刘育博
摘要 随着计算机科学技术的蓬勃发展,毫无疑问它让我们的生活发生了巨大的变化,在我们享受着科技带给我们便利的时候,同样也要面临一系列问题一一网络安全,网络数据不断地被窃取,无关的垃圾信息泛滥在我们的系统之中,病毒的肆意侵入,威胁着网络环境,损害他人的利益,甚至可以威胁到国家安全,所以,如今安全问题已经备受关注。安全防护技术的发展程度影响着国家的互联网相关行业是否可以稳定正常地持续发展。
【关键词】计算机 网络 安全
网络安全一整个网络系统的软硬件和其中的数据受到保护,不会遭到破坏,泄露,更改,整个系统可以正常稳定地运行。我们所知道的网络安全防护技术包含密码技术、入侵检测技术以及防火墙等,成熟而有效的安全防护技术毫无疑问可以大大提高网络安全,因此,网络安全有很强的现实意义。
1 当前形势下我们熟知的互联网所面临的问题
1.1 安全管理上的态度
每一个网络系统的安全,都需要企业、部门、用户的共同努力,制定有效的管理策略,需要多加强三者之间的沟通。然而如今,很多企业和个人目前对网络安全是不够重视的,经常会疏于对网络的安全管理,从而导致严重的后果,大部分企业对黑客的入侵没有采取有效合理的防护措施,并且大部分网站也都存在着网上信息失窃的问题,由此反映了我们在网络安全管理上的缺失,甚至有的企业单位及个人,对计算机设备的诸如防尘、防潮、设备的规范放置等工作并没有足够的重视,这也对网络安全构成了潜在威胁。
1.2 骇客的非法攻击
如今黑客的攻击已经是威胁计算机网络安全的最主要因素之一,随着网络安全的防护技术不断地提高,黑客的入侵手段也越来越复杂多变,疏于管理的企业单位如果被黑客入侵,是毫无抵抗能力的。他们对网络环境的破坏行为只会更多而不会停止。黑客时常会使用已经现成的工具或者自己编写的工具针对网络环境中他们所得到的漏洞信息进行非法访问和获取信息,这会对计算机网络的正常使用造成非常大的困扰。在网络工程安全中,IP地址被非法获取也是常事,一旦用户的IP地址被他人获取,就不能正常访问网络,也没有办法进行正常的网络连接。IP地址的盗用通常发生在局域网之中,用户的IP地址通常被本地高权限的其他用户窃取,导致IP地址被盗用后,用户终端会显示IP地址己被占用。除此之外,还有很多扰乱他人正常上网活动的行为,侵犯了用户的自身权益。数据显示,仅公安部一年所查获的盗取各类公民信息有将近50亿条,可见黑客的入侵问题需要被重视,由于黑客入侵的目的性很强,如果成功窃取机密文件,会造成重大损失,是对网络安全技术的重大挑战,所以应该有更加严密的防护措施。
1.3 无用信息的传播
网络毫无疑问是一个巨大的资源库,其中存在着丰富的网络资源,为我们方便存取数据的同时,也不可避免地产生了大量无用的,不良的信息和垃圾邮件,使网络安全受到威胁的一个重要原因就是人们收到了太多的垃圾邮件,无论是否自愿,都无法阻止垃圾邮件的被发送行为,垃圾邮件对邮件用户的合法权益造成了一定的损害,因为占用并浪费了大量的资源,所以很明显也加大了网络的负荷,很大程度上影响了网络环境的安全性和效率;不良信息潜移默化地对我们的心理和思想产生着负面的影响,可以说,网络中的垃圾信息和数据,的确对网络环境造成了非常严重的污染,甚至会对社会造成恶劣的影响,青少年也正在深受此害,停止无用信息的传播对网络环境,青少年的健康,社会的稳定都有着积极的作用。
1.4 计算机病毒与漏洞
计算机病毒是在计算机程序中插入的用于破坏计算机系统功能或者数据的代码,它会自我复制并影响计算机的使用,自产生以来便成为了影响计算机安全的隐患,随着网络资源的传播速度越来越快,计算机病毒产生的不良影响也会越来越严重,世界上己存在上万种计算机病毒,其中主要有蠕虫、强制中断病毒、潜伏病毒以及木马病毒等,经常对计算机的内存、系统、文件、数据等造成破坏,危害他人利益。
漏洞产生于软件或者操作系统的设计中,由于很难找到十全十美的设计方案,也没有绝对安全的系统,所以漏洞几乎不可避免,这些管理员和设计者会察觉的或者己察觉而疏忽的漏洞为黑客的侵入提供了机会,很多著名的软件公司每年都会花费大量人力物力在修补漏洞的工作上,可见补救漏洞带来的损失是极其重要的,它保证了用户的信息安全,也对用户的体验有积极影响。
1.5 网络设备和结构的风险
现实中的网络拓扑结构是混合型的,其中包含多个节点,每个节点有一些网络设备,其中包含交换机、路由器和集线器,每一种拓扑结构都会有一些安全隐患,由于技术原因,网络设备通常会有安全问题,这会给计算机网络带来不同程度的安全问题。
2 网络工程的安全防护相关策略
2.1 物理安全
物理安全是最安全的防护技术,关键的资料与互联网完全隔离,也就是说在物理层面上不连接网线,去除连接在电脑上的网线,这样就可以做到物理安全了,只要做到这一点,病毒是无可奈何的。当然,有些情况下也会发生意外事故,比如自然灾害、硬件故障等,也可能存在一些別有用心的人有目的地将重要信息泄露到外部网络中去,在防护技术中,常常被忽视的物理安全防护其实对网络安全是有巨大作用的。
2.2 配置防火墙的过滤
想要做好安全防护,配置防火墙是一个重要的手段,对防火墙过滤信息进行相应的的设置就可以对网络安全防护进行加强。已知几种比较典型的防火墙类型,包括静态/动态包过滤防火墙、有状态包过滤防火墙、基于应用监控与控制的有状态包过滤、网络入侵防御系统、网络行为分析系统、应用层网关。以下进行一些简单讨论:
(1)包过滤防火墙,会检查每一个通过的包,可以丢弃或者放行,这取决于防火墙建立的规则,包过滤防火墙拥有多个网络适配器或者接口,一个作为防火墙的设备可以有两块显卡,其中的一块连接到内部网络,另一块网卡则会连接到公共网络,当防火墙设备开始工作时,引导包的走向并拦截有危害的包。当包过滤防火墙检查每一个从外部网络到内部网络的包时,则检查这个包的基本信息,这个基本信息包括源地址、目的地址、端口号、协议等,如果这些基本信息和所设定的规则匹配,就可以放行这个包进入内部网络。举个简单的例子,如果某防火墙启用了阻断TELNET的连接,当检查传入包发现端口号为23时,这个包就会被丢弃。
对于专用网络的包,可以只允许内部网络的数据包通过此防火墙,其作用很明显,可以用于防止任何内部人员用错误的源地址欺骗防火墙并发起攻击。而在公共网络,可以只允许目的地址为80端口的数据包通过。
最好丢弃外部网络传入的包,这些包里显然都会有内部网络的源地址,减少IP欺骗,
丢弃具有源路由信息的包,可以减少源路由攻击,由于源路由信息会覆盖网络的正常路由从而绕过安全过滤,所以防火墙可以通过忽略源路由信息来进行安全防护。
(2)状态/动态检测防火墙。如果一个包是孤立存在的,只含有一些基本信息(源地址、目的地址、端口号)而没有这个包在整个传送过程中的位置信息,这个包就是静态的,状态/动态检测防火墙可以通过记录相关信息来追踪包的状态。例如,如果传入的包是音频数据包,防火墙可以获取由某个IP地址的应用向传入包源地址发出的语音请求的信息,如果源地址的系统和发出的请求包中的所请求的系统一致,包就可以通过该防火墙,直到连接中断。
总之,状态/动态检测防火墙跟踪内部网络传出的请求数据包,只有被请求的数据包可以通过防火墙,而其他所有没有被请求的传入请求会被阻止进入内部网络。追踪连接的方式取决于通过防火墙包的类型,其中TCP包中的连接信息会被防火墙所记录,并用于核对,以此来确定这个包是否可以被允许通过,UDP包中的信息比较简单,因为它不包含连接信息,显然防火墙无法利用连接信息对包的合法性进行判断,但仍然可以通过跟踪传出包的状态,并用从其获中取的包中的协议、地址和传出请求包中的信息进行比对,如果信息匹配,这个包也可以通过防火墙。
(3)应用程序代理防火墙。这种类型的防火墙是通过和内部网络进行通信连接,接着单独地和外部网络进行通信连接。此方式不允许防火墙两边的网络直接互相访问通信,网络内部的用户无法和外部网络的服务器进行通信,所以外部的服务器也不能访问内部网络。应用程序代理防火墙可以配置允许接受内部网络和防火墙的任意连接,也可以对用户的连接请求进行认证,这样可以保证更多更好的安全性。
目前防火墙很难达到一个“既可以使用户顺利地上网,也可以保证用户的网络安全”的理想状态,但是我们可以对重要数据多加留意,多一份保障就多一份安全,防火墙可以依靠某些特征识别外部网络到内网的数据包,并进行分析,如果包对网络环境有害,就会对这个包进行记录并报警,然后丢弃它,又或者可以禁止对本地网络有害的IP地址、禁止不被使用的端口通信、防止某些特定站点的访问,总之,以上防火墙的功能基本可以防止外部网络对本地网络的攻击。
2.3 针对病毒的防护
针对病毒的防护可以从4个方面进行讨论:
2.3.1 计算机病毒检测技术
几种典型的方式有:
(1)比较法,将被检测对象的特征和正常的特征进行比较,这种方法比较简单,方便,但是没有办法识别出病毒的种类和方法。
(2)病毒校验和法,计算出正常文件的代码的校验和并保存下来,可以用来和被检测对象进行对比,以此来判断是否感染了病毒,可以检测出各种病毒,包括一些未知的病毒,但是误判率比较高,没有办法了解病毒的种类。
(3)搜索法,将被检测对象和己知病毒库中的计算机病毒体所含特定字符串进行扫描,但并不容易找出合适的特征字符串,且扫描的文件的大小越大,扫描所花的时问也越多。如果病毒库不更新,未知的病毒就不会被检测出来。
2.3.2 计算机病毒的清除
可以用专业的软件杀毒或者手工进行。
2.3.3 计算机病毒的免疫
究其原理,计算机病毒的免疫是通过病毒签名来实现,有些病毒在感染程序的时候需要先判断是否已经被感染过,也就是查看有没有自己的病毒签名,如果有则不进行感染,所以可以利用这个机制来免疫计算机病毒。
2.3.4 计算机病毒的预防
(1)新购买的计算机设备,先用专业的查毒软件测试病毒后再使用。
(2)我们需要养成良好的备份习惯,经常备份一些重要的,己更新的文件。
(3)尽量不要在没有防毒软件的机器上使用移动硬盘。
(4)控制使用计算机系统的权限。
(5)尽量采用最好的杀毒软件。
网络中针对病毒的防护的实现方法包括对网络环境中的文件不断地扫描和监测,工作站上采用防病毒芯片并且对网络上目录和文件设置访问权限等。防病毒务必要从网络整体考虑,从管理人员的角度着手分析,对网络环境中的网络设备进行管理,比如在夜问对整个网络中的客户端进行扫描,检查病毒。还可以利用在线告警,在网络上每当有一台机器出现问题,病毒入侵時,管理员都可以及时发现,并作出相应的对策。
2.4 严格检测入侵
入侵检测技术是通过随时收集并分析网络或者系统中的相关信息来判断是否存在异常情况,从而达到检测入侵的目的和预防攻击的目的,它是对防火墙技术的补充,并且相对于防火墙来说是一种动态安全技术,可以提供对外部攻击、内部攻击和错误操作的实时监控。
入侵检测由控制台和探测器两部分构成,探测器可以连接交换机的端口,对交换机中传送的数据进行分析,只要把探测器部署在适当位置,控制台就可以接受相关检测信息,从而对计算机网络的进行安全管理。检查并且记录网络活动和数据、检测黑客在试图攻击前的探测行为并发出警报、检测入侵行为和异常行为以及提供给管理员攻击信息都是入侵检测系统的基本功能,他们在安全防护技术中具有重要作用。
2.5 数据加密
密码技术是网络安全中最有效的技术之一,一个加密网络,不仅仅可以防止非法用户的窃听和侵入,也可以保护自身数据免遭恶意软件攻击。对数据的加密通常可以划分为链路加密、节点加密和端到端加密。
2.5.1 链路加密
对于两个网络节点之问的通信,链路加密保证了网络中所传输数据的安全,所有消息在发送前被加密,在节点处被接受后再由该节点上的设备进行解密,接着再使用下一个链路的密钥对消息进行加密,再在链路中传输消息数据。在到达目的地之前,也许会经过若干条链路。
2.5.2 节点加密
网络中传输的数据可以因为使用了节点加密而更加安全,它和链路加密的操作方式类似,也是在节点处消息发送前加密,在消息被接受后再解密,不同的是,节点加密中,消息不允许以明文的形式在一个节点中存在,先把接收到的密文解密,然后再使用另一个密钥对消息加密,节点加密还要求报头和路由信息以明文方式传送,这使其他节点可以了解该如何对某消息进行处理,
2.5.3 端到端加密
端到端加密可以让数据在传输的过程中始终以密文方式存在,直到到达目的地,消息都不会被解密,即使节点损坏,数据也不被泄露。端到端加密的价格也比较便宜,并且相比节点加密和链路加密更加可靠,易于设计和维护。每一个报文都是被独立加密,所以即使其中的某些报文出错,也不会影响后续的报文发送。这样的加密方式对于用户更加直观,不会影响到其他用户。
3 结束语
从网络诞生起,安全问题也伴随至今,随着网络应用越来越多,它和人们的财富都有直接、间接的关联,在某些系统中,一个小小的漏洞如果未被发现,将有可能造成百万資产的损失,所以网络安全防护技术的发展是有重要意义的,希望通过不断地学习来加深对网络安全的理解。有需求就有发展,相信在未来,网络安全技术会越来越发达并永远为人民服务。
参考文献
[1]李志军,计算机网络信息安全及防护策略研究[J].黑龙江科技信息,2013 (01).
[2]姬玉.计算机物理安全防护措施[J]黑龙江科技信息,2015 (26).
[3] mancannavaro.各类防火墙介绍[EB/OL].http://blog. csdn. net/mancannavaro/article/details/1415594,2016-11-26.
[4] huanghui22,[网络安全二]病毒防护技术基础_ http: //blog.csdn,net/huanghui22/article/details/1606922?1ocat ionNum=lO&fps=l,2007-05-1 3.
[5] Shaoquliu,入侵检测系统概述.http://blog. csdn. net/shaoqunliu/a r ticle/details/52432379, 2016-09-04.
[6] Tamic.[网络互联技术](一)移动数据加密和网络安全概述.http://blog. csdn. net/sk719887916/article/details/46760541, 2015-07-05.
[7] LuoCliper.网络数据加密理论_http://blog. csdn. net /LGGisKing/article/details/51790819, 2016-06-30.