時間:2023-08-02 16:37:37
導語:在計算機網絡安全防范策略的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
關鍵詞:計算機;網絡;安全;防范;策略
中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 03-0000-02
Computer Network Security and Prevention Strategies
Tian Gang1, Chen Xiaohua2
(1.Xinjiang Dushanzi Petrochemical Company Information Center, 833600China; 2. Xinjiang Karamay Polytechnic, Karamay833600,China)
Abstract: Due to the continuous development of computer networks, human gradual emergence of the trend of globalization and information technology development. But. Computer network links the form of the diversity of the terminal uneven distribution of network openness and connectivity features, a lot of hacker, cracker or malware, and other misconduct attack, network information security assurance become an important issue for the development of information technology and confidentiality. Both in the LAN or WAN being always there with the potential threat that many factors and natural. Computer network security precautions is dealt with in all a variety of potential threats, so as to achieve the availability of the computer network of information, confidentiality and integrity. By analyzing the factors of computer network security threats, research and analysis to draw preventive measures for reference.
Keywords:Computer; Network; Security; Prevention; Strategy
由于計算機網絡信息化飛速的發展,計算機網絡已經延伸到日常工作和生活的每個領域中了,比如,學校、政府機關、社區、醫院以及千家萬戶等。因此,計算機網絡安全已經一起社會的廣泛關注,迫切需要足夠強大的安全防范措施,否則計算機網絡將失去自己的效益和作用,最終將威脅國家網絡安全和人民的生命財產安全。
一、計算機網絡安全面臨的威脅
計算機網絡安全面臨的威脅可分為大概兩種情況:一是針對網絡信息的威脅;二是針對網絡設備構成的威脅。對計算機網絡安全造成影響的因素有很多,可能是無意的、非人為的,也可能是人為的、故意的;可能黑客入侵或對網絡系統資源的某些非法使有,但是總結可以發現,針對計算機網絡安全主要的的威脅有:
(一)人為無意的威脅:計算機操作人員在安全配置時操作不當導致安全漏洞,用戶的安全意識淡薄,或者沒有謹慎選擇用戶口令,或者隨意轉借自己的帳號或者與他人共享……這些都將給網絡安全造成損害。
(二)人為惡意的威脅:這是計算機網絡安全最大的威脅,如黑客等的攻擊以及計算機網絡犯罪。這類攻擊:一種屬于主動攻擊,通過各種不同的方式進行有選擇地破壞網絡信息,是網絡信息喪失有效性以及完整性;另一類屬于被動的攻擊,它在不影響計算機網絡的正常工作情況下,通過進行截獲或者破譯進行竊取或者獲得某些重要機密的信息。這些攻擊對我國的計算機網絡安全威脅極大,并將引起機密數據的外漏。
(三)軟件漏洞和軟件后門:沒有百分之百沒有缺陷和漏洞的網絡軟件,因此,這些漏洞以及缺陷就正好成為黑客們首選攻擊的目標。這類案件難以徹底根除,曾出現黑客侵入計算機網絡內部的事件,這類事件大部分都是由于安全措施不到位或存在漏洞導致的后果。另外軟件后門屬于軟件公司設計編程的工作人員為了自便設置的,通常不為外人所獲知,但是一旦“后門”泄露出去,將造成不堪設想的后果。
二、計算機網絡安全防范原則
計算機網絡安全防范和管理應該遵循以下的基本原則:
(一)適度性原則。所謂適度性是指適度安全。由于信息的邪路或者濫用,以及非法訪問和修改,這些都將造成計算機網絡安全的損害,與這些安全問題相關的內容叫做適度安全問題。計算機網絡安全不存在絕對安全一說,所以任何安全措施都有一定的限度。要想實現對計算機網絡的安全防范應對措施,就需要考慮因地制宜和實事求是的相關內容,把握具體問題具體分析的“度”。也就是說,需要根據計算機網絡信息因為缺乏安全性二產生的后果的損害程度進而決定采取何種措施。我國有相關的保密技術規定專門針對各級信息系統的采取相應的安全措施,可以按照各項規定的要求提出具體的措施。
(二)遵循最高密級的防護原則。很多計算機網絡中安全信息系統在處理多密級信息之時,都應該嚴格遵循最高密級的防護原則,使用相應的防護措施進行安全防范。
(三)遵循最小化的授權原則。首先是計算機網絡中安全信息系統在建設規模上要遵循最小化原則,不是工作所需的企業或者單位,不可以建設政務內風以及設有內網的終端;其次是計算機網絡安全信息系統之中關于信息訪問權限必須遵循最小化原則,不是工作需要悉知的專人,不可以擁有信息相關的訪問權限。
(四)同步建設原則和嚴格把關原則。建設計算機網絡安全信息系統必須要遵循同步建設的原則,使安全信息系統和安全保密設施同步規劃、實施以及發展。在建設安全信息系統的整個過程中要落實進行安全保密的審查、審批和把關。
(五)堅持強化管理原則。建設計算機網絡安全信息系統的安全防范只有一小部分是依靠技術實現,很大一部分是要靠強化管理來實現的。強化管理能夠彌補安全防范技術上的各種不足;如果沒有管理那么再好的防范技術也不會安全。只有通過引進以及培養計算機網絡安全技術人才,讓他們成為既能掌握“電子”又可以掌握政務,更加了解“保密”的一類復合型人才,充分的利用行政以及技術手段方面的綜合性優勢,實現對安全信息在計算機網絡環境下的優化監管。
三、計算機網絡安全的防范策略
(一)技術防范策略。從技術角度考慮,計算機網絡安全的技術主要有:防火墻、實時掃描的技術、實時監測的技術、完整性檢驗的保護技術、病毒情況的分析報告技術以及系統的安全管理技術。具體如下:
1.認證的防范技術。計算機網絡的合法用戶可以通過認證來防范非法用戶獲得系統訪問權限,使用認證的機制有利于防止非合法用戶自由訪問他們并無權限查看內容和信息。比如身份認證技術、報文認證技術、訪問授權技術
2.數據加密技術。數據加密就是指利用技術手段使信息混亂,這樣那些未被授權的人就無法讀懂它。數據加密主要有兩種加密類型:公鑰加密和私鑰加密。
3.防火墻技術。防火墻屬于網絡訪問的控制設備,可以拒絕除明確允許通過的數據之外一切通信的數據,這和只會確定網絡信息的傳輸方向那種簡單的路由器有很大不同,防火墻是在網絡傳輸時通過了相關訪問站點即刻對其進行整套訪問審核策略的一個或者說一組系統。大部分防火墻都在使用多種功能結合來保護自己不受惡意傳輸攻擊的形式,安全級別可以依次升高,但是具體實踐時需要考慮體系性價比,還要考慮是否能安全兼顧網絡連接的能力。
4.入侵檢測系統。入侵檢測技術簡稱IDS,屬于一種主動積極的網絡安全防范技術,為計算機提供實時保護,針對內部入侵和外部入侵,以及誤操作等,一旦威脅情況發生就將實行攔截。它的主要功能是檢測,這項技術隨著時代的發展,自身有三個發展趨勢:分布式的入侵檢測、智能化的入侵檢測、全面防御的安全方案。
5.防病毒技術。由于計算機網絡技術的飛速發展,計算機病毒也呈現出更高級更復雜化的變化,對計算機病毒的防范不能僅僅是一個產品、策略或制度,它屬于匯集了硬件和軟件、網絡及它們相互關系與接口的一種綜合系統。
6.防電磁泄漏技術。安全信息系統中安全防范設備在安裝使用時,需要滿足我國安全保密標準BMB2條款的具體要求。對于不符合BMB2具體要求的技術內容,必須使用電磁泄漏等一系列的防護應對措施。電磁泄漏的防護應對技術一共有3種,如下:電磁屏蔽室,低泄射的設備以及電磁干擾器。
(二)管理防范策略。計算機網絡安全的管理,既要重視計算機網絡使用的安全防范技術,還要重視其采用的管理措施以及執行計算機網絡安全的法律法規保護的力度。通過將兩者緊密的結合,最后才能有效的維護計算機網絡安全。
計算機網絡安全的管理包括:建立計算機網絡安全機構和制度;宣傳教育計算機用戶,提高他們的安全意識;完善計算機網絡安全的立法,加強執法力度;完善以及加強計算機網絡安全的管理功能等方面。
諸如加強計算機網絡安全的管理、強化用戶的法律意識和道德觀念,培養計算機用戶的網絡安全意識,這些措施對于防止計算機的犯罪、抵制黑客的攻擊以及防范計算機病毒的干擾意義重大。這要求對計算機網絡用戶加強宣傳法制教育的力度,其內容涉及到計算機犯罪法、數據保護法、保密法、計算機安全法等,使計算機用戶以及系統管理相關人員明確自己應該履行的義務和權利,自覺自愿的遵守各項網絡使用的原則,抵制一切違法犯罪行為,為維護計算機網絡安全盡一份力。
四、總結
計算機網絡安全屬于復雜系統的工作,涉及面廣,涵蓋技術和設備層面、管理和制度因素等很多方面,需要從整體宏觀把握提出安全解決方案。必須做到技術和管理并重,將安全技術與安全管理措施相結合,加強計算機的立法與執法力度,建立健全備份以及恢復的機制,制定完善有效的安全標準。另外,因為計算機網絡傳播廣的特性,病毒或者計算機犯罪是存在國界問題的,因此,要想徹底全面的解決網絡安全問題需要充分進行國際合作。
參考文獻:
[1]周海剛,肖軍模.網絡主動防御體系結構[J].電信科學,2007(01)
[2]張震.認識網絡攻擊與安全防護技巧[J].科技情報開發與經濟,2007(10)
[3]楊英杰,馬范援.一種基于過程的網絡攻擊行為分析方法[J].通信技術,2008(02)
【關鍵詞】計算機 網絡安全技術 特點 因素 問題 對策
網絡時代逐漸發展促使社會信息傳遞速度以及傳遞方式都呈現出飛速進步,這就使得社會溝通能力逐漸加強。互聯網規模逐漸擴大使得信息資源逐漸豐富,同時也造成了一定的安全隱患,計算機網絡安全技術問題具有越來越重要的作用。網絡技術逐漸發展促使安全維護工作中出現大量不可預知性漏洞,這對人們信息安全造成了巨大的威脅。
1 計算機網絡安全特點
1.1 潛伏性
考慮到計算機網絡攻擊隱蔽性,網絡攻擊過程所消耗時間非常短,往往使得使用者不僅疏于防范,還是防不勝防。在計算機攻擊之后,產生效果也需要非常場地的時間,這就使得網絡攻擊往往潛伏計算機程序,一旦滿足攻擊效果就會攻擊計算機程序,這就使得計算機運行受到非常大的影響。
1.2 擴散性
往往破壞計算機網絡系統都是毫無征兆,但是網絡破壞結果卻是能夠迅速擴散。無論是個體,還是群體,計算機網絡攻擊對象由于互聯網擴散性而造成連環破壞,同時對網絡規模的干擾也非常大。
1.3 危害性
網絡公共會對計算機系統造成非常嚴重破壞,嚴重的會使得計算機處于癱瘓的狀態,一旦攻擊能夠成功,會對計算機用戶帶來巨大經濟損失,嚴重的,對國家安全以及社會安全具有非常大的影響。
2 計算機網絡安全因素分析
2.1 系統漏洞因素
從計算機網絡角度分析,作為保障網絡運行以及軟件程序運行的基礎平臺,操作系統對網絡安全具有非常重要的影響。科技信息技術不斷發展使得任何系統都可能存在著漏洞,利用系統更新能夠有效處理和填補漏洞。由于系統存在漏洞促使計算機病毒以及計算機網絡黑客攻擊計算機系統提供便利。諸如,Windows系統應用范圍愈加廣泛,但是曾經出現過ani鼠標漏洞,黑客利用Windows系統中的鼠標系統漏洞來制造畸形的圖標文件,促使用戶不知情情況下啟動惡意代碼。考慮到網絡自身安全性,由于系統自身日期處理方面漏洞存在“千年蟲”漏洞,一旦進行跨世紀時期日期運算,往往出現錯誤結果,這就容易造成計算機系統陷入紊亂甚至是崩潰。
2.2 黑客因素
所謂黑客,實際上就是利用計算機網絡漏洞以及計算機技術方面漏洞,一些不法分子對計算機網絡、計算機終端破壞。在進行利用性攻擊過程中,利用病毒程序能夠有效控制用戶電腦,竊取用戶數據或者是破壞用戶信息;黑客在利用拒絕服務攻擊過程中,往往利用網絡向用戶傳送大量數據包或者是一些自我復制能力較強病毒,不僅占用了網絡流量,還可能使網絡陷入癱瘓;黑客利用虛假信息攻擊過程中,黑客劫持郵件發送者,利用信息來源偽裝來通過身份認證,將病毒植入到用戶系統;黑客從頁面角度著手,利用網頁中腳本漏洞劫持用戶網絡,或者是彈出垃圾窗口,這就算計算機系統正常工作受到非常大的影響,嚴重的容易造成計算機崩潰。
2.3 網絡病毒
作為人為編制特殊程序,網絡病毒具有非常強自我復制能力,具有一定潛伏性、極強傳染性和破壞性,同時還具有觸發性,對計算機網絡具有非常大的影響。從目前發展來看,網絡病毒主要包含了蠕蟲病毒、腳本病毒、木馬病毒、間諜病毒四中,網絡并不結合設備特點以及程序特點進行攻擊,對系統安全具有非常重要的影響。諸如,前幾年影響比較大的“熊貓燒香”病毒,屬于蠕蟲病毒中的一種,主要是感染和刪除系統文件,破壞用戶系統數據。木馬病毒則在一定程度上與計算機遠程控制具有一定相似性,病毒制造者能夠利用電腦病毒來遠程控制電腦,這樣能夠在不得到允許條件下竊取用戶信息。
3 計算機網絡安全技術存在的問題
3.1 外界因素威脅
外界威脅包含了自然威脅、黑客攻擊、病毒入侵以及非法訪問四方面內容。自然環境對計算機網絡安全具有非常大的影響,但是由于不可抗拒性災害以及毫油獠炕肪車鵲榷醞絡安全造成直接或者是間接威脅。計算機發展速度逐漸加快促使黑客利用計算機技術、計算機安全技術之間空白,及時發現系統漏洞,做好網絡系統安全預防工作,有效減輕人為惡意攻擊對計算機網絡安全威脅。由于計算機網絡病毒的潛伏性、隱蔽性以及破壞性等等,計算機網絡安全受到非常大的影響。隨著計算機病毒摧毀力度逐漸加大促使計算機病毒抗壓性以及隱蔽性逐漸增強,這就在一定程度上影響到計算機網絡安全。在未經過同意下就越過權限,利用計算機程序來突破計算機網絡訪問權限,利用非法訪問侵入他人電腦并且進行違規操作。
3.2 缺乏有效評估手段以及監控手段
為了能夠有效防范黑客對計算機系統攻擊,需要重視安全評估工作,為網路安全提供保障。由于公司各個工作部門缺乏較為有效評估制度以及監控制度,這就為黑客入侵提供了機會。在進行計算機網絡維護工作過程中,維護工作人員往往更加關注事前預防以及事后補救,但是卻并沒有重視安全評估工作以及安全監控工作。安全評估工作的全面性、準確性能夠有效預防黑客入侵,進而結合網絡安全防護工作來提升評估科學性以及準確性,進而為網絡安全提供技術以及經濟方面的保障。從現實角度分析,由于缺乏事中評估以及事中監控工作,這就使得計算機網絡安全穩定性受到影響。
3.3 網絡系統自身問題
作為計算機運行重要支撐,操作系統安全性在其中具有決定性作用。只有計算機系統安全才能夠為系統程序正常運行提供保障。計算機操作系統自身存在問題使得計算機自身存在著安全隱患,網絡系統安全漏洞是不可避免的問題,一旦發現了系統漏洞,需要做好漏洞修復工作。一旦攻擊者掌握計算機系統存在的漏洞,那么就可以利用漏洞來控制計算機,攻擊計算機系統,竊取計算機系統內用戶信息。網絡處于無組織、無政府管理狀態下,安全性存在著非常大的隱患。任何一個用戶都能夠利用瀏覽器上網瀏覽信息,可以訪問企業信息、單位信息以及個人敏感信息等等,這就使得保密工作受到了非常大的影響。目前計算機操作系統存在著非常大的漏洞,黑客在網絡攻擊中往往利用攻擊弱點著手,這是由于系統軟件、系統硬件、系統程序或者是系統功能設計等方面問題造成的,一旦黑客入侵,那么就會利用漏洞來破壞系統。在網絡安全中,TCP/IP在計算機運行中具有非常重要的作用,這就可以利用數據流來實現明碼傳輸,由于無法控制傳輸過程,這就為竊聽信息以及截取信息提歐共了機會,在設計協議過程中,主要采用蔟結構,這就使得IP地址成為了唯一的網絡節點標識,IP地址不固定并且也并不需要身份認知,這就為黑客提供了機會,黑客往往利用修改他人IP或者是冒充他人IP的方式來攔截信息、竊取信息和篡改信息。
4 計算機網絡安全防范對策分析
4.1 重視安全意識管理工作
為計算機網絡安全性提供保障,需要更加注重提升計算機網絡用戶安全防范工作意識,重視計算機安全管理工作。為了能夠不斷提升用戶安全意識,可以利用安全實例來引導用戶,派遣宣傳工作人員專門講解網絡安全重要性,在實例分析過程中總結攻擊計算機原因,提升計算機用戶防范意識,構建更加完善的用戶安全意識。為了能夠強化安全管理,需要從訪問權限、設置密碼著手來有效管理計算機系統以及計算機文件,利用密碼來設置訪問,盡量選擇較為復雜并且較長秘法。在設置訪問權限過程中,往往是路由器權限管理和IP地址權限管理,只有可以信任的IP地址才能夠獲得訪問權限,如果陌生IP或者是非法IP則是需要拒絕訪問,這樣才能夠避免計算機被入侵。在設置路由器過程中,計算機用戶可以結合自身意愿來設置權限,管理員則是可以對固定計算機進行授權,為計算機網絡技術安全提供保障。為了能夠有效控制安全屬性,需要將給定屬性、網絡服務器有效關聯,從權限安全角度著手,為網絡安全提供保障。網絡屬性不僅能夠控制數據、刪除信息等等,還需要保護目錄和文件,這樣能夠有效避免惡意刪除、惡意執行、惡意修改目錄文件等等,利用備份系統來避免存儲設備出現損壞,這就需要做好數據庫恢復工作,有效恢復數據。
4.2 培養計算機管理工作人員安全素養
計算機用戶需要重視提升自身網絡安全意識,結合自身職責權限來選擇不同口令,結合應用程序數據進行合法操作,這樣能夠有效避免用戶出現訪問數據、網絡資源使用等越權,在計算機使用過程中需要重視病毒預防工作,重視更新殺毒軟件,特別是網絡前端殺毒工作。網絡管理工作人員需要注重提升自身安全意識、責任心以及職業道德等等,構建更加完善安全管理工作體制,加強計算機信息網絡安全的規范化管理工作力度,重視安全建設工作,為計算機網絡安全可靠性提供保障。在計算機信息安全中,密碼技術在其中具有核心地位,利用設置密碼能夠為信息安全提供保障。從目前發展來看,為了能夠有效保證信息完整性,其中最為有效的方式就是構建數字簽名技術以及身份認證技術,有效整合古典密碼體制、數字簽名體制、單鑰密碼體制以及密鑰管理等等,從訪問控制左手做好網絡安全防范工作以及保護工作,避免出現非法使用或者是非法訪問網絡資源。先進軟件防御工作對維護網絡安全具有非常重要的作用,這就需要利用網絡評估工作人員以及監控工作人員,有效預防黑客攻擊,有效監視網絡運行過程,有效避免不法攻擊,提升評估有效性,為網絡運行機制有效性提供保障。
4.3 構建更加完善網絡安全系統
在網絡安全工作中,防火墻在其中具有非常重要的作用。利用網絡,防火墻能夠有效監控計算機,對各個管理工作系統提供保障,在進入系統之后,需要做好防火墻檢查工作,只有得到許可之后才能夠進入到系統中。用戶在使用計算機過程中,對于不明身份,需要有效利用防火墻做好攔截工作,有效驗證其身份,在得到許可之后,防火墻才能夠允許數據包進入到系統中,如果并未得到防火墻許可,那么就會發出警報。對于并不是非常了解程序,需要利用搜索引擎、防火墻等進行軟件性質檢查工作,有效避免不安全因素擴張,計算機用戶需要有效利用防火墻來維護網絡安全信息。在進行計算機網絡安全維護過程中,需要做好網絡系統設計全面分析,認真研究計算機網絡系統弱點,不斷完善網絡系統的設計工作。入網訪問的控制功能在其中具有非常重要的作用。在網絡安全維護過程中,入網訪問控制在其中具有非常重要的作用,其能夠規定網絡服務器登錄條件并且能夠有效獲取網絡資源用戶條件,有效控制用戶入網時間以及入網工作站。用戶在進行入網訪問控制過程中,需要撓沒識別驗證、用戶口令識別認知、用戶賬號三個角度進行檢查,如果經過檢查仍然屬于非法用戶,那么網絡訪問權利受到限制。在進行操作系統實際操作過程中,需要重視檢測以及更新及時性,為操作系統安全性、完整性提供保障。系統軟件需要構建更加完善的存取控制功能、存儲保護功能、管理能力等等,有效防止出現越權存儲以及存儲區域外讀寫工作,這樣能夠有效記錄系統運行情況,為數據文件存取提供監測保障。
5 結語
計算機網絡技術飛速發展促使計算機成為人們日常生活中不可或缺的便捷工作。在日常生活、日常學習以及日常工作中,網絡具有非常重要的作用,網絡安全重要性至關重要。網絡安全維護工作不僅是技術問題,更是安全管理方面的問題,這就需要從技術和管理兩個角度著手,為用戶安全性提供保障,構建更加安全、更加健康計算機網絡環境,提升網絡安全的防范意識,為網絡傳輸安全性、可靠性、完整性提供保障。作為復雜系統,計算機網絡安全不僅涉及到殺毒軟件、漏洞等硬件防護工作,還需要重視防護系統工作,構建更加完善的計算機網絡安全系統,培養人的計算機應用安全意識,實現溝通參與,從事前、事中、事后等著手,提高安全意識以及安全技術,制定更加完善安全對策,為計算機網絡安全提供保障。
參考文獻
[1]張東生.計算機網絡安全技術與防范策略探析[J].電腦編程技巧與維護, 2011(02):103-105.
[2]趙旨忠.計算機網絡安全技術與防范策略探析[J].中國電子商務,2012(13):17-17.
[3]尤駿杰.芻議計算機網絡安全技術與防范策略[J].數字技術與應用, 2016(04):214-214.
[4]徐軍.淺析計算機網絡安全技術與防范策略[J]. 科技促進發展, 2010(S1):100+107.
[5]張沖杰.計算機網絡安全策略及其技術防范措施[J].數字技術與應用, 2013(17):122-123.
[6]王啟.計算機網絡安全技術分析及防范策略研究[J].科技廣場,2011(07):111-114.
(天津市第三中心醫院信息處天津300170)【摘要】隨著計算機應用范圍的擴大和互聯網技術的迅速發展,給各行各業提供便利的同時也帶來了眾多安全隱患。本文著重介紹了網絡安全的定義和特征,分析了影響網絡安全的主要因素,并提出了針對醫院有效的網絡安全防范策略。【關鍵詞】醫院; 網絡安全; 安全防范【中圖分類號】R471.1 【文獻標識碼】A【文章編號】1004-5511(2012)04-0648-01 當前社會已經進入了21 世紀,而21 世紀的重要特征就是數字化、網絡化和信息化,這是一個以網絡為核心的信息時代。Internet 的飛速發展給人類社會的科學與技術帶來了巨大的推動與沖擊,同時也產生了網絡安全問題。下面就醫院計算機網絡存在的安全隱患及相關策略進行探討分析。1 計算機網絡安全的定義
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安安全包括信息的完整性、保密性和可用性。2 影響計算機網絡安全的主要因素2. 1 信息泄密主要表現為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。2. 2 信息被篡改積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。2. 3 傳輸非法信息流。只允許用戶同其他用戶進行特定類型的通信,但禁止其他類型的通信,如允許電子郵件傳輸而禁止文件傳送。2. 4 網絡資源的錯誤使用如不合理的資源訪問控制,一些資源有可能被偶然或故意地破壞。2. 5 非法使用網絡資源非法用戶登錄進入系統使用網絡資源,造成資源的消耗,損害了合法用戶的利益。2. 6 環境影響自然環境和社會環境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和影響。3
計算機網絡安全現狀近年來隨著Internet 的飛速發展,計算機網絡的資源共享進一步加強,隨之而來的信息安全問題日益突出。據有關部門統計,全球每年網絡安全問題所造成的經濟損失高達數百億美元,而全球平均每20 s 就發生一起Internet 計算機侵入事件。不法分子利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據,使得針對計算機信息系統的犯罪活動日益增多。對計算機網絡安全構成的威脅可分為以下若干類型: 黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等。4
醫院業務與信息安全
隨著醫療信息化的進一步發展,目前國內醫院的各種核心業務越來越依賴于信息化。如HIS系統在醫院中起著越來越重要的作用,一旦在門診運營時段出現網絡故障,醫院門診、掛號、收費等全部改為單機操作甚至是手工操作,往往給醫院的正常運營帶來巨大的影響,不僅給醫院的聲譽造成影響,更嚴重的是給病人耽誤了寶貴的就醫時間。信息系統中的財務數據、電子病歷、患者隱私等信息一直是醫院最為關鍵的數據信息。病毒、木馬、攻擊等行為會造成醫院業務的中斷、病人數據泄露、被篡改,從而引發醫患糾紛,類似事件屢屢發生。為了保障核心業務的安全、穩定運行,很多醫院采用內外網物理隔離,部署了地址綁定、防火墻、桌管、ACL等安全策略,但安全問題仍然得不到有效解決。5 醫院計算機網絡安全策略分析技術層對策5. 1 加強醫院內部網絡管理人員以及使用人員的安全意識。醫院網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。5. 2 安裝優秀的殺毒軟件,與醫院操作系統及其它安全措施緊密地結合在一起,成為醫院網絡安全管理的一部分,并且自動提供最佳的網絡病毒防御措施。5. 3 網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。但也有明顯不足: 無法防范其他途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件。5. 4 入侵檢測系統( IDS) 是一種主動的網絡安全防護措施,它從系統內部和各種網絡資源中主動采集信息,從中分析可能的網絡入侵或攻擊,發現入侵后,及時做出一些相對簡單的響應,包括記錄事件和報警等,并與防火墻進行協作,請求防火墻及時切斷相關的網絡連接。防火墻與入侵檢測系統( IDS) 聯動,可以對網絡進行動靜結合的保護,對網絡行為進行細顆粒的檢查,并對網絡內外兩個部分都進行可靠管理。物理層對策5. 5 數據加密技術是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應的密鑰之后才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉化為其原來數據的過程。完善的對稱加密和非對稱加密技術仍是21 世紀的主流。5.6 計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。 5.7 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。 6 結束語總之,醫院網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括醫院信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以通過醫院網絡安全問題的淺析,可以說,安全產業將來也是一個隨著新技術發展而不斷發展的產業。參考文獻[1]嚴明. 多媒體技術應用基礎. 華中科技大學出版社,2007.[2]朱理森,張守連. 計算機網絡應用技術. 專利文獻出版社,2008.[3]謝希仁. 計算機網絡( 第4 版) . 電子工業出版社,2003.
策略
中圖分類號:TP39 文獻標識碼:A
1 計算機網絡安全存在的問題
1.1 計算機病毒及其危害
計算機病毒是一種人為編制的具有破壞性的程序代碼。它具有復制性、潛伏性、傳播性、和破壞性。到目前為止,已發現的計算機病毒近萬種。惡性病毒可使整個計算機軟件系統崩潰,數據全毀。這樣的病毒也有上百種。計算機病毒是附在計算機軟件中的隱蔽的小程序,它和計算機其他工作程序一樣,但它的功能會破壞正常的程序和數據文件。
1.2盜用IP現象
盜用IP地址現象非常普遍,這不僅影響了網絡的正常運行,而且一般被盜用的地址權限都很高,因而也給用戶造成了較大的經濟損失。盜用IP地址就是指運用那些沒有經過授權的IP地址,從而使得通過網上資源或隱藏身份進行破壞網絡的行為得以實現。目前,網絡上經常會發生盜用IP地址,這不僅嚴重侵害了合法使用網絡人員的合法權益,而且致使網絡正常工作受到負面影響。
1.3 內網攻擊以及外網攻擊
網絡可分為內網和外網,網絡受到攻擊也分為來自外部的非法訪問和網絡攻擊以及來自內部的非法訪問和網絡攻擊。無論是哪種網絡攻擊都要經過三個步驟:搜集信息-目標的選擇、實施攻擊-上傳攻擊程序、下載用戶數據。
1.4 垃圾郵件和病毒郵件泛濫
電子郵件系統是辦公自動化系統的基本需求,隨著信息化的快速發展,郵件系統的功能和技術已經非常成熟,但是也避免不了垃圾郵件和病毒郵件的傳送。垃圾郵件和病毒郵件是破壞網絡營銷環境的罪魁之一,垃圾郵件影響了用戶網上購物的信心,從而進一步危害到了電子商務網站的發展。垃圾郵件和病毒郵件占用了大量的網絡資源。使得正常的業務運作變得緩慢,另外,垃圾郵件與一些病毒和入侵等關系越來越密切,已經成為黑客發動攻擊的重要平臺之一。
2計算機網絡安全的防范策略
2.1 計算機病毒的安全與防范技術
在網絡環境下,防范計算機病毒僅采用單一的方法來進行已經無任何意義,要想徹底清除網絡病毒,必須選擇與網絡適合的全方位防病毒產品。對互聯網而言,除了需要網關的防病毒軟件,還必須對上網計算機的安全進行強化;如果在防范內部局域網病毒時需要一個具有服務器操作系統平臺的防病毒軟件,還需要針對各種桌面操作系統的防病毒軟件;如果在網絡內部使用電子郵件進行信息交換時,為了識別出隱藏在電子郵件和附件中的病毒,還需要增加一套基于郵件服務器平臺的郵件防病毒軟件。由此可見,要想徹底的清除病毒,是需要使用全方位的防病毒產品進行配合。另外,在管理方面,要打擊盜版,因為盜版軟件很容易染上病毒,要訪問可靠的網站,在下載電子郵件附件時要先進行病毒掃描,確保無病毒后進行下載,最重要的是要對數據庫數據進行備份。
2.2 身份認證技術
系統對用戶身份證明的核查過程就是身份認證,就是對用戶是否具有它所請求資源的存儲使用權進行查明。用戶向系統出示自己的身份證明的過程就是所謂的身份識別。一般情況下,將身份認證和身份識別統稱為身份認證。隨著黑客或木馬程序從網上截獲密碼的事件越來越多,用戶關鍵信息被竊情況越來越多,用戶已經越來越認識到身份認證這一技術的重要性。身份認證技術可以用于解決用戶的物理身份和數字身份的一致性問題,給其他安全技術提供權限管理的依據。對于身份認證系統而言,合法用戶的身份是否易于被其他人冒充,這是最重要的技術指標。用戶身份如果被其他不法分子冒充,不僅會對合法用戶的利益產生損害,而且還會對其他用戶的利益甚至整個系統都產生危害。由此可知,身份認證不僅是授權控制的基礎,而且還是整個信息安全體系的基礎。身份認證技術有以下幾種:基于口令的認證技術、給予密鑰的認證鑒別技術、基于智能卡和智能密碼鑰匙 (UsBKEY)的認證技術、基于生物特征識別的認證技術。對于生物識別技術而言,其核心就是如何獲取這些生物特征,并將之轉換為數字信息、存儲于計算機中。
2.3 入侵檢測技術
入侵檢測就是對網絡入侵行為進行檢測,入侵檢測技術屬于一種積極主動地安全保護技術,它對內部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術和異常監測技術。a)誤用檢測技術。這種檢 測技術是假設所有的入侵者的活動都能夠表達為征或模式,對已知的入侵行為進行分析并且把相應的特征模型建立出來,這樣就把對入侵行為的檢測變成對特征模型匹配的搜索,如果與已知的入侵特征匹配,就斷定是攻擊,否則,便不是。對已知的攻擊,誤用入侵檢測技術檢測準確度較高,但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度
則不高。因此,要想保證系統檢測能力的完備性是需要不斷的升級模型才行。目前,在絕大多數的商業化入侵檢測系統中,基本上都是采用這種檢測技術構建。b)異常檢測技術。異常檢測技術是假設所有入侵者活動都與正常用戶的活動不同,分析正常用戶的活動并且構建模型,把所有不同于正常模型的用戶活動狀態的數量統計出來,如果此活動與統計規律不相符,則表示可能是入侵行為。這種技術彌補了誤用檢測技術的不足,它能夠檢測到未知的入侵。但是,在許多環境中,建立正常用戶活動模式的特征輪廓以及對活動的異常性進行報警的閾值的確定都是比較困難的,另外,不是所有的非法入侵活動都在統計規律上表示異常。今后對入侵檢測技術的研究主要放在對異常監測技術方面。
2.4 被動防范策略
計算機網絡安全防范策略還包括一些被動式防范策略,主要包括隱藏IP地址、關閉端口、更換管理員賬戶等。a)隱藏IP地址。在網絡安全方面,IP地址的作用是非常大的,如果IP地址被攻擊者盜用,他就可以向這個IP發動各種進攻。用服務器能夠實現IP地址的隱藏,服務器使用后,其他用戶只能對服務器IP地址進行探測,而根本檢測不到用戶的IP地址,也就是說,隱藏IP地址的目的實現了,用戶上網安全得到了很好的保護;b)關閉不必要的端口。一般情況下,黑客要想攻擊你的計算機,首先對你的計算機端口進行掃描,如果安裝了端口監視程序,這會有警告提示。另外,還可以通過關閉不必要的端口來解決此問題;c)更換管理員賬戶。管理員賬戶的權限最高,如果這個賬戶被攻擊,那么危害將會很大。而截獲管理員賬戶的密碼又是黑客入侵常用的手段之一,因此,要對管理員賬戶進行重新配置。
參考文獻
[1] 胡瑞卿,田杰榮.關于網絡安全防護的幾點思考[J].電腦知識與技術,2008(16).
國際標準化組織將“計算機安全”定義為:“為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。
從狹義的保護角度來看,計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害,從廣義來說,凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。計算機網絡安全的具體含義會隨著使用者的不同而變化,從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造,而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
二、計算機網絡系統面臨的威脅
計算機系統使用的場所正在轉向工業、農業、商業、海上、天空、核輻射環境等等,這些環境都比機房惡劣,出錯率和故障的增多必將導致可靠性和安全性的降低。目前,計算網絡系統面臨的威脅:(1)對硬件實體的威脅和攻擊。(2)對信息的威脅和攻擊。(3)同時攻擊軟、硬件系統。(4)計算機犯罪。我們可以回顧一下在過去的幾年中,計算機網絡所遭遇的大事件,如果沒有互聯網,我們可能從不會認識什么網絡釣魚、網絡犯罪、數據泄漏或者僵尸網絡等。
三、計算機信息系統的安全威脅
1.天災。計算機信息系統僅僅是一個智能的機器,易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響。日常工作中因斷電而設備損壞、數據丟失的現象時有發生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。
2.人禍。黑客的威脅和攻擊。對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形攻擊者活動的舞臺。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵入重要信息系統,竊聽、獲取、攻擊侵入網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。
3.計算機病毒。計算機感染上病毒后,輕則使系統上作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。可以這樣說,目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
4.軟件漏洞。每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網r,將成為眾矢之的。
四、計算機網絡安全防范策略
1.防火墻技術。所謂防火墻就是一個把互聯網與內部網隔開的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一,由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻可以被安全放置在一個單獨的路由器中,用來過濾不想要的信息包,也可以被安裝在路由器和主機中,發揮更大的網絡安全保護作用。防火墻被廣泛用來讓用戶在一個安全屏障后接入互聯網,還被用來把一家企業的公共網絡服務器和企業內部網絡隔開。另外,防火墻還可以被用來保護企業內部網絡某一個部分的安全。
2.數據加密與用戶授權訪問控制技術:與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
關鍵詞:計算機網絡;網絡安全;安全威脅;防范策略
引言
由于計算機網絡具有開放性、互聯性、連接方式的多樣性及終端分布的不均勻性,再加上計算機網絡具有難以克服的自身脆弱性和人為的疏忽,導致了網絡環境下的計算機系統存在很多安全問題。國家計算機網絡信息安全管理中心有關人士指出。網絡與信息安全已成為我國互聯網健康發展必須面對的嚴重問題。
1 網絡安全的定義
可以從不同角度對網絡安全做出不同的解釋。網絡安全從其本質上講就是網絡上的信息安全,指網絡系統的硬件、軟件及數據受到保護。不遭受偶然的或者惡意的破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。從用戶的角度,希望涉及到個人隱私和商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。同時用戶希望自己的信息保存在某個計算機系統上時,不受其他非法用戶的非授權訪問和破壞。從網絡運營商和管理者的角度來說,希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用和非法控制等威脅,制止和防御網絡“黑客”的攻擊。
2 計算機網絡面臨的現實安全威脅
由于網絡的開放性和安全性本身即是一對固有矛盾,無法從根本上予以調和,再加上基于網絡的諸多已知和未知的人為與技術安全隱患,網絡很難實現自身的根本安全。目前。計算機信息系統的安全威脅主要來自于以下幾類:
2.1 計算機病毒
隨著計算機網絡技術的發展,計算機病毒技術也在快速地發展變化之中,而且在一定程度上走在了計算機網絡安全技術的前面。專家指出,從木馬病毒的編寫、傳播到出售,整個病毒產業鏈已經完全互聯網化。對數量繼續暴增的計算機病毒來說,防護永遠只能是一種被動防護,而計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞,導致硬件系統完全癱瘓。據公安部調查結果顯示,計算機病毒仍然呈現出異常活躍的態勢,互聯網站被大量“掛馬”成為病毒木馬傳播的主要方式,最近就出現一個令人詫異的現象,黑客網站黑狼基地被掛馬了。同時,目前計算機病毒、木馬等繞過安全產品的發現、查殺甚至破壞安全產品的能力也增強了。可見,當前計算機系統遭受病毒感染的情況相當嚴重。
2.2 黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈,據《2008瑞星中國大陸地區互聯網安全報告》披露,以牟利為目的的黑客產業鏈已經形成并成為新的暴利產業。一旦成為了肉雞,黑客可以在該被控制的電腦上恣意妄為。同時,作為技術能力比較弱的中國,遭受境外黑客攻擊破壞也十分嚴重。兩年前,據媒體披露,一些中國重要部門的電腦就遭遇了一次“滑鐵盧”,一些政府部門、國防機構、軍工企業等重要單位,遭到境外大規模的網絡竊密攻擊。
2.3 內部威脅
上網單位由于對內部威脅認識不足。所采取的安全防范措施不當,導致了內部網絡安全事故逐年上升。不論是有意的還是偶然的,內部威脅將繼續是一個最大的安全威脅。如果網絡的安全策略是未知的或不能執行的,用戶諸如沖浪不安全的網站,點擊電子郵件中的惡意鏈接。或者不對敏感數據加密等行為都將繼續不知不覺地扮演著安全炸彈的角色。而隨著人員的移動性越來越強。利用未加密的移動設備使用網絡也大大增加“暴露”的風險,給犯罪分子留下可乘之機。另外,一機兩用甚至多用情況普遍。計算機在內外網之間頻繁切換使用,許多用戶將在Internet網上使用過的計算機在未經許可的情況下擅自接入內部局域網絡使用,造成病毒的傳入和信息的泄密。公安部調查結果顯示,攻擊或病毒傳播源來自內部人員的比例同比增加了21%,涉及外部人員的同比減少了18%,說明聯網單位絕大部分都是出于防御外部網絡攻擊的考慮,導致來自內部的威脅同時呈上升態勢。然而,內部威脅通常會造成致命后果。
2.4 網絡犯罪
網絡犯罪是非常容易操作的,不受時間、地點、條件限制的網絡詐騙、網絡戰簡單易施、隱蔽性強。能以較低的成本獲得較高的效益。再加上網絡空間的虛擬性、異地性等特征,在一定程度上刺激了犯罪的增長。尤其是受到全球經濟危機的影響,網絡犯罪將成倍增長,除了給社會造成負面影響外,網絡犯罪造成的經濟損失巨大,追蹤匿名網絡犯罪分子的蹤跡非常困難。網絡犯罪已成為嚴重的全球性威脅。據有關方面統計,現在每天因全球網絡犯罪導致資金流失高達數百億、甚至上千億美元。
2.5 系統漏洞
許多網絡系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的。如Windows NT、UNIX等都有數量不等的漏洞。另外,局域網內網絡用戶使用盜版軟件。隨處下載軟件及網管的疏忽都容易造成網絡系統漏洞。這不但影響了局域網的網絡正常工作,也在很大程度上把局域網的安全性置于危險之地,黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
以上只是網絡安全威脅中的一小部分。從中可以看出,解決網絡安全威脅,保證網絡的安全,需要尋求綜合解決方案,以應對這種日漸嚴重的危機。
3 計算機網絡安全防范策略建議
網絡安全是一個相對概念,不存在絕對安全。所以必須未雨綢繆、居安思危;安全威脅是一個動態過程,不可能根除威脅,所以唯有積極防御、有效應對。應對網絡安全威脅則需要不斷提升防范的技術和管理水平,這是網絡復雜性對確保網絡安全提出的客觀要求。
在這里只是探討一些簡單實用的防范策略,這是安全的必要條件,而不是充分條件。
3.1 巧用主動防御技術防范病毒入侵
病毒活動越來越猖獗,對系統的危害也變得越來越嚴重。用戶一般都是使用殺毒軟件來防御病毒的侵入,但現在年增加千萬個未知病毒新病毒,病毒庫已經落后了,因此,靠主動防御對付未知病毒新病毒是必然的。實際上,不管什么樣的病毒,當其侵入系統后,總是使用各種手段對系統進行滲透和破壞操作,所以對病毒的行為進行準確判斷,并搶在其行為發生之前就對其進行攔截,對于病毒的防御就顯得很重要,這就是病毒的主動防御技術。
筆者在工作、學習中使用Mamutu軟件, 可以利用其提供的靈活的主動防御手段來阻止病毒對系統的入侵,從而及時發現病毒的蹤跡。
3.2 防火墻和免疫墻的應用
防火墻和免疫墻同屬于保護網絡本身不被侵入和破壞的安全設備,但二者所起作用卻是不同的。眾所周知,防火墻的作用是通過在內網和外網之間、專網與公網之間的邊界上構造一個保護屏障。保護內部網免受非法用戶的侵入。而免疫墻則是由網關、服務器、電腦終端和免疫協議一整套的硬軟件組成,對內網進行安全防范和管理的方案,承擔來自內部攻擊的防御和保護。防火墻是用在有服務器提供對外信息服務,或者安裝了內部信息系統,儲存了重要敏感信息的場合。而免疫墻是管理內網的,如上網掉線、卡滯、帶寬無法管理等問題。由此可見,在企業網絡安全領域,防火墻和免疫墻各負其責。對于一個信息化程度較高的上網單位,來自外網和內網的侵入和攻擊都要予以解決,所以防火墻和免疫墻缺一不可。
3.3 系統補丁程序的安裝
隨著各種漏洞不斷地被曝光,不斷地被黑客利用,因此堵住漏洞要比與安全相關的其它任何策略更有助于確保網絡安全,及時地安裝補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞,可以安裝軟件補丁;另外網絡管理員還需要做好漏洞防護工作,保護好管理員賬戶,只有做到這兩個基本點才能讓我們的網絡更加安全。
3.4 加強網絡安全管理
網絡安全管理是指對所有計算機網絡應用體系中各個方面的安全技術和產品進行統一的管理和協調,進而從整體上提高整個計算機網絡的防御入侵、抵抗攻擊的能力體系。考察一個內部網是否安全,不僅要看其技術手段,而更重要的是看對該網絡所采取的綜合措施,不光看重物理設備,更要看重人員的素質等因素,這主要是看重管理,“安全源于管理,向管理要安全”。
3.5 網絡實名
互聯網的一個特點是大多數用戶都是匿名的,如果我們要解決網絡犯罪問題,關鍵就是要消除在互聯網上的匿名因素。在互聯網上。只能允許可以信任的用戶在網絡中暢游。如果要打造這一步,每一個互聯網用戶都需要有一個自己的ID。一旦網絡犯罪分子或者是嫌疑犯登錄互聯網的時候,他的數據就會自動連接到互聯網的提供商,這樣就可以迅速地認識出哪些人是有害的潛在犯罪分子。
3.6 用戶要提高安全防范意識和責任觀念
安全隱患是個社會問題,不僅僅是安全人員、技術人員和管理人員的問題,同時也是每個用戶的問題。但是只要我們提高安全意識和責任觀念,注意安全,很多網絡安全問題也是可以防范的。我們要注意養成良好的上網習慣。不登錄和瀏覽來歷不明的網站;養成到官方站點和可信站點下載程序的習慣;不輕易安裝不知用途的軟件;不輕易執行附件中的EXE和COM等可執行程序;使用一些帶網頁木馬攔截功能的安全輔助工具等。
關鍵詞:網絡安全;防范策略;防御技術
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)13-3040-02
Computer Network Security Strategy and Attack the Defense Technology Research
WU Bao-ding
(Inner Mongolia Frontier Corps,Xilingol League, Xilin Gol League 026300,China)
Abstract: At present, network and information security has become today one of the important issues of social concern, the importance of information security has been elevated to an unprecedented height. To strengthen information security management with the continuous development of computer network technology and network applications, mining advanced network security technologies and equipment, the establishment of multi-layered, three-dimensional, comprehensive network security strategy, improve network system protection, protection of the safe operation of our network. Based on this, the computer network security strategy and attack defense technologies are discussed.
Key words: network security; prevention strategies; defense technology
計算機網絡的發展是信息社會的顯著標志,在信息處理和傳遞中占重要位置。它將不同地理位置、具有獨立功能的多臺計算機、終端及附屬設備用節點與鏈路連接起來,并配備相應的網絡軟件,以實現遠程操作過程中資源共享而形成的計算機系統。它不僅可以滿足局部地區的辦公機構的數據、文件傳輸需要,而且可以在一個國家甚至全世界范圍進行信息交換、儲存和處理,同時可以提供話音、數據和圖像的綜合。同時,隨著網絡系統的逐漸普及,一旦這些災害性、危險性事件發生,對社會和國家都將造成巨大的損失,產生強烈的影響,如何有效防止災害性、危險性事件的發生,增強網絡系統運行的安全性,是我們一直需要面臨的課題。
1計算機網絡的安全防范策略
1.1防范網絡病毒
從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。目前國內防范網絡病毒的軟件主要有:金山毒霸、瑞星殺毒軟件、江民殺毒軟件、360殺毒、熊貓殺毒等;國外的主要有卡巴斯基(俄羅斯產)、諾頓(賽門鐵克公司產)、MacAfee(美國產)、nod32(公司源于斯洛伐克,現總部在美國)、趨勢科技(公司成立于美國加州)、BitDefender(羅馬尼亞產)、F-SECURE(芬蘭產)等等。
1.2提高個人信息安全意識
網絡安全管理是系統安全的重要組成部分,負責對安全架構的其它幾個部分進行協調和監管,以實現安全保密架構的整體安全防范職能。安全保密管理部分在很大程度上涉及到人員管理和資源調配等管理層面的內容,因而也是整個安全保密架構中技術手段和管理手段結合較緊密的一個部分。參照ISO/IEC 17799信息安全管理標準的思路以及有關內容,網絡安全管理體系的建設包括風險評估機制的確定、安全管理策略的制定、安全管理組織架構的建設、安全管理技術平臺的建設以及日常安全管理制度的建設等。
1)密碼控制
密碼控制策略其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用,它也是維護網絡系統安全、保護網絡資源的重要手段,規范訪問控制是保證網絡安全最重要的核心策略之一。
2)入網訪問控制
入網訪問控制是網絡訪問的第1層安全機制。控制哪些用戶能夠登錄到服務器并獲準使用網絡資源,控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網絡的用戶登錄時,如果系統發現“資費”用盡,還應能對用戶的操作進行限制。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認權限檢查。
3)權限控制
權限控制是針對在網絡中出現的非法操作而實施的一種安全保護措施。用戶和用戶組被給予一定的權限。網絡控制著能夠通過設置,指定訪問用戶和用戶組可以訪問哪些服務器和計算機,可以在服務器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源,設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。
2被攻擊防御技術
2.1防火墻技術
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網絡的安全。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
2.2信息加密技術
數據加密技術是保證數據安全性和保密性的主要手段,它是通過對數據進行二次編碼,讓黑客等非法用戶無法獲得真實信息的一種的方式。數據加密技術分為數據的存儲、數據的傳送以及密鑰管理等。數據的存儲過程的加密處理,是為了防止數據在存儲過程中被非法修改,數據的傳送加密技術是為了保證數據傳送過程中的安全而設置的。憑借安全性高的特點,數據加密技術已被廣泛應用到管理部門的信息鑒定和數據采集中,有效的提高了信息的真實性,也對信息處理系統的安全起到極其重要的作用。
圖1
2.3虛擬專用網(VPN)
虛似局域網不是一個獨立的物理網絡,它只是利用公共網絡資源為用戶建立的邏輯上的虛似專用網,屬于公網的一部分。是在一定的通信協議基礎上,通過Internet在遠程客戶機與企業內網之間,建立一條秘密的、多協議的虛似專線,所以也稱之為虛擬專用網。VPN可以將信息加密后重新打包在公共網絡上傳輸,是一種集網絡加密、訪問控制、認證和網絡管理于一體,能夠實現廉價的、安全可靠的跨地域的數據通信。例如利用Internet,基于IP協議,可以建議IP-VPN。從一個VPN設備開始,通過路由器橫跨整個公共網絡到達其它YPN設備,穿過多個層次建立起一條點到點的虛似的專用通道,這樣VPN就保證了遠程客戶機與企業內聯網之間通過專用網來進行的機密通信。
2.4系統容災技術
數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
3結束語
總之,網絡安全涉及的因素很多,需要網絡架設單位和管理人員思想上高度重視,建立健全完善的管理制度,有相應的經費保障機制,將資金、人員和技術防護等各方面都落到實處,才能做好這項工作。計算機網絡在技術、產品等各方面都對社會發展產生了巨大變化,這將是一場更深刻的信息技術革命。但機遇與風險并存,需要我們加強對計算機網絡安全的研究與防范。
參考文獻:
[1]中國互聯網絡信息中心.中國互聯網絡發展狀況統計報告[P].中國互聯網信息中心,2010.
關鍵詞:計算機網絡 安全策略 技術防范
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2013)10-0207-01
1 引言
現階段計算機網絡的應用規模不斷擴展,計算機網絡的安全等級要求提高,其中的涉及面十分廣闊,這不僅需要達到防范病毒的目的,還要增強計算機系統抵御外界非法入侵的性能,同時應當提升對遠程數據信息傳送的保密性,防止在傳送過程中受到非法盜取的危險[1]。
2 計算機網絡的安全策略
2.1 物理安全策略
物理安全策略的主要目的在于維護計算機系統、網絡服務器與打印機等各種電子硬件設備與通信線路防止受到人為的非法攻擊,驗證網絡訪問者的真實身份與操作權限,避免系統用戶進行越權操作,構建完善的安全管理體系。
2.2 訪問控制策略
訪問控制策略通常包含了以下內容:(1)入網的訪問控制。入網的訪問控制屬于計算機網絡訪問的第一道防線。計算機網絡的控制權限明確設置了哪類用戶與用戶組能夠訪問哪類目錄、子目錄、文件與其它種類的資源。(2)目錄級的安全控制。計算機網絡管理員應當設置用戶對于目錄、文件與設備的實際訪問。系統用戶對目錄一級所指定的權限對于全部的文件與子目錄都是有效的。
2.3 防火墻技術
防火墻技術通常包含有四大種類,分別為網絡級的防火墻、應用級的網關、電路級的網關與規則性的檢測防火墻。防火墻在實際應用過程中,需要出發考慮到各個方面的問題,首先應當考慮到防火墻是不可以防御病毒的直接攻擊;其次應當充分考慮到防火墻技術實施過程中數據和防火墻之間的更新問題,假如延時現象過長,則不能進行實時的服務需求。另外防火墻是無法防御來自于計算機網絡內部的具體攻擊。
2.4 訪問控制技術
訪問控制技術作為對計算機系統資源實施保護措施的重要方式,其中涉及到三個方面的基本概念,分別為主體、客體與授權訪問。訪問控制技術的訪問對策一般分為三種情況,分別為自主式的訪問控制、強制式的訪問控制與以角色為基礎的訪問控制。
2.5 數據加密技術
計算機網絡數據加密技術分為三種類型,分別為鏈路的加密、節點的加密與端到端的加密。鏈路的加密是把全部信息在傳送過程前進行有效的加密處理,在各個節點對于接收到的數據信息進行解密處理,然后下一鏈路的密鑰對消息進行加密處理,繼續進行傳送。節點的加密禁止消息在計算機網絡節點中以明文的形式出現,其先將接收到的消息進行解密處理,然后使用另外一種密鑰進行加密操作,這一具體過程是在計算機網絡節點上一個安全模塊中實施的。端到端的加密允許數據信息在由起點至終點的傳送過程中一直以密文的形式出現。使用端到端的加密方式,消息在傳送過程中到達終點處是不可以進行解密處理的,由于消息在具體傳送過程中都會受到一定的保護,因此即使存在節點損壞的狀況也無法泄露數據[2]。
3 計算機網絡的技術防范對策
3.1 局域網安全技術防范對策
(1)網絡分段;計算機網絡分段作為控制計算機網絡廣播風暴的一種有效方法,同時是確保計算機網絡安全的一種關鍵措施,其主要目的在于把非法用戶和計算機網絡資源進行相互隔離,從而避免非法的窺聽行為。(2)交換式集線器替換共享式集線器;對局域網的中心交換機進行計算機網絡分段的方法之后,以太網受到窺聽威脅的潛在因素仍然存在,應當將交換式集線器替換為共享式集線器,控制單播數據包通常只可以在兩個網絡節點之間進行傳輸,從而有效地避免非法的窺聽行為。(3)VLAN的劃分;對于分布式的計算機網絡環境,應當以機構或者部門的方式來劃分VLAN。部門內部的全部用戶節點與服務器都應當在各自對應的VLAN內部,互相之間不會受到干擾。VLAN的內部連接方式為交換實現,然而VLAN之間的連接方式是使用路由實現。
3.2 廣域網安全技術防范對策
因為廣域網大部分使用公網進行數據的傳送,數據信息在廣域網上被竊取的可能性要高于局域網。計算機網絡黑客僅僅需要使用一些簡易的包檢測工具系統軟件,就能夠很容易地進行對通信數據包的竊取與破解。廣域網的安全應當使用以下各種防范技術對策:(1)加密技術。加密形式的計算機網絡安全技術是指經過對計算機網絡數據的加密處理來確保計算機網絡的安全性,從而不依靠計算機網絡中數據信息通道的安全性。數據加密技術一般分成對稱型加密、不對稱型加密與不可逆加密這三種方式。計算機系統中的操作口令通常是運用不可逆加密算法進行加密操作的。(2)VPN技術。這項技術實質上是虛擬形式的加密隧道技術,把企業私網內部的數據進行加密封裝處理,經過虛擬形式的公網隧道達到傳送目的。企業對于VPN的網絡搭建選型過程中,應當注意選擇技術高端的VPN服務供應商與VPN設備。(3)身份認證技術。這項技術應當注意處理由外部撥號進入計算機網絡訪問內部網的系統用戶。由于使用公共電話網伴隨的通訊風險十分大,應當嚴格進行身份認證處理[3]。
4 結語
計算機網絡存在的安全問題通常會涉及到計算機網絡的安全策略與技術防范對策這兩個方面,同時涉及到我國對計算機網絡安全的監督防范制度以及相關的一系列法律問題,可以影響到計算機網絡安全工作人員的職業道德行為操守與高技術、高情感的平衡問題。相對于計算機網絡技術的工作者而言,假如可以充分建立正確的計算機網絡安全策略,在有效可行的范圍以內,設置與實行經濟可靠的安全技術防范對策,而且通過評估檢測達到不斷改進的目標,這樣計算機網絡安全問題的危險系數將會進一步地降低。
參考文獻
[1]嚴明.多媒體技術應用基礎[M].武漢華中科技大學出版,2004.
關鍵詞:云計算;計算機網絡安全;防范策略
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2013) 10-0116-01
一、云計算
(一)云計算的概念
云計算(CloudComputing)是近年來發展的一種新的計算形態。它是網格計算(GridComputing)、分布式計算(DistributedComputing)、并行計算(ParallelComputing)、效用計算(UtilityComputing)、網絡存儲(NetworkStorageTechnologies)、虛擬化(Virtualization)、負載均衡(LoadBalance)等傳統計算機和網絡技術發展融合的產物。云計算的核心思想是將大量用網絡連接的計算資源統一管理和調度,構成一個計算資源池向用戶按需服務。提供資源的網絡被稱為“云”。“云”中的資源在使用者看來是可以無限擴展的,并且可以隨時獲取,按需使用,隨時擴展,按使用付費。
(二)云計算的工作原理
云計算的思想就是把力量聯合起來,然后給其中的每一個成員使用。云計算的基本原理就是通過使計算分布在大量的分布式計算機上,而非本地計算機或遠程服務器中。這使得企業能夠將資源切換到需要的應用上,根據需求訪問計算機和存儲系統。這也意味著計算能力就像我們現在使用水和電一樣,取用方便,費用低廉。
二、云計算背景下計算機網絡安全存在的問題
在技術方面,云計算存儲了大量的數據,一旦在云計算中心放生故障,將導致不可估量的損失。云計算在網絡的建設中擁有巨大的優勢,但是存在的問題也很多。其中最突出的就是網絡的虛假地址和虛假標識問題。
其次,在計算機的網絡里,我們的防范措施很單一,網絡上的黑客和病毒隨時都有可能攻擊我們的云計算中心。在云計算中心里存儲的大數據信息對這些攻擊具有強大的吸引力。因此,云計算有許多重要的安全問題,例如在沒有真正明確保密性、完整性和可用性責任的情況下把服務委托給第三方等。
此外,互聯網技術在中國發展太快、變化太多,以致于讓我們對網絡安全的認識跟不上,缺少防范意識,雖然近幾年有了一定的提高,但是還不能滿足網絡安全的需求。我國對網絡安全的立法還并不全面,存在著漏洞,而且監管的嚴密性也不夠。目前我國的立法不全,缺乏對網絡安全的制裁手段和懲罰。
三、云計算背景下計算機網絡安全的防范策略
(一)提高防范意識,明確網絡安全發展目標
一方面,加強對網絡系統認證身份的確認和識別,明確授權主體,從而提高對網絡安全在身份上的確認保障,避免因第三方侵入網絡安全系統;另一方面,保證網絡信息的完整性和機密性、一致性,加強對信息傳播的監控操作,防止機密信息流失造成不必要的影響,禁止非授權用戶對信息數據的整改,嚴格把關信息安全的操控。
(二)提高網絡安全壁壘,強化應對網絡威脅的能力
1.系統安全分析
系統安全分析是把系統中復雜事物分成相對簡單的組成部分,并找出各組成部分之間的內部聯系,查明危害的過程。系統安全分析的目的是為了在整個系統生命周期內,徹底除去或是控制危害。
2.采用加密技術
要提高網絡安全,加密技術是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網絡的信息通訊安全。
3.采用認證和數字簽名技術
身份認證是指用數字辦法確認、鑒定、認證網絡上參與信息交流者或服務器的身份。數字證書是一個擔保個人、計算機系統或者組織的身份和密鑰所有權的電子文檔。認證的主要目的確定信息的真實性、完整性和不可否認性。所謂認證系統是為了使接收者或第三者能夠識別和確認消息的完整性的密碼系統。
4.運用服務器
服務器只允許因特網的主機訪問其本身,并有選擇地將某些允許的訪問傳輸給內部網,這是利用服務器軟件的功能實現的。采用防火墻技術,易于實現內部網的管理,限制訪問地址。可以保護局域網的安全,起到防火墻的作用:對于使用服務器的局域網來說,在外部看來只有服務器是可見的,其他局域網的用戶對外是不可見的,服務器為局域網的安全起到了屏障的作用。
5.使用過濾器
Vontu、Websense和Vericept等公司提供一種系統,目的在于監視哪些數據離開了你的網絡,從而自動阻止敏感數據。比方說,身份證號碼具有獨特的數位排列方式。還可以對這類系統進行配置,以便一家公司里面的不同用戶在導出數據方面享有不同程度的自由。
參考文獻
[1]劉穎,劉景.計算機網絡安全問題及措施[J].科技資訊,2008,6.
[2]姚遠耀,張予民.云計算在網絡安全領域的應用[J].科技廣場,2009,7.
[3]王洪鎮,謝立華.關于云計算及其安全問題的綜述[J].現代計算機(專業版),2013,6.
[4]梁杰文,佟得天.云計算下的信息安全綜述[J].信息與電腦(理論版),2012,12.