網絡安全防范策略匯總十篇
時間:2024-03-23 17:29:14
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇網絡安全防范策略范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
計算機網絡技術在生活的應用十分廣泛,有效的提升了企業的辦公效率以及現代化的管理水平,豐富了人們的生活。但是隨之而來出現的一些網絡病毒,這對網絡的正常運行造成了很嚴重的危害,因此,必須要加強對計算機網絡的維護,從而來做好網絡安全的防范,本文主要是對計算機網絡安全防范策略進行了研究。
1 合理安置防火墻
對于計算機網絡安全的保護,其中一個重要的環節就是對于防火墻的安裝,為了能夠更好的對保障計算機網絡的安全,在進行防火墻的安裝時,一定要能夠做好對控制列表的設置以及訪問,能夠有效的限制外來訪問,從而來做到節約計算機網絡帶寬,預防網絡威脅的目的。對于相關的企業來說,一定要充分的做好自身內部計算機網絡安全的管理,在企業內部,很多企業機密都是存在計算機網絡中,若是網絡受到了威脅,那么將嚴重的影響企業的發展。所以很多企業都是采用三層分級防火墻的方式來進行網絡安全的維護,在第一層防護中,主要是在服務端安裝相應的防火墻,從而來對一些安全威脅進行過濾,在第二層保護中,其中主要是利用千兆交換機來為企業提供更為強大的防火墻功能,這樣能夠在防火墻中設置相應的訪問控制列表,并且也能夠提升計算機的安全使用。在第三層保護中,主要是在匯聚層的核心交換機來進行計算機網絡安全的保護。所以必須要做好防火墻的設置,同時能夠科學合理的設置訪問的列表。
2 利用入侵檢測技術
對于入侵檢測技術來說,主要是為了能夠在計算機網絡內部的安裝相應的檢測系統,從而來講計算機網絡安全隱患檢測出來,避免受到病毒的干擾。利用計算機入侵檢測技術能夠及時有效的發現計算機網絡內部的異常現象,同時軟件系統能夠對其進行相應的限制以及組織,檢測系統能夠自身構架出一個完善的防御系統來保證計算機網絡的安全運行。
3 做好計算網才做系統的權限管理
相應的計算機管理人員必須要定期做好計算機操作系統的權限設置以及密碼的管理,、管理人員要定期打開計算機管理,對用戶以及組里的一些非法的用戶進行嚴格的審查以及排除,尤其是要注意一些具有管理人員權限的非用戶進行排查。對于計算機默認提供的用戶為“Guest”,計算機管理人員必須要進行更改,以此來避一些網絡黑客入侵電腦,控制計算機,并且計算機網絡管理人員也要將賬戶名進行更改,要設置一些復雜的密碼提升器安全性。若是用戶在電腦這能夠安裝了MS-SQL SERVER,那么一定要將危險的存儲過程進行刪除,從而來避免電腦受到攻擊。另外,計算機管理人員必須要經常對系統日志進行清理,及時的發現其中存在的問題,其中一些日志不能夠隨意刪除,要保留一些關于網絡安全策略的日志,這樣能夠在后期發生同樣的問題進行借鑒。
4 強化對于偽裝訪問點所導致的安全問題檢測
偽裝訪問點指的是在計算機網絡中安裝一個接入設備,使設備能夠對MAC地址和服務集標識符進行改動,以此來偽裝成合法網點的MAC地址,這樣一來就能夠對計算機網絡實現正常的訪問,以此來達到攻擊計算機網絡,同時還可以竊取計算機當中的重要資料和數據。
入侵者事實上是很容易通過偽裝網點來實現對計算機網絡的入侵的,通過下述的途徑能夠對偽裝網點進行安全檢測:一是安裝兩臺偵查檢測儀,當中的一臺用于計算機網絡的監聽工作,另外一臺用正常的工作。二是安裝兩個無線網卡的偵查檢測儀,一臺用于對計算機網絡進行監聽,另外一臺通過無線網卡來進行正常運行。當安裝了偵查檢測儀之后,一旦有相同的MAC網址進行訪問的話,那么就能夠立即通過ping命令使原來合法的唯一網點才能進行主機的訪問,而偽裝的訪問點是無法進行訪問的,同時還能及時的找到偽裝訪問點,對其進行處理,以此來提升計算機網絡的安全性。
5 強化拒絕服務攻擊引起的安全問題檢測
對于計算機的網絡拒絕服務攻擊,一般來說都出現在物理層以及MAC層。而其他計算機部位的拒絕服務攻擊所產生的影響并不大。因此需要對計算機網絡物理層以及MAC層當中的拒絕服務攻擊所引起的安全性問題的檢測方法進行深入的研究。
物理層的攻擊主要是Queensland,對此的偵查檢測方法主要是利用頻譜監控,這也是能夠更好的掌握無線電頻譜利用情況的一種最佳方式。但由于頻譜監控設備的造價比較高,體積又十分大,再加之頻譜的分析軟件,使得頻譜監控并不能在大范圍的計算機網絡中進行部署,只能應用與關鍵的部位。計算機網絡中MAC層的拒絕服務攻擊,所應用的是MAC層的管理功能,這份協議位于OSI七層協議當中的下半部分,因此主要的負責控制物理層的物理介質,而非法攻擊者則能通過發送不斷相應的管理幀來進行對用戶的干擾。一旦攻擊者通過管理幀來進行干擾的情況下,計算機網絡的訪問點就會因此來不斷的請求處理,使計算機無法計入正常的運行,甚至導致計算機網絡徹底癱瘓。
6 結語
隨著信息技術的不斷發展,計算機網絡成為了現代交流的重要工具。在計算機網絡為人們的生活帶來便利的同時也出現了一些安全隱患,對人們的計算機安全造成了威脅。只有采取相應的措施才能減少計算機網絡的安全問題,本文主要對計算機網絡的安全防范策略進行了分析和研究,通過上述文章,可以良好的實現計算機網絡的安全保護,為廣大的網絡用戶營造出科學、安全的現代化交流和學習平臺,方便用戶在計算機網絡中找到自己需要的信息資源,最終實現建立安全計算機網絡環境的目標。
參考文獻
[1]孫中紅,隋洪財.關于計算機網絡安全方法防范策略的探索[J].商場現代化,2012,07(20):44-47.
[2]張大勝.網絡時代下計算機網絡安全問題的防范策略研究[J].計算機光盤軟件與應用,2011,06(12):20-25.
篇(2)
中圖分類號:TP393.08 文獻標識碼:A
Discussing for a Little about Safty Measures of OA Network
ZHANG Shengfang
(Edong Institute of Vocation and Technology, Huanggang, Hubei 438000)
Abstract OA network has accomplished digital office. It has improved people'work efficiency and been convenient for human'life. But it also has brought lots of security issue. Such as: losing data, damaging equipment, disclosing business secret, paralyzing system. To solve these matters we must do better for preventing invading, defending against poison and avoiding hole.
Key words OA network; preventing invading; defending against poison; avoiding hole
網絡的騰飛成就了OA網絡的發展,實現網絡協同辦公,能使企業內部各機構更充分溝通和協作,更有效地共享信息,給員工的工作帶來極大方便,提高了企業的辦公效率。但是,當信息交流日益頻繁后,OA網絡中潛在的眾多安全隱患逐漸顯露出來,出現了惡意入侵、病毒傳播和漏洞被人利用作案等安全性問題。在日常的工作和管理中主要防范哪些安全威脅,怎樣去防范呢?
1 防入侵
在內部網中常會遇到陌生人來訪問網絡和文件,這些人有時來自外部網,有時來自系統內部,他們的訪問并沒被授權,訪問的目的是竊取信息、盜走資料,甚至是來破壞系統。他們的行為是一種入侵行為,要加以防范。防止入侵主要做到控制用戶訪問、利用軟件進行入侵檢測和布控防火墻。
1.1 控制用戶訪問
控制訪問主要包括控制網絡登錄和控制網絡使用權限等手段。(1)控制網絡登錄。控制網絡登錄是由網絡管理員來控制用戶的登錄,系統管理員為用戶建立賬號時,要求用戶設置用戶名,密碼,出生年月,家庭地址,電子郵箱甚至是身份證號等私人信息,用戶登錄時要求輸入用戶名和密碼進行驗證。管理員還要控制和限制用戶訪問網絡的時間和訪問方式,并對登錄過程進行必要的審計。如果發現用戶動機可疑,網絡管理員可以及時報警、強制他離開本網絡或刪除用戶賬號。(2)控制網絡使用權限。網絡管理員應當為用戶指定適當的訪問權限,控制用戶可以訪問哪些目錄、文件和其他資源,能夠對它們執行哪些操作。這些訪問權限控制著用戶對OA網絡的訪問,既可以讓用戶有效地完成工作,同時又能控制用戶對資源的訪問 ,從而加強了網絡和文件的安全性。
1.2 入侵檢測技術
入侵檢測主要是利用入侵者留下的痕跡,如試圖登錄的失敗記錄等信息來有效地發現來自外部或內部的非法入侵。它通過入侵檢測軟件來收集系統日志、文件和程序執行中的異常改變、異常行為后,加以仔細全面的統計與分析,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。一旦檢測到入侵信息,就會作出被動響應或主動響應。如記錄檢測出現的事件、報警和斷開網絡連接等,以便有效地阻止攻擊,保護自身網絡安全。
1.3 防火墻技術
防火墻是聯接區域網絡和Internet供應商路由器的“橋梁”,是內部網絡與外部網絡的邊界,它嚴格限制外部網絡對內部網絡的訪問,也可有效地監視內部網絡對外部網絡的訪問。它能夠嚴密監視進出邊界的數據包信息,對這些信息進行攔截并過濾,只讓符合嚴格安全標準的信息通過。利用防火墻可以將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
2 防病毒
通過網絡傳播的計算機病毒,能在很短的時間內使整個OA網絡處于癱瘓狀態。單機病毒主要防范方法有:(1)增加安全意識和安全知識,首先明確病毒的危害,文件共享的時候盡量控制權限和增加密碼,對來歷不明的文件運行前進行查殺等。(2)小心使用移動存儲設備,對外來移動存儲設備首先進行檢毒和殺毒。(3)裝入正版防毒軟件或安裝防毒卡,經常檢測磁盤,并啟動其監控功能,殺毒軟件經常升級。
OA網絡病毒的防治具有很大的難度,需要從服務器、工作站和網關等多個方面綜合防范,構建多層次多方位的病毒防護體系,全面解決問題。在這個體系中首先要實行病毒在線掃描技術,保持每天24小時對文件和數據進行全面、隨機的掃描,監控是否有帶毒文件進入,從源頭攔截病毒。然后是當出現了病毒后要及時清除,用網絡殺毒軟件刪除被病毒感染的文件,或更改帶毒文件名成為不可執行文件名并隔離到一個特定的病毒文件目錄,還要清除所有可能染上病毒的移動存儲設備或備份文件中的病毒。最后當確認病毒徹底清除后,再重新啟動網絡和工作站,迎接下一輪挑戰。防范病毒一方面依賴于OA網絡中各員工的防范意識,另一方面依賴于防病毒軟件的監測能力、查殺能力、升級能力和對新病毒的反應能力。只有這幾方面都做好了,病毒才來不了,進不去,留不住。
3 防漏洞
OA網絡漏洞可以被不法者或者黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,很多主流的安全技術都跟漏洞和弱點有關系,那么,怎樣才能消除漏洞所帶來的風險呢?(1)提高意識做好漏洞掃描。漏洞掃描對于保護電腦和上網安全是必不可少的,而且每星期就進行一次掃描,一旦發現有漏洞就要馬上修復。(2)做好修補工作。補丁管理一直以來是大家認為最方便可以實現對漏洞清除有效的手段,它可以快速在網絡中間實施起來。對于微軟的Windows漏洞,要及時地為系統安裝補丁程序。對于系統上運行的第三方服務程序,管理員也不能忽略,應該注意這些廠商所的漏洞,并及時地安裝補丁或升級服務程序。針對漏洞的攻擊,管理員需要制定嚴格的訪問規則,僅打開需要對外提供服務的端口。這樣即使黑客能夠通過漏洞打開系統的某個端口,但是由于該端口受防火墻的阻擋,黑客也無法建立連接。
網絡給人們帶來便捷的同時也帶了隱患,要想使OA網絡發揮出其更大的作用,人們必須對這些隱患采取一定的措施來進行防止。解決方案是綜合各種安全防范技術,將入侵防護技術、病毒防護技術、漏洞修復技術等綜合應用。只要我們不斷提高和增強計算機的網絡安全意識,采取有效的防范措施,隨時關注工作中的計算機的運行情況,在發現異常情況時能夠及時處理,就可以大大減少對我們的侵害,給OA系統一個潔凈而安全的生存環境。
參考文獻
篇(3)
1引言
隨著互聯網行業的不斷普及與發展,社會的信息化程度也越來越高,網絡為人們提供的極大的便利使得人們在日常的生活、生產和學習上開始依賴于網絡。與此同時,一些網絡犯罪事件也向人們敲響了警鐘,解決計算機網絡信息安全問題已然成為了目前計算機網絡中一個大問題。必須通過研究對計算機網絡進行研究,找出計算機網絡信息安全出現的問題與原因,并提出針對性的措施,以保護計算機網絡的信息安全,防止不法分子通過計算機網絡進行犯罪活動,保證人們在網絡使用過程中個人信息及隱私的保密性,研究計算機網絡信息安全及其防護措施勢在必行,對于防范網絡安全問題有著很高的實際應用價值。
2計算機網絡安全原理及其概述
通過對網絡中的硬件設備(計算機、路由器、防火墻等)進行簡單對接,而且可以通過相應的控制軟件實現計算機網絡的管控。隨著現代社會網絡信息建設的來臨,計算機網絡不僅要具備傳統計算機的網絡功能,還必須為用戶提供網絡資源以及信息共享等服務。因此,要解決目前計算機網絡中存在的安全問題,需要從整體上來看待計算機網絡信息安全問題,真正實現保障人們在計算機網絡中的信息安全。要確保信息是因為不小心或故意破壞遭到了更改或者窺視。保證提供的計算機網絡服務安全、可靠,使用戶在使用計算機網絡過程中享受到安全、優質、放心的網絡服務。對計算機網絡安全定義主要包括兩點:物理安全和邏輯安全。物理安全的主要內容是保護所有相關的計算機硬件設施的安全,避免這些設施遭到惡意損壞。邏輯安全的主要內容是對計算機網絡環境中存儲的用戶信息和共享的資源進行維護,以保證網絡中信息的保密性和完整性。國際標準化組織(ISO)對于計算機網絡安全的定義是:實現計算機網絡信息安全,需要計算機網絡防護的包括計算機所有網絡中計算機的軟件、硬件以及所有用戶的信息和共享的數據[1]。
3導致計算機網絡存在安全隱患的因素
操作系統為保證程序正常運行提供一個軟件環境,而且操作系統在計算機網絡中屬于最基本的軟件,操作系統是用戶與計算機等硬件設備之間的媒介而且也擔任著管理軟硬件的功能。操作系統對于計算機網絡如此主要,一旦操作系統受到攻擊,那么在很大程度上會導致網絡安全問題。操作系統在運行時并不能對自身的安全性能保障,操作系統一旦開始運行,無論如何都會存在影響計算機網絡安全的隱患,影響計算機網絡安全的另外一個因素就是操作系統本身結構體系在設計時就具有先天性的缺陷。操作系統在運行中的對于一些細節上的管理功能還存在著缺陷,如果一個很小的程序出現故障都很可能嚴重影響到整個系統的運行。比如,在計算機的內存管理中,可能會由于外部網絡在連接的過程中觸發相應的模塊缺陷,導致整個網絡系統在運行的過程中出現癱瘓。一些不法分子正是在對操作系統進行破壞利用這些漏洞,對計算機網絡安全系統的信息安全性構成了很大的威脅。
4計算機網絡安全防范措施
1)合理配置防火墻。網絡防火墻能夠對網絡行為進行控制,從而保護內部網絡操作環境的安全。當網絡的外部用戶通過正常的渠道對網絡內部資源進行訪問時,可以對該用戶的行為進行有效控制。網絡防火墻是屬于互聯網絡設備的一種,通過防火墻可以對兩個甚至兩個以上的網絡之間的數據傳輸進行檢查和保護,當對允許信息傳遞時才進行信息傳遞。此外,網絡防火墻可以實現在計算機網絡系統運行的過程中對網絡運行狀態的進行實時監控。一般來說,按照技術類型可以將網絡防火墻分為監測型、型、地址轉換型以及包過濾型。地址轉換防火墻,指的是通過防火墻將內部網絡的IP轉換為外部網絡的地址,從而對內部IP地址進行臨時的保護。因此,只能在外部IP地址經過處理后根據端口號訪問內部網絡;包過濾型防火墻支持網絡分包傳輸,通過對數據包中的地址信息進行分析,依據數據包可靠性對一些不信任的站點進行排除。一般情況下,在路由器連接內部局域網和外部網之間設置包過濾防火墻。基本上所有的路由器生產公司的路由設備只能夠支持一個網絡管理員訪問的網絡通信建立,而且不允許普通用戶訪問路由器的端口號表。有些設備甚至允許路由器為每個用戶或子網提供端口過濾功能,因此計算機網絡的管理員能夠對訪問進行精細化地控制。所以,防火墻的使用使得網絡管理員不需要通過在網絡組織內訪問每個用戶的計算機來保障該網絡系統的安全。換句話說,防火墻為普通用戶在網絡內能夠自由地對他們的計算機網絡進行隨意配置提供了條件。在防火墻內部網絡向防火墻外部網絡發起連接時,必須進行嚴格限制。在對這種連接情況處理時必須弄清楚產生網絡威脅的原因是什么,以排除威脅網絡安全的潛在因素。
2)服務器的防毒工作。眾所周知,網絡的核心就是服務器,在網絡運行過程中服務器一旦被病毒感染,那么該病毒會對網絡服務器進行攻擊和破壞,導致網絡服務器處理性能和存儲性能下降,嚴重者可能甚至導致網絡服務器及其所屬的計算機網絡出現嚴重癱瘓情況,不能提供正常、高效的網絡服務給用戶,這會給社會經濟及其正常運轉帶來一些負面影響。目前,隨著計算機網絡技術的發展,對網絡服務器的防病毒技術已經取得了巨大的發展和豐碩的成果。通過將預防病毒技術與殺毒軟件(網絡版)應用于服務器安全之上,能夠實現網絡病毒的防護及清除,對病毒的蔓延進行有效控制,保證為用戶提供安全、穩定的網絡。
3)及時修復網絡漏洞。由于計算機網絡中軟硬件以及程序的設計不夠完善,或者功能不全以及配置不當,在網絡系統中往往存在了一些網絡漏洞。這些漏洞極易被黑客利用,實現對網絡的攻擊。有關調查表明,幾乎市面上所有的網絡軟件和網絡設備都存在漏洞或者缺陷,而這同時恰恰也成為了大多數黑客或者病毒攻擊的對象。一般情況下,網絡信息安全問題的產生很大原因是系統程序存在漏洞。因此,網絡系統維護人員在維護網絡時,要能夠及時關注軟件的開發商是否修復漏洞的補丁程序,在補丁時及時完成補丁程序的安裝,保證網絡運行環境的安全。
4)增強用戶賬戶安全。在網絡中用戶在使用一些網絡服務時需要注冊相應網站的賬戶,用戶在注冊帳戶時經常會因為嫌起名麻煩以及密碼不好記憶從而出現復用(一號多用)的現象。即用戶的網上銀行帳戶,電子郵件帳戶,購物網站賬戶等其他個人賬戶的用戶名和密碼都是相關的。因此,一些非法黑客對計算機網絡系統攻擊在竊取用戶一個合法帳戶號碼和密碼后,會嘗試以此賬戶密碼登陸用戶的網銀等賬戶,使用戶信息泄露或者財產損失。因此,為了保證計算機網絡中用戶賬戶安全,用戶需要設置復雜的賬戶密碼,同時也要避免重復注冊相同或類似的賬號和密碼設置,在設置密碼時在密碼中增加特殊的符號、字母和數字的組合設置。而且在賬戶使用過程中可以定期更換用戶密碼,保證用戶賬戶安全。
5)網關技術應用。在早期的互聯網中網關指的是路由器,可以認為它是通向Internet的大門。隨著時間的推移,路由功能可以通過主機和交換集線器完成網關的功能。在網絡的使用過程中通常配備有防火墻,我們依靠防火墻來阻止指定的應用程序網關。比如說,我們要將發送電子郵件到特定的主機,中間通過網關來實現郵件的發送功能,所以我們可以將網關當中所有電子郵件的一個傳輸站。
6)虛擬專用網絡(VPN)。一些組織為自己員工提供網絡服務,在這種情況下可以建立組織自己的虛擬專用網。VPN的主流方式是按協議進行分類,通過在公用網絡上建立組織或者個人的專用網絡,然后對網絡通信過程進行加密。這一技術目前在企業網絡中已經得到了廣泛應用。因此,要實現用戶的遠程訪問,必須通過VPN網關對數據包的加密和數據包目標地址進行轉換,從而使用戶通過VPN實現在外網對內網的訪問。VPN的實現方式有多種,如服務器、PC機等硬件以及其配套的軟件等。在建立虛擬專用網絡時,網絡管理員需將防火墻設置為只允許特定的機器或授權的機器開發訪問,從而實現網絡通問。
作者:王曉光 單位:唐山市科學技術情報研究所
參考文獻:
篇(4)
在信息技術和素質化教育全面結合的大環境下,我們國家對學校課堂提出了更多的要求,在一定程度上也進行了相應的調整。不再只是單純的背誦一些學科的理論知識,而是重視技術的不斷改進和升級,這些有效的變化有利于學校的不斷創新和發展,并給學校未來的建設指明了發展方向。高職院校作為培育復合型人才的主要陣地,在這種情況下也應當發揮出自身的優勢和作用,充分利用信息技術自身的優勢,認真分析網絡構建中遇到的風險和隱患,提高對安全管理的重視和關注。
1高職院校計算機信息網絡技術的主要內容
1.1計算機信息安全技術的概念
通常意義上所說的計算機信息安全技術,是以專業人員的操作為依托的信息化管理,這也是高職院校建設中的一門專業科目。群眾需要在探索的過程中掌握特定的基礎知識,這樣才可以應對實際生活中遇到的問題和挑戰。當下,高職院校也逐步提高了對計算機信息技術安全教育的重視。在這一領域展開了一系列的探索和實踐,特別是就計算機的管理和檢測來講,投入了更多的精力和時間。然而值得注意的是,有相當一部分高職院校在計算機信息技術安全管理的過程中存在一定的漏洞,這就導致許多不良信息和病毒的非法侵入,需要在未來得到進一步的優化和完善。
1.2計算機信息安全技術涉及的范圍
通常意義上所說的計算機信息網絡安全技術,指的就是在一系列防火墻技術的阻止和攔截下,將各類有問題的信息和網頁阻擋在系統之外的現代化手段。其自身應用的主要目的是為了防止系統出現漏洞,抵御外來病毒的入侵,保證計算機系統運行的安全性和穩定性。在這里,計算機信息技術安全包括物理安全和設備安全兩個方面。物理設備需要定期的檢查和維修,由此來排查潛在的不明信息和數據,高職院校也需要根據計算機的規模和性能展開定期的殺毒。目前,教育部也更加重視高職院校計算機教育的情況和方法,也針對這一領域提出了一系列的意見,推動了高職院校教學計劃的進一步完善,高職院校也需要酌情根據自身發展的實際水平,調整策略和方法。
1.3高職計算機信息技術在近些年來的發展
當下,計算機信息技術已經深入到社會發展的各個層面,成為群眾生產生活的重要組成部分,信息化操作也是群眾追求的主要目標。但不可否認的是,大部分群眾對計算機的了解也只是停留在較為淺顯的層面上,許多偏遠地區的居民也尚未接觸到這一領域,所以計算機信息技術的發展也必須要進一步推廣。同時,由于網絡具有一定的虛擬性和開放性,所以在執行信息操作的過程中也有可能攜帶諸多類型的病毒,要加強對信息技術的規范性管理,由此來為群眾的實踐奠定堅實的基礎。當下,高職院校也正是針對這一領域展開多個角度的研究,目的是為了提供更好的計算機信息安全技術的管理策略。
2高職院校計算機信息網絡安全問題
2.1系統出現安全漏洞
盡管計算機信息網絡的發展范圍已經擴大了,但在普及的過程中也必然存在著固有的系統漏洞,這些漏洞是隨著系統設計和制作而產生的,是無法避免的。部分不法分子利用這些固有的漏洞攻擊網絡系統,嚴重威脅到計算機的安全和穩定。盡管大多數網絡黑客不以盜取網絡用戶信息和入侵網絡系統為目的,但很多不法分子仍舊會利用這些漏洞來滿足自己的經濟需要。許多計算機數據網站信息都因為黑客的攻擊而被大幅度泄露,進一步威脅了高職院校自身的數據安全,也阻礙了教育活動的有序開展。
2.2病毒的感染和破壞
除了基本的漏洞問題和黑客入侵問題,病毒感染也是造成高職院校網絡安全隱患的重要原因。一旦計算機遭到了病毒的入侵,系統的運行也必然會受到更大的阻礙和限制,例如文件夾錯亂、數據丟失、計算機硬盤無法正常打開等問題。同時,部分計算機病毒也具有明顯的傳染性特征。如果高校的某一臺計算機遭到了入侵,那么就很有可能波及其他的系統。再加上,部分病毒的傳染性強,而且傳播速度快,能夠通過文件下載或者是外部硬盤等途徑侵入計算機網絡內部,隱藏在群眾的生產生活中,隨時影響設備的正常運轉和使用。就高職院校來講,其自身的辦學規模較大招生人數較多,所以內部的校園系統較為復雜,使用計算機的用戶數量驟然增加,因此隱藏的網絡病毒也多種多樣。如果病毒入侵了高職院校內部的網絡,也必然會影響師生的正常活動,嚴重時也會造成整個校園網絡的癱瘓。
2.3不良信息的傳播和網絡資源的濫用
信息技術的發展的確給現代化課堂注入了更多的生機與活力,教師的教學和學生的學習都擁有了更多的可能性,但隨之而來的同樣也有危害和風險。一方面,計算機可以拓展學生的想象力和視野,豐富學生的課余生活和課后生活,為學生的知識開辟更加寬廣的途徑。另一方面,高職院校學生的學習基礎相對薄弱,他們學習積極性是有所欠缺的,自制力不強,注意力和精神也不夠集中。在很多情況下都是為了應付教師而進行探究,他們使用計算機的目的并不是為了查找學習資料,而是進行與學習完全無關的事情。例如用計算機下載游戲,下載娛樂軟件,游戲和軟件會帶來特定的外部資源,這也在一定程度上增加了校園網內部的網絡安全風險,讓潛在病毒越積越多,最終導致不良信息侵入校園系統,影響學生的價值觀念養成和身心健康發展,阻礙各項教學工作的有序進行。
3計算機信息技術在高校網絡安全中的應用內容
3.1防火墻技術
防火墻技術是高校網絡安全管理中較為常見的手段,在整個校園網絡系統建設中發揮的作用需要引起足夠的重視。該技術可以全面提高校園網絡系統的整體安全性和穩定性,最重要的還是技術本身就十分突出,不僅能夠發揮出優秀的抗擊打能力,而且還可以在特定的條件下抵御外界的干擾和影響。正是因為如此,防火墻技術一般情況下可以在校園網和外部網之間合理的使用,能夠合理地對外部網絡的安全性進行檢測和辨析,并給予內部網絡資料保護,防止關鍵數據被盜取,阻止不良信息的入侵。防火墻技術在高校網絡系統中的應用,可以阻止黑客入侵,能夠限制不法人員強行突破電腦的行為,為校園網的運行創造更加優良的環境,從根本上扼殺風險和隱患的源頭。除此之外,防火墻還可以更好的控制工作人員對外部網絡的探訪水平,可以約束內部人員的思想和行為,防止內部人員作出不合理的舉動來威脅系統的安全。防火墻在很多方面促進了校園網絡的全面安全發展和有效建設,極大地減少了出現網絡安全問題的一些概率。因此在以后的建設過程當中,高職院校也需要進一步提高對防火墻技術的重視,預防信息泄露問題的產生,對相關網絡數據展開全天候的監測和辨別。
3.2防范計算機病毒技術
盡管,網絡技術發展不斷成熟,為高職院校的教學帶來了更多的契機,但網絡自身也具有開放性和互動性的特點,所以也必然會帶來一系列的安全威脅。其中計算機病毒是較為突出的一個問題,病毒的種類各式各樣,傳播速度非常快,影響范圍非常的廣泛,而且破壞力比較強,給整個校園網絡的安全維護帶來了挑戰。在這種情況下,就應當對計算機病毒進行技術性的防范,建立科學合理的計算機病毒防御系統。所以,有相當一部分網絡安全管理人員也針對這一領域展開了探究,定期全面檢查所有的電腦,只要發現入侵的病毒,就要全面使用防御系統及時地做出正確的判斷,然后進行妥善的解決,避免病毒再一次出現較大規模的擴散。防病毒技術大致包括三個部分的內容,能夠進一步降低病毒出現的概率。病毒檢測技術針對的是已經發現的病毒,能夠分析病毒的特點、類型和傳播形式,為后期的清除工作提供有效的參考依據。病毒清除技術運用的目的是為了將病毒從根源上進行全面鏟除,確保校園網絡能夠更加的安全和順利運行。
3.3數據加密技術
筆者在上文中已經提到過高職院校的數據信息十分復雜,有很多信息的重要性也是不言而喻的,能夠直接影響到高職院校的發展質量,想要避免信息發生泄漏,出現一些嚴重的盜取行為,就應該積極地引進一些數據加密技術。數據加密技術可以使用鏈路加密,來全面提高校園網運行的安全性。節點加密主要針對的是信息的各個節點,而且也會對外部網絡端進行防護,為信息的傳輸創造更加安全穩定的環境,防止網絡問題的產生。
4高職院校計算機信息網絡安全的防范措施
4.1強化計算機硬件和軟件的防護功能
雖然計算機生產和設計中的漏洞是不可避免的,但高職院校可以利用有效的技術手段來減少漏洞,甚至是將漏洞隱藏,由此來規避不法分子利用。對此,高職院校必須要加大資金支持的力度,要購置良好的計算機產品或者是配套設備,并且要把設備防護工作落實到具體的部門和責任人身上,采取針對性的應急手段,對設備展開維護和保養,從源頭上保證每件設備都能夠得到相應的防護。每個責任人都擁有相關計算機防護的密碼,構建全方位的維護和防衛格局,最大限度地避免計算機遭到嚴重的破壞。高職院校可以分開管理計算機主機,針對不同的批次分配相應的管理負責人,相關負責人必須要具備相對獨立性,強化密碼的設置,要定時檢測和維修光纖線路,發揮出自身的主觀能動性。同時,高職院校也應當進一步升級信息網絡軟件系統,安裝特定的安全系統,抵御外部網絡入侵帶來的破壞。安全系統可以是文章中所提到的防火墻,或者是其他帶有抵御功能的網絡系統,有效地減少網絡漏洞。高職院校也可以安裝信息過濾軟件系統,攔截不健康的數據,加大校園網絡平臺監督管理工作的力度,避免不良的思想侵害學生的意識。
4.2完善網絡安全制度
高職院校應當根據教師和學生計算機的實際使用情況,認真做好調研,完善現有的網絡安全管理機制。推動網絡安全技術工作真正落到實處,保證每一個網絡管理崗位都能夠按照標準來執行自己的任務,履行自己的職責和權限。高校可以采用網絡信息技術平臺實名認證的方式,統一網絡用戶的身份信息,排查潛在的風險和隱患。例如,可以建立健全相關網絡管理機制,針對校園網絡的運用情況,制定防衛制度。禁止不良操作行為的產生,并把這一制度延伸到教師和學生身上,教師根據制度的要求限制學生的使用行為,監管學生的網絡活動,避免學生誤入歧途。高職院校也可以采用實名制的方式,教師和學生在登錄網絡的時候,必須使用真實的身份信息才能夠登錄成功,身份信息可以是學生的身份證號或者是學籍號。同時,如果學生和教師的身份信息遇到了危險,高校就可以針對備份信息進行核查,追究相應的責任,防止不安全的網站給師生帶來不良影響。
4.3強化信息技術人員的培訓
由于計算機信息技術管理工作需要依賴人為主體來完成,所以也在新時期對技術人員提出了更加嚴格的要求。高職院校需要壯大自身的信息技術隊伍,培養出掌握高端技術的專業人才。推動技術人員經驗的下放,把技術要點傳授給學生,提高學生的安全意識和危機意識,提高信息技術安全工作人員的整體素質。對此,高職院校必須要針對技術人員展開全方位的教育,讓技術人員能夠積累更多的知識和經驗,用更加包容和開放的態度學習新的理念,進一步優化校園網絡的建設。
4.4強化教育和宣傳
篇(5)
中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 12-0000-02
Analysis on Prevention Strategies of Enterprises Internal Network Security
Feng Jie
(Chongqing MSA Communication and Information Center,Chongqing408000,China)
Abstract:With the development of computer network technology,more and more enterprises to establish their own internal network.Although information transfer and sharing with fast and stable,easy and flexible features,but its lack of security of the structure is to be virus outbreak,the first weak link data leakage.Enterprises within the article based on the current status and characteristics of network security,network security threat analysis,and presents preliminary preventive measures and control strategies.
Keywords:Security;Information;Internal network;Prevention strategies
隨著計算機及信息網絡技術的飛速發展,企事業單位數字化管理作為為網絡時代的產物,已經成為目前應用管理發展的方向。同時,隨著各企業內部網絡規模的急劇膨脹,網絡用戶的快速增長,單位內部網絡安全是信息化建設中不可忽視的首要問題。網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。
一、企事業內部網絡的現狀及威脅網絡安全的因素
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機一旦連接入網,將成為眾矢之的,處于危險的境地。目前,被廣泛使用的網絡操作系統主要是UNIX、Linux、WINDOWS等,這些操作系統都存在各種各樣的安全問題,許多新型計算機病毒都是利用操作系統的漏洞進行傳染。如不對操作系統進行及時更新,彌補各種漏洞,計算機即使安裝了防毒軟件也會反復感染。
2.缺乏隔離機制:一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。網關是內外網通信的必經之路,是外網聯入內網的咽喉。使用網關的好處在于,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過網關,進而才能訪問到Internet,這樣操作者便可以比較方便地在服務器上對網絡內部的計算機訪問外部網絡進行限制。
3.病毒的破壞:計算機病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、破壞網絡資源、使網絡效率急劇下降、甚至造成計算機和網絡系統的癱瘓,是影響單位內部網絡安全的主要因素。
4.非正常途徑訪問或內部破壞:在單位內部中,有人為了報復而銷毀或篡改人事檔案記錄;有人改變程序設置,引起系統混亂;有人越權處理公務,為了個人私利竊取機密數據等。這些安全隱患都嚴重地破壞了單位的管理秩序,造成了管理的混亂及重要文件的外流。
5.網絡入侵:是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的計算機進行非授權的操作。
6.網絡硬件設備受損:企事業單位內部網絡涉及的設備分布在整個單位內,管理起來非常困難,任何安置在不能上鎖的地方的設施,都有可能被人有意或無意地損壞,這樣可能會造成內部網絡全部或部分癱瘓的嚴重后果。
7.缺乏安全意識:企事業內部網絡是一個比較特殊的網絡環境。隨著單位內部網絡規模的擴大,目前,大多數基本實現了科室辦公上網。由于上網地點的擴大,許多領導和員工的計算機網絡安全意識薄弱、安全知識缺乏。加之規章制度還不夠完善,還不能夠有效的規范和約束其上網行為,使得網絡監管更是難上加難。
二、企事業網絡安全的防范策略
(一)技術層面對策
1.防火墻(Fire Wall)技術:防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的唯一出入口,能根據使用者的安全政策控制出入網絡的信息流。根據防火墻所采用的技術和對數據的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監測型。
2.數據加密技術:數據加密技術是最基本的網絡安全技術,被譽為信息安全的核心,最初主要用于保證數據在存儲和傳輸過程中的保密性。加密技術通常分為兩大類:“對稱式”和“非對稱式”。對稱式加密就是加密和解密使用同一個密鑰,通常稱之為“Session Key”這種加密技術目前被廣泛采用。而非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。
3.數字簽名技術數字簽名是通信雙方在網上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發信方也可以抵賴他發過該密文,若產生糾紛,將無法裁決誰是誰非。
(二)日常管理層面對策
1.建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。同時,加強對工作人員的管理教育,不斷加強自身學習,了解新形勢,適應新變化。充分認識到新時期保密問題的重要性、緊迫性,不斷增強保秘意識,提高計算機網絡安全保密知識水平,真正了解所有設備的性能,掌握防止泄密的知識和防范措施。
2.數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法。恢復是在意外發生后利用備份來恢復數據的操作。
3.對操作系統、數據庫及服務系統進行漏洞修補和安全加固。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的可移動磁盤和程序,不隨意下載網絡可疑信息。
4.提高網絡反病毒技術能力。通過安裝病毒防火墻,進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監測,在工作站上采用防病毒卡,加強網絡目錄和文件訪問權限的設置。在網絡中,限制只能由服務器才允許執行的文件。
(三)物理安全層面對策
要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
1.計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2.網絡機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要,它直接影響到系統的安全性和可靠性。選擇計算機網絡機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3.機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞篡改重要數據、盜竊網絡設施、非法暴力入侵等而采取的安全措施和對策。
三、結束語
總之,網絡安全是一個綜合性的課題,涉及技術、使用、管理等諸多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。對于企事業單位內部,不管是網絡管理員還是一般人員,一定要提高網絡安全責任意識,加強網絡安全技術的掌握,改善單位內部網絡安全現狀,從而對我國信息技術的日益發展產生重大影響。
參考文獻:
篇(6)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2012)29-6945-03
隨著計算機的發展,計算機網絡逐漸滲透到各個技術領域和整個社會的各個方面。它不僅使分散在網絡各處的計算機能共享網絡上的所有資源,而且能為用戶提供強有力的通信手段和盡可能完善的服務,從而極大地方便了用戶。因此許多單位都建立了自己的網絡,但在建設網絡的過程中,由于對網絡安全認識不夠重視,網絡安全隱患不免存在,致使機密數據會隨時泄露、甚至全網處于癱瘓而不能工作,因此網絡安全是我們所面臨的亟待解決的一個刻不容緩的問題。
1 網絡安全的定義
網絡安全從本質上來說就是網絡信息的安全。從概念上來看,網絡和安全是根本矛盾的。網絡的設計目的是盡可能地實現一臺計算機的開放性,而安全則要盡可能地實現一臺計算機的封閉性。因此,在現實中,計算機網絡的安全性,實際上是在二者中尋找到一個平衡點,一個可以讓所有用戶都可能接受的平衡點。
總的來說,網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不會因為偶然或惡意的原因而遭到破壞、更改、泄露,系統能連續、可靠、正常地運行,網絡服務不中斷。
2 網絡安全面臨的威脅
網絡在推動社會迅猛發展的同時,也產生了一些新的問題,即網絡安全面臨的威脅也應運而生,如站點被攻擊、計算機病毒、信用卡被盜、拒絕服務攻擊等等,使網絡面臨極大的挑戰。下面通過兩個用戶小王和小李在計算機網絡上的通信來考察計算機網絡面臨的威脅。如圖1所示。
圖1 對網路的主動攻擊和被動攻擊
截獲:當小王通過網絡與小李通信時,如果不采取任何保密措施,那么別人就很有可能偷聽到他們的通信內容。
中斷:當用戶正在通信時,有些故意破壞者可中斷他們的通信,從而發送的信息到達不了目的站。
篡改:當用戶正在通信時,有些故意破壞者可從中改寫他們的通信內容,從而使發送的信息不能準確地到達目的站。
偽造:當用戶正在通信時,有些故意破壞者可從中偽造他們的通信內容,從而使發送的信息不能準確地到達目的站。如我們可以通過電話通信,利用聲音來確認對方。而用計算機通信時,如在小王的屏幕上顯示出“我是小李”時,小王就不能確定對方是小李還是其他人。
以上四種對計算機網絡的威脅可劃分為兩大類[4],即主動攻擊和被動攻擊。在上述情況中,更改信息和拒絕用戶使用資源的攻擊稱為主動攻擊,而截獲信息的攻擊稱為被動攻擊。主動攻擊指攻擊者對某個連接中通過的數據單元進行各種處理。如有選擇地更改、刪除、延遲這些數據單元。 甚至還可以將偽造的、篡改的數據單元送入到一個連接中去。還有一種特殊的主動攻擊就是惡意程序的攻擊。被動攻擊是指觀察通過某一個協議數據單元而不干擾信息流。也就是說這些數據對攻擊者來說是不容易理解的,他也可以借助數據單元的協議控制信息部分,查明正在通信的協議實體的地址和身份,分析數據單元的長度和傳輸的頻度,以便理解所通信的確切含義。
計算機網絡安全的威脅不僅僅來自上面的幾種。總的來說,主要包含以下幾個方面[3]:
1)信息泄露或丟失威脅
它是指敏感性的或保密性的數據中有意或無意中被泄露或丟失,常常表現為數據在傳輸中丟失或泄露。如黑客常常利用電磁泄漏或搭線竊聽等方式截取重要數據信息等。
2)數據完整性破壞威脅
數據完整性破壞是指用不正當的手段獲得對數據的使用權,對數據進行未授權的創建、修改或破壞,使數據的一致性遭到破壞。
3)拒絕服務威脅
拒絕服務是指不斷對計算機網絡服務系統進行干擾,更改其正常的作業流程,執行無關的程序,使得本系統的運行速度變慢甚至癱瘓,從而影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到所請求的服務。
4)非授權防問威脅
非授權防問是指沒有預先經過同意就使用計算機網絡或計算機網絡資源被看作是非授權訪問。非授權訪問主要有假冒身份攻擊、非法用戶進入計算機網絡系統進行違法操作、合法用戶以未授權方式進行操作等形式。
5)特洛伊木馬威脅
計算機技術中的木馬,是一種與計算機病毒類似的指令集合,它寄生在普通程序中,并在暗中進行某些破壞性操作或進行盜竊數據。造成數據丟失和泄露。
6)系統安全威脅
系統安全常常是指計算機網絡操作系統的安全。因為操作系統本身存在安全漏洞,所以操作系統如果沒有采用相應的安全配置,就會漏洞百出。
7)病毒威脅
病毒是惡意破壞系統和應用程序的代碼或程序,可以自動在網絡中進行多種方式的傳播。
8)暗門威脅
暗門又稱后門,指隱藏在程序中的秘密功能,通常是程序設計者為了能在日后隨意進入系統而設置的。
9)盜用密碼威脅
通常有兩種方式:一種方式是因為用戶不小心密碼被他人“發現”了。而“發現”的方法一般是“猜測”。另一種比較常見的方法是先從服務器中獲得被加密的密碼表,再利用公開的算法進行計算,直到求出密碼為止,這種技巧最常用于Unix系統。
10)內外部泄密威脅
內外部泄密的可能原因有操作員使用不當,安全配置不規范造成的安全漏洞,用戶安全意識不強,設置的用戶口令過于簡單,將自己的帳號隨意告訴他人,與其他人共享某些機密信息等。這些都有可能帶來很大的危害,造成企業機密數據丟失,使得企業遭受巨大的經濟損失。
11)重演威脅
指截獲并錄制信息,然后在必要的時候重發或反復發送這些信息。
12)其他威脅
對網絡安全的威脅還包括軟硬件故障的威脅、各種自然災害的威脅等等。
當前,計算機網絡安全所面臨的威脅越來越嚴俊,而且一些威脅體現的形式也越來越多樣化。因此,充分地而又正確地認識計算機網絡安全存在的威脅,積極采取防范策略,對于保護信息和計算機網絡免遭破壞是非常有必要的。
3 網絡安全的防范策略
在計算機網絡中可以綜合運用下面這些防范策略[3]來應對上面的威脅。
1)隔離及訪問控制策略
首先要有嚴格的管理制度,可制定如“用戶授權實施規則”、“口令及賬戶管理規范”、“權限管理制度”、“安全責任制度”等一系列的規章守則。其次可以通過劃分虛擬子網,實施較為粗略的訪問控制。內部辦公自動化網絡可以根據不同用戶安全級別或者根據不同部門的安全需求,利用三層交換機來劃分虛擬子網,在沒有配置路由的情況下,不同虛擬子網間是不能夠互相訪問的。
2)數據加密策略
所謂加密是指將數據信息(即明文)轉換為不可識別的形式(即密文)的過程,目的是使不應該了解該數據信息的人不能夠知道或識別。在計算機網絡中,采用加密技術將真正要通信的信息隱藏起來,再將隱藏后的信息傳輸出去,這樣信息在傳輸的過程中即使被竊取或截獲,竊取者也不能了解信息的內涵,從而保證信息傳輸的安全。
3)防火墻策略
防火墻是用來連接兩個網絡并控制兩個網絡之間相互訪問的系統,它包括用于網絡連接的軟件和硬件以及控制訪問的方案。防火墻系統的主要目標是對進出的所有數據進行分析,并對用戶進行認證,從而防止有害信息進入受保護的網絡系統,為網絡提供安全保障。 防火墻本身是一種隔離技術,用來防止不希望的、未授權的通信進入被保護的網絡。
4)身份認證策略
身份認證是指判斷一個網絡實體是否是其所聲稱身份的過程。在開發的網絡環境中,服務提供者需要通過身份鑒別技術判斷提出服務申請的網絡實體是否擁有其所聲稱的身份。
5)網絡安全掃描策略
網絡安全掃描是為使系統中存在的安全漏洞,并采取相應的防范措施,從而降低系統的安全風險而發展起來的一種安全技術。
6)防病毒策略
防病毒就是采用各種有效的手段對病毒進行預防、檢測和清除,將病毒危害程度降到最低,保證計算機網絡能夠長期安全而又穩定地運行。
防病毒的主要策略如下:①安裝殺毒軟件,經常定期的檢測計算機;②及時對各種文件作備份;③對外來磁盤、光盤等進行殺毒處理;④避免瀏覽非法網頁;⑤對電子郵件提高警惕,對來歷不明的郵件不要輕易打開。
7)入侵檢測策略
入侵檢測是指“通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖”。它是一種主動保護自己免受攻擊的網絡安全技術,能實現對網絡的安全監視,是防火墻的合理補充,能夠幫助系統應對網絡攻擊,擴展了系統管理員的安全管理能力。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統。
8)黑客誘騙策略
黑客誘騙技術通過一個由網絡安全專家精心設置的特殊系統來引誘黑客,并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐系統,其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄,網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后,仍不知曉自己所有的行為已經處于系統的監視之中。同時管理人員可以通過記錄下的信息還可以作為對黑客的證據。
9)網絡備份系統策略
為了盡可能快地全盤恢復運行計算機系統所需的數據和系統信息,人們引入了備份系統。根據系統安全需求可以選擇的備份機制有:場地內高速大容量自動的數據存儲、備份與恢復;場地外的數據存儲、備份與恢復;對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用,同時也是系統災難恢復的前提之一。
4 網絡安全的目標
鑒于上面的網絡威脅的多樣性、復雜性及信息的重要性等等,可以看出網絡系統安全的七項安全目標:合法性、保密性、可用性、可審查性、可控性、完整性和不可否認性。
合法性:每個想獲得訪問的實體都必須經過鑒別或身份驗證。
保密性:確保信息不暴露給未授權的實體或進程。
可用性:得到授權的實體在需要時可訪問數據。
可審查性:對出現的網絡安全問題提供調查的依據和手段。
可控性:可以控制授權范圍內的信息流向及行為方式。
完整性:只有得到允許的人才能修改數據,并且能夠判斷出數據是否已被篡改。
不可否認性:也稱不可抵賴性,是確保發送消息的人不能否認其所發過的消息。
5 結束語
在計算機網絡日益發展的今天,網絡的安全性問題已經引起了公眾的高度重視,因此,必須清醒地認識對于達到整個的Internet網,小到局域網,都存在著來自網絡內部和外部的威脅。要使網絡有序安全地運行,必須加強網絡的使用方法、網絡安全與道德教育,提升網絡安全防范策略,不斷地健全相關的規章制度,明確網絡安全的目標,才能使計算機網絡更好地服務于社會。
參考文獻:
[1] 張紅旗.信息網絡安全[M].北京:清華大學出版社,2003.
[2] 宋紅,吳建軍.岳俊梅.計算機安全技術[M].北京:中國鐵道出版社,2003.
[3] 張苗,肖樂.局域網組建、管理與維護 [M].長沙:國防科技大學出版社,2009.
[4] 王風茂,張學軍.計算機網絡技術[M].北京:大連理工出版社,2009.
篇(7)
關鍵詞:計算機網絡;安全;防范策略
中圖分類號:TP309 文獻標識碼:A文章編號:1671—1580(2013)07-0149-02
當今世界,隨著互聯網技術的快速發展,計算機信息技術已經延伸到人們日常生活的各個領域。比如,小到個人的網上購物、金融理財;大到國家的政治外交、商業貿易等等都充斥著計算機網絡信息化的身影。隨著計算機網絡信息化的飛速發展,世界也逐漸以一個嶄新的面孔面向未來,而社會上的各個領域如學校、社區、醫院、政府機關等等對計算機網絡這個數據傳輸和信息交換的國際公用平臺的依賴性也越來越強。但是正因為如此,越來越多的計算機網絡安全問題也隨之而來。比如黑客入侵、數據丟失、信息被盜、病毒攻擊、軟件漏洞、系統配置不當等等。雖然目前人們采取了許多措施,像殺毒軟件、網絡監測、掃描漏洞、配制防火墻等等,但是還是會有諸如計算機網絡系統中硬件、軟件數據被破壞、更改、泄露的事情發生。這對計算機網絡的健康發展是不利的,同時也會威脅到人民的財產、國家的安全以及社會的穩定。因此,計算機網絡急切需要一個強大無比的防范措施來維護其自身的效益和作用。那么,如何才能維護計算機網絡的安全性,讓它發揮自身的效益呢?本文首先從計算機網絡安全的主要隱患入手,然后分析了一些可以影響到計算機網絡安全的主要因素,最后對如何應對計算機網絡安全的一些具體策略進行了重點探討。
1 計算機網絡安全的主要隱患
1.1 計算機網絡安全的定義
根據國際標準化組織(ISO)對計算機網絡安全所下的定義,所謂的計算機網絡安全就是指建立和采取一些有效的管理和技術保護措施,使計算機網絡系統中的硬件、軟件中的各種數據不會因為偶然或者惡意的人為因素而使數據被更改、泄露、破壞,確保計算機網絡系統能夠不斷連續地正常運行,并為個人或者社會不中斷地提供可靠的計算機網絡服務。
1.2 影響計算機網絡安全的因素及其成因
1.2.1 數據和信息泄密和被篡改
數據和信息的泄密不單單只是把資料透露給非授權的實體,對數據和信息進行了破壞,同時它還會破壞系統的保密性。導致數據和信息泄密和被篡改的因素有很多,包括人為的和非人為的,其中在人為因素當中又分無意的和惡意的。人為無意的因素主要包括:操作人員操作不當、用戶淡薄的安全意識、隨意進行資料共享等等;人為惡意的因素主要包括:黑客攻擊、網絡犯罪等等。這些人為的因素都會導致計算機網絡數據和信息的缺失和不完整,并會使得一些機密的數據和信息外泄和被篡改,這是對計算機網絡安全極為不利的。除去人為因素之外,常見的導致數據和信息泄密和被篡改的其它一些因素主要包括:病毒入侵、木馬滲透、流氓軟件、漏洞利用等等。還有就是計算機網絡自身的開放性及廣域性也使得數據和信息的保密難度加大。
1.2.2 系統漏洞和配置不當
當今許多流行的計算機網絡操作系統本身就存在很多的漏洞與缺陷,再加上由于大量的計算機網絡用戶在使用一些軟件上不加甄別,隨意下載和使用盜版軟件,更有甚者會故意利用計算機網絡監測的疏忽來造成一些計算機網絡系統漏洞,這就為黑客和那些可以利用各種漏洞的蠕蟲提供了機會,它們會利用這些網絡系統漏洞來對整個網絡系統進行惡意的攻擊。比如蠕蟲變種后會先通過利用一些掃描工具來探測計算機網絡系統中的安全漏洞,進而建立一些可以攻擊網絡系統的惡意攻擊程序;再如黑客能夠利用一些系統漏洞來入侵計算機網絡系統等等。這些對整個網絡系統都是不利的,使得系統提供的服務被拒絕,個人信息的安全受到危害,甚至會導致整個計算機網絡的癱瘓。
倘若用戶在使用計算機網絡系統時配置不當,也會造成一些安全隱患。比如,一些用戶在使用計算機的防火墻軟件時設置不合理、配置較隨意,這就會導致計算機的防火墻軟件變得一無是處、毫無作用。再如,一些特定的計算機網絡應用軟件會和許多應用軟件捆綁在一起,當用戶將這些應用程序啟動時就會導致其他不需要的程序開啟,這有時也會影響到計算機網絡的安全,因此計算機網絡用戶要正確配置這些應用軟件或者禁止其不正常的運行。
1.2.3 計算機病毒和網絡黑客
計算機病毒是一種人為設定的惡意程序,它已經成為目前計算機網絡數據完整和信息安全的頭號敵人。它通過對計算機程序的編程和插入一些可以破壞其正常服務功能的數據來對計算機部件的正常運行進行干擾和破壞。它的特點有:較強的傳染性和寄生性、較高的隱蔽性和破壞性,因此它常常能夠繞過計算機網絡系統的殺毒軟件和防火墻。計算機一旦感染病毒之后,系統運作的效率會降低、數據會缺失、信息被毀壞,嚴重的話會致使計算機操作和硬件系統癱瘓。這對個人和社會都會造成巨大損失,對全球的計算機網絡系統健康地運轉也是不利的。
網絡黑客對計算機網絡系統的攻擊也是計算機網絡系統必須面對的一個棘手問題。網絡黑客們善于觀察和發掘計算機網絡系統的缺陷和漏洞,能夠在不干擾計算機網絡正常運作的情況下竊取、破解個人機密信息和數據;他們在侵入計算機網絡系統后又會對計算機的硬件、軟件進行攻擊和破壞,致使計算機網絡系統喪失正常功能、變得癱瘓。由此可見,網絡黑客幾乎無處不在,已經對計算機網絡系統造成極大的危害。
2 計算機網絡安全防范策略
2.1 計算機網絡安全防范的原則
在確定計算機網絡安全防范的具體策略之前,先要明確在計算機網絡安全防范過程中一些必須遵守的原則。首先要遵照相關規定和法律,在采取相應安全的措施來確保計算機網絡安全時要保持適度的安全,遇到具體問題要具體分析;同時還要遵循最高密級的防護原則,確保信息和數據的保密性。其次,在計算機網絡安全建設中要保持同步和嚴格把關,各個細節要仔細審批;同時還要保持信息和數據的訪問權限達到最小化,特別是與工作需求不相關的人士,沒必要對其授權進行信息和數據的訪問。最后,在計算機網絡安全建設過程中不僅要依靠技術的支持,更主要是要強化管理,以此來彌補各種技術的不足之處,進而對計算機網絡環境的健康起到監管作用。
2.2 計算機網絡安全防范的具體策略
2.2.1 采取專業措施
主要內容包括:大力開發新的軟件技術,加強防火墻和防病毒的能力;采用加密技術,增置用戶身份識別和認證,保證數據和信息傳遞安全;加大監控和審計的力度,對事件起到發現和追蹤、預防和控制的作用。
2.2.2 強力依托相關法律和法規
具體來說:先要加強用戶在計算機網絡安全防范中的法律和法規意識,大力宣傳內容涉及到計算機網絡安全的法律和法規,促使用戶明確自身的權利和義務,自覺地遵守規則,抵制一切違法犯罪;還有就是要嚴格制定相關法律和法規,諸如計算機網絡犯罪法、數據保護法、信息保密法、計算機網絡安全法等等。只有這樣,那些非法分子才不敢輕舉妄動,計算機網絡系統才會有一個安全的環境。
3 結束語
隨著計算機網絡系統的高速發展,它涉及到的層面也越來越廣,因此,它的安全問題已經與人們生活息息相關。雖然沒有絕對的安全,但是我們可以堅持在計算機網絡安全防范的基本原則上加大制定和執行法律的力度,從而保證計算機網絡系統的安全。
[參考文獻]
篇(8)
一.一網絡結構難以節制
最近幾年來跟著互聯網技術的快速發展,網絡技術已經經普及到人們的糊口以及工作之中,網絡范圍日趨擴展,網絡結構愈來愈繁雜,跟著而來的網絡安全問題也愈來愈凸起。良多情況下,網絡系統配置沒有跟著網絡范圍的擴展而及時進行優化就會致使網絡機能降落,極易致使網絡安全隱患,為電子政務網絡帶來巨大的損失。
一.二網絡漏洞不能及時發現
1般來說,網絡漏洞是招致網絡襲擊的首要緣由,電子政務網絡擁有范圍龐大、網絡裝備種類繁多、系統多樣等特色,在沒有完美的網絡安全防范系統的情況下,單靠網絡管理員的能力是沒法保證網絡安全的,特別是最近幾年來網絡黑客技術水平不斷提高,電子政務網絡的安全問題也愈來愈凸起,如果網絡漏洞不能被及時發現就極易成為成為網絡黑客襲擊的對于象。
一.三信息泄漏、丟失
網絡信息泄漏、丟失主要是指系統數據在未知情況下產生泄漏、丟失,主要是非法入侵著在輸進程中通過同搭線技術樹立引發隨時盜取首要保密信息,探測用戶賬號以及密碼,此外還包含因為工作人員失誤致使的存儲介質丟失信息等情況。
一.四非授權走訪
通常情況下,用戶只有在被授權的情況下才能進入網絡并走訪以及利用網絡資源,如果在沒有授權的情況下閱讀網絡資源時稱之為非授權走訪。非授權走訪是1種不遵照系統走訪節制機制的非法行動,包含非法用戶走訪網站并進行非法操作,或者者合法用戶進行確權操作等。
一.五內部襲擊
網站襲擊是電子政務網絡存在的最大安全隱患,包含外來黑客襲擊以及內部系統的襲擊,其中來自系統內部的襲擊所占比例較大,主要是內部員工對于網絡系統、操作系統發起的襲擊。
一.六數據交流安全沒法保證
電子政務網絡的外網是與Internet互相聯的,所之外網子在進行數據交流的進程中存在的安全隱患對于內網也會造成極大要挾,例如計算機病毒、垃圾郵件等。
二電子政務網絡的安全防范措施
二.一加強基礎安全服務設施建設
完美的安全服務設施可以為電子政務網絡系統提供1個優良的網絡環境,是實現網絡安全和保證帶著你政務網絡高效、安全運行的基本前提。電子政務網絡基礎安全設施建設需要做到下列幾點:
二.一.一完美網站走訪身份驗證機制
網站能否知足用戶的走訪需求需要經由系統安全措施對于用戶的身份進行驗收,只有身份驗證通過才能進行走訪,如果用戶身份沒有患上到驗證,則此時的系統防火墻變化施展作用,辨認假的用戶信息其實不予服務,所以用戶身份驗證是電子政務基礎安全策略的1個癥結問題。
二.一.二加強網絡裝備管理
網絡裝備的有效管理對于網絡安全有側重要影響,而樹立1個比較容易管理的、可操作性強的網絡首先要加強網絡裝備管理,有必要時賦與部份網絡裝備1些可托的辨認碼,以便對于網絡裝備的走訪權限以及走訪位置進行管控。
二.一.三保證數據的安全性
數據安全是電子政務網絡安全的核心問題,所以要保證信息數據的保密性、完全性,以便用戶可以從系統上獲取可托度高的、未被修改的信息數據。
二.二充沛應用安全技術保證平臺安全
電子政務網絡安全的防范措施除了了加強基礎安全服務設施建設外還需要充沛應用當前的安全技術以及安全產品以進1步保證網絡系統的安全性,例如網絡襲擊檢測技術、漏洞檢測技術、通信加密技術、走訪節制技術等等,各種網絡安全技術以及產品的利用可以有效防御網絡襲擊、節制用戶權限、預防信息泄漏或者者被損壞,可以為電子政務網絡創立1個安全的運行環境。
二.二.一數據交流安全性
電子政務網絡系統的日常工作中需要進行網絡數據交流,不管是外網數據交流、專網數據交流仍是內網數據交流都無比頻繁,而數據傳輸與交流也是存在極大安全隱患的環節,所以需要采取有效技術措施來保證網絡數據交流的安全性,例如采取物理隔離網閘實現不同安全級別網絡之間的安全隔離,以保證網絡數據的安全交流。
二.二.二網絡域走訪節制
電子政務網絡系統不但要對于系統內部裝備進行走訪權限節制,同時也要對于遠程接入裝備進行限制,如斯才能最大程度確保網絡的安全性。例如采取防火墻技術、VLAN技術對于網絡規模進行顧慮,進而實現對于網絡域走訪的節制。
二.二.三通信加密
電子政務網絡系統中包含大量保密性數據,為了保證數據的安全性,在加強網絡環境安全防范的同時還需要對于首要數據進行加密,例如應用IPSEC、API等技術來實現首要數據的安全通信。
二.二.四防御網絡病毒
篇(9)
計算機的應用范圍越來越廣,并且互聯網技術也已經走入了千家萬戶。隨著計算機與互聯網技術的發展網上購物、金融財務、商業貿易等經濟行為也大多實現了網絡化,“數字化經濟”正在蓬勃發展之中,引領世界進入一個全新的階段。但是伴隨著網絡的普及,數據竊密、病毒泛濫、黑客攻擊等安全隱患也越來越多。雖然我們采取了廣泛的防范措施如:服務器、入侵檢測、網絡監控、殺毒軟件、防火墻等,但是黑客的活動依舊十分猖獗,基本上是無孔不入,他們的行為對社會造成了十分嚴重的危害。本文對如何確保網絡的安全性、防范計算機網絡安全的具體策略進行探討。
1 計算機網絡的安全防范策略
網絡安全指的是網絡系統中的軟件硬、件及其系統中的數據受到應有的保護,不受惡意的攻擊或者偶然因素而遭到更改、破壞、泄漏,確保系統能可靠、連續、正常地運行,網絡服務不中斷,其中網絡信息安全是最重要的部分。一層防護并不能像多數人想象的那樣能夠安全的抵擋的住病毒和黑客的侵襲,網絡安全是一個十分復雜的綜合系統,常用的網絡安全技術有數據加密、防火墻、防病毒、物理安全、漏洞掃描、入侵檢測。
1.1 數據加密技術
數據加密技術是指為了隱藏信息內容,禁止非法用戶獲取信息的真實內容而對信息進行重新編碼的一種技術手段。數據加密技術按作用的不同課分為數據傳輸、數據存儲、密匙管理以及技術數據完整性的鑒別4種。數據傳輸加密是為了對傳輸中的數據加密而采用有線加密和端口加密兩種措施的加密方法;數據存儲加密技術是指采取密文存儲和存取控制的方法從而防止在存儲環節上的數據失密的加密技術;數據完整性鑒別技術是指為了達到保密的要求而對介入信息的存取、傳送、處理人的身份和相關數據內容進行驗證的行為,系統通過將對象的特征與預設的參數進行對比來實現對數據的安全保護。
1.2 防火墻技術
防火墻是為了防止外部網絡用戶用非法的手段通過外部網絡進入內部網絡并訪問內部資源,用來加強網絡之間的訪問控制,對內部網絡操作環境進行保護的一種特殊網絡互聯設備。它為了盡可能的對外部屏蔽內部網絡的結構信息、和運行狀況,而監測、限制級更改跨越防火墻的數據流,以此來實現網絡的安全保護。防火墻在邏輯上是一個限制器,分離器,也是一個分析器,它通過有效的監控內部網和Internet之間的任何活動來保證內部網絡的安全。
1.3 防病毒技術
目前防病毒技術主要包括虛擬執行、特征碼掃描法和文件實時監控技術。虛擬執行技術使用虛擬執行的方法查殺病毒,可以有效的是識別異型、變形及病毒生產制造的病毒;特征掃描法在掃描時把對象與特征代碼相比較,如果發現相同則判定為病毒,然后將分析出的病毒存放于病毒庫文件中;文件實時監控技術是指利用操作系統底層接口技術,對系統中的指定類型的文件或所有類型文件進行實時監控。
1.4 物理安全
物理安全是指在物理上采取一定的防護措施,來減少或干擾散出的空間信號以達到保證系統的物理安全的目的。為了保證網絡正常運行而采取的主要安全措施如下:運行安全方面:網絡設備特別是網絡安全設備在使用過程中,必須能從供貨單位或者廠家得到迅速的技術支持服務。并且對于一些十分關鍵的系統和設備,應該對系統進行備份。保安方面:主要是進行防火防盜等,當然還包括網絡系統中的網絡設備,安全設備、計算機的安全防護。產品保障方面:主要指產品的運輸、采購、安裝等的安全防護。防電磁輻射方面:應為所有的重要的設備安裝輻射干擾機等防電磁輻射產品。
1.5 入侵檢測技術
篇(10)
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2012)31-7459-03
隨著網絡信息技術的快速發展,為了便于人們或者政府與企業之間的相互溝通和交流,非信任網絡已經逐漸進入人們的生活和工作中。對非信任網絡依賴度的增強,已經成為人們使用網絡的重要特征。網絡安全問題也成為了我們必須關注的重點。在我國,網絡信息安全形式十分嚴峻。特別是在信息產業和經濟金融領域,電腦硬件和軟件都面臨著各種問題,如市場壟斷或價格歧視;此外從國外進口的電腦硬件、軟件中均存在著不同程度的惡意功能,而我國網絡信息安全技術落后和人們的安全理念薄弱是造成網絡安全不設防,導致網絡信息具有較大的危險性,導致黑客攻擊事件和病毒不斷攻擊網絡,造成數據泄露和丟失。此外,網絡安全在面對不斷出現的新的威脅時,其應對能力有待進一步提高。
1 網絡安全技術發展特點
1.1保護的網絡層面不斷增多
過去的網絡安全如電報時代的通訊網絡安全更側重于數據傳輸過程中的安全,其固定的通信線路和通信用戶決定了防護網絡安全的手段也較為簡單,主要采用在通信線路兩端設置解密機的手段來維護網絡安全[1]。該方法具有成本高和擴展性低的特點,隨著一條物理線路可以同時承載多個信道,該方法不能適應日益變化的通信用戶的要求。因此,此時的網絡安全技術也開始向鏈接層保護方向發展。然而當網絡的使用規模逐漸擴大,網絡安全技術則更側重于網絡安全保護和對話層安全保護發展。如TLS協議的出現。由于網絡復雜的技術和管理缺失引起的威脅日益增多,保護的網絡層面不斷增多已經成為網絡安全技術必須解決的重要內容。
1.2內涵不斷擴大
隨著網絡技術的快速發展,網絡使用范圍的不斷擴大,網絡安全技術的內涵也不斷擴大。如最早的網絡安全技術主要為加密、認證技術,后來擴展到網絡訪問控制、監聽監控、入侵檢測、漏洞掃描、查殺病毒、內容過濾、應急通信等領域。
1.3組成系統不斷擴大
最早的網絡安全技術為通信加/解密算法,主要運用與通信線路和用戶固定的網絡安全。然而隨著網絡商業化進程的加快,網絡安全的組成系統已從過去簡單的數據傳輸安全發展為以認證和授權為主要內容的階段,并通過安全協議來實現。目前的網絡安全問題主要是由于IP網絡開放引起的。網絡安全技術針對這一問題產生的安全漏洞,采用防火墻和入侵檢測系統等進行防御。網絡安全技術的組成系統不斷擴大,并朝著防御的方向發展。
1.4從被動防御發展到主動防御
最早的網絡安全防御技術主要是被動防御,即對已發展的網絡安全攻擊方式,尋找能夠阻擋網絡攻擊的安全技術。隨著網絡承載的信息資產的價值越來越大,網絡攻擊的技術不斷發展和更新,被動防御已經逐漸被淘汰,目前的網絡安全技術主要是主動防御,即首先對正常的網絡行為建立模型,通過采用一定的網絡安全技術將所有網絡數據和正常模式進行匹配,防止受到可能的未知攻擊。
2 計算機安全隱患
2.1網絡攻擊
計算機系統是個龐大的復雜的系統,系統開發者很難做到十分完美,因此,計算機系統大多存在著較為嚴重的安全隱患,十分容易收到安全侵襲。其中網絡攻擊方式主要有以下幾種[2]:
1)利用型攻擊。這種攻擊方法主要利用口令猜測,木馬程序或者緩存區溢出等方式發控制電腦系統。這種攻擊方式的解決相對比較容易,主要通過設置密碼的方式來及時更新瀏覽器,避免木馬病毒攻擊。
2)拒絕服務式攻擊。這種網絡攻擊主要是通過破壞計算機系統使計算機和網絡停止提供拂去,又稱為DOS(Daniel of Service)。其中危害最嚴重的拒絕式服務攻擊是分布式拒絕服務攻擊,它將多臺計算機聯合為一個攻擊目標,針對其發動拒絕服務式攻擊,其威力十分巨大。一般情況下,的DOS攻擊主要有互聯網帶寬攻擊及其連通性的攻擊。帶寬攻擊通過發送流量巨大的數據包,耗盡網絡流量,造成網絡數據無法傳輸。而連通性攻擊主要是通過阻止用戶連接寬帶而達到拒絕服務的攻擊。
3)信息收集型攻擊。這種攻擊方法主要以截取信息或植入非法信息為目的,在網絡攻擊中十分常見,且十分難以發現。主要有系統掃描,系統結構探測以及信息服務利用三種信息收集攻擊方式。系統掃描和系統結構探測攻擊的基本原理較為相似,前者主要采用一些遠程軟件對要攻擊系統進行檢測并查處系統漏洞從而攻擊。后者則是對攻擊對象的特點進行判斷確定適合的攻擊手段。利用信息服務主要是控制攻擊對象操作系統中信息服務功能保存的主信息,對主機進行攻擊。
4)虛假信息攻擊。虛假信息攻擊具有十分強的隱蔽性,最常見的主要有DNS攻擊和電子郵件攻擊。在DNS進行信息交換時不進行信息來源驗證,將虛假信息植入到要攻擊的計算機系統中,使自己的主機控制要攻擊的主機,這種虛假信息植入方式為DNS攻擊。而電子郵件攻擊則是由于部分用戶對郵件發送者的身份不進行驗證,打開攻擊者植入木馬程序的郵件,使電腦主機受到攻擊。
5)腳本與Activex跨站攻擊。這實質上是網頁攻擊,主要是利用網頁操作系統的漏洞,將JavaApplet、Javascript以及Activex等具有自動執行的程序代碼強行植入到網頁中,并修改用戶操作系統中的注冊表,來達到攻擊計算機網絡的目的。網頁攻擊的危害十分強大,可以對數據產生較大的破壞[3]。網頁攻擊一方面通過IE瀏覽器將程序代碼植入,修改受攻擊的IE瀏覽器的主頁,強行訪問該網頁。另一方面,將程序代碼植入瀏覽器后不斷的對系統進行攻擊,當用戶點擊該網頁時,便會不斷的彈出同一個窗口,直至系統奔潰。
2.2計算機病毒攻擊
1)蠕蟲病毒。計算機蠕蟲病毒因能夠對用戶終端實施單獨攻擊而被重視,該病毒程序主要以掃描系統漏洞為途徑,一旦發現存在漏洞,就會自動編譯攻擊程序,被不斷復制和轉移,從而達到控制電腦主程序的目的,進而實施攻擊。我國爆發的蠕蟲病毒最著名的當屬“熊貓燒香病毒”,該病毒甚至一度引起整個國家網絡用戶的恐慌。由于蠕蟲病毒的潛伏性極強,任何程序都可能成為其傳播的工具,而這個程序一旦為其他用戶所使用也會被感染。此外,蠕蟲病毒能夠根據不同的系統漏洞進行針對性變異,這使得市場上的一般殺毒軟件難以識別和掃殺,因此造成的危害也就更大。
2)腳本病毒。從專業的角度來講,腳本病毒也稱為VBS病毒。較之其他類型的計算機病毒,該病毒主要對互聯網用戶實施攻擊。用戶在瀏覽網頁時,可能會無意識激活依附在網頁中的病毒腳本,而這類腳本一旦被激動就會脫離IE的控制,從而使主機感染病毒。由于互聯網用戶的猛增,這類病毒的危害程度也不斷加深,而用戶一旦感染該類病毒,主機的內從空間就會被大量占用,進而導致系統運行不暢,甚至造成操作系統的癱瘓,更為嚴重的情況是格式化硬盤導致數據資料丟失。
3)木馬病毒。該病毒是目前計算機用戶普遍面臨的病毒程序,又名特洛伊木馬。該病毒的主要特點就是誘騙性極強,主要誘導用戶下載病毒程序,一旦進入主機就會尋找系統漏洞并迅速隱藏,進而竊取用戶關鍵信息。由于木馬病毒的隱蔽性極強,用戶一般很難及時發現,這為病毒攻擊主程序提供了足夠的時間,而用戶一旦不能控制主機程序,計算機信息就會被病毒竊取。
4)間諜病毒。該病毒是近年出現的一種攻擊性不太明確的病毒變種,主要影響計算機的正常網絡訪問,如主頁劫持等。在日常網頁訪問過程中,我們會發現一些非法窗口會隨著主網頁程序彈出,通過這種方式來增加其訪問量。由于該病毒對用戶的實際應用影響不大,尚未引起足夠的重視,相應的針對性防范策略也比較缺失。
3 計算機安全防范技術
3.1防火墻技術
防火墻技術是目前應用最為廣泛的計算機安全防范技術,主要包括包過濾防火墻和應用級防火墻兩類。1)包過濾防火墻。數據傳輸的路線先由路由器再到主機,包過濾防火墻就是對經過路由器傳輸至主機的數據包進行過濾分析,如果數據安全則將其傳遞至主機,如果發現存在安全隱患則進行攔截,并自動告知用戶。2)應用級防火墻。該類防火墻是安裝在服務器源頭的安全防范技術,主要是對外部進入服務器的數據包進行掃描,一旦發現存在惡意攻擊行為,那么內網服務器與服務器之間的信號傳輸被中斷,從而起到保護用戶的作用。
3.2加密技術
該類技術是一類廣泛應用的計算機安全防范技術,通常包括對稱性加密技術和非對稱加密技術,其防范原理截然不同。前者又被稱為私鑰加密,其原理就是從已經破解的密匙中編譯設密密碼,如目前廣泛應用的DES加密標準;后者又被稱為公鑰加密,其原理就是將加密密鑰與解密密鑰相分離,如RAS算法、PKI技術以及DES與RAS混合技術等。兩類加密技術都可以較好地實現用戶網絡安全的防護。
3.3訪問控制技術
該技術主要是對用戶訪問網絡資源的權限進行設置,從杜絕非法用戶的惡意訪問。該技術主要包括自主訪問控制和強制訪問控制兩類。前者主要是要求用戶按照制定好的訪問序列瀏覽網絡資源,盡管用戶的操作行為被限定,但可以根據需要及時調整訪問控制策略;后者主要獨立于系統外運行,用戶既不能改變隨便改變被保護的對象的級別,也不能實施越級保護。顯然,該類技術存在的最大局限在于,對擁有訪問權限的用戶行為沒有約束力。
3.4虛擬專用網技術
虛擬專用網技術是目前使用范圍較為廣泛的一種防御安全技術,一般也可將其稱為VPN技術。這種技術的特點是將加密數據通道從公共網絡中分離出來,使數據信息能夠得到有效的保護,主要有路由器包過濾技術和隧道技術[4]。路由器包過濾技術將網絡上流入流出的IP包采用路由器進行監視和防御,將可疑的數據隔離出來拒絕發送。
3.5 GAP隔離技術
GAP隔離技術是一種網絡安全隔離技術,是以將各種可能進入用戶計算機網絡中的信息先進行隔離,通過驗證后才允許其進入為目的的一種網絡安全防護技術。具有安全性能高的特點,即即使網絡或計算機主機受到攻擊,也可以很快將網絡切斷,將風險降到最低,使計算機網絡不會受到持續性的攻擊。GAP隔離技術是與防火墻技術完全不同的安全隔離技術,它不像防火墻禁止數據交換,而是采用網閘允許最低限度的數據交換。這種技術的核心是GPA,具有強大的隔離功能,即當大量數據到達計算機主機時,GPA將所有數據進行檢測和控制,并對這些數據進行驗證,只有符合要求通過驗證的數據才能進入計算機系統中,沒有通過驗證的數據則存儲在隔離硬盤中等待用戶判斷。GAP隔離技術因其動態循環的防御方式適用范圍受到了一定的限制。
4 結束語
從網絡安全的技術發展特點以及存在的安全隱患和采用的防范技術來看,計算機網絡安全隱患及其防范應當是一個系統工程,任何一個環節的紕漏都可能為非法程序提供可乘之機。因此,網絡安全防范應當從系統的角度出發,針對性地采用各種行政手段、法律手段以及技術手段。只有這樣綜合多種技術手段,并從系統的角度去看待、分析,才能從根本上阻止外界網絡入侵,真正做到整個網絡系統的安全與穩定。
參考文獻:
[1] 姬玉.淺談計算機網絡系統安全及防御[J].商業經濟,2010(10):115-116.
