罗云霄
四川省通信产业服务有限公司科技分公司
计算机网络安全威胁及防范策略初探
罗云霄
四川省通信产业服务有限公司科技分公司
摘要:本文分析了影响计算机网络安全的主要因素,从管理和技术两方面就加强计算机网络安全提出了防范策略的建议。
计算机网络大大增强信息服务灵活性,但具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性,对企业、政府乃至整个国家,显得尤其重要。
本文通过分析网络安全面临的主要威胁,从管理和技术两方面就加强计算机网络安全提出针对性建议。
1.1网络系统本身的缺陷
(1)TCP/IP协议
目前网络环境中广泛采用的TCP/IP协议,因为其开放性,大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。
(2)网络结构
互联网是由无数个局域网连成的巨大网络组成。当一台主机和另一局域网的主机进行通信时,它们之间互相传送的数据流要经过很多设备的重重转发;任何两个节点之间的通信数据包,既被这两个节点的网卡所接收,也同时被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦测,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。互联网上大多数数据流都没有进行加密,因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解。
(3)安全策略
许多局域网在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;有些小型网络基于成本考虑,直接以路由器代替防火墙。
1.2来自网内用户的安全威胁
来自网络内部用户的安全威胁远大于外部网用户的安全威胁。如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部用户下载安装带有木马的软件,这些给黑客带来可乘之机,都可能使网络安全机制形同虚设。
计算机网络安全的实现,可以从两方面入手,一是建立科学的管理制度,二是运用先进的各种网络安全技术。从技术上来说,目前成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。
2.1加强网络安全管理和教育
据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》,建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。
2.2运用先进的网络安全技术
(1)防火墙技术。
在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。一方面阻止外界对内部网络资源的非法访问,另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有:数据包过滤、应用级网关、代理服务和地址转换。防火墙的应用可最大限度地保障网络的正常运行,可以提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
(2)网络加密技术。
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:
①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。
②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。
③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
(3)入侵检测技术。
入侵检测系统可以分为两类,分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前,在实际环境中应用较多的是基于主机的入侵检测系统,它把监测器以软件模块的形式直接安插在了受管服务器的内部,它除了继续保持基于网络的入侵检测系统的功能和优点外,可以不受网络协议、速率和加密的影响,直接针对主机和内部的信息系统,同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。有的入侵检测设备可以同防火强进行联动设置。
(4)防病毒技术。
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,扩散速度也越来越快,对计算机网络构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,它们主要注重于所谓的“单机防病毒”,即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源感染,网络防病毒软件会立刻检测到并加以删除。
总之,网络安全是一个综合性的系统工程,涉及技术、管理、使用等诸多方面,既包括信息系统本身的安全问题,也有物理和逻辑的技术措施,也应注重树立人的计算机安全意识,才可能防微杜渐。因此,只有综合采取多种防范措施,制定严格的保密政策和明晰的安全策略,才能为网络提供强大的安全保证。
关键字:上网方式 共享上网 网卡 路由嚣