安全網(wǎng)絡策略范文

時間:2023-06-05 18:00:00

導語:如何才能寫好一篇安全網(wǎng)絡策略,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全網(wǎng)絡策略

篇1

1.影響網(wǎng)絡信息安全的主要因素

1.1 導致互聯(lián)網(wǎng)脆弱性的原因。

(1)網(wǎng)絡的開放性,網(wǎng)絡的技術(shù)是全開放的,使得網(wǎng)絡所面臨的攻擊來自多方面?;蚴莵碜晕锢韨鬏斁€路的攻擊,或是來自對網(wǎng)絡通信協(xié)議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。

(2)網(wǎng)絡的自由性,大多數(shù)的網(wǎng)絡對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。

1.2 安全管理困難性。

雖然安全事件通常是不分國界的,但是安全管理卻受國家等多種因素的限制。安全管理也非常復雜,經(jīng)常出現(xiàn)人力投入不足、安全政策不明等現(xiàn)象。擴大到不同國家之間,跨國界的安全事件的追蹤就非常困難。

2.網(wǎng)絡安全的主要技術(shù)

2.1 防火墻技術(shù)。防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它是一種計算機硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(Security Gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

2.1.1 網(wǎng)絡安全的屏障。

防火墻可通過過濾不安全的服務而減低風險,極大地提高內(nèi)部網(wǎng)絡的安全性。由于只有經(jīng)過選擇并授權(quán)允許的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。防火墻可以禁止諸如不安全的NFS協(xié)議進出受保護的網(wǎng)絡,使攻擊者不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向路徑。防火墻能夠拒絕所有以上類型攻擊的報文,并將情況及時通知防火墻管理員。

2.1.2 強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置。能將所有安全軟件(如口令、加密、身份認證等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經(jīng)濟。例如,在網(wǎng)絡訪問時,一次一密口令系統(tǒng)和其他的身份認證系統(tǒng)完全可以不必分散在各個主機上而集中在防火墻。

2.2 數(shù)據(jù)加密技術(shù)。

2.2.1 常用的數(shù)據(jù)加密技術(shù)。

目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。

2.2.2 數(shù)據(jù)加密技術(shù)的含義。

所謂數(shù)據(jù)加密(Data Encryption)技術(shù)是指將一個信息(或稱明文,plain text)經(jīng)過加密鑰匙(Encryption key)及加密函數(shù)轉(zhuǎn)換,變成無意義的密文(cipher text),而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙(Decryption key)還原成明文。加密技術(shù)是網(wǎng)絡安全技術(shù)的基石。

3.網(wǎng)絡安全具有的功能

3.1 身份識別。

身份識別是安全系統(tǒng)應具備的基本功能,身份識別主要是通過標識和鑒別用戶的身份,防止攻擊者假冒合法用戶獲取訪問權(quán)限。對于一般的計算機網(wǎng)絡而言,主要考慮主機和節(jié)點的身份認證,至于用戶的身份認證可以由應用系統(tǒng)來實現(xiàn)。

3.2 存取控制。

存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡安全理論的重要方面,主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、類型控制和風險分析。存取控制也是最早采用的安全技術(shù)之一,它一般與身份驗證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限,以實現(xiàn)不同安全級別的信息分級管理。

4.常見網(wǎng)絡攻擊方法

4.1 網(wǎng)絡中的安全漏洞無處不在。即便舊的安全漏洞補上了,新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡攻擊正是利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進行攻擊。

第一:搜索

第二:掃描

第三:獲得權(quán)限

第四:保持連接

第五:消除痕跡

4.2 網(wǎng)絡攻擊的常見方法。

(1)口令入侵

(2)電子郵件攻擊

(3)木馬程序

(4)漏洞攻擊

5.網(wǎng)絡安全應對策略

(1)使用防火墻軟件

(2)提高網(wǎng)絡安全意識

(3)隱藏自己的IP地址

(4)備份資料

(5)提高警惕

我國面對網(wǎng)絡威脅采取的主要策略:

5.1 完善管理機制。

一個完善的計算機網(wǎng)絡信息系統(tǒng)安全方案至少應該包括以下幾個方面:訪問控制、檢查安全漏洞、攻擊監(jiān)控、加密、備份和恢復、多層防御、建立必要的管理機制。隨著計算機技術(shù)和通信技術(shù)的發(fā)展,計算機網(wǎng)絡將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段,滲透到社會生活的各個領(lǐng)域。因此,認清網(wǎng)絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網(wǎng)絡的安全性顯得十分重要。同時,計算機網(wǎng)絡技術(shù)目前正處于蓬勃發(fā)展的階段,新技術(shù)層出不窮,其中也不可避免地存在一些漏洞,因此,進行網(wǎng)絡防范要不斷追蹤新技術(shù)的應用情況,及時升級、完善自身的防御措施。

5.2 逐步消除網(wǎng)絡安全隱患。

(1)每個人必須對其網(wǎng)絡行為承擔法律和道德責任是規(guī)范網(wǎng)絡秩序的一個重要準則。

篇2

關(guān)鍵詞:網(wǎng)絡安全 計算機網(wǎng)絡 安全防范

基于此,網(wǎng)絡安全問題就成了人們備受關(guān)注的重要課題。從其本質(zhì)上來看,計算機網(wǎng)絡安全也即是確保網(wǎng)上的各信息資源的安全,網(wǎng)絡安全從某種意義上來說就是指網(wǎng)絡信息安全,也即是指網(wǎng)絡系統(tǒng)中流動及保存的各種數(shù)據(jù)資源信息不被惡意的泄漏和破壞。網(wǎng)絡上各種數(shù)據(jù)資源信息時網(wǎng)絡中最寶貴的資源,然而很多不法分子就是通過各種網(wǎng)絡途徑竊取相應的網(wǎng)絡信息資源、泄漏信息、進行一些有害信息的傳播等違法行為。而計算機網(wǎng)絡安全也即是指通過一定的控制手段和管理方法,對網(wǎng)絡上的信息及網(wǎng)絡自身進行保護措施,以此來實現(xiàn)網(wǎng)絡信息的安全級網(wǎng)絡各服務的正常運行;安全可靠的計算機網(wǎng)絡必須具備可靠性、保密性、完整性和可用性4個基本特點。

1、計算機網(wǎng)絡系統(tǒng)中的安全威脅

由于大型網(wǎng)絡系統(tǒng)中由多種網(wǎng)絡協(xié)議支持,如TCP/IP、IPX/SPX等,而這些網(wǎng)絡協(xié)議并非網(wǎng)絡系統(tǒng)中專門為安全通訊而設計。因此,網(wǎng)絡運行中可能存在以下兩種網(wǎng)絡安全威脅:(1)網(wǎng)絡中的設備安全威脅;(2)網(wǎng)絡中信息的安全威脅。計算機網(wǎng)絡系統(tǒng)安全威脅因素有很多,這些因素有可能是無意的,但也有很多因素是人為的、有意的;也有可能是外來黑客對網(wǎng)絡系統(tǒng)資源的非法使用所造成。對其歸納分析可知,對網(wǎng)絡安全運行的主要安全威脅有以下幾方面:

1.1 人為無意失誤造成的安全問題

如操作人員在進行網(wǎng)絡安全配置中,出現(xiàn)的不當操作從而造成的網(wǎng)絡安全漏洞,引發(fā)的各種安全威脅,如用戶口令選擇不慎,用戶的安全意識淡薄,用戶隨意將自己賬號信息轉(zhuǎn)接他人等,都會給網(wǎng)絡運行帶來一定的安全威脅。

1.2 人為惡意攻擊造成的安全問題

這是計算機網(wǎng)絡運行中面臨的最主要的安全威脅,計算機犯罪和敵手攻擊均屬于人為的惡意攻擊。該類攻擊同時可以分為主動攻擊和被動攻擊兩類,主動攻擊也即是有選擇性的破壞信息的完整性和有效性;被動攻擊也即是在不影響網(wǎng)絡正常運作的情況下,安裝一些監(jiān)控裝置或竊聽裝置到計算機用戶上,來實現(xiàn)對網(wǎng)絡中的計算機的非法監(jiān)聽或掃描,以此來破譯、竊取或截獲用戶的重要信息資源。這兩種攻擊均會對計算機網(wǎng)絡產(chǎn)生極大危害,甚至導致機密數(shù)據(jù)的丟失和泄漏。

1.3 網(wǎng)絡軟件自身的漏洞

網(wǎng)絡軟件自身的缺陷和漏洞也是網(wǎng)絡安全運行的最大隱患之一,這些漏洞和缺陷同時也是黑客攻擊的首選目標,從以往發(fā)生的黑客攻擊網(wǎng)絡內(nèi)部的事件我們不難看出,多數(shù)事件均是因為其自身安全措施不當引發(fā)。如微軟的Windows,2005年7月公布的嚴重威脅用戶安全的兩款漏洞,了“高?!奔墑e的安全警告。其中的一處安全漏洞存在于Windows上的色彩管理模塊(Color Management Module)上,另一處漏洞則存在于微軟Java虛擬機上的JView Profiler部分。這些攻擊弱點都可以使黑客輕易操縱用戶電腦。黑客通過利用Windows上JView Profiler漏洞,把惡意代碼下載并安裝到用戶的機器上,使黑客對被黑機器實施遠程控制,使受危害的機器成為botnet(僵尸網(wǎng)絡)中的一個部分。再如,2011年不斷爆出的數(shù)據(jù)泄露事件。4月份開始索尼遭遇的黑客事件,直接導致其在線PlayStation網(wǎng)絡中7700萬客戶的信息,包括信用卡賬號被竊,損失1.7億美元等,均讓我們看到網(wǎng)絡軟件自身的缺陷和漏洞不容小覷。

2、計算機網(wǎng)絡安全的防范策略分析

通過以上分析,筆者以為,網(wǎng)絡安全的防范其主要目的應以隔離不安全網(wǎng)絡與不信任網(wǎng)絡為主,同時對他們的訪問進行嚴格控制。基于此,可通過提供防火漆系統(tǒng),作為訪問控制設備,來實現(xiàn)與不安全網(wǎng)絡與不信任網(wǎng)絡的隔離。

防火強本身的特點,決定了它配置位置應處于兩個不同網(wǎng)絡之間的連接處,使之成為兩個網(wǎng)絡間唯一的訪問通道,這樣一來,所有進出它的數(shù)據(jù)都需要經(jīng)過防火墻進行檢驗和過濾,以此來真正的發(fā)揮防火墻的功能。

以下以某學校的校園網(wǎng)為例,簡單闡述防火墻系統(tǒng)在計算機網(wǎng)絡安全中的建設方案。結(jié)合校園網(wǎng)的特點,首先在路由器和中心交換機間放置阿姆瑞特防火墻(阿姆瑞特F300防火墻擁有5個接口),同時將學校對外服務器放置于防火強的其它接口上,以此在保障各服務器安全的同時保,還保障了網(wǎng)絡的帶寬。通過在防火墻上設置不允許Internet 用戶訪問該校內(nèi)部網(wǎng),使得該校園網(wǎng)絡更加安全合理。其具體配置可參照圖1所示:

除了做好防火墻系統(tǒng)的配置以外,計算機自身還應定時的進行安全掃描。一般情況下,計算機網(wǎng)路用戶會以出現(xiàn)問題解決問題的態(tài)度來對待計算機網(wǎng)絡出現(xiàn)的安全問題,這是一個極為不好的習慣,計算機網(wǎng)絡用戶應養(yǎng)成定期的系統(tǒng)掃描和全盤掃描的習慣,定期檢測計算機網(wǎng)絡各部分的運行狀況,以便及早發(fā)現(xiàn)問題,及早給予處理。

同時,還應設置網(wǎng)絡病毒防范技術(shù)。病毒作為計算機網(wǎng)絡中最常見的安全威脅,對計算機網(wǎng)絡進行保護就必須適當增加網(wǎng)路殺毒軟件,通過安裝各種殺毒軟件實現(xiàn)對計算機網(wǎng)絡的實時保護,以此來將網(wǎng)絡威脅降低到最小程度。部分用戶會因為覺得麻煩而不選擇安裝殺毒軟件,這樣一來很容易給病毒營造一種暢通無阻的環(huán)境,病毒會隨著瀏覽網(wǎng)頁或下載資料資源等入侵到本地計算機網(wǎng)絡系統(tǒng),進而給正常的網(wǎng)絡訪問帶來影響。因此,筆者以為無論是單位計算機網(wǎng)絡還是小型的家用計算機網(wǎng)絡中的計算機均應安裝一定的殺毒軟件,以此來啟動本地計算機的防護功能。

參考文獻

[1]李明革,楊亞洲,姜占華.園區(qū)網(wǎng)絡故障分析及解決措施[J].吉林大學學報:信息科學版,2008(4):102-103.

[2]孫全尚,孫書雙.淺析計算機網(wǎng)絡安全及防范技術(shù)[J].科技創(chuàng)新導報,2008 (28):56-58.

篇3

關(guān)鍵詞:網(wǎng)絡;安全性;系統(tǒng);策略

中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011)05-0000-01

On the Computer Information Network Security Policy

Tong Wenbin1,Zhang Ying2

(1. Hebei Iron and Steel Group, Tangshan Iron and Steel Ministry of mobile devices,Tangshan063000,China;2. Department of Tangshan Municipal People's Hospital charges,Tangshan063000,China)

Abstract:In recent years, computer information network development, informatization development has become a social development of a big trend. Computer is widely applied to daily work and life of every field, but because the computer network openness, the exposure strong sexual characteristics, very vulnerable to a network hacker, network viruses and other malicious software, but following the attack, computer network security has also been unprecedented threats.

Key words: network, security, system, strategy

計算機信息網(wǎng)絡安全離不開網(wǎng)絡安全技術(shù),網(wǎng)絡安全技術(shù)無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著諸多因素的安全威脅,如何確保網(wǎng)絡信息的保密性、完整性和可用性成為當前必須要解決和長期維護必要的課題。

一、影響計算機網(wǎng)絡安全的主要因素

(一)網(wǎng)絡系統(tǒng)在穩(wěn)定性和可擴充性方面存在。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,因而使其受到影響。

(二)網(wǎng)絡硬件的配置不協(xié)調(diào)。一是文件服務器。它是網(wǎng)絡的中樞,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量。網(wǎng)絡的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網(wǎng)絡功能發(fā)揮受阻,影響網(wǎng)絡的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定。(三)缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限,忽視了這些權(quán)限可能會被其他人員濫用。(四)訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機。(五)管理制度不健全,網(wǎng)絡管理、維護不力。

二、計算機網(wǎng)絡的安全策略分析

隨著計算機系統(tǒng)功能的不斷完善,網(wǎng)絡體系化不斷加強,人們對網(wǎng)絡的依賴越來越強,網(wǎng)絡對人們的生活產(chǎn)生了巨大的影響,提高計算機網(wǎng)絡的防御能力,增強網(wǎng)絡的安全措施,已成為當前急需解決的問題。

(一)計算機網(wǎng)絡安全的物理安全特性

物理安全是計算機安全的前提,是指計算機存在的環(huán)境和操作基本要求,包括自然環(huán)境,使用環(huán)境,關(guān)聯(lián)環(huán)境等,自然環(huán)境是要求設備在天災因素下的保護設施要求,更多的是考慮由于自然環(huán)境的變化引起的不必要的其他損害;使用環(huán)境強調(diào)的是建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生,更加防止計算機人為操作帶來的破壞和搭線攻擊,驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;關(guān)聯(lián)環(huán)境強調(diào)的是確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境,打印機、掃描儀、關(guān)聯(lián)設備的安全。

(二)控制訪問策略

控制訪問是網(wǎng)絡安全防范和保護的主要策略,目的是保證計算機正常使用,網(wǎng)絡資源不被非法使用和非常訪問。也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段,控制訪問可以說是保證網(wǎng)絡安全最重要的核心策略之一,只有電腦操作者嚴格控制訪問限制,保護自己的網(wǎng)絡網(wǎng)絡安全是沒有問題的。

一是限制入網(wǎng)訪問權(quán)利。入網(wǎng)訪問控制是網(wǎng)絡安全第一道防線。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的入網(wǎng)許可證據(jù),是最安全形式之一。它控制一些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制一些用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)等。用戶可以修改自己的口令,但系統(tǒng)管理員可以控制口令的最小長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)等。

二是文件目錄屬性級別安全設置。當文件、目錄和網(wǎng)絡設備在網(wǎng)絡系統(tǒng)管理員賦予一定的指定訪問屬性后。用戶的權(quán)限被限制在對所有文件和子目錄有效,還可進一步對指定目錄下的子目錄和文件的權(quán)限進行控制。屬性安全在權(quán)限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性,來抵御來自各個方面的網(wǎng)絡破壞。

(三)網(wǎng)絡信息安全的技術(shù)保障策略

不安全的網(wǎng)絡一旦遭到惡意攻擊,將會造成巨大的損失。目前,適應各個行業(yè)和不同用戶的網(wǎng)絡軟件技術(shù)措施仍是最直接、最常用和有效的的網(wǎng)絡屏障,也是最有效的保護措施,下面就基本的措施做簡單總結(jié)。

一是采用先進的密碼技術(shù)。密碼技術(shù)體現(xiàn)在網(wǎng)絡使用者身上有加密需要,還要有解密技術(shù)。加密是網(wǎng)絡與信息安全保密的重要基礎,是防止被破壞網(wǎng)絡的有效措施。它是將需要保護的對象采用一些既定方式進行某種編排和篆寫,形成獨又的一種密文,保護自己的產(chǎn)品不被攻擊。解密則是將加密技術(shù)的一種還原,根據(jù)加密過程的倒退來還原軟件本身的一種過程,也是網(wǎng)絡安全最容易被切入的環(huán)節(jié)。目前,已成熟的加密方法有很多,如替換加密、移位加密、一次性密碼本加密、序列密碼加密等等措施。

二是進行數(shù)字簽名確認。對于網(wǎng)絡上自由傳輸?shù)碾娮游臋n,完全可以使用數(shù)字簽名的方法來實現(xiàn)傳輸內(nèi)容的確認。數(shù)據(jù)簽名一般采用不對稱加密技術(shù),通過雙方認可或者約定的認可來證明身份的真實性,來確保文件傳輸?shù)挠行院秃戏ㄐ裕沤^因此產(chǎn)生的流氓、抵賴、交換等行為的發(fā)生。

三是網(wǎng)絡信息的鑒別。鑒別的目的是驗明用戶或信息的正確性。對實體的身份進行惟一識別,以便驗證其訪問請求的唯一性,或保證信息來源以驗證消息的完整性,有效地對抗非法訪問、冒充、重演等威脅。

建立安全管理制度,提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng),對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法。

參考文獻:

[1]孟祥初.網(wǎng)絡安全重在流程[N].通信產(chǎn)業(yè)報,2007

篇4

關(guān)鍵詞:數(shù)據(jù)加密 黑客 后門 信息加密 防火墻

一、計算機網(wǎng)絡安全的現(xiàn)狀

據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計,美國每年因網(wǎng)絡安全造成的損失高達75億美元。據(jù)美國金融時報報道,世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡的計算機安全事件,1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計算機犯罪組負責人吉姆?塞特爾稱:給我精選10名“黑客”,組成小組,90天內(nèi),我將使美國趴下。一位計算機專家毫不夸張地說:“如果給我一臺普通計算機、一條電話線和一個調(diào)制解調(diào)器,就可以令某個地區(qū)的網(wǎng)絡運行失常?!?/p>

據(jù)了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構(gòu)的計算機網(wǎng)絡相繼遭到多次攻擊。公安機關(guān)受理各類信息網(wǎng)絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡基礎設施和網(wǎng)絡應用依賴于外國的產(chǎn)品和技術(shù),在電子政務、電子商務和各行業(yè)的計算機網(wǎng)絡應用尚處于發(fā)展階段,以上這些領(lǐng)域的大型計算機網(wǎng)絡工程都由國內(nèi)一些較大的系統(tǒng)集成商負責。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量,同時一些負責網(wǎng)絡安全的工程技術(shù)人員對許多潛在風險認識不足。缺乏必要的技術(shù)設施和相關(guān)處理經(jīng)驗,面對形勢日益嚴峻的現(xiàn)狀,很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制,很多人對網(wǎng)絡安全的意識僅停留在如何防范病毒階段,對網(wǎng)絡安全缺乏整體意識。當今網(wǎng)絡在安全攻擊面前顯得如此脆弱源于以下幾個方面的原因:

(1)Internet所用底層TCP/IP網(wǎng)絡協(xié)議本身易受到攻擊,該協(xié)議本身的安全問題極大地影響到上層應用的安全。(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡用戶輕易地獲得了攻擊網(wǎng)絡的方法和手段。(3)快速的軟件升級周期,會造成問題軟件的出現(xiàn),經(jīng)常會出現(xiàn)操作系統(tǒng)和應用程序存在新的攻擊漏洞。(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計算機及網(wǎng)絡信息保護的條款不細致,網(wǎng)上保密的法規(guī)制度可操作性不強,執(zhí)行不力。同時,不少單位沒有從管理制度、人員和技術(shù)上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施,甚至有一些網(wǎng)絡管理員利用職務之便從事網(wǎng)上違法行為。

二、計算機網(wǎng)絡面臨的威脅

信息安全是一個非常關(guān)鍵而又復雜的問題。計算機信息系統(tǒng)安全指計算機信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡)的安全,即計算機信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。

計算機信息系統(tǒng)之所以存在著脆弱性,主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等;計算機信息系統(tǒng)受到的威脅和攻擊除自然災害外,主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。

由于計算機信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”,因而,成為一些人窺視的目標。再者,由于計算機信息系統(tǒng)自身所固有的脆弱性,使計算機信息系統(tǒng)面臨威脅和攻擊的考驗。計算機信息系統(tǒng)的安全威脅主要來自于以下幾個方面:

(1)自然災害。計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導致網(wǎng)絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。

(2)網(wǎng)絡軟件的漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦“后門”洞開,其造成的后果將不堪設想。

(3)黑客的威脅和攻擊。計算機信息網(wǎng)絡上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟條件和技術(shù)專長的形形攻擊者活動的舞臺。他們具有計算機系統(tǒng)和網(wǎng)絡脆弱性的知識,能使用各種計算機工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡的問題十分嚴重,他們通常采用非法侵人重要信息系統(tǒng),竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息,修改和破壞信息網(wǎng)絡的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟損失。黑客問題的出現(xiàn),并非黑客能夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡本身的不完善性和缺陷,成為被攻擊的目標或利用為攻擊的途徑,其信息網(wǎng)絡脆弱性引發(fā)了信息社會脆弱性和安全問題,并構(gòu)成了自然或人為破壞的威脅。

(4)計算機病毒。90年代,出現(xiàn)了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統(tǒng)中進行擴散。計算機感染上病毒后,輕則使系統(tǒng)上作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機主板等部件的損壞。

(5)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統(tǒng)造成破壞,而是竊取系統(tǒng)或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發(fā)裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監(jiān)視用戶行為,或是廣告,修改系統(tǒng)設置,威脅用戶隱私和計算機安全,并可能小同程度的影響系統(tǒng)性。

(6)信息戰(zhàn)的嚴重威脅。信息戰(zhàn),即為了國家的軍事戰(zhàn)略而采取行動,取得信息優(yōu)勢,干擾敵方的信息和信息系統(tǒng),同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標,不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備,而是集中打擊敵方的計算機信息系統(tǒng),使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進行戰(zhàn)爭的方法,其攻擊的首要目標主要是連接國家政治、軍事、經(jīng)濟和整個社會的計算機網(wǎng)絡系統(tǒng),信息武器已經(jīng)成為了繼原子武器、生物武器、化學武器之后的第四類戰(zhàn)略武器??梢哉f,未來國與國之間的對抗首先將是信息技術(shù)的較量。網(wǎng)絡信息安全應該成為國家安全的前提。

(7)計算機犯罪。計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。

在一個開放的網(wǎng)絡環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統(tǒng)的犯罪活動日益增多。

三、計算機網(wǎng)絡安全防范策略

(一)物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

抑制和防止電磁泄漏(即TEMPEST技術(shù))是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為采用各種電磁屏蔽和干擾的防護措施。

(二)訪問控制策略

訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段,可以說是保證網(wǎng)絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。

1、入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進入該網(wǎng)絡。

2、網(wǎng)絡的權(quán)限控制。網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽(IRM)可作為其兩種實現(xiàn)方式。

3、目錄級安全控制。網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。用戶對文件或目標的有效權(quán)限取決于以下二個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對服務器的訪問。

4、屬性安全控制。當用文件、目錄和網(wǎng)絡設備時,網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權(quán)限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權(quán)限對應一張訪問控制表,用以表明用戶對網(wǎng)絡資源的訪問能力。

5、網(wǎng)絡服務器安全控制。網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設定服務器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

6、網(wǎng)絡監(jiān)測和鎖定控制。網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控,服務器應記錄用戶對網(wǎng)絡資源的訪問,對非法的網(wǎng)絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡,網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù),如果非法訪問的次數(shù)達到設定數(shù)值,那么該賬戶將被自動鎖定。

7、網(wǎng)絡端口和節(jié)點的安全控制。網(wǎng)絡中服務器的端口往往使用自動回呼設備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶,靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡還常對服務器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務器端再進行相互驗證。

8、防火墻控制。防火墻是網(wǎng)絡安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成,處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權(quán)限。當一個網(wǎng)絡接上Internet之后,系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時,防火墻能進行適當?shù)膱缶?,并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

(三)信息加密策略

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡情況酌情選擇上述加密方式。

信息加密過程是由形形的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數(shù)情況下,信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計,到目前為止,已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

1、常規(guī)密碼。收信方和發(fā)信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。其優(yōu)點是有很強的保密強度,且經(jīng)受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統(tǒng)安全的重要因素。

2、公鑰密碼。收信方和發(fā)信方使用的密鑰互不相同,而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰。其優(yōu)點是可以適應網(wǎng)絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復雜。加密數(shù)據(jù)的速率較低。盡管如此,隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展,公鑰密碼算法將是一種很有前途的網(wǎng)絡安全加密體制。當然在實際應用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用,以確保信息安全。

(四)網(wǎng)絡安全管理策略

安全管理隊伍的建設。在計算機網(wǎng)絡系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證,只有通過網(wǎng)絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術(shù),盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度,大力加強安全技術(shù)建設,強化使用人員和管理人員的安全防范意識。網(wǎng)絡內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力,才能使計算機網(wǎng)絡的安全可靠得到保障,從而使廣大網(wǎng)絡用戶的利益得到保障。在網(wǎng)絡安全中,除了采用上述技術(shù)措施之外,加強網(wǎng)絡的安全管理,制定有關(guān)規(guī)章制度,對于確保網(wǎng)絡的安全、可靠地運行,將起到十分有效的作用。

四、結(jié)語

計算機網(wǎng)絡的安全問題越來越受到人們的重視,本文簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患,并探討了計算機網(wǎng)絡的幾種安全防范措施。總的來說,網(wǎng)絡安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng),隨著計算機網(wǎng)絡技術(shù)的進一步發(fā)展,網(wǎng)絡安全防護技術(shù)也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。 參考文獻:

1、朱雁輝.防火墻與網(wǎng)絡封包截獲技術(shù)[M].電子工業(yè)出版社,2002

2、信息管理系列編委會.網(wǎng)絡安全管理.中國人民大學出版社,2003

篇5

關(guān)鍵詞:計算機網(wǎng)絡安全網(wǎng)絡攻擊防范策略

中圖分類號:TN915.08文獻標識碼:A文章編號:16723198(2010)01027502

1 計算機網(wǎng)絡攻擊的特點

1.1 損失巨大

由于攻擊和入侵的對象是網(wǎng)絡上的計算機,因此攻擊一旦成功,就會使網(wǎng)絡中的計算機處于癱瘓狀態(tài),從而給計算機用戶造成巨大的經(jīng)濟損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經(jīng)濟損失是一般案件的幾十到幾百倍。

1.2 威脅社會和國家安全

一些計算機網(wǎng)絡攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。

1.3 手段多樣,手法隱蔽

計算機攻擊的手段可以說五花八門:網(wǎng)絡攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統(tǒng),還可以通過一些特殊的方法繞過人們精心設計的防火墻,等等。這些過程都可以在很短的時間內(nèi)通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。

1.4 以軟件攻擊為主

幾乎所有的網(wǎng)絡入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。

2 計算機網(wǎng)絡安全存在的隱憂

2.1間諜軟件

所謂“間諜軟件”,一般指從計算機上搜集信息,并在未得到該計算機用戶許可時便將信息傳遞到第三方的軟件,包括監(jiān)視擊鍵,搜集機密信息(密碼、信用卡號、PIN碼等),獲取電子郵件地址,跟蹤瀏覽習慣等。間諜軟件還有一個副產(chǎn)品,在其影響下這些行為不可避免的響網(wǎng)絡性能,減慢系統(tǒng)速度,進而影響整個商業(yè)進程。

2.2 混合攻擊

混合攻擊集合了多種不同類型的攻擊方式,它們集病毒,蠕蟲以及其他惡意代碼于一身,針對服務器或者互聯(lián)網(wǎng)的漏洞進行快速的攻擊、傳播、擴散,從而導致極大范圍內(nèi)的破壞。

2.3 繞道攻擊

網(wǎng)關(guān)級別的安全防護無法保護電腦免遭來自CD,USB設備或者閃盤上的惡意軟件攻擊。同理,那些被拿到辦公室之外使用的員工電腦也無法得到有效的保護。假如你將電腦拿到一個無線熱點區(qū)域之中,那么竊聽者以及AP盜用者都有可能攔截到電腦的相關(guān)通訊如果你的電腦并未采取足夠客戶端安全防護措施的話。而這些攻擊,我們就將其稱為“繞道攻擊”。

2.4 強盜AP

是指那些既不屬于IT部門,也并非由IT部門根據(jù)公司安全策略進行配置的AP,代表著一種主要的網(wǎng)絡安全風險來源,它們可以允許未經(jīng)授權(quán)的人對網(wǎng)絡通訊進行監(jiān)聽,并嘗試注人風險,一旦某個強盜AP連接到了網(wǎng)絡上,只需簡單的將一個WiFi適配器插入一個USB端口,或者將一臺AP連到一個被人忽略的以太網(wǎng)端口,又或者使用一臺配備了WiFi的筆記本電腦以及掌上電腦,那么未經(jīng)授權(quán)的用戶就可以在公司建筑的外面(甚至可能是更遠一些的地方)訪問你的網(wǎng)絡。

2.5 網(wǎng)頁及瀏覽器攻擊

網(wǎng)頁漏洞攻擊試圖通過Web服務器來破壞安全防護,比如微軟的IISApache,Sunday的Java Web服務器,以及IBM的WebSphere。

2.6 蠕蟲及病毒

感染現(xiàn)有計算機程序的病毒,以及那些本身就是可執(zhí)行文件的蠕蟲,是最廣為人知的計算機安全威脅病毒。一般傾向于棲身在文檔、表格或者其他文件之中,然后通過電子郵件進行傳播,而蠕蟲通常是直接通過網(wǎng)絡對自身進行傳播。一旦病毒或者蠕蟲感染了一臺電腦,它不僅會試圖感染其他系統(tǒng),同時還會對現(xiàn)有系統(tǒng)大搞破壞。

2.7 網(wǎng)絡欺詐

網(wǎng)絡釣魚只是企圖欺騙用戶相信那些虛假的電子郵件、電話或網(wǎng)站,這些網(wǎng)站往往和網(wǎng)上銀行或支付服務相關(guān),讓你認為它們是合法的,而其意圖則是讓用戶提交自己的私人信息,或是下載惡意程序來感染用戶的計算機。

2.8 擊鍵記錄

擊鍵記錄,或者輸人記錄,指的都是那些對用戶鍵盤輸人(可能還有鼠標移動)進行記錄的程序,那些程序以此來獲取用戶的用戶名、密碼、電子郵件地址,即時通信相關(guān)信息,以及其他員工的活動等。擊鍵記錄程序一般會將這些信息保存到某個文件中,然后悄悄的將這些文件轉(zhuǎn)發(fā)出去,供記錄者進行不法活動。

3 安全策略

3.1 防火墻技術(shù)

防火墻的作用是對網(wǎng)絡訪問實施訪問控制策略。使用防火墻(Firewall)是一種確保網(wǎng)絡安全的方法。防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

3.2 建立安全實時相應和應急恢復的整體防御

沒有百分百安全和保密的網(wǎng)絡信息,因此要求網(wǎng)絡要在被攻擊和破壞時能夠及時發(fā)現(xiàn),及時反映,盡可能快的恢復網(wǎng)絡信息中心的服務,減少損失,網(wǎng)絡安全系統(tǒng)包括安全防護機制、安全檢測機制、安全反映機制和安全恢復機制。

3.3 阻止入侵或非法訪問

入網(wǎng)訪問控制為網(wǎng)絡訪問提供第一層訪問控制,它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源,控制準許用戶入網(wǎng)的時間和準許在哪臺工作站入網(wǎng)。控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。對所有用戶的訪問進行審計,如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。

3.4 數(shù)據(jù)傳輸加密技術(shù)

目的是對傳輸中的數(shù)據(jù)流加密,常用的方針有線路加密和端到端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護的。后者則指信息由發(fā)送者端自動加密,并進入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng),當這些信息一旦到達目的地,將被自動重組、解密,成為可讀數(shù)據(jù)。

3.5 密鑰管理技術(shù)

為了數(shù)據(jù)使用的方便,數(shù)據(jù)加密在許多場合集中表現(xiàn)為密鑰的應用,因此密鑰往往是保密與竊密的主要對象。密鑰的媒體有:磁卡、磁

帶、磁盤、半導體存儲器等。密鑰的管理技術(shù)包括密鑰的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

3.6 加強網(wǎng)絡安全的人為管理

在網(wǎng)絡安全中,除了采用上述技術(shù)措施之外,加強網(wǎng)絡的安全管理、制定有效的規(guī)章制度,對于確保網(wǎng)絡的安全、可靠運行,將起到十分有效的作用。加強網(wǎng)絡的安全管理包括:確定安全管理等級和安全管理范圍;制定有關(guān)網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度;制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。首先是加強立法,及時補充和修訂現(xiàn)有的法律法規(guī)。用法律手段打擊計算機犯罪。其次是加強計算機人員安全防范意識,提高人員的安全素質(zhì)。另外還需要健全的規(guī)章制度和有效、易于操作的網(wǎng)絡安全管理平臺。

4 結(jié)語

網(wǎng)絡安全是一個永遠說不完的話題,關(guān)于如何解決好網(wǎng)絡安全問題,網(wǎng)絡安全技術(shù)與工具是網(wǎng)絡安全的基礎,高水平的網(wǎng)絡安全技術(shù)隊伍是網(wǎng)絡安全的保證,嚴格的管理則是網(wǎng)絡安全的關(guān)鍵。我們要清醒認識到任何網(wǎng)絡安全和數(shù)據(jù)保護的防范措施都是有一定的限度,一勞永逸的網(wǎng)絡安全體系是不存在的。網(wǎng)絡安全需要我們每一個人的參與。

參考文獻

[1]盧昱,王宇.計算機網(wǎng)絡安全與控制技術(shù)[M].北京:科學出版社,2005.

篇6

關(guān)鍵詞:維護系統(tǒng);漏洞;安全性;防火墻

中圖分類號:TP393.18文獻標識碼:A文章編號:1007-9599 (2012) 05-0000-02

現(xiàn)階段,計算機網(wǎng)絡已經(jīng)逐步信息化,正慢慢滲透進各經(jīng)濟范圍中,融入到人類的生活、工作、學習環(huán)境中。短短幾年時間之內(nèi),各類利用計算機進行網(wǎng)絡犯罪的案件層出不窮,尤其是那些有著行業(yè)專業(yè)技能的犯罪,通常是針對金融、財務部門等,這些部門的損失是極其慘烈的。由此可知,對計算機網(wǎng)絡信息存在的安全隱患加以分析是必須的,并要及時提出防范解決的策略。

一、現(xiàn)階段,計算機網(wǎng)絡信息中存在的一系列安全隱患

由于計算機網(wǎng)絡本身開放、自由的特點,引起越來越多重要的信息資源受到入侵,并被破壞或惡意丟失,一般來講,計算機網(wǎng)絡存在下面幾大安全隱患:

(一)網(wǎng)絡運行系統(tǒng)相對脆弱。一般網(wǎng)絡運行系統(tǒng)都會發(fā)生集成、擴散,而整個服務過程里都要求持續(xù)不斷地變更遠程的網(wǎng)絡節(jié)點,還要求可以定期的對軟件進行升級,對漏洞進行補丁。可事實卻是,大多數(shù)網(wǎng)絡系統(tǒng)管理工作者常常為了便捷,就留下很多這樣那樣的隱患,使得黑客可以抓到漏洞,侵入網(wǎng)絡系統(tǒng)深層的核心地帶,摧毀整個操作系統(tǒng)程序,進而使得系統(tǒng)癱瘓、報廢。

(二)計算機存在病毒入侵現(xiàn)象。通常病毒都是可以不斷蔓延、復制的,它可以對計算機內(nèi)部數(shù)據(jù)進行破壞。而且計算機病毒還有著傳播速度快、涉及范圍廣、引起損失嚴重等一系列的不利特性。一般情況下,計算機病毒都是從一部分網(wǎng)絡程序慢慢延續(xù)到整個計算機系統(tǒng),其威脅性很高。換句話講,只要計算機染上某種病毒,整個系統(tǒng)就不能正常運作,內(nèi)部文件有可能會丟失或被破壞,嚴重的會引起電腦死機或直接報廢。

(三)黑客襲擊網(wǎng)絡用戶。在所有計算機網(wǎng)絡存在的安全威脅里,黑客攻擊引起的破壞是最慘重的。黑客一般是隱蔽性的、可傳染的以及破壞性大的。計算機網(wǎng)絡系統(tǒng)存在的漏洞一般就會被黑客給利用。通常是應用各式各樣的破譯方法來獲取用戶的加密數(shù)據(jù),有目標性地損毀用戶信息,帶給國家或個人不可估量的損失。

(四)網(wǎng)絡軟件存在眾多漏洞。由(三)可知,黑客都是利用網(wǎng)絡軟件中存在的漏洞進行攻擊的。所以只要計算機服務器沒有對漏洞進行補丁的話,就會導致被黑客侵入、襲擊,通常后果是不堪設想的。

(五)網(wǎng)絡垃圾郵件眾多。大多數(shù)人都是利用網(wǎng)絡電子郵件地址通常的公開特性,將自己編輯的電子郵件突破“防守”發(fā)到別人使用的電子郵箱里,硬性逼迫別人郵箱里存在這種垃圾郵件。還有一些人利用專門的間諜軟件去偷竊合法用戶的信息資源,然后將原先的系統(tǒng)設置進行修改,這樣的做法,不單單危害到了網(wǎng)絡用戶的隱私安全,還威脅到了整個計算機系統(tǒng)的正常運作。

(六)網(wǎng)絡監(jiān)管力度欠缺。部分網(wǎng)絡站點都會潛移默化地將防火墻設立的訪問權(quán)限給擴寬,進而使得那些攻擊者可以趁虛而入,在一定程度上濫用了網(wǎng)絡資源,使得整個計算機安全系統(tǒng)性能偏低,從而導致安全隱患的增多。

二、分析計算機網(wǎng)絡信息存在安全隱患的主要原因

通常情況下,引起計算機網(wǎng)絡存在安全隱患的常見原因是很多的,主要原因如下:

(一)網(wǎng)絡環(huán)境構(gòu)造不可靠

計算機因特網(wǎng)基本都是無數(shù)個地方局域網(wǎng)組合而成的。在使用一臺主機跟其它地方局域網(wǎng)使用的主機進行通信的時候,在兩個主機之間傳送的數(shù)據(jù)一般都要經(jīng)由無數(shù)地方局域網(wǎng)主機進行轉(zhuǎn)發(fā)、傳遞才可以到達最終目的地的。這樣的話,只要對一臺正在傳送用戶數(shù)據(jù)信息的主機攻擊成功的話,那攻擊人就能輕而易舉地取得網(wǎng)絡用戶的數(shù)據(jù)信息。

(二)TCP/IP計算機協(xié)議不完整

計算機因特網(wǎng)系統(tǒng)正常運作的基礎就是 TCP/IP 這一協(xié)議,可惜對于這個協(xié)議來說,不管是什么組織,或者個人都能直接查閱得到,使得整個協(xié)議變得完全透明,換句話說,計算機間各種信息數(shù)據(jù)都是完全公開化的。由此可知,一些不良居心的攻擊人就會很容易地利用這些漏洞來進攻網(wǎng)絡用戶的計算機。

(三)網(wǎng)絡信息安全系數(shù)不高

計算機網(wǎng)絡上有很多沒加密的數(shù)據(jù)流資源,人們可以直接利用網(wǎng)上的探測工具去搜索網(wǎng)站用戶所使用的電子郵件地址、口令密鑰以及各類傳輸?shù)闹匾募?。使得網(wǎng)絡信息安全系數(shù)整體偏低。

(四)網(wǎng)絡信息技術(shù)系統(tǒng)不夠穩(wěn)定

不合規(guī)、不科學、缺乏安全穩(wěn)定性的計算機網(wǎng)絡系統(tǒng)程序編制,使得計算機肯定會受到不同程度的影響、破壞。

三、針對上述隱患,提出應對的安全防范措施

(一)防火墻計算機信息技術(shù)

防火墻計算機信息技術(shù)一般是用來強化網(wǎng)絡信息間訪問掌控力度的,避免外網(wǎng)用戶利用一些非法的渠道進入內(nèi)網(wǎng),濫用內(nèi)網(wǎng)信息數(shù)據(jù),在一定程度上可以保護內(nèi)網(wǎng)系統(tǒng)可以正常操作的一種網(wǎng)絡互聯(lián)技術(shù)。它一般對兩個或兩個以上的網(wǎng)絡間傳遞的數(shù)據(jù)包遵循特定的安全技術(shù)措施進行鏈接式的檢查工作,進而決定整個網(wǎng)絡的通信是否允許正常進行,同時還對整個網(wǎng)絡系統(tǒng)的運作狀況進行有效地監(jiān)控。這里介紹的“防火墻系統(tǒng)”通常是由過濾路由器跟應用層網(wǎng)關(guān)這兩個基本部件組織形成的,防火墻在五層安全網(wǎng)絡結(jié)構(gòu)里處于最底一層,是內(nèi)網(wǎng)跟外網(wǎng)中間最重要的一道保障。因此,防火墻始終都受到大眾的關(guān)注,是最安全的網(wǎng)絡產(chǎn)品之一。換句話來講,即使防火墻是在整個網(wǎng)絡安全系統(tǒng)中的最底層,僅僅負責各網(wǎng)絡間有關(guān)安全棉麻方面的認證與信息的輸送,可是由于社會對網(wǎng)絡安全技術(shù)標準的不斷提高,網(wǎng)絡應用也在不斷更新,使得防火墻技術(shù)慢慢地成為最基礎的一道安全技術(shù),突破了單調(diào)的網(wǎng)絡層次,不單單要完成過濾目的,還要提供給各網(wǎng)絡應用合理、科學的安全服務條件。另一方面,大多數(shù)防火墻產(chǎn)品目前正在發(fā)展數(shù)據(jù)信息安全跟網(wǎng)絡用戶認證以及阻擋病毒侵入等方面的安全技術(shù)。

(二)數(shù)據(jù)信息加密安全技術(shù)

對數(shù)據(jù)信息進行加密的安全技術(shù)是整個網(wǎng)絡系統(tǒng)里最基本安全的管理技術(shù),是信息資源安全的核心保證,剛開始的時候是用來嚴密保護存儲、傳遞數(shù)據(jù)的。它將那些需要保護的信息數(shù)據(jù)轉(zhuǎn)化成密文加以存儲并傳遞,那樣,就算加密的信息資源在存儲傳遞的過程里不小心被非授權(quán)的工作者獲取的話,也能確保流失的信息不被人知曉,進一步保護了信息資源的安全性。

在使用對稱加密安全技術(shù)時,數(shù)據(jù)加密所使用的密碼跟解密的密碼一般都是相同的,換句話講,其安全性全部都依賴于網(wǎng)絡用戶所持有的系統(tǒng)密鑰的安全性這一方面。應用對稱加密這一算法最重要的優(yōu)勢就是加密跟解密都很迅速,加密的強度值很高,而且整個算法都是公開、透明的。

而在使用非對稱型的加密算法時,數(shù)據(jù)加密所使用的密碼跟解密的密碼都不盡相同,并且需要加密的嘻嘻資源必須要經(jīng)由正確的解密密鑰才可以破解、使用,最主要的就是解密這一環(huán)節(jié)是非常復雜的。在實際的使用過程里,網(wǎng)絡用戶一般會將加密的密鑰公開使用,可是會保留解密的密鑰。通常情況下,公鑰體系在一定程度上方便了網(wǎng)絡用戶認證其身。也就是網(wǎng)絡用戶在傳遞信息之前,就先用私鑰加密信息,而信息的接收人在收到傳遞的信息后,就用網(wǎng)絡用戶對外公開的公鑰加以解密,只要可以解開,就表示信息資源確實是從網(wǎng)絡用戶那里傳遞過來的,在一定程度上就鑒別了信息發(fā)送者的確切身份。

(三)強化每一位網(wǎng)絡工作管理者的整體素養(yǎng),增強其網(wǎng)絡安全責任意識

對每一位網(wǎng)絡工作者的管理素養(yǎng)水平應有所要求,應該定期對工作者進行計算機軟、硬件以及數(shù)據(jù)系統(tǒng)等方面的培訓,增強他們的安全責任意識,并強化整個網(wǎng)絡業(yè)務的培訓力度,提高實際操作動手能力,重點強調(diào)網(wǎng)絡系統(tǒng)安全的知識,盡可能避免發(fā)生人為操作失誤。現(xiàn)階段我國對于網(wǎng)絡研究的步伐還是比較緩慢的,整個安全技術(shù)都是處于發(fā)展、更新階段的。另一方面,如果要保證整個網(wǎng)絡可以正常、安全地運作,就必須要設立完善、嚴謹?shù)墓芾硪?guī)章,制定穩(wěn)定、科學的管理方針,提高每一位網(wǎng)絡用戶對安全技術(shù)的認知意識,進一步改善個人、社會對計算機網(wǎng)絡的犯罪法律態(tài)度。

(四)訪問跟監(jiān)控

授權(quán)掌控各不相同網(wǎng)絡用戶對數(shù)據(jù)資源的訪問限制,也就是說,哪些網(wǎng)絡用戶可以利用哪些資源,并且規(guī)定這些可訪問的網(wǎng)絡用戶必須要具備怎樣的權(quán)限標準。總而言之,對網(wǎng)絡信息的訪問跟監(jiān)控加以技術(shù)方面的處理在一定程度上可以維護系統(tǒng)正常、穩(wěn)定的運行,可以保護系統(tǒng)資源不被破壞。

(五)注重備份與恢復工作

備份管理工作通常是全面的、層次化的。最開始要做的就是用硬件網(wǎng)絡設備來避免硬件發(fā)生故障;因為假如軟件發(fā)生故障或者人為失誤引起數(shù)據(jù)資源的邏輯行為破壞,就會影響軟件、手工各方面的恢復系統(tǒng)程序。軟硬件跟人為相結(jié)合的模式在一定程度上使得系統(tǒng)能夠形成防護,不單單可以避免物理行為損害,還可以徹底杜絕邏輯性地損害。高質(zhì)量的備份與恢復工作機制,在一定程度上能將網(wǎng)絡損失降到最低,因為它在網(wǎng)絡被損害的同時就已經(jīng)在自身維護網(wǎng)絡數(shù)據(jù)漏洞了。

四、結(jié)語

現(xiàn)在社會正逐漸趨向網(wǎng)絡信息化,計算機正不斷推動世界經(jīng)濟的發(fā)展,促進社會現(xiàn)代化的更新?lián)Q代。同時,計算機網(wǎng)絡存在的安全性問題也是綜合性強的復雜難解的一大隱患。它不單單只要靠某些先進的網(wǎng)絡技術(shù)去解決,更要綜合其它各類制度、管理工作對隱患加以防范,盡可能的避免安全隱患的發(fā)生。

參考文獻:

[1]楊盈.計算機網(wǎng)絡安全隱患與防范策略探討[J].科技致富向?qū)?2010,(17)

篇7

【關(guān)鍵詞】電力企業(yè) 信息網(wǎng)絡安全體系 隱患分析 防御策略

電力企業(yè)的信息安全不僅影響著其自身的網(wǎng)絡信息的化建設進程,也關(guān)系著電力生產(chǎn)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟、優(yōu)質(zhì)運行。所以,強化信息網(wǎng)絡安全管理,確保電力信息網(wǎng)絡的安全性,保證業(yè)務操作平臺能夠穩(wěn)定、可靠的運行具有重要意義。

1 電力信息網(wǎng)絡安全體系

信息網(wǎng)絡安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。

2 電力信息網(wǎng)絡安全體系存在的隱患分析

2.1 系統(tǒng)漏洞。電力企業(yè)使用的都是微軟所開發(fā)的Windows操作系統(tǒng)。由于一個計算機操作系統(tǒng)過于龐大、復雜,所以它不可能第一次性地發(fā)現(xiàn)并解決所有存在的各種漏洞和安全問題,這需要在我們的使用當中不斷地被完善。這些長久存在或是剛被披露的漏洞,易造成對企業(yè)信息網(wǎng)絡安全的威脅。

2.2 黑客的惡意攻擊。在這些攻擊行為當中,一部分是主動的進行系統(tǒng)破壞或是更改、刪除重要的信息,另一部分是被動的進行監(jiān)聽,竊取電力企業(yè)內(nèi)部網(wǎng)絡交流信息,導致信息外泄。

2.3 網(wǎng)絡硬件系統(tǒng)不牢固。網(wǎng)絡硬件系統(tǒng)不牢固是一個普遍性的問題。盡管互聯(lián)網(wǎng)的硬件系統(tǒng)已經(jīng)具有了較高的穩(wěn)定性和安全性,但其仍然存在的脆弱性也不可忽視,比如雷電所引發(fā)的硬件故障,各種傳輸過程當中受其他因素影響所出現(xiàn)的信息失真等。

2.4 員工的信息網(wǎng)絡安全意識不健全。電力企業(yè)中,許多員工多信息網(wǎng)絡的安全意識還不健全。比如用戶安全意識不強,系統(tǒng)登錄口令過于簡單,或是將賬戶及密碼借給他人使用,盲目地進行資源信息共享,這些帶全安全威脅性的操作都可能會對企業(yè)的信息網(wǎng)絡安全帶來隱患。還有的員工長時間占用網(wǎng)絡,大量消耗了網(wǎng)絡資源,增加了企業(yè)的網(wǎng)絡通信負擔,導致企業(yè)內(nèi)部的通信與生產(chǎn)效率較低。

2.5 管理人員技術(shù)水平低。電力企業(yè)作為重要的工業(yè)企業(yè),其“重建設,輕管理”的思想是非常明顯的。安全管理體制不合理,導致企業(yè)疏于對管理人員的技術(shù)培養(yǎng),最終導致管理人員的技術(shù)水平低下,即使網(wǎng)絡安全出現(xiàn)問題,也不能及時修理。

3 加強電力信息網(wǎng)絡安全防御體系的策略

3.1設備安全策略

建立配套的績效管理機制,以促進信息安全運維人員樹立良好意識,提高自身信息網(wǎng)絡管理能力。

建立電網(wǎng)信息安全事故應急處理預案,例如“突況下某某大樓信息系統(tǒng)應急處理預案”,預案所要求的各項信息設備必須作為信息安全重要物資交由信息應急指揮人員保管,相關(guān)信息運維人員必須在信息事故發(fā)生的第一時間到崗到位、信息預案操作流程必須準確到位,各應急單位要定期進行應急演練,保證在發(fā)生信息安全事故之時隊伍能夠拉得出、打得贏。

運用國家電網(wǎng)公司統(tǒng)一的標準化信息安全管理模式,規(guī)范日常網(wǎng)絡處理流程,嚴格控制網(wǎng)絡接入程序,對新進網(wǎng)絡施行過程化管理,例如:申請入網(wǎng)人員必須填寫“某公司入網(wǎng)申請單”,并對操作人員嚴格施行信息網(wǎng)絡處理“兩票三制”管理,即:操作票、工作票、交接班制、巡回檢查制、設備定期試驗輪換制,從制度上保證信息網(wǎng)絡安全管理。

成立網(wǎng)絡信息安全組織機構(gòu),例如:成立某公司信息安全領(lǐng)導小組,小組成員包括:公司領(lǐng)導層人員、信息安全管理層人員、信息安全網(wǎng)絡技術(shù)實施保障人員等,并對各人員工作職責提出具體要求,尤其是必須明確技術(shù)實施保障人員的工作要求。

3.2安全技術(shù)策略

使用VPN(虛擬隧道)技術(shù)。按業(yè)務分別建立對應的三層VPN,各VLAN段建立符合實際要求的網(wǎng)絡訪問控制列表,將網(wǎng)絡按部門(樓層)進行分段,對各段網(wǎng)絡配置對應的訪問控制,設置高強度的網(wǎng)絡登錄密碼,保證網(wǎng)絡的安全性。

運用安全審計技術(shù)。隨著系統(tǒng)規(guī)模的擴展與安全設施的完善,應該引入集中智能的安全審計系統(tǒng),通過技術(shù)手段,實現(xiàn)自動對網(wǎng)絡設備日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務應用系統(tǒng)運行日志、安全設施運行日志等進行統(tǒng)一安全審計。及時自動分析系統(tǒng)安全事件,實現(xiàn)系統(tǒng)安全運行管理。

病毒防護技術(shù)。為免受病毒造成的損失,要采用的多層防病毒體系。即在每臺PC機上安裝防病毒軟件客戶端,在服務器上安裝基于服務器的防病毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)父的防病毒軟件,必須在信息系統(tǒng)的各個環(huán)節(jié)采用全網(wǎng)全面的防病毒策略,在計算機病毒預防、檢測和病毒庫的升級分發(fā)等環(huán)節(jié)統(tǒng)一管理。

啟用防火墻技術(shù)。防火墻是用于將信任網(wǎng)絡與非信任網(wǎng)絡隔離的一種技術(shù)。它通過單一集中的安全檢查點,強制實操相應的安全策略進行檢查,防止對重要信息資源進行非法存取和訪問。電力系統(tǒng)的生產(chǎn)、計量、營銷、調(diào)度管理等系統(tǒng)之間,信息的共享、整合與調(diào)用,都需要在不同網(wǎng)段之間對這些訪問行為進行過濾和控制,阻斷攻擊破壞行為,分權(quán)限合理享用信息資源。

擬局域網(wǎng)技術(shù)(VLAN技術(shù))。局域網(wǎng)技術(shù)允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有相同的屬性。由于它是邏輯而不是物理劃分,所以同一個LAN內(nèi)的各工作站無須放置在同一物理空LAN里,但這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,有助于控制流量、控制廣播風暴、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。

4 結(jié)語

總之,供電系統(tǒng)數(shù)據(jù)網(wǎng)的安全問題不容忽視,要保障其網(wǎng)絡的安全可靠運行,不能僅僅依靠防火墻等單個的系統(tǒng),而需要仔細考慮系統(tǒng)的安全需求,并將各種安全技術(shù)結(jié)合在一起,方能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。

參考文獻:

[1] 鄺德昌.電力企業(yè)信息網(wǎng)絡安全探討[J].信息與電腦(理論版).2011(10).

篇8

【關(guān)鍵詞】高校 計算機網(wǎng)絡 安全 策略

1 威脅網(wǎng)絡安全的主要因素

1.1 拓撲算法和軟件漏洞

現(xiàn)在的高校普遍都擁有自己的校園網(wǎng)絡,并使用多媒體的教學方式。通過計算機網(wǎng)絡技術(shù),高校將數(shù)據(jù)文件和優(yōu)良的教學資源共享在校園內(nèi)部的網(wǎng)絡上,這在理論上應該是較為安全的,但是一旦高校內(nèi)部網(wǎng)絡的拓撲算法存在問題和漏洞時,校園網(wǎng)絡和外部網(wǎng)絡在連接時就會造成較大的安全隱患。而與此同時,XP、Windows、Win7等操作系統(tǒng)本身也存在著不同程度的漏洞,威脅信息的安全。

1.2 病毒和木馬

當前,威脅數(shù)據(jù)安全的最大因素就是病毒和木馬,它具有破壞和復制的功能,嚴重影響著計算機硬件及軟件的正常運行和使用,同時它還會破壞更改數(shù)據(jù),造成了資源的丟失和損壞,影響了資源的保存和利用。而病毒的復制性,也造成了在利用計算機進行文件下載和文件拷貝時都極有可能進行計算機U盤的雙向感染,提高了損失程度。

1.3 安全意識不強

使用者的安全意識也是影響網(wǎng)絡安全的一個重要因素,大多數(shù)的學生和教師在使用電腦時總是存在著僥幸心理,認為威脅與自己的距離很遠,進而忽略了這方面的重視,在使用網(wǎng)絡時較為隨意,隨便下載不明文件,密碼設置過于簡單等。而黑客是一群利用自身計算機技術(shù),出于好奇和商業(yè)政治等利益目的,透過計算機漏洞和使用者的疏忽點進行非法侵入他人計算機的一類人,他們嚴重威脅了信息的安全,危害性極大。

2 防護網(wǎng)絡安全的策略

2.1優(yōu)化拓撲結(jié)構(gòu)

網(wǎng)絡拓撲圖是拓撲的表現(xiàn)形式,可以直觀完整的展現(xiàn)出網(wǎng)絡整體結(jié)構(gòu)和運行的狀態(tài)。優(yōu)化拓撲發(fā)現(xiàn)的算法,可以提高發(fā)現(xiàn)數(shù)據(jù)鏈路層交換機的連接關(guān)系的效率,加強對不同網(wǎng)絡設備之間的支持平衡,更好對各個時間性能的走勢進行圖形生產(chǎn),進而進行負載和性能分析,更加方便的查看高校內(nèi)計算機網(wǎng)絡設備的運行狀況和性能情況。

2.2重視軟硬件防護

硬件防護是一種實際的、物理性的防護,即防止計算機系統(tǒng)、打印機和網(wǎng)絡服器等遭受到自然人為的傷害和破壞,保證其在使用時的安全可靠性。而軟件防護則是一種虛擬的防護,如Windows、XP、Win7等操作系統(tǒng)操作系統(tǒng),需要及時的下載補丁,更新病毒庫,進行防毒處理,并開啟防火墻等。防火墻技術(shù)是一種同時利用了硬件和軟件而進行的安全網(wǎng)關(guān)的設置,是一道內(nèi)外網(wǎng)絡間的有效屏障,決定了網(wǎng)絡的訪問方式,防止內(nèi)部網(wǎng)絡遭受到非法用戶的攻擊和入侵。

2.3提高用戶認證

在高校校園中,提高用戶認證的目的就在于加強對用戶的使用進行有效的控制及管理,防止私自的、非法的用戶進入到網(wǎng)絡當中或者退出網(wǎng)絡,有效降低惡意的網(wǎng)絡攻擊,不當?shù)臄?shù)據(jù)掃描,減少動態(tài)IP地址被非法占用或者IP地址被竊用等問題出現(xiàn)的頻率。因此,高校中要加強對用戶認證的重視,使用安全管理系統(tǒng)進行認證發(fā)揮,確保用戶身份認證機制的方便和安全使用,在保證用戶身份識別的同時,還能進行跨域的用戶身份識別??缬蛴脩舻纳矸葑R別是指,用戶在進行網(wǎng)絡訪問時,無需進行多次的身份驗證就可輕松實現(xiàn)多個域的登錄,并進行良好的資源獲取的功能。

2.4 提高安全意識

高校中,應倡導和提高學生和教師的網(wǎng)絡安全使用意識,在計算機課程的教學中也應加大對計算機安全問題的講解,通過對知識的理解和觀念的轉(zhuǎn)變,確保信息與資源在存儲和使用中的安全,去正規(guī)網(wǎng)站下載軟件,加強密碼的設置,在自身計算機中進行防火墻的使用與殺毒軟件的使用和及時更新,定期進行計算機的系統(tǒng)維護等。

2.5 完善網(wǎng)絡監(jiān)控

網(wǎng)絡監(jiān)控是指校園計算機網(wǎng)絡管理人員對校園內(nèi)部的全部路由器、服務器等進行全面監(jiān)督和控制的一種職能。因此,要加強校園網(wǎng)絡的安全可靠性,就要完善校園網(wǎng)絡的監(jiān)控職能,使用安全管理系統(tǒng),幫助學校進行良好的管理,提高計算機網(wǎng)絡運行的持續(xù)、有效、安全、便捷。安全管理系統(tǒng)可以將各個服務器、各個路由器的運行情況進行直觀的、圖像化的顯示,并將其顯示結(jié)果進行詳盡的記錄,保存相應監(jiān)控數(shù)據(jù),并對數(shù)據(jù)進行有效統(tǒng)計。安全管理系統(tǒng)會對服務器的狀況進行細致記錄,以便網(wǎng)絡管理人員隨時進行查閱與統(tǒng)計。

2.6 管理網(wǎng)絡故障

網(wǎng)絡故障也是影響網(wǎng)絡安全的一個關(guān)鍵點,因此高校需要加強對網(wǎng)絡故障發(fā)現(xiàn)和解決能力的提高和控制。在計算機發(fā)生網(wǎng)絡故障時,如果沒有辦法確定發(fā)生故障的位置,則就需要進行逐一排除法的判斷,并找到解決辦法。但是由于校園網(wǎng)絡發(fā)雜,出現(xiàn)故障時,人工處理時間過長,工作量過大,不能夠及時的解決問題,因此,高??梢圆捎靡环N安全的網(wǎng)絡管理系統(tǒng)進行協(xié)助管理。安全系統(tǒng)可以及時分析出故障發(fā)生的位置和原因,幫助管理者縮短處理時間,加大修復效率,不僅如此,還會對故障進行記錄、分析和跟蹤,進行日志式的詳盡管理。

2.7 審計網(wǎng)絡安全

網(wǎng)絡安全審計是校園網(wǎng)絡管理人員對網(wǎng)絡進行實時監(jiān)控的一種技術(shù)模式,它的主要目的在于減少校園網(wǎng)絡遭受到內(nèi)部和外部網(wǎng)絡的不良用戶的破壞和惡意侵入。因此,高校的網(wǎng)絡管理人員需要對各個部件包含信息系統(tǒng)、網(wǎng)絡安全設備、服務器、計算機、網(wǎng)絡設備等分別從安全事件到系統(tǒng)狀態(tài)進行全面的記錄和監(jiān)控,以便于進行集中的、良好的分析、處理和報警,以確保校園網(wǎng)絡能夠進行安全使用。

3 結(jié)語

技術(shù)的進步,計算機的網(wǎng)絡問題也逐步加大。高校中存在著龐大的校園網(wǎng)絡和多媒體計算機設備,存儲著大量的教學資源和信息,因此,高校要加強對網(wǎng)絡問題的重視,提高解決問題的能力。

參考文獻

[1]許治坤,王偉,郭添森.網(wǎng)絡滲透技術(shù)[M].北京:電子工業(yè)出版社,20ll.

[2]閆路青.計算機網(wǎng)絡安全的探討[J].硅谷,2011(02).

作者簡介

王興武(1962-),男,陜西省咸陽市人。現(xiàn)為咸陽師范學院外國語學院實驗室主任、講師。研究方向為計算機多媒體教學。

篇9

無線局域網(wǎng)按照組網(wǎng)規(guī)模的不同,可以分為家庭無線網(wǎng)絡、熱點應用、企業(yè)無線網(wǎng)絡以及無線城市。家庭無線網(wǎng)絡:互聯(lián)網(wǎng)發(fā)展迅速,同時擁有臺式機、上網(wǎng)本、網(wǎng)絡電視、智能手機的家庭用戶越來越多,使用無線路由器來組建一個家庭局域網(wǎng),使得這些設備可以隨時隨地的接入網(wǎng)絡,成為了最佳的組網(wǎng)方案。熱點應用:越來越多的咖啡廳、餐廳、商場以及車站等地方,都為顧客提供了無線上網(wǎng)服務,利用熱點應用使得在無線覆蓋范圍內(nèi)的用戶都能夠通過匿名的方式訪問網(wǎng)絡,十分方便。企業(yè)無線網(wǎng)絡:不同規(guī)模的企業(yè)有著不同規(guī)模的無線網(wǎng)絡應用,使企業(yè)網(wǎng)絡具有移動辦公、組網(wǎng)方便等特點。另外,有很多社區(qū)、高校也都提供無線局域網(wǎng)的服務。無線城市網(wǎng)絡:以覆蓋整個城市為目標的無線網(wǎng)絡,從國外到國內(nèi)都有案例,這標志著一個城市網(wǎng)絡發(fā)展的水平。無論何種規(guī)模的無線網(wǎng)絡,都面臨著一定的安全隱患和危害。

1.1無線網(wǎng)絡的安全隱患

密碼破解:無線網(wǎng)絡的接入密碼,是接入無線網(wǎng)絡的最有力的憑證,也是蹭網(wǎng)者或者黑客攻擊的首要目標。對于大多數(shù)的無線局域網(wǎng)而言,都可能會遇到自己的密碼被破解的風險,一旦破解成功,非授權(quán)用戶就能夠使用無線網(wǎng)絡,輕者損失帶寬,重者遭受經(jīng)濟損失。假冒客戶端身份:連入無線局域網(wǎng)的第一步首先要配置正確的無線網(wǎng)絡名稱:SSID。一些非法入侵者為了達到訪問企業(yè)中無線網(wǎng)絡的目的,通過技術(shù)手段獲取無線網(wǎng)絡的SSID,偽裝成正常的用戶進行連接。假冒網(wǎng)絡端AP:入侵者將自己的計算機偽裝成合法的網(wǎng)絡AP接入點,欺騙客戶端在連接無線網(wǎng)絡的時候連接自身計算機,從而進行信息竊取和篡改、入侵電腦等攻擊。

1.2無線網(wǎng)絡攻擊的危害

無線網(wǎng)絡受到攻擊,可能造成的主要危害有:泄露網(wǎng)絡資源:當有非法用戶接入網(wǎng)絡以后,網(wǎng)絡內(nèi)的資源如共享文檔、文件服務器、日常的通訊記錄都將一覽無余。泄露敏感信息:非法用戶不僅可以獲取網(wǎng)絡內(nèi)部的核心文檔,還可以通過一定的技術(shù)手段獲取企業(yè)內(nèi)部的敏感保密信息,可能給企業(yè)造成致命打擊。消耗網(wǎng)絡帶寬:對于家庭用戶和企業(yè)用戶,非法用戶的接入都會不同程度的消耗有限的網(wǎng)絡帶寬,對于帶寬本就有限的家庭用戶而言,影響會更大。造成網(wǎng)絡癱瘓:非法用戶接入網(wǎng)絡以后進行攻擊行為,隨意更改和刪除一些公用的信息,或者使用黑客軟件對網(wǎng)絡內(nèi)部的人員進行惡意攻擊,會造成網(wǎng)絡內(nèi)部工作中的中斷甚至癱瘓。造成管理混亂:網(wǎng)絡的日志審計系統(tǒng)不能夠快速有效的防止外部人員的敏感話題,一旦從企業(yè)網(wǎng)絡內(nèi)部發(fā)表一些不健康的言論,將無從追查者,給整個網(wǎng)絡造成管理上的混亂,后果非常嚴重。

2無線局域網(wǎng)建設要點

無論是家庭普通用戶還是企業(yè)用戶,在組建無線局域網(wǎng)的時候,都應該從以下幾個方面入手,解決WLAN存在的安全隱患。

2.1合理的規(guī)劃無線網(wǎng)絡

在組建無線局域網(wǎng)之初,應該認真規(guī)劃,調(diào)研無線網(wǎng)絡的主要用途,數(shù)據(jù)傳輸?shù)募墑e,覆蓋的范圍,設備的規(guī)格,形成完整的規(guī)劃。按照這個規(guī)劃進行無線節(jié)點AP的布置,接入的加密方式以及客戶端訪問的權(quán)限設置。

2.2安全策略的確定

安全策略在WLAN中的地位相當重要,基礎建設再好,如果沒有相對嚴密的安全策略,整個WLAN的安全問題也得不到解決。WLAN在滿足了建網(wǎng)的初始目標以后,應該盡可能的限制自身的無線覆蓋范圍,明確劃分內(nèi)部的重要網(wǎng)絡和無線網(wǎng)絡之間的作用區(qū)域,確保無線AP和內(nèi)部網(wǎng)絡之間的安全訪問,必要時需要采用物理隔離的辦法。這樣一旦無線網(wǎng)絡出現(xiàn)問題,也不會危及內(nèi)部網(wǎng)絡的重要區(qū)域。根據(jù)WLAN的技術(shù)特點,安全策略的重點應該放在網(wǎng)絡標識SSID、加密技術(shù)WEP、MAC綁定和過濾等方面,綜合考慮安全策略、硬件和軟件相統(tǒng)一的防御體系。

2.3部署入侵檢測系統(tǒng)

對于預算充足的無線網(wǎng)絡建設,應當部署WLAN專用的入侵檢測系統(tǒng),可以對整個無線網(wǎng)絡進行監(jiān)控,分析判斷有無異?,F(xiàn)象。通過對WLAN的性能和狀態(tài)進行分析,能夠第一時間通知網(wǎng)絡管理人員進行相應的措施來阻止危害繼續(xù)擴大。

3無線局域網(wǎng)的安全策略

對于公共無線網(wǎng)絡、家庭無線網(wǎng)絡和企業(yè)無線網(wǎng)絡,不同的網(wǎng)絡由于建網(wǎng)的目的和用戶都不相同,安全策略的制定也應該根據(jù)不同的情況有所變化,適應各自的特點。在制定安全策略時,應該著重在服務器端和客戶端兩個方面進行詳細的設計。

3.1公共場所的安全策略

公共場所建設WLAN的目的是能夠使位于其中的客戶端方便的接入網(wǎng)絡,一般不采用加密技術(shù),是一種不安全的連接。大多數(shù)人在連接入網(wǎng)的時候,并沒有采取相應的安全措施,身邊的其他客戶端有可能捕獲自己的網(wǎng)絡數(shù)據(jù)包,竊取自身的隱私,這些情況我們可能都沒有發(fā)覺。使用公共場所的WLAN,可能遇到的攻擊有:網(wǎng)絡信息被竊取:在沒有加密技術(shù)的網(wǎng)絡面前,客戶端登錄網(wǎng)站所需要的用戶名以及密碼等敏感信息會完全暴露在網(wǎng)絡中,只需要借助一些簡單的黑客工具就有可能全部獲取,對安全造成了很大威脅。電腦被非法訪問:在公共場合里,所有連接無線網(wǎng)絡的電腦邏輯上都處于同一個網(wǎng)絡里,大多數(shù)人并不主動去設置自身上網(wǎng)設備的安全性,任由自身的共享文件在網(wǎng)絡中處于可被直接查看的狀態(tài)。非法熱點劫持:網(wǎng)絡黑客會利用一些設備和技術(shù)偽裝無線接入點AP,這個AP可以借助已有的無線網(wǎng)絡提供間接上網(wǎng)功能。一些不明所以的用戶通過此AP享受了上網(wǎng)功能,同時留下了自己的上網(wǎng)資料,特別是網(wǎng)絡購物或者理財?shù)挠脩?,更加危險。由于公共場所WLAN的特性,我們應該提高自身的安全性才能做到“免費的午餐也很好吃”。公共場所WLAN的安全策略:訪問安全性高的網(wǎng)站:訪問使用SSL技術(shù)的網(wǎng)站,可以對我們在登錄和處理敏感信息的時候進行加密處理,能夠確??蛻舳撕途W(wǎng)站之間信息傳輸?shù)陌踩?。如果訪問的網(wǎng)站沒有SSL等加密技術(shù),可以使用公司提供的VPN服務來訪問公司的網(wǎng)絡,或者使用一些加密軟件來保證自己發(fā)送和接收的數(shù)據(jù)包不被他人偵聽。禁用共享功能:文件共享功能是方便在局域網(wǎng)中進行文件和數(shù)據(jù)傳輸?shù)墓δ?,在訪問公共場合的無線網(wǎng)絡里,完全沒有必要開啟此功能,以防止非法用戶未經(jīng)過我們的授權(quán)而訪問我們的電腦設備。關(guān)閉Adhoc功能:Adhoc模式的作用是兩臺電腦利用各自的無線設備進行互聯(lián)。在公共場所的網(wǎng)絡里,沒有必要開啟這個功能。我們還可以開啟防火墻和禁用網(wǎng)絡發(fā)現(xiàn)等功能防止其他人利用公共網(wǎng)絡對我們進行的非法訪問。在我們感受到城市熱點提供的網(wǎng)絡便利的同時,同時要具備一定的防備意識。

3.2家庭網(wǎng)絡的安全策略

從家庭網(wǎng)絡的使用情況來看,其威脅和隱患主要來自于家庭周圍的鄰居等固定人群。要確保家庭多臺設備聯(lián)網(wǎng)的安全性,必須要注意以下幾個方面??刂聘采w范圍:根據(jù)無線信號直線傳播,遇到障礙物信號減弱的特性,合理放置用于發(fā)射無線信號的路由器。爭取在可以覆蓋家里上網(wǎng)區(qū)域的同時,減少覆蓋范圍,這樣能夠減少非法用戶掃描攻擊我們的幾率。更改安全密鑰:很多家庭在使用路由器的時候,并沒有更改廠家默認的密碼,導致非法用戶簡單猜測就能夠連接上網(wǎng)核心設備,從而進行破壞。所以,要盡量設置復雜的登錄密碼,并且在無線網(wǎng)絡訪問中,也要設置復雜的認證加密密碼,降低破解工具對無線網(wǎng)絡暴力破解的幾率。改變設備的常規(guī)設置:設備默認的DHCP和SSID廣播服務是開啟的,這樣其他用戶只要搜索到網(wǎng)絡SSID,不用猜測網(wǎng)絡的IP地址是多少,就可以了解網(wǎng)絡的基本結(jié)構(gòu),降低了攻擊者的難度,提高了風險。應該禁用DHCP服務和SSID廣播服務,把路由器本身的IP地址更改,能夠大大增加攻擊的難度。綁定MAC地址:在路由器上開啟MAC地址綁定功能,任何接入網(wǎng)絡的設備一定是預先錄入綁定的,這樣能夠直接封殺攻擊者設備連接入網(wǎng)的機會。

3.3企業(yè)網(wǎng)絡的安全策略

企業(yè)網(wǎng)絡擁有公共網(wǎng)絡的開放性,同時具備家庭網(wǎng)絡的封閉性,不同的是在企業(yè)內(nèi)部有不同的部門,網(wǎng)絡數(shù)據(jù)的功能和重要性也有不同。針對企業(yè)無線網(wǎng)絡安全性的策略,除了要像公共網(wǎng)絡和家庭網(wǎng)絡那樣詳細設置以外,還需要注意以下幾個方面。特殊部門的隔離:企業(yè)內(nèi)部的一些部門(如財務部)不能夠和其他部門進行數(shù)據(jù)交換,至少在局域網(wǎng)之內(nèi)應該隔離開,在布置無線局域網(wǎng)的時候,就應該考慮這些部門的網(wǎng)絡與其他部門網(wǎng)絡之間的屏蔽。如果有必要,禁止這些特殊部門的無線網(wǎng)絡連接。加密技術(shù):企業(yè)的無線網(wǎng),需要更加可靠地加密技術(shù)來保障接入的安全性。WEP技術(shù)對于家庭用戶來講,40位的算法已經(jīng)夠用了,而對于企業(yè)來講,需要128位甚至更高的算法來保障其安全性,或者采用更加穩(wěn)定安全的WPA加密算法。

4小結(jié)

篇10

關(guān)鍵詞:網(wǎng)絡通信安全;網(wǎng)絡通信技術(shù);網(wǎng)絡的開放性

中圖分類號:TP309 文獻標識碼:A 文章編號:16727800(2012)011012302

作者簡介:桑亞輝(1973-),女,碩士,黃河科技學院講師,研究方向為計算機應用技術(shù);曹社香(1971-),女,黃河科技學院講師,研究方向為計算機應用。

0 引言

網(wǎng)絡通信安全指通過各種各樣的計算機加密技術(shù),確保在通信網(wǎng)絡中各種信息的傳輸、交換和存儲的完整性、真實性,并對信息的傳播及內(nèi)容具有控制能力。隨著計算機網(wǎng)絡信息技術(shù)的不斷發(fā)展以及在生活領(lǐng)域的廣泛應用,網(wǎng)絡中的泄密問題日益成為人們關(guān)注的焦點,網(wǎng)絡信息泄密是目前網(wǎng)絡信息技術(shù)發(fā)展面對的一個重要問題,對于個人來說有時候可能只是一件小事,只是對個人隱私權(quán)的侵犯,所造成的損失相對而言比較小,但是對于一個企業(yè)來說卻是意義重大,企業(yè)信息資料的泄密常常會給企業(yè)帶來無可估計的損失。泄密問題已經(jīng)引起計算機領(lǐng)域的許多學者和專家的關(guān)注,他們對計算機的各種泄密問題進行了大量的研究工作,但是似乎不太盡如人意,企業(yè)的泄密問題還是層出不窮。

1 當前網(wǎng)絡安全通信存在的主要問題

雖然很多的專家以及學者在網(wǎng)絡通信泄密問題上投入了大量的精力,但還是無法杜絕泄密事件的發(fā)生。這幾年不斷發(fā)生的企業(yè)泄密事件就是很好的證明,例如:2011年索尼公司就遭遇了被網(wǎng)絡安全專家稱之為史上最嚴重的網(wǎng)絡信息泄密事件,導致索尼公司上億的客戶帳戶資料以及1200多萬個信用卡號碼被泄露,造成了無法挽回的巨大的經(jīng)濟損失。同年,RSA公司(RSA公司是一家世界領(lǐng)先的安全公司)也遭遇了重大的信息泄密事件,而特具諷刺意味的是,其導致泄密的原因是由于其公司的一名員工點擊了垃圾箱中的一封網(wǎng)絡釣魚電子郵件,使得黑客輕輕松松就潛入了包含敏感信息的數(shù)據(jù)庫,給公司造成了極其巨大的損失,同時也引發(fā)了很多的信息泄密后遺癥。那么當前的網(wǎng)絡通信究竟存在什么問題呢,導致網(wǎng)絡信息泄密事件頻繁發(fā)生,筆者從多年的研究中發(fā)現(xiàn),當前網(wǎng)絡通信主要存在以下幾個問題。

1.1 網(wǎng)卡在接收信息時容易被竊聽

因特網(wǎng)所采用的是一種網(wǎng)間網(wǎng)的技術(shù),其傳輸采取的方式基本上是點對點的傳輸方式,其結(jié)構(gòu)的連接方式是一種樹狀形的連接方式,但是其主機所在的網(wǎng)域卻是一個局域網(wǎng),當局域網(wǎng)中的主機發(fā)出相關(guān)的信號時,整個局域網(wǎng)中的任何一臺主機都可以收到其發(fā)出的信息,而以太網(wǎng)卡有一個特性,就是在它接收到新的信息時,它會自動丟棄原來的舊有信息,而放棄了向上傳輸,這就給黑客通過搭線竊聽相關(guān)的信息制造了機會,計算機網(wǎng)絡通信當中不僅僅是以太網(wǎng)卡存在這種漏洞,其它的很多網(wǎng)卡也存在這樣的缺陷。

1.2 服務器等設備的設計本身存在很多的安全隱患

服務器設備本身存在的隱患是網(wǎng)絡通信安全存在威脅的重要原因之一。目前,因特網(wǎng)所使用的服務方式主要是TCP/IP協(xié)議,這種協(xié)議的特點是實用性比較強而安全性不足,所以其運行的安全性要低得多,而電子郵件服務、WWW服務等都是基于這一協(xié)議作業(yè)的,所以其運行也極其不安全,極易受到黑客的攻擊。

1.3 網(wǎng)絡管理員缺乏安全意識

網(wǎng)絡管理員安全意識的薄弱也是信息泄密的重要原因之一。許多的網(wǎng)站點對于防火墻的權(quán)限設置放的比較寬,使得很多時候訪問權(quán)限都不受到控制,防火墻形同虛設,另外內(nèi)部人員的無限制訪問也給黑客從服務中獲取信息提供了方便。但是網(wǎng)絡管理員對這一方面的信息泄密卻毫無意識。

1.4 人為的惡意攻擊

目前我國計算機網(wǎng)絡方面的制度建設還不完善,而許多公民的道德意識比較薄弱,許多犯罪分子專走法律漏洞,他們通過各種各樣的技術(shù)進行滲透或利用相關(guān)的電話線肆意攻擊別人的網(wǎng)絡系統(tǒng),以達到獲取別人信息數(shù)據(jù)資源的目的,以獲取經(jīng)濟利益。

2 相關(guān)措施探討

隨著網(wǎng)絡的深入發(fā)展,網(wǎng)絡在人們的生活中的地位越來越突出,而人們對于信息安全性的要求也是越來越高,建立一個完善安全的網(wǎng)絡通信系統(tǒng)是人們的共同愿望。因此克服目前網(wǎng)絡通信安全中存在的問題對于人們的生活將具有重大的意義。筆者通過多年的研究,認為主要可以從以下幾個方面來解決目前存在的通信安全問題。

2.1 盡量避免被盜取IP地址

盜用IP地址是竊聽信息的第一步,因此防范IP地址被盜是防止信息泄密的重要措施之一。而要防止IP被盜,目前采取的比較常用的方法主要是:根據(jù)TCP/IP的結(jié)構(gòu)原理,針對不同的層次使用不同的防范方法 。具體的操作方式主要有:

2.1.1 對交換機進行嚴格的控制

嚴格控制交換機是防止IP被盜的最徹底最有效的方法??刂频牟课恢饕窃赥CP/IP結(jié)構(gòu)的第二層。因為TCP/IP結(jié)構(gòu)的第二層是信息傳輸必經(jīng)的路徑。

2.1.2 對路由器進行隔離控制

對路由器進行隔離控制的主要依據(jù)是只有AMC地址是以太網(wǎng)卡地址中惟一不能夠被改變的,其實現(xiàn)方法定期對校園網(wǎng)中的各路由器的ARP表進行相關(guān)的掃描監(jiān)測,以獲得對當前的IP和 MAC關(guān)系進行對照,并對其前后出現(xiàn)的兩種關(guān)系進行對比,如果前后出現(xiàn)的關(guān)系存在不一致的情況,則說明相關(guān)的訪問為非法訪問,這樣就可以及時制止相關(guān)的非法訪問,以此來阻止黑客對IP地址的竊取。

2.2 應用加密技術(shù)對通信信息進行保護

一般而言,網(wǎng)絡通信安全主要由兩部分組成:信息傳輸過程中的安全控制盒信息的存儲安全的控制。而常見威脅通信安全的方式主要可以歸為以下幾大類:①傳輸過程信息被監(jiān)聽;②被監(jiān)聽的過程中數(shù)據(jù)被盜用;③冒充用戶的身份;④傳輸過程中信息被惡意修改;⑤發(fā)出的信息被阻擋。針對這幾類安全威脅,可以采取相應的主要措施是對各種信息進行加密保護。目前在通信安全中采取的信息加密保護技術(shù)主要有對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)。而對稱密鑰密碼技術(shù)為傳統(tǒng)型的密碼技術(shù),非對稱密鑰密碼技術(shù)的另一種叫法是公鑰密碼技術(shù)。在此,筆者主要想談談傳統(tǒng)的密碼技術(shù),它主要由序列密碼和分組密碼兩種密碼形態(tài)構(gòu)成。它對數(shù)據(jù)信息的加密主要通過三個環(huán)節(jié)來實現(xiàn),即鏈路層次加密、節(jié)點層次加密、端到端的層次加密。

2.2.1 鏈路層次加密的作用

鏈路加密主要是通過為兩個網(wǎng)絡節(jié)點上的通信鏈路加密,從而保證鏈路上信息傳輸?shù)陌踩浴f溌芳用艿奶攸c主要是對于信息傳輸?shù)母鱾€過程都進行了嚴格的加密,包括傳輸前、傳輸中、以及傳輸?shù)竭_前、傳輸?shù)竭_時。這樣就使得相關(guān)的傳輸信息在每一個階段都是一個秘密的文件,這樣就使得信息的形式以及長度被覆蓋,黑客就無法對其進行數(shù)據(jù)分析。

2.2.2 節(jié)點層次加密技術(shù)

節(jié)點加密的安全性相對來說還是比較高的,但是其具體的操作方式與鏈路加密卻存在很大的相似性,其共同點都是要對各個環(huán)節(jié)上傳遞的信息進行加密處理。而節(jié)點加密所不同的是節(jié)點加密在對下一個環(huán)節(jié)進行加密時必須要對前一個環(huán)節(jié)傳輸?shù)男畔⑦M行解密,這種加密方法相對而言比較容易使攻擊者攻擊成功,防范性相對較弱。

2.2.3 端到端層次加密技術(shù)

端到端層次上的加密技術(shù)主要的特點是能夠使得信息的傳輸從源點到終點都能夠以秘密文件的形式被傳輸。整個傳輸?shù)倪^程不存在解密的步奏,同時某個環(huán)節(jié)上的文件被破換,不會影響到后續(xù)文件的傳輸。后續(xù)的文件仍然是安全的,它相比其他層次上的加密而言可靠性更高。但是它有一個很大的缺點,那就是傳輸?shù)钠瘘c與終點無法被覆蓋,所以也極易被攻擊者破解。

2.3 完善相關(guān)的網(wǎng)絡法律制度

法律制度的健全是規(guī)范網(wǎng)絡行為的重要保證。盡快完善相關(guān)的法律制度,有助于及時制止人們的網(wǎng)絡破壞行為,同時也有利于打擊各種網(wǎng)絡犯罪行為,從根本上保證整個網(wǎng)絡通信的安全性。

3 結(jié)語

隨著信息化技術(shù)的不斷深入發(fā)展,網(wǎng)絡給人們的生活方式帶來了很大的變化,但是由于網(wǎng)絡的開放性、互聯(lián)性等特點,網(wǎng)絡的通信安全也受到了各種因素的威脅,如何保證人們在網(wǎng)絡交往中的信息安全成為網(wǎng)絡在新時期發(fā)展中遇到的一個重要挑戰(zhàn)。本文主要從不同的角度分析了當前網(wǎng)絡通信中存在的一些問題,同時也對相關(guān)的措施進行了初步的探討,希望能為網(wǎng)絡通信的安全策略研究帶來一些新的思路。

參考文獻:

[1]周會勇.網(wǎng)絡通信安全方案分析[J].計算機與網(wǎng)絡,2010(8).