前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的维护网络安全措施主题范文,仅供参考,欢迎阅读并收藏。
关键词:计算机网络;日常安全;维护措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)12-2778-02
1 背景介绍
在现代信息时代背景之下,计算机网络技术飞速发展,通信技术也在此过程中得到了非常好的提升,这一系列的进步和变化不仅极大程度的改变了我们的工作和生活状态,还为我们日常工作与学习的进行提供了相当大的便利。与此同时我们也需要看到,网络发展的同时也伴随着相当严重的安全问题,这样一些安全问题的出现往往也是由多方面的因素所造成的,主要是因为计算机网络本身具有开放性和多样性的特点。除此之外,网络协议自身存在的一些缺陷和不足同样有可能导致问题的出现与发生,具体说来,可能是自然方面的因素,也可能是人为方面的因素。在本文当中,首先对系统可能出现的漏洞进行说明和分析,并在此基础之上针对性的指出维护措施和方法。事实上,信息技术的飞速发展确实为整个人类带来了非常多的便利之处,正是同样的原因也给网络自身带来较大的安全威胁,互联网在不断进步与发展的过程中变得越来越不安全。该文对计算机网络日常安全与维护措施的分析与探讨,是结合实际工作经验而开展的,既是有一定的理论依据,也是有充足的实践指导的。
2 计算机网络中存在的日常安全隐患分析
计算机和网络发展在我们国家的形势非常乐观,与此同时网络安全事故发生的频率也是越来越高,在这样一种状况之下,计算机网络所存在的安全隐患非常之大。如果一些国家重要部门遭受到黑客、病毒的入侵和攻击,就极有可能给整个社会带来非常大的安全威胁;如果在战争当中利用黑客入侵,更是会虚假军事信息导致更加不利的状况出现,如果在金融系统当中出现这样一些问题,则会导致严重的经济犯罪,一方面干扰了我们国家金融秩序的稳定进行,另一方面也会给国家和人民带来巨大的经济损失。总而言之,完全可以看到网络安全问题可能给国家、人民以及社会发展带来的影响是非常大的,我们完全有必要在认识到这些安全隐患的基础上做好防范工作。
2.1 安全漏洞
任何一款软件在上市之前都必然会存在着某些方面的漏洞,我们可以认为,几乎没有一款软件是能够完全没有漏洞的,甚至要对这样一些漏洞进行修复都是特别困难的。这其中最为典型的一种状况就是缓冲区溢出,一旦被黑客发现就容易被利用,最终导致更大安全漏洞的出现。对于一些既不检查缓冲区间变化也不检查程序运行状况就开始进行数据接收的电脑而言,其溢出的部分往往堆放在栈里面,此时系统还处于执行命令的状态当中,这就无疑就给了黑客或者是病毒入侵的机会,只要缓冲区进行可处理命令的发送,系统就会相应的遭受到破坏,严重的时候黑客甚至还可能对电脑系统当中的根目录进行访问。除此之外还有一种相当典型的漏洞就是拒绝服务的攻击,其特点就是能够使得TPC/IP的连接次序发生变化,这样一种变化就会相应导致系统内存以及磁盘空间等系统资源的破坏,最终使得整个系统都无法正常进行工作。
2.2 合法工具的滥用
在绝大部分的电脑系统当中,都会有改进服务和管理的软件,这样一些软件本身是希望能够为用户提供更加理想的帮助,但在实际应用过程中也容易被破坏者们所利用,通过这样一些工具来进行非法信息的收集,最终对整个系统产生不良的影响和侵害。具体来说,如NBTSTAT这样一个命令本身是用来给管理员提供节点信息,但如果这样一个命令为破坏者所用就有可能是用来获取他人电脑当中的信息。与此类似的还有网包嗅探器,破坏者如果对其加以利用就有可能使得网卡变成功能相当复杂的设备,在这样一种状态和情形下同样可能对他们的电脑造成极大的威胁。
2.3 网络安全维护工作不到位
通过上文的说明与分析我们就可以看到,系统当中所存在的漏洞以及一些本来有利的工具给破坏者以及黑客们带来了极大的方便,这无疑是给网络安全的保障增加了无穷的隐患,基于此,管理人员一方面是要积极的探索和研究,努力发现系统当中可能存在的安全隐患,其次就是要在发现安全隐患以后及时有效的采取补救措施。而对于用户自身,主要就是要对自己的计算机进行实时维护,积极对软件进行升级,主动利用杀毒软件来进行系统的清理和病毒的查杀,积极做好电脑的维护工作。还需要考虑到的是防火墙本身的过滤规则比较复杂,因此在进行系统漏洞的查杀时往往会产生新的漏洞,所以需要及时主动的对漏洞进行必要的修补,做好网络维护工作。而一些低效率的设计,不仅是会让系统当中存在较多漏洞,还会导致系统危险性大幅增加,在这样一种状态下,系统不仅不能够很好的保证信息的安全性,甚至于系统当中所提供信息的准确性和真实性都很难一一确定。
3 计算机网络安全维护措施分析
3.1 安装杀毒软件
在连接到网络的计算机上,杀毒软件的安装与良好管理都是非常关键的问题,这不仅直接关系到整个网络维护工作的效率和质量,还将对整个网络的安全稳定性造成极大威胁。一般来说,一款比较好的杀毒软件应当能够在较短的时间内轻松顺利的安装到计算机上去,除此之外,还应当能够由网络管理员对其进行集中管理。正是因为这样,好的杀毒软件往往能够与操作系统本身的安全措施实现良好的结合,使其能够成为操作系统本身所具备的安全系统的一部分,这样才能够保证其以最佳的状态来为进行网络病毒的防御。当计算机上存在病毒对网上的应用程序进行攻击和篡改时,就会使得病毒存在于信息共享的网络介质之上,基于这样一种原因,就有必要在网关上进行设防,使得杀毒能够在网络最前端进行,这样能够得到最好的杀毒效果。除此之外,还应当结合网络病毒自身的特点来进行网络整体防范措施的选择,具体来说,在计算机的硬软件方面都需要进行设防,并对各种病毒都进行必要的过滤、隔离和设防。
3.2 进行安全加密
安全加密是现代网络安全的重要实现方式,其设置的主要目的就是希望能够防止和避免合法接受者之外的人获得重要的信息,其设置的基本原理可以阐述如下:通过一定的算法来将用户所输入的密码转换成为无法直接看出规律且没有任何意义的密文,通过这样一种方式就能够阻止非法人员理解用户的原始信息,这样就能够相当好的保证信息的安全性和保密性。在此过程当中,明文转换为密文的过程称之为加密,密文转换为明文的过程称之为解密,这样两个过程涉及到的算法都是密码算法,密码算法当中所涉及到的各种加密解密可变参数就称之为密钥。在实际的应用过程当中,通过可以根据加密密钥和解密密钥之间的关系将密钥划分为对称密钥加密体制和非对称密钥加密体制。
3.3 设置口令
在计算机网络安全控制过程当中,口令的设置主要是希望能够良好的控制对系统的访问,这样一种安全措施不仅是防止黑客入侵的有效方式,同时也是目前环境条件下应用最为广泛的一种安全措施,对于一些没有设置口令的系统,最好是能够及时的进行设置,这样才能够及时有效的防止黑客和病毒侵入到系统当中去。在口令设置完成以后,就需要用户在输入用户名和口令之后才能够对系统进行有效访问,这样一种控制措施就能够控制和避免其他人员登录到系统当中来窃取资源,这是一种有效形式。除了上述形式之外,口令的设置还可以通过对文件设置访问权限来保护重要的机密文件,防止他人窃取或者操作机密文件。在进行电脑口令的选择过程当中,一般需要注意以下几个方面的内容:一是口令本身最好是能够超过六个字符,这样一种要求能够明显提高口令的作用效果和实际安全性;其次就是口令要注意多样性,不能够过于单一,一般可以由数字和字母共同组成;最后还可以通过不时的变换口令来防止口令被盗。一般情况下,口令是能够获得非常好的效果的,系统本身不会泄漏口令,但当整个系统处于网络当中以后则会导致口令容易被窃取,正是因为这样,在网络环境下一定要注意和采取安全措施。
3.4 防火墙技术
防火墙由软件和硬件两个大的部分组成,一般来说,防火墙主要是负责将内部网络与互联网进行分离,这样既能够保证内部的资源和信息不受到入侵,也能够最大程度的保证内部资源和信息的安全性。在防火墙当中,一般是通过互联网和内部网络的数据流量来对这两者进行控制,保证内部系统内的资源能够流到互联网当中去,与此同时保证无害的互联网数据流入到内部网络,这样一种模式和状态都能够保证流量控制的安全性。除此之外,防火墙还可以通过数据流量漏洞的修补来保证内部系统的安全稳定性。总而言之,防火墙在防止互联网攻击上是非常有力和有效的,在实际的应用过程当中具备非常好的表现,但与此同时防火墙也还存在着一些方面的缺陷,主要表现在不能够对已被破坏的系统予以防范和处理,也不能够对新出现的漏洞和病毒进行防范和处理。
4 结束语
通过上文的说明和分析我们就可以看到,计算机网络的日常安全以及维护措施都是涉及面广、影响因素多的综合性课题,多方面的涉及管理、技术以及其他,通过本文的分析最终认为,网络安全技术以及网络安全工具的应用是提高计算机网络日常安全性的最有效方法。
参考文献:
[1] 高希新.浅析计算机网络安全与日常维护措施[J].中国科技信息,2009(18).
[2] 孙海玲.计算机网络安全隐患及有效维护措施分析[J].信息与电脑,2012(9).
计算机网络通信是指运用计算机和通信技术相结合而正常运作的一种新兴通信形式。它能够把处于世界各国不同地方的多台计算机系统通过互联网连接起来,通过配置相应的软件来达到资源共享的目的。按照国际上对计算机通信安全的定义,计算机信息安全性主要指的是信息的可靠性、保密性、可用性以及完整性。计算机通信网络能够给信息的获取、利用和共享提供安全的传输通道以及高效的通信环境。而网络信息安全就是防止互联网传输信息时被不法分子盗取利用,避免对个人或者企业的利益造成损害。
二、计算机通信网络的安全现状
虽然当前我国计算机通信网络已经得到了广泛的应用,受到现实生活中各行各业的个人和企业的青睐,但是仍然存在很多网络安全问题。例如,在实际社会生活中计算机通信网络工作人员的技术水平参差不齐,而计算机网络安全技术又是重中之重,需要通过系统地学习才能够真正地培养出具有高技术的计算机人才。但是实际情况中,从事该行业的人员并非全都是通过专业知识学习的,导致计算机通信安全人员技术水平参差不齐。如果这问题不能及时解决就很容易给计算机通信安全带来漏洞,甚至导致整个系统变得混乱不堪。其次就是管理机制不到位等问题比较突出。因此,计算机通信安全现状仍然存在很多问题,需要我们采取有效的安全防范措施。
三、维护计算机通信安全的重要性
计算机通信安全的重要性随着使用人群的不同而不同。对于普通的个体而言,可能只希望自己的个人隐私在使用计算机通信传输时不会被人窃听、篡改。而对于网络提供商而言,除了关心这些网络信息安全外,还要考虑自然灾害、军事打击等突况对网络硬件的破坏,以及计算机安全通信运用过程中出现网络异常状况时要如何保持网络通信安全性和连续性。对于企业而言,数据通信网络的稳定性决定了通信数据的安全性,这不仅影响着企业自身的发展,同时还决定其在整个行业市场中的竞争力。所以,维护计算机通信安全对个人、企业甚至是国家都是非常重要的。
四、计算机通信安全存在的隐患
(一)计算机网络病毒
对计算机网络通信安全攻击手段之一就是网络病毒,它没有明确的攻击目标,而是像传染病一样不断地蔓延传播在整个计算机网络中。只要计算机进行联网,就有可能遭受到计算机网络病毒的入侵,给人们带来极大的心理阴影。计算机病毒具有传播广、扩散速度快、侵害能力强的特点,可以说是无孔不入。一旦感染上计算机病毒,轻则使计算机的网络工作速度减慢、效率降低;重则使计算机网络崩溃导致瘫痪,计算机网络完全不能正常工作导致系统的信息或者是数据丢失。给个人或者公司的利益造成极大的损失。
(二)设计系统和检测能力的不足
计算机网络通信系统安全的保障是一个比较复杂的过程,如果不重视对用户的信息保护那么设计出的系统就不能抵抗复杂的攻击,导致系统不安全。因此,要从底层入手建立一个安全的计算机框架,从实际考虑网络系统整体的安全性,提供具有实际效果的安全服务,优化系统结构的安全性和加强安全问题的检测能力。由于在系统设计中对用户安全信息考虑不周,导致计算机通信安全系统检测能力低,不能够抵抗安全问题的攻击,不利于解决计算机通信安全问题。
(三)计算机通信安全漏洞
软件开发和研究的日益更新,新的问题也不断地产生,计算机安全新漏洞也不断地出现,所以处理这种漏洞就会显得相对复杂。尤其是缓冲区方面的漏洞,计算机黑客很容易对此漏洞进行攻击运用。由于有些计算机系统不对缓冲区检查验证,就直接进行数据传输把部分超出的东西堆起来,但是系统并没有完全关闭还在实施命令,如此给破坏分子和病毒增加了侵入的机会。这样,破坏分子只需对着缓冲区的端口进行指令,计算机系统就会受到攻击而损坏,之后这些不法分子就可以对被侵电脑根目录进行浏览。
五、计算机通信安全的维护措施
(一)使用正规的杀毒软件
计算机的杀毒软件主要就是针对计算机网络病毒研发的,主要功能就是监控识别、扫描网络病毒以及清除病毒等,以达到彻底清除计算机网络病毒提高计算机对病毒的抵抗能力和安全。例如,常用的杀毒软件有360安全卫士、金山毒霸、卡巴斯基等。对于这些正规公司出品的软件,用户在使用时只需经常扫描、杀毒并且定期更新病毒库就可以有效地保护计算机网络通信的安全。这样不仅操作简便,而且效果显著,一旦有病毒入侵,杀毒软件可彻底清除。
(二)提高计算机的网络防火墙技术
软件和硬件是防火墙两个层面。防火墙的实际效果就是可以把内外部的网络进行很好地划分,从而更好地保护内部资源。在使用计算机网络时,加强防火墙的设置实现对网络的实时监控,一旦出现网络安全问题时就会发出报警。网络防火墙是由计算机网络安全管理人员操纵,在使用防火墙时计算机管理者应当记录好相关重要信息,否则管理人员就不能及时发现计算机存在的安全隐患。
(三)积极宣传安全教育,提高计算机通信安全人员的素质
随着计算机的普及运用,我们要从根本上认识计算机通信网络安全的重要性,积极宣传计算机通信网络安全教育工作,提高计算机通信安全人员的整体素质。计算机网络安全管理人员的素质对于计算机网络安全运行是非常重要的要求。计算机网络安全管理涵盖计算机正确使用知识、计算机网络安全管理系统、网络管理人员素质及网络安全管理条例等方面。其次就是对计算机网络管理人员进行素质教育提高管理人员的网络安全意识,增强他们对计算机网络安全维护方面的能力;制定相关的网络安全管理制度,对于破坏计算机网络安全的工作人员要严格惩罚、决不可轻易放过,同时也要提高人们对维护计算机网络安全的意识。
(四)关掉非必要端口
通常计算机网络用户在使用过程中为了获取计算机更多的功能运用,常常会打开比较多的端口,而计算机网络不法分子通常入侵用户计算机时都会扫描计算机端口,这样就会给网络不法分子提供更多的机会。因此,对于一些非必要使用的端口我们应将其关掉,结合实际计算机的运用打开必要端口,以保证计算机通信网络的安全性。其次,在使用计算机过程中我们应安装相关的计算机端口监控软件,监控和保证计算机端口的安全性。
(五)规范操作和完善审核制度
相关部门对于网络的建立和使用,要严格审核切不可放松;管理部门要严格根据执行制度把好相关工作,防止不法分子进入。其次,对计算机通信网络的开设、调整以及关闭,要依法严格执行保证密码技术在网络技术的主要地位。
六、结语
关键词:关键词:计算机网络;安全隐患;维护措施
中图分类号:TP393 文献标识码:A 文章编号:
计算机安全,国际标准化委员会(ISO)定义为:“为数据处理系统和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”而互联网是一个对全世界开放的网络,任何人或单位、组织都可以利用网络,传输或获取信息。因此,计算机网络可以面临的环境复杂,而且不能进行实实在在的监控,因此可能遭受的攻击有多方面,计算机网络安全问题值得重视。
1.计算机网络的安全隐患
计算机网络的安全隐患产生的主要原因是个人或组织为谋取自己的某些利益或好处,而采取病毒入侵或黑客攻击等方式,故意损害他人的利益。经分析,计算机网络主要存在的安全隐患有:
(1)非法访问
非法访问是指访问者通过扫描器、黑客程序、隐蔽通道、远端操纵、密码攻击等手段,如果内部人员还通常会采取网络窥探器搭线窃听、口令攻击的方法,以窃取用户名、用户口令、用户电话号码、超级用户权限,来破解对方已加密的信息,窃取或破坏和修改文件数据,甚至设置非法程序,致使对方服务器瘫痪。
(2)计算机病毒
计算机病毒并不是指医学上所说的“病毒”,它不是客观的存在实体。根据《中华人民共和国计算机信息系统安全保护条例》的定义,计算机病毒是指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有繁殖性、传染性、潜伏性、隐蔽性、破坏性、可触发性等特点。如果按照病毒存在的媒体不同来分,计算机病毒可以分为网络病毒、文件病毒、引导型病毒三类。其中网络病毒是指通过计算机网络传染网络中的可执行文件。在计算机病毒中,还有一种较为厉害和常见的,称为程序病毒,也称特洛伊木马病毒。其破坏方法是计算机编程人员故意编制一种病毒程序,将此安装在正常程序中,如果用户在不知情的情况下点击了该程序,那么附加在正常程序之中的病毒程序就会被激活,开始运行,达到破坏攻击目的,甚至导致计算机瘫痪。
(3)网络漏洞
网络漏洞是指计算机在硬件、软件、协议或系统安全策略上存在缺陷,从而使攻击者在未经同意的情况下访问和破坏系统。在校园网络中经常出现这种安全隐患,其原因主要是校园网络系统的服务器的操作系统安全风险级别不高,以及系统的管理员专业性不够,对系统不了解,安全设置不当,造成系统存在漏洞。就像家里的后门被打开一样,入侵者很容易利用工具或手动猜测服务器的服务命令来读取、修改和删除相关的教学资源。漏洞严重的甚至还会成为黑客的首选目标。
(4)网络诈骗
网络诈骗是一种新型诈骗手段,是指一些违法犯罪分子为了某一目的而在网络上采取各种方式进行诈骗,非法牟取他人财物。互联网的普及,不仅给人们生活带来各种便利,同时也催生了各种新的诈骗手段。任何人都可以自由使用网络,导致了网上诈骗案件日益增多,手法也层出不穷,造成的社会危害越来越严重。据调查数据表明,目前消费者有四分之一的几率遭受网络诈骗,成为网络受害者,其中以20至30岁的人居多,尤其是学生。目前,网络诈骗常见的手段有:第一, 发送电子邮件,以虚假信息引诱用户 ;第二,利用qq,骗取情感,步步引诱,如网恋;第三,建立虚假网站、网址套取用户密码;第四,在知名网站虚假商务信息进行诈骗;第五,破取用户口令窃取资金;第六,利用病毒和黑客技术窃取用户资料。
2.计算机网络安全的有效维护措施
2.1设置安全密码
其实,在计算机发展之初,计算机编程人员就已经预测到计算机网络可能存在的安全隐患,想出了对计算机系统中存储的信息、数据和网络上传输的信息进行加密的方法。随着计算机的发展,计算机网络加密技术已经越来越成熟了。用户要填写用户名、密码、验证码才能进入网站,现在一些银行、通讯等涉及用户金钱和重要利益的网站甚至采用验证码、密码与手机相连的方法,把验证码发送到手机,用户要知道手机信息上的验证码才能进入相关网站。而在用户方面,用户尽量不要用生日日期、电话号码、身份证号码等简单、易被破解的密码,密码应该有数字、英文大小写字母、特殊符号等不同的组成,并且定期更改密码,以保证网络安全。
2.2访问控制技术
针对非法访问问题,要采取的维护措施主要是访问控制技术,保证网络资源不被非法访问和使用。目前主要的访问控制技术有入网访问控制、网络权限控制、目录级控制和属性控制。入网访问技术是访问控制的第一层保护,主要是控制用户,只有合法的用户才能登录到服务器,获取相关的资源。其步骤可以分为用户名识别和验证、用户口令识别、用户账号的检查三关。只有三关都通过了,用户才能进入该网络。网络权限控制是访问控制的第二层保护,用户只有一定的权限,可以访问某些目录、子目录或文件等,而不能访问所有的资源。目录级安全控制是指网络允许用户访问目录、文件,还可以根据指示进一步地对下一级别的目录和文件进行访问。而这些访问的权限有系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限八种,网络管理人员根据不同的用户给予不同的权限。属性控制是更高一级的安全保护,管理员事先对网络资源设置不同的安全属性,不同用户对应不同的网络访问控制表,以表示用户对此网络资源的访问能力,指定不同的访问权限。
2.3 防火墙技术
防火墙技术是指计算机的软件和硬件组合,在内部和外部网络、公用和私用网络之间建立一个安全网关,以避免非法用户侵入内部网。一般的防火墙主要有四部分:服务访问政策、验证工具、包过滤、应用网关。这四个部分组成一个坚硬的屏障,所有的流入流出数据、通信都要经过这道屏障,从而有效地保证了用户的安全。
2.4 杀毒软件
杀毒软件是专门针对计算机病毒的,通过监控识别、病毒扫描、消除病毒、自动升级等步骤进行病毒的清除,从而提高计算机的防御能力。目前常见的杀毒软件有金山毒霸、瑞星、360安全卫士等。用户所要做的就是要经常对计算机进行的扫描、杀毒,定期升级和更新杀毒软件,以确保计算机的安全。
2.5 资料备份
由于计算机网络病毒传播快,隐蔽性高,不易被发现,而且计算机还会遇到人为破坏、设施故障等问题,因此,最保障的安全维护措施还是要对资料进行备份存储。如重要的文件资料,在电脑存储之后,要养成发送一份给自己的邮箱和拷贝一份到u盘的习惯。只有防患于未然,做好两手准备,当故障发生时才不会手忙脚乱。
3. 结束语:
计算机网络存在各种安全隐患,有技术自身发展不足问题,也有人员自身问题。因此,我们应该针对各种情况,采取多种有效的维护措施,提高防范意识,进行多方面的安全防范。只有这样,才能使自己的计算机网络得到安全保障,从而保证自己的利益。
参考文献:
[1] 罗中剑. 计算机网络安全与预防策略[J]. 齐齐哈尔师范高等专科学校学报, 2011,(6)
[2]周彬.探讨计算机网络存在的安全隐患及其维护措施[J].电脑知识与技术, 2012, 08(9) .
一、数据通信网络与网络安全的涵义
1.数据通信网络。数据通信网络就是指通过电话、电缆或光纤等信息传输通道进行计算机和客户端之间数据的相互传递,通过网络实现对信息的客户共享,客户可以对搜索或接收到的信息进行处理、更改和打印。数据通信网络根据不同的地理位置可分为局域网、广域网和国际网。一般的单位、企业或者学校都是建立的局域网来传递信息,局域网的覆盖面积较小,但网络较为稳定,便于企业或学校进行内部的管理,也有利于信息的加密。广域网的覆盖范围大约是一个城市,辐射范围较大,便于城市人的信息搜索。国际网就是我们统称的“上网”,因特网早已成为大多数现代人日常生活中不可分割的一部分。由此可见,数据通信网络与我们的生活息息相关。
2.网络安全。随着因特网和计算机网络技术的发展,人们利用网络传递的信息越来越多,网络安全也逐渐成为客户更加关注的重要问题。众所周知,网络是由很多个节点和服务器终端构成的,信息和相关数据的传递应当受到保护。网络安全就是指保护传递的数据不受泄露,网络系统能连续运行。网络中传递的很多信息应当是私密的,是无法对外共享的,尤其是企业的网络更怕受到不明黑客的攻击。企业的数据通信要尤其注重网络安全和网络维护,以防外人盗取企业的商业机密。
二、数据通信网络维护之我见
在当今的信息时代,数据通信网络对于国家和个人的发展都有着重要的战略意义,维护数据通信网络的稳定性也有着不可替代的现实价值。
数据通信的网络维护主要是维护数据通信网络的安全性和稳定性,保证数据通信网络的正常运行,预防网络瘫痪现象的发生。维护数据通信网络是一项长远的工程,虽不能直接为企业带来经济效益,但却是企业长足发展的重要保证。提升数据通信网络的稳定性有助于数据通信效率和准确性的提高,能帮助企业赢得长足竞争力,推动企业自身的发展。
三、注重网络安全,加强数据通信网络管理
1.对当前数据通信网络的安全性进行科学评估。要确保数据通信网络的安全性和可靠性,首先需要技术人员构建完整的数据通信平台,并对当前网络的安全性进行科学评估。技术人员应当根据数据通信网络的使用要求和评估方式,全面细致的依照网络环境进行安全调整,对潜在的用户群和传输信息源进行安全识别,全面掌握数据通信网络的现状并对当前的安全性进行分析。
2.分析数据通信网络存在的安全隐患。网络安全的维护主要是对数据信息的真实性和准确性进行安全确认,防止计算机终端和信息网中的软硬件设备遭到破坏,防止数据通信网络的IP地址遭到恶意攻击,保证数据库中信息的保密。技术人员应当在对数据通信网络安全性科学评估的基础上细致排查安全隐患,通过设置网管限制、设置防火墙等方式对系统漏洞进行完善,避免不明非法用户的侵入,减少数据通信网络存在的威胁和风险。
3.制定相应的预防数据通信网络威胁的措施。通过对数据通信网络进行安全评估并分析安全隐患,技术人员可针对性的制定相应的措施,维持数据通信网络的稳定性。
四、结束语
在全球信息技术和计算机网络技术不断发展的大环境中,数据通信与网络内容也得到了大幅度的丰富,数据通信已经成为当前通信方式的重中之重。因此,不论是从基础概念上还是实际应用中,网络安全都是当今时代重要的研究课题。随着数据通信和网络技术的快速发展,保证数据通信的安全性和准确性尤为重要,仍需创新性的采取多种方式维护当今网络安全,给众多用户提供一个安全稳定的网络通信环境。
参考文献
[1]高宏杰.浅析数据通信交换方式及其适用范围[J].民营科技,2010(2)
[2]李琳.计算机网络数据通信系统构建技术[J].硅谷,2010(9)
关键词:网络经济;安全;现状;策略
中图分类号:G64 文献识别码:A 文章编号:1001-828X(2015)017-0000-02
信息化时代造就了网络经济的蓬勃发展,其具备的直接性、边际效益递增性、可持续性等特点直接促进了新型经济关系与经济形态的发展。但是由于网络经济是依托计算机网络而诞生和发展起来的,计算机网络天生具备的安全缺陷使得网络经济在这一核心媒介下面临严重的安全威胁。网络经济信息安全已经成为阻碍网络经济繁荣发展的一大屏障,通过技术层面、舆论层面乃至精神层面的措施保障网络经济信息安全亟待落实。
一、网络经济安全的内涵与现状
(一)网络经济安全的内涵与范畴
网络经济安全是维护网络经济平稳健康运行的一系列安全措施集合及其状态。从内容上看,网络经济安全是两种安全的有机结合:网络安全与经济安全。网络安全是指在两个实体之间保证信息交流以及通信的安全可靠,满足计算机网络对信息安全的可用性、完整性、保密性、真实性、实用性和可维护性等的要求。经济安全则是基于基本经济运行规律和守则,保证经济行为的合法性与合理性。经济安全是核心,网络安全是保障,两者在网络经济发展的进程中不断融合,形成了具有独特特性的经济形态安全概念。从范畴上看,网络经济安全包含多个层面的安全:如国家网络经济安全与区域网络经济安全、基于全产业链的网络经济安全与企业网络经济安全、电子商务经济与网络广告经济、网络经济从业安全与网络经济支持安全、网络金融安全与网络财税安全等。不同范畴的网络经济安全拥有不同的安全措施体系与安全理念,但核心思想都是维护网络经济的整体秩序与环境。
(二)我国网络经济安全的现状
伴随着实体经济的发展,网络经济的规模与质量也逐年提升。中国网民的规模世界第一、国家域名注册量世界第一、网络购物应用位居中国十大网络应用之一、电子商务已经深入到每个人的日常生活之中……种种表现都预示着网络经济繁荣的成果与势头。但是在繁荣的背后,因为安全措施的不到位、安全观念的落后、安全机制的缺失所导致的网络经济安全缺少保障的案例时有发生。尽管部分企业针对资金安全、信息安全等采取了较好的安全措施,在硬件配置、软件开发、信息传递等方面提供了较好的安全保障,但广大的中小企业在安全领域的忽视与不作为,以及日趋恶化的网络总体环境却掩盖不了网络安全形势的严峻。资金流失、信息盗取等不同形式的网络经济犯罪行为层出不穷,严重威胁着从企业到群众,从国家到区域的网络经济安全。
具体而言,我国网络经济安全还存在以下几个问题:一是缺少顶层设计与系统规划的意识,网络安全缺乏整体和高层的战略目标、战略重点、战略举措的规划,这就导致网络经济安全无法上升到国家战略层面的安排和构想;二是安全产品和设备的技术不过硬。这是网络经济安全犯罪高发的技术层面原因,也是直接影响网络经济健康可持续发展的关键要素。这与国家整体安全技术研发水平较低和人才培养机制不健全有着紧密的联系;三是经济信息保密程度不够或法律层面界定不清。这和问题背后也隐含着另外两个更重要的问题:即公众网络安全意识不够,以及网络安全法律不健全。四是网络安全产业链整体互动不健康。目前网络经济及其安全各个环节还缺少良性互动,上下游企业合作松散,缺乏规范的约束手段,既影响了各自和整体效应,也使网络经济风险有机可乘[1]。
二、网络经济安全的应对策略
(一)加强基础设施保障体系建设
基础设施是网络经济安全的基础,是维护网络经济秩序,促进网络经济健康发展的外在保障。这里的基础设施不仅仅指的是安全硬件设备的研发与装备,同时也囊括安全机构的设立与协同合作、安全等级保护等相关制度的制定与执行两个部分,安全硬件设备的研发与装备是实现网络经济安全的物理保障,国家有关部门、企业等单位要在互联网接入、服务器使用、安全软件应用等方面提高安全警戒级别,谨防存在安全漏洞的安全产品进入信息流通的环节,造成信息泄露和安全威胁;安全机构的设立与协同合作强调政府部门在网络经济安全上的责任与行动部署,通过建立快速准确的预警机制、信息机制和处理机制,建立国家层面的协调应急机构与部门层面、地方层面的分支机构,构筑起维护网络经济系统安全的防范体系;安全制度的建立是从隐形视角出发构建维护网络经济安全的无形的力量。例如病毒防治制度、网络消费者权益保护制度、网络安全等级保护制度等。制度可以增强行动的执行效率,明晰权责分配,增强规范的灵活性和可操作性,弥补法律法规在操作层面的不足。
(二)完善信息网络法律法规体系
网络经济安全必须依靠法律法规的健全以抑制网络经济犯罪行为。我国目前的信息安全法相关法规主要有八部,包括《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》等,这些法律用于规范信息系统或与信息系统相关行为,同时国务院也下发《关于加快电子商务发展的若千意见》,针对电子交易过程、市场准入、用户隐私保护、信息资源管理等多方面现实问题进行规范和引导。立法部门应针对网络经济安全领域制定专门的法律,用于保障网络经济运行全过程环节的安全,同时也应积极融入国际经济信息安全法的制定过程中,融入国际性网络经济安全体系。
(三)建立网络安全人才培养机制
目前我国计算机安全人才培养已出具规模,在部分高校也成立了专门的计算机信息安全研究机构。这些机构在人才培养、科学研究等方面也已经取得了较好的成果,为我国的信息安全领域培养了数以万计的专业人才。但是目前网络安全人才培养缺乏层次性和系统性,国家应注重独立自主的网络经济信息安全技术人才培养体系的建设,通过科研型单位、工程型单位和应用型单位,立体式的培养网络经济安全人才。此外,监狱网络经济安全的复杂性,高等学校也应注重培养法律、经济、互联网领域的复合型人才,以应对网络经济安全不断出现的新挑战。
(四)拓展网络安全文化传播渠道
网络安全应该是一种全民意识。现有的网络安全宣传多是安全厂商和专业安全机构在利益的驱动下进行,企业和普通网民在这一宣传潮流中往往处于被动地位[2]。这就说明我国公众网络安全意识还未形成,社会也远未形成网络安全文化氛围。一方面与我国正处于网络社会的初级阶段之现实有关,另一方面也与我国网络安全文化的宣传机制和渠道落后有关。我国网民虽位居全球第一,但网民的总体素质却处于较低层次,网络安全文化无法通过有效渠道对外传播,即使存在若干传播渠道,却因传播方式、传播机制的不当而收效甚微。
网络安全文化主要包括网络安全知识、网络道德教育等内容,针对网络经济安全方面的内容则更细化,如网络经济安全基本常识、网络经济的运行模式、网络经济道德等。网络经济安全文化氛围的形成,就需要通过不同的渠道向公众传播相关知识。现有的传播渠道仅限于网络经济运营商的安全操作说明、国家有关部门和安全协会的安全操作公益广告、新闻传播主体制作的网络经济安全节目等,这些传播手段在促进网络经济安全普及化的进程中起到了重要的作用,今后网络经济安全文化的传播渠道应把握“全民化”的脉络,增加自媒体、流媒体、新媒体的传播分量,注重拓展宣传形式,扩展和精细化宣传内容,让更多的人认识和接受网络经济安全文化。
参考文献:
关键词:网络入侵;计算机网络防范措施
中图分类号:TP393.08文献标识码:A文章编号:1673-0992(2010)07A-0076-01
一、 常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造IP包,或者,通过伪造IP地址、路由条目、DNS解析地址,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。从而导致软件崩溃甚至系统崩溃。
3.过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。
二、网络安全的防范措施
1.加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2.网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3.安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4.网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊,2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
[关键词]网络安全;建筑智能;系统;研究 文章编号:2095-4085(2015)11-0047-02
1设计的相关原则
1.1易操作性
安全措施完成的主体为人,若安全措施要求高且步骤复杂,本身安全性就会降低。并且安全措施执行过程中,系统正常运行会被额外消耗系统资源等问题影响。
1.2动态发展
安全措施需以网络安全的具体变化为依据不断的更新调整,以较强的适应性去面对新的安全需求和网络环境。
1.3等级性
具体指的是安全级别以及安全层次。完整的网络安全系统要能对不同层次的各种具体需求提供服务,因此,需有不同的等级。具体有系统实现结构等级划分,链路层、网络层、应用层等;网络安全程度的等级划分,安全区域、安全子网,此外,还有用户操作权限、信息保密程度的等级划分等。
1.4统筹兼顾
在攻击手段不断进步,时间、条件、环境不断变化,服务需求、政策规定不明确等因素的影响下,安全防护要想实现一步到位存在一定的难度。第一步应做基本安全体系的构建,其重要前提是全面的规划,对实际需求进行了解,保障基本的安全。在今后的工作中,根据实际的变化要求,对安全防护力度进行改善和强化,为根本安全需求提供保障。
1.5管理与技术结合
安全体系这一系统工程涉及到的要素有操作、技术、人员等,比较复杂,仅凭管理或者技术都不能很好的完成,必须有效的结合安全规章制度建设、人员技术培训与思想教育、运行管理机制与安全技术等要素。
1.6一致性和标准化
应以相关的标准为参照设计安全体系,提高设计规范性,保证分系统一致性,提高信息共享、互联互通等行为的安全性。
1.7评价与平衡
在任何网络中都难以实现绝对的安全,对代价、风险与需求之间的关系进行正确的处理,组织上能够执行,可用性与安全性相容是安全体系设计需要考虑的问题。评价网络安全是由具体应用环境以及用户需求决定的,其衡量指标与评判标准并不是绝对的,具体的决定因素为网络重要程度与性质,网络范围与规模。
1.8整体性
设计应包含安全恢复机制、安全检测机制、安全防护机制,在出现破坏与攻击事件时能够确保网络核心服务的迅速恢复,将损伤降低到最小。安全防护机制是防止非法攻击的措施,其建立基础是具体存在的安全威胁。安全检测机制是对系统运行进行检测,从而能够及时发现攻击并及时制止。
1.9木桶原则
最短木板的长短对木桶容积具有决定性作用,应用于网络安全意在诠释其保护的均衡与全面。系统安全脆弱性是管理、操作、物理上各种漏洞的作用结果,资源的共享性、系统的复杂性都增加了技术保护的难度。根据最易渗透性原则,攻击者所攻击的必然是系统最薄弱的环节。因此,在设计时应首先完整、全面、充分的分析系统存在的安全威胁与安全漏洞。
2安全体系的建构
安全体系的建立应分为安全保护对象平面、安全服务平面、安全协议层次平面。 安全保护对象平面明确了网络实体与传输数据两大类重点保护对象,每一类都将具体保护对象包含其中。安全服务平面是对3.5节安全目标要求的安全服务进行定义,多种安全服务可由每一协议层实现,多个安全协议层次可由每一类服务跨越。以建筑物中智能化系统所要求的安全防护为标准,为了实现对成本的控制以及对资源浪费的减少,安全服务需适应满足其要求。在安全协议层次平面中,从不同层次对网络中的威胁进行分析,将ISO/OSI协议七层模型设定为参考物,分析探讨其中的安全服务,并对安全机制进行研究。公证机制、鉴别机制、数据完整性机制、访问控制机制、加密机制等是比较常见的安全机制,每一项都具备具体的安全技术,以加密机制为例,其中就含有数据加密算法如RSA、AES等。安全服务、安全机制之间联系紧密,某种安全服务能够通过一种或组合多种安全机制实现,如单独或联合数字签名、加密机制能够实现完整。
【关键词】计算机网络安全网络威胁
AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.
Keywordscomputer;network security;precautionary measure
一、网络安全的定义及内涵
1、定义。网络安全从其本质上来讲就是计算机网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全措施是指为保护网络免受侵害而采取的措施的总和。
2、内涵。网络安全根据其本质的界定,应具有以下三个方面的特征:①保密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的保密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息不外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶性攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容,接受者无法否认所接收的信息内容。
二、网络自身特性及网络安全发展现状
网络信息自身具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性,网络操作系统的漏洞及自身设计缺陷等,网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。现在越来越多的恶性攻击事件的发生说明当前网络安全形势严峻,不法分子的手段越来越先进,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
三、网络安全解决方案及实例分析
要解决网络安全,首先要明确我们的网络需要实现的目标,一般需要达到以下目标:①身份真实性:对通信实体身份的真实性进行识别。②信息保密性:保证密级信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法用户对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机制,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
为了最大程度的保证网络安全,目前的方法有:安全的操作系统及应用系统、防火墙、防病毒、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件往往是无法确保信息网络的安全的。图1是某一网络实例的安防拓扑简图,日常常见的安防技术在里面都得到了运用:
1、防火墙技术。包括硬件防火墙和软件防火墙。图中的是硬件防火墙,一般设置在不同网络或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,市场上的防火墙种类繁多,它们大都可通过IE浏览器控制,可视化好,易于操作,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,无法防范数据驱动型的攻击。
2、防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防病毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。一般公司内部大都采用网络版杀毒软件,病毒库联网升级,管理员可通过系统中心制定统一的防病毒策略并应用至下级系统中心及本级系统中心的各台终端,可实施实时监控,主动防御,定时杀毒等功能。但实践证明,仅依靠一款杀毒软件,一种策略,并不能完整的清除所有病毒,有时需要制订不同的安全策略或与另外一款杀毒软件同时使用方可,此时需要具体情况具体分析。
3、入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4、安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
5、网络主机的操作系统安全和物理安全措施。操作系统种类繁多,而Windows因其诸多优点被普遍采用,但Windows存在诸多漏洞,易于被攻击,因此需要定期进行更新。北信源补丁分发系统通过定时探测各终端的补丁数,自动给各终端打上补丁,较大程度的避免了因系统漏洞导致的信息安全问题。安全系数要求高的网络,有必要对其进行物理隔绝,采用专用软件控制各终端的外设,对各终端操作人员进行身份验证等等。
6、安全加密技术。分为对称加密技术和不对称加密技术。前者是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥;不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。加密方式有硬件加密及软件加密,其中硬件加密又有信道机密和主机终端加密等。
7、网络安全应急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。应该随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全应急响应体系,专人负责,防范安全事件的突然发生。
总之,网络的第一道防线防火墙并不能完全保护内部网络,必须结合其它措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施,按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机制构成的整体安全检查和反应措施。
四、小结
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,单一的技术是不能解决网络的安全防护问题的。随着信息技术的不断发展,各行各业信息化建设的脚步也越来越快,计算机技术和网络技术已深入应用到人们生产生活的各个领域,各种活动对计算机网络的依赖程度也越来越高。增强人这一主体的安全意识,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,才是最有效的防范措施。
参考文献
[1]胡道元,闵京华.网络安全(2版).北京:清华大学出版社. 2008(10)
[2]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01)
[3]胡道元.计算机局域网[M].北京:清华大学出版社,2001
[4]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001
关键词:无线网络;安全;RSN;802.1X
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)29-6527-03
1 概述
二十一世纪以来,中国的计算机网络获得了迅猛的发展。网络带宽不断增大,覆盖范围越来越广,网络的传输数据能力不断增强,接入用户数量也呈几何级数暴增。计算机宽带技术创新所带来的宽带产品线越来越宽,性能也有本质的提高。国产网络产品产业链初步完善,由计算机网络承载的各种网络应用如电子商务、云计算、物联网、电子政务、信息平台、网络游戏等产业蓬勃发展。与此同时,随着我国教育行业信息化的不断发展,计算机网络在校园内也逐渐普及。IEEE802.11系列标准的制定与持续完善,为无线网络发展奠定了基础。作为21世纪计算机网络的发展方向之一,无线网络获得强大的发展动力。无线网络不仅在公共场合,如机场、商场超市、城市广场、酒店等实现了网络信号的覆盖和接入,而且在越来越多的校园里,也实现了大面积的无线接入服务。计算机无线网络为学生们创造时尚前沿、个性飞扬、魅力四射的学习生活;为教师们提供了方便、快捷的网络接入服务。师生们摆脱了网络电缆的束缚,能随时随地、随心所欲在校园里上网。无线网络极大地拓展了校园师生们的自由度。
然而,世上的事物总是很像一把双刃剑,计算机无线网络在给师生们带来便利的同时,也带来了安全威胁。无线网络使用无线电磁波作为信息的载体,网络信号非常容易被窃听和干扰,这是由电磁波的传播特性所决定的。专家们指出,无线网络所面临的安全威胁将远超有线网络。对于无线网络安全性的担忧,已经成为无线网络发展的最大阻力。
2 无线网络面临的主要安全威胁
无线网络使用电磁波作为信息的载体,在电磁波覆盖的范围内,任何接入的用户,都有可能对无线网络进行窃听和干扰。据RSA数据安全有限公司(即EMC安全产品分公司,是全球著名的网络安全服务供应商)在英国的调查发现,百分之六十七的无线网络没有任何安全措施。另有相当一部分无线网络,虽然实施了一些安全防范措施,但是在面对网络攻击的时候,显得极其脆弱。
无线网络(WAN)所面临的安全威胁主要有以下几类。
2.1 无线链路容易侵入
无线网络遵守的802.11标准规定了两种无线链路的身份认证,开放式系统身份认证与共享密钥身份认证。开放式系统身份认证允许任何用户接入到无线网络中,不提供对传输数据的保护,所有用户都可以通过该认证。共享密钥身份认证需要接入方和AP之间配置同享的密钥,接入者使用密钥将一段随机字符串加密并发送给AP,接受AP的认证。两种身份认证方式,前者可以说毫无安全性可言;后者由于共享密钥的保密性差及容易被破解的原因,其安全性能也不足以信赖。
任何稍具一些黑客知识人,只需要很少的装备:一块无线网卡、一个黑客破解密码软件,就可以侵入到网络中,甚至获取一定权限,窃取敏感信息。
2.2 DHCP无赖攻击
大部分的无线网络的STA(Station,接入站点)IP地址参数是自动获取的,由合法的DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器提供。入侵者如果启用了非法DHCP服务,无线用户将有可能接受非法DHCP服务器提供的IP地址参数。这样,由于使用了错误的IP地址参数,合法用户将无法登陆无线网络,甚至于将敏感数据发送给入侵者,其结果将是灾难性的。DHCP无赖攻击的影响非常坏。这种攻击未必总是由入侵者发起,不明白网络原理或者粗心大意用户,可能在无意中发起了这种攻击。
2.3 MAC地址伪装
STA(Station,接入站点)向AP(Access Point,接入点)发起链路认证,所使用的凭据就是自身的MAC地址。无线网络可以使用MAC地址过滤的方式,将未经认证的MAC地址过滤掉,从而使得那些未经审查的STA无法接入到无线网络中。但是,STA的MAC地址可以使用一些第三方软件进行修改。入侵者如果能够获取到合法MAC地址信息,那么就可以据此更改自己的MAC地址,从而通过MAC地址的审查,获取对无线网络的访问权限。MAC地址伪装使得那些希望仅仅通过设置MAC地址过滤来防范网络攻击的努力变得毫无价值。
2.4 拒绝服务攻击(DOS)
攻击者恶意占用大量的无线网络资源,导致合法用户无法访问网络,这就是拒绝服务攻击。由于无线网络传输介质(即无线电磁波)的特性,无线网络非常容易受到拒绝服务攻击。攻击者使用与合法用户相同频率的电磁波,会使得合法用户的无线信号受到干扰,无法正常访问网络。攻击者也可以频繁地向AP发送非法身份验证请求,使得AP忙于处理这些请求,而不能迅速处理正常数据包。攻击者甚至可以直接使用专用电磁干扰天线,来发动对无线网络的攻击。拒绝服务攻击会使用户感觉网络很慢,甚至于无法上网。
2.5 拓扑变化导致管理困难
对不同的网络用户群体应用相应的网络访问权限,这是网络管理的基本理念。有线网络环境下,使用VLAN(虚拟局域网)和ACL(网络访问控制列表)很容易实现这个任务。无线网络环境下,由于客户端的移动特性,网络拓扑变化时时刻刻发生,网络的规划和管理难度增大。对不同的网络用户应用不同的网络访问权限,不再是一件容易做到的事情。在这种情况下,为了不牺牲安全性能,管理者要花费大量的时间和精力来维护无线网络。同时,在地理位置发生改变时需要重复认证,这也为用户带来不便。
3 主要应对策略
科技在进步,解决问题的办法永远比问题多。无线网络虽然面临诸多安全威胁,但是对于网络安全方面的人员来讲,可供选择的安全措施也很丰富。
3.1 应用RSN安全措施
作为第一代网络安全措施,802.11关于安全方面的策略是非常脆弱的。802.11的WEP密码的共享特征与RC4加密算法的缺陷(容易被破解),使得人们普遍质疑无线网络的安全性。所幸的是,IEEE()为了弥补802.11的安全功能,制定了802.11i。作为新一代的网络安全标准,802.11i受到各大无线网络设备生厂商的追捧。802.11i标准的密码非常不容易破解,并且对无线数据提供加密和完整性检验。这种新的安全体系应用RSN(Robust Secure Network,强健安全网络)安全技术,RSN提供AES高级加密算法和802.1X认证,打造了一个更加安全的无线网络,保证只有那些得到许可的无线用户才能够接入到我们的无线网络中。
3.2 应用动态密码
最安全的密钥是什么,答案是不断更新的密钥。在无线网络中,应用密钥管理协议,每过几分钟便更新数据加密密钥。即使是一流的黑客,对于这样的无线网络,恐怕也很难破解加密密码。即使破解了当时的加密密码,这个密码在接下来的几分钟内又失去了效用(密码更新)。
3.3 实现MAC地址过滤
通过将授权用户的MAC(Media Access Controller,物理地址)地址加入到无线设备的白名单,WIDS(Wireless Intrusion Detection System,无线入侵检测系统)可以通过检测无线信号的数据帧,将那些MAC地址没有列入白名单的用户数据丢弃掉,从而保证只有授权用户才能接入无线网络。入侵者可以使用软件伪装为合法的MAC地址,从而接入到网络中。这意味着MAC地址过滤不是一项毫无缺陷的技术。但是,作为无线网络安全立体防御体系的重要一环,MAC地址过滤减去了大量的无线网络安全威胁,可以免去无线网络的大部分麻烦。所以,MAC地址过滤依然有着重要的应用价值。
3.4 应用802.1X安全认证
为合法的用户提供灵活而又安全的认证,阻挡非法用户访问网络。这正是无线网络管理者所要做的事情。早期无线网络只提供基于共享密钥的WEP认证,这种认证方式被认为是不安全的,极易被攻击者破解。作为WEP的替代产品,WPA与之后号称WPA2的RSN支持基于端口的网络存取标准802.1X,它使用一种“客户端——服务器”模式,实现了对合法用户的安全认证,阻挡未认证用户对网络的访问。802.1X不再使用备受诟病的所有用户共享的认证密码,取而代之的是更为复杂和严密的认证体系(其初始加密密码是实时协商生成的)。面对设计精良的802.1X认证的无线网络,攻击者会觉得无处下手。
3.5 实施无线用户的安全隔离
无线网络使得用户可以自由地接入到网络中,但对于无线用户的管理却非易事。换言之,无线用户在拥有自由度的同时,也存在着相当大的不确定性。为了维护无线用户的隐私,同时避免无线用户之间提供一些“伪服务”,将无线用户进行安全隔离,便显得相当必要。使用安全隔离技术,同处于无线信号覆盖下的用户们之间直接的不安全的互相访问,将会被禁止。管理者可以在无线设备上轻松实现这一功能。
3.6 无线漫游降低管理难度,提高无线网络灵活性
由于无线网络终端的流动性,管理者难以对无线网络用户进行分组分层管理;同时,从一个区域到达另一个区域,无线用户们需要一次又一次地重新登录一个新的AP,这太麻烦了。无线漫游技术可以让管理方做到,无论终端用户处于哪个AP的覆盖范围下,依然可以处于同一个网络分组;无线漫游还可以让用户只要登录一次,以后就不要再次手工登录无线网络(无线漫游会帮你后台自动登录无线网络)。无线漫游是一项相当好用的技术,对于追求灵活性和安全性的校园网络环境来说更是如此。
4 总结
无线网络的发展呈现出蓬勃的生命力,网络安全与否将决定着无线网络是否还能更好的发展下去。对于校园来说,无线网络安全问题一样迫在眉睫,急需解决。构建一个立体的安全体系,应用最为先进和安全的安全措施,如RSN安全加密、802.1X身份认证、动态密码和MAC地址过滤等措施可以有效地保证我们的无线网络处于安全状态;而应用安全隔离与无线漫游可以让我们更方便地享受无线网络畅通无阻。
参考文献:
[1] 中国通信企业协会.2012~2013中国通信业发展分析报告[M].北京:人民邮电出版社,2013.
[2] 美国业余无线电协会.业余无线电射频干扰解决全方案[M].北京:人民邮电出版社,2013.