网络安全防范体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全防范体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络安全防范体系范文第1篇
关键词:网络安全;防范体系;IP专用网络
1 前言
随着计算机及其网络的迅速发展,跨区IP专用网络成为对内管理和对外交流必不可少的平台。跨区IP专用网络在满足信息资源共享需求的同时,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。如何有效降低跨区IP专用网络系统和数据的安全风险、提高跨区网络安全水平成为网络建设的重点。
2 跨区IP专用网络安全需求分析
2.1 跨区IP专用网络安全现状
(1)网络自身存在缺陷。IP专用网络赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是不会因局部故障而影响信息的传输,基本没有考虑安全问题。因此,它在安全可靠性、服务质量等方面存在着不适应性。
(2)操作系统以及应用系统自身的漏洞。网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由操作系统的安全性所决定的。
(3)网络病毒。目前大多数病毒具有传播速度极快,扩散广,不易防范,难于彻底清除等特点。
(4)黑客入侵。黑客通过对逻辑漏洞进行挖掘,通过欺骗,信息搜集的方法,从薄弱环节入手,迅速地完成对网络用户身份的窃取,进而完成对整个网络的攻击,造成内部信息甚至机密被泄露。
(5)网络内部威胁。网络安全的威胁可以来自内部网,可能会因为网内管理人员安全意识不强,管理制度不健全,带来内部网络的威胁。
2.2 跨地区IP专用网络安全需求
在网络正常运行时,受到攻击,能够保证网络系统继续运行,网络管理系统设置等重要资料不被破坏。具有先进的入侵防范体系,对恶意行为能够及时发现、记录和跟踪。访问控制和身份认证机制确保应用系统不被非法访问。系统和数据在遭到破坏时能及时恢复。
3.1 安全组件
(1)路由器。路由器是架构网络的第一层设备,路由器必须安装必要的过滤规则,滤掉被屏蔽的IP地址和服务。路由器也可以过滤服务协议,屏蔽有安全隐患的协议。
(2)入侵监测系统。入侵监测系统是被动的,它监测网络上所有的包,捕捉危险或有恶意的动作,并及时发出警告信息。
(3)防火墙。防火墙可防止“黑客”进入网络的防御体系,可以限制外部用户进入内部网,同时过滤掉危及网络的不安全服务,拒绝非法用户的进入。
(4)物理隔离与信息交换系统(网闸)。它保证内部网络与不可信网络物理隔断,能够阻止各种已知和未知的网络层和操作系统层攻击,提供比防火墙、入侵检测等技术更好的安全性能。
(5)交换机。访问控制对于交换机就是利用访问控制列表ACL来实现用户对数据包按照源和目的地址、协议、源和目的端口等各项的不同要求进行筛选和过滤。
(6)应用系统的认证和授权支持。在输入级、对话路径级和事务处理三级做到无漏洞。集成的系统要具有良好的恢复能力,保证系统避免因受攻击而导致的瘫痪、数据破坏或丢失。
(7)操作系统的安全。不安装或删除不必要使用的系统组件。关闭所有不使用的服务和端口,并清除不使用的磁盘文件。
(8)病毒防护。网络病毒网关与网络版的查杀病毒软件相结合,构成了较为完整的病毒防护体系,能有效地控制病毒的传播,保证网络的安全稳定。
3.2 安全环节
这是很多系统平台本身就提供的,如操作系统或者数据库,有效地发挥这些环节的作用有时候会起到意想不到的效果。
(1)身份标识和鉴别。计算机初始执行时,首先要求用户标识身份,提供证明依据,计算机系统对其进行鉴别。
(2)访问控制。访问控制分为“自主访问控制”和“强制访问控制”两种。自主访问控制Unix和Windows NT操作系统都使用DAC。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
(3)审计。审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识、访问权限请求、日期和时间、参考请求结果(成功或失败)。
3.3 安全机制
安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。
(1)安全审核。安全审核通过改善系统中的基本安全环节的实现(包括安全机制的实现和使用)达到增强安全性的目的,典型的产品如网络扫描器。
(2)信息加密。包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。
(3)灾难恢复。定期对重要数据进行备份,在系统出现故障时,仍然能保证重要数据准确无误。
4 结束语
保障跨区IP专用网络安全、有效运行,既是一个技术问题,也是一个管理问题。除了采用上述技术措施之外,还要加强网络安全管理、制定规章制度、制定操作使用规程、制定应急措施、提高工作人员的保密观念和责任心、加强业务培训,这样,网络安全防范体系才能发挥更大效能。
参考文献
网络安全防范体系范文第2篇
【关键词】校园网络;网络安全;防范体系
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
随着网络安全防范工作的加强,网络服务质量明显提升,如图3所示,用户满意度从2008年61%提升到2010年的73%,2011年上半年为78%。
网络安全防范体系范文第3篇
关键词:计算机网络 安全问题 防范对策
引言:
随着科学技术的不断发展,信息化已经成为现代社会发展的重要趋势,计算机网络已经成为当今信息化建设中的重要组成部分,对科学技术的发展起到了巨大的推动作用。特别是随着计算机网络的发展和普及,生活中的诸多领域都存在着网络的影子和影响,网络已然成为当今社会人们获取信息和进行交流的重要手段。然而,由于网络存在一定的缺陷,计算机网络安全也逐渐走入人们的视野,成为社会和大众普遍关注的问题。
一、计算机网络安全
计算机网络安全是一个综合的系统工程,是指利用网络控制和技术措施,保证在一个网络里,数据的保密性、完整性及可使用性受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,需要我们进行长期的探索和规划。
计算机网络安全主要包括两个方面的内容:逻辑安全和物理安全。逻辑安全包括信息的完整性、保密性和可用性。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。计算机网络具有的联结形式多样性、终端分布不均匀性和网络的互连性、开放性等特征,使网络容易受到黑客、恶意软件等的攻击,所以网络信息的安全和保密是一个非常重要的课题。
二、计算机网络应用的安全问题
对计算机信息构成不安全的因素很多, 其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素,垃圾邮件和间谍软件也都在侵犯着我们的计算机网络。计算机网络不安全因素主要包含以下几个方面的内容:
(一)计算机网络特性的脆弱
互联网具有开放性、国际性和自由性的特性,其面对的对象是全世界,每个组织或个人都可以在网络获取信息、传输数据、互相交流,正是因为互联网的这些特性给网络安全带来了危机和挑战。首先,网络具有开放性,使网络面临来自多方面的攻击,例如:网络协议、物理传输线路、计算机软件、硬件存在的漏洞,都有可能受到各种攻击。其次,网络具有国际性的特点,使得其他国家的黑客也可以通过国际互联网对本地网络进行攻击,因此计算机网络的威胁已经升级成为一种国际化趋势。最后,网络还具有自由行的特点,用户没有任何束缚和禁锢,可以自由的和获取各种信息。
(二)操作系统结构体系的缺陷
操作系统能够提供多种管理功能,特别是针对管理系统软件和硬件资源。然而操作系统软件本身具有不安全的特性,这些大大小小的破绽都给计算机网络安全留下了隐患。一些网络黑客借助操作系统中存在的缺陷对计算机网络进行攻击和破坏,是得计算机服务器接近瘫痪,甚至崩溃。
在网络传送文件、进行信息交流等方面的功能也会给计算机网络带来不安全因素,由于文件传输功能是网络相当重要的功能之一,这些认为编写的可执行文件一旦出现漏洞极易造成系统的全面瘫痪。
操作系统中的不安全因素还表现在其可以创建进程、远程调用等,若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。而远程调用要经过很多的环节,中间的通讯环节很可能会出现被人监控等安全的问题。而且操作系统的无口令的入口,也是信息安全的一大隐患。无论是多么与时俱进的操作系统都会存在漏洞,甚至一个小小的漏洞就足以使计算机整个网络瘫痪掉。
三、计算机网络安全的防范对策
由于计算机网络存在各种安全隐患,因此建立切实可行的防范措施刻不容缓。管理者在规划、建立和使用计算机网络以及其基础设施时,应该确保其安全性、稳定性与可靠性,除了建立相应管理制度、法规和技术标准外,还应该更多的从技术入手,实施更为可行的计算机网络安全策略:
(一)建设网络防火墙和VPN网络
防火墙主要是通过提前制定安全策略,来实现对计算机网络的访问控制和监测,本质上属于通过隔离病毒来实现对网络安全检测和控制技术。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。建设网络防火墙有助于保证管理系统资源的安全性,为用户提供更隐私的空间,防止敏感信息被窃取和扩散。
建设虚拟专用网在一定程度上扩展了内部局域网络,它通过借助网络的方式,从而设立一个安全性的、临时性的,能够有效的连接公司内部网络的通道。虚拟专用网络的主要对象是远程用户,可以在使用中确保传输数据的安全性。
(二)全面加强网络的安全管理
网络安全离不开网络管理,而网络管理又离不开必要的网络安全技术。管理与技术是关系到计算机网络的两个重要方面因素。当网络病毒出现以后,网络上便会一些杀毒软件,一段时间之后又会产生新的病毒,想要从根本上防止病毒是无法实现的。另一方面来说,大部分用户意识薄弱,认识不到网络安全的重要性,缺乏主动维护系统安全的意识,甚至会出现一些操作性的失误。因此,健全计算机网络安全管理方面的体制便显得尤为重要。
结语:科学技术的推动和互联网的发展造就了计算机网络的产生和发展,并已经渗透到社会生活的各个方面和领域,将人类社会带入了一个全新的时期。同时,网络安全需要我们每一个人参与与维护,计算机网络安全受到了前所未有的威胁,因此需要我们在深刻剖析网络安全问题的基础上积极提出相应的安全防范措施,促进计算机网络技术健康有序的发展。
参考文献:
[1]宋华平;计算机网络安全与防范[J];《机电信息》;2010; (12):33-34
[2]刘君;计算机网络安全分析及其对策[J];《科技风》;2010; (09):57-58
[3]王翔;计算机通信网络安全探讨[J];《科技风》;2010; (8):46-47
网络安全防范体系范文第4篇
关键词: 计算机 网络安全 防范措施
尽管这些年来计算机网络信息和网络安全已经引起了人们的重视,但是不可否认的是,目前我国仍然存在着比较严重的计算机网络信息和网络安全问题,客户信用卡密码和信息、淘宝客户信息等集体泄露,大型网站遭网络黑手攻击等,这些问题都说明了一点,那就是我国的计算机网络信息和网络安全面临着巨大的挑战。现提出一些可行的计算机网络信息和网络安全防护策略,为解决目前网络信息及网络安全问题提供思路。
一、计算机安全的定义
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。”上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
二、影响计算机网络安全的主要因素
1.网络系统本身的问题。目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MSNT和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理及缺乏安全性考虑,因而使其受到影响。
2.来自内部网用户的安全威胁。来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,且如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。
3.缺乏有效的手段监视、硬件设备的正确使用及评估网络系统的安全性。完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。评估分析技术是一种非常行之有效的安全技术。
4.黑客的攻击手段在不断更新。几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
三、确保计算机网络安全的防范措施
如何才能使我们的网络百分之百安全呢?这个问题的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。我们可从提高网络安全技术和人员素质入手,从目前来分析:
1.为了维护网络信息和网络安全,要改革和创新管理。主要包括修订管理的制度,提高相应监督人员的安全和管理意识,备份信息,开发相应的监督管理的应用系统,加大有关部门监督及控制的力度,等等。
2.为了维护网络信息和网络安全,要提高对计算机网络信息和网络安全的重视程度。长期以来网络信息和网络安全一直作为一个补充部分在网络程序设计、系统维护等方面应用,这存在着严重缺陷,因此,要提升对网络的认识,使得网络的地位从补充提高到必须地位上来,对其充分重视起来,解决网络安全问题可以从单点防护的视野中脱离出来,实现综合的防护,要防止应用层面及安全功利化等出现问题。
3.网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。
4.配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效地利用好防火墙。
5.采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以维护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,有的入侵检测设备可以同防火墙进行联动设置。
6.基于Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www,Email,FTP,Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
7.漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决方案是寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大限度地弥补最新的安全漏洞从而消除安全隐患。在安全要求不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而查找网络的漏洞。
8.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时向发出这个IP广播包的工作站返回一个警告信息。
四、结语
网络安全与网络的发展息息相关。建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降到最低点,才能生成一个高效、通用、安全的网络系统。
网络安全防范体系范文第5篇
关键词:计算机;网络安全;防范措施
随着计算机网络技术的应用普及,网络信息信息技术已经渗透到了社会生活的每一个角落,包括人们的生活、工作、学习的方方面面。计算机网络技术在带给人们快捷、方便、优质服务的同时,也带来了一些负面影响,比如病毒的入侵使系统遭到破坏,大量文件、资料丢失;数据在传输过程中受到拦截,使数据失去了完整性与安全性;黑客对系统进行攻击,使系统陷入瘫痪等等。这就对我们的工作、学习、生活造成了一定困扰,同时也使部分企事业单位遭受了不必要的损失。因此,讨论如何构建计算机网络安全的问题,就有着非常重要的现实意义。
1.网络安全存在的问题
1.1人为失误
人为失误所引起的网络安全表现为以下两个方面:一是用户没有网络安全意识,比如用户在填写用户口令时,被别人看到,或者将自己的用户口令、密码告知他人,从而为网络安全埋下了隐患;二是网络管理人员管理上存在失误,比如没有网络配置的级别很低,从而很容易产生安全漏洞。
1.2病毒入侵
电脑病毒实际上就是人为编制程序,计算机在运行这一程序时,能够自动拷贝或者是有修改的拷贝到其他程序之中,从而给计算机系统的运行造成某种障碍,甚至使整个计算机系统进入瘫痪状态。计算机病毒的传播方式有很多,比如收发邮件、插入不安全的U盘或移动硬盘、安装程序时自带的以及不法分子散播的等等。电脑病毒有着传染性、自动复制性、隐蔽性以及破坏性等特点,目前网络上传播的活性病毒就有一万四千余种,而且这一数量还在不断增加,平均以每个月三百到五百的速度快速增长,已经成为威胁网络安全的一个重要因素、
1.3黑客攻击
电脑黑客本身是一个电脑高手,计算机操作水平非常高,而且对于网络特性、计算机配置以及系统的缺陷与漏洞都了如指掌。因此他们可以使用非常隐蔽的手法进入别人的计算机系统,对系统进行攻击与破坏,或者盗取用户的账号与密码,给用户带来了一定的经济损失,还有时一些不良信息在用户的交流平台上,给用户的声誉造成了极坏的影响。
1.4“后门”与软件漏洞
任何一个操作系统都不是完美的,它们都或多或少的存在着一些缺陷,这是很正常的现象,所以需要我们在使用的过程中对这些漏洞加以防范;还有些编程人程为日后方便自己的使用,经常在软件设计中给自己留一个“后门”。这些漏洞与“后门”,都为黑客的入侵埋下了隐患,严重的威胁着计算机的网络安全。
2.加强计算机网络安全的措施
2.1提高网络安全意识
提高网络安全意识是做好计算网络安全工作的一个重要前提,假如单位中的每一个人都有强烈的网络安全意识,要比任何一种安全保护措施都要管用。单位内部有必要全范围的展开网络安全知识宣传工作,让每一个员工都知道计算机病毒、黑客攻击将会带来怎样的损失,从而使他们提高网络安全意识,并培养出良好的使用习惯,不要随便下载、使用不了解的U盘、移动硬盘以及软件,不要浏览不安全网页,防止计算机系统受到木马、病毒的入侵。
2.2物理隔离
物理隔离是指采用有效措施使保密系统与互联网进行物理隔断,也就是使用两个相对独立的硬盘对外网与内网进行分离。这两个硬盘要拥有相互独立的操作系统,而且能够通过自己专用的接口与外部网络进行有效连接,这样就可以保证两个硬盘是相互独立的,两个硬盘没有共享的数据信息,黑客也就无法入侵到单位的内部网络系统之中。物理隔离法可以适用于局域网络,也可以适用于宽带网络,它可以通过继电器来对内网与外网之间的硬盘转换进行控制,使用户能够在内网与外网之间自由转换,同时网络技术与协议也完全透明,操作简便。其不足之处在于:一是用户在内网与外网转换时,必须要进行一定的转换操作,这为用户带来了一定的不便;二是信息系统通常情况下要求内网与外网是相通的,如果采用了隔离卡把内网与外网硬盘隔开,这就给信息内部流转造成了一定的压力。在防火墙技术出现之后,物理隔离只是用在一些特殊的环境中。
2.3防火墙技术
防火墙技术能够有效拦截不安全因素入侵用户的网络系统,其主要目的是防止外部网络用户没有经过授权就对系统进行访问。防火墙是将计算机软件与硬件相结合,使互联网与互联网之间建立起一个安全网关,进而确保内部网不受非法用户的侵入。但防火墙技术却不能防止从内部发出的恶意操作指令,目前还不能够做到单一存在,就可以保证计算机网络系统的绝对安全。所以,我们可以安装非法入侵检测系统,来提高防火墙的性能,以弥补系统存在的缺陷。一旦出现非法访问时,系统就可以立即终止服务,从而能够保证政府、企事业单位以及个人的机密信息安全性。
2.4安装杀毒软件
单位的每一台计算机,都必须要安装一款专业的杀毒软件系统,以保证计算机系统会被木马与病毒入侵,而造成不必要的损失。杀毒软件能够有效拦截、清除越过防火墙,或者是采取其他途径进入计算机系统的病毒、木马以及其他恶意文件。现阶段,电脑病毒的种类以惊人的速度增长,每种病毒对计算机的损害程度也不尽相同。所以,计算机的杀毒软件必须要持续不断的进行更新,以保证对新出现的计算机病毒进行有效防治,同时还要定期对计算机进行全盘查毒与杀毒。
3.总结:
综上所述,随着科技的不断进步,计算机网络技术也得到了飞速发展,其安全问题受到人们的广泛关注。提高计算机网络安全性是一项复杂、系统的工程,需要从思想、管理、技术、设备等多个方面入手,比如提高网络安全意识;物理隔离;防火墙技术;安装杀毒软件等等。同时,我们还要认识到,计算机网络安全问题是不分国界的,需要世界各国的共同努力,各尽其职,积极构建和谐、安全的网络运行环境,只有这样网络安全问题才能够得到根本性的改善。
参考文献:
[1] 史政纲. 浅议计算机网络安全技术的问题及解决办法[J]. 科技资讯 , 2007,(13)
[2] 张龙波. 计算机网络系统的安全防范[J]. 科技资讯 , 2008,(06)
