前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡安全與防范主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞: 網(wǎng)絡安全、防火墻、入侵檢測系統(tǒng)
近年來,計算機網(wǎng)絡技術(shù)不斷發(fā)展,網(wǎng)絡應用逐漸普及。網(wǎng)絡已成為一個無處不在、無所不用的工具。越來越多的計算機用戶足不出戶則可訪問到全球網(wǎng)絡系統(tǒng)豐富的信息資源,經(jīng)濟、文化、軍事和社會活動也強烈依賴于網(wǎng)絡,一個網(wǎng)絡化的社會已呈現(xiàn)在我們面前。
然而,隨著網(wǎng)絡應用的不斷增多,網(wǎng)絡安全問題也越來越突出,由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素,致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通,研究計算機網(wǎng)絡的安全與防范措施已迫在眉捷。本人結(jié)合實際經(jīng)驗,談一談網(wǎng)絡安全與防范技術(shù)。
1 網(wǎng)絡不安全因素
網(wǎng)絡的安全因素主要有:
(1)網(wǎng)絡資源的共享性。資源共享是計算機網(wǎng)絡應用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯(lián)網(wǎng)需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網(wǎng)絡數(shù)據(jù)包。
(2)網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
(3)網(wǎng)絡操作系統(tǒng)的漏洞。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡服務得以實現(xiàn)的最終載體之一,它不僅負責網(wǎng)絡硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡通信所需要的各種協(xié)議和服務的程序?qū)崿F(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性,決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。
(4)網(wǎng)絡系統(tǒng)設(shè)計的缺陷。網(wǎng)絡設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡設(shè)備的選擇等。網(wǎng)絡設(shè)備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡設(shè)計在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡設(shè)計則會成為網(wǎng)絡的安全威脅。
(5)惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡病毒.是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
2 網(wǎng)絡安全防御方式
網(wǎng)絡安全技術(shù)的主要代表是防火墻和入侵檢測技術(shù)。下面簡要介紹一下這兩種技術(shù)。
2.1 防火墻技術(shù)
網(wǎng)絡安全所說的防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡與因特網(wǎng)之間或與其它外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪,用來保護內(nèi)部網(wǎng)絡。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。
2.1.1 防火墻的主要功能
防火墻的主要功能包括:
(1)防火墻可以對流經(jīng)它的網(wǎng)絡通信進行掃描,從而過濾掉一些攻擊,以免其在目標計算機上被執(zhí)行。
(2)防火墻可以關(guān)閉不使用的端口,而且它還能禁止特定端口的輸出信息。
(3)防火墻可以禁止來自特殊站點的訪問,從而可以防止來自不明入侵者的所有通信,過濾掉不安全的服務和控制非法用戶對網(wǎng)絡的訪問。
(4)防火墻可以控制網(wǎng)絡內(nèi)部人員對Internet上特殊站點的訪問。
(5)防火墻提供了監(jiān)視Internet安全和預警的方便端點。
2.1.2 防火墻的主要優(yōu)點
防火墻的主要優(yōu)點包括:
1)可作為網(wǎng)絡安全策略的焦點
防火墻可作為網(wǎng)絡通信的阻塞點。所有進出網(wǎng)絡的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來,將承擔風險的范圍從整個內(nèi)部網(wǎng)絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心,極大地加強了網(wǎng)絡安全,并簡化了網(wǎng)絡管理。
2)可以有效記錄網(wǎng)絡活動
由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間,即所有傳輸?shù)男畔⒍紩┻^防火墻。所以,防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡使用的多種信息,提供監(jiān)視、管理與審計網(wǎng)絡的使用和預警功能。
3)為解決IP地址危機提供了可行方案
由于Internet的日益發(fā)展及IP地址空間有限,使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。
2.1.3 防火墻的主要缺陷
由于互聯(lián)網(wǎng)的開放性,防火墻也有一些弱點,使它不能完全保護網(wǎng)絡不受攻擊。防火墻的主要缺陷有:
(1)防火墻對繞過它的攻擊行為無能為力。
(2)防火墻無法防范病毒,不能防止感染了病毒的軟件或文件的傳輸,對于病毒只能安裝反病毒軟件。
(3)防火墻需要有特殊的較為封閉的網(wǎng)絡拓撲結(jié)構(gòu)來支持。網(wǎng)絡安全性的提高往往是以犧牲網(wǎng)絡服務的靈活性、多樣性和開放性為代價。
2.1.4 防火墻的分類
防火墻的實現(xiàn)從層次上大體可分為三類:包過濾防火墻,防火墻和復合型防火墻。
1)包過濾防火墻
包過濾防火墻是在IP層實現(xiàn),它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址,目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。
包過濾路由器的最大優(yōu)點是:對用戶來說是透明的,即不需要用戶名和密碼來登陸。
【關(guān)鍵詞】SCADA系統(tǒng);信息安全
成品油管道輸送過程中高度的自動化工業(yè)控制手段是確保管道安全、穩(wěn)定輸送成品油的前提,近年來為了實現(xiàn)實時數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的方便,工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)往往需要直接進行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet,在這種情況下,工業(yè)控制系統(tǒng)也面臨著來自Internet的威脅。因此建立成品油管道企業(yè)SCADA系統(tǒng)的安全防護體系和安全模型,對確保SCADA系統(tǒng)安全穩(wěn)定運行,加速實現(xiàn)“數(shù)字化管道”的進程具有重要的現(xiàn)實意義,是當前管道企業(yè)自動化控制系統(tǒng)建設(shè)中亟待解決的大問題。
一、華南管網(wǎng)生產(chǎn)網(wǎng)現(xiàn)狀及特點
銷售華南分公司作為石化企業(yè)最長的成品油長輸管道,典型的資金和技術(shù)密集型企業(yè),負責西南及珠三角3千多公里的成品油輸送業(yè)務,管道全線由國際上先進的SCADA系統(tǒng)完成對輸油管道生產(chǎn)過程的數(shù)據(jù)采集、監(jiān)視、水擊保護與控制,批量計劃、批次編排與輸送,管道泄漏檢測與定位等任務。華南管網(wǎng)的生產(chǎn)運行以調(diào)控中心操作控制為主,管道生產(chǎn)的連續(xù)性很強,裝置和重要設(shè)備的意外停產(chǎn)都會導致巨大的經(jīng)濟損失,生產(chǎn)管理上更注重安全和平穩(wěn)運行。SCADA控制網(wǎng)絡由DCS、PLC和SCADA等控制系統(tǒng)構(gòu)成,生產(chǎn)網(wǎng)在數(shù)據(jù)采集方面,采用開放性設(shè)計。開放性設(shè)計是當今系統(tǒng)設(shè)計的基本要求,它要求計算機軟硬件廠家共同遵守通用的國際標準,以實現(xiàn)不同廠家設(shè)備之間的通訊。整個華南管網(wǎng)SCADA系統(tǒng)采用OPC協(xié)議、IEC 104協(xié)議、Modbus協(xié)議等通用標準接口與幾十家甚至上百家的第三方設(shè)備通訊,采集足夠的管線運行參數(shù),如液位、溫度、電氣、陰保、密度等信號,確保對管線的有效監(jiān)控。具體架構(gòu)見圖1所示。
在通信方式上,為確保監(jiān)控數(shù)據(jù)及時、準確、安全的傳輸,采用沿管線敷設(shè)通信光纜線路方式,建立基于光同步數(shù)字傳輸系統(tǒng)下多業(yè)務傳輸平臺(MSTP)的綜合性通信網(wǎng)絡,通過MSTP通信信道(主用信道)和公網(wǎng)SDH 2M信道(備用信道)方式進行數(shù)據(jù)傳輸和保護,以實現(xiàn)對沿線站場及線路SCADA實施遠距離的數(shù)據(jù)采集、監(jiān)視控制、安全保護和統(tǒng)一調(diào)度管理。在數(shù)據(jù)交換上,采用思科路由交換設(shè)備構(gòu)建,使用EIGRP路由協(xié)議作為主干路由協(xié)議,負責整個網(wǎng)絡的路由計算,具體網(wǎng)絡拓撲見圖2。
二、生產(chǎn)網(wǎng)絡安全隱患分析
1.操作系統(tǒng)安全漏洞
目前公司主要采用通用計算機(PC)+Windows的技術(shù)架構(gòu),操作系統(tǒng)使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。當今的DCS廠商更強調(diào)開放系統(tǒng)集成性,各DCS廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù),而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢。PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)操作站(HMI)的主流,任何一個版本的Windows自以來都在不停的漏洞補丁,為保證過程控制系統(tǒng)相對的獨立性,現(xiàn)場工程師通常在系統(tǒng)正式運行后不會對Windows平臺打任何補丁,更為重要的是打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試,存在安全運行風險。但是與之相矛盾的是,系統(tǒng)不打補丁就會存在被攻擊的漏洞,即使是普通常見病毒也會遭受感染,可能造成Windows平臺乃至控制網(wǎng)絡的癱瘓。
2.網(wǎng)絡通信協(xié)議存在安全漏洞
OPC協(xié)議、Modbus協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制網(wǎng)絡中,隨之而來的通信協(xié)議漏洞問題也日益突出。例如,OPCClassic協(xié)議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設(shè)計的,極易受到攻擊,并且OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來了極大的挑戰(zhàn)。
3.殺毒軟件漏洞
為了保證工控應用軟件的可用性及穩(wěn)定性,目前部分工控系統(tǒng)操作站不安裝殺毒軟件。即使安裝了殺毒軟件,在使用過程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點是,其病毒庫需要不定期的更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的,這容易導致大規(guī)模的病毒攻擊,特別是新病毒。
4.應用軟件漏洞
由于應用軟件多種多樣,很難形成統(tǒng)一的防護規(guī)范以應對安全問題;另外當應用軟件面向網(wǎng)絡應用時,就必須開放其應用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性?;ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,那么后果不堪設(shè)想。
5.缺乏有效的網(wǎng)絡監(jiān)控手段
缺乏統(tǒng)一的網(wǎng)絡和業(yè)務系統(tǒng)監(jiān)控平臺,主要體現(xiàn)在以下四個方面。
第一是隨著生產(chǎn)網(wǎng)絡不斷拓寬,對網(wǎng)絡的依賴越來越大,要求對網(wǎng)絡管理的內(nèi)容日趨增多,包括網(wǎng)絡管理、性能管理、應用管理、使用管理、安全系統(tǒng)等內(nèi)容。第二是業(yè)務服務的規(guī)模增大,規(guī)劃、維護、安全、管理等分工更加細致,管理迫切要求對業(yè)務服務管理和維護建立統(tǒng)一的、規(guī)范的、體系化的、層次化的服務管理。第三是多設(shè)備、多系統(tǒng)的運行信息、告警信息的多樣化,需要對這些信息進行集中化的管理,進行智能化的分析、統(tǒng)計,得出有利于網(wǎng)絡管理和維護的數(shù)據(jù),便于更有效、更快捷的解決問題。第四是管理人員不斷增多,管理流程日益復雜,管理成本不斷上升,技術(shù)管理體系需要完善。
6.網(wǎng)絡未有效隔離
公司生產(chǎn)網(wǎng)與Internet網(wǎng)間缺乏安全有效的隔離。隨著互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團信息化整合的加強,中石化總部提出了生產(chǎn)數(shù)據(jù)集中采集,通過廣域網(wǎng)實現(xiàn)集團內(nèi)部資源共享、統(tǒng)一集團管理的需求,企業(yè)信息化網(wǎng)絡不再是單純意義上的Intranet,而Internet接入也成為必然。Internet接入減弱了控制系統(tǒng)、SCADA等系統(tǒng)與外界的隔離,容易造成蠕蟲、木馬等病毒的威脅向工業(yè)控制系統(tǒng)擴散。
7.缺乏有效的訪問控制手段
操作站(PC)和服務器提供了過多的硬件接口,光盤、移動硬盤等存儲介質(zhì)未經(jīng)安全檢測就使用給網(wǎng)絡安全帶來了隱患;筆記本電腦等非生產(chǎn)終端設(shè)備未經(jīng)過準入許可,通過網(wǎng)絡節(jié)點接入后,在未授權(quán)的情況下便可以訪問和操控控制網(wǎng)絡系統(tǒng),也存在安全隱患。
三、生產(chǎn)網(wǎng)絡安全方案設(shè)計原則
針對以上存在的安全隱患,通過目前大型企業(yè)網(wǎng)絡設(shè)計及建設(shè)經(jīng)驗,結(jié)合生產(chǎn)網(wǎng)絡的特點,生產(chǎn)網(wǎng)絡系統(tǒng)在安全方案設(shè)計、規(guī)劃過程中,應遵循以下原則:
綜合性、整體性原則:應用系統(tǒng)工程的觀點、方法,分析網(wǎng)絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡,包括個人、設(shè)備、軟件、數(shù)據(jù)等,這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。
需求、風險、代價平衡的原則:對任一網(wǎng)絡,絕對安全難以達到,也不一定是必要的。對一個網(wǎng)絡進行實際研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等),并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。
一致性原則:一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期(或生命周期)同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。安全的網(wǎng)絡系統(tǒng)設(shè)計(包括初步或詳細設(shè)計)及實施計劃、網(wǎng)絡驗證、驗收、運行等,都要有安全的內(nèi)容及措施。實際上,在網(wǎng)絡建設(shè)初期就考慮網(wǎng)絡安全對策,比在網(wǎng)絡建設(shè)好后再考慮安全措施,不但容易,且花費也少得多。
分步實施原則:由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣,隨著網(wǎng)絡規(guī)模的擴大及應用的增加,網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施,即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求,亦可節(jié)省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
四、生產(chǎn)網(wǎng)絡安全保障的主要方法和措施
華南管網(wǎng)生產(chǎn)網(wǎng)的安全建設(shè)前提必須是確保生產(chǎn)應用系統(tǒng)的正常穩(wěn)定,由于目前控制系統(tǒng)應用軟件對網(wǎng)絡穩(wěn)定性及計算機性能要求較高,安全系統(tǒng)建設(shè)應基于不增加系統(tǒng)負擔,不過大占用網(wǎng)絡帶寬,不因安全設(shè)備的安裝增加故障點的前提考慮,盡可能進行網(wǎng)絡加固監(jiān)控,實現(xiàn)對網(wǎng)絡安全事件的“事前、事中、事后”全程監(jiān)控防范?,F(xiàn)就生產(chǎn)網(wǎng)的建設(shè)提出自己的想法和建議,基本架構(gòu)及方法如圖3。
1.采用網(wǎng)絡隔離技術(shù),實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互
隔離防護系統(tǒng)建設(shè)必須遵循“安全隔斷、適度交換”的設(shè)計原則,當用戶的網(wǎng)絡需要保證高強度的安全,同時又與其它不信任網(wǎng)絡進行信息交換的情況下,采用數(shù)據(jù)通道控制技術(shù),在保證內(nèi)網(wǎng)系統(tǒng)和信息安全的前提下,實現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)的安全、快速交換。采用多重安全機制、綜合防范策略,徹底避免來自操作系統(tǒng)、命令、協(xié)議等已知和未知的攻擊。目前此類安全產(chǎn)品以隔離網(wǎng)閘為代表,通過專用硬件使兩個網(wǎng)絡在物理不連通的情況下實現(xiàn)數(shù)據(jù)的安全傳輸。
2.建立綜合網(wǎng)管系統(tǒng),全面完整掌握網(wǎng)絡運行狀況
目前生產(chǎn)網(wǎng)所要管理的資源包括網(wǎng)絡、主機、安全、數(shù)據(jù)庫、中間件、業(yè)務系統(tǒng)等,通過采集以上資源全部告警狀態(tài)信息、配置信息及性能信息,并與通信資源庫進行關(guān)聯(lián),實現(xiàn)對全網(wǎng)的拓撲管理、配置信息管理、業(yè)務管理、故障管理、性能管理等功能。為了便于運行人員快速熟悉和掌握新的統(tǒng)一平臺的使用,廣泛采用了功能菜單和圖形化界面相結(jié)合的操作界面。
3.建立網(wǎng)絡入侵檢測系統(tǒng)
入侵檢測系統(tǒng)IDS(Intrusion Detec-tion System)提供一種實時的檢測,對網(wǎng)絡流量中的惡意數(shù)據(jù)包進行檢測,發(fā)現(xiàn)異常后報警并動態(tài)防御。由于考慮到生產(chǎn)網(wǎng)的可用性及穩(wěn)定性,故在服務器及操作站中不加裝軟件防火墻及網(wǎng)絡流量檢測軟件,而是根據(jù)接口流量及帶寬,在各管理處及輸油站網(wǎng)絡的交換機上鏈路出口、核心交換匯聚接口及與外網(wǎng)連接接口均部署IDS。為避免因設(shè)備故障影響網(wǎng)絡通斷,將IDS以旁路并聯(lián)方式連接到網(wǎng)絡中,對路由器或交換機做端口鏡像,將需要監(jiān)控的端口流量鏡像后傳輸IDS后進行分析,最終通過IDS服務器完成集中監(jiān)控、策略統(tǒng)一配置和報表綜合管理等功能,實現(xiàn)從事前警告、事中防護到事后取證的一體化監(jiān)控。
4.建立嚴格的準入控制
針對接入層用戶的安全威脅,特別是來自應用層面的安全隱患,防止黑客對核心層設(shè)備及服務器的攻擊,我們必須在接入層設(shè)置強大的安全屏障,從網(wǎng)絡接入端點的安全控制入手,通過安全客戶端、安全策略服務器、網(wǎng)絡設(shè)備以及第三方軟件的聯(lián)動,對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略,加強網(wǎng)絡用戶終端的主動防御能力,并嚴格控制終端用戶的網(wǎng)絡使用行為,保護網(wǎng)絡安全。整個系統(tǒng)應包括準入控制手段、控制支撐、控制決策和應用接口4個層面。
5.通過桌面安全實現(xiàn)補丁及防病毒軟件升級
操作站及服務器等PC設(shè)備考慮到生產(chǎn)網(wǎng)的安全,不直接Internet直接下載操作系統(tǒng)補丁及防病毒軟件補丁,而在生產(chǎn)網(wǎng)內(nèi)部建立桌面安全系統(tǒng)與外網(wǎng)連接,通過桌面安全系統(tǒng)實現(xiàn)對公司生產(chǎn)網(wǎng)內(nèi)PC機的控制管理,從應用程序管理、外設(shè)管理、軟件分發(fā)、補丁管理、文件操作審計、遠程管理等多方面對PC機各種資源要素進行全程控制、保護和審計。確保桌面計算機運行的可靠性、完整性和安全性,提高PC機維護效率,從而達到自動化管理和信息安全監(jiān)控的整體目的。
五、結(jié)論
隨著計算機技術(shù)的發(fā)展,計算機病毒制造技術(shù)和黑客攻擊技術(shù)也在不斷的發(fā)展變化,越來越多的安全事件的發(fā)生,我國的工業(yè)基礎(chǔ)設(shè)施面臨著前所未有的安全挑戰(zhàn)。雖然我們在生產(chǎn)網(wǎng)安全建設(shè)和防范過程中積累了一定經(jīng)驗,但我們?nèi)孕柩芯亢吞剿?,不斷學習和掌握日新月異的網(wǎng)絡安全新知識,綜合運用多種安全技術(shù)來加強安全策略和安全管理,從而建立起一套真正適合企業(yè)生產(chǎn)網(wǎng)的安全網(wǎng)絡體系。
參考文獻
[1]戴宗坤.信息安全實用技術(shù)[M].重慶大學出版社,2005.
今日的世界已進入了網(wǎng)絡信息高速流通的時代,它仿佛使地球變小了,把世界各地的距離拉近。隨著計算機技術(shù)的發(fā)展,網(wǎng)絡進入了千家萬戶。本文首先概括了網(wǎng)絡信息安全的概念和當前網(wǎng)絡安全解決方案的局限性,然后對網(wǎng)絡安全防范體系及設(shè)計原則進行了系統(tǒng)分析。
【關(guān)鍵詞】網(wǎng)絡安全 網(wǎng)絡攻擊
1 引言
在網(wǎng)絡信息高度發(fā)達的今天,網(wǎng)絡已經(jīng)成為信息交流便利和開放的代名詞,幾年前不可思議的事情今天已成為現(xiàn)實。然而伴隨計算機與通信技術(shù)的迅猛發(fā)展,網(wǎng)絡攻擊與防御技術(shù)也在循環(huán)遞升,矛與盾的較量會長時間的進行下去。原本網(wǎng)絡固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁,網(wǎng)絡安全已變成越來越棘手的問題。據(jù)有關(guān)部門統(tǒng)計,網(wǎng)絡犯罪幾年來呈上升趨勢。在此,筆者僅談一些關(guān)于網(wǎng)絡安全及網(wǎng)絡攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。
2 當前主要影響網(wǎng)絡安全的管理因素和技術(shù)因素
隨著計算機網(wǎng)絡的普及,網(wǎng)絡安全問題成了人們關(guān)心的焦點,影響計算機網(wǎng)絡安全的主要因素有:
(1)TCP/IP的脆弱性。作為所有網(wǎng)絡安全協(xié)議基石的TCP/IP協(xié)議,其本身對于網(wǎng)絡安全性考慮欠缺,這就使攻擊者可以利用它的安全缺陷來實施網(wǎng)絡攻擊。
(2)軟件系統(tǒng)的不完善性造成了網(wǎng)絡安全漏洞,給攻擊者打開方便之門。
(3)網(wǎng)絡結(jié)構(gòu)的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術(shù),因此當兩臺主機進行通信時,攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機,就可以劫持用戶的數(shù)據(jù)包。
(4)缺乏安全意識和策略。由于人們普遍缺乏安全意識,網(wǎng)絡中許多安全屏障形同虛設(shè)。如為了避開防火墻的額外認證,直接進行PPP連接,給他人留下可乘之機等。
(5)管理制度不健全,網(wǎng)絡管理、維護任其自然。
(6)由于條塊分割的利益分配問題所帶來的網(wǎng)絡安全問題。
3 目前解決網(wǎng)絡安全問題存在著技術(shù)和管理的缺失
網(wǎng)絡安全防范措施主要有防火墻、口令驗證系統(tǒng)、加密系統(tǒng)等,應用最廣泛的是防火墻技術(shù)。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一,其主要功能就是控制對受保護網(wǎng)絡的非法訪問,它通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險立足點為。但也有其明顯的局限性,如:
(1)防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外,而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明,網(wǎng)絡上的安全攻擊事件有70%來自內(nèi)部攻擊。
(2)防火墻難于管理和配置,易造成安全漏洞。防火墻的管理和配置,易造成安全漏洞。防火墻的管理及配置相當復雜,一般來說,由多個系統(tǒng)(路由器、過濾器、服務器、網(wǎng)關(guān)、保壘主機)組成的防火墻,管理上有所疏忽是在所難免的。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明,30%的入侵發(fā)生在有防火墻的情況下。
(3)防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機器的IP地址而不是用戶身份,這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略,限制了企業(yè)網(wǎng)的物理范圍。
4 當前設(shè)計網(wǎng)絡安全防范體系應遵循的原則
根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM(“系統(tǒng)安全工程能力成熟模型”)和ISO17799(信息安全管理標準)等國際標準,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面,網(wǎng)絡安全防范體系在整體設(shè)計過程中應遵循以幾項原則:
(1)短板理論在網(wǎng)絡信息安全技術(shù)方面的應用。網(wǎng)絡信息安全的木桶原則是指對信息均衡、全面的進行保護?!澳就暗淖畲笕莘e取決于最短的一塊木板” 。網(wǎng)絡信息系統(tǒng)是一個復雜的計算機系統(tǒng),它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性,尤其是多用戶網(wǎng)絡系統(tǒng)自身的復雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則”,必然在系統(tǒng)中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設(shè)計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設(shè)計的首要目的是防止最常用的攻擊手段,根本目的是提高整個系統(tǒng)的“安全最低點”的安全性能。
(2)防止以偏概全的網(wǎng)絡信息安全的整體性原則。要求在網(wǎng)絡發(fā)生被攻擊、破壞事件的情況下,必須盡可能地快速恢復網(wǎng)絡信息中心的服務,減少損失。因此,信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應的防護措施,避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況,及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少供給的破壞程度。
(3)實踐中的安全性評價與經(jīng)濟可行和安全性的平衡原則。對任何網(wǎng)絡,絕對安全難以達到,也不一定是必要的,所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設(shè)計要正確處理需求、風險與代價的關(guān)系,做到安全性與可用性相容,做到組織上可執(zhí)行。評價信息是否安全,沒有絕對的評判標準和衡量指標,只能決定于系統(tǒng)的用戶需求和具體的應用環(huán)境,具體取決于系統(tǒng)的規(guī)模和范圍,系統(tǒng)的性質(zhì)和信息的重要程度。
5 結(jié)束語
由于互聯(lián)網(wǎng)絡的開放性和通信協(xié)議的安全缺陷,以及在網(wǎng)絡環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點,網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞,網(wǎng)絡受到的安全攻擊非常嚴重,因此建立有效的網(wǎng)絡安全防范體系就更為迫切。實際上,保障網(wǎng)絡安全不但需要參考網(wǎng)絡安全的各項標準以形成合理的評估準則,更重要的是必須明確網(wǎng)絡安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計的基本原則,分析網(wǎng)絡系統(tǒng)的各個不安全環(huán)節(jié),找到安全漏洞,做到有的放矢。
參考文獻
[1]朱理森,張守連.計算機網(wǎng)絡應用技術(shù)[M].北京:專利文獻出版社,2001.
[2]劉占全.網(wǎng)絡管理與防火墻[M].北京:人民郵電出版社,1999.
【關(guān)鍵詞】計算機網(wǎng)絡;病毒防范;安全
一、計算機網(wǎng)絡安全
計算機網(wǎng)絡開放與安全問題本身就是一種矛盾,計算機網(wǎng)絡開放與日俱增,計算機網(wǎng)絡安全問題也變得日益突出,其原因在以下幾個方面:
1、計算機病毒的威脅。隨著計算機得迅猛發(fā)展,病毒技術(shù)也在發(fā)展,而且在某些方面甚至超過網(wǎng)絡安全技術(shù)。
2、黑客攻擊。黑客攻擊主要有兩種方式:一種是網(wǎng)絡攻擊,以各種方式破壞對方計算機的數(shù)據(jù),造成數(shù)據(jù)丟失與系統(tǒng)癱瘓,第二種是網(wǎng)絡偵查,就是在對方不知道的情況下,截獲,竊取和破譯機密信息。
3、網(wǎng)絡釣魚。隨著網(wǎng)絡購物的興起,給廣大市民帶來便利的同時,一些不法分子也有機可乘,不法分子利用偽造的網(wǎng)站來進行欺詐活動,詐騙者會把自己偽裝成網(wǎng)絡銀行,使受騙者毫不知情的泄露自己的銀行卡號和密碼。
4、系統(tǒng)漏洞。網(wǎng)絡系統(tǒng)幾乎都存在漏洞,這些漏洞是系統(tǒng)自帶的,比如Windows,UNIX等操作系統(tǒng)都存在著漏洞。局域網(wǎng)用戶使用的盜版軟件也會帶來漏洞。網(wǎng)絡攻擊性很強,影響范圍廣,是網(wǎng)絡問題的頭號殺手,因為TCP/IP協(xié)議不完善和UDP協(xié)議不可靠,造成網(wǎng)絡漏洞,但這些問題并不是不可以解決,可以完善管理制度和有效地制度方法,極大程度減少風險,做到防患于未然。
二、計算機網(wǎng)絡安全的防范措施
1、培養(yǎng)人才開發(fā)網(wǎng)絡先進技術(shù)。加大對網(wǎng)絡人才的培養(yǎng)和技術(shù)開發(fā)投資非常有必要,技術(shù)力量的強大是和諧網(wǎng)絡的保障也是對不法分子的威脅。
2、強化安全意識加強管理。網(wǎng)絡安全七分靠管理三分靠技術(shù),說明管理對安全問題非常重要,為加強管理可以從以下幾個方面入手:設(shè)置密碼,為設(shè)備和主機設(shè)置足夠長,不易被破解的密碼,并且定期更換,控制路由器的訪問權(quán)限,超級管理密碼盡量讓少數(shù)人知道。
3、了解攻擊途徑。當了解到網(wǎng)絡攻擊的途徑,才能從根本上解決安全問題,網(wǎng)絡遭到攻擊的原因有:利用協(xié)議收集信息。利用協(xié)議或工具收集網(wǎng)絡系統(tǒng)中的系統(tǒng)相關(guān)信息。
4、采取層層防范。采取層層防范把攻擊攔截在最外層,劃分VLAN將用戶與系統(tǒng)隔離;路由器上劃分網(wǎng)段來將用戶與系統(tǒng)隔離;配置防火墻消除DOS攻擊。
三、計算機病毒概念
計算機病毒簡單來說是一種計算機可執(zhí)行程序,與網(wǎng)站和播放器一樣,但它又與我們使用的程序不同它由復制部分、破壞部分與隱蔽部分組成,它往往隱藏在某些程序中,也可自身拷貝插入到程序中,當它被執(zhí)行時,就會破壞計算機正常運行,影響計算機的運行速度,甚至破壞系統(tǒng)中的程序、數(shù)據(jù)文件和硬件設(shè)備,使計算機癱瘓。計算機病毒具有傳染性、隱蔽性、破壞性、寄生性等特征。
3.1計算機病毒傳播途徑
計算機病毒傳播途徑有以下幾個方面:U盤,U盤作為數(shù)據(jù)保存和傳播的存儲介質(zhì),給我們的生活帶來了便利但也為病毒傳播也帶來了方便;QQ,微信等聊天軟件發(fā)展迅速,加快了病毒傳播,也擴大了病毒傳播范圍。
3.2淺析病毒防范措施
如今計算機病毒已經(jīng)成為威脅計算機的主要形式,加強病毒防范可以提高網(wǎng)絡安全水平,防范措施有以下幾種:1)匿名方式瀏覽網(wǎng)頁?,F(xiàn)在的網(wǎng)站為了了解用戶喜好會利用cookie追蹤用戶個各種活動,這種技術(shù)容易造成個人信息泄露,所以瀏覽網(wǎng)站時可以關(guān)閉cookie的選項。在網(wǎng)站交易時仔細閱讀意隱私保護政策,防止網(wǎng)站出售個人信息。2)安裝防火墻。防火墻是保護信息安全的軟件,可以限制數(shù)據(jù)通過,防火墻可以將外網(wǎng)和內(nèi)網(wǎng)隔離來提高網(wǎng)絡安全。用戶可以利用防火墻的防線設(shè)置保護級別,對重要信息保密,防止因為疏忽泄密信息。3)不打開陌生郵件。郵件作為日常交流工具的同時也成為了病毒傳播的載體,用戶打開郵件后病毒會自動向通訊錄好友發(fā)送病毒郵件,所以為了個人信息安全盡量不打開陌生郵件,安裝一個殺毒軟件定期掃描計算機,及時發(fā)現(xiàn)漏洞,防范病毒。4)更新系統(tǒng)補丁。任何系統(tǒng)都帶有安全漏洞,病毒就是利用系統(tǒng)的缺陷來攻擊使用計算機的用戶,用戶要及時更新系統(tǒng)的補丁,進行系統(tǒng)升級,例如微軟公司經(jīng)常會定期系統(tǒng)補丁來對Windows進行修復。
四、結(jié)語
隨著計算機技術(shù)的發(fā)展,網(wǎng)絡安全問題和病毒的傳播我們不容忽視,只要加強個人網(wǎng)絡防范意識,并且采取有效措施,就會大大減少危害,為我們帶來優(yōu)質(zhì)的生活。
參考文獻
[1]王燕.王永波.網(wǎng)絡環(huán)境下計算機病毒新特點與防范措施[J].福建電腦.2010.(2).
[2]王能輝.淺談計算機病毒的防范[J].硅谷.2010.(7).
Abstract: The development of the campus network technology causes it more and more complex, and the data on network is more and more large. People’s dependence on the network for the daily events has increased. However, the network security issues brings kinds of inconvenience, which is increasingly emerges. Starting from the actual situation of the campus network security, this article presents the causes and the security and protection technology of the campus network security problems.
關(guān)鍵詞: 校園網(wǎng);網(wǎng)絡安全;網(wǎng)絡安全防范
Key words: campus network;network security;network security and protection
中圖分類號:G647文獻標識碼:A文章編號:1006-4311(2012)09-0134-01
0引言
隨著網(wǎng)絡技術(shù)的發(fā)展、特別是隨著internet與intranet技術(shù)的成熟,越來越多的學校都建立了自己的校園網(wǎng)絡系統(tǒng),但是隨著校園網(wǎng)絡的應用越來越廣泛、涉及的部門越來越多,學校在享受網(wǎng)絡帶來的便利同時也面臨著日益嚴重的網(wǎng)絡安全問題。
1影響校園網(wǎng)絡安全的主要原因
影響一個校園網(wǎng)絡安全的因素是多方面的,這既包括網(wǎng)絡系統(tǒng)所存在的各種來自外在的威脅,也包括網(wǎng)絡系統(tǒng)內(nèi)部存在的安全弱點。歸納起來大體有以下幾個方面。
1.1 人為因素的影響人為安全因素包括用戶由于操作不當造成數(shù)據(jù)丟失、破壞或者應用系統(tǒng)的破壞、系統(tǒng)或者應用的用戶由于口令選擇不當而造成安全漏洞、用戶無意泄漏口令或者其它敏感信息、由于對于網(wǎng)絡系統(tǒng)訪問控制策略的不理解或誤操作將敏感信息暴露給對該信息沒有訪問權(quán)限的人員、系統(tǒng)管理員或者安全管理員,由于安全配置不當或者疏忽而造成網(wǎng)絡系統(tǒng)安全漏洞等等。
人為安全威脅是影響校園網(wǎng)絡校園網(wǎng)絡安全的最大威脅,主要包括兩個方面的威脅:一是來自網(wǎng)絡內(nèi)部用戶的威脅。網(wǎng)絡內(nèi)部用戶通常是指根據(jù)網(wǎng)絡設(shè)計目標和管理規(guī)定,有權(quán)使用部分或者全部功能的用戶。對于校園網(wǎng)絡而言,內(nèi)部用戶通常由學生和教職人員構(gòu)成。二是網(wǎng)絡外部用戶。當然校園網(wǎng)絡受到的攻擊和破壞可能來源于外部的人員,更有可能來源于網(wǎng)絡用戶內(nèi)部。
1.2 網(wǎng)絡系統(tǒng)的安全漏洞校園網(wǎng)絡中絕大多數(shù)的應用和服務都是通過軟件系統(tǒng)來完成的,在這些軟件系統(tǒng)中存在的安全漏洞是影響到校園網(wǎng)絡安全的重要因素之一。通常說來,校園網(wǎng)絡中的軟件可以分為兩類,即操作系統(tǒng)軟件和應用系統(tǒng)軟件,在這兩類軟件中所存在的安全因素通常來源于兩個方面,一是軟件系統(tǒng)本身體系結(jié)構(gòu)的不安全,一是軟件系統(tǒng)在編程過程中由于疏忽或者其它原因造成的軟件bug而引起的安全漏洞。
1.3 計算機病毒的破壞計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。通常其具有破壞性、隱蔽性、傳染性等特征。
1.4 安全策略管理的影響安全配置不當造成安全漏洞,例如:防火墻的配置不合理,其作用無法發(fā)揮。許多校園網(wǎng)絡在防火墻配置上增大了訪問權(quán)限,忽視了這些權(quán)限可能會被其他人員濫用。網(wǎng)絡入侵的主要目的是獲得使用系統(tǒng)的各種權(quán)限,或者是作為進一步進入其他系統(tǒng)的跳板,或者惡意破壞這個系統(tǒng),使其毀壞而喪失服務能力。對特定的網(wǎng)絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或?qū)ζ溥M行正確配置,否則,安全隱患始終存在。
2解決校園網(wǎng)絡安全的主要技術(shù)手段
2.1 防病毒技術(shù)殺毒軟件是計算機中最為常見的工具軟件,也是使用的最為廣泛的計算機安全防范技術(shù),殺毒軟件一般分為單機版和網(wǎng)絡版兩種。單機版對于個人用戶或小型企業(yè)基本能滿足需要,但對于校園網(wǎng)絡單機版就只適合在桌面機上部署,因此在校園網(wǎng)絡中殺毒軟件可以采取網(wǎng)絡版+單機版的部署方案,即對于一般的桌面用戶可由用戶根據(jù)自己的意愿進行部署,對于主干網(wǎng)絡設(shè)備及重要的服務器、客戶端可由網(wǎng)絡管理員進行統(tǒng)一的網(wǎng)絡版部署。
2.2 VLAN(虛擬局域網(wǎng))技術(shù)VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,通過虛擬交換技術(shù)構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡的邏輯網(wǎng)絡。學??梢愿鶕?jù)實際需要劃分出多個安全等級不同的VLAN。對于學校而言,由于計算機部署范圍比較廣泛且位置相對固定,在進行VLAN劃分的時候可以采取給予IP地址和MAC地址混合的劃分方式,既具備一定的靈活性,也便于網(wǎng)絡管理員的集中控制。
2.3 防火墻技術(shù)防火墻是現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎(chǔ)融合的產(chǎn)物,是使用較早的、也是目前使用較廣泛的網(wǎng)絡安全防范產(chǎn)品之一。它可以是軟件或硬件設(shè)備的組合,通常被用來進行內(nèi)部網(wǎng)絡安全的防護。防火墻可以通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理,在不同網(wǎng)絡之間建立一個安全網(wǎng)關(guān),對網(wǎng)絡數(shù)據(jù)進行過濾(允許/拒絕),控制數(shù)據(jù)包的進出,封堵某些禁止行為,提供網(wǎng)絡使用狀況。對網(wǎng)絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統(tǒng)的破壞。
2.4 網(wǎng)絡冗余、備份技術(shù)隨著高校對于網(wǎng)絡的依賴性日益增加,學校中越來越多的工作流程都將在校園網(wǎng)中實現(xiàn),這也導致網(wǎng)絡中的數(shù)據(jù)量日益增加。雖然我們可以通過各種技術(shù)手段來強化校園網(wǎng)絡安全,但只要網(wǎng)絡存在我們就無法徹底避免網(wǎng)絡安全事故的發(fā)生,同時我們也無法避免一些由于自然災害等不可抗拒的因素導致的網(wǎng)絡故障,因此能夠在故障出現(xiàn)后及時的修復故障和恢復數(shù)據(jù)就顯得極為重要。
3結(jié)論
網(wǎng)絡安全問題是一個無法回避又無法避免的問題,隨著網(wǎng)絡技術(shù)的不斷發(fā)展,更多的網(wǎng)絡安全隱患將被發(fā)現(xiàn),我們永遠無法建立絕對安全的網(wǎng)絡,只有通過不斷的技術(shù)完善和先進的管理模式相結(jié)合,才能打造出符合高校自身特點的安全、穩(wěn)定的現(xiàn)代化校園網(wǎng)絡。
參考文獻:
[1]王麗.宋丹.新媒體環(huán)境下大學生價值觀教育初探——以網(wǎng)絡媒介和移動通訊媒介為例[J].價值工程,2011,(28).
關(guān)鍵詞:計算機;網(wǎng)絡安全;防范技術(shù)
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 14-0000-01
Brief Introduction on the Security and Prevention of Computer Network
Chen Zhengyao
(Yangjiang District Cadastral Management Office,Yangjiang529500,China)
Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.
Keywords:Computer;Network security;Prevention technology
一、計算機網(wǎng)絡安全的概念
國際標準化組織將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護,保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網(wǎng)絡安全性的含義是信息安全的引申,即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。
從本質(zhì)上來講,網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。
二、影響計算機網(wǎng)絡安全的主要因素
人為因素是對計算機信息網(wǎng)絡安全威脅最大的因素。計算機網(wǎng)絡不安全因素主要表現(xiàn)在以下幾個方面:
(一)互聯(lián)網(wǎng)絡的不安全性。(1)網(wǎng)絡的開放性,網(wǎng)絡的技術(shù)是全開放的,使得網(wǎng)絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網(wǎng)絡通信協(xié)議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。(2)網(wǎng)絡的國際性,意味著對網(wǎng)絡的攻擊不僅是來自于本地網(wǎng)絡的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客,所以,網(wǎng)絡的安全面臨著國際化的挑戰(zhàn)。(3)網(wǎng)絡的自由性,大多數(shù)的網(wǎng)絡對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。
(二)操作系統(tǒng)存在的安全問題。操作系統(tǒng)是作為一個支撐軟件,提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻,都給網(wǎng)絡安全留下隱患。
(三)來自內(nèi)部網(wǎng)用戶的安全威脅。來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅,使用者缺乏安全意識,許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少,并且,如果系統(tǒng)設(shè)置錯誤,很容易造成損失,管理制度不健全,人為因素造成的安全漏洞無疑是整個網(wǎng)絡安全性的最大隱患。
(四)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
三、確保計算機網(wǎng)絡安全的對策
網(wǎng)絡安全不僅是技術(shù)問題,更是一個管理問題,它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。我們可從加強管理和提高網(wǎng)絡安全技術(shù)兩方面確保計算機網(wǎng)絡安全。
(一)管理層面的對策。(1)建立安全管理制度。建立健全各種安全機制、各種網(wǎng)絡安全制度,加強網(wǎng)絡安全教育和培訓,提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法。(2)加強網(wǎng)絡訪問控制。訪問控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制以及屬性控制等多種手段。
(二)技術(shù)層面的對策。(1)網(wǎng)絡病毒的防范。要使用全方位的防病毒產(chǎn)品,針對網(wǎng)絡中所有可能的病毒攻擊點設(shè)置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網(wǎng)絡免受病毒的侵襲。(2)配置防火墻。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,根據(jù)不同網(wǎng)絡的安裝需求,做好防火墻內(nèi)服務器及客戶端的各種規(guī)則配置,更加有效利用好防火墻。(3)采用入侵檢測系統(tǒng)。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統(tǒng)的安全。在學校、政府機關(guān)、企事業(yè)網(wǎng)絡中采用入侵檢測技術(shù),最好采用混合入侵檢測,在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),則會構(gòu)架成一套完整立體的主動防御體系,有的入侵檢測設(shè)備可以同防火強進行聯(lián)動設(shè)置。(4)應用密碼技術(shù)。應用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。(5)Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網(wǎng)絡,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應用的內(nèi)容,建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容,及時向上級安全網(wǎng)管中心報告,采取措施。(6)漏洞掃描系統(tǒng)。面對大型網(wǎng)絡的復雜性和不斷變化的情況,僅僅依靠網(wǎng)絡管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。(7)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng),安全保護的對象是計算機,而安全保護的主體則是人,應重視對計算機網(wǎng)絡安全的硬件產(chǎn)品開發(fā)及軟件研制,建立一個好的計算機網(wǎng)絡安全系統(tǒng),也應注重樹立人的計算機安全意識,才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點,才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。
參考文獻:
[1]孟祥初.網(wǎng)絡安全重在流程[N].通信產(chǎn)業(yè)報,2007
關(guān)鍵詞:計算機網(wǎng)絡安全;計算機病毒;互聯(lián)網(wǎng)
在計算機發(fā)展的過程中,計算機網(wǎng)絡安全和計算機病毒帶來的威脅是一個迫切需要解決的問題。計算機網(wǎng)絡技術(shù)從誕生到發(fā)展的時間雖然不長,卻對整個社會生活帶來了極大的影響。一旦計算機網(wǎng)絡安全出現(xiàn)漏洞,造成了算機病毒的入侵,會對計算機安全造成極其嚴重的威脅,產(chǎn)生極其嚴重的破壞。因此必須采取有效的措施來提升計算機的安全性,防御計算機病毒的入侵,保障互聯(lián)網(wǎng)技術(shù)的健康穩(wěn)定發(fā)展。
1計算機安全和病毒
1.1計算機安全
所謂的計算機安全包含這4個層面:計算機運行的安全、計算機數(shù)據(jù)資料的安全、計算機軟件的安全、計算機硬件的安全。要保障計算機的安全就需要使用相應的安全防護措施和技術(shù)管理措施來管理和保護計算機的相關(guān)數(shù)據(jù),避免計算機內(nèi)部的數(shù)據(jù)資料、電腦硬件、電腦軟件受到篡改、損壞、存儲和調(diào)取。有很多因素都會對計算機安全造成影響,主要的原因包括計算機病毒威脅、技術(shù)操作、機身原因和自然原因,對計算機網(wǎng)絡的危害最大的就是計算機病毒。當計算機受到計算機病毒入侵時,不僅計算機的正常運轉(zhuǎn)會受到直接的影響,甚至會使計算機系統(tǒng)癱瘓。
1.2計算機病毒
計算機病毒事實上就是一種計算機程序,其往往是經(jīng)過專門編制的,擁有很強的再生能力,不僅會對計算機的系統(tǒng)安全造成威脅,還會使計算機系統(tǒng)無法正常運轉(zhuǎn)。當計算機系統(tǒng)受到計算機病毒的入侵時,計算機病毒就會干擾和阻礙計算機的正常運轉(zhuǎn)。由于計算機病毒與醫(yī)學中的病毒一樣具有很高的傳染性,因此將其稱之為計算機病毒[1]。人為操作是產(chǎn)生和傳播計算機病毒的根源。以常見的蠕蟲病毒W(wǎng)orm為例,蠕蟲病毒能夠通過系統(tǒng)漏洞和網(wǎng)絡進行傳播。一旦計算機感染蠕蟲病毒,就會自動地發(fā)送帶毒郵件,對網(wǎng)絡的正常運轉(zhuǎn)造成阻礙。計算機中毒之后會產(chǎn)生沖擊波,并發(fā)送小郵差等帶毒郵件,對病毒進行擴散。從計算機病毒的危害性方面而言,蠕蟲病毒并不會產(chǎn)生過大的危害。如果計算機遭受了較大的計算機病毒的危害,其內(nèi)部文件資料就會出現(xiàn)丟失和損壞,甚至造成計算機系統(tǒng)的整體崩潰,使計算機無法正常和穩(wěn)定地運行。如果受到攻擊的計算機是銀行業(yè)、事業(yè)單位和行政部門內(nèi)部的計算機系統(tǒng),其內(nèi)部的保密資料就會外泄或者丟失,對于社會的穩(wěn)定和經(jīng)濟的發(fā)展都會帶來不可估量的損失。計算機的病毒程序往往是隱藏在一些軟件之中,不法分子引誘用戶使用這些軟件,對這些程序進行刺激,使其開始運轉(zhuǎn),從而對計算機的安全造成威脅。在互聯(lián)網(wǎng)用戶之間也會互相傳播帶病毒的程序或者軟件,使帶毒程序和軟件的使用范圍進一步擴大,造成計算機安全問題的擴散。這也說明了計算機內(nèi)部信息和計算機系統(tǒng)不夠堅強。在計算機技術(shù)發(fā)展的過程中,必須著力研究如何使計算機內(nèi)部信息不會受到計算機病毒的威脅,并使用技術(shù)措施來降低計算機軟件受到病毒的影響程度,保障計算機的運行安全。
2計算機病毒的重要特點
計算機病毒與醫(yī)學病毒一樣,都具有很大的傳染性。但是計算機病毒又與醫(yī)學病毒存在著明顯的差別。計算機病毒實質(zhì)上是計算機代碼,通過互聯(lián)網(wǎng)和計算機進行傳播。要對計算機病毒進行有效的防范,就必須了解計算機病毒的重要特點。
2.1傳播媒介
作為一種程序代碼,計算機病毒主要是通過電子郵件和互聯(lián)網(wǎng)進行傳播。當前世界范圍內(nèi)流行的計算機病毒中大部分是主動在計算機網(wǎng)絡中進行傳播,例如TROJ_MTX.A、W97M_MELISSA、PE_CIH等,特別是TROJ_MTX.A、W97M_MELISSA為宏病毒,能夠?qū)庉嫷奈臋n進行感染,從而通過郵件的方式來傳播病毒。PE_CIH病毒的傳播方式包括網(wǎng)絡下載和郵件傳播兩種[2]。
2.2傳播速度快
計算機病毒能夠在互聯(lián)網(wǎng)上迅速地傳播。計算機病毒的本質(zhì)是程序代碼,當一臺計算機上感染了計算機病毒之后,就可以通過網(wǎng)絡將計算機病毒傳至各地。以網(wǎng)絡病毒“愛蟲”為例,其在短時間內(nèi)就可以使各國的互聯(lián)網(wǎng)都陷入癱瘓。正是由于計算機病毒具有極快的傳播速度,能夠以多米諾骨牌的方式進行傳播,造成嚴重的連鎖反應,因此計算機病毒會造成難以估量的危害。用戶的電腦受到計算機病毒入侵之后,內(nèi)部文件和數(shù)據(jù)會遭到破壞,造成計算機內(nèi)部信息的泄露。如果這些信息被不法分子所竊取,造成的危害將不可設(shè)想。
2.3控制難度大、種類多
計算機病毒種類繁多,要對其進行控制具有很大的難度。由于計算機病毒是程序代碼,可以使用計算器語言對其進行修改和讀取,從而使計算機病毒越來越多樣化。仍然以“愛蟲”病毒為例,經(jīng)過計算機語言其程序代碼進行編程之后,一個計算機病毒就可以演變成為數(shù)十種不同的計算機病毒,其仍然會按照相同的途徑進行傳播。盡管這些演變出來的計算機病毒可能只有少數(shù)幾個代碼不同,但是卻極大地提高了計算機病毒的控制難度。當前的技術(shù)水平往往是在計算機遭受了計算機病毒的侵襲之后才能對其進行處理,甚至為了計算機病毒的侵襲只有關(guān)閉網(wǎng)絡服務,造成非常嚴重的損失[3]。
2.4發(fā)展迅速
隨著計算機技術(shù)的不斷發(fā)展,計算機的相關(guān)服務也變得越來越完善,計算機病毒也得到了迅速的發(fā)展。在當前的技術(shù)條件下,拷貝自身再對別的軟件程序進行感染已經(jīng)不再是計算機病毒的主要傳播方式,蠕蟲成為了計算機病毒傳播方式的新特征。也就是計算機病毒可以通過互聯(lián)網(wǎng)傳播到世界各地。例如通過下載帶病毒的網(wǎng)頁文件和傳播帶病毒的電子郵件等等。還有一些計算機病毒具有更強的病毒性,甚至帶有黑客程序功能,通過向用戶的計算機中植入這種病毒,黑客和不法分子就可以隨意進入用戶的電腦系統(tǒng),對數(shù)據(jù)和信息進行竊取,甚至遠程控制該計算機。
3網(wǎng)絡安全面臨的問題
3.1自然因素
對計算機網(wǎng)絡而言,必須有穩(wěn)定的自然環(huán)境才能使其能夠正常運轉(zhuǎn)。如果發(fā)生一些自然災害,就會對計算機網(wǎng)絡安全造成極其嚴重的影響。例如計算機的正常運行會受到振動、濕度和溫度的影響,這就需要在計算機機房中設(shè)置防電子泄漏、防震、防火的設(shè)施。這樣一來,既能降低自然災害造成的財產(chǎn)損失,也能夠盡量避免計算機的正常運行受到自然因素的影響。
3.2軟件漏洞
一些計算機系統(tǒng)的軟件本身就存在一些高危的嚴重漏洞,給了病毒和黑客可乘之機,使黑客和病毒能夠侵入計算機的系統(tǒng)。出現(xiàn)計算機軟件漏洞的原因有很多,編程者在編寫程序的過程中可能會出現(xiàn)人為疏忽,甚至一些編程者監(jiān)守自盜,故意為不法分子留出了后門。軟件漏洞給計算機病毒的入侵留下了方便之門,而且這種入侵往往難以預防。
3.3黑客威脅
計算機網(wǎng)絡的安全還會受到黑客入侵的威脅,正是由于計算機軟件漏洞的存在,給了黑客入侵的機會。信息網(wǎng)絡中的不完善和缺陷會加大黑客入侵的風險。
4保障計算機網(wǎng)絡安全
4.1防火墻技術(shù)
作為一種對外保護技術(shù),防火墻技術(shù)能夠?qū)?nèi)網(wǎng)資源的安全進行保障。其主要任務在于阻止外部人員非法進入內(nèi)網(wǎng),對網(wǎng)絡訪問進行控制。在工作時防火墻能夠有效的檢測數(shù)據(jù)包中的各種信息,包括目標端口、源端口、目標地址、源地址等等,并進行相應的算法匹配。如果數(shù)據(jù)包不能符合相應的條件,就可以將數(shù)據(jù)包丟棄,避免軟件程序受到非法入侵。狀態(tài)檢測防火墻是當前用的最廣泛的防火墻技術(shù),然而防火墻技術(shù)最大的缺點就在于不能對內(nèi)[4]。
4.2加密技術(shù)
加密技術(shù)的本質(zhì)是一種算法,其能夠加密數(shù)據(jù),避免數(shù)據(jù)在傳輸過程中遭受劫持,保障數(shù)據(jù)的隱蔽性和保密性,從而使互聯(lián)網(wǎng)信息的傳播更加安全。當前使用的加密算法主要有非對稱加密算法和對稱加密算法兩種。對稱加密算法也就是使用相同的加密和解密鑰匙。非對稱加密算法具有更高的保密性,往往應用于重要文件的傳輸。
4.3物理隔離網(wǎng)閘
為了保障信息的安全,可以使用物理隔離網(wǎng)閘。物理隔離網(wǎng)閘主要是對固態(tài)開關(guān)進行控制,從而讀寫分析相對獨立的主機系統(tǒng),避免邏輯連接和物理連接,防治黑客的入侵。
4.4防范計算機病毒
當前影響計算機網(wǎng)絡安全的最主要的因素還是計算機病毒,可以從軟件和硬件兩個方面來防范計算機病毒。
4.4.1管理技術(shù)和反病毒技術(shù)
除了要對WindowsNT網(wǎng)絡中的每臺計算機進行保護之外,還要將服務器設(shè)置為NTFS分區(qū)格式,對DOS系統(tǒng)的缺陷進行彌補,避免系統(tǒng)受到病毒感染而無法運行。要對外來光盤的使用進行嚴格的控制,并控制文件和用戶權(quán)限的讀寫屬性。用戶要使用合適的殺毒軟件,并定期更新病毒庫。要安裝服務器殺毒軟件,能夠進行實時殺毒和檢查。盡量不要在服務器上運行應用程序,以免誤刪重要文件。要保障服務器的物理安全,避免在DOS下的NTFS分區(qū)被直接讀寫[5]。
4.4.2使用還原卡技術(shù)
還原卡作為一種硬件,能夠?qū)σ呀?jīng)受到病毒感染而被更改的系統(tǒng)進行還原,從而對計算機軟件進行修復,使之能夠恢復到原始的狀態(tài)。當前已經(jīng)出現(xiàn)了智能保護型還原卡,并向網(wǎng)絡型發(fā)展。通過網(wǎng)絡卡和保護卡的結(jié)合能夠有效地抵御計算機病毒的入侵。但是還原卡也會影響計算機的運行速度和硬盤的讀寫速度。
5結(jié)語
計算機網(wǎng)絡的安全對于國家的安全、社會的穩(wěn)定和經(jīng)濟的發(fā)展都有著重要的影響。有很多因素都會影響計算機的網(wǎng)絡安全,尤其是計算機病毒更是對計算機的網(wǎng)絡安全造成了嚴重的威脅。因此要積極使用各種防范手段,抵御計算機病毒的入侵,保障計算機網(wǎng)絡的安全。
參考文獻
[1]張玉扣.計算機網(wǎng)絡安全面臨的問題及防范措施[J].價值工程,2012,(31).
[2]彭沙沙,張紅梅,卞東亮.計算機網(wǎng)絡安全分析研究[J].現(xiàn)代電子技術(shù),2012,(04).
[3]李傳金.淺談計算機網(wǎng)絡安全的管理及其技術(shù)措施[J].黑龍江科技信息,2011,(26).
[4]夏靜.淺析計算機網(wǎng)絡安全現(xiàn)狀及對策[J].無線互聯(lián)科技,2011,(07).
【關(guān)鍵詞】計算機網(wǎng)絡;網(wǎng)絡安全;防范技術(shù)
隨著知識經(jīng)濟時代的到來和計算機網(wǎng)絡的不斷發(fā)展,信息全球化已成為發(fā)展的大趨勢,信息是一種寶貴的資源,越來越多的人認識到需要保護重要信息的安全,安全問題已經(jīng)成為全社會普遍關(guān)注的重大問題,網(wǎng)絡安全是信息安全的熱點。但是由于計算機網(wǎng)絡具有多種的連接方式、網(wǎng)絡的開放性和互連性等特征,致使了網(wǎng)絡很容易就會受到各方面攻擊。因此,只有針對目前各種不同危害及計算機網(wǎng)絡安全的主要因素,采取必要的措施,才能確保網(wǎng)絡信息的保密性、完整性和可用性。
1.計算機網(wǎng)絡及其安全概念
計算機網(wǎng)絡,是指將地理位置不同的具有獨立功能的多臺計算機及其外部設(shè)備,通過通信線路連接起來,在網(wǎng)絡操作系統(tǒng),網(wǎng)絡管理軟件及網(wǎng)絡通信協(xié)議的管理和協(xié)調(diào)下,實現(xiàn)資源共享和信息傳遞的計算機系統(tǒng)。計算機網(wǎng)絡安全則是指計算機信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數(shù)據(jù)安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設(shè)備和通信線路的安全,其威脅來自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全,其威脅主要來自信息被破壞和信息被泄露。
2.危及計算機網(wǎng)絡安全的主要因素
造成計算機網(wǎng)絡系統(tǒng)不安全的因素很多,常見的有以下幾個方面:
2.1計算機病毒
自從計算機病毒出現(xiàn)以來,病毒的種類、感染對象越來越多,傳播速度越來越快,對計算機系統(tǒng)的安全造成了危害,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用網(wǎng)絡進行快速傳播,一些攜帶病毒的數(shù)據(jù)包和未知郵件,如果你不小心打開了這些郵件,計算機就有可能中毒,對網(wǎng)絡信息安全構(gòu)成了極大的威脅。
2.2計算機黑客
黑客只需一臺計算機、一條電話線、一個調(diào)制解調(diào)器就可以遠距離作案,他們翻閱資料、侵犯隱私、收集情報、竊取機密,主要攻擊目標是政府、軍事、郵電和金融網(wǎng)絡。他們利用對方系統(tǒng)的漏洞使用破譯程序?qū)孬@的系統(tǒng)密碼加密信息進行破譯,以獲取具有較高權(quán)限的帳號;利用網(wǎng)絡和系統(tǒng)本身存在的或設(shè)置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘以獲取進一步的有用信息;通過系統(tǒng)應用程序的漏洞獲得用戶口令,侵入系統(tǒng)。
2.3侵犯知識產(chǎn)權(quán)
計算機網(wǎng)絡的發(fā)展給知識產(chǎn)權(quán)的保護帶來了新的課題。隨著因特網(wǎng)的不斷發(fā)展,加入其中的計算機越來越多,如何保護聯(lián)網(wǎng)的計算機個人數(shù)據(jù)免遭來自網(wǎng)絡的攻擊,給網(wǎng)絡的信息安全提出了新的挑戰(zhàn)。
2.4信息垃圾
信息垃圾是利用計算機網(wǎng)絡傳播違道德及所在國家法律及意識形態(tài)的內(nèi)容,如一些污穢的、種族主義的或者明顯意識形態(tài)傾向的信息等。這些不健康的東西不僅對未成年人造成了極大的危害,甚至對國家安定、社會穩(wěn)定造成危害。
3.計算機網(wǎng)絡安全隱患的特點
基于上述危及計算機網(wǎng)絡安全的主要因素,我們再來分析一下計算機網(wǎng)絡安全隱患的特點:
3.1造成巨大經(jīng)濟損失
網(wǎng)絡上的計算機一旦被攻擊、入侵成功,將會使其處于癱瘓狀態(tài),給其用戶造成巨大的經(jīng)濟損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元,平均一起計算機犯罪案件所造成的經(jīng)濟損失是一般案件的幾十到幾百倍。
3.2威脅社會和國家安全
一些計算機網(wǎng)絡攻擊者出于各種不可告人的政治目的,經(jīng)常把政府要害部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。
3.3手段多樣,隱蔽性強
一是可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取保密信息;二是可以通過截取帳號和口令入侵計算機系統(tǒng);三是可以借助特殊方法繞過防火墻等等。這些五花八門的攻擊手段過程,都可以在很短的時間內(nèi)通過任何一網(wǎng)的計算機完成,并且不留痕跡,隱蔽性很強。
3.4以攻擊軟件為主要特征
幾乎所有的網(wǎng)絡入侵都是通過對軟件的截取和攻擊,從而破壞整個計算機系統(tǒng)的。這完全不同于人們在生活中所見到的對某些機器設(shè)備進行物理上的摧毀。
4.計算機網(wǎng)絡安全的防范技術(shù)
4.1路由選擇技術(shù)
計算機網(wǎng)絡中的網(wǎng)絡層的主要功能是將分組從源端機器經(jīng)選定的路由送到目的端機器。在大多數(shù)網(wǎng)絡中,分組的數(shù)據(jù)需要經(jīng)過多次轉(zhuǎn)發(fā)才能到達目的地,有線網(wǎng)絡如此,無線網(wǎng)絡也不例外。
如果發(fā)送數(shù)據(jù)的路徑不合理,經(jīng)過的設(shè)備太多會對數(shù)據(jù)的安全帶來極大的危險,最短路徑就是路由選擇算法需要解決的問題,路由選擇算法和它們使用的數(shù)據(jù)結(jié)構(gòu)是網(wǎng)絡層設(shè)計的一個主要區(qū)域。路由選擇算法是網(wǎng)絡層軟件的一部分,負責確定所收到分組應傳送的外出路線,目的非常簡單,找一條從源到目的地的一條“最好”路徑,而“最好”路徑常常是指具有最小花費的路徑。路由選擇算法需要有正確性、簡單性、健壯性、穩(wěn)定性、公平性和最優(yōu)件等特征。路由算法的給定一個代表該網(wǎng)絡的圖,找到從源到目的地的最小花費路徑要求能夠找到一條由一系列鏈路組成的路徑,其中:路徑中的第一條鏈路連接到源,路徑中的最后一條鏈路連接到目的地;對于最小花費路徑來說,路徑上的鏈路花費的總和是源到目的地之間所有可能的路徑的鏈路花費總和的最小值。如果所有的鏈路花費相同,那么最小路徑也就是最短路徑。
4.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是指將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換之后變成無意義的密文,而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全和保密性,防止秘密數(shù)據(jù)被外部破解所采用的主要手段之一,需要和防火墻配合使用。
我們對于比較重要和機密的WORD、EXCEL等電子文檔,可以設(shè)置打開密碼,即沒有密碼就不能打開文檔,或者設(shè)置只讀權(quán)限,以保護自己的知識產(chǎn)權(quán)。對于一些重要文件,我們可以用WINZIP的壓縮功能進行壓縮,同時設(shè)置壓縮的密碼,這樣打開壓縮文件時就需要密碼,這就是數(shù)據(jù)加密技術(shù)的最基本的應用。
4.3防火墻技術(shù)
防火墻是一種安全防護措施,需要和數(shù)據(jù)加密技術(shù)配合使用。防火墻技術(shù)就是一種保護計算機網(wǎng)絡安全的技術(shù)性措施,是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間實現(xiàn)控制策略的系統(tǒng),主要是為了用來保護內(nèi)部的網(wǎng)絡不易受到來自因特網(wǎng)的侵害。目前,防火墻有兩個關(guān)鍵技術(shù),一是包過濾技術(shù),二是服務技術(shù)。此外,還有復合技術(shù)以及其他技術(shù)。
我們平時常用的ICQ、QQ、MSN等通訊軟件均可以在線傳輸,但是來源不可靠的傳輸內(nèi)容應該拒絕接收;即使可靠,接收后也要經(jīng)過殺毒軟件的掃描方能運行,因為現(xiàn)在在程序中很容易植入木馬或病毒。此外,我們聊天的時候,也會受到別人攻擊,為了安全起見,就可以安裝QQ的專用防火墻。
5.結(jié)語
計算機網(wǎng)絡安全是一個綜合、交叉的學科領(lǐng)域,它涉及到了物理、數(shù)學、計算機技術(shù)等多種學科的知識和最新研究成果,今后還需在安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控等幾個方面繼續(xù)開展多種的研究并出成果,為我國的信息與網(wǎng)絡安全奠定堅實的基礎(chǔ)。 [科]
【參考文獻】
[1]李文英.計算機網(wǎng)絡安全技術(shù)及其防護研究[J].科技廣場,2010(09).
關(guān)鍵詞:黑客;攻擊;防范;計算機;掃描
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)17-3953-02
凡事都具有兩面性,有利有弊。internet就是典型的有利有弊的事物。internet改變了人們的生活,改變了世界,讓世界變小,讓人們的地理距離變近。方便了人們的生活,人們足不出戶就能辦理眾多業(yè)務,能夠買到衣服,也能交水費、電費、手機費等。大大節(jié)約了人們的時間,也節(jié)約了很多成本。這是internet有利的一面。同時internet還存在弊端的一面,就是安全系數(shù)不夠高,容易被一些不法分子利用,讓網(wǎng)上交易存在一定的風險。如果電子郵件被截,就會泄露重要的商業(yè)信息;如果購物時的交易信息被截,就會導致金錢的損失。為了盡量避免損失,人們也在研究黑客攻擊的手段,也在做一些防范措施。該文就針對黑客攻擊的手段以及應該怎樣防范進行闡述。
1 黑客的概念
熟悉網(wǎng)絡的人都了解hacker這個詞,甚至一些不經(jīng)常使用計算機的人也多少對黑客有一些了解。對于hacker的定義,應該分為兩個階段,前一個階段對黑客應該定義為:計算機領(lǐng)域的探索者,追求計算機的最大性能的發(fā)揮,是人類智慧與計算機的較量。從感彩來說,這個階段的hacker是值得稱贊的,是計算機不懈努力的探索者。但是經(jīng)過internet的發(fā)展,一些人利用黑客技術(shù)達到一些不良的目的,于是隨著網(wǎng)絡的復雜化,黑客變成了人人避之不及的一類人群。
現(xiàn)在的黑客定義為:利用一些手段非法竊取別人計算機的重要信息,達到控制計算機的目的。一旦計算機被黑客控制,信息被外露,就會給計算機的使用者帶來損失,或者是專業(yè)知識或者是金錢。
2 黑客攻擊的手段
2.1通過計算機漏洞進行攻擊
黑客攻擊計算機的主要途徑是通過系統(tǒng)漏洞。每個計算機或多或少都存在一些安全隱患,一些安全隱患是由于系統(tǒng)性能的不完備造成的,也就是先天存在的隱患。對于這些漏洞,計算機的使用者無法彌補。還有一種情況就是計算機的使用者后期造成的,在使用計算機的過程中不及時安裝補丁,給黑客以可乘之機。利用公開的工具:象Internet的電子安全掃描程序IIS、審計網(wǎng)絡用的安全分析工具SATAN等這樣的工具,可以對整個網(wǎng)絡或子網(wǎng)進行掃描,尋找安全漏洞通過系統(tǒng)的漏洞,黑客就能輕松進入電腦,獲取一些重要信息,達到控制計算機的目的。有些黑客是通過掃描器來發(fā)現(xiàn)目標計算機的漏洞的。
掃描原理:
1)全TCP連接
2)SYN掃描(半打開式掃描)
發(fā)送SYN,遠端端口開放,則回應SYN=1,ACK=1,本地發(fā)送RST給遠端,拒絕連接
發(fā)送SYN,遠端端口未開放,回應RST
3)FIN掃描(秘密掃描)
本地發(fā)送FIN=1,遠端端口開放,丟棄此包,不回應
本地發(fā)送FIN=1,遠端端口未開放,返回一個RST包
2.2通過專門的木馬程序侵入電腦
除了利用計算機的漏洞之外,黑客還可以通過專門的木馬程序?qū)τ嬎銠C進行攻擊?,F(xiàn)在用戶使用計算機大部分聯(lián)網(wǎng)的,隨著internet功能的不斷完善,用戶在internet上可以閱讀,可以購物,可以看視頻,這些開放的端口就給黑客提供了機會。黑客會利用用來查閱網(wǎng)絡系統(tǒng)的路由器的路由表,了解目標主機所在網(wǎng)絡的拓撲結(jié)構(gòu)及其內(nèi)部細節(jié)的snmp協(xié)議,能夠用該程序獲得到達目標主機所要經(jīng)過的網(wǎng)絡數(shù)和路由器數(shù)的traceroute程序。
2.3利用一些管理工具進行大面積攻擊
在辦公區(qū)域或者學校等會使用局域網(wǎng),在這些區(qū)域網(wǎng)中,會有管理者。管理者為了方便管理,會在區(qū)域網(wǎng)內(nèi)安裝網(wǎng)絡監(jiān)測器。網(wǎng)絡監(jiān)測器的初衷是為了便于管理者的管理,提高局域網(wǎng)內(nèi)計算機的安全系數(shù)。但是如果網(wǎng)絡監(jiān)測器被黑客利用,就會造成嚴重的后果。黑客掌握了網(wǎng)絡監(jiān)測器的信息后,就能控制主機,通過控制主機,再去控制局域網(wǎng)內(nèi)的其他機器。通過網(wǎng)絡監(jiān)測器,黑客就能輕而易舉地控制多臺機器,截獲大量重要信息甚至商業(yè)機密?,F(xiàn)在計算機雖然很普遍,使用的人數(shù)也在逐年增多,但是人們對計算機的安全性能不是很少了解,很多用戶在使用計算機時都不設(shè)置密碼,讓黑客很容易就能進入。
3 遭到黑客攻擊的危害
提高黑客,計算機的使用者很頭疼,都害怕侵入自己的計算機。之所以人們會害怕黑客,是因為黑客的攻擊會給人們造成很大的損失。一個損失就是計算機的癱瘓。在遭受到黑客的攻擊之后,計算機無法正常使用,速度或者性能都大大下降。嚴重影響工作效率。另一個損失就是機密材料被竊取。很多人都把自己的資料存儲到計算機中,因為這樣方便使用和管理。但是一旦被黑客控制,就面臨機密資料的泄密,給公司或者個人都會造成重大的損失。黑客攻擊還會造成的損失就是錢財?shù)膿p失。為了節(jié)約時間,很多人會在網(wǎng)上購物、交費等,網(wǎng)上交易時會涉及到銀行卡以及個人賬戶的用戶名和密碼,如果信息被黑客控制,會造成金錢上的損失。正因為黑客攻擊會給計算機的使用者造成過大或過小的損失,計算機的使用者應該加強防范,盡量避免遭受黑客的攻擊,盡量降低自己的損失。對黑客的防范,大多數(shù)計算機的使用者不了解專門的工具或者比較專業(yè)的防范措施,只能從身邊最簡單、最常用的做起。
4 防范黑客攻擊的方法
4.1每天為計算機體檢,采用專業(yè)技術(shù)避免入侵
黑客是具有高超的計算機技術(shù)的,而一般的計算機使用者沒有過多的專業(yè)知識,因此,計算機使用者在和黑客的斗爭中并不占優(yōu)勢。只能做一些力所能及的事情。最常用的防范措施就是每天體檢,殺毒。每個計算機上都會裝有殺毒軟件,要充分利用這些殺毒軟件,將有可能入侵的木馬程序攔截,將已經(jīng)如今的病毒殺死。做到每天體驗,及時修復系統(tǒng)漏洞,這樣受到黑客攻擊的概率就會小很多了。另外,還可以采用專業(yè)技術(shù),來避免黑客的入侵。例如為了保護氣象行政許可專門設(shè)計的系統(tǒng),基于.NET技術(shù),采用功能模塊化的管理,將功能模塊的權(quán)限授予使用者,權(quán)限使用Session驗證,系統(tǒng)將數(shù)據(jù)邏輯都寫在程序代碼中,數(shù)據(jù)庫采用SQL Server 2005。
4.2檢查端口,及時停止黑客的攻擊
除了每天體檢外,計算機的使用者還應該經(jīng)常檢查計算機的端口,看看是否有自己沒使用的,如果有程序是自己沒使用的,就說明存在了外來程序,要及時阻斷這些程序?qū)τ嬎銠C的入侵,可以馬上殺毒,或者斷掉與internet的連接,沒有了網(wǎng)絡,黑客就不能繼續(xù)控制電腦了。網(wǎng)絡連接斷開后,對計算機進行徹底清理,所有的黑客程序都清理掉,再重新上網(wǎng)。另外要注意,盡量減少開放的端口,像木馬Doly 、trojan、Invisible FTP容易進入的2l端口,(如果不架設(shè)FTP,建議關(guān)掉它)。23端門、25端口、135端口(防止沖擊波)。137端口,139端口。3389端口,4899端口、8080端口等,為了防止黑客,還不影響我們上網(wǎng),只開放80端口就行了,如果還需要上pop再開放l09、1l0。,不常用的或者幾乎不用的全部關(guān)掉,不給黑客攻擊提供機會。
4.3加強防范,不隨便安裝不熟悉的軟件
對于經(jīng)常使用計算機的人,面臨黑客攻擊的概率也比較高。防范黑客攻擊的有效方法就是加強警惕,不隨便安裝不熟悉的軟件。當瀏覽網(wǎng)頁時,盡量不打開沒有經(jīng)過網(wǎng)絡驗證的網(wǎng)頁,這樣的網(wǎng)頁存在著很大的風險。另外,在使用某些工具時,不安裝網(wǎng)頁上提醒的一些附加功能。這些附加功能存在的風險也比較高。比如安裝下載工具就下載,不安裝此軟件具有的其他看電影或者玩游戲的功能,這樣就能大大降低受到黑客攻擊的風險。如果已經(jīng)確定受到黑客的攻擊,要及時斷掉與internet的連接,將自己的重要信息轉(zhuǎn)移或者對計算機的信息進行更改,讓黑客無法繼續(xù)控制計算機,將自己的損失降到最小。
5 結(jié)論
internet雖然存在弊端,但是帶給人們生活的更多的是便利。internet技術(shù)在目前還不是很成熟,存在著很多漏洞,所以才被黑客利用。相信隨著internet的發(fā)展,internet的安全技術(shù)也會得到很大的提升。internet的安全技術(shù)提升了,計算機的使用者就不容易遭受黑客的攻擊了。相信在不久的將來,internet的運行環(huán)境會很安全,人們將會更安心地使用internet。
參考文獻:
[1] 李振汕.黑客攻擊與防范方法研究[J].網(wǎng)絡安全技術(shù)與應用,2008(01):5-11.
[2] 張寧.淺談黑客攻擊與防范[J].科技信息.2009(11):15-18.
[3] 周忠保.黑客攻擊與防范[J].家庭電子,2004(05):52.
[4] 蔣建春,黃菁,卿斯?jié)h.黑客攻擊機制與防范[J].計算機工程.2002(7):13.
[5] 羅艷梅.淺談黑客攻擊與防范技術(shù)[J].網(wǎng)絡安全技術(shù)與應用.2009(2):26-27.
[6] 張艾斌.淺談黑客的攻擊與防范[J].中國科技博覽.2011(33):33-36.