浅谈计算机网络安全漏洞及防范措施11.docx
《浅谈计算机网络安全漏洞及防范措施11.docx》由会员分享,可在线阅读,更多相关《浅谈计算机网络安全漏洞及防范措施11.docx(10页珍藏版)》请在冰点文库上搜索。
浅谈计算机网络安全漏洞及防范措施11
浅谈计算机网络安全漏洞及防范措施
【摘要】:
本文论述了计算机网络在带给我们生活工作更加便利的同时,也带来了一些我们不容忽视的问题,这些问题带给我们的不仅是工作的不便,还会带来经济方面的困扰,这个问题就是网络安全,本文从系统的安全、应用系统的安全以及管理方面来分析网络安全漏洞带给我们的风险,分析了病毒、黑客、窃听数据、拒绝服务等几种常见的攻击网络的方式,以及通过做好内部网管理、加设防火墙、使用网络加密技术和提高网络主机的操作系统安全和物理安全系数等措施来达到安全防范的目的。
网络安全将是我们日后工作生活的又一个关注点,在今后计算机网络安全维护工作中成为重中之重。
【关键词】:
计算机;网络安全漏洞;防范措施
【目录】
一.网络信息安全1
(一)网络信息安全的涵义1
(二)网络安全问题产生的途径3
二、网络安全风险分析5
(一)系统的安全分析5
(二)应用系统的安全分析5
(三)管理的安全风险分析6
三、典型网络攻击方式分析7
(一)病毒的侵袭7
(二)黑客的非法闯入8
(三)数据"窃听"和拦截9
(四)拒绝服务10
四、计算机网络安全的防范措施12
(一)加强内部网络治理12
(二)网络防火墙技术13
(三)安全加密技术13
(四)网络主机的操作系统安全和物理安全措施13
参考文献15
致谢16
浅谈计算机网络安全漏洞及防范措施
Internet互联网起源于1969年的ARPANET,最初是用于军事目的,1993年才开始用于商业应用,并一发不可收拾快速进入高速发展阶段。
到今天世界各国俨然就是一个地球村,互连网已经覆盖了全世界。
随着计算机网络的普及,应用向深度和广度不断发展,网上办公、网上购物、远程网上教育......,一个网络化社会已经展现在我们面前。
在网络给人们带来巨大便利的同时,也带来了一些不容忽视的问题,网络的安全问题就是其中之一。
一.网络信息安全
(一)网络信息安全的涵义
随着全球信息化步伐的加快网络信息安全越来越显示出它的重要性,网络它的安全关系到国家的安全和主权、社会的稳定、民族文化的继承和发扬。
“网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断”[1]。
网络信息中的数据得到保护是指网络信息的内容不会被未授权的第三方所知,网络信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不能为未授权的第三方修改。
破坏信息的完整性是影响信息安全的常用手段,当前,运行于互联网上的协议(如TCP/IP)等,能够确保信息在数据包级别的安全性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。
美国计算机安全专家提出了包括:
机密性、完整性、可用性、真实性、实用性、占有性的一种新的安全框架,它在原来的基础上增加了实用性、占有性,认为只有这样才能解释各种网络安全问题。
网络信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。
网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用,导致对信息的占用权的丧失。
保护信息占有性的方法有使用版权、专利、商业秘密性,提供物理和逻辑的存取限制方法;维护和检查有关盗窃文件的审记记录、使用标签等。
网络安全从其本质上来讲就是网络上的信息安全,国际标准组织(ISO)对计算机安全的定义是:
为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露[2]。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
社会对网络信息系统的依赖也日益增强。
各种各样完备的网络信息系统,使得计算机对自身的安全系数要求越来越高。
另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的交流联系。
以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。
网络正在逐步改变人们的工作方式和生活方式。
可是由于计算机的不安全使世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。
面对这种现实,各国政府有关部门和企业不得不重视网络安全的问题。
(二)网络安全问题产生的途径
这种严重的互联网安全问题是怎么产生的呢?
我们从多个方面因素可以归纳为以下几个:
1、在开放的网络世界中,TCP/IP是通用的协议
各种平台计算机系统可以轻易通过各种媒体接入进来,如果不加以限制,那么它就像一个公共的场所谁都可以访问。
于是各种安全威胁可以不受地理限制、不受平台约束,迅速通过互联网影响到世界的每一个角落。
2、计算机互联网中本身的安全缺陷是直接导致互联网脆弱的根本原因
互联网的脆弱性主要体现在以下几个环节上:
设计环节、实现环节、维护环节。
由于设计阶段最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全威胁。
这方面的忽视使计算机系统在实现阶段也留下了大量的安全漏洞。
一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。
互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。
尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。
比如,系统的缺省安装和弱口令是大量攻击成功的原因之一。
3、互联网安全的另一个重要问题是威胁的普遍性
由于互联网的迅速发展,攻击互联网的人也越来越多,手段也越来越简单,范围也越来越广。
目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,更有一些网络高手以攻击网络为荣,直接导致网络被攻击的可能性更为普遍。
4、如何有效的管理互联网也是互联网安全问题的重要原因
要安全管理一个企业它受到业务发展迅速、人员流动频繁、技术更新快等因素的影响,管理起来是非常复杂,经常出现人力投入不足、安全政策不明等各种各样现象。
扩大到国家之间,虽然安全事件通常是不分国界的,但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制。
跨国界的安全事件的追踪就非常困难。
因此计算机安全问题,应该象每家每户的防火防盗问题一样,做到防范于未然。
甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
二、网络安全风险分析
在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:
网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
(一)系统的安全分析
所谓系统的安全是指网络操作系统、应用系统的安全。
目前我们应用的Micros0cm或者UNIX操作系统恐怕没有绝对安全的,我们的安全是表面的其开发厂商必然有其Back-Door(后门),其系统必然会有漏洞。
因此,我们可以得出结论:
没有完全安全的操作系统。
每一套操作系统的“后门”或安全漏洞都将存在重大安全隐患。
(二)应用系统的安全分析
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括了很多的方面。
应用系统的安全跟具体的应用有关,它涉及很面广。
应用系统是不断发展且应用类型是不断增加的,比如新增了一个新的应用程序,肯定会出现新的安全漏洞,那么我们必须在安全策略上做一些调整,不断完善。
在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞(漏洞是在硬件、软件和协议的具体实现工系统安全策略上的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统[3]),提高系统的安全性。
(三)管理的安全风险分析
管理是网络安全中最最重要的部分。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。
一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。
三、典型网络攻击方式分析
据不完全统计,随着人类社会生活对Internet需求的日益增长,网络安全问题变得极其严峻,现在网络攻击手段有数千种之多,据美国商业杂志《信息周刊》公布的一项调查报告表明,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
(一)病毒的侵袭
电脑病毒:
是人为编写的一组特殊的电脑指令或程序代码,其不仅能破坏受感染电脑的文件或数据,影响操作系统与应用软件的正常运行,甚至还会造成系统瘫痪[4]。
几乎有计算机的地方,就有出现计算机病毒的可能性。
网络是病毒传播的最好、最快的途径之一。
计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。
如蠕虫病毒是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生,对网络造成拒绝服务以及和黑客技术相结合等[5]。
正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。
计算机网络中一旦有一台主机遭受病毒感染,则病毒程序就有可能在极短的时间内迅速扩散,传播到网络上的所有主机,有些病毒还会在你的系统中自动打包一些文件自动从发件箱中发出。
可能造成信息泄漏、文件丢失、机器死机等不安全因素。
有些黑客会有意释放病毒来破坏数据,而大部分病毒是在不经意之间被扩散出去的。
员工在不知情的情况下打开了已感染病毒的电子邮件附件或下载了带有病毒的文件,这导致了病毒的传播。
这些病毒会从一台个人计算机传播到另一台,因而很难从某一中心点对其进行检测。
病毒的"毒性"不同,轻者只会玩笑性地在受害机器上显示几个警告信息,重则有可能破坏或危及个人计算机乃至整个企业网络的安全。
(二)黑客的非法闯入
“黑客”一词是由英语hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者[6]。
随着越来越多黑客案件的报道,人们不得不意识到黑客的存在。
黑客利用网络的安全漏洞,不经允许非法访问内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。
黑客进入计算机的途径是寻找未设防的路径进入网络或个人计算机,一旦进入他们便肆意窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对人们造成危害。
黑客非法闯入将具备杀手的潜力,不得不加以谨慎预防。
防火墙是防御黑客攻击的最好手段。
位于内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。
不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。
(三)数据"窃听"和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。
一些使用者在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。
加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。
采用虚拟专用网(VPN)技术是进行加密的最好办法。
一条VPN链路是一条采用加密隧道构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。
使用者可以通过Internet建立起VPN隧道。
一个远程用户也可以通过建立一条连接局域网的VPN链路来安全地访问内部数据。
(四)拒绝服务
这种攻击一般能使单个计算机或整个网络瘫痪,使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。
例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个运作。
除上述威胁企业网络安全的主要因素外,还有如下几种网络安全隐患:
恶意扫描:
是网络黑客利用扫描工具对系统进行扫描,发现漏洞进而发起相应攻击。
数据篡改:
是对计算机上的网络数据进行截获并修改,以破坏数据的完整性。
密码破解:
是入侵者使用的最早、最老的方法他是先设法获取对方系统的密码文件,然后再使用密码破解工具获得密码。
除了密码破解攻击,攻击者也有可能通过猜测或网络窃听等方式获取密码。
基础设施破坏:
这种方式是破坏计算机的硬件基础设施,使得目标机器无法正常使用网络。
地址欺骗:
是黑客把自已的IP伪装成他人IP地址,冒充他人与服务器联络以此来获得对方的信任。
垃圾邮件:
主要表现是黑客利用自己所控制的计算机在未经用户同意的情况下向其服务器发送大量的垃圾邮件,或者利用邮件服务器把垃圾邮件发送到网络上的服务器上。
人们对众多入侵可以做的是如何尽可能降低危害程度。
除了采用防火墙、数据加密等手段以外,对安全系数要求高的使用者还可以充分利用网络上专门机构公布的常见入侵行为特征数据-通过分析这些数据,可以形成适合自身的安全性策略,努力使风险降低到可以接受且可以管理的程度。
四、计算机网络安全防范措施
对网络中的每一台计算机安装防病毒软件是对任何类型的网络免受病毒攻击最保险和最有效的方法,它需要定期对软件中的病毒定义进行更新。
如果没有"忧患意识",很容易陷入"盲从杀毒软件"的误区。
因此,光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;重要的是培养集体防毒意识,部署统一的防毒策略,高效、及时地应对病毒的入侵。
(一)加强内部网络治理
防控计算机病毒进程中,最容易、最经济的方法是使用用口令来控制对系统资源的访问。
网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和治理方式不仅关系到网络维护治理的效率和质量,而且涉及到网络的安全性。
好的杀毒软件能在几分钟内轻松地安装到每一个服务器上,并可下载和散布到所有的目的机器上,由网络治理员集中设置,它会成为网络安全治理的一部分,并且自动提供最佳的网络病毒防御措施。
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
(二)网络防火墙技术
这种网络技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境。
它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:
无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
(三)安全加密技术
这种技术的出现为电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此是21世纪的对称加密和非对称加密技术的主流。
对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
(四)网络主机的操作系统安全和物理安全措施
防火墙是网络的第一道防线但是它并不能完全保护内部网络,必须结合其他措施才能提高系统的安全系数。
在防火墙之后是基于网络主机的操作系统安全和物理安全措施。
按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。
这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。
系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。
除了防火墙和主机安全措施,还有就是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。
它是从防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输入提供给入侵检测子系统。
它根据一定的规则判定是否有入侵事件发生,假有入侵,则启动应急处理措施,并显示警告信息。
而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全这个综合性的课题,涉及技术、治理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,但它不是万能的。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
【参考文献】
[1]
[2]匡松张思成计算机网络技术学习宝典[M]中国铁道出版社第498页2010年
[3]刘凡馨常开忠黑客攻防[M]清华大学出版社第86页2010年
[4]吴晋电脑软硬件维修[M]清华大学出版社第173页2010年
[5]刘晓辉网络故障现场处理实践[M]电子工业出版社第16页2010年
[6]吴晋电脑软硬件维修[M]清华大学出版社第175页2010年
[7]赵树刚网管员世界[M]电子工业出版社2010年
[8]蔡立军计算机网络安全技术[M]中国水利水电出版社2007年
[9]周亚建网络安全加固技术[M]电子工业出版社2005年
[10]计算机世界报1997年第14期
升级会员 