網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中,它主要關心的是確保無關人員不能讀取,更不能修改傳送給其他接收者的信息。此時,它關心的對象是那些無權使用,但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題,以及發送者是否曾發送過該條消息的問題。
【摘要】本文針對目前高校校園網面臨的各種安全威脅進行了分析,列舉出影響校園網安全的因素,并從網絡安全技術和網絡安全管理兩個方面提出了自己的觀點。
【關鍵詞】校園網絡;網絡安全與分析;安全策略;入侵檢測;入侵防御
隨著教育信息化的發展,計算機校園網絡系統成為學校重要的現代化基礎設施,為學校建設提供安全、可靠、快捷的網絡環境,學校的學生思想教育、教學、科研、管理等對網絡的依賴將越來越緊密。校園網的安全狀況直接影響到這些活動的順利進行,因此,保障校園網絡信息安全已經成為當前各高校網絡建設中不可忽視的首要問題。
1.校園網網絡安全問題分析
校園網具有速度快、規模大,計算機系統管理復雜,隨著其應用的深入,校園網絡的安全問題也逐漸突出,直接影響著學校的教學、管理、科研活動。因此,在全面了解校園網的安全現狀基礎上,合理構建安全體系結構,改善網絡應用環境的工作迫在眉睫。當前,校園網網絡常見的安全隱患有以下幾種。
1.1計算機系統漏洞。目前,校園網中被廣泛使用的網絡操作系統主要是windows,存在各種各樣的安全問題,服務器、操作系統、防火墻、tcp/ip協議等方面都存在大量安全漏洞。而且隨著時間的推移,將會有更多漏洞被人發現并利用。許多新型計算機病毒都是利用操作系統的漏洞進行傳染,如不對操作系統進行及時更新,這些漏洞就是一個個安全隱患。
1.2計算機病毒的破壞。計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。計算機病毒具有以下特點:一是攻擊隱蔽性強;二是繁殖能力強;三是傳染途徑廣;四是潛伏期長;五是破壞力大。如arp欺騙病毒、熊貓燒香病毒,網絡執行官、網絡特工、arpkiller、灰鴿子等木馬病毒,表現為集體掉線、部分掉線、單機掉線、游戲帳號、qq帳號、網上銀行卡等帳號和密碼被盜等等,嚴重威脅了校園網絡的正常使用。
1.3來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與internet相連,在享受internet方便快捷的同時,也面臨著遭遇攻擊的風險。黑客也經常利用網絡攻擊校園網的服務器,以竊取一些重要信息。目前在因特網上,可以自由下載很多攻擊工具,這類攻擊工具設置簡單、使用方便,破壞力大,這意味著攻擊所需要的技術門檻大大降低。因此,一個技術平平的普通攻擊者很可能就是對網絡系統造成巨大危害的黑客。
1.4校園網內部的攻擊。高校校園網是廣大師生進行教學與科研活動的主要平臺,由于高校部分學生對網絡知識很感興趣,具有相當高的專業知識水平,對內部網絡的結構和應用模式又比較了解,攻擊校園網就成了他們表現自己的能力,實踐自己所學知識的首選,經常有意無意的攻擊校園網系統,干擾校園網的安全運行。
1.5校園網用戶對網絡資源的濫用。實際上有相當一部分的internet訪問是與工作無關的,有人利用校園網資源進行商業的或免費的視頻、軟件資源下載服務,甚至有的是去訪問色情、暴力、反動站點,導致大量非法內容或垃圾郵件出入,占用了大量珍貴的網絡帶寬,internet資源嚴重被浪費,造成流量堵塞、上網速度慢等問題,而且不良信息內容也極大地危害青少年學生的身心健康。
1.6非正常途徑訪問或內部破壞。在高校中,有人為了報復而銷毀或篡改人事檔案記錄;有人私自改變程序設置,引起系統混亂;有人越權處理公務,為了個人私利竊取機密數據;一些學生通過非正常的手段獲取習題的答案或者在考試前獲得考試內容,使正常的教學練習失去意義。這些行為都嚴重地破壞了學校的管理秩序。
1.7網絡硬件設備受損。校園網絡涉及硬件的設備分布在整個校園內,管理起來有一定的難度,暴露在外面的設施,都有可能遭到有意或無意地損壞,這樣可能會造成校園網絡全部或部分癱瘓的嚴重后果。
1.8校園網安全管理有缺陷。隨著校園內計算機應用的大范圍普及,接入校園網的計算機日益增多,如果管理措施不力,隨時有可能造成病毒傳播泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。校園計算機網絡建設普遍存在重視硬件投入,忽視軟件投資;重運行,輕管理的現象。主要表現為對網絡安全的認識不足,將網絡系統作為一項純技術工程來實施,沒有一套完善的安全管理方案;網絡系統管理員只將精力集中于ip的申請分配和開通、帳戶的維護、各服務器上應用系統日常維護、系統日志的審查和網絡規范的設計及調整上,而很少去研究網絡安全狀態的發展變化、入侵手段、防范措施、安全機制等。
2.造成這些現狀的原因
2.1網絡安全維護的投入不足。網絡安全維護的工作量是很大的,并且很困難,需要一定的人力、物力,然而大多數學校在校園網上的設備投入和人員投入很不充足,有限的經費也往往主要用在網絡設備購置上,對于網絡安全建設,普遍沒有比較系統的投入。
2.2網絡管理員責任心不強。很多學校的網絡管理員的都具有一定的專業水平,基本可以勝任本職工作,但是可能由于學校領導對網絡安全不是很重視,或者因為個人某些方面的原因,造成工作熱情不高、責任心不強,所以也就不會花很多的心思去維護網絡、維護硬件。
2.3師生的網絡安全意識和觀念淡薄。很多學生包括部分教師對網絡安全不夠重視,法律意識也不是很強。通過網絡,或通過帶毒的移動存儲介質,經常有意無意的傳播病毒,攻擊校園網系統,干擾校園網的安全運行。
2.4盜版資源泛濫。由于缺乏版權意識,盜版軟件、影視資源在校園網中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。比如,盜版安裝的計算機系統今后會留下大量的安全漏洞。系統自動更新引起的電腦黑屏事件,就是因為microsoft公司對盜版的xp操作系統的更新作了限制。另一方面,從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統因此被攻擊者侵入和利用。
3.對策措施
校園網的安全問題是一個較為復雜的系統工程,要從用戶、管理、技術三方面的因素來考慮。從嚴格的意義上來講,100%的安全網絡系統是沒有的,網絡安全工作是一個循序漸進、不斷完善的過程。 在目前的情況下,需要全面考慮綜合運用防火墻、入侵檢測、殺毒軟件等多項技術,互相配合、加強管理。為了提高校園網絡的安全性,提出以下幾點安全策略。
3.1身份認證技術。身份認證是對通信方進行身份確認來阻止非授權用戶進入。常用的身份認證方法有口令認證法。主要是給系統管理員帳戶設置足夠復雜的強密碼,最好是字母+數字+符號的組合;系統管理員的口令應嚴格管理,不定期地予以更換。很多用戶的windows xp/2000系統卻根本沒有設置密碼,有的用戶,雖然也設置了密碼,但密碼要么全是數字的,要么很短,對于這類密碼,可以輕易的被破解。
3.2防范系統安全漏洞。及時更新操作系統,安裝各種補丁程序非常重要。一般用戶需要借助第三方產品(如:漏洞掃描系統)的幫助,及時發現安全隱患。目前,許多新型計算機病毒都是利用操作系統的漏洞進行傳染的。比如“紅色代碼”病毒就是利用windows 2000 server iis漏洞進行傳播的;“沖擊波”病毒是利用windows 2000、windows xp、windows 2003操作系統的rpc漏洞進行傳播的;還有一些病毒是利用ie6.0的漏洞進行傳播的。那么,如何才能有效的保護系統不受病毒感染呢?可以通過安裝360安全衛士或其它功能類似的軟件來給系統的漏洞打好補丁,這樣可以有效的保護系統。
3.3防范計算機病毒。計算機病毒防范工作,首先是防范體系的的建立,沒有一個完善的防范體系,一切防范措施都將滯后于計算機病毒的危害。
3.3.1作為校園網的網絡管理人員,要為系統使用安全策略,如帳戶設定、審核策略、網絡訪問、安全選項設定等。使用安全策略不僅可以有效防范病毒,監控系統狀態,還可以防范黑客攻擊。
3.3.2選擇合適的防病毒軟件,及時更新病毒庫。防病毒軟件分為兩大類:網絡版和單機版。單機版防毒軟件適用于個人用戶,管理功能相對較弱。從網絡管理和病毒監控的角度來說,校園網更適用網絡版防毒軟件,因為網絡版防毒軟件的管理功能更強大,校園網的管理員只要及時在服務器端進行升級,客戶端啟動后就可自動升級,網管員還可對所有安裝客戶端的計算機進行病毒監控、進行遠程殺毒,及時了解校園網中病毒疫情。
3.3.3計算機用戶要增強網絡安全意識。不要輕易使用盜版和存在安全隱患的軟件;不輕易瀏覽一些缺乏可信度的網站;不要隨便打開不明來歷的電子郵件,尤其是郵件附件中的exe和com等可執行程序,對方發過來的電子郵件及相關附件的文檔,首先要“另存為...”命令保存到本地硬盤,待用殺毒軟件檢查無毒后才可以打開使用;不要隨便共享文件和文件夾,即使要共享,也得設置好權限;
3.4網絡監控措施。在不影響網絡正常運行的情況下,增加內部網絡監控機制,可以最大限度地保護網絡資源。如:配備入侵檢測系統(ids, intrusion detection system),入侵防御系統(ips, intrusion prevention system),web、e-mail、bbs的安全監測系統和網絡監聽系統等。通過監控手段,增強網絡安全的自我適應性和反應能力,及時發現不安全因素,從而保證網絡服務的正常提供。通過使用網管軟件、日志分析軟件、mrtg和sniffer等工具,形成一個功能較完整、覆蓋面較廣的監控管理系統。
3.5網絡安全隔離。防火墻作為一種將內外網隔離的技術,普遍運用于校園網安全建設中。合理使用防火墻,可以構筑內外網之間的安全屏障,有效地將內部網與外部網隔離開來,有利于提高網絡抵抗黑客攻擊的能力和系統的安全性。在windowsxp/2000系統中可以開啟自身帶的防火墻功能,但最好還是安裝專業的防火墻軟件,如天網、360安全衛士和瑞星防火墻等。
3.6數據備份和恢復。對于計算機而言,最重要的應該是硬盤中存儲的數據。用戶數據不要與系統共用一個分區,避免因重裝系統造成數據丟失。重要的數據要及時備份,備份前要進行病毒查殺,數據備份可采取異地備份、光盤備份等多種方式。對于校園網的管理員來說,要做好各種應急準備工作,必須要有一套應急修復工具,如系統啟動盤、dos版殺毒盤、緊急系統恢復盤、各種操作系統盤、常用應用軟件包、最新系統補丁盤等,并且做好分區表、dos引導扇區、注冊表等的備份工作,這樣可提高系統維護和修復時的工作效率。
3.7制定切實可行的網絡安全管理制度。為了確保整個網絡的安全有效運行,有必要對網絡進行全面的安全性分析和研究,制定出一套滿足網絡實際安全需要的、切實可行的安全管理。主要包括以下幾方面的內容:(1)建立一個權威的信息安全管理機構,制定統管全局的網絡信息安全規定;(3)制定網絡管理員的激勵制度,促使他們提高工作熱情,加強工作責任心;(4)對網絡管理員進行專業知識和技能的培訓,培養一支具有安全管理意識的網管隊伍,使他們從技術上提高應對各種攻擊破壞的能力;(5)把網絡信息安全的基本知識納入學校各專業教育之中;(6)對學校教師和其他人員進行信息安全知識普及教育;(7)在學校的網站設立網絡安全信息欄目,網絡法令法規、網絡病毒公告、操作系統更新公告等,并提供常用軟件的補丁下載。
校園網的安全問題是一個較為復雜的系統工程, 需要全方位防范,防范不僅是被動的,更要主動進行。在網絡安全日益影響到校園網運行的情況下,要完善校園網管理制度,對相關的校園網管理人員進行培訓,對學生進行網絡道德的教育,提高公德意識;安裝最新的防病毒軟件和病毒防火墻,不斷安裝軟件補丁更新系統漏洞,對重要文件要進行備份,從多個方面進行防范,盡一切可能去制止、減小一切非法的訪問和操作,把校園網不安全因素降到最少。
淺談計算機通信的網絡安全問題
一、計算機通信安全現狀
計算機網絡伴隨信息技術的快速發展在各個行業中得到廣泛應用,但隨之帶來了信息安全問題的出現,這對計算機通信造成了嚴重威脅。據美國聯邦調查局統計,美國每年因網絡安全問題造成的經濟損失高達70多億美元,全球平均每20秒就出現一起計算機入侵事件,從這些入侵事件中也不難看出網絡攻擊所具有的顯著特點:
1.社會安全威脅,有些計算機網絡攻擊者主要針對國家的軍事、政府部門進行攻擊,從而對社會及國家安全形成威脅。
2.攻擊造成較大損失,由于計算機入侵主要是針對網絡上的計算機,因此每次攻擊如若成功都將會給計算機用戶帶來巨大災難,甚至會出現系統無法運行、數據丟失或者被盜竊的現象。
3.攻擊手段多樣化且十分隱蔽,計算機攻擊者通過非法手段竊取他人帳號及密碼進入計算機,然后通過對網絡監視獲取機密信息。完成竊取、監聽過程的時間十分短暫難以察覺,但攻擊的殺傷力卻十分強大。
計算機網絡通信安全所涉及的方面較多,可以從不同的角度作出相應的解釋,國際組織對網絡通信安全是這樣定義的:信息的可用性、完整性、可靠性及保密性。若從一般層次上講,計算機網絡通信的可靠性及安全性主要依靠網絡自己的特性借助一些安全措施或與安全技術相互結合預防計算機在通信過程中操作系統、軟件、硬件的應用能夠正常運行,網絡中數據的傳輸不受破壞及威脅,拒絕非法用戶對數據或服務的竊取。即借助于安全措施,無論是通過安全軟件來進行對計算機實施保護又或是通過安全硬件設備對計算機通信安全提供保障,預防計算機網絡遭受非法入侵,進而實現網絡通信的持久安全運行。從網絡運行的具體環節來看,網絡通信安全主要包含:數據信息在傳輸過程中的安全、硬件設備運行過程安全、用戶登錄信息安全識別。計算機通信過程如何實現安全傳輸,這涉及到較多的學科,例如,計算機科學、網絡技術、通信技術、網絡安全等等,它主要是以實現網絡系統中的硬件、軟件及系統中存放的數據進行安全保護為主。確保來自外部的不良因素無法形成對其威脅,從而使網絡系統安全、持久不間斷運行,形成網絡服務的暢通。
二、計算機通信網絡安全問題的原因分析
(一)客觀原因
首先,計算機通信網絡所具有聯結廣泛的特性決定了給網絡攻擊帶來了必要的條件,非法入侵者依據網絡存在的漏洞或存在安全缺陷對網絡系統的硬件、軟件進行攻擊。導致系統中數據的丟失,即便有些信息在安全級別方面進行了設置但還會有漏洞的存在。其次,計算機系統與通信網絡自身較脆弱,因此遭受不同程度的攻擊是不可避免的,雖然,我們也可以看到當前有很多保護系統安全的軟件出現,例如,微軟操作系統在漏洞被發現后都會及時制定解決方案,而這些解決方案都是通過編寫應用程序的方式出現,程序代碼的編寫不可能是完美無瑕的,安全隱患仍然會存在。最后,計算機病毒的傳播也加劇了網絡通信安全問題的出現,使網絡系統遭受著不同程度的打擊,造成數據的改動、刪除最終破壞整個系統。再有,電子商務軟件普遍應用到通信網絡系統中,而這些電子商務軟件的源代碼又是公開的,這給非法入侵者尋找系統漏洞帶來了便利。
(二)主觀原因
計算機網絡管理員往往忽視潛在的安全問題,亦有些管理員的實際操作水平不夠,在操作過程中違反安全保密所制定的規則,對操作規程不夠了解,例如,工作中不允許公開的機密資料卻進行公開,而密鑰又不進行及時更新,長時間使用相同密鑰,使得密碼被破解的幾率急劇增加,最終導致網絡系統在管理上沒有任何規章可循。在對網絡系統的管理和使用方面,人們的習慣偏移于方便操作而忽視安全保密方面的問題。
三、計算機通信網絡安全問題的解決對策
計算機通信網絡安全威脅可分為兩類:故意(黑客入侵等)、偶然(信息去向錯誤的地址)。故意威脅又可分為被動威脅及主動威脅兩類。被動威脅主要針對信息進行監聽但不對數據內容進行改動,主動威脅則是針對信息監聽但對數據進行惡意修改。從以上兩種攻擊不難看出,被動攻擊的難度遠遠小于主動攻擊,因此被動攻擊更加容易實現。但是目前并沒有一種統一的方式或方法對各種威脅進行區別或者進行分類劃分,也難以判斷不同的威脅之間有沒有聯系。威脅隨時根據所存在的環境發生變化而改變。然而,人們為了解釋網絡安全服務所帶來的作用,總結了現代計算機網絡及通信過程中比較常見的一些威脅:安全威脅領域(植入威脅及滲入威脅),植入威脅比較常見的有:特洛伊木馬、陷門。滲入威脅:授權侵犯、旁路控制、假冒。但我們也可以清楚的看到,在非法入侵者實施入侵時往往將幾種攻擊手段進行結合使用。例如,internet蠕蟲就是將旁路控制與假冒攻擊進行了結合形成的威脅。
(一)加強防范措施
網絡攻擊是針對系統及各方面安全缺陷進行非法操作的行為,因此防范策略應針對網絡中的各個層次從技術角度進行安全設計這是安全防御系統形成的首要條件。目前所采用的安全防范措施從軟件、硬件、軟件及硬件相結合的設備主要有以下幾種:安全過濾網關、系統加密、入侵檢測、身份認證、漏洞掃描、殺毒軟件等。
(二)數據加密方式
數據加密在當前數字貨幣、電子商務、電子銀行等業務中得以普及,數據加密也是數據安全得以保障的優秀技術,其加密的原理是由明文向密文進行轉變的過程。與加密相對應的則是解密,即將密文恢復成明文的實現的過程,這兩個環節均依靠密碼算法進行實現。數據加密技術在網絡通信中的應用有效促進數據通信、網絡平臺應用的安全系數的提高,保證雙方的通信在安全下進行使得數據不被盜取及破壞。同時,數據加密技術也可在軟件中實現加密,當加密程序本身沒有受到病毒感染時便無法檢查出數據或程序中是否含有數字簽名,因此應將該加密技術應用在殺毒軟件或反病毒軟件當中。其次對網絡數據庫實施加密是十分必要的,由于數據通信傳輸中存儲系統與公用傳輸信道十分脆弱,因此采用數據加密技術進行保護。以前我們對數據庫的保護方式多采用設定訪問權限及輸入密碼,此類問題解決的優秀在于數據本身是否進行了加密,如若是進行了加密,那么數據即便被盜取也較難被破解。因此我們也不難看出數據加密技術在針對系統內、外部的安全管理中起到舉足輕重的作用。隨著數據加密技術日新月異,還應將當前的vpn技術與其結合,使數據以密文形式在互聯網上實現通信傳送,等數據到達局域網路由器時再進行解密,進而實現局域網用戶明文查收數據,這樣就有效的解決了局域網與廣域網連接中網絡通信數據傳輸的安全問題。
(三)數字簽名及控制策略
數字簽名技術是針對網絡通信信息論證的科學方式手段,依據單向函數對報文進行處理及發送,進而得到報文認證的來源并判斷傳輸過程中是否發生變化。數字網絡通信中數字簽名技術是認證的關鍵,它對解決偽造、冒充、篡改等問題起到主要作用,有著良好的無法抵賴性。當前數字簽名技術成熟,尤其在電子政務及電子商務中得到普遍應用,具有較強的可操作性,在實踐中我們應采用科學化、規范化的程序方式判斷簽名方身份,確保通訊內容的真實性、安全性性,進而實現有效的可控管理。其次,網絡通信實踐運行中還應引入科學的訪問控制策略,確定相應權限,保障計算機網絡安全、可靠運行,建立絕對安全的操作策略及保障機制有效預防非法攻擊行為。
四、結語
計算機技術的發展與日俱進致使網絡安全技術不斷更新,掌握必要的網絡安全知識,增強網絡安全防范是十分必要的。我們要時刻注意安全問題,盡量多的使用可靠、安全工具進行系統的維護,使得我們的網絡安全更加穩定、持久的運行,這也是未來電子化、信息化發展的必然要求。
論文關鍵詞:網絡 信息安全 辦公自動化
論文摘要:辦公自動化系統的建設方便了企業信息、共享資源、對外交流和提高辦事效率,但同時也帶來了來自外部網絡的各種安全威脅。本文針對性地對系統常見安全問題提出七類主要的防范方法。
0引言
辦公自動化系統(oas)是辦公業務中采用intemet/intranet技術,基于工作流的概念,使企業內部人員方便快捷地共享信息,高效地協同工作,實現迅速、全方位的信息采集、信息處理,為企業的管理和決策提供科學的依據。一個企業實現辦公自動化的程度是衡量其現代化管理水平的標準。oas從最初的以大規模采用復印機等辦公設備為標志的初級階段,發展到今天的以運用網絡和計算機為標志的階段,oas對企業辦公方式的改變和效率的提高起到了積極的促進作用。近年來,辦公自動化系統都是架設在網絡之上的,它是一個企業與外界聯系的渠道,企業的imranet最終都會接人internet,這種接人一方面方便了企業信息、共享資源、對外交流和提高辦事效率,另一方面也帶來了來自外部網絡的各種安全威脅。
1辦公自動化系統存在的安全晚息
隨著internet的迅速發展,如何保證信息和網絡的自身安全性問題,尤其是在開放互聯環境中進行商務等機密信息的交換時,如何保證信息存取中不被竊取篡改,已成為企業非常關注的問題。在國際上,計算機犯罪案件正在以幾何級數增長。計算機犯罪是一種高技術型犯罪,由于婦汀日罪的隱蔽侄,因川,寸辦公自動化系統安全構成了很大的威脅。
目前,辦公自動化系統的安全隱患主要存在以下幾個方面:
假冒內網的ip地址登錄內網竊取信息;軟件系統自身的問題:利用網絡傳輸協議或操作系統的漏洞攻擊網絡;獲得網絡的超級管理員權限,竊取信息或破壞系統;在傳輸鏈路上截取信息,或者進人系統進行物理破壞;病毒破壞,計算機病毒是一種人為制造的,在計算機運行中對計算機信息或者系統起破壞作用的程序。它通常隱蔽在其它程序或者文件中,按照病毒設計者設定的條件引發,從而對系統或信息起到破壞作用;黑客人侵;防范技術落后,網絡安全管理不力,管理人員混亂,權限混亂等等。
2系統安全的防范
針對目前系統安全的上述問題,在辦公自動化系統安全上提出下面幾類主要的防范方法。
2.1加強機房管理
對目前大多數辦公自動化系統來說,存在的一個很大的不安全因素是網絡管理員的權力太大,據有關資料報道,80%的計算機犯罪來自內部,所以對機房工作人員要做好選擇和日常考察,妾采取一定的手段來限制或者削弱網絡管理員的權力,對機房工作人員,要結合機房、硬件、軟件、數據和網絡等各個方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;要加強業務、技術等方面的定期培訓,提高管理人員的技術水平。
2.2設里訪問控制
訪問控制是保證網絡安全最重要的策略之一。訪問控制策略包括人網訪問控制策略、操作權限控制策略等幾個方面的內容。首先,網絡管理員應該對用戶賬戶的使用、用戶訪問網絡的時間和方式進行控制和限制。用戶賬戶應只有網絡管理員才能建立,用戶口令是用戶訪問網絡所必須提交的準人證。針對用戶登錄時多次輸人口令不正確的情況,系統應按照非法用戶人人口令的次數給予給出報警信息,同時應該能夠對允許用戶輸其次,用戶名和口令通過驗證之后,系統需要進一步對用戶賬戶的默認權限進行檢查。最后,針對用戶和用戶組賦予一定的操作權限。網絡管理員能夠通過設置,指定用戶和用戶組可以訪問網絡中的哪些資源,可以在服務器上進行何種類型的操作。網絡管理員要根據訪問權限將用戶分為特殊用戶、普通用戶和審計用戶等等。
2.3數據加密
主要針對辦公自動化系統中的數據進行加密。它是通過網絡中的加密系統,把各種原始的數據信息(明文)按照某種特定的加密算法變換成與明文完全不同的數據信息(密文)的過程。目前常用的數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密對用戶來說比較容易實現,使用的密鑰較少,而端到端加密比較靈活,對用戶可見,在對鏈路加密中各節點安全狀況不放心的情況下也可使用端到端加密方式。數據存儲加密主要就是針對系統數據庫中存儲的數據本身進行加密,這樣即使數據不幸泄露或者丟失,也難以被人破譯。數據存儲加密的關鍵是選擇一個好的加密算法。
2.4建立工作日志
對所有合法登錄用戶的操作情況進行跟蹤記錄;對非法用戶,要求系統能夠自動記錄其登錄次數,時間,ip地址等信息,以便網絡管理員能夠根據日志信息監控系統使用狀態,并針對惡意行為采取相應的措施。
2.5加強郵件安全
在眾多的通信工具中,電子郵件以其方便、快捷的特點已成了廣大網絡用戶的首選。然而這也給網絡安全帶來了很大的隱患,目前垃圾郵件數量巨大、郵件病毒防不勝防,而關于郵件泄密的報道更是層出不窮。面對電子郵件存在的巨大安全隱患,可以采取如下的防御措施:
1)加強防御,一般用戶會經常忽略使用電郵安全的基本常識,因此教育用戶一些常識是非常有必須的。例如,勿開啟來自未知寄件者的附件;勿點選不熟悉來源的任何內容;封鎖陌生人的實時訊息等。
2)對郵件進行加密,由于越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,因此保證郵件的真實性和不被其他人截取和偷閱也變得日趨重要。據調查,74%郵件泄密是因為郵件中的機密信息未做任何加密措施引起的。因此,郵件加密是一種比較有效的、針對郵件內容的安全防范措施,采取先進的加密算法可以有效地保障數據的安全。
3)反垃圾郵件,垃圾郵件經常與病毒有關,因此用戶需要反垃圾郵件和反病毒保護。垃圾郵件中的鏈接經常指向包含惡意軟件的網站,而且病毒經常通過電子郵件傳播。大大減輕郵件病毒肆虐的方法是使用反病毒軟件,例如只使用提供自動病毒保護功能的電子郵箱,只打開來源可信的電子郵件,或在打開郵件附件之前用反病毒軟件進行掃描等等。
2.6設置網絡防火墻
通過安裝并啟用網絡防火墻,可以有效地建立起計算機與外界不安全因素的第一道屏障,做到實時監控網路中的數據流,保護本地計算機不被病毒或者黑客人侵。
2.7保護傳輸線路安全
對于傳輸線路,應有相應的保護措施,并要求遠離各種輻射源,以減少由于電磁干擾引起的數據錯誤;網絡連接設備如hub等應放置在易于監視的地方,以斷絕外連的企圖;還要定期檢查線路的連接狀況,以檢測是否有外連或破壞等行為。
3結束語
總之,網絡應用已經滲透到社會經濟生活的方方面面,internet和信息化辦公在為人民提供便利的同時,也時刻受到網絡信息安全的影響。我們在充分享受網絡辦公系統方便、快捷的同時,更要時刻注意維護系統信息的安全。
摘要:隨著經濟和科技的發展,無論是生活用電量還是工業用電量都在迅速的增長,這在一定程度上促進了電力的發展。因為資源分布不均,為了滿足大家對電力的需求,所以電力調度自動化的發展就顯得非常的重要。我國的電力調度自動化水平在不斷的提高,但是在調度的過程中還存在網絡安全問題,為了提高電力調度的效率并且改進電力調度自動化網絡安全問題是非常有必要的。本文首先分析了電力調度自動化的概念,進而分析了電力調度自動化中存在的網路安全問題,并提出了相關的改進措施,希望能夠提高電力調度的效率,促進電力行業的蓬勃發展。
關鍵詞:電力調度自動化;網絡安全問題;改進措施
0引言
在電力行業的發展中,電力調度自動化工作對于居民和企業的用電是非常重要的,保證著企業和居民的安全用電,同時也保證著電力企業的效益發展。我國現階段電力已經得到了飛速的發展,但是隨之而來的問題也非常的顯著,電力調度自動化的網絡安全問題就是其中一個比較重要的問題,所以急需改善電力調度的網絡安全問題。這樣才能促進電力行業的發展,進而促進經濟和科技的發展。
1電力調度自動化概念
電力調度自動化是以互聯網為平臺的,通過互聯網建立控制中心對電力系統進行監控和調度,從而能夠實現電力調度的自動化,其中包括安全監控、現狀分析、負載測試、安全分析、發電控制和自動經濟調度等等,電力自動化調度能夠實現對電力的監管及時發現電力線路中存在的問題,及時地給與解決。
2電力調度自動化網絡安全問題分析
2.1網絡系統管理工作不合理
電力調度包括安全監控、現狀分析、負載測試、安全分析、發電控制和自動經濟調度等內容,是一項很復雜的工作,調度工作人員在管理的時候很容易忽視某些環節。當問題發生時,不能及時的分析和解決問題,造成損失。同時,隨著互聯網技術的發展,現在網上存在很多病毒或惡意軟件,這又加大了電力系統的網絡風險,給工作人員帶來一定的挑戰。
2.2不能及時進行網絡升級
網絡技術是一個日新月異的存在,所以電力調度系統的更新非常的重要。如果不能及時對電力調度網絡系統進行更新,將會大大影響調度工作的效率。嚴重者,存在的漏洞會成為網絡攻擊的對象,造成電力系統的損失。
2.3電力調度工作人員綜合素質有待提升
電力調度工作人員綜合素質對工作的展開影響非常的大,直接影響著管理的效率和效果。據調查表明,我國的電力自動化工作人員綜合素質普遍偏低,不能高效地完成調度工作,更甚者還不能完成本職工作。如果在工作過程出現一個突發狀況,工作人員不能及時對產生原因進行排查,不能及時的解決問題,將會加速問題的惡化,對電力自動化的運行產生嚴重的影響。
3提高電力調度自動化系統的網絡安全管理水平的措施
3.1建設科學合理的網絡結構
電力調度自動化系統在運行的過程中,存在很多的隱患造成對系統運行效率的影響,其中很大一部分原因是因為電力自動化系統的網絡結構不合理。所以,構建科學合理的網絡結構非常必要。在構建網絡結構過程中,工作人員應該吸取以往經驗,對實際中頻發的干擾因素和實際環境進行考慮,并采取相應的措施排除干擾因素的影響。同時還應結合實際情況對電力系統的布線情況、設備安全性進行分析評估,按照設計要求進行落實。在電力系統運行的過程中,應該保持系統的敏感度,能時刻監控環境的濕度和問題,當濕度和溫度超出正常水平之外時,能夠做出預警。電力系統長時間工作在溫濕度范圍之外的環境中,很容易造成電路的短路,對電力系統的安全形成大的隱患。所以,工作人員應該時刻關注溫度的變化,對機房進行降溫處理,保證電力系統的正常運行。
3.2提高工作人員的綜合素質
工作人員的素質對于提高電力系統的效率也是非常重要的。對于電力調度自動化的網絡安全管理工作人員需要崗前的培訓,使工作認識到工作的重要性,同時還要明確工作的具體細節。具體來說,首先應該熟悉電力系統的網絡結構,明確網絡結構的構成,能夠及時的對網絡結構的各個環節進行監控,在工作的過程中能夠不斷的吸取教訓,形成系統的知識架構;其次,工作人員應該加強自身的安全意識,企業也應該定時的開展各種安全講座以及加強安全技能培訓。讓工作人員在加強自我安全意識的同時還能掌握一定的自保技能,當事故發生時能夠做出及時的應對;最后,應該加強工作人員的責任意識,可以定期展開相關的培訓,幫組工作人員增加責任意識。使工作人員在實際的工作過程中能夠負責地對待每一個工作細節,這樣才能保證工作高質量地進行,有利于電力調度自動化網絡安全工作的高效率運行,實現用戶和企業的高效率。
3.3完善電力企業網絡安全管理機制
完善電力企業網絡安全管理機制對于電力調度自動化網絡安全管理工作的開展是非常重要的。在制定電力企業網絡安全管理制度時,可以從技術和法律倆個方面來制定管理制度。但是在制定的過程中,企業需要考慮到自身的實際情況,并依據制度進行落實,一套好的網絡安全管理制度有利于工作高質量的落實,并且能夠提升工作人員工作效率。另外,工作人員在工作的過程中可以借鑒別人成功的經驗,并結合自身的工作環境,對網絡安全制度進行完善。同時,還可以采用一些比較先進的設備對電力系統進行監控,防止網絡上的木馬、病毒和惡意軟件對系統的攻擊,保證電力系統安全的運行。
3.4制定完善安全管理措施
制定完善的安全管理措施是保證電力調度自動化安全系統高校運行的保證,同時還能保證工作人員和設備的安全,擁有良好的工作環境。在工作開展的過程中,工作人員必須根據實際對設備和技術進行管理,保證系統高校運行。首先,在系統工作之前,工作人員需要對設備進行詳細的檢查,保證設備各個指標能夠滿足制度要求。對于存在問題的設備,工作人員應該進行撤換;其次,在對技術管理的過程中,工作人員應該仔細的檢查系統運轉情況,檢查系統是否處于最新狀態,否則需要對系統進行升級處理。避免系統存在漏洞,從而受到病毒的攻擊;最后,還應制定一套完整的工作流程和操作細節,對工作人員的操作進行管理,從最基本的地方提高工作人員的質量。
4工作原則
在電力調度自動化網絡管理工作開展的過程中,主要的管理目的是為了減少系統受到的非法攻擊,能夠提高系統的安全性能。第一方面,管理工作應該遵循整體性原則,從檢測和控制兩個方面實現對系統的整體控制,在受到惡意攻擊時能夠及時給與解決,保證系統的安全運行。第二方面,管理工作應該遵循等級原則,管理過程中,采取等級管理制度劃分不同等級的工作,這樣有助于提高工作效率。而且當問題發生時,工作人員能夠做出針對性的反應。在提高工作效率的同時還能減少工作人員的工作量。
5總結
綜上所述,電力調度自動化工作的良好開展有助于提高電力輸送的效率,同時還能提升電力系統的安全性能,保證了企業和用戶的效益,極大地促進了電力行業的發展。雖然現階段電力調度自動化網絡還存在一定的安全問題,只有采取積極的應對措施才能實現用戶和企業效益的最大化。在制定管理制度的過程中,電力企業應該從網絡結構的設計、工作人員的素質、電力企業網絡安全管理機制和安全管理措施四個方面來考慮。但是隨著改善措施的提出以及科技的發展,相信在不久的將來電力行業水平將會有大幅提升。
作者:任濤 單位:烏蘭察布電業局
摘要:
在油氣田企業中,現在更加重視網絡安全管理,但是依然存在很大的問題和漏洞,為了對產業的發展不造成影響,在計算機網絡技術的輔助作用下促進企業的發展,就需要加強網絡安全。目前最常用的就是防火墻,在這方面的引用該還需要不斷的提高,提升安全保護。本文分析了油氣田網絡安全中存在的問題和提出防火墻安全防護措施。
關鍵詞:
油氣田企業;網絡安全問題;防火墻;安全防護策略;探討分析
油氣田企業在發展過程中,需要應用到現代新的網絡技術,而且這是對其發展是必不可少的,很多技術的應用都是以網絡信息技術作為支撐的。但是網絡有其本身的缺點和弊端,在使用過程中的一些問題也會對企業造成損害,所以有必要加強網絡管理安全,采用防火墻技術,是較為常用的防護措施之一。
1油氣田企業中的存在的網絡安全問題
1.1網絡漏洞容易受到外來的攻擊
網絡信息技術的使用中,本身是有缺陷漏洞的,勢必會導致一些入侵的現象,也就是“鉆空子”,非法侵入網絡系統。這樣的行為會對我們自身的安全造成很大的威脅,對一些機密的資料和技術會造成破壞和竊取。或者入侵網站,惡意的攻擊,對油氣田企業的正常發展和運營造成巨大的影響,比如說造成信息的流失和系統完整性的破壞。所以我們對網絡技術安全建設需要加大力度,實時監督力度也要加強,防止破壞性的入侵[1]。
1.2網絡管理水平低下
沒有油氣田企業設置有專門的網絡管理部門,這樣能夠對網絡進行實時維護和安全管理監控,隨著現代科技的不斷發展,網絡技術的更新也很快,所以對安全管理提出了更高的要求。油氣田企業中網絡技術應用廣泛,所以網絡技術和安全需要重視,但是由于企業內部人員在網絡技術方面欠缺能力,專業技能和知識不是很扎實,造成油氣田企業的網絡安全威脅,不能對網絡做到維護,和構建安全完整的企業系統。所以,為了避免這樣的情況發生,需要引入專業的計算機人才負責企業的整個網絡運行,保證按安全生產。
1.3網絡技術服務系統沒有及時更新
網絡信息具有時效性的特征,網絡技術在油氣田企業中的應用范圍是很廣泛的,既有網絡技術,又有網絡管理。大多數企業將重點放在了基礎設備的更新使用上,對硬件比較重視,往往忽略了軟件的使用更新和系統的升級,現代技術發展很快,所以對許多軟件的淘汰率很高,如果不能做到及時的更新和升級,勢必引起安全問題[2]。
2防火墻安全防護措施分析
防火墻是一種很基礎也很普遍的網絡安全防護技術,是保護計算機安全的基礎。防火墻的本質是介于計算機和網絡之間的一種安全軟件。防火墻的主要作用是對互聯網的一些業務信息進行過濾和監測,對計算機本身的使用具有監控,通過系統記錄實現網絡安全防護。現代油氣田企業中大量使用網絡技術,所以防火墻這種基本的安全防護手段用的較多,防火墻對現代油氣田企業的網絡安全發展形成一種輔助性服務作用,能夠避免網絡上的一些較大疏漏。防火墻再具體使用和設置的時候,為了保證安全,需要依據以下原則。第一,設置任務目標明確。根據企業具體的發展和網絡設施的實際情況,以及油氣田企業特殊的要求等等進行安全防護。第二,保證使用產品的安全性。防火墻也是有好有壞,性能也是不一樣的,所以企業在選擇的時候,應該不吝成本,購買安全性能高的防火墻,保證使用時安全防護功能的行使。第三,設施的維護要方便。放火墻的維護使用做到簡便,這樣對工作人員來說會更加得心應手,使防火墻得到有效的實際應用,管理操作人員需要有靈活的操作策略[3]。防火墻一方面能夠將網絡中的一些垃圾和惡意的信息進行攔截,另外使網絡系統免受外界的攻擊,這是其主要發揮的功能[4]。對于油氣田企業來說,這是極其重要的。防火墻保證了油氣田企業的一個良好安全的運行環境,使得網絡服務和技術使用更加通暢。同時,抵御網絡的攻擊,保證企業的利益。
3結語
綜上所述,在油氣田企業中,現在更加重視網絡安全管理,現代網絡信息技術在油氣田企業的使用中更加廣泛和普遍,重要的是更新維護很快,對企業的發展具有促進作用。但是在實際管理中,又出現很多問題,影響到網絡的安全正常的運行,所以我們需要針對這些出現的漏洞進行安全防護措施的實施,保證油氣田企業網絡的服務系統的安全。防火墻技術的使用具有很大的效果,在現代技術快速發展的前提下,我們需要做到全面的防護,才能保證真正的網絡安全。
作者:趙強 葉秀芬 劉峰 單位:長慶油田分公司第一采氣廠
摘要:
計算機局域網網絡在給生產生活帶來便捷的同時,也暴露出十分嚴重的安全問題,這就使得人們對局域網網絡的安全問題日益關注。文章總結了局域網網絡中存在的安全問題,并有針對性地探究了一些對策。
關鍵詞:
局域網;網絡安全;現狀問題;有效對策
局域網使人們的工作實現了信息化、電子化模式,并以其自身的廣泛性、開放性特點被普遍應用,但是也正是這些優點,也大大降低了局域網的應用安全性。局域網的易擴散、網絡開放、資源共享等特征,導致各種計算機信息在傳輸中以及發生丟失、遺漏、干擾等問題,甚至還會造成信息被破壞、被竊取等嚴重事件的發生。那么,如何有效解決局域網網絡安全現狀問題,是相關部門急需解決的問題。
1局域網網絡中存在的安全問題
筆者在調查中發現,當前局域網網絡在應用中還存在一些安全問題,不利于高效利用目標的實現。現將這些安全問題總結如下:(1)病毒入侵。計算機病毒的破壞性、潛伏性很強,這就使得局域網網絡極易受到木馬、病毒的侵害,局域網承擔著連接網絡的作用,如果未及時更新病毒或操作不當,就會讓計算機植入病毒,從而在數據傳輸中就會在感染服務器后再傳遞到其他計算機中。雖然很多計算機都安裝有防火墻,但仍舊無法避免局域網網絡內部的攻擊。計算機局域網網絡內部攻擊問題,通常可分為被動攻擊及主動攻擊。被動攻擊是指病毒截取、竊取、破譯重要信息,但網絡仍可正常運行;主動攻擊是指病毒選擇性地破壞數據的有效性及完整性。(2)惡意軟件入侵。惡意軟件指的是那些計算機未明確提示、未經用戶批準而強行安裝并運行的軟件。有些黑客通過惡意軟件實現盜取用戶信息數據的目的;有些惡意軟件借助對電腦攻擊或掃描,使計算機局域網網絡服務器不能正常運行,這就極易造成計算機信息泄露,甚至可給企業帶來嚴重的經濟及名譽損失。(3)管理人員素質不高。當前,很多計算機局域網網絡管理人員普遍缺乏專業知識,甚至有些管理人員是從其他崗位借調過來的兼職人員,他們對網絡安全專業知識了解有限,在他們看來計算機局域網的安全管理只是對廣域網的防護,對局域網網絡內部的危險因素沒有充分認識,并且尚不具備預防與解決局域網網絡安全問題的意識與能力。在這種情況下,局域網網絡安全管理成效就十分低下,從而導致在使用中頻繁出現安全問題,制約了局域網網絡積極作用的充分發揮。(4)尚未建立健全的安全管理制度。當前,雖然局域網安全問題頻發并且給使用者帶來了很多麻煩,甚至給企業帶來了嚴重損失,但是還沒有健全的安全管理制度對使用人員的行為及操作方法進行嚴格的規范,這就要導致越位訪問問題十分突出,從而給不法分子帶來了可乘之機。
2解決局域網網絡安全問題的對策
依據上文總結的,當前計算機局域網網絡中存在的一些安全問題,筆者在全面分析出現這些問題原因的基礎上,有針對性地探究了一些對策。
2.1謹慎挑選應用軟件
隨著計算機技術的迅猛發展,與局域網相關的軟件也豐富起來,比如游戲軟件、殺毒軟件、聊天軟件等,而這些軟件的安全性參差不齊,這就需要安裝人員謹慎選擇,因為有些軟件中隱藏有病毒,一旦攜帶有病毒的軟件被安裝到計算機后,病毒隨時會侵入計算機,從而就可較為容易地竊取、篡改或破壞計算機中的數據信息,進而大大降低數據信息的安全性,因此,在選擇安裝軟件時,應始終持以謹慎態度,以保證局域網網絡始終處于安全狀態。另一方面,局域網中的所有計算機均需要安裝有效的殺毒軟件,以隨時監控與查殺錯誤信息及外來病毒,還應及時更新病毒庫、升級軟件,并且還應安裝先進的病毒入侵檢測軟件,借助系統的識別能力嚴格限制攜帶病毒軟件的安裝,從而構建其較為安全的局域網網絡系統。
2.2科學建立網絡系統
計算機局域網網絡項目的主要任務是全面分析并合理設計網絡系統,從而有效提高網絡系統的科學性及安全性。為了解決數據在局域網中傳輸時被同一以太網中的節點截取而導致數據泄密事件的發生,安全管理人員應積極采取邏輯分段及物理分段兩種形式來嚴重控制局域網安全問題,從而從根源上減少局域網網絡問題的發生。在實際操作中,借助邏輯分段與物理分段可有效隔離敏感用戶級非法用戶,從而確保數據信息通常傳輸。另一方面,將傳統的共享集線器更新為交換集線器,也可較好地解決因非法用戶在以太網節點偵聽時截取數據問題的發生,并且還可預防病毒入侵問題,從而不斷提高局域網網絡的安全等級。
2.3提高服務器安全等級
要想提高局域網網絡安全等級,就需要重視對設備的管理,努力構建完善的安全管理制度,以有效預防非法用戶惡意進入局域網進行非法操作。管理人員應積極采取措施對計算機系統、網絡服務器、打印機等外部設備嚴加保護,經常性檢查、測試、維護各種設備的運行環境,從而確保計算機局域網網絡系統始終處于一個較為安全的工作環境中。另一方面,還應依照管理制度嚴重控制訪問情況,以保證局域網服務器可正常運行。對訪問情況的合理控制,是保證局域網網絡資源遠離被非法占用的有效途徑,并且也是提高局域網網絡安全等級的重要方法。通常情況下,常用的控制局域網訪問問題的模塊有權限控制、入網訪問功能、信息加密等。保密性是提升局域網網絡安全等級的有效形式,在儲存信息與傳輸信息的同時,依照數據等保密等級采取與之相適應的加密措施,從而實現對傳輸數據的有效保護,進而切實提高數據信息的安全性。
2.4提高管理人員素質
局域網網絡管理人員的素質高低直接影響了管理質量的高低。因此,在重視對管理人員素質的提升。在實際操作中應依據管理人員的實際情況為其制定合理的技能及專業知識培訓方案,促使他們及時更新管理技術、提升管理能力。比如,可定期邀請局域網網絡管理專家為管理人員開展專題講座、搭建局域網網絡管理經驗分享平臺等。從而使得管理人員充分認識局域網網絡安全的重大作用,并不斷提高自身的職責意識,一旦發現病毒,應借助自己的專業知識與業務能力恰當采取措施予以處理,并及時將相關情況匯報有關部門。只有這樣,管理人員才能將安全管理意識滲透到每一個工作細節中,并且有能力為局域網網絡安全運行保駕護航。
2.5完善安全管理制度
建立完善的計算機局域網網絡安全管理制度,是提高安全管理工作的基礎與前提。只有不斷健全安全管理制度,才能使得安全管理人員在處理安全問題時有法可依、有章可循,才能為計算機局域網網絡使用人員的安全操作提供幫助與指導。因此,計算機局域網網絡安全管理部門應深入調查各種安全問題形成的原因及危害性,并有針對性地制定完善而全面的安全管理制度。制度內容不僅應涵蓋對于局域網網絡安全有關的計算機軟件、硬件的管理與維護內容,而且還應涵蓋安全操作章程、訪問權限問題、軟硬件安裝及殺毒問題等。另一方面,計算機局域網網絡安全管理制度中還應對各種不安全操作、非法操作行為進行懲處的措施,以此來約束危險操作及惡意操縱行為。只有這樣,計算機局域網網絡才能始終處于安全狀態,才能充分發揮其優勢作用,才能規范而健康地發展。
3結語
總之,局域網網絡安全問題是制約局域網作用充分發揮的重要因素,因此管理人員應通過謹慎挑選應用軟件、科學建立網絡系統、提高服務器安全等級、提高自身管理素質等措施,確保局域網網絡的正常、安全運行,從而促使局域網網絡更充分發揮自身積極作用。
作者:張婷 周亞沛 單位:武警石家莊士官學校網絡安全教研室 武警沈陽指揮學院教研部戰斗模擬室
摘要:
21世紀人類進入了信息時代。網絡由傳統的有線發展至如今的無線。無線網絡大大擴展了網絡用戶的自由空間。無線網絡通過無線電波傳輸數據,其具有覆蓋面廣、經濟、靈活、方便、增加用戶以及改變網絡結構的特點。但是其信息的傳遞不同以往一對一的方式,任何網絡用戶都可以接收發射機覆蓋區域的數據。有線環境下的安全方案和技術不能用于無線網絡。本研究就無線網絡的安全問題進行了分析,并對解決無線網絡問題的技術進行了介紹,期望能為解決無線網絡安全問題提供參考。
關鍵詞:
無線網絡;安全問題;技術
0引言
無線網絡是一個開放的、復雜的環境。其開放性導致網絡更容易受到被動竊聽和主動干擾。攻擊者可以通過適當的設備向無線網絡中增加信息,使接收者獲得假信息。攻擊者也可以完全控制連接,對信息進行攔截,然后對信息進行修改后發出。無線網絡也同樣面臨病毒問題,由于用戶之間交互頻率較高,病毒可以迅速傳播。無線網絡已經出現了涉及手機犯罪、詐騙、非法監聽等技術的演示和交易。所以加強無線網絡安全技術研發意義重大。
1無線網絡出現的主要安全問題
1.1移動通信存在不安全因素
為滿足人們的需求,移動通訊的技術在不斷發展成熟。但是事物的發展具有兩面性。往往有不法分子利用移動通訊的安全技術漏洞進行違法攻擊。用戶的隱私信息以及系統的保密信息被攻擊者攻擊而泄露。攻擊者手段多樣。通常,攻擊者會對自己的真實身份進行隱蔽,這種隱蔽使得網絡和用戶不能識別潛在的危險。移動通信網絡的鏈路很容易被竊聽,鏈路中的信息可以讓攻擊者獲取用戶的地址,還可以獲得比如在線支付、轉賬等交易信息。攻擊者還會將截獲的數據進行改寫、重放甚至刪除,嚴重影響用戶接收信息的完整性和可靠性,不可靠信息可能使得用戶被詐騙。攻擊者通過濫用一些特殊系統服務使得系統崩潰,攻擊者還通過阻塞用戶控制數據、信令使合法用戶不能正常使用網絡資源。攻擊者對系統干擾后有時會使得系統對網絡或用戶拒絕做出響應,從而使用戶不能正常使用網絡。
1.2無線傳感器網絡受到安全威脅
作為特殊網絡的無線傳感器網絡具有其自身的特點使得傳統安全機制無法在其上使用。傳感器是一個微小裝置,其存儲空間有限。由于技術不成熟使得傳感器節點的能量依靠電池供應。傳感器網絡節點是一種微型嵌入式設備,對數據處理能力較差。由于傳感器網絡信道誤碼率較高,導致數據傳輸不可靠,而且節點之間傳輸數據無需事先建立連接。傳感器網絡屬于多跳無線網絡,網絡的擁塞和節點對包的處理均可導致網絡的延遲。攻擊者通過監控數據的傳輸,可以進行被動攻擊,對數據進行監聽。攻擊者還能進行信息攔截和檢查,依據信息通道模式推斷出信息內容。攻擊者還能通過耗盡目標節點的資源令目標節點無法正常采集數據。攻擊者不知道密鑰的情況下即使無法進行解密,依然可以將截獲的信息重新發給目標節點進行重放攻擊。攻擊者不在域內的節點時進行外部攻擊。依據TCP/IP模型,無線傳感網絡的安全威脅還可以分為物理層、數據連接層、網絡層、傳輸層與應用層的威脅。
1.3移動AdHoc網絡受到攻擊
移動AdHoc網絡是一個臨時的無基礎設施的網絡。在移動AdHoc網絡中不存在專門的硬件,無中央服務器。移動AdHoc網絡使用的是無線鏈路,而無線鏈路的使用使得其容易受到攻擊。由于缺乏優秀的路由器和網管,使得每一個節點充當路由器,數據包必須通過多跳路由,穿越不同的移動節點方可到達目的節點。移動AdHoc網絡還有移動節點內存較小,計算功率小的特點。惡意節點可以通過更改控制消息區域或者轉發經過篡改數值的路由信息來重定向網絡流量和進行DoS攻擊。移動AdHoc網絡還受到模擬攻擊,一個節點通過模擬自己在網絡中的ID,但在對外發送的數據包中更改自己的IP地址,這樣的攻擊容易結合修改攻擊,兩種攻擊的結合使得網絡出現譬如路徑的環路等嚴重故障。移動AdHoc網絡還受到偽造攻擊。攻擊者散播假的路由錯誤信息,然后發起路由攻擊,從而導致數據包丟失和額外開銷。攻擊者還可以通過應用學習路由的方法毒化路由緩存。MAC和網絡協議中在數據包傳輸中使用延遲來防止勾結,攻擊者通過刪除這些信息,來快速轉發它的請求信息。攻擊者也可以利用更強大的傳輸工具傳輸RREQ,使得信息傳遞給更遠的節點,從而減少了跳數,達到快速攻擊的目的。攻擊者還可以利用蟲洞技術進行快速攻擊。
2解決無線網絡安全問題的技術
2.1移動通信4G系統技術
移動通訊發展至今已經入第四代。第四代移動通訊(4G)將第三代移動通訊(3G)和WALN集為一體。4G技術具有較高傳輸速率,而且其技術發展以數字寬帶技術為主。4G的智能技術使其能自適應進行資源動態分配,有很強的靈活性。4G相比3G具有較好的兼容性。4G技術可以依據網絡的狀況和信道條件進行處理,使低網速和高網速用戶并存并可以進行互通。4G技術能提供各種標準的通信業務。4G系統將交互干擾抑制和多用戶識別技術結合,用以消除不必要的鄰近和共信道用戶的交互干擾,從而確保了收機的高質量接收信號,兩種技術的結合還能減少網絡基礎設施的部署。4G無線網絡可以通過智能處理器處理節點故障,可以糾正網絡故障。4G系統的微無線電接收器是嵌入式的,在智能和節能方面都具有較大改進。
2.2提高無線傳感器網絡安全的措施和技術
實體認證是無線傳感器網絡安全的第一道屏障,實體認證用于鑒別用戶的真實身份,可以有效阻止非法用戶的加入,為網絡的接入提供安全準入機制。R.Watro等人提出了基于RSA公鑰算法的TinyPK實體認證方案,方案指出將執行公鑰算法中的加密和驗證操作交給傳感器節點負責,把計算量大、能量消耗多的解密和簽名操作交給基站等安全通訊的外部組織來完成。任何要與傳感器節點建立聯系的外部組織必須擁有自己的公私密鑰對,同時,其公鑰必須經過認證中心的私鑰簽名,以此作為它的數字認證來確定其合法身份。無線傳感器網絡通信模式中需要采用信息認證來確保數據包的完整性及信息源的合法性。在單跳通信模式中,需要引進單播源認證和廣播源認證。多路徑認證方式解決了多條通信模式下的信息認證。由于WSNs中關鍵節點承擔著較多的任務,所以需要對其位置隱私進行保護。可以在網絡中沒有數據傳輸時發送假包來迷惑攻擊者,延長攻擊者捕獲到匯聚節點的時間,從而對匯聚節點的位置隱私進行了保護。將數據包進行多路徑選擇傳輸也可以對匯聚節點位置隱私進行保護。建立健全入侵檢測體系,層次檢測體系可以提高檢測的準確性,減少資源開銷,可主動發現入侵行為。
2.3解決AdHoc安全問題的技術
在AdHoc網絡中,對路由的全階段都使用認證技術,攻擊者或沒有授權的用戶不能參與到路由的過程中。信任值是一種新的度量用以管理路由協議行為,這個度量被嵌入到控制包中,一個接收節點在收到包時需要提供信任級別才能進行處理和轉發。在每個節點聲明其他節點成為鄰居前需要在兩節點之間進行三輪的認證信息交換。交換失敗時正常節點會忽略其他節點,也不處理由這個節點發送過來的數據包,從而解決了利用高功率發送快速攻擊的非法性問題。
3結語
網絡的飛速發展方便了人們的工作和生活。無線網對這個時代產生更深刻影響。無線網絡采用的數字技術,讓網絡承載更多高質量信息。網絡的便捷性為人們所公認。但由于技術問題,無線網絡也存在安全問題,給用戶帶來經濟損失,讓用戶的隱私泄露。所以研發新的技術至關重要。相信在不久的將來,在技術的成熟的情況下,安全的全球無線網絡將會實現。
作者:杜成龍 單位:廣東科技學院
摘要:
本文對現階段國內無線網絡安全問題進行深入探究,并提出相應的應對策略,希望能夠更好的保證無線網絡的安全,讓人們更加放心地使用。
關鍵詞:
網絡安全;無線網絡;存在問題;解決對策
0引言
無線網絡不但可以充分利用無線網絡技術來取代實體網線,還能夠與有線網絡之間進行相互備份,因此它憑借著自身優勢得到了很好的發展和應用,然而受到實際的影響,使得無線網絡在使用過程中還存在一定的安全問題,因此需要對其進行重視和解決。
1無線網絡在使用期間的存在的安全問題
1.1開放性導致網絡易受攻擊
眾所周知,有線網絡是通過實體網線進行連接的,由于其具有一定的邊界性以及固定性,所以非法攻擊者需要進行物理接入網絡或者是邊界。例如,防護墻或者是網關等,這樣才能夠進入到有線網絡中,所以通過對其接入端口進行管理就能夠對控制非法用戶的實際接入。而無線網絡不具備較為明確防御邊界,加之其自身的開放性,使得信息截取、未經授權就使用相應服務以及惡意的注入相應信息等安全問題頻頻發生。一般情況下在無線網絡中會有分布式拒絕服務問題存在。
1.2移動性導致安全管理男隊增加
有線網絡的使用終端需要與相應接入設備使用線纜進行連接,并且終端不能進行較大范圍的移動,因此在對用戶進行管控時也比較容易。而無線網絡終端可能在其覆蓋范圍內進行隨意移動,并且還能夠進行跨區域的滿足,因此使得接入節點的認真難度系數增加,例如,移動通信系統中會存在接接入認證問題[1]。加之移動節點缺少相應的物理保護,進而很容易發生竊聽破話以及劫持等現象,而非法攻擊人員則可以在任一位置上通過相應的移動設備來進行攻擊,因此在相對較廣的范圍內對其中的某一個特定的移動節點是十分困難的。此外,一旦網絡內部的節點被入侵以后就會使其內部攻擊被嚴重破壞,更加難以進行檢測,同時還需要注意的就是,還需要使用密碼安全算法,這樣能夠有效地減少密鑰泄露的現象發生,防止其在受到攻擊時出現節點妥協現象。
1.3拓撲結構的動態變化使安全方案實施存在困難性
在有線網絡中使用的都是拓撲結構,并且在安全技術以及安全方案方面部署也較為容易。而基于無線網絡環境下,對于動態且變化的拓撲結構來說,其集中管理機制的缺失,導致安全技術在運用和管理過程中,變得更加復雜。
1.4傳輸信號穩定性的缺失導致通信安全機制問題缺失
相比而言,有線網絡本身的傳輸環境是相對穩定且固定的,其傳輸信號質量能夠長時間的保證穩定,而無線網絡的信道特性會跟隨用戶位置的變化而改變,并且還會受到干擾、多徑、衰落以及多普勒頻移等多方面的實際影響,進而導致無線網絡信號出現較為嚴重的波動,嚴重的甚至還會導致通信系統正常運行受到阻礙。同時還有可能會使無線信道自身所具備的競爭共享機制也出現數據丟失或者是損失等情況,因此基于以上情況的存在也對無線網絡本身的安全機制提出了更高層次上的要求。
1.5受到無線網絡終端的影響
有線網絡中包含了眾多的實體設備,例如路由器、防火墻等等,而這些設備不會受到攻擊者的物理接觸,因此有線網絡可以充分利用實體設備來避免攻擊者攻擊。但是無線網絡中沒有網絡實體設備,所以網絡AP就會很容易被攻擊者基礎到,進而導致不真實的AP存在[2]。
2應對無線網絡安全問題的策略
在對無線網絡安全問題進行解決時,首先要有明確的應對思路,然后在這一基礎上使用有效的策略來提升無線網絡的安全性以及穩定性。
2.1對系統進行假設以及約定
這一方法就是對網絡終端、實體等有關節點系統所進行的假設和約定,一般都包含了對各節點間的計算、存儲、通信以及電源等進行相應的假設[3]。而對于相同的安全問題而言,在不同的假設以及約定條件下,會有不同的解決方式。如,在網絡終端節點自身所具備的計算能力是否存在被限制的情況,而可以確認的就是RFID與傳感器二者之間的計算能力是存在區別的,所以部署和執行方面的安全算法也是存在一定卻別,通常情況下傳感器會使用輕量的算法,而RFID中則使用輕量分組算法,進而有效對相應的系統進行假定以及約定。
2.2對網絡體系結構進行分析
想要保證無線網絡安全問題得到很好的解決,就一定要對網絡系統中的拓撲結構、通信類型、網絡規模、業務數據種類、網絡異構性以及時效性等進行明確。并且網絡體系結構與系統假設、約定是構建安全方案的基礎以及約束條件。例如,一般情況下路由安全會受到網絡拓撲結構的實際影響、身份認證會受到節點移動的影響、密鑰管理的好壞也會對網絡規模造成一定的影響,以及加密方式會對業務數據種類造成一定的影響。同時在一定程度上還可能會致使信任模式以及敵手模型的構建。
2.3對網絡業務構成進行分析
在解決網絡安全問題過程中,要對網絡自身的工作流程、操作程序、涉及實體以及業務通信內容等進行分析,并充分考慮這些對象與通信內容是否存在被威脅的可能。例如,網絡業務在構成期間可能會受到相應的安全威脅,加之業務工作程序會需要保護的內容進行確定,所以在某種程度上也就決定了協議中訪問控制的實際對象以及進行交互的雙方。因此對網絡結構進行分析能夠進一步對安全威脅進行確定,從而更好地滿足無線網絡安全的實際需求[4]。
2.4對網絡系統中包含的信任模型進行分析
在對無線網絡中所存在的安全問題進行解決時,一定要明確解決方案中所涉及的對象以及通信鏈路本身的信任程度。簡單來說也就是對通信鏈路以及實體的可信程度進行確定,然后再去思考和確定相應的安全邊界。例如,如果信任模型根據相應的協議進行操作,但是在一定程度上會對協議通信內容等進行泄漏以及篡改。而對于不可信的敵手而言,它們有可能不會按照相應的網絡協議來進行操作,所以這時就需要采用非密碼學等方式來進行解決。如,入侵檢測機制以及信任管理機制等。
2.5對攻擊網絡系統的敵手模型進行分析
在無線網安全受到威脅時不管是內部或是外部攻擊,還是主動或者被動攻擊,都先要對敵手實際能力進行攻擊,并構建一些較為典型的攻擊情境,然后對攻擊后可能產生的后果進行預估,進而保證能夠有效解決安全問題。例如,在攻擊傳感器的諸多方式中,Sybil攻擊以及蟲洞攻擊都可能會使RFID網絡中的隱私問題造成一定的影響。同時也就表明,越是將的敵手模型假設的越強,那么相對的安全性也就越高。此外,如果按照網絡特征來進行分析,就會發現在對網絡的安全威脅以及攻擊模式都存在一定的特有性,因此對于這些威脅進行防御時一般性的安全措施都不能對其進行有效解決,所以就需要按照相應的業務特點以及安全方案的實際情況來進行相應的設計,并且還要充分考慮安全方案的完整性以及創新性。
2.6確定安全威脅的共性需求
一般想要進一步確定威脅共性自身的安全需求,都是基于其自身的角度來進行分析的,其中不僅包含了保密性、可用行、隱私保護、信任管理、完整性以及可靠性等等。同時還需要注意的就是由于無線網絡自身所具備的移動行以及設備穩定性等,都使得需要對隱私保護等方面進行重視和關注。
2.7對安全目標進行設計
要在上述步驟所歸納出來的安全需求、系統假設確定以及網絡體系結構等來確定相應的安全目標,并且還要滿足該目標完成時需要滿足的特性。例如,安全算法必須要對實際計算量的上限、存儲空間上線、容錯本身的健壯性以及安全方案的對容性等進行滿足,只有這樣才能更好的對無線網絡安全問題進行解決。此外還要在此基礎上制定完善的安全體系,提升安全體系的科學性、必要性、完善性以及合理性,進而對其進行提升無線網絡運行的安全性。
3結論
總而言之,隨著無線網絡的覆蓋面積以及使用水平的提升,加之其自身所具有的諸多特性,都使得無線網絡受到安全威脅水平出現上升。因此一定要使用合理的措施來對其進行解決,進而保證無線網絡施工的安全性以及穩定性。
作者:肖偉 單位:湖北省煙草公司仙桃市公司
免责声明以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
特别声明:本站持有《出版物经营许可证》,主要从事期刊杂志零售,不是任何杂志官网,不涉及出版事务,特此申明。
工信部备案:蜀ICP备09010985号-13 川公网安备:51092202000203 统一信用码:91510922MACX24HU41
© 版权所有:四川博文网络科技有限责任公司太和分公司
出版物经营许可证:射行审新出发2023字第016号 股权代码:102064
