网络安全漏洞评估范文

时间:2023-09-13 17:17:33

导语:如何才能写好一篇网络安全漏洞评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全漏洞评估

篇1

2014年4月,谷歌安全部门和芬兰安全检测公司科诺康同时发现Open SSL开源软件存在名为“心血”的安全漏洞。作为全球2/3以上互联网网站普遍采用的加密手段,Open SSL开源软件存在的安全漏洞,不仅会使网上银行、电子支付、门户网站、电子邮件等网站的用户敏感信息面临被窃取的危险,还会使网络服务器、路由器、移动智能终端等网络设备甚至国家关键信息基础设施面临受攻击的风险。此次曝光的“心血”安全漏洞虽为独立事件,但绝非偶然,这再次反映出美国政府在网络安全漏洞的获取、利用、顶层设计方面具备成熟的运行机制。

“心血”安全漏洞的形成原因及工作机理

Open SSL采用C语言开发,可以支持Linux、Windows、Mac OS等多种操作系统,具有优秀的跨平台性能,已成为目前互联网领域广泛使用的一种开源加密软件工具。用户在网站上的账户、密码及各类通信信息均通过该软件包进行加密。加密数据只有网络服务器这个接收者才能解密,不法分子即便监听用户与网络服务器之间的对话信息,也只能看见一行随机字符串,而无法获取用户实际的敏感信息。

此次Open SSL 1.0.2-beta及Open SSL 1.0.1系列(除1.0.1g外)多个版本存在的“心血”安全漏洞,使得Open SSL的加密功能基本无效,主要问题出在Open SSL实现传输层安全协议(TLS/DTLS)的心跳扩展代码中。当Open SSL的传输层安全协议被调用时,连接SSL一端的客户端向另一端的服务器发出一条简短的字符串(即“心跳信息”),以确认服务器在线并能获取响应;另一端的服务器会向客户端返回与“心跳信息”相匹配的信息。但是,在这个过程中,由于Open SSL未对客户端发送的字符串长度做边界检查,使不法分子可以截获正常“心跳信息”并修改其长度后发给服务器,欺骗网络服务器,从其内存中窃取相应长度的数据,并将相应空间的信息作为“心跳信息”返回给不法分子,这部分数据中,很可能包含安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等信息。虽然不法分子利用该漏洞每次只能从服务器窃取64KB字节信息,但反复多次操作后,可以拼凑出更多用户的账户、密码、通信记录等多种敏感信息。

“心血”安全漏洞可能产生的影响

由于“心血”安全漏洞属于内存泄露,可以从服务器内存中直接读取数据,即使入侵行为也不会在服务器日志中留下痕迹,所以无法确定哪些服务器曾被入侵。但从Open SSL的应用范围,可以判断“心血”安全漏洞可能产生的影响。

大范围波及互联网服务器及相关信息服务

2014年4月,英国Netcraft公司提供的网站服务器调查数据显示,全球约有66%的互联网活跃网站受“心血”安全漏洞影响。这些网站大都采用了基于Open SSL的Apache和Nginx等开源服务器。此外,由于Open SSL主要用于保护电子邮件服务器、聊天服务器、虚拟专用网络、网络应用和多种客户端软件,所以除互联网网站受到影响外,电子邮件、即时通信和虚拟专网(VPN)等信息服务都遭受了严重影响。

2014年4月9日,我国国家信息安全漏洞共享平台(CNVD)了关于“心血”漏洞的情况通报。根据监测结果,国内外一些大型互联网企业的相关VPN、邮件服务、即时聊天、网络支付、电子商务、权限认证等服务器受到漏洞影响,此外一些政府和高校网站服务器也受到影响。国内两大信息安全公司的监测数据显示,国内网站约有2.3万个(占其抽样的1.5%)和1.1万个(占其抽样的1.0%)服务器主机受影响,涉及大型电商网站、银行网银系统、第三方支付、微信、淘宝、社交网站、门户网站等等,以及126、163等邮箱、即时通信服务。截止4月10日,在全国存在“心血”安全漏洞的网站中,依然有近30%没有采取任何防护措施。

大量敏感数据可能遭窃取

目前,“心血”安全漏洞的验证脚本可以被不法分子广泛获取,而且不法分子可以针对这一安全漏洞进行大量的试验和尝试,可能导致使用Open SSL的站点遭到信息窃取。然而由于不法分子利用该安全漏洞对服务器进行信息窃取时不会留下任何痕迹,可能导致有些站点的大量敏感数据已经遭到窃取,却浑然不觉。

由于该安全漏洞给不法分子提供了读取网站服务器内存的权限,用户修改密码、发送消息、登录等请求以及很多操作会全部暴露出来,直接导致用户的证书密钥、用户名、密码、甚至是安全问题与答案、即时通信、电子邮件、业务关键文档和通信信息都可能遭窃。

国家关键信息基础设施或受影响

事实上,政府、金融、能源、交通、国防等诸多国家关键领域都有用到类似Open SSL的开源软件组件,由于这种组件功能专一、用途广泛,且具有不可替代性,一旦存在安全漏洞,将导致国家关键信息基础设施的底层通信、信息传输、上层应用等功能彻底瘫痪,甚至整个网络空间都将面临严峻的安全风险。

美国已建立完善的网络安全漏洞获取与应用机制

“心血”只是被曝光的众多安全漏洞之一。当前,大量类似Open SSL这样的开源软件包广泛应用于全球互联网服务器、路由器、移动智能终端以及国家重要信息基础设施。公开资料表明,美国长期以来通过植入、发掘、购买等多种方式获取安全漏洞,建立了一套相对完善的网络安全漏洞获取机制。

多管齐下获取安全漏洞

作为网络时代的领跑者,以及最早发现并应用网络技术的国家,面对日益复杂的网络安全威胁,美国政府一直将安全漏洞视为重要的网络战略资源,为掌握海量秘密漏洞不惜花费大量的人力、物力和财力。

一是斥巨资与私营科技公司紧密合作,在软硬件产品或算法中植入安全漏洞、预置“后门”。美国政府与私营企业的合作由来已久,大约有数千家高科技公司作为“可信合作伙伴”为美国政府提供用户敏感信息,其中不乏谷歌、微软、思科等世界知名IT公司。例如,美国国家安全局每年为“信号情报”项目(SIGNIT)投入2.5亿美元,以合同授予的形式引诱国内科技公司在商用加密系统、网络系统、通信设备中植入隐秘漏洞,方便国家安全局获取用户信息。国家安全局曾与加密技术公司RSA达成1000万美元的协议,要求对移动终端广泛使用的加密软件预置2个精心设计的“后门”。

同时,国家安全局下属的“商用解决方案中心”长期与私营科技公司开展合作,表面上是对企业的IT产品进行安全评估,实际上是寻求如何在IT产品中植入安全漏洞。

二是建立官方专业技术团队,开展网络安全漏洞研究,不断挖掘和发现漏洞。美国政府十分重视利用专业技术团队的力量提升网络防御与攻击能力,充分吸收民间网络人才组建专门技术团队,并集结军方精锐网络力量挖掘和发现当前各类系统存在的安全漏洞。国家安全局下属的“获取特定情报行动办公室”(TAO)的“远程行动中心”拥有一个超过600名专业技术人员的团队。该技术团队建立了从网络设施到人、从内容到行为的完整体系,以网络获取技术为主线,以云计算和大数据分析技术为核心,利用先进的网络渗透、机器学习、数据分析等漏洞挖掘技术,不间断地寻找他国信息系统的安全漏洞,这已成为美国政府获取安全漏洞的重要渠道。

三是投入大量资金,长期从黑客手中购买漏洞。多年来,为第一时间掌握互联网、软件、服务器存在的安全漏洞,美国政府长期从贩卖漏洞的黑客手中购买安全漏洞。尽管平均每项安全漏洞的价格达到3.5~16万美元,苹果iOS系统安全漏洞的售价甚至高达50万美元,但美国政府为提升自身网络的防御和攻击能力,仍不惜重金,成为当前安全漏洞市场的最大买家。据国家安全局合同文件显示,该机构在2012年9月订购了法国安全公司VUPEN一年的“零日”漏洞。

充分利用安全漏洞资源,做到早发现、早修复、早利用

一是利用发现的安全漏洞,及时修复自身网络存在的安全问题,做好网络防御措施。据美国彭博新闻社报道,美国国家安全局早在2012年就发现Open SSL开源加密软件存在“心血”安全漏洞,但美国政府出于“维护国家安全威胁免受威胁”等因素的考虑,一直未将漏洞信息公之于众,为其利用该漏洞搜集情报提供了2年的时间窗口。当“心血”安全漏洞被私营企业发现后,美国联邦储备委员会、财政部、国土安全部等政府部门立即对网络系统开展了全面测试和修复。

二是利用安全漏洞制造网络监听工具,搜集海量机密信息。一旦美国国家安全局寻找到目标网络或计算机存在安全漏洞,就会借助软件设计师和工程师队伍设计的专用监听软件,通过电子手段入侵系统并持续搜集机密信息。自2009年开始,美国政府利用搜集华为公司相关技术中存在的安全漏洞,入侵华为网络设备并实施监控,试图找到华为与中国军方之间有联系的证据,同时监控华为高管的通信。

三是利用安全漏洞制造网络攻击武器,破坏关键基础设施。美国政府通过植入、发掘和购买等方式获得安全漏洞后,利用这些庞大的安全漏洞资源,研发制造极具杀伤力的网络武器,伺机将恶意软件植入目标国家的计算机、路由器和防火墙,在需要时利用先进的网络渗透与攻击技术实行谨慎而高效的网络监听或攻击,破坏他国关键信息基础设施。2010年,美国家安全局曾利用包括Windows字体漏洞在内的四个“零日”漏洞,制造出“震网”蠕虫病毒并向伊朗铀浓缩项目发动攻击,最终破坏了约1000台伊朗离心机。此外,美国家安全局在代号为“精灵”的项目中,利用掌握到的漏洞资源,将恶意软件秘密植入世界各地的计算机、路由器和防火墙,伺机发动网络攻击。至2013年底,该项目已控制了至少85000台计算机。此外,美国中央情报局还部署了名为“FoxAcid”的利用安全漏洞发动网络攻击的服务器平台,可对目标的状态、受攻击后的反应等进行判断,以选择最有效的漏洞进行攻击。

从国家层面加强网络安全立法和机构设置,为利用安全漏洞提供顶层保障

近年来曝光的每一例关于网络安全的问题,基本都是由美国官方或私营科技公司率先发现,其他国家只有在安全漏洞曝光或遭受攻击后才能了解安全漏洞的相关信息。事实上,美国从国家层面建立了一整套完善的安全漏洞监测、预警及响应体系,通过加强网络安全立法和组织机构设置,为美国率先获取和利用安全漏洞提供了顶层保障。

首先,重视网络安全战略建设,将网络安全由政策、计划提升到国家战略高度。从克林顿时期的《美国政府对关键基础设施的保护政策》、《信息系统保护国家计划》到布什时期的《保护网络空间的国家战略》,再到奥巴马政府的《网络空间国际战略》、《提升美国关键基础设施网络安全框架》等一系列文件的出台,可以看出,美国政府高度重视网络安全战略建设,将其视为影响经济发展和国家安全的关键因素,通过政策、计划、战略逐级递增的方式,不断提升美国网络安全的战略高度。同时,美国先后颁布了《计算机欺诈和滥用法》、《联邦信息安全管理法》、《关键基础设施信息法》等十多部有关网络安全的法律,这些法律从计算机与信息系统安全、基础设施安全、信息内容安全等多个层次构建了庞大的网络安全保护框架,将网络安全“威慑与防御”的理念贯彻在顶层战略的具体规划中,使美国成为网络安全领域颁布法律最多且体系最为完善的国家。

其次,美国政府将网络安全政策执行、管理与监督等权利分配给国土安全部、国防部、审计署、商务部及财政部等多个联邦政府部门。各联邦部门在网络安全管理方面分工明确,职责清晰,形成了美国网络安全管理的双层主体架构:第一层是白宫网络安全办公室,由白宫网络安全协调官协调和整合政府网络安全方面的所有政策;第二层是国土安全部和国防部,分别作为联邦政府网络安全的指挥中枢和掌管美军网络安全与网络作战指挥的司令部。

对我国网络安全漏洞应对机制的建议

虽然“心血”安全漏洞在曝光后迅速得到修复,但我国仍至少有3万台服务器受到影响。鉴于我国政府、金融、能源、交通、军工等关键行业所用的服务器、操作系统、芯片等软硬件产品和通用网络组件主要来自国外,无法实现安全可控,这些关键行业的信息基础设施都可能受到该安全漏洞的影响。因此,我国一方面要加强自主、安全、可控的软硬件技术与产品的研发,并逐步在关键领域实现替代,从根本上防御网络安全漏洞存在的威胁;另一方面,应加大对网络安全漏洞的监测、预警和响应力度,使我国能够及早发现网络安全漏洞,进而做到早修复。

加强各部门之间信息共享和协同行动,提升网络安全态势的整体感知能力,及时实施应急响应和威慑反制措施

从“蠕虫”病毒到“震网”攻击,再到此次存在时间长达2年的“心血”安全漏洞,美国一直以来都是病毒、木马、漏洞等网络武器的第一发现者和网络攻击发起者,这些“成绩”的取得都直接归于美国所建立的成熟的网络安全监测机构。因此,我国应通过网络安全监测机构建立关键领域网络安全漏洞库,并及时将安全漏洞在不同部门之间共享,切实提高网络安全态势的感知能力和应急响应能力。

结合实际情况,坚持发展自主可控的软硬件产品,着力推进国产软硬件产品系统性替代

发展和应用自主可控的元器件、芯片、操作系统、数据库、服务器等软硬件产品,是保障我国网络安全的根本方法。我国应该结合实际情况,寻找适合自身需求的软硬件产品。例如,在桌面操作系统方面,我国不需要重新研发类似Windows这样的操作系统,基于Linux开发的操作系统在可用性、易用性、适用性等方面基本具备替代能力。虽然国内厂商的研发能力、产品技术、生态环境与国外产品存在一定的差距,但国产操作系统、数据库、服务器已基本能够满足大部分用户90%以上的需求。然而,很多行业部门在实际选择中出于风险和安全考虑,仍偏向使用国外产品。因此,我国应通过优化政府采购政策等方式,加大国产软硬件产品在政府、金融、能源、交通、军工等关键行业的应用比例,逐步推进国产软硬件产品的替代步伐。

正确认识开源软件的安全性,通过第三方评测机构对关键行业重要信息基础设施所用的开源软件开展评估

开源软件采用的“同行评议”方式,使得众多开发者持续对软件代码进行修改和完善,在一定程度上可以有效消除软件内部存在的缺陷。但正是由于行业内对Open SSL这类全球广泛应用的开源软件安全性的信任,使得某些明显漏洞在开源软件中长期存在。因此,我国应该了解和掌握开源软件在政府、金融、能源、交通、军工等关键行业重要信息基础设施中的应用情况,通过第三方评测机构对上述行业所使用的开源操作系统、数据库、服务器的安全性和可靠性开展评估,及时修复发现的安全漏洞,满足党政军及国家关键基础设施等重要信息系统的运行需求,应对他国持续、有预谋、高强度的网络空间攻势。

篇2

1影响计算机网络安全的因素

1.1操作系统的漏洞及网络设计的问题。目前流行的许多操作系统均存在网络安全漏洞,黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑,使其受到影响。

1.2缺乏有效的手段评估网络系统的安全性。缺少使用硬件设备对整个网络的安全防护性能作出科学、准确的分析评估,并保障实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。

1.3黑客的攻击手段在不断地更新。目前黑客的攻击方法已超过计算机病毒的种类,且许多攻击都是致命的。攻击源相对集中,攻击手段更加灵活。黑客手段和计算机病毒技术结合日渐紧密。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

1.4计算机病毒。计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏甚至被盗取,使网络的效率降低,使许多功能无法使用或不敢使用。层出不穷的各种各样的计算机病毒活跃在计算机网络的每个角落,给我们的正常工作已经造成过严重威胁。

2确保计算机网络安全的防范措施

2.1操作系统与网络设计。计算机用户使用正版软件,及时对系统漏洞打补丁,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在计算机网络中,建立起统一的身份认证,供各种应用系统使用,实现用户统一管理、认证和授权。网络管理员和操作员根据本人的权限,输入不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。

2.2安全性评估。加强计算机网络各级使用人员的网络安全教育,建立健全计算机网络安全管理制度,严格执行操作规程和规章制度。网络管理人员对整个网络的安全防护性能进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议,从而提高网络系统安全性能。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

篇3

1.硬件威胁。计算机网络安全的影响因素有一些是来自硬件的,如,组成计算机网络的服务器,线路等设备不具有抗辐射、防火、防寒的功能。由于硬件是计算机网络的载体,一旦硬件系统受到破坏,计算机网络的使用则会受到极大的限制,甚至导致整个网络系统不复存在。

2.系统自身问题。必须承认,任何操作系统都不可能完全排除安全漏洞,如,现在流行的操作系统windows,unix等本身就存在安全漏洞。操作系统的安全漏洞不易被发现,而一旦发现这些安全漏洞,进行系统修复则是一个漫长而又具有技术性的工作。黑客就是利用这些操作系统本身的安全漏洞来侵入系统;有时硬件的配置不协调也会导致网络运行的质量;再有就是网卡选配不当,也会导致网络不稳定,缺乏安全策略。这就无意中扩大了访问权限,这些权限就可能被他人所利用。

3.内部局域网用户的威胁。实际上,内部局域网的威胁远大于外部网的安全威胁,由于内网使用者缺乏安全意识,在访问网络或信息通信时,缺乏安全意识,如,在使用公共计算机时,随意把个人信息告知他人或用户账号和密码的设置过于简单等,都会造成个人信息的泄露;再如,在软件开发的过程中,由于开发者的失误或不注意,会造成软件的安全存在漏洞,一旦此类软件遭受到病毒的感染或被网络黑客控制,就会对计算机网络安全造成威胁,形成局域网内部漏洞。最终导致黑客或病毒通过一台计算机进入内部网络来实现控制:破坏文件,盗取资料,甚至是使内部网络瘫痪。如,当今流行的arp攻击,它是一台电脑中毒,中毒以后攻击局域网内部的其他电脑。arp欺骗木马只需成功感染一台计算机,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便甚至是巨大的经济损失。

4.缺乏有效的监视手段来评估网络系统的安全。完整而且能够准确地评估自身的计算机安全性,并作出有效的防范,要保障安全策略的实施,及时发现和解决问题,是一种非常有效的提高网络安全的办法。当发现系统漏洞时,要及时进行更新,发现运行出现不正常,及时进行检查,这样才能有效地防范于未然。然而我们的安全工具的更新速度很慢,一般都是发现该攻击或该病毒后才会研究对应的办法,而又需要一段时间,根本来不及挽回已经造成的损失。而一个问题解决后,又可能出现其他的安全问题,因此,安全工具不知道何时又会有其他的问题出现,所以就目前情况来看缺乏有效的监视手段。

5.计算机病毒。计算机病毒的威胁也是常见的网络安全行为,它是一些人为了达到某种目的而编写出来的一段计算机程序。计算机病毒通常具有极快的传播速度与难以被删除的特点。因此一旦计算机感染上病毒,通常会导致计算机功能遭到破坏,例如数据的损坏、信息的丢失等,并且随着计算机病毒的不断发展,计算机病毒也呈现出一种可自我进化,感染方式多样化等特点。所以说计算机病毒也是威胁计算机网络安全的一个重要因素。

6.黑客的攻击手段也在不断更新。可以说相比于计算机病毒,黑客对于计算机网络安全的危害更为严重。因为黑客对计算机网络的攻击有着明确的目的性,是根据特定的需要来进行信息的破坏、利用与窃取,并且这种信息的破坏、利用与窃取通常伴随着相当高的隐蔽性,造成的损失难以估量的。所以虽说我们在不断地更新各种杀毒软件,不断地修复系统的漏洞,但黑客也在不断地研究新的病毒,改进新的手段,成为造成计算机网络安全隐患的重要因素。

二、计算机网络安全的防范措施

既然如此,我们就应该做好计算机网络安全防范措施,做到防患于未然,尽量减小因网络安全导致的损失。主要措施如下。

1.对网络内部用户的网络安全防范意识进行提升教育,使用户意识到网络安全的重要性。给每台计算机安装杀毒软件,使每台计算机都可以自动进行杀毒,并且养成定期杀毒的习惯,对他人拿来的u盘、移动硬盘必须进行查杀后才可使用。这是在防病毒的过程中,最经济也是最实惠的方法。

2.使用网络防火墙。网络防火墙可以加强网络之间的访问控制,阻止他人非法从外部网络进入内部网络,获取网络内部资源,使重要资料流失。防火墙是目前对黑客的主要防范措施,但是防火墙不能完全防止已经被感染的用户,对内部有泄密者也不能进行有效地防范。因此,大力发展网络防火墙保护技术,一方面在保障其原有作用的前提下,另一方面应探索如何对于网内用户进行有效的保护。从而更有效地利用防火墙技术来保护计算机网络安全。

3.可以在计算机网络添加物理防火墙,对外部攻击和非法数据进行监测,对内部病毒的攻击进行有效的防护,使用物理防火墙能有效地控制外部数据的安全,有效地保护内部网络。

4.定期对操作系统进行备份,在使用计算机的过程中,如果有重要资料,要进行备份,对操作系统也要做原始备份,如果计算机一旦中毒,可以对操作系统和重要数据进行恢复,能够避免失去重要数据。

5.定期进行系统漏洞的扫描与修补。及时下载系统补丁,修补计算机漏洞,对数据端口进行有效地防护。

6.大力发展计算机加密技术加密技术伴随着计算机网络的生成而逐步发展,是保障计算机网络安全最重要的技术手段。其原理为将原有的信息资源通过算法转换成不可读且无意义的密文信息,接收用户需要通过特定的解密钥匙才能将信息转化成明文。目前,计算机的加密技术主要通过两种形式得以实现:一方面是信息加密,即利用有效的算法对重要的信息、程序与文件进行加密锁定,从而达到防止信息泄漏的目的;另一方面则是对互联网的信息传输协议进行加密,此类信息协议大多采用复杂的算法来保障信息的安全,以达到防止电脑病毒的感染与电脑黑客的窃取与篡改,进而保证计算机网络的通畅与安全。

三、总结

篇4

(河南中烟工业有限责任公司南阳卷烟厂 河南 南阳 473007)

摘 要:由于计算机互联网比较容易受到内部因素和外部因素的影响,这些影响严重威胁到了人们的切身利益,从而使得网络安全的现状越来越令人堪忧。因此,文章针对网络安全风险的评估及其关键技术展开了分析讨论,以期为企业的网络安全提供重要的保障条件。

关键词 :网络安全;风险的评估;关键技术

中图分类号:TP393.08 文献标识码:A doi:10.3969/j.issn.1665-2272.2015.03.006

收稿日期:2014-11-29

1 网络安全的现状

网络安全的核心原则是以安全目标为基础的。在网络安全威胁日益增加的今天,要求在网络安全框架模型的不同层面、不同侧面的各个安全维度,有其相应的安全目标要求,而这些安全目标要求必须可以通过一个或多个指标来评估,进而减少信息丢失和网络事故发生的概率,从而提高网络工作效率,降低网络安全风险。网络具有方便性、开放性、快捷性以及实效性,因此满足了在信息时代背景下,人们对信息的接收与处理的要求。

当前,人们的日常生活和生产活动中,几乎全部都能够在网络上进行,这样不仅提高了效率和效果,而且还在很大程度上降低了运营成本和投资成本。其中网络的开放性是现代网络最大的特点,无论是谁,在什么地方都能快速、便捷的参与到网络活动中去,任何团体或者个人都能在网络上快速获得自己所需要的信息。但是在这过程中,网络也暴露出了许多问题,很多人在利用网络促进社会发展和创造财富的同时,也有小部分的人利用网络开放性的特点非法窃取商业机密和信息,有的甚至还会对商业信息进行篡改,从而不仅造成了巨大的经济损失,而且还对整个社会产生了负面的影响。

随着网络技术的日益发展,网络安全问题也越来越得到了人们的重视,网络安全问题不仅关系到人们的切身利益,而且它还关系到社会和国家的安全与稳定。近几年来,黑客攻击事件频繁发生,再加上人们对于网络的安全意识比较淡薄,没有安全漏洞的防护措施,从而造成了严重的后果。

2 网络安全和网络安全风险评估

网络安全的定义需要针对对象而异,对象不同,其定义也有所不同。例如对象是一些个体,网络安全就代表着信息的机密性和完整性以及在信息传输过程中的安全性等,防止和避免某些不法分子冒用信息以及破坏访问权限等;如果对象是一些安全及管理部门,网络安全就意味尽最大可能防止某些比较重要的信息泄露和漏洞的产生,尽量降低其带来的损失和伤害,换句话说就是必须要保证信息的完整性。站在社会的意识形态角度考虑,网络安全所涉及的内容主要包括有网络上传播的信息和内容以及这些信息和内容所产生的影响。其实网络安全意味着信息安全,必须要保障信息的可靠性。虽然网络具有很大的开放性,但是对于某些重要信息的保密性也是十分重要的,在一系列信息产生到结束的过程中,都应该充分保证信息的完整性、可靠性以及保密性,未经许可泄露给他人的行为都属于违法行为。

同时网络上的内容和信息必须是在可以控制的范围内,一旦发生失误,应该可以立即进行控制和处理。当网络安全面临着调整或威胁的时候,相关的工作人员或部门应该快速地做出处理,从而尽量降低损失。在网络运行的过程中,应该尽量减少由于人为失误而带来的损失和风向,同时还需要加强人们的安全保护意识,积极建立相应的监测机制和防控机制,保证当外部出现恶意的损害和入侵的时候能够及时做出应对措施,从而将损失降到最低程度。除此之外,还应该对网络的安全漏洞进行定期的检查监测,一旦发现问题应该及时进行处理和修复。

而网络安全风险评估主要是对潜在的威胁和风险、有价值的信息以及脆弱性进行判断,对安全措施进行测试,待符合要求后,方可采取。同时还需要建立完整的风险预测机制以及等级评定规范,从而有利于对风险的大小以及带来的损害做出正确的评价。网络安全风险不仅存在于信息中,而且还有可能存在于网络设备中。因此,对于自己的网络资产首先应该进行准确的评估,对其产生的价值大小和可能受到的威胁进行正确的预测和评估,而对于本身所具有的脆弱性做出合理的风险评估,这样不仅有效的避免了资源的浪费,而且还在最大程度上提高了网络的安全性。

3 网络安全风险评估的关键技术

随着网络技术的日益发达,网络安全技术也随之在不断的完善和提高。近年来有很多的企业和事业单位都对网络系统采取了相应的、有效的防护体系。例如,防火墙的功能主要是对外部和内部的信息进行仔细的检查和监测,并对内部的网络系统进行随时的检测和防护。利用防火墙对网络的安全进行防护,虽然在一定程度上避免了风险的产生,但是防火墙本身具有局限性,因此不能对因为自己产生的漏洞而带来的攻击进行防护和攻击,同时又由于防火墙的维护系统是由内而外的,因此不能为网络系统的安全提供重要的保障条件。针对于此,应该在防火墙的基础上与网络安全的风险评估系统有效地进行结合,对网络的内部安全隐患进行调整和处理。

从目前来看,在网络安全风险评估的系统中,网络扫描技术是人们或团体经常采用的技术手段之一。网络扫描技术不仅能够将相关的信息进行搜集和整理,而且还能对网络动态进行实时的监控,从而有助于人们随时随地地掌握到有用的信息。近几年来,随着计算机互联网在各个行业中的广泛运用,使得扫描技术更加被人们进行频繁的使用。对于原来的防护机制而言,网络扫描技术可以在最大程度上提高网络的安全系数,从而将网络的安全系数降到最低。由于网络扫描技术是对网络存在的漏洞和风险的出击手段具有主动性,因此能够对网络安全的隐患进行主动的检测和判断,并且在第一时间能够进行正确的调整和处理,而对那些恶意的攻击,例如黑客的入侵等,都会起到一个预先防护的作用。

网络安全扫描针对的对象主要包括有主机、端口以及潜在的网络漏洞。网络安全扫描技术首先是对主机进行扫描,其效率直接影响到了后面的步骤,对主机进行扫描主要是网络控制信息协议对信息进行判断,由于主机自身的防护体制常常被设置为不可用的状态,因此可以用协议所提供的信息进行判断。同时可以利用Ping功能向所需要扫描的目标发送一定量的信息,通过收到的回复对目标是否可以到达或发动的信息被目标屏蔽进行判断。而对于防护体系所保护的目标,不能直接从外部进行扫描,可以利用反响映射探测技术对其及进行检测,当某个目标被探测的时候,可以向未知目标传递数据包,通过目标的反应进行判断。例如没有收到相应的信息报告,可以借此判断IP的地址是否在该区域内,由于受到相关设备的影响,也将会影响到这种方法的成功率。而端口作为潜在的信息通道,通过对端口的扫描收到的有利信息量进行分析,从而了解内部与外部交互的内容,从而发现潜在的漏洞,进而能够在很大程度上提高安全风险的防范等级。利用相应的探测信息包向目标进行发送,从而做出反应并进行分析和整理,就能判断出端口的状态是否处于关闭或打开的状态,并且还能对端口所提供的信息进行整合。从目前来看,端口的扫描防止主要包括有半连接、全连接以及FIN扫描,同时也还可以进行第三方扫描,从而判断目标是否被控制了。

除此之外,在网络安全的扫描技术中,人们还比较常用的一种技术是网络漏洞扫描技术,这种技术对于网络安全也起到了非常重要的作用。在一般情况下,网络漏洞扫描技术主要分为两种手段,第一种手段是先对网络的端口进行扫描,从而搜集到相应的信息,随后与原本就存在的安全漏洞数据库进行比较,进而可以有效地推测出该网络系统是否存在着网络漏洞;而另外一种手段就是直接对网络系统进行测试,从而获得相关的网络漏洞信息,也就是说,在黑客对网络进行恶意攻击的情况下,并且这种攻击是比较有效的,从而得出网络安全的漏洞信息。通过网络漏洞扫描技术的这种手段而获取到的漏洞信息之后,针对这些漏洞信息对网络安全进行及时的、相应的维护和处理,从而保证网络端口一直处于安全状态。

4 结语

在当今信息化的时代背景下,网络的到来彻底改变了传统的生产方式以及人们的生活方式。目前,网络作为一个重要的运营平台,通过信息对企业的生产和发展进行辅助和支持,这对社会和企业的发展,都具有十分深远的意义。因此,在网络的运行过程中,应当对网络的信息资产进行正确的评估和妥善的保护,从而为企业和社会的经济提供重要的保障条件。针对于此,应该加大人们的网络安全意识,建立完整、有效的网络安全评估系统,从而提高网络的安全系数。

参考文献

1 白兆辉.浅析计算机网络安全防范的几种关键技术[J].科技信息,2009(23)

2 李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(5)

篇5

关键词:网络安全;入侵监测;防火墙;包过滤

随着计算机技术和网络和不断发展,疗养院信息化的也呈跨越式的发展。所有疗养人员的信息都已经通过网络数字化存入了网络数据库,使疗养人员的健康管理,疗案跟踪以及医护人员的定点服务能够快速、准确。所以疗养院网络的安全,将直接关系到疗养工作的正常进行。网络上的漏洞、病毒等如果不进行有效的技术控制防护杀毒,将会带来巨大的灾难和损失。那么,对于网络安全管理来说,管理员应该从哪些方面,如何才能做到安全管理呢,我们一步一步进行分析。

1网络安全技术分析

网络安全技术一般都由多种安全技术组成,如网络防火墙技术、网络入侵检测技术、网络防病毒技术、网络安全漏洞扫描技术。

1.1网络防火墙技术

网络防火墙又分为硬件防火墙和软件防火墙,他们的功能基本相同,都是在疗养院内部可信任网络和外部不可信任的公共网络之架起一座桥梁,然后根据内部网络的要求,允许授权的包通过,同时防止外部未经授权的用户非法访问内部网络,也可以完全阻止外部用户的访问,进而保护内部网络免受非法用户的入侵。不管是硬件防火墙还是软件防火墙都能够根据一定的安全规则来控制内外网之间的信息流,并且保护自身不受非法用户的攻击。

防火墙技术从应用上来说一般分为“包过滤”型(PacketFiltering)、“应用”型(ApplicationProxy),网络地址转换型(NetworkAddressTranslation)三种。“包过滤”型:它是依据网络中的数据包传输,根据防火墙制作的过滤包的规则来检测攻击行为。因为网络上传输的数据都是以“包”为单位进行传输的,每一个数据包都包含特定的信息,像数据源地址、目的地址、端口号等等。包过滤会检查这些是否来自可信任的安全站点,如果发现数据包不正常或来自不安全的地址,就会拒绝这些数据包通过。管理员可根据自身网络的需要来制定相应的包过滤规则。

包过滤也有一定的缺点,因为它是工作在网络层,通过数据包的信息来判断,如果有黑客伪造地址和端口等方法就能很容易通过包过滤型的防火墙。“应用”型:应用型的防火墙其实就是使用服务器作为防火墙用,服务器处于客户机和服务器之间,内部网络用户可以通过服务使用外部网络,而外部网络用户无法访问内部网络,保护了内部网络上的数据。由于内外之间没有直接连接,都是通过服务器进行,所以安全性较高。服务器还可以同时提供安全审计和日志服务。服务虽然安全性较高,对病毒和木马入侵十分有效,但是因为所有客户机的访问都要由服务器进行连接,加重了服务器的负担,而且速度较慢。

“网络地址转换”型:它是把内部网络用户的内部IP临时转换成具有外部网络的IP地址的计算机来访问外网。外部网络不能访问内部网络,所有内部网络的机器在访问外网果,都由NAT服务器来产生一个映射地址,然后在映射出一个伪装的端口通过网卡访问,这样就隐藏了实际的内部网络地址。“网络地址转换”型的优点是可以使内部所有的机器共享几个外网的IP访问外网,对于内网安全性较高,但是同样网络访问速度慢。

1.2网络入侵检测技术入侵检测

技术能够监视计算机系统或网络系统中发生的各种事件并形成日志文件,并且进行完整检测分析,从中找到不安全的因素或系统中存在的漏洞。一般把入侵检测的软件与硬件的组合称为入侵检测系统。它是一种主动型的安全防护系统,可以对内部攻击、误操作和外部攻击做实时防护,在计算机网络和系统受到危害之前提前报警、拦截和响应。入侵检测系统可分为两类。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等。特点是:精确,可以精确地判断入侵事件;高级,可以判断应用层的入侵事件;对入侵时间立即进行反应;针对不同操作系统特点;占用主机宝贵资源。基于网络的入侵检测系统用于实时监控网络关键路径的信息。特点是:能够监视经过本网段的任何活动;实时网络监视;监视粒度更细致;精确度较差;防入侵欺骗的能力较差;交换网络环境难于配置。

1.3网络防病毒技术

计算机病毒是危害网络信息系统安全的重要问题之一,它可以通过光盘、优盘、移动硬盘、网上下载、电子邮件等方式进行传播,一旦网络中的某一台主机受到病毒感染,病毒程序就会很快迅速传播,一般的蠕虫病毒可能拖慢计算机速度,恶意的病毒则可能使用信息泄漏、文件丢失甚至造成计算机崩溃,最严重的病毒甚至可以造成计算机硬件烧毁,如CIH病毒等。网络防病毒一般是在全网安装防病毒软件客户端,由一台防病毒服务器来运行服务端软件。服务端和客户软件都具有检查和清除病毒的功能,服务端还可以设置所有在线机器的定时杀毒以及网全网杀毒。当服务端的杀毒程序升级更新后所有的客户端都可以自动更新,增加内部网络的防病毒能力。

1.4网络安全漏洞扫描技术

网络安全漏洞扫描技术是网络安全技术中不可或缺的一部分,它能够增强内部网络的安全性,能够扫描分析系统中存在的安全问题,并针对扫描到的安全漏洞提供详细的安全解决方案,使系统管理员及时打好系统安全补丁,避免因存在的漏洞而让黑客有可乘之机,造成数据丢失。现在的漏洞扫描工具分为两类,一类是基于服务的,一类是基于网络的。基于服务器的漏洞扫描工具可以对服务器进行全方位的扫描,如弱口令、共享文件、WWW服务、系统漏洞等,扫描完成后会给出详尽的分析说明。基于网络的安全扫描工具主要扫描设定网络内的交换机、路由器、数据库服务器、防火墙等设备的安全漏洞,还可以设定模拟攻击,以便测试系统的防御能力。通过漏洞扫描技术的应用,管理可以针对相应的问题,制定切实可行的安全解决方案。

2网络安全管理实施对策

2.1在全网部署硬件防火墙

根据内部网络的需求,在内网和外网之间架设硬件防火墙,隔离外网与内网之间的访问。在防火墙中打开IP和端口控制,设立DMZ区,打开所需的常用网络服务如HTTP、FTP等,这样就可防范外部对内部用户的攻击;及时查看防火墙的日志文件,对防火墙的管理可以指定独立的管理IP。通过对防火墙规则的设置,使用户需要的应用协议才能通过,让内部网络变得更安全。

2.2利用专用服务器安装网络版杀毒软件

采用网络版杀毒软件,可以对整个内部网络采取全面的病毒防护。现在的网络版杀毒软件有瑞星和江民。他们都能对整个内部网络进行防病毒统一管理,制作一定的防病毒策略,定时对全网系统进行自动查、杀病毒。网络防病毒策略一般包括:升级和修补,及时更新病毒程序包和杀毒软件版本;备份,定时备份所需的重要数据以便在出现故障时进行恢复;安装软件时使用经过确认的软件包;一旦某台机器感染病毒,找到感染源并彻底清除;任何客户端都不能自行卸载杀毒软件,设立卸载密码。

2.3网络安全漏洞修补

定期采用专用的漏洞扫描软件对内部网络的专用服务器如WWW服务器、视频会议服务器、数据库服务器、FTP服务器等进行漏洞扫描、分析和评估,并生成扫描报告。根据评估的安全风险,及时修补漏洞及下载系统更新补丁,还要对重要数据进行备份,以达到增强网络的安全性的目的。

2.4用户级访问控制

对所有用户采用专用的用户口令和访问规则及权限,以确保只有合法用户才能访问合法资源。网络管理员应该对不同的设备设置不同的口令,而且设置的口令最好是大小写字母、数字加特殊字符等,最好是8位以上的密码,还需要定期更改密码并将密码记录下来。

2.5内部网络计算机认证访问

我们都知道,计算机的MAC地址在全球是唯一的,在网络中对所有计算机进行IP地址和MAC地址进行绑定,就能够标识每台计算机的使用人,只有经过绑定的计算机的IP才能够访问网络。这种绑定可以使用具有三层功能的核心交换来做,也可以使用软件在专用服务器上做。利用这种绑定不但可以控制网内用户随意更换IP的问题,还可以很容易找到某些存在问题的计算机。

2.6网络机房安全管理

网络安全管理不仅仅要从计算机硬件、软件和人员使用上管理到位,而且对机房也要纳入安全管理范围,并建立各种安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度、各服务器检查备份制度等,建立相应的各种检查记录文件,定期修订不安全的因素,最终采取切实有效的措施保证制度的执行。通过以上对各种网络安全技术的分析,我们给出了相应的解决问题的对策,从技术和制度管理上保证了疗养院信息网络安全的运行。我相信,随着网络安全管理人员的进一步学习和实践,并积极参加国内外的各种网络安全培训,必将会进一步提高我们信息网络管理的安全,使网络安全正常的运行。

参考文献:

[1]AnneCarasik-Henmi.防火墙核心技术精解[M].北京:中国水利水电出版社,2005:10-14.

[2]戴浩,杨林.端端通信系统安全体系结构[J].计算机安全,2004(2).

篇6

关键词:计算机;网络安全;防范技术

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01

Brief Introduction on the Security and Prevention of Computer Network

Chen Zhengyao

(Yangjiang District Cadastral Management Office,Yangjiang529500,China)

Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.

Keywords:Computer;Network security;Prevention technology

一、计算机网络安全的概念

国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。

从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

二、影响计算机网络安全的主要因素

人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面:

(一)互联网络的不安全性。(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。

(二)操作系统存在的安全问题。操作系统是作为一个支撑软件,提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。

(三)来自内部网用户的安全威胁。来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。

(四)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

三、确保计算机网络安全的对策

网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。我们可从加强管理和提高网络安全技术两方面确保计算机网络安全。

(一)管理层面的对策。(1)建立安全管理制度。建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训,提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。(2)加强网络访问控制。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

(二)技术层面的对策。(1)网络病毒的防范。要使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。(2)配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效利用好防火墙。(3)采用入侵检测系统。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,有的入侵检测设备可以同防火强进行联动设置。(4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。(5)Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。(6)漏洞扫描系统。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。(7)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。

计算机网络系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。

参考文献:

[1]孟祥初.网络安全重在流程[N].通信产业报,2007

篇7

今日的世界已进入了网络信息高速流通的时代,它仿佛使地球变小了,把世界各地的距离拉近。随着计算机技术的发展,网络进入了千家万户。本文首先概括了网络信息安全的概念和当前网络安全解决方案的局限性,然后对网络安全防范体系及设计原则进行了系统分析。

【关键词】网络安全 网络攻击

1 引言

在网络信息高度发达的今天,网络已经成为信息交流便利和开放的代名词,几年前不可思议的事情今天已成为现实。然而伴随计算机与通信技术的迅猛发展,网络攻击与防御技术也在循环递升,矛与盾的较量会长时间的进行下去。原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁,网络安全已变成越来越棘手的问题。据有关部门统计,网络犯罪几年来呈上升趋势。在此,笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。

2 当前主要影响网络安全的管理因素和技术因素

随着计算机网络的普及,网络安全问题成了人们关心的焦点,影响计算机网络安全的主要因素有:

(1)TCP/IP的脆弱性。作为所有网络安全协议基石的TCP/IP协议,其本身对于网络安全性考虑欠缺,这就使攻击者可以利用它的安全缺陷来实施网络攻击。

(2)软件系统的不完善性造成了网络安全漏洞,给攻击者打开方便之门。

(3)网络结构的不安全性。由于因特网采用了网间网技术,因此当两台主机进行通信时,攻击者利用一台处于用户数据流传输路径上的主机,就可以劫持用户的数据包。

(4)缺乏安全意识和策略。由于人们普遍缺乏安全意识,网络中许多安全屏障形同虚设。如为了避开防火墙的额外认证,直接进行PPP连接,给他人留下可乘之机等。

(5)管理制度不健全,网络管理、维护任其自然。

(6)由于条块分割的利益分配问题所带来的网络安全问题。

3 目前解决网络安全问题存在着技术和管理的缺失

网络安全防范措施主要有防火墙、口令验证系统、加密系统等,应用最广泛的是防火墙技术。防火墙技术是内部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险立足点为。但也有其明显的局限性,如:

(1)防火墙难于防内。防火墙的安全控制只能作用于外对内或内对外,而据权威部门统计结果表明,网络上的安全攻击事件有70%来自内部攻击。

(2)防火墙难于管理和配置,易造成安全漏洞。防火墙的管理和配置,易造成安全漏洞。防火墙的管理及配置相当复杂,一般来说,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。

(3)防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的IP地址而不是用户身份,这样就很难为同一用户在防火墙内外提供一致的安全控制策略,限制了企业网的物理范围。

4 当前设计网络安全防范体系应遵循的原则

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(“系统安全工程能力成熟模型”)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以几项原则:

(1)短板理论在网络信息安全技术方面的应用。网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板” 。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的“安全最低点”的安全性能。

(2)防止以偏概全的网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。

(3)实践中的安全性评价与经济可行和安全性的平衡原则。对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。

5 结束语

由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则,更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。

参考文献

[1]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.

[2]刘占全.网络管理与防火墙[M].北京:人民邮电出版社,1999.

篇8

关键词:计算机;网络安全;防范措施;含义

中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 03-0000-02

Research and Discussion on Computer Network Security and Preventation

Xiao Zu

(Zhaotong Teachers' College,Shaotong657000,China)

Abstract:Fundamentally looking for addressing the safe operation of the computer network,you must start from the fundamental computer network.This article first analyzes the meaning of computer network security,described the causes of computer network security issues,and on this basis of computer network security measures and strategies.

Keywords:Computer;Network security;Preventive measures;Meaning

一、计算机网络安全的含义

计算机技术在现代社会的迅猛发展,离不开计算机网络提供的平台和运行环境,而今,计算机操作系统的功能日渐强大,伴随而来的计算机网络环境体系也复杂多变,尤其是计算机网络的负面影响在社会生活中造成的影响不容忽视[1]。若要从根本上寻找解决计算机网络安全运营问题,则必须从计算机网络的根本处入手。

目前被国际普遍接受的计算机安全定义是这样解释的:为计算机的数据信息处理系统采取和建立的技术或管理手段,保护网络中的计算机软件、硬件内存储的数据不会因为自然或人工的原因遭到更改、泄露甚至破坏。这个定义包含的内容有两方面,不仅要保证计算机内存储逻辑数据的安全,更要保护计算机系统的物理安全不受破坏。狭义理解情况下所指的计算机安全仅仅指的是计算机内部的逻辑数据的完整、保密性和可用性,也即是信息安全;广义理解的计算机安全是在信息安全的基础上,再加上对计算机网络终端的计算机操作系统硬件的完整性、保密性以及可用性的保护[2][3]。

二、计算机网络安全问题的产生原因分析

现阶段已知的计算机网络安全问题的产生方向主要有四类:网络本身的缺陷;网络用户操作不当带来的威胁;网络系统安全性评估测试手段的缺失;人为的黑客攻击。下面将具体分析每种威胁计算机网络安全的因素的作用过程。

(一)计算机网络本身的系统缺陷

现阶段市面上流行的多种计算机操作系统都并非完美,都或多或少存在着安全漏洞,这样也就给了网络安全问题产生的土壤,也给采用人工攻击网络的黑客利用这些操作系统的漏洞入侵计算机系统带来了可趁之机[4]。计算机操作系统的开发者虽然可以考虑到多个层面的操作需求,但是也不可能不对计算机操作系统留下一丝一毫的破绽,这样也就给网络安全埋下隐患。这些隐患一方面来自于存储文件的服务器:服务器是计算机网络的“交通枢纽”,它的稳定性和完善的功能会直接影响到网络系统的运行质量,若网络应用的用户需求未得到足够的重视,信息传输的规划没有做好,影响网络正常功能的发挥、信息传输的可靠性以及网络扩充和升级;另外一方面,安全策略缺乏的服务器工作站会明显影响网络的稳定。

(二)局域网终端的用户操作不当引发的安全威胁

局域网内部用户对网络安全带来的威胁要远大于局域网外部的安全攻击造成的威胁。很多局域网用户在使用网络时,并未接受系统的网络安全知识的教育,加之服务器系统的安全通信和访问控制的不作为,使得系统设置的错误就会在局域网内部造成极大的损失。健全的网络管理制度、安全设计完备的管理和维护工作可以大大降低网络内部人为因素产生的安全漏洞。为保证网络安全管理制度的顺利建立,网络的用户以及管理员各自的权限要明确划分,避免由于权限管理混乱造成的网络安全破坏[5]。

(三)网络系统安全性评估测试手段的缺失

网络安全性能评估即是通过对网络信息传输情况的检查,搜寻是否存在可能被网络入侵者利用的漏洞,对网络系统的现状作出安全情况分析、评估,若存在问题,则会对所发现的问题提出行之有效的简易,最终达到提高网络系统安全性能的目的。避免黑客入侵网络的有效手段之一就是建立起完整、准确的网络系统安全评估体系。这一评估可以对网络现存以及未来可能构建的网络安全体系作出准确的、科学的评估分析,对将要进行的安全策略的可行性提供保障。

(四)人为黑客攻击

黑客对网络的攻击,就是前文提到的局域网外部的入侵方式之一。黑客入侵是指以非法目的利用网络系统安全的漏洞入侵网络中的计算机操作系统,并作出破坏网络安全性和完整性等的破坏的行为。因为黑客入侵的目的以及所做的操作的未知性使得黑客入侵网络后所造成的危害较大,且无法预估,所以黑客的入侵对网络安全带来的威胁要远大于病毒对网络造成的危害[6]。然而,安全评估系统的不完整以及安全测试工具的更新速度要远远落后于黑客的入侵速度,所以,安全工具以及安全检测手段的更新速度无法满足网络的安全需要也是造成计算机网络安全问题产生的原因。

三、计算机网络安全防护措施及策略

结合上面对计算机网络安全问题产生的几点原因,我们不难从这些起因入手寻找解决网络安全问题的对策。从相应的法制机制的建立健全到网络用户安全意识的普及,从计算机网络监听的维护到网络防火墙的升级,可以采取的措施可以总结为以下几点:

(一)建立健全相应的网络安全法制机制

现行的《互联网信息服务管理办法》、《中国互联网络域名注册暂行管理办法》、《互联网站从事登载新闻业务管理暂行规定》等法律法规的相继颁布表明国家政府已经开始注重我国网络安全的环境规范问题,接下来对这些法律法规的贯彻落实,和对网络安全教育的培训和普及也要积极就绪。

(二)对网络病毒的预防

网络开放的环境很适宜计算机病毒的传播和扩散,单机的病毒预防产品已经难以彻底清除网络内留存的病毒,必须要结合计算机所在网络选取合适的防毒杀毒软件产品,尤其是军队、学校、政府机关以及企事业单位的网络一定要做好病毒的防治工作,规范上网,保证计算机内数据信息的安全可靠。

(三)计算机及网络的安全设置

在计算机网络中设置有效的防火墙,控制信息在网络中的流向,能够有效地控制不安全因素在计算机网络蔓延的采用Web、BBS等安全检测系统对网络的各类服务器的安全运行进行实施跟踪和监视;截获互联网内传送的数据包,并将这些分解后的数据包还原为原始的网页、电邮等内容。

(四)设置网络漏洞扫描系统

对网络层的安全保障需要首先了解网络中安全隐患以及漏洞可能出现的问题集中在哪些位置、哪些环节。越是大型网络其结构越是复杂,可能产生问题的结点越多,一旦出现网络安全问题,仅仅依靠网络管理员的经验寻找漏洞,或是做风险评估,则会由于主观倾向明显而导致无法确定问题的症结。最佳的解决方案即是寻找一种能够以扫描的方式及时发现网络漏洞,对网络安全问题做出风险评估,并提出漏洞修补建议的工具。优化的系统配置再加上安全工具的补丁弥补最近发现的安全漏洞或者安全隐患,达到防微杜渐的效果[7]。

(五)除了消除网络中的漏洞,解决网络中的身份认证问题―IP盗用问题,也是提高网络安全程度的必要条件

当某IP通过网络路由器访问互联网时,要在路由器设置检测IP广播包的MAC地址是否与路由器内存储的MAC地址相符,以身份检测的方式对网络发出安全隐患的预警。

(六)网络监听是局域网子网安全的重要保证

来自局域网外部的入侵可以使用防火墙解决,若入侵来自局域网内部,则需要局域网自身具备一定的入侵抵抗能力。为局域网子网制定特殊功能的审计信息文件,为局域网网管分析子网安全运行的状况提供依据。专用的子网监听功能,通过对子网的长期监听,掌握子网与互联网以及子网与终端计算机之间的通信情况,也为服务器的审计信息提供备份。

参考文献:

[1]刘征.浅谈图书馆计算机网络系统的安全管理问题及其防范措施[J].信息安全与技术,2011,8:48-50

[2]桑磊.计算机网络安全风险与防范策略浅析[J].商场现代化,2011,33:87

[3]张元峰.浅析计算机网络信息的安全防范[J].科学与财富,2011,11:199

[4]胡燕华,胡梅勇.关于计算机网络安全技术的防范策略[J].大科技:科技天地,2011,21:16-17

[5]杜常青.计算机网络信息技术安全及防范对策研究[J].信息安全与技术,2011,11:54-55

篇9

摘要:随着信息技术的飞速发展,网络与人们的工作、学习、生活等已密不可分,而网络安全也成为了制约网络发展的关键问题之一。本文主要介绍了目前我们面临的网络安全隐患以及应采取的防范措施。

关键词:网络安全;计算机;防范

互联网的产生和发展改变了人们的生活方式,网上购物、收发电子邮件、即时聊天等给人们提供了极大的便利,但同时也留下了一些隐患,比如说网上银行中的钱不翼而飞,收到了带有病毒的E-mail,qq密码被盗了等,造成了人们生活中的诸多不便,网络安全受到威胁。其实互联网影响到了社会的方方面面,小到个人,大到企业,甚至整个国家都与网络有着千丝万缕的联系。而网络安全又是网络技术发展的核心问题之一。只有提供了安全的网络,才能使互联网更好的为人们服务。因此网络安全越来越受到人们的重视,如何采取防范措施解决网络安全隐患已成为我们亟待解决的问题。

一、网络安全的概念

计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,确保系统正常运行,网络服务不中断。具体包括:(1)禁止非授权访问;(2)防止冒充合法用户;(3)保护数据的完整性;(4)保证系统正常运行;(5)阻止病毒入侵和恶意攻击;(6)阻止线路窃听。

二、常见的网络安全隐患

1.安全漏洞。操作系统是大多数计算机中的一个运行环境,而操作系统中通常都会因为技术原因、人为原因等存在一些安全漏洞,既我们常说的bug,比如我们常见的Windows操作系统,已了几十个安全漏洞警告。黑客很可能利用这些漏洞向网络发起攻击,导致某些功能丧失,甚至会窃取重要数据,威胁网络和数据的安全。此外,各类应用软件在编写的过程中可能会出现漏洞。如果编写人员在程序中加入盗窃功能,那么用户的信息就会被轻而易举的盗取。

2.病毒。病毒是目前网络最容易遇到的安全问题之一。病毒其实是一段可执行的代码,由黑客编写,它们可以破坏计算机系统。绝大部分病毒破坏计算机的软件系统,很少造成硬件系统的伤害。它通常伪装成合法附件通过电子邮件发送,或通过即时信息网络发送。

3.木马。木马是通过一段特定的程序来控制另一台计算机,使未授权用户能够访问安装了特洛伊木马的系统,可以捕捉密码和其他个人信息,最终达到控制你的计算机的目的。

4.人为原因。很多时候,个人由于网络安全意识薄弱或者错误的行为对信息造成破坏。尤其是在一些企业中,员工的信息安全意识相对落后,不能很好的对企业信息保护,导致企业在信息管理中存在着大量的安全盲点和误区。

三、网络安全防范措施

网络安全防范措施是一个复杂的过程,我们要从多方面进行考虑,不但要采用各种技术和设备来保障网络安全,还要加强各类计算机操作员的安全意识和建立安全规章制度。

1.网络病毒的防范。从网络病毒产生至今,病毒的种类越来越多,病毒的危害越来越大,病毒的传播越来越快,因此应安装杀毒软件,防止病毒侵害计算机。在使用杀毒软件的过程中要注意及时开启杀毒软件。要定期或不定期更新病毒库,保证新出现的病毒可以被杀毒软件检测及查杀。要定期或不定期查杀计算机病毒,如发现病毒入侵,应立即查杀。

2.防火墙。防火墙技术是用来加强访问控制,防止外部非授权用户以非法手段进入内部网络,访问网络资源,保护操作环境的特殊网络互连设备。防火墙主要拦截蠕虫,并提供电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无限接入点选项等服务。它是一种广泛采用的安全机制,防止Internet上的不安全因素进入内部网络。

3.数据加密。数据加密技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。它是网络安全领域广泛采用的技术之一,对于商业数据的保密和企业信息的维护上面,起着至关重要的作用。当下最新的数据加密技术采用驱动层加解密技术,因为更贴近于操作系统底层,能够有效防止黑客工具的攻击。

4.入侵检测。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,能识别出任何不希望有的行为,从而达到限制这些活动,保护系统安全的目的。

5.系统漏洞检测。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患和弱点。面对大型程序的复杂性和变化,仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。

6.建立规章制度,提高操作员素质。根据部门或单位的具体情况和技术条件,制定出切实可行且全面的网络安全规章制度。同时要落实制度的执行情况和做好监督工作。同时,提高网络工作人员的素质,加强网络安全管理队伍建设,对工作人员进行业务技术培训,降低人为事故发生的概率。进行有关网络方面的法律、法规教育,加强行业人员的法律观念。

四、结语

网络安全问题是现代社会一个重要的问题,网络安全涉及到许多人的切身利益。网络安全又是一个复杂的问题,它涉及到技术、管理、法规制定实施等许多方面。网络安全还是一个发展的问题,随着网络攻击方式的增加,对网络安全方法措施的要求也就越来越高。总而言之,网络安全问题应该引起现代人的高度重视,只有保证网络安全,才能让我们真正感受到互联网给我们带来的便捷。

参考文献:

[1]冒志建.信息网络安全及防范技术探讨[J].科技咨询,2008.

[2]陈力.网络信息安全与防护[J].电脑知识与技术,2008,10.

[3]张龙波.计算机网络系统的安全防范[J].科技资讯,2008.

篇10

【论文摘要】 在网络攻击手段日益增多,攻击频率日益增高的背景下,为了确保企业的信息资源、生产数据资料的安全保密,解决企业计算机网络中存在的安全隐患。需要一种静态技术和动态技术相结合的安全解决方案,即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系。包括防病毒技术;防火墙技术;入侵检测技术;网络性能监控及故障分析技术;漏洞扫描安全评估技术;主机访问控制等。

信息技术正以其广泛的渗透性和无与伦比的先进性与传统产业结合,随着Internet网络的飞速发展,使网络的重要性和对社会的影响越来越大。企业的办公自动化、生产业务系统及电子商务系统对网络系统的依赖性尤其突出,但病毒及黑客对网络系统的恶意入侵使企业的信息网络系统面临着强大的生存压力,网络安全问题变得越来越重要。

企业网络安全主要来自以下几个方面:①来自INTERNET的安全问题;②来自外部网络的安全威胁;③来自内部网络的安全威胁。

针对以上安全威胁,为了确保企业的信息资源、生产数据资料的安全保密,解决企业计算机网络中存在的安全隐患,本文介绍一种静态技术和动态技术相结合的安全解决方案,即在网络中的各个部分采取多种安全防范技术来构筑企业网络整体安全体系:①防病毒技术;②防火墙技术;③入侵检测技术;④网络性能监控及故障分析技术;⑤漏洞扫描安全评估技术;⑥主机访问控制。

一、防病毒技术

对于企业网络及网内大量的计算机,各种病毒更是防不胜防,如宏病毒和变形病毒。彻底清除病毒,必须采用多层的病毒防护体系。企业网络防病毒系统采用多层的病毒防卫体系和层次化的管理结构,即在企业信息中心设防病毒控制台,通过该控制台控制各二级网络中各个服务器和工作站的防病毒策略,监督整个网络系统的防病毒软件配置和运行情况,并且能够进行相应策略的统一调整和管理:在较大的下属子公司设置防病毒服务器,负责防病毒策略的设置、病毒代码分发等工作。其中信息中心控制台作为中央控制台负责控制各分控制台的防病毒策略,采集网络中所有客户端防毒软件的运行状态和配置参数,对客户端实施分组管理等。管理员可以通过管理员客户端远程登录到网络中的所有管理服务器上,实现对整个网络的管理。根据需要各个管理服务器还可以由专门的区域管理员管理。管理服务器负责收集网络中的客户端的实时信息, 分发管理员制定的防毒安全策略等。

配套软件:冠群金辰KILL6.0。KILL采用服务器/客户端构架,实时保护Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且破坏性很大的蠕虫病毒进入企业内部网,阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。它通过全方位的网络管理、多种报警机制、完整的病毒报告、支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒工作。

二、防火墙技术

防火墙是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而抵御网络外部安全威胁,保护内部网络免受非法用户的侵入,它是一个把互联网与内部网(局域网或城域网)隔开的屏障,控制客户机和真实服务器之间的通讯,主要包括以下几方面的功能:①隔离不信任网段间的直接通讯;②拒绝非法访问;③系统认证;④日志功能。在计算机网络中设置防火墙后,可以有效防止非法访问,保护重要主机上的数据,提高网络的安全性。

配套软件:NetScreen。NetScreen是唯一把防火墙、负载均衡及流量控制结合起来,且提供100M的线速性能的软硬件相结合的产品,在Internet出口、拨号接入入口、企业关键服务器的前端及与电信、联通的连接出口处增设NetScreen-100f防火墙,可以实现企业网络与外界的安全隔离,保护企业的关键信息。

三、入侵检测系统

入侵检测系统(IDS)是一种为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是对防火墙的必要补充,它可以对系统或网络资源进行实时检测,及时发现恶意入侵者或识别出对计算机的非法访问行为,并对其进行隔离,并能收集可以用来诉讼的犯罪证据。

配套软件: eTrust Intrusion Detection(Sessionwall-3)。利用基于网络的eTrust Intrusion Detection建立入侵检测系统来保证企业网络系统的安全性。

首先,信息管理中心设立整个网络监控系统的控制中心。通过该控制台,管理员能够对其它网络入侵检测系统进行监控和配置。在该机器上安装集中控制的eID中央控制台模块、eID日志服务器模块和eID日志浏览器模块,使所有eTrust Intrusion Detection监控工作站处于集中控制之下,该安全主控台也被用于集中管理所有的主机保护系统软件。

其次,在Internet出口路由器和防火墙之间部署一套eTrust Intrusion Detection的监控工作站,重点解决与Internet的边界安全问题,在这些工作站上安装软件,包括eID基本模块、eID模块和日志数据库客户端。

四、网络性能监控及故障分析

性能监控和故障分析就是利用计算机的网络接口截获目的地址为其他计算机的数据报文的一种技术。该技术被广泛应用于网络维护和管理方面,它自动接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。

配套软件——NAI Sniffer。NAI Sniffer 是一套功能强大的网络故障侦测工具,它可以帮助用户快速诊断网络故障原因,并提出具体的解决办法。在信息中心安装这样的工具,用于对网络流量和状态进行监控,而且无论全网任何地方发生问题时,都可以利用它及时诊断并排除故障。

五、网络系统的安全评估

网络安全性之所以这么低的一个主要原因就是系统漏洞。譬如管理漏洞、软件漏洞、结构漏洞、信任漏洞。采用安全扫描技术与防火墙、安全监控系统互相配合来检测系统安全漏洞。

网络安全漏洞扫描系统通常安装在一台与网络有连接的主机上。系统中配有一个信息库,其中存放着大量有关系统安全漏洞和可能的黑客攻击行为的数据。扫描系统根据这些信息向网络上的其他主机和网络设备发送数据包,观察被扫描的设备是否存在与信息库中记录的内容相匹配的安全漏洞。扫描的内容包括主机操作系统本身、操作系统的配置、防火墙配置、网路设备配置以及应用系统等。

网络安全扫描的主要性能应该考虑以下方面:①速度。在网络内进行安全扫描非常耗时;②网络拓扑。通过GUI的图形界面,可选择一个或某些区域的设备;③能够发现的漏洞数量;④是否支持可定制的攻击方法;⑤扫描器应该能够给出清楚的安全漏洞报告。⑥更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级,并给出相应的改进建议。

通过网络扫描,系统管理员可以及时发现网路中存在的安全隐患,并加以必要的修补,从而减小网络被攻击的可能。

配套软件:Symantec Enterprise Security Manger 5.5。

六、主机防护系统

在一个企业的网络环境中,大部分信息是以文件、数据库的形式存放在服务器中的。在信息中心,使用WWW、Mail、文件服务器、数据库服务器来对内部、外部用户提供信息。但无论是UNIX还是Windows 9X/NT/2K,都存在着这样和那样的安全薄弱环节,存放在这些机器上的关键业务数据存在着被破坏和窃取的风险。因此,对主机防护提出了专门的需求。

配套软件:CA eTrust Access。eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。

通过eTrust Access Control,我们可以集中维护多台异构平台的用户、组合安全策略,以简化安全管理工作。

通过以上几种安全措施的实施,从系统级安全到桌面级安全,从静态访问控制到动态入侵检测主要层面:方案覆盖网络安全的事前弱点漏洞分析修正、事中入侵行为监控响应和事后信息监控取证的全过程,从而全面解决企业的信息安全问题,使企业网络避免来自内外部的攻击,防止病毒对主机的侵害和在网络中的传播。使整个网络的安全水平有很大程度的提高。

【参考文献】