时间:2024-02-17 11:38:20
序论:在您撰写计算机网络安全防范策略时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
计算机网络技术在生活的应用十分广泛,有效的提升了企业的办公效率以及现代化的管理水平,丰富了人们的生活。但是随之而来出现的一些网络病毒,这对网络的正常运行造成了很严重的危害,因此,必须要加强对计算机网络的维护,从而来做好网络安全的防范,本文主要是对计算机网络安全防范策略进行了研究。
1 合理安置防火墙
对于计算机网络安全的保护,其中一个重要的环节就是对于防火墙的安装,为了能够更好的对保障计算机网络的安全,在进行防火墙的安装时,一定要能够做好对控制列表的设置以及访问,能够有效的限制外来访问,从而来做到节约计算机网络带宽,预防网络威胁的目的。对于相关的企业来说,一定要充分的做好自身内部计算机网络安全的管理,在企业内部,很多企业机密都是存在计算机网络中,若是网络受到了威胁,那么将严重的影响企业的发展。所以很多企业都是采用三层分级防火墙的方式来进行网络安全的维护,在第一层防护中,主要是在服务端安装相应的防火墙,从而来对一些安全威胁进行过滤,在第二层保护中,其中主要是利用千兆交换机来为企业提供更为强大的防火墙功能,这样能够在防火墙中设置相应的访问控制列表,并且也能够提升计算机的安全使用。在第三层保护中,主要是在汇聚层的核心交换机来进行计算机网络安全的保护。所以必须要做好防火墙的设置,同时能够科学合理的设置访问的列表。
2 利用入侵检测技术
对于入侵检测技术来说,主要是为了能够在计算机网络内部的安装相应的检测系统,从而来讲计算机网络安全隐患检测出来,避免受到病毒的干扰。利用计算机入侵检测技术能够及时有效的发现计算机网络内部的异常现象,同时软件系统能够对其进行相应的限制以及组织,检测系统能够自身构架出一个完善的防御系统来保证计算机网络的安全运行。
3 做好计算网才做系统的权限管理
相应的计算机管理人员必须要定期做好计算机操作系统的权限设置以及密码的管理,、管理人员要定期打开计算机管理,对用户以及组里的一些非法的用户进行严格的审查以及排除,尤其是要注意一些具有管理人员权限的非用户进行排查。对于计算机默认提供的用户为“Guest”,计算机管理人员必须要进行更改,以此来避一些网络黑客入侵电脑,控制计算机,并且计算机网络管理人员也要将账户名进行更改,要设置一些复杂的密码提升器安全性。若是用户在电脑这能够安装了MS-SQL SERVER,那么一定要将危险的存储过程进行删除,从而来避免电脑受到攻击。另外,计算机管理人员必须要经常对系统日志进行清理,及时的发现其中存在的问题,其中一些日志不能够随意删除,要保留一些关于网络安全策略的日志,这样能够在后期发生同样的问题进行借鉴。
4 强化对于伪装访问点所导致的安全问题检测
伪装访问点指的是在计算机网络中安装一个接入设备,使设备能够对MAC地址和服务集标识符进行改动,以此来伪装成合法网点的MAC地址,这样一来就能够对计算机网络实现正常的访问,以此来达到攻击计算机网络,同时还可以窃取计算机当中的重要资料和数据。
入侵者事实上是很容易通过伪装网点来实现对计算机网络的入侵的,通过下述的途径能够对伪装网点进行安全检测:一是安装两台侦查检测仪,当中的一台用于计算机网络的监听工作,另外一台用正常的工作。二是安装两个无线网卡的侦查检测仪,一台用于对计算机网络进行监听,另外一台通过无线网卡来进行正常运行。当安装了侦查检测仪之后,一旦有相同的MAC网址进行访问的话,那么就能够立即通过ping命令使原来合法的唯一网点才能进行主机的访问,而伪装的访问点是无法进行访问的,同时还能及时的找到伪装访问点,对其进行处理,以此来提升计算机网络的安全性。
5 强化拒绝服务攻击引起的安全问题检测
对于计算机的网络拒绝服务攻击,一般来说都出现在物理层以及MAC层。而其他计算机部位的拒绝服务攻击所产生的影响并不大。因此需要对计算机网络物理层以及MAC层当中的拒绝服务攻击所引起的安全性问题的检测方法进行深入的研究。
物理层的攻击主要是Queensland,对此的侦查检测方法主要是利用频谱监控,这也是能够更好的掌握无线电频谱利用情况的一种最佳方式。但由于频谱监控设备的造价比较高,体积又十分大,再加之频谱的分析软件,使得频谱监控并不能在大范围的计算机网络中进行部署,只能应用与关键的部位。计算机网络中MAC层的拒绝服务攻击,所应用的是MAC层的管理功能,这份协议位于OSI七层协议当中的下半部分,因此主要的负责控制物理层的物理介质,而非法攻击者则能通过发送不断相应的管理帧来进行对用户的干扰。一旦攻击者通过管理帧来进行干扰的情况下,计算机网络的访问点就会因此来不断的请求处理,使计算机无法计入正常的运行,甚至导致计算机网络彻底瘫痪。
6 结语
随着信息技术的不断发展,计算机网络成为了现代交流的重要工具。在计算机网络为人们的生活带来便利的同时也出现了一些安全隐患,对人们的计算机安全造成了威胁。只有采取相应的措施才能减少计算机网络的安全问题,本文主要对计算机网络的安全防范策略进行了分析和研究,通过上述文章,可以良好的实现计算机网络的安全保护,为广大的网络用户营造出科学、安全的现代化交流和学习平台,方便用户在计算机网络中找到自己需要的信息资源,最终实现建立安全计算机网络环境的目标。
参考文献
[1]孙中红,隋洪财.关于计算机网络安全方法防范策略的探索[J].商场现代化,2012,07(20):44-47.
[2]张大胜.网络时代下计算机网络安全问题的防范策略研究[J].计算机光盘软件与应用,2011,06(12):20-25.
[3]田玉萍.关于计算机网络安全防范技术的研究和应用[J].价值工程,2012,08(30):22-29.
【关键词】计算机 计算机网络 网络安全
一、引言
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到社会生活的方方面面,网络已成为实现网上购物、商业贸易、金融财务等经济行为的新型载体,“数字化经济”(Digital Economy)引领世界进入了一个全新的发展阶段。
然而,越来越开放的信息系统在给人们带来便利的同时,也带来了安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈,网络安全技术作为一个独特的领域越来越受到人们广泛关注。
二、计算机网络安全防范策略
目前计算机安全防范技术较为成熟并被广泛运用的网络安全技术主要有:防火墙技术、用户授权访问控制与数据加密技术、防病毒技术等。
(一)防火墙技术
防火墙主要用于防御来自外部网络的攻击一种安全技术,通过防火墙可以限制外部用户进入内部网(目前有部份公司研发的防火墙可以防御内部的攻击)。网络管理人员可配置访问控制策略过滤掉一些危及网络的不安全服务,阻止非法用户的进入。目前常用的防火墙技术有包括状态检测技术、包过滤技术、应用网关技术。
1.包过滤技术。在网络层中通过对源IP地址、目的IP地址、源服务端口、目的服务端口对数据包进行控制,是否允许或拒绝数据包的通过。
2.状态检测控制技术。采用的是一种基于连接的状态检测机制,将属于同一连接的所有数据包当作一个整体的数据流看待,内部构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态进行识别。与传统包过滤防火墙的静态过滤规则表相比,具有更好的灵活性和安全性。
3.应用网关技术。应用网关又被称为应用防火墙或应用层防火墙。它的功能是通过内部计算机与外部主机连接,由服务器担任内部计算机与外部主机的连结中继者。使用应用网关技术的好处是可以隐藏内部主机的地址信息和防止外部不正常的网络连接,保护其中的主机及其数据。
(二)用户授权访问控制与数据加密技术
与防火墙相比,用户授权访问控制与数据加密技术比较灵活,更加适用于开放自由的网络。
1.用户授权访问控制。主要用于对静态信息的安全保护,需要系统级别的支持,主要在操作系统中实现。
2.数据加密。主要用于对信息的安全进行保护,其应用非常广泛。
(1)EFS加密技术。EFS是微软NTFS文件系统提供的一种文件系统加密技术,通过该技术可以对外部存储器中的数据进行加密操作。EFS加密是基于公钥策略的,对用户是透明的。例如,用户加密了某些数据,那么用户对这些数据的访问是完全允许的,不会受到任何限制。
(2)SSL加密技术。为了保护网络传输过程中敏感数据的安全性,全球很多知名企业采用SSL加密机制。SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了MD5、RC4以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。HTTPS协议通过SSL内置于其浏览器中,通过使用TCP 端口443和TCP/IP进行通信,HTTPS协议通过SSL在发送方对原始数据进行加密,接受方再进行解密,加密和解密需要发送方和接受方通过交换共享密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。HTTPS协议加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,因此一般运用于安全保密较高的情形,例如,网上银行、电子商务等应用领域。
(三)防病毒技术
随着计算机网络技术的飞速发展,计算机病毒变得越来越复杂,对计算机信息安全构成了极大威胁, 防病毒技术以成为广大用户关于的主要问题。防病毒技术是一种通过操作系统和防病毒软件进行保护和清除病毒的一种控制技术,网络管理人员通过设备操作指纹的安全策略和安装防病毒软件,对计算机信息进行防护,常用的有基于网络目录和文件安全性方法、基于工作站防病毒技术和基于服务器的防毒技术。
1.基于网络目录和文件安全技术。计算机网络技术最大的特点是可以共享软硬件资源,使用者通过网络访问处于网络上的共享资源,这样很容易造成软件资源被病毒感染或破坏,从而导致不能使用。为保障软硬资源安全性,通过采用基于网络目录和文件安全技术来尽可能阻止网络上的共享软硬件资源被破坏的问题。
2.基于工作站防病毒技术。工作站是使用得最多的计算机,特别是公用工作站的情形,不断的更换使用者和移动存储设备,很容易增加病毒的传播速度,为增强工作站的防毒能力,我们可以在工作站上安装单机版的防病毒软件。例如,在工作站上安装卡巴斯基、金山毒霸、360杀毒、360安全卫士等主流的单机版查杀病毒软件,但需要注意的是工作站上一般只安装一种查杀病毒软件,以保证工作站的处理性能。
3.基于服务器的防毒技术。服务器是网络的核心,一旦服务器被病毒感染,可能会造成服务器的处理性能变慢、某些重要服务组件运行不正常或失败等重大问题,严重情形可能还会导致整个网络陷于瘫痪,造成灾难性后果。目前基于服务器的防治病毒技术可以采用网络版的杀病毒软件(如,卡巴斯基+客户)相结合,构成了比较完善的病毒防护体系,有效地控制病毒的传播,从而保证网络的安全稳定。
三、结束语
为了有效地实施安全管理工作,需不断提高网络管理人员乃至用户对计算机网络安全防范意识和网络管理技术学平,才能尽可能控制、减小非法的操作行为,尽可能地把不安全的因素降到最低点,从而保障计算机网络的安全性。
参考文献:
[1]刘承良.计算机网络技术[M].天津: 天津大学出版社,2010.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
关键词:计算机;网络安全;防范
1 网络安全概念
网络系统安全的内容有两个方面:一是网络安全,它指的是网络内部运营以及网络间互联互通之间物理上链路连接的安全、网络应用业务安全、网络运营系统安全、操作系统的安全以及网络运营人员的安全等。二是信息的安全,它指的是数据信息的完整性安全、真实性安全、保密性安全、可用性安全、不可否认性安全以及可控制性安全等。
2 影响网络安全的因素
当前,计算机网络日益变得开放,网络用户形形,由此引发的计算机网络安全性问题突显。引起计算机网络安全问题的因素有很多,一般有以下几种因素:
2.1 计算机病毒
计算机病毒就是在计算机运行的程序中,不是天然存在的,而是人为插入破坏计算机功能甚至破坏数据信息,具有极强的隐蔽性和破坏性,严重影响了计算机网络的安全。随着计算机网络技术的高速发展,同时计算机病毒也在高速发展、更新较快,在一定程度上来讲,有超越计算机网络相关安全技术的趋势,给计算机网络的安全维护带来了更大的挑战。
2.2 黑客攻击
随着计算机黑客技术的飞速发展,网络的安全性受到越来越大的威胁。黑客常用的攻击手段有获取用户登录口令、电子邮件炸弹、植入木马程序、钻系统漏洞等。总的来说,可以分为两种攻击方式:第一种是进行网络攻击,即通过非授权行为,进入用户计算机用各种不同的手段对用户的数据进行恶意破坏,最终造成用户数据的损坏、丢失、系统或计算机的瘫痪等;第二种方式就是进行网络侦查,即通过秘密手段,即时监听网络数据的传输,且用户浑然不知其所为,进行对用户的重要数据信息破坏、截获等。
我们只有做到知己知彼,了解黑客的攻击手段,方可采取相应的保护措施,提高网络的安全性。
2.3 内部威胁
内部威胁,即是局域网内部的发生的安全事件,大部分案件都是发生在企业用户内部。产生此类威胁一是该企业的用户网络安全的意识不够强,二是没有采取针对性措施提高网络的安全性,从而导致安全事件的频发。
尽管网络中存在诸多的威胁,影响到网络的安全,但并不等于我们没有办法防范或者解决。通过加强网络的管理和把控,采用科学的技术方法,尽力做到降低网络的风险。只有严格管理,采取合理的措施,才能提高网络的安全性,随时抵御影响网络的不安全因素。
3 防范措施
3.1 培育网络技术人才
加大在网络技术人才培育和网络技术研发的投资力度,提升网络人才的素质,可以为网络安全提供足够的保障。同时对于那些违法分子来说,强大的技术实力对他们也是震慑力。
3.2 采取保密技术,控制网络接入
对于网络安全来说,管理才是最重要的,其次才是强大的网络技术实力。加强网络安全的管理,最基本要在计算机设置登录使用密码,且建议采用数字和字母混合,提高密码安全性,同时要定期进行更改,这样不容易被不法分子破解。同时对网络路由的访问,要针对不同的用户设置不同的权限,对应不同的密码,控制路由器的访问。对于超极管理员,密码要最复杂且仅允许个别人知晓。一般的访问者来说,只有访问查看的权限。加强对路由器访问的把控,对其本身和计算机系统均有保护作用。同时还可以根据计算机的IP,设置不同的可用IP段,防止非法IP的登陆。
3.3 熟知攻击手段,针对性防御
“知己知彼,百战百胜”,对于网络安全也一样。只有我们熟知网络攻击的手段,才可以从根本上消除掉影响网络安全的因素。通常黑客或不法分子都是借助计算机协议的漏洞或窃取用户信息进行网络攻击的。他们利用一些公用协议或者开发工具,提高作案的隐蔽性,潜藏在网络中的各个主机中采集所需信息,达到相关的目的。
对于网络的管理来说,首先应从制度着手。根据网络的实际情况,制定出完善的安全管理制度,制定相应的奖惩措施。还要对网络管理人员加强技术和安全的培训,提高维护技术和安全意识。另外还需要建立可行的应急安全保障措施,对重要数据进行备份,网络路由尽力成环等,一旦出现设备故障可以及时数据恢复,同时保证整个网络的正常通信。
4 结束语
网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全技术也必须随着网络应用的发展而不断发展。计算机网络的安全,需要提升安全技术,更需要加强网络的安全管理。全盘考虑影响网络的因素,制定针对性措施和相关制度。计算机网络技术持续发展,网络安全技术的研究必定是一个长期的过程。
[参考文献]
[1]刘云志.浅谈计算机网络安全技术及其存在的问题[J].信息系统工程,2012(02).
[2]陈耿.浅析计算机网络安全与病毒防护[J].电子技术与软件工程,2013(22).
关键词:计算机网络;网络安全隐患;网络安全防护
1引言
随着互联网行业的不断普及与发展,社会的信息化程度也越来越高,网络为人们提供的极大的便利使得人们在日常的生活、生产和学习上开始依赖于网络。与此同时,一些网络犯罪事件也向人们敲响了警钟,解决计算机网络信息安全问题已然成为了目前计算机网络中一个大问题。必须通过研究对计算机网络进行研究,找出计算机网络信息安全出现的问题与原因,并提出针对性的措施,以保护计算机网络的信息安全,防止不法分子通过计算机网络进行犯罪活动,保证人们在网络使用过程中个人信息及隐私的保密性,研究计算机网络信息安全及其防护措施势在必行,对于防范网络安全问题有着很高的实际应用价值。
2计算机网络安全原理及其概述
通过对网络中的硬件设备(计算机、路由器、防火墙等)进行简单对接,而且可以通过相应的控制软件实现计算机网络的管控。随着现代社会网络信息建设的来临,计算机网络不仅要具备传统计算机的网络功能,还必须为用户提供网络资源以及信息共享等服务。因此,要解决目前计算机网络中存在的安全问题,需要从整体上来看待计算机网络信息安全问题,真正实现保障人们在计算机网络中的信息安全。要确保信息是因为不小心或故意破坏遭到了更改或者窥视。保证提供的计算机网络服务安全、可靠,使用户在使用计算机网络过程中享受到安全、优质、放心的网络服务。对计算机网络安全定义主要包括两点:物理安全和逻辑安全。物理安全的主要内容是保护所有相关的计算机硬件设施的安全,避免这些设施遭到恶意损坏。逻辑安全的主要内容是对计算机网络环境中存储的用户信息和共享的资源进行维护,以保证网络中信息的保密性和完整性。国际标准化组织(ISO)对于计算机网络安全的定义是:实现计算机网络信息安全,需要计算机网络防护的包括计算机所有网络中计算机的软件、硬件以及所有用户的信息和共享的数据[1]。
3导致计算机网络存在安全隐患的因素
操作系统为保证程序正常运行提供一个软件环境,而且操作系统在计算机网络中属于最基本的软件,操作系统是用户与计算机等硬件设备之间的媒介而且也担任着管理软硬件的功能。操作系统对于计算机网络如此主要,一旦操作系统受到攻击,那么在很大程度上会导致网络安全问题。操作系统在运行时并不能对自身的安全性能保障,操作系统一旦开始运行,无论如何都会存在影响计算机网络安全的隐患,影响计算机网络安全的另外一个因素就是操作系统本身结构体系在设计时就具有先天性的缺陷。操作系统在运行中的对于一些细节上的管理功能还存在着缺陷,如果一个很小的程序出现故障都很可能严重影响到整个系统的运行。比如,在计算机的内存管理中,可能会由于外部网络在连接的过程中触发相应的模块缺陷,导致整个网络系统在运行的过程中出现瘫痪。一些不法分子正是在对操作系统进行破坏利用这些漏洞,对计算机网络安全系统的信息安全性构成了很大的威胁。
4计算机网络安全防范措施
1)合理配置防火墙。网络防火墙能够对网络行为进行控制,从而保护内部网络操作环境的安全。当网络的外部用户通过正常的渠道对网络内部资源进行访问时,可以对该用户的行为进行有效控制。网络防火墙是属于互联网络设备的一种,通过防火墙可以对两个甚至两个以上的网络之间的数据传输进行检查和保护,当对允许信息传递时才进行信息传递。此外,网络防火墙可以实现在计算机网络系统运行的过程中对网络运行状态的进行实时监控。一般来说,按照技术类型可以将网络防火墙分为监测型、型、地址转换型以及包过滤型。地址转换防火墙,指的是通过防火墙将内部网络的IP转换为外部网络的地址,从而对内部IP地址进行临时的保护。因此,只能在外部IP地址经过处理后根据端口号访问内部网络;包过滤型防火墙支持网络分包传输,通过对数据包中的地址信息进行分析,依据数据包可靠性对一些不信任的站点进行排除。一般情况下,在路由器连接内部局域网和外部网之间设置包过滤防火墙。基本上所有的路由器生产公司的路由设备只能够支持一个网络管理员访问的网络通信建立,而且不允许普通用户访问路由器的端口号表。有些设备甚至允许路由器为每个用户或子网提供端口过滤功能,因此计算机网络的管理员能够对访问进行精细化地控制。所以,防火墙的使用使得网络管理员不需要通过在网络组织内访问每个用户的计算机来保障该网络系统的安全。换句话说,防火墙为普通用户在网络内能够自由地对他们的计算机网络进行随意配置提供了条件。在防火墙内部网络向防火墙外部网络发起连接时,必须进行严格限制。在对这种连接情况处理时必须弄清楚产生网络威胁的原因是什么,以排除威胁网络安全的潜在因素。
2)服务器的防毒工作。众所周知,网络的核心就是服务器,在网络运行过程中服务器一旦被病毒感染,那么该病毒会对网络服务器进行攻击和破坏,导致网络服务器处理性能和存储性能下降,严重者可能甚至导致网络服务器及其所属的计算机网络出现严重瘫痪情况,不能提供正常、高效的网络服务给用户,这会给社会经济及其正常运转带来一些负面影响。目前,随着计算机网络技术的发展,对网络服务器的防病毒技术已经取得了巨大的发展和丰硕的成果。通过将预防病毒技术与杀毒软件(网络版)应用于服务器安全之上,能够实现网络病毒的防护及清除,对病毒的蔓延进行有效控制,保证为用户提供安全、稳定的网络。
3)及时修复网络漏洞。由于计算机网络中软硬件以及程序的设计不够完善,或者功能不全以及配置不当,在网络系统中往往存在了一些网络漏洞。这些漏洞极易被黑客利用,实现对网络的攻击。有关调查表明,几乎市面上所有的网络软件和网络设备都存在漏洞或者缺陷,而这同时恰恰也成为了大多数黑客或者病毒攻击的对象。一般情况下,网络信息安全问题的产生很大原因是系统程序存在漏洞。因此,网络系统维护人员在维护网络时,要能够及时关注软件的开发商是否修复漏洞的补丁程序,在补丁时及时完成补丁程序的安装,保证网络运行环境的安全。
4)增强用户账户安全。在网络中用户在使用一些网络服务时需要注册相应网站的账户,用户在注册帐户时经常会因为嫌起名麻烦以及密码不好记忆从而出现复用(一号多用)的现象。即用户的网上银行帐户,电子邮件帐户,购物网站账户等其他个人账户的用户名和密码都是相关的。因此,一些非法黑客对计算机网络系统攻击在窃取用户一个合法帐户号码和密码后,会尝试以此账户密码登陆用户的网银等账户,使用户信息泄露或者财产损失。因此,为了保证计算机网络中用户账户安全,用户需要设置复杂的账户密码,同时也要避免重复注册相同或类似的账号和密码设置,在设置密码时在密码中增加特殊的符号、字母和数字的组合设置。而且在账户使用过程中可以定期更换用户密码,保证用户账户安全。
5)网关技术应用。在早期的互联网中网关指的是路由器,可以认为它是通向Internet的大门。随着时间的推移,路由功能可以通过主机和交换集线器完成网关的功能。在网络的使用过程中通常配备有防火墙,我们依靠防火墙来阻止指定的应用程序网关。比如说,我们要将发送电子邮件到特定的主机,中间通过网关来实现邮件的发送功能,所以我们可以将网关当中所有电子邮件的一个传输站。
6)虚拟专用网络(VPN)。一些组织为自己员工提供网络服务,在这种情况下可以建立组织自己的虚拟专用网。VPN的主流方式是按协议进行分类,通过在公用网络上建立组织或者个人的专用网络,然后对网络通信过程进行加密。这一技术目前在企业网络中已经得到了广泛应用。因此,要实现用户的远程访问,必须通过VPN网关对数据包的加密和数据包目标地址进行转换,从而使用户通过VPN实现在外网对内网的访问。VPN的实现方式有多种,如服务器、PC机等硬件以及其配套的软件等。在建立虚拟专用网络时,网络管理员需将防火墙设置为只允许特定的机器或授权的机器开发访问,从而实现网络通问。
作者:王晓光 单位:唐山市科学技术情报研究所
参考文献:
[1]胡双喜,兰汉平,金家才,等.军队计算机网络信息安全与防护[J].计算机安全,2005(08).
关键词:计算机网络;安全隐患;防治策略
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
一、引言
计算机网络的建设与应用,极大地丰富和完善了各种各样的资源,实现了资源的最大限度的贡献,拓宽了相关人员得到信息的渠道,大大提升了办公效率,大幅度提高了各个机构的现代化管理水平。但是,由于计算机网络中的数据都是非常重要的,一旦被破坏,将会遭受不可估量的损失,所以,计算机网络的安全问题非常重要。在这样的大背景下,如何采取更加科学有效的计算机网络安全防范策略,进一步搞好计算机网络的建设,充分发挥出计算机网络的作用,是非常值得我们进行研究的重要课题。
二、合理安装配置防火墙,合理设置访问控制列表
防火墙是保证计算机网络安全的重要一环。为了保证计算机网络安全,应该在安装防火墙的同时,合理设置访问控制列表,从而有效地限制外来访问和对外访问,能够禁止无关的对外访问,避免不必要的对外访问,达到节约计算机网络带宽、防范于未然的目的。具体地讲,对于某一企业单位,必须保证该单位内部的计算机网络的可靠性和安全性,可以采取三层分级防火墙的方式来保证网络安全。对于第一层防护,可以在服务器端安装防火墙软件或者通过硬件来实现安全过滤;对于第二层防护,可以通过千兆交换机来提供更加强大的防火墙功能,并且设置防火墙的访问控制列表来更好地确保计算机网络的安全;对于第三层防护,可以在汇聚层核心交换机中安装配置防火墙,并且合理设置访问列表。
三、运用入侵检测技术
入侵检测技术是为了确保计算机网络内部的计算机系统的安全而设计和安装的一种可以将计算机网络存在的安全隐患科学有效地检测出来的一种技术。通过入侵检测技术的应用,可以及时有效地识别出计算机网络内部的异常现象,并且对于这些异常现象进行限制。通常情况下,同时运用基于网络的和基于主机的入侵检测技术的效果最佳,能够构架成一套完整立体的主动防御体系,真正确保计算机网络的安全。
四、计算机网络管理人员应该做好计算机操作系统权限管理以及密码管理并定期监测系统日志
计算机网络管理人员应该定期打开“计算机管理”,对于用户和组里是否存在非法用户进行认真地排查,特别要注意对于具备管理人员权限的非法用户进行排查。计算机网络管理人员应该将计算机默认提供的Guest用户禁止掉,从而避免黑客通过Guest用户来控制计算机。与此同时,计算机网络管理人员应该将Administrator账户通过改名以及设置非常复杂的密码的方式来避免非法用户的入侵。另外,如果计算机网络内部的计算机安装了MS-SQL SERVER,就一定要及时将危险的存储过程删除,避免黑客利用软件漏洞发起攻击。
除此之外,计算机网络管理人员应该定期查看系统日志记录,从而能够及时有效地发现问题并且解决问题。对于系统日志,要求所有人都不能够随便动手删除,并且对于重要的日志记录以及计算机网络安全解决策略一定要进行记录并且备案,以备下次出现同样的问题的时候能够借鉴以前的经验。
五、合理部署杀毒软件
在计算机网络的安全防范策略中,合理部署杀毒软件是至关重要的,必须想方设法保证在整个计算机网络内部防止出现病毒的感染、传播和发作等一系列的问题。要达到这样的目标,必须在整个计算机网络内可能感染和传播病毒的地方采取相应的防病毒手段。另外,为了保证整个计算机网络的防病毒体系得到有效、快捷的实施和管理,必须保证杀毒软件可以实现远程报警、集中管理、远程安装、智能升级、分布查杀等各种各样的先进功能。具体地讲,对于一个企业单位来说,应该首先在该单位的计算机网络中心配置一台高效的Windows2000服务器,并且安装一个杀毒软件的系统中心,负责对于该单位的所有计算机进行管理;第二,必须在所有的办公室分别安装杀毒软件的客户端;第三,在进行杀毒软件的安装之后,在管理人员控制台上对计算机网络中的全部客户端来做好智能升级、定时查杀毒、远程报警相关的设置,从而确保全部的客户端计算机都能够实现定期的查杀毒;最后,计算机网络中心相关负责人一定要做好该单位内部的整个计算机网络的升级工作,最大限度地保证整个计算机网络的安全。
六、加强对于伪装访问点所导致的安全问题的侦查检测
所谓伪装访问点,就是指在计算机网络中安装一个接入设备,这样的接入设备能够对于MAC地址以及和服务集标识符(Service Set Identifier)进行改动,从而可以伪装成为合法访问点的MAC地址以及和服务集标识符,来实现对于计算机网络的正常访问,最终达到攻击计算机网络和窃取计算机网络中的重要数据的目的。
在计算机网络中,入侵者很容易通过伪装访问点对计算机网络进行入侵,能够通过下列的途径来对于伪装访问点所导致的安全问题进行侦查检测:安装两台侦查检测仪,其中的一台负责对于计算机网络进行监听,另外一台进行正常的工作;也可以安装具备两个无线网卡的侦查检测仪,其中的一个网卡负责对于计算机网络进行监听,另外的一个网卡进行正常工作。侦查检测仪安装之后,一旦捕获到具备一样的MAC地址的两个访问点,就应该立即通过ping命令来对于那唯一的一台只有合法访问点才能访问到的内部主机进行访问,从而及时有效地找到伪装访问点,并且对其进行处理,切实保障计算机网络的安全性。
关键词:网络安全;技术防范
中图分类号:TP393.08文献标识码:A 文章编号:1000-8136(2011)36-0037-02
在信息技术飞速发展的今天,计算机网络已与人们的生活密切相关,网上银行、网上学校、网上购物等已深入到人们工作生活的各个领域,给人们的生活带来便捷的同时也带来了极大的安全威胁,由于网络和各种存储设备的飞速发展,使得病毒传播的概率也大大增加了。经过查阅资料和个人的一些使用经验,总结了一些计算机安全防范的方法,希望对大家有所帮助。
1安装防火墙
防火墙(Firewall)是Internet上广泛应用的一种安全措施,它是设置在不同网络或网络安全域之间的一系列部件的组合,它能通过监测、限制、更改跨越防火墙的数据流,尽可能地检测网络内外信息、结构和运行状况,以此来实现网络的安全保护[1]。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过设置一定的筛选机制来决定允许或拒绝数据包通过,实现对进入网络内部的服务和访问的审计和控制,早期的防火墙主要起屏蔽主机和加强访问控制的作用,现在的防火墙则逐渐集成了信息安全技术中的最新研究成果,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性,现在,防火墙技术的研究已成为网络信息安全技术的主导研究方向。
2病毒防范
计算机病毒是隐藏在计算机可执行程序或数据文件中,人为制造的能在预定的条件下自动激活,极具自我表现、自我复制与传播能力的破坏性程序。它以硬盘、光盘、网络作为传播媒介,并以E-mail发送、软件下载、网页浏览、在线聊天工具(如ICQ、MIRC、QQ等)等方式进行攻击。病毒侵入不仅造成计算机运行迟缓,显示异常,文件丢失,内存变小,甚至会“吞食”硬盘,破坏操作系统,造成网络系统的瞬间瘫痪[2]。通过采取技术上和管理上的一些措施,是可以有效防范计算机病毒的。
2.1技术方面
2.1.1软件杀毒
使用优秀的防毒软件定期扫描所有文件夹,安装1份正版杀毒软件对防护计算机的安全尤为重要,不但可以及时升级到最新版本,而且功能也会非常全面和强大,比如有些防病毒软件不但能在收到邮件的同时执行对病毒扫描,而且还能在每次打开、保存和发送后再次进行病毒扫描。此外,还要为系统安装补丁程序,并遵循正确的配置过程。
2.1.2介质查毒
应重视U盘、光盘、移动硬盘等存储介质使用前的查毒工作,杜绝病毒的交叉感染。同时现今电子邮件已被广泛使用,也使得E-mail成为病毒传播的一种途径,要防范E-mail方式的病毒攻击。
2.2管理方面
2.2.1人员管理
管理员应对网络内的共享电子邮件系统、共享存储区域进行病毒扫描,发现异常情况应及时处理,不使其扩散。同时系统管理员的口令也应严格管理,为了防止泄露,要经常进行更换,保护网络不被非法病毒感染和破坏。
2.2.2设备管理
对于多人共用1台计算机的环境,如数据室、设备机房等,应建立登记上机制度,这样有问题能及时发现,有病毒能及时追查、清除,不致扩散。对于同1台计算机,注意不要使用两种以上的网络连接,如单位OA办公网,可能会因为工作方便,需要到互联网查资料,如果某个信息点在Internet网络上被感染了,那么病毒就会在整个系统中扩散,从而造成两个网络的反复感染。如果是某些专业网络,如计费网等,被如此感染,那么造成的损失和后果是无法估计的。
2.2.3病毒的检查
由于病毒在网络中的变异和传播非常迅速,我们不可能阻止未来可能出现的某些计算机病毒,所以对一些异常现象要予以注意,如系统异常死机的次数增加、莫名奇妙的丢失文件、运行速度异常慢、有特殊文件自动生成等,就需要进一步进行检查。
2.2.4安全设计及辅助方法
可充分发挥各种安全设备优势,以期达到最好的安全效果,可将不同的安全产品应用到不同的网络位置,使其安全性能互相搭配,从而发挥最佳的安全效能,实现无缝的网络安全。
我们上网时只使用TCP/IP协议即可,可关掉多余的网络协议,这样不仅会安全许多,而且还可以加快上网时登陆网络的速度,还可以隐藏自己的IP地址等。
2.2.5经常备份重要的文件和数据
定期与不定期的进行文件备份工作,不要等到由于病毒造成用户数据受到损坏时再去急救,重要的数据应当及时进行备份,难以想象没有备份用户数据的电脑会对使用者造成多么大的影响,计算机的应用、系统程序可以买到,而用户的资料信息等数据是无法用钱买到的,所以要养成经常备份的习惯。
总之,随着计算机技术的高速发展,计算机网络的发展也日新月异,新的网上攻防技术会不断出现,我们要不断学习新知识,了解计算机网络安全发展的新动态,才能有效地保障计算机系统的安全,让大家都能在安全的环境中享受到网络为我们带来的便捷和乐趣。
参考文献
1 胡丽琴.图书馆网络信息安全问题分析[J].常州工学院学报,2005(1)
2 李伦、唐一之.“网络生态危机”与网络生态伦理初探[J].湖南师范大学社会科学报,2000(6)
The Security Prevention Strategies for Computer Network
Yang Xu
[关键词]网络安全;不安全因素;防范策略
近年来,互联网技术在全球迅猛发展,给人们的生活提供了极大的方便,然而,在享受信息化带来丰硕成果的同时,也在遭受网络安全的威胁,诸如网络的数据窃贼、黑客的侵袭、病毒的者,甚至系统内部的泄密者。黑客活动越发猖獗,甚至无孔不入,给网民带来极大的不安,给社会带来极大的危害。面对种种威胁,该采取何种策略来确保网络信息的安全性,尤其是网络上重要数据的安全性,是当前亟须解决的难题。
一、计算机网络安全定义
计算机网络安全是指在一个网络环境里,利用网络管理控制和技术措施确保数据的保密性、完整性及可使用性。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
二、造成网络信息不安全的因素
(一)操作系统自身缺陷及不正确的系统维护
1.操作系统本身存在缺陷。操作系统软件自身的不安全性,系统开发设计的不周而留下的漏洞,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能会造成计算机系统的崩溃。
(2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
(3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。
(4)操作系统有些守护进程,是一些病毒,一碰到特定的情况,比如碰到7 月1 日,它就会把用户的硬盘格式化,如果操作系统有些守护进程被人破坏掉就会出现不安全情况。
(5)操作系统会提供一些远程调用功能,远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
(6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,将造成信息泄密和丢失。此外,操作系统的无口令的入口,也是一大隐患。
2.不正确的系统维护措施。系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击,但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时,管理人员应仔细分析危险程度,并马上采取补救措施。
(二)数据库存储技术较少考虑数据安全因素
数据库管理系统存储大量的信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。
(三)防火墙的局限性
防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。防火墙保护免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。
(四)其他因素
计算机系统硬件和通讯设施极易遭受到自然灾害的影响,如:地震、泥石流、水灾、风暴、建筑物破坏等;还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等;此外安全管理水平较低、操作失误等都会对计算机信息安全造成威胁。
三、加强网络信息安全的策略
(一)技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:1) 加强提高用户技术素质。对重要部门和信息,严格做好开机查毒,及时备份数据;2) 网络访问控制。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段;3) 数据库的备份与恢复。备份是恢复数据库最容易和最能防止意外的保证方法;恢复是在意外发生后利用备份来恢复数据的操作;4) 应用密码技术,基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一;5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U 盘和程序,不随意下载网络可疑信息;6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置;在网络中,限制只能由服务器才允许执行的文件;7) 研发并完善高安全的操作系统。
常用手段有:1)隐藏IP地址;2)关闭不必要的端口;3)更换管理员账户,并设置强大密码;4)杜绝Guest账户的入侵;5)封死黑客的“后门”:如:删掉不必要的协议,对于服务器和主机来说,一般只安装TCP/IP协议就够了;关闭“文件和打印共享”,确实需要共享,要设置访问密码;禁止建立空链接;关闭不必要的服务。6)做好IE的安全设置;7)不回陌生人的邮件;8)安装防范间谍软件和反病毒软件;9)及时给系统打补丁,建议大家到微软的站点下载操作系统对应的补丁程序。
(二)管理层面对策
加强计算机安全管理、加强计算机及网络的立法和执法力度、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
(三)物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。主要包括以下内容:1) 计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。2) 机房场地环境的选择,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁;3) 机房的安全防护,是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
参考文献:
[1]余伟.计算机网络安全问题剖析.
