计算机房安全技术措施(精选7篇)
应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。
应避开低洼、潮湿的地方。
应避开强振动源和强噪音源。
应避开电磁干扰、电磁辐射。
2.防火措施
应设置火灾报警装置。在机房内、基本工作房间内、活动地板下、吊顶里、主要空调 管道中易燃物附近部位应设置烟、温感受探测器。
应设置卤代烷1211或1301灭火器。
3、计算机机房内部装修
计算机房装修材料应符合TJ16(《建筑设计防火规范》)中规定的难燃材料和非燃材料,应能防潮、吸音、不起尘、抗静电、防辐射等。
计算机机房应装活动地板,活动地板应是难燃材料和非燃材料,应有稳定的抗静电性能和承载能力,同时耐油、耐腐蚀、柔光、不起尘等。
活动地板提供的各种规格的电线、电缆进出口应做得光滑防止损伤电线、电缆。
活动地板下的建筑地面应平整、光洁、防潮、防尘。
安装活动地板时,应采取相应措施,防止地板支脚倾斜、移位、横梁坠落。
4、供配电系统
计算机信息系统应有专用可靠的供电线路,其电源设备应提供可靠的电源,供电电源应满足下列要求(C)类:
频率:50±1HZ
电压:380V/220
变动辐度(%):-15~+10
相数:三相五线制或三相四线制或单相三线制。
波形失真率(%):≤±10
供电电源设备的容量应有一定的余量。
在计算机机房出入口处或值班室,应设置应急电话和应急断电装置。
计算机信息系统的各设备走线不得与空调设备、电源设备的无电磁屏蔽的走线平行。交叉时,应尽量以接近于垂直的角度交叉,并采取防延燃措施。
计算机信息系统接地应采用专用地线。专用地线的引线应和大楼的钢筋网及各种金属管道绝缘。
5.空调系统
计算机房应采用专用空调设备,若与其他系统共用时,应保证空调效果和采取防火措施。
应尽量采用风冷式空调设备、空调设备的室外部分应安装在安全及便于维修的地方。
安装在活动地板上及吊顶上的送、回风口应采用难燃材料或非燃材料。
空调设备中安装的电加热器和电加湿器应有防火护衬,并尽可能使电加热器远离用易燃材 料制成的空气过滤器。
空调设备的管道、消声器、防火阀接头、衬垫以及管道和配管用的隔热材料应采用难燃材料和非燃材料。
6、其它设备和辅助材料
计算机机房使用的磁盘柜、磁带柜、终端点等辅助设备应是难燃材料和非燃材料,应采取防火、防潮、防磁、防静电措施。
计算机机房应尽量不使用地毯。
计算机机房内所使用的纸、磁带和胶卷等易燃物品,应放于金属制的防火柜内。
7、其他保护和安全管理
计算机机房要注意防水,位于用水设备下层的计算机机房,应在吊顶上设防水层,并设漏水检查装置。
计算机机房要注意防静电,采取安全接地(接地是防静电采取的最基本措施)。在易产生静电的地方,可采用静电消除剂和静电消除器。
计算机机房的温度、湿度要求:
温 度(℃):10~35
相对湿度(%):30~80
温度变化率(℃/H):<15(要不凝露)
计算机机房应符合GB157《建筑防雷设计规范》中的防雷措施,在雷电频繁区域,应装设电源避雷器、网络避雷器和通信线路避雷器。
计算机机房内应设置捕鼠或驱鼠装置。在易受鼠害的场所,机房内的电缆和电线上应敷设驱鼠药剂。
计算机机房应装设监控系统,实行24小时值班制度,出入口应安装防盗安全门,窗户应安装金属防护装置。
计算机信息系统应装设容量充足的UPS。
计算机房应装设备用电源和自备发电机。
现今互联网环境正在发生着一系列的变化, 安全问题也出现了相应的变化。主要反映在以下几个方面:
1.1.网络犯罪成为集团化、产业化的趋势。从灰鸽子病毒案例可以看出, 木马从制作到最终盗取用户信息甚至财物, 渐渐成为了一条产业链。
1.2.无线网络、移动手机成为新的攻击区域, 新的攻击重点。随着无线网络的大力推广, 3G网络使用人群的增多, 使用的用户群体也在不断的增加。
1.3.垃圾邮件依然比较严重。虽然经过这么多年的垃圾邮件整治, 垃圾邮件现象得到明显的改善, 例如在美国有相应的立法来处理垃圾邮件。但是在利益的驱动下, 垃圾邮件仍然影响着每个人邮箱的使用。1.4.漏洞攻击的爆发时间变短。从这几年的攻击来看, 不难发现漏洞攻击的时间越来越短, 系统漏洞、网络漏洞、软件漏洞被攻击者发现并利用的时间间隔在不断的缩短。很多攻击者都通过这些漏洞来攻击网络。
1.5.攻击方的技术水平要求越来越低。
1.6.DOS攻击更加频繁。对于DoS攻击更加隐蔽, 难以追踪到攻击者。大多数攻击者采用分布式的攻击方式, 以及跳板攻击方法。这种攻击更具有威胁性, 攻击更加难以防治。
1.7.针对浏览器插件的攻击。插件的性能不是由浏览器来决定的, 浏览器的漏洞升级并不能解决插件可能存在的漏洞。
1.8.网站攻击, 特别是网页被挂马。大多数用户在打开一个熟悉的网站, 比如自己信任的网站, 但是这个网站已被挂马, 这在不经意之间木马将会安装在自己的电脑内。这是现在网站攻击的主要模式。
1.9.内部用户的攻击。现今企事业单位的内部网与外部网联系的越来越紧密, 来自内部用户的威胁也不断地表现出来。来自内部攻击的比例在不断上升, 变成内部网络的一个防灾重点。
2、计算机网络存在的安全隐患
随着Internet的飞速发展, 计算机网络的资源共享进一步加强, 随之而来的信息安全问题日益突出。据美国FBI统计, 美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中, Internet/Intranet安全面临着重大的挑战。在一个开放的网络环境中, 大量信息在网上流动, 这为不法分子提供了攻击目标。他们利用不同的攻击手段, 获得访问或修改在网中流动的敏感信息, 闯入用户或政府部门的计算机系统, 进行窥视、窃取、篡改数据。使得针对计算机信息系统的犯罪活动日益增多。
一般认为, 计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。黑客攻击早在主机终端时代就已经出现, 随着Internet的发展, 现代黑客则从以系统为主的攻击转变到以网络为主的攻击。新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程, 攻击密钥管理服务器, 得到密钥或认证码, 从而取得合法资格;利用UNIX操作系统提供的守护进程的缺省帐户进行攻击;利用Finger等命令收集信息, 提高自己的攻击能力;利用SendMail, 采用debug、wizard和pipe等进行攻击;利用FTP, 采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐藏通道进行非法活动;突破防火墙等等。目前, 已知的黑客攻击手段多达500余种。拒绝服务攻击是一种破坏性攻击, 最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件, 从而影响正常业务的运行, 严重时会使系统关机、网络瘫痪。
3、计算机网络安全技术措施
计算机网络安全从技术上来说, 主要由防病毒、防火墙、入侵检测等多个安全组件组成, 一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等, 主要的网络防护措施包括:
3.1.物理安全技术
物理安全是指通过物理隔离实现网络安全, 是指内部网络间接地连接在Internet网络。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离, 才能真正保证内部信息网络不受来自互联网的黑客攻击。此外, 物理隔离也为用户内部网划定了明确的安全边界, 使得网络的可控性增强, 便于内部管理。
3.2.病毒防范技术
在现代化的办公环境中, 几乎所有的计算机用户都不同程度地受到过计算机病毒危害。计算机病毒其实也是一种可执行程序, 除了自我复制的特征外, 很多病毒还被设计为具有毁坏应用程序、删除文件甚至重新格式化硬盘的能力。由于在网络环境下, 计算机病毒有不可估量的威胁性和破坏力, 因此, 计算机网络病毒的防范是网络安全性建设中重要的一环。在网络中, 计算机病毒的爆发对用户的安全构成了极大的威胁。因此, 网络配置病毒防护系统必不可少。常见的网络反病毒技术包括预防病毒、检测病毒和消毒三种技术。
3.3.防火墙
防火墙是一种隔离控制技术, 通过预定义的安全策略, 对内外网通信强制实施访问控制, 常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过, 依据系统事先设定好的过滤逻辑, 检查数据据流中的每个数据包, 根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制, 将属于同一连接的所有包作为一个整体的数据流看待, 构成连接状态表, 通过规则表与状态表的共同配合, 对表中的各个连接状态因素加以识别, 与传统包过滤防火墙的静态过滤规则表相比, 它具有更好的灵活性和安全性;应用网关技术在应用层实现, 它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络, 其目的在于隐蔽被保护网络的具体细节, 保护其中的主机及其数据。
3.4.数据加密与用户授权访问控制技术
与防火墙相比, 数据加密与用户授权访问控制技术比较灵活, 更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护, 需要系统级别的支持, 一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击, 虽无法避免, 但却可以有效地检测;而对于被动攻击, 虽无法检测, 但却可以避免, 实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法, 这种变换是受“密钥”控制的。在传统的加密算法中, 加密密钥与解密密钥是相同的, 或者可以由其中一个推知另一个, 称为“对称密钥算法”。这样的密钥必须秘密保管, 只能为授权用户所知, 授权用户既可以用该密钥加密信急, 也可以用该密钥解密信息, DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥, 构成加密/解密的密钥对, 则称这种加密算法为“非对称加密算法”或 (称为“公钥加密算法”, 相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中, 公钥是公开的, 任何人可以用公钥加密信息, 再将密文发送给私钥拥有者。私钥是保密的, 用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
3.5入侵检测技术
入侵检测技术是为保证计算机系统的安全而设计与配置的, 一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是一种主动保护自己免受黑客攻击的网络安全技术, 它提供了对网络内部攻击和外部攻击的实时保护, 在网络系统受到危害之前拦截和入侵。
3.6漏洞扫描技术
漏洞扫描是指对电脑进行全方位的扫描, 检查当前的系统是否有漏洞, 如果有漏洞则需要马上进行修复, 否则电脑很容易受到网络的伤害, 甚至被黑客借助于电脑的漏洞进行远程控制。所以, 漏洞扫描技术对于保护电脑和网络安全必不可少, 而且需要定时进行一次扫描, 一旦发现有漏洞就要马上修复。有的漏洞系统自身就可以修复, 而有些则需要手动修复。
3.7安全管理队伍的建设
在计算机网络系统中, 绝对的安全是不存在的, 制定健全的安全管理体制是计算机网络安全的重要保证。同时, 要不断地加强计算机信息网络的安全规范化管理力度, 大力加强安全技术建设, 强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略, 为了更好地进行安全管理工作, 应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力, 才能使计算机网络的安全可靠得到保障, 从而使广大网络用户的利益得到保障。
小结
计算机网络安全与我们的利益息息相关, 而计算机网络安全的问题, 仍有大量的工作需要我们去研究和探索。因此, 完善计算机网络安全防范措施就显得十分重要。
摘要:随着计算机网络技术的飞速发展, 人们在使用计算机的同时, 网络安全将会面临更严峻的挑战。为此, 本文作者主要就目前网络安全技术的现状及网络存在的安全隐患进行了分析。并对计算机网络的安全技术措施进行了全面的阐述。
关键词:计算机,网络安全,现状,隐患,措施
参考文献
[1]李涛.网络安全概论[M].北京:电子工业出版社, 2006
[2]何莉, 许林英, 姚鹏海.计算机网络概论[M].北京:高等教育出版社, 2006
[3]王健.计算机网络的安全技术[J].宁夏机械, 2009.
关键词:网络安全;防火墙;网络威胁;入侵检测
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 06-0000-02
随着现代计算机信息技术的发展,我们在计算机上完成工作已不再是在单个计算机上完成,而是实现了更大范围内的计算机网络的信息共享和信息传播。计算机网络在带给我们便利的同时,也使我们时刻面临着信息安全的风险,如今计算机网络安全事故频繁出现,计算机网络的安全性和可靠性已经成为用户普遍关心的问题。我们都希望自己的网络系统能在一个安全可靠的环境中运行,不会被外来的入侵者破坏和干扰。但计算机网络有其潜在的危险性与脆弱性,所以要求我们必须采取强有力的安全措施来应对。
1计算机网络安全面临的威胁
影响计算机网络安全的因素有很多,既有人为的行为也有非人为的因素,既可能是有意的也可能是无意的。对计算机网络安全的危害有两种,一种是对网络中的信息造成的危害,如对网络中的应用软件、信息系统、数据等造成的危害,还有就是对网络本身的危害,如对网络软件系统、网络设备等造成的危害。计算机网络入侵者进行攻击时主要有以下两种攻击手段:一是计算机网络安全存在漏洞,[1]来自Internet上的黑客就可以利用这些漏洞来对计算机网络进行攻击,这些攻击得逞的原因既包括现有的网络系统的内存安全脆弱性,也包括网络管理者安全意识不够,对网络安全的人力、物力、财力等投入不足,没有采取一些必要的安全机制和安全策略。二是计算机网络中经常会存在一些安全缺陷和安全漏洞,给网络中不法分子的入侵以可乘之机,如开放Telnet访问、口令文件缺乏安全保护、路由器配置错误等。[2]再加上网络系统所依赖的本身在设计上就很不安全的TCP/IP协议,如果网络没有采取安全防护措施,就给网络入侵者提供了可乘之机。
2影响计算机网络安全的因素
影响计算机网络安全的因素很多,有操作系统自身的因素,也有外部人为因素。具体可分两个方面:
2.1客观因素
计算机网络安全涉及多方面的原因,其中很多是由计算机机网络本身的因素。网络资源的共享性和网络的开放性,计算机网络最主要的功能之一就是资源共享,计算机网络上的任何一个用户都可以很方便地访问网络上的信息资源,这极大的方便了我们利用计算机网络来查找我们所需要的信息,但资源共享在为我们提供便利的同时,也为网络中的攻击者利用共享的资源对系统进行破坏提供了机会;网络系统的设计缺陷和操作系统的漏洞,网络系统设计指计算机网络中网络设备的选择、拓扑结构的设计、网络协议等。操作系统的漏洞是指由于网络协议实现的复杂性,造成操作系统本身无法避免必然存在的技术缺陷和问题,这些都会给计算机网络安全带来安全隐患;网络中存在的一些恶意攻击,所谓恶意攻击就是指人们常说的网络病毒、黑客攻击等,现在随着电脑教育的普及,这类攻击也越来越多。
2.2主观因素
影响计算机网络安全的主观因素主要是指计算机网络管理人员缺乏必要的安全意识、防范意识和网络安全技术。以及使用计算机网络的个人的一些不好的操作习惯。多数网络安全事件的发生是由于用户不懂得使用防火墙、防木马和杀毒等必要软件,另外多数用户没有及时备份数据的习惯,数据意外丢失会造成巨大损失。
3计算机网络安全主要技术及措施
3.1物理安全策略
物理安全策略指保护计算机硬件和通信线路免受破坏;确保计算机的安全运行环境;建立验证用户的身份和权限;建立完备的安全管理制度;加强网络安全管理等。在使用计算机网络中要制定相关的管理规章制度,如确定安全管理范围和等级、制订机房人员管理制度和操作使用制度、制订网络维护和网络应急制度。
3.2加强网络管理
面对计算机网络安全受到的各种威胁,每个网络管理员和网络系统设计人员必须要加强网络安全意识和安全管理,做好网络安全防范。网络管理可以从以下方面入手:首先是对网络结构和网络中的资源要明确,包括了解网络的拓扑结构、网络中的连接设备、管理和配置操作的方法,还要明确网络中哪些重要的数据和系统是需要保护的,并控制对它们的访问。其次是要确定网络中的访问点,作为网络管理员要明确整个网络中所有的接入点,以及这些接入点的访问路径,在制定网络安全制度时要在这些路径上采取防范措施保证网络安全。最后要明确网络安全隐患,任何网络都可能存在安全漏洞,作为网络管理员要认真分析网络设计方案,认真记录和检查网络系统的运行日志,能通过网络系统的日常运行发现网络系统的漏洞和安全隐患,明确潜在的非法入侵者会从什么地方攻击网络,从而可以采取措施加以防范。
3.3防火墙技术
防火墙技术是现在非常有效的一种网络安全技术,现在已经成为各单位网络建设必备的部分,现在的防火墙采用的技术主要有代理型、状态监测型、包过滤型和网络地址转换—NAT。[3]防火墙的主要组成包括过滤器、安全策略和网关,防火墙的作用是在被保护的网络和外界之间设置一道屏障,通过计算机的软件和硬件建立的安全网关来保护内部网络免受攻击者的入侵。它可以监控网络中进出的通信数据,从而做到让安全的信息进入,阻止不安全的数据进入。防火墙增强了intranet的安全性,使用户可以不必担心受到网络中非法入侵者的袭击,从而可以安全地使用网络。
3.4入侵检测技术
所谓入侵检测就是一种用于检测违反安全策略行为的技术,它能够通过发现网络中未授权的异常访问来保证计算机网络系统的安全。[4]入侵检测主要使用特征检测与异常检测这两种检测技术,异常检测是对网络数据流量进行分析,特征检测是对网络数据内容进行分析,通过这些分析来找出具有异常表现的网络通信,从而发现入侵行为。特征检测是根据已知的入侵实例确定使用的字符序列,然后从网络中传递的信息内容中寻找这些特定的字符序列,从而“锁定”入侵者;异常检测是先建立用户正常活动的规律档案,假设入侵者活动不同于正常用户的活动,当检测到用户活动违反规律档案时,就认定为入侵行为。[5]
总之计算机网络安全是一个复杂的问题,它也会随着科技的进步不断发展变化。在对计算机网络安全防护上,既有技术上的层面,也有人为管理上的层面,只有将二者统一起来,才能创造一个安全可靠的网络环境。
所谓的网络安全是一种相对的安全,并没有绝对的安全的网络,网络安全系数越高,就需要付出越高的代价。增加网络安全的措施不可避免地要耗费网络资源或者限制资源的使用,这对网络服务的高效、灵活是一种抑制。因此对网络安全的追求必须在与网络服务高效灵活和应用成本之间寻求一个最佳平衡点。
参考文献:
[1]田园.网络安全教程[M].北京:人民邮电出版社,2009.
[2]常莉.计算机网络安全技术的探讨[J].中国管理信息化,2010,13(22).
[3]杨永刚.计算机网络安全技术的影响因素与防范措施[J].中国管理信息化,2010,13(18).
[4]龚伏延.计算机网络安全技术探析[J].电脑知识与技术,2010,6(1).
[5]陈斌.计算机网络安全与防御[J].信息技术与网络服务,2006,4:35-37.
[作者简介]赵杨杰(1982-),女,西华师范大学实验中心,研究方向:计算机网络;刘峻杉(1980-),男,西华师范大学网路中心,研究方向:计算机网络。
作者任 慧072701061
[摘要]随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦点。本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出了针对性的建议。
[关键词]计算机网络 安全 管理 技术
计算机网络是一个开放和自由的空间,它在大大增强信息服务灵活性的同时,也带来了众多安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且还可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。本文通过深入分析网络安全面临的挑战及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出针对性建议。
1.影响网络安全的主要因素
计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁,但归结起来,主要有三点:一是人为的无意失误。如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的恶意攻击。这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯罪都属于
这种情况,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。
2.计算机网络受攻击的主要形式
计算机网络被攻击,主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推出有用的信息。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源,主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④利用TCP/IP 协议上的某些不安全因素。目前广泛使用TCP/IP 协议存在大量安全漏洞,如通过伪造数据包进行,指定源路由(源点可以指定信息包传送到目的节点的中间路由)等方式,进行APR 欺骗和IP 欺骗攻击。⑤病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或
让服务器充斥大量垃圾信息,导致数据性能降低。⑥其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能正常访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。
3.加强计算机网络安全的对策措施
3.1 加强网络安全教育和管理:对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
3.2 运用网络加密技术:网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之
一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
3.3 加强计算机网络访问控制:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
3.4 使用防火墙技术:采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等诸多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。因此,只有综合采取多种防范措施,制定严格的保密政策和明晰的安全策略,才能完好、实时地保证信息的机密性、完整性和可用性,为网络提供强大的安全保证。
参考文献
摘要:计算机网络应用日益广泛,给网络用户带来了很大的方便,人们对网络的依赖性越来越强,但由于网络的开放性和自由性,计算机网络经常受到黑客入侵、计算机病毒等安全威胁,使数据和私有信息遭到破坏,甚至出现系统瘫痪等问题。在本文中,笔者通过对计算机网络安全的现状和存在问题进行分析,阐述了安全威胁产生的原因,并提出了相对的防治措施。
关键词:计算机网络;安全威胁;防治措施
进入21世纪以来,随着经济的飞速发展,计算机技术已经广泛用于于社会的各个领域,计算机网络逐步改变着人们的生产、工作、生活方式。计算机网络的共享性和开放性在带给人们极大的方便的同时,也使网络更容易受到攻击,给人们的生产和生活造成了巨大的损失。因此,要加强对计算机网络安全的防范,保证网络信息交流的畅通,保证计算机网络系统稳定、安全的运行。
一、计算机网络和计算机网络安全
1、计算机网络。计算机网络是计算机技术发展到一定阶段的产物,是将不同地理位置具有独立功能的计算机及外部设备,通过通信线路进行连接,在网络管理软件、网络操作系统、网络通信协议的协调管理下,实现信息传递和资源共享的计算机系统。计算机网络有软件资源共享、硬件资源共享、用户信息交换三方面的功能。网络的快速发展带来了很多问题,需要通过防火墙、数据加密等方式进行防范。
2、计算机网络安全。计算机网络安全是指利用网络技术和管理控制措施,保证在一个网络环境内的数据的完整性、保密性和可使用性。ISO将“计算机安全”定义为“为数据处理系统建立和采取的管理和技术的安全保护,保护计算机硬件、软件和数据资源不因恶意或偶然的原因遭到破坏、更改和泄露,使计算机网络系统能连续可靠的运行”。计算机网络系统包括逻辑安全和物理安全。
二、我国计算机网络安全的现状
1、用户安全意识薄弱。很多人在用电脑工作、娱乐时,对网络安全问题不加注意,没有认识到网络潜在的安全隐患,人们的安全意识薄弱,并没有形成主动防范、积极应对网络安全威胁的意识。网络经营者一般更注重网络的短期经济
效益,对网络安全管理领域的投入较少。被动的应对措施不能从根本上提高网络的抗击能力。虽然近年来国家有关部门对网络安全采取了很多措施,也取得一定的效果,但对于目前计算机网络安全存在的威胁来说,这些措施并不能真正提高用户的安全意识。
2、网络安全系统薄弱
我国的网络安全系统还存在着薄弱环节,比如在网络安全系统在反应、预警、恢复、防范方面还缺乏应对的能力,在某些方面无法应对国内外计算机网络安全面临的威胁。
3、安全措施不到位
网络安全隐患的重要原因就是网络的动态性和综合性,很多网络不在安全模式下操作互联网,有可能导致重要数据暴露,给操作系统带来安全威胁。在安全措施上没有采取周密有效的措施,就不能及时发现安全隐患并防治。
4、核心软件技术缺乏
我国计算机网络使用的软件和设备,一般是从国外引进的,降低了我国计算机网络的安全性能。缺乏自主技术,使我国的网络安全极其脆弱,易被打击和窃听。
三、计算机网络存在的安全威胁
1、缺乏有效的措施评估网络系统安全。准确完整的安全评估是黑客入侵防范体系的前提,它通过对网络的安全防护性能做出准确、科学的评估分析,保障实施的安全策略经济上的可行性、技术上的可实现性、组织上的可执行性。通过网络安全评估分析,对网络进行检查,查找可被黑客利用的漏洞,分析、评估系统安全状况,对发现的问题提出建议,提高网络系统安全性能。而我国目前缺乏有效的系统评估网络系统的安全性。
2、网络系统问题。大多数操作系统都存在安全漏洞,黑客一般利用这些漏洞侵入系统。因为计算机网络系统设计的不够合理、规范或在设计时缺乏安全性考虑,使操作系统受到影响。①网卡用工作站选配不当导致网络系统的不稳定,缺乏安全策略;②网络应用的需求没有引起足够的重视,选型和设计考虑欠周密,影响网络功能的发挥,进而影响网络的扩充性、可靠性和升级换代。
3、黑客攻击。黑客攻击威胁是计算机网络面临威胁中最严重的威胁,它具
有传染性、隐蔽性和破坏性。黑客利用网络的不完善攻击网络用户。网络攻击一般以各种方式破译用户的机密信息,破坏用户信息的完整性,给个人计算机和国家信息系统带来不可忽视的危害。
4、来自局域网用户的安全威胁。使用者缺乏安全意识,很多应用服务系统在安全通信及访问控制方面考虑较少,使来自内部用户的安全威胁大于来自外部网用户的安全威胁。同时,管理制度不健全,网络管理维护和管理不强,网络管理造成的安全漏洞是整个网络安全性的最大隐患。另外,网络用户和网络管理员拥有相应的权限,利用权限破坏网络安全的隐患也是存在的。
四、计算机网络安全防治措施
1、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的数据和用户进入自己的内部网络,将不允许的数据和用户拒之门外,最大可能的阻止网络黑客访问自己的网络,防止他们对网络上的重要信息随意移动、更改和删除。因为防火墙是一种应用广泛并且是一种有效的网络安全机制,是一种隔离内部网络和外部网络之间的有效的网络防御系统,可以防止互联网上的不安全因素蔓延到局域网内部。因此,需要我们做好防火墙客户端及服务器的各种规则配置,更好的利用防火墙技术。防火墙技术的优点是通过一个过滤路由器保护网络的安全,效率高、速度快,对数据包过滤过程透明。缺点是防火墙技术的正常数据包过滤路由器不能执行默写安全策略,对防黑客攻击的作用较弱;防火墙技术不能彻底防止网络欺诈行为;防火墙的一些协议不能适用于数据包的过滤;防火墙技术不能实时更新,导致在遇到新的安全威胁时不能及时处理。
2、及时安装系统漏洞补丁程序。计算机系统漏洞包括硬件漏洞、软件漏洞和应用程序漏洞。用户在计算机系统配置时操作不当有可能形成系统漏洞。因此,为了解决计算机系统的漏洞问题,系统开发商应该及时更新系统补丁,保护系统的安全。另外,因为普通用户在更新系统补丁的操作并不熟悉,发展成熟的软件批发商开发相应的集成漏洞补丁程序,普通计算机用户要下载安装。
3、网络的实时监测。通过入侵检测防范方式,通过对网络和主机间的行为活动进行管理和预警,增强系统的防护能力,有效阻挡外来的攻击者。入侵检测系统是指从各种渠道收集计算机网络的信息资源,通过收集数据的特征去分析入
侵特征的网络结构,对于分析过的入侵病毒,可通过系统的记忆能力避免再次受到同类型的入侵。入侵检测的作用包括检测、威慑、损失和相应情况评估、起诉支持和攻击预测,增强系统的防范能力。
4、完善安全管理机制。通过建立完善的安全管理机制,提高对网络破坏行为的防护和预警功能,在计算机网络环境中,能完全保证网络安全的情形是不存在的,但是,不断的完善安全管理机制可在很大程度上保护网络的运行安全,防空网络安全隐患。网络管理员和用户要遵守安全管理机制,对计算机网络安全威胁及时防范,尽量减少违法行为的发生,对网络问题尽可能的全面防范。
5、运用加密技术。计算机网络加密技术是指把某种程序按照某种算法把信息内容转变成一种密文。密钥管理和加密算法是进行加密技术的关键。接收数据的人必须输入正确的密钥信息,才能够了解加密的信息内容。运用网络加密技术,可以实现网络传输的安全性、保密性、真实性。通过加密技术解决网络在公网数据传输中的安全性问题,加密技术在授权访问控制方面较为灵活,适用于开放性网络。加密技术可以保护静态信息的安全,还可以在一定程度上使其他用户权限受到限制。
6、运用入侵检测技术。入侵检测技术是一种安全防范技术,可以有效弥补防火墙技术的不足,抵御来在网络系统内部的攻击,提供实时的入侵检测和采取相应的技术手段。入侵检测技术的功能是对计算机系统和网络用户行为进行检测和分析,对系统和数据文件的完整性进行评估和检查,对系统本身属性安全性进行审计检查,包括系统漏洞和系统配置,对计算机操作系统进行跟组管理,对已知的攻击行为模式进行记忆和识别等等。根据入侵检测方法和检测技术的区别,入侵检测分为基于知识的误用入侵检测和基于行为的异常入侵检测;根据入侵检测技术应用的范围,入侵检测分为基于网络型检测、基于主机型检测和基于代理型检测。入侵检测技术的步骤有收集信息和分析信息,收集信息一般是收集网络、系统、数据和用户活动的行为和状态信息,在扩大检测范围的同时通过对采集点信息的比较来判断是否存在入侵行为或可疑现象;分析信息主要是运用应用模式匹配、完整性分析、统计分析等分析方法。
7、应用陷阱构网络技术。陷阱网络是基于网络的开放性设计的,是假设网络上的每台主机都可能被攻击,并未对含有某些特定资源的系统攻击的可能性更
大,因此,通过布置网络陷阱,将入侵者引入一个受控环境,降低正常系统被攻击的概率。陷阱网络建立的是一个真实的主机和网络环境,隐藏在防火墙后面,使所有进出的数据都能受到控制、捕获和关注。
8.做好数据的备份和恢复工作。数据的备份与恢复是管理员维护数据完整性的一个重要步骤,在发生意外时,利用备份恢复已经遭到破坏的数据。因此,备份是防止意外发生的保证,也是快速恢复数据库的有效方法,做好数据的备份和恢复工作是应对计算机网络安全问题的重要措施。
结语:
网络网络安全是一项系统工程,要从网络管理和网络技术两个方面分析。应该认真分析网络系统潜在的安全威胁,探究安全威胁产生的原因,采取相应的措施确保网络信息的安全。当然,计算机技术的不断发展,也会给计算机网络安全威胁和防治带来新的问题,因此,计算机要跟随信息技术的发展,不断提高计算机网络安全意识,综合采取多种安全防范措施,实时、完好的保证计算机网络的安全。
参考文献:
[1]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].信息技术,2009,34:39-40
[2]谢 勍.计算机网络入侵检测技术探讨[J].科学技术与工程,2008,1:229-232
[3]刘宝旭,许榕生.主动型安全防护措施--陷阱网络的研究与设计[J],2009,12:9-16
抚顺石化公司局域网是大型局域网络, 覆盖抚顺石化机关、各直属厂和其他二级单位, 网络上运行着各种管理系统, 保存着大量的重要数据。洗化厂是抚顺石化公司直属厂, 网上有380多台客户端, 厂区面积大, 用户办公地点分散, 而且各部门业务不同, 所应用的管理系统也不同。洗化厂在网上与公司运行各种管理系统, 如有网上报销系统、OA系统、工程平台系统、合同管理系统、中油电子邮件系统、MES系统等。洗化厂互联网的应用越来越普及, 因此, HTTP、SMTP、FTP、POP3等协议, 几乎每天都面临不同的安全风险;而病毒、蠕虫、垃圾邮件、木马程序、间谍软件、网络钓鱼等恶意行为也在伺机攻击管理系统。如果没有计算机网络安全作为基础, 管理系统正常运行就无从谈起。因此保证管理系统安全可靠地运行成为企业网络系统的基本职能。
2 存在的安全隐患
随着石化公司信息化建设的不断推进和网络规模不断扩大, 网络呈现出开放性、共享性、互联性, 计算机网络系统面临各种各样的安全威胁, 网络安全形势严峻而复杂。一般大型局域网存在下列安全隐患:
(1) 计算机病毒在内部网络传播;
(2) 内部网络可能被外部黑客攻击;
(3) 网络连接安全和数据交换的安全问题;
(4) 内部某些重要服务器被非法访问, 造成信息泄密;
(5) 生产网和办公网数据交换, 造成生产网数据被破坏。
3 采取的计算机网络安全技术
为了保证网络的安全, 可采用多种网络安全技术, 如网络隔离技术、反防病毒技术、防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、安全审计技术等。本文以洗化厂为例加以介绍。图1是洗化厂网络拓扑图。
3.1 生产网和办公网融合的网络安全措施
MES (Manufacturing Execution System, 生产制造执行系统) , 由美国AMR (Advanced Manufacturing Research) 组织在1990年提出, 定义为“位于上层的计划管理系统与底层的工业控制之间的面向车间层的管理信息系统”, 由此形成了由计划层、执行层和控制层组成的三层企业集成模型。
MES是抚顺石化信息化建设的重点内容, 随着MES快速发展, 从客观上加速了生产网与办公网的高度融合。为了保证生产网的安全稳定运行, 采取了生产网和办公网物理上隔离, 两网通过防火墙相连, 实现了两网高度融合。
3.1.1 生产网和办公网融合的必要性
MES系统是基于实时数据库的生产调度管理, 实现对生产系统的数据采集, 因此运行MES系统必须要与生产网之间进行数据交换。此时, PCS层的生产网不能以一个独立的网络运行, 而要与办公网互通、互联。由于开发和应用MES系统, 生产网被接入到办公网中, 生产网与办公网必须融合为一体。从网络安全的角度, 生产网已经成为MES的一部分。在运行MES系统时, DCS生产网和办公网直接相连, 会给网络安全带来很多隐患。因此在网络安全技术上, 既要保证两者之间的数据传输稳定而可靠, 又能最大程度地限制办公网对DCS生产网造成不良影响。
3.1.2 生产网和办公网融合的实施方法
洗化厂厂内网络基础状况良好, 现有的网络已经涵盖办公楼区域和各个生产车间。全厂DCS系统主要装置都已具备数据采集接口, 采用OPC标准。每个车间有交换机, 网络布置到了各车间办公室与DCS连通。公司MES核心交换机直接以千兆网络连接到洗化厂及各车间MES交换机上。公司MES核心交换机又通过防火墙以百兆网络连接到公司办公网。办公网与生产网物理上是隔离的, 通过防火墙汇聚到办公网上。其他直属厂也是以同样方法, 将生产网汇聚到公司MES核心交换机上, 通过防火墙汇聚到公司办公网上。这样整个公司的生产网与办公网物理上是隔离的, 又通过防火墙实现两网高度融合。合理制定防火墙安全策略, 检查办公网与生产网的之间信息流向, 当办公网向生产网读取数据时, 保护数据不被破坏。
3.2 部署Symantec防病毒系统
病毒防范是网络安全的一个基本的、重要部分。抚顺石化公司用户网络节点多, 办公地点分散, 如果采用单机防病毒软件, 成本高, 维护起来不方便, 防病毒的效果也不理想。通过对病毒传播、感染的各种方式和途径进行分析, 结合石化公司的网络特点, 在网络安全的病毒防护方面采用“多级防范、集中管理、以防为主、防治结合”的动态防病毒策略。抚顺石化局域网在内部署了Symantec网络版防病毒系统。Symantec系统是世界公认的防病毒解决方案, 具有跨平台的技术及强大功能, 系统中心是中央管理控制台。通过该管理控制台集中管理运行Symantec AntiVirus企业版的服务器和客户端;可以启动和调度扫描, 以及设置实时防护, 从而建立并实施病毒防护策略;管理病毒定义文件的更新, 控制活动病毒, 管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等。
下面介绍Norton AntiVirus10.0在企业网络系统中的安装部署 (见图2) 。
第1步:公司安装企业的Symantec服务器控制中心和“隔离区控制台”, 同时安装配置LiveUpdate管理实用程序, 将更新源指向Symantec LiveUpdate Server, 并配置自动防护等相关配置。
第2步:公司在应用服务器上安装Symantec Anti Virus服务器程序, 并将更新源指向系统中心服务器。洗化厂同样安装生成Symantec Anti Virus服务器, 更新源直接设置为Symantec LiveUpdate Server。
第3步:洗化厂每个网络客户端安装Symantec Anti Virus客户端软件, 并接受洗化厂Symantec Anti Virus服务器管理。
在网络环境中安装网络版的杀毒软件后, 强制并要求每台网络客户机都安装Symantec Anti Virus客户端软件, Symantec LiveUpdate Server负责自动为每台客户端升级病毒定义文件, 从而达到防患于未然的目的。
3.3 防火墙的部署
在应用网络安全技术方面, 防火墙技术是主要技术。防火墙是一种用来保护本地系统或网络设备, 以防止网络攻击破坏系统或网络。它通常位于被保护的网络和外部网络的边界, 根据防火墙所配置的安全策略监控和过滤内部网络和外部网络之间的所有通信量。
网络防火墙部署在被保护的企业内部网与不安全的非信任网络之间, 用来保护企业计算机网络免受非授权人员的骚扰、黑客的入侵和病毒的攻击。防火墙的基本原理是监测并过滤所有内部网和外部之间的信息交换, 保护内部网络敏感数据不被偷窃和破坏, 并记录内外通信的有关状态信息日志。
NetScreen 204是目前市场上流行的企业级防火墙产品, 可以方便地集成在许多不同的网络环境中, 包括大中型企业的办公室、电子商务网站、数据中心和电信运营基础设施。它具有4个自适应10/100M以太网端口, 延续了NetScreen防火墙优秀的线速处理能力 (400Mbps) , 即使在对系统资源要求极高的应用中 (诸如VPN-3DES加密) 也能保持超过200Mbps的速率。特点是多个可灵活配置的端口;在每个端口上都可以设置防火墙保护策略;VPN通道可以设置在任一端口;集中星型的hub-and-spoke;VPN高可用性 (冗余设备) 。下面以NetScreen 204防火墙为例简要介绍企业网中的防火墙部署。
第一步:物理部署防火墙, 设置在内外网之间;
第二步:合理制定相关策略, 控制内外网之间的信息流向, 确保内网信息安全, 并对防火墙的日志生成及保存和分析进行配置, 以便监控其状态, 优化其性能。
3.4 操作系统和应用程序的安全
石化企业大部分服务器和客户端几乎全部采用Microsoft的Windows操作系统, 而Microsoft所发布的系统补丁多, 而且多为“重要”和“严重”级别的补丁, 及时更新系统补丁不仅对客户端非常重要, 而且对网络的运行也同样重要。要求用户自己下载补丁并更新系统是不现实的, 因此, 搭建系统补丁服务器, 强制并自动更新用户系统, 就成为保障企业网络正常运行的一种必要的手段。
中国石油桌面管理系统采用微软System Management Server 2003服务器以实现桌面及应用系统的补丁分发和管理, 提高Windows、Office以及相关软件的安全性, 控制网络病毒的传播。SMS桌面管理系统同时能收集资产信息, 统计软件使用情况, 分发各类软件, 帮助达到企业级的IT资产管理要求。主要目标是补丁管理和安全管理。主要功能是硬件、软件资产收集;软件分发;软件使用计数;远程工具;软件更新管理。
3.5 内部网络VLAN技术的应用
在局域网中, 虚拟子网 (VLAN) 是由一些局域网网段构成的与地理位置无关的逻辑组, 而这些网段具有某些共同需求。由图1中可以看到, 洗化厂核心交换机采用了CISCO 4503交换机, 通过对交换机配置VLAN, 很好地解决了以太网所固有安全隐患。
3.5.1 提高网络的整体安全性
VLAN建立后, 同一VALN内的计算机之间便可以直接通信, 不同VLAN间的通信则要通过路由器的网关进行路由选择、转发, 可以隔离基于广播的信息, 这样就可以有效阻止非法访问, 大大提高网络系统的整体安全性。其外, 通过路由访问控制列表、MAC地址分配、屏蔽VLAN路由信息等技术, 可以有效控制用户的访问权限和逻辑网段大小, 将不同用户群划分在不同VLAN, 从而提高网络的整体性能和安全性。洗化厂把不同的部门划分成不同的虚拟子网 (VLAN) 。对于网络安全要求特别高的部门, 如财务资产部、电子商务部等, 划分独立的虚拟子网, 并使其与局域网隔离, 限制其他VLAN虚拟成员的访问, 确保了信息的保密安全。
3.5.2 规范了网络内部IP地址分配
由于网络用户不断增加, 使得网络IP地址的抢用现象也相应增加, 严重影响了网络的正常使用。通过建立VLAN后, 该VLAN内任何一台计算机的IP地址都必须在分配给该VLAN的IP地址范围内, 否则将无法通过路由器的审核, 也就不能进行通信, 因此有效地将IP地址抢用控制在VLAN之内。
3.6 绑定计算机IP地址和物理网卡地址, 控制IP地址抢用
用户没有按照规定设置IP地址, 与另一位用户IP相同时, 就会出现IP地址冲突现象。一旦这种现象频繁发生, 不但会影响用户网络畅通, 而且还会影响管理系统正常使用。通过交换机命令对IP地址和物理网卡地址进行绑定, 有效控制IP地址的抢用。
例如要将10.103.37.156地址绑定到0011.1107ca43上时, 可以在交换机后台系统的全局配置模式下, 执行字符串命令“arp10.103.37.156 0011.1107.ca43arpa”, 单击回车键, 再执行字符串命令“EXIT”, 即可完成地址绑定任务。
4 结束语
以上是洗化厂计算机网络已经应用的网络安全技术, 通过这些安全技术, 提高了计算机网络的安全性, 降低了网络安全事故和安全风险, 保证了网络长期平稳运行, 提高了洗化厂管理水平和办公效率。
参考文献
[1]刘晓军, 张东明, 等.网络硬件安装与管理[M].第2版.北京:电子工业出版社, 2009.
[2]蔡永泉, 等.计算机网络安全理论与技术教程[M].北京:北京航空航天大学出版社, 2003.
关键词:计算机网络安全;防范措施
1、引言
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续正常地运行,网络服务不中断。本文就计算机网络的安全与防范措施,作进一步的研究和探讨。
2、网络安全
随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。
2.1安全隐患 Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患:
(1)每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。
(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略進行合理的设置。
(3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(4)只要有程序,就可能存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。
(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。
2.2关键技术 (1)防火墙技术。防火墙是指一种将内部网和公众访问网(Internet)分开的方法,实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
防火墙的技术实现通常是基于所谓“包过滤”技术,而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp,www等)等。
现在的防火墙,一般都具有加密、解密和压缩、解压等功能,这些技术增加了信息在互联网上的安全性。
(2)数据加密技术。与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一,它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息就全部通过加密处理。按作用不同,数据加密技术主要分为数据传输、数据存贮、数据完整性的鉴别密钥管理技术4种。
(3)智能卡技术。与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密匙的一种媒体,一般就像信用卡一样,由授权用户所持有并由该用户赋与它一个口令或密码字,该密码与网络服务器上注册的密码一致,当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。
3、防范措施
网络安全的防范措施,主要有:病毒的防范;防火墙;入侵检测;安全监测;漏洞扫描;防止IP盗用;网络监听;涉密信息安全等。
(1)病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(2)防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(3)入侵检测。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(4)安全监测。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
(5)漏洞扫描。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络?安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
(6)防止IP盗用。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
(7)网络监听。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
(8)涉密信息安全。为确保本单位涉密信息的安全,首先,要严格控制各单位的上网计算机,最好是集中在一起,IP地址只用一个(一个接口),可连接多台计算机,形成局域网,设专人,进行统一管理。
其次是上下网人员必须登记,严禁在国际互联网上传输、传递国家秘密,涉密资料及信息;严禁在联网计算机上编辑文件资料;任何人不得使用带密及的介质(USB闪存或移动硬盘)拷贝下载资料,并实行“谁使用,谁负责”的原则;发送邮件必须履行审批手续,填写本单位保密部门提供的保密审查表,由网管人员负责发送。
对于科研院所、涉密企事业,必须从措施上保证涉密信息系统与国际互联网的彻底隔离,保证涉密信息的安全。例如,给网室配置一台专用计算机,用于办公计算机与连接互联网计算机之间的信息转换。网室配置的移动U盘不外借,上传、下载资料时,要使用各部门的非涉密U盘或到单位保密部门借非涉密U盘,由网室管理人员在中间计算机上进行信息转换。
5、结束语
总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。
参考文献:
[1]蔡立军:《计算机网络安全技术》(中国水利水电出版社2002)
[2]邓文渊、陈惠贞、陈俊荣:《ASP与网络数据库技术》(中国铁道出版社2003.4)
[3]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002
【计算机房安全技术措施】推荐阅读:
计算机网络安全防控技术探索论文01-14
计算机网络安全虚拟网络技术分析论文07-28
云计算下网络安全防范技术分析论文07-09
计算机信息技术在食品安全控制中的应用07-19
计算机网络安全防护技术探讨论文12-28
措施项目费用的计算06-09
计算机控制技术10-03
计算机技术大学排名06-01
计算机组网技术答案06-23
计算机控制技术总结02-23
