网络应用安全范文

时间:2024-02-29 18:07:12

导语:如何才能写好一篇网络应用安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络应用安全

篇1

关键词:网络;安全;分析

一、网络应用服务安全相关概念

虽然当前全社会关注网络与信息安全,但对网络与信息安全的相关概念、范围却缺乏共识。当前常用的概念与说法有网络安全、信息安全、网络与信息安全、信息与信息安全、信息系统安全、网络应用服务、网络业务等。不同的部门对上述概念基于各自的立场与利益做出了不同的解释,导致当前概念与范围相对混乱。本文采用如下定义。

信息安全:狭义信息安全是指信息的机密性、完整性和不可否认性,主要研究加密和认证等算法。狭义信息安全还可能包括意识形态相关的内容安全。广义信息安全通常是指信息在采集、加工、传递、存储和应用等过程中的完整性、机密性、可用性、可控性和不可否认性以及相关意识形态的内容安全。

网络安全:狭义的网络安全通常是指网络自身的安全。如果网络与业务捆绑,例如电话网,则还包括业务的安全。狭义的网络安全通常不提供高层业务,只提供点到点传送业务的网络。广义的网络安全除包括狭义网络安全内容外还包括网络上的信息安全以及有害信息控制。广义的网络安全通常用在提供高层业务的网络。

网络与信息安全:对于基础电信网,例如光纤网、传输网、支撑网、信令网以及同步网而言,网络安全仅仅包括网络自身安全以及网络服务安全。网络和信息安全主要强调除网络自身安全以及服务提供安全外,还包括网络上的信息机密性、完整性、可用性以及相关内容安全的有害信息控制。网络与信息安全范围等同与广义的网络安全。

网络应用服务:在网络上利用软/硬件平台满足特定信息传递和处理需求的行为。信息在软/硬件平台上处理,通过网络在平台与信息接收者/发送者之间传递。一些商务模式完善的网络应用服务已成为电信业务。

网络应用服务安全:包括网络与应用平台的安全,由网络应用平台提供的服务能够合法有效受控开展,还包括网络应用的信息存储、传递加工处理能完整、机密且可用,信息内容涉及内容安全时能及时有效采取相应措施。

二、网络应用服务安全分层

网络应用服务安全可以分为如下四层。

网络与应用平台安全:主要包括网络的可靠性与生存行与信息系统的可靠性和可用性。网络的可靠性与生存行依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。信息系统的可靠性和可用性可以参照计算机系统安全进行。

应用服务提供安全:主要包括应用服务的可用性与可控性。服务可控性依靠服务接入安全以及服务防否认、服务防攻击、国家对应用服务的管制等方面来保障。服务可用性与承载业务网络可靠性以及维护能力等相关。

信息加工和传递安全:主要包括信息在网络传输和信息系统存储时完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制,例如哈希算法等来保障,信息机密性可以依靠加密机制以及密钥分发等来保障,信息不可否认性可以依靠数字签名等技术来保障。

信息内容安全:主要指通过网络应用服务所传递的信息内容不涉及危害国家安全,泄露国家秘密或商业秘密,侵犯国家利益、公共利益或公民合法权益,从事违法犯罪活动。

三、网络应用服务的分类

网络应用服务可以有多种分类方法。一些典型的分类方法如下文所述。

按照技术特征分类,点到点业务与点到多点业务;按照电信业务分类,基础电信业务和增值电信业务;按照是否经营分类,经营性网络应用服务与非经营性网络应用服务;按照所传递加工的信息分类,自主保护、指导保护、监督保护、强制保护与专控保护五级;按照服务涉及的范围分类,公众类网络应用服务与非公众类网络应用服务。

各个分类方式从不同角度将网络应用服务进行了分类。本文采用公众类网络应用服务与非公众类网络应用服务的分类方法。

公众信息类网络应用是在公众网络范围内信息发送者不指定信息接收者情况下的网络应用。信息发送者将信息发送到应用平台上,信息接收者主动决定是否通过网络接收信息的网络应用,信息发送者在一定范围内以广播或组播的方式不指定信息接收者强行推送信息。公众信息类网络应用通常涉及网络媒体,主要包括有BBS、网络聊天室、WWW服务、IPTV、具有聊天室功能的网络游戏等应用。

非公众信息类网络应用是公众网络范围内信息发送者指定信息接收者的网络应用以及非公众网络范围内的网络应用。非公众信息类网络应用类型中,公众网络上一般是点到点的信息传播的网络应用,主要有普通QQ应用、普通MSN应用、普通Email、PC2PC的VoIP、电子商务等应用。

四、实体划分与典型应用服务分析

网络应用服务安全分析中涉及到如下几个实体:信息发送者,通过网络发送信息的实体,可以是ICP或者发送信息的个人;平台提供者,网络应用的提供者,通信的双方(多方)通过应用平台交互信息;通道提供者,为信息发送者、信息接收着、平台提供者提供接入网络的手段以及网络层面的互通;信息接收者,网络接收信息的实体;设备制造商,为信息发送者、信息接收者、平台提供者、通道提供者提供软硬件设备;业务监管者,监管网络应用的安全,主要包括业务安全以及内容安全。

几个典型的网络应用服务分析如下所述。

普通WWW浏览应用:WWW服务器构成的服务平台。WWW页面的拥有人为信息发送者,WWW页面的请求者为信息接收者,ISP为通道提供者。公网上的WWW应用是一种典型的公众信息类网络应用服务,是信息发送者无法指定信息接收者的媒体类网络应用。在WWW应用中网络与平台安全由通道提供者ISP与WWW服务器拥有人负责;WWW服务提供安全主要体现在主管部门对服务平台的监管;信息传递安全由ISP或者信息发送者与信息接收者端到端负责,信息存储处理安全由WWW服务器拥有人负责;信息内容安全由平台提供者与信息发送者负责,主管部门监管,法定授权部门查处。

电话业务:电话网作为服务平台以及通道提供者。主叫方作为信息发送者,被叫方作为信息接收者。电话业务的信息接收者(被叫方)由信息者(主叫方)通过电话号码指定,这是一种典型的非公众信息类网络应用服务。在电话业务中,网络与平台安全由电话业务提供者负责;服务提供安全通过认证等方式提供,监管由主管部门负责,信息传递安全由电话业务提供者负责;信息内容安全由信息发送者负责,法定授权部门查处。

DNS服务:由DNS服务器以及客户机构成的服务平台,该服务平台分层架构。DNS服务器的拥着者为平台提供者,根域名服务器由ICANN拥有维护,各级域名服务器由相应组织拥有维护。DNS域名服务器信息者为DNS拥有人,DNS服务信息接收者为域名解析的请求者。公网上的DNS服务通常由通道提供者ISP提供。DNS信息接收者无法指定,因此也是一种古拙类网络应用服务。DNS服务中网络与服务平台安全由ISP与DNS服务器拥有人负责;DNS服务不涉及业务提供安全;信息传递安全由ISP负责;信息存储安全由ICANN负责;DNS服务不涉及信息内容安全。

BBS应用:由Telnet/WWW协议服务器端、BBS服务器端以及主机构成服务平台。BBS服务器的拥有者为平台提供者。BBS发帖人为信息者,访问BBS阅读的人为信息接收者。BBS服务的信息发送者一般无法指定信息接收者,因此BBS应用通常也有媒体功能,是一种公众类网络应用服务。在BBS应用中网络与平台安全由通道提供者ISP与BBS服务器拥有人负责;BBS服务提供安全主要体现在主管部门对服务平台的监管;信息传递安全由ISP或者信息发送者与信息接收者端到端负责;信息存储处理安全由WWW服务器拥有人负责;信息内容安全由平台提供者与信息发送者负责,主管部门监管,法定授权部门查处。

Mail应用:由SMTP服务器端、POP3服务器端以及主机构成的服务平台。Mail服务器的拥有者为设备提供者。邮件发送者为信息者,邮件接收者为信息接收者。邮件服务的信息接收者通过邮件地址指定,是一种典型的非公众信息类网络应用服务。在邮件服务中,平台安全由邮件服务提供者负责;服务提供安全通过认证等方式提供,监管由主管部门负责;信息传递安全由ISP或者端到端保障;信息内容安全由信息发送者负责,法定授权部门查处。

MSN应用:由MSN服务器端以及主机(群)构成的服务平台。MSN服务器的拥有者为平台提供者。发信息的人为信息发送者。聊天看到信息的人是信息接收者。聊天双方既是信息者也是信息接收者。ISP为通道提供者。MSN应用的信息接收者由信息者指定,是一种典型的非公众信息类网络应用服务。在MSN应用中,网络与平台安全由MSN业务提供者负责;服务提供安全通过认证等方式提供;信息内容安全由信息发送者负责,法定授权部门查处。

篇2

关键词 网络应用系统;信息安全模式

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)09-0129-01

网络环境存在着复杂性和特殊性,使得网络应用系统往往会遭遇安全的威胁,每个投入使用的网络应用系统都可能会如此,所以有必要采取一定的安全措施来保护网络应用系统的安全。关于信息安全,国内已经进行了不少研究,但往往只能考虑到其中某一方面,或者是资源保护,或者是身份认证,真正研究完整信息安全解决方案的却很少,既要完善,又要能通用,满足这两点要求就比较难。本文在三种安全技术和机制融合的基础上,对并系统安全性需求与可用性、成本等特性之间的平衡进行了综合的考虑[1],提出了一种网络应用系统信息安全模型,其基本的要素,不仅包括信息资源传输和存储安全保护,还包括身份认证安全管理和资源访问安全控制,是为一个可行性方案。

1 信息安全模型设计的总体设想

网络应用系统存在的信息安全问题,实际上也就是分析系统面临的危险,“分析和权衡危险应该是建立在一定安全模型的基础之上”[2]。那么如何应对网络应用系统的信息安全所受到的威胁,主要体现为一些安全服务。实际情况是,信息安全所受的攻击愈发多样化,也更为综合化,各种安全服务之间是不能分割的,所以一些防范技术和机制被用来支持这些服务,因而它们之间也是紧密相关的。因此,要想实现保护系统的安全,不能只依赖于一种防护机制,或者是只依靠一种安全技术。

同时,系统的安全性价比也应该是构建安全系统时需要充分考虑的因素,即系统能合理地对安全粒度进行控制,并且对各种安全技术加以使用,这就使系统在实现安全和保证其它的特性之间寻求到一个平衡点。但大多数情况下,系统的安全性不应当被过分地强调,却牺牲了系统的一些重要特性,这是不值得的。于大多数的企业而言,不愿意投资过多的资金到安全技术上,主要是因为技术方面的投资不能获得较为明显的收益。因此,应用系统的信息安全方面应当重视成本,有选择性投入网络应用系统的花费,计量选择那些易获取有花费不大的安全技术好机制。

资源提供方还需要达到一个平衡点,就是既要达到系统安全性,又要保障来访者权益安全性,还要保证用户操作的简捷。很多的默认方式和便捷得以提供是应用系统应当具备的好的特性,对用户界面进行友好设置,不需要令用户感觉到各项安全技术和机制存在。如果太过于追求安全性,却使得用户操作过于繁杂。这样会让用户不满意应用系统。总之,安全服务目标是的实现是基础和前提,对多种安全机制和安全技术进行有机地组织和融合,安全技和机制要经过实践的检验的安全技术和机制,广泛地将各种安全技术的优点吸收进来,对一些可能存在安全威胁的环节加以信息保护。

2 网络应用系统的信息安全模型总体设计

信息资源传输和存储安全保护是信息安全模型设计的三大要素。计算机安全隐患主攻的方向一般是身份认证安全管理方面,还有对用户访问资源的安全控制方面,以及传输和存储信息资源方面,这是应用系统信息安全模型重点需要进行的安全控制,从根本上保护信息的传输和存储,才可以进行正常的资源访问。要使系统信息资源的安全访问和使用得到保障,就需要依赖于两道防线进行严格的控制,一道防线是关于身份认证;一道是关于系统信息资源的访问控制。

1)身份认证层的设计。身份认证层有两方面内容,一个是用户的身份认证,另一个是关于用户注册信息的管理方面,采用到的认证机制是挑战/应答式动态口令,这是一种还待改进的认证机制,也是目前使用较为普遍认证机制,认证的时候客户端会收到服务器端发送的不同“挑战”,需要给予相应地应答。然而,这种标准的认证机制还存在两点缺陷,攻击者容易对随机数进行截获来冒充服务器端和用户端,另外,就是口令的存放形式比较容易收到攻击,它是以明文形式进行存放的。第一个缺陷可以通过敏感数据加密通道来对随机数进行加密传输来解决;第二个缺点可以改变在服务器数据库的存储方式,可以通过在客户端将用户口令再经过MD5算法散列运算进行。

2)基于RBAC访问控制层的设计。访问控制层则有权限验证与授权和资源限制访问两个部分的内容。访问机制采用的是基于角色的控制机制。将角色的概念引入到RBAC中,主要目的是进行用户和访问权限之间联系的分离,组织中可以有许多不同的岗位,不同的岗位有不同的职能,多项权限被赋予了一个角色,也可以有多个用户被赋予权限。而多个角色也会拥有同一个权限。影响到角色和权限分配是重要的约束机制。而约束机制可以包括以下三方面:一是最大用户容量通过限制一个角色来进行可以支持,例如对应用系统非常重要的角色――超级管理员,这只能被允许授权于一个用户;二是互斥角色的设置。同一个用户是不能被授权于互相排斥的角色的。例如客户类角色就是与管理员类角色相互排斥的;三是互斥功能权限的设置。同样的,同一个角色也不会被授权互相排斥的功能权限。实现RBAC的一个非常重要的环节就是设计数据库结构,设计较为良好的数据库结构也就意味着对RBAC要求的表述。

3)敏感信息资浑传物和存储安全保护的设计。首先,是关于敏感信息资源传输的安全保护。因特网的迅猛发展也带来了网络信息资源的安全隐患,网络安全领域研究的一项重要内容就是实现网络环境下的信息资源传输的安全性,特别是敏感的信息资源,信息传输依据数据的敏感和非敏感情况,将传输通道分成敏感数据加密和非敏感数据明文两方面。这样可以使得不必要开销得到减少,从而使得敏感信息在传输过程中的保密性与完整性得到保障。这不仅使得网络应用系统的安全性得到保证还使得传输效率得到大大提高。其次,是关于敏感信息资源存储的安全保护。网络环境下的系统信息资源包括了大部分,一部分是Web页面,它主要可以由访问控制层来进行协助,分配访问权限主要根据用户的角色来进行,以便最终实现安全保护的目的;另一部分就是数据库信息资源,其自身的安全措施应当不断加强。

3 结束语

采用了B/S模式的情况下借助于J2EE技术平台,信息安全模型得以实现,存在的角色类型有三种,权限的假设有九种之多,在这样综合的前提下,进行了网上银行的一个业务流程的模拟,主要是关于网站的公共服务系统,安全性测试测试出了主要安全防线的效果,结果较为满意。

参考文献

篇3

 

关键词:计算机网络应用 网络安全问题 策略

    引言:随着万维网wWw的发展,Internet技术的应用已经渗透到科研、经济、贸易、政府和军事等各个领域,电子商务和电子政务等新鲜词汇也不再新鲜。网络技术在极大方便人民生产生活,提高工作效率和生活水平的同时,其隐藏的安全风险问题也不容忽视。因为基于TCP/IP架构的计算机网络是个开放和自由的网络,这给黑客攻击和人侵敞开了大门。传统的病毒借助于计算机网络加快其传播速度,各种针对网络协议和应用程序漏洞的新型攻击方法也日新月异。因此计算机网络应用中的安全问题就日益成为一个函待研究和解决的问题。

1.计算机网络应用的常见安全问题

    计算机网络具有大跨度、分布式、无边界等特征,为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性,使得计算机网络应用中的恶意攻击性行为肆意妄为,计算机网络应用中常见的安全问题主要有:①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击,通过向Windows系统TCP端口139发送随机数来攻击操作系统,从而让中央处理器(CPU)一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击,通过恶意地请求资源导致服务超载,造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYN Flood攻击。或者,发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪,典型的攻击方法如ICMP F1ood}Connection Floa等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址,使受攻击的服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器IP地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植人到目标主机中,用户的主机就被黑客完全控制,成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息,如口令、帐号、密码等,对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer(嗅探器)作为工具进行信息窥探。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,为进一步恶意攻击做准备。而嗅探器(sni$}er)是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被用户发现。

2.计算机网络安全问题的常用策略

    2. 1对孟要的信息数据进行加密保护

    为了防止对网络上传输的数据被人恶意窃听修改,可以对数据进行加密,使数据成为密文。如果没有密钥,即使是数据被别人窃取也无法将之还原为原数据,一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制,常用的算法为DES算法,ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥,每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密,用于解密密钥。具体采取那种加密方式应根据需求而定。

    2. 2采用病毒防护技术

    包括:①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原,从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office, Outlook, IE, Winzip, NetAnt等应用软件进行被动式杀毒。

 2. 3运用入俊检测技术

篇4

关键词:计算机网络安全;薄弱环节;安全漏洞;应对策略

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01

Security Situation and Strategy Study

On the Current Computer Network Application

Wang Zhijun

(Linhai Radio and TV,Linhai317000,China)

Abstract:This paper discusses the current status of computer networks,security,vulnerabilities and security holes,and today's computer networks for security vulnerabilities propose appropriate coping strategies.

Keywords:Computer network security;Weaknesses;Security vulnerabilities; Response Strategy

一、引言

伴随着计算机时代的来临,人们对计算机网络安全的重视程度是无庸置疑的。我们必须综合考虑各方面的安全因素,制定合理的技术方案和管理措施,才能确保计算机网络的安全可靠,使其在社会经济活动中的应用更加放心。

二、计算机网络安全的定义

国际标准化组织(ISO)给“计算机网络安全”下的定义是:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”此定义包括物理安全以及逻辑安全。物理安全保护主要是硬件设备的保护,逻辑安全则是保护数据的保密性、完整性和可用性。

三、计算机网络安全存在的薄弱环节

(一)TCP/IP网络协议比较容易受到来自各方面的攻击,其在安全上或多或少还存在一些问题。

(二)网络上存在许多解密工具和易用黑客等信息,让用户很轻易地获得了攻击的手段和方法。

(三)目前,还有很多应用软件存在或多或少的问题,如升级周期过快等,这个问题导致软件和操作系统出现漏洞而受到不安全因素的攻击。

(四)我国在计算机网络的法律规范还不够完善,在管理上还有许多不足之处,而且网络上的一些保密协议缺乏较强的可操作性,执行力度不够。

(五)很多公司都没有完善在人员、管理和技术上的安全管理制度,缺少保护措施,甚至一些管理员在利益的诱惑下利用职务便利在网络上进行违法活动。

四、计算机网络安全存在的漏洞

(一)系统本身的漏洞。没有任何一个系统是绝对完美的,往往一个新的操作系统或软件在一出现的时候,它存在的漏洞同时也被人们发现了,想要排除全部的漏洞是一件不可能办到的事。

缓冲区溢出是最容易在攻击中被利用的系统漏洞。用户往往最容易忘记检测缓冲区间的变化的情况,超过缓冲区所能处理长度的指令一旦被接受,系统的状态就会出现不稳定,这一点往往被许多破坏者利用来访问系统根目录盗取或破坏信息的。

拒绝服务(DoS)同样也是常常被破坏者恶意利用的漏洞,典型的DoS可导致TCP/IP连接的次序出现混乱,使内存、CPU等系统资源受到损害,使系统没办法正常工作。其中数Synnood攻击最为典型,它可以导致系统超荷运转。此外,还有一种分布、大规模的、协作的、基于DoS的分布式拒绝服务(DDoS)攻击方式。

(二)滥用合法工具。利用改进系统的工具软进行攻击并收集非法信息也是破坏者常用的另外一种攻击方式。这些软件如NBTSTAT命令、网包嗅探器(Packetsniffer)等。前者主要功能是为管理员提供远程节点信息,假如破坏者同样利用其非法收集用户名等信息,就可以破译用户的口令。而后者则是系统管理员用以寻找网络潜在问题的工具,破坏者可利用截获的信息对网络实行攻击。

(三)低效的系统设计和检测能力。如今,由于安全系统的设计中不重视对信息的保护,导致系统面对复杂的攻击变得难以抵挡。破坏者利用低效的设计所产生漏洞进行攻击,并入侵检测系统,最后进行访问敏感信息,篡改Web服务器内容等操作。许多真正安全的系统设计务必从底层入手,以保证高效的安全服务和管理。

五、计算机网络安全的应对策略

(一)采用防火墙。防火墙是一个用来阻挡黑客访问某个机构网络的屏障。位置在内网的边缘,这使得内部网络与Internet之间或者其他外部网络之间互相隔离,最大限度地阻挡黑客来访问自己的网络。设置防火墙的目的在于在内部网与外部网之间设置唯一的通道,简化网络的安全管理。

目前的防火墙主要分为三类:(1)滤防火墙。由于包过滤防火墙设置在网络层,从而在路由器上实现包过滤。这种防火墙不但可以禁止外部用户对内部的非法访问,而且可以禁止访问某些服务类型。不过包过滤技术无法识别存在危险的信息包,没办法对应用级协议实施处理,也无办法处理UDP、RPC或动态的协议。(2)防火墙(应用层网关级防火墙)。由服务器同过滤路由器构成。过滤路由器负责与外部网络通信,并把数据进行筛选后传送到服务器。服务器负责控制外部网络用户服务类型的。(3)双穴主机防火墙。利用主机配备多个网卡,分别连接不同的网络来实现执行安全控制的功能。

(二)数据加密技术。信息加密是保护网内的数据、文件、口令和控制信息以及网上传输的数据。数据加密实质上是对以符号为基础的数据实行移位和置换的变换算法,这种变换是受“密钥”控制的。按收发双方密钥是否相同可以将这些加密算法分为对称密钥算法与公钥加密算法。(1)在对称密钥中加密密钥等同与解密密钥或者可以从其中一个推知另一个。比较著名的常规密码算法有:DES。(2)在公钥加密算法中,公钥是公开的,任何人都可以利用公钥加密信息,再将信息发送给私钥拥有者。私钥是保密的,用于对其接收的公钥加密过的信息实施解,而且几乎不可能从加密密钥推算出解密密钥。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。

(三)采用入侵检测系统。通过对行为和安全日志等数据的分析检测到异常现象的技术便称为入侵检测技术。在入侵检测系统中利用审计记录,可以识别出任何不希望存在的活动,进而达到限制这些活动以及对活动的过程的记录,为以后更全面的防护打下基础,从而达到保护系统安全的目的。

参考文献:

篇5

论文摘要:随着网络技术越来越广泛的应用于经济、政治和军事等各领域,其安全性问题也日益被重视。该文首先介绍网络安全情况然后论述计算机网络应用中存在的常见安全问题,随后从几个方面论述了相关防范策略。

随着计算机网络的发展,网路技术的应用已经渗透到各个领域,计算机的处理也不在是单机处理数据而是网络系统和网络数据传输的处理,然而网络技术隐藏的安全问题也不容忽视,不断突出,所以安全防范策略是一个不可忽视的长期复杂的问题。

1 网络安全的概述及要求

1.1 概述

网络安全是指网络体系的硬件系统、软件系统及其系统中的数据受到安全保护,网络系统资源不会受到攻击,网络系统能够可靠稳定正常运行。网络安全是涉及到多方面综合性的问题。

1.2 网络安全的要求

1)数据保密性:数据不泄露给非授权对象并进行利用的特性。

2)数据完整性:网络中存储的或传输过程中的数据不遭受任何形式的修改、破坏和丢失的特性。

3)可审查性:指合法用户不能否认自己的行为,在系统中的每一项操作都应留有痕迹,保留必要的时限以备审查。

4)可控性:授权的用户在授权范围内对数据的传播及行为方式具有控制能力。

5)访问合法性:指得到授权的用户在需要时并按需求访问数据,请求的服务不被拒绝,阻止非授权的用户使用或访问网络资源。

2 计算机网络应用的常见安全问题

由于计算机网络的开放性、互连性等特征,致使网络为病毒、黑客和其他不轨的攻击提供机会,所以研究计算机网络的安全以及防范措施是必要的,这样才能确保网络信息的保密性、安全性、完整性和可用性。计算机网络应用中常见的安全问题主要有:

1)威胁系统漏洞。由于任何一个操作系统和网络软件在设计上存在缺陷和错误,这就成为一种不安全的隐患,让不法者利用,一些恶意代码会通过漏洞很容易进入计算机系统对主机进行攻击或控制电脑。所以在使用电脑时,要及时安装网络安全扫描工具,及时下载系统补丁来修复系统漏洞。

2)欺骗技术攻击。

通过欺骗路由条目、IP地址、DNS解析地址,使服务器无法正常响应这些请求或无法辨别这些请求来攻击服务器,从而造成缓冲区资源阻塞或死机;或者通过将局域网中的某台计算机设置为网关IP地址,导致网络中数据包转发异常而使某一网段无法访问。例如局域网中ARP攻击包问题。

3) “黑客”的侵犯。

“黑客”就是一种在网络中具有破坏性、隐蔽性和非授权性的特性,通过网络利用系统漏洞等方式非法植入对方计算机系统,一旦进入计算机中,用户的主机就被黑客完全利用,成为黑客的超级用户,黑客程序可以被用来窃取密码、口令、帐号、阻塞用户、电子邮件骚扰、篡改网页、破坏程序等行为,对用户主机安全构成严重威胁。因此,从某种意义上讲,黑客对网络安全的危害甚至超过网络病毒攻击。

4)计算机病毒攻击。

计算机病毒是危害网络安全的最主要因素。计算机病毒具有隐蔽性、传染性、潜伏性、破坏性、可触发性。病毒程序轻者降低系统工作效率,重者导致系统崩溃、数据丢失,造成无可挽回的损失,所以我们要正确认识并对待网络病毒的攻击,减少对个人计算机及网络系统的破坏,以保护计算机网络安全,使得计算机网络真正发挥其积极的作用。

5)网络物理设备故障问题。

网络中的设备包括计算机、网络通信设备、存储设备、传输设备、防雷系统、抗电磁干扰系统、网络环境都是网络安全的重要保障,每个环节设备出现问题,都会造成网络故障。所以定期和不定期检测设备、使用先进的网络设备和产品是网络安全不可忽视的问题。

6)网络管理缺陷问题。

如果管理不严格,网络安全意识不强,都会对网络安全造成威胁,如用户名和口令设置不妥,重要机密数据不加密,数据备份不及时,用户级别权限划分不明确或根本无级别限制,就容易导致病毒、黑客和非法受限用户入侵网络系统,让数据泄露、修改、删除,甚至使系统崩溃。

3 计算机网络安全问题的常用策略

1)进行数据加密策略

要保证数据信息及在网络传输中的保密信息不提供给非授权用户进行更改、窃取、删除等,应该对数据信息实行加密技术,即使数据被人截获,没有密钥加密数据也不能还原为原数据,网络数据的安全从而得到保证。加密方法可采用对称加密和非对称加密技术。

2)运用入侵检测策略

人侵检测技术是一种用于检测计算机系统和网络中是否有违反安全策略和被攻击现象的行为。入侵检测技术中它不仅能检测外部的入侵行为,同时也能检测内部用户中未授权的行为,通过日志管理识别违反安全策略的活动从而达到限制这些行为活动,以保护系统的安全。目前主要有基于用户行为模式、系统行为模式和入侵特征的检测。 转贴于  3)采用病毒防护策略

在网络中仅用单机防病毒产品和方法很难清除病毒,必须要适合网络全方位的防病毒产品和方法。如局域网中用于服务器操作系统平台的防病毒软件和各种用户操作系统的防病毒软件。互联网相连中的网关的防病毒软件。用与电子邮件服务器平台中的邮件防病毒软件。一个合理安全的网络应该使用全方位的防病毒产品,建立完备的防病毒体系。通过定期或不定期的产品升级,使网络免受病毒的侵袭。

4)利用网络防火墙策略

防火墙是一种隔离控制技术,通过对两个安全策略不同的网络之间进行访问行为控制,以决定网络之间的通信是否被允许,并监视网络运行状态。防火墙主要用来对外部传输的信息进行检测,这样最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。所以,防火墙是网络安全重要一个环节。常用的防火墙技术有包过滤技术、状态检测技术,应用网关技术。

5)利用漏洞扫描策略

漏洞扫描是自动检测本地或异地主机安全脆弱点的技术,它通过执行攻击各种服务的端口,并记录目标主机的反应,对特定项目的有用信息加以分析从而发现其中漏洞。这项技术的具体实现就是网络安全扫描工具。扫描程序可以对现存的漏洞在很短的时间内查出。对于扫描的结果可利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。

6)利用系统容灾策略

一个完整的网络安全体系,不仅要有检测和防范措施,还必须具有当一旦发生突发性灾难保证数据不丢失和全面及时恢复系统的技术,才能完整地保护网络信息系统的安全。目前有很多种容灾技术,分类也比较复杂,但总体上可分为离线式容灾(数据备份)和在线式容灾两大类。离线式容灾主要通过数据备份来实现,它是数据保护的最后防范,不允许有任何失误。但存储介质安全性差,数据恢复比较慢,实时性较差。在线容灾使用两个主机的存储介质进行复制数据,一个放在本地主机,另一个放在异地主机,二者通过IP地址相连,本地存储介质供本地备份系统使用,异地容灾备份存储介质实时复制本地备份存储介质的重要数据,这样构成完整的数据容灾系统,也能解决数据库容灾功能。在线容灾能够实现数据的实时恢复。

网络安全远不止上述几种策略,还有虚拟网专用网络技术、使用网络安全监测系统、上网行为管理技术、降低物理风险等,这里就不详细论述。计算机网络安全策略是个系统的防御问题,随着网络发展飞速和网络应用越来越广泛,同时针对各种网络安全新技术将会不断产生和应用。

4 结束语

网络应用安全是一项长期的、复杂的和综合的工作任务。只要我们高度重视,建立严密的安全防范体系,加强防范意识,采用先进的技术和产品,构造全方位的防范策略机制,就能确保网络系统在理想的状态下运行。

参考文献:

[1] 宋西军.计算机网络安全技术[M].2版.北京:北京大学出版社,2009.

篇6

关键词:网络;安全;问题;探讨

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01

Study of Security Issues and Solutions for Network Applications

Chen Shufeng

(Ganzhou Local Taxation,Ganzhou341000,China)

Abstract:As computer networks are widely used in all aspects of the national economy,its application in the security issues are also increasingly a cause for concern.This article focuses on the current web application security issues for further study,and on this based on the coping strategies,in order to help build a secure network environment.

Keywords:Network;Security;Problem;Study

随着信息网络技术的推广与深入,其应用的领域逐渐也向大型与关键业务系统拓展,比如政府部门信息系统、企业商务系统以及教育教学系统等等。但与此同时也存在着安全缺陷。开放的协议与网络标准、轻视安全的TCP/IP系统使得攻击来自全球各个角落。如今提高计算机网络系统,有效保护数据信息成为关系国家安全的重要问题。

一、网络安全的相关概念

所谓网络安全主要指网络体系中的硬件与软件系统以及系统中的数据受到保护,系统资源不会受到攻击,同时网络系统能够安全稳定的运行。网络安全要求做到以下几个方面:(1)数据完整性。网络中存储的数据以及传输过程中的数据不受到任何形式的破坏与丢失。(2)数据保密性。不把数据泄露给非授权对象。(3)可控性。被授权的用户在授权范围内能够控制数据的传播与行为方式。(4)可审查性。合法用户不能否认自己的行为,应在系统的操作中留下痕迹,以备审查。(5)访问的合法性。被授权用户在需要,且按照需要访问数据时,请求不被拒绝,阻止非授权用户使用或者访问网络。

二、网络应用中的安全问题探讨

(一)欺骗技术。主要通过欺骗路由条目、IP地址以及DNS解析地址,使得服务器难以正常响应请求或者分辨请求,以攻击服务器,造成缓冲区资源的堵塞或者死机;还可以借助把局域网中的计算机设置为网关的IP地址,致使网络数据包转发异常,使得某一网段无法访问。

(二)系统漏洞的威胁。任何操作系统以及软件均存在缺陷与错误,也就成为一种不安全的因素。如果为违法者利用,一些恶意代码就会借助漏洞侵入计算机系统,攻击主机或者控制电脑。因此在使用电脑时,要及时安装安全扫描工具,下载系统补丁修补漏洞。

(三)计算机病毒的攻击。计算机病毒具有隐蔽性、潜伏性、传染性、破坏性以及可触发性特点。病毒程序能够降低系统的工作效率,严重的话就可以导致系统的崩溃,数据丢失,导致无法挽回的损失。

(四)利用扫描或者嗅探器进行信息的窃取。扫描主要是针对系统的漏洞,对系统与网络进行搜寻。因为漏洞的普遍存在,扫描工具会被恶意利用,探测他人主机的信息,为恶意攻击做准备。嗅探器则是通过计算机的网络接口获取目的地。网络嗅探器主要通过监听网络通信以及分析数据获取用户的用户名、口令等等。

三、网络安全问题应对策略

(一)防火墙技术。主要用来加强网络间的访问控制。阻止外部用户非法通过外网进入内网,以保护内部网络操作的特殊网络互联设备。通过对两个以上的网络间的传输的数据包按照既定的安全策略实施检查决定网络间的通信是否被允许,同时监视网络的运行状态。防火墙系统主要由过滤路由器和应用层网关两部分构成,作为内部网络和外部网络间的第一道防护墙,防火墙备受人们注重。而且随着网络安全技术的整体发展,现代防火墙技术不但完成传统意义上的安全服务而且还为各种网络应用提供安全服务。

(二)对重要数据信息进行加密。对数据进行加密,使得数据成为密文可以防止网络上的数据被恶意窃听与修改。若没有密钥,即便数据被窃取,也不能将之还原。目前主要有两种加密方法,即对称加密与非对称加密。对称加密方法主要是加密密钥和解密密钥相同的方法,经常利用的算法是DES算法。非对称加密主要指加密与解密使用不同的密钥。用户保存一个公开的密钥与秘密密钥,公开密钥用来加密,秘密密钥由用户自己保管,用以解密。

(三)运用入侵检测技术。这种技术主要用以保证计算机系统的安全,能够及时发现并报告系统中异常的现象,是一种用于检测计算机中违反安全策略的技术。它能够使得在入侵行动发生危害前,检测到入侵行为,并通过报警和防护系统阻止入侵攻击。在入侵过程中起到减少入侵攻击造成的损失的作用。在入侵后,通过收集入侵者的相关信息,添加到知识库,增强系统的防范能力。入侵检测系统主要有两种:误用检测与异常检测。误用检测主要是利用事先定义的入侵模式库,这种模式库描述了入侵行为的特点、条件以及事件同关系。通过把收集到的信息和入侵行为进行比对来判断是否为入侵行为。这种方法的入侵检测性能主要取决于模式库完整与否。因此它并不能检测模式库中没有的新入侵模式,漏报率较高。所谓异常检测技术主要是提取审计踪迹中的特征数据用以描述用户行为模式,以建立典型网络活动的模型,用于检测。当检测时,把当前用户行为与此模式进行比对,判断是否入侵行为。如果两者的偏离值超过一定的数值,则判定为入侵。常用的异常检测技术主要有:统计分析技术、数据挖掘技术以及机器学习技术等。以上两种技术各有优缺点,误用检测技术能够准确检测已知行为但是对新入侵行为无能为力。异常检测技术能够及时发现新的攻击行为,但是通常误报率较高,而且不能确定具体的攻击行为。现在的入侵检测技术朝着协同式、综合化以及分布式的方向发展,例如NIDES’EMERALD等是误用和异常检测的综合系统。

(四)网络安全管理措施。这种措施主要包括:(1)明确安全管理等级与安全管理范围。(2)制定网络系统维护制度与应急措施。(3)制定相关网络操作使用规章以及人员出入机房制度。

四、结语

网络安全日益成为关系国计民生的重大问题,渗透到社会的各个领域。因此我们要认清网络的脆弱性与潜在威胁,并采取有力措施确保网络安全。

参考文献:

[1]袁家政.计算机网络安全技术[M].清华大学出版社,2006,8

[2]蔡立军.计算机网络安全与应用技术[M].中国水利水电出版社,2006,5

篇7

计算机网络起源于二十世纪六十年代,最早是由美国国防部高级研究计划署(ARPA)进行的。ARPA投资推进计算机网络的研究研发,1969年建成了著名的Internet的前身ARPANET,后来随着计算机技术的不断发展,形成了以ARPANET为主干的Internet雏形,直至今日互联网的诞生。在当今的网络环境下,物理安全、网络结构安全、系统安全、管理安全等都会对网络安全造成影响。因此,为了维护网络环境的安全,网络安全技术是必不可少的。随着国家网络信息化的不断建设与发展,各个企业都根据自己公司的需要,建成了符合公司要求的企业网,使企业员工可以很方便的访问企业的通信资源、处理器资源、存贮器资源、信息资源等。但是建立企业网就不得不面对复杂恶劣的网络环境,因为网络安全技术的不成熟,使不少企业的网络信息资源丢失或被篡改,给企业带来了不小的损失。因此,影响网络安全的因素成了企业建立企业网不得不解决的重大难题,网络安全技术也被越来越多的企业重视[1]。

2影响网络安全的因素

2.1网络协议自身的安全缺陷。Intrenet是一个自身网络协议开放的信息共享系统,网络协议是信息共享的关键环节,当前常用的网络协议是TCP/IP协议、IPX/SPX协议、NerBEUI协议等。正是因为这些网络协议,网络信息共享才会实现,但是网络协议是存在着安全缺陷的,TCP/IP协议是目前使用最为广泛的网络协议,它的安全性,关系着整个Internet的安全。由于TCP/IP协议在设计时未考虑到自身的安全性问题,所以很容易受到“骇客”的攻击,其安全性是没有保障的[2]。

2.2软硬件的安全缺陷。网络硬件设施是构成互联网不可或缺的一大组成部分,但是其自身的安全性十分脆弱,主要表现为:a.网络与计算机存在电磁信息泄漏;b.通讯部分的脆弱性,通讯线路一般是电话线、专线、微波、光缆。在进行信息数据进行传输时,前三种线路上的信息容易被截取。c.计算机操作系统的缺陷。此外,软件的缺陷也是影响网络安全的重要因素,软件的缺陷是软件具有的先天特征,无论是小程序还是大型的软件系统,都有这样那样的缺陷,目前大多数网络病毒就是以软件的形式在互联网中传播,其影响不容小觑。

3国内企业网络安全的现状

随着通讯工程和电子信息技术的快速发展,互联网已经成为当今社会不可或缺的一个组成部分,已经渗透到了经济、生活等各个领域之中。为了更好的分享、利用网络信息资源,各大企业都积极的组建和发展自己的企业网。伴随着网络的发展,各种各样的网络安全问题相继而生,网络安全隐患日益突出,引起了社会各界的广泛关注。然而,企业之间的网络硬件设施却是参差不齐的,经济实力的强弱直接决定着企业网络建设和硬件水平的高低。目前,企业网络中的具有安全防护特性的硬件设备主要有:防火墙、入侵检测系统、安全路由器和交换机。一些企业的网络建设经费可能会有些不足,对网络安全的要求只能满足其最基本的使用要求,对于企业网络硬件基础平台的安全性来说,这种投入明显是不够的。此外,企业之间的技术管理水平也存明显的高低差距,企业的经济水平直接决定了该企业在网络技术能力上的强弱,具有一定经验的网络从业者都集中在大型的企业或组织机构。中小型企业或组织机构中严重缺乏专业的技术人员。由于缺乏相应的网络安全管理制度,企业员工的网络应用水平普遍偏低,缺乏网络安全意识。对此,企业应加强员工的网络安全意识,完善网络安全管理制度,如此才能确保网络环境的安全[3]。

4网络安全技术在企业网的应用措施

4.1物理环境的安全应用措施。物理环境安全包括设备的软硬件安全,通讯线路安全,运行环境安全等等方面。通讯线路的安全的可以防止信息数据在传输的线路上被拦截或篡改,为了使信息数据传输更加的安全,可以选择安全性更高的光纤作为传输介质,防止数据被拦截或篡改。此外,对于网络的依赖性比较大的企业,一旦停电或者断电,就会对企业会造成不必要的损失,为了预防这种情况发生,企业应该安装不间断电源(UPS),避免这种情况发生。同时,网络中断也会对企业造成比较大的损失,为了确保通讯线路的畅通,企业做好冗余备份是必要的选择,冗余备份就是多准备一份或者几份,以备不时之需。如此一来,当一条通讯线路出了问题或者故障,导致网络中断时,会自动选择冗余备份的线路,以确保网络连接不被中断,避免不必要的损失。

4.2操作系统的安全应用措施。操作系统的安全性直接影响到网络的安全,由于种种原因,计算机的操作系统存在着比较多的系统漏洞(BUG)。目前大多数网络攻击就是利用BUG进行恶意攻击。为了预防这种情况发生,用户需要定期对计算机进行系统检查与修复,可以到微软官网上下载适合系统的补丁进行修复[4]。

4.3网络配置的安全应用措施。网络配置的安全应用对于企业网的安全是至关重要的,为了有效地预防网络攻击及病毒入侵,需要合理安装和设置防火墙、补丁系统、网络杀毒软件等等。此外,还要对账号密码进行有效的保护;关闭不需要的服务和端口;定期对服务器进行备份;检测系统日志。

4.4网络的安全应用措施。为了更容易的获取信息资源,大多数的企业网都与外网进行了连接,这样做在方便了自己的同时,也很可能产生一些安全隐患。比如通过聊天工具传播一些恶意软件或网络诈骗信息等。这样的安全隐患也可能是企业员工在浏览网页的过程中不经意的触发了一些不安全链接,进而带入了一些恶意软件,使企业网的数据资源失窃或被篡改。为了有效防止这种情况的发生,企业网络用户在上网时,要时刻保持警惕,不要轻易的相信来自网络中的任何信息,对任何一个要进入网络的人,都要进行必要的身份认证。面对有些需要在网络上进行共享的信息时,企业网络用户要采取一定的措施来保证信息的安全,避免信息的泄漏。此外,企业网络用户还要坚决抵制恶意网站,拒绝恶意请求,确保网络的安全应用。

5结束语

篇8

关键词:计算机网络;网络应用安全问题;策略

Abstract: As network technology becomes more widely used in various fields of economic, political and military, the security issues are also increasingly being taken seriously. This paper first describes the network security situation and then discusses the common security problems existed in the computer network applications, and then discusses several aspects of the relevant prevention strategies.Key words: computer networks; Web application security issues; strategy

中图分类号:TP393 文献标识码: A 文章编号:

篇9

关键词 防毒墙;物理网;网络安全网关;终端用户安全管理

中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)79-0194-02

0 引言

随着网络的发展,高校作为积极实践新技术的群体,需要解决越来越庞大的教学,科研的网络数据处理,并保证在大访问量下的优质上网质量。现在高校通常是几百兆甚至是几个G的出口带宽。在满足广大师生上网需求的同时,也带来了一定的网络安全问题.作为国家事业单位,有些网络及数据安全也须得到一定的保障。国家教育部、公安部等相关部门也三令五申地要求各高校切实做好网络安全建设和管理工作.有鉴于此,需要在新形势下研究新的网络安全技术。

1 高校网络安全技术

现阶段高校主要通过如下技术手段实现其一定的网络安全管理:物理网隔离,网络安全网关、配备Web防毒墙,多专网,数据备份,关键部位设备冗余,采用第三方设备系统实现用户终端的安全管理。

1.1 物理网隔离

作为最基本的手段,物理网隔离技术永远有其独特的网络安全优势,主要适用于如校园财务,校园资产管理等严格要求数据安全性的系统。对于现在采用的WLAN做ACL访问控制隔离模式总不如全物理网来的有效,当然物理网对成本要求更高。

1.2 网络安全网关

校园网首先是一个大的局域网的概念,如何有效的抵御外来有害,有毒信息是涉及到校园网能否安全的主要因素,这个时候就非常有必要在校园网出口处架设一台网络安全产品。现在市场如阿姆瑞特,深信服都出产此类产品。该类系统基本包含带宽多出口管理,防火墙,入侵检测及防御,WEB内容过滤,简单流量控制等一系列功能。通过访问规则,应用层网关,动静态WEB过滤,反病毒扫描,垃圾邮件处理等配置实现其安全网关的功能。能基本抵御外来如DOS攻击,IP欺骗,提高FTP,HTTP,SMTP,pop3等协议的安全性。该类产品流量控制功能也能粗略的解决一些出口带宽问题,适当缓解现阶段高校租用运营商带宽费用过度增长的问题。但同时也会碰到多项功能模块开启造成管理平台查询配置延迟的问题。如有条件,还是建议采用专业的流控设备,及反垃圾邮件网关等以分担防火墙的处理业务。

1.3 Web应用防毒墙

通过该设备的配备,可以有效防御如SQL注入,跨站点脚本,操作系统命令注入,会话劫持,篡改参数或URL,缓冲区溢出等攻击。由于直接针对应用层处理能力,该类产品抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术,多次解析的架构,采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配。从而更好的保护服务器区的操作系统及数据安全。

1.4 多专网

由于高校存在数量众多的实验室机房,这些由于学生上网行为,虽然用户端基本都配有还原卡等装置,但在教学过程中所发生的病毒攻击行为从实验室管理上来说基本处于无可奈何的状态,这对校园网确实是一个极大的威胁,我校当时就碰到过各类由于机房管理不善影响全院网络的事件。针对于此,采用多台汇聚层交换机,把行政办公网和实验室网分开,基本上组建成实验室专网,并在实验室汇聚交换机连接核心交换机端配置一台防火墙,有效解决了实验室端对整体校园网的安全影响。

1.5 数据备份

为了各种教学评估,国家精品课程建设,电子图书馆建立都需存储大量的数据,其中有些还需实现异地备份,主要有定期磁带备份数据,就是制作完整的备份磁带或光盘:远程数据库备份,在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝,如有分校区的学校可采用两边数据互备方案。

1.6 关键部位设备冗余

这个方面可根据各高校实际情况进行操作,主干网络优先对核心交换机,安全网关进行冗余处理,由于像中间防火墙和防毒墙都有bypass功能可适当放低要求,毕竟还需考虑成本因素,数据中心服务器可采用类似云计算的方案进行处理,不需每台都做冗余。如有分校区的学校还需对互联光纤线路进行双路冗余处理,不然故障后影响太大。

1.7 使用第三方设备及系统实现终端用户的安全管理

由于高校集中了成千上万的用户数,在提高用户的安全意识同时,还需要对其进行全局的管理,这方面可通过第三方设备或系统进行IP/MAC绑定,采用安装客户端的方式实现如硬性安装360安全卫士等网络安全要求。并可和交换机进行联动,如发现有异常的端动,可将该交换机端口down掉,再联系用户进行处理,可避免因个人用户所引起的全网安全问题。该手段可对校园网络进行最基础的净化流程,我校在采用了锐捷SAM系统后效果明显,解决如arp欺骗等局域网存在的顽疾。

2 结论

由于高校网络的迅猛发展,为解决全校网络访问通畅,数据存储安全等一系列问题。管理方在制定全面的网络安全策略的同时,在采用上述各种网络安全技术之外,还需要建立完备的针对高校网络的管理制度,培养专门的网络管理人员,并且积极开展用户的网络安全培训,养成用户健康上网的习惯。

只有这样,才能全面地有效实现高校网络信息安全。可靠,稳定的服务于高校教学。另外如有一款产品能对网络进行实时的,全面的包括硬件,线路,数据传输等方面的监测的话,相信这是所有网络管理员共同的希望吧。

参考文献

[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.

[2]吴功宜,吴英.计算机网络应用技术教程[M].3版.北京:清华大学出版社,2009:17-18.

[3]李新,孙中涛.高校校园网安全管理研究[J].现代教育装备,2010.

[4]王维江.网络应用方案与实例精讲[M].北京:人民邮电出版社,2003,11:1-34.

篇10

关键词:计算机;网络威胁;网络安全

随着计算机技术的迅速发展,运用计算机上完成的工作已覆盖社会各个方面。计算机网络在为人们提供便捷和效益的同时,也面临着信息安全的问题。

一、计算机网络信息安全概述

计算机通信网络安全是指根据计算机通信网络特性,经某种安全技术和措施,对计算机通信网络的硬件、操作系统、应用软件和数据等保护,防止遭到侵害或窃取,实质上是保护计算机通讯系统和通信网络中的各种信息资源免受各种类型的干扰和破坏。计算机通信网络的安全是指挥、控制信息安全的重要保证。从国家计算机网络应急技术处理协调中心的统计资料显示,通过分布式密网捕获的新的漏洞攻击恶意代码数量平均每天112次,每天捕获最多的次数高达4369 次。随着网络互联互通,防范计算机通信网络安全成为当务之急。

二、影响计算机网络信息安全的因素分析

计算机通信网络的安全涉及面广,其范围包括网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等,这些技术保护网络系统的硬件、软件以及系统中的数据免遭破坏、更改、泄露,保证系统连续正常运行。影响计算机通信网络安全的因素有以下几个方面:

1.网络资源的共享性

计算机网络最主要的功能就是资源共享。只要有网络,就能找到信息。资源共享为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。尤其是操作系统漏洞方面,计算机操作系统本身存在的问题或技术缺陷。基于网络协议实现的复杂性,决定了操作系统存在各种漏洞。网络威胁是对网络安全缺陷的潜在利用,这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或者被破坏等。网络安全所面临的威胁可以来自很多方面,并且随着时间的变化而变化。

2.网络系统设计的缺陷

网络设计是指拓扑结构的设计和各种网络设备的选择等方面。网络设备、网络操作系统等都会带来安全隐患。例如,恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着计算机普及的大众化,此类攻击也越来越多。无论是DOS 攻击还是DDOS 攻击,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式各异,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求。

主观因素也是造成计算机网络通信安全的原因之一。源于计算机系统网络管理人员缺乏安全观念和必备技术,如安全意识、防范意思等。

三、计算机网络信息安全技术及应用

由于网络信息诸多不安全因素,必须采取相应的网络安全技术来防范安全漏洞。随着网络技术的进步,网络安全的挑战也在增大。随着硬件技术和并行技术的发展,计算机的计算能力迅速提高。同时对网络的破坏造成的损失和混乱会也会变大。这些对网络信息安全技术提出了更高的要求,网络信息安全必然随着网络应用的发展其技术在不断完善。

1.网络加密技术

网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。

2.防火墙技术

防火墙安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。现对网络的安全保护。在Internet 上,通过它来隔离风险区域与安全区域的连接,但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据,从而完成仅让安全、核准的信息进入,同时又抵制对企业构成威胁的数据进入的任务。

3.网络防病毒技术

随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。

4.身份验证技术

身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。

5.安全管理队伍的建设

在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。

随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络信息的安全问题也越来越受到人们的重视,网络安全不仅是技术问题,也是一个安全管理问题。必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。

参考文献:

[1]陈月波:网络信息安全[M].武汉:武汉理工大学出版社,2005 .

[2]钟乐海,王朝斌,李艳梅:网络安全技术[M].北京:电子工业出版社,2003.

[3]张千里:网络安全基础与应用[M].北京:人民邮电出版社,2007.

[4]吴金龙,蔡灿辉,王晋隆:网络安全[M].北京:高等教育出版社,2004.

[5]姚华,肖琳:网络安全基础教程[[M].北京:北京理工大学出版社,2007.