前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全與防范主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞: 網(wǎng)絡(luò)安全、防火墻、入侵檢測(cè)系統(tǒng)
近年來(lái),計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展,網(wǎng)絡(luò)應(yīng)用逐漸普及。網(wǎng)絡(luò)已成為一個(gè)無(wú)處不在、無(wú)所不用的工具。越來(lái)越多的計(jì)算機(jī)用戶足不出戶則可訪問(wèn)到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源,經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)也強(qiáng)烈依賴于網(wǎng)絡(luò),一個(gè)網(wǎng)絡(luò)化的社會(huì)已呈現(xiàn)在我們面前。
然而,隨著網(wǎng)絡(luò)應(yīng)用的不斷增多,網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出,由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。本人結(jié)合實(shí)際經(jīng)驗(yàn),談一談網(wǎng)絡(luò)安全與防范技術(shù)。
1 網(wǎng)絡(luò)不安全因素
網(wǎng)絡(luò)的安全因素主要有:
(1)網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著聯(lián)網(wǎng)需求的日益增長(zhǎng),外部服務(wù)請(qǐng)求不可能做到完全隔離,攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
(2)網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。
(3)網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。
(4)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。
(5)惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒.是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來(lái)越多,影響越來(lái)越大。
2 網(wǎng)絡(luò)安全防御方式
網(wǎng)絡(luò)安全技術(shù)的主要代表是防火墻和入侵檢測(cè)技術(shù)。下面簡(jiǎn)要介紹一下這兩種技術(shù)。
2.1 防火墻技術(shù)
網(wǎng)絡(luò)安全所說(shuō)的防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪,用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來(lái)自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過(guò)防火墻。
2.1.1 防火墻的主要功能
防火墻的主要功能包括:
(1)防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,從而過(guò)濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。
(2)防火墻可以關(guān)閉不使用的端口,而且它還能禁止特定端口的輸出信息。
(3)防火墻可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn),從而可以防止來(lái)自不明入侵者的所有通信,過(guò)濾掉不安全的服務(wù)和控制非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。
(4)防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對(duì)Internet上特殊站點(diǎn)的訪問(wèn)。
(5)防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。
2.1.2 防火墻的主要優(yōu)點(diǎn)
防火墻的主要優(yōu)點(diǎn)包括:
1)可作為網(wǎng)絡(luò)安全策略的焦點(diǎn)
防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來(lái),將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心,極大地加強(qiáng)了網(wǎng)絡(luò)安全,并簡(jiǎn)化了網(wǎng)絡(luò)管理。
2)可以有效記錄網(wǎng)絡(luò)活動(dòng)
由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間,即所有傳輸?shù)男畔⒍紩?huì)穿過(guò)防火墻。所以,防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息,提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能。
3)為解決IP地址危機(jī)提供了可行方案
由于Internet的日益發(fā)展及IP地址空間有限,使得用戶無(wú)法獲得足夠的注冊(cè)IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。
2.1.3 防火墻的主要缺陷
由于互聯(lián)網(wǎng)的開放性,防火墻也有一些弱點(diǎn),使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有:
(1)防火墻對(duì)繞過(guò)它的攻擊行為無(wú)能為力。
(2)防火墻無(wú)法防范病毒,不能防止感染了病毒的軟件或文件的傳輸,對(duì)于病毒只能安裝反病毒軟件。
(3)防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。
2.1.4 防火墻的分類
防火墻的實(shí)現(xiàn)從層次上大體可分為三類:包過(guò)濾防火墻,防火墻和復(fù)合型防火墻。
1)包過(guò)濾防火墻
包過(guò)濾防火墻是在IP層實(shí)現(xiàn),它可以只用路由器來(lái)實(shí)現(xiàn)。包過(guò)濾防火墻根據(jù)報(bào)文的源IP地址,目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許有報(bào)文通過(guò)。
包過(guò)濾路由器的最大優(yōu)點(diǎn)是:對(duì)用戶來(lái)說(shuō)是透明的,即不需要用戶名和密碼來(lái)登陸。
【關(guān)鍵詞】SCADA系統(tǒng);信息安全
成品油管道輸送過(guò)程中高度的自動(dòng)化工業(yè)控制手段是確保管道安全、穩(wěn)定輸送成品油的前提,近年來(lái)為了實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)采集與生產(chǎn)控制,滿足“兩化融合”的需求和管理的方便,工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)往往需要直接進(jìn)行通信,而企業(yè)管理系統(tǒng)一般直接連接Internet,在這種情況下,工業(yè)控制系統(tǒng)也面臨著來(lái)自Internet的威脅。因此建立成品油管道企業(yè)SCADA系統(tǒng)的安全防護(hù)體系和安全模型,對(duì)確保SCADA系統(tǒng)安全穩(wěn)定運(yùn)行,加速實(shí)現(xiàn)“數(shù)字化管道”的進(jìn)程具有重要的現(xiàn)實(shí)意義,是當(dāng)前管道企業(yè)自動(dòng)化控制系統(tǒng)建設(shè)中亟待解決的大問(wèn)題。
一、華南管網(wǎng)生產(chǎn)網(wǎng)現(xiàn)狀及特點(diǎn)
銷售華南分公司作為石化企業(yè)最長(zhǎng)的成品油長(zhǎng)輸管道,典型的資金和技術(shù)密集型企業(yè),負(fù)責(zé)西南及珠三角3千多公里的成品油輸送業(yè)務(wù),管道全線由國(guó)際上先進(jìn)的SCADA系統(tǒng)完成對(duì)輸油管道生產(chǎn)過(guò)程的數(shù)據(jù)采集、監(jiān)視、水擊保護(hù)與控制,批量計(jì)劃、批次編排與輸送,管道泄漏檢測(cè)與定位等任務(wù)。華南管網(wǎng)的生產(chǎn)運(yùn)行以調(diào)控中心操作控制為主,管道生產(chǎn)的連續(xù)性很強(qiáng),裝置和重要設(shè)備的意外停產(chǎn)都會(huì)導(dǎo)致巨大的經(jīng)濟(jì)損失,生產(chǎn)管理上更注重安全和平穩(wěn)運(yùn)行。SCADA控制網(wǎng)絡(luò)由DCS、PLC和SCADA等控制系統(tǒng)構(gòu)成,生產(chǎn)網(wǎng)在數(shù)據(jù)采集方面,采用開放性設(shè)計(jì)。開放性設(shè)計(jì)是當(dāng)今系統(tǒng)設(shè)計(jì)的基本要求,它要求計(jì)算機(jī)軟硬件廠家共同遵守通用的國(guó)際標(biāo)準(zhǔn),以實(shí)現(xiàn)不同廠家設(shè)備之間的通訊。整個(gè)華南管網(wǎng)SCADA系統(tǒng)采用OPC協(xié)議、IEC 104協(xié)議、Modbus協(xié)議等通用標(biāo)準(zhǔn)接口與幾十家甚至上百家的第三方設(shè)備通訊,采集足夠的管線運(yùn)行參數(shù),如液位、溫度、電氣、陰保、密度等信號(hào),確保對(duì)管線的有效監(jiān)控。具體架構(gòu)見圖1所示。
在通信方式上,為確保監(jiān)控?cái)?shù)據(jù)及時(shí)、準(zhǔn)確、安全的傳輸,采用沿管線敷設(shè)通信光纜線路方式,建立基于光同步數(shù)字傳輸系統(tǒng)下多業(yè)務(wù)傳輸平臺(tái)(MSTP)的綜合性通信網(wǎng)絡(luò),通過(guò)MSTP通信信道(主用信道)和公網(wǎng)SDH 2M信道(備用信道)方式進(jìn)行數(shù)據(jù)傳輸和保護(hù),以實(shí)現(xiàn)對(duì)沿線站場(chǎng)及線路SCADA實(shí)施遠(yuǎn)距離的數(shù)據(jù)采集、監(jiān)視控制、安全保護(hù)和統(tǒng)一調(diào)度管理。在數(shù)據(jù)交換上,采用思科路由交換設(shè)備構(gòu)建,使用EIGRP路由協(xié)議作為主干路由協(xié)議,負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的路由計(jì)算,具體網(wǎng)絡(luò)拓?fù)湟妶D2。
二、生產(chǎn)網(wǎng)絡(luò)安全隱患分析
1.操作系統(tǒng)安全漏洞
目前公司主要采用通用計(jì)算機(jī)(PC)+Windows的技術(shù)架構(gòu),操作系統(tǒng)使用WINDOWS SERVER 2003、WINDOWS SERVER 2008。當(dāng)今的DCS廠商更強(qiáng)調(diào)開放系統(tǒng)集成性,各DCS廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù),而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢(shì)。PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)操作站(HMI)的主流,任何一個(gè)版本的Windows自以來(lái)都在不停的漏洞補(bǔ)丁,為保證過(guò)程控制系統(tǒng)相對(duì)的獨(dú)立性,現(xiàn)場(chǎng)工程師通常在系統(tǒng)正式運(yùn)行后不會(huì)對(duì)Windows平臺(tái)打任何補(bǔ)丁,更為重要的是打過(guò)補(bǔ)丁的操作系統(tǒng)沒(méi)有經(jīng)過(guò)制造商測(cè)試,存在安全運(yùn)行風(fēng)險(xiǎn)。但是與之相矛盾的是,系統(tǒng)不打補(bǔ)丁就會(huì)存在被攻擊的漏洞,即使是普通常見病毒也會(huì)遭受感染,可能造成Windows平臺(tái)乃至控制網(wǎng)絡(luò)的癱瘓。
2.網(wǎng)絡(luò)通信協(xié)議存在安全漏洞
OPC協(xié)議、Modbus協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如,OPCClassic協(xié)議(OPCDA,OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議,DCOM協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊,并且OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT防火墻來(lái)確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來(lái)了極大的挑戰(zhàn)。
3.殺毒軟件漏洞
為了保證工控應(yīng)用軟件的可用性及穩(wěn)定性,目前部分工控系統(tǒng)操作站不安裝殺毒軟件。即使安裝了殺毒軟件,在使用過(guò)程中也有很大的局限性,原因在于使用殺毒軟件很關(guān)鍵的一點(diǎn)是,其病毒庫(kù)需要不定期的更新,這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對(duì)新病毒的處理總是滯后的,這容易導(dǎo)致大規(guī)模的病毒攻擊,特別是新病毒。
4.應(yīng)用軟件漏洞
由于應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題;另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),就必須開放其應(yīng)用端口。因此常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性?;ヂ?lián)網(wǎng)攻擊者很有可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取設(shè)備的控制權(quán),一旦這些控制權(quán)被不良意圖黑客所掌握,那么后果不堪設(shè)想。
5.缺乏有效的網(wǎng)絡(luò)監(jiān)控手段
缺乏統(tǒng)一的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)監(jiān)控平臺(tái),主要體現(xiàn)在以下四個(gè)方面。
第一是隨著生產(chǎn)網(wǎng)絡(luò)不斷拓寬,對(duì)網(wǎng)絡(luò)的依賴越來(lái)越大,要求對(duì)網(wǎng)絡(luò)管理的內(nèi)容日趨增多,包括網(wǎng)絡(luò)管理、性能管理、應(yīng)用管理、使用管理、安全系統(tǒng)等內(nèi)容。第二是業(yè)務(wù)服務(wù)的規(guī)模增大,規(guī)劃、維護(hù)、安全、管理等分工更加細(xì)致,管理迫切要求對(duì)業(yè)務(wù)服務(wù)管理和維護(hù)建立統(tǒng)一的、規(guī)范的、體系化的、層次化的服務(wù)管理。第三是多設(shè)備、多系統(tǒng)的運(yùn)行信息、告警信息的多樣化,需要對(duì)這些信息進(jìn)行集中化的管理,進(jìn)行智能化的分析、統(tǒng)計(jì),得出有利于網(wǎng)絡(luò)管理和維護(hù)的數(shù)據(jù),便于更有效、更快捷的解決問(wèn)題。第四是管理人員不斷增多,管理流程日益復(fù)雜,管理成本不斷上升,技術(shù)管理體系需要完善。
6.網(wǎng)絡(luò)未有效隔離
公司生產(chǎn)網(wǎng)與Internet網(wǎng)間缺乏安全有效的隔離。隨著互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團(tuán)信息化整合的加強(qiáng),中石化總部提出了生產(chǎn)數(shù)據(jù)集中采集,通過(guò)廣域網(wǎng)實(shí)現(xiàn)集團(tuán)內(nèi)部資源共享、統(tǒng)一集團(tuán)管理的需求,企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet,而Internet接入也成為必然。Internet接入減弱了控制系統(tǒng)、SCADA等系統(tǒng)與外界的隔離,容易造成蠕蟲、木馬等病毒的威脅向工業(yè)控制系統(tǒng)擴(kuò)散。
7.缺乏有效的訪問(wèn)控制手段
操作站(PC)和服務(wù)器提供了過(guò)多的硬件接口,光盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)未經(jīng)安全檢測(cè)就使用給網(wǎng)絡(luò)安全帶來(lái)了隱患;筆記本電腦等非生產(chǎn)終端設(shè)備未經(jīng)過(guò)準(zhǔn)入許可,通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)接入后,在未授權(quán)的情況下便可以訪問(wèn)和操控控制網(wǎng)絡(luò)系統(tǒng),也存在安全隱患。
三、生產(chǎn)網(wǎng)絡(luò)安全方案設(shè)計(jì)原則
針對(duì)以上存在的安全隱患,通過(guò)目前大型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及建設(shè)經(jīng)驗(yàn),結(jié)合生產(chǎn)網(wǎng)絡(luò)的特點(diǎn),生產(chǎn)網(wǎng)絡(luò)系統(tǒng)在安全方案設(shè)計(jì)、規(guī)劃過(guò)程中,應(yīng)遵循以下原則:
綜合性、整體性原則:應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò),包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等,這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。
需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則:對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等),并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。
一致性原則:一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等,都要有安全的內(nèi)容及措施。實(shí)際上,在網(wǎng)絡(luò)建設(shè)初期就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,不但容易,且花費(fèi)也少得多。
分步實(shí)施原則:由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費(fèi)用開支。
多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。
四、生產(chǎn)網(wǎng)絡(luò)安全保障的主要方法和措施
華南管網(wǎng)生產(chǎn)網(wǎng)的安全建設(shè)前提必須是確保生產(chǎn)應(yīng)用系統(tǒng)的正常穩(wěn)定,由于目前控制系統(tǒng)應(yīng)用軟件對(duì)網(wǎng)絡(luò)穩(wěn)定性及計(jì)算機(jī)性能要求較高,安全系統(tǒng)建設(shè)應(yīng)基于不增加系統(tǒng)負(fù)擔(dān),不過(guò)大占用網(wǎng)絡(luò)帶寬,不因安全設(shè)備的安裝增加故障點(diǎn)的前提考慮,盡可能進(jìn)行網(wǎng)絡(luò)加固監(jiān)控,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的“事前、事中、事后”全程監(jiān)控防范?,F(xiàn)就生產(chǎn)網(wǎng)的建設(shè)提出自己的想法和建議,基本架構(gòu)及方法如圖3。
1.采用網(wǎng)絡(luò)隔離技術(shù),實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)安全交互
隔離防護(hù)系統(tǒng)建設(shè)必須遵循“安全隔斷、適度交換”的設(shè)計(jì)原則,當(dāng)用戶的網(wǎng)絡(luò)需要保證高強(qiáng)度的安全,同時(shí)又與其它不信任網(wǎng)絡(luò)進(jìn)行信息交換的情況下,采用數(shù)據(jù)通道控制技術(shù),在保證內(nèi)網(wǎng)系統(tǒng)和信息安全的前提下,實(shí)現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)的安全、快速交換。采用多重安全機(jī)制、綜合防范策略,徹底避免來(lái)自操作系統(tǒng)、命令、協(xié)議等已知和未知的攻擊。目前此類安全產(chǎn)品以隔離網(wǎng)閘為代表,通過(guò)專用硬件使兩個(gè)網(wǎng)絡(luò)在物理不連通的情況下實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。
2.建立綜合網(wǎng)管系統(tǒng),全面完整掌握網(wǎng)絡(luò)運(yùn)行狀況
目前生產(chǎn)網(wǎng)所要管理的資源包括網(wǎng)絡(luò)、主機(jī)、安全、數(shù)據(jù)庫(kù)、中間件、業(yè)務(wù)系統(tǒng)等,通過(guò)采集以上資源全部告警狀態(tài)信息、配置信息及性能信息,并與通信資源庫(kù)進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)對(duì)全網(wǎng)的拓?fù)涔芾?、配置信息管理、業(yè)務(wù)管理、故障管理、性能管理等功能。為了便于運(yùn)行人員快速熟悉和掌握新的統(tǒng)一平臺(tái)的使用,廣泛采用了功能菜單和圖形化界面相結(jié)合的操作界面。
3.建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)IDS(Intrusion Detec-tion System)提供一種實(shí)時(shí)的檢測(cè),對(duì)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè),發(fā)現(xiàn)異常后報(bào)警并動(dòng)態(tài)防御。由于考慮到生產(chǎn)網(wǎng)的可用性及穩(wěn)定性,故在服務(wù)器及操作站中不加裝軟件防火墻及網(wǎng)絡(luò)流量檢測(cè)軟件,而是根據(jù)接口流量及帶寬,在各管理處及輸油站網(wǎng)絡(luò)的交換機(jī)上鏈路出口、核心交換匯聚接口及與外網(wǎng)連接接口均部署IDS。為避免因設(shè)備故障影響網(wǎng)絡(luò)通斷,將IDS以旁路并聯(lián)方式連接到網(wǎng)絡(luò)中,對(duì)路由器或交換機(jī)做端口鏡像,將需要監(jiān)控的端口流量鏡像后傳輸IDS后進(jìn)行分析,最終通過(guò)IDS服務(wù)器完成集中監(jiān)控、策略統(tǒng)一配置和報(bào)表綜合管理等功能,實(shí)現(xiàn)從事前警告、事中防護(hù)到事后取證的一體化監(jiān)控。
4.建立嚴(yán)格的準(zhǔn)入控制
針對(duì)接入層用戶的安全威脅,特別是來(lái)自應(yīng)用層面的安全隱患,防止黑客對(duì)核心層設(shè)備及服務(wù)器的攻擊,我們必須在接入層設(shè)置強(qiáng)大的安全屏障,從網(wǎng)絡(luò)接入端點(diǎn)的安全控制入手,通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng),對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略,加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力,并嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,保護(hù)網(wǎng)絡(luò)安全。整個(gè)系統(tǒng)應(yīng)包括準(zhǔn)入控制手段、控制支撐、控制決策和應(yīng)用接口4個(gè)層面。
5.通過(guò)桌面安全實(shí)現(xiàn)補(bǔ)丁及防病毒軟件升級(jí)
操作站及服務(wù)器等PC設(shè)備考慮到生產(chǎn)網(wǎng)的安全,不直接Internet直接下載操作系統(tǒng)補(bǔ)丁及防病毒軟件補(bǔ)丁,而在生產(chǎn)網(wǎng)內(nèi)部建立桌面安全系統(tǒng)與外網(wǎng)連接,通過(guò)桌面安全系統(tǒng)實(shí)現(xiàn)對(duì)公司生產(chǎn)網(wǎng)內(nèi)PC機(jī)的控制管理,從應(yīng)用程序管理、外設(shè)管理、軟件分發(fā)、補(bǔ)丁管理、文件操作審計(jì)、遠(yuǎn)程管理等多方面對(duì)PC機(jī)各種資源要素進(jìn)行全程控制、保護(hù)和審計(jì)。確保桌面計(jì)算機(jī)運(yùn)行的可靠性、完整性和安全性,提高PC機(jī)維護(hù)效率,從而達(dá)到自動(dòng)化管理和信息安全監(jiān)控的整體目的。
五、結(jié)論
隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)病毒制造技術(shù)和黑客攻擊技術(shù)也在不斷的發(fā)展變化,越來(lái)越多的安全事件的發(fā)生,我國(guó)的工業(yè)基礎(chǔ)設(shè)施面臨著前所未有的安全挑戰(zhàn)。雖然我們?cè)谏a(chǎn)網(wǎng)安全建設(shè)和防范過(guò)程中積累了一定經(jīng)驗(yàn),但我們?nèi)孕柩芯亢吞剿?,不斷學(xué)習(xí)和掌握日新月異的網(wǎng)絡(luò)安全新知識(shí),綜合運(yùn)用多種安全技術(shù)來(lái)加強(qiáng)安全策略和安全管理,從而建立起一套真正適合企業(yè)生產(chǎn)網(wǎng)的安全網(wǎng)絡(luò)體系。
參考文獻(xiàn)
[1]戴宗坤.信息安全實(shí)用技術(shù)[M].重慶大學(xué)出版社,2005.
今日的世界已進(jìn)入了網(wǎng)絡(luò)信息高速流通的時(shí)代,它仿佛使地球變小了,把世界各地的距離拉近。隨著計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)進(jìn)入了千家萬(wàn)戶。本文首先概括了網(wǎng)絡(luò)信息安全的概念和當(dāng)前網(wǎng)絡(luò)安全解決方案的局限性,然后對(duì)網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原則進(jìn)行了系統(tǒng)分析。
【關(guān)鍵詞】網(wǎng)絡(luò)安全 網(wǎng)絡(luò)攻擊
1 引言
在網(wǎng)絡(luò)信息高度發(fā)達(dá)的今天,網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞,幾年前不可思議的事情今天已成為現(xiàn)實(shí)。然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,矛與盾的較量會(huì)長(zhǎng)時(shí)間的進(jìn)行下去。原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁,網(wǎng)絡(luò)安全已變成越來(lái)越棘手的問(wèn)題。據(jù)有關(guān)部門統(tǒng)計(jì),網(wǎng)絡(luò)犯罪幾年來(lái)呈上升趨勢(shì)。在此,筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
2 當(dāng)前主要影響網(wǎng)絡(luò)安全的管理因素和技術(shù)因素
隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及,網(wǎng)絡(luò)安全問(wèn)題成了人們關(guān)心的焦點(diǎn),影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素有:
(1)TCP/IP的脆弱性。作為所有網(wǎng)絡(luò)安全協(xié)議基石的TCP/IP協(xié)議,其本身對(duì)于網(wǎng)絡(luò)安全性考慮欠缺,這就使攻擊者可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。
(2)軟件系統(tǒng)的不完善性造成了網(wǎng)絡(luò)安全漏洞,給攻擊者打開方便之門。
(3)網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術(shù),因此當(dāng)兩臺(tái)主機(jī)進(jìn)行通信時(shí),攻擊者利用一臺(tái)處于用戶數(shù)據(jù)流傳輸路徑上的主機(jī),就可以劫持用戶的數(shù)據(jù)包。
(4)缺乏安全意識(shí)和策略。由于人們普遍缺乏安全意識(shí),網(wǎng)絡(luò)中許多安全屏障形同虛設(shè)。如為了避開防火墻的額外認(rèn)證,直接進(jìn)行PPP連接,給他人留下可乘之機(jī)等。
(5)管理制度不健全,網(wǎng)絡(luò)管理、維護(hù)任其自然。
(6)由于條塊分割的利益分配問(wèn)題所帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題。
3 目前解決網(wǎng)絡(luò)安全問(wèn)題存在著技術(shù)和管理的缺失
網(wǎng)絡(luò)安全防范措施主要有防火墻、口令驗(yàn)證系統(tǒng)、加密系統(tǒng)等,應(yīng)用最廣泛的是防火墻技術(shù)。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一,其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn),它通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu),另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)立足點(diǎn)為。但也有其明顯的局限性,如:
(1)防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對(duì)內(nèi)或內(nèi)對(duì)外,而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明,網(wǎng)絡(luò)上的安全攻擊事件有70%來(lái)自內(nèi)部攻擊。
(2)防火墻難于管理和配置,易造成安全漏洞。防火墻的管理和配置,易造成安全漏洞。防火墻的管理及配置相當(dāng)復(fù)雜,一般來(lái)說(shuō),由多個(gè)系統(tǒng)(路由器、過(guò)濾器、服務(wù)器、網(wǎng)關(guān)、保壘主機(jī))組成的防火墻,管理上有所疏忽是在所難免的。根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明,30%的入侵發(fā)生在有防火墻的情況下。
(3)防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對(duì)用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份,這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略,限制了企業(yè)網(wǎng)的物理范圍。
4 當(dāng)前設(shè)計(jì)網(wǎng)絡(luò)安全防范體系應(yīng)遵循的原則
根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素,參照SSE-CMM(“系統(tǒng)安全工程能力成熟模型”)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn),綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面,網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過(guò)程中應(yīng)遵循以幾項(xiàng)原則:
(1)短板理論在網(wǎng)絡(luò)信息安全技術(shù)方面的應(yīng)用。網(wǎng)絡(luò)信息安全的木桶原則是指對(duì)信息均衡、全面的進(jìn)行保護(hù)?!澳就暗淖畲笕莘e取決于最短的一塊木板” 。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng),它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性,尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的“最易滲透原則”,必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此,充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析,評(píng)估和檢測(cè)(包括模擬攻擊)是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段,根本目的是提高整個(gè)系統(tǒng)的“安全最低點(diǎn)”的安全性能。
(2)防止以偏概全的網(wǎng)絡(luò)信息安全的整體性原則。要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下,必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù),減少損失。因此,信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施,避免非法攻擊的進(jìn)行。安全檢測(cè)機(jī)制是檢測(cè)系統(tǒng)的運(yùn)行情況,及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下,進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息,減少供給的破壞程度。
(3)實(shí)踐中的安全性評(píng)價(jià)與經(jīng)濟(jì)可行和安全性的平衡原則。對(duì)任何網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的,所以需要建立合理的實(shí)用安全性與用戶需求評(píng)價(jià)與平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系,做到安全性與可用性相容,做到組織上可執(zhí)行。評(píng)價(jià)信息是否安全,沒(méi)有絕對(duì)的評(píng)判標(biāo)準(zhǔn)和衡量指標(biāo),只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境,具體取決于系統(tǒng)的規(guī)模和范圍,系統(tǒng)的性質(zhì)和信息的重要程度。
5 結(jié)束語(yǔ)
由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷,以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲(chǔ)和對(duì)其訪問(wèn)與處理的分布性特點(diǎn),網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞,網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重,因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實(shí)際上,保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的各項(xiàng)標(biāo)準(zhǔn)以形成合理的評(píng)估準(zhǔn)則,更重要的是必須明確網(wǎng)絡(luò)安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計(jì)的基本原則,分析網(wǎng)絡(luò)系統(tǒng)的各個(gè)不安全環(huán)節(jié),找到安全漏洞,做到有的放矢。
參考文獻(xiàn)
[1]朱理森,張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社,2001.
[2]劉占全.網(wǎng)絡(luò)管理與防火墻[M].北京:人民郵電出版社,1999.
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);病毒防范;安全
一、計(jì)算機(jī)網(wǎng)絡(luò)安全
計(jì)算機(jī)網(wǎng)絡(luò)開放與安全問(wèn)題本身就是一種矛盾,計(jì)算機(jī)網(wǎng)絡(luò)開放與日俱增,計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題也變得日益突出,其原因在以下幾個(gè)方面:
1、計(jì)算機(jī)病毒的威脅。隨著計(jì)算機(jī)得迅猛發(fā)展,病毒技術(shù)也在發(fā)展,而且在某些方面甚至超過(guò)網(wǎng)絡(luò)安全技術(shù)。
2、黑客攻擊。黑客攻擊主要有兩種方式:一種是網(wǎng)絡(luò)攻擊,以各種方式破壞對(duì)方計(jì)算機(jī)的數(shù)據(jù),造成數(shù)據(jù)丟失與系統(tǒng)癱瘓,第二種是網(wǎng)絡(luò)偵查,就是在對(duì)方不知道的情況下,截獲,竊取和破譯機(jī)密信息。
3、網(wǎng)絡(luò)釣魚。隨著網(wǎng)絡(luò)購(gòu)物的興起,給廣大市民帶來(lái)便利的同時(shí),一些不法分子也有機(jī)可乘,不法分子利用偽造的網(wǎng)站來(lái)進(jìn)行欺詐活動(dòng),詐騙者會(huì)把自己偽裝成網(wǎng)絡(luò)銀行,使受騙者毫不知情的泄露自己的銀行卡號(hào)和密碼。
4、系統(tǒng)漏洞。網(wǎng)絡(luò)系統(tǒng)幾乎都存在漏洞,這些漏洞是系統(tǒng)自帶的,比如Windows,UNIX等操作系統(tǒng)都存在著漏洞。局域網(wǎng)用戶使用的盜版軟件也會(huì)帶來(lái)漏洞。網(wǎng)絡(luò)攻擊性很強(qiáng),影響范圍廣,是網(wǎng)絡(luò)問(wèn)題的頭號(hào)殺手,因?yàn)門CP/IP協(xié)議不完善和UDP協(xié)議不可靠,造成網(wǎng)絡(luò)漏洞,但這些問(wèn)題并不是不可以解決,可以完善管理制度和有效地制度方法,極大程度減少風(fēng)險(xiǎn),做到防患于未然。
二、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施
1、培養(yǎng)人才開發(fā)網(wǎng)絡(luò)先進(jìn)技術(shù)。加大對(duì)網(wǎng)絡(luò)人才的培養(yǎng)和技術(shù)開發(fā)投資非常有必要,技術(shù)力量的強(qiáng)大是和諧網(wǎng)絡(luò)的保障也是對(duì)不法分子的威脅。
2、強(qiáng)化安全意識(shí)加強(qiáng)管理。網(wǎng)絡(luò)安全七分靠管理三分靠技術(shù),說(shuō)明管理對(duì)安全問(wèn)題非常重要,為加強(qiáng)管理可以從以下幾個(gè)方面入手:設(shè)置密碼,為設(shè)備和主機(jī)設(shè)置足夠長(zhǎng),不易被破解的密碼,并且定期更換,控制路由器的訪問(wèn)權(quán)限,超級(jí)管理密碼盡量讓少數(shù)人知道。
3、了解攻擊途徑。當(dāng)了解到網(wǎng)絡(luò)攻擊的途徑,才能從根本上解決安全問(wèn)題,網(wǎng)絡(luò)遭到攻擊的原因有:利用協(xié)議收集信息。利用協(xié)議或工具收集網(wǎng)絡(luò)系統(tǒng)中的系統(tǒng)相關(guān)信息。
4、采取層層防范。采取層層防范把攻擊攔截在最外層,劃分VLAN將用戶與系統(tǒng)隔離;路由器上劃分網(wǎng)段來(lái)將用戶與系統(tǒng)隔離;配置防火墻消除DOS攻擊。
三、計(jì)算機(jī)病毒概念
計(jì)算機(jī)病毒簡(jiǎn)單來(lái)說(shuō)是一種計(jì)算機(jī)可執(zhí)行程序,與網(wǎng)站和播放器一樣,但它又與我們使用的程序不同它由復(fù)制部分、破壞部分與隱蔽部分組成,它往往隱藏在某些程序中,也可自身拷貝插入到程序中,當(dāng)它被執(zhí)行時(shí),就會(huì)破壞計(jì)算機(jī)正常運(yùn)行,影響計(jì)算機(jī)的運(yùn)行速度,甚至破壞系統(tǒng)中的程序、數(shù)據(jù)文件和硬件設(shè)備,使計(jì)算機(jī)癱瘓。計(jì)算機(jī)病毒具有傳染性、隱蔽性、破壞性、寄生性等特征。
3.1計(jì)算機(jī)病毒傳播途徑
計(jì)算機(jī)病毒傳播途徑有以下幾個(gè)方面:U盤,U盤作為數(shù)據(jù)保存和傳播的存儲(chǔ)介質(zhì),給我們的生活帶來(lái)了便利但也為病毒傳播也帶來(lái)了方便;QQ,微信等聊天軟件發(fā)展迅速,加快了病毒傳播,也擴(kuò)大了病毒傳播范圍。
3.2淺析病毒防范措施
如今計(jì)算機(jī)病毒已經(jīng)成為威脅計(jì)算機(jī)的主要形式,加強(qiáng)病毒防范可以提高網(wǎng)絡(luò)安全水平,防范措施有以下幾種:1)匿名方式瀏覽網(wǎng)頁(yè)?,F(xiàn)在的網(wǎng)站為了了解用戶喜好會(huì)利用cookie追蹤用戶個(gè)各種活動(dòng),這種技術(shù)容易造成個(gè)人信息泄露,所以瀏覽網(wǎng)站時(shí)可以關(guān)閉cookie的選項(xiàng)。在網(wǎng)站交易時(shí)仔細(xì)閱讀意隱私保護(hù)政策,防止網(wǎng)站出售個(gè)人信息。2)安裝防火墻。防火墻是保護(hù)信息安全的軟件,可以限制數(shù)據(jù)通過(guò),防火墻可以將外網(wǎng)和內(nèi)網(wǎng)隔離來(lái)提高網(wǎng)絡(luò)安全。用戶可以利用防火墻的防線設(shè)置保護(hù)級(jí)別,對(duì)重要信息保密,防止因?yàn)槭韬鲂姑苄畔ⅰ?)不打開陌生郵件。郵件作為日常交流工具的同時(shí)也成為了病毒傳播的載體,用戶打開郵件后病毒會(huì)自動(dòng)向通訊錄好友發(fā)送病毒郵件,所以為了個(gè)人信息安全盡量不打開陌生郵件,安裝一個(gè)殺毒軟件定期掃描計(jì)算機(jī),及時(shí)發(fā)現(xiàn)漏洞,防范病毒。4)更新系統(tǒng)補(bǔ)丁。任何系統(tǒng)都帶有安全漏洞,病毒就是利用系統(tǒng)的缺陷來(lái)攻擊使用計(jì)算機(jī)的用戶,用戶要及時(shí)更新系統(tǒng)的補(bǔ)丁,進(jìn)行系統(tǒng)升級(jí),例如微軟公司經(jīng)常會(huì)定期系統(tǒng)補(bǔ)丁來(lái)對(duì)Windows進(jìn)行修復(fù)。
四、結(jié)語(yǔ)
隨著計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)安全問(wèn)題和病毒的傳播我們不容忽視,只要加強(qiáng)個(gè)人網(wǎng)絡(luò)防范意識(shí),并且采取有效措施,就會(huì)大大減少危害,為我們帶來(lái)優(yōu)質(zhì)的生活。
參考文獻(xiàn)
[1]王燕.王永波.網(wǎng)絡(luò)環(huán)境下計(jì)算機(jī)病毒新特點(diǎn)與防范措施[J].福建電腦.2010.(2).
[2]王能輝.淺談?dòng)?jì)算機(jī)病毒的防范[J].硅谷.2010.(7).
Abstract: The development of the campus network technology causes it more and more complex, and the data on network is more and more large. People’s dependence on the network for the daily events has increased. However, the network security issues brings kinds of inconvenience, which is increasingly emerges. Starting from the actual situation of the campus network security, this article presents the causes and the security and protection technology of the campus network security problems.
關(guān)鍵詞: 校園網(wǎng);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)安全防范
Key words: campus network;network security;network security and protection
中圖分類號(hào):G647文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1006-4311(2012)09-0134-01
0引言
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展、特別是隨著internet與intranet技術(shù)的成熟,越來(lái)越多的學(xué)校都建立了自己的校園網(wǎng)絡(luò)系統(tǒng),但是隨著校園網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛、涉及的部門越來(lái)越多,學(xué)校在享受網(wǎng)絡(luò)帶來(lái)的便利同時(shí)也面臨著日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。
1影響校園網(wǎng)絡(luò)安全的主要原因
影響一個(gè)校園網(wǎng)絡(luò)安全的因素是多方面的,這既包括網(wǎng)絡(luò)系統(tǒng)所存在的各種來(lái)自外在的威脅,也包括網(wǎng)絡(luò)系統(tǒng)內(nèi)部存在的安全弱點(diǎn)。歸納起來(lái)大體有以下幾個(gè)方面。
1.1 人為因素的影響人為安全因素包括用戶由于操作不當(dāng)造成數(shù)據(jù)丟失、破壞或者應(yīng)用系統(tǒng)的破壞、系統(tǒng)或者應(yīng)用的用戶由于口令選擇不當(dāng)而造成安全漏洞、用戶無(wú)意泄漏口令或者其它敏感信息、由于對(duì)于網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制策略的不理解或誤操作將敏感信息暴露給對(duì)該信息沒(méi)有訪問(wèn)權(quán)限的人員、系統(tǒng)管理員或者安全管理員,由于安全配置不當(dāng)或者疏忽而造成網(wǎng)絡(luò)系統(tǒng)安全漏洞等等。
人為安全威脅是影響校園網(wǎng)絡(luò)校園網(wǎng)絡(luò)安全的最大威脅,主要包括兩個(gè)方面的威脅:一是來(lái)自網(wǎng)絡(luò)內(nèi)部用戶的威脅。網(wǎng)絡(luò)內(nèi)部用戶通常是指根據(jù)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)和管理規(guī)定,有權(quán)使用部分或者全部功能的用戶。對(duì)于校園網(wǎng)絡(luò)而言,內(nèi)部用戶通常由學(xué)生和教職人員構(gòu)成。二是網(wǎng)絡(luò)外部用戶。當(dāng)然校園網(wǎng)絡(luò)受到的攻擊和破壞可能來(lái)源于外部的人員,更有可能來(lái)源于網(wǎng)絡(luò)用戶內(nèi)部。
1.2 網(wǎng)絡(luò)系統(tǒng)的安全漏洞校園網(wǎng)絡(luò)中絕大多數(shù)的應(yīng)用和服務(wù)都是通過(guò)軟件系統(tǒng)來(lái)完成的,在這些軟件系統(tǒng)中存在的安全漏洞是影響到校園網(wǎng)絡(luò)安全的重要因素之一。通常說(shuō)來(lái),校園網(wǎng)絡(luò)中的軟件可以分為兩類,即操作系統(tǒng)軟件和應(yīng)用系統(tǒng)軟件,在這兩類軟件中所存在的安全因素通常來(lái)源于兩個(gè)方面,一是軟件系統(tǒng)本身體系結(jié)構(gòu)的不安全,一是軟件系統(tǒng)在編程過(guò)程中由于疏忽或者其它原因造成的軟件bug而引起的安全漏洞。
1.3 計(jì)算機(jī)病毒的破壞計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。通常其具有破壞性、隱蔽性、傳染性等特征。
1.4 安全策略管理的影響安全配置不當(dāng)造成安全漏洞,例如:防火墻的配置不合理,其作用無(wú)法發(fā)揮。許多校園網(wǎng)絡(luò)在防火墻配置上增大了訪問(wèn)權(quán)限,忽視了這些權(quán)限可能會(huì)被其他人員濫用。網(wǎng)絡(luò)入侵的主要目的是獲得使用系統(tǒng)的各種權(quán)限,或者是作為進(jìn)一步進(jìn)入其他系統(tǒng)的跳板,或者惡意破壞這個(gè)系統(tǒng),使其毀壞而喪失服務(wù)能力。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序,當(dāng)它啟動(dòng)時(shí),就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置,否則,安全隱患始終存在。
2解決校園網(wǎng)絡(luò)安全的主要技術(shù)手段
2.1 防病毒技術(shù)殺毒軟件是計(jì)算機(jī)中最為常見的工具軟件,也是使用的最為廣泛的計(jì)算機(jī)安全防范技術(shù),殺毒軟件一般分為單機(jī)版和網(wǎng)絡(luò)版兩種。單機(jī)版對(duì)于個(gè)人用戶或小型企業(yè)基本能滿足需要,但對(duì)于校園網(wǎng)絡(luò)單機(jī)版就只適合在桌面機(jī)上部署,因此在校園網(wǎng)絡(luò)中殺毒軟件可以采取網(wǎng)絡(luò)版+單機(jī)版的部署方案,即對(duì)于一般的桌面用戶可由用戶根據(jù)自己的意愿進(jìn)行部署,對(duì)于主干網(wǎng)絡(luò)設(shè)備及重要的服務(wù)器、客戶端可由網(wǎng)絡(luò)管理員進(jìn)行統(tǒng)一的網(wǎng)絡(luò)版部署。
2.2 VLAN(虛擬局域網(wǎng))技術(shù)VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,通過(guò)虛擬交換技術(shù)構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)。學(xué)??梢愿鶕?jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的VLAN。對(duì)于學(xué)校而言,由于計(jì)算機(jī)部署范圍比較廣泛且位置相對(duì)固定,在進(jìn)行VLAN劃分的時(shí)候可以采取給予IP地址和MAC地址混合的劃分方式,既具備一定的靈活性,也便于網(wǎng)絡(luò)管理員的集中控制。
2.3 防火墻技術(shù)防火墻是現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)融合的產(chǎn)物,是使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它可以是軟件或硬件設(shè)備的組合,通常被用來(lái)進(jìn)行內(nèi)部網(wǎng)絡(luò)安全的防護(hù)。防火墻可以通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,在不同網(wǎng)絡(luò)之間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾(允許/拒絕),控制數(shù)據(jù)包的進(jìn)出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況。對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等,最大限度地防止惡意或非法訪問(wèn)存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞。
2.4 網(wǎng)絡(luò)冗余、備份技術(shù)隨著高校對(duì)于網(wǎng)絡(luò)的依賴性日益增加,學(xué)校中越來(lái)越多的工作流程都將在校園網(wǎng)中實(shí)現(xiàn),這也導(dǎo)致網(wǎng)絡(luò)中的數(shù)據(jù)量日益增加。雖然我們可以通過(guò)各種技術(shù)手段來(lái)強(qiáng)化校園網(wǎng)絡(luò)安全,但只要網(wǎng)絡(luò)存在我們就無(wú)法徹底避免網(wǎng)絡(luò)安全事故的發(fā)生,同時(shí)我們也無(wú)法避免一些由于自然災(zāi)害等不可抗拒的因素導(dǎo)致的網(wǎng)絡(luò)故障,因此能夠在故障出現(xiàn)后及時(shí)的修復(fù)故障和恢復(fù)數(shù)據(jù)就顯得極為重要。
3結(jié)論
網(wǎng)絡(luò)安全問(wèn)題是一個(gè)無(wú)法回避又無(wú)法避免的問(wèn)題,隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,更多的網(wǎng)絡(luò)安全隱患將被發(fā)現(xiàn),我們永遠(yuǎn)無(wú)法建立絕對(duì)安全的網(wǎng)絡(luò),只有通過(guò)不斷的技術(shù)完善和先進(jìn)的管理模式相結(jié)合,才能打造出符合高校自身特點(diǎn)的安全、穩(wěn)定的現(xiàn)代化校園網(wǎng)絡(luò)。
參考文獻(xiàn):
[1]王麗.宋丹.新媒體環(huán)境下大學(xué)生價(jià)值觀教育初探——以網(wǎng)絡(luò)媒介和移動(dòng)通訊媒介為例[J].價(jià)值工程,2011,(28).
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò)安全;防范技術(shù)
中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 14-0000-01
Brief Introduction on the Security and Prevention of Computer Network
Chen Zhengyao
(Yangjiang District Cadastral Management Office,Yangjiang529500,China)
Abstract:This paper from the start with the concept of computer network security,computer network security issues Chuqian discussed.
Keywords:Computer;Network security;Prevention technology
一、計(jì)算機(jī)網(wǎng)絡(luò)安全的概念
國(guó)際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說(shuō)的信息安全,是指對(duì)信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。
從本質(zhì)上來(lái)講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題,也有管理方面的問(wèn)題,兩方面相互補(bǔ)充,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。
二、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素
人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個(gè)方面:
(一)互聯(lián)網(wǎng)絡(luò)的不安全性。(1)網(wǎng)絡(luò)的開放性,網(wǎng)絡(luò)的技術(shù)是全開放的,使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面?;蚴莵?lái)自物理傳輸線路的攻擊,或是來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊,以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。(2)網(wǎng)絡(luò)的國(guó)際性,意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客,所以,網(wǎng)絡(luò)的安全面臨著國(guó)際化的挑戰(zhàn)。(3)網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒(méi)有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。
(二)操作系統(tǒng)存在的安全問(wèn)題。操作系統(tǒng)是作為一個(gè)支撐軟件,提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。
(三)來(lái)自內(nèi)部網(wǎng)用戶的安全威脅。來(lái)自內(nèi)部用戶的安全威脅遠(yuǎn)大于外部網(wǎng)用戶的安全威脅,使用者缺乏安全意識(shí),許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通信方面考慮較少,并且,如果系統(tǒng)設(shè)置錯(cuò)誤,很容易造成損失,管理制度不健全,人為因素造成的安全漏洞無(wú)疑是整個(gè)網(wǎng)絡(luò)安全性的最大隱患。
(四)黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問(wèn)題出現(xiàn)。黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。
三、確保計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策
網(wǎng)絡(luò)安全不僅是技術(shù)問(wèn)題,更是一個(gè)管理問(wèn)題,它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。我們可從加強(qiáng)管理和提高網(wǎng)絡(luò)安全技術(shù)兩方面確保計(jì)算機(jī)網(wǎng)絡(luò)安全。
(一)管理層面的對(duì)策。(1)建立安全管理制度。建立健全各種安全機(jī)制、各種網(wǎng)絡(luò)安全制度,加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn),提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對(duì)重要部門和信息,嚴(yán)格做好開機(jī)查毒,及時(shí)備份數(shù)據(jù),這是一種簡(jiǎn)單有效的方法。(2)加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制。訪問(wèn)控制涉及的技術(shù)比較廣,包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。
(二)技術(shù)層面的對(duì)策。(1)網(wǎng)絡(luò)病毒的防范。要使用全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件,通過(guò)全方位、多層次的防病毒系統(tǒng)的配置,通過(guò)定期或不定期的自動(dòng)升級(jí),及時(shí)為每臺(tái)客戶端計(jì)算機(jī)打好補(bǔ)丁,加強(qiáng)日常監(jiān)測(cè),使網(wǎng)絡(luò)免受病毒的侵襲。(2)配置防火墻。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,根據(jù)不同網(wǎng)絡(luò)的安裝需求,做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置,更加有效利用好防火墻。(3)采用入侵檢測(cè)系統(tǒng)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄,入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng),從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全。在學(xué)校、政府機(jī)關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測(cè)技術(shù),最好采用混合入侵檢測(cè),在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng),則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系,有的入侵檢測(cè)設(shè)備可以同防火強(qiáng)進(jìn)行聯(lián)動(dòng)設(shè)置。(4)應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù),密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一,密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。(5)Web,Email,BBS的安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告,采取措施。(6)漏洞掃描系統(tǒng)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估,顯然是不現(xiàn)實(shí)的。解決的方案是,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。(7)IP盜用問(wèn)題的解決。在路由器上捆綁IP和MAC地址。當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí),路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過(guò)路由器,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng),安全保護(hù)的對(duì)象是計(jì)算機(jī),而安全保護(hù)的主體則是人,應(yīng)重視對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制,建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng),也應(yīng)注重樹立人的計(jì)算機(jī)安全意識(shí),才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點(diǎn),才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
參考文獻(xiàn):
[1]孟祥初.網(wǎng)絡(luò)安全重在流程[N].通信產(chǎn)業(yè)報(bào),2007
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;計(jì)算機(jī)病毒;互聯(lián)網(wǎng)
在計(jì)算機(jī)發(fā)展的過(guò)程中,計(jì)算機(jī)網(wǎng)絡(luò)安全和計(jì)算機(jī)病毒帶來(lái)的威脅是一個(gè)迫切需要解決的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)從誕生到發(fā)展的時(shí)間雖然不長(zhǎng),卻對(duì)整個(gè)社會(huì)生活帶來(lái)了極大的影響。一旦計(jì)算機(jī)網(wǎng)絡(luò)安全出現(xiàn)漏洞,造成了算機(jī)病毒的入侵,會(huì)對(duì)計(jì)算機(jī)安全造成極其嚴(yán)重的威脅,產(chǎn)生極其嚴(yán)重的破壞。因此必須采取有效的措施來(lái)提升計(jì)算機(jī)的安全性,防御計(jì)算機(jī)病毒的入侵,保障互聯(lián)網(wǎng)技術(shù)的健康穩(wěn)定發(fā)展。
1計(jì)算機(jī)安全和病毒
1.1計(jì)算機(jī)安全
所謂的計(jì)算機(jī)安全包含這4個(gè)層面:計(jì)算機(jī)運(yùn)行的安全、計(jì)算機(jī)數(shù)據(jù)資料的安全、計(jì)算機(jī)軟件的安全、計(jì)算機(jī)硬件的安全。要保障計(jì)算機(jī)的安全就需要使用相應(yīng)的安全防護(hù)措施和技術(shù)管理措施來(lái)管理和保護(hù)計(jì)算機(jī)的相關(guān)數(shù)據(jù),避免計(jì)算機(jī)內(nèi)部的數(shù)據(jù)資料、電腦硬件、電腦軟件受到篡改、損壞、存儲(chǔ)和調(diào)取。有很多因素都會(huì)對(duì)計(jì)算機(jī)安全造成影響,主要的原因包括計(jì)算機(jī)病毒威脅、技術(shù)操作、機(jī)身原因和自然原因,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的危害最大的就是計(jì)算機(jī)病毒。當(dāng)計(jì)算機(jī)受到計(jì)算機(jī)病毒入侵時(shí),不僅計(jì)算機(jī)的正常運(yùn)轉(zhuǎn)會(huì)受到直接的影響,甚至?xí)褂?jì)算機(jī)系統(tǒng)癱瘓。
1.2計(jì)算機(jī)病毒
計(jì)算機(jī)病毒事實(shí)上就是一種計(jì)算機(jī)程序,其往往是經(jīng)過(guò)專門編制的,擁有很強(qiáng)的再生能力,不僅會(huì)對(duì)計(jì)算機(jī)的系統(tǒng)安全造成威脅,還會(huì)使計(jì)算機(jī)系統(tǒng)無(wú)法正常運(yùn)轉(zhuǎn)。當(dāng)計(jì)算機(jī)系統(tǒng)受到計(jì)算機(jī)病毒的入侵時(shí),計(jì)算機(jī)病毒就會(huì)干擾和阻礙計(jì)算機(jī)的正常運(yùn)轉(zhuǎn)。由于計(jì)算機(jī)病毒與醫(yī)學(xué)中的病毒一樣具有很高的傳染性,因此將其稱之為計(jì)算機(jī)病毒[1]。人為操作是產(chǎn)生和傳播計(jì)算機(jī)病毒的根源。以常見的蠕蟲病毒W(wǎng)orm為例,蠕蟲病毒能夠通過(guò)系統(tǒng)漏洞和網(wǎng)絡(luò)進(jìn)行傳播。一旦計(jì)算機(jī)感染蠕蟲病毒,就會(huì)自動(dòng)地發(fā)送帶毒郵件,對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)造成阻礙。計(jì)算機(jī)中毒之后會(huì)產(chǎn)生沖擊波,并發(fā)送小郵差等帶毒郵件,對(duì)病毒進(jìn)行擴(kuò)散。從計(jì)算機(jī)病毒的危害性方面而言,蠕蟲病毒并不會(huì)產(chǎn)生過(guò)大的危害。如果計(jì)算機(jī)遭受了較大的計(jì)算機(jī)病毒的危害,其內(nèi)部文件資料就會(huì)出現(xiàn)丟失和損壞,甚至造成計(jì)算機(jī)系統(tǒng)的整體崩潰,使計(jì)算機(jī)無(wú)法正常和穩(wěn)定地運(yùn)行。如果受到攻擊的計(jì)算機(jī)是銀行業(yè)、事業(yè)單位和行政部門內(nèi)部的計(jì)算機(jī)系統(tǒng),其內(nèi)部的保密資料就會(huì)外泄或者丟失,對(duì)于社會(huì)的穩(wěn)定和經(jīng)濟(jì)的發(fā)展都會(huì)帶來(lái)不可估量的損失。計(jì)算機(jī)的病毒程序往往是隱藏在一些軟件之中,不法分子引誘用戶使用這些軟件,對(duì)這些程序進(jìn)行刺激,使其開始運(yùn)轉(zhuǎn),從而對(duì)計(jì)算機(jī)的安全造成威脅。在互聯(lián)網(wǎng)用戶之間也會(huì)互相傳播帶病毒的程序或者軟件,使帶毒程序和軟件的使用范圍進(jìn)一步擴(kuò)大,造成計(jì)算機(jī)安全問(wèn)題的擴(kuò)散。這也說(shuō)明了計(jì)算機(jī)內(nèi)部信息和計(jì)算機(jī)系統(tǒng)不夠堅(jiān)強(qiáng)。在計(jì)算機(jī)技術(shù)發(fā)展的過(guò)程中,必須著力研究如何使計(jì)算機(jī)內(nèi)部信息不會(huì)受到計(jì)算機(jī)病毒的威脅,并使用技術(shù)措施來(lái)降低計(jì)算機(jī)軟件受到病毒的影響程度,保障計(jì)算機(jī)的運(yùn)行安全。
2計(jì)算機(jī)病毒的重要特點(diǎn)
計(jì)算機(jī)病毒與醫(yī)學(xué)病毒一樣,都具有很大的傳染性。但是計(jì)算機(jī)病毒又與醫(yī)學(xué)病毒存在著明顯的差別。計(jì)算機(jī)病毒實(shí)質(zhì)上是計(jì)算機(jī)代碼,通過(guò)互聯(lián)網(wǎng)和計(jì)算機(jī)進(jìn)行傳播。要對(duì)計(jì)算機(jī)病毒進(jìn)行有效的防范,就必須了解計(jì)算機(jī)病毒的重要特點(diǎn)。
2.1傳播媒介
作為一種程序代碼,計(jì)算機(jī)病毒主要是通過(guò)電子郵件和互聯(lián)網(wǎng)進(jìn)行傳播。當(dāng)前世界范圍內(nèi)流行的計(jì)算機(jī)病毒中大部分是主動(dòng)在計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行傳播,例如TROJ_MTX.A、W97M_MELISSA、PE_CIH等,特別是TROJ_MTX.A、W97M_MELISSA為宏病毒,能夠?qū)庉嫷奈臋n進(jìn)行感染,從而通過(guò)郵件的方式來(lái)傳播病毒。PE_CIH病毒的傳播方式包括網(wǎng)絡(luò)下載和郵件傳播兩種[2]。
2.2傳播速度快
計(jì)算機(jī)病毒能夠在互聯(lián)網(wǎng)上迅速地傳播。計(jì)算機(jī)病毒的本質(zhì)是程序代碼,當(dāng)一臺(tái)計(jì)算機(jī)上感染了計(jì)算機(jī)病毒之后,就可以通過(guò)網(wǎng)絡(luò)將計(jì)算機(jī)病毒傳至各地。以網(wǎng)絡(luò)病毒“愛(ài)蟲”為例,其在短時(shí)間內(nèi)就可以使各國(guó)的互聯(lián)網(wǎng)都陷入癱瘓。正是由于計(jì)算機(jī)病毒具有極快的傳播速度,能夠以多米諾骨牌的方式進(jìn)行傳播,造成嚴(yán)重的連鎖反應(yīng),因此計(jì)算機(jī)病毒會(huì)造成難以估量的危害。用戶的電腦受到計(jì)算機(jī)病毒入侵之后,內(nèi)部文件和數(shù)據(jù)會(huì)遭到破壞,造成計(jì)算機(jī)內(nèi)部信息的泄露。如果這些信息被不法分子所竊取,造成的危害將不可設(shè)想。
2.3控制難度大、種類多
計(jì)算機(jī)病毒種類繁多,要對(duì)其進(jìn)行控制具有很大的難度。由于計(jì)算機(jī)病毒是程序代碼,可以使用計(jì)算器語(yǔ)言對(duì)其進(jìn)行修改和讀取,從而使計(jì)算機(jī)病毒越來(lái)越多樣化。仍然以“愛(ài)蟲”病毒為例,經(jīng)過(guò)計(jì)算機(jī)語(yǔ)言其程序代碼進(jìn)行編程之后,一個(gè)計(jì)算機(jī)病毒就可以演變成為數(shù)十種不同的計(jì)算機(jī)病毒,其仍然會(huì)按照相同的途徑進(jìn)行傳播。盡管這些演變出來(lái)的計(jì)算機(jī)病毒可能只有少數(shù)幾個(gè)代碼不同,但是卻極大地提高了計(jì)算機(jī)病毒的控制難度。當(dāng)前的技術(shù)水平往往是在計(jì)算機(jī)遭受了計(jì)算機(jī)病毒的侵襲之后才能對(duì)其進(jìn)行處理,甚至為了計(jì)算機(jī)病毒的侵襲只有關(guān)閉網(wǎng)絡(luò)服務(wù),造成非常嚴(yán)重的損失[3]。
2.4發(fā)展迅速
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)的相關(guān)服務(wù)也變得越來(lái)越完善,計(jì)算機(jī)病毒也得到了迅速的發(fā)展。在當(dāng)前的技術(shù)條件下,拷貝自身再對(duì)別的軟件程序進(jìn)行感染已經(jīng)不再是計(jì)算機(jī)病毒的主要傳播方式,蠕蟲成為了計(jì)算機(jī)病毒傳播方式的新特征。也就是計(jì)算機(jī)病毒可以通過(guò)互聯(lián)網(wǎng)傳播到世界各地。例如通過(guò)下載帶病毒的網(wǎng)頁(yè)文件和傳播帶病毒的電子郵件等等。還有一些計(jì)算機(jī)病毒具有更強(qiáng)的病毒性,甚至帶有黑客程序功能,通過(guò)向用戶的計(jì)算機(jī)中植入這種病毒,黑客和不法分子就可以隨意進(jìn)入用戶的電腦系統(tǒng),對(duì)數(shù)據(jù)和信息進(jìn)行竊取,甚至遠(yuǎn)程控制該計(jì)算機(jī)。
3網(wǎng)絡(luò)安全面臨的問(wèn)題
3.1自然因素
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)而言,必須有穩(wěn)定的自然環(huán)境才能使其能夠正常運(yùn)轉(zhuǎn)。如果發(fā)生一些自然災(zāi)害,就會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全造成極其嚴(yán)重的影響。例如計(jì)算機(jī)的正常運(yùn)行會(huì)受到振動(dòng)、濕度和溫度的影響,這就需要在計(jì)算機(jī)機(jī)房中設(shè)置防電子泄漏、防震、防火的設(shè)施。這樣一來(lái),既能降低自然災(zāi)害造成的財(cái)產(chǎn)損失,也能夠盡量避免計(jì)算機(jī)的正常運(yùn)行受到自然因素的影響。
3.2軟件漏洞
一些計(jì)算機(jī)系統(tǒng)的軟件本身就存在一些高危的嚴(yán)重漏洞,給了病毒和黑客可乘之機(jī),使黑客和病毒能夠侵入計(jì)算機(jī)的系統(tǒng)。出現(xiàn)計(jì)算機(jī)軟件漏洞的原因有很多,編程者在編寫程序的過(guò)程中可能會(huì)出現(xiàn)人為疏忽,甚至一些編程者監(jiān)守自盜,故意為不法分子留出了后門。軟件漏洞給計(jì)算機(jī)病毒的入侵留下了方便之門,而且這種入侵往往難以預(yù)防。
3.3黑客威脅
計(jì)算機(jī)網(wǎng)絡(luò)的安全還會(huì)受到黑客入侵的威脅,正是由于計(jì)算機(jī)軟件漏洞的存在,給了黑客入侵的機(jī)會(huì)。信息網(wǎng)絡(luò)中的不完善和缺陷會(huì)加大黑客入侵的風(fēng)險(xiǎn)。
4保障計(jì)算機(jī)網(wǎng)絡(luò)安全
4.1防火墻技術(shù)
作為一種對(duì)外保護(hù)技術(shù),防火墻技術(shù)能夠?qū)?nèi)網(wǎng)資源的安全進(jìn)行保障。其主要任務(wù)在于阻止外部人員非法進(jìn)入內(nèi)網(wǎng),對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制。在工作時(shí)防火墻能夠有效的檢測(cè)數(shù)據(jù)包中的各種信息,包括目標(biāo)端口、源端口、目標(biāo)地址、源地址等等,并進(jìn)行相應(yīng)的算法匹配。如果數(shù)據(jù)包不能符合相應(yīng)的條件,就可以將數(shù)據(jù)包丟棄,避免軟件程序受到非法入侵。狀態(tài)檢測(cè)防火墻是當(dāng)前用的最廣泛的防火墻技術(shù),然而防火墻技術(shù)最大的缺點(diǎn)就在于不能對(duì)內(nèi)[4]。
4.2加密技術(shù)
加密技術(shù)的本質(zhì)是一種算法,其能夠加密數(shù)據(jù),避免數(shù)據(jù)在傳輸過(guò)程中遭受劫持,保障數(shù)據(jù)的隱蔽性和保密性,從而使互聯(lián)網(wǎng)信息的傳播更加安全。當(dāng)前使用的加密算法主要有非對(duì)稱加密算法和對(duì)稱加密算法兩種。對(duì)稱加密算法也就是使用相同的加密和解密鑰匙。非對(duì)稱加密算法具有更高的保密性,往往應(yīng)用于重要文件的傳輸。
4.3物理隔離網(wǎng)閘
為了保障信息的安全,可以使用物理隔離網(wǎng)閘。物理隔離網(wǎng)閘主要是對(duì)固態(tài)開關(guān)進(jìn)行控制,從而讀寫分析相對(duì)獨(dú)立的主機(jī)系統(tǒng),避免邏輯連接和物理連接,防治黑客的入侵。
4.4防范計(jì)算機(jī)病毒
當(dāng)前影響計(jì)算機(jī)網(wǎng)絡(luò)安全的最主要的因素還是計(jì)算機(jī)病毒,可以從軟件和硬件兩個(gè)方面來(lái)防范計(jì)算機(jī)病毒。
4.4.1管理技術(shù)和反病毒技術(shù)
除了要對(duì)WindowsNT網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)進(jìn)行保護(hù)之外,還要將服務(wù)器設(shè)置為NTFS分區(qū)格式,對(duì)DOS系統(tǒng)的缺陷進(jìn)行彌補(bǔ),避免系統(tǒng)受到病毒感染而無(wú)法運(yùn)行。要對(duì)外來(lái)光盤的使用進(jìn)行嚴(yán)格的控制,并控制文件和用戶權(quán)限的讀寫屬性。用戶要使用合適的殺毒軟件,并定期更新病毒庫(kù)。要安裝服務(wù)器殺毒軟件,能夠進(jìn)行實(shí)時(shí)殺毒和檢查。盡量不要在服務(wù)器上運(yùn)行應(yīng)用程序,以免誤刪重要文件。要保障服務(wù)器的物理安全,避免在DOS下的NTFS分區(qū)被直接讀寫[5]。
4.4.2使用還原卡技術(shù)
還原卡作為一種硬件,能夠?qū)σ呀?jīng)受到病毒感染而被更改的系統(tǒng)進(jìn)行還原,從而對(duì)計(jì)算機(jī)軟件進(jìn)行修復(fù),使之能夠恢復(fù)到原始的狀態(tài)。當(dāng)前已經(jīng)出現(xiàn)了智能保護(hù)型還原卡,并向網(wǎng)絡(luò)型發(fā)展。通過(guò)網(wǎng)絡(luò)卡和保護(hù)卡的結(jié)合能夠有效地抵御計(jì)算機(jī)病毒的入侵。但是還原卡也會(huì)影響計(jì)算機(jī)的運(yùn)行速度和硬盤的讀寫速度。
5結(jié)語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)的安全對(duì)于國(guó)家的安全、社會(huì)的穩(wěn)定和經(jīng)濟(jì)的發(fā)展都有著重要的影響。有很多因素都會(huì)影響計(jì)算機(jī)的網(wǎng)絡(luò)安全,尤其是計(jì)算機(jī)病毒更是對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)安全造成了嚴(yán)重的威脅。因此要積極使用各種防范手段,抵御計(jì)算機(jī)病毒的入侵,保障計(jì)算機(jī)網(wǎng)絡(luò)的安全。
參考文獻(xiàn)
[1]張玉扣.計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的問(wèn)題及防范措施[J].價(jià)值工程,2012,(31).
[2]彭沙沙,張紅梅,卞東亮.計(jì)算機(jī)網(wǎng)絡(luò)安全分析研究[J].現(xiàn)代電子技術(shù),2012,(04).
[3]李傳金.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施[J].黑龍江科技信息,2011,(26).
[4]夏靜.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及對(duì)策[J].無(wú)線互聯(lián)科技,2011,(07).
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范技術(shù)
隨著知識(shí)經(jīng)濟(jì)時(shí)代的到來(lái)和計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,信息全球化已成為發(fā)展的大趨勢(shì),信息是一種寶貴的資源,越來(lái)越多的人認(rèn)識(shí)到需要保護(hù)重要信息的安全,安全問(wèn)題已經(jīng)成為全社會(huì)普遍關(guān)注的重大問(wèn)題,網(wǎng)絡(luò)安全是信息安全的熱點(diǎn)。但是由于計(jì)算機(jī)網(wǎng)絡(luò)具有多種的連接方式、網(wǎng)絡(luò)的開放性和互連性等特征,致使了網(wǎng)絡(luò)很容易就會(huì)受到各方面攻擊。因此,只有針對(duì)目前各種不同危害及計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素,采取必要的措施,才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。
1.計(jì)算機(jī)網(wǎng)絡(luò)及其安全概念
計(jì)算機(jī)網(wǎng)絡(luò),是指將地理位置不同的具有獨(dú)立功能的多臺(tái)計(jì)算機(jī)及其外部設(shè)備,通過(guò)通信線路連接起來(lái),在網(wǎng)絡(luò)操作系統(tǒng),網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下,實(shí)現(xiàn)資源共享和信息傳遞的計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)安全則是指計(jì)算機(jī)信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。計(jì)算機(jī)安全的范圍包括實(shí)體安全、運(yùn)行安全、數(shù)據(jù)安全、軟件安全和通信安全等。實(shí)體安全主要是指計(jì)算機(jī)硬件設(shè)備和通信線路的安全,其威脅來(lái)自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全,其威脅主要來(lái)自信息被破壞和信息被泄露。
2.危及計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素
造成計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)不安全的因素很多,常見的有以下幾個(gè)方面:
2.1計(jì)算機(jī)病毒
自從計(jì)算機(jī)病毒出現(xiàn)以來(lái),病毒的種類、感染對(duì)象越來(lái)越多,傳播速度越來(lái)越快,對(duì)計(jì)算機(jī)系統(tǒng)的安全造成了危害,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用網(wǎng)絡(luò)進(jìn)行快速傳播,一些攜帶病毒的數(shù)據(jù)包和未知郵件,如果你不小心打開了這些郵件,計(jì)算機(jī)就有可能中毒,對(duì)網(wǎng)絡(luò)信息安全構(gòu)成了極大的威脅。
2.2計(jì)算機(jī)黑客
黑客只需一臺(tái)計(jì)算機(jī)、一條電話線、一個(gè)調(diào)制解調(diào)器就可以遠(yuǎn)距離作案,他們翻閱資料、侵犯隱私、收集情報(bào)、竊取機(jī)密,主要攻擊目標(biāo)是政府、軍事、郵電和金融網(wǎng)絡(luò)。他們利用對(duì)方系統(tǒng)的漏洞使用破譯程序?qū)孬@的系統(tǒng)密碼加密信息進(jìn)行破譯,以獲取具有較高權(quán)限的帳號(hào);利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯(cuò)誤引起的薄弱環(huán)節(jié)和安全漏洞實(shí)施電子引誘以獲取進(jìn)一步的有用信息;通過(guò)系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令,侵入系統(tǒng)。
2.3侵犯知識(shí)產(chǎn)權(quán)
計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展給知識(shí)產(chǎn)權(quán)的保護(hù)帶來(lái)了新的課題。隨著因特網(wǎng)的不斷發(fā)展,加入其中的計(jì)算機(jī)越來(lái)越多,如何保護(hù)聯(lián)網(wǎng)的計(jì)算機(jī)個(gè)人數(shù)據(jù)免遭來(lái)自網(wǎng)絡(luò)的攻擊,給網(wǎng)絡(luò)的信息安全提出了新的挑戰(zhàn)。
2.4信息垃圾
信息垃圾是利用計(jì)算機(jī)網(wǎng)絡(luò)傳播違道德及所在國(guó)家法律及意識(shí)形態(tài)的內(nèi)容,如一些污穢的、種族主義的或者明顯意識(shí)形態(tài)傾向的信息等。這些不健康的東西不僅對(duì)未成年人造成了極大的危害,甚至對(duì)國(guó)家安定、社會(huì)穩(wěn)定造成危害。
3.計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的特點(diǎn)
基于上述危及計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素,我們?cè)賮?lái)分析一下計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的特點(diǎn):
3.1造成巨大經(jīng)濟(jì)損失
網(wǎng)絡(luò)上的計(jì)算機(jī)一旦被攻擊、入侵成功,將會(huì)使其處于癱瘓狀態(tài),給其用戶造成巨大的經(jīng)濟(jì)損失。如美國(guó)每年因計(jì)算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元,平均一起計(jì)算機(jī)犯罪案件所造成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。
3.2威脅社會(huì)和國(guó)家安全
一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種不可告人的政治目的,經(jīng)常把政府要害部門和軍事部門的計(jì)算機(jī)作為攻擊目標(biāo),從而對(duì)社會(huì)和國(guó)家安全造成威脅。
3.3手段多樣,隱蔽性強(qiáng)
一是可以通過(guò)監(jiān)視網(wǎng)上數(shù)據(jù)來(lái)獲取保密信息;二是可以通過(guò)截取帳號(hào)和口令入侵計(jì)算機(jī)系統(tǒng);三是可以借助特殊方法繞過(guò)防火墻等等。這些五花八門的攻擊手段過(guò)程,都可以在很短的時(shí)間內(nèi)通過(guò)任何一網(wǎng)的計(jì)算機(jī)完成,并且不留痕跡,隱蔽性很強(qiáng)。
3.4以攻擊軟件為主要特征
幾乎所有的網(wǎng)絡(luò)入侵都是通過(guò)對(duì)軟件的截取和攻擊,從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。這完全不同于人們?cè)谏钪兴姷降膶?duì)某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。
4.計(jì)算機(jī)網(wǎng)絡(luò)安全的防范技術(shù)
4.1路由選擇技術(shù)
計(jì)算機(jī)網(wǎng)絡(luò)中的網(wǎng)絡(luò)層的主要功能是將分組從源端機(jī)器經(jīng)選定的路由送到目的端機(jī)器。在大多數(shù)網(wǎng)絡(luò)中,分組的數(shù)據(jù)需要經(jīng)過(guò)多次轉(zhuǎn)發(fā)才能到達(dá)目的地,有線網(wǎng)絡(luò)如此,無(wú)線網(wǎng)絡(luò)也不例外。
如果發(fā)送數(shù)據(jù)的路徑不合理,經(jīng)過(guò)的設(shè)備太多會(huì)對(duì)數(shù)據(jù)的安全帶來(lái)極大的危險(xiǎn),最短路徑就是路由選擇算法需要解決的問(wèn)題,路由選擇算法和它們使用的數(shù)據(jù)結(jié)構(gòu)是網(wǎng)絡(luò)層設(shè)計(jì)的一個(gè)主要區(qū)域。路由選擇算法是網(wǎng)絡(luò)層軟件的一部分,負(fù)責(zé)確定所收到分組應(yīng)傳送的外出路線,目的非常簡(jiǎn)單,找一條從源到目的地的一條“最好”路徑,而“最好”路徑常常是指具有最小花費(fèi)的路徑。路由選擇算法需要有正確性、簡(jiǎn)單性、健壯性、穩(wěn)定性、公平性和最優(yōu)件等特征。路由算法的給定一個(gè)代表該網(wǎng)絡(luò)的圖,找到從源到目的地的最小花費(fèi)路徑要求能夠找到一條由一系列鏈路組成的路徑,其中:路徑中的第一條鏈路連接到源,路徑中的最后一條鏈路連接到目的地;對(duì)于最小花費(fèi)路徑來(lái)說(shuō),路徑上的鏈路花費(fèi)的總和是源到目的地之間所有可能的路徑的鏈路花費(fèi)總和的最小值。如果所有的鏈路花費(fèi)相同,那么最小路徑也就是最短路徑。
4.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是指將一個(gè)信息經(jīng)過(guò)加密鑰匙及加密函數(shù)轉(zhuǎn)換之后變成無(wú)意義的密文,而接收方則將此密文經(jīng)過(guò)解密函數(shù)、解密鑰匙還原成明文。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全和保密性,防止秘密數(shù)據(jù)被外部破解所采用的主要手段之一,需要和防火墻配合使用。
我們對(duì)于比較重要和機(jī)密的WORD、EXCEL等電子文檔,可以設(shè)置打開密碼,即沒(méi)有密碼就不能打開文檔,或者設(shè)置只讀權(quán)限,以保護(hù)自己的知識(shí)產(chǎn)權(quán)。對(duì)于一些重要文件,我們可以用WINZIP的壓縮功能進(jìn)行壓縮,同時(shí)設(shè)置壓縮的密碼,這樣打開壓縮文件時(shí)就需要密碼,這就是數(shù)據(jù)加密技術(shù)的最基本的應(yīng)用。
4.3防火墻技術(shù)
防火墻是一種安全防護(hù)措施,需要和數(shù)據(jù)加密技術(shù)配合使用。防火墻技術(shù)就是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間實(shí)現(xiàn)控制策略的系統(tǒng),主要是為了用來(lái)保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受到來(lái)自因特網(wǎng)的侵害。目前,防火墻有兩個(gè)關(guān)鍵技術(shù),一是包過(guò)濾技術(shù),二是服務(wù)技術(shù)。此外,還有復(fù)合技術(shù)以及其他技術(shù)。
我們平時(shí)常用的ICQ、QQ、MSN等通訊軟件均可以在線傳輸,但是來(lái)源不可靠的傳輸內(nèi)容應(yīng)該拒絕接收;即使可靠,接收后也要經(jīng)過(guò)殺毒軟件的掃描方能運(yùn)行,因?yàn)楝F(xiàn)在在程序中很容易植入木馬或病毒。此外,我們聊天的時(shí)候,也會(huì)受到別人攻擊,為了安全起見,就可以安裝QQ的專用防火墻。
5.結(jié)語(yǔ)
計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)綜合、交叉的學(xué)科領(lǐng)域,它涉及到了物理、數(shù)學(xué)、計(jì)算機(jī)技術(shù)等多種學(xué)科的知識(shí)和最新研究成果,今后還需在安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控等幾個(gè)方面繼續(xù)開展多種的研究并出成果,為我國(guó)的信息與網(wǎng)絡(luò)安全奠定堅(jiān)實(shí)的基礎(chǔ)?!科]
【參考文獻(xiàn)】
[1]李文英.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及其防護(hù)研究[J].科技廣場(chǎng),2010(09).
關(guān)鍵詞:黑客;攻擊;防范;計(jì)算機(jī);掃描
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)17-3953-02
凡事都具有兩面性,有利有弊。internet就是典型的有利有弊的事物。internet改變了人們的生活,改變了世界,讓世界變小,讓人們的地理距離變近。方便了人們的生活,人們足不出戶就能辦理眾多業(yè)務(wù),能夠買到衣服,也能交水費(fèi)、電費(fèi)、手機(jī)費(fèi)等。大大節(jié)約了人們的時(shí)間,也節(jié)約了很多成本。這是internet有利的一面。同時(shí)internet還存在弊端的一面,就是安全系數(shù)不夠高,容易被一些不法分子利用,讓網(wǎng)上交易存在一定的風(fēng)險(xiǎn)。如果電子郵件被截,就會(huì)泄露重要的商業(yè)信息;如果購(gòu)物時(shí)的交易信息被截,就會(huì)導(dǎo)致金錢的損失。為了盡量避免損失,人們也在研究黑客攻擊的手段,也在做一些防范措施。該文就針對(duì)黑客攻擊的手段以及應(yīng)該怎樣防范進(jìn)行闡述。
1 黑客的概念
熟悉網(wǎng)絡(luò)的人都了解hacker這個(gè)詞,甚至一些不經(jīng)常使用計(jì)算機(jī)的人也多少對(duì)黑客有一些了解。對(duì)于hacker的定義,應(yīng)該分為兩個(gè)階段,前一個(gè)階段對(duì)黑客應(yīng)該定義為:計(jì)算機(jī)領(lǐng)域的探索者,追求計(jì)算機(jī)的最大性能的發(fā)揮,是人類智慧與計(jì)算機(jī)的較量。從感彩來(lái)說(shuō),這個(gè)階段的hacker是值得稱贊的,是計(jì)算機(jī)不懈努力的探索者。但是經(jīng)過(guò)internet的發(fā)展,一些人利用黑客技術(shù)達(dá)到一些不良的目的,于是隨著網(wǎng)絡(luò)的復(fù)雜化,黑客變成了人人避之不及的一類人群。
現(xiàn)在的黑客定義為:利用一些手段非法竊取別人計(jì)算機(jī)的重要信息,達(dá)到控制計(jì)算機(jī)的目的。一旦計(jì)算機(jī)被黑客控制,信息被外露,就會(huì)給計(jì)算機(jī)的使用者帶來(lái)?yè)p失,或者是專業(yè)知識(shí)或者是金錢。
2 黑客攻擊的手段
2.1通過(guò)計(jì)算機(jī)漏洞進(jìn)行攻擊
黑客攻擊計(jì)算機(jī)的主要途徑是通過(guò)系統(tǒng)漏洞。每個(gè)計(jì)算機(jī)或多或少都存在一些安全隱患,一些安全隱患是由于系統(tǒng)性能的不完備造成的,也就是先天存在的隱患。對(duì)于這些漏洞,計(jì)算機(jī)的使用者無(wú)法彌補(bǔ)。還有一種情況就是計(jì)算機(jī)的使用者后期造成的,在使用計(jì)算機(jī)的過(guò)程中不及時(shí)安裝補(bǔ)丁,給黑客以可乘之機(jī)。利用公開的工具:象Internet的電子安全掃描程序IIS、審計(jì)網(wǎng)絡(luò)用的安全分析工具SATAN等這樣的工具,可以對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描,尋找安全漏洞通過(guò)系統(tǒng)的漏洞,黑客就能輕松進(jìn)入電腦,獲取一些重要信息,達(dá)到控制計(jì)算機(jī)的目的。有些黑客是通過(guò)掃描器來(lái)發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)的漏洞的。
掃描原理:
1)全TCP連接
2)SYN掃描(半打開式掃描)
發(fā)送SYN,遠(yuǎn)端端口開放,則回應(yīng)SYN=1,ACK=1,本地發(fā)送RST給遠(yuǎn)端,拒絕連接
發(fā)送SYN,遠(yuǎn)端端口未開放,回應(yīng)RST
3)FIN掃描(秘密掃描)
本地發(fā)送FIN=1,遠(yuǎn)端端口開放,丟棄此包,不回應(yīng)
本地發(fā)送FIN=1,遠(yuǎn)端端口未開放,返回一個(gè)RST包
2.2通過(guò)專門的木馬程序侵入電腦
除了利用計(jì)算機(jī)的漏洞之外,黑客還可以通過(guò)專門的木馬程序?qū)τ?jì)算機(jī)進(jìn)行攻擊?,F(xiàn)在用戶使用計(jì)算機(jī)大部分聯(lián)網(wǎng)的,隨著internet功能的不斷完善,用戶在internet上可以閱讀,可以購(gòu)物,可以看視頻,這些開放的端口就給黑客提供了機(jī)會(huì)。黑客會(huì)利用用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)的路由器的路由表,了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)的snmp協(xié)議,能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)的traceroute程序。
2.3利用一些管理工具進(jìn)行大面積攻擊
在辦公區(qū)域或者學(xué)校等會(huì)使用局域網(wǎng),在這些區(qū)域網(wǎng)中,會(huì)有管理者。管理者為了方便管理,會(huì)在區(qū)域網(wǎng)內(nèi)安裝網(wǎng)絡(luò)監(jiān)測(cè)器。網(wǎng)絡(luò)監(jiān)測(cè)器的初衷是為了便于管理者的管理,提高局域網(wǎng)內(nèi)計(jì)算機(jī)的安全系數(shù)。但是如果網(wǎng)絡(luò)監(jiān)測(cè)器被黑客利用,就會(huì)造成嚴(yán)重的后果。黑客掌握了網(wǎng)絡(luò)監(jiān)測(cè)器的信息后,就能控制主機(jī),通過(guò)控制主機(jī),再去控制局域網(wǎng)內(nèi)的其他機(jī)器。通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)器,黑客就能輕而易舉地控制多臺(tái)機(jī)器,截獲大量重要信息甚至商業(yè)機(jī)密?,F(xiàn)在計(jì)算機(jī)雖然很普遍,使用的人數(shù)也在逐年增多,但是人們對(duì)計(jì)算機(jī)的安全性能不是很少了解,很多用戶在使用計(jì)算機(jī)時(shí)都不設(shè)置密碼,讓黑客很容易就能進(jìn)入。
3 遭到黑客攻擊的危害
提高黑客,計(jì)算機(jī)的使用者很頭疼,都害怕侵入自己的計(jì)算機(jī)。之所以人們會(huì)害怕黑客,是因?yàn)楹诳偷墓魰?huì)給人們?cè)斐珊艽蟮膿p失。一個(gè)損失就是計(jì)算機(jī)的癱瘓。在遭受到黑客的攻擊之后,計(jì)算機(jī)無(wú)法正常使用,速度或者性能都大大下降。嚴(yán)重影響工作效率。另一個(gè)損失就是機(jī)密材料被竊取。很多人都把自己的資料存儲(chǔ)到計(jì)算機(jī)中,因?yàn)檫@樣方便使用和管理。但是一旦被黑客控制,就面臨機(jī)密資料的泄密,給公司或者個(gè)人都會(huì)造成重大的損失。黑客攻擊還會(huì)造成的損失就是錢財(cái)?shù)膿p失。為了節(jié)約時(shí)間,很多人會(huì)在網(wǎng)上購(gòu)物、交費(fèi)等,網(wǎng)上交易時(shí)會(huì)涉及到銀行卡以及個(gè)人賬戶的用戶名和密碼,如果信息被黑客控制,會(huì)造成金錢上的損失。正因?yàn)楹诳凸魰?huì)給計(jì)算機(jī)的使用者造成過(guò)大或過(guò)小的損失,計(jì)算機(jī)的使用者應(yīng)該加強(qiáng)防范,盡量避免遭受黑客的攻擊,盡量降低自己的損失。對(duì)黑客的防范,大多數(shù)計(jì)算機(jī)的使用者不了解專門的工具或者比較專業(yè)的防范措施,只能從身邊最簡(jiǎn)單、最常用的做起。
4 防范黑客攻擊的方法
4.1每天為計(jì)算機(jī)體檢,采用專業(yè)技術(shù)避免入侵
黑客是具有高超的計(jì)算機(jī)技術(shù)的,而一般的計(jì)算機(jī)使用者沒(méi)有過(guò)多的專業(yè)知識(shí),因此,計(jì)算機(jī)使用者在和黑客的斗爭(zhēng)中并不占優(yōu)勢(shì)。只能做一些力所能及的事情。最常用的防范措施就是每天體檢,殺毒。每個(gè)計(jì)算機(jī)上都會(huì)裝有殺毒軟件,要充分利用這些殺毒軟件,將有可能入侵的木馬程序攔截,將已經(jīng)如今的病毒殺死。做到每天體驗(yàn),及時(shí)修復(fù)系統(tǒng)漏洞,這樣受到黑客攻擊的概率就會(huì)小很多了。另外,還可以采用專業(yè)技術(shù),來(lái)避免黑客的入侵。例如為了保護(hù)氣象行政許可專門設(shè)計(jì)的系統(tǒng),基于.NET技術(shù),采用功能模塊化的管理,將功能模塊的權(quán)限授予使用者,權(quán)限使用Session驗(yàn)證,系統(tǒng)將數(shù)據(jù)邏輯都寫在程序代碼中,數(shù)據(jù)庫(kù)采用SQL Server 2005。
4.2檢查端口,及時(shí)停止黑客的攻擊
除了每天體檢外,計(jì)算機(jī)的使用者還應(yīng)該經(jīng)常檢查計(jì)算機(jī)的端口,看看是否有自己沒(méi)使用的,如果有程序是自己沒(méi)使用的,就說(shuō)明存在了外來(lái)程序,要及時(shí)阻斷這些程序?qū)τ?jì)算機(jī)的入侵,可以馬上殺毒,或者斷掉與internet的連接,沒(méi)有了網(wǎng)絡(luò),黑客就不能繼續(xù)控制電腦了。網(wǎng)絡(luò)連接斷開后,對(duì)計(jì)算機(jī)進(jìn)行徹底清理,所有的黑客程序都清理掉,再重新上網(wǎng)。另外要注意,盡量減少開放的端口,像木馬Doly 、trojan、Invisible FTP容易進(jìn)入的2l端口,(如果不架設(shè)FTP,建議關(guān)掉它)。23端門、25端口、135端口(防止沖擊波)。137端口,139端口。3389端口,4899端口、8080端口等,為了防止黑客,還不影響我們上網(wǎng),只開放80端口就行了,如果還需要上pop再開放l09、1l0。,不常用的或者幾乎不用的全部關(guān)掉,不給黑客攻擊提供機(jī)會(huì)。
4.3加強(qiáng)防范,不隨便安裝不熟悉的軟件
對(duì)于經(jīng)常使用計(jì)算機(jī)的人,面臨黑客攻擊的概率也比較高。防范黑客攻擊的有效方法就是加強(qiáng)警惕,不隨便安裝不熟悉的軟件。當(dāng)瀏覽網(wǎng)頁(yè)時(shí),盡量不打開沒(méi)有經(jīng)過(guò)網(wǎng)絡(luò)驗(yàn)證的網(wǎng)頁(yè),這樣的網(wǎng)頁(yè)存在著很大的風(fēng)險(xiǎn)。另外,在使用某些工具時(shí),不安裝網(wǎng)頁(yè)上提醒的一些附加功能。這些附加功能存在的風(fēng)險(xiǎn)也比較高。比如安裝下載工具就下載,不安裝此軟件具有的其他看電影或者玩游戲的功能,這樣就能大大降低受到黑客攻擊的風(fēng)險(xiǎn)。如果已經(jīng)確定受到黑客的攻擊,要及時(shí)斷掉與internet的連接,將自己的重要信息轉(zhuǎn)移或者對(duì)計(jì)算機(jī)的信息進(jìn)行更改,讓黑客無(wú)法繼續(xù)控制計(jì)算機(jī),將自己的損失降到最小。
5 結(jié)論
internet雖然存在弊端,但是帶給人們生活的更多的是便利。internet技術(shù)在目前還不是很成熟,存在著很多漏洞,所以才被黑客利用。相信隨著internet的發(fā)展,internet的安全技術(shù)也會(huì)得到很大的提升。internet的安全技術(shù)提升了,計(jì)算機(jī)的使用者就不容易遭受黑客的攻擊了。相信在不久的將來(lái),internet的運(yùn)行環(huán)境會(huì)很安全,人們將會(huì)更安心地使用internet。
參考文獻(xiàn):
[1] 李振汕.黑客攻擊與防范方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(01):5-11.
[2] 張寧.淺談黑客攻擊與防范[J].科技信息.2009(11):15-18.
[3] 周忠保.黑客攻擊與防范[J].家庭電子,2004(05):52.
[4] 蔣建春,黃菁,卿斯?jié)h.黑客攻擊機(jī)制與防范[J].計(jì)算機(jī)工程.2002(7):13.
[5] 羅艷梅.淺談黑客攻擊與防范技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2009(2):26-27.
[6] 張艾斌.淺談黑客的攻擊與防范[J].中國(guó)科技博覽.2011(33):33-36.
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)學(xué)術(shù)期刊(光盤版)全文收錄期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)