论文摘要:本文在阐述计算机网络的基础上分析了当前计算机系统安全及网络安全等问题,提出了一些相应的防范措施,提出了计算机网络信息安全应注重研究的几个问题。
随着国际互联网的迅猛发展,世界各国遭受计算机病毒感染和黑客攻击的事件屡屡发生,严重地干扰了正常的人类社会生活。因此,加强网络的安全显得越来越重要,防范计算机病毒将越来越受到世界各国的高度重视。
一、计算机病毒
计算机病毒就是指编制或在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。计算机病毒的特性表现为传染性、隐蔽性、潜伏性和破坏性。计算机病毒的检测方法主要有人工方法、自动检测(用反病毒软件)和防病毒卡。
二、计算机系统安全
计算机信息系统的安全保护包括计算机的物理组成部分、信息和功能的安全保护。
1、实体安全
计算机主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求。系统软件应具备以下安全措施:操作系统应有较完善的存取控制功能,以防止用户越权存取信息;应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写;还应有较完善的管理能力,以记录系统的运行情况,监测对数据文件的存取。
2、输入输出控制
数据处理部门的输出控制应有专人负责,数据输出文件在发到用户之前,应由数据处理部门进行审核,输出文件的发放应有完备手续,计算机识别用户的最常用的方法是口令,所以须对口令的产生、登记、更换期限实行严格管理。系统应能跟踪各种非法请求并记录某些文件的使用情况,识别非法用户的终端。计算机系统必须有完整的日志记录,每次成功地使用,都要记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修改前后的数据值。
三、网络安全
计算机网络安全的目标是在安全性和通信方便性之间建立平衡。计算机的安全程度应当有一个从低、中到高的多层次的安全系统,分别对不同重要性的信息资料给与不同级别的保护。
1、计算机网络安全现状
计算机网络安全具有三个特性:
⑴保密性:网络资源只能由授权实体存取。⑵完整性:信息在存储或传输时不被修改、信息包完整;不能被未授权的第二方修改。⑶可用性:包括对静态信息的可操作性及对动态信息内容的可见性。
2、计算机网络安全缺陷
⑴操作系统的漏洞:操作系统是一个复杂的软件包,操作系统最大的漏洞是I/O处理——I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。⑵TCP/IP 协议的漏洞:TCP/IP协议由于采用明文传输,在传输过程中,攻击者可以截取电子邮件进行攻击,通过在网页中输入口令或填写个人资料也很容易攻击。⑶应用系统安全漏洞:WEB服务器和浏览器难以保障安全,很多人在编CGI 程序时不是新编程序,而是对程序加以适当的修改。这样一来,很多CGI 程序就难免具有相同安全漏洞。⑷安全管理的漏洞:缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等,对网络安全都会产生威胁。
3、计算机网络安全机制应具有的功能
网络安全机制应具有身份识别、存取权限控制、数字签名、审计追踪、密钥管理等功能。
4、计算机网络安全常用的防治技术
⑴加密技术:加密在网络上的作用就是防止重要信息在网络上被拦截和窃取。加密技术是实现保密性的主要手段,采用这种技术可以把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式,并以密文形式将信息在线路上传输,到达目的端口后将密文还原成明文。常见的加密技术分单密钥密码技术和公开密钥技术两种。这两种加密技术在不同方面各具优势,通常将这两种加密技术结合在一起使用。⑵防火墙技术:所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。实现防火墙的技术包括四大类——网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。防火墙的作用是防止外部用户非法使用内部网络资源,并且保护内部网络的设备不受破坏,防止内部网络的主要数据被窃取。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查,来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。
四、结论
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进、功能上更全面。而计算机网络安全是计算机技术快速发展过程中日益突出的问题,目前中国的科研机构正广泛开展这一方面研究,主要是反病毒研究、反黑客问题研究、计算机网络防火墙技术、加密技术、安全机制。到时,计算网络就会得到更安全的保障。
参考文献
1、陈立新:《计算机:病毒防治百事通》[M],北京:清华大学出版社,2001
关键词:计算机网络;安全设计;系统管理
中图分类号:TP 文献标识码:A 文章编号:1009-914x(2014)02-01-01
一 计算机网络设计的信息安全
当今世界信息的快速传播得益于计算机网络的发展,计算机网络在运用方面最主要的还是在信息的传播上。因此,计算机网络的安全设计上,信息安全应该被摆在第一位,信息安全包括信息的保密、信息的不被盗用等等。计算机网络安全可以说就是信息的安全,计算机网络设计有义务使信息得到安全防护。
(一)计算机网络信息安全设计浅析
计算机网络设计有着繁琐的设计程序,其主要在技术上要求比较高,其特征有关联性、开放性和多样性。因为特征复杂,在安全设计上就要下一定的功夫。在普遍的传输方式上面有着两种网络模式:广域网与局域网。传送路径的差异,在对网络设计的潜在安全要求就不同。在各种安全因素交织的情况下,网络信息的安全设计考虑的范围广阔,对差异安全问题采取的设计方案就要有所针对性,并进行全方面的系统设计。
(二)网络安全设计的信息储存
网络安全设计应该做到信息存储安全,网络信息存在状态为传播与储存。在储存安全性上,要保证储存信息的整体性和秘密性,而且可控与可用。注重储存位置与安全是信息储存的重要方面。
在现实生活中,计算机网络信息储存易受到以下两方面的攻击:1.非法访问。计算机网络的非法访问大多隐蔽性强,防止了安全设置的的阻挡,未经授权用户进行非法访问加密文件极易造成信息的泄密。被入侵的信息可能不会直接泄密,但是破坏较为严重,信息失去了其完整性。2.基础性的物理硬件设备的破坏与故障。计算机网络信息储存遭到破坏后,信息发生丢失与毁坏的可能性极大,信息完整性丧失,不再可用,失去现实有效性。
为了解决上述安全风险,保护网络信息的储存,经研究,可采用以下设计:1.重视对物理基础硬件设施的保养。信息安全储存应该重视硬件设备的保养,如果硬件设备一旦损坏或丢失,往往造成无法弥补的后果,所以,对硬件设备的保护应该受到应有的重视。2.设置信息访问权。从信息安全的访问要件与非法访问引起的严重后果来看,首先应该在信息访问上设定安全级别,进行有针对性的设计与控制。作为防止非法访问的重要手段,安全访问的信息访问权设定可采用系统控制与个人设置控制融合使用。可采用的方式多为访问用户信息判别、安全等级设计、访问跟踪设定、安全文件控制和物理推理位置。此外可下载防毒软件控制及文件的加密等方式来维护储存安全。作为挽救办法,可以采用数据云备份或加密等手段,预防非法访问后计算机信息储存完整性的破坏。
二 网络的信息安全设计
计算机网络的信息安全保障很多层面上得益于计算机网络的分层结构,如局域网的安全,最主要的是数据链路层的设计。数据链路层是局域网用户间相互交流的桥梁,统一光缆为计算机建立局域网提供了条件。保护局域网的前提首先应保护数据链路层。而对其原理的把握,可在设计上提供有效借鉴。
数据链路层及用桥接设备把中继器相连,形成特定网段的整体。分组广播是数据传播的主要方式,MAC、信道共享对于接收与否定也是通过分组广播进行的。为确保信息安全,应该以信息的防泄密、加密传播与加密的设计为主要方式。
三 计算机网络安全之系统化管理
计算机的系统化管理即用户进行的安全管理与设置。与计算机网络设计以技术人员不同,系统化管理以用户为主体。用户要想有效的管理计算机,一般应当进行安全体系的认证:1.安全证书认证。以国际标准开发的安全认证具有加密性。组成部分为注册、签发、、查询和备份系统。2.目录服务器。这是访问控制的基础,因其可用性强,在用户的管理体系当中居于核心地位。3.服务器上的确证。用户大多采用内部访问的方式进行。用户设置访问授权与认证,可提高访问的安全与平稳。
Windows系统是现代计算机网络系统的主流,以该系统为例,用户应该着重注意几方面:1.登录系统管理。登录是用户使用计算机的前提,用户可设置账号进行登录。登录的安全方面主要考虑授权密码登录,用户设置授权登录许可与禁止。对于强制性登录而言,可设置审核程序,再允许继续操作。2.账号与密码管理。用户可以管理员身份设置Admini5trator,再进行其他操作。用户可以安全保密性的需要自行设置账号与密码。或文件不需安全设置,也可Admini5trator修改账户或删除。3.多用户管理设置。多用户管理一般是以资源共享为目的,是对网络中存在用户账户而言的。用户在进行此操作时,应慎重考虑个人文件安全重要性。
四 结语
因计算机网络有开放性和高速的传播性。网络安全设计主要考虑的范围为信息的传输安全及存储安全。存储设计以分层结构为原理,主要是数据链路层的设计。对于用户而言,计算机系统的安全管理也是不可忽视的。安全管理主要涉及账户设置及访问密码设置上。
参考文献:
[1] 苏广文,高翔,高德远等.计算机网络三维安全模型[J].微电子学与计算机,2002,19(1):47-46,53.
[2] 高翔,王敏,苏广文等.计算机网络综合安全模型[C].//中国计算机学会网络与数据通信学术会议论文集.2002:451-455.
[3] 张世民.计算机网络的安全设计与系统化管理探究[J].煤炭技术,2013,(6):224-225,226.
关键词: 网络技术 设计 安全
随着计算机在社会中的地位越来越高,网络技术已广泛应用于各个领域,各个单位的计算机软件、硬件资源也同样得到了充分的发挥。局域网LAN是计算机网络系统的一种,它指的是在较小的地理范围内,将有限的通信设备互联起来的计算机网络。广域网简称WAN,是一种地域跨越大的网络,通常包括一个国家或州,主机通过通信子网连接。通信子网的功能是把消息从一台主机传到另有一台主机。无论是局域网还是广域网都要具有安全性,安全性是互联网技术中很关键也是很容易被忽略的问题。曾经有许多组织当受到网络安全的威胁时,才开始重视和采取相应的措施。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。因此,我们在设计、规划一个计算机网络时,要从局域网和广域网这2个方面保证安全性和可用性来加以考虑和研究。
1 局域网系统设计的总体原则
我们依据计算机网络实验室建设的先进实用性、符合标准性、开放性、灵活可扩充性、安全可靠性的设计原则,以标准化、规范化为前提,开展系统分析和系统设计。
1)开放性原则。只有开放的、符合国际标准的网络系统才能够实现多厂家产品的互联,才能实现网络系统同其它单位及其它系统的互联。
2)可扩充性原则。具有良好扩充性的网络系统,可以通过产品升级,采用新技术来扩充现有的网络系统,以减少投资。
3)可靠性原则。网络平台必须具有一定的可靠和容错能力,保障在意外情况下,不中断用户的正常工作。
4)可管理性原则。网络系统应支持SNMP(简单网管协议),便于维护人员通过网管软件随时监视网络的运行状况。
2 广域网接入的设计
目前,广域网的常用接入技术主要有:电话线调制解调器(Modern)、电缆调制解调器(Cable Modern)、ISDN、DDN、ADSL(非对称数字用户环网)、无线微波接入等。
根据目前电信行业的发展状况和计算机室的需求,我们认为可以采用以下3种接入方式:
1)通过校园网接入Internet;
2)运用ADSL技术通过中国公用信息网接入Internet;
3)运用DDN技术通过中国公用信息网接入Internet。
3 计算机网络系统的安全问题
1)结构方面
为了保证计算机网络的安全,网络结构采取了以下措施:物理层上,服务器与交换机的连接采用冗余连接的方法,既可以保证链路上无断点故障,又能均衡网络流量,减少拥塞的发生,使信息传输比较畅通,有效减少数据丢失。网络层安全通过正确设计拓扑结构,将计算机室网络划分为内、外两个网段。一方面通过合理配置路由器的访问控制列表,设置地址转换功能,利用路由器充当外部防火墙,防止来自Internet的外部入侵;另一方面,在内、外网段间添加服务器,利用服务器充当内部防火墙,即可以屏蔽计算机室内部网络结构,防止来自Internet的外部入侵,又可以通过正确使用加密模块,防止来自内部的破坏。
2)综合布线方面
应考虑网络布线设计的可靠性。双绞线布线,应保证其与电力导线平行铺设间距大于0.5m,以防止电磁干扰;所布线长度应保证比Hub到工作台实际距离略长,但又不可留的太长,5类线的传输距离为90m,考虑到各种干扰,实际布线长度不应大于75m。
3)电源和消防报警方面
1.1是表现在软件与硬件技术上的不完善
计算机网络的软、硬件数据保护着计算机网络系统的安全,但因在设计过程中,由于认识能力、知识水平以及当代的科学发展水平的限制,留下了部分技术方面的缺陷,导致无法全面确保计算机网络系统安全,使得网络安全游离于潜在风险之中。也就是说,任何人在没有任何身份验证的情况下,都可以将任何信息放在网络上共享。人们并没有清晰意识到这种极大范围的资源共享途径是否真正安全,信息本身或信息传输的过程中是否存在某种安全风险等等。
1.2是存在于系统内部的潜在安全威胁
计算机网络的安全不仅受到外部风险的冲击,同时还存在来自系统内部的威胁。具体地说,系统内部威胁主要可划分为三大板块:一是人为因素形成的安全漏洞。比如某一网络管理员因个人原因泄露了某条应用程序的操作口令,更改了网络设置和记录信息,从而导致硬盘上某些文件被人恶意利用。二是系统与通信线路形成的安全漏洞。在计算机内部编程的过程中,由于人们认识和思维的局限,导致计算机网络系统及通信线路在设计初期就已经埋下安全隐患,从而容易受外来攻击的破坏。三是系统软硬件设备使用不当形成的漏洞。计算机网络系统的软、硬件就是系统内的安全管家,但由于使用者不恰当的操作致使系统内软、硬件受损而无法发挥应有作用;同时,还存在设计疏漏,导致运行过程中无法辨认部分病毒的情形存在。
1.3是计算机病毒带来的直接与潜在影响
计算机病毒是指人为编制或在计算机程序中植入的一种破坏计算机正常运行或破坏计算机内部数据,是一种具有自我复制能力的一组计算机指令或程度代码。属性不同,病毒的破坏性、复制性与传染性也不相同。计算机一旦遭到病毒入侵,则会破坏计算机系统,影响计算机的运行速度,甚至造成整个计算机网络瘫痪,给人们带了不便的同时,还有可能造成巨大的经济损失。需要注意的是,病毒通常不是独立存在的,多数隐藏在计算机程序中进行“暗地”复制和破坏。
1.4是关乎于网络安全监管体系的缺失
计算机网络作为一种年轻的产品进入人们的生活,虽然我国已初步建立部分计算机网络安全管理系统,但仍旧缺失严格的网络安全监管体系,主要体现为:一方面是计算机网络安全管理机构的不健全,比如在出现某些网络安全问题后,并没有相应的机构能够有权并及时的处理相关事宜,遑论防患于未然;另一方面是部分已建立的基本计算机网络安全管理机构却因职责权分配不明确,防护意识淡薄,遇到问题相互推诿,难以起到预防与治疗的效果。等等这些都使得计算机网络安全监管漏洞百出,最终导致网络危机日益加重,严重影响着计算机网络的安全。
2维护计算机网络安全的有效方法
2.1指导网络安全与道德教育与宣传
通过网络安全教育宣传,能增强人们的网络道德意识,在提升道德水平的同时,也能提高对网络信息的分析能力,进而形成对网络中不良信息的免疫力与抵制力。同时,还能帮助计算机用户以及网络管理员认识到计算机网络安全的重要性,进而掌握必要的计算机安全防护措施。譬如,定期安排人员进行计算机系统体检、木马查杀、垃圾清理等,能及早发现计算机的安全威胁因素,做好应对防护工作,防止计算机网络受到外部不安全因素的侵袭,有效实现计算机网络的安全。
2.2指导强化操作系统自身安全性能
由于计算机网络系统的开放性,任何信息都能随意进入其中,无形中为计算机操作系统埋下了很多安全威胁。由此,为了强化操作系统本身的安全性能,笔者建议可在系统中安装“NTFS”格式文件的操作系统,这类系统对各种文件开展权限设置,能防止用户非法使用网络信息资源。同时,在设置操作系统管理员账号和密码时,建议改成由字母、数字与其他特殊符号组合起来的高保密度的复杂密码,以防止密码被破解。此外,在日常使用中,还应定期对操作系统进行维护,及时进行计算机系统体检,一旦检查出病毒或漏洞,应立即杀毒并安装相应补丁程序。再有就是建立安全系数高的网络服务器,如在安装操作系统时拒绝默认共享,在源头切断默认共享可能带来的不安全因素,加强操作系统本身的安全性能。
2.3指导防范计算机病毒入侵与查杀
计算机病毒凭借其“全面”特性可以做到无孔不入,由此,防患于未然,预防计算机病毒首要工作即是安装强大的防病毒软件,并定期对系统进行查杀与软件的升级。同时,采用绿色上网也是防止计算机中病毒的有效手段,如访问正规网站,下载正版软件,对于外来文件进行扫描确保无病毒后再使用,藉此切断计算机病毒来源。需要注意的是,如遇清除不了的顽固病毒,应反复查杀,还可以将其上传到专业杀毒网站,寻求相关专家帮助以更好地解决问题。
2.4指导预防网络黑客入侵反查技术
黑客攻击的方式,通常依靠计算机网络端口和远程软件开展攻击,采用收集信息、选择目标、攻击程序等方式对用户计算机网络实施破坏。所以,在计算机运行过程中应及时关闭不用的网络端口,不给黑客攻击留有“后门”。时下常见的几款黑客远程控制软件有:黑洞、灰鸽子、木马程序、网络神偷等。现实中,黑客侵入网络的目的,多为盗用计算机用户相关账户和密码等,在获取这些信息后通过系统的身份认证,成为计算机网络的合法用户,进而获得计算机网络资源的使用权进行更深一层次的破坏。比如,部分黑客盗取用户“QQ号”与密码后,冒充原用户来向亲戚、朋友进行诈骗,从而造成不同程度的经济损失与精神伤害。所以,我们必须正确认识到计算机网络系统对身份认证的重要性,定期或不定期的修改计算机用户的账户与密码,结合“密保设置”等辅助功能的运用,规避黑客攻击。此外,还可以借助防火墙技术进行访问限制和隔离网络来控制网络访问权限。在防火墙技术下,计算机内部网络进入和输出以及计算机外部网络进入和输出的数据访问情况都受到了实时监控,能够有效抵制计算机外部网络的黑客侵入。但是,“防火墙”只能够抵挡计算机外部网络的侵袭,无法确保内部网络的绝对安全。所以,必须结合服务器来效隐藏“IP地址”,黑客无法搜获用户真实“IP地址”,自然无法展开网络攻击,这样一来,便可有效防止黑客入侵,保证计算机用户上网安全。
3结语
关键词:计算机网络网络系统安全维护管理技术措施
随着计算机应用的日益广泛,以及信息网络的高速发展,若干功能独立计算机运用信息技术互联起来,逐渐形成了目前快速膨胀的庞大网络系统。计算机网络系统能否安全、稳定、高效地运转已成为与计算机软、硬件发展同等重要的课题。因此,探讨加强和完善计算机网络系统安全问题无疑具有十分重要的现实意义。
1、在网络系统中计算机面临的不安全因素分析
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三方面:
1.1 人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
1.2 人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3 网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
2、加强计算机网络维护管理是确保系统安全的重要前提
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
2.1 对硬件的维护
首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。
2.2 对软件的维护
软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器对路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为:对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为在网络中一个很小的数据包,却需要几百甚至几千毫秒来传输,也就是传输文件速度过慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因此,加强计算机网络系统的维护对提高网络的安全稳定性很有必要。
3、提升计算机网络系统安全应采取的技术防范措施探讨
3.1 访问控制
在访问控制中,主要采用的方式是认证系统和访问控制网关、防火墙等操作。对网络资源的边界布置访问控制网关和防火墙,对资源网络内部进行布置认证系统,起到的作用有:(1)用户在使用网络资源时,一定要经过身份认证才能通过,这样就可以确定用户的信息有效性,一旦出现问题可以马上追查到;(2)必须具备基于连接时段的ACL功能,这样可以对各用户在使用网络时的情况进行调控;(3)合理分配网络地址的流量多少,结合用户需求过滤及经授权的访问限制。
3.2 查补漏洞
用户要经常对计算机网络漏洞进行查找、修补以防止攻击、降低破坏程度。(1)系统安全,可以通过agent方式装置与重要的服务器主机相联,可以查出系统安全配置存在的错误和漏洞,并且可以确定黑客攻破系统的方法和途径,提醒用户及时修补。(2)数据库安全,各类软件自身就存在一定的安全隐患,这些可以利用网络对主机数据库进行逐一筛选,对可能存在的安全漏洞进行预测,如:口令密码、账号密码、用户设置等,以判断系统是否安全,并提出相应的安全措施。(3)网络,可以通过网络系统进行“黑箱”评估,并结合相关软件存储的攻击方式来检查网络系统,一旦出现异常要及时进行修补调整。
3.3 属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
4、结语
总之,为保障网络安全,不仅要强化计算机网络系统管理,还要应用防火墙技术、数据加密技术,并在计算机上设置入侵检测系统、物理隔离网闸,此外,还要建立一个良好的计算机网络安全系统,提高计算机安全意识,这样才能尽可能的降低损失,最终确保网络系统的安全。
关键词:计算机网络;系统安全;管理
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
On the Computer Network System Security and Management
Shi Jiye
(Jinan Iron and Steel Group Co.,Ltd.hot rolling plant,Jinan250101,China)
Abstract:A perfect network management system and effective network security strategy is a computer network can be reliably and ensure stable operation,but also analyze network performance based on.This article has first analyzed the computer network system safety risk,secondly,how to effectively strengthen the security of computer network system and management are discussed deeply,put forward their proposals and views,with some reference value.
Keywords:Computer network;System security;Management
一、前言
随着计算机的普及和计算机技术、通信技术的发展,网络也就越来越快的走进我们,计算机网络的发展,不仅仅只是一个工具的进步,更多的是成为一种文化、一种生活融入到社会各个领域。计算机网络的规模越来越大,结构也越来越复杂,计算机网络技术也变得越来越重要,对于计算机网络使用安全稳定性要求更高。一个完善的网络管理系统和有效的网络安全策略是计算机网络能够可靠且稳定运行的保证,也是进行网络性能分析的依据。这就需要我们进一步学习如何管理计算机网络,如何建立一个有效的、满足要求的、安全的网络系统。
二、计算机网络系统安全存在的风险
(一)来自内部局域网的风险。据调查统计,在已经发生过的网络系统安全事件中,大概有百分之七十以上的攻击是来自于内部。所以内部局域网的安全风险更为严重。由于企事业单位员工对自身单位的网络应用、网络结构都比较熟悉,在泄露信息或者攻击计算机网络系统时,都容易形成内外勾结,使系统受到最致命的攻击。
(二)管理安全风险。部分单位职工的计算机网络系统安全意识薄弱,而单位的安全管理体制不是很健全,这也导致计算机网络系统存在安全风险。
(三)来自合作单位的风险。由于业务需要,企事业单位一般要与一些关系密切的单位实现网络互连,例如各家银行、当地联通、移动等单位。因为企业和这些单位之间不可能是完全任信的关系,所以,它们之间的网络互联也导致存在着安全威胁。
三、如何有效加强计算机网络系统安全与管理
(一)切实加强网络管理和安全保障工作。第一,建立和完善网络管理制度。要根据国家有关法规和单位制定的水利信息网络运行维护管理的有关规定要求,建立和完善计算机网络安全管理的规章制度,并切实加以落实。第二,加强计算机网络系统的日常维护工作。要加强对计算机网络设备运行情况的定期检查,发现问题及时解决。建立维护日志,并做好登记。要安排好汛期的网络维护值班人员,随时处置网络突发故障,确保网络安全畅通。第三,重视网络病毒的检查和防范。要及时发现并查杀病毒,及时更新杀毒软件的病毒库。发现大规模计算机病毒时应及时向当地公安部门和上级主管部门报告。第四,制订应急预案。对重要的网络设备和电源等应做好冗余备份,并开展针对性应急演练。
(二)加强计算机网络系统安全规章制度建设。有效加强计算机网络系统安全与管理,关键在于计算机网络系统安全规章制度建设。制度应该规定每个单位必须设置计算机网络系统维护员,专人负责对网络和系统设备进行检测和维护,保持各种设施整洁干净,认真做好设备检查,对不正常的运行状况或操作及时发现并纠正,保证设备处于良好功能状态,网络运行安全稳定,并有权监督和制止一切违反计算机网络安全的行为。对服务器及网络必须严密防护,包括网络软、硬件,防止非法用户侵入。不得擅自在终端机上启用其他软件,系统维护员每月进行一次数据库维护及数据备份。对服务器参数进行调整或更改,必须经单位领导批准,管理人员应严格填写工作记录。做好防范计算机病毒和危害网络系统安全的工作,采取有效的病毒感染防范措施,杜绝网上病毒感染的现象发生。所有进入网络使用的软盘(U盘),必须经过严格杀毒处理;所有局域网计算机绝对禁止与其他公共网络直接连接。计算机及网络系统所有设备的配置、安装、调试必须由指定专人负责,其他人员不得随意拆卸和移动。严禁擅自拷贝或借用系统的设备及密码、技术资料。计算机系统设施附近实施房屋维修、改造及其他活动,不得危害计算机网络系统的安全。如无法避免影响计算机网络系统设施安全的作业,须事先通知办公室,采取相应的保护措施后,方可实施作业。
(三)强化访问控制,力争计算机网络系统运行正常。计算机网络系统安全防范和保护的主要措施之一就是访问控制,它的目的在于保证网络资源能够不被非法用户进行非法访问和非法使用,这同时也是网络安全中的核心策略之一。计算机网络系统管理员可以限制和控制普通用户访问网络的方式、时间、账号使用等。用户账号或用户名是所有计算机系统中最为基础的安全方式。用户口令应该是用户访问网络的时候,所必须提交的“证件”。用户可以任意修改自己的口令和密码,但系统管理员应该控制口令的以下几个方面的限制:口令的唯一性、修改口令的时间间隔、最小口令长度、口令过期失效后允许入网的宽限次数等。
(四)加强对网络边界区域的防范措施。内部网络访问互联网的边界即是网络边界区域,同时也是病毒入侵的关键区域。病毒一般通过MSN、QQ、网页、Email和等传播渠道来进入,在网络边界区域对病毒源进行有效的控制,是遏制黑客攻击、病毒感染的最有效的方法。已部署的防火墙只能够起到内部用户来对因特网进行访问的作用,而无法对病毒进行过滤和控制,所以极有必要在防火墙的前端部署上防毒墙。防毒墙是硬件级的网络杀毒设备,其目的在于过滤和检测已经进入到内网的数据,并且对恶意病毒进行阻断和查杀之后,才可以再经过防火墙进入到内部网络。
【关键词】计算机网络;系统安全;网络权限;防范
随着网络时代的来临,人们在享受着网络带来无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。因此,如何全面了解影响计算机网络安全的因素,强化安全防范措施,使计算机网络系统更好地发挥其应有作用,是网络安全管理者亟待解决的问题。
一、影响计算机网络安全的因素
1.网络系统安全策略。由于网络系统设计不规范、不合理以及缺乏安全性考虑,致使网络系统的稳定性和可扩充性受到影响。
2.硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
3.后门和木马程序。后门的功能主要有:使管理员无法阻止种植者再次进入系统、使种植者在系统中不易被发现、使种植者进入系统花费最少时间。
4.计算机病毒。计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
5.应用系统安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对原程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。
二、确保计算机网络安全的防范措施
1.突出顶层设计,重点考虑计算机网络安全策略问题。
安全策略是一个成功的网络安全体系的基础与核心。安全策略包括网络拓扑结构和为了网络安全、稳定、可持续发展能够承受的安全风险,以及保护对象的安全优先级等方面的内容。
2.加强设施管理,确保计算机网络系统实体安全。
建立健全安全管理制度,防止非法用户进入计算机控制室;着重在保护计算机系统、网络服务器、打印机等外部设备和通信链路上下功夫,并不定期的对运行环境进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
3.强化访问控制,力促计算机网络系统运行正常。
访问控制是网络安全防范和保护的主要措施,它的任务是保证网络资源不被非法用户使用和访问,是网络安全最重要的核心策略之一,要突出抓好以下几项内容。
第一,建立入网访问控制功能模块。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个过程:用户名的识别与验证;用户口令的识别与验证;用户帐号的检查。在三个过程中如果其中一个不能成立,系统就视为非法用户,不能访问该网络。
第二,建立网络权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为三种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。
第四,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装防非法访问设备等。防非法访问装置最有效的设施是防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。
第五,建立档案信息加密制度。保密性是计算机系统安全的一个重要方面,主要是利用密码信息对加密数据进行处理,防止数据非法泄漏。利用计算机进行数据处理可大大提高工作效率,但在保密信息的收集、处理、使用和传输同时,也增加了泄密的可能性。因此对要传输的信息和存储在各种介质上的数据按密级进行加密是行之有效的保护措施之一。
第六,建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中,日志将记录自某用户登录时起,到其退出系统时止,其所执行的所有操作,包括登录失败操作,对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户、执行操作的机器IP地址、操作类型、操作对象及操作执行时间等,以备日后审计核查之用。
第七,建立完善的备份及恢复机制。为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
随着信息与网络技术的飞速发展,网络的安全问题将会变得日益严重起来。黑客的攻击、病毒的骚扰、信息的安全,巨大的经济利益和潜伏着的危机使我们必须高度重视网络安全、严格加强防范,切实增进网络安全系数。科学、有效的安全防范措施,可以尽最大可能地保证网络连续、稳定、安全和高效的运行。
参考文献:
关键词:计算机网络;系统安全;维护
中图分类号:G642 文献标识码:A文章编号:1003-2851(2011)08-0-01
一、计算机网络系统安全概述
计算机网络系统安全主要包括三个方面的内容:安全性、保密性、完整性。从系统安全的内容出发,计算机网络系统中安全机制基本的任务是访问控制:即授权、确定访问权限、实施访问权限、计算机网络审计跟踪。
二、影响计算机网络系统安全的因素
(一)自然因素
1.软件漏洞。任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。
2.病毒攻击。因为企业网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工”并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。
(二)人为因素
1.操作失误。操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。
三、计算机网络系统安全维护策略
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性等特点。计算机网络安全保护的重点应在以下两个方面:一是计算机病毒,二是黑客的入侵。
(一)计算机病毒的防御
防御计算机病毒应该从两个方面着手,首先应该加强内部网络管理人员以及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下:
1.权限设置,口令控制。很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
2.简易安装,集中管理。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
3.实时杀毒,报警隔离。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。
(二)对黑客攻击的防御
对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略,方法如下:
防火墙构成了系统对外防御的第一道防线。在这里,防火墙是一个小型的防御系统,用来隔离被保护的内部网络,明确定义网络的边界和服务,同时完成授权、访问控制以及安全审计的功能。基本的防火墙技术有以下几种:
1.包过滤路由器。路由器的一个主要功能足转发分组,使之离目的更近。为了转发分组,路由器从IP报头读取目的地址,应用基于表格的路由算法安排分组的出口。过滤路由器在一般路由器的基础上增加了一些新的安全控制功能。绝人多数防火墙系统在它们的体系结构中含了这些路由器,但只足以一种相当随意的方式来允许或禁止通过它的分组,因此它并不能做成一个完整的解决方案。
2.双宿网关。一个双宿网关足一个具有两个网络界面的主机,每个网络界面与它所对应的网络进行了通信。它具有路由器的作用。通常情况下,应用层网关或双宿网关下,他们传递的信息经常是对一特定服务的请求或者对一特定服务的响应。如果认为消息是安全的,那么会将消息转发相应的主机上。用户只能够使用服务器支持的服务。
3.滤主机网关。一个过滤主机网关是由一个双宿网关和一个过滤路由器组成的。防火墙的配置包括一个位于内部网络下的堡垒主机和一个位于堡垒主机和INTERNET之间的过滤路由器。这个系统结构的第一个安全设施是过滤路由器,它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。
四、结语
计算机网络的安全与我们自己的利益息息相关,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,网络管理人员要掌握最先进的技术,把握住计算机网络安全的大门。
关键词:计算机网络;安全威胁;维护策略;预防措施
计算机的系统安全性历来都是人们讨论的主要话题之一。在计算机网络日益扩展和普及的今天,计算机系统安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
一、主要威胁
计算机网络系统被攻击的原因来自多方面的因素,可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成损失等等。目前,计算机信息系统的安全威胁主要来自于以下几类:
(一)计算机病毒
病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒,是指一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序,使他们成为含有该病毒程序的一个拷贝。计算机病毒技术在快速地发展变化之中,而且在一定程度上走在了计算机网络安全技术的前面。专家指出,从木马病毒的编写、传播到出售,整个病毒产业链已经完全互联网化。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失。甚至造成计算机主板等部件的损坏,导致硬件系统完全瘫痪。
(二)黑客的威胁和攻击
计算机信息网络上的黑客攻击事件越演越烈,据(2008瑞星中国大陆地区互联网安全报告》披露,以牟利为目的的黑客产业链已经形成并成为新的暴利产业。在2006的五一“中美黑客大战”中,中美各有上千的网站被涂改。attrition.org曾专门跟踪网站的攻破后的页面,最后由于这种事件太多,有时一天会接到上百个网站被涂改的报告。
(三)其他
其他威胁因素还包括来自内部的攻击、网络犯罪、系统漏洞以及秘密信息的泄漏和修改网络的关键数据等。
二、系统安全维护策略
(一)计算机病毒的防御
巧用主动防御技术防范病毒入侵,用户一般都是使用杀毒软件来防御病毒的侵入,但现在年增加千万个未知病毒新病毒,病毒库已经落后了。因此,靠主动防御对付未知病毒新病毒是必然的。实际上,不管什么样的病毒,当其侵入系统后,总是使用各种手段对系统进行渗透和破坏操作。所以对病毒的行为进行准确判断,并抢在其行为发生之前就对其进行拦截。
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,LAN服务器,服务器上的网关,Inter层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒,势必会在LAN上蔓延,而服务器具有了防毒功能,病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉,当在网络中任何一台工作站或服务器上发现病毒时,它都会立即报警通知网络管理员。
(二)对黑客攻击的防御
黑客攻击等威胁行为为什么能经常得逞呢?主要原因在于计算机网络系统内在安全的脆弱性;其次是人们思想麻痹,没有正视黑客入侵所造成的严重后果,因而舍不得投入必要的人力、财力和物力来加强计算机网络的安全性,没有采取有效的安全策略和安全机制。
首先要加强系统本身的防御能力,完善防护设备,如防火墙构成了系统对外防御的第一道防线。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。
堵住系统漏洞要比与安全相关的其它任何策略更有助于确保网络安全。及时地安装补丁程序是很好的维护网络安全的方法。对于系统本身的漏洞,可以安装软件补丁;另外网络管理员还需要做好漏洞防护工作,保护好管理员账户,只有做到这两个基本点才能让我们的网络更加安全。
三、预防措施
从实际应用上看,即使采用了种种安全防御手段,也不能说就万无一失或绝对安全,因此还需要有一些预防措施, 以保证当系统出现故障时,能以最快的速度恢复正常,将损失程度降到最底。这类措施应有:
对日常可能出现的紧急情况要制定相应的应急计划和措施,发生运行故障时,要能快速抢修恢复。
将操作系统 CD 盘留副本保存。由于有一个或者多个备份集,因此可以减少原版CD丢失(损坏)所造成的损失。
当网络管理员或系统管理员调动以后立即修改所有的系统管理员口令。
坚持数据的日常备份制度,系统配置每次修改后及时备份,对于邮件服务器等实时更新的服务器应坚持每日多次备份(至少每小时一次)。
四、结语
网络系统安全作为一项动态工程,它的安全程度会随着时间的变化而发生变化。在信息技术日新月异的今天,需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略。
参考文献:
[1]钱蓉.黑客行为与网络安全,电力机车技术,2002,1,25
[2]关义章,戴宗坤.信息系统安全工程学.四川大学信息安全研究所,2002,12,10
[3]文卫东,李旭晖,朱骁峰,吕慧,余辰,何炎祥.Internet的安全威胁与对策[J].计算机应用.2001年07期
购物车(0)