計算機信息安全淺談論文(2)
計算機信息安全淺談論文篇二
《計算機網絡信息安全技術探究》
摘要:隨著網絡和計算機技術日新月益的飛速發展,網絡信息安全成了新的安全問題,本文根據網絡信息安全中常見的隱患,提出了有效的網絡信息安全防范措施。
關鍵詞:網絡信息;安全技術
計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化。已經成為了信息時代的主要推動力。由于計算機網絡的脆弱性,這種高度的依賴性使國家的經濟和國防安全變得十分脆弱,一旦計算機網絡受到攻擊而不能正常工作,甚至癱瘓,整個社會就會陷入危機。
一、網絡信息安全中常見的隱患
網絡信息安全中常見的隱患有惡意攻擊、竊取機密攻擊、機病毒、非法訪問等四種。惡意攻擊主要包括緩沖溢出攻擊拒絕服務攻擊,分布式拒絕服務攻擊,硬件設備破壞型攻擊,網頁篡改攻擊等。竊取機密攻擊是指未經授權的攻擊者(黑客)非法訪問網絡取信息。常見的形式有網絡踩點協議棧指紋鑒別、信息流,會話劫持等。計算機病毒是指為了某種目的而蓄意編制的計算機程序,在實際系統中生存,自我復制和傳播。并且給計算機系統造重的損壞。非法訪問包括口令破解、1P欺騙、特洛伊木馬等。
二、影響計算機網絡安全的主要因素
1.固有的安全漏洞。新的操作系統或應用軟件剛一上市,漏洞就已被找出,沒有任何一個系統可以排除漏洞的存在,如緩沖區溢出、拒絕服務等。
2.網絡系統在穩定性和可擴充性方面存在問題。由于設計的系統不規范、不合理以及缺乏安全性考慮,因而使其受到影響。
3.網絡硬件的配置不協調。一是文件服務器,它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。
4.人為因素。如操作員安全配置不當、資源訪問控制設置不合理、用戶口令選擇不慎、用戶與別人共享網絡資源或將自己的賬號轉借他人以及內部人員有意或無意泄密、內部非授權人員有意無意偷竊機密信息、更改網絡配置和記錄信息、內部人員破壞網絡系統等都會對網絡安全帶來威脅。
三、安全防范措施
1、采用身份鑒別技術
鑒別的目的是驗明用戶或信息的身份,對實體身份進行識別。以便驗證其訪問請求、或保證信息來自或到達指定的源和目的。鑒別技術可以驗證消息的完整性,有效地對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同,鑒別技術可以分為消息源鑒別和通信雙方相互鑒別;按照鑒別內容的不同,鑒別技術可以分為用戶身份鑒別和消息內容鑒別。鑒別的方法很多:利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份,防治冒充、非法訪問;利用單方數字簽名,可實現消息源鑒別,訪問身份鑒別、消息完整性鑒別。利用收發雙方數字簽名,可同時實現收發雙方身份鑒別、消息完整性鑒別。
2、防火墻與IDS(入侵檢測系統)
本著經濟、高效的原則,有必要將關鍵主機和關鍵網段用防火墻隔離,形成級防護體系,以實現對系統的訪問控制和安全的集中管理。在企業網出口處放置防火墻,防止Internet或者本企業外的網絡攻擊企業網;在安全性要求高的部門與企業網接口處放置防火墻,將該部門與企業網隔離,防止企業內對該部門的攻擊。防火墻針對非法訪問攻擊進行限制,對進出防火墻的攻擊進行檢測并防御,而網絡內部用戶之問的攻擊不經過防火墻,防火墻沒有辦法去防止。而IDS(人侵檢測系統)作為旁路監聽設備,放置在需要保護的網絡之中,針對合法訪問形成的攻擊進行檢測。當網絡內部有攻擊出現時,IDS提供實時的人侵檢測,將信息交給防火墻,由防火墻對這些攻擊進行控制、隔離或斷開。所以對于一個安全的網絡,IDS是必不可少的。
3、安裝入侵檢測系統
通常將未經授權的訪問或對信息進行非法操作的行為定義為人侵。入侵檢測就是對這種行為進行監控并發現的過程。網絡入侵檢測系統就是幫助網絡管理員發現這些入侵行為的輔助工具。網絡入侵檢測系統是集成在線網絡入侵監測、入侵即時處理、離線入侵分析、入侵偵測查詢、數據流量分析、報告生成等多項功能的分布式計算機安全系統,不僅能即時監控網絡資源運行狀況,為網絡管理員提供網絡入侵防范解決方案,及時發出網絡入侵預警,使得黑客人侵變得有跡可尋,通過對內部網絡系統進行實時監控與阻斷響應,為用戶采取進一步行動提供了強有力的技術支持。
4、合理設計網絡系統結構
全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務,應在認真研究的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時采用網絡分段技術將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局,再加上基于中心交換機的訪問控制功能和三層交換功能,所以采取物理分段與邏輯分段2種方法,來實現對局域網的安全控制,其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止非法偵聽,保證信息的安全暢通。另外,以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。
5、隱藏IP地址
IP地址在網絡安全上是一個很重要的概念,如果攻擊者知道了IP地址,等于為他的攻擊準備好了目標,他可以向這個IP發動各種進攻。隱藏IP地址的主要方法是使用代理服務器。使用代理服務器后,其它用戶只能探測到代理服務器的IP地址,而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。
6、防范網絡病毒
在網絡環境下,病毒傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有合適的全方位防病毒產品如果是內部局域網,就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連,就需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。
總之,網絡安全不僅僅是技術問題,同時也是一個安全管理問題,因此,網絡信息的安全必須依靠不斷創新的技術進步與應用、自身管理制度的不斷完善和加強、網絡工作人員素質的不斷提高等措施來保障。
參考文獻:
[1]趙曉敏、趙常林.計算機網絡安全技術研究[J].雞西大學學報,2007,(02)
[2]仇宇.Intemet網絡安全與防火墻技術的探討[J].綿陽師范學院學報,2004,(05)
[3]吳昌倫、王毅剛.信息安全管理概論[M].機械工業出版社,2002.4
看過“計算機信息安全淺談論文”的人還看了: