计算机网络论文.docx
《计算机网络论文.docx》由会员分享,可在线阅读,更多相关《计算机网络论文.docx(13页珍藏版)》请在冰豆网上搜索。
计算机网络论文
计算机网络安全问题浅析
摘要
随着计算机网络的普及和发展,尤其是Internet的普遍使用,使计算机应用更加广泛与深入。
现今,信息已经成为社会生活的核心,资源共享与网上交流不断增加,人们在享受互联网带来巨大便利的同时,也面临着网络安全的极大威胁;各种针对网络的攻击不断出现,网络被非法入侵的案例更是层出不穷,它能使计算机网络数据和文件丢失、系统瘫痪,严重地影响了网络信息的安全;因此,提高计算机网络安全防范意识是非常迫切的。
该文简单地分析了计算机网络存在的安全问题,并且探讨了一些安全防范措施,其中,重点论述了防火墙技术在网络安全中的功能作用,以及防火墙的技术原理和各种类型。
并且从管理和技术两方面就加强计算机网络安全提出了针对性建议。
关键词:
计算机网络安全防范措施防火墙
目录
1引言3
2计算机网络安全概述3
2.1影响计算机网络安全的因素3
2.2计算机信息安全问题3
2.2.1计算机信息安全的含义3
2.2.2计算机信息安全问题的成因4
2.3网络安全缺陷产生的原因4
3网络安全的问题4
3.2计算机网络受攻击的形式5
3.3计算机网络安全问题5
4计算机网络安全防范5
4.1防火墙技术5
4.1.1防火墙的概念5
4.1.2防火墙的种类6
4.1.3防火墙的功能6
4.1.4防火墙技术的原理6
4.2计算机网络安全的相关技术6
4.2.1数据加密技术7
4.2.2入侵检测技术7
4.2.3防病毒技术7
4.2.4网络安全扫描技术7
5安全防范措施7
5.1网络病毒的防范7
5.2运用防火墙8
5.3采用入侵检测系统8
5.4Web、Email、BBS的安全监测系统8
5.5漏洞扫描系统8
5.6IP盗用问题的解决——在路由器上捆绑IP和MAC地址8
5.7利用网络监听维护子网系统安全9
6安全建议9
6.1技术方面9
6.1.1采用防火墙与防病毒技术以提高网络安全性9
6.1.2网络分段9
6.1.3以交换式集线器代替共享式集线器9
6.1.4VLAN的划分9
6.1.5运用网络加密技术10
6.1.6加强计算机网络访问控制10
6.2管理方面10
6.2.1加强设备的安全监管10
6.2.2加密处理文件10
6.2.3设置网络权限10
6.2.4建立完备的送修制度以防止数据泄密10
6.2.5加强网络安全教育10
7参考文献11
1引言
互联网的迅速发展在提高工作效率的同时,也使网络安全问题日益严峻,成为当今社会关注的焦点。
我们必须要综合运用各种安全防范措施,改善这个问题,以构建一个全方位的安全防御系统为目标,有效提高计算机网络的安全;我们只有熟悉了各种影响网络安全的因素,熟练掌握了各种保护网络安全的技术,才能更好的保护计算机和信息的安全。
2计算机网络安全概述
2.1影响计算机网络安全的因素
由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使网络系统在稳定性和可扩充性方面受到影响。
网络硬件的配置不协调主要表现为一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量;网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而影响网络的可靠性、扩充性和升级换代;二是网卡用工作站选配不当导致网络不稳定,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用,从而给他人以可乘之机。
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者进行破坏提供了机会。
由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞,不合理的网络设计会成为网络安全的威胁,人们常见的黑客攻击及网络病毒,是最难防范的网络安全威胁。
2.2计算机信息安全问题
2.2.1计算机信息安全的含义
信息系统安全的内容应包括两个方面:
物理安全和逻辑安全。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全包括确保信息的完整性、保密性和可用性。
在计算机网络中,根据国际标准化组织ISO的定义,信息系统安全就是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机的硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露,系统能够连续可靠正常地运行,信息服务不中断。
2.2.2计算机信息安全问题的成因
第一,电磁信号的辐射。
目前网络通信中常用的传输电缆以及计算机、网络设备都会因为电磁屏蔽不完善而通过电磁辐射向外泄露。
第二,工作环境的安全漏洞。
包括自身的体系结构问题、对特定网络协议实现的错误以及系统开发过程中遗留的后门和陷门。
第三,人为的恶意攻击。
以各种方式有选择地破坏信息的有效性和完整性,对计算机网络造成严重的危害,并导致机密数据的泄漏,这是计算机网络所面临的最大威胁。
第四,安全产品自身的问题。
自身实现过程中的安全漏洞或错误都将导致用户内部网络安全防范机制的失效。
第五,网络软件的缺陷和漏洞。
2.3网络安全缺陷产生的原因
第一,TCP/IP的脆弱性。
由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。
如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。
由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。
人们普遍缺乏安全意识,使网络中设置的安全保护屏障形同虚设。
如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
3网络安全的问题
3.1计算机网络安全的威胁
网络缺陷:
正是由于Internet在全球范围内的普及,使其保护信息安全存在先天不足,缺乏相应的安全监督机制。
黑客攻击:
现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。
各种病毒:
病毒时时刻刻威胁着整个互联网,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。
管理的欠缺及资源滥用:
很多上互联网的企业在管理上存在漏洞,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,降低了员工的工作效率,这是造成网络安全问题的根本原因。
信息泄露:
恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。
3.2计算机网络受攻击的形式
主要有六种形式:
①内部窃密和破坏。
②截收信息。
③非法访问。
④利用TCP/IP协议上的某些不安全因素进行APR欺骗和IP欺骗攻击。
⑤病毒破坏。
⑥其它网络攻击方式。
3.3计算机网络安全问题
TCP/IP协议的安全问题。
目前网络环境中广泛采用的TCP/IP协议,因为其开放性,故其本身就意味着一种安全风险。
由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。
网络结构的安全问题。
互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解,这就是互联网所固有的安全隐患。
系统的后门是传统安全工具难于考虑到的地方。
防火墙很难考虑到这类安全问题,因为对于防火墙来说,该入侵行为的访问过程和正常的Web访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
4计算机网络安全防范
4.1防火墙技术
4.1.1防火墙的概念
从狭义上来讲,防火墙是指安装了防火墙软件的计算机、路由器或专门的硬件设备;从广义上讲,防火墙还包括了保护整个网络的安全策略和安全行为。
它通过在网络边界上建立网络安全监测系统,对流经它的网络通信进行扫描,能够有效隔离内部和外部网络,确定允许哪些内部服务访问外部服务,以及允许哪些外部服务访问内部服务,以阻挡来自外部网络的入侵和攻击。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。
4.1.2防火墙的种类
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型,它们之间各有所长,具体使用哪一种或是否混合使用要根据具体需求确定。
4.1.3防火墙的功能
防火墙可以强化网络安全策略。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息,防止内部信息的外泄。
利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
防火墙能有效地防止外来的入侵,起了一个作为保护层的作用,使得内部网与外部网之间所有的信息流都必须通过防火墙,信息流在流经防火墙时,网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。
防火墙实际上代表了一个网络的访问控制原则。
4.1.4防火墙技术的原理
防火墙就是一种过滤塞。
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
防火墙的形式多种多样,有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统;还有一些应用型的防火墙只对特定类型的网络连接提供保护;还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:
分析出入防火墙的数据包,决定放行还是把他们扔到一边。
4.2计算机网络安全的相关技术
计算机网络安全的实现有赖于各种网络安全技术。
从技术上来说,网络安全由安全的操作系统、安全的应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件无法确保信息网络的安全性。
目前成熟的网络安全技术主要有:
防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
4.2.1数据加密技术
在计算机网络中,加密技术是信息安全技术的核心,是一种主动的信息安全防范措施,信息加密技术是其他安全技术的基础,加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密),对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。
4.2.2入侵检测技术
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。
IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。
4.2.3防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成的威胁也越来越大。
在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。
网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
4.2.4网络安全扫描技术
网络安全扫描技术是网络安全领域的重要技术之一。
利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行服务,检测在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。
5安全防范措施
5.1网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。
所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,定期或不定期的自动升级,使网络免受病毒的侵袭。
5.2运用防火墙
防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。
利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
5.3采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的,它能够及时发现并报告系统中未授权或异常现象,是一种用于检测计算机网络中违反安全策略行为的技术。
在该系统中利用审计记录,能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统安全的目的。
在网络中同时采用基于网络和基于主机的入侵检测系统,构成一套完整立体的主动防御体系。
5.4Web、Email、BBS的安全监测系统
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库,及时发现在网络上传输的非法内容,及时向上级安全网管中心报告并采取措施。
5.5漏洞扫描系统
面对大型网络的复杂性和不断变化的情况,要求有一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
5.6IP盗用问题的解决——在路由器上捆绑IP和MAC地址
当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。
否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.7利用网络监听维护子网系统安全
对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。
在这种情况下,我们可以设计一个子网专用的监听程序,该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
6安全建议
6.1技术方面
6.1.1采用防火墙与防病毒技术以提高网络安全性
通过防火墙在网络边界上建立起来的通信监控系统来隔离内部和外部网络,可以实现局域网与广域网、内网与外网有效地分隔,以阻挡外部网络的侵入,从而实施安全访问控制,提高检察信息网的安全性。
安装网络版防病毒软件,加强病毒检测,及时发现病毒并予以清杀,可有效阻止其在网络上蔓延和破坏。
6.1.2网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,也是保证网络安全的一项重要措施,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。
6.1.3以交换式集线器代替共享式集线器
使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听,所以应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
6.1.4VLAN的划分
在集中式网络环境下,通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
6.1.5运用网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
加密数据传输主要有三种:
①链接加密。
②节点加密。
③首尾加密。
网络加密技术是网络安全最有效的技术之一,既可以对付恶意软件攻击,又可以防止非授权用户的访问。
6.1.6加强计算机网络访问控制
访问控制是网络安全防范的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。
访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。
6.2管理方面
6.2.1加强设备的安全监管
对入网的硬件设备和软件,统一由网络安全技术部门严格把关,对涉及网络安全的核心设备可列入政府专项,由专业人员把关统一购买安装。
建立健全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生,并定期的对运行环境条件进行检查、测试和维护。
对于传输线路,要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
6.2.2加密处理文件
在软件方面,对检察业务案件数据库进行加密处理,保证检察信息数据的安全。
对涉密信息要做到加密保存,对存储有涉密信息的计算机要设置开机密码、屏保密码等。
6.2.3设置网络权限
将检察机关内部计算机维护权限与操作权限、数据权限分开,根据检察机关业务的不同,程序将自动分配其使用权限。
设置访问权限可以让用户有效地完成工作,同时又能控制用户对服务器资源的访问,从而加强网络和服务器的安全性。
6.2.4建立完备的送修制度以防止数据泄密
在遇到故障时,让本院专门的技术人员进行维修;当设备要外送维修时,送修前应做消磁处理。
对存有涉密的存储介质要执行统一登记和销毁制度。
6.2.5加强网络安全教育
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
7参考文献
[1]黎连业,张维.防火墙及其应用技术[M].北京:
清华大学,2004.
[2]杨义先.网络安全理论与技术[M].北京:
人民邮电出版社,2003.
[3]王达.网管员必读——网络安全[M].北京:
电子工业出版社,2007.
[4]谢希仁.计算机网络(第5版)[M].北京:
电子工业出版社,2008.
[5]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社.
[6]李军,防火墙上台阶,信息网络安全2004年07期.
[7]王其良,高敬瑜.计算机网络安全技术[M].北京大学出版社,2006.11.
[8]李家春,李之棠.入侵检测系统.计算机应用研究.2001.12.
[9]阎慧,土伟.防火墙原理与技术[M].北京:
机械工业出版,2004.
[10]殷伟.计算机安全与病毒防治[M].合肥:
安徽科学技术出版社,2004.
[11]任志勇,张洪毅,孟祥鑫.网络信息安全技术的发展[J].信息与电脑,2009.
[12]陈连波.浅析计算机网络的安全技术[J].福建电脑,2009.
升级会员 