论文部分内容阅读
【摘 要】计算机逐步进入生活各个方面,随着计算机技术的高速发展,计算机应用日益普及,计算机技术尤其是网络技术正在对人类经济生活、社会生活等各方面产生巨大的影响。电子商务、网上银行、远程教育等与人们的联系越来越紧密。有理由相信,在不远的将来,人们将过上真正意义上的数字化生活。掌握计算机及网络的基础知识,已经成为人们通向成功所必备的基本素质。计算机网络技术发展相当迅速,攻击手段层出不穷,网络攻击一旦攻击成功,网络上成千上万的远程计算机处于瘫痪状态,从而给计算机用户带来很大损失,因此,计算机网络完全问题是当今很重要的问题,提高计算机网络安全防范意识是非常必要和紧迫的,焦点分析了计算机网络安全的主要防患和攻击方式,从管理和技术的角度就加强计算机网络安全提出针对性的建议。
【关键词】开放性;防火墙
引言
计算机逐步进入生活各个方面,随着计算机技术的高速发展,计算机应用日益普及,计算机技术尤其是网络技术正在对人类经济生活、社会生活等各方面产生巨大的影响。电子商务、网上银行、远程教育等与人们的联系越来越紧密。有理由相信,在不远的将来,人们将过上真正意义上的数字化生活。掌握计算机及网络的基础知识,已经成为人们通向成功所必备的基本素质。计算机网络技术发展相当迅速,攻击手段层出不穷,网络攻击一旦攻击成功,网络上成千上万的远程计算机处于瘫痪状态,从而给计算机用户带来很大损失,因此,计算机网络完全问题是当今很重要的问题,提高计算机网络安全防范意识是非常必要和紧迫的,焦点分析了计算机网络安全的主要防患和攻击方式,从管理和技术的角度就加强计算机网络安全提出针对性的建议。
人类生活领域的广泛应用,针对计算机网络攻击事件也随之增加,比如网络购物中,攻击者根据顾客要求发送商品图片(网页链接),在顾客交易付款时,用其攻击手段获得支付宝或网上银行的账号和密码,获取支付宝或网上银行上所有现金,所以提醒所有喜欢网购的消费者也提高警惕。网络影响着社会的政治、经济、文化和军事,意识形态和社会的各个方面,计算机网络不断地非法入侵,重要情报,重要资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件以给政府及企业造成很大的损失,甚至危害到国家的安全,因此,网络安全已经成为全世界各国当今共同关注的焦点。
第一章论述安全技术
虽然计算机网络给人们带来很大的便利,但由于计算机网络的连接有各种各样,是网络结点之间的层次和对介质的访问方式不同,也就是网络的拓扑结构,不同的拓扑结构对网络的影响非常大,一般网络拓扑结构分为总线型、星型、环型、树型和网状五种。网络的终端分布的不均匀、网络的开放性和互联性,导致黑客进行一些不良的攻击行为,所以要加强网络安全维护,维护国家和企业的财产。目前许多大型企业的网络中都储存着大量的重要的信息,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,那是不堪设想的,如重要资料丢失补能及时沟通,或者被篡改,增删,破坏或窃取等等,都会带来巨大的损失。
1.1几种计算机网络安全
1.1.1TCP/IP协议的安全问题
Internet正在以巨大的影响力改变着我们的生活方式。其正式名称为国际互联网。它是由成千上万台不同种类、不同大小的计算机和网络组成的,在全世界范围内工作的巨大的计算机网络。必须指出,Internet不仅仅是由网络软件、硬件构成的巨大的计算机网络,更重要的是其上运行的信息资源。Internet是一个信息的宝库,世界各地上亿的人可以用Internet通信,搜索、共享信息资源;可以送出或接受电子邮件通信;可以与万里之外的人建立通信联系并互相索取信息;可以网上发布公告;可以参加各种专题小组讨论;可以免费享用大量的信息资源和软件资源。
Internet是基于TCP/IP技术,使用的是TCP/IP参考模型,该模型分为四个层次,自下而上分别是网络接口层、互联层、传输层和应用层,不过,TCP/IP参考模型并没有定义网络接口层的具体内容。网络接口层主要负责将互联层的IP数据报通过物理网络发送,或者从物理网络接受数据帧,抽取出IP数据报上交给互联层。TCP/IP标准并没有定义具体的网络接口层协议,其目的在于提供灵活性,以适应于不同的物理网络。TCP/IP的网络接口层严格说并不是一个独立的层次,只是一个接口,对应OSI的1-2层,即物理层和数据链路层。互联层所提供的是一种无连接、不可靠但尽力而为的数据报传输服务,将数据报丛源主机传送到目的主机。从一台主机传送到另一台主机的分组可能会通过不同的路由,且分组可能出现丢失、乱序等。为了达到分组的高传输速度,放弃了一些并非必需的可靠性操作,在互联层主要的协议是国际协议IP。与IP协议配套的网际协议还有地址解析协议、逆向地址解析协议、因特网控制报文协议等。而传输层为应用进程提供端到端的传输服务,为应用进程提供一条端到端的逻辑信息,端到端的逻辑信道在源结点和目的结点的两个传输层实体之间,不涉及网络中的路由器等中间结点。应用层提供面向用户的网络服务,在TCP/IP参考模型中有许多面向应用的著名协议,如文件传输协议(FTP)、远程通信协议(Telnet)、简单邮件传送协议(SMTP)、域名系统(DNS)、超文本传输协议(HTTP)和简单网络管理协议(SNMP)等。
1.1.2网络结构的安全问题
计算机网络是个非常复杂的巨系统,我们可以设想一个最简单的网络应用:利用连接的网络上的两台计算机进行文件传送。显然,在这两台计算机之间必须有一条传送数据的通路,但这远远不够。我们还需要完成以下工作:①发起通信的计算机必须将数据通信的通路进行激活,这样保证传送计算机数据时能正确发送和接收。②要告诉网络如何识别要接受数据的计算机。③发起通信的计算机必须查明对方计算机是否已准备好接收数据。④发起通信的计算机必须弄清楚,在对方计算机中文件管理程序是否已做好文件接收和文件存储的准备工作。⑤若计算机的文件格式不兼容,则至少其中的一个计算机应完成格式转换成功。⑥对出现的各种差错和意外事故,如数据传送错误、重复或丢失,网络中某个结点交换机出现故障等,应当有可靠的措施保证对方计算机最终能够收到正确的文件。除此之外,还可以做若干其他工作。 1.1.3路由器等网络设备的安全问题
路由器主要功能是数据道功能和控制功能,路由器作为内部网络和外部网络通信的主要设备,严格来说,所有网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器的本身设计缺陷而展开,而有就直接在路由器上进行。1.2计算机网络安全的相关技术
1.2.1防火墙技术
网络防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间的传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。在逻辑上,防火墙是一个分离器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。现在防火墙可分为四种基本类型:包过滤型、网络地址转换(NAT)、代理型和检测型。包过滤型是网络中的分包传输技术。防火墙通过读取数据包中的地址信息,如数据的源地址、目的地址、TCP/UDP源端口和目的端口,来判断这些数据包是否来自可信的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。由于包过滤技术完全是基于网络层的安全技术,它无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。网络地址转换(NAT)是一种用于用于把IP地址转换成临时的注册的IP地址标准。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出源地址和源端口映射为伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,当不符合规则时,则屏蔽外部的连接请求。代理型防火墙被称为代理服务器,它是位于客户机与服务器之间,当客户机需要使用服务器上数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再有代理服务器将数据传输给客户机。监测型防火墙,客观地讲并不是解决网络安全问题的万能药房,而只是构建网络安全系统的一个组要部分。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也存在明显不足,比如无法防范通过防火墙以外的其他途径的攻击,也不能安全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。因此防火墙还需要和其他的安全技术一起构筑网络的安全屏障。
1.2.2网络入侵与安全检测
入侵检测,它是对主机或网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性的计算机安全技术。如果把防火墙比作大门警卫,入侵检测就是网络中不间断的摄像机,是网络安全的第二道闸门。
1.2.3防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,其扩散速度越来越快,对计算机网络系统构成极大威胁。因此,在病毒防范上普遍使用防病毒软件,从功能上可分为网络防毒软件和单机防毒软件两大类。单机防毒软件一般安装在单台PC上,注重“单机防病毒”。计算机病毒的防治,单纯靠技术手段是不可能杜绝,只有把技术手段和治理机制紧密结合起来,提高用户的防范意识,才有可能从根本上保护网络系统的安全运行。计算机病毒在形式上越来越难以辨别,造成的危害日益严重,这就要求网络防毒产品在技术上更先进,功能更全面。随着计算机网络、数字技术和互联网技术的发展,计算机病毒的危害与日俱增。因此,加强计算机病毒的防范,确保计算机信息安全是当今计算机应用过程中一项重要、紧迫研究课题。我们一方面把握对现在病毒防范措施,做好病毒防治工作;另一方面要加强对未来病毒的研究,探讨新时期新病毒的新策略,做到防患于未然。
1.3安全对策
1.3.1网络分段
网络分段通常是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
1.3.2以交换式集线器
代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在,这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样当用户与交换机进行通信时,两台计算机之间的数据包还是会被同一个集线器上的其他用户所侦听,所以应当以交换式集线器代替共享式集线器,使数据包仅在两个节点之间传送,防止非法侦听。
结束语:
由于网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融与税务以及能源等关系到国计民生的重要单位。总之,计算机网络系统的安全管理与维护工作不是一朝一夕的事情,而是一项长期的工作,要想做好这项工作,我们必须不断地总结经验,学习新的知识,引入先进的网络安全设备和技术,确保网络的高效安全运行。
【关键词】开放性;防火墙
引言
计算机逐步进入生活各个方面,随着计算机技术的高速发展,计算机应用日益普及,计算机技术尤其是网络技术正在对人类经济生活、社会生活等各方面产生巨大的影响。电子商务、网上银行、远程教育等与人们的联系越来越紧密。有理由相信,在不远的将来,人们将过上真正意义上的数字化生活。掌握计算机及网络的基础知识,已经成为人们通向成功所必备的基本素质。计算机网络技术发展相当迅速,攻击手段层出不穷,网络攻击一旦攻击成功,网络上成千上万的远程计算机处于瘫痪状态,从而给计算机用户带来很大损失,因此,计算机网络完全问题是当今很重要的问题,提高计算机网络安全防范意识是非常必要和紧迫的,焦点分析了计算机网络安全的主要防患和攻击方式,从管理和技术的角度就加强计算机网络安全提出针对性的建议。
人类生活领域的广泛应用,针对计算机网络攻击事件也随之增加,比如网络购物中,攻击者根据顾客要求发送商品图片(网页链接),在顾客交易付款时,用其攻击手段获得支付宝或网上银行的账号和密码,获取支付宝或网上银行上所有现金,所以提醒所有喜欢网购的消费者也提高警惕。网络影响着社会的政治、经济、文化和军事,意识形态和社会的各个方面,计算机网络不断地非法入侵,重要情报,重要资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件以给政府及企业造成很大的损失,甚至危害到国家的安全,因此,网络安全已经成为全世界各国当今共同关注的焦点。
第一章论述安全技术
虽然计算机网络给人们带来很大的便利,但由于计算机网络的连接有各种各样,是网络结点之间的层次和对介质的访问方式不同,也就是网络的拓扑结构,不同的拓扑结构对网络的影响非常大,一般网络拓扑结构分为总线型、星型、环型、树型和网状五种。网络的终端分布的不均匀、网络的开放性和互联性,导致黑客进行一些不良的攻击行为,所以要加强网络安全维护,维护国家和企业的财产。目前许多大型企业的网络中都储存着大量的重要的信息,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,那是不堪设想的,如重要资料丢失补能及时沟通,或者被篡改,增删,破坏或窃取等等,都会带来巨大的损失。
1.1几种计算机网络安全
1.1.1TCP/IP协议的安全问题
Internet正在以巨大的影响力改变着我们的生活方式。其正式名称为国际互联网。它是由成千上万台不同种类、不同大小的计算机和网络组成的,在全世界范围内工作的巨大的计算机网络。必须指出,Internet不仅仅是由网络软件、硬件构成的巨大的计算机网络,更重要的是其上运行的信息资源。Internet是一个信息的宝库,世界各地上亿的人可以用Internet通信,搜索、共享信息资源;可以送出或接受电子邮件通信;可以与万里之外的人建立通信联系并互相索取信息;可以网上发布公告;可以参加各种专题小组讨论;可以免费享用大量的信息资源和软件资源。
Internet是基于TCP/IP技术,使用的是TCP/IP参考模型,该模型分为四个层次,自下而上分别是网络接口层、互联层、传输层和应用层,不过,TCP/IP参考模型并没有定义网络接口层的具体内容。网络接口层主要负责将互联层的IP数据报通过物理网络发送,或者从物理网络接受数据帧,抽取出IP数据报上交给互联层。TCP/IP标准并没有定义具体的网络接口层协议,其目的在于提供灵活性,以适应于不同的物理网络。TCP/IP的网络接口层严格说并不是一个独立的层次,只是一个接口,对应OSI的1-2层,即物理层和数据链路层。互联层所提供的是一种无连接、不可靠但尽力而为的数据报传输服务,将数据报丛源主机传送到目的主机。从一台主机传送到另一台主机的分组可能会通过不同的路由,且分组可能出现丢失、乱序等。为了达到分组的高传输速度,放弃了一些并非必需的可靠性操作,在互联层主要的协议是国际协议IP。与IP协议配套的网际协议还有地址解析协议、逆向地址解析协议、因特网控制报文协议等。而传输层为应用进程提供端到端的传输服务,为应用进程提供一条端到端的逻辑信息,端到端的逻辑信道在源结点和目的结点的两个传输层实体之间,不涉及网络中的路由器等中间结点。应用层提供面向用户的网络服务,在TCP/IP参考模型中有许多面向应用的著名协议,如文件传输协议(FTP)、远程通信协议(Telnet)、简单邮件传送协议(SMTP)、域名系统(DNS)、超文本传输协议(HTTP)和简单网络管理协议(SNMP)等。
1.1.2网络结构的安全问题
计算机网络是个非常复杂的巨系统,我们可以设想一个最简单的网络应用:利用连接的网络上的两台计算机进行文件传送。显然,在这两台计算机之间必须有一条传送数据的通路,但这远远不够。我们还需要完成以下工作:①发起通信的计算机必须将数据通信的通路进行激活,这样保证传送计算机数据时能正确发送和接收。②要告诉网络如何识别要接受数据的计算机。③发起通信的计算机必须查明对方计算机是否已准备好接收数据。④发起通信的计算机必须弄清楚,在对方计算机中文件管理程序是否已做好文件接收和文件存储的准备工作。⑤若计算机的文件格式不兼容,则至少其中的一个计算机应完成格式转换成功。⑥对出现的各种差错和意外事故,如数据传送错误、重复或丢失,网络中某个结点交换机出现故障等,应当有可靠的措施保证对方计算机最终能够收到正确的文件。除此之外,还可以做若干其他工作。 1.1.3路由器等网络设备的安全问题
路由器主要功能是数据道功能和控制功能,路由器作为内部网络和外部网络通信的主要设备,严格来说,所有网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器的本身设计缺陷而展开,而有就直接在路由器上进行。1.2计算机网络安全的相关技术
1.2.1防火墙技术
网络防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间的传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。在逻辑上,防火墙是一个分离器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。现在防火墙可分为四种基本类型:包过滤型、网络地址转换(NAT)、代理型和检测型。包过滤型是网络中的分包传输技术。防火墙通过读取数据包中的地址信息,如数据的源地址、目的地址、TCP/UDP源端口和目的端口,来判断这些数据包是否来自可信的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。由于包过滤技术完全是基于网络层的安全技术,它无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。网络地址转换(NAT)是一种用于用于把IP地址转换成临时的注册的IP地址标准。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出源地址和源端口映射为伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。防火墙根据预先定义好的映射规则来判断是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,当不符合规则时,则屏蔽外部的连接请求。代理型防火墙被称为代理服务器,它是位于客户机与服务器之间,当客户机需要使用服务器上数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再有代理服务器将数据传输给客户机。监测型防火墙,客观地讲并不是解决网络安全问题的万能药房,而只是构建网络安全系统的一个组要部分。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也存在明显不足,比如无法防范通过防火墙以外的其他途径的攻击,也不能安全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。因此防火墙还需要和其他的安全技术一起构筑网络的安全屏障。
1.2.2网络入侵与安全检测
入侵检测,它是对主机或网络系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性的计算机安全技术。如果把防火墙比作大门警卫,入侵检测就是网络中不间断的摄像机,是网络安全的第二道闸门。
1.2.3防病毒技术
随着计算机技术的发展,计算机病毒变得越来越复杂和高级,其扩散速度越来越快,对计算机网络系统构成极大威胁。因此,在病毒防范上普遍使用防病毒软件,从功能上可分为网络防毒软件和单机防毒软件两大类。单机防毒软件一般安装在单台PC上,注重“单机防病毒”。计算机病毒的防治,单纯靠技术手段是不可能杜绝,只有把技术手段和治理机制紧密结合起来,提高用户的防范意识,才有可能从根本上保护网络系统的安全运行。计算机病毒在形式上越来越难以辨别,造成的危害日益严重,这就要求网络防毒产品在技术上更先进,功能更全面。随着计算机网络、数字技术和互联网技术的发展,计算机病毒的危害与日俱增。因此,加强计算机病毒的防范,确保计算机信息安全是当今计算机应用过程中一项重要、紧迫研究课题。我们一方面把握对现在病毒防范措施,做好病毒防治工作;另一方面要加强对未来病毒的研究,探讨新时期新病毒的新策略,做到防患于未然。
1.3安全对策
1.3.1网络分段
网络分段通常是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
1.3.2以交换式集线器
代替共享式集线器对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在,这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样当用户与交换机进行通信时,两台计算机之间的数据包还是会被同一个集线器上的其他用户所侦听,所以应当以交换式集线器代替共享式集线器,使数据包仅在两个节点之间传送,防止非法侦听。
结束语:
由于网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融与税务以及能源等关系到国计民生的重要单位。总之,计算机网络系统的安全管理与维护工作不是一朝一夕的事情,而是一项长期的工作,要想做好这项工作,我们必须不断地总结经验,学习新的知识,引入先进的网络安全设备和技术,确保网络的高效安全运行。