论文部分内容阅读
[摘要]:自有计算机网络以来,网络安全问题就成为网络使用者必须面对的问题,而因特网的广泛普及更给网络带来了较多的安全隐患,因为网络安全问题所造成的经济损失更是触目惊心。在网络中只要存在一个薄弱环节,就会使整个网络面临威胁。因此,了解网络中存在的不安全因素,掌握网络安全的防范措施,提高企业员工的安全防范意识已成为当务之急。
[关键词]:计算机; 网络安全; 入侵途径; 防范措施
中图分类号:F224-39 文献标识码:F 文章编号:1009-914X(2012)20- 0309 -01
网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将影响我国信息化的进程。
1计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者角度来说,可能仅仅希望个人隐私或信息在网络上传输时,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及出现异常时如何恢复通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,网络安全既有技术方面的问题,也有管理方面的问题。
2网络攻击和入侵途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP风络协议的脆弱性。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信息关系,从而进行IP欺骗。
域名系统(DNS)是一种用TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名——IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
3网安全的防范措施
计算机网络安全防范的重点是防范计算机病毒和黑客犯罪。具体地讲,要达到以保密性、信息完整性、服务可用性、可控性、系统易用性和可审查性。
3.1提高安全意识,加大安全管理力度。对网络系统的安全来说,最重要的是网络系统体系的“安全管理”。应遵“七分管理,三分技术”的安全原则。因此,要保证网络安全管理,首先必须重视网络安全管理,要把网络安全管理的各项措施落到实处。第一,配备专业的安全管理人员。安全管理要有人负责,同时还要有技术人员去落实。第二,控制对网络的访问和使用。控制用户对网络的访问和使用的目的是保证网络资源不被非法使用和非法访问。第三,增强防病毒意识。查、杀病毒是确保网络系统安全的必不可少的重要手段。第四,及时做好数据备份。做好数据备份工作,确保网络信息的安全。
3.2及时修补“漏洞”。网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标。系统、各种服务应用软件的漏洞会越来越多地被发现、修补,发现漏洞、修补漏洞是一个反复不断的过程。因此,系统及网络管理员要及时与生产厂家联系,安装各种安全补丁,对系统进行不断地升级。我国对信息安全技术的研究开发起步较晚,目前还要走引进、消化、吸收的道路,加快产品本地化步伐,最终用国内产品替代国外产品。
3.3利用网络安全技术
(1)防火墙技术。防火墙是一种被广泛采用的重要的安全技术,它在内部网络与因特网之间建立起一个安全網关,通过监测、限制、更改数据流,尽可能地对外部网络屏蔽有关被保护网络的信息,从而达到抵御来自外部网络的攻击、防止不法分子入侵、保护内部网络资源的目的。可见,防火墙技术最适合于在企业专网中使用,特别是在企业专网与公共网络互联时使用。
(2)入侵检测技术。入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术,它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为等功能,使系统管理员可以有效地监视、审计、评估自己的系统。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对外内外部攻击和误操作的实时保护。
(3)漏洞扫描技术。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口并记录目标的响应,收集关于某些特定项目的有用信息。这项技术具体是由安全扫描程序实现的。安全扫描程序能够对一个系统的代码进行反复获取、编译和运行,并对上述检测所获得的大量数据进行分析,从而可以快速地在较大范围内发现系统的脆弱点。
(4)加密技术。采用密码加密技术对信息加密,是最常用的安全保护措施。该技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构支持,因而实施代价主要体现在软件的开发和系统运行维护等方面。
(5)网络防毒技术。防火墙的功能只是限制网络的防问,检测和清除病毒还要靠病毒防治软件。目前的病毒防治软件基本上采用的检测原理大致有特殊码法、校验和法、行业码法3种方法,以提高病毒的检测和清除率。目前的网络病毒软件一般都加入防火墙功能,是集反毒、反黑、救护于一身的产品,对于网络型病毒的防治是很效的。对于重要企业网络,则应该考虑安装专业性更强、可靠性更高、安全机制更严密的网络防病毒系统。近几年有些安全产品厂商也开发出比较好的防毒硬件产品——“防毒墙”,对于网络病毒具有很好的防范作用。结合企业网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主,防治结合”的动态防毒策略。
总之,在我国,网络研究起步较晚,网络安全技术还有待提高和发展。为了确保网络的安全运行,除了做好上述的技术措施之外,我们还要建立严密的管理制度,制定完善的管理措施,提高人们对网络安全的认识,加强伦理道德教育,完善法律、法规,对计算机犯罪进行法律制裁。随着网络技术的不断发展,计算机网络会有一个和谐和安全的环境。
[关键词]:计算机; 网络安全; 入侵途径; 防范措施
中图分类号:F224-39 文献标识码:F 文章编号:1009-914X(2012)20- 0309 -01
网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将影响我国信息化的进程。
1计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者角度来说,可能仅仅希望个人隐私或信息在网络上传输时,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及出现异常时如何恢复通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,网络安全既有技术方面的问题,也有管理方面的问题。
2网络攻击和入侵途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP风络协议的脆弱性。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信息关系,从而进行IP欺骗。
域名系统(DNS)是一种用TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名——IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
3网安全的防范措施
计算机网络安全防范的重点是防范计算机病毒和黑客犯罪。具体地讲,要达到以保密性、信息完整性、服务可用性、可控性、系统易用性和可审查性。
3.1提高安全意识,加大安全管理力度。对网络系统的安全来说,最重要的是网络系统体系的“安全管理”。应遵“七分管理,三分技术”的安全原则。因此,要保证网络安全管理,首先必须重视网络安全管理,要把网络安全管理的各项措施落到实处。第一,配备专业的安全管理人员。安全管理要有人负责,同时还要有技术人员去落实。第二,控制对网络的访问和使用。控制用户对网络的访问和使用的目的是保证网络资源不被非法使用和非法访问。第三,增强防病毒意识。查、杀病毒是确保网络系统安全的必不可少的重要手段。第四,及时做好数据备份。做好数据备份工作,确保网络信息的安全。
3.2及时修补“漏洞”。网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标。系统、各种服务应用软件的漏洞会越来越多地被发现、修补,发现漏洞、修补漏洞是一个反复不断的过程。因此,系统及网络管理员要及时与生产厂家联系,安装各种安全补丁,对系统进行不断地升级。我国对信息安全技术的研究开发起步较晚,目前还要走引进、消化、吸收的道路,加快产品本地化步伐,最终用国内产品替代国外产品。
3.3利用网络安全技术
(1)防火墙技术。防火墙是一种被广泛采用的重要的安全技术,它在内部网络与因特网之间建立起一个安全網关,通过监测、限制、更改数据流,尽可能地对外部网络屏蔽有关被保护网络的信息,从而达到抵御来自外部网络的攻击、防止不法分子入侵、保护内部网络资源的目的。可见,防火墙技术最适合于在企业专网中使用,特别是在企业专网与公共网络互联时使用。
(2)入侵检测技术。入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术,它具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为等功能,使系统管理员可以有效地监视、审计、评估自己的系统。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对外内外部攻击和误操作的实时保护。
(3)漏洞扫描技术。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口并记录目标的响应,收集关于某些特定项目的有用信息。这项技术具体是由安全扫描程序实现的。安全扫描程序能够对一个系统的代码进行反复获取、编译和运行,并对上述检测所获得的大量数据进行分析,从而可以快速地在较大范围内发现系统的脆弱点。
(4)加密技术。采用密码加密技术对信息加密,是最常用的安全保护措施。该技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构支持,因而实施代价主要体现在软件的开发和系统运行维护等方面。
(5)网络防毒技术。防火墙的功能只是限制网络的防问,检测和清除病毒还要靠病毒防治软件。目前的病毒防治软件基本上采用的检测原理大致有特殊码法、校验和法、行业码法3种方法,以提高病毒的检测和清除率。目前的网络病毒软件一般都加入防火墙功能,是集反毒、反黑、救护于一身的产品,对于网络型病毒的防治是很效的。对于重要企业网络,则应该考虑安装专业性更强、可靠性更高、安全机制更严密的网络防病毒系统。近几年有些安全产品厂商也开发出比较好的防毒硬件产品——“防毒墙”,对于网络病毒具有很好的防范作用。结合企业网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主,防治结合”的动态防毒策略。
总之,在我国,网络研究起步较晚,网络安全技术还有待提高和发展。为了确保网络的安全运行,除了做好上述的技术措施之外,我们还要建立严密的管理制度,制定完善的管理措施,提高人们对网络安全的认识,加强伦理道德教育,完善法律、法规,对计算机犯罪进行法律制裁。随着网络技术的不断发展,计算机网络会有一个和谐和安全的环境。