论文部分内容阅读
计算机网络的安全问题随着互联网的发展而越来越被人们重视。在社会日益信息化的今天,以及人们的社会与经济活动对计算机网络的依赖与日俱增的情况下,计算机网络的安全性成为信息化建设的一个核心问题。
一、网络安全的定义
网络安全是指网络系统中的软、硬件和信息受到保护,不受偶然或者恶意的攻击而遭到破坏、更改和泄露,使系统能够连续可靠运行而不中断。网络的安全,从本质上讲也是信息的安全。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两者相互补充,缺一不可。其中,技术方面主要侧重于防范外部非法用户的攻击,管理方面侧重于内部认为因素的管理。
网络安全实际上是用一组规则约束所有的网络活动。只有被允许的活动才能正常进行,所有不允许的活动都被禁止。网络安全包括以下几方面的内容:
1.系统运行安全。系统运行安全保证信息处理和传输系统的安全。它侧重于保证系统的正常运行,避免因系统崩溃或损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由于电磁泄露产生信息泄露,干扰他人或受他人干扰。
2.系统信息安全。系统信息安全包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治和数据加密等。
3.信息传播安全。信息传播安全侧重于防止和控制非法、有害的信息进行传播,避免网上大量自由传输的信息失控。
4.信息内容安全。信息内容安全侧重于信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
二、网络安全面临的主要威胁
网络安全面临的威胁是指网络中对存在缺陷的潜在利用,这些缺陷可能导致信息泄露、系统资源耗尽、非法访问、资源被盗、系统或数据被破坏等。网络安全面临的威胁来自各种因素,可能是有意的,也可能是无意的;可能是源于外部的,也可能是源于内部的;可能是人为的,也可能是自然力造成的。网络安全面临的威胁主要有一下几种:
1.黑客攻击
黑客攻击是主要的不安全因素。黑客使用专用攻击和采取各种入侵非法手段非法进入网络、攻击网络,并非法使用网络资源。例如,通过网络监听获取网络用户的账号和密码;非法获取网上传输的数据;通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击,突破防火墙等。黑客知道系统的漏洞及其原因所在,对任何计算机操作系统的奥秘都有强烈的兴趣,以此作为一种智力的挑战而陶醉其中。黑客已成为计算机网络安全的最大威胁。
2.计算机病毒
计算机病毒是认为编写并具有自我复制能力和特定破坏能力的程序代码,利用各种方法对网络资源进行破坏,使网络不能正常工作,设置造成整个网络的瘫痪。例如,特洛伊木马病毒通常隐蔽在系统软件或便面上看起来是正常的应用软件,并利用预先设定好的参数对网络造成突发性破坏,或者窃取诸如密码等机密信息。
3.拒绝服务
当一个授权尸体不能获得网络资源的访问或当紧急操作被推迟时,就发生了拒绝服务。拒绝服务的原因有很多,例如,可能是由网络部件的物力损坏引起的,也可能是由使用不正确的网络协议引起的,也有可能是服务器、路由器或防火墙等关键设备超负载工作引起的,还有可能是认为攻击引起的,如攻击者在短时间内容发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正常的服务,典型的例子有“电子邮件炸弹”,它可以使用户在短时间内收到大量无用的电子邮件,从而影响正常的业务运行,严重时会使系统关机,甚至使网络瘫痪。
4.网络系统的安全漏洞
网络系统的运行涉及计算机硬件、网络硬件和网络软件、通信协议、数据管理系统和各种应用程序等,它们或多或少都存在一定的缺陷或安全漏洞。网络安全漏洞实际上就是给不法分子以可乘之机的“通道”,它可以使网络系统的安全性降低或直接带来网络安全问题。例如,利用服务进程的漏洞和配置错误,任何向外提供服务的主机都有可能被攻击,系統的访问权限可能被获取;IP欺骗(篡改IP地址,使目标主机认为信息来自另一台主机)和信息腐蚀(篡改网络上传播的信息)就是利用网络传输时对IP和DNS的信任。另外,软件的“后门”也是一大安全隐患,“后门”是软件公司的编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的安全后果将不堪设想。
三、网络安全控制措施
针对以上提到的网络威胁,为保护网络信息的安全可靠,在运用法律和管理的手段的同时,在网络设计和运行中还应考虑采取相应的技术手段来加强对网络的安全管理,以便使网络得以正常运行。
1.防火墙技术
防火墙是设置在不同网络或者网络安全域之间的一系列部件的组合。它是在不同网络或网络安全域之间信息的唯一出口,能根据内部网络的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、分析器,能有效地监控内部网络与外部网络之间的任何活动,从而保证了内部网络的安全。
2.加密技术
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”。密文只能在输入相应的秘钥后才能显示出来内容。加密的逆过程为解密,即将该编码信息转化为其原来数据的过程。加密技术是网络信息安全主动的、开放性的防范手段,对于敏感数据应采用加密处理,并且在数据传输时采用加密传输。
3.用户识别技术
用户识别和验证也是一种基本的安全技术,其核心是识别访问者是否属于系统的合法用户,其目的是防止非法用户进入系统。目前,一般采用基于高强度的密码技术进行身份认证。另外,如指纹识别、虹膜识别等生物识别技术也得到了广泛应用。
4.网络反病毒技术
目前,网络已成为计算机病毒传播的主要载体,一方面计算机病毒的传播被动地利用了网络,另一方面计算机病毒主动地利用了网络传播。对于网络来说,单机版的反病毒软件不能满足要求,需要能够真正将病毒阻挡在内网之外的防病毒系统。
5.访问控制技术
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制及属性控制等多种手段。
6.漏洞扫描技术
漏洞扫描主要是通过两种方法来检查目标主机是否存在漏洞。第一种方法是在端口扫面后得知目标主机开启的端口以及端口上的网络服务,并将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。第二种方法是通过模拟黑客的攻击手段,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。如果模拟攻击成功,则表明主机存在安全漏洞。漏洞扫描技术可以预知网络受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数,了解系统本身的脆弱性,评估所存在的安全风险。
此外还有入侵检测技术和入侵保护技术等等手段,这些手段方法综合应用起来,对计算机网络安全保护起到了重要作用。
一、网络安全的定义
网络安全是指网络系统中的软、硬件和信息受到保护,不受偶然或者恶意的攻击而遭到破坏、更改和泄露,使系统能够连续可靠运行而不中断。网络的安全,从本质上讲也是信息的安全。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两者相互补充,缺一不可。其中,技术方面主要侧重于防范外部非法用户的攻击,管理方面侧重于内部认为因素的管理。
网络安全实际上是用一组规则约束所有的网络活动。只有被允许的活动才能正常进行,所有不允许的活动都被禁止。网络安全包括以下几方面的内容:
1.系统运行安全。系统运行安全保证信息处理和传输系统的安全。它侧重于保证系统的正常运行,避免因系统崩溃或损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由于电磁泄露产生信息泄露,干扰他人或受他人干扰。
2.系统信息安全。系统信息安全包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治和数据加密等。
3.信息传播安全。信息传播安全侧重于防止和控制非法、有害的信息进行传播,避免网上大量自由传输的信息失控。
4.信息内容安全。信息内容安全侧重于信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
二、网络安全面临的主要威胁
网络安全面临的威胁是指网络中对存在缺陷的潜在利用,这些缺陷可能导致信息泄露、系统资源耗尽、非法访问、资源被盗、系统或数据被破坏等。网络安全面临的威胁来自各种因素,可能是有意的,也可能是无意的;可能是源于外部的,也可能是源于内部的;可能是人为的,也可能是自然力造成的。网络安全面临的威胁主要有一下几种:
1.黑客攻击
黑客攻击是主要的不安全因素。黑客使用专用攻击和采取各种入侵非法手段非法进入网络、攻击网络,并非法使用网络资源。例如,通过网络监听获取网络用户的账号和密码;非法获取网上传输的数据;通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击,突破防火墙等。黑客知道系统的漏洞及其原因所在,对任何计算机操作系统的奥秘都有强烈的兴趣,以此作为一种智力的挑战而陶醉其中。黑客已成为计算机网络安全的最大威胁。
2.计算机病毒
计算机病毒是认为编写并具有自我复制能力和特定破坏能力的程序代码,利用各种方法对网络资源进行破坏,使网络不能正常工作,设置造成整个网络的瘫痪。例如,特洛伊木马病毒通常隐蔽在系统软件或便面上看起来是正常的应用软件,并利用预先设定好的参数对网络造成突发性破坏,或者窃取诸如密码等机密信息。
3.拒绝服务
当一个授权尸体不能获得网络资源的访问或当紧急操作被推迟时,就发生了拒绝服务。拒绝服务的原因有很多,例如,可能是由网络部件的物力损坏引起的,也可能是由使用不正确的网络协议引起的,也有可能是服务器、路由器或防火墙等关键设备超负载工作引起的,还有可能是认为攻击引起的,如攻击者在短时间内容发送大量的访问请求,而导致目标服务器资源枯竭,不能提供正常的服务,典型的例子有“电子邮件炸弹”,它可以使用户在短时间内收到大量无用的电子邮件,从而影响正常的业务运行,严重时会使系统关机,甚至使网络瘫痪。
4.网络系统的安全漏洞
网络系统的运行涉及计算机硬件、网络硬件和网络软件、通信协议、数据管理系统和各种应用程序等,它们或多或少都存在一定的缺陷或安全漏洞。网络安全漏洞实际上就是给不法分子以可乘之机的“通道”,它可以使网络系统的安全性降低或直接带来网络安全问题。例如,利用服务进程的漏洞和配置错误,任何向外提供服务的主机都有可能被攻击,系統的访问权限可能被获取;IP欺骗(篡改IP地址,使目标主机认为信息来自另一台主机)和信息腐蚀(篡改网络上传播的信息)就是利用网络传输时对IP和DNS的信任。另外,软件的“后门”也是一大安全隐患,“后门”是软件公司的编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的安全后果将不堪设想。
三、网络安全控制措施
针对以上提到的网络威胁,为保护网络信息的安全可靠,在运用法律和管理的手段的同时,在网络设计和运行中还应考虑采取相应的技术手段来加强对网络的安全管理,以便使网络得以正常运行。
1.防火墙技术
防火墙是设置在不同网络或者网络安全域之间的一系列部件的组合。它是在不同网络或网络安全域之间信息的唯一出口,能根据内部网络的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、分析器,能有效地监控内部网络与外部网络之间的任何活动,从而保证了内部网络的安全。
2.加密技术
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”。密文只能在输入相应的秘钥后才能显示出来内容。加密的逆过程为解密,即将该编码信息转化为其原来数据的过程。加密技术是网络信息安全主动的、开放性的防范手段,对于敏感数据应采用加密处理,并且在数据传输时采用加密传输。
3.用户识别技术
用户识别和验证也是一种基本的安全技术,其核心是识别访问者是否属于系统的合法用户,其目的是防止非法用户进入系统。目前,一般采用基于高强度的密码技术进行身份认证。另外,如指纹识别、虹膜识别等生物识别技术也得到了广泛应用。
4.网络反病毒技术
目前,网络已成为计算机病毒传播的主要载体,一方面计算机病毒的传播被动地利用了网络,另一方面计算机病毒主动地利用了网络传播。对于网络来说,单机版的反病毒软件不能满足要求,需要能够真正将病毒阻挡在内网之外的防病毒系统。
5.访问控制技术
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制及属性控制等多种手段。
6.漏洞扫描技术
漏洞扫描主要是通过两种方法来检查目标主机是否存在漏洞。第一种方法是在端口扫面后得知目标主机开启的端口以及端口上的网络服务,并将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。第二种方法是通过模拟黑客的攻击手段,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。如果模拟攻击成功,则表明主机存在安全漏洞。漏洞扫描技术可以预知网络受攻击的可能性和具体地指证将要发生的行为和产生的后果。该技术的应用可以帮助分析资源被攻击的可能指数,了解系统本身的脆弱性,评估所存在的安全风险。
此外还有入侵检测技术和入侵保护技术等等手段,这些手段方法综合应用起来,对计算机网络安全保护起到了重要作用。