计算机网络信息安全技术探究
来源:用户上传
作者:
摘要:随着网络和计算机技术日新月益的飞速发展,网络信息安全成了新的安全问题,本文根据网络信息安全中常见的隐患,提出了有效的网络信息安全防范措施。
关键词:网络信息 安全技术
计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化。已经成为了信息时代的主要推动力。由于计算机网络的脆弱性,这种高度的依赖性使国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。
一、网络信息安全中常见的隐患
网络信息安全中常见的隐患有恶意攻击、窃取机密攻击、机病毒、非法访问等四种。恶意攻击主要包括缓冲溢出攻击拒绝服务攻击,分布式拒绝服务攻击,硬件设备破坏型攻击,网页篡改攻击等。窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络取信息。常见的形式有网络踩点协议栈指纹鉴别、信息流,会话劫持等。计算机病毒是指为了某种目的而蓄意编制的计算机程序,在实际系统中生存,自我复制和传播。并且给计算机系统造重的损坏。非法访问包括口令破解、1P欺骗、特洛伊木马等。
二、影响计算机网络安全的主要因素
1.固有的安全漏洞。新的操作系统或应用软件刚一上市,漏洞就已被找出,没有任何一个系统可以排除漏洞的存在,如缓冲区溢出、拒绝服务等。
2.网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
3.网络硬件的配置不协调。一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
4.人为因素。如操作员安全配置不当、资源访问控制设置不合理、用户口令选择不慎、用户与别人共享网络资源或将自己的账号转借他人以及内部人员有意或无意泄密、内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息、内部人员破坏网络系统等都会对网络安全带来威胁。
三、安全防范措施
1、采用身份鉴别技术
鉴别的目的是验明用户或信息的身份,对实体身份进行识别。以便验证其访问请求、或保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性,有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息源鉴别和通信双方相互鉴别;按照鉴别内容的不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份,防治冒充、非法访问;利用单方数字签名,可实现消息源鉴别,访问身份鉴别、消息完整性鉴别。利用收发双方数字签名,可同时实现收发双方身份鉴别、消息完整性鉴别。
2、防火墙与IDS(入侵检测系统)
本着经济、高效的原则,有必要将关键主机和关键网段用防火墙隔离,形成级防护体系,以实现对系统的访问控制和安全的集中管理。在企业网出口处放置防火墙,防止Internet或者本企业外的网络攻击企业网;在安全性要求高的部门与企业网接口处放置防火墙,将该部门与企业网隔离,防止企业内对该部门的攻击。防火墙针对非法访问攻击进行限制,对进出防火墙的攻击进行检测并防御,而网络内部用户之问的攻击不经过防火墙,防火墙没有办法去防止。而IDS(人侵检测系统)作为旁路监听设备,放置在需要保护的网络之中,针对合法访问形成的攻击进行检测。当网络内部有攻击出现时,IDS提供实时的人侵检测,将信息交给防火墙,由防火墙对这些攻击进行控制、隔离或断开。所以对于一个安全的网络,IDS是必不可少的。
3、安装入侵检测系统
通常将未经授权的访问或对信息进行非法操作的行为定义为人侵。入侵检测就是对这种行为进行监控并发现的过程。网络入侵检测系统就是帮助网络管理员发现这些入侵行为的辅助工具。网络入侵检测系统是集成在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、数据流量分析、报告生成等多项功能的分布式计算机安全系统,不仅能即时监控网络资源运行状况,为网络管理员提供网络入侵防范解决方案,及时发出网络入侵预警,使得黑客人侵变得有迹可寻,通过对内部网络系统进行实时监控与阻断响应,为用户采取进一步行动提供了强有力的技术支持。
4、合理设计网络系统结构
全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务,应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时采用网络分段技术将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段2种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通。另外,以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
5、隐藏IP地址
IP地址在网络安全上是一个很重要的概念,如果攻击者知道了IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻。隐藏IP地址的主要方法是使用代理服务器。使用代理服务器后,其它用户只能探测到代理服务器的IP地址,而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
6、防范网络病毒
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有合适的全方位防病毒产品如果是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。
总之,网络安全不仅仅是技术问题,同时也是一个安全管理问题,因此,网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。
参考文献:
[1]赵晓敏、赵常林.计算机网络安全技术研究[J].鸡西大学学报,2007,(02)
[2]仇宇.Intemet网络安全与防火墙技术的探讨[J].绵阳师范学院学报,2004,(05)
[3]吴昌伦、王毅刚.信息安全管理概论[M].机械工业出版社,2002.4
转载注明来源:https://www.xzbu.com/9/view-1029547.htm