网络安全防护手段汇总十篇
网络安全防护手段篇(1)
随着当前社会和科学技术的不断发展和应用,网络化通信已成为信息发展的中心,是推动社会进步,存进社会发展的主要手段。互联网,因特网的不断利用为当前各种先进技术和信息的交流打下了基础,为当前社会发展过程中的各种应用手段提供了前提,更为企业在市场发展中的市场认识和市场变动奠定了认知基础和前提。在当前科学技术飞速发展中,网络技术可以说是已成为当前各个国家,各个地区应用的主要手段,早已覆盖了整个世界的各个角落,成为各行各业发展的重点和主要手段。但是随着社会发展中,网络通信技术中的各种问题和隐患也逐步的成为影响通信良好发展的前提基础,更是影响社会因素健康发展的前提基础,在这些隐患和问题中以网络安全隐患和故障为最,是当前信息影响的主要因素和方式。
1、网络防火墙安全问题
网络就好比是一座城市,是一个综合的大型城市,其中存在着各种问题和因素,也存在着诸多的影响和制约关键。网络在刚开始成型的过程中就如同是一座不设防的城市,其在使用的过程中受到各种严重的攻击与侵害,是影响网络安全,制约网络信息传输速度和计算机运行功率。在当前构成网络安全隐患的主要因素和方式有木马、病毒和蠕虫。在这三种职业因素中,蠕虫利用应用最广的电子邮件上的漏洞,在网上猖狂传播,对网络传递中的各种文件进行无休止和耗费和占用用户的存储空间,进而控制其服务器的手段。木马是当前计算机网络使用过程中的重要手段,是潜伏在网站和计算机中,在不备的时候窃取各种信息资源和资料,是当前黑客在攻击的过程中主要的使用手段和方式,更是其而已控制和截取各种资料的关键所在。至于病毒,是通过人为手段编写出各种恶性程序来影响计算机运行和信息传递的过程,进而造成计算机网络的瘫痪。
2、防火墙功能概述
防火墙是一个保护装置,是当前计算机网络使用过程中的主要防护措施和防御工具,是对带各种安全隐患和恶意攻击的主要手段和保证基础。通常是指运行特别编写或更改过操作系统的计算机,它存在的主要作用和目的是保护计算机使用过程中的内部网络安全和网络访问中的各种畅通运行的目标。防火墙可以安装在两个组织结构的内部网与外部的Internet之间,更是对多个网络故障和网络进行保护和共同利用的过程。它主要的保护就是加强外部Internet对内部网的访问控制,通过畅通和允许其安全性的各种访问手段和措施保护计算机的使用流程,是通过对各种恶性网络连接的组织行为。防火墙只是网络安全策略的一部分,它通过少数几个良好的监控位置来进行内部网与Internet的连接。在当今,随着网络化的发展,我们总结对计算机网络的入侵和攻击,其主要的方式和基本手段可以归纳为以下几种:①黑客入侵;②计算机病毒的攻击;③信息的泄露、盗取和破坏;④是计算机使用的过程中内外部人员相互攻击的过程和手段⑤线路连接过程中被有心人利用和干扰,形成信息的泄露和窃听,⑥拒绝服务或注入非法信息;⑦修改或删除关键信息;⑧在计算机使用的时候由于身份截取或称为攻击的目标,⑨人为地破坏网络设备,造成网络瘫痪。在这些因素和安全隐患形成的过程中主要的形成原因在于:①局域网存在的缺陷和Internet的脆弱性;其中存在着各种防范失误和防范安全意识的不够强。②薄弱的网络认证环节和系统易被监视性;③在各种软件和网络服务器设置中存在着严重的漏洞,这些漏洞为各种有心人打下了基础,造就了侵入前提。④缺少准确的安全策略和安全机制;⑤网络安全技术、工具、手段和产品等落后了,没有跟上科技的发展;⑥在计算机使用的时候没有形成先进的备份和系统恢复理念,使得容易受到各种因素的影响造成在使用中的隐患因素。⑦主机的复杂设置和复杂控制;⑧没有认真对待黑客和病毒对计算机的危害和对自己通信技术在使用中的安全隐患,造成在使用中各种问题和物力浪费。只要我们充分认识安全问题的严重性,严格按照安全规则处理,增加网络在使用的过程中各种防范措施和安全性就能够在使用的过程中设置出良好的防护体系。
3、防火墙主要技术特点
在当前社会发展的过程中,随着人们对网络安全意识的不断加深,防火墙在使用和研究的过程中也逐步的朝着新阶段进行,成为当前网络安全的重要保护手段。当前的网络安全控制手段和控制过程中主要是通过对网络数据的控制、过滤为基础进行网络安全的保护和防范措施。在构筑防火墙保护网络之前,需要制定一套完整有效的安全策略是通过这种策略进行网络信息安全传递的过程和技术手段,这种安全策略一般分为两层:网络服务访问策略和防火墙设计策略。
4、网络服务访问策略
网络服务访问策略是当前网络安全保障的前提和基础,是通过其对计算机网络安全进行相应保护的重要手段,是当前社会发展中对网络安全的高层次、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还通过在当前使用的过程中各种拨号手段和保护措施是还有段进行相关的访问和保护应用前提。这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。是当前网路防火墙安全使用过程中的相应保护手段和保护方法。
5、防火墙的设计策略
防火墙是要根据实际应用和相应的规章制度来设计并实施网络服务的访问策略。是以过滤和控制网络数据为基础的。
6、设计时需要考虑的问题
网络安全防护手段篇(2)
一、计算机网络面临的威胁情况分析
计算机网络的安全,是保证网络正常运转的关键,但目前存在的几方面威胁性问题,削弱了其安全性能,严重时可能导致整个网络系统的瘫痪。目前计算机网络面临的威胁,主要有以下几个方面:
(一)实体摧毁威胁。主要指计算机网所在环境中的硬件状态,在外界人为、灾害等主客观因素的干扰下,其软硬件可能受到直接破坏,但这种威胁状态出现的概率较低,一般通过主观的防范,即可避免威胁因素的产生。
(二)操作失误威胁。计算机网络系统的配置,需要通过人为的合理操作才能够发挥既定的功能,但如果人为操作出现失误,不仅无法体现计算机网络系统的功能,甚至可能加剧安全漏洞的出现。操作失误的原因,主要体现为用户安全意识不强、用户口令过于简单、用户账号随意转借、用户信息随意共享等。
(三)黑客攻击威胁。黑客攻击行为通常有两种形式,一种是以破坏为目的的网络攻击行为,即恶意破坏计算机网络系统信息的完整性,另外一种是网络侦察行为,即在不影响计算机网络正常工作的前提下,蓄意截获、窃取或者破译网络用户信息,以上两种黑客攻击行为,对计算机网络安全均有致命的威胁。
(四)系统漏洞威胁。计算机网络的系统基本无法做到百分之百的无漏洞,而这些漏洞,是黑客和病毒攻击计算机网路的薄弱点。如果计算机网络系统没有定时修补漏洞,可能会留给黑客和病毒侵蚀系统的“后门”,对计算机网络安全百害无一利。
二、计算机网络威胁的防御对策
为消除以上提到的计算机网络威胁,我们应该进一步提高网络系统的防御功能,笔者建议构建计算机网络对抗模型,分别从实体层次、能量层次、信息层次、感知层次四个方面,提出相应的防御对策。
(一)实体层次的防御。实体层次的防御对策,主要针对以物理形式直接破坏计算机网络系统的行为,主要的防御重点为计算机网络服务器、网络线路等硬件实体的保护,需要建立完善的计算机网络安全管理制度,综合考虑网络结构、布线等设备布置的合理性,以提高自身抵抗摧毁的能力,另外与外网连接的时候,要借助防火墙将内外部网络结构隔离,通过采取身份验证和数据过滤等权限分级手段,自动屏蔽外部的不安全站点。
(二)能量层次的防御。黑客攻击或者病毒感染,最常见的手段就是物理能量的压制和干扰,对其防御,最直接的方法是利用物理能量探测技术手段,采集和分析计算机的辐射信号,进而提高防电磁泄露和抗电磁脉冲干扰的能力。能量层次防御措施可分为两种类型,一种是借助滤波器加装电源线和信号线防护计算机,尽可能将传输阻抗控制在最小状态,或者加装屏蔽网络,避免网络受到电磁手段的攻击;另外一种是提高自身辐射的防护能力,譬如电磁波屏蔽技术、计算机系统工作干扰防护技术,用于掩盖计算机系统的工作频率和信息特征等。
(三)信息层次的防御。信息层次防御手段较为复杂,需要利用逻辑手段,对抗网络系统的黑客攻击和病毒感染。黑客攻击防御方面,首先是访问控制,针对不正常的非法访问,合理控制入网访问、网络权限、目录级别、属性安全、服务器安全、网络锁定、端口节点等的网络安全级别,以形成良好的网络空间环境;其次是防火墙设置,可根据计算机网络安全防护需求,选择性应用过滤防火墙、防火墙、应用程序防火墙等,提高计算机网络自我“监守”的能力;再次是信息加密技术的应用,在数据、文件、口令等信息保护方面,可在链路、端口、节点等位置加密,根据用户的网络情况,选择合适的加密方式,其中关于密码的算法,有常规算法和公钥算法两种,以授权形式防止非法用户入网操作。而计算机病毒防范方面,针对病毒的传染性、潜伏性和破坏性等特征,引入包括制作、注入、激活等技术手段,根据病毒的种类和性能等,强化计算机网络的信息和网络安全性,尤其是国外关键信息系统的病毒防范技术,可予以参考借鉴。
(四)感知层次的防御。在计算机网络空间的信息对抗中,在技术和逻辑方面可能存在空间漏洞,成为信息窃取的通道,属于超逻辑形式的信息对抗。为此在感知层面上,应该综合考虑黑客攻击的意图,结合实体层次和信息层次的防御手段,建立分层次的纵深安全防护体系,即通过建立具有智能化的入侵检测预警监视系统、高度加密传输手段、防火墙、VPN证书手段,以及划分安全级别和人工信息交换等,分别提供安全管理策略、物理安全策略、访问控制策略、信息加密策略,其中安全管理策略包括计算机网络系统安全等级和安全管理范围的确定,提高系统维护、应急、恢复的能力;物理安全策略重点防护传导发射和辐射信号;访问控制策略,控制入网访问、网络权限等,并合理划分绝密信息、机密信息、秘密信息、公开信息等;信息加密策略是通过对信息的加密保护,基于分布式结构划分安全与和建立防护体系,基于网络生命周期开展防护工作,将安全域防御范围引申到人员、技术、管理等层面,全面保护计算机网络的计算环境、安全域边界、安全部件等。
三、结束语
综上所述,计算机网络的安全,是保证网络正常运转的关键,但目前存在的几方面威胁性问题,削弱了其安全性能,严重时可能导致整个网络系统的瘫痪。目前计算机网络面临的威胁包括实体摧毁威胁、操作失误威胁、黑客攻击威胁、系统漏洞威胁等,为消除这些计算机网络威胁,我们应该进一步提高网络系统的防御功能,笔者建议构建计算机网络对抗模型,分别从实体层次、能量层次、信息层次、感知层次四个方面,全面提高计算机网络威胁防御的能力,为相对安全网络环境的营造,提供有力的参考依据。
参考文献:
[1]杨玉香,鲁娟,胡志丽.浅析网络环境下如何维护计算机网络安全[J].数字技术与应用,2013,(2):173.
网络安全防护手段篇(3)
计算机网络的全面应用与发展,切实为人们的生活和工作带来了便利,同时也拓宽了信息交流渠道,互联网也逐渐成为人们生产生活中不可获取的一部分。但网络实际上也是一把双刃剑,在其快速发展的背后,往往蕴藏着较大的安全风险,网络黑客、病毒植入等情况逐渐增多。为确保每一位用户的网络安全,需在充分理解当前需求的基础上,积极研发各类防御技术,通过实践应用找到其中存在的问题,并采取行之有效的措施加以解决,进而提高网络安全管理水平,防止安全危害的发生。
一、现代网络攻击的特点
1.网络攻击趋于自动化。如今,网络黑客工具层出不穷,非法攻击的发起人不再是以往具有丰富经验的计算机顶级操作者,只要具备简单基础的人都可借助此类工具或软件实施非法攻击,使得网络非法攻击的技术门槛大幅降低,直接增加了防护难度,为网络安全建设带来了不同程度的风险威胁。
2.攻击手段逐渐多样。网络技术与各类应用的持续发展应用,在某种程度上也使攻击的方式趋于多样化,利用系统漏洞实施非法攻击的例子并不少见,在安全漏洞察觉速度不断提高的情形下,网络攻击手段也在逐渐推陈出新,致使网络防御一度陷入僵局。现阶段的网络攻击手段已不局限于扫描窥探、畸形报文攻击等传统方式,通过对近年来几起较为严重的网络攻击事件的总结发现,DoS攻击、IP Spoofing 攻击、Land攻击等一系列新型攻击手段的出现几率正不断提高。
二、目前网络安全防御技术
1.防火墙技术。防火墙是一种充分利用硬软件而组成的系统,主要控制内部网络与外部网络的连接和访问,从狭义的角度讲,防火墙实际上就是一种安装了相应防护软件的系统或主机;从广义的角度讲,防火墙除提供必要的防护功能外,还包含了安全策略与行为约束。
防火墙是建立在内网与外网之间的防护屏障,也可以是一个安全网关,主要用于恶意入侵和各类无法预测危害的发生。防火墙的实际功能为:对安全性不佳的用户与服务进行过滤、管理控制不可信网络的访问、对暴露的用户进行限制、制约非法访问、攻击警报等。防火墙是迄今为止最为常用且有效的防御手段,是切实保障网络安全的主要技术之一。
2.认证技术。认证是一种可有效防止恶意攻击的防御手段,它可对开放环境中的各类消息系统提供安全防护,实施认证技术的目的在于:
(1)验证消息的者是否合法;
(2)验证所的消息是否安全可靠,并保证信息传输过程中不会被攻击者篡改。
当前较为常用的认证技术为:信息认证、身份认证以及数字签名等。其中,信息认证技术的应用可以很好的解决在通信双方利益和危害均保持一致的情形下所出现的入侵和破坏防护等问题。此外,数字签字还可有效防止第三方以他人名义发送或接受信息的行为。
3.取证技术。取证技术主要包含动态和静态两种形式。其中静态取证指的是,在系统遭受侵害时,通过采取各类有效手段的方式,对危害进行取证和分析。在当前情况中,静态取证的应用范围较为广泛,在遭受入侵之后,对信息数据实行确认、抽取与分析,抽出凭证,这一系统过程会涉及数据防护技术、系统磁盘复制技术、数据信息识别技术、数据信息提取技术、数据信息分析技术、加密技术、解密技术等。
动态取证作为计算机取证技术的主要发展方向,是指在计算机中预先安装,在入侵发生时,可对系统的操作行为生成对应的日志,已达到动态记录的目的。充分运用文件系统所具有的特性,相关工具加以辅助,从而对损失的文件进行恢复,然后将日志上传至取证机中进行备份,为入侵行为的发生提供有力的证据,实现网络安全的综合防护。在动态取证中,具有一定典型特征的技术有:非法入侵检测技术、非法入侵取证技术、追踪技术、数据采集技术、数据过滤技术、信息的动态获取技术、IP获取技术等。
三、网络安全新技术
随着网络在人们的生活、工作和学习中越来越普及,网络安全问题也越来越困扰着人们,除了上述提到的几种安全技术,一些新的防御手段也逐渐开发出来,应用到网络中。
1.蜜罐技术。蜜罐是一种近几年兴起的安全防御技术,凭借其独特的思想和理念逐渐得到了多数人的关注和应用。蜜罐技术由Lance spitzner创作,他给出了该防御技术的定义,即为:蜜罐实际上是一个安全资源,其基本价值主要体现在扫描、攻击与攻陷,随后针对各种攻击活动实施监视、检测与研究。蜜罐技术的具体防御机制为,短暂容忍入侵行为,同时对攻击方式、攻击目的等进行记录和学习,特别是未知的攻击信息,进而对网络做出相应的调整,采取必要的安全措施,提升系统的安全性。此外,该技术还可有效转移攻击发起者的注意视线,消耗攻击者的资源及精力,从而起到间接防护的作用。蜜罐技术可以为使用者提供动态识别各类攻击的手段,将成功捕获的重要信息向防护系统中反馈,进而达到动态提升系统防御力的目的。然而由于蜜罐技术是一种新兴技术,所以其还处在起始阶段,但它所具有的独特功能和防御能力,正逐渐成为防护体系的重要组成部分,通过不断的完善和发展,该技术势必会得到更加广泛的应用,充分发挥其防御能力,使非法攻击无从下手。
2.攻击吸收及转移技术。在特殊环境下,若在发现攻击时对当前的连接进行迅速切断,虽然可以有效避免后续危害,但这样一来就无法对攻击者的行为进行观察,不利于类似攻击方式的防范。攻击吸收及转移技术是近几年兴起的防御技术,该技术的全面运用可以极短的时间内将攻击包吸收至相应的诱骗系统当中,不仅可以对和攻击者之间的连接进行快速切断,还可有效保护主机,此外还能对攻击行为和方式进行分析,为类似攻击的防范提供基础支持。
在未来的网络安全中,将会面临着更加严峻的考验,不仅攻击方式丰富,且危害性也在不断提高。为此,相关人员必须充分理解防御技术应用与发展必要性,综合分析网络安全现状,结合自身实践经验,积极研发各类杀毒软件,并对服务器的安全进行加强,及时更新软件与补丁,切实做好网络安全管理。另外,人们还需转变传统观念,网络安全不单单是安装各种杀毒软件这么简单,而是需要将系统应用、服务器等进行有效的结合,进而形成一个完善、健全的防御体系,以有效防止所有类型的入侵和攻击。
参考文献:
[1]应向荣.网络攻击新趋势下主动防御系统的重要性.[J].计算机安全.2003.
网络安全防护手段篇(4)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)22-5312-02
随着信息军事时代的来临,“网络中心战”、“网络中心行动”成为当前军事领域战争行动的基本方式。军队计算机网络是实施网络中心战、网络中心行动的关键基础设施,是敌重点攻击的对象,其安全防护情况直接关系其效能作用的发挥,关系到战争的胜负,因此必须认真研究分析其安全形势,剖析存在问题,采取有力措施,提高安全防护能力。
1军队计算机网络安全形势分析
1.1形势的严峻性
信息军事时代,信息安全成为军队安全的重中之重。军队计算机网络是承载信息的重要平台,围绕网络展开的信息窃密与反窃密斗争正愈演愈烈。一些国家和地区利用网络大肆窃取我军秘密信息,并综合盗用黑客、木马、病毒攻击及窃取等多种信息作战手段对我网络进行破坏,严重威胁着国家和军队安全。
1.2威胁的多元性
军队计算机网络虽然在物理上与其他网络隔离,但是由于系统建设规模大、涉及领域广、组织结构复杂、缺乏严密的法规标准,使得军队计算机网络安全防护异常困难,从某种意义上讲,计算机网络上任何一个环节和关节点的被突破,都可能使全网和全系统瘫痪,后果不堪设想。
1.3事件的突发性
计算机网络安全威胁往往具有潜伏性和不可预测性,对被攻击方而言安全事件呈现出极强的突发性,被攻击方往往会丧失宝贵的防御时间,为信息安全事件处置带来极大的挑战,计算机网络安全威胁中的很多事件还没有被察觉,就已经造成不可预料的损失。目前,计算机芯片、骨干路由器和微机主板等核心技术多数仍由国外进口,一旦敌对势力在特定的时间激活恶意程序,就可以在我们毫无察觉的情况下瞬间发起攻击,造成整个系统的瘫痪。
1.4处置的艰巨性
信息化条件下,信息争夺空间巨大、流动性强,领域不断拓展,安全隐患不断增多。而当前部队部分人员信息安全观念淡薄;安全防护技术手段落后,针对性应急处置手段缺乏;法规制度不完备,组织安全防护力度差,对部分安全事件防护处置策略缺少相应的规范和力量。军事网络失泄密一旦发生,将导致整个网络震荡,失密影响范围广泛,泄密后果十分严重。
2军队计算络安全存在的主要问题
计算机网络安全保密工作十分重要,目前,我军计算机网络安全方面还存在以下问题:
2.1网络安全防护意识比较淡薄
目前,部队计算机网络建设普遍受到高度重视,但是有些单位仅仅看到网络建设带来的显著效益和便利,而对计算机网络系统安全防护建设同步规划、同步建设的认识较为短浅。从计算机网络安全防护系统建设投入看,国外计算机网络安全防护投入占整体投入的10-20%,我国仅占到2-5%,不足国外的四分之一,军队在此方面的投入也明显不足。同时,受长期和平环境影响,“有密难保、无密可保”的思想意识普遍存在,对网络安全问题关注不够,思想意识比较淡薄,影响到计算机网络整体安全防护建设的发展。
2.2网络安全防护建设相对滞后
我军围绕作战应用需求,重点加强了光纤传输链路建设,网络基础已经比较配套,但安全防护建设却明显滞后。部分单位未对网络进行防火墙、保密机配套建设;相当数量的终端没有安装防病毒系统;入侵检测没有完全发挥起作用;安防系统系统建设各自为战,无法形成整体安全防护体系等,这些都制约了计算机网络安全防护整体水平的发展。。
2.3网络安全防护标准尚未健全
当前,我军陆续颁布了一系列与网络信息安全相关的法律法规,但在安全保密等级划分、网络安全体系规范、网络安全策略制定、网络防护手段使用规范等方面仍存在不足。例如,对军队网络安全体系建设标准中部分设备、系统未进行明确;安全防护等级虽已明确,但配套手段还没有统一进行明确,无法达到最佳防护。同时,制度标准的落实情况也令人堪忧,有令不行、有禁不止的现象随处可见,这些都对军用计算机网络系统带来了巨大的安全隐患。
2.4网络核心技术受制于人
虽然近年来我国的信息技术得以飞速发展,但仍没有摆脱技术落后的局面,特别是计算机芯片、操作系统、路由协调等核心技术仍然没有摆脱国外的束缚。目前,我军大多数信息网络采用的都是微软的windows系列操作系统和TCP/IP、IPX/SPX等网络协议,这些系统的共同特点是在设计之初主要考虑了易用性而忽视了系统安全性,使军事信息网络自身从建设之初就存在安全隐患。
3加强军队计算机网络安全防护的对策措施
计算机网络应用与安全防护问题相生相伴,是“矛”和“盾”的关系,信息安全问题将长期存在,不可能彻底避免和消除。为此,必须着眼防患于未然,积极建设计算机网络安全防护体系,有效提升网络安全防护能力,确保“非法用户进不来,秘密信息取不走,网络平台摧不垮”。
3.1强化人员安全防护意识
强化军队人员的信息安全意识,一是通过大众传播媒介,增强信息安全意识,普及信息安全知识,依托信息服务网站开设信息网络安全知识普及专栏,提高安全防护能力,增强部队官兵信息安全防范意识。二是积极组织各种专题讨论和培训班,培养信息安全人才,使部队有计算机网络安全防护方面的“明白人”。三是要积极开展安全策略研究,明确安全责任,增强人员的责任心,全面提高部队信息安全防护能力。
3.2建立健全安全管理机制
针对我军军事信息网络安全防护现状,制定和完善军队计算机网络建设、管理与安全防护机制,确立网络安全防护工作科学、合理的运行机制。一是配套法规标准。建立健全制度规定,明确各级责任、措施、手段;制定标准规范,明确建设技术体制;规划安全策略,明确设备系统防护标准,以完善网络安全法律体系,使信息安全管理走上法制化轨道,确保信息网络安全有法可依、有章可循。二是建立协调机制。信息安全防护工作涉及多个业务职能部门,加强部门之间的相互协调、相互补充、统一规划、统一管理,提升整体防护能力。三是组建安全队伍。建立计算机网络安全防护中心,明确安全防护机制,建立安全防护组织领导管理机构,明确领导及工作人员,制定管理岗位责任制及有关措施,严格内部安全管理机制,并对破坏网络信息安全的事件进行调查和处理,确保网络信息的安全。
3.3构建安全技术防护体系
重点加强四个体系建设:一是安全监察体系。建立健全网络安全监察机制;配套建设计算机网络入侵检测、流量分析、行为审计等系统,增强安全事件的融合分析能力;配备安全管理系统,实现对全网安全策略的统一管理和控制;加强安全服务保障体系建设,提供病毒库升级、补丁分发、安全预警等安全服务,通过各系统的综合应用,提高网络的综合安全分析能力。二是终端防护体系。建立协调管理机制,规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设;强化系统访问控制,设定用户访问权限,防止非法用户侵入或合法用户不慎操作所造成的破坏;加强实体鉴别,保证用户在获取信息过程中不受干扰、不被假冒,确保用户终端实体的可信;加强身份认证,为设备、用户、应用等颁发数字证书,并提供数字签名、身份验证、访问控制等服务,防止非授权接入和访问;加强终端保护,进行终端操作系统的安全加固,防止非法登录网络,保证终端资源的可控;提供病毒防护功能,适时查杀病毒、检查漏洞;提供主机入侵检测功能,防止对终端的攻击行为,从而全面建立终端防护体系,为终端用户构造一个安全环境。三是安全评估体系。按照军队有关防护标准,综合运用漏洞扫描、取证分析、渗透测试、入侵检测等系统和手段对网络进行扫描分析,客观分析网络与信息系统所面临的威胁及其存在的脆弱性,对安全事件可能造成的危害程度进行科学的定性定量分析,并提出有针对性的防护对策和整改措施,全面防范、化解和减少信息安全风险。四是应急响应体系。加强信息安全应急支援队伍建设,明确应急响应处置方法及原则;充分考虑抗毁性与灾难恢复,制定和完善应急处置预案根据安全级别的要求来制定响应策略;建立容灾备份设施系统,规范备份制度与流程,对域名系统、网管系统、邮件系统及重要业务系统等重要信息、数据适时进行备份,确保系统崩溃以后能够在最短时间内快速恢复运行,提高信息网络的安全性和抗毁性。
3.4发展自主信息安全产业
自主信息产业或信息产品国产化能够为信息安全提供更高保证。要加强计算机网络安全保密设备和系统的“军产化”,“独立化”建设。为此,应抓好以下几个方面的工作:一是组织核心技术攻关,如研发自主操作系统、密码专用芯片和安全处理器等,狠抓技术及系统的综合集成,以确保军用计算机信息系统安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等,有效提高军用计算机网络的安全防护能力。三是寻求监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我军特色、行之有效的计算机网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全受制于人的被动局面。
军队计算机网络安全防护涉及要素众多,是一个系统的整体的过程。在进行防护时,要充分认清计算机网络安全面临的严峻形势,认真查找存在的问题,系统整体的采取有针对性的防范措施,从而提高网络安全防护能力。
参考文献:
[1]曹旭.计算机网络安全策略探讨[J].计算机安全,2011(21).
[2]刘萍.计算机网络安全及防范技术探讨[J].科技信息,2010(15).
网络安全防护手段篇(5)
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)08-0166-01
当今时代,是高科技的网络时代,拥有安全、可靠的计算机网络环境是用户梦寐以求的愿望,因为安全可靠是保证工作性能的基础,因此,计算机的网络安全是优质公共事业服务的环境,它可以使企事业单位利用计算机和网络的办公、生产、经营活动有序,并可以使计算机网络可以规范的为社会效益与经济效益服务。网络技术的发展也对计算机网络的综合安全性提出了严峻的考验,信息化的高科技时代越来越离不开安全可靠的网络化。但由于计算机网络自身的特性,如自由性、广阔性、开放性制约着必然存在较多的安全漏洞、安全隐患,也使不法分子和一些黑客由于利益的驱动,是他们利用技术手段对计算机的软件程序进行威胁攻击,通过非法的手段窃取或破坏具有价值的资料,这些资料对于拥有者也可能是非常重要的私人信息、重要的数据,由于黑客的攻击致使网络服务中断,由于感染病毒,致使计算机的运行速率减慢甚至是将计算机的整体系统受到彻底的崩溃。
1、计算机网络安全中常见的攻击手段
在应用的计算机网络系统中,它们的运行平台空间可以传输与存储海量的数据,这种存储方便的功能,同时极有可能被非法盗用、篡改或暴露,就是在正常的使用环境中稍不留神,也可能受到黑客们的攻击,他们的攻击手段一般就是采用监听、假冒、扫描、篡改、恶意攻击、阻隔服务等许多方式。
1.1 网络通信攻击手段的表现形式
计算机网络平台为不同地域、空间的人们创设了共享交流的工具,当用户通过网络进行通信联络交流时,如果没有设置有效的保密防护措施,同样位于网络中的其他人员便有可能偷听或获取到通信内容。该类窃取信息内容的攻击方式主要通过对计算机系统与网络信息进行监听进而获取相关通信内容。网络黑客常常利用该类监听手段对其想要获取信息的对象展开攻击,窃取用户账号、网址或密码,可能导致重要保密信息的泄漏。例如,操作应用系统的主体类型、IP地址、具体开放的TCP端口、口令信息、系统用户名等内容。黑客们还会利用假冒身份手段对各类业务应用进行伪造,通过对各类金融业务信息的伪造、数据篡改、更改金融业务信息流时序、次序与流向,对其金融信息的综合完整性进行破坏,假冒合法用户身份对信息进行肆意篡改并开展金融欺诈等。
1.2 网络系统自身攻击手段介绍
排除通信过程中相关信息安全问题外,计算机网络系统自身也会受到一些不良恶意程序的威胁攻击,例如病毒攻击、木马、蠕虫攻击、逻辑炸弹攻击等。这些黑客们向网络系统大量发送ping包进向服务器进行攻击,使网络系统服务器由于长期处于超负荷工作状态,致使相关的服务器出现瘫痪问题。另外入侵者还可通过对网络系统发送不良电子邮件,借助网络系统传播功能令公司整体网络的持续服务与正常运行受到不同程度的影响,还有可能令整体网络系统被不良破坏。随着信息技术的日新月异,网络安全已被摆上日益突出的位置。
2、安全网络防火墙的局限性
在计算机网络中有不同类型的防火墙。这种称作防火墙的硬件是计算机系统自身的一部分,通过网线将因特网和计算机连接起来。防火墙可以使用在独立的机器上运行,也可以将这个机器作为支持网络的所有计算机的和防火墙,但是我们不要以为在机算机设备中运行了防火墙,计算机网络安全就万事大吉了,放火墙还有许多局限性。
2.1 普通应用程序加密防火墙无法检测
网络防火墙它不是现实中的障碍物,它是计算机的一个软件。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种攻击代码具有较强的破坏功能,只要与防火墙规则库中的不一致,就能够躲过网络防火墙的防护。
2.2 加密的web应用程序无法检测
网络防火墙是于1990年发明的,这种用于检测的防火墙,是基于网络层TCP和1P地址,但随着计算机的发展,由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。
2.3 对于web的应用程序防火墙能力不足
对于常规的企业局域网的防范,虽然通用的网络防火墙仍占有很高的市场份额,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。即使是最先进的网络防火墙,在防范web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。
2.4 防火墙的应用防护只适用于简单情况
先进网络防火墙供应商,虽然提出了应用防护的特性,但只适用于简单的环境中。对于实际的企业应用来说,这些特征存在着局限性。有些防火墙供应商,声称能够阻止缓存溢出,但是,如果一个程序或者是一个简单的web网页,防火墙具有防护的局限性只能屏蔽。
2.5 防火墙无法扩展深度检测功能
设置的网络防火墙,如果针对所有网络和应用程序流量的深度检测功能,防火墙是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,基于网络的A-SIC平台对于新的深度检测功能是无法支持的。
3、结语
基于计算机网络安全的现实重要性只有认清形势、合理明晰影响网络安全的常见攻击手段、原理与方式,深入探索保护网络安全的有效防范技术策略,才能有效提升网络系统综合安全性能,令各项服务管理事业在健康、优质的网络信息环境中实现可持续的全面发展。
网络安全防护手段篇(6)
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2014)05-0193-01
1 引言
随着计算机互联网技术的飞速发展,计算机网络已成为人们获取和交流信息的最重要的手段。人们的工作、学习和生活方式也因此发生着巨大的变化,越来越依赖计算机网络,与此同时计算机网络的安全问题也日益凸显,逐渐成为一个突出的社会热点问题,所以对计算机网络安全与防护的研究迫在眉睫。
2 计算机网络安全与防护的重要性
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。
在我国,针对银行、证券等金融领域的计算机网络安全问题所造成的经济损失已高达数亿元,而且其他行业的网络安全威胁也同样严峻。由此可见,不管是偶然的泄露,还是恶意的破坏,都将会造成不可估量的损失。因此,计算机网络安全与防护的重要性可见一斑。不管是在局域网还是在广域网中,必须要采取有效的网络安全措施来全方位应对各种不同的网络安全威胁,这样才能确保网络信息的保密性、完整性和可用性。
3 影响计算机网络安全的因素
3.1 网络系统自身的漏洞
众所周知,无论哪一款操作系统,都存在或多或少的安全漏洞,而这些不可消除的漏洞正好给黑客创造了条件,黑客们可以肆无忌惮的侵入到系统里面,给计算机网络带来极大地隐患,造成不可估量的损失。同时,网络中信息传播的方式是一种开放式的,这也直接决定了网上传播信息很容易被截获或篡改。
3.2 来自内部网用户的疏忽
人的因素是计算机网络安全中的最大隐患,而来自内部用户的隐患远远大于外部用户的隐患,也就是说,由于管理员或者用户防护意识的缺乏将会是网络安全的最大威胁。比如操作者不小心打开了恶意网站,没有及时删除文件等等,都会使得信息被窃取,造成巨大的损失。
3.3 缺乏有效的监控手段
黑客们之所以能肆无忌惮,网络上之所以有各式各样的病毒,都是因为缺乏有效的监控手段,未能形成有效的监控机制,于是导致了各种网络犯罪,例如,2005年的“飞客”病毒、2012年的“鬼影”病毒,2013年的“磁碟机电脑病毒”,都是由于监控手段的缺乏,导致了严重的计算机网络安全问题,引发了极其恶劣的影响。
4 计算机网络防护
计算机网络防护是通过特定的技术达到软、硬及传输信息安全的行为。计算机网络防护手段能够很大程度的保证计算机网络的安全。主要从以下几个方面阐述计算机的防护。
4.1 加强防护意识,健全防护机制
人为因素是重要因素,所以通过加强使用者的安全防护意识、健全安全防护机制能从根源解决问题,能够有效规范计算机用户和管理员的行为,并能提高用户和计算机系统管理员的专业素质和职业水准,让计算机操作人员形成较好的习惯,最大限度地保证计算机网络安全。比如,及时关闭或删除系统中不需要的服务。在通常情况下,许多操作系统会安装辅助服务,如FTP客户端和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
4.2 采取合理的防火墙技术
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种隔离技术,它允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外。防火墙技术是一种比较有效的防护手段,因为黑客要想访问内网就必须通过连接外网来实现,而访问内网的目的是窃取重要的机密与信息,采用防火墙技术可以有效地防止此类现象发生。防火墙的最佳位置是安装在内部网络的出口,这样可以控制外网与内网之间的访问,使外网连接都要经过保护层,并对外网的状态和活动进行监听,对一些非法入侵的活动进行及时的控制和分析。达到只有被授权的活动才可以通过防火墙保护层的目的,这样可以起到很大的防护作用,从而减少内网重要机密信息遭受入侵的可能性。
4.3 加强数据加密技术
数据加密技术是指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文,而接收方则将此密文经过解密函数、解密钥匙还原成明文的一项技术。简单的讲,就是通过使用密码或代码将某些重要的信息或数据从可以理解的明文变成一种错乱而不能理解的密文,完成对在存储体内或传送过程中信息的保护,防止以明文方式被窃取,确保信息安全。数据的加密技术包括数据传送、数据存储、密钥和数据的完整性四部分,各个部分都能对数据信息进行全方位的安全性保护,有增加密码、身份验证审核、转换加密、加密密钥、端加密、还有身份、密钥、口令的鉴别,包括最后的自动解密。这样可以有效保证重要信息在传输过程中的安全和保密。
4.4 病毒防护技术
计算机病毒,是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,主要包括木马病毒和蠕虫病毒。病毒主要的传播方式有隐藏在邮件附件当中借助邮件以及利用系统的漏洞传播。因此,首先我们必须注意邮件的来源,打开邮件之前进行扫面,尤其是文件名带有“exe”的邮件,主观上杜绝病毒的侵害。其次,要做到注意共享权限,从正规的网站下载软件,从病毒的载体上减少危害。我们最后我们应该做到定期下载最新的安全补丁,更新杀毒软件,防止“漏网之鱼”进一步危害我们的计算机网络。从而确保我们最大限度的防止病毒的侵入,减少计算机病毒所带来的危害。
5 结语
计算机网络极大地方便了我们的生活,但是计算机网络又时刻面临着安全威胁。尽管现在用于网络安全的产品有很多,比如防火墙、杀毒软件、入侵检测系统,但是我们周围仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除,这就使得黑客有机可乘。虽然如此,安全防护仍然是必须的,而且应该慎之又慎,最大限度的减少黑客的入侵,从而保护我们的计算机网络安全。总之,计算机网络安全防护技术有很多,但是仅靠其中的某一项或几项难达到好的效果。这需要我们在加强安全意识的同时还要做出细致而全面的多级安全防护措施,才能够尽可能的确保计算机网络的安全可靠性,才能更好的将计算机网络运用于我们的日常生活中。
参考文献
网络安全防护手段篇(7)
二、计算机网络安全的防护措施
网络安全防护是计算机网络使用的重点关注问题,是确保计算机网络安全、稳定的前提。目前,最常用的技术是防火墙技术,此外还有加密数据、计算机网络访问控制等技术。这些技术的应用很好的保障了计算机网络使用的安全性。
(一)防火墙防护措施防火墙技术被广泛的使用在各种网络环境中,通过网络通信扫描对网络流通数据进行监测、限制。就像一面“墙”将内部网与外部网隔离开,对一些可疑文件包等进行过滤、处理,从而确保了内部网使用的稳定、安全。防火墙的防护优势主要表现在以下几点:1.进入内部网的信息都是经过防火墙过滤后才能通过的,降低了内部网的安全风险,避免了一些恶意软件、木马程序等对计算机的入侵、破坏。2.通过防火墙的信息会被防火墙收集和记录,内部网和外部网的一切活动都需在防火墙的监控下进行。在防火墙的严密监测、限制下,计算机网络对于不安全隐患的预警功能大大提高,有效保护了计算机网络的安全运行。3.防火墙可以进行网络使用端口设置,对一些特殊网站进行访问限制,有效的阻止了一些恶意软件的入侵,同时确保了信息的正常输出。
(二)防病毒技术的应用防火墙最大的作用是对计算机网络信息的过滤、监控和限制。但防火墙对于绕过防火墙的病毒却无能为力。防病毒技术的应用就是为了应对绕过防火墙的计算机网络病毒。首先,应用防火墙将带病毒文件、数据隔离在内部网之外,避免其越过防火墙造成计算机网络的安全隐患。其次,利用防病毒软件对已入侵的病毒进行“消灭”。一方面,要注意电脑病毒的类型、特点,有针对性的进行检测、杀毒。另一方面,对检测到的病毒及时的清除、处理,确保计算机网络使用的安全、稳定。再次,对计算机的数据库做必要的备份,避免数据被病毒破坏后无法恢复。确保数据的安全性、完整性,确保其能满足计算机操作使用。同时,根据需要进行数据库的增量备份、事物日志填写等。
(三)加密数据防护措施加密数据防护是利用信息加密技术对计算机网络进行保护的一种手段。首先,为保护内部网数据、文件等的安全,对其进行加密设置。通过链接加密、节点加密、收尾加密等形式,减低外来攻击对计算机的入侵。其次,通过加密确保内部网络数据传输的安全性、可靠性,防止数据信息被拦截、破坏。再次,加强计算机网络的访问控制,对数据资源的应用安全进行不同等级的检测、控制,防止数据信息被非法使用、恶意破坏等。此外,还要注重加密的隐秘性、便利性,确保计算机网络应用的效率。
(四)入侵检测防护措施入侵检测防护是防火墙的有益补充,其相互作用能起到更好的计算机网络防护作用。首先,入侵检测系统会对不同的网络资源进行采集、分析和判断,对异常文件包等进行阻止并报警。其次,入侵检测系统会对用户和系统行为进行监控,对计算机的异常行为进行跟踪、响应,将计算机网络的安全风险降到了最低。再次,入侵检测系统会自动建立事件数据库,将各种中间、最终的数据进行统一的存储、分析,并对检测到的漏洞进行攻击。
(五)其他防护措施除上述外,系统容灾、漏洞扫描修复等技术也被广泛的应用于计算机网络安全隐患的防护过程中。在计算机网络应用过程中,计算机网络操作者、管理者总是绞尽脑汁、想尽办法确保计算机网络运行的安全、稳定,确保电脑数据的安全、完整。避免信息泄露、病毒入侵等对企业或个人造成的重大损失。其主要手段就是通过控制、检测将计算机网络的安全隐患隔绝在内部网络之外。再结合杀毒软件、入侵防护等对侥幸进入的恶意软件、不良软件进行跟踪、分析和清除。
三、计算机网络安全的防护分析
计算机网络安全防护固然重要,但万事都有其适当性。在计算机网络安全防护过程中要避免盲目、跟风行为,理智的、规范的设计、执行计算机安全的防护措施。如何对计算机网络安全进行最有效的防护,首先,要从计算机的安全防护规范的建立和完善做起。广义的计算机网络包含计算机、打印机等,其病毒、木马程序等的传播途径也是多样的。可以通过网络传播,也可以通过U盘、光碟等传播。因此,总给人一种“防不胜防”的危机感。在计算机网络防护中。第一,要规范计算机网络的使用范围,封死恶意软件的传播途径。同时,对各操作人员的权限进行严格的审核、审批,确保放权的准确性和操作的流畅性。对调职人员、离职人员,及时的收回其用户名、修正其使用权限。第二,规范计算机网络的使用途径,对用户权限、身份等进行严格的管理。避免越权操作、随意操作,确保出现问题时责任清晰、明确。第三,选择适当的电磁兼容环境,避免辐射导致的收据错误、传输干扰等。第五,小心审核陌生文件、文件包等,在计算机上安装必要的安全防护软件,并及时的修补系统漏洞,避免外来入侵。第六,定期对电缆、电源、网络连接等进行检查,防止相关部分受损、遭到破坏等,保持计算机网络运行的良好环境,确保计算机网络环境的软、硬件设施的安全。第七,加强计算机网络安全教育,对员工进行软件、硬件、数据等方面的培训,提高员工的计算机网络安全意识,避免因工作失误造成的数据、文件等的泄密、损坏情况发生。
网络安全防护手段篇(8)
中图分类号:C913.3文献标识码:A文章编号:1005-5312(2010)12-0088-01
一、网络安全概述
(一)网络安全的基本概念
网络安全包括物理安全和逻辑安全。对于物理安全,需要加强计算机房管理,如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施;而对于后者,则需要用口令、文件许可和查帐等方法来实现。
(二)网络面临的主要攻击
⑴ 缓冲区溢出。
⑵ 远程攻击。
⑶ 口令破解。
⑷ 超级权限。
⑸ 拒绝服务(DDOS)。
二、安全需求
通过对网络系统的风险分析,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据。
机密性: 信息不暴露给未授权实体或进程。
完整性: 保证数据不被未授权修改。
可控性: 控制授权范围内的信息流向及操作方式。
可审查性:对出现的安全问题提供依据与手段。
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
三、网络安全防护策略
个人建议采用如下的安全拓扑架构来确保网站的安全性,其中我们主要采用以下五项高强度的安全防护措施:如图3-1所示:
(一)层层布防
从上图中,我们可以看到,我们将安全层次划分为四个层次,不同的层次采用不同的策略进行有效的安全防护。
第一个层次,是外部Internet,是不能有效确定其安全风险的层次,我们的安全策略就是要重点防护来自于第一个层次的攻击。
第二个层次,是通过路由器后进入网站的第一个安全屏障。该层主要由防火墙进行防护和访问控制,防火墙在安全规则上,只开放WWW,POP3,SMTP等少数端口和服务,完全封闭其他不必要的服务端口,阻挡来自于外部的攻击企图。同时,为了反映防火墙之内的实际安全状态,部署网络入侵检测系统(IDS)。入侵检测系统可以检测出外部穿过防火墙之后的和网络内部经过交换机对外的所有数据流中,有无非法的访问内网的企图、对WWW服务器和邮件服务器等关键业务平台的攻击行为和内部网络中的非法行为。对DDOS攻击行为及时报警,并通过与防火墙的联动及时阻断,网络遭受DDOS攻击。
第三个层次,是一个中心网络的核心层,部署了网络处置中心的所有重要的服务器。在该层次中,部署了网站保护系统,防范网页被非法篡改。
此外,还部署网络漏洞扫描系统,定期或不定期的对接服务器区进行漏洞扫描,帮助网管人员及时了解和修补网络中的安全漏洞。这种扫描服务可以由网络安全管理人员完成,或者由安全服务的安全厂商及其高级防黑客技术人员完成。
第四个层次,是网络安全中心网络的数据存储中心,放置了数据库服务器和数据库备份服务器。在该层次中,部署了防火墙,对数据库的访问通过防火墙进行过滤,保证数据的安全性。
(二)多种防护手段
我们设计的高强度安全防护措施,包括多种防护手段,即有静态的防护手段,如防火墙,又有动态的防护手段,如网络IDS、网络防病毒系统。同时,也考虑到了恢复和响应技术,如网站保护和恢复系统。不同的防护手段针对不同的安全需求,解决不同的安全问题,使得网络防护过程中不留安全死角。
(三)防火墙系统
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在此次的网络系统安全建设完成后,防火墙将承担起对合法地址用户的路由和对私网地址用户的地址转换任务(NAT),同时,将根据需要对进出访问进行控制。防火墙可将网络分成若干个区域,Trust(可信任区,连接内部局域网),Untrust(不信任区,连接Internet ),DMZ(中立区,连接对外的WEB server、e-Mail server 等)之后,还可以由客户自行定义安全区域。
(四)网络入侵检测系统的作用
通过使用网络入侵检测系统,我们可以做到:发现谁在攻击网络:解决网络防护的问题(网络出入口、DMZ、关键网段)。了解接网络如何被攻击:例如,如果有人非法访问服务器,需要知道他们是怎么做的,这样可以防止再次发生同样的情况。IDS可以提供攻击特征描述,还可以进行逐条的记录回放,使网络系统免受二次攻击。
处置中心网络的内部危险:放置在网络中的IDS会识别不同的安全事件。减轻潜在威胁:可以安装在特定的网络中,确定依具体情况而定的或是所怀疑的威胁,通过策略阻断和其它安全产品进行全面防护。事后取证:从相关的事件和活动的多个角度提供具有标准格式的独特数据。实现安全事件来源追查。 DDOS攻击防范:通过实时监控网络流量,及时发现异常流量并报警,通过和防火墙联动,对DDOS攻击进行阻断。
四、安全服务
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。由于这方面相对比较复杂、篇幅所限,在此就不累述了,有兴趣读者可以另行查阅相关资料。
五、总结
毫无疑问,安全是一个动态的问题。在做未来的计划时,既要考虑用户环境的发展,也要考虑风险的发展,这样才能让安全在操作进程中占有一席之地。最谨慎、最安全的人会将他们的信息放在屋子里锁好,妥善地保护起来。归纳起来,对网络安全的解决方案从人员安全、物理层安全、边界安全、网络安全、主机安全、应用程序和数据安全这几方面入手即可。上述几个方面做好之后,我们就可以让一个网络系统:
进不来: 通过物理隔离等手段,阻止非授权用户进入网络。
拿不走: 使用屏蔽、防下载机制,实现对用户的权限控制。
读不懂: 通过认证和加密技术,确信信息不暴露给未经授权的人或程序。
改不了: 使用数据完整性鉴别机制,保证只有允许的人才能修改数据。
走不脱: 使用日志、安全审计、监控技术使得攻击者不能抵赖自己的行为。
参考文献:
[1]沈昌祥.信息安全纵论[M].武汉:湖北科学技术出版社.2002年版.
网络安全防护手段篇(9)
中图分类号:TP393 文献标识码:A 文章编号:1672-3791(2012)08(b)-0024-01
1 计算机网络面临的安全威胁及隐患
(1)网络硬件存在安全隐患。一是核心技术受制于人。当前我国所使用的计算机芯片、骨干路由器和微机主板等主要是从国外进口的,且对引进技术和设备缺少必要的技术改造,一旦不法分子在硬件设备中预先安置后门程序,后果不堪设想。二是操作系统存在隐患。目前,我们使用的主要操作系统都是微软的Windows系列操作系统,这个系统设计之初考虑的是易用性而忽视了系统的安全,非授权用户或黑客可通过漏洞对网络进行攻击,而且此系统本身比较脆弱,易受温湿度、磁场、污染等外部环境的影响而出现故障。三是易遭非法终端接入。现有硬件设备很可能被非法分子在现有终端上并接一个终端,或非法终端在合法终端从网上撤下时乘机接入并操纵计算机通信接口,或通过某种技术手段冒充主机使敏感信息传到非法终端。四是易受非法入侵。非法分子通过技术渗透或通信线路入侵网络,非法盗用、破坏或获取敏感信息或数据及系统资源。利用目标计算机的漏洞进入系统或通过口令猜测进入系统,采用IP地址欺骗等手段来入侵。
(2)技术缺陷带来入侵威胁。一是网络协议的缺陷。包括源地址认证、网络控制机制及路由协议等使用TCP协议的缺陷,造成入侵者的入侵,进行访问、修改、拒绝访问、否认等攻击。二是软件出现缺陷。由于程序员在编程时考虑不周而造成的问题,如输入确认、访问确认、设计、特殊条件和竞争条件等错误引起的软件缺陷。三是病毒防护薄弱。计算机病毒可多种方式入侵计算机网络,且不断繁殖和扩散,使计算机系统出现错误或处理能力下降,甚至是丢失数据或文件。四是安全测试设备落后。目前的安全保密测试设备落后于系统发展,对部分系统隐患无法侦测,无法通过有效的定性定量分析来加强系统防范,使网络系统难以应对新出现的安全隐患。
(3)人为操作导致失泄密发生。一是安全防护人员少,专业人才不够。如网络管理员配置不当,安全观念不强,造成人为泄密,或由于责任心不强网络应用升级不及时造成安全漏洞,随意使用普通网络站(点)下载的软件。二是用户安全意识薄弱。部分用户将自己的账号随意转借他人或与别人共享,从而导致信息泄漏。三是现有安保人员业务不够精,安全管理不到位,特别是对不安全事件的处理不及时,方法不妥当。这些人为因素是无论多么精妙的安全策略和网络安全体系均无法防范和解决的。
(4)管理机制存在安全漏洞。一是安全措施不到位。信息网络越来越具有综合性和动态性特点,这同时也是信息网络不安全的原因所在。然而,部分操作人员对此缺少认识,未进入安全就绪状态就急于操作,结果导致敏感数据暴露,使系统遭受风险。二是缺乏综合性的解决方案。面对复杂的不断变化的网络世界,大多数单位缺乏综合性的安全管理解决方案,安全意识较强的单位也只是依赖防火墙和加密技术。三是防范机制不到位。不少单位没有从管理制度上建立相应的安全防范,在整个运行过程中,缺乏行之有效的安全检查和应对保护制度。
2 计算机网络安全防护的对策及措施
(1)发展自主信息安全产业。网络硬件要确保安全,发展具有我国自主知识产权的信息化产业成为重中之重。在未来的信息化发展过程中,要高度重视计算机网络安全保密设备和系统的“国产化”、“自主化”建设。一是积极组织核心技术攻关,如自主操作系统、密码专用芯片和安全处理器等,要狠抓技术及系统的综合集成,以确保信息系统的安全。二是加强关键技术研究,如密码技术、鉴别技术、病毒防御技术等,以提高技术防护能力。三是监测评估手段,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等,构建具有我国特色、行之有效的网络安全保密平台,实现网络及终端的可信、可管、可控,摆脱网络安全控制于人的被动局面。
网络安全防护手段篇(10)
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2012)04(c)-0040-01
1 计算机网络安全存在的威胁
由于计算机网络分布广泛和开放性的特征,很容易受到各种攻击。常见的计算机网络安全威胁主要有:窃听,伪造,篡改,拒绝服务攻击,电子欺诈,拒绝未经授权的访问和传输。
2 网络安全需求
(1)身份认证:身份认证是授权控制的基础。身份认证必须做到准确的将对方辨别出来。应该提供双向的认证,即互相证明自己的身份,目前一般采用基于对称密钥或公开密钥加密的方法,如kerberos,PGP等。
(2)授权控制:授权控制是控制不同用户对信息资源访问权限,对授权控制的要求主要有以下几点。
①一致性,即控制没有二义性。
②统一性,对信息资源集中管理,同意观测安全策略。
③要求有审计功能,对所有授权记录可以核查。
④尽可能地提供细粒度的控制。
(3)数据加密:数据加密是最基本的保证安全通信的手段。目前加密技术主要有两大类:一类是基于对称密钥加密的算法,也称为私钥算法;另一类是基于非对称密钥加密的算法,也称为公钥算法。加密手段可以分为硬件加密和软件加密,硬件加密速度快、效率高、安全性好、成本高;软件加密成本低且灵活。
(4)数据完整性:数据完整性是指网上传输的数据应防止被修改、删除、插入、替换或重发,以保证合法用户接受和使用该数据的真实性。
(5)抗抵赖性:接收方要确保对方不能够抵赖收到的信息是其发出的信息,而且不是被他人冒名、篡改过的信息。通常采用的方法是电子签名。
3 确保计算机网络安全的技术手段
(1)防火墙技术:要想实现网络的安全,一个很基本的方法就是把被保护的网络从开放的、无边界的网络环境中独立出来,使之成为可管理、可控制、安全的内部网络,为实现这一目标的最基本的手段就是在网络的对外接口,采用防火墙技术。防火墙有点像古代守护城池用的护城河,在现实生活中,Internet防火墙常常被安装在受保护的内部网络上并接入Internet。防火墙的主要作用是通过控制出、入一个网络的权限,防止一个需要保护的网络遭外界因素的干扰和破坏。从总体上看,防火墙应该具有以下基本功能:对网络攻击进行检测和告警,管理进、出网络的访问行为并过滤进、出网络的数据,通过防火墙的信息内容和活动,封堵某些禁止行为。
(2)NAT技术:隐藏内部网络信息。可以用来减少对注册地址的需求。简单的说,NAT就是当内部节点要与外界网络发生联系时,在防火墙或边缘路由器处,将内部地址替换成可路由的合法地址,从而在外部公共网上正常使用。当内部节点不需与外界网络发生联系时,在内部专用网络中使用不可路由的内部地址。这只是一种过渡的解决方法
(3)VPN技术:VPN可文译为虚拟专用网,具有虚拟特点,它并不是专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN具有以下优点:①成本低;②扩展容易;③完全控制主动权。
(4)网络加密技术(Ipsec):IPSec是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。其作用是保护IP数据包的内容,通过数据包筛选及受信任通讯的实施来防御网络攻击。其中以接收和发送最为重要。IPSec的安全特性主要有:不可否认性、反重播性、数据完整性、数据可靠性(加密)、认证。
4 安全防范策略
网络是个动态的系统,即使最初制定的安全策略十分可靠,但是随着网络结构和应用的不断变化,安全策略可能失效,下面介绍一系列比较重要的防范策略。
(1)访问控制:将访问控制设备放在网络边界处并启用访问控制功能,对进出网络的信息内容进行过滤。限制网络最大流量数及网络连接数,按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问。根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,在会话结束后终止网络连接。重要网段应采取技术手段防止地址欺骗。
(2)结构的安全:确保主要网络设备的业务处理能力,具备冗余空间,保证在业务需要的高峰时满足各方面的网络带宽需求,在发生网络拥塞时候优先保护重要主机。部分重要网络避免直接与外部连接,禁止直接部署在边界处,采用可靠地技术手段,将重要网段与其他网段隔离。
(3)边界防护:把不同安全级别的网络相连接,就产生了网络边界。如何防护边界呢?对于公开的攻击,只有防护一条路,检查非授权设备私自联到内部网络和内部网络用户私自联到外部网络的行为,并确定出位置,对其进行有效阻断。
(4)入侵检测:在网络边界处监视或在可能的情况下,阻止入侵者试图控制自己的系统或网络资源。检测任何损害系统的机密性、完整性或可用性的行为的一种网络安全策略。
(5)安全扫描:借助扫描软件对计算机系统及网络端口进行安全性检查,能够帮助管理员查找目标主机,找到运行的服务及其相关属性,并发现这些服务潜在的漏洞。它只是帮助管理员找到网络的隐患,并不能直接解决问题。
(6)日志审计系统:日志文件是包含关于系统消息的文件,这些消息通常来自于操作系统内核、运行的服务,以及在系统上运行的应用程序。日志文件包括系统日志、安全日志、应用日志等。日志审计系统通过一些特定的、预先定义的规则来发现日志中潜在的问题,显然它是一种被动式、事后的防护或事中跟踪的手段,很难在事前发挥作用。
5 结语
显然,保障网络安全性与网络服务效率永远是一对矛盾体,要想网络系统安全可靠,势必会增加许多控制措施和安全设备,这会或多或少的影响使用效率和方便性。
参考文献
