計算機網絡安全研究
網絡安全問題和網絡犯罪的不斷出現使網絡使用者對關于網絡安全的探討也越來越重視,本文基于對計算機網絡安全方面存在的問題,通過對信息泄露的途徑、網絡攻擊手段的分析,探討了計算機網絡的安全管理,提出了網絡安全防范的措施。歡迎大家借鑒!
摘 要:隨著信息技術的飛速發展,網絡及網絡信息安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域。網絡技術的成熟使得網絡連接更加容易,人們在享受網絡帶來便利的同時,網絡的安全也日益受到威脅。
關鍵詞:網絡安全;網絡技術;網絡管理
一、網絡安全含義及特征
網絡安全從其本質上講就是網絡上的信息安全,指網絡系統的硬件、軟件及數據受到保護。不遭受偶然的或者惡意的破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。從用戶的角度,他們希望涉及到個人隱私和商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。同時他們希望自己的信息保存在某個計算機系統上時,不受其他非法用戶的非授權訪問和破壞。從網絡運營商和管理者的角度來說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅,制止和防御網絡“黑客”的攻擊。
網絡安全根據其本質的界定,應具有以下基本特征:
1、機密性。是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網絡系統的各個層次上都有不同的機密性及相應的防范措施。在物理層,要保證系統實體不以電磁的方式向外泄露信息,主要的防范措施是電磁屏蔽技術、加密干擾技術等,在運行層面,要保障系統依據授權提供服務,使系統任何時候都不被非授權人使用,對黑客入侵、口令攻擊、用戶權限非法提升、資源非法使用等采取漏洞掃描、隔離、防火墻、訪問控制、入侵檢測、審計取證等防范措施。在數據處理、傳輸層面,要保證數據在傳輸、存儲過程中不被非法獲取、解析,主要防范措施是數據加密技術。
2、完整性。是指信息未經授權不能被修改、不被破壞、不延遲、不亂序和不丟失的特性。對網絡信息安全進行攻擊其最終目的就是破壞信息的完整性。在運行層面,要保證數據在傳輸、存儲等過程中不被非法修改。要保證數據的發送源頭不被偽造,對冒充信息發布者的身份、虛假信息發布來源采取身份認證技術、路由認證技術,這類屬性也稱為真實性。
3、可用性。是指合法用戶訪問并能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息及相關資料。在物理層,要保證信息系統在惡劣的工作環境下能正常進行,主要防范措施是對電磁炸彈、信號插入采取抗干擾技術、加固技術等。在運行層面,要保證系統時刻能為授權人提供服務,對網絡被阻塞、系統資源負荷消耗、病毒、黑客等導致系統崩潰或死機等情況采取過載保護、防范拒絕服務攻擊、生存技術等防范措施。保證系統的可用性,使得發布者無法否認所發布的信息內容,接受者無法否認所接收的信息內容,對數據抵賴采取數字簽名。
二、網絡安全現狀分析
隨著計算機和通信技術的發展,網絡信息的安全和保密已成為一個至關重要且急需解決的問題。計算機網絡所具有的開放性、互連性和共享性等特征使網上信息安全存在著先天不足,再加上系統軟件中的安全漏洞以及所欠缺的嚴格管理,致使網絡易受黑客、惡意軟件的攻擊,因此針對網絡的安全所采取的措施應能全方位地針對各種不同的威脅,保障網絡信息的保密性、完整性和可用性。現有網絡系統和協議還是不健全、不完善、不安全的:有的思想麻痹,沒有清醒的意識到黑客入侵會導致嚴重的后果;有的沒投入必要的人力、財力和物力來加強網絡的安全性;沒有采用正確的安全策略和安全機制;缺乏先進的網絡安全技術、工具、手段和產品;有的尚缺乏先進的災難恢復措施和悲憤意識等。?
網絡安全是研究與計算機科學相關的安全問題,具體地說,網絡安全研究了安全的存儲、處理或傳輸信息資源的技術、體制和服務的發展、實現和應用。每個計算機離不開人,網絡安全不僅依賴于技術上的措施,也離不開組織和法律上的措施。客戶/服務器計算模式下的網絡安全研究領域,一是OSI安全結構定義的安全服務:鑒別服務、數據機密性服務、數據完整性服務、訪問控制服務、不可抵賴服務。二是OSI安全結構定義的安全機制:加密、數字簽名機制、訪問控制機制、數據完整性機制、鑒別交換機制、通信填充機制、路由控制機制、公證機制、可信功能、安全標簽、事件檢測、安全審查跟蹤、安全恢復。三是訪問控制服務:從邏輯上劃分網絡,并實際控制對這些網絡的訪問。訪問控制服務中的關鍵安全技術有靜態分組過濾、動態分組過濾、鏈路層網關、應用層網關。四是通信安全服務:用語保護這些網絡間的通信。OSI結構通信安全服務包括鑒別、數據機密性和完整性,以及不可抵賴服務。五是網絡存活性:目前對Internet存活性的研究目的是開發一種能保護網絡和分布式系統免遭拒絕服務攻擊的技術和機制。
三、網絡安全解決方案
網絡安全是一項動態、整體的系統工程,從技術上來說,網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保信息網絡的安全性。
1、防病毒技術。 網絡中的系統可能會受到多種病毒威脅,為了免受病毒所造成的損失,可以采用多層的病毒防衛體系。即在每臺計算機安裝單機版反病毒軟件,在服務器上安裝基于服務器的反病毒軟件,在網關上安裝基于網關的反病毒軟件。做到每臺計算機不受病毒的感染,從而保證整個企業網不受病毒的感染。由于病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣,故相應地在構建網絡防病毒系統時,應利用全防衛的企業防毒產品,實施層層設防、集中控制、以防為主、防殺結合的策略。
2、防火墻技術。防火墻技術是近年發展起來的重要網絡安全技術,其主要作用是在網絡入口處檢查網絡通信,根據用戶設定的安全規則,在保護內部網絡安全的前提下,保障內外網絡通信。在網絡出口處安裝防火墻后,防火墻可以對內部網絡和外部網絡進行有效的隔離,所有來自外部網絡的訪問請求都要通過防火墻的檢查,提高內部網絡的安全。防火墻可以完成具體任務:通過源地址過濾,拒絕外部非法IP地址,有效的避免了外部網絡上與業務無關的主機越權訪問;可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降低到最小限度,使黑客無機可乘;制定訪問策略,只有被授權的外部主機才可以訪問內部網絡的有限IP地址,保證外部網絡只能訪問內部網絡中的必要資源,與業務無關的操作將被拒絕;由于安裝防火墻后,網絡的安全策略由防火墻集中管理,黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的,而直接攻擊防火墻是不可能的。
3、入侵檢測技術。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要,是因為它能夠對付來自內外網絡的攻擊。如在需要保護的主機網段上安裝了入侵檢測系統,可以實時監視各種對主機的訪問要求,并及時將信息反饋給控制臺,這樣全網任何一臺主機受到攻擊時系統都可以及時發現。
4、安全掃描技術。這是又一類重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合,能夠有效提高網絡的安全性。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置,在黑客攻擊前進行防范。如果說放火墻和網絡監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊行為,做到防患于未然。安全掃描工具源于黑客在入侵網絡系統時所采用的工具,商品化的安全掃描工具為網絡安全漏洞的發現提供了強大的支持。
5、網絡安全緊急響應體系。網絡安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生變化。在信息技術日新月異的今天,需要隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略,并及時組建網絡安全緊急響應體系,專人負責,防范安全突發事件。
四、網絡安全管理
網絡安全管理是指對所有計算機網絡應用體系中各個方面的安全技術和產品進行統一的管理和協調,進而從整體上提高整個計算機網絡的防御入侵、抵抗攻擊的能力體系。通常,建立一個安全管理系統包括多個方面的建設,如技術上實現的計算機安全管理系統,為系統定制的安全管理方針,相應的安全管理制度和人員等。最初人們對網絡安全的普遍認識是單點式的、分散的安全管理。一個系統中采用各類不同的安全設施實現不同的安全功能,而這些設備需要分別采用不同的軟件和方法進行配置和管理,目前大部分單個的網絡安全管理工具比較分散,各個安全功能需要分別進行配置,不同的管理工具之間缺乏連通性,但是由各種技術和產品構成的系統日益復雜,例如,IDS系統要采用廠商的控制端軟件實現系統狀態監控,身份驗證系統需要采用相應的控制中心進行管理。管理員如果要實現一個整體安全策略需要對不同的設備分別進行設置,并根據不同設備的日志和報警信息進行管理,難度較大,特別是在全局安全策略需要進調整時,很難考慮周全和實現全局的一致性。目前而言系統管理人員普遍需要的是具備自動響應能力的綜合管理體系。
網絡管理的趨勢是向分布式、智能化和綜合化方向發展。
1、基于Web的管理。www以其能簡單、有效地獲取如文本、圖形、聲音與視頻等不同類型的數據在Internet上廣為使用。作為一種全新的網絡管理模式,基于Web的網絡管理WBM應運而生。WBM提供給普通擁護非常熟悉的Web瀏覽器的單一用戶借口,以實現透明地訪問分布在Internet上的各類信息,并且很容易支持大多數現有的標準網絡管理協議框架。
2、基于CORBA的管理。 公共對象請求代理體系結構CORBA是由對象管理小組為開發面向對象的應用程序提供的一個通用框架結構。
3、采用Java技術管理。Java用于異購分布式網絡環境的應用程序開發,它提供了一個易移植、安全、高性能、簡單、多線程和面向對象的環境,實現“一次編譯,到處運行”。將Java技術集成至網絡管理,可以有助于克服傳統的純SNMP的一些問題,降低網絡管理的復雜性。
總之,計算機技術和網絡技術已深入到社會的各個領域,人類社會各種活動對計算機網絡的依賴程度已經越來越大。增強社會安全意識教育,普及計算機網絡安全教育,提高計算機網絡安全技術水平,改善計算機網絡的安全現狀,成為當務之急。
參考文獻:
[1] 張世永.《網絡安全原理與應用》. 科學出版社.
[2] 李明之. 《網絡安全與數據完整性指南》. 機械工業出版社.
[3] 張仕斌. 《網絡安全技術》. 清華大學出版社.
【計算機網絡安全研究】相關文章:
計算機網絡安全自查報告12-13
計算機網絡安全學習心得范文10-18
對于計算機網絡安全的入侵檢測技術分析論文11-01
網絡安全方案12-02
網絡安全標語經典12-10
網絡安全方案02-16
網絡安全報告(經典)11-29
網絡安全報告10-04
網絡安全標語04-07