计算机网络安全.docx
《计算机网络安全.docx》由会员分享,可在线阅读,更多相关《计算机网络安全.docx(11页珍藏版)》请在冰豆网上搜索。
计算机网络安全
题目:
计算机网络安全
Title:
computernetworksecurity
院系名称:
物理与通信电子学院
学生姓名:
学生学号:
专业:
通信工程
完成时间:
2012年12月
摘要
随着计算机信息技术的飞速发展,计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介,并且渗透到社会生活的各个角落。
因此,对计算机网络安全有一定的了解,并采取强有力安全措施势在必行。
计算机网络安全工作是一项长期而艰巨的任务,它应该贯彻于整个信息网络的筹划、组成、测试的全过程。
本文分析网络安全存在的问题,总结安全问题的特点,并提出网络安全管理技术。
关键词:
计算机,网络安全,安全管理技术
Abstract
Withtherapiddevelopmentofcomputerinformationtechnology,computernetworkshavebecomeincreasinglyanimportantinformationmediumofexchangeinagriculture,industry,tertiaryindustryandthedefenseindustry,andpenetratedintoeverycornerofsociallife.Therefore,acertainunderstandingofcomputernetworksecurity,andtheimperativetotakestrongsecuritymeasures.Computernetworksecurityworkisalongandarduoustask,itshouldcarryoutintheplanningoftheentireinformationnetwork,composedof,thewholeprocessoftesting.Thispaperanalyzestheexistingnetworksecurityproblem,summarizesthecharacteristicsofthesecurityissues,andproposednetworksecurity
managementtechnology.
Keywords:
computer,networksecurity,securitymanagementtechnology
目录
摘要Ⅰ
ABSTRACTⅡ
1引言1
2计算机网络面临的安全问题1
3影响计算机安全的因素1
3.1计算机网络实体安全的因素1
3.2计算机网络信息系统安全的因素2
4影响计算机网络系统安全的因素2
5计算机网络安全问题的特点及考虑安全的一般原则2
5.1安全威胁的隐蔽性、潜在性因素2
5.2网络安全的相对性2
5.3网络安全涉及多学科领域范围2
5.4危害面广3
6计算机网络信息安全管理技术3
6.1建立规范的网络秩序3
6.2加强入网的访问控制3
6.3防火墙技术3
6.3.1网络级防火墙3
6.3.2应用级网关4
6.3.3电路级网关4
6.3.4规则检查防火墙4
6.4加密技术5
6.5入侵检测技术5
6.6备份系统5
6.7身份验证技术身份验证技术5
6.8网络防病毒技术6
7结束语7
参考文献8
1引言
随着计算机网络的发展,网络中的安全问题也日益严重。
当网络的用户来自社会各个阶层与部门时,大量在网络中的存储和传输的数据就需要保护。
随着计算机网络规模的不断扩大以及新的应用(如电子商务、远程医疗等)不断涌现,威胁网络安全的潜在危险性也在增加,使得网络安全问题日趋复杂。
对网络系统及其数据安全的挑战也随之增加。
网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。
网络安全问题往往具有伴随性,即伴随网络的扩张和功能的丰富,网络安全问题会随之变得更加复杂和多样,网络系统随时都会面临新出现的漏洞和隐患,所以网络安全问题是为保障信息安全随时需要考虑的问题。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
2计算机网络面临的安全问题
计算机网络安全面临的安全问题主要包括计算机网络实体安全和计算机网络信息系统安全。
3影响计算机安全的因素
3.1计算机网络实体安全的因素
计算机网络实体安全即是为了保证计算机网络能安全可靠地运行,并确保在对信息采集、处理、传输、存贮过程中,不致受到人为或自然因素的危害,使信自、丢失、泄漏或被破坏.所谓信息泄漏,是指信息被他人故意窃取或偶然地获取;“信息破坏”指由于偶然因素(硬件或软件故障)与故意破坏.用不正当手段故意泄漏或破坏他人信息的行为扰是通常所说的“计算机犯罪.”人为和自然因素的危害包括:
自然灾害(火灾、水灾、地震等);人为破环;违反操作规程;计算机犯罪等.其中计算机犯罪是危害最大也是最难控制的.计算机网络由于覆盖的地理范围广,进网用户多、资源共享程度高,因此所面临的威胁和攻击是错综复杂的.计算机不管用什么方式进行通信,都离不开作为基砒的计算机硬件设备,一个计算机网进行通信时,一般都包括处理机、转换器、调制解调器、网络接口、通信电路、终端等一些基本部件,这些部件是通信网的前提,是文件传递的渠返.也是窃密者的注意目标.计算机罪犯往往是通过对网络中设备的攻击,达到既危及设备又获得机密信息的目的.因此,网络面临的主要威胁有:
辐射,窃听,非法终端,线路干扰引起数据错误,意外的原因,非法人侵。
3.2计算机网络信息系统安全的因素
计算机网络信息安全包括网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常地运行,网络服务不中断。
计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。
目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。
在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。
蠕虫、后门、Rootkits、DOS和Sniffer是大家熟悉的几种黑客攻击手段。
这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。
这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。
从Web程序的控制程序到内核级Rootlets。
4影响计算机网络系统安全的因素
1)病毒攻击
2)软件漏洞
3)管理人员不当操作
5计算机网络安全问题的特点
5.1安全威胁的隐蔽性、潜在性因素
许多威胁(诸如窃取、侦听、投病毒等)是隐蔽的,防范的对象是广泛的,难以明确的.即潜在的,这就增加了保证安全的难度.
5.2网络安全的相对性
因为很难建立一个绝对安全的网络,因此网络安全时刻有风险,网络安全标准和措施是
在多种因素中找一种平衡,这本身就造成了一种危险概率.另外,安全措施与系统使用的灵活性、方便性也是有矛盾的.
5.3网络安全涉及多学科领域范围
既有社会科学,又有自然科学和技术.进网的用户越多,电子技术越发展,对网络进攻的
手段越是日益巧妙和多样性,且犯罪时间短,作案远离现场,不易被发现.增加了保证安全的难度.
5.4危害面广
网络的不安全远大于单机系统,任意有意或无意的攻击都有可能使联于网上的成百上千电脑瘫痪。
6计算机网络信息安全管理技术
6.1建立规范的网络秩序
建立规范的网络秩序,需要不断完善法制,探索网络空间所体现的需求和原则,为规范网络空间秩序确定法律框架;建立规范的网络秩序,还要在道德和文化层面确定每个使用网络者的义务,每个人必须对其网络行为承担法律和道德责任是规范网络秩序的一个重要准则;建立规范的网络秩序,需要在法制基础上建立打击各类网络犯罪有效机制和手段。
6.2加强入网的访问控制
入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。
对用户账号、口令应作严格的规定,如:
口令和账号要尽可能地长,数字和字母混合,避免用生日、身份证号等常见数字作口令,尽量复杂化,而且要定期更新,以防他人窃取。
目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。
USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。
因此,大大增强了用户使用信息的安全性。
6.3防火墙技术
“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。
它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
实现防火墙的技术包括四大类:
网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
6.3.1网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。
一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。
包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。
其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
6.3.2应用级网关
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。
应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。
在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
6.3.3电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
实际上电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等产品。
另外,电路级网关还提供一个重要的安全功能:
代理服务器(ProxyServer),代理服务器是个防火墙,在其上运行一个叫做“地址转移”的进程,来将所有你公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。
但是,作为电路级网关也存在着一些缺陷,因为该网关是在会话层工作的,它就无法检查应用层级的数据包。
6.3.4规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。
它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。
它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。
当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。
6.4加密技术
网络加密技术是网络安全最有效的技术之一。
一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有链路加密,端点加密和节点加密三种。
链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
用户可根据网络情况选择上述三种加密方式。
信息加密过程是由形形色色的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。
在多数情况下,信息加密是保证信息机密性的唯一方法。
据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:
利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。
如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
6.5入侵检测技术
随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。
入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
6.6备份系统
备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。
对系统设备的备份。
备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
6.7身份验证技术身份验证技术
身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。
身份认证是系统查核用户身份证明的过程。
这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。
从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
为了使网络具有是否允许用户存取数据的判别能力,避免出现非法传送、复制或篡改数据等不安全现象,网络需要采用的识别技术。
常用的识别方法有口令、唯一标识符、标记识别等。
口令是最常用的识别用户的方法,通常是由计算机系统随机产生,不易猜测、保密性强,必要时,还可以随时更改,实行固定或不固定使用有效期制度,进一步提高网络使用的安全性;唯一标识符一般用于高度安全的网络系统,采用对存取控制和网络管理实行精确而唯一的标识用户的方法,每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字,且该数字在系统周期内不会被别的用户再度使用;标记识别是一种包括一个随机精确码卡片(如磁卡等)的识别方式,一个标记是一个口令的物理实现,用它来代替系统打入一个口令。
一个用户必须具有一个卡片,但为了提高安全性,可以用于多个口令的使用。
6.8网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。
CIH病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
访问控制也是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。
它主要包括:
身份验证、存取控制、入网访问控制、网络的权限控制、目录级安全控制、属性安全控制等。
计算机信息访问控制技术最早产生于上世纪60年代,随后出现了两种重要的访问控制技术,自主访问控制和强制访问控制。
随着网络的发展,为了满足新的安全需求,今年来出现了以基于角色的访问控制技术,基于任务的访问控制。
7结束语
随着网络和计算机技术日新月异地飞速发展,新的安全问题不断产生和变化。
因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。
同时要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献:
[1]陈月波.网络信息安全[M].武汉:
武汉理工大学出版社,2005.
[2]钟乐海,王朝斌,李艳梅.网络安全技术[M].北京:
电子工业出版社,2003.
[3]李建霞.计算机网络安全与防范[J].中国西部科技,2009,
[4]谢希仁,计算机网络(第5版)北京:
电子工业出版社,2006
[5]冯登国.《计算机通信网络安全》,清华大学出版社,2001
[6]陈斌.《计算机网络安全与防御》,信息技术与网络服务,2006(4):
35-37.
升级会员 