论文部分内容阅读
[摘要]计算机网络安全性是一个很复杂的课题,主要讨论网络安全的一些基本概念,分析计算机网络安全威胁产生的原因及方式,并提出计算机网络安全的防范措施,使广大计算机用户增强网络安全防范意识。
[关键词]网络安全 防范措施
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)0320027-02
网络改变了我们的生活和娱乐方式。网络在带给我们便利的同时,也给我们带来了烦恼:各种病毒的入侵,网络设备、操作系统、应用软件的安全漏洞,黑客们不择手段的侵入,都给网络用户带来巨大损失。这就需要人们采取有力的方法与措施,维护网络安全。
一、计算机网络安全概述
计算机网络安全主要指信息安全和硬件实体安全。数据信息是网络中最宝贵的资源,网上失密、泄密、窃密及传播有害信息的事件屡有发生。所谓计算机网络信息安全是指利用网络管理控制技术防止网络本身及网上传输的信息被故意的或偶然的非授权泄漏、更改、破坏,或使信息被非法系统辨认、控制。网络硬件实体安全是指保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
计算机网络作为重要的基础资源向客户提供信息,而建立安全的网络系统所要解决的根本问题是:在保证网络连通的同时,对网络服务、客户应用进行管理,以保证网络信息资源的正确性不受影响。网络信息安全有如下特点:(1)完整性:信息在存储和传输过程中保持不被修改。(2)可用性:授权实体有权访问数据。(3)保密性:信息仅允许授权个人和实体使用。(4)可控性:授权机构可以随时控制信息的机密性。(5)抗抵赖性:即使数据的发送方否认发送过某些数据,数据接受方也能证明这些数据是该发送方发送的。
二、计算机网络安全威胁产生的原因及方式
(一)计算机网络安全威胁产生原因
有威胁才会有安全问题,计算机网络安全是针对威胁制定的对策。网络威胁产生的根本原因是不法分子的私欲,当然还有其它直接或间接的原因,主要有以下几种:
(1)来源威胁:现在大部分CPU、操作系统、外设、网络系统及加密解密工具来源于国外,这就相当于自己的秘密掌握在别人手里,不可能不受制于人。
(2)传输渠道威胁:网络信息的传输要经过有线或无线的通道来进行。信息在传输的过程中可能被窃听、篡改、伪造。网络信息在传输时要经过有形和无形的介质,由于外界环境因素的影响会使信号减弱、失真、丢失,导致传输的信号被严重破坏。
(3)设备故障威胁:设备故障会导致通信中断。在整个网络系统中,硬件设备非常多,因而故障率也非常高。
(4)网络人员威胁:这主要体现在两个方面。一方面,软件开发者在开发的软件中有残留错误,往往这些埋藏很深的错误会导致不可挽回的损失;另一方面,网络管理员的文化素质和人品素质影响着网络安全。网络管理员是最直接接触网络机密的人,他们有机会窃取用户的密码以及其它的秘密资料,并破坏网络的完整性,是对网络安全最直接的威胁。
(5)所处环境威胁:网络安全立法滞后的特点为黑客们的违法犯罪行为提供了可乘之机,而且由于存在各自的国家利益,在联合打击国际黑客犯罪方面的合作力度不够。网络安全技术在发展过程中还有很多不成熟的地方,这些地方经常被不法分子所利用。
(6)病毒威胁:计算机病毒成为严重危害。近年来通过网络传播的计算机病毒越来越多,产生的危害也越来越大。防毒软件具有一定的滞后性,不能产生防患于未然的效果。
(二)计算机网络安全威胁产生的方式
网络安全威胁产生的方式主要有:身份窃取、假冒、数据窃取、否认、错误路由、拒绝服务、业务量分析、非授权存取等。具体形式有如下6个方面:(1)利用系统缺陷或后门进行攻击。(2)防火墙的安全隐患。(3)内部用户的窃密、泄密和破坏。(4)网络监督和系统安全性评估手段缺乏。(5)口令攻击和拒绝服务。(6)来自应用服务方面的安全探测和网络协议分析。
三、计算机网络安全防范措施
针对上述网络安全威胁,我们应采取有效的防范措施,确保网络系统安全可靠。计算机网络安全防范措施主要是从技术和管理两个方面来制定,具体措施如下:
(一)技术方面的措施
1.网络物理安全
为保证网络的正常运行,在物理安全方面应采取如下措施:①产品保障方面:主要指产品采购、运输、安装等方面的安全措施;②运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统;③防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机;④保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
2.访问控制安全
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
①口令:网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
②网络资源属主、属性和访问权限:网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
③网络安全监视:网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉住IP盗用者、控制网络访问范围等。
④审计和跟踪:网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成:一是记录事件,即将各类事件统统记录到文件中;二是对记录进行分析和统计,从而找出问题所在。
3.数据传输安全
(1)加密技术与数字签名。加密技术是提供信息的加密解密,提供对信息来源的鉴别,保证信息的完整性和不可否认性的一种技术。加密是通过一种复杂的方式将信息变成不规则的加密信息,其主要目的是防止信息的非授权泄密。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密。以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的、对网络服务影响较小的一种途径,并可望成为网络安全问题最终的一体化解决途径。这是针对来源威胁与传输渠道威胁所采用的防范措施,虽然不一定能够百分之百地防止威胁,但在很大程度上减少了网络安全威胁。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。它主要通过加密算法和证实协议而实现。
(2)防火墙技术。它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。防火墙在被保护内部网和外部网络之间形成一道屏障,使互联网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可通过检测、限制、更改跨越防火墙的数据流来实现网络的安全保护。防火墙的主要组成部分应包括一个不允许访问的IP地址表、一个不允许通过的用户地址表、IP地址匹配算法、过滤某类具体应用或信息包的过滤算法。到目前为止,已出现了四种类型的防火墙:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
(3)入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
(4)VPN技术。主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
(5)物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,所以物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(6)通信伙伴认证。它的作用是通信伙伴之间相互确认身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式:一种是检查一方标识的单方认证,另一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制、数字签名机制以及认证机制实现。
要想实现网络安全功能,应对网络系统进行全方位防范,除了以上的技术措施,还应从多方面进行防范,包括:采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行;采用多层次多级别的企业级防病毒系统,对病毒实现全面的防护;制定和完善安全管理制度,提高对网络攻击的实时响应与恢复能力;设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务等。
(二)管理方面的防范措施
在强调技术解决网络安全问题的同时,还必须加强对使用网络的人员的管理,注意管理方式和实现方法。因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全必须考虑的基本问题。所以,要采取切实可行的方法加强管理,立章建制,提高内部管理人员整体素质,增强内部人员的安全防范意识。在宏观方面,要加强法制建设,进一步完善关于网络安全的法律,以便更有利地打击不法分子。
四、结束语
计算机网络安全是对付威胁、保护网络资源的所有措施的总和,涉及政策、法律、管理、教育和技术等方面的内容。计算机网络安全是一项系统工程,针对来自不同方面的安全威胁,需要采取不同的安全对策。
参考文献:
[1]Andrew S.Tanenbaum编著,熊桂喜、王小虎译,李学农审.计算机网络(第3版)[M].清华大学出版社,2002.
[2]陈向阳、谈宏华、巨修练编著.计算机网络与通信[M].清华大学出版社,2005.
[3]董南萍、周进、郭文荣编著,薛为民主审.计算机网络与应用教程[M].清华大学出版社、北京交通大学出版社,2005.
[4]吴企渊编著,计算机网络[M].清华大学出版社,2006.
[5]Douglas E.Comer著,徐良贤、张声坚、吴海通等译.计算机网络与互联网[M].电子工业出版社,2001.
[6]张友生、米安然编著,计算机病毒与木马程序剖析[M].北京科海电子出版社,2003.
作者简介:
何亚,女,助教,湖南常德职业技术学院应用工程系,研究方向:软件工程、信息安全、计算机应用。
[关键词]网络安全 防范措施
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)0320027-02
网络改变了我们的生活和娱乐方式。网络在带给我们便利的同时,也给我们带来了烦恼:各种病毒的入侵,网络设备、操作系统、应用软件的安全漏洞,黑客们不择手段的侵入,都给网络用户带来巨大损失。这就需要人们采取有力的方法与措施,维护网络安全。
一、计算机网络安全概述
计算机网络安全主要指信息安全和硬件实体安全。数据信息是网络中最宝贵的资源,网上失密、泄密、窃密及传播有害信息的事件屡有发生。所谓计算机网络信息安全是指利用网络管理控制技术防止网络本身及网上传输的信息被故意的或偶然的非授权泄漏、更改、破坏,或使信息被非法系统辨认、控制。网络硬件实体安全是指保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
计算机网络作为重要的基础资源向客户提供信息,而建立安全的网络系统所要解决的根本问题是:在保证网络连通的同时,对网络服务、客户应用进行管理,以保证网络信息资源的正确性不受影响。网络信息安全有如下特点:(1)完整性:信息在存储和传输过程中保持不被修改。(2)可用性:授权实体有权访问数据。(3)保密性:信息仅允许授权个人和实体使用。(4)可控性:授权机构可以随时控制信息的机密性。(5)抗抵赖性:即使数据的发送方否认发送过某些数据,数据接受方也能证明这些数据是该发送方发送的。
二、计算机网络安全威胁产生的原因及方式
(一)计算机网络安全威胁产生原因
有威胁才会有安全问题,计算机网络安全是针对威胁制定的对策。网络威胁产生的根本原因是不法分子的私欲,当然还有其它直接或间接的原因,主要有以下几种:
(1)来源威胁:现在大部分CPU、操作系统、外设、网络系统及加密解密工具来源于国外,这就相当于自己的秘密掌握在别人手里,不可能不受制于人。
(2)传输渠道威胁:网络信息的传输要经过有线或无线的通道来进行。信息在传输的过程中可能被窃听、篡改、伪造。网络信息在传输时要经过有形和无形的介质,由于外界环境因素的影响会使信号减弱、失真、丢失,导致传输的信号被严重破坏。
(3)设备故障威胁:设备故障会导致通信中断。在整个网络系统中,硬件设备非常多,因而故障率也非常高。
(4)网络人员威胁:这主要体现在两个方面。一方面,软件开发者在开发的软件中有残留错误,往往这些埋藏很深的错误会导致不可挽回的损失;另一方面,网络管理员的文化素质和人品素质影响着网络安全。网络管理员是最直接接触网络机密的人,他们有机会窃取用户的密码以及其它的秘密资料,并破坏网络的完整性,是对网络安全最直接的威胁。
(5)所处环境威胁:网络安全立法滞后的特点为黑客们的违法犯罪行为提供了可乘之机,而且由于存在各自的国家利益,在联合打击国际黑客犯罪方面的合作力度不够。网络安全技术在发展过程中还有很多不成熟的地方,这些地方经常被不法分子所利用。
(6)病毒威胁:计算机病毒成为严重危害。近年来通过网络传播的计算机病毒越来越多,产生的危害也越来越大。防毒软件具有一定的滞后性,不能产生防患于未然的效果。
(二)计算机网络安全威胁产生的方式
网络安全威胁产生的方式主要有:身份窃取、假冒、数据窃取、否认、错误路由、拒绝服务、业务量分析、非授权存取等。具体形式有如下6个方面:(1)利用系统缺陷或后门进行攻击。(2)防火墙的安全隐患。(3)内部用户的窃密、泄密和破坏。(4)网络监督和系统安全性评估手段缺乏。(5)口令攻击和拒绝服务。(6)来自应用服务方面的安全探测和网络协议分析。
三、计算机网络安全防范措施
针对上述网络安全威胁,我们应采取有效的防范措施,确保网络系统安全可靠。计算机网络安全防范措施主要是从技术和管理两个方面来制定,具体措施如下:
(一)技术方面的措施
1.网络物理安全
为保证网络的正常运行,在物理安全方面应采取如下措施:①产品保障方面:主要指产品采购、运输、安装等方面的安全措施;②运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统,应设置备份系统;③防电磁辐射方面:所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机;④保安方面:主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
2.访问控制安全
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围之内。网络的访问控制安全可以从以下几个方面考虑。
①口令:网络安全系统的最外层防线就是网络用户的登录,在注册过程中,系统会检查用户的登录名和口令的合法性,只有合法的用户才可以进入系统。
②网络资源属主、属性和访问权限:网络资源主要包括共享文件、共享打印机、网络通信设备等网络用户都可以使用的资源。资源属主体现了不同用户对资源的从属关系,如建立者、修改者和同组成员等。资源属性表示了资源本身的存取特性,如可被谁读、写或执行等。访问权限主要体现在用户对网络资源的可用程度上。利用指定网络资源的属主、属性和访问权限可以有效地在应用级控制网络系统的安全性。
③网络安全监视:网络监视通称为“网管”,它的作用主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点、捉住IP盗用者、控制网络访问范围等。
④审计和跟踪:网络的审计和跟踪包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。一般由两部分组成:一是记录事件,即将各类事件统统记录到文件中;二是对记录进行分析和统计,从而找出问题所在。
3.数据传输安全
(1)加密技术与数字签名。加密技术是提供信息的加密解密,提供对信息来源的鉴别,保证信息的完整性和不可否认性的一种技术。加密是通过一种复杂的方式将信息变成不规则的加密信息,其主要目的是防止信息的非授权泄密。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密。以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的、对网络服务影响较小的一种途径,并可望成为网络安全问题最终的一体化解决途径。这是针对来源威胁与传输渠道威胁所采用的防范措施,虽然不一定能够百分之百地防止威胁,但在很大程度上减少了网络安全威胁。
数字签名是数据的接收者用来证实数据的发送者确实无误的一种方法,它是用发送签字的办法来对信息的接收进行确认,以证明和承认信息是由签字者发出或接收的。这个服务的作用在于避免通信双方对信息的来源发生争议。它主要通过加密算法和证实协议而实现。
(2)防火墙技术。它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet之间的访问控制。防火墙在被保护内部网和外部网络之间形成一道屏障,使互联网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可通过检测、限制、更改跨越防火墙的数据流来实现网络的安全保护。防火墙的主要组成部分应包括一个不允许访问的IP地址表、一个不允许通过的用户地址表、IP地址匹配算法、过滤某类具体应用或信息包的过滤算法。到目前为止,已出现了四种类型的防火墙:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
(3)入侵检测。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
(4)VPN技术。主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理:VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信,它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。
(5)物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令,所以物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
(6)通信伙伴认证。它的作用是通信伙伴之间相互确认身份,防止他人插入通信过程。认证一般在通信之前进行。但在必要的时候也可以在通信过程中随时进行。认证有两种形式:一种是检查一方标识的单方认证,另一种是通信双方相互检查对方标识的相互认证。通信伙伴认证服务可以通过加密机制、数字签名机制以及认证机制实现。
要想实现网络安全功能,应对网络系统进行全方位防范,除了以上的技术措施,还应从多方面进行防范,包括:采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行;采用多层次多级别的企业级防病毒系统,对病毒实现全面的防护;制定和完善安全管理制度,提高对网络攻击的实时响应与恢复能力;设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务等。
(二)管理方面的防范措施
在强调技术解决网络安全问题的同时,还必须加强对使用网络的人员的管理,注意管理方式和实现方法。因为诸多的不安全因素恰恰反映在组织管理或人员工作时录入、使用等方面,而这又是计算机网络安全必须考虑的基本问题。所以,要采取切实可行的方法加强管理,立章建制,提高内部管理人员整体素质,增强内部人员的安全防范意识。在宏观方面,要加强法制建设,进一步完善关于网络安全的法律,以便更有利地打击不法分子。
四、结束语
计算机网络安全是对付威胁、保护网络资源的所有措施的总和,涉及政策、法律、管理、教育和技术等方面的内容。计算机网络安全是一项系统工程,针对来自不同方面的安全威胁,需要采取不同的安全对策。
参考文献:
[1]Andrew S.Tanenbaum编著,熊桂喜、王小虎译,李学农审.计算机网络(第3版)[M].清华大学出版社,2002.
[2]陈向阳、谈宏华、巨修练编著.计算机网络与通信[M].清华大学出版社,2005.
[3]董南萍、周进、郭文荣编著,薛为民主审.计算机网络与应用教程[M].清华大学出版社、北京交通大学出版社,2005.
[4]吴企渊编著,计算机网络[M].清华大学出版社,2006.
[5]Douglas E.Comer著,徐良贤、张声坚、吴海通等译.计算机网络与互联网[M].电子工业出版社,2001.
[6]张友生、米安然编著,计算机病毒与木马程序剖析[M].北京科海电子出版社,2003.
作者简介:
何亚,女,助教,湖南常德职业技术学院应用工程系,研究方向:软件工程、信息安全、计算机应用。