网络安全防护预案范文

时间:2023-12-01 17:44:12

导语:如何才能写好一篇网络安全防护预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络安全防护预案

篇1

随着4G通信技术的不断发展和应用,对于新技术革新带来的网络信息安全威胁更加突出。运营商在面对更多的不确定因素及威胁时,如何从网络信息安全管控技术上来提升安全性水平,已经成为运营商提供良好服务质量的迫切难题。为此,文章将从主要安全威胁源展开探讨,并就安全防范策略进行研究。

关键词:

运营商;网络安全;威胁;防护策略

从3G到4G,随着运营商全业务运营模式的不断深入,对支撑网络运行的安全管控工程建设提出更高要求。特别是在应用系统及用户数的不断增加,网络规模不断扩大,面对越来越多的应用设备,其网络安全问题更加突出。2014年携程小米用户信息的泄露,再次聚焦网络信息安全隐患威胁,也使得运营商在管控网络安全及部署系统管理中,更需要从技术创新来满足运维需求。

1运营商面临的主要安全威胁

对于运营商来说,网络规模的扩大、网络用户数的骤升,加之网络分布的更加复杂,对整个网络系统的安全等级也提出更高要求。当前,运营商在加强网络信息安全防护工作中,需要从三个方面给予高度重视:一是来自网络系统升级改造而带来的新威胁。从传统的网络系统平台到今天的4G网络,IMS网络的商业化,对传统网络业务提出新的要求,特别是基于IP的全网业务的开展,无论是终端还是核心网络,都需要从IP化模式实现全面互联。在这个过程中,对于来自网络的威胁将更加分散。在传统运营商网络结构中,其威胁多来自于末端的攻击,而利用IGW网络出口DDoS技术,以及受端网络防护技术就可以实现防范目标,或者在关口通过部署防火墙,来降低来自末端的攻击。但对于未来全面IP化模式,各类网络安全威胁将使得运营商业务层面受到更大范围的攻击,如木马病毒、拒绝服务攻击等等,这些新威胁成为运营商IP技术防范的重点。二是智能化终端设备的增加带来新的隐患。从现代网络通信终端智能化程度来看,终端的安全性已经威胁到网络平台及业务的安全,特别是在不同接入模式、接入速度下,智能终端与相对集中的运营商全业务管理之间的关联度更加紧密,一旦智能化终端存在安全隐患,即将给通信网络平台带来致命威胁。如智能化终端利用对运营商业务系统的集中攻击可以导致运营商服务的中断。同时,作为智能终端本身,因软硬件架构缺乏安全性评测,在网络信息完整性验证上存在缺陷,也可能诱发篡改威胁。如在进行通信中对信息的窃听、篡改,这些安全漏洞也可能引发运营商网络的安全威胁。三是现有安全防护体系及架构存在不安全性风险,特别是云技术的引入,对于传统网络架构来说,在用户数、增值业务骤升过程中,对现有基础设施的不可预知性问题更加复杂。另外,在网络安全标准制定上,由于缺乏对现阶段安全威胁的全面评估,可能导致现有网络体系难以适应新领域、新业务的应用,而带来更多的运行处理故障等问题。

2构建运营商网络安全防护体系和对策

2.1构建网络安全防护统一管控体系

开展网络信息安全防范,要着力从现有运营商网络系统业务类型出发,根据不同功能来实现统一安全管控,促进不同应用系统及管理模式之间的数据安全交互。如对网络运维系统安全管理,对计费系统用户的认证与管理,对经营分析系统的授权与审计管理,对各操作系统数据存储的分散管控等,利用统一的安全管控功能模块来实现集中认证、统一用户管理。对于用户管理,可以实现增删修改,并根据用户岗位性质来明确其角色,利用授权方式来实现对不同角色、不同操作权限的分配和管理;在认证模块,可以通过数字认证、密码校验、动态认证及令牌等方式来进行;在权限管理中,对于用户的权限是通过角色来完成,针对不同用户,从设备用户、用户授权访问等方式来实现同步管理。

2.2引入虚拟化技术来实现集中部署

从网络信息安全管控平台来看,对于传统的管控方案,不能实现按需服务,反而增加了部署成本,降低了设备利用率。为此,通过引入虚拟化技术,部署高性能服务器来完成虚拟的应用服务器,满足不同客户端的访问;对于客户端不需要再部署维护客户端,而是从虚拟服务器维护管理中来实现,由此减少了不必要的维护服务,确保了集中维护的便利性和有效性。另外,针对运营商网络中的多数应用服务器,也可以采用集中部署方式来进行集中管理。

2.3引入RBAC角色访问控制模型

根据角色访问控制模型的构建,可以从安全管控上,利用已知信息来赋予相应的权限,便于正确、快速、有效的实现用户特定角色的授权。同时,在对RBAC模型进行应用中,需要就其权限赋值进行优化,如对层次结构的支持,对不同用户群组、不同用户存在多个岗位的角色优化,对岗位与部门之间的协同优化,对用户岗位与用户权限及其所属岗位角色的继承关系进行优化等等。

2.4融合多种认证方式来实现动态管控

根据不同系统应用需求,在进行认证管理上,可以结合用户登录平台来动态选择。如可以通过数字认证、WindowsKerberos认证、动态令牌等认证方式。当用户端采用插件方式登录时,可以动态配置key证书认证,也可以通过短信认证来发送相应的口令。由于运营商网络应用账户规模较大,在进行系统认证时,为了确保认证账户、密码的有效性、可靠性,通常需要客户端向应用服务器发送请求,请求成功后再向用户端发送认证密码。

2.5做好运营商网络安全维护管理

网络信息安全威胁是客观存在的,而做好网络安全的维护管理工作,从基本维护到安全防护,并从软硬件技术完善上来提升安全水平。如对网络中服务器、操作系统及网络设备进行定期检查和维护,对不同网络安全等级进行有序升级,增加网络硬件加固设备,做好日常网络维护工作。同时,对于安全维护岗位人员,做好网络硬件设备、网络访问控制权限的管理,并对相关的口令及密码进行定期更换,提升安全防护水平。另外,运营商在构建网络安全防护体系上,不仅要关注网络层面及应用层的安全,还要关注用户信息的安全,要将用户信息纳入安全管理重要任务中,切实从短信认证、用户实名制、用户地理信息等个人隐私保护中来保障信息的安全、可靠。

2.6做好网络安全建设与升级管理

随着网络通信新业务的不断发展,对于网络信息安全威胁更加复杂而多样,运营商要着力从新领域,制定有效的安全防护策略,从技术创新上来确保信息安全。一方面做好网络安全策略的优化,从网络业务规划与管理上,制定相应的安全标准,并对各类业务服务器进行全程监管,确保业务从一开始就纳入安全防护体系中;另一方面注重安全技术创新,特别是新的网络安全技术、防御机制的引入,从安全技术手段来实现网络系统的安全运行。

3结语

运营商网络安全防护工作任重道远,在推进配套体系建设上,要从安全维护的标准化、流程化,以及网络安全等级制度完善上,确保各项安全防护工作的有效性。另外,加强对各类网络安全应急预案建设,尤其是建立沟通全国的安全支撑体系,从统一管理、协同防护上来提升运营商的整体安全防护能力。

作者:王树平 东野圣尧 张宇红 单位:泰安联通公司

参考文献:

[1]吴静.关于通信系统风险的研究[J].数字通信,2014(3).

篇2

关键词:硬盘保护卡;网络;安全

我校的网络机房承担着各个专业计算机课程的教学和上机实验任务,还提供全校学生选课、注册,同时也是全国《计算机应用基础》自学考试机考的考点。由此可见,网络的安全运行和机器系统的正常使用尤为重要。经过多年工作实践,220台机器的机房采用以下三种维护和管理方法,有效地防范了病毒对系统和网络的攻击,保证了教学和考试的正常进行。

1 选用硬盘保护卡

保护卡的工作原理是在系统启动时,首先用它的程序接管INTl3中断地址,这样只要是对硬盘的读写操作都要经过保护卡的保护程序进行保护性读写,也就是先将FAT文件分配表、CMOS信息等都保存到保护卡内的临时存储单元中,重新启动系统后清除写入数据。硬盘保护卡在大型网络机房的管理与维护中以其多功能性和易操作性已被广泛使用。灵活设置使用其功能,可对机房的安全维护起到重要作用。

(1)设置“快速复原型引导盘”

保护卡基本的功能是实现对硬盘数据及coms参数的全面防护,可快速恢复由于计算机病毒侵入或人为操作失误造成的系统故障。

高校的网络实验课需要学生修改IP、安装通讯协议和进行系统配置,将系统盘(C盘)设置为“快速复原型引导盘”,给学生提供了一个模拟实验平台,让学生通过实际操作掌握教学内容,提高实验动手能力,重新启动机器系统即刻恢复。

(2)设置“每日清除公用资料盘”

局域网的特性是机器之间可互访操作、共享资源,同样带来的问题是病毒爆发点多、传播速度快、故障群发的现象。例如:学生机出现“双击D盘无法打开”的提示,最初解决的方法是:运行cmd,进入D盘根目录,更改au-torun.inf文件属性:attrib autorun.inf-r-s-h(去除只读、隐藏、存挡属性),输入:delautorun.inf删除此文件后,重新启动系统D盘可恢复正常使用。巧用保护卡的功能,能够更有效、快捷地解决这个问题。将D盘设置为“每日清除”。即每日24时之后开机,D盘将自动清除包括隐含文件在内的所有驻留文件,解决了开机进入系统,autorun.inf自动运行造成“双击D盘无法打开”的错误提示。在计算机病毒防不胜防的状况下,设置每日清除资料盘中的文件,对系统正常使用和网络安全运行起到了重要的辅助作用。

2 安装杀毒软件

使用U盘、收发邮件、下载文档均是病毒侵入系统的主要源头。在一个VLAN网段中病毒爆发可致使交换机端口负载过大,导致服务器无法对学生端机器实施有效的控制。

在一次上课时,教学播放软件只能监控部分机器而且无法同步切换画面,查看学生机器发现cpu的使用率为100%,打开Sniffer软件,观察Host table界面中out-bytes参数的数据流量递增,机房的11台D-LINK交换机指示灯狂闪(近似于针对局域网的ARP病毒攻击症状),网段已处于瘫痪状态。由于安装了硬盘保护卡,重新启动机器后接收到传送过来的画面。

针对此类事件的多次发生,机房选用并安装了Symantec AntiVirus 8.1企业版杀毒软件,启用实时防护功能,查随机运行出现的病毒,对驻留内存的病毒实施隔离。在“熊猫烧香”病毒大肆爆发造成很多局域网瘫痪时,我校网络机房运行稳定。由此可见,机房在配备保护卡的同时安装杀毒软件是必要的。

3 停机对拷

学校的网络机房在进行系统升级、更新软件等工作时,为不影响正常教学,通过对保护卡功能模块的设置,可分组对机房的机器进行维护。

篇3

【关键词】设备管理;安全防护;服务;协议;访问列表

0.引言

随着互联网的发展,网络设备在网络中的安全防护问题日趋严峻,网络设备被攻击而导致无法为用户提供服务的情况时有发生,原有的一些传统设备管理方式和方法存在安全隐患,管理人员往往重视对用户攻击的防护而忽视了对设备本身安全的防护。为保证网络设备的稳定运行,提高对外来攻击的防护能力,加强网络设备对远程管理的可靠性,在网络设备管理中要采用更加安全、便捷的技术手段管理网络设备。

1.网络设备管理存在的安全风险

1.1对设备的远端管理采取传统管理方式,无接入限制,存在隐患

在对设备的远程管理上,基本都是通过传统的TELNET 方式管理,由于TELNET协议特点决定其不安全性,没有口令保护,远程用户的登陆传送的帐号和密码都是明文,没有加密,使用普通的抓包工具就可以被截获。没有强力认证过程,只是验证连接者的帐户和密码。 没有完整性检查,传送的数据没有办法确定是否完整的,而不是被篡改过的数据。

1.2 SNMP访问无限制

简单网络管理协议SNMP是目前TCP/IP网络中应用最广的管理协议,主要有三个版本,SNMP1,SNMP2,SNMP3其中版本1最常用,但是他有很多安全问题,原因是他的认证方案是基于一个字符串的,字符串在网络上没有任何加密,采用明文传输,所以是非常脆弱的。

1.3开启不必要服务,增加了设备的被攻击几率

许多设备在出厂时为了保证多种应用需要,在缺省情况下的许多服务是开启,例如:DHCP,WEB,FINGER,FTP等等,这些服务在我们的实际工作中往往应用不到,,我们往往忽视对这些服务端口的管理与防护,但这些开启的服务端口却可能成为设备被攻击的最好载体。

1.4设备管理安全防护未做到全网联动

我们在对设备安全防护时对一些关键的设备关注较多,而对一些底端的接入设备关注较少,但是这些设备往往由于处理能力较弱,防护功能较弱,漏洞较多而成为被攻击的目标,这些设备一旦被攻破,则会危及到关键设备的安全,近而危及整个网络的安全。

2.设备管理安全防护优化策略与方法

针对网络设备安全防护中的问题,通过加强设备的访问配置、服务端口限制进行优化,加强核心出口对网内设备访问限制优化,提高全网设备对安全攻击的综合防控能力。

2.1加强设备的远程管理控制,提高远程管理安全性

TELNET 是TCP/IP环境下的终端仿真协议,通过TCP建立服务器与客户机之间的连接。连接后,TELNET服务器与客户机进入协商阶段,选定双方都支持连接操作,每个连接系统可以协商新可选项或重协商旧可选项。传统telnet连线会话所传输的资料并未加密,因此需要将telnet服务关闭,改用更为安全的SSH。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以多种方式进行保密。在使用SSH的时候,一个数字证书将认证客户端和服务器之间的连接,并加密受保护的口令。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。

在城域网内所有支持SSH管理的设备上启用SSH管理方式。登录城域网路由器或交换机,并确定是否加载了一个支持SSH的IPSec IOS镜像。确定支持后进行启用SSH配置,以下为常用的华为设备配置方法;

local-user abcde password cipher DDN/[AN^C@;,YWX*NZ65OA!!

local-user abcde service-type telnet ssh

ssh user abcde authentication-type password

ssh user abcde service-type stelnet

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

在配置好SSH登录后关闭TELNET登录方式,增强设备健壮性。

同时为设备设置会话超时断开及警示登录标语消息

2.2加强SNMP安全防护,针对SNMP访问设置访问列表

由于SNMP强大的网络管理功能,在网络管理中得到广泛应用,但在应用中也暴露出明显安全不足,如,缺少身份验证(Authentication)和加密(Privacy)机制。虽然在SNMPv2版本后有了很大改进,但许多厂商使用的还是标准的通信字符串。为了提高SNMP通信时不被黑客截获数据而被入侵。有必要对所管理的网络设备进行SNMP协议限制。

在使用SNMP时,尽量将SNMP服务升级到2.0或更高的版本。修改所有默认的通信字符串。另外在设备上,应该编写一个ACL,只允许特定的可信任的SNMP管理系统进行SNMP操作。下面的命令可以设定SNMP版本,并且为SNMP管理启用ACL控制,只允许来自SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:

snmp-agent sys-info version

snmp-agent community read abcdef acl 2000

acl number 2000

rule 5 per source xx.xx.xx.xx xx.xx.xx.xx

这个ACL的第一行定义了可信任管理系统(xx.xx.xx.xx)。利用snmp-agent community read abcdef acl 2000的命令可以将上述ACL应用到SNMP中.在网络出口上过滤SNMP通信和请求,阻塞SNMP请求使用的端口,外部网络访问内部网络的能力就受到了限制。

2.3关闭不必要的服务,对必需开启的服务通过访问列表进行控制

对于我们所维护的网络设备,必需了解每台设备所需要开启的服务,对应用不到的服务予以关闭,在网络设备中通常需要关闭的服务包括:CDP、HTTP、WINS、DNS等无关的服务项目。对于应用较少的服务,可以在应用时开启,不应用时关闭。例如:TFTP与FTP是进行数据备份常用的两种服务,但在平时维护管理时,则应用不到,我们可以在应用时将该服务开启,平时则将其服务关闭,提高设备安全性。

2.4用城域网出口设备建立对全网设备的访问控制,限制城域网外网对城域网设备的访问

对网络内设备的管理地址统一分配,将管理地址分配为同一网段内,以便于通过ACL控制。对于城域网内设备可遵循公网设备,内网式管理的方法,即对于用户来说,对网络设备不应该有任何针对设备的应用服务请求,可以在关口设备针对网内设备将所有针对设备的应用服务请求屏蔽掉,在城域网内的三层接入设备上同时对接入端口设置ACL,控制对城域网设备的访问,可以将除管理需要的SNMP、SSH或TELNET、FTP或TFTP开启外,其他服务均予以关闭。如果必需通过城域网外网访问,则设置访问跳板,即设置一台机器作为登录设备的跳板,避免对设备的直接操作,减少设备密码被窃听几率。在ACL的设置点上,选在城市核心设备的入接口和三层汇聚接入设备的接入口上,这样可以避免在所有设备启用ACL而加重网络负担,同时又能有效对设备进行防控。

华为设备ACL配置:

建立ACL

acl number 3001

rule 5 permit tcp source xx.xx.xx.xx xx.xx.xx.xx(准许IP段) source-port eq 20 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 20

rule 10 permit tcp source xx.xx.xx.xx xx.xx.xx.xx(受(下转第275页)(上接第120页)限IP段) source-port eq 21 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 21

rule 25 permit udp source xx.xx.xx.xx xx.xx.xx.xx(准许IP段) source-port eq 161 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 161

rule 30 permit udp source xx.xx.xx.xx xx.xx.xx.xx(受限IP段) source-port eq 162 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 161

rule 35 deny tcp source any des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP)

rule 100 permit ip

建立policy

traffic behavior guanli

traffic policy guanli

share-mode

classifier anti behavior guanli

将防护列表应用于上行口.

traffic-policy guanli inbound

3.结论

通过上述优化措施,提高了整个城域网设备的整体防护能力,使设备安全得到了较好保证,提高了网络的整体健壮性。

【参考文献】

[1]华为技术公司.《华为NE5000E高端路由器操作手册》.

[2]苏英如.《网络管理与维护技术》,中国水利水电出版社.

篇4

关键词:无线网络;网络信息;安全防护措施

中图分类号: G250 文献标识码: A

引言

随着我国经济和科学技术的快速发展,无线网络已经成为了人们日常生活中不可缺少的一部分。就连飞机上也渐渐开始提供无线Wifi接入服务,2014年7

月份时中国东方航空公司在部分京沪航线上率先试点开通Wifi服务,足以证明无线网络对人们生活的重要性。在日常生活中人们已经体会到了通信网络所带来的便捷性以及实用性,但是无线的网络安全问题也变成了一直困扰人们的很大的一个问题。

1、无线网络概述

无线网络是近年来发展的网络技术,其主要技术核心分为Wifi、2G、3G、4G无线网络。这些无线网络中,Wifi实际上是一种区域性网络,其存在一定的局限性。例如,路由器或者无线接入点的接收端与发射端,网络信号被发射到有限的空间中,在这个有限空间内,网络用户可以通过带有无线网卡的计算机或者智能终端进行网络搜索并连接到无线网络中去。

2、无线网络常见安全隐患

2.1、非法攻击者窃听

目前,非法攻击者窃听无线网络数据成为了常见的安全隐患。非法窃听与复制手机卡窃听用户隐私数据的方式基本相同。由于无线网络环境具有独特的开放性和广泛性,非法窃听正是利用了这一原理,即使对无线网络采取一定的加密措施,非法攻击者也可以利用解密软件轻松破译密码。因此,无线网络这种开放式数据传输的重要特征,更容易受到非法攻击和恶意破坏。

2.2、非法接入并攻击

无线网络在无线终端接入前若无任何安全接入手段或者措施,如未设置密码等。那么,无线终端都能接入到这个区域的无线Wifi中。随着现代信息技术的日益普及,网络黑客的攻击目标主要是政府部门、情报部门、中央企业和网上银行等,这些机构中的重要数据信息与黑客个人经济利益密切相关。网络黑客能够穿过普通防病毒软件和防火墙系统的拦截,同时,网络黑客以计算机终端作为窃取数据信息的载体,并将其作为入侵和攻击目标,通过编写应用程序实现非法入侵,改变了直接入侵带来的容易被发现的问题。总之,无线网络的接入要求或者接入方式越简单,给网络本身带来的风险将越高。

2.3、计算机病毒

计算机病毒不仅仅能通过有线网络传播,而无线网络是传输介质由双绞线、光纤等变成了无线信号,同样也可以传播计算机病毒。无线网络终端也会面临计算机病毒的威胁。这些威胁包括:网络蠕虫病毒,它的传播能力强、破坏力大,网络木马病毒可以实时控制感染的计算机终端,并采取远程控制窃取重要的数据信息。目前,虽然大多数杀毒软件都能起到一定的杀毒功能,但随着计算机病毒的不断变异和进化,很容易绕过杀毒软件的防护层,实现对目标终端的病毒感染。同时,由于网络交易应用日益普及,针对网上交易买卖的计算机病毒呈现出规模化发展趋势。利用网络病毒、木马植入和垃圾邮件传播实现的网络攻击事件越来越多,计算机病毒的入侵可以为非法者盗取用户个人账户和密码信息,以便从中获取经济利益。

3、常见无线网络安全措施分析

3.1、对网络漏洞的扫描和修补进行强化

在通信网络信息化程度不断加大的今天,网络的信息安全事件的发生率也在逐渐的提高。所以加强对于网络漏洞的扫描和修补对于防止恶意攻击者的攻击有很好的效果。对网络进行安全性扫描只是一种提高通信网络信息安全的一种重要的措施。并且还可以针对扫描出来的漏洞下载合适的补丁对网络进行及时的修复,进而保证了通信网络的信息安全。

3.2、对重要的信息进行再加密的处理

信息的加密处理本身就是一种增强信息安全的手段,能够有效的防止用户个人信息的泄露。所以企业在对网络进行扫描和修补的同时也对重要的信息进行再加密就可以很好的确保重要信息的安全性。

3.3、建立针对网络信息安全的应急措施

针对网络信息安全建立合理及时的应急措施也是十分有必要的。这些将确保在遇到网络信息安全问题的时候能及时有效的解决。现在针对通信网络的信息安全问题要做到:预防第一。既要加强事前的预防,同时对于发生之后也要有相应的应对措施,这样才能保证网络信息的安全性。

3.4、无线终端联网可追溯性措施

无线终端联网及上网行为的可追溯性,也十分重要。无线终端接入和断开无线Wifi非常便捷,一旦无线终端的上网行为不受审计或者约束,无论对网络管理员还是整个互联网都将是极大的威胁。因此,无论是网络运营商、服务行业或者企事业单位,都将采用账号、手机号码或者具有相应审计功能的设备来解决这类问题。通过账号和手机号码的唯一性能准确的定位,而具有相应功能的设备如上网行为管理设备,则能记录账号、终端MAC地址、终端类型等详细信息,甚至能记录浏览过的网页,功能相当齐全。

4、无线网络安全措施应用

(1)目前,无线网络采用的加密方式主要是WAP加密,因此对于密码的设置一定要相当严谨,很多用户和企业设置密码时过分简单,如12345678,有些单位为了便捷甚至不设置密码,这显然起不到安全防护的作用。而目前SSID隐藏似乎并不起到真正的安全防护作用,因为只要使用专用的软件就能够轻易地扫描到附近存在的SSID账号。因此在对这个安全措施的使用上,既要充分考虑到用户使用的便捷性,即将SSID字符设置为更容易理解的字符,这样方便用户的接入,而WAP密码则需要设置得相对复杂些,这样能够阻挡住一部分没有经过授权的入侵者。

(2)在对无线安全防范措施的选择上,可以采用Portal+802.1x这2种认证的方式来提升无线网络安全的防范能力,通过强制Portal认证方法不需要用户额外安装客户端软件,用户只需要通过WEB浏览器就能够浏览互联网,这种方式显然更加方便快捷,但相对来说安全属性要差一点,因为数据在无线网络中传输是不被加密的。而802.1x则相对Portal和WAP更加安全,因为802.1x是加密的。另外,如果企业对于安全等级防护要求比较高的,那么可以通过加装专业的无线网络入侵检测的硬件设备来实现主动式防御,这种硬件设备融入了智能入侵检测功能,从很大的程度上实现了主动的防御,有效地提升无线网络的安全属性。

(3)在MAC地址过滤方面的使用,通常采用的方式有2种,1种是指定的MAC地址不能够访问无线网络;另1种是指定的MAC地址能够访问网络,未经许可的MAC地址不能够访问。目前较为主流的安全控制是选择指定的MAC地址能够访问网络,未注册的MAC地址就不能够访问。但是这里也造成一个问题,那就是当企业有外来用户需要连入无线网络,此时就存在着必须要专业IT人员进行设置,否则连接不上的问题。这样虽然降低了无线网络使用的便捷性,但是从安全角度来说,还是相当有必要的。

结束语

无线网络因为采用了开放式的媒介传输方式,其安全属性本身就较弱,对于一些专业的入侵专家来说,现有的各种安全防范措施是很容易被攻破的,甚至仅仅需要几分钟的时间就能够入侵到无线网络。但是这并不意味着无线网络安全防范措施不重要,必须要加强安全措施,再加上专业的安全管理是能够有效提升无线网络安全能力的。随着技术的不断发展,具有便捷性和安全性的无线网络将成为承载信息传递的主要媒介平台,为整个社会乃至全球提供优质可靠的数据、语音传输服务。

参考文献

[1]来羽,张华杰.基于无线网络的网络信息安全防护措施探究[J].煤炭技术,2013,10:234-235.

篇5

关键词:计算机;网络安全;计算机病毒;防护

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02

Internet技术在近些年来发展迅速,在计算机网络迅速普及的过程中,人们的生产、生活方式也在不断地发生改变。但是在计算机网络普及的过程中,计算机的安全隐患也逐渐地显现出来,计算机网络的安全急需强有力的措施加以保证。本文主要对计算机网络安全技术进行分析探讨。

一、网络与网络安全

网络,从校园中的局域网到遍及全球的互联网,逐渐显示其开放、互联与共享的特点,但是在发展的过程中暴露出更多的网络安全问题。用户对网络安全的要求很高,安全管理是网络系统的薄弱环节,安全管理需要网络管理者对潜在的安全威胁,有提前预见性。及时针对出现的安全隐患采取相应的防范措施,将安全威胁减少到最低,使公司企业网络内部信息与外部数据的危险系数降到最低化。利用网络管理控制和技术措施能够保证计算机网络的安全性能,保证保密性数据在安全的网络环境中,能够得到完整地运行和正常的使用。计算机网络安全技术,涉及到防病毒软件技术,防火墙技术,以及相关的安全组件的组合,确保网络信息的安全。如,防火墙技术、PKI技术、数据加密技术,可以确保网络正常、高效、安全地运行。

网站的建设和管理,需要随时发现网络的安全问题,及时研究制订网络管理措施控制和技术。网络安全包括的基本要素有:①确保信息不暴露给未授权实体进程的机密性;②只有被许可人能修改数据,辨别数据可用与否的完整可用性③信息能被控制授权范围内流向的可控性④网络安全问题具有针对性调查依据的可审查性。

二、威胁计算机网络安全的几大因素

(一)人为窃密和破坏因素。威胁计算机网络安全的人为因素之一,就是内部窃密和破坏。内部人员由于故意或过失对信息进行泄露和对记录的更改,造成对信息系统的威胁。内还有一些机关和单位由于管理上的疏忽,造成非授权人员的进入没有被阻止,而造成的机密信息有意无意地被泄露。内部人员不按照要求对网络配置与信息记录的私自更改,从而破坏网络信息系统,出现严重的安全隐患。

(二)黑客的非法访问。未经授权的使用者进入网络资源。如,黑客进入系统进行破坏性的网络操作,当然,合法用户在未授权下也属于非法访问操作。黑客工具BO(Back Orfice2000) 是运行环境为Win98的,较常见的木马程序,Bogui . exe是它的宿主端程序,Bogui . exe程序为客户端。可监控在TCP/ IP协议下任何上网的计算机。服务器端程序通过注册表自动运行。

(三)信息完整性被破坏。信息完整性被攻击的形象如,打乱信息流序,信息的一些关键性内容被更改,使得信息不再完整,还有的是在信息中加入与之无关的内容,让接受信息的一方不能顺利接收,或者接到了信息不发识别,出现乱码。如,“茅山下”网站邮件病毒,通过“I LOVEYOU”(爱虫) 病毒自我复制和传播。收件人通过OutlookRS 打开染病毒邮件,病毒被自动激活,发送带有病毒附件的邮件,类似于蠕虫一样“蠕动”,从一台机器感染到多台机器。

(四)搭线、截收机密信息。这种方式是安全分子通过搭线截收方式,改变信息流向,对通信频度和长度参数的更改,来截获信息。这种与前一种的不同之处是,具有很强的隐蔽性,因为这种方式不对传输信息的内容造成破坏。攻击者截获并录制信息后,定时重发或循环发送。

(五)通过冒充左右网络资源。网络信息的攻击者,通过冒充领导,来发号施令调阅文件。通过对主机的冒充,使得合法用户被欺骗。通过对控制程序的冒充,来套改网络使用的权限口令信息,使网络设备和资源被非法使用,使得合法用户系统被欺骗,不能正常地来对网络资源进行有效的访问,合法资源被非法占用。在服务和访问的时间上受到严重影响,严重的系统会被摧毁。

(六)消息发出后的否认。某条消息的内容被发信者发送后,但事后否认发送行为,或否认曾经接收过相关的消息。此外,计算机病毒、电磁泄漏、各种灾害、操作失误等也会对网络系统造成威胁。

三、计算机网络安全防护技术

计算机网络安全系统工程较复杂,需要从技术设备与制度管理多方面进行整体把握防护。综合网络信息系统安全技术,制定安全方案。通过综合安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术,构建一套完整的网络安全防护体系,使管理与技术并重并相结合,加强网络立法与执法力度打击计算机犯罪。建立备份恢复机制,制定相应的安全标准,不给计算机病毒可乘之机。

(一)防火墙技术。由软件、硬件在网络群体计算机与外界通道间,构成防火墙,对外界用户在内部网络访问上加以限制和约束。对于内部用户,管理外界网络的访问权限。防火墙是实现网络安全最基本、最有效的一道高效的屏障。

篇6

无线局域网是一种不可替代、非常重要的网络连接方式,它的优点在于灵活性、易于使用、鲁棒性和成本,而无线局域网的缺点在于安全性、无线电波的覆盖范围和数据传输速率。图1给出了无线局域网的基础体系结构,一个无线局域网网络包括访问点、无线客户端、基本服务集、扩展集和分布式系统。无线网络可分为点到点(Ad-Hoc模式)和访问点(Infrastructure模式),IEEE802.11标准是最初无线局域网的标准,表1给出了补充的IEEE802.11b,a,g,I,n的协议列表[1]。图2给出了常见的家庭无线网络结构图,ADSLModem上连ISP的宽带接入服务器,下连无线路由器的外接口;无线路由器的内接口以有线方式连接若干台式机和打印机等,无线方式连接智能手机、笔记本、IPAD等移动设备,通过对无线路由器的配置完成家庭终端设备之间的通信及家庭终端设备与外网Internet的通信。无线路由器一般都支持Wi-Fi,Wi-Fi(wirelessfidelity无线保真)是Wi-Fi联盟(Wi-FiAlliance)所持有的无线网络通信技术品牌,目的是改善基于IEEE802.11标准的无线网络产品之间的互通性,Wi-Fi是IEEE802.11标准的具体体现[2]。无线路由器目前以配置802.11b/g居多(已远高出家庭接入网络带宽,能满足家庭无线带宽共享上网的需求),把有线信号转换为无线信号,供支持其技术的相关电脑、手机、PAD等接收。由于无线信号是一种存在干扰的射频信号,天线是方向性元件,只能朝特定的方向辐射高能量,因此无线路由器应尽量放在开阔、无障碍的“居中”位置,100平米户型的公寓房应选择放在大厅或几个房间的交汇处,效果较为理想。

2WEP和WPA无线网络破解的仿真实验

(1)WEP(有线对等保密)加密,是厂商作为一种伪标准匆忙推出的一种无线加密方式。由于WEP自身算法存在严重缺陷[3-4](使用静态密钥加密和预设密钥验证),即使设置高复杂WEP密码也是形同虚设,攻击者可以捕获足够的Cap数据包(5-15万),然后进行aircrack破解,无论有无客户端均可以采用主动注入方式进行破解。(2)WPA(Wifi保护接入协议)加密,改善和替换了有漏洞的Wep协议而提供了更为强大的加密方式。WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式,由于TKIP与AES子算法自身的问题,依赖字典和穷举等暴力破解,WPA也面临着将被彻底破解的威胁[5]。WPA必须在合法客户端在线情况下,收集包含握手信息的Cap数据包,然后使用aircrack破解。下面给出了WEP和WPA无线加密的破解实验。宿主机采用Win7,在虚拟平台VMwareWorkStation上安装了BT5便携操作系统(即Ubuntu操作系统),使用BT5自带的minidwep-gtk工具进行WEP和WPA无线加密的破解。实验中测试设备为:(1)使用MERCURYMW54R家庭路由器作为测试AP;(2)使用TRL8187和TP-LINKTL-WIN322G+的无线网卡作为测试网卡。先搜索WEP无线加密网络,从收集得到的WEP网络中选择需要破解的WEP网络进行交互注入。如图3所示,信道为6,传输速度为802.11g,信道强度为35%,使用Aireplay的参数命令进行交互注入,几分钟后密码破解成功,见图4。若无线客户端和AP之间有大量的数据包交互(如在线观影),则破解速度更快。对WPA无线网络破解,则需要额外字典(包含了特殊单词、术语及用户名、姓名、电话、生日、车牌、手机号等用户相关信息)。实验中对信道为6,传输速度为802.11g,信道强度为82%的WPA无线网络进行破解。成功获取握手数据包,从匹配的字典库中暴力破解后得到了WPA的无线加密口令,如图5所示。大量实验研究表明,对于WEP无线加密网络,破解过程随着捕获的IVS增加,密码将最终被破译,这仅仅是一个时间长短的问题。而WPA无线加密网络的破译非常困难,不但需要较长时间且需要匹配的字典库,是目前相对可靠安全的无线加密方式。

3家庭无线网络的若干安全防御手段

随着Wi-Fi接入技术的广泛应用,家庭无线网络组建已相当便捷,但无线安全也面临着严重的威胁。对于家庭用户而言,损失轻者是网络的带宽资源被占用,重者家庭电脑的私密信息被窃取甚至被破坏[6]。从无线路由器的配置角度出发,给出了几点安全防御手段。

3.1重置无线路由器默认的管理账号和密码

市场上主流无线路由器以TP-LINK,D-LINK,腾达三大平牌居多,同时还有迅捷、苹果、华硕等厂商设备,大多数无线路由器的管理账号和密码均为admin,一般人都知道,所以在购买后第一时间加以修改非常必要。

3.2关闭DHCP功能

无线路由器默认是开启DHCP功能的,这项服务实际上就告诉他人网络环境的具体配置。因此必须关闭DHCP功能,同时修改无线路由器的默认地址(管理网关地址一般为192.168.1.1),建议把管理网关地址改成一般人想不到的地址。这样,他人要蹭网想要得到两个必要参数(内网合法的IP地址和无线路由器的管理接口地址)的难度就增加了。

3.3修改默认SSID和禁止SSID广播

SSID(ServiceSetIdentifier)为服务集标识,也就是一个无线局域网的名称。SSID通常由无线路由器来广播,它会自动向其有效范围的无线网络客户端广播这个SSID号,无线客户端收到SSID号后申请加入该网络。这个功能存在极大的安全隐患,建议修改默认SSID(客户端无法通过默认SSID判断出无线路由器的品牌)和禁止SSID广播,此时客户端需要手工SSID设置才可以进入相应的无线网络。

3.4MAC地址过滤

MAC地址也是物理地址,它是每个网络设备独一无二的标识。无线路由器可以定义数据包过滤器,规定哪些数据包允许通过,而哪些数据包不允许通过。我们可以事先获取家里笔记本、IPAD、智能手机的MAC地址,然后建立自己允许通过的接入MAC地址表,来防止非法设备接入网络。也可以定义允许访问外网MAC地址表,被禁止的网络设备不能上外网,但可以在无线局域网内部之间正常访问。

3.5WPA2无线加密

目前无线加密方式有三种:64/128位的WEP、WPA和WPA2加密。相对而言,WPA2更安全可靠,若无线网卡支持,建议采用WPA2的AES加密方式。

4结语

篇7

随着近日基于端口445漏洞名为“wannacry”(中文名“永恒之蓝”)的蠕虫病毒在全球范围内的大肆传播,计算机网络信息安全再次成为人们关注的重点。在这次病毒传播过程中,许多国家的政府、医疗、电信、教育等机构的计算机网络系统都受到了一定程度的损害,我国也不例外,其中各部门内部网受害极其严重,比如高校教育网、政府内部网等。虽然我国对此次病毒的传播作出了及时的反应并采取了相关的措施,但是病毒传播给各行各业带来的危害却已无法挽回。由此看来,计算机网络空间信息安全依旧是信息时代不容忽视的问题。

一、计算机网络信息安全面临的威胁

1.自然因素的威胁

由于计算机的工作环境较为多变,其运行往往会受到自然因素的影响,这些自然因素具体包括不可抗力的意外事件与自然灾害,比如地震、水灾、等对计算机及互联网造成物理性破坏的自然事件。由于计算机繁杂的内在构造与脆弱的外部材料,当遭遇这些破坏力极大的意外事件时,计算机系统内的重要数据等信息往往会随着计算机的损坏而遭到永久性地灭失,从而造成无法挽回的损失。然而,由于计算机工作环境大多在具备较强防震防灾的现代办公场所内,加之自然灾害与意外事件的发生概率较小,因此,自然因素对计算机网络信息安全带来的威胁并不是最主要的。

2.计算机病毒的威胁

计算机病毒对计算机网络信息安全的威胁最为明显,其也是信息安全研究人员投入时间与精力最多的威胁。计算机病毒往往利用计算机系统和应用软件的漏洞,通过其快速、广泛传播的特点且对一定范围内的计算机网络系统造成巨大的损失。由于计算机病毒通常是通过隐藏在计算机的可执行程序、相关数据与文件中的方式进行传播,因此,计算机的一般用户很难发现病毒的存在,从而使计算机病毒大肆传播,造成对更多计算机的破坏,具体包括通过一些僵尸程序来影响计算机运行效率;对计算机存储设备中的数据进行窃取、改变(如永恒之蓝对受害机中的文件副本进行加密)、甚至直接破坏;以及利用硬件驱动漏洞的病毒对计算机的主板等零部件进行破坏。因此,计算机病毒对计算机网络信息安全的破坏力是极大的。

3.计算机网络系统自身的漏洞

由于计算机网络系统传播数据是以开放的形式传播的,为用户提供海量的数据信息,因此,从计算机安全的角度来看,这种开放的信息传播方式难免会被别有用心的人所利用,他们基于网络漏洞来恶意攻击、盗取、篡改计算机系统数据。同时,计算机网络的IP协议本身安全系数就不高,且时常面临着恶意攻击、拒绝服务、盗取甚至篡改数据的危险,因此,计算机网络系统自身的漏洞也是计算机网络信息安全面临的重大威胁之一。

4.计算机用户操作不当

计算机用户普遍,不可能每个使用者都对计算机信息安全有所了解,往往只是受过使用方法的培训,对于计算机网络安全问题并未进行过系统、全面的了解,因此在用户使用过程中,往往会因为操作上的不当致使计算机遭受黑客等恶意攻击。据了解,现在很多计算机成为黑客手中的“肉机”,计算机中的数据对黑客来说是透明的。普通的计算机用户往往只会利用市面上的杀毒软件来加强计算机网络信息的安全,这不能完全抵挡黑客高手的攻击。还有很大一部分用户为了上网无阻,将防火墙关掉;为了降低开机时间将系统自动更新关闭,这些都是不当的操作,给侵入者可乘之机。

5.垃圾邮件和间谍软件

與计算机病毒相比,垃圾邮件主要是通过电子邮件这一载体强行传播商业、宗教以及政治方面的内容,对计算机网络用户造成一定程度上的骚扰;而间谍软件则是通过改变计算机设置、窃取计算机数据等方式对计算机信息安全造成威胁。

二、计算机网络信息安全的防护措施探究

1.计算机用户及时更新杀毒工具以及开启防火墙

基于前文对计算机网络信息安全威胁的分析,我们知道黑客利用计算机系统漏洞及网络系统漏洞对计算机攻击是计算机网络信息安全最常见的问题。而计算机用户在日常使用过程中往往会通过各种形式的网络账户传递信息,这就给黑客攻击计算机系统提供了便利。黑客通常通过窃取计算机用户的网络账号来入侵目标机,因此,计算机用户在使用计算机时要加强对自己网络账户的保护,可以以定期更换密码并加强密码复杂程度的方式来避免黑客轻易窃取到相关账户信息以及密码。根据计算机的具体使用场合选择适合的防火墙软件,常见的防火墙应用技术主要包括地址转换防火墙、检测防火墙、防火墙等,其中监测防火墙作为新型防御手段,对传统的防火墙技术进行了一定程度上的颠覆,其主要是通过对计算机系统的实时使用情况进行详细的监测,为计算机网络系统的正常运行提供有力的保障。

2.完善计算机系统的漏洞布丁

计算机系统是由繁杂的硬件、操作系统、系统应用组成的庞杂系统,其在设计和生产过程中难免会存在一些技术上的漏洞,如系统漏洞、应用程序设计漏洞、硬件上的缺陷等,因此,在后期对计算机系统中存在的漏洞进行完善成为维护计算机网络信息安全的重要途径之一。在计算机的实际使用过程中,各种病毒以及不法入侵软件通过计算机系统的漏洞对用户的计算机的数据进行窃取和篡改,而漏洞布丁就很好地降低了这一风险。

3.广泛应用网络监测技术

由于计算机网络系统的开放性特征,使得形式各异的数据传入计算机内部,其中隐藏的病毒若没有被发现或者没有被有效的拦截,必将会为计算机数据与信息遭到破坏埋下一颗“炸弹”。因此,对计算机网络系统进行相应的入侵检测是十分有必要的。具体的监测手段主要包括统计分析、人工智能、判断推理等部分,通过对计算机网络系统进行严格的监测与筛选,以此判断计算机系统内部是否存在被入侵的危险。做到知己知彼,以防被当做“肉盾”。

4.必要时进行文件加密与数字签名

文件加密与数字签名手段主要适用于对安全系数要求较高的计算机用户,在对计算机系统进行了相关的防护与监测后,为了进一步提高计算机系统的安全性,可以采取此种方法对重要文件和数据进行加密,从而更大限度地保证文件与数据与入侵软件与病毒之间被有效分离。具体而言,加密手段是通过具体的口令、密钥以及权限认证等方式甄别用户的身份,文件加密以及数字签名处理,而数字签名则是通过对电子文档的甄别认证来保障数据与文件的私密性不被破坏,具体的实现形式包括非对称以及单向散列计算函数签名、对称加密以及时间戳签名等。

三、结束语

随着互联网在我们的生活和工作中扮演的角色越来越重要,对于计算机网络信息安全的保障也应受到相应的重视,只有提高网络空间抵御不法入侵的能力,才能保障计算机网络信息的安全,为计算机用户提供一个安全可靠的网络环境,才能使计算机更为有效地为我们服务。

参考文献

[1]王磊.关于计算机网络信息安全及防护策略探究[J].电脑知识与技术,2014,(19):4414-4416.

[2]刘发胜.浅议计算机网络系统中的信息安全风险与防护措施[J].电脑知识与技术,2014,(09):1876-1877.

篇8

关键词:计算机技术;通信网络;安全性;防护策略;安全隐患

计算机技术的不断进步与发展,在很大程度上提升了生产效率,改变了人们的生活方式。虽然计算机技术的不断进步以及计算机在人们生产生活中所扮演的角色,强化了人们对计算机的依赖性,但反过来,计算机在人们生产生活中的不断深化,一旦计算机存在安全风险,对于人们的生产生活的负面影响也是巨大的。在当前,计算机通信网络安全隐患多发,加强计算机网络安全的防护管理具有非常重要的现实意义。

1计算机通信网络安全概述

在计算机中,特别是在通信网络中,造成计算机网络安全隐患的原因是多方面的,既有系统本身的问题、硬件自身的弊端,又与网络信息安全息息相关。那么计算机通信网络安全的主要定义是什么呢?计算机一般包括两个部分:一个是计算机的基础部分,也叫终端部分,是计算机的硬件设备,如显示屏、主机、硬盘等;另一个是计算机的网络部分,如操作系统、计算机网络连接等。前者是后者的基础,后者是前者发挥作用的保障。计算机网络安全隐患是指计算机在应用的过程中,由于操作系统的因素、网络中不良信息的入侵、计算机硬件设备的故障等,使计算机通信网络存在严重的安全风险,影响计算机用户的信息安全和数据安全。特别是在当前计算机通信网络安全问题突发的情况下,人们对于计算机通信网络的安全非常重视,一些针对计算机网络安全的防护措施和技术不断出台,这些技术在具体的运用过程中,主要是防范不良信息的入侵,防范用户数据或密码的遗失或被恶意篡改等。从网络的运行环节来分,网络安全有设备安全、数据传输安全、用户识别安全等方面。

2影响计算机通信网络安全的主要因素

计算机通信网络在运行的过程中,对其存在安全隐患的因素是多方面的,既有设备自身的原因,如计算机防火墙设备的失效,同时还有网络方面的原因,如人为的恶意攻击、恶意篡改等。

2.1系统本身的局限性

无论是最初的计算机系统,还是当今高级的计算机运行系统,都是由技术员来开发设计的。在这些运行系统的设计过程中,为了确保系统不会被修改,往往在系统中设置了一个类似于门的缺口,这一方面是确实为系统修缮、维护提供了方便,但同时也给系统自身的安全带来了严重的隐患。计算机操作系统的安全隐患是多方面的:首先,由于计算机运行系统在运行的过程中具有一定的广域性,这是运行系统本身的属性,只有网络的开放性才能综合性地提升计算机运行系统的性能。但由于在广泛的空间内进行信息或数据的传输与共享,一些不安全的或者恶意的信息或数据同样藏匿其中,这就对计算机系统的安全性产生了严重的威胁。计算机运行系统在高效快速庞大的信息存储与运算的过程中,很难快速而有效地甄别不良信息,很难在第一时间内隔离恶意数据,这给计算机系统带来了很大的安全隐患。其次,网络防火墙技术等网络安全软件技术自身的局限性。在计算机网络运行过程中,很多网络安全技术往往都是在系统遭遇破坏或者病毒肆虐的背景下产生的,也就是说计算机中的很多网络安全技术存在明显的滞后性,同时一些安全软件本身也存在着一定的漏洞和缺陷,这就为网络安全风险的产生创造了条件。最后,系统对网络不安全因素的甄别存在局限性,一些被包装后的病毒很容易入侵系统,给系统带来严重的影响。

2.2信号屏蔽处理不科学

计算机通信网络是需要向外扩散或者对外进行信息传输的,只有这样才能发挥通信网络的真正作用。不同的用户在利用计算机进行作业时,往往利用信道来实现数据或信息的互通传输。但由于现阶段的计算机通信网络中缺乏必要的信号屏蔽技术,使得用户的信息在传输的过程中,很容易造成信息丢失或被恶意修改,影响用户的信息安全。在当今时代下,信息是具有价值的,特别是对于一些涉及到国家、政府、企业生存与发展的关键信息,在传输的过程中,如果不进行科学的防护,很容易遭受难以逆转的损失。但我国现阶段的计算机屏蔽技术相对落后,对于传输中的信息的保护力度不够,很容易被一些不法分子利用某种设备进行信息的窃取。

2.3网络终端的不安全因素

在计算机通信网络中,为了防范外部人士的非法入侵,某个局域网往往设置了严格的登录密码,这在一定程度上能够有效地保障计算机网络的安全,防止不法分子的非法入侵。但最近多发的计算机通信网络安全事件基本都有一个共同的属性,内部人士采用合法的渠道进入网络系统,以达成非法的目的。很多犯罪集团以高回报为诱饵来引导一些内部人士进行网络信息的窃取或破坏,给计算机通信网络的安全带来了严重的安全隐患。当然还有不少网络黑客本着不良目的,非法获取IP地址,入侵用户的邮箱等私密地带,窃取用户的隐私,甚至窃取用户的财产,给计算机用户带来了最直接的威胁。此外,当前我国针对网络安全防范的相关制度并不健全,针对网络犯罪的打击力度并不大,这些都给网络安全带来了最直接的挑战。

3提升计算机网络安全的防护策略

计算机网络安全的重要性是毋庸置疑的,只有保障计算机通信网络的安全,才能有效地发挥其功能,有效保障用户的信息安全。因此,在实践中,应该采取科学有效的措施来提升计算机网络的安全性能。

3.1不断优化计算机系统的相关性能

计算机操作系统是计算机网络的主要载体,如果计算机系统本身存在着严重的安全隐患,那么又如何保障计算机网络的安全呢?因此,为提升计算机网络的整体安全性能,应该采取必要的措施来优化计算机系统的安全性。在计算机系统进行设计的过程中,要兼顾其安全风险,不能像跷跷板一样,一头重一头轻,而应该像挑水的扁担一样,两边保持平衡,只有这样才能从根本上来规避计算机网络安全风险。计算机网络系统在设计的阶段,要兼顾计算机数据的安全等级,根据计算机数据的不同属性采用针对性的安全防范措施,以此来提升计算机的整体安全。不断完善计算机通信协议和通信软件系统,尽可能地规避计算机软件系统漏洞。对于计算机系统本身存在的设计缺陷,要在检验的过程中采取及时的措施进行弥补。此外,在计算机通信网络的具体应用中,还应该随时更新计算机网络防范技术,不断结合新情况和新问题来提升计算机系统的防范级别。

3.2不断提升计算机信号屏蔽技术的水平

在计算机信号传输的过程中,信号的传输安全是非常关键的,特别是对于一些保密级别较高的信号,如果在传输的过程中未采取有效的级别较高的屏蔽技术,很有可能会造成信号的丢失或者被窃取。因此,在计算机通信网络的运行过程中,应该加强信号屏蔽技术的运用,不断根据信号窃取的实际情况来更新屏蔽技术,不断提升屏蔽技术的运用范围,从整体上来提升计算机的运行安全。此外,还应该不断提升计算机网络安全策略,对于需要进入网络系统进行访问的人,要采取科学的措施加强入网的检测,采取严格的访问设置,不断提升准入机制,避免不法分子随意入侵网络,给通信网络带来安全风险。同时针对通信网络中很多可以共享的信息,要采用科学的授权机制,通过科学有效的授权手段来加强信息的筛选与安全,特别是对于一些存在知识产权保护的网络信息,采用这种手段是一种非常直接、非常有效的防范手段。

3.3不断提升计算机网络安全技术的等级

在计算机网络中,由于计算机网络本身的特性,使得计算机中的信息具有共享等特点,为了提升信息在共享当中的安全性能,需要采用科学的加密手段。一些没有权利利用信息或者没有权限浏览信息的用户,是无法顺利地进行信息的预览或复制的。这种方式可以在很大程度上来保障原有信息的安全,同时对于一些存在安全风险的网站或者IP要加强网络监管与追踪,一旦其存在安全隐患,要进行科学的设置,以此来避免它们二次入侵。当然,为有效地保障计算机通信网络的安全,还需要采用科学的安全技术。采用防火墙技术,通过设置科学的防火墙,可以使得某些陌生网络连接在进入网络时,需要科学的连接才能被允许进入,提升网络连接的安全性。信息认证技术是一种基于用户信息的认证准入技术,用户在进入网络时,需要严格的认证检验,从源头上可以保障计算机通信安全。信息对抗技术是基于计算机中不安全行为的一种自动抵御技术,一旦发现某些特性的不安全行为正在发生作用时,这种技术可以及时进行抵御和对抗。

4结语

计算机通信网络的属性决定了其安全隐患的多发,为提升其安全性,保障用户的信息安全,确保计算机的安全运行,需要采取科学有效的措施,不断优化计算机操作系统的安全性能,不断提升信号屏蔽技术的等级,不断提升计算机安全风险防范技术的作用。

参考文献

[1]冯冬.计算机通信网络安全与防护策略探讨[J].信息通信,2015,(9).

[2]王鹏.计算机通信网络安全维护管理分析[J].电脑知识与技术,2015,(18).

[3]李硕.分析影响计算机网络安全的主要因素[J].电子技术与软件工程,2013,(20).

[4]钟君.浅论影响计算机网络安全的因素及策略[J].计算机光盘软件与应用,2012,(1).

篇9

关键词:局域网;诱因;办法

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02

随着社会前进的步伐,计算机网络诞生了。它的诞生彻底改变了人们的生活,也把社会推向了一个新的。并且现在它在人们生活中占据了越来越重要的位置。但同时它的存在也给社会带来了更大的挑战。尤其是在局域网络中出现的不安全因子倍受关注。而怎样让这些不安全因子不再成为障碍物就成了众人不断探索的问题。

1 概述局域网

所谓局域网(Local Area Network,LAN)是指在一个局部的地理范围内(如一个学校、工厂和机关内),一般是方圆几千米以内,将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网[1]。一般来说,只有无线局域网与有线局域网是它的分集。局域网通常是利用专门的数据电路或者是通信网,同其它的局域网或者处理中心等等进行衔接,从而形成一个覆盖面较宽的系统。通常情况下,它是由本系统内众多的计算机组合而成的非开放性的网络。在局域网内,进行文件管理、扫描仪的共享、日程安排、电子邮件等等操作不是难题。而网络拓扑、介质访问的控制方法以及传输介质是局域网络的非常重要的技术决定要素。之所以局域网受到大众的喜爱,不仅仅是因为它价格便宜,能够活跃在较小的地理范围中,关键是它对数据的传输率很高,传输时延误的时间小,并且误码率很低,对各大企业来说,是个很好的选择。

2 致使局域网络存在安全隐患的诱因

造成网络存在安全隐患的内因与外因,只要人们稍微不注意便会如雨后般春笋似的出现。

2.1 内部局域网络相关机制不完善

曾有一份关于利用计算机进行犯罪的调查报告称,网络安全的犯罪有83%的是由于内部的人员勾结外面的人所犯下的,并且这数值一直呈居高不下的趋势[2]。在内部局域网络中,由于相关的管理机制的缺乏,再加上网络管理人员对网络的安全管理的严重忽视,操作极不规范,甚至其他人员的非法进入等等,从而引起失密等事件的发生。

2.2 网络设备及运行环境的好坏对网络是否安全也产生很大的影响

往常,很少有人能够注意到网络设备、自然环境等对网络的影响。就因为这样才会造成许多不必要的浪费与损失。更为严重的是,这种破坏极有可能导致网络系统成为一摊烂泥。再有就是因为被放置在开放性的位置的某些通信的设备等没有得到较好的保护,致使泄密事件发生的可能性得到大幅提高,从而也让网络安全系数无法保持在较高的位置。

2.3 快速更新的各种网络系统成了引起网络安全系数低的又一诱因

随着快节奏的生活,各种网络系统的更新速度也是相当的惊人。而越新的产品,它的功能性就强,客户们也会觉得更加好上手。操作系统、软件等无法避免地让安全漏洞存活于其中。只要漏洞不显现,人们就会任其存在。只有待其如刺猬般扎人,大家才会醒悟,然后想办法去弥补,去修复。而往往到了那个时候,网络早已受到了或轻或重的不可挽回的损伤。

3 采用良好办法,成就安全网络防护体系的构建

要构建强大的安全网络防护系统并非易事,还需从导致其产生不安全隐患的诱因来着手解决。

3.1 加强局域网络管理

局域网络管理存在重大缺陷,对此我们必须做出相应的调整。

(1)要有相应的法律来提高人们的意识。有法律的约束,就可尽量避免人为因素带来的影响。(2)对于单位内的员工,让其提高意识。必须加大对安全网络管理的宣传力度,并且对员工进行必要的培训,以使员工掌握正确的操作方法,减少不规范操作。(3)加大对服务器等各大网络设备的管理与监测。应该明文规定对于网络中的重要物件,如磁带等等物件,其他人不可接触,只能由专门人士保管或销毁。只有确立安全负责制,对设备的监管到位,才能降低安全隐患的存在。(4)对于重要物件,实行加密。对物件进行加密,比如路由器等,可以减少数据泄露的可能,降低危险度。(5)建立工作档案。采用工作记录制,对所有行为人都进行详细的记录并且经常性给予抽查,这样做可达到遇到问题能找得人的目的。

3.2 针对存有安全漏洞的网络系统必须采取有效的方法来规避

网络系统的漏洞无所不在,要想尽量让它不带来麻烦,就必须做些工作。

(1)安装良好的杀毒软件。网络病毒几乎每天都有出新。它能够经过多种途径来袭,就像瘟疫一样来得快,常让人措手不及。可以它的杀伤力有多大。为了减少它引起的麻烦,通常我们都是安装一个较好的杀毒软件,并且开启实时的监控功能,让病毒无懈可击。但是在Windows下单一运行的杀毒软件无法在被破坏了的系统中运行。因此,最好使用在同一操作系统中能进行双模式杀毒的跨平台双模式杀毒[3]。(2)相关软件不能滞后,要随时进行更新。现在我们都知道无论是操作系统,亦或是服务器,每天都被那些不安全的因素包围着,随时它们都有被侵袭的危险。因此,倘若我们不时刻关注与其相关的软件,并随时进行更新、升级,那么它们被安全漏洞恶意利用的命运就无法摆脱。(3)对网络的安全问题进行检测。拥有良好的检测系统对保证网络的安全会起到有效的作用。通常我们把这种系统叫做入侵检测系统,它是一种能对计算机进行主动防御的软件,能够回应各种网络访问,对那些应用系统如财物软件等起到不错的保护作用。它通常是通过对计算机网络系统的检测来发现系统中所存在的各种对网络安全构成威胁的漏洞,然后提出相关的拯救办法,减少黑客对数据的侵袭。(4)在进行数据的传输过程中,要保证其封闭性。一般情况下,我们都是使用很明显的传送方式来传输数据,再加上对其的验证阵容不够强大,这就为那些有所企图的黑客提供了方便。为了保证数据的安全性,我们需要对传输数据进行适当的加密,加强其验证功能,这样就可以较好地处于一种完全地带,同时也可以让传输速度得到提高。

3.3 应用防火墙技术等来加强网络安全性

众所周知,应用访问控制等技术能更好地保障局域网络的安全系数。

(1)充分利用虚拟局域网(VLAN)手段。这种手段能够得到很好发展,是因为它能够使网络流量得到良好控制。而且一个子网的攻破并不能让所有的子网都受到影响,能有效地控制黑客对子网的访问。(2)设立防火墙。防火墙的利用现在是非常普遍的事情,它的作用相等同于网络系统的入口的门卫,因为它能够有效地建立监控系统,对各种非法的访问进行阻断,从而形成一个有效的屏障,同时防火墙还可有效地过滤出现在网络中的各种数据包,对网络中的访问行为进行有效的管理,还可有效地堵截网络中的一些访问行为,对通过了防火墙的信息进行详细记录,对网络中的攻击行为发出警告与定期的检查[4]。从而对外部的侵入与内部重要信息的泄露起到防控作用。对防火墙的使用,我们都要遵循一个基本的守则:通常情况下实行禁止,除非它已明确允许操作。(3)实行身份验证制,保证网络安全。为了控制访问权限,减少不必要的浪费与损失,对内部使用用户都必须进行身份验证,这样才能更好地降低网络安全危险系数,让非法分子没有可乘之机。

4 总结

局域网的安全问题越来越受到广大人们的关注。对我们来说,保障它的足够安全是件不。并且无论我们做什么,只是要为了提高局域网络的安全,降低它的危险度,那都必须得让网络效率成为牺牲品,还要以加大各种投入作为代价。在如今的形势下,我们只有从人员管理与各种技术管理及技术的应用方面等来进行综合考衡,以求能够有效地构建一个良好的局域网络防护体系,创造一个和谐的网络环境。

参考文献:

[1]胡道元.计算机局域网[M].北京:清华大学出版社,2010,11.

[2]宋莹莹.构建安全的局域网策略[J].电脑知识与技术,2009(16):49.

[3]谭再峰,刘彩玉.企业级局域网网络安全技术探讨[J].黑龙江科技信息.2010(30):95.

篇10

摘要:计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络的快速发展都得益于互联网自身的独特优势:开放性和匿名性。然而也正是这些特征,同时还决定了网络存在着不可避免的信息安全隐患。本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系,从而对网络安全的防护策略进行探讨。

关键词:网络安全 信息安全 防护策略

网络给我们提供极大的方便的同时也带来了诸多的网络安全威胁问题,这些问题一直在困扰着我们,诸如网络数据窃密、病毒攻击、黑客侵袭、木马挂马、陷门等。为 了有效防止网络安全问题的侵害,计算机广泛地推广使用了各种复杂的软件技术,如入侵检测、防火墙技术、通道控制机制、服务器,然后尽管如此,计算机信息安全和网络安全问题还是频发。网络HACKER活动日益猖獗,他们攻击网络服务器,窃取网络机密,进行非法入侵,对社会安全造成了严重的危害。本文就如何确保网络信息安全特别是网络数据安全进行了安全威胁分析并且提出了实现网络安全的具体策略。

一、利用网络系统漏洞进行攻击

系统漏洞是指操作系统软件或应用软件在编写时产生的错误或在逻辑设计上存在的缺陷,这个错误或缺陷可以被不法者所利用,通过植入木马、病毒等方式来攻击甚至控制整个电脑,从而窃取电脑中的重要信息和资料,甚至破坏系统。系统漏洞会影响到系统本身及其支撑软件,网络客户、网络路由器、服务器软件和安全防火墙也都会受其影响。在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。漏洞就相当于房子的门不是安全门,窗户没有防护栏,小偷(木马)很容易进去的。所以当系统出现漏洞,就容易被攻击。

二、解密攻击

在互联网上,使用密码保护是最普遍并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份验证。可是现在的密码保护手段大都是只识别密码却不认人,只要输入正确的密码,系统就会认为你是经过授权的正常用户,因此,取得密码是黑客进行攻击的一种重要手法。黑客取得密码有两种常用的方法,一种是对网络上的数据进行监听。用户输入的密码要传到服务器端,才会完成密码验证,黑客会在客户端和服务器端之间进行数据监听。系统在传送密码时一般都会进行加密处理,黑客所得到的数据中就不会存在明文的密码,虽然这给黑客破解密码增加了难度,但是这种手法一般都运用于局域网,一旦密码被破译,攻击者将会获得很大的操作权益。另一种解密方法是暴力解密。这种方法是尝试所有可能字符所组成的密码,需要逐一尝试,非常费时。但是如果用户的密码设置的很简单,就容易被破解了。

三、通过电子邮件攻击

电子邮件攻击,也被称为邮件炸弹,是应用的较广泛的攻击手段。黑客利用邮件炸弹软件或CGI程序不断地大量地向同一地址发送内容重复,没有用处的垃圾邮件,这样会撑爆接收者的邮箱而无法接收正常邮件,并且使邮件系统工作反应缓慢,妨碍计算机的正常工作。

四、过载攻击

过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击可分为两种,最常用的是进程攻击。在进攻中,攻击者通过人为地大量增加CPU的工作量,来阻止其他用户的使用。这种方法常用在共享中,来限制其他用户。另一种是磁盘攻击。磁盘攻击类似于进程攻击,攻击者填满磁盘来限制其他用户,使之不能生成文件。

五、淹没攻击

正常情况下,TCP连接建立要经历3次握手的过程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求。

常见的网络攻击的防范对策:

1.针对利用网络系统漏洞攻击。要经常检查,仔细工作,避免因为自己的疏忽而让他人有机可趁;要注意不下载不可信的文件,不接收不可信的邮件附件,避免遭受攻击;经常对相关的软件进行更新,下载、升级软件补丁。这样可以有效地防范因网络系统漏洞,而遭受攻击。

2.针对解密攻击。由于解密攻击主要针对用户密码进行破译,防范解密攻击的主要办法就是用户设置复杂的密码。很多用户喜欢用生日或电话号作为密码,这样是很危险的。在设定密码时,一定要避免使用和自己相关的信息。用户在进行密码设置时一定要将其设置得复杂,可以使用中英文结合的密码,也可以使用多层密码,如果能经常更换密码,可以增加密码的安全性。

3.针对电子邮件攻击。互联网用户一定要有选择地接收邮件,不轻易打开陌生地址寄来的邮件,及时删除重复的消息,如果某一天打开邮箱,发现里面有大量的陌生邮件,ID也没有规律可言,千万要谨慎了,别因好奇心打开邮件,也许你打开后,会有大量的垃圾邮件纷纷发到邮箱,造成邮箱瘫痪;也可以使用垃圾邮件清除软件来解决, 常见的有SpamEater、Spamkiller等;我们还应当合理设置电子邮箱最高安全级别,将一切可能的威胁拒绝在外。

4.针对过载攻击。如果系统中有太多的进程在运行,影响了网络,没有更好的办法来纠正,最好是让系统重启;如果是系统过载,可以用root登录,将优先钮设为较高的值,然后使用ps命令观察运行的程序,再使用kill命令就可防范。