发布时间:2023-09-26 08:32:08
绪论:一篇引人入胜的计算机网络的安全体系,需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文,供您参考和学习。
计算机网络从进入生活起,我们就渐渐离不开它带来的便利。随着对计算机网络的依赖性越来越强,大量信息存储在网络中,因此,对计算机网络安全的威胁不容忽视。一旦网络安全出现问题,若不妥善解决,则不仅会影响计算机技术的进步,还会对我国建设产生一定的影响。
1.计算机网络安全体系概述
在分析计算机网络安全前,首先要对网络信息安全有一定的了解。信息安全主要指对数据处理系统和相关技术、管理的防护,防止计算机网络系统遭到偶然或恶意的入侵,以免储存在计算机系统中的数据被显露、破坏、更改。如果要建立良好的计算机网络安全体系,则不仅要保护计算机的信息安全,还要保护相关设备,保证计算机信息系统的安全。
2.计算机网络净化安全防护体系组成
2.1防火墙建设
防火墙是一种形象的比喻,不是真的墙,而是被保护的网络的入门关卡。因特网存在一定的风险区域,防火墙能起到隔离作用,以此增强内部的网络安全。防火墙有网络级别和应用级别两种。网络级别的防火墙主要是对数据包中的信息(端口、目标地址、源地址等)与规则表进行对比。在防火墙系统中设置了许多规则用以判断是否允许包的通过。还有一种应用级别的防火墙,也就是服务器。服务器主要根据IP地址禁止外部访问,如果内部人员对外部进行访问,则无法阻止。应用级防火墙主要阻隔内外的数据交换,如果要交换,则必须通过服务器,由其完成。
防火墙有硬件、软件两种。上述为硬件防火墙,它通过硬件、软件两种方式隔离。虽然它的隔离效果好,但是价格比较昂贵,一般个人和规模较小的企业难以承担。软件防火墙则通过应用程序达到隔离目的,虽然价格比较便宜,但是只有限制访问这一项功能。现在软件防火墙有很多种,可以根据使用配置加以选择。
2.2入侵检测系统(IDS)的架设
入侵检测用来监督监测网络系统中有无违背计算机制定的安全策略或危及系统安全的攻击。入侵检测系统是一种被动的检测,但是有存在的必要。设置时,入侵检测系统被放置在防火墙后,用于监测通过防火墙之后所有的包,捕捉这些包内的信息是否存在危险或恶意动作。入侵检测系统因为检测、记录的信息比较庞大,所以制定的规则需要符合入侵检测系统的配置。规则制定好后,入侵检测系统筛选网卡到网线上的流量,及时发出警告。入侵检测系统的安全管理通过识别攻击进行响应,提高计算机网络安全防护体系的完整性。
2.3防病毒系统
对病毒的防护主要使用病毒防护软件。病毒的防护有针对单机系统的和针对网络系统的。单击系统的病毒防护注重保护本地计算机系统的数据信息,而网络系统的病毒防护注重保护网络系统的数据信息。病毒防护软件建立一个保护机制,通过实时监测蠕虫、病毒和后门程序,及时更新病毒库,以检测、清除计算机网络中的恶意代码,达到检测、预防、清除病毒的目的。
3.计算机网络净化安全防护体系的构建
建立安全防护体系首先要有一个安全策略,要考虑初期建设网络时的问题。设置用户权限是第一步,这种方式能够保证计算机系统的内部、外部用户对系统的访问在安全策略的要求内,对用户的访问进行控制和限制。加密技术是对系统内资源的保护,保护系统资源的完整性和保密性。加密技术通过一定的运算规则进行密文和明文转换,目前使用VPN(虚拟专用网)这个通道保护数据传递过程中的安全。但是,也要考虑安全策略被破坏的状况。如计算机系统并没有安装保护系统的软件(防火墙、防病毒软件),而是使用了点对点的数据传输方式(Napster、BT等)与即时消息软件等,这些是系统中的安全隐患。因此,安装病毒防护软件和开启系统防火墙是强制性的,必要时卸载点对点的软件和其他漏洞软件。
主机系统的配置是建立一个安全的操作平台。在使用操作系统的过程中,注意是否存在漏洞。为防止漏洞出现,要时常进行系统补丁或使用其他方式修补漏洞。特别在无线网络系统中,必须开启加密功能,并设置最高级别,注意时常更改密码。
4.结语
由于全球化脚步的不断加快,许多资源信息存储在计算机网络中,因此加强网络安全、设置保护屏障是必不可少的。防火墙、入侵检测系统、防病毒软件是计算机网络安全防护体系的基础,加上良好的安全策略则是相对安全的方式。信息技术不断更新,防护系统也需跟进,以防黑客等的攻击。
1.引言
计算机技术正在日新月异地迅猛发展,功能强大的计算机和Intranet/Internet在世界范围内普及。信息化和网络化是当今世界经济与社会发展的大趋势,信息资源的深入开发利用以及各行各业的信息化、网络化己经迅速展开;全社会广泛应用信息技术,计算机网络广泛应用为人们所关注。
面对当前严重危害计算机网络的种种威胁,必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建立之初都忽略了安全问题,即使考虑了安全,也仅把安全机制建立在物理安全机制上。本文分析了计算机网络安全体系的含义以及其安全机制,并对于当前网络安全应涉及的一些内容做了介绍。
2.计算机网络安全机制分析
安全性机制是操作系统、软硬件功能部件、管理程序以及它们的任意组合,为一个信息系统的任意部件检测和防止被动与主动威胁的方法。各种安全机制中,加密有着最广泛的应用,并且可以提供最大程度的安全性。加密机制的主要应用是防止对机密性、完整性和鉴别的破坏。
数字签名是一种用于鉴别的重要技术。数字签名可以用于鉴别服务,也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时,它是和公证一起使用的。公证是通过可信任的第三方来验证(鉴别)消息的。
对于网络终端用户来说,最通常的安全性经历是通过使用口令来实现访问控制。口令是一个字符串,用来对身份进行鉴别。在获得对数据的访问权之前,通常要求用户提交一个口令,以满足安全性要求。还有各种用于身份鉴别的产品,它们采用了比上述方法更好的技术。例如:一些比较声音、手写签名、指纹的系统等。
3.网络安全标准体系结构
(1)用户安全层
用户安全层不属于OSI环境,由于OSI标准不考虑对非法用户的直接防范,但是非法用户进入网络系统后,对网络的安全威胁是严重的,而在此时,用户安全层可以对非法用户起到校验的作用。因此用户安全层是一项最基本的安全服务,也是一项重要的安全措施。
(2)应用安全层
包括OSI环境的应用层、表示层和会话层,应用安全层对域名服务、文件传输、电子邮件、远程终端等特定的网络应用已经制定了一系列的标准,为上层用户提供数据或信息语法的表示转换。负责系统内部的数据表示与抽象数据表示之间的转换工作,还可以进行数据的加/解密和压缩/解压缩等转换功能。
(3)端-端安全层
包括OSI环境的传输层,端-端安全层为上层用户提供不依赖于具体网络的高效、经济、透明的端-端数据传输服务。还可以通过上层用户提出的传输连接请求,或为其建立一条独立的网络连接;或为其建立多条网络连接来分流大量的数据,减少传输时间;或将多条传输连接复用对上层用户都是透明的。
(4)子网安全层
包括OSI环境的网络层,子网安全层的作用是将数据分成一定长度的分组,将分组穿过通信子网从信源传送到信宿。子网安全层可采用众多的安全技术:加密、访问控制、数字签名、路由选择控制、业务量填充和数据完整性,也正是它最能体现网络的特点。网间互连、网络控制、网络管理等功能主要在该层实现,因此子网安全层上实施安全技术的主要层次之一。
4.安全体系的实现
4.1 防火墙技术
“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。防火墙是在内部网与外部网之间实施安全防范的系统,可被认为是一种访问控制机制,它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
4.2 数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。前面已经提到,对动态数据的攻击分为主动攻击和被动攻击,对于主动攻击,虽无法避免,但却可以有效的检测;而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受称为密钥的符号串控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为对称密钥算法。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信息,也可以用该密钥解密信息。
4.3 识别和鉴别
网络中的用户和系统必须能够可靠地识别自身以确保关键数据和资源的完整性,并且有控制手段使用户或系统只能访问他们有权使用的资源。系统所具有的这种能力必须是不容易被破坏。最简单和容易实现的识别和鉴别的方法就是使用口令字。
其他通用的识别和鉴别控制机制包括限制网络中最大用户数和会话数,限制每个用户的访问日期和时间以及提供预先正式排定的时间表激活与停用账户,限制允许用户登录失败的重试次数等。
5.安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。 国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。
安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
6.结语
网络安全的重要性已经有目共睹,特别是随着全球信息、基础设施和各个国家的信息基础逐渐形成,信息电子化己经成为现代社会的一个重要特征。信息本身就是时间、就是财富、就是生产力。因此,各国开始利用电子空间的无国界性和信息战来实现增强其军事、文化、经济等战略目的。随着计算机技术的高速发展,网络攻击技术不断更新,单一的安全防护策略则是不安全的,网络安全将是一个系统的概念。未来的计算机网络安全防护策略方向应该是安全措施的高度综合集成。
参考文献:
2.计算机网络不安全因素
对计算机信息构成不安全的因素有很多,包括人为因素、自然因素和偶发因素。其中人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络不安全因素主要表现在以下几个方面:
2.1 计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
1)网络的开放性:网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2)网络的国际性:意味着对网络的攻击不仅是来自于本地网络用户,还可以是互联网上其他国家的黑客,所以,网络安全面临国际化的挑战。
3)网络的自由性:大多数网络对用户的使用没有技术上的约束,用户可以自由上网、和获取信息。
2.2 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多管理功能,主要是管理系统的软、硬件资源。操作系统软件自身的不安全性,系统开发设计不周而留下的破绽,都给网络安全留下隐患。
1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统特别是服务器系统立刻瘫痪。
2操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装\"间谍\"软件的条件。若将间谍软件以打补丁的方式\"打\"在一个合法用户上,特别是\"打\"在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现。所谓守护进程,比如说用户有没按键盘或鼠标,或者别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,一有病毒出现就会被扑捉到。但是有些进程是一些病毒一碰到特定情况,比如碰到7月1日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删 除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。 7)尽管操作系统的漏洞可以通过版本的不断升级来克服, 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。 2.3 数据库存储的内容存在的安全问题 数据库管理
系统大量的信息存储在各种各样的数据库里,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
2.4 防火墙的脆弱性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种计算机硬件和软件的结合,使Internet 与Intranet 之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,也难以防范网络内部的攻击和病毒的侵犯,不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
3.计算机网络安全的对策
3.1 技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:1) 建立安全管理制度2) 网络访问控制3) 数据库的备份与恢复4) 应用密码技术5) 切断传播途径6) 提高网络反病毒技术能力7) 研发并完善高安全的操作系统
3.2 管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。这就要对计算机用户不断进行法制教育,包括计算机安全法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度等。
3.3 物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
1) 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
4. 结束语
计算机网络安全是一项复杂的系统工程,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
