计算机网络安全漏洞(精选8篇)
1.背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。做为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。第二章网络安全现状
2.网络安全面临的挑战
网络安全可能面临的挑战
垃圾邮件数量将变本加厉。
根据电子邮件安全服务提供商Message Labs公司最近的一份报告,预计2003年全球垃圾邮件数量的增长率将超过正常电子邮件的增长率,而且就每封垃圾邮件的平均容量来说,也将比正常的电子邮件要大得多。这无疑将会加大成功狙击垃圾邮件的工作量和难度。目前还没有安装任何反垃圾邮件软件的企业公司恐怕得早做未雨绸缪的工作,否则就得让自己的员工们在今后每天不停地在键盘上按动“删除键”了。另外,反垃圾邮件软件也得不停升级,因为目前垃圾邮件传播者已经在实行“打一枪换一个地方”的游击战术了。
即时通讯工具照样难逃垃圾信息之劫。
即时通讯工具以前是不大受垃圾信息所干扰的,但现在情况已经发生了很大的变化。垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于即时通讯状态的用户们发去信息,诱导他们去访问一些非法收费网站。更令人头疼的是,目前一些推销合法产品的厂家也在使用这种让人厌烦的手段来让网民们上钩。目前市面上还没有任何一种反即时通讯干扰信息的软件,这对软件公司来说无疑也是一个商机。
内置防护软件型硬件左右为难。
现在人们对网络安全问题受重视的程度也比以前大为提高。这种意识提高的表现之一就是许多硬件设备在出厂前就内置了防护型的软件。这种做法虽然前几年就已经出现,预计在今后的几年中将会成为一种潮流。但这种具有自护功能的硬件产品却正遭遇着一种尴尬,即在有人欢迎这种产品的同时,也有人反对这样的产品。往好处讲,这种硬件产品更容易安装,整体价格也相对低廉一些。但它也有自身的弊端:如果企业用户需要更为专业化的软件服务时,这种产品就不会有很大的弹性区间。
企业用户网络安全维护范围的重新界定。
目前各大企业公司的员工们在家里通过宽带接入而登录自己公司的网络系统已经是一件很寻常的事情了。这种工作新方式的出现同样也为网络安全带来了新问题,即企业用户网络安全维护范围需要重新界定。因为他们都是远程登录者,并没有纳入传统的企业网络安全维护的“势力范围”之内。另外,由于来自网络的攻击越来越严重,许多企业用户不得不将自己网络系统内的每一台PC机都装上防火墙、反侵入系统以及反病毒软件等一系列的网络安全软件。这同样也改变了以往企业用户网络安全维护范围的概念。
个人的信用资料。
个人信用资料在公众的日常生活中占据着重要的地位。以前的网络犯罪者只是通过网络窃取个人用户的信用卡账号,但随着网上窃取个人信用资料的手段的提高,预计2003年这种犯罪现象将会发展到全面窃取美国公众的个人信用资料的程度。如网络犯罪者可以对你的银行存款账号、社会保险账号以及你最近的行踪都能做到一览无余。如果不能有效地遏制这种犯罪趋势,无疑将会给美国公众的日常人生活带来极大的负面影响。
3.病毒现状
互联网的日渐普及使得我们的日常生活不断网络化,但与此同时网络病毒也在继续肆虐威胁泛滥。在过去的六个月内,互联网安全饱受威胁,黑客蠕虫入侵问题越来越严重,已成泛滥成灾的趋势。
2003年8月,冲击波蠕虫在视窗暴露安全漏洞短短26天之后喷涌而出,8天内导致全球电脑用户损失高达20亿美元之多,无论是企业系统或家庭电脑用户无一幸免。
据最新出炉的赛门铁克互联网安全威胁报告书(Symantec Internet Security Threat Report)显示,在2003年上半年,有超过994种新的Win32病毒和蠕虫被发现,这比2002年同时期的445种多出一倍有余。而目前Win32病毒的总数大约是4千个。在2001年的同期,只有308种新Win32病毒被发现。
这份报告是赛门铁克在今年1月1日至6月31日之间,针对全球性的网络安全现状,提出的最为完整全面的威胁趋势分析。受访者来自世界各地500名安全保护管理服务用户,以及2万个DeepSight威胁管理系统侦察器所探测的数据。
赛门铁克高级区域董事罗尔威尔申在记者通气会上表示,微软虽然拥有庞大的用户市占率,但是它的漏洞也非常的多,成为病毒目标是意料中事。
他指出,开放源码如Linux等之所以没有受到太多病毒蠕虫的袭击,完全是因为使用者太少,以致于病毒制造者根本没有把它不放在眼里。他举例说,劫匪当然知道要把目标锁定在拥有大量现金的银行,所以他相信随着使用Linux平台的用户数量的增加,慢慢地将会有针对Linux的病毒和蠕虫出现。
不过,他不同意开放源码社群的合作精神将能有效地对抗任何威胁的袭击。他说,只要是将源码暴露在外,就有可能找出其安全漏洞,而且世上不是全是好人,不怀好意的人多的是。即时通讯病毒4倍增长
赛门铁克互联网安全威胁报告书指出,在2003年上半年使用诸如ICQ之类即时通讯软件(Instant Messaging,IM)和对等联网(P2P)来传播的病毒和蠕虫比2002年增加了400%,在50大
病毒和蠕虫排行榜中,使用IM和P2P来传播的恶意代码共有19个。据了解,IM和P2P是网络安全保护措施不足导致但这并不是主因,主因在于它们的流行广度和使用者的无知。
该报告显示,该公司在今年上半年发现了1千432个安全漏洞,比去年同时期的1千276个安全漏洞,增加了12%。其中80%是可以被人遥控的,因此严重型的袭击可以通过网络来进行,所以赛门铁克将这类可遥控的漏洞列为中度至高度的严重危险。另外,今年上半年的新中度严重漏洞增加了21%、高度严重漏洞则增加了6%,但是低度严重漏洞则减少了11%。
至于整数错误的漏洞也有增加的趋势,今年的19例比起去年同期的3例,增加了16例。微软的互联网浏览器漏洞在今年上半年也有12个,而微软的互联网资讯服务器的漏洞也是非常的多,赛门铁克相信它将是更多袭击的目标;以前袭击它的有尼姆达(Nimda)和红色代码(Code Red)。
该报告显示了64%的袭击是针对软件新的安全漏洞(少过1年的发现期),显示了病毒制造者对漏洞的反应越来越快了。以Blaster冲击波为例,就是在Windows安全漏洞被发现短短26天后出现的。
知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。
黑客病毒特征
赛门铁克互联网安全威胁报告书中也显现了有趣的数据,比如周末的袭击有比较少的趋向,这与去年同期的情况一样。
虽然如此,周末两天加上来也有大约20%,这可能是袭击者会认为周末没人上班,会比较疏于防备而有机可乘。赛门铁克表示这意味着网络安全保护监视并不能因为周末休息而有所放松。
该报告书也比较了蠕虫类和非蠕虫类袭击在周末的不同趋势,非蠕虫类袭击在周末会有下降的趋势,而蠕虫类袭击还是保持平时的水平。蠕虫虽然不管那是星期几,但是有很多因素也能影响它传播的率,比如周末少人开机,确对蠕虫的传播带来一些影响。
该报告书也得出了在互联网中病毒袭击发生的高峰时间,是格林威治时间下午1点至晚上10点之间。虽然如此,各国之间的时差关系,各国遭到袭击的高峰时间也会有少许不同。比如说,华盛顿袭击高峰时间是早上8时和下午5时,而日本则是早上10时和晚上7时。
知名病毒和蠕虫的威胁速度和频率也增加了不少,今年上半年的知名威胁比去年同期增加了20%,有60%的恶意代码(Malicious Code)是知名病毒。今年1月在短短数小时内造成全球性的瘫痪的Slammer蠕虫,正是针对2002年7月所发现的安全漏洞。另外,针对机密信息的袭击也比去年上半年增加了50%,Bugbear.B就是一个专锁定银行的蠕虫。管理漏洞---如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免;软件漏洞---如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单;又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出;结构漏洞---比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑客入侵事故;信任漏洞---比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁;
综上所述,一个黑客要成功入侵系统,必须分析各种和这个目标系统相关的技术因素、管理因素和人员因素。
因此得出以下结论:
a、世界上没有绝对安全的系统;b、网络上的威胁和攻击都是人为的,系统防守和攻击的较
量无非是人的较量;c、特定的系统具备一定安全条件,在特定环境下,在特定人员的维护下是易守难攻的;d、网络系统内部软硬件是随着应用的需要不断发展变化的;网络系统外部的威胁、新的攻击模式层出不穷,新的漏洞不断出现,攻击手段的花样翻新,网络系统的外部安全条件也是随着时间的推移而不断动态变化的。
一言以蔽之,网络安全是相对的,是相对人而言的,是相对系统和应用而言的,是相对时间而言的。4,安全防御体系
3.1.2
现代信息系统都是以网络支撑,相互联接,要使信息系统免受黑客、病毒的攻击,关键要建立起安全防御体系,从信息的保密性(保证信息不泄漏给未经授权的人),拓展到信息的完整性(防止信息被未经授权的篡改,保证真实的信息从真实的信源无失真地到达真实的信宿)、信息的可用性(保证信息及信息系统确实为授权使用者所用,防止由于计算机病毒或其它人为因素造成的系统拒绝服务,或为敌手可用)、信息的可控性(对信息及信息系统实施安全监控管理)、信息的不可否认性(保证信息行为人不能否认自己的行为)等。
安全防御体系是一个系统工程,它包括技术、管理和立法等诸多方面。为了方便,我们把它简化为用三维框架表示的结构。其构成要素是安全特性、系统单元及开放互连参考模型结构层次。
安全特性维描述了计算机信息系统的安全服务和安全机制,包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性。采取不同的安全政策或处于不同安全保护等级的计算机信息系统可有不同的安全特性要求。系统单元维包括计算机信息系统各组成部分,还包括使用和管理信息系统的物理和行政环境。开放系统互连参考模型结构层次维描述了等级计算机信息系统的层次结构。
该框架是一个立体空间,突破了以往单一功能考虑问题的旧模式,是站在顶层从整体上进行规划的。它把与安全相关的物理、规章及人员等安全要素都容纳其中,涉及系统保安和人员的行政管理等方面的各种法令、法规、条例和制度等均在其考虑之列。
另外,从信息战出发,消极的防御是不够的,应是攻防并重,在防护基础上检测漏洞、应急反应和迅速恢复生成是十分必要的。
目前,世界各国都在抓紧加强信息安全防御体系。美国在2000年1月到2003年5月实行《信息系统保护国家计划V1.0》,从根本上提高防止信息系统入侵和破坏能力。我国急切需要强化信息安全保障体系,确立我军的信息安全战略和防御体系。这既是时代的需要,也是国家安全战略和军队发展的需要,更是现实斗争的需要,是摆在人们面前刻不容缓的历史任务。5加密技术
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
自从1976年公钥密码的思想提出以来,国际上已经提出了许多种公钥密码体制,但比较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是RSA;另一类是基于离散对数问题的,比如ElGamal公钥密码和影响比较大的椭圆曲线公钥密码。由于分解大整数的能力日益增强,所以对RSA的安全带来了一定的威胁。目前768比特模长的RSA已不安全。一般建议使用1024比特模长,预计要保证20年的安全就要选择1280比特的模长,增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下512比特模长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的计算更困难,目前技术下只需要160比特模长即可,适合于智能卡的实现,因而受到国内外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准IEEEP1363,RSA等一些公司声称他们已开发出了符合该标准的椭圆曲线公钥密码。我国学者也提出了一些公钥密码,另外在公钥密码的快速实现方面也做了一定的工作,比如在RSA的快速实现和椭圆曲线公钥密码的快速实现方面都有所突破。公钥密码的快速实现是当前公钥密码研究中的一个热点,包括算法优化和程序优化。另一个人们所关注的问题是椭圆曲线公钥密码的安全性论证问题。
公钥密码主要用于数字签名和密钥分配。当然,数字签名和密钥分配都有自己的研究体系,形成了各自的理论框架。目前数字签名的研究内容非常丰富,包括普通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名,门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS),部分州已制定了数字签名法。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如1993年美国提出的密钥托管理论和技术、国际标准化组织制定的X.509标准(已经发展到第3版本)以及麻省里工学院开发的Kerboros协议(已经发展到第5版本)等,这些工作影响很大。密钥管理中还有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于集中,自从1979年Shamir提出这种思想以来,秘密共享理论和技术达到了空前的发展和应用,特别是其应用至今人们仍十分关注。我国学者在这些方面也做了一些跟踪研究,发表了很多论文,按照X.509标准实现了一些CA。但没有听说过哪个部门有制定数字签名法的意向。目前人们关注的是数字签名和密钥分配的具体应用以及潜信道的深入研究。
认证码是一个理论性比较强的研究课题,自80年代后期以来,在其构造和界的估计等方面已经取得了长足的发展,我国学者在这方面的研究工作也非常出色,影响较大。目前这方面的理论相对比较成熟,很难有所突破。另外,认证码的应用非常有限,几乎停留在理论研究上,已不再是密码学中的研究热点。
Hash函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案,各有千秋。美国已经制定了Hash标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国目前正准备更新其Hash标准,另外,欧洲也正在制定Hash标准,这必然导致Hash函数的研究特别是实用技术的研究将成为热点。
信息交换加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安
全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
当前, 计算机网络安全的现状不容乐观, 计算机网络安全漏洞的存在使得计算机网络安全存在着诸多亟待解决的问题。计算机网络安全漏洞主要表现在三个方面:一是网络硬件设施方面的漏洞;二是操作系统方面的漏洞;三是计算机软件漏洞。
1.1 网络硬件设施方面的漏洞
网络硬件设施方面的漏洞是计算机网络安全的漏洞之一。计算机网络安全漏洞, 在网络硬件设施中电子辐射泄漏就是一大安全隐患。电子辐射泄漏主要指的是计算机与网络所包含的电磁信息有可以出现泄露, 这给一些不法分了提供了窃密机会, 给信息所有人造成失密与泄密的危险。此外, 移动存储介质如U盘的使用, 在存贮过需要保密的信息的U盘借出以后, 可能会泄密。
1.2 操作系统方面的漏洞
操作系统方面的漏洞也在一定程度上制约着计算机网络安全。操作系统是计算机网络的重要组成部分, 通过操作系统进行远程攻击是网络中最大的安全隐患, 计算机网络操作系统需要一个安全的运行环境。但是, 就目前而言, 大多数的操作系统有这样那样安全方面的漏洞, 这些漏洞往往在日常运行中才能发现。其中安全隐患主要是发生在后门及系统漏洞之间的。
1.3 计算机软件漏洞
影响计算机网络安全的因素还包括计算机软件漏洞。计算机软件漏洞是指可以发展成为被人恶意利用的软件缺陷。当安全漏洞出现过上百个事例时, 其软件高危漏洞占多数, 也越发威胁着计算机网络的安全, 如果不及时修复漏洞, 很有可能被黑客利用并攻击。软件漏洞是发生安全事件的根源, 尤其是当黑客得到了某些私人信息以后, 还会产生非常严重的欺诈行为。
2 防范计算机网络安全漏洞的策略
近年来, 计算机软件已日趋庞大和复杂。为进一步提高计算机网络安全水平, 在了解计算机网络安全漏洞的基础上, 防范计算机网络安全漏洞的策略, 可以从几个方面入手。
2.1 安装系统补丁
安装系统补丁是防范计算机网络安全漏洞的有效途径之一。在计算机网络安全漏洞的防范中, 应及时安装系统补丁程序, 一旦发现新的系统漏洞, 可以通过第三方软件安装系统补丁, 防范计算机网络安全漏洞的产生。如系统优化大师 (Windows优化大师) 、360安全卫士、金山杀毒软件等。
2.2 目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户对文件或目标的有效权限, 一般取决于用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。
2.3 属性安全控制
当使用文件、目录和网络设备时, 管理员应给文件、目录指定访问属性。属性安全在权限安全的基础上提供更进一步的安全属性。
2.4 配置防火墙
配置防火墙对于防范计算机网络安全漏洞至关重要。配置防火墙, 它对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信, 封锁特洛伊木马。最后, 它可以禁止来自特殊站点的访问, 从而防止来自不明入侵者的所有通信。是很有必要的漏洞防范措施。
2.5 分类设置密码
分类设置密码也有利于防范计算机网络安全漏洞。在防范计算机网络安全漏洞的过程中, 采取分类设置密码的方式, 可以保障计算机网络的安全。在设置密码的时候, 应使密码设置尽可能复杂, 在不同的场合使用不同的密码。与此同时, 定期地修改自己的上网密码, 也可以确保即使原密码泄露。
2.6 定期备份重要数据
定期备份重要数据对于防范计算机网络安全漏洞的作用也不容忽视。在计算机网络安全漏洞的防范中, 如果遭到致命的漏洞攻击, 操作系统和应用软件可以重装, 而重要的数据就只能靠你日常的备份了。所以, 无论你采取了多么严密的防范措施, 也不要忘了随时备份你的重要数据。
3 结束语
总之, 计算机网络安全漏洞问题是一项综合的系统工程, 具有长期性和复杂性。在了解影响计算机网络安全漏洞因素的基础上, 为防范计算机网络安全, 应在计算机网络应用中安装系统补丁、更新升级病毒库、配置防火墙、分类设置密码、定期备份重要数据, 不断探索防范计算机网络安漏洞的策略, 只有这样, 才能不断提高计算机网络安全水平, 确保计算机网络的安全。
摘要:随着计算机网络技术在我国迅速普及, 计算机网络安全的重要性也日益凸显。在计算机网络的应用中, 计算机网络安全漏洞的存在, 使得计算机网络存在着很多安全隐患。因此, 研究计算机网络安全漏洞问题具有十分重要的现实意义。本文以计算机网络安全为切入点, 在概述计算机网络安全漏洞的基础上, 重点探讨了防范计算机网络安全漏洞的策略, 旨在说明计算机网络安全的重要性, 以期为防范计算机网络安全漏洞提供参考。
关键词:计算机,网络安全,安全漏洞,防范
参考文献
[1]朱秀锋.浅谈计算机校园网络安全漏洞及防范措施[J].中国科教创新导刊, 2011 (20) .
[2]耿仲华.浅谈计算机网络安全漏洞及对策[J].电脑知识与技术, 2010 (36) .
[3]李永华, 窦春轶.谈计算机安全漏洞动态检测的原理方法与实践[J].数字技术与应用, 2010 (07) .
关键词:计算机;网络安全漏洞;防范措施
中图分类号:TP393.08
在日常的学习工作生活中,计算机所发挥的作用越开越重要。一方面。它的广泛普及应用使人们的生活简单便捷;另一方面,也使得工作效率大大提高,节省了时间。然而,在很多时候,计算机网络安全也日益凸显,严重影响了正常的工作学习,必须加以重视和研究,以解决这些问题,减少对我们的影响。
1 关于安全漏洞种类
在平时的操作中,漏洞是在软件,硬件和具体的协议或者是系统本身安全策略上存在的一些缺陷。从一些破坏的系统来说,近几年来,计算机技术虽然在快速发展,但是人们并没有在思想上加以重视,也没有采取多少措施来抑制这些问题的发展。假冒用户问题,网上欺骗等这些日常问题都是网络安全漏洞的表现。信息化社会的日益全面发展一方面给我们构建了自由,开放,活跃,广阔的舞台;但另一方面,网络安全漏洞,问题也逐渐加剧。诸如黑客攻击,病毒侵入,信息被盗等也受到不同程度的威胁。这些漏洞有如下几点:
1.1 计算机网络软件安全漏洞
主要表现在电子邮件,匿名信,域名服务。尤其是电子邮件,一旦这些电子邮件携带的病毒侵入了计算机的操作系统,侵入者就会随心所欲的操控我们的电脑,后果可想而知。
1.2 计算机数据库安全漏洞
数据库安全漏洞是盲目的信任安全敌人,用户输入主要采用数表中的参数,如果参照这些参数的有效合法性,计算机的病毒以及某些被认为操作失误的程序会对数据库造成严重破坏。
1.3 是计算机操作系统安全漏洞
众所周知,操作系统就是一个可以提供使用者操作的一个平台,每个操作系统都存在着各自的网络安全漏洞,不仅包括输出非法访问,还包括访问控制混乱等。
2 常见的计算机网络安全漏洞的原因
由于网络极其便捷,快速以及广泛的开放环境,然而在这种情况下,计算机就会受到这样或者那样的程序攻击,其中漏洞是最直接的表现形式,这些漏洞的原因具体表现在:
2.1 计算机网络通信的畅通运行依赖于协议的高效支持,但是由于有些协议自带的缺陷就决定了网络安全漏洞的发生
通俗的说就是IP地址无论从哪产生,黑客总能找到自己的方法盗取数据,让数据流失。尤其是对那些基于开放的服务数据流入不法分子之手就会带来意想不到的后果。那些熟悉编程对编写和调试计算机网络的人通过相关途径结合自己的技巧是使用文件内容,盗取数据库等信息。入侵想要进入的地方,改写存储权限,修改启动过程文件,使其破坏进而丧失计算机的服务能力。另一种是拒绝服务攻击,由于检测系统被修改,仅对于文件的访问可能并不是很足够。
2.2 操作系统自身的安全漏洞及其链接漏洞
由于计算机操作系统是一个可以供大家交流共享的平台,为了让广大用户能够享有更加切实便利和快捷高效的服务,系统设计者就会想方设法的提高功能,这样一来计算机操作系统的设计难免会出现漏洞,漏洞一旦增多,受到攻击的可能性就会增大。而操作系统的服务的时间越久受到的攻击可能性就会相应越高。
2.3 内部攻击
内部攻击顾名思义就是攻击者利用当地系统的各个组成部分中存在的安全漏洞,对系统进行不同形式的破坏,或者对数据造成意想不到的破坏。比如邮件破坏,网络的拒绝服务攻击以及比较出名的蠕虫病毒侵入等都是属于这种类型。
3 网络安全漏洞的防范措施
基于以上对网络安全漏洞的种类和原因的分析有如下的防范措施:
3.1 文明上网,提高安全防范意识
从小事做起,从身边的点点滴滴做起。只有我们每个人从自身做起,自觉遵守相关规定,不做有损他人,社会,公众利益的事,人人行动起来就能有效避免威胁安全的事情发生,因此自觉加强自身的安全防范意識,积极学习相关的规章制度,参加相关的教育培训,通过各种途径来提高自身的安全文明意识。
3.2 提高技术开发水平,让网络不法分子无可乘之机
这就需要国家政府大力加强学习教育,继续坚持科教兴国战略和人才强国战略,努力培养计算机方面的人才,与此同时,在全社会开展关于网络安全软件设计的征文活动,调动全民的积极性,汲取全社会的智慧和力量,团结就是力量,众人拾柴火焰高。人民群众中蕴藏着举得的力量和智慧,应该充分发挥。设计网络安全的各个方面,尤其在计算机防火墙的安全性能方面,要加大科研力度,加大投资的规模,以此来大幅度提高计算机的安全性能,让那些有害计算机网络安全的各种有害因素大大减少,让安全事故发生的概率大大降低。从而保护用户上网的安全,以免数据信息的泄露,造成财产损失。
3.3 国家及政府应该加大网络惩罚力度
敦促完善相关法律法规的建设,一旦出现涉及网络安全的行为和各种可能的方式,应该有及时高效的检举和严厉的制裁,让不法分子付出高昂的经济代价,让那些利益熏心之徒望而却步,断而止步,不放过任何一个。与此同时,还应该将这些危害网络安全行为的不法分子公诸于众,造成舆论压力,让全社会以此为耻。进而起到教育警告的目的。国家相关媒体也应该加大曝光力度,一旦有此类行为立刻曝光宣传。让公众及时知晓设计网络安全的不法分子是如何操作的,以便于在以后的生活中能够引以为戒,自觉避免相同问题的出现,并能够有效的去避免。
3.4 要进一步的加强网络安全教育
没有网络安全就没有国家安全,公共生活需要公共秩序,公共秩序不仅是保障每个公民正常生活质量的奠基石和基本安全保障,而且同时也是一个国家现代化和文明程度的重要标志。我们一定要在全社会大力加强社会网络安全教育活动,培养公民的社会公德意识,让越来越多的人努力做网络安全的传播者和践行者,最终形成良好的网络安全氛围。在全社会努力营造网络安全。人人自觉遵守安全规定,文明上网。这样一来就可以从各个方面提高网络安全的可能性,进一步的保障公民的合法权益。让网络成为提高我们生活质量的助推器,而不是阻碍社会发展和我们美好生活的绊脚石,让我们都享受网络带给我们的便利。
4 结束语
从一般的技术层面说,我们可以通过改进防护墙的性能来防范网络黑客的各种攻击,这就需要开发商提交技术水平,生产出更高性能的防护装置。其次,需要路由器实施网络保护功能,加强对网络攻击的抵制,具体的进行地址选择和检核,体现该技术的约定程序链接,并具有透明加密机制,可以对其他的安全防控装置进行有效的合成。
参考文献:
[1]耿仲华.浅谈计算机网络安全漏洞及对策[J].电脑知识与技术,2010(36):12.
[2]朱秀峰.浅谈计算机校园网络安全漏洞及防范措施[J].中国科教创新导刊,2011(20):116-117
网络安全在网络银行应用
[摘 要] 网络银行作为网络经济在金融领域应用与延伸的产物,网络安全问题对网络银行的 发展提出了严峻挑战。信息安全是金融消费者最关心的,也是网络银行发展中最为敏感的问题。VPN这一虚拟的专用网络技术是理想的银行电子网络远程访问解决方案。其关键技术有隧道协议技术、加密技术、认证技术、存取控制等,并可以多种方式实现私有隧道通信。
[关键词] 网络银行;网络安全;VPN技术
[Abstract ]Internet banking in the financial field as a network of economic applications and extension of the product, network security issues on the development of Internet banking presents a challenge to information security。 financial consumers are most concerned about the development of Internet Banking is the most sensitive issue in this。 VPN Virtual Private Network technology is ideal for electronic banking network remote access solution for its key technologies。 Tunneling Protocol technology, encryption technology, authentication, access control, etc., and can be a variety of ways to achieve the private tunnel communication。
[Keywords ] Internet banking;network security;VPN Technology
1.网络银行及现状分析
1.1网络银行的概念。
网络银行是指银行利用因特网技术,通过因特网向客户提供各种金融服务的银行,是
利用计算机、网络、银行的三合一,通过网络上的虚拟银行柜台向客户提供全天候的网络金融服务,又称网上银行。网络银行的运行环境与传统环境不同,网络银行生存在虚拟的网络世界中,突破传统银行经营所受到的时间与空间的限制,按照开放的原则为客户提供数字化和高附加值的不间断服务。
1.2网络银行的发展阶段。
网络银行的发展可以划分为3个阶段:
第一阶段是计算机辅助银行管理阶段,这个阶段始于20世纪50年代,直到80年代中后期。早期的金融电子化基础技术是简单的脱机处理,只是用于分支机构及各营业网点的记账和结算。到了20世纪60年代,金融电子化开始从脱机处理发展为联机处理系统,以满足银行之间的汇兑业务发展的需要。20世纪60年代末兴起的电子资金转账技术及网络,为网络银行发展奠定了技术基础。
第二阶段是银行电子化或金融信息化阶段,这个阶段是从20世纪80年代后期至90
年代中期。随着计算机普及率的提高,商业银行逐渐将发展重点调整为PC机银行,即个人电脑为基础的电子银行业务。20世纪80年代中后期,在我国国内不同银行之间的网络化金融服务系统基础上,又形成了在不同国家之间、不同银行之间的电子信息网络,进而促进了全球金融通讯网络的产生,在此基础上,出现了各种新型的电子网络服务,如自助方式为主的在线银行服务(网上银行)、自助柜员机系统(ATM)、销售终端系统(POS)等。
第三阶段是网络银行阶段,时间是从20世纪90年代中期至今。20世纪90年代中期以来,网络银行或因特网银行出现,使银行服务完成了从传统银行到现代银行的一次变革。
1.3我国网上银行业务发展的特点
1.31网上银行业务持续增长。
有关报告表明:在2007年调查的我国10个经济发达的城市中,有37.8%的个人正在使用网上银行服务,较2006年增加了4.2个百分点;有31.7%的企业正在使用网上银行服务,较2006年增加了1.7个百分点。2007年,各收入人群的网上银行成长指数均上涨。其中,月收入500元以下和2000-2999元的人群增长幅度最多,分别为14.45%和10.36%。个人收入在7000-9999元/月的群体网上银行成长指数最高,为68.91;个人收入在500-999元/月的群体成长指数最低,为54.96。除安全指数外,其余一级指标基本呈现出收入越高、指数越高的趋势。可以看出,个人网上银行成长指数随着收入增加而上升。
1.32外资银行开始进入网上银行领域。
目前,获准在中国内地开办网上银行业务的外资银行包括汇丰银行、东亚银行、渣打银行、恒生银行、花旗银行等。另外,还有几家外资银行的申请正在审核之中。
1.33网上银行发展空间广阔。
有关报告表明:2007年中国个人网上银行成长指数为62.07,比2006年增长6.4%。企业网上银行成长指数为58.84,比2006年增长0.2%。目前,不论是企业还是个人,需求指数在所有指数中都是发展最好的,而通过个人与企业指数比较,个人网银的认知指数得分排名第一,企业网银的需求指数得分排名第一,说明在现阶段的环境下,企业比个人更加需要网上银行。
1.34网上银行业务种类、服务品种迅速增多。2000年以前,我国银行网上服务单一,一些银行仅提供信息类服务。但目前各大银行的网上银行业务覆盖面进一步扩大,交易类业务已经成为网上银行服务的主要内容,除了覆盖传统银行柜面业务外,还包括除现金业务外的全部对私业务和对公业务,其中包括存贷款利率查询、外汇牌价查询、投资理财咨询、账户查询、账户资料更新、挂失、转账、汇款、银证转账、网上支付(B2B、B2C)、代客外汇买卖等,部分银行还开办网上小额质押贷款、住房按揭贷款等授信业务。同时,银行日益重视网上银行业务经营中的品牌战略,出现了一些名牌网站和名牌产品。但目前我国尚未出现完全依赖或主要依赖信息网络开展业务的纯虚拟银行。
1.4对我国网上银行发展状况的分析
1.41我国网上银行发展的竞争优势。网上银行同样要基于成熟的商业模式和对市场的深刻理解,代表网上银行的“鼠标”必须加上代表传统柜台业务的“水泥”才有可能发挥更大的效力。因此,我国银行传统业务积累的丰富客户资源,将为网上银行初期发展提供源源不断的“氧气”。
1.42我国网上银行发展面临的问题。目前,大多数商业银行发展网上银行的主要动力在很大程度上是为了争取传统客户,而将网上银行作为一种宣传工具和稳定客户的手段。网上银行的发展缺乏科学的规划,投入高,效益差,管理水平有待提高。对于国外银行所重视的对网上银行风险检测、安全控制等技术提出专利申请,我国银行没有引起重视。
1.43我国网上银行发展所面临的机会。从1998年中国第一笔网上支付在中国银行成交,网上银行在我国涨势迅猛。随着银行业务的全面开放,网上银行快速发展的各项条件日趋成熟。目前,中资银行和外资银行共处同一个竞争平台,我国网上银行的发展将直接受到外资网上银行的影响,必须学会如何在竞争中学习其先进的管理模式与方法。
1.44我国网上银行发展的外部潜在障碍。在我国,网上银行发展的外部动力不足,体现在老百姓对网上银行的接受是被动的,交易量、交易额和传统柜面相比所占份额很小。网上银行业务更多的是复制传统柜面业务,缺乏根据互联网特点的新的金融创新,对客户的吸引力较弱。客户对网上业务接受比较被动,这和西方发达国家的情况形成鲜明对比。西方发达国家的整个社会信息化程度比较高,金融信息化的速度和社会信息化的速度相适应。而在我国,金融企业信息化程度领先于社会平均水平,很大程度上,客户从心理和认知上都不接受网上银行。接
受程度低,使用度也就相应降低,网上银行的规模效应无法体现。同时,我国金融产品尤其是理财型的产品相对较少,很多银行将网上银行作为低值业务的分流渠道,因此查询、转账、代缴费大行其道,成为各网上银行的主流业务,所不同的是形式上的包装,就产品来讲更缺乏对客户的吸引力。
2.网络安全对网络银行应用的必要性
资金在网上汇划,安全性是最大问题。发展网上银行业务,大量经济信息在网上传递,而计算机及计算机网络系统极易遭受黑客和病毒的袭击,技术和操作方面的故障都难以避免。在网络环境下,银行业一些传统业务的风险将被放大,使银行面临的风险更大。
消费者对网络银行服务的态度如何呢?有关调查显示:消费者更愿意接受在线的金融服务,前提就是希望在一个网址上就能够得到各种各样的金融服务而且交易一定要保密。现有个人用户选择网银的因素2007年与2006年最大的变化是:“网络银行的安全性能”超过了“选择网银主要根据原来的开户行而定”上升到了第一位。与2006年对比,2007年企业选择网上银行的因素中,公司因原有银行账户的原因仍然排名第一,其比例仍然在50%以上,2007年排名第二、第三、第四名的分别为网银的安全性能、银行的知名度、网银的服务水平和态度。而无论个人和企业,非现有用户选择网银时看重的因素没有显著变化,最重视的依然是网银的安全性能。由此看出,消费者不但需要一体化的服务,而且网上交易的安全至关重要,消费者表示交易时隐私权被侵犯比在网上被欺诈钱财更令人担心。信息安全是消费者最关心的,也是网络银行发展中最为敏感和头疼的问题。要想让网络银行被消费者接受,首先得解决安全问题。安全性作为网络银行赖以生存和得以发展的核心和基础,从一开始就备受关注,各家银行都积极采取有效的技术和业务手段来确保网络银行的安全。
3.VPN技术
3.1VPN的关键技术
3.11隧道协议技术。隧道协议技术将原始报文在A地进行封装,到达B地后去掉封装,还原成原始报文,形成一条由A到B的专用通信隧道。该技术分为:①端对端隧道技术。从用户的PC延伸到用户所连接的服务器,每个端点的VPN设备都必须负责隧道的建立及端点之间资料的加密和解密等工作。②点对点隧道技术。主要是连接不同地区的局域 网络 。在局域网络内部传送的资料并不需做任何改动。一旦资料必须经由网络外围的设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后,VPN设备将这些资料解密,还原成原来的格式,再传送到内部局域网络。利用软件隧道覆盖在一个实体网络之上,构成虚拟特性,让其上任何一个连接看起来像是线路上唯一的 交通 。隧道也将使内部网络的安全性和优先性得以维持,提供交通控制能力。
3.12加密技术。VPN支持目前市场上主要的几种加密技术,如Rivest Cipher技术、DES及Triple-DES(三重DES)等。密钥长度的选择主要取决于资料机密的重要程度以及资料所流经的网络安全性等。一旦VPN采用加密技术后,系统必须为用户提供一套取得密钥的方法。最常见的密钥管理技术为点对点协议(PPP)中的加密控制协议(ECP)、具备密钥管理功能的点对点加密技术(MPPE)等。对于特别敏感的业务信息通信,通过加装硬件加密模块予以解决。
3.13认证技术。VPN采用了许多现有的用户认证技术,如密码认证协议(PAP)、挑战性握手验证协议(CHAP)以及Mi-crosoft CHAP的支持能力。连接中一般都包括两种形式的认证:
(1)用户身份认证。在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进
行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息。
(2)数据完整性和合法性认证。检查链路上传输的数据是否出自源端,在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查,密钥只由发送者和接收者双方共享。
3.14存取控制。在确认用户身份后,就要给不同用户授予不同的存取权限。用户必须接受身份认证(Authentication)和授权程序验证(Authorization),让网络知道是谁发出的业务请求,让用户知道他们可以进行哪些操作。一个完善的系统同时还能执行账户稽核(Accounting),以追踪支出源。
3.2实现私有隧道通信的方法
3.21通过封装通用路由实现。采用通用路由封装(GRE)技术,为IP数据包加上一个IP头,将私有数据进行包装后,传送到其他地方。因为银行私有网络的地址通常是自己规划的,因此无法与外部互联网建立正确的路由。但在银行网络的出口,至少会有一个合法的地址,它在互联网中是唯一的。GRE就是将内部的目的IP地址和源地址的数据报文进行封装,加上一个远端机构互联网出口的IP地址(目的地址)和本地互联网出口的IP地址(源地址),即加上IP头。通过互联网IP帧结构如图所示。
3.22通过点对点隧道协议实现。采用点对点隧道协议(PPTP),将控制包与数据包分开。控制包采用TCP控制,用于严格的状态查询和信令信息。数据包先封装在PPP协议中,然后封装到GRE协议中。
3.33通过第二层隧道传输协议实现。采用第二层隧道传输协议(L2TP),将二层协议PPP的报文封装在报文中进行传输。用户可以通过拨号网络直接访问银行内部网络,在特定链路层实现VPN技术。
3.34通过网络协议安全实现。采用网络协议安全(IPSec)协议,运用互联网的验证、加密等功能,实现数据的安全传输。同时,还可采用该协议构建VPN网络。其原理也是对IP包进行封装(可提供多种方式)并进行加密,然后在互联网中进行传输。与前面方法相比,这种技术提供了更好的安全性。但是,协议的复杂性导致了处理IPSec的网络设备(如路由器)需要占用大量的资源,效率较低。如果使用专门的加密硬件,又会增加成本。
3.35通过多协议标记交换实现。采用多协议标记交换(MPLS),VPN实现底层标签自动分配,即为每个VPN分配一个独有的标识符,称为路由区分符(RD),在网络中的每个In-tranet或Extranet的区分符都不同。转发表包含独有的地址,称为VPN_IP地址,由RD 和用户的IP地址构成。VPN_IP地址是网络中每个端点独有的,条目存储在VPN中每个节点的转发表中。边界网关协议(BGP)是一个路由选择分配协议,它定义谁可以与使用多协议分支和群体属性的人对话。在MPLS的VPN中,BGP只向同一个VPN中的成员发布有关VPN的信息,通过业务分离来提供本机安全性。这种基于标记的模式保证了帧中继和ATM连接中的私密性,也更容易实现跨运营网点骨干网服务质量的保证。
4.结束语
网络银行作为金融服务信息化最集中、最突出的表现形式,代表着银行业发展的未来,是大势之所趋。无论国际还是国内,网络银行都面临着不少亟待解决的问题。网络银行发展的关键就在于如何打破安全这个最大的瓶颈,在这个方面,显然还有很多工作要做。
参考 文献 :
为保证我局计算机网络信息安全,防止计算机网络失密泄密事件发生,特制定本制度。
一、为防止病毒造成严重后果,对外来存储介质(硬盘、光盘、软盘、移动硬盘或U盘)、软件要严格管理,原则上不允许外来存储介质、软件在单位内部计算机上使用。确因工作需要使用的,事先必须进行防(杀)毒处理,证实无病毒感染后,方可使用。
二、接入网络的计算机严禁将计算机设定为网络共享,严禁将机内文件设定为网络共享文件。
三、为防止黑客攻击和网络病毒的侵袭,接入网络的计算机一律安装杀毒软件,并要定时对杀毒软件进行升级。
四、各有关股室在考核酝酿及其他重大事项保密期间,将有关涉密材料保存到非上网计算机上。
五、我局所有办公计算机均为涉密计算机,各股室禁止将其擅自联接国际互联网。
六、保密级别在秘密以下的材料可通过网络传递和报送,严禁保密级别在秘密以上的材料通过网络传递和报送。
七、局办公室(机要室)统一负责计算机网络信息安全保密工作。
计算机上网安全保密管理规定
一、未经批准,涉密计算机一律不许上互联网,如有特殊需求,必须事先提出申请报主管领导批准后方可实施,并安装物理隔离卡,在相关工作完成后撤掉网络。
二、要坚持“谁上网,谁负责”的原则,办公室(机要室)统一负责,严格审查机关上网机器资格工作,并报主要领导批准。
三、国际互联网必须与涉密计算机系统实行物理隔离。
四、在与国际互联网相连的信息设备上不得存储、处理和传输任何涉密信息。
五、加强对上网人员的保密意识教育,提高上网人员保密观念,增强防范意识,自觉执行保密规定。
涉密存储介质保密管理规定
一、涉密存储介质是指存储了涉密信息的硬盘、光盘、软盘、移动硬盘及优盘等。
二、单位内部所有涉密存储介质需填写和保管“涉密存储介质登记表”,并将登记表的复制件报办公室登记、备案并及时报告变动情况。
三、因工作需要在存储介质上拷贝涉密信息时,应填写“涉密存储介质使用情况登记表”,经单位领导批准,同时在介质上按信息的最高密级标明密级。
四、存有涉密信息的存储介质不得接入或安装在非涉密计算机或低密级的计算机上,不得转借他人,不得带出工作区,下班后存放在本单位指定的柜中。
五、因工作需要必须携带出工作区的,需到办公室填写“涉密存储介质外出携带登记表”,经主管领导批准,返回后要经主管领导审查注销。
六、复制涉密存储介质须经单位领导批准,且每份介质各填一份“涉密存储介质使用情况登记表”,并赋予不同编号。
七、需归档的涉密存储介质,应连同“涉密存储介质使用情况登记表”一起及时归档。
八、各股室负责管理其使用的各类涉密存储介质,应当根据有关规定确定密级及保密期限,并视同纸制文件,按相应密级的文件进行分密级管理,严格借阅、使用、保管及销毁制度。借阅、复制、传递和清退等必须严格履行手续,不能降低密级使用。
九、涉密存储介质的维修应保证信息不被泄露,需外送维修的要经主管领导批准,维修时要有涉密科室主任在场。
十、不再使用的涉密存储介质应由使用者提出报告,由单位领导批准后,交主管领导监督专人负责定点销毁。
计算机维修维护管理规定
一、涉密计算机系统进行维护检修时,须保证所存储的涉密信息不被泄露,对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时,涉密人员必须在维修现场,对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。
二、各涉密科室应将本科室设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。
三、凡需外送修理的涉密设备,必须经主管领导批准,并将涉密信息进行不可恢复性删除处理后方可实施。
四、高密级设备调换到低密级单位使用,要进行降密处理,并做好相应的设备转移和降密记录。
五、由办公室指定专人负责所有股室计算机软件的安装和设备的维护维修工作,严禁使用者私自安装计算机软件和擅自拆卸计算机设备。
六、涉密计算机的报废交主管领导监督专人负责定点销毁。
用户密码安全保密管理规定
一、用户密码管理的范围是指办公室所有涉密计算机所使用的密码。
二、机密级涉密计算机的密码管理由涉密股室负责人负责,秘密级涉密计算机的密码管理由使用人负责。
三、用户密码使用规定
(1)密码必须由数字、字符和特殊字符组成;
(2)秘密级计算机设置的密码长度不能少于8个字符,密码更换周期不得多于30天;
(3)机密级计算机设置的密码长度不得少于10个字符,密码更换周期不得超过7天;
(4)涉密计算机需要分别设置BIOS、操作系统开机登录和屏幕保护三个密码。
四、密码的保存
(1)秘密级计算机设置的用户密码由使用人自行保存,严禁将自用密码转告他人;若工作需要必须转告,应请示主管领导认可。
(2)机密级计算机设置的用户密码须登记造册,并将密码本存放于保密柜内,由科室主任管理。
涉密电子文件保密管理规定
一、涉密电子文件是指在计算机系统中生成、存储、处理的机密、秘密和内部的文件、图纸、程序、数据、声像资料等。
二、电子文件的密级按其所属项目的最高密级界定,其生成者应按密级界定要求标定其密级,并将文件存储在相应的目录下。
三、各用户需在本人的计算机系统中创建“机密级文件”、“秘密级文件”、“内部文件”三个目录,将系统中的电子文件分别存储在相应的目录中。
四、电子文件要有密级标识,电子文件的密级标识不能与文件的正文分离,一般标注于正文前面。
五、电子文件必须定期、完整、真实、准确地存储到不可更改的介质上,并集中保存,然后从计算机上彻底删除。
六、各涉密科室自用信息资料要定期做好备份,备份介质必须标明备份日期、备份内容以及相应密级,严格控制知悉此备份的人数,做好登记后进保密柜保存。
七、各科室要对备份电子文件进行规范的登记管理。备份可采用磁盘、光盘、移动硬盘、U盘等存储介质。
八、涉密文件和资料的备份应严加控制。未经许可严禁私自复制、转储和借阅。对存储涉密信息的磁介质应当根据有关规定确定密级及保密期限,并视同纸制文件,分密级管理,严格借阅、使用、保管及销毁制度。
九、备份文件和资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施,并进行异地备份。
涉密计算机系统病毒防治管理规定
一、涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件。
二、每周升级和查、杀计算机病毒软件的病毒样本,确保病毒样本始终处于最新版本。
三、绝对禁止涉密计算机在线升级防病毒软件病毒库,同时对离线升级包的来源进行登记。
四、涉密计算机应限制信息入口,如软盘、光盘、U盘、移动硬盘等的使用。
五、对必须使用的外来介质(磁盘、光盘,U盘、移动硬盘等),必须先进行计算机病毒的查、杀处理,然后才可使用。
六、对于因未经许可而擅自使用外来介质导致严重后果的,要严格追究相关人员的责任。
数字复印机多功能一体机保密管理规定
一、用于专门处理涉密信息的数字复印机、多功能一体机按所接入设备的最高定密等级定密。
二、严禁将用于处理国家秘密信息的具有打印、复印、传真等多功能的一体机与普通电话线连接。
三、严禁维修人员擅自读取和拷贝数字复印机、多功能一体机等涉密设备存储的国家秘密信息。涉密电子设备出现故障送外维修前,必须将涉密存储部件拆除并妥善保管;涉密存储部件出现故障,如不能保证安全保密,必须按照涉密载体销毁要求予以销毁;如需恢复其存储信息,必须由市委保密工作部门指定的具有数据恢复资质的单位进行。
上网发布信息保密规定
一、上网信息的保密管理坚持“谁发布谁负责”的原则。凡向甘肃商务之窗、玉门政务信息公开网等站点提供或发布信息,必须经过保密审查批准,报主管领导审批。提供信息的股室应当按照一定的工作程序,健全信息保密审批制度。
二、凡以提供网上信息服务为目的而采集的信息,除在其它新闻媒体上已公开发表的,组织者在上网发布前,应当征得提供信息单位的同意。凡对网上信息进行扩充或更新,应当认真执行信息保密审核制度。
三、涉密人员在其它场所上国际互联网时,要提高保密意识,不得在聊天室、电子公告系统、网络新闻上发布、谈论和传播国家秘密信息。
四、使用电子函件进行网上信息交流,应当遵守国家保密规定,不得利用电子函件传递、转发或抄送国家秘密信息。
随着网络尤其是因特网在我国的迅速普及,针对我国境内信息系统的攻击正在呈现快速增长的势头,利用网络传播有害信息的手段日益翻新,当前,全球电子商务时代已然来临,在带动国内互联网经济的同时,国内各站点也在遭受钓鱼网站、木马病毒攻击的“围追堵截”。保障网站安全是网民访问各类互联网站的第一前提。从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰,网购安全问题成为电子商务发展的一大瓶颈,我国B2C、C2C网站的站长们也开始为自己站点上用户的网上交易忧心忡忡。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。
构建可信互联网 从源头上掐断安全隐患。据统计,互联网企业在营销过程中,有90%的客户会因为缺乏安全感和对网络信任度低而流失,企业不得不平均每天在互联网营销上投入成千上万元来建立网民对网站的信任。
显然,如果有一个第三方权威机构通过采用先进技术对各类网站进行实时的安全监测,并对安全网进行进行可信认证,也就是说给安全的网站帖上一个可信任的标签,无疑既保证了广大网民的上网安全,极大地方便了上网民众,又同时帮助广大互联网企业减少了不必要的损失。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的共享、开放、灵活和快速等需求得到满足。网络环境为共享、交流、服务创造了理想空间,的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:泄漏、污染、不易受控。例如,资源未授权侵用、未授权流出现、系统拒绝流和系统否认等,这些都是安全的技术难点;在网络环境中,一些组织或个人出于某种特殊目的,进行泄密、破坏、侵权和意识形态的渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁;网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使资源的保护和管理出现脱节和真空,从而使安全问题变得广泛而复杂;随着社会重要基础设施的高度化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防设施、动力控制网、金融系统和政府网站等。
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。为解除这个网络系统固有的安全隐患,可采取以下措施:网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通;以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
信息科技的迅速发展,Internet已成为全球重要的信息传播工具。据不完全统计,Internet现在遍及186个国家,容纳近60万个网络,提供了包括600个大型联网图书馆,400个联网的学术文献库,2000种网上杂志,900种网上新闻报纸,50多万个Web网站在内的多种服务,总共近100万个信息源为世界各地的网民提供大量信息资源交流和共享的空间。
作为一种战略资源,信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。传播、共享和自增殖是信息的固有属性,与此同时,又要求信息的传播是可控的,共享是授权的,增殖是确认的。因此在任何情况下,信息的安全和可靠必须是保证的。Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享。资源共享和信息安全是一对矛盾.自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。
在信息社会中,信息具有和能源、物源同等的价值,在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题,对于企业更是如此。例如:在竞争激烈的市场经济驱动下,每个企业对于原料配额、生产技术、经营决策等信息,在特定的地点和业务范围内都具有保密的要求,一旦这些机密被泄漏,不仅会给企业,甚至也会给国家造成严重的经济损失。
1 加强计算机网络安全的重要性
计算机网络在当前社会中的应用不仅使得工作提高了效率, 同时也在一定程度上提高了经济效益。计算机网络应用的诸多优势也使得其应用涉及到电子银行、电子商务等多个领域, 且都是十分重要的领域。可以说, 计算机网络的应用已经遍布到人们生活的方方面面以及社会发展的众多领域。然而, 我们在看到计算机网络给社会带来种种优势的同时, 也不得不承认网络安全问题层出不穷, 网络犯罪事件屡见不鲜。很多计算机使用者的重要资源被窃取、重要信息被篡改等等给广大的计算机用户在心理和经济方面都带来了严重的威胁。因而, 对于计算机网络安全方面的研究对于社会经济的可持续发展、人心的稳定等多个方面都有着不可忽视的作用。
2 计算机网络存在的安全漏洞及成因
在计算机日常的使用过程中, 安全漏洞问题是极为常见的, 同时也在一定程度上给我们的计算机正常使用带来了很大的威胁。然而, 这种常见的漏洞是如何形成的, 又有哪些种类是我们在研究防范措施之前应该重视的重点问题。笔者通过总结归纳出以下几点安全漏洞以及其形成原因。
2.1 系统漏洞
在计算机网络安全漏洞中, 系统漏洞是最被我们大家所了解的。由于网络自身在功能方面的特点导致了系统环境的多变性, 给漏洞的出现、漏洞的攻击提供了一定的条件。与此同时, 计算机系统使用的时间与漏洞出现的几率也是成正比的。
2.2 协议漏洞
协议漏洞也是计算机安全漏洞中的常见形式。协议漏洞主要分为两种类型。一种是以TCP为依据, 而另一种是以IP为依据。无论是以TCP为依据还是以IP为依据的协议都是计算机网络的重要信息通道, 而由于这两个方面自身的特点决定了他们无法对存在的漏洞进行有效的控制。因此, 这两种协议的漏洞较之于其他方面的漏洞而言受到攻击的频率要更高一些。
2.3 计算机网络安全漏洞的成因
无论是系统漏洞还是协议漏洞导致其出现的原因主要有两个方面:一方面是DOS侵入;而另一方面则是网络侵入。就前者而言, 由于它属于拒绝类的服务, 所以在执行任务的过程中就会泄露系统的权限, 而这就是DOS侵入引发漏洞的根源。而就后者而言, 属于恶性漏洞攻击, 使得系统侵入病毒后造成计算机网络漏洞的出现。
3 增强计算机网络安全的防范措施
无论是何种原因造成的系统漏洞或协议漏洞都会在很大程度上危害我们的电脑, 损害我们的使用权益, 甚至有时候在名誉上、金钱上也会造成一定的损失。所以, 对于计算机网络安全漏洞问题不可不防。笔者在此对如何增强计算机网络安全的防范措施进行了以下几个方面的研究, 希望可以为大幅度的提高计算机网络安全防范措施的水平而提出一些有价值的参考意见。
3.1 安装防火墙
事实上, 提高计算机网络安全的防范措施有很多, 而就笔者看来最为有效也最为普遍的防范措施就是安装防火墙。所谓的防火墙的安装指的就是要在Internet与计算机的内部网络之间建立一个用于防范网络漏洞的防火墙, 其目的是在更高程度上提高网络的防盗功能。同时, 防火墙的安装可以根据用户的需求来进行安装, 需求不同防火墙的安装也不同。也正是由于防火墙技术这样的自如性, 以及在保证网络安全效果明显的原因, 才成为当前网络安全防范的重要措施之一。
3.2 安装相应的杀毒软件
对于病毒入侵类型的计算机漏洞, 可以考虑安装效果比较好的杀毒软件。杀毒软件的安装能够帮助计算机拦截病毒, 同时给用户在该方面发出警示, 进而用户可以根据自己的医院对病毒进行查杀。杀毒软件的应用能够在很大程度上帮助计算机抵御病毒的入侵、蔓延与破坏, 同时保证计算机的安全、正常运行。
3.3 进行漏洞扫描
利用相应的网络漏洞扫描技术, 对数据库中的信息和文件进行安全扫描, 利用信息获取及模拟攻击的方式对网络进行漏洞分析。Web服务软件版本和这些服务及软件呈现在Internet上安全漏洞, 并更正网络安全漏洞和系统中错误配置, 及时修补漏洞。
3.4 进行数据备份
除了以上几个方面的措施外, 还可以进行必要的数据备份。有效的数据备份能够在很大程度上保障数据的安全, 防止数据被窃取或者被篡改。同时, 对于数据的备份还可以保证数据的安全性与完整性, 提高用户在使用过程中的工作效率。
4 结语
综上所述, 对于计算机网络安全漏洞及防范措施的研究不仅能够在很大程度上保障计算机网络用户的使用安全, 同时还能促进社会经济的有序健康发展。因此, 对于计算机网络安全漏洞及防范措施的研究既具有理论价值也具有现实意义。所以, 在今后的计算机领域的发展中, 我们不仅仅要注重计算机相关应用技术、软件的研发, 同时更要注重网络的安全问题。通过对安全漏洞成因、类型研究的基础上, 采取更科学、更有效的防范措施, 从而在更大程度上有效地保证计算机网络使用的安全性。
摘要:社会的发展以及科学技术水平的不断提高使得计算机网络的应用已经深入到我们生活、工作和学习中。然而, 计算机网络在给我们带来方便快捷的同时也给我们带来了很大的安全隐患问题。如果不对这些安全隐患进行防范那么势必会在多个方面给我们带来危害。本文主要阐述了加强计算机网络安全的重要性, 分析了计算机网络存在的安全漏洞及成因, 并对增强计算机网络安全的防范措施进行了一定的研究, 旨在为进一步提高计算机网络的安全性而提出一些有价值的参考意见。
关键词:计算机,网络安全,漏洞,防范措施
参考文献
[1]耿仲华.浅谈计算机网络安全漏洞及对策[J].电脑知识与技术, 2010, 06 (36) :102-103.
[2]朱秀锋.浅谈计算机校园网络安全漏洞及防范措施[J].中国科教创新导刊, 2011 (20) :182-183.
【关键词】网络安全;计算机;安全管理;网络安全技术
0.概述
计算机网络是指将地理位置有差异的具有独特功能的多台电脑及电脑外部设备,通过一定通信线路相连接起来。在计算机普遍使用的网络操作系统、网络操控管理软件、网络连接通信协议的管理和协调下,实现资源共享和信息传递的计算机操作系统。
综合了通信技术与计算机网络技术两者优势的网络,为迎合人们对信息传播与共享的需要而飞速发展。网络是计算机技术与通信技术两者结合的新型产物,互联网能够为客户提供信息共享服务,现在人们利用网络进行学术科研、商务贸易、教育交流甚至军事国防的相关事宜。
1.网络信息安全的主要威胁
1.1网络技术的缺陷
虽然电子政务与商务的普及为我们的日常生产生活带来诸多便利,创造了难以估量的精神财富与物质财富。计算机网络技术应用领域不断扩大的同时,应用层次也更加深入。计算机网络面临日益剧增的安全威胁,一些网页被黑客恶意篡改,他们会对网站内容做出修改,或者冒充登陆者身份,发送假冒电邮,进入银行系统进行资金盗取、窃取用户机密信息的行为。如果不采取有效措施遏制这种行为,那么后果将不堪设想。
网络信息安全问题的日益突出是因为计算机网络的开发自由化与国际化形势愈发严峻。黑客的肆意破坏、间谍的非法入侵已经成为许多国家与政府机构、企事业单位网络信息化进一步发展的绊脚石。现有的网络技术只能够针对很少几个方面的危机对网络安全进行保护。
1.2计算机操作者防范意识不强
计算机网络案件不仅对国家信息安全产生威胁,也越来越成为全球亟待解决的棘手问题。根据对统计数据的分析可以得知,一些网络犯罪的高手几乎都受到过高等教育,是熟练掌握计算机与网络技术的群体。一些人甚至是计算机网络技术或信息安全领域德高望重的技术专家。他们犯罪的普遍特征是手段高明,不易被人察觉。一些黑客会利用某些非常规手段,比如使用暴力破解工具对用户信息进行强行破解。因为过于熟悉网络缺陷,可以通过借助不同网络与途径对网络信息与电子数据进行篡改或增删。
1.3计算机配置不当
有些电脑安全配置不合理,有时候也极容易造成计算机安全方面的漏洞,作为电脑系统的第一道防线,防火墙软件要有基本合理的配置。当我们启动网络程序的时候,要不可避免地打开一些安全缺口,如果电脑在执行命令之前没有被操作者设定好合理配置,那么在运行程序之时极易出现病毒入侵的后果。一些计算机操作者没有过硬的安全意识,随意转借他人自己的账号,导致个人信息被非法盗取,用户如果选择了错误的口令,这些错误操作会对网络安全造成隐患。
计算机病毒是人为制造的,这种病毒实际上是一种恶意程序,该程序能够在电脑运行过程之中进行不易被察觉的信息拷贝或是修改原有信息行为。计算机病毒有使系统发生故障甚至导致系统瘫痪的能力,电脑病毒传播速度令人咋舌,其隐蔽性和激发性、复制性也很强。随着计算机技术的不断发展与革新,病毒的数量与种类会呈几何速度增加,计算机病毒的复制能力更强,破坏性更大,全世界现在已被发现的病毒就有数万种,新的电脑病毒也在以每个月400种左右的数量不断增长。在一些机构与部门中各种层次人员要有职能责任。对信息安全工作要有充分的认识与重视,信息安全管理人员要时时刻刻提高自身工作的效率,加强网络信息安全管理力度。
1.4木马程序对计算机系统造成的破坏
随着时代发展,网络已经成为不可或缺的信息交流工具。计算机网络的终端分布并不均匀,该系统本身还存在着一些人为造成的疏忽和技术水平的缺失,这也就成为计算机网络系统很容易遭受黑客攻击的原因之一。木马程序与其他普通的病毒有很大差别,木马病毒具备四个特性:易窃取性、危害性、控制性、隐蔽性。木马程序通常会被编写程序的人伪装成游戏或是应用程序,或者是分享一些藏有噱头的链接地址与电子邮件,诱使用户安装该程序或者是点击链接,将木马病毒移植到自己的电脑上。
现在,随着电脑用户自我防范意识的提高,新形势木马病毒会被伪装成ZIP格式文件或是图片文件来诱使用户点击触发病毒程序。一旦这些图片或者邮件被打开或者执行,这些携带木马程序的文件将会以隐藏文件的形式留存在计算机之中,吞噬系统文件同时使系统运行变慢。更可怕的是,每次在Windows系统启动之时,该木马程序就会被悄无声息地执行,如果用户连接到互联网,这个程序就会间接提示黑客,显示出客户端的IP地址以及预先设置的连接端口,黑客一旦受到这样的信息,就会利用潜伏于其中的子程序肆意篡改用户计算机参数设置或者拷贝重要文件。
2.网络信息系统问题的防御措施
2.1防火墙技术的实施
据不完全统计,在各种各样的网络安全技术使用频次中,防火墙使用率非常高,达到75%以上。因为防火墙的优势是价格合理,容易安装,可以在线升级。防火墙是设置在被保护的网络系统与外围网络系统之间的一道屏障,其存在意义是防止不可预测的潜在破坏性病毒或是恶意程序侵入计算机系统。
2.2使用入侵监测和数字水印技术
该系统是从多种计算机系统和网络系统之中收集信息,再通过这些信息来分析病毒入侵过程。一些安全软件与应用程序能使入侵攻击,在对计算机系统造成危害之前,监测到蛛丝马迹。信息隐藏的过程是将机密信息埋藏到公开信息之中,要致力于通过公开信息的传输来传递机密文件与数据信息。网络与信息技术被广泛应用的同时要将信息隐藏技术升级更新。数字水印便是信息隐藏技术的新兴研究内容。这种方式通过一定算法在不影响多媒体价值与使用的前提下,将标志性信息直接嵌进多媒体内容里,这样做的好处是不破坏数据的价值与使用价值且更容易被保存。
2.3加强对电脑病毒的防范意识
建立起行之有效的病毒防御体系能够在最大程度上预防并消灭病毒。在进行病毒预防、系统漏洞监测、病毒查杀、隔离等一系列措施的同时要加强人们防范病毒的意识,从根本上遏制病毒传播。用户平时要对系统出现的漏洞及时检测,做好病毒的预防、查杀、隔离工作。在传输文件和修改个人信息的时候要更谨慎,最好进行数据加密传输。用户要重视资料备份的重要性,尽量在每个月都进行资料与数据备份,以防止杀毒软件的漏洞被新程序攻破,导致用户信息的丢失。
3.结语
互联网已经超出了数据通信、资源共享、信息查询功能,开始开发新的功用价值。计算机网络技术在能识别的网络协议的基础上,使各类网络应用得以完整组合,能够随着技术发展,向更高层次发展。
网络和计算机技术正飞速发展,新安全问题必定会随之不断涌现,网络信息安全不仅要靠新技术的革新与科学的进步,还要依靠管理者的素质提高来保障。保障现有网络技术安全有效运行以及互联网秩序畅通安全,能够在最大程度上解决网络技术缺陷。
【参考文献】
[1]叶军.基于防火墙技术的计算机网络信息安全的探讨[J].硅谷,2010,(23):7-8.
[2]沈婷婷.计算机网络信息安全面临的问题和对策[J].计算机光盘软件与应用,2011,(9):105.
【计算机网络安全漏洞】推荐阅读:
计算机网络安全导论07-07
计算机网络安全教案09-17
云计算及安全09-12
计算机网络安全虚拟网络技术分析论文07-28
计算机信息安全自荐信05-31
计算机信息安全保密审计报告06-12
云计算下网络安全防范技术分析论文07-09
计算机信息技术在食品安全控制中的应用07-19
钢丝绳的安全系数及受力计算06-19
计算机网络基础培训06-14
