网络安全防御措施
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全防御措施范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全防御措施范文第1篇
计算机网络是以共享资源(硬件、软件和数据等)为目的而连接起来的,在网络协议控制下,由一台或多台计算机、若干台终端设备、数据传输设备、以及便于终端和计算机之间或者若干台计算机之间数据流动的通信控制处理机等组成的系统的集合。计算机网络的最主要功能是向用户提供资源的共享,而用户本身不必考虑自己以及所用资源在网络中的位置。资源共享包括硬件共享、软件共享和数据共享等。
随着网络技术在全球迅猛发展,网络信息化给人们带来种种便利。计算机系统功能日渐复杂,网络体系也日渐强大,对社会及人们的生活产生了巨大的影响,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,网络的安全问题越来越严峻但是我们也正受到日益严重的来自网络的安全威胁。本文通过对网络安全存在的威胁进行分析,简单总结出对威胁网络安全的几种典型表现形式,从而归纳出常用的网络安全的防范措施,供大家参考使用。
一、计算机网络安全面临的威胁
1.自然原因。如地震、火灾、洪水、飓风等等一些不可抗拒的自然灾害造成的损害,以及计算机硬件和网络连接设备造成的损害。
2.误操作。由于计算机使用者的失误,造成文件的损害、或丢失,或网络管理人员对网络安全的大意,造成安全漏洞,或用户安全意识差,计算机中未使用防火墙或杀毒软件等,造成的账号丢失、密码被窃取等。
3.黑客或病毒的攻击。此类攻击分为两种,一是人为网络攻击或窃取,在用户不知情的情况下潜入用户电脑,窃取用户文件或信息。二是网络病毒的攻击。部分网络用户防御意识淡薄,反病毒软件或未使用或已过期,病毒本身会不断变异或更新,于是一不小心文件被感染,从而能造成信息的窃取或文件的丢失等。
4.常见的表现形式:窃听:攻击者通过监视网络数据的手段获得重要的信息,从而导致网络信息的泄密。重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极侵犯者的破坏作用最大。拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。行为否认:通讯实体否认已经发生的行为。电子欺骗:通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的. 非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。
二、网络安全防御措施
1. 物理措施。为保证信息网络系统的物理安全,还要防止系统在空间的扩散。通常是在物理上采取一定的防御措施,来减少或干扰扩散出去的信号。保护网络关键设备,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源等措施。定期检查网络设备的运行情况,及时排除隐患等等,通过一些措施保证硬件设备的安全。
2. 防火墙。防火墙是在一个被认为是安全和可信的内部网和一个被认为不那么安全和可信的外部网(如Internet)之间提供的一个由软件和硬件设备共同组成的安全防御工具。它是不同网络(安全域)之间的唯一出入口,能根据企业的安全政策控制(允许、拒绝 、 监测)出入网络的信息流,且本身具有很高的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙有很多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。配置不同防范效果自然也是不一样的,当然入侵也是要有漏洞才能入侵,最主要的还是减少电脑上的漏洞,关闭不常用的端口,黑客没有可趁之机自然无法入侵成功。
3. 访问鉴别:对用户访问网络资源的权限进行严格的鉴别。鉴别的目的是验明用户或信息的正身。
4. 访问控制策略。访问控制是网络安全防范和保护的重要策略,主要任务是保证网络资源不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。
5. 防病毒。及时更新防病毒软件,及时修复系统漏洞,定期查杀系统。
三、结束语
网络安全防御措施范文第2篇
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(Intrusion DetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
网络安全防御措施范文第3篇
【关键词】网络通信;安全;问题;防范对策
在现今信息技术高速发展的经济时代,网络通信成为社会经济活动开展的基础,也成为人们日常生活及工作密不可分的重要工具,社会与人对于网络通信的需求不断增加。
然而,在开放的网络环境下,网络通信技术也存在一定的局限性,其安全问题不断出现。尤其是系统问题、病毒攻击、安全管理问题等给网络通信安全带来巨大的安全隐患。在严峻的网络通信安全问题下,迫切要求加强对网络安全隐患的防护,以保证网络通信的正常运行。
一、网络通信安全的概述
广义上讲,网络通信安全是指为网络通信数据的安全起防护作用的硬件或软件遭到损害而造成数据泄露或网络通信中断等通信安全隐患。网路通信安全依据不同使用者对网络通信的不同种类使用而产生各种不同的隐患。例如,上网聊天的安全隐患表现为通话内容的泄露和个人隐私的泄露;网上银行交易的安全隐患则表现为银行账号及密码的泄露;网络通信商家则面临更多更严重的安全隐患,稍不谨慎就会造成网络通信的巨大损失。
二、网络通信安全问题
总的来说,网络通信安全问题的产生主要来自于网络系统自身不足与人为造成的或自然条件等外部原因,它们所构成的网络安全隐患是不同的。
1.内部原因构成的安全隐患
任何问题的产生都是内因与外因共同作用的结果,其中内因是主要原因。在网络通信中,其网络通信技术与系统的不完善都会造成不同程度的安全隐患,主要表现在如下方面:
(1)网络系统不稳定
网络系统不稳定,是网络系统的设计不够科学规范,不够合理而导致的,网络系统不稳定容易导致网络通信安全问题的发生。而对于网络系统的安全问题,难以对其进行措施解决,这是网络系统的自身的脆弱性而决定的。因此,解决网络系统的不稳定性对于改善网络安全显得尤为迫切。
(2)缺少对系统设计的安全防范
在目前对于网络系统设计的过程中,对系统本身的安全防范功能考虑和投入的较少,使网络在运行中由于系统的安全防范程度低容易让人乘虚而入,阻碍网络通信的正常运行。同时,在设计访问系统的过程中,程序过于简单,用户信息及密码容易被盗,进而造成个人隐私及财产的损失。
(3)软硬件设施存在安全隐患
网络通信的设备设计制造中,本身存在一定的安全隐患,尤其体现在软硬件设施方面。在软件设计的设计过程中,其本身存在漏洞问题。很典型的是电子商务软件应用到通信网络系统中时,未构建必要的防范体系,电子商务软件源代码的公开,会轻易的使网络系统受到外部的网络安全攻击威胁。系统的漏洞之处很容易发生信息破坏或盗取的问题,给网络通信安全带来极大的安全隐患。
2.外部原因构成的安全隐患
通信网络安全问题产生的外部的原因主要来自于人为的肆意损害或外部客观自然条件造成的损坏等。
(1)黑客对网络通信的攻击或威胁
黑客是伴随着网络技术的发展与应用而出现的,给网络通信安全带来安全隐患,严重影响到人们的正常生活与工作。黑客通过电子邮件、木马程序、强行袭击等手段侵入网络通信,造成电脑的运行受阻或由黑客控制的局面,从而造成网络的数据、信息丢失泄露,严重的后果会导致经济财产的巨大损失。
(2)网络病毒对网络通信的攻击
网络病毒是目前人们最害怕的电脑攻击手段之一,网络病毒具有传播范围广速度快的特点,会使网络系统整体遭受病毒的侵袭,从而造成网络运行效率的下降,甚至使整个网络组瘫痪,无法正常运行。这一病毒危害同样会造成信息、数据的丢失,造成对企业、个人的经济损失。一个典型的案例发生于1988年美国网络病毒事件,当时病毒的侵袭造成了美国网络通信领域的巨大灾难,给美国经济带来了惨痛的损失代价。由此可见,网络病毒的强大危害性。
(3)突发性断电或线路失火
在网络通信的运行中,突然间的断电或突发性线路失火,同样会给网路通信带来巨大的损失。例如,在人们工作中,若突发断电或线路起火现象,会使网络系统内的信息数据来不及保存而丢失,给工作带来麻烦。因此,对于网络通信必须做好对线路失火的防范工作,减少这一原因带来的网络通信安全隐患。
三、加强网络通信完全防范措施的建议
1.落实网络系统稳定性与安全防护工作
网络系统是网络应用的核心,网络系统自身存在的漏洞对网络通信安全造成了巨大的威胁,做好网络系统稳定性与安全防护工作是确保网络通信安全的关键所在。因此,在网络系统的设计中,要全面分析考虑计算网路的各个环节,在可能存在漏洞的地方做好预防和拦截工作,避免黑客或网络病毒的入侵。同时要设置对不明文件的处理系统,自动阻止风险文件的侵入,从而提高网络系统的稳定性,保障网络系统的正常健康的工作运行。
2.利用网络通信安全防范技术
为了保障网络通信的安全性,不断利用并更新网络通信安全技术是有效提高网络通信安全性能最佳手段。
(1)强化密码技术
利用密码技术保障网络通信安全是最又有效的方法之一。密码技术对于重要文件的加密处理,有利于防止授权用户的的入网,也可以处理恶意软件的侵入。一般情况下,对数据的加密工作主要通过链路加密、节点加密和端到端加密三个加密方法进行。与此同时,用户在设置个人账户密码时,不要设置过于简单的密码,要将字符和数字相结合设置复杂的密码。为了防止黑客的攻击,最好经常更换密码,提高密码的安全性。
(2)加强网络病毒防范
为了抵制黑客与网络病毒等的攻击,要加强对这些网络病毒的防范工作。主要做好如下工作:首先,强化防火墙技术。网络通信运营商要将网络进行划分,形成不同安全级别的区域边界,通过用户访问控制、身份鉴别等方法对安全区域进行安全控制;其次,强化入侵检测系统功能,入侵检测系统要针对收集的关键点信息进行深入的分析,查看网络的安全状况,并对病毒的恶意攻击迹象进行检测,有效抵制网络病毒;最后,还要加强杀毒软件的应用,加强对病毒扫描和监控识别功能,并不断进行杀毒软件的升级,以保证其工作性能的优化。
(3)加强漏洞扫描检测
网络系统存在自身的漏洞之处,需要强化漏洞扫描工作,及时发现并修补漏洞,避免因漏洞而产生的网络通信安全威胁。在对漏洞扫描检测过程中,主要采用两种如下两种方法。首先是对端口进行扫描,将信息与漏洞库相比较,查看安全隐患。其次,是模拟黑客攻击手法,实现对网络通信的安全漏洞扫描。
3.确保网络外部环境的安全性
网络在运行工作中,容易受外部工作环境的影响,确保网络外部环境的安全性对于保障网络通信安全很有必要。因此,网络通信工作人员要不定期的检查各端口线路,对发现问题的线路及时进行检修;做好避雷与抗电磁干扰的防御工作,使其减少由自然原因造成的安全隐患;与此同时,还要做好静电防止工作,安置防静电地板,使设备与地板相接,减少静电安全隐患。
4.强化网络通信安全管理
网络通信运营商要落实网络通信安全管理工作。首先要提高对网络通信安全的认识,并强化安全防范责任意识,尤其对于黑客及网络病毒的防范。其次,运营商要依据国家网络通信的相关规定,结合自身企业网络运营的特点,构建合理的网络通信安全管理机制,将网络通信的安全管理工作责任到人,加大网络通信安全管理的力度,落实安全管理工作,保证网络通信的安全运行。
四、结语
在信息网络日益发展与壮大局势下,网络通信安全问题就会显得愈发明显和突出。网络通信的安全运行需要不断的采取措施与防护,不仅要做好网络系统自身的完善工作,还要改善与网络相关联的外部环境,强化网络通信的安全管理体制,将安全管理工作落实到位,进而确保网络通信的安全可靠,实现网络通信对人和社会进步发展的需求。
参考文献
[1]周会勇.网络通信安全方案分析[J].计算机与网络, 2010(04).
[2]沈娟.网络安全及其防范措施研究[J].科技信息, 2011(08).
[3]陈彬.计算机网络安全与防御[J].信息技术与网络服务,2006(04).
[4]曹社香,桑亚辉.网络通信安全策略研究[J].软件导刊,2012(11).
网络安全防御措施范文第4篇
随着互联网络的发展和师生对各种数据需要和交流的不断增长,各高职院都已经建立了自己的网络。伴随着网络用户和数据信息量的迅速增长以及网络环境和管理复杂等原因,校园网不但要防止来自外部的黑客入侵,还需要防止来自内部的恶意破坏。即要保证信息的开放与安全性,又要保证教学财务等信息的完整和保密性。所以,校园网络的安全是至关重要的。
2网络安全防护措施
(1)internet的不安全性。①网络互联技术是全开放的,使得网络面临的破坏和攻击来自各方面。②网络的国际性意味着网络的攻击不仅来自本地网络的用户,而且可以来自互联网上的任何一台机器。③网络的自由性意味着最初网络对用户的使用并没有提供任何的技术约束,用户可以自由地访问网络和信息。(2)操作系统的不安全性。操作系统安全是整个校园网络安全的基础。首先,操作系统的体系结构使得其程序链接是动态的,很容易遭到黑客的攻击和利用,人们在上传和下载文件时也容易产生计算机病毒。其次,操作系统可以创建进程并支持进程的远程创建与激活,这使得一些黑客或间谍软件能够很轻易地进入用户的计算机。(3)数据库的不安全性。资源共享和数据通信是计算机网络的主要功能,如今数据库系统需要面对更多的安全威胁。数据库的安全就是为了确保数据的安全可靠和信息完整。阻止用户对数据的故意破坏和非法存取。数据的不安全性主要有以下两个方面:①非授权用户对数据库的访问。②授权用户对数据库的非法访问。文件服务器是运行网络操作系统的核心设备,它的基本功能就是向服务器提供文件和数据存储。简化了网络数据的管理、改善了系统的性能、提高了数据的可用性、降低了运营成本。此外文件服务器还具有分时系统管理的全部功能,能够对全网统一管理,提供网络用户访问文件、目录的并必控制和安全保密措施。因此文件服务器的损坏会造成整个网络的瘫痪。所以对文件服务器的管理至关重要。文件服务器的管理存在两个大问题,一是不能正确精确授权,导致文件管理混乱;二是不能有效对文件实施审核,缺乏了一套对文件管理的审核方案。防火墙指的是一个软件和硬件设备组合而成、在各种网络之间的界面上构造的保护屏障。它是一种网络安全部件,可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或做出其它操作。是隔离内部网络与外界网络的第一道安全防御系统,最大限度地阻止了网络中黑客的来访。是网络安全最主要和最基本的基础设施。如果没有防火墙,整个网络的安全将被网络中最脆弱的部分所制约。在设计和选用防火墙方面,不管采用原始设计还是使用现成的防火墙,对于管理员来说,首先得根据安全级别确定防火墙的安全标准。其次,设计或选用防火墙必须与网络接口匹配,要尽量防止所能想到的威胁。防火墙可以是软件或硬件模块,并能集成于网桥、网关、路由器等设备之中。为了安全起见,建议在防火墙网络中,对内部DNS服务器和外部DNS服务器进行分开放置。网络操作系统在安装时要先拔下网线。这样可以阻止黑客和病毒利用网络接口攻击操作系统。安装杀毒软件。为操作系统用户设置密码并禁止使用Guest用户。为操作系统安装用来修正操作系统漏洞的补丁。预防优盘病毒指用户向系统提供自己的身份证明,最常的方法是提供用户名和密码。身份鉴别强调一致性验证,因此必须保证标识的唯一性。鉴别是用于检验用户身份的合法性的检验。(4)数据库加密。常用的数据加密技术有对称加密技术和非对称加密技术两种。此外为了制止非授权用户对数据库的访问,也为了约束授权用户对数据库访问的范围和方式,DBMS必须具备用户帐号口令和用户身份识别的保护机制。DBMS依靠帐号和口令的一致来识别用户身份的合法性。全体用户的帐号口令储存在某个系统文件中,DBMS采用安全技术保护该文件,以免遭到破坏。DBA根据用户的实际需要授予适当的数据库使用权。给驱动器加密让服务器远离网络安装防病毒软件并定期杀毒删除不必要的软件、停止不必要的服务,不给黑客留下攻击的机会。使用最少的特权执行管理任务。给服务器更新最新最全的补丁。
3结语
网络安全防御措施范文第5篇
(重庆市沙坪坝区第三军医大学信息管理中心,重庆 400038)
摘要:伴随着网络技术快速发展和广泛应用,高校信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状,分析了网络信息安全的主要威胁,最后给出了针对网络信息安全的实现技术和防范措施,以保障高校信息网络的安全保护。
关键词 :网络安全;安全管理;解决安全技术
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)23-0191-02
作者简介:罗晓刚 (1986-),男,重庆人,2009年毕业于西南大学,本科,网络工程师,计算机科学与技术专业,现在在第三军医大学信息管理中心从事网络信息工程管理与建设工作。
0 引言
如今的社会网络已成为信息交流便利和开放的代名词,然而伴随计算机与通信技术的迅猛发展,网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性变成了信息安全隐患的便利通道,网络安全已变成越来越棘手的问题在此。
1 网络信息安全潜在的隐患
1.1 应用软件问题
计算机网络中一个必不可少的组成部分就是应用软件。现阶段市场上现有的各种软件均存在不同程度的弊端,导致计算机网络在使用过程中或多或少的都会出现各种问题,使计算机网络安全面临威胁,其中最常见的就是各种形式的恶意攻击。
1.2 TCP/IP协议问题
TCP/IP协议族是当前全世界应用最广泛的协议族,也是Internet中的关键协议,然而在实际的设计过程中,由于相关人员没有对具体的安全问题进行必要的分析和研究,使计算机网络存在明显的安全缺陷,给了入侵者可乘之机。最为常见的隐患有:IP地址盗用、DDOS攻击、DoS攻击、ICMP攻击、ARP攻击等。
1.3 资源共享问题
计算机网络最大的优势就是资源共享,但要想实现资源共享,必须保证终端和服务器之间、终端和终端之间的途径畅通,资源共享功能的实现虽然给使用者形成了很大便利,但是不可否认,资源共享功能的实现也给非法用户破坏信息和窃取信息带来了可乘之机,部分非法用户开始经过终端或者结点实施非法操作,给计算机网络安全运行造成威胁。
1.4 人的问题
人为因素也是影响计算机网络安全运行的重要因素,比如相关人员安全意识不强、相关人员操作不规范、用户保护隐私不当等,这些由于人为因素造成计算机网络安全事故也屡禁不止。出于某种对安全保护的责任,或者和别人出现经济利益链条,都会不同程度上的造成网络信息的泄露。
2 网络信息安全防范重在管理
无论网络安全采用的是管理模型,还是技术控制,都必须重视网络安全管理,网络安全管理是一项综合性很强的工作,它包括信息、人员、制度和机构等多方面的管理,只有做好上述各方面的管理,才能有效保证网络信息安全。
3 网络信息系统的安全技术
3.1 防火墙技术
在保证网络安全的诸多手段中防火墙技术是被应用最广泛的,这是因为防火墙技术不仅价格比较便宜、便于安装,而且具有在线升级等特点,同时该技术通过在外部网络和保护网络之间设置一道屏障,有效地阻止了各种不可预测的、潜在破坏性的恶入。利用防火墙技术,计算机网络可以实现对外部屏蔽自身内部的信息、结构和运行状况,有效地保证了网络的信息安全。
3.2 认证技术
认证能够有效地防止主动攻击,特别是在开放的环境中,认证技术能够有效保证信息的安全性,认证的作用主要有两方面:一是验证是否是真正的主人发送的信息;二是验证信息是否完整,是否在传输过程中进行过修改等。
3.3 信息加密技术
通过对信息进行加密,可有效保证信息安全,目前信息加密技术主要包括对称密钥加密和非对称密钥加密两种方法,两种方法各有利弊,需结合使用。
3.4 数字水印技术
信息隐藏是指在某一公开的信息中隐藏着另一个机密的信息,通过传输这一公开信息达到传递该机密信息的目的,如此一来,即使这一公开信息被非法用户拦截,非法用户也很难从公开信息中获取机密信息,有效保证了计算机网络的安全性,因此信息隐藏技术在计算机网络中应用广泛。而数字水印技术是信息隐藏技术最常用也是最重要的一项技术,该技术通过一定的算法把某些机密信息直接嵌到多媒体内容中,不仅不会影响公开信息的使用,也有效传递了机密信息。
3.5 建立四化体系
3.5.1 专业化
专业化战略是指集中企业所有资源和能力于自己所擅长的核心业务,通过专注于某一点带动企业的信息安全类成长。在这里,网络安全信息专业化管理可以选择通过防火墙技术,技术认证手段,加密技术以及数字水印技术等专业化的方式来巩固企业的信息安全体系。
3.5.2 系统化
在当今这样一个网络盛行的时代,网络信息安全已经被提升至新高度,而基础设施的运行安全是保证其他数据安全的根本保障,一旦动力环境失效,所有上层技术则将全部停止运转。动力环境威胁主要有极端温湿度、电压抖动和中断、关键组件状态不佳或缺少备件等。安全的动力环境是一切上层IT技术业务必要支撑。
3.5.3 细化
“天下难事,必做于易;天下大事,必做于细”。安全管理也不例外,它作为企业管理的头等大事,是一项任重而道远的过程。不能流于形式,应注意各项细节。如何做好计算机网络安全的各项细节是信息安全管理人员应该深入思考的问题。细化安全管理是一种管理理念和管理技术,它使组织管理各单元专业化技术精确、高效、协同和持续运行。
3.5.4 标准化
标准化是制度化的最高形式,可运用到信息安全、开发设计、管理等方面,是一种非常有效的工作方法。企业的标准化信息安全工作的实施影响着需要举重轻重的方方面面,这决定标准化在企业中的地位和存在价值,标准化的作用主要是把企业内的成员所积累的技术、经验,通过文件的方式来加以保存,对信息安全的全权管理有一套良好的制度可循。
4 DDoS攻击实例 - SYN Flood攻击
4.1 SYN Flood 攻击原理
一个正常的TCP连接是三次握手过程,第一次握手时,服务器会建立起一个未完成连接的队列,并为各个客户端发送的SYN包建立相应的条目,存在这个条目表示发送的SYN包还没有被服务器接收,此时服务器处于SYN_RECV状态。而这个条目不存在了说明服务器已经接收到了确认包,这时服务器处于Established状态。通常在服务器发送完SYN/ACK分组后处于SYN_RECV状态,等待请求连接客户端的返回一个ACK分组,此时服务器已经为建立此次连接分配相应的资源。若非法用户使用伪造的IP地址,服务器会始终处于“半连接”状态,直到超时将其从队列里取消。SYN Flood攻击正是利用了TCP协议三次握手过程中这一不足,在短时间内伪造大量IP地址发送给服务器,这样服务器会疲于应对,出现系统瘫痪的情况。
4.2 SYN Flood攻击的防御方法
可以直接屏蔽攻击IP地址或暂时限制访问,虽然这是最简单也是最有效的一个方法,但是直接屏蔽攻击IP地址或暂时限制访问,在拒绝非法用户入侵的同时,也给很大一部分正常访问者带来了不便,因此这并不是最优的方法。通过对TCP/IP协议通信规则作出一些改变,从而达到防御SYN Flood攻击的目的方法更具可行性。
具体实现方法如下:首先运行“regedit.exe”进入注册表,在HKEY_LOCAL_MACHINE SYSTEM\CurrentControl
Set\Services\Tcpip\Parameters做以下更改(所涉及的值全为十六进制):
新建一个名为SynAttackProtect的数值,数值类型为REG_DWORD。将值设置为1。
该参数可使TCP调整SYN-ACKS的重新传输,当SynAttackProtect默认值为0(即不采取任何保护措施),设置为1时,可更有效地抵御SYN攻击此时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。
5 结语
现在是信息社会,当代社会和企业之间的竞争很大一部分也体现了对信息的竞争上,信息有时比能源、物源等更具价值,因此如此提高信息的安全性引起了人们的广泛关注。经济社会的发展要求各用户之间的通信和资源共享,这就需要将计算机连成网络,而这其中必定隐含很大的风险,很容易遭到非法用户的恶意攻击和破坏,此时应采取有效手段防止非法用户的恶意攻击和破坏,保证计算机网络的安全性。
参考文献:
[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[2]李辉.黑客攻防与计算机病毒分析检测及安全解决方案[M].北京:电子信息技术出版社,2006.
[3]张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
