浅谈计算机网络安全技术
近年来,随着计算机在社会生活各个领域的广泛运用,网络已成为一个无处不在、无所不用的工具。然而,网络安全问题也越来越突出,特别是计算机病毒以及计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性、网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与畅通,我们必须不断加强和提高网络安全防范意识。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
网络安全应具有以下四个方面的特征:
(1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
(2)可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
(3)可控性:对信息的传播及内容具有控制能力。
(4)可审查性:出现的安全问题时提供依据与手段。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
影响网络安全的几个方面
1.计算机病毒的内涵
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒虽是一个小小程序,但它和别的计算机程序不同。具有以下特点:
①计算机病毒的程序性:它是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上;②计算机病毒的传染性:是病毒的基本特征,计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。③计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进入系统之后可以长时间的隐藏在合法文件中。对其他系统进行传染;④计算机病毒的可触发性:病毒因某个事件会诱使病毒实施感染或进行攻击的特性;
2.网络资源共享性因素
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
3.网络开放性因素
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
对于安全隐患我们使用防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。包封过滤型:封包过滤型的控制方式会检查所有进出防火墙的封包标头内容,如对来源及目地IP、使用协定、TCP或UDP的Port 等信息进行控制管理。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。封包过滤型控制方式最大的好处是效率高,但却有几个严重缺点:管理复杂,无法对连线作完全的控制,规则设置的先后顺序会严重影响结果,不易维护以及记录功能少。
封包检验型:封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版,目的是增加封包过滤型的安全性,增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包,不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全,但其相对效能也越低。
封包检验型防火墙在检查不完全的情况下,可能会造成问题。被公布的有关Firewall-1的Fast Mode TCP Fragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。
应用层闸通道型:应用层闸通道型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被client端或server端欺骗,在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效能最低的一种方式。
我们网络上存在不安定因素有:
1.系统缺陷
1.1网络系统是以计算机语言编码和支持软件共同组成的,其设计中的逻辑失误、偏差和缺陷都无法彻底避免。而很多木马病毒也正是钻了这个空子,在系统中寻找漏洞并针对其薄弱点进行攻击,从而非法窃取数据和资料。系统的每个环节包括运行软件、路由器甚至防火墙中均存在此类问题,给网络安全造成风险。
1.2企业或社区组建的小型内部局域网络,一般通过共享的单独网关对互联网进行连接。内部网中往往存在网络管理混乱和维护手段不当的问题,如移动设备的通用、盗版软件滥用、电脑资源的广泛共享、不符合安全操作的网络运营等,都会使单机风险蔓延到整个局域网,导致整个网络安全受到威胁。
1.3作为网络枢纽,服务器选配时要考虑网络环境及应用软件的配合,达到向网络客户提供不间断服务的能力,优化硬件配置,保证性能稳定。否则硬件与系统的搭配不当,会造成传输速度和资源质量的不稳定,限制数据信息进行扩充升级,成为网络功能发挥的阻碍。
1.4软件威胁可以说是目前网络不安全因素最显著的方面,其中尤以计算机病毒最为普遍。遭到病毒入侵时,电脑操作系统会运行减缓,性能不稳,严重时甚至整个硬件系统崩溃,这是当前世界性的网络安全难题。其他的木马软件、缺少安全措施的联网软件等问题,也可能会导致个人数据遭到大范围的暴露和流失。
1.5目前我国网络安全还缺乏相应的规范章程,以及有效的安全维护手段、监督机制和评估系统,对黑客、网络运营商、用户等也缺乏管理机制,网络的使用普及但杂乱无章,缺乏有序性条理,这样给网络维护造成了基础薄弱的限制。
1.6人为原因给网络安全带来威胁的人为原因有三个方面,一是纵横网络的黑客,以编写计算机病毒、制造网络攻击、侵入局域网系统或网站后台为业,其技术水平往往与网络科技更新同步,甚至超前,是当今世界网络威胁的最大制造者;二是网络维护人员业务能力的不足,管理混乱,甚至有些操作人员利用职权之便窃取用户信息,盗用网络资源;最后,计算机或网络用户缺乏网络安全防范意识,保密观念不强,对网络安全风险疏于防范,导致系统遭受攻击,数据被盗。
对于我们现在网络上的安全我们可以吧它分为几类:
网络与信息安全指的是按照网络的结构特点,通过从不同的网络层次、不同的系统应用,采取不同的措施,进行完善和防御,是一个立体的体系结构,涉及多个方面内容。通过对网络体系结构的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统从以下几个方面分述:物理安全、网络安全、应用安全、安全管理。
(1)物理安全。网络的物理安全是整个网络系统安全的保障和前提。由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计中,必须优先考虑网络设备不受电、火灾、雷击等自然灾害的侵蚀。总体来说物理安全风险主要有地震、水灾、火灾、雷电等环境事故,因此要尽量避免网络的物理安全风险对计算机造成伤害。(2)网络结构安全。网络拓扑结构设计是否合理也是影响网络系统的安全性的因素。假如进行外部和内部网络通信时,内部网络计算机安全就会受到威胁,同时对同一网络上的其他系统也有影响。影响所及还可能涉及法律、金融、政府等安全敏感领域。因此,在网络设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网进行必要的隔离,避免网络结构信息外泄。还要对外网的服务器加以过滤,只允许正常通信的数据包到达相应主机。
(3)系统安全。系统安全是指整个网络操作系统和网络硬件平台的构建是否可靠且值得信任。然而目前没有绝对安全的操作系统,无论是WindowsNT、VISTA、XP或者其它任何商用UNIX操作系统,用户在不同的使用途径下都会使其产生系统漏洞。因此不同的用户应从不同的方面对其网络作详尽的分析,在选择操作系统时要周密的对其进行安全设置。不但要选用尽可能可靠的操作系统和硬件,并对操作系统进行安全配置,且必须加强登录过程的用户认证以确保用户的合法性。
(4)网络安全。网络安全主要指网络中通信基础协议、操作系统和应用系统等可用性以及使用合法性的保证。例如网络阻塞防护、非法入侵防护、计算机病毒防护等。系统安全保障的核心技术包括身份认证、授权管理、日志审计、系统漏洞检测、防病毒、入侵防护等一系列技术,其中完整的入侵防护技术主要包括入侵防范、入侵检测、事件响应、系统恢复等过程。网络安全主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。
(5)应用安全 ①内部资源共享安全严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。②信息存储对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。
(6)管理安全风险。管理也是网络中安全系统的重要部分。责权不明和安全管理制度不健全等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它安全威胁行为时,计算机就无法进行实时检测、监控和保护。当安全事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即对网络的可控性出现缺失。这就要求相关人员必须对站点的访问活动进行多次、详尽的记录,以及时发现威胁行为。
(7)安全管理。仅有安全技术防范,而无严格的安全管理体系相配套,难以保障网络系统安全。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。实现安全管理应遵循以下几个原则:可操作性、全局性、动态性、管理与技术的有机结合、责权分明、分权制约、安全管理的制度化。具体工作是:①制定健全的安全管理体制制定健全的安全管理体制将是网络安全得以实现的重要保证,可以根据自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。②制订和完善安全管理制度根据从事工作的重要程度,确定安全管理的范围,制定安全管理制度,对操作人员进行约束和管理。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。③制订和完善系统维护制度对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。④制订应急措施当网络安全事故发生时,启动应急措施,尽快恢复系统运行,使损失减至最小。⑤增强人员的安全防范意识应该经常对单位员工进行网络安全防范意识的培训,全面提高员工的整体网络安全防范意识。
(8)构建CA体系。针对信息的安全性、完整性、正确性和不可否认性等问题。目前国际上先进的方法是采用信息加密技术、数字签名技术,具体实现的办法是使用数字证书,通过数字证书把证书持有者的公开密钥(Public Key)与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。
现在计算机面临威胁主要表现在以下几个方面。
1. 内部窃密和破坏。
内部人员可能对网络系统形成下列威胁:内部涉密人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。
2.非法访问。非法访问指的是未经授使用网络资源或以未授权的方式使用网络资源,它包括非法用户如黑客进入网络或系统进行违法操作,合法用户以未授权的方式进行操作。
3.破坏信息的完整性。攻击可能从三个方面破坏信息的完整性:改变信息流的次序、时序,更改信息的内容、形式;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。
4.截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,不易被查觉。
5.冒充。攻击者可能进行下列冒充:冒充领导发布命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户、欺骗系统、占用合法用户的资源。
6.破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性:使合法用户不能正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。
7.重演。重演指的是攻击者截获并录制信息,然后在必要的时候重发或反复发送这些信息。8.抵赖。可能出现下列抵赖行为:发信者事后否认曾经发送过某条消息;发信者事后否认曾经发送过某条消息的内容;发信者事后否认曾经接收过某条消息;发信者事后否认曾经接收过某条消息的内容。
9.其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。
网络安全作为一项动态工程,它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天,需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。总之,计算机网络安全工作不是一朝一夕的工作,而是一项长期的任务,网络安全问题不仅仅是技术问题,同时也是一个安全管理问题。如何保证网络的安全,是一个值得长期研究和付出努力的问题。网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。 网络安全工作是一项任重而道远的任务,在信息技术日新月异发展的今天,网络应用水平和黑客攻击技术在攻防两个方面此消彼长。安全维护人员务必时刻防范,预防安全风险,减少网络事故,制定合理的维护手段,随着环境和技术水平的变化,不断调整安全策略。随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。
本文来源:https://www.2haoxitong.net/k/doc/167af64c767f5acfa1c7cd6a.html
文档为doc格式