常见的网络安全防护手段精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的常见的网络安全防护手段主题范文,仅供参考,欢迎阅读并收藏。
第1篇:常见的网络安全防护手段范文
我国企业计算机网络安全现状及其影响因素
从目前实际情况来看,我国计算网络安全状况令人担忧。无论是在计算机硬件、操作系统,还是在网络环境及反病毒等方面都存在诸多不足,很容易因遭受外界恶意攻击而影响网络安全。
计算机网络运行环境为确保计算机网络机房安全稳定运行而提供的适宜的环境称之为计算机网络运行环境。其中涉及到很多方面,如机房的空气纯净度以及温湿度等,并且能够确保供电可靠性,能有效避免因突然断电而导致的网络设备损坏,如果其中任意一项出现问题的话,就很容易对整个网络的安全运行产生影响[3]。建立健全机房安全保卫机制对确保计算机机房安全稳定运行有着重要意义,从实际情况来看,未能够严格落实机房管理规定很容易导致计算机机房出现安全问题,比如由于某些用户误碰机房硬件设备而造成的设备连通性问题;或者因网络设置被人为更改而造成网络安全程度有所下降。此外,网络设备和电缆被盗而造成的机房瘫痪事件也不容忽视,基于此,对计算机网络硬件运行环境进行必要的维护是确保计算机安全运行的重要举措。
计算机网络设备通常情况下,路由器、集线器、服务器中的硬盘阵列以及交换机等硬件设备共同构建了局域网。因此上述各部件能否正常运行直接关系到计算机网络能否安全运行。第一,必须确保计算机网络结构科学合理,这样就能够采取优化网络结构措施使计算机网络健壮性进一步增强,同时还能够对交换机和集线器等硬件设备进行科学合理的设置,以便实现网络安全运行。第二,目前最为常见的网络电缆非双绞线莫属,因此双绞线水晶头制作质量的高低对计算机网络能否正常运行有直接影响[4]。第三,电磁干扰也会影响到计算机网络运行安全,所以在布控网线过程中,应确保同强电线路间保持足够的安全距离。第四,作为局域网中最为重要的硬件设备之一,服务器上磁盘安全性的高低也会对网络运行安全产生直接影响。另外,机房设备是否可靠接地对其能否正常运行也起着不可忽视的作用。
计算机软件存在的安全问题计算机软件主要有两部分组成,一部分是计算机操作系统,另一部分为应用软件。windows、linux和unix是当下常用的三种计算机操作系统,但无论哪种操作系统都存在不同程度的安全漏洞,正是由于这些安全漏洞的存在才为木马和病毒等形式的非法入侵提供了机会,如果未针对这些漏洞及时采取相应的安保措施,很容易对计算机网络运行安全带来致命打击[5]。windows的PRC漏洞、溢出漏洞等是目前较为常见的几种漏洞,一些恶意攻击者经常会利用这些漏洞攻击计算机操作系统,进而使操作系统出现故障。同时,操作系统体系结构所存在的缺陷也是影响网络安全的主要因素,操作系统内部由各个功能不同的模块所组成,如果其中任意一个模块出现问题都会导致计算机系统瘫痪。此外,应用软件以及数据库等方面存在的安全漏洞也会成为非法攻击者破坏计算机网络安全的主要途径,所以加强应用软件以及数据库的安全维护对计算机网络安全可靠运行有重要意义。
计算机网络病毒所谓计算机网络病毒指的是恶意攻击者在计算机程序中植入或编制的能够对计算机数据和功能产生破坏作用,从而对计算机的正常使用功能产生影响,并具备自我复制功能的一组程序代码或计算机指令。传染性、破坏性和复制性是计算机网络病毒的主要特点。以传播途径为依据可以将计算机网络病毒分为两大类,分别为邮件型病毒和漏洞型病毒。网络电子邮件是邮件类病毒的主要传播途径,这类病毒会伪装成用户容易点击的虚假信息隐藏在附件内,一旦用户点击隐藏病毒的附件,就会使这类病毒趁虚而入。微软windows操作系统存在的安全漏洞是漏洞型病毒的主要传播途径。如果用户未及时对发现的windows系统漏洞进行修补,漏洞型病毒很可能会趁此机会非法入侵该用户的计算机。
计算机网络安全的防范对策
网络安全与网络系统息息相关,要想确保计算机网络能够安全稳定运行,应从以下几方面着手。
管理安全对策作为计算机安全运行的重中之重,管理问题尤为重要。人是操作计算机系统的主体,因此人为操作失误也是影响网络安全运行的主要因素之一。基于此,必须建立健全网络管理机制,只有实现人为操作规范化管理,才能够有效避免人为操作失误安全隐患。此外,还应采取有效措施提高计算机管理人员的安全防护意识,并制定一套行之有效的网络安全应急防护方案。
计算机系统的安全对策随着网络时代的到来,计算机信息技术也得到了飞速发展,不过随之而来的是计算机病毒的传播也呈现出多样化趋势,要想确保计算机网络运行的安全可靠性,不仅仅要进一步提升广大计算机用户的安全防护意识,更为重要的是加大对计算机病毒的防护力度。常见的计算机系统安全防护手段主要有以下几方面:计算机用户不要随意打开或进入具有欺骗性的邮件或网站;加强对计算机病毒防护知识的学习,及时发现并解决计算机异常问题,以便有效预防计算机病毒攻击,确保计算机系统安全稳定运行。另外,对于一旦遭受病毒攻击就会造成巨大经济损失或其它损失的网络用户而言,应及时做好系统备份工作。
计算机实体的物理防护对策计算机物理安全很容易被人们所忽视,事实上,包括计算机硬件以及通信线路等在内的一些实体设备的安全防护也会对计算机系统安全运行产生直接影响,如果这些实体设备出现不同程度的故障,很可能会导致网络安全隐患。为有效预防雷电和强电对网络系统的干扰,技术人员往往通过增设避雷设备解决该问题,并利用电磁屏蔽技术有效避免电磁泄漏现象的出现,与此同时,还应做好对计算机设备的日常维护工作,确保防火、防震、防静电以及防尘等措施全部落实到位,为计算机系统安全可靠运行提供有力保障。
网络控制对策加强对网络的有效控制是确保网络安全的主要手段。(1)对网络设置访问权限。为有效解决因人为非法操作所造成的网络安全隐患问题,应对网络设置访问权限。加强入网控制是目前较为常见的网络控制手段,例如用户实名制登录、身份验证、口令验证等等。另外,还应对用户以及用户组的访问权限进行合理设置。(2)加强网络防火墙的控制。防火墙技术是保障网络安全的重要技术手段。该技术主要是通过对内网和外网进行有效隔离,并对这两个网络通信时的访问尺度进行有效控制来确保网络安全。过滤防火墙和防火墙是当前常见的防火墙技术:①过滤防火墙:利用路由器来阻挡外网对内网的非法入侵是过滤防火墙的主要作用。②防火墙:服务器技术是防火墙的最核心技术,服务器会对外部网络向内网发送的数据和请求进行过滤,只有符合过滤规则的数据才会被传递至真实的服务器,这样能够有效预防非法数据的传输。虽然防火墙技术能够进一步增强网络的安全可靠性,但该技术也无法确保网络的绝对安全,其自身也会面临被计算机病毒入侵的安全隐患,基于此,我们应将防火墙技术与其它安全防护技术有机结合在一起,从而使计算机网络安全得到进一步提升。
结语
第2篇:常见的网络安全防护手段范文
一、新形势下网络信息安全威胁分析
政府部门信息系统和构架的特点,决定了其在网络信息安全性方面存在问题和隐患。目前,网络攻击、信息窃取、运维管理等方面的风险尤为突出。网络攻击。目前的网络攻击,不仅包括利用网络和系统存在的漏洞和安全缺陷对计算机信息系统实施入侵,破坏和干扰系统正常运行的行为,还包括对其存储的数据进行密取、增加、删除和修改的行为,具有跨国性、欺骗性、隐匿性的特征。比较常见的网络攻击方式有:DDOS(拒绝服务式)攻击、计算机病毒程序攻击、数据驱动攻击以及网络欺骗攻击等。以计算机病毒程序攻击为例,攻击者通过网页挂载、邮件附件、软件捆绑、文件伪装、动态链接库和远程线程插入等方式向目标系统植入计算机病毒程序、木马程序,以记录用户操作痕迹(键盘敲击记录、网页浏览记录)或者直接操作计算机系统,并获取、修改系统重要信息数据或干扰计算机系统正常运行。这类攻击,都可以在一定程度上造成信息系统的故障和瘫痪或对网络传输数据和系统内存储处理数据的安全性造成威胁。特别是一些部署在互联网上,且防护措施比较薄弱的,一级架构的政府部门信息系统以及提供互联网服务并进行跨网部署的政府部门信息系统。
信息窃取。对于政府部门的信息系统,主要面临的信息安全来自于一些国家或境内外敌对势力。为了达到颠覆政权、扰乱政治稳定、经济稳定和社会稳定的不法目的,一些国家或敌对势力正通过各种密取手段和信息监控手段对国家秘密、军事秘密等涉及国家安全稳定的重要信息进行密取和截获。通过境外的互联网内容服务商密取信息、通过境外的互联网接入服务商截获信息、利用网络设备及信息系统设备窃取信息等手段屡见不鲜。通过境外的互联网内容服务商密取信息,是通过一些在国外注册并上市的互联网内容服务商获取互联网信息业务和增值业务。这些互联网内容服务商不仅可以向本国乃至全球用户提供互联网内容和应用服务,而且其掌握了大量用户的数据,包括了用户上网的IP地址、上网设备标示、登陆时间、登陆口令以及相关应用的交互等内容,甚至涉及公民隐私及政府国家秘密、企业业务秘密的私密数据。
用户在访问境外网站的过程中,交互数据可能经过这些向用户提供互联网接入服务的境外服务商的数据传输设备。而通过境外的互联网接入服务商截获信息利用的就是该特点,当用户在使用部署于互联网的信息系统终端设备进行互联网访问时,信息就会被中途截获密取。2011年,国外媒体曾报道某知名手机生产商的手机在定位功能关闭后仍在收集用户位置信息的情况,类似的还有打印机缓存打印数据等窃取私密信息的方法。这些设备都有预留或被植入的“后门”,以达到利用网络设备及信息系统设备窃取信息的目的。通过这样的方式可以随时随地收集使用者的各种信息,甚至控制网络和信息系统。运维管理的风险。政府部门的信息系统,按照其应用领域和信息安全要求,都有严格的密级划分,对于系统建设和运维管理的单位也有严格明确的资质规定和保密要求。然而,与政府部门相比,系统建设和运维厂商的人员管理相对不够严格和规范,人员的流动性较大,这就可能存在一些风险,例如窃取系统数据或在系统中预留后门和漏洞等。
二、基于信息安全等级保护的防护模式
随着政府部门网络规模不断扩大、各类政府应用不断扩展、云计算物联网移动互联网等技术不断涌现,网络的脆弱性和面临的安全威胁日益显现。同时,随着网络安全攻防技术动态发展,网络信息安全不再是传统意义上的信息截获、病毒破坏、设施破坏,而是呈现出自动化、智能化和专业化的特点。因此,为了更好地保障政府信息系统稳定、高效运行,在系统整体架构及安全保障模式上应不断进行创新,针对不同的安全防护需求,采取不同的安全机制或措施,提高安全防护能力。结合信息安全等级保护措施,根据政府部门安全防护需求,建设安全防护模型,全方位保障新形势下政府部门信息系统的安全。
如图1所示,安全防护模型在安全防护层面上主要由监测预警、区域隔离、安全防护手段、管理控制四部分构成。监测预警。实时把握网络安全态势,对发生的攻击、侵入等破坏系统安全的行为及时发现,并提供警示。区域隔离。落实接入控制措施,严格限制非内部网络段设备与内部网络及系统的链接;要做到内外网物理隔离和网络区域逻辑隔离,对于必须跨网部署的信息系统,应当引入数据单向传输技术,确保内网段系统的数据无法被远程窃取外泄。安全防护。要按照等级保护标准要求,从物理、网络、应用、数据和系统层面根据防护需求逐步提升安全防护级别。特别对于部属于互联网上用于提供公共服务的信息系统,应做好异常访问的数据监测,并配置相应性能的专业级防火墙,以抵御DDOS攻击;对于内部网络部分的信息系统,应落实访问控制策略,做好访问登陆和系统使用的日志记录,以备安全审计。管理控制。做好机房及重要系统设备的运维管理,甚至更应建立运维监控系统,实时监控系统运行状况及网络传输状况。同时,落实网络安全防护和系统容灾备份措施,并完善应急响应预案,确保网络、系统及主机的安全。
第3篇:常见的网络安全防护手段范文
【关键词】信息系统;安全建设;防护体系
1.企业信息系统安全防护的价值
随着企业信息化水平的提高,企业对于IT系统的依赖性也越来越高。一方面,“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化,各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境,确保IT业务系统的持续稳定运行作为企业竞争力的一部分,已成为IT系统安全防护的主要目标和关键驱动力。另一方面,企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑,必须提供可靠的运行保障和数据正确性保证。
2.企业信息系统安全建设的现状分析
在企业信息化建设的过程中,业务系统的建设一直是关注的重点,但是IT业务系统的安全保障方面,往往成为整个信息化最薄弱的环节,尤其是在信息化水平还较低的情况下,IT系统的安全建设缺乏统一的策略作为指导。归结起来,企业在IT系统安全建设的过程中,存在以下几方面的不足:
2.1 安全危机意识不足,制度和规范不健全
尽管知道IT安全事故后果比较严重,但是企业的高层领导心中仍然存在着侥幸心理,更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证,由此带来的后果是诸如对网络的任意使用,导致公司的机密文档被扩散。同时在发生网络安全问题的时候,也因为缺乏预先设置的各种应急防护措施,导致安全风险得不到有效控制。
2.2 应用系统和安全建设相分离,忽视数据安全存储建设
在企业IT应用系统的建设时期,由于所属的建设职能部门的不同,或者是因为投资预算的限制,导致在应用系统建设阶段并没有充分考虑到安全防护的需要,为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失;各种自然灾难、IT系统故障,也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面,并没有意识到同城异地灾难备份或远程灾难备份的重要性。
2.3 缺乏整体的安全防护体系,“简单叠加、七国八制”
对于信息安全系统的建设,“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段,缺乏对信息安全的全盘考虑和统一规划,这样的后果就是网络上的设备五花八门,设备方案之间各自为战,缺乏相互关联,从而导致了多种问题。
3.企业信息系统安全建设规划的原则
企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值,在设计高水平的安全防护体系时应该遵循以下几个原则:
(1)统一规划设计。信息安全建设,需要遵循“统一规划、统一标准、统一设计、统一建设”的原则;应用系统的建设要和信息安全的防护要求统一考虑。
(2)架构先进,突出防护重点。要采用先进的架构,选择成熟的主流产品和符合技术发展趋势的产品;明确信息安全建设的重点,重点保护基础网络安全及关键应用系统的安全,对不同的安全威胁进行有针对性的方案建设。
(3)技术和管理并重,注重系统间的协同防护。“三分技术,七分管理”,合理划分技术和管理的界面,从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手,在系统设计、建设和运维的多环节进行综合协同防范。
(4)统一安全管理,考虑合规性要求。建设集中的安全管理平台,统一处理各种安全事件,实现安全预警和及时响应;基于安全管理平台,输出各种合规性要求的报告,为企业的信息安全策略制定提供参考。
(5)高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求,是业务连续性的需要,是满足企业发展扩容的需要。
4.企业信息系统安全建设的部署建议
以ISO27001等企业信息安全法规[1]遵从的原则为基础,通过分析企业信息安全面临的风险和前期的部署实践,建立企业信息安全建设模型,如图1所示。
图1 企业信息系统安全建设模型
基于上述企业信息安全建设模型,在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时,需要重点关注以下几个方面的部署建议:
4.1 实施终端安全,关注完整的用户行为关联分析
在企业关注的安全事件中,信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严,员工可以通过很多方式实现信息外泄,常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为,企业在建设信息安全防护体系的时候,单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中,系统从用户接入的那一时刻开始,就对用户的桌面行为进行监控,同时配合internet上网行为审计设备,对该员工的上网行为进行监控和审计,真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中,提升企业的防护水平。
4.2 建设综合的VPN接入平台
无论是IPSec、L2TP,还是SSL VPN,都是企业在VPN建设过程中必然会遇到的需求。当前阶段,总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入,也可以考虑部署SSL VPN的接入方式[2],在这种情况下,如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式,如采用USBKEY等,甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便,从而提升企业整体的VPN接入水平。
4.3 优化安全域的隔离和控制,实现L2~L7层的安全防护
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理的安全域划分将是关键。按照安全域的划分原则,企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上,深入分析各安全域内的业务单元,根据企业持续性运行的高低优先级以及面临风险的严重程度,设定合适的域内安全防护策略及安全域之间的访问控制策略,实现有针对性的安全防护。例如,选择FW+IPS等设备进行深层次的安全防护,或者提供防垃圾邮件、Web访问控制等解决方案进行应对,真正实现L2~L7层的安全防护。
4.4 强调网络和安全方案之间的耦合联动,实现网络安全由被动防御到主动防御的转变
统一规划的技术方案,可以做到方案之间的有效关联,实现设备之间的安全联动。在实际部署过程中,在接入用户侧部署端点准入解决方案,实现客户端点安全接入网络。同时启动安全联动的特性,一旦安全设备检测到内部网用户正在对网络的服务器进行攻击,可以实现对攻击者接入位置的有效定位,并采取类似关闭接入交换机端口的动作响应,真正实现从被动防御向主动防御的转变。
4.5 实现统一的安全管理,体现对整个网安全事件的“可视、可控和可管”
统一建设的安全防护系统,还有一个最为重要的优势,就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志,单纯靠管理员的人工操作是无能为力的,而不同厂商之间的安全日志可能还存在较大的差异,难以实现对全网安全事件的统一分析和报警管理。因此在规划之初,就需要考虑到各种安全设备之间的日志格式的统一化,需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表,只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发,以及整网安全设备的防控策略的统一管理,最终实现安全运行中心管控平台的建设。[3]
4.6 关注数据存储安全,强调本地数据保护和远程灾难备份相结合
在整体数据安全防护策略中,可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题,与磁带库相比,它具有很多的技术优势。在数据库的配合下,通过连续数据快照功能实现了对重要数据的连续数据保护,用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态,同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时,可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择,即可采用光纤直连,也可采用足够带宽的IP网络连接。在数据同步方式选择上,生产中心和灾备中心采用基于磁盘阵列的异步复制技术,实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器,以提供对关键业务的应用级接管能力,从而实现对数据安全的有效防护。
5.结束语
企业信息安全防护体系的建设是一个长期的持续的工作,不是一蹴而就的,就像现阶段的信息安全威胁也在不断的发展和更新,针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中,这种动态的过程将使得企业的信息安全防护更有生命力和主动性,真正为企业的业务永续运行提供保障。
参考文献
[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业,2013.
[2]李群,周相广,陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化,2010,06.
第4篇:常见的网络安全防护手段范文
关键词:Linux服务器;安全隐患;攻击;防护措施
中图分类号:TP393.0 文献标识码:A
Abstract:Linux system as a mainstream network server is facing increasingly serious security problems,various attacks and vulnerabilities impose devastating losses on businesses.In this paper,we analyze and summarize the security risks of the Linux server according to the safety problem,and researching the familiar attack methods in Linux system.Finally,we represent some effective protective measures combining with the practical experience.
Keywords:Linux server;security risks;attack;protective measures
1 引言(Introduction)
随着信息技术的广泛应用,承载企业重要资料和信息的服务器扮演着极为重要的角色,很多企业和单位都搭建了服务器,一旦服务器受到破坏或发生故障,将会给企业带来巨大的经济损失,所以服务器的安全是十分重要的。
目前,由于很多具有攻击性的程序,如病毒、木马等大多是针对Windows系统开发,故Linux系统一直被认为是安全稳定的,很多大型的网站和公司都倾向于使用Linux操作系统作为服务器平台。但是安全总是相对的,目前针对Linux系统的入侵和攻击手段愈来愈多,Linux服务器本身的漏洞也愈来愈多,Linux服务器的安全风险正在日益增长,如何应对千变万化的攻击并保证Linux服务器的安全,已成为至关重要的课题。
本文将详细分析常见的Linux服务器安全隐患和攻击手段,并提出一些具体的防护措施。
2 Linux服务器的安全隐患(The security risks of
Linux server)
我们将Linux服务器的安全隐患总结为以下三点:
(1)Linux系统自身的安全漏洞;
(2)Linux服务的安全隐患;
(3)Linux的网络安全隐患。
下面详细分析这三点隐患。
2.1 Linux系统自身的安全漏洞
任何系统都不是绝对完美的,Linux系统也是如此,随着Linux应用的复杂化和开源化,Linux操作系统自身的漏洞也逐渐增多,我们将其分为以下几点:
(1)Linux账号漏洞
Linux账号漏洞也可以称为权限提升漏洞,这类漏洞一般都是来自系统自身或程序的缺陷,使得攻击者可以在远程登录时获得root管理员权限。以RedHat系统为例,其某个版本曾经存在账号漏洞,使得黑客入侵系统时通过执行特定的脚本可以轻松获得root级别的权限。此外,如果普通用户在重启系统后通过单用户模式进入Linux系统,通过修改Passwd账号文件,也可以获取root权限。
(2)Linux文件系统漏洞
Linux文件系统的安全保障是靠设置文件权限来实现的。Linux的文件权限包括三个属性,分别是所有者,用户组和其他人的权限,权限包括读、写、执行、允许SUID、允许SGID等。黑客会利用SUID和SGID获得某些程序的运行权限。另外黑客还可能修改一些可执行文件的脚本,让用户在登录时执行从而达到破坏系统的目的。
(3)Linux内核漏洞
系统内核出现漏洞往往是很危险的,Linux的内核短小精悍、稳定性和扩展性好,但是其内核的漏洞却不少。例如2003年9月份被发现的do_brk()边界检查不充分漏洞可以使攻击者可以绕过系统安全防护,直接对内核区域进行操作。再比如Linux内核中的整数溢出漏洞会导致内核中的数据被破坏,从而使得系统崩溃。
2.2 Linux服务的安全隐患
Linux系统上的服务种类繁多,其中网络服务最为重要,网络服务主要用来搭建各种服务器,下面我们就针对不同的网络服务探讨Linux系统的安全隐患。
(1)Apache服务的安全隐患
Apache是最为常见的开源WEB网站服务器程序,如果Apache服务出现漏洞将会对网站造成极大的威胁。目前Apache服务漏洞主要包括拒绝服务攻击、文件描述符泄露、日志记录失败等问题。
一些Apache服务的模块也可能存在漏洞,例如Apache的线程多处理模块(MPM)和Apache mod_cache模块中的cache_util.c可以引发服务器系统的崩溃。
(2)BIND域名服务的安全隐患
很多Linux域名服务器都采用BIND(Berkeley Internet Name Domain)软件包,据统计互联网上的DNS服务器有一半以上用的是有漏洞的BIND版本。常见的BIND漏洞有:solinger bug,黑客可以利用其让BIND服务产生间隔为120秒以上的暂停;fdmax bug,可以造成DNS服务器的崩溃;nxt bug,允许黑客以运行DNS服务的身份(默认为root)进入系统。
(3)SNMP服务的安全隐患
SNMP的全称是简单网络管理协议,Linux中SNMP服务的作用是管理监控整个核心网络,黑客利用SNMP的漏洞可以控制整片区域的网络。常见的SNMP漏洞有:Net-SNMP安全漏洞,黑客通过发送畸形的SNMP报文使服务器程序发生溢出,而导致系统崩溃[1];SNMP口令漏洞,SNMPv1版本使用明文口令,默认情况下系统自动开启并使用默认口令public,这是很多管理者经常忽略的问题[2]。
2.3 Linux的网络安全隐患
Linux作为网络操作系统,要频繁的与网络交互数据包,很多数据包经过伪装进入系统内部,会给系统带来破坏。较为常见的Linux网络安全隐患有:
(1)口令隐患
口令是操作系统的首道屏障,黑客入侵服务器的第一步往往就是破解口令。Linux操作系统的口令以文件的形式保存在系统中,例如RedHat版本中口令保存在/etc/passwd中。如果文件中存在不设口令或者弱口令的账号,就很容易被黑客破解。
(2)TCP/IP隐患
TCP/IP协议栈是网络操作系统内核中的重要模块,从应用层产生的网络数据都要经过TCP/IP协议的逐层封装才能发送到网络中去。当协议栈收到一些特殊的网络数据时就会发生异常。例如TCP模块收到SYN报文后,会回复一个ACK报文并稍带自己的SYN序号,这时如果黑客再回复一个RST报文,服务器就会重置TCP信息,这样黑客就可以在不暴露自己信息情况下对服务器进行端口扫描。
还有一些黑客给服务器的某个端口发送大量的SYN报文,而自己不回复确认,这样就会消耗服务器的资源而造成其瘫痪[3]。
3 针对Linux服务器的攻击手段(The means of
attack to Linux server)
在信息安全领域,攻击是指在未经授权的情况下进入信息系统,对系统进行更改、破坏或者窃取信息等行为的总称。在Linux服务器中,攻击行为主要可以概括为:
(1)口令入侵:对于一些采用弱口令的账户,黑客可以很轻松的通过暴力破解穷举口令以获得账户的权限。目前有很多口令破解的工具,例如字典破解工具将常见的口令和有意义的词组录入到字典库中,破解的时候优先选择这些常见的口令,可以大大的减少穷举的时间。另外,随着计算机处理能力的发展,口令破解对于普通人来说已经不是难事,如果口令长度不长,组合不复杂,破解时间都在可以接受的范围内。
(2)木马病毒:木马病毒是指植入到计算机系统中可以破坏或窃据机密信息的隐藏程序,木马一般常见于客户端主机,但也可能潜伏在Linux服务器中,例如Linux.Plupii.C木马可以通过系统漏洞传播,打开服务器的UDP端口27015以允许黑客远程控制服务器。
(3)端口扫描:端口扫描是黑客入侵服务器的第一步,通过端口扫描,黑客可以获知服务器的相关信息。端口是应用层网络进程的标识,入侵计算机系统的实质是入侵系统中的进程,所以获知端口是否开启后才能实施真正的攻击。端口扫描的原理是利用系统的网络漏洞,绕过防火墙并获得服务器的回复,例如常见的S扫描就是利用TCP建立连接时三次握手的漏洞,在最后一次握手时发给服务器重置命令,在获得服务器端口信息后让服务器删除和自己相关的连接信息。
(4)拒绝服务攻击:拒绝服务攻击是指通过某种手段使得服务器无法向客户端提供服务,拒绝服务攻击可能是最不容易防护的攻击手段,因为对于服务器而言向外提供服务的形式是开放的,我们很难判断请求服务的主机是否为入侵者,当大量的主机发送请求时,服务器就会因为资源耗光而陷入瘫痪。
(5)缓冲区溢出:缓冲区溢出是指经过精心设计的程序将系统内执行程序的缓冲区占满而发生溢出,溢出的数据可能会使系统跳转执行其他非法程序或造成系统崩溃。缓冲区溢出的原因是程序员编写程序时没有检查数据长度造成的。
(6)僵尸网络:僵尸网络是指受黑客控制的大量主机,这些主机可以同时对一个服务器发起攻击,而自身却不知情。这种攻击手段是很隐秘的,很难查到攻击者的真实身份。
(7)网络监听:网络监听是指通过某种手段截获主机之间的通信数据以获得口令等重要信息。一些常见网络监听工具可以解析网段内的所有数据,此时如果主机之间的通信是明文传输的,黑客就可轻而易举地读取包括口令在内的所有信息资料。
(8)网络欺骗:网络欺骗包括IP地址欺骗、WWW欺骗、DNS欺骗、ARP欺骗等一系列欺骗方法。其主要目的是通过虚假的网络信息欺骗目的主机,已达到扰乱通信的目的。
4 Linux服务器的防护措施(The protective
measures of Linux server)
针对以上漏洞和攻击,Linux服务器的防护措施主要可以分为系统安全防护和网络安全防护两类,下面逐一介绍:
4.1 Linux系统安全防护措施
(1)系统账号及口令安全:对于网络服务器而言,很多账户都是不必要的,账号越多,系统就越易受攻击。所以应该最大限度的删除多余账户,并对用户账号设置安全级别,以保证每个账号的权限都被限制在被允许的范围内。
另外还要确保每个已有账户都设置了复杂度高的口令,口令的复杂度设置可以通过修改/etc/login.defs文件来实现,其中的PASS_MAX_DAYS表示密码最长的过期天数,PASS_MIN_DAYS用来设置密码最小的过期天数,PASS_MIN_LEN表示密码最小的长度,PASS_WARN_AGE表示密码过期后的警告天数。
口令文件的安全性也至关重要,我们可以通过chattr命令给口令文件加入只读属性:chattr+i/etc/passwd,这样口令文件就不能随意被修改了。
(2)文件安全设置:Linux的文件系统提供了访问控制的功能,访问控制的客体是文件和目录,主体是用户,包括文件或目录的所有者,用户所在组及其他组。访问控制的操作包括读(r)、写(w)和执行(x),管理员根据不同的权限设置关于主体的能力表以及关于客体的访问控制列表。
(3)系统日志:Linux服务器的系统日志也是应该被关注的设置,因为日志文件详细的记录了系统发生的各类事件,例如系统的错误记录,每次用户登录系统记录,各种服务的运行记录以及网络用户的访问记录等等。如果服务器遭受到攻击,管理员可以通过日志追踪到黑客留下的痕迹,另外,当涉及到法律纠纷时,系统日志经过专业人员提取还可以作为电子证据。
(4)服务安全:Linux服务器中往往开启了很多服务,首先应该确定的是哪些服务是不必要的,可以通过chkconfig命令关闭系统自启动的服务。接下来要在必须启动的服务中找到存在的风险,例如apache服务的目录浏览功能会使访问者进入网站的根目录,并能浏览其中的所有文件。
(5)安全工具:Linux服务器中带有很多安全工具方便管理员的使用,例如SSH可以加密传输数据,Tcpdump可以用来检查网络通讯的原始数据。
4.2 Linux网络安全防护措施
Linux网络服务器也采用了传统的网络安全防护手段,即防火墙与入侵检测系统。防火墙是保护内网的屏障,它过滤并分析网络数据包,阻止有威胁的数据进入;入侵检测是内网和系统内部的监控器,它分析异常数据并作出报警,有些入侵检测还会与防火墙联动,一同保护服务器的安全。Linux系统中的Iptables和Snort是比较成熟的防火墙和入侵检测系统,下面我们逐一介绍:
(1)防火墙:Iptables,目前使用的最新版本是Linux 2.4内核中的Netfilter/Iptables包过滤机制[4]。Iptables包括三个功能表,分别完成数据包过滤、网络地址转换和数据拆分的任务。每个表中有若干规则连:这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链:PREROUTING(路由前)、INPUT(数据包流入链)、FORWARD(转发链)、OUTPUT(数据包出口链)、POSTROUTING(路由后),不同的链用于不同位置的数据,每个链中又可以包含若干条规则[5]。
(2)入侵检测:Snort是一个免费的轻量级网络入侵检测系统。它能兼容多个不同的操作系统平台,可以用于监视小型网络或者服务器系统内部的服务,在进行网络监控时Snort可以将网络数据与入侵检测规则做模式匹配,从而检测出可能的入侵数据,同时Snort也可以使用统计学的方法对网络数据进行异常检测[6]。
5 结论(Conclusion)
针对Linux的攻击手段日益增多,Linux服务器的安全隐患也随之增大,对于企业而言,总结出一整套有效且规范的防护措施是极为必要的。本文结合实际工作经验,分析并总结了Linux服务器存在的安全隐患和常见的攻击手段,提出了一些措施与方法。
参考文献(References)
[1] 思科系统公司.网络互联故障排除手册[R].北京:电子工业出版社,2002:120-125.
[2] 胡冠宇,陈满林,王维.SNMP网络管理安全性研究与应用[J].哈尔滨师范大学自然科学学报,2010,26(3):95-98.
[3] 刘晓萍.Linux2.4内核TCP/IP协议栈安全性研究[D].中国人民信息工程大学,2004:10-11.
[4] 董剑安,王永刚,吴秋峰.iptables防火墙的研究与实现[J].计算机工程与应用,2003,39(17):161-163.
[5] 王波.Linux网络技术[M].北京:机械工业出版社,2007.
[6] 郭兆丰,徐兴元,刑静宇.Snort在入侵检测系统中的应用[J].大众科技,2007(2):69-71.
作者简介:
第5篇:常见的网络安全防护手段范文
1.计算机网络信息安全概述
计算机网络信息安全是指在网络环境中使用网络控制技术保障网络数据的完整性进、实用性和安全性。通常情况下,人们所讲的计算机网络信息安全主要有两方面的内容:第一,逻辑上的安全,这点指的是网络环境中能保护好网络信息数据[1]。第二,物理上的安全,主要是防止人为丢失或损坏计算机网络设备。影响计算机网络信息安全的因素较多,有一些是偶然因素,但更多的都是人为因素,且一般人为因素的危害性会更大一些,比如黑客,就是利用计算机网络中的漏洞进行攻击,经过非法途径获取网络数据,甚至有时候黑客还制造一些破坏性很大的病毒程序,对计算机进行恶意攻击,导致严重后果。为此,做好计算机网络信息的安全防护工作非常重要。
2.安全威胁问题在计算机网络中的表现
第一,从自然灾害系统安全性的影响情况看。计算机信息系统运行中,外界环境因素对其影响极为明显,如常见的环境冲击、环境振动、环境湿度以及环境温度等。若计算机应用中,其所处空间未设置相应的防护手段如抗电磁干扰、防雷、防水、防火与防地震等,这样一旦有意外性事故或自然灾害出现时,计算机系统将不具备较强的防御能力,安全性自然受到影响。
第二,从计算机网络脆弱性特征方面分析。尽管 Internet 技术应用下,表现出明显的实用性、开放性等优势,但其带来的安全性问题也极为突出,整个网络易受到恶意攻击。同时,网络技术的实现要求以 TCP/IP 协议作为依托,这样协议方面安全性的缺失,也为安全威胁的入侵提供便利[2]。如当前常见的恶意篡改、数据截取或恶意攻击等,多通过协议入侵到用户计算机系统中。
第三,恶意破坏行为的存在。现行网络攻击的手段具有多样性特征,较多不法分子会利用相应的软件或病毒对他人电脑进行访问,以此达到利益获取目标。病毒入侵与恶意攻击是最要的表现形式。以计算机病毒为例,其一般多被存储于具体文件、数据或程序中,假定这些数据或程序被触发,病毒便会发挥的其破坏性、传染性特点,轻则影响系统运行效率,严重情况下将对计算机硬件带来损伤,且较多重要数据文件都会丢失。而对于恶意攻击,其又可细化为主动、被动攻击方式,前者侧重于对网络信息有选择性的进行破坏,而后者多不会对计算机网路运行带来影响,直接完成破译、窃取与截获信息过程。此外,也有不法分子会通过电子邮件发送形式,强迫对方接受文件,尽管这种垃圾邮件不会对计算机系统产生破坏,但其采取的广告宣传形式或对用户信息进行窃取。
第四,计算机软件漏洞与人员操作失误。计算机软件设计中,本身有较多不足之处,需在实际使用中不断更新升级,这些不足之处将为黑客的入侵提供可能。同时,部分用于在利用计算机网络中也不具备较强的安全意识,即使引入相关的安全口令,但因过于简单而被他人破译,由此便导致网络易被恶意攻击。或部分用户在操作中,对非法网站访问、下载不安全软件等,这些行为容易为网络安全带来威胁。
3.计算机网络信息安全的防护策略
3.1 完善账号安全管理
在现代的计算机网络信息系统中,账号涉及的范围非常广,常见的就是网络登录账号、QQ账号、邮箱账号以及网络银行账号等。在当前的非法攻击中最主要的对象就是账号和账号的登录密码获取。为防止此类安全事故的出现,要把握以下两个基本要点:第一,提高账号安全管理意识,在账号的密码设置中尽量设置复杂度高一些的密码,最重要的是一定不能泄露密码;第二,密码设置时应用特殊符号,以防出现设置过于简单或者出现密码雷同情况,必要时应该定期更改密码。
3.2 应用防病毒软件
为满足社会高速发展的要求,计算机网络技术一直在持续发展,与此同时衍生的病毒复杂程度也在提高,进而严重影响了计算机的网络信息安全,因此应用合适的防病毒软件就很有必要,常见的防病毒软件主要是适合单机的和适合联网的,应用于单机的防病毒软件安装在单台PC端,经过本地工作站远程扫描进行计算机的病毒扫描和清理;联网的比较复杂,联网的防病毒软件,一旦病毒入侵计算机,防病毒软件就能立即检测并进行删除,以防传播给其他计算机。
3.3 应用防火墙技术
随着计算机网络信息安全问题复杂性的升高,防火墙技术也相应的提升,并研制了新型防火墙技术。这种新型防火墙把多种防火墙的优点综合在一起,新型防火墙技术的应用有效地提高了网络信息数据的安全性,提高了拦截病毒技术水平,目前常见的就是智能型和分布式防火墙这两种新技术。
3.4 应用漏洞补丁程序
网络系统如果存在漏洞就会成为被攻击的弱点,系统的漏洞包含的方面也很多,有硬件上的,也有软件上的以及程序上的,有时候网络配置不合适或者是网络设计不当也会造成网络漏洞问题。为解决上述问题,很多软件厂商了补丁程序。在因程序问题造成的漏洞中使用漏洞补丁程序是非常有效的。此外,做好漏洞的检测也是很重要的,常用的检测程序主要有COPS软件和tiger软件。
3.5 建立完善的网络入侵检测系统
网络入侵检测系统其实可以看成是对防火墙技术的进一步补充。网络入侵检测系统主要进行的是计算机的实时网络流量和网络行为的检测,对那些违反安全防护策略的流量和行为及时报警。网络入侵检测系统是一种从警告到防护、取证的技术方式。网络入侵检测系统的最主要作用就是进行关键信息的实时监控,比如现在常用的平安城市、平安校园中的视频监控系统都属于网络入侵检测系统,通过该系统能随时监视周围情况,以此保障网络系统的安全。网络入侵检测系统还有很好的嗅觉,使用旁路形式侦听数据流,再经过实时检测分析发现异常行为同时作出反馈。网络入侵检测系统还能对暴力猜测、蠕虫病毒等进行实时检测,然后和防火墙联动运行动态防御。
第6篇:常见的网络安全防护手段范文
关键词:计算机无线网络;稳定性;网络安全维护
自我国网络建设以来网络安全问题就一直存在,此类问题对网络用户网络应用质量存在直接影响,且某些问题带有非法性目的,可能造成网络信息安全风险,因此在任何网络环境中都要注重网络安全维护。但计算机无线网络与传统有线网络存在较大区别,其中影响网络稳定性的因素、方式等也存在差异,这时就不能使用有线网络安全维护手段对无线网络稳定性进行维护,需要采用针对性的方法,对此进行研究具有一定现实意义。
1 计算机无线网络稳定性影响
计算机无线网络稳定性具有两个表现形式,其一无线网络通信质量方面的稳定性,其二无线网络安全防护方面的稳定性,这两点在无线网络用户角度上都非常重要,任意一方出现问题都会对用户造成负面影响[1 -2 ]。首先在无线网络通信质量稳定性上,因为无线网络是依靠信号发射端与接收端之间的信号通信来实现网络连接的,所以当两端之间的信号通信渠道受到干扰时就会导致通信质量问题,说明通信稳定性不足,具体表现为频繁瞬时断网、网传速率波幅大、长时间断网但又会自己恢复等,这些现象对于网络用户而言会导致用户网络体验极差,难以利用网络来完成一系列的通信操作,这即为无线网络通信质量稳定性不足的影响。其次在无线网络安全防护稳定性上,与传统有线网络一样,计算机无线网络同样可能被恶意入侵,而一旦网络被入侵就会导致用户在网络环境中遇到干扰,网络无法为用户提供正常服务,转而为入侵者提供服务,且大概率造成用户信息损失,这即为无线网络通信质量稳定性不足的表现与影响。值得注意的是,两个计算机无线网络稳定性表现形式中,无线网络通信质量稳定性在正常情况下往往是因为入侵手段而出现稳定的,说明通过网络安全维护,可以同时保障无线网络通信质量及网络安全稳定性。由此可见,对计算机无线网络进行安全维护是必要举措,相关人员应当针对无线网络正确选择维护方法,“对症下药”的保障无线网络稳定性。总体而言,如何在计算机无线网络中选择正确的安全维护方法,是保障网络稳定的主要途径,而要确保方法正确就必须先了解无线网络中的稳定性影响因素,明确维护方向与计划,这是计算机无线网络安全维护的要点,相关人员应当引起重视。
2 常见影响计算机无线网络稳定性的因素
2 .1 无线窃听
无线窃听是指窃听者在有意为之的情况下,利用网络窃听设备对网络通信渠道进行入侵,这样既可获取或截取渠道内的信息,随之又可以根据自己的目的对这些信息进行恶意操作,是典型的威胁计算机无线网络安全稳定性的因素[3 ]。无线窃听在现代无线网络环境中非常常见,尤其在公用无线网络等具有一定公开性的无线网络环境中更加突出,其原因就在于此类网络的公开性使得任何人都可以进入无线网络环境,其中的通信渠道是对外开放的,因此使得窃听者的窃听行为开展更加方便,代表无线网络的出现给予了窃听便利,最终对无线网络安全稳定性造成了负面影响。此外值得注意的是,无线窃听因素的影响虽然在公开性无线网络中比较突出,但不代表其对一些私用网络就没有威胁,在某些特殊情况下,窃听者可以采用同样的方式来进行窃听,而因为私用网络的私密性,用户往往会将隐私信息存放在该网络中,所以一旦私用无线网络被窃听,往往会造成比公用网络无线窃听更严重的后果,因此在网络安全维护中必须对无线窃听进行防护。
2 .2 非法接入
非法接入就是某人在未经许可的情况下连接上了无线网络信号,由此进入了无线网络环境,并可以正常使用网络功能,而通过这种方式接入计算机无线网络的都是“黑客”一类的人,一旦此类人员接入无线网络,就可能在其中种植病毒、木马程序等,随之可能导致整个无线网络陷入瘫痪,并威胁到用户隐私安全。在计算机无线网络环境中,非法接入的难度要远低于有线网络,如比较常见的非法接入方式有:(1)利用无线网络的自动信息查找功能,可以搜索到无线网络的相关信息,最终实现非法接入。(2)在接入者有AP的情况下,接入者可以随意地进入无线网络环境,而AP获取又相对简单,因此大概率会对用户造成损失。非法接入的影响同样非常严重,且这种方式的操作更加便捷,对计算机无线网络安全稳定性的影响很大,如果不加以防范,容易造成严重后果,因此必须对此类因素进行防护,做好网络安全维护工作[4 -5 ]。
2 .3 信息篡改
信息篡改是一种诱导性的影响因素,具有两种表现形式,即自动型与人工型,其中前者往往会对计算机无线网络通信质量稳定性造成影响,而后者主要威胁无线网络安全稳定性。首先在自动型信息篡改中,某些“黑客”会设计一个类似蠕虫病毒的程序,该程序会在互联网中搜寻相关信息,随之根据“黑客”所设计的功能,病毒程序会对搜集到的信息进行篡改,利用篡改后的错误―92 ―无线互联科技WirelessInternetTechnology信息欺骗用户,诱导其进入具有风险的无线网络环境中,而这种方式因为功能有限,所以往往只能用于破坏网络通信连接,对无线网络通信质量稳定性造成影响。其次在人工型信息篡改中,其基本运作原理与自动型一样,但区别在于只要用户进入了风险环节,人工就可以通过自己的操作去进一步的实现非法目的,如盗取隐私信息、发送木马程序等。
2 .4 重传攻击
重传攻击是一种综合性较强的影响因素,其包含了无线窃听与信息篡改诱导性的特征。在重传攻击机制上,首先“黑客”一类人员要通过相关方法对无线网络进行窃听,此举同时也代表此类人员进入了无线网络环境,其次通过信息篡改的诱导性吸引用户也进入风险网络环境,再向他们不断地发送引导信息,只要用户点击了相关程序就会导致病毒、木马等程序进入计算机,是计算机无线网络安全稳定性受到负面影响。例如某人利用以上方式对某个无线网络进行了窃听,当有用户连接该无线网络,进入网络环境后,向其发送了“该网络需认证后才可使用”的诱导信息(诱导信息来源于信息篡改),这样用户为了能使用网络大概率会前往窃听人员提供的认证窗口填写相关信息,包括姓名、联系方式、身份证号码等隐私信息,这些信息一旦填写完毕就会被窃听人员获取,带来了隐私信息泄露风险,影响了计算机无线网络的安全稳定性。
3 计算机无线网络安全维护策略
为了保障计算机无线网络稳定性及通信质量稳定性,相关人员应当采用正确策略开展无线网络安全维护工作。对此下文将提出相关维护策略,分别为身份认证机制应用、默认设置更改、信息监督维护,各策略如下。
3 .1 身份认证机制应用
面对以上四类计算机无线网络稳定性影响因素,在计算机无线网络安全维护中能够应用身份认证机制能够有效对这些因素进行防护。身份认证机制就是要求用户在连接网络时填写认证信息,再根据填写信息进行验证,如果验证通过才可以使用网络的一种机制,这种机制在以上“重传攻击”举例中已有描述,但区别在于当该机制被网络安全维护所用,其功能就不再是诱导用户,而是真实的核查用户身份,如果用户对无线网络存在恶意,便不可能用自身真实信息进行认证,否则一旦出现问题将会被追查,但当填写信息不真实,又无法通过认证机制,不能实现网络入侵,后续的窃听、接入、篡改、重传都不可能实现,说明利用该机制能够对计算机无线网络安全稳定性进行保障,也间接保护了无线网络通信质量。
3 .2 默认设置更改
默认设置更改是很多计算机无线网络安全维护中被忽略的一项策略,即很多网络安全维护人员认为默认设置已经考虑到了无线网络安全[6 ],没有必要进行更改,而事实上默认设置来源于计算机生产厂家,他们在默认设置设计时更重视计算机网络应用的便捷性,因此并不会过多考虑无线网络安全问题,这时如果不对默认设置更改,计算机很容易在无线网络环境中遭到攻击,网络安全稳定性受到影响。针对这一点,建议相关人员对计算机默认设置进行更改,在其中使用MAC地址过滤、安全口令等安全防护设置来保护计算机无线网络安全,提高其稳定性。
3 .3 信息监督维护
现实角度上,计算机无线网络安全稳定性影响因素是无法被完全防护的,“黑客”总是能通过各种方法来实现窃听等操作,这时就需要网络安全维护相关人员做好信息监督维护工作。如果发现无线网络环境中存在异常信息,就必须对此类信息进行修正,若短时间内无法处理异常信息,则有必要对信息所代表的程序、代码等进行限制,甚至暂停无线网络使用,由此可保障计算机无线网络安全稳定性。
4 结语
综上,本文对计算机无线网络的稳定性与网络安全维护进行了分析,阐述了计算机无线网络稳定性的影响、常见影响因素,最后提出了网络安全维护策略。通过文中策略,能够有效对常见影响因素进行防护,起到直接保障计算机无线网络安全稳定性、间接提高网络通信质量稳定性的作用。
参考文献
[1 ]李阳阳.论述计算机网络安全构建及防护[J].计算机产品与流通,2019(8):68 .
[2 ]陈晗.浅析计算机网络安全的影响因素与防范措施[J].计算机与网络,2019(6):59 .
[3 ]闵胜利.影响计算机网络安全的因素及应对策略[J].现代工业经济和信息化,2016(8):88 -89 .
[4 ]李林,吕俊虎,赵鑫.探究影响计算机网络安全的因素及应对措施[J].数码世界,2019(7):252 .
第7篇:常见的网络安全防护手段范文
关键词:网络安全;入侵;策略
每年夏天在拉斯维加斯有一个秘密的黑客大会(DEFCON)举行。这些人致力于获取和进入别人一直试图竭力保护的信息和信息系统。2007年,焦点更多地集中在ID(身份或口令)窃取和数据操作,因为识别出ID后,可以通过许多的网络技术防御措施。2008年,充分运用公开的软件和网络,作为收集信息、窃取ID和根据用户特点准备集中攻击。谈论的焦点还包括:破坏物理锁,危害电子投票,破坏网络数据的完整性和硬件,运用特洛伊木马等。从而借助不受注意的红外线、无线电频谱或光学信号等,通过少量的成本运用“安全”的路由传输数据。
我国在94年的计算机信息系统安全保护条例中就指出:计算机信息系统的安全保护应当保障计算机及其相关的和配套的设备的安全,运行环境的安全,保障信息的安全。保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。也就是说我们应在硬件、软件及运行环境等网络的各个环节上,考虑来自网络系统内部和外部两大方面的因素,从管理和技术上着手,制订比较完善的网络系统安全保护策略。
一、网络安全现状分析
截至去年6月底,中国手机网民规模首次超越台式电脑用户,达到3.88亿。整个行业已经注意到,消费者采购移动设备的速度比采用任何其他技术的速度都快。虽然人们大量使用无线设备(如WiFi),但却不大注意它的安全问题,因而大大增加了黑客的攻击范围。据调查,2012年网络安全事件主要有如下几个方面:1.源代码被盗事件;2.重大黑客攻击事件;3.恶意软件肆虐事件;4.信息泄密事件;5.重大漏洞事件;6.操作系统安全事件。
不少人认为计算机网络攻击,是网络间谍活动是政府的事,认识局限在攻击那些高度机密的内容范畴内。其实任何人都能在因特网上找到一些相当成熟的网络入侵工具,从而渗透到网络上的电脑里,这些恶意的网站,教育人们包括了黑客活动的方方面面(从任何人通过鼠标随意点击到经验丰富的黑客使用功能强大的工具都可入侵)。
据统计,我国当前计算机的网络安全现状普遍处于不容乐观的状况,主要表现在以下几个方面:信息和网络的安全防护能力差;网络安全人才缺乏;使用人员对网络的安全保密意识淡薄,领导对网络安全方面不够重视等。一部分人认为添加了各种安全产品之后,该网络就已经安全了,领导基本上就是只注重直接的经济利益回报的投资项目,对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度,其中起主导作用的因素还有就是缺少专门的技术人员和专业指导。
二、常见威胁分析
目前对内外安全的解决方案,还停留在防火墙、入侵检测、网络防病毒等被动防护手段上。在过去的一年,全球98.2%的用户使用杀毒软件,90.7%设有防火墙,75.1%使用反间谍程序软件,但却有83.7%的用户遭遇过至少一次病毒、蠕虫或者木马的攻击,79.5%遭遇过至少一次间谍程序攻击事件。另国家计算机信息安全测评中心数据显示,由于内部重要机密数据通过网络泄露而造成经济损失的单位中,重要资料被黑客窃取和被内部员工泄露的比例为1:99。
常见的威胁:1.计算机病毒。常见的破坏性比较强的病毒经常表现为:蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等,并且在短时间内传播从而导致大量的计算机系统瘫痪,造成重大的经济损失。2.非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。3.木马程序和后门。是一种可以通过远程控制别人计算机的程序,具有隐蔽性和非授权性的特点。
三、网络安全策略及发展
1.更改默认系统管理员账户名。将Administrator的账户名改为一个无意义的字符串。2.配置防火墙。3.禁用不必要的TCP/IP端口。只保留路由器到服务器的向内路径:80端口的HTTP和2l端口的FTP。4.划分VLAN。把用户划分为更小的工作组,限制不同VLAN 之间的用户不能直接互访。5.身份认证。其主要目的是证实被认证对象是否属实,常被用于通信双方相互确认身份,以保证通信的安全。常用的网络身份认证技术有:静态密码、USB Key和动态口令、智能卡牌等。
如今自带设备办公BYOD(Bring Your Own Device)已渐渐进入了我们的实际工作。能够使用随身的iPad和智能手机办公,对我们而言无疑是一件非常便捷的事情,对企业来说可以大幅降低设备的购置升级和维护投入。但这看似双赢却埋藏着巨大的隐患。有看过今年315央视晚会的应该很清楚,手机上所使用的Android系统是一个开放式开发平台,很容易受到攻击。过去的信息安全是建立在设备可控的基础上,传统的网络安全提供商迎来了跨时代的挑战,他们需要在整个组织内实施统一的安全策略、为各种用户提供优化的经管体验,支持多种设备并符合安全和业务要求。需要确保用户对资源的安全访问,并提供针对任何移动设备的高性能网络连接。下一代防火墙NGFW、Web应用防护系统WAF、数据泄密(泄露)防护(Data leakage prevention, DLP)等或许将慢慢出现在我们的眼前。
结语
在这个信息大爆炸的时代,如何确保网络信息的安全是每一个网络系统的设计者和管理者都极为关心的热点,当然也是企业关心的重点。企业不但要依靠强有力的网络安全技术产品,而且还要加强企业管理,培养用户足够的安全意识和知识亦是势在必行!一个全方位的安全方案是非常难以实现的,对于网络来说,自由与安全本就是一个矛与盾的关系,而眼下还没有找到可以调和的良方。人们仍旧面临严峻的安全威胁,仍旧需要时刻关注网络安全世界的变化。
第8篇:常见的网络安全防护手段范文
关键词:内部网络;安全威胁;防护技术;技术策略;防范制度
Internal Networks Security and Prevention
TENG Yong-heng LI Xi-zhou
( Tianshui Huatian Technology Co. , Ltd)
Abstract:We should have a clear viewpoint on internal networks threats. Because it has something with the security and prevention measures. Before making the internal networks security measures, we must find the factors which threaten the networks security. So long as we find the factors which threaten the networks security. So long as we find the threats, we will adopt the appropriate measures. The necessary prevention means is the precondition to guarantee the information security. The article not only presents networks security technology, but also gives the strategy or networks-security measures and the system of prevention as the networks security complementary. Only comprehensively use the system establishing and security technology, the internal networks security can be effectively maintained.
Key Words: internal networks; security threat; prevention measures; technology strategy; prevention system.
1引言
目前人们对网络安全普遍都有一个不全面的认识,即认为对企业内部网络(Intranet)的威胁主要来自于企业外部。因此,网络安全部门、网络设备用户和网络产品开发者都将主要精力放在了研究如何防止网络遭受来自于企业外部的攻击,而忽视了来自于企业内部的网络安全威胁。
由于互联网的快速发展,公司各种商务活动和信息共享的需要,企业内部网络需要24×7与互联网(Internet)相连接,以便于异地分支机构、合作伙伴、用户的各种访问或服务共享,这在极大地方便了企业商务活动的同时,也使企业网完全暴露在病毒、黑客等非法入侵的威胁之下。几乎所有企业对于网络安全的重视程度一下子提高了,纷纷采购防火墙等设备堵住了来自Internet的不安全因素。然而,Intranet内部的攻击和入侵却依然猖狂。事实证明,公司内部的不安全因素远比外部的危害更恐怖。
但是对国内大多数企业来说,对网络安全的认识还仅仅停留在购买杀毒软件和防火墙来抵御外来入侵的层面上,但是对于来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。实际上内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。据不完全统计,国外在建设内网时,投资额的15%是用于加强内网的网络安全。因此,公司对内部网络安全威胁的认识,直接关系到所采取的安全防范策略措施。
2内部网络存在的安全威胁
内部网络存在的安全威胁有一部分是安全系统的部署缺陷,而更多的是终端用户的不良操作习惯导致的。
2.1网络交换机的安全威胁
在实际网络环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其他设备的攻击趋势越来越严重,带来的影响越来越剧烈。随着局域网的广泛互连,加上TCP/IP协议本身的开放性,网络安全已成为一个突出问题,而交换机作为网络环境中重要的转发设备,其普通安全特性已经无法满足现在的安全需求,因此交换机需要增加安全防范措施来应对出现的安全威胁。针对网络交换机的常见攻击有:针对VLAN中继攻击;生成树协议攻击;MAC表洪水攻击;ARP攻击;VTP协议攻击等。
2.2过时的微软服务包
运行未安装最新更新程序的Windows是另一个严重问题。及时更新软件是一条安全基本常识,每家公司都在设法做到这点,但大多数公司是借助于自动更新。
然而,为公司的每个台式机打上补丁已经是一项艰巨任务,更不用说还要顾及连接到网络上的笔记本电脑、个人数字助理和手机了,总会有漏网之鱼;同样道理,只要有一个端点存在已知安全漏洞,就足以危及整个网络系统。
2.3用户和用户组权限分配不合理
让适当的用户组做适当的事情,尽量不分配多余的权限,避免用户和用户组权限分配不合理。
2.4 反病毒问题
由于恶意软件编写者使用的一种感染手法就是,在尽可能短的时间内感染尽可能多的计算机。因此,各大反病毒软件厂商每周都在不断的更新程序,所以让保护机制处于最新版本对网络安全十分重要。
2.5 USB设备的不规范使用
内部网络最大的威胁是未加登记或未加保护的USB设备。感染的来源未必是内部员工。来访者(不管有没有受到邀请)访问公司的计算机后,就能轻易插入USB存储设备。很多木马和病毒正是借助这个途径来大肆传播和产生危害的。
Windows下的USB设备保护机制相当有限。你基本上只能启用或禁用系统上的USB。由于USB是Windows的默认外设连接,所以这带来了极大的限制。
2.6账号及口令管理不严及设置不合理
账号及口令管理不严格,导致外来者很容易得到。设置账号和密码常常较简单,与使用者的生日及一些个人信息相关,或者使用常见的词汇做为密码,使得用来保护计算机的安全屏障形同虚设。
2.7未经授权的远程控制软件
远程控制软件对诊断软硬件方面的故障大有帮助。但这类软件对不法分子来说同样大有帮助,因为它为进入计算机提供了一条便道。
在某些情况下,远程控制软件由需要能够从其他地方访问台式机的用户来安装。在另一些情况下,却是有人未经授权擅自安装上去的,这些安装或改动的软件旨在用户浑然不知或未经同意的情况下,允许第三方使用系统。
2.8无线连接
如今的笔记本电脑当中约有95%随机配备了内置的无线访问功能。无线连接缺乏有线网络的安全性。
推荐的策略一般是控制威胁,而不是试图完全消除威胁。虽然端点安全面临的有些威胁(比如未经授权的对等文件共享)能够从公司网络上加以消除,但另一些威胁还不能完全消除(比如无线连接和USB设备,对现代公司的IT部门来说相当必要)。
2.9用户操作失误
用户操作失误,可能会损坏网络设备如主机硬件等,误删除文件和数据、误格式化硬盘等。
3常用防范手段
鉴于以上种种的安全隐患和风险,我们有必要采取一定的手段来进行见招拆招的防范。
3.1对网络安全的要求
(1)物理安全。物理安全主要包括环境安全、设备安全、媒体安全等方面。处理秘密信息的系统中心机房应采用有效的技术防范措施,重要的系统还应配备警卫人员进行区域保护。
(2)运行安全。运行安全主要包括备份与恢复、病毒的检测与消除、电磁兼容等。系统的主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。应采用国家有关主管部门批准的查毒杀毒软件适时查毒杀毒,包括服务器和客户端的查毒杀毒。
(3)信息安全。确保信息的保密性、完整性、可用性和抗抵赖性是信息安全保密的中心任务。
3.2各种防护手段
3.2.1通过在网络周边设置防火墙、在客户端PC上安装防病毒软件保护网络。
不幸的是,网络仍然易于遭受更高级的安全威胁(例如病毒和蠕虫),因为大部分防火墙不能深入检测病毒特征码,更无法通过网络行为异常检测(NBAD)寻找具有攻击性的网络行为。同样,PC防病毒软件不能做到防范时时的病毒攻击,更不用说有许多客户允许那些未更新防病毒文件的终端用户访问网络。
3.2.2认证技术和访问控制
认证是防止恶意攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用。认证的主要目的有两个:(1)验证消息的发送者是否合法 ;(2)验证消息的完整性,保证信息在传送过程中未被篡改、重放或者延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。消息认证和身份认证解决了通讯双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动。
访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.2.3入侵防护技术(IPS)
作为一种主动式的防范技术,入侵防护能够弥补防火墙等反应式技术的不足,帮助人们扭转被动防范局面。
入侵防护技术是近两年出现的主动防范技术。它能够实时检查和阻止入侵。如果有攻击者利用漏洞发起攻击,入侵防护设备能够从数据流中检查出攻击并且加以阻止。传统的防火墙只能对网络层进行检查,不能检测应用层的内容,因而也就无法发现针对应用层的攻击,而入侵防护可以深入应用层检查数据包。所有的数据包在经过入侵防护设备时,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
3.2.4蜜罐和蜜网技术,
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络,在诱捕网络架构中,包含一个或多个蜜罐,同时又保证了网络的高度可控性,以及提供多种数据捕获和数据分析工具,以方便对攻击信息的采集和分析。
3.2.5计算机取证技术
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,并对入侵事件进行重建的过程。
主要技术有:(1)数据保护技术,(2)磁盘镜像拷贝技术,(3)数据恢复技术,(4)数据分析技术,(5)入侵检测取证技术,(6)陷阱网络取证技术。
取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉讼证据也存在一定的争议。取证技术的法律完善是一个亟待解决的问题。
4内部网络安全防范措施
在制定单位内部网络安全防范措施时,要因地制宜,应分析单位内部网络与信息安全的威胁因素,对网络安全防范实行周密部署:(1)通过有效的隔离措施保障各网络系统的数据安全,如单位内部网络与互联网的逻辑隔离、单位内部各业务部门的逻辑隔离;(2)合理配置网络设备,保障网络系统在异常情况受到网络攻击时的稳定性、安全性;(3)严格内部网络的接入控制机制,防止内部信息的外泄;(4)使用高性能的杀毒软件进行全方位的计算机病毒防范;(5)变被动防范为主动防范;将制度防范与技术防范有机结合;(6)重视提高网络安全管理员的素质;(7)重视建立网络安全日志及审查制度。
4.1主要技术策略和措施
4.1.1网络交换机的安全威胁防范
作为整个网络的核心,交换机最重要的作用就是转发数据。在攻击者攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这是交换机所需要的基本的安全功能。通过对现有交换机的安全配置或安全升级,实现局域网交换机的安全防护。
(1)针对VLAN中继攻击的防范
对交换机进行安全设置就可以防止VLAN中继攻击。首先是所有中继端口上都要使用专门的VLAN ID,同时也要禁用所有使用不到的交换机端口并将它们安排在使用不到的VLAN中。其次是通过明确的设置,关闭掉所有用户端口上的DTP,这样就可以将所有端口设置成非中继模式。另外对交换机设置IP/MAC地址绑定功能,限制用户的非授权网络访问。
(2)生成树协议攻击的防范
要防止操纵生成树协议的攻击,需要使用根目录保护和网桥协议数据单元(BPDU)保护加强命令来保持网络中主网桥的位置不发生改变,同时也可以强化生成树协议的域边界。为了解决生成树协议收敛速度慢的问题,可以在交换机上配置使用快速生成树协议(RSTP),避免在网络重新收敛过程中的网络回路的产生。
(3)MAC表洪水攻击的防范
通过设置端口上最大可以学习的MAC地址数量、MAC地址老化时问,来抑制MAC攻击。通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。设置合适的老化时间可以有效实现MAC地址老化的功能。
在交换机上配置端口安全选项可以防止MAC表淹没攻击。该选择项可以提供特定交换机端口的MAC地址说明,也可以提供一个交换机端口可以学习的MAC地址的数目方面的说明。当无效的MAC地址在该端口被检测出来之后,该交换机要么可以阻止所提供的MAC地址,要么可以关闭该端口。
(4)ARP攻击的防范
在交换网络中,可以在交换机端口上通过绑定每台设备的IP和MAC地址,同时限制该交换机端口能够学习的MAC地址最大数目来解决ARP欺骗或攻击的行为。实施IP和MAC地址绑定和限制最大MAC地址数目后,该交换机端口就不再接收并记录新的MAC地址,对不符合记录的数据包不转发。
(5)VTP协议攻击的防范
为了保证VTP域的安全,VTP域可以设置密码,域中所有交换机必须要设置成同样的密码。在VTP域中的交换机配置了同样的密码后,VTP才能正常工作。而不知道密码或密码错误的交换机将无法获知VLAN的消息。
4.1.2对USB存储设备的管理
企业局域网如何管理USB存储设备(U盘、移动硬盘等),一般可以采用的方法包括:
方法1:封掉USB口,有些单位通过焊死或者封死USB口的方法来达到目的;
方法2:采用专业的软件管理,主要实现的功能如:介质注册、介质授权、访问控制、数据保护、安全数据交换、日志审计等;
方法3:采用一些内网安全系统,一般的内网安全软件均带有控制硬件设备和接口的功能。
4.1.3用户操作失误
加强计算机用户的培训和管理,杜绝用户操作的失误。
4.1.4限制VPN的访问
虚拟专用网(VPN)用户的访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显,VPN用户是可以访问企业内网的。因此要避免给每一位VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服务器或其他可选择的网络资源的权限。
4.1.5为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来加固防火墙,保护MS-SQL,但是一些蠕虫仍能侵入内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个“隔离区”,并将他们所需要访问的资源放置在相应的“隔离区”中,不允许他们对内网其他资源的访问。
4.1.6建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
4.1.7创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击,还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个销售部用户的客户机被侵入了,攻击者也不会由此而进入到公司的研发部门。因此要实现公司研发部门与销售部之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间的边界防护。
4.1.8及时升级微软服务包;
国内许多公司和组织都在使用微软的产品,由于用户不断发现其产品存在的各种漏洞和缺陷,微软升级服务包也跟着不断的更新,因此能否及时进行微软升级服务包的更新,从某种程度上影响了网络使用设备的安全。
4.1.9购买并安装正版的杀毒软件
购买市场上比较流行的高性能的正版杀毒软件,实时升级病毒库样本,就能很大程度上减少一些常见病毒和木马对网络用户的危害。
4.2必要的制度防范
不论网络系统配置的如何安全,做为执行者的操作人员,始终都是网络安全的最后一道屏障。制定必要的制度,做到了分级管理、责任到人,对计算机管理员及计算机用户进行必要的约束,才能最大限度地保证内网的安全。
(1)建立和完善各种安全操作、管理制度,明确安全职责;建立对突发事件的应对预案。
(2)加强对网络使用人员、网络管理人员的安全教育,树立安全观念,提高安全防范意识,减少潜在的安全隐患。
(3)建立一支高水平的网络管理、信息安全管理队伍,定期进行安全风险评估和策略优化。
5结束语
在网络安全防范中,应根据单位的特殊性制定网络安全防范策略,在加强对单位用户的安全制度教育的同时,采用先进的网络安全防范技术,制度防范和技术防范互为补充,才能保障内网的安全。
参考文献
[1]宋宜昌.网络安全防御技术浅析.网络安全与技术应用.2010
[2]高晓飞.申普兵.网络安全主动防御技术.计算机安全.2008
[3]于波.涂敏.计算机取证分析.计算机与现代化.2008
[4]赵洪彪.信息安全与策略.清华大学出版社.2006
作者简介
第9篇:常见的网络安全防护手段范文
【关键词】防火墙技术 计算机安全 构建 策略
随着网络信息技术的不断发展,计算机网络已广泛应用于现代生产生活之中。但在开放的互联网环境之下,网络信息安全问题日益成为制约网络信息技术发展,影响计算机网络有效应用的重要因素。从实际来看,计算机系统设计缺陷、应用软件漏洞、计算机病毒、人为恶意攻击等,都是当前计算机面临的主要安全威胁。如何在快速发展的互联网时代,构建完备的安全防御体系,既是计算机自身安全的内部需求,也是强化计算机发展的重要举措。特别是多样化的外部威胁源,对计算机的网络信息安全构成了极大地安全隐患,恶意攻击行为的发生、计算机病毒感染,轻则造成计算机系统运行效率下降,重则重要数据丢失、被截获,甚至出现系统瘫痪等问题。防火墙技术是当前广泛应用与计算机安全构建中的安全技术之一,随着防火墙技术的不断发展与成熟,其在计算机安全构建中的作用日益凸显。通过“防火墙+入侵检测”的互动构建,提高了计算机安全防御系统的整体性能,也优化了防火墙的防御性能,特别是对于难响应等问题的解决,提高了防火墙的现实应用价值。
1 防火墙概述
在互联网快速发展的当前,开放的互联网推动力现代社会的发展,但在发展的同时也伴随着诸多的新问题,特别是计算机网络信息安全问题的日益严峻,强调构建计算机安全防护体系的必要性与紧迫性。防火墙技术是现代计算机安全构建中重要技术之一,对于网络信息安全起到重要的作用。如图1所示,是防火墙的防火作用的体系图,从中可以知道,防火墙就是在本地网络与外地网络之间构建了防御系统,进而起到安全防护的作用。
因此,防火墙防护作用的体现,主要在于防止未经授权或不希望的通信进入被其保护的网络。一般而言,防火墙的作用体现在以下几点:
(1)对Internet的外部进入行为,防火墙可以进行过滤非法用户或不安全服务,进而起到安全防护作用;
(2)在开放的互联网环境下,存在诸多不安全站点,防火墙可以限制人们对特殊站点的访问,进而起到安全防御作用;
(3)防火墙的监视作用也十分有效,通过对Internet的安全监视,进而确保内部网络行为安全。
但是,从防火墙技术本身而言,其实质上是一种被动技术,难以对内部的非法访问起到有效防护的作用。这就决定,防火墙适合用于相对独立的网络环境,起到网络防护屏障的效果。一方面,防火墙作为网络安全的屏障,对于存在的恶意攻击、不安全服务,可以进行过滤,降低网络安全风险;另一方面,防火墙对于一些精心选择的应用协议可能难以防御,但就目前的网络安全构建而言,防火墙在净化网络安全环境上仍具有重要的现实作用,可以同时保护网络免受基于路由的不安全攻击。因此,从实际而言,防火墙在诸多计算机网络安全上,可以起到实际性的安全防护作用。
(1)实现对“脆弱服务”的有效保护;
(2)实现对系统安全访问的切实控制;
(3)确保计算机的集中安全管理,并在保密性上进一步强化;
(4)通过对不法使用数据等的记录与统计,强化对网络不安全行为的监控。
2 防火墙的分类及工作原理
当前,防火墙已广泛应用于计算机安全领域,并不同类型的防火墙,在网络安全构建中的功能不同。强化对各类防火墙的认识,对于其在计算机网络安全中的应用,具有十分重要的现实意义。具体而言,防火墙主要分为服务型防火墙;包过滤防火墙、复合型防火墙。
2.1 包过滤防火墙
一般而言,包过滤防火墙安置于路由器,以IP信息包作为基础,实现对目标地址、IP源地址等进行帅选,进而在过滤中确保计算机安全。如图2所示,是基于包过滤技术的防火墙设计。其中,网络层是包过滤防火墙的工作点,在Intranet与Internet中,对于传输的IP数据包进行检查与过滤。因此,包过滤防火墙有着显著的优越性:
(1)具有灵活有效性。
(2)简单易行性。
但是,包过滤防火墙由于防火墙机制的固有缺陷,存在以下几点缺陷:
(1)对于“假冒”难以实现有效防控。
(2)只能在网络层与传输层实现防御作用。
(3)对于网络内部的攻击威胁不能起到防御作用。因此,在基于包过滤防火墙下的计算机安全构建,在很大程度上提高了计算机的运行环境的安全性,但也存在一些不足,应针对实际的安全构建需求,进行科学合理的安全加固,确保计算机网络安全。
2.2 服务型防火墙
一般而言,服务型防火墙主要有客户程序段、服务器端程序等构成。具体如图3所示,是服务型防火墙体系。服务型防火墙的中间节点与客户端程序处于相连状态,并且,在中间节点上,又与外部服务器进行连接也就是说,当客户端将浏览器配置成使用功能时,防火墙就将客户端浏览器的请求转给互联网;当互联网返回响应时,服务器再把它转给你的浏览器。因此,相比于过滤型防火墙,在服务型防火墙中并不存在内外网之间的直接连接,并且服务型防火墙在功能上,也提供审计、日记等服务功能。
2.3 复合型防火墙
复合型防火墙作为新一代的防火墙技术,集和了智能IP识别技术,实现了对应用、协议等的高效分组识别,也进一步强化了对应用的访问控制。在智能IP识别技术中,实现了创新性的发展,在摒弃传统复合型防火墙技术的同时,创新性的采用了诸多新技术,如特有快速搜索算法、零拷贝流分析等,在构建计算机安全上,日益发挥重要的作用。下图4所示,是复合型防火墙工作原理图。在计算机安全构建中,复合型防护墙实现了内容过滤、病毒防御的整合。常规防火墙难以对隐蔽的网络信息安全实现有效防控,复合型防火墙体现了网络信息安全的新思路,在网络界面对应用层进行扫描。正如图4所示,网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
因此,在计算机安全构建中,针对安全体系之需求,选择相应的防火墙,以全方位确保计算的运行安全。当前,计算机安全因素日益多样化,防火墙在计算机安全中的作用日益显现,这也强调防火墙在今后的发展中,应不断地创新,以更好地满足计算机安全需求。
3 计算机安全问题
3.1 计算机系统设计缺陷
从Windows XP到Windows7、Windows8,再到现在的Windows10,操作系统的不断发展,带给了计算机快速发展的重要前提。但是,由于系统设计的缺陷也是计算机陷入安全危机的重要原因。一方面,系统补丁的不断出现,用户通补丁的及时下载,以确保计算机的安全性;另一方面,系统越来越完善、越来越完善,设计上的缺陷难以避免,这些缺陷的存在,是计算机安全的最大隐患之一,值得微软、杀毒软件商、客户的重视。
3.2 应用软件漏洞
计算机的普及与应用,推动了现代社会的发展,特别是各类应用软件的研发与应用,极大地提高并丰富了计算机的用途。在计算机应用软件的设计过程中,设计者往往会在软件中设置“后门”,以便于设计公司“防盗版”。但是,设计中所设置的“后门”,却极易成为病毒或黑客攻击,进而造成计算机安全。当然,计算机应用软件“后门”存在的同时,很多应用软件也存在自身的安全隐患。从实际来看,计算机应用软件的常见安全漏洞主要有以下几个方面:
3.2.1 SQL注入
SQL注入是指,将SQL命令插入至Web表单的输入域的查询字符串,进而欺骗服务器执行恶意的SQL命令。如图5所示,就是典型的恶意SQL注入,对于计算机的安全构成了较大的安全隐患,导致用户端的信息安全。
3.2.2 缓冲区溢出
在软件安全中,缓冲区溢出已成为重要的安全威胁。在实际当中,计算机诸多安全问题与缓冲区溢出有关。如,设计空间的转换规则的校验问题;局部测试空间与设计空间不足。这些问题的出现,就是因为缓冲区溢出所致,影响计算机的安全运行与操作。
3.2.3 加密弱点
加密是确保计算机安全的有效措施,也是构建安全体系的重要方法。但是由于不安全加密算法的使用;身份验证算法有缺陷;未对加密数据进行签名等,都在很大程度上造成了加密弱点,进而影响到计算机的网络信息安全。
3.3 人为恶意攻击
开放的互联网环境之下,人为恶意攻击成为计算机网络的最大安全问题之一,对用户的信息安全造成严重的威胁。当前,人为恶意攻击主要分为两种:一种是主动攻击;另一种是被动攻击。其中,主动攻击是指利用各种攻击手段,有选择性或针对性的破坏信息的完整性,进而造成网络信息安全问题;而被动攻击则是在不影响网络正常工作的前提之下,对相关机密信息进行截获或破译。因此,无论是主动的人为恶意攻击,还是被动的人为恶意攻击,都对计算机安全造成极大的安全威胁。轻者影响正常运行;重则导致系统瘫痪、数据丢失。
3.4 计算机病毒
谈“毒”“色”变的网络信息时代,病毒已成为计算机安全的重要威胁源。计算机病毒具有隐蔽性、传播性和可存储性,这是病毒之所有如此大破坏性的原因。首先,计算机病毒隐藏于数据文件或可持续的程序之中,强大的隐蔽性导致难以发现。一旦病毒入侵、触发,对计算机系统安全直接构成威胁。;其次,计算机病毒主要通过程序运行、文件传输(复制)等方式进行传播,可传染性是病毒对计算机安全构成安全威胁的重要因素。从实际来看,计算机病毒运行之后,对计算机安全的危害轻则系统运行效率降低,重则出现系统瘫痪,重要文件、数据发生丢失。近年来,计算机病毒随着信息技术的不断发展,不断出“新”,诸多恶性病毒基于网络形成了较大范围内的计算机安全问题。例如,威震一时的“熊猫烧香病毒”、“CH病毒”等,在网络传播之下,形成了严重的计算机网络安全,造成巨大损失。
3.5 用户安全意识淡薄
网络时代的到来,让计算机网络成为现代社会生产生活的不可获取的重要产物。目前,我国网民数量已超6亿人,其中有近90%的网民遭遇过计算机安全问题,但这些网民对计算机安全问题比较忽视,在思想上缺乏安全意识。如,。据不完全统计,我国有近83%的计算机用户有过病毒感染的经历。其中,16%的用户在计算机病毒的入侵下,出现全部数据遭到破坏;58%的用户是部分数据遭到破坏。一方面,计算机病毒所造的网络信息安全威胁是巨大的,轻则造成用户数据出现部分丢失或损坏,重则导致系统瘫痪,直接给用户造成致命的安全威胁;另一方面,我国广大的计算机用户缺乏良好的安全意识,上网行为不规范、进入非法网站等行为,都会对计算机安全造成较大影响。
3.6 拒绝服务攻击
当前,在恶意人为进攻中,拒绝服务攻击的网络安全问题尤为突出。通过利用操作系统漏洞、TCP/IP漏洞,对网络设备实施恶意攻击,进而造成不同程度的网络信息安全问题。一般情况之下,攻击者通过对网络服务系统进行恶意干扰,进而造成服务系统流程发生改变,一些无关的恶意程序被执行,以至于操作系统运行减慢,甚至出现系统瘫痪。而对于合法的用户,被恶意程序排斥无法进入网络服务系统。从实际来看,电子邮件炸弹等网络安全事例,就是拒绝服务攻击所带来的网络信息安全问题。
3.7 黑客入侵
黑客是网络信息安全的重要威胁源,通过破译密码、放置木马程序等方法,对网络系统实施攻击。近年来,黑客入侵的网络安全事件频发,逐步成为全球网络信息安全的重要防范领域。特别是在金融证券、军事等领域,黑客入侵事件尤为频繁。当前计算机的所使用的操作系统易win7为主,但由于系统存在安全漏洞,且漏洞补丁未能及时开发。这样一来,黑客利用系统漏洞,实施黑客入侵,对计算机用户造成威胁。一旦计算机被黑客入侵,黑客可以对用户的数据库进行任意的修改、删除,进而对用户的网络信息安全带来极大的安全隐患。
4 基于计算机安全下防火墙入侵检测
当前,防火墙技术已广泛应用于计算机网络信息安全的构建之中,发挥着保护层的重要作用。首先,防火墙可以有效地对外部网访问进行限制,进而为内部网构建了保护层,确保内部网络的安全访问;其次,防火墙通过对网络访问进行统计记录,对恶意行为或可以动作进行报警,以确保外部可疑动作及时有效地进行监视;再次,防火墙的安全体现,主要在于防范技术体系的建立。如,通过分组过滤技术、服务技术,构建计算机安全防范技术体系,为网络信息安全构建安全可靠的网络安全防范体系。
在计算机安全隐患日益多样化、互联网开放化的当前,防火墙技术的应用,一方面是计算机安全构建的内部需求,在确保计算机安全上起到重要作用;另一方面,防火墙技术不断发展与日益完善,相对成熟的技术状态,为防火墙技术广泛应用于计算机安全构建,创造了良好的内外条件。因此,强化防火墙技术在计算机安全构建中的应用,特别是防火墙的入侵检测,符合计算机安全构建的要求,也是充分发挥防火墙防御作用的集中体现。
4.1 入侵检测
随着计算机安全问题的日益突出,如何强化威胁入侵检测,已成为构建计算机安全的重要基础。实质而言,入侵检测就是指对网络资源、计算机上的“恶意”行为进行有效的识别,并及时响应。因此,入侵检测一方面对来源于外部的攻击进行有效检测,进而确保计算机网络安全;另一方面,对于未被授权的活动进行检测,对可能存在的入侵行为进行防御。这就说明,入侵检测为计算机构建了完备的安全体系,并强化了计算机防御恶意入侵的能力。
4.2 入侵检测技术(IDS)
随着计算机安全技术的不断发展,入侵检测技术作为新一代安全防范技术,已广泛应用于计算机的安全构建之中,并取得良好的应用效果。入侵检测系统通过对计算机系统和计算机网络中的关键点的若干信息进行收集,并进行全面的分析,以便于发现是否有被攻击或违反安全策略的恶意攻击行为。因此,入侵检测系统实现了检测、记录及报警响应于一体的动态安全防御体系,不仅能够对外部入侵行为进行有效监测,而且对于计算机网络内部行为进行监督,是否存在未授权活动的用户。IDS对计算机内部的数据通讯信息进行全面的分析,而且对网络外部的不良入侵企图进行分辨,确保计算机系统在受到危险攻击之前,能够及时作出报警。当然,入侵检测系统只是起到预防报警响应等作用,但是自身无法进行阻止和处理。IPS是用于计算机安全构建中的入侵防御系统,如表1所示,是IDS与IPS的比较分析。从中可以知道,IPS在安全构建中,其诸多性能优于IDS,特别是多重检测机制,提高检测性能与精准度。但是,IDS部署简单,具有良好的适应性和可操作性。在安全构建中起到一定的响应报警,对于计算机安全防御体系十分重要。
4.3 “防火墙+入侵检测技术”,构建安全防护体系
在计算机的安全构建中,完备的安全防御体系应具备是三个部分:一是防护;二是检测;三是响应。从一定层面而言,任何一部分的缺失,都可能造成计算机安全防御体系的功能缺失,进而影响正常的防御能力。首先,防御体系中的三个部分,其之间的关系体现,主要在于实现基于时间的简单关系,即P>R+D。其中,D代表检测入侵行为所需时间;R为事件响应设施产生效力所需的时间;P为防御体系防护手段所需的支持时间。因此,从这一简单的关系式,我们可以清楚地知道,但恶意入侵行为尚未突破计算机的安全防御系统,入侵检测系统已发现这一恶意行为,进而及时报警效应。也就是说,对于计算机安全防御体系,虽然难以实现百分百的安全防御,但是快速有效的检测响应机制,是确保计算机安全的重要前提,在接受到报警响应之后,防火墙的防护作用发挥重要作用。“防火墙+入侵检测技术”的防御体系构建,对于提高安全防御能力,具有十分重要的现实意义。两者结合实现的有效互动,一方面实现了更加完备的安全防御体系,在很大程度上解决了传统计算机网络信息安全技术单一的不足;另一方面,解决了防火墙防御难响应的现实问题,进而提高了防火墙在计算机安全构建中的应用价值,满足计算机的安全需求。
总而言之,“防火墙+入侵检测”的互动结合,实现了防火墙通过IDS发现策略之外的恶意攻击行为,并且对源于外部的网络攻击进行有效阻断。正如图6所示的互动逻辑,互动关系的建立极大地提高了防火墙的整体防护性能,进一步满足了当前计算机安全构建的现实需求。
4.4 “防火墙+入侵检测”的接口互动方式
从实际而言,“防火墙+入侵检测”的接口互动方式主要有两种:
(1)将入侵检测技术嵌入防火墙之中,实现两者紧密结合。在这种互动方式之下,流经防火墙的数据源进入入侵检测系统,而非数据包。这就说明,所有需要通过的数据包,一方面要接受防火墙的验证,另一方面也要判断其是否具有攻击性,进而确保防御体系性能的充分发挥。
(2)两者的互动通过开发接口实现。也就是说,入侵检测系统或防火墙开放一个接口,用于另一方的接入。这种互动方式,需要双方按照固定的协议进行通信,进而完成网络安全事件的传输。相比而言,第二种接入方式的灵活性更大,且在很大程度上不会对防火墙的防护性能造成影响。
5 结语
总而言之,构建安全的网络信息环境,是网络信息技术发展的必然要求,也是网络信息技术更好服务社会发展的重要基础。在网络信息安全的防范中,一方面要构建安全防范体系,对计算机病毒等实施有效的拦截;另一方面,逐步完善防火墙与其他技术的整合,进一步强化防火墙的防御性能。当前,计算机安全问题突出,在很大程度上影响了计算机的发展,同时也影响了其在日常生产生活中的应用价值。因此,在实现安全构建的过程中,一方面充分认识到当前计算机安全所面临的主要安全问题,特别是对于计算机病毒、人为恶意攻击等安全问题,直接影响了计算机的安全运行。防火墙技术在近年的发展中,技术不断完备与成熟,
在计算机安全构建中的作用日益凸显,通过“防火墙+入侵检测”的互动结合,一方面提高了安全构建中的安全防御能力;另一方面也改善了防火墙的防御性能,强化了其在计算机安全构建中的应用价值。
参考文献
[1]张晓双.浅析计算机网络安全的主要隐患及管理措施[J].电子制作,2015(03).
[2]盛洪.分析就死算计网络通信安全问题与防范策略探究[J].电子测试,2015(05).
[3]刘涛.浅析计算机网络安全技术[J].电子制作,2015(05).
[4]郑伟.基于防火墙的网络安全技术的研究[D].吉林大学,2012.
[5]林国庆.浅析计算机网络安全与防火墙技术[J].恩施职业技术学院学报,2010(07).
[6]易前旭.网络安全中的防火墙使用技术[J].电子技术与软件工程,2014(08).
[7]王蕾.企业计算机网络的安全管理探讨[J].中国新技术新产品,2014(12).
[8]赖月芳.LINUX环境下的防火墙网络安全设计与实现[D].华南理工大学,2013.
[9]温爱华.计算机网络安全与防火墙技术[J].产业与科技论坛,2011(10).
[10]沈国平.试析计算机安全与防火墙技术[J].黑龙江科技信息,2012(05).
[11]Wan.perp.The application of firewall technology in campus network security [J].information and computer,2011 (01).
[12]z-lfreid.The system configuration and the selection of computer firewall to implement the technology [J]. value engineering,2011(03).
[13]Li Chunlin.Research and application of database technology [J]. information technology,2010(04).
[14]major.Internet firewall technology development of [J].microcomputer world,2008(12).
[15]Lin Guoqing.Analysis of computer network security and firewall technology [J].Journal of Enshi Technical College,2010(07).
作者简介
郭志强(1971-),男,广东省广州市番禺区人。硕士学位。现为广州市番禺区教育装备中心教师(中学一级)。
- 上一篇:城市规划设计条件范文
- 下一篇:房地产企业会计核算范文
