引論:我們為您整理了13篇計算機網絡安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
1 前言
計算機誕生之初功能較為單一,數據處理相對簡單,而隨著計算機網絡技術的發展,計算機功能的多樣化與信息處理的復雜程度顯著提高。網絡的出現,將過去時間與空間相對獨立和分散的信息集成起來,構成龐大的數據信息資源系統,為人們提供更加便捷化的信息處理與使用方式,極大的推動了信息化時代的發展進程。然而,隨之而來的是這些信息數據的安全問題,公開化的網絡平臺為非法入侵者提供了可乘之機,不但會對重要的信息資源造成損壞,同時也會給整個網絡帶來相當大的安全隱患。因此,計算機網絡安全問題成為當今最為熱門的焦點之一,隨著網絡技術的發展,安全防范措施也在不斷更新。
2 影響計算機網絡安全的因素分析
影響計算機網絡安全的因素有很多,其中既包括人為因素,也包括技術因素,因此,在計算機網絡安全受到威脅時,首先要確定導致網絡威脅的因素來源,這樣才能夠有效的、有針對性的進行破解,從而維護計算機網絡信息的完整性、秘密性與可用性。
2.1 人為操作失誤導致的安全隱患
計算機用戶都擁有各自不同的網絡使用權限,由于用戶安全意識不強經常會給不法分子可乘之機,在用戶將密碼泄露或密碼設置過于簡單的情況下,非法用戶很容易侵入網絡系統,對網絡內的數據信息進行使用或篡改、刪除、破壞等。因此,由于合法用戶人為保護程度不夠而導致的網絡安全威脅,是計算機網絡安全中常見的隱患之一。
2.2 人為的惡意攻擊
人為的惡意攻擊是目前最為常見同時也是威脅力最大的計算機網絡安全隱患,病毒與黑客就是人為惡意攻擊的體現。惡意攻擊往往具有很強的針對性,因此破壞程度較大,不僅能夠截獲、竊取和破譯重要信息,同時也能夠對信息數據造成破壞性的影響,對其的可用性與完整性進行損壞(計算機/計算機網絡論文。木馬程序是人為惡意攻擊的代表性手段之一,它可以偽裝成系統程序或其他可執行文件來誘使用戶啟用,從而為惡意攻擊者提供端口信息,為實施進一步攻擊帶來可能。由此可見,人為惡意攻擊的存在使計算機用戶很難防范,特別是一般用戶遭到惡意攻擊的幾率要大大高于一些高端用戶。
2.3 軟件本身的漏洞
隨著計算機應用軟件多樣化程度的不斷提高,軟件開發的復雜程度也不斷提高,成千上萬的代碼構成的邏輯指令,再由繁雜的邏輯指令構建成能夠實現用戶需求的軟件功能,其中程序漏洞的存在在所難免。黑客就是針對這些漏洞來對網絡進行攻擊的,軟件的漏洞甚至可以造成致命的網絡打擊,黑客的攻擊與軟件的不斷完善是一對長期伴生的矛盾,也成為了不可忽視的網絡安全隱患。免費論文下載中心維護計算機網絡安全的幾點對策。
3.1 物理安全維護對策
計算機網絡安全包括物理安全與邏輯安全,物理安全往往容易被人忽略,如果能夠引起人們的關注,計算機網絡物理安全還是能夠得到有效保障的。首先,物理安全是針對物理介質層次而言的,明確物理安全范圍的界定,對構建物理安全體系非常必要。自然災害所導致的設備物理損壞或操作失誤而導致的硬件設備損毀,都屬于物理安全范疇。因此,在計算機設備的維護上,既要做到最大限度的防止自然災害所帶來的破壞,同時更要注意人為操作的規范性,避免因操作不當而對硬件存儲設備中的數據造成損壞。
3.2 防火墻過濾措施
防火墻技術是網絡之間的一道安全屏障,目前所使用的防火墻具有雙層式結構,外部防火墻可以實現數據包過濾功能,內部防火墻是內部網絡與外部網絡連接的一條安全通道。防火墻位于計算機與外部網絡之間,實現了限制外界用戶對內部網絡的訪問,同時也將內部用戶訪問外部網絡劃分為不同權限。任何接入因特網的用戶,開啟防火墻進行數據包過濾與內部防護非常重要。
3.3 入侵檢測技術
入侵檢測技術是針對計算機系統安全而設計的檢測程序,啟動入侵檢測程序可以及時發現并向管理員報告系統中存在的未經授權的入侵或異常狀況。入侵檢測系統不僅可以發出入侵警告,同時也可以及時做出應對反映,對入侵源進行及時的切斷,從而最大限度的保護計算機系統安全,提高計算機的抗病毒入侵能力。
3.4 計算機漏洞掃描措施
應用軟件的不斷更新,功能復雜程度的不斷提升與網絡復雜性的日益增加,都增添了計算機漏洞的產生幾率,依靠人為的漏洞查詢顯然不切實際,那么如何對計算機漏洞進行查找并改進,就成為了困擾軟件開發者的一個核心問題。安裝計算機漏洞掃描系統就可以及時查找與發現系統漏洞,并對該漏洞進行威脅等級評估,同時提出修改建議。利用這種掃描工具,可以通過及時安裝補丁來完善軟件程序,彌補系統漏洞,從而消除安全隱患。計算機漏洞掃描不僅保護了系統的完備性不受侵害,同時也促使軟件開發者不斷關注軟件漏洞,并及時修正程序,是一種促使計算機系統不斷完善的有效手段,也是維護網絡安全的重要對策之一。
4、結語
構建全球化的信息網絡平臺已經成為了當今計算機網絡發展的共識,實現這一目標的最根本支撐點,就是強大的網絡安全保障,因此,針對各種安全隱患而采取的網絡安全對策顯得尤為重要,應當引起廣大信息使用者的廣泛關注。無論是在局域網還是因特網都同樣存在信息數據的保護問題,在人為因素與技術因素的干擾下,如何實現信息數據的最大化安全成為計算機網絡安全技術發展的根本出發點。計算機網絡安全對策應當更加全方位的針對各種安全隱患,并充分考慮到各種威脅的特點來實施,這樣才能夠實現我們保護網絡信息數據完整性、可用性與保密性的目標,隨著網絡安全技術的進步而不斷繼續完善,是我們今后將繼續探討的核心之一。
篇2
一、傳輸層安全
最常見的攻擊是TCP會話劫持,該劫持是劫持一個現存的會話,利用合法用戶進行連接并通過驗證,之后順其自然接管會話。TCP通過3次握手建立連接以后主要采用滑動窗口機制來驗證對方發送的數據,如果對方發送的數據不在自己的接收窗口內,則丟棄此數據,這種發送序號不在對方接收窗口的狀態稱為非同步狀態。當通信雙方進入非同步狀態后,攻擊者可以偽造發送序號在有效接收窗口內的報文也可以截獲報文。篡改內容后,再修改發送序號,而接收方會認為數據是有效數據。
TCP會話劫持的攻擊方式可以對基于TCP的任何應用發起攻擊,如HTTPFTP及Telnet等。攻擊者通過正在進行TCP通信的2臺主機之間傳送的報文得知該報文的源IP、源TCP端口號、目的IP、目的TCP端口號。從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣,在該合法主機收到另一臺合法主機發送的TCP報文前,攻擊者根據所截獲的信息向該主機發出一個帶有凈荷的TCP報文,如果該主機先收到攻擊報文就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間。TCP會話劫持避開了被攻擊主機對訪問者的身份驗證和安全認證。使攻擊者直接進入對被攻擊主機的訪問狀態,因此對系統安全構成的威脅比較嚴重。
二、地址機制
IPv6采用128位的地址空間,其可能容納的地址總數高達2128,相當于地球表面每平方米擁有6.65×1023個。一方面可解決當前地址空間枯竭的問題,使網絡的發展不再受限于地址數目的不足;另一方面可容納多級的地址層級結構,使得對尋址和路由層次的設計更具有靈活性,更好地反映現代Internet的拓撲結構。IPv6的接口ID固定為64位,因此用于子網ID的地址空間達到了64位,便于實施多級路由結構和地址集聚。IPv6的前綴類型多樣,64位的前綴表示一個子網ID,小于64位的前綴要么表示一個路由,要么表示一個地址聚類。IPv6的地址類型包括單播、多播和任播地址,取消了廣播地址。IPv6的地址機制帶來的安全措施包括:
1)防范網絡掃描與病毒、蠕蟲傳播。傳統的掃描和傳播方式在IPv6環境下將難以適用,因為其地址空間太大。
2)防范IP地址欺騙。IPv6的地址構造為可會聚、層次化的地址結構,每一ISP可對其客戶范圍內的IPv6地址進行集聚,接入路由器在用戶進入時可對IP包進行源地址檢查,驗證其合法性,非法用戶將無法訪問網絡所提供的服務。另外,將一個網絡作為中介去攻擊其他網絡的跳板攻擊將難以實施,因為中介網絡的邊界路由器不會轉發源地址不屬其范圍之內的IPv6數據包。
3)防范外網入侵。IPv6地址有一個作用范圍,在這個范圍之內,它們是唯一的。在基于IPv6的網絡環境下,主機的一個網絡接El可配置多種IPv6地址,如鏈路本地地址、站點本地地址、單播全球地址等,這些不同地址有不同的作用域。IPv6路由器對IPv6地址的作用范圍是敏感的,絕不會通過沒有正確范圍的接El轉發數據包。因此,可根據主機的安全需求,為其配置相應的IPv6地址。例如,為保障本地子網或本地網絡內的主機的安全,可為其配置相應的鏈路本地或站點本地地址,使其通信范圍受限于所在鏈路或站點,從而阻斷外網入侵。
三、通用的安全協議將逐步消失,取而代之的是融合安全技術
當網絡安全還沒有成為網絡應用的重要問題時,制定的通信協議基本上不考慮協議和網絡的安全性。而當這些協議大規模使用出現諸多安全漏洞和安全威脅后,不得不采取補救措施,即發展安全協議保護通信的安全,因此IPSec、IKE、TLS等通用的安全協議應運而生,并獲得廣泛的應用,在充分重視安全重要性后,新的協議在設計過程中就充分考慮安全方面的需要,協議的安全性成了新的協議是否被認可的重要指標.因此新的通信協議普遍融入了安全技術,如SIP本身就附帶諸多安全機制,IPv6本身附帶了必要的安全字段,這種發展趨勢將會持續,由此可以預見,傳統的通用安全協議應用范圍將逐漸縮小,最終消失,取而代之的是所有通信協議都具備相應的安全機制。
四、總結
總之,隨著網絡的普及,網絡信息安全所面臨的危險已經滲透到社會各個方面,應深刻剖析各種不安全的因素,并采取相應的策略,確保網絡安全。解決信息網絡安全僅依靠技術是不夠的,還要結合管理、法制、政策及教育等手段,將信息網絡風險降低至最小程度。相信隨著網絡安全技術的不斷改進和提高,以及各項法律法規的不斷完善,將能構造出更加安全可靠的網絡防護體系。
網絡安全法律制度所要解決的問題,乃是人類進入信息社會之后才產生的特殊安全問題。正如為了適應時代所賦予的“正義觀念”必須調整為“科學發展觀”一樣,法律規范隨著信息社會的發展也應適應新的安全問題而作出結構性調整,以符合時代賦予的“科學發展觀”。
網絡安全監管應當以“快速反應和有效治理”為原則。從信息化發展的趨勢考察,政府部門職權的適當調整是網絡安全監管權力配置的必然選擇。因此,構建政府部門之間、政府與社會之間的“信息共享”機制便成為網絡安全監管法制建設的重點,應當注意到,只有政府和企業、個人密切配合,才能彌補政府網絡安全監管能力的不足,使其更好地履行職責,從而實現保障網絡安全的戰略目標。
參考文獻:
[1]鄭曉妹.信息系統安全模型分析[J]安徽技術師范學院學報,2006,(01).
[2]李雪青.論互聯網絡青年道德主體性的失落及其建設[J]北方工業大學學報,2000,(04).
[3]劉建永,杜婕.指揮控制系統的信息安全要素[J]兵工自動化,2004,(04).
[4]高攀,陳景春./GS選項分析[J]成都信息工程學院學報,2005,(03).
[5]劉穎.網絡安全戰略分析[J]重慶交通學院學報(社會科學版),2003,(S1).
[6]劉穎.析計算機病毒及其防范技術[J]重慶職業技術學院學報,2003,(04).
[7]王世明.入侵檢測技術原理剖析及其應用實例[J]燕山大學學報,2004,(04).
篇3
網絡已經成為了人類所構建的最豐富多彩的虛擬世界,網絡的迅速發展,給我們的工作和學習生活帶來了巨大的改變。我們通過網絡獲得信息,共享資源。隨著網絡的延伸,安全問題受到人們越來越多的關注。在網絡日益復雜化,多樣化的今天,如何保護各類網絡和應用的安全,如何保護信息安全,成為了社會關注的重點。
一、網絡的開放性帶來的安全問題
Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題。為了解決這些安全問題,各種安全機制、策略和工具被研究和應用。然而,即使在使用了現有的安全工具和機制的情況下,網絡的安全仍然存在很大隱患,這些安全隱患主要可以歸結為以下幾點:
1.1每一種安全機制都有一定的應用范圍和應用環境
防火墻是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問,防火墻往往是無能為力的。因此,對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為,防火墻是很難發覺和防范的。
1.2安全工具的使用受到人為因素的影響
一個安全工具能不能實現期望的效果,在很大程度上取決于使用者,包括系統管理者和普通用戶,不正當的設置就會產生不安全因素。例如,NT在進行合理的設置后可以達到C2級的安全性,但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面,可以通過靜態掃描工具來檢測系統是否進行了合理的設置,但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較,針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。
1.3系統的后門是傳統安全工具難于考慮到的地方
防火墻很難考慮到這類安全問題,多數情況下,這類入侵行為可以堂而皇之經過防火墻而很難被察覺;比如說,眾所周知的ASP源碼問題,這個問題在IIS服務器4.0以前一直存在,它是IIS服務的設計者留下的一個后門,任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼,從而可以收集系統信息,進而對系統進行攻擊。對于這類入侵行為,防火墻是無法發覺的,因為對于防火墻來說,該入侵行為的訪問過程和正常的WEB訪問是相似的,唯一區別是入侵訪問在請求鏈接中多加了一個后綴。
1.4只要有程序,就可能存在BUG
甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發現和公布出來,程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統的BUG經常被黑客利用,而且這種攻擊通常不會產生日志,幾乎無據可查。比如說現在很多程序都存在內存溢出的BUG,現有的安全工具對于利用這些BUG的攻擊幾乎無法防范。
1.5黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統安全問題出現
然而安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發現以前未知的安全問題,這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時,其他的安全問題又出現了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。
二、計算機網絡安全防范策略
計算機網絡安全是一個復雜的系統,國際上普遍認為,它不僅涉及到技術、設備、人員管理等范疇,還應該以法律規范作保證,只有各方面結合起來,相互彌補,不斷完善,才能有效地實現網絡信息安全。保障網絡信息系統的安全必須構建一個全方位、立體化的防御系統。這個防御體系應包括技術因素和非技術因素,其中技術防范措施主要包括:對計算機實行物理安全防范、防火墻技術、加密技術、密碼技術和數字簽名技術、完整性檢查、反病毒檢查技術、安全通信協議等等。非技術性因素則包括:管理方面的SSL安全措施、法律保護、政策引導等等。這里我們僅從主要技術的角度探討網絡信息安全的策略。
2.1防火墻技術
防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施。它是一種將內部網絡和外部網絡分開的方法,實際上是一種隔離控制技術。用專業言來說,所謂防火墻就是一個或一組網絡設備計算機或路由器等。從理論上講,防火墻是由軟件和硬件兩部分組成。防火墻是在某個機構的內部網絡和不安全的外部網絡之間設置障礙,阻止對信息資源的非法訪問,也可以阻止保密信息從受保護的網絡上非法輸出。防火墻最有效的網絡安全措施之一。防火墻的是已成為實現安全策略的最有效工具之一,并被廣泛應用在Internet上。防火墻的基本實現技術主要有3種:包括過濾技術,應用層網關(服務)技術和狀態監視器技術。
2.2數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。:
2.3入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵。入侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式。
2.4防病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。
參考文獻:
[1]祁明.電子商務實用教程.北京:高等教育出版社.2000.
[2]蔡皖東.網絡與信息安全.西安:西北工業大學出版社.2004.
[3]李海泉.李健.計算機系統安全技術.北京.人民郵電出版社.2001.
[4]李安平.防火墻的安全性分析.[J].計算機安全.2007年07期.
篇4
1.3完整性破壞長期以來,國內多數計算機網絡始終面臨計算機網絡安全完整性破壞問題,其中該問題直接影響到計算機網絡的正常運行。調查研究發現,計算機網絡安全威脅大都以物理侵犯、木馬、病毒及授權侵犯等多種形成存在。據顯示,現行計算機網絡安全完整性主要表現為網絡偵查與網絡攻擊兩個方面,對于前者,即以不影響網絡系統正常運行為前提條件,非法竊取、截獲對方機密信息;對于后者,即通過擾亂網絡系統獲取對方機密信息。特別注意的是網絡攻擊是造成計算機網絡安全完整性破壞的關鍵原因。
2.當今計算機網絡安全存在問題的相關對策
2.1加強管理移動存儲設備移動存儲設備是可以在不同終端間相互移動的存儲設備,其主要包括優盤、硬盤及光盤等。優盤便于攜帶,使用頻率較高,移動硬盤存儲容量較大,將帶病毒的移動硬盤連接到計算機或內部網絡上使用,將可能導致病毒擴散。光盤是以光信息作為存儲物的載體,其內部存在的病毒無法有效清除。由于移動存儲設備應用較為普遍,因此需采取有效措施做好移動存儲設備的管理和使用工作,以增強網絡信息系統的完整性、安全性、可靠性。一是加強管理,制定移動存儲設備管理規定,做好移動存儲設備的使用登記,定期核查使用情況和查殺病毒;二是規范使用,對重要系統設備要避免使用移動存儲設備,必要時要關閉USB接口;三是內外網物理隔離,即便在外網設備上頻繁使用移動存儲設備,也不會影響到內網安全。
2.2強化網絡訪問控制通過落實計算機網絡訪問控制有利于規避影響計算機網絡安全不良因素的侵入。計算機網絡訪問控制主要涉及到自主訪問控制和強制性訪問控制。同時,其承擔著兩大功能:允許合法用戶訪問受保護的網絡資源和抵制不合法用戶訪問受保護的網絡資源。一般情況下,計算機以入網訪問控制、網絡服務器安全控制及防火墻控制等多種手段實現網絡訪問控制。
2.3加強安全認證手段實際上,需要采用不同的技術與運用不同的手段以保證實現電子商務信息的保密性、完整性及有效性等特征,具體體現在:
(1)需依托數字信封技術以保證實現電子商務信息的保密性;
(2)需依托以Hash為函數的核心的數字摘要技術以保證實現電子商務信息的完整性;
(3)需依托數字簽名技術以保證實現電子商務信息的不可否認性、不可抵賴使用性;
(4)需利用數字時間戳以保證實現電子商務信息的有效性;
(5)需依托構建完善的CA認證體系以保證實現電子商務交易中各方身份的認證實用性。
除此之外,還需要有安全協議進行輔助,特別注意的是常見的安全協議主要有安全電子交易SET協議與安全套接層SSL;其次,黑客之所以能夠盜取賬戶破壞電腦程序,其關鍵在于Administrator賬戶擁有計算機網絡最高系統權限。筆者認為,為解決上述一系列問題,應落實好下述工作:置于Administrator賬戶上設定復雜且強大的密碼或置于系統內創建沒有任何管理權限的Administrator賬戶以混淆黑客,從而起到防止黑客盜取賬戶破壞電腦程序現象的發生。
2.4改進加密技術為規避網絡信息或數據泄露現象的發生,實施計算機網絡加密技術。現行計算機網絡加密技術是基于傳統的加密技術基礎之上發展演變而來的,其實質上為運用多種有效的轉換方式將計算機網絡系統內的明文數據直接轉換為加密的數據。對于傳統的加密技術來說,其大都以報文為單位;而現行的加密技術的大型數據庫管理系統大多是Unix與windowsNT,而加密技術的操作系統的安全級別即為C1與C2,其中C1、C2同時發揮著多方面作用,即識別用戶、用戶注冊及控制等。病毒與黑客并稱為計算機網絡的兩大安全隱患,其往往能夠從細微的漏洞中進入損害數據庫,依托有效的加密技術對各類敏感數據進行加密處理,可以確保數據的完整性、安全性,以推進電子計算機系統安全、穩定運行。
篇5
2使用者自身信息安全意識不強
由于醫務工作者自身因素,并沒有經過網絡安全理論知識與技術的專業培訓,網絡安全意識相對較薄弱。在醫院局域網內,工作站計算機未配置光驅并禁止USB端口,極個別員工將自己的光驅連接到計算機上,安裝并傳輸一些未經檢測并可能攜帶病毒的文件。網絡中其他客戶端計算機可以通過網絡共享下載使用該文件,從而導致計算機網絡安全事件的發生。與此同時,使用人員存在一定的僥幸依賴心理,認為出現問題也有專人來解決與維護,忽視計算機網絡安全問題,使得對網絡的監管、檢查、維護困難重重。
3計算機病毒的威脅日益嚴重
隨著網絡資源的不斷發展而來的是日漸繁多的網絡病毒,隨著計算機病毒的不斷擴散,對醫院計算機網絡安全工作的進行帶來很大的阻擾。由于對網絡安全管理及維護的投入較小,網絡安全管理技術的相對滯后等原因,導致無法對新型病毒采取相應的有效的預防及應對措施,結果輕者導致占用存儲空間,影響系統效率,重者破壞數據完整性,甚至導致整個系統癱瘓。
二加強計算機網絡安全保護的相關建議
1完善計算機網絡安全管理制度
網絡安全管理依賴于安全有效的技術措施的同時,也需要有嚴格的制度保障其實現。在日常工作中需要不斷建立及完善網絡安全管理制度、操作規程及職責,明確計算機網絡管理員及操作人員的工作規范及職責,各工作站的操作規范,建立合適的獎懲機制,做到計算機網絡安全制度化管理,認真做好落實和監督工作。
2保障做好崗前培訓工作
專業技術人員需制定詳細的崗前培訓工作計劃,對醫務工作人員進行規范化培訓,使其能明確掌握計算機軟硬件基礎知識及操作技能、醫療工作中的操作規范及流程,了解計算機網絡安全知識。培訓人員可以由各科室進行推薦,先組織較年輕,接受力、理解力較強的工作人員先進行培訓,以起到示范帶教作用,之后再分批次對各科室人員進行整體培訓,以達到各部門全科室普及的效果。隨著醫院規模的不斷發展和擴大,醫院網絡功能應用的不斷增加,人員的不斷變化,對操作人員的培訓是一個需要長期堅持不間斷的過程,需要專業技術人員提前規劃,落實工作。
3計算機網絡硬件管理
對于醫院計算機網絡而言,服務器的安全在網絡安全中處于最核心地位。因此,應當遵循對于機房環境建設的國家規范,建立良好的機房環境,同時也應有嚴格保障的UPS電源,避免因斷電而造成的數據丟失。同時也應對網絡各組成硬件,如網線、路由器、集線器、交換機等連接設備制定詳細的日常維護計劃,并做好工作日志記錄,做好值班記錄,做到維護管理程序化、規范化,保障醫院網絡的正常運轉。
4提高網絡安全軟件技術水平
若從資金的角度考慮,在未能投入大量網絡安全硬件輔助設備的前提下,加強網絡安全軟件的技術水平不失為一種行之有效的手段。可以采取的措施有:加強防火墻控制。防火墻技術是防范外部網絡攻擊的有效途徑,在日常工作中,加強防火墻控制,提高醫院計算機網絡網絡防火墻的技術水平,是避免外部非法入侵的有效手段。但因其不能防范來自網絡內部的攻擊,作為輔助手段,可以適當采用入侵檢測手段,加強對系統運行安全的監控。防毒墻(網絡版)的使用。防毒墻(網絡版)可以對文件系統進行實時掃描,以保護終端客戶機和網絡服務器不受病毒/惡意軟件、間諜軟件/灰色軟件等威脅攻擊的危害,而基于Web的管理控制臺可以輕松的在每臺終端機和服務器上設置協同的安全策略和部署自動更新。
5網絡隔離措施
在有條件的情況下,可以采取將內網與外網獨立設置的策略,從物理層面上將醫院內部網絡與外部網絡進行隔離,避免來自外部網絡的攻擊,同時對連接外網的計算機進行嚴格控制,以保障醫療信息的安全。內網可通過交換機劃分VLAN將整個網絡分為若干不同的廣播域,實現網絡中不同網段的物理隔離,防止影響一個網段的問題對整個網絡造成影響。
6訪問控制
訪問控制是網絡安全防范和保護的最主要策略,要嚴格控制工作站子系統使用人員的授權,在保障日常工作正常運行的前提下,盡量減少其授權。對于工作中確實需要授予特權的情況下,盡量控制授權人數,如科主任和護士長,便于管理,有利于出現問題時查找責任。同時做好用戶登錄口令管理,杜絕共有、共知用戶口令的現象,確保發生問題時可以順利查找責任人。
7數據庫備份與恢復
為防止因意外而導致的信息丟失和網絡癱瘓,數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。
篇6
1.3虛擬網絡技術在遠程員工和企業網之間的應用虛擬網絡技術把企業總部當做是虛擬專用網的中心連接點,在企業的內部設置具有網絡虛擬功能的防火墻,該防火墻被當做是企業的計算機網絡的出口的網關。這樣,移動的業務網點和辦公用戶要想進入防火墻設備中,就必須通過虛擬網絡客戶端進行登陸。通過這種方式,就大大提高了計算機網絡的安全。由于這種方式是通過讓采購人員和企業銷售人員一起在企業系統中傳入信息來實現遠程員工和其他企業間的信息和資源共享。所以,這種虛擬網絡技術的應用又被稱為遠程訪問式虛擬網絡技術。它在具有相當高的安全性的同時還具有低成本的優勢。
1.4虛擬網絡技術在計算機網絡信息中的應用隨著我國經濟和企業的快速發展,當前傳統的計算機安全管理模式已經不能滿足企業的發展需求。所以,在計算機網絡安全的管理中,要精簡細化企業的信息化管理,將企業各部門的信息管理系統達到有機地連接,打破傳統的企業信息化掛忙碌的空間限制,使企業管路信息同步化的目標得到實現。通過對虛擬網絡技術的應用,使得信息通路更加寬廣,打破了傳統空間的約束,企業的信息化管理也能夠更加有效。安全地進行。
2虛擬網絡技術的應用效果和發展前景
在計算機網絡安全中,虛擬網絡技術通過對企業信息化和寬帶技術的結合,使得企業的信息和資源的安全得到了最大程度上的保證,也使得虛擬網絡技術在計算機網絡的安全中發揮了巨大的作用。隨著寬帶技術和企業信息化的不斷發展,虛擬網絡技術憑借著自身的優點也擁有了相當大的發展空間。隨著虛擬網絡技術的不斷發展和成熟,虛擬網絡技術的安全性、穩定性和可靠性也不斷得到提升。在計算機網絡安全中,虛擬網絡技術已經不可獲缺,并且隨著我國電信行業的低迷,虛擬網絡技術已經成為了新興產業的亮點。現如今,虛擬網絡技術在市場上所占據的市場份額不斷上升。虛擬網絡技術的產品不斷匯集,在各種虛擬網絡技術的產品中,有效結合防火墻的軟件虛擬網絡產品和復合型的虛擬網絡設備逐步成為計算機網絡中的熱點。所以,在相當長的時間內,虛擬網絡技術會被廣泛運用到計算機網絡安全中,并且會成為計算機網絡安全中的一個新的熱點。
篇7
1.2包過濾型防火墻安全技術包過濾防火墻安全技術是一種比較傳統的安全技術,其關鍵技術點是網絡分包傳輸,在信息傳遞過程中,以包為單位,每個數據包代表不同的含義,數據包可以根據信息數據的大小、信息的來源、信息的性質等進行劃分,包過濾防火墻技術就是對這些數據包進行識別,判斷這些數據包是否合法,從而實現計算機網絡安全防護。包過濾型防火墻安全技術是在計算機網路系統中設定過濾邏輯,使用相關軟件對進出網絡的數據進行控制,從而實現計算機網絡安全防護。包過濾防火墻技術的最重要的是包過濾技術,包過濾型防火墻安全技術的特點有適應性強、實用性強、成本低,但包過濾型防火墻技術的最大缺點是不能對惡意程序、數據進行進行識別,一些非法人員可以偽造地址,繞過包過濾防火墻,直接對用戶計算機進行攻擊。
1.3監測型防火墻安全技術監測型防火墻安全技術是對數據信息進行檢測,從而提高計算機網絡安全,但監測型防火墻安全技術成本費用比較高,不容易管理,從安全角度考慮,監測型防火墻安全技術還是可以用于計算機網絡中。
1.4網址轉換防火墻安全技術網址轉換技術將網絡地址轉換成外部的、臨時的地址,這樣外部IP對內部網絡進行訪問時,其他用戶不能利用其他IP重復訪問網絡,外部IP在訪問網絡時,首先會轉到記錄和識別中進行身份確認,系統的源地址通過外部網絡和非安全網卡連接真正的IP會轉換成虛擬的IP,將真正的IP隱藏起來。當用戶訪問網絡時,如果符合相關準則,防火墻就會允許用戶訪問,如果檢測不符合準則,防火墻就會認為該訪問不安全,進行攔截。
2防火墻安全防范技術在計算機網絡安全中的應用
2.1訪問策略設置訪問策略設置是防火墻的核心安全策略,因此,在設置訪問策略時,要采用詳細的信息說明和詳細的系統統計,在設置過程中,要了解用戶對內部及外部的應用,掌握用戶目的地址、源地址,然后根據排序準則和應用準則進行設置在,這樣防火墻在執行過程中,能按照相應的順序進行執行。
2.2安全服務配置安全服務的是一個獨立的局域網絡,安全服務的隔離區將系統管理的機群和服務器的機群單獨劃分出來,從而保障系統管理和服務器的信息安全,安全服務既是獨立的網絡又是計算機內部網絡的重要組成部分。對于內部網絡可以采用網址轉換防火墻安全技術進行保護,將主機地址設置成有效的IP地址,并且將這些網址設置公用地址,這樣就能對外界IP地址進行攔截,有效的保護計算機內部網絡安全,確保計算機內部網絡安全、穩定的運行。如果企業擁有邊界路由器,可以利用原有的邊界路由器,采用包過濾防火墻安全技術進行網絡安全保護,這樣還可有降低防火墻成本費用。
2.3日志監控日志監控是保護計算機網絡安全的重要管理手段之一,在進行日志監控時,一些管理員認為不必要進行日志信息采集,但防火墻信息數據很多,并且這些信息十分繁雜,只有收集關鍵的日志,才能當做有效的日志。系統警告信息十分重要,對進入防火墻的信息進行選擇性記錄,就能記錄下對計算機網絡有威脅的信息。
篇8
虛擬化是云計算環境下的一項基本技術,其不僅可以把數據存儲時的內部功能在程序和服務器以及網絡資源中完成抽象化,還可以對運用程序與網絡相對獨立的數據完成管理。盡管可以在云計算環境中利用多種技術避免非法訪問的發生,可是因為大部分運用程序中都存在一定的漏洞,因此非法訪問經常會發生[3]。另外,在移動網絡環境下云計算時,部分殘留的數據甚至會導致許多敏感信息的泄露。因此,,大部分云服務器的供應商一定要面向客戶確保數據存儲空間的有效釋放,同時在下次運用前就會比較清楚。
1.2運用的數據管理模式存在問題
基于云計算環境下,所有的應用過程中關系到的數據資產相關所有權與管理權都是分離的狀態,而網絡用戶一定要經過移動網絡完成對數據的訪問與運用。在此種狀況下,客戶常常對數據的安全性存在一定的擔心。若是客戶把自己的數據運用在云計算中,或是運用在其他有關運用程序中,就會增大數據的運用風險。同時移動網絡的終端通常是客戶運用的隨身攜帶裝置,從而導致客戶的隱私信息出現泄漏問題,并且移動網絡終端還具備一直在線的特點,為網絡竊聽與監視提供方便,也為多種行業尤其是金融行業的攻擊提供方便。在計算機網絡客戶方面而言,雖然已經充分了解互聯網存在的嚴重安全風險,病毒給計算機網絡帶來的嚴重危害,可是移動網絡客戶對于有關安全風險的認識并不足,對于移動終端的攻擊缺少方向上的認識,所有云服務不但可以為客戶提供服務,還可以運用其他有關云服務商提供的服務[4]。因此,客戶在運用云服務時,關系到大量的服務提供商。可是,此種多層化的服務提供形式在加大網絡復雜程度的時候,并且給客戶的服務安全帶來一定的隱患。因此,對于云服務就提出了更高的要求,一定要針對各種企業與運用完成差異化服務,依據移動的運用結構,為客戶提供更為安全、可靠的動態差異化服務,保證客戶通過不同級別進行安全防護。
2加強基于云計算下的計算機網絡安全對策
2.1文件加密與數字簽名技術的運用
文件加密和數字簽名技術主要是提升信息系統與數據保密性,有效避免隱私數據的泄露,或是竊取和損壞利用的基本技術。依據功能與作用的差異,文件的加密與數字簽名技術通常可以分成數據傳輸和數據存儲以及數據完整性的有關鑒別。其中數據傳輸的加密技術通常針對傳輸過程中的數據流進行加密,主要有線路加密與端對端的加密方式。線路加密一般是在線路上針對保密信息經過的所有線路利用多種加密密鑰的模式進行安全防護,可以不考慮信源和信宿[5]。端對端的加密方式主要是指信息在發送人員經過專用的相關加密軟件,運用某一項加密技術針對已經發送的文件完成加密保護,將明文加密改變成密文,而此種信息在到達目的地之后,收件人員可以利用對應的密鑰完成解密,從而是密文恢復成可以讀取數據的明文。此種加密技術通常運用于云端數據的集中備份區域。
2.2數據云端的備份
針對比較重要的云中數據,必須進行定期備份,然后把備份的有關數據傳送到云端的存儲區域,此種備份數據中僅僅有該分數據相關云用戶能夠進行訪問,同時進行重新的獲取與運用,針對備份的相關數據一定要選擇對應的先進技術完成處理,例如選擇比較機密的技術等,從而防止云端備份相關數據的黑客侵入等。另外,云中客戶端的Pn和云中相關數據備份之間的關系如圖1所示。
2.3安裝防護軟件
網絡防火墻技術作為一項強化網絡間的訪問控制,其可以有效避免外部網絡用戶通過非法的模式侵入內部網絡,從而訪問內部相關網絡資源。網絡防火墻可以對兩個或者是許多個網絡間的傳輸數據進行檢查,進而明確網絡間的數據通信是否安全,同時對網絡的具體運行狀態進行有效監測。依據防火墻選擇的各種技術,能夠把其分成包過濾形式和地址轉換形式以及監測形式等多種。其中包過濾形式的防火墻主要利用網絡中先進的分包傳輸技術,經過讀取數據包中相關地址信息進行判斷,如果發現來自于危險站點的有關數據包,這時防火墻就會把此種數據拒之門外。
2.4定期完成補漏
漏洞是能夠在攻擊時主要運用的弱點,其可以為軟件和硬件以及程序的缺點等。有關學者曾經給出一份如今比較流行的操作系統與運用程序的相關研究報告,明確指出軟件中難以避免存在漏洞與缺陷[6]。現階段,大部分的病毒與黑客主要運用系統存在的漏洞進行網絡用戶的攻擊。為了可以糾正此種漏洞,軟件的開發商必須及時補丁程序。客戶一定要及時進行漏洞補丁程序的有效安裝,從而科學處理漏洞造成的安全問題。比如客戶可以運用360安全軟件進行定期的系統掃描,在查找漏洞之后進行及時的修補等。
篇9
一、網絡安全的威脅因素
歸納起來,針對網絡安全的威脅主要有:
1.軟件漏洞:每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地,一旦連接入網,將成為眾矢之的。
2.配置不當:安全配置不當造成安全漏洞,例如,防火墻軟件的配置不正確,那么它根本不起作用。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。
3.安全意識不強:用戶口令選擇不慎,或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
4.病毒:目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此,提高對病毒的防范刻不容緩。
5.黑客:對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
二、幾種常用的網絡安全技術
1.防火墻(FireWall)技術
防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。由于它簡單實用且透明度高,可以在不修改原有網絡應用系統的情況下,達到一定的安全要求,所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
目前,市場上防火墻產品很多,一些廠商還把防火墻技術并入其硬件產品中,即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全,還需通過對內部網絡的有效控制和管理來實現。
2.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止電子欺騙,這對信息處理系統的安全起到極其重要的作用。
3.系統容災技術
一個完整的網絡安全體系,只有防范和檢測措施是不夠的,還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失,一旦發生漏防漏檢事件,其后果將是災難性的。此外,天災****、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難,也能快速地恢復系統和數據,才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障,不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器,在兩者之間建立復制關系,一個放在本地,另一個放在異地。本地存儲器供本地備份系統使用,異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連,構成完整的數據容災系統,也能提供數據庫容災功能。
集群技術是一種系統級的系統容錯技術,通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現,分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合,構成的數據存儲系統,是數據技術發展的重要階段。隨著存儲網絡化時代的發展,傳統的功能單一的存儲器,將越來越讓位于一體化的多功能網絡存儲器。
4.漏洞掃描技術
漏洞掃描是自動檢測遠端或本地主機安全的技術,它查詢TCP/IP各種服務的端口,并記錄目標主機的響應,收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法,并把它們集成到整個掃描中,掃描后以統計的格式輸出,便于參考和分析。
5.物理安全
為保證信息網絡系統的物理安全,還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。為保證網絡的正常運行,在物理安全方面應采取如下措施:①產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面:網絡中的設備,特別是安全類產品在使用過程中,必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統,應設置備份系統。③防電磁輻射方面:所有重要的設備都需安裝防電磁輻射產品,如輻射干擾機。④保安方面:主要是防盜、防火等,還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。
計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程,各種新技術將會不斷出現和應用。
網絡安全孕育著無限的機遇和挑戰,作為一個熱門的研究領域和其擁有的重要戰略意義,相信未來網絡安全技術將會取得更加長足的發展。
參考文獻:
篇10
計算機網絡安全從技術上來說,主要由防病毒、防火墻等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、PKI技術等,以下就此幾項技術分別進行分析。
一、防火墻技術
防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
二、數據加密技術
與防火墻相比,數據加密技術比較靈活,更加適用于開放的網絡。數據加密主要用于對動態信息的保護,對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密技術分為兩類:即對稱加密和非對稱加密。
1.對稱加密技術
對稱加密是常規的以口令為基礎的技術,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證。目前,廣為采用的一種對稱加密方式是數據加密標準DES,DES的成功應用是在銀行業中的電子資金轉賬(EFT)領域中。
2.非對稱加密/公開密鑰加密
在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應用于身份認證、數字簽名等信息交換領域。
三、PKI技術
PKI(PublieKeyInfrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心,也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸,因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術,他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。
1.認證機構
CA(CertificationAuthorty)就是這樣一個確保信任度的權威實體,它的主要職責是頒發證書、驗證用戶身份的真實性。由CA簽發的網絡用戶電子身份證明—證書,任何相信該CA的人,按照第三方信任原則,也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。
2.注冊機構
RA(RegistrationAuthorty)是用戶和CA的接口,它所獲得的用戶標識的準確性是CA頒發證書的基礎。RA不僅要支持面對面的登記,也必須支持遠程登記。要確保整個PKI系統的安全、靈活,就必須設計和實現網絡化、安全的且易于操作的RA系統。
3.密鑰備份和恢復
為了保證數據的安全性,應定期更新密鑰和恢復意外損壞的密鑰是非常重要的,設計和實現健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復,也是關系到整個PKI系統強健性、安全性、可用性的重要因素。
4.證書管理與撤消系統
證書是用來綁定證書持有者身份和其相應公鑰的。通常,這種綁定在已頒發證書的整個生命周期里是有效的。但是,有時也會出現一個已頒發證書不再有效的情況,這就需要進行證書撤消。證書撤消的理由是各種各樣的,可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統的實現是利用周期性的機制撤消證書或采用在線查詢機制,隨時查詢被撤消的證書。
四、結束語
網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網絡提供強大的安全服務。
篇11
計算機病毒是為大眾所熟知的網絡破壞現象,它危害不可小覷。病毒是能夠自我復制并傳播的程序,一旦中毒,病毒的傳播速度極快,可以迅速擾亂計算機程序。病毒以隱藏文件的形式存在于系統中,使部分程序無法正常運行,而且還會破壞數據,甚至產生電腦崩潰的現象。因此要嚴加防范病毒對計算機網絡的攻擊。
1.1.2系統漏洞
許多系統都存在安全漏洞問題,它們是由于操作系統或應用軟件本身所造成的。如不及時更新軟件版本、修復漏洞就會潛在的產生很多安全隱患,給不法分子以可乘之機,使其非法入侵系統,造成破壞。除此之外,操作人員如產生不慎操作現象也會人為造成系統漏洞,給系統埋下安全隱患,這也是我們圖書館網絡管理中要注意的問題,加強對網絡系統操作人員的安全使用培訓。
1.2安全用電管理
安全用電尤其是針對電子設備及數據的保護是起到積極預防作用的。圖書館建設中,要考慮設置圖書館網絡專用線路,將機房的用電都連接在專用電源上,與其他部門用電分隔管理。同時服務器也要采用專用電源,使用UPS電源,在突然斷電時仍能提供一定時間的延時用電,保護好為存盤的系統數據不被破壞,以便及時存儲并正常退出。
1.3服務器硬盤及電腦硬盤的老化
硬盤是數據存儲的媒介,也是管理數據的核心硬件。硬盤的穩定性及使用壽命也直接關系到數據安全。特別是服務器硬盤長年累月的工作會很容易老化,出現故障。上文提到的一些安全問題如果發生都會間接影響硬盤的安全,對硬盤的分區表、引導扇區等重要信息造成破壞,即使系統修復好,如果硬盤受到損壞也將無法挽回數據損失的局面。
1.4圖書館操作人員的管理問題
網絡安全不僅取決于系統的正確使用和安全維護,還取決于管理人員的素養、操作人員的技術熟練度以及安全意識等。再完善的系統都會遭到人為的破壞,除了外來人員的惡意攻擊,也要注意內部工作人員因工作便利對管理系統的不法入侵,和一些違章失誤操作所帶來的損失。一方面是有意的攻擊,一方面是無意的失誤,這都是影響網絡安全的重要因素。
2圖書館計算機網絡安全管理辦法
2.1圖書館機房環境建設
在環境方面,圖書館機房的環境建設要做好防火、防震、防水的功能保障,要配備空調,保持通風和環境均衡的溫濕度,盡量遠離輻射,才能使系統維持正常工作。同時為了保持清潔,機房要采取防塵措施來防止靜電。還要加強持續用電的保護措施,保證計算機的用電安全,保護計算機設備及數據少受損壞。
2.2建立安全管理制度
網絡安全是基于網絡數據和網絡設備的安全的,因此在設備、系統、和人員管理上應建立健全一系列安全管理制度,加強對網絡管理人員的教育。首先為服務器設置安全的地方,定期檢查硬件設備的安全性能及用電穩定性,定期進行數據備份。圖書館機房應配備專職管理和維護人員,非管理人員禁止入內。一般要制定系統使用上的操作規范,也要對操作人員進行系統培訓,并配備專職的設備維護人員加強監督管理和指導,制定事故責任制。總之,一切對網絡安全有意義的安全舉措及管理措都應當予以采納。
2.3維護好計算機網絡系統的軟件和硬件
在計算機網絡系統的正常運行下,要時刻注意檢查和維護計算機網絡使用的軟硬件。硬件防護包括服務器硬盤、電腦存儲硬盤、其他存儲器、虛擬內存等;軟件防護包括設計一套安全高效的操作系統,能夠即時更新和修補系統漏洞,設置相關登錄和管理權限,采用合理的隔離手段防范惡意入侵,安裝實施監控程序并設置文件保護等。這都需要前期專業技術操作人員來完成,也需要他們后期對使用人員的培訓與指導。
2.4做好員工培訓,提高工作人員職業操守和責任意識
為避免內部操作人員對操作技術不熟練所造成的系統障礙和數據損失,就要前期做好相關系統管理工作人員的培訓工作。選派技術人員組織專門培訓,正確使用圖書管理系統,正確分配各系統工作站及各計算機的密碼登錄權限,并定期修改。
2.5加強病毒防范意識和安全措施
病毒的潛在危害是很大的。要加強工作人員對病毒的防范意識,在日常系統維護中采用實時防病毒軟件,設置“防火墻”,將其安裝在單獨的計算機上,即時更新,禁止外來不安全用戶對館內系統的非法入侵。每臺計算機、服務器、網關都要采取這樣多層次的病毒防衛體系,安裝全方位的防病毒系統,并進行日常監測,這樣才能將危害率降低到最小。同時,要做好日常安全審計工作,每日記錄安全日志,定期掃描系統,以便及時防范威脅,修補漏洞。
篇12
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境中,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的安全性、保密性、完整性。參照ISO給出的計算機安全定義,認為計算機網絡安全是指:“保護計算機網絡系統中的硬件,軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,網絡服務正常有序。”
二、計算機網絡系統安全維護策略
(一)計算機病毒的防御
防御計算機病毒應該從兩個方面著手,首先應該加強內部管理人員及使用人員的安全意識,使他們能養成正確上網、安全上網的好習慣。再者,應該加強技術上的防范措施,比如使用高技術防火墻、使用防病毒工具等。具體做法如下。
1.權限分級設置,口令控制
很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。在選擇口令應往意,必須選擇超過6個字符并且由字母和數字共同組成的口令;操作員應定期變一次口令;不得寫下口令或在電子郵件中傳送口令。通常簡單的口令就能取得很好的控制效果,因為系統本身不會把口令泄露出去。但在網絡系統中,由于認證信息要通過網遞,口令很容易被攻擊者從網絡傳輸線路上竊取,所以網絡環境中,使用口令控制并不是很安全的方法。
2.簡易安裝,集中管理
在網絡上,軟件的安裝和管理方式是十分關鍵的,它不僅關系到網絡維護管理的效率和質量,而且涉及到網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到組織里的每一個NT服務器上,并可下載和散布到所有的目的機器上,由網絡管理員集中設置和管理,它會與操作系統及其它安全措施緊密地結合在一起,成為網絡安全管理的一部分,并且自動提供最佳的網絡病毒防御措施。
3實時殺毒,報警隔離
當計算機病毒對網上資源的應用程序進行攻擊時,這樣的病毒存在于信息共享的網絡介質上,因此就要在網關上設防,在網絡前端進行殺毒。基于網絡的病毒特點,應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件,LAN服務器,服務器上的網關,Internet層層設防,對每種病毒都實行隔離、過濾,而且完全在后臺操作。
(二)對黑客攻擊的防御
對黑客的防御策略應該是對整個網絡系統實施的分層次、多級別的包括檢測、告警和修復等應急功能的實時系統策略,方法如下:
1.包過濾技術
包過濾是最早使用的一種防火墻技術,它的第一代模型是靜態包過濾,使用包過濾技術的防火墻通常工作在OSI模型的網絡層上,后來發展更新的動態包過濾增加了傳輸層,包過濾技術工作的地方為各種基于TCP/IP協議的數據報文進出的通道,它把這兩層作為數據監控的對象,對每個數據包的頭部、協議、地址、端口、類型等信息進行分析,并與預先設定好的防火墻過濾規則進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配并且條件為阻止的時候,這個包就會被丟棄。動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上,對已經成功與計算機連接的報文傳輸進行跟蹤,并且判斷該連接發送的數據包是否會對系統構成威脅,一旦觸發其判斷機制,防火墻就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改,從而阻止該有害數據的繼續傳輸。
2.應用技術
應用協議分析技術工作在OSI模型的最高層—應用層上,在這一層里能接觸到的所有數據都是最終形式,可以實現更高級的數據檢測過程。整個防火墻把自身映射為一條透明線路,當外界數據進行防火墻的客戶端時,應用協議分析模塊便根據應用層協議處理這個數據,通過預置的處理規則查詢這個數據是否帶有危害,由于這一層面對的已經不再是組合有限的報文協議,所以防火墻不僅能根據數據層提供的信息判斷數據,更能像管理員分析服務器日志那樣分辨危害。由于型防火墻基于技術,以犧牲速度為代價換取了比包過濾防火墻更高的安全性能,在數據交換頻繁的時刻,防火墻就成了整個網絡的瓶頸,所以防火墻的應用范圍還遠遠不及包過濾防火墻。
篇13
一、主要威脅
計算機網絡系統被攻擊的原因來自多方面的因素,可以分為以下若干類型:黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等,這些都可以造成損失等等。目前,計算機信息系統的安全威脅主要來自于以下幾類:
(一)計算機病毒
病毒是對軟件、計算機和網絡系統的最大威脅之一。所謂病毒,是指一段可執行的程序代碼,通過對其他程序進行修改,可以感染這些程序,使他們成為含有該病毒程序的一個拷貝。計算機病毒技術在快速地發展變化之中,而且在一定程度上走在了計算機網絡安全技術的前面。專家指出,從木馬病毒的編寫、傳播到出售,整個病毒產業鏈已經完全互聯網化。計算機感染上病毒后,輕則使系統工作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失。甚至造成計算機主板等部件的損壞,導致硬件系統完全癱瘓。
(二)黑客的威脅和攻擊
計算機信息網絡上的黑客攻擊事件越演越烈,據(2008瑞星中國大陸地區互聯網安全報告》披露,以牟利為目的的黑客產業鏈已經形成并成為新的暴利產業。在2006的五一“中美黑客大戰”中,中美各有上千的網站被涂改。曾專門跟蹤網站的攻破后的頁面,最后由于這種事件太多,有時一天會接到上百個網站被涂改的報告。
(三)其他
其他威脅因素還包括來自內部的攻擊、網絡犯罪、系統漏洞以及秘密信息的泄漏和修改網絡的關鍵數據等。
二、系統安全維護策略
(一)計算機病毒的防御
巧用主動防御技術防范病毒入侵,用戶一般都是使用殺毒軟件來防御病毒的侵入,但現在年增加千萬個未知病毒新病毒,病毒庫已經落后了。因此,靠主動防御對付未知病毒新病毒是必然的。實際上,不管什么樣的病毒,當其侵入系統后,總是使用各種手段對系統進行滲透和破壞操作。所以對病毒的行為進行準確判斷,并搶在其行為發生之前就對其進行攔截。
很多計算機系統常用口令來控制對系統資源的訪問,這是防病毒進程中,最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限,選擇不同的口令,對應用程序數據進行合法操作,防止用戶越權訪問數據和使用網絡資源。操作員應定期變一次口令;不得寫下口令或在電子郵件中傳送口令。
當計算機病毒對網上資源的應用程序進行攻擊時,這樣的病毒存在于信息共享的網絡介質上,因此就要在網關上設防,在網絡前端進行殺毒。基于網絡的病毒特點,應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件,LAN服務器,服務器上的網關,Inter層層設防,對每種病毒都實行隔離、過濾,而且完全在后臺操作。例如:某一終端機如果通過軟盤感染了計算機病毒,勢必會在LAN上蔓延,而服務器具有了防毒功能,病毒在由終端機向服務器轉移的進程中就會被殺掉。為了引起普覺,當在網絡中任何一臺工作站或服務器上發現病毒時,它都會立即報警通知網絡管理員。
(二)對黑客攻擊的防御
黑客攻擊等威脅行為為什么能經常得逞呢?主要原因在于計算機網絡系統內在安全的脆弱性;其次是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果,因而舍不得投入必要的人力、財力和物力來加強計算機網絡的安全性,沒有采取有效的安全策略和安全機制。
首先要加強系統本身的防御能力,完善防護設備,如防火墻構成了系統對外防御的第一道防線。防火墻作為網絡的第一道防線并不能完全保護內部網絡,必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高,分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全;同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。
堵住系統漏洞要比與安全相關的其它任何策略更有助于確保網絡安全。及時地安裝補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞,可以安裝軟件補丁;另外網絡管理員還需要做好漏洞防護工作,保護好管理員賬戶,只有做到這兩個基本點才能讓我們的網絡更加安全。:
三、預防措施
從實際應用上看,即使采用了種種安全防御手段,也不能說就萬無一失或絕對安全,因此還需要有一些預防措施,以保證當系統出現故障時,能以最快的速度恢復正常,將損失程度降到最底。這類措施應有:
對日常可能出現的緊急情況要制定相應的應急計劃和措施,發生運行故障時,要能快速搶修恢復。
將操作系統CD盤留副本保存。由于有一個或者多個備份集,因此可以減少原版CD丟失(損壞)所造成的損失。
當網絡管理員或系統管理員調動以后立即修改所有的系統管理員口令。堅持數據的日常備份制度,系統配置每次修改后及時備份,對于郵件服務器等實時更新的服務器應堅持每日多次備份(至少每小時一次)。
四、結語
網絡系統安全作為一項動態工程,它的安全程度會隨著時間的變化而發生變化。在信息技術日新月異的今天,需要隨著時間和網絡環境的變化或技術的發展而不斷調整自身的安全策略。
參考文獻:
[1]錢蓉.黑客行為與網絡安全,電力機車技術,2002,1,25
[2]關義章,戴宗坤.信息系統安全工程學.四川大學信息安全研究所,2002,12,10
