計算機網絡信息安全管理論文(2)
計算機網絡信息安全管理論文篇二
《論計算機的網絡信息安全及防護措施》
摘要:隨著科學技術的高速發展,計算機網絡已經成為新時期知識經濟社會運行的必要條件和社會的基礎設施。本文針對現代網絡威脅,對網絡的各種安全隱患進行歸納分析,并針對各種不安全因素提出相應的防范措施。
關鍵詞:計算機網絡;信息安全;防火墻;防護措施;
1 網絡不安全因素
網絡的不安全因素從總體上看主要來自于三個方面:第一是自然因素。自然因素指的是一些意外事故,如發生地震、海嘯,毀壞陸上和海底電纜等,這種因素是不可預見的也很難防范。第二是人為因素,即人為的入侵和破壞,如惡意切割電纜、光纜,黑客攻擊等。第三是網絡本身存在的安全缺陷,如系統的安全漏洞不斷增加等。
由于網絡自身存在安全隱患而導致的網絡不安全因素主要有:網絡操作系統的脆弱性、TCP/IP協議的安全缺陷、數據庫管理系統安全的脆弱性、計算機病毒等。目前人為攻擊和網絡本身的缺陷是導致網絡不安全的主要因素。
2 計算機網絡防范的主要措施
2.1計算機網絡安全的防火墻技術
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,信息數據的保密性、完整性和可用性受到保護。網絡安全防護的根本目的,就是防止計算機網絡存儲和傳輸的信息被非法使用、破壞和篡改。
目前主要的網絡安全技術有:網絡安全技術研究加密、防火墻、入侵檢測與防御、和系統隔離等技術。其中防火墻技術是一種行之有效的,對網絡攻擊進行主動防御和防范,保障計算機網絡安全的常用技術和重要手段。
2.2 訪問與控制策略
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制可以防止合法用戶訪問他們無權查看的信息。訪問控制策略其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用,它也是維護網絡系統安全、保護網絡資源的重要手段,訪問控制是保證網絡安全最重要的核心策略之一。
(1)入網訪問控制。入網訪問控制是網絡訪問的第一層安全機制。控制哪些用戶能夠登錄到服務器并獲準使用網絡資源,控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網絡的用戶登錄時,如果系統發現“資費”用盡,還應能對用戶的操作進行限制。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認權限檢查。
(2)權限控制。權限控制是針對在網絡中出現的非法操作而實施的一種安全保護措施。用戶和用戶組被給予一定的權限。網絡控制著能夠通過設置,指定訪問用戶和用戶組可以訪問哪些服務器和計算機,可以在服務器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源,設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。
(3)屬性安全控制。訪問控制策略還應該允許網絡管理員在系統一級對文件、目錄等指定訪問屬性。本策略允許將設定的訪問屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全策略在操作權限安全策略的基礎上,提供更進一步的網絡安全保障。當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表,用以表明用戶對網絡資源的訪問能力,網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、執行修改、顯示等。
(4)網絡服務器安全控制。網絡系統允許在服務器控制臺上執行一系列操作。用戶通過控制臺可以加載和卸載系統模塊,可以安裝和刪除軟件。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供服務器登錄限制、非法訪問者檢測等功能。
(5)網絡監測和鎖定控制。網絡管理員應能夠對網絡實施監控。網絡服務器應對用戶訪問網絡資源的
情況進行記錄。對于非法的網絡訪問,服務器應以圖形、文字或聲音等形式報警,引起網絡管理員的注意。對于不法分子試圖進入網絡的活動,網絡服務器應能夠自動記錄這種活動的次數,當次數達到設定數值,該用戶賬戶將被自動鎖定。
2.3 安全基石---防火墻
防火墻是網絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數據,它不同于只會確定網絡信息傳輸方向的簡單路由器,而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇.作為一種隔離控制技術,它是內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一。雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展。目前技術最為復雜而且安全級別最高的防火墻是隱蔽智能網關,它將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問,同時阻止了外部未授權訪問對專用網絡的非法訪問。
3 計算機網絡攻擊的常見手法及防范措施
3.1 利用網絡系統漏洞進行攻擊
漏洞是指硬件、軟件或策略上存在的安全缺陷,從而使攻擊者能夠在未授權的情況下訪問、控制系統。許多網絡系統都存在著或多或少的漏洞,這些漏洞有可能是系統本身所具有的,如windows、Linux和Solaris等都存數量不等的漏洞,也有可能是由于網管的疏忽而造成的。黑客就是利用這些漏洞來完成密碼探測、系統入侵等攻擊。
對于系統本身的漏洞,要及時安裝軟件補丁。網絡管理員需要根據本單位的需求對局域網加強防護措施,。監控并及時處理流量異常現象,盡量避免因疏忽而使網絡系統受到危害。
3.2通過電子郵件進行攻擊
電子郵件是互聯網上運用最廣泛、最受歡迎的一種通訊方式。當前,電子郵件系統的發展也面臨著機密泄露、信息欺騙、病毒侵擾、垃圾郵件等諸多安全問題的困擾,如黑客可以使用一些郵件炸彈軟件向目標郵箱發送大量內容重復、無用的垃圾郵件。對于遭受此類攻擊,可以通過郵件加密、使用垃圾郵件過濾技術來解決。
3.3解密攻擊
在互聯網上,使用密碼是最常見的安全保護方法,用戶需要輸入密碼進行身份校驗。只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一個重要手法。
為了防止受到這種攻擊的危害,可以采取以下措施:1)采用更“強壯”的加密算法。一個好的加密算法往往只能通過窮舉法得到密碼,所以只要密鑰足夠長就會很安全。2)動態會話密鑰,即盡量做到每次會話的密鑰都不相同。3)定期變換加密會話的密鑰。
3.4后門軟件攻擊
后門通常是一個服務端程序,可能由黑客編寫,惡意攻擊者通過一定手段放在目標主機上以達到非法目的,也可能是目標主機正在運行的授權應用軟件,其本身具有可被攻擊者利用的特性。
為了防止后門軟件的攻擊,在網上下載數據時,一定要在運行之前首先進行病毒掃描.如果可能的話使用一定的反編譯軟件,查看源數據是否有其他可疑的應用程序.從而杜絕這類后門軟件。
3.5拒絕服務攻擊
拒絕服務是攻擊者通過一定的方法,使目標服務器資源過載,以致沒有能力向外提供服務的過程,互聯網上許多大型網站都遭受過此類攻擊。拒絕服務攻擊的具體方法就是向目標服務器發送大量合理的服務請求。幾乎占取該服務器所有的 網絡帶寬,從而使其無法對其進行處理,而導致網站無法進入、網站響應速度大大降低或服務器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,有些通過Microsoft的Outlook 軟件向眾多郵箱發出帶有病毒的郵件,使郵件服務器無法承擔如此龐大的數據處理量而導致癱瘓。
對于個人上網用戶而言,也有可能遭到大最數據包的攻擊而使其無法進行正常的網絡操作,所以在上網時一定要安裝好防火墻軟件,同時也可以安裝一些可以隱藏IP地址的程序,或使用代理服務器,這樣能大大降低受到此類攻擊的可能性。
3.6緩沖區溢出攻擊
緩沖區是一個程序的記憶區域.在此區域中存儲著—些數據信息,如程序信息、中間計算結果、輸入的參數等等。把數據調人緩沖區之前,程序應該驗證緩沖區有足夠的空間容納這些調入的數據。否則,數據將溢出緩沖區。并覆寫在鄰近的數據上。當它運行時。就如同改寫了程序,造成混亂。假如溢出的數據是隨意的,那它就不是有效的程序代碼,程序執行到此就會失敗、死機。另一方面,假如數據是有效的程序代碼。程序執行到此,就會產生新的功能。windows的虛擬內存技術不是很完善,還存在大量問題,于是就有專門的程序利用緩沖區溢出原理來攻擊遠程服務器。對于以上各種類型的網絡攻擊。我們可以使用網絡安全技術來加以防范。以保障網絡的安全。
4 結束語
綜上所述:為了保障網絡信息的安全,我們要根據網絡隱患的特征,分析信息系統的各個不安全環節,做到有針對性的防范和采取切實有效的措施,在最大限度上使安全系統能夠跟上實際情況的變化發揮效用,使整個安全系統處于不斷更新、不斷完善、不斷進步的過程中。
參考文獻
蔡立軍 計算機網絡安全技術[M]北京:中國水利水電出版社2005-7
肖軍模.劉軍.周海剛網絡信息安全[M]北京: 機械工業出版社2006-1
張千里,陳光英 網絡安全新技術[M]北京:人民郵電出版社2003-1
(美)Mandy Andress著.楊濤等譯.計算機安全原理[M]北京:機械工業出版社 2002-1
看過“計算機網絡信息安全管理論文”的人還看了: