摘要:随着计算机网络的迅速发展,计算机已成为信息网中承担传输和交换信息的公用平台,国家政府机构、各企事业单位通过网络树立形象、拓展业务,已经成为政府办公、企业发展的重要手段,而计算机网络安全问题也日益受到人们的重视。首先,阐述了计算机网络的安全现状以及目前计算机网络存在的主要安全问题,并就这些安全隐患进行了分析,再以影响计算机网络安全的主要因素为突破口,重点分析防范各种不利于计算机网络正常运行的措施,最后探讨了针对计算机网络安全隐患的主动防范策略。
关键词:网络安全;安全防范;介质泄漏;网络平台;网络权限
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6887-02
Current Situation and Countermeasures of the Computer Network Security
XU Zhen
(Department of Computer Science, Shandong Economic Management College, Ji"nan 250014, China)
Abstract: With the rapid development of computer networks, computer networks have become the common platform, transmitting and exchanging information, and become an important means for government institutions and enterprises to establish the image and expand business, so the computer network security issues have drawn an increasing attention. This article firstly elaborates the current situation of the computer network security and the major existing security problems, and then analyzes potential safety problems; secondly, with the main factors influencing the computer network security as a start, it focuses on the countermeasures to those that prevent the computer networks’ normal operation; and finally the author discusses the active strategies to guard against the hidden dangers in computer network security.
Key words: Network security; safety precautions; medium leakage; Network platform; Network permissions
随着网络对人们影响的不断增加,人们对网络的关注程度也越来越高,如何扩展网络、提高网络的容量和性能一时成为人们的主要话题,但是有一点却可能被忽略,那就是网络的安全。网络是一个虚拟的社会,在很多方面与真实的世界有惊人的相似。在现实社会中,有各种各样的冲突和矛盾,同样网络也面临着病毒、黑客、木马等等的恶意攻击,这些都给社会带来了巨大的损失。鉴于网络安全的重要性,为了增强用户的安全意识,了解和掌握必要的网络安全和防护技术已成为当务之急。
1 计算机网络安全现状
计算机网络是指将分散在不同地方且具有独立功能的计算机系统通过有线或无线通讯设备连接起来,在网络软件的支持下实现资源共享的一个有机整体。一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。据报道:全球平均每20秒钟就发生一次入侵互联网涉及信息安全的事件,三分之一的防火墙曾被攻破。回顾公安部2004年统计,7072家重要信息网络、信息系统使用单位中,发生网络安全事件的比例为58%。其中,发生1次的占总数的22%,2次的占13%,3次以上的占23%。54%的被调查单位网络安全事件造成的损失比较轻微,损失严重和非常严重的占发生安全事件单位总数的10%,所以网上信息的安全和保密是一个至关重要的问题。
2 计算机网络存在的主要安全问题
2.1 管理上的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75~85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。此外,管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏,从而为一些不法分子制造了可乘之机。
可见来自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。其自然。特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。
2.2 计算机病毒泛滥
与单机环境相比,网络系统通讯功能强,因而病毒传播速度更快,而且加大了检测病毒的难度。在日常工作中的危害主要有:降低计算机或网络系统正常的工作效率;破坏计算机操作系统与用户的数据;破坏计算机硬件系统;重要信息被窃取等。一般而言,计算机病毒攻击网络的途径主要通过软盘拷贝、互联网上的文件传输、硬件设备中固化病毒程序等等。网络病毒可以突破网络的安全防御,侵入到网络的主机上,导致计算机资源遭到严重破坏,甚至造成网络系统的瘫痪。
2.3 介质泄露及系统安全问题
一是计算机电磁辐射,指计算机工作时辐射出电磁波,任何人都可以借助并不复杂的设备在一定范围内收到它,从而造成信息泄露。二是磁介质信息泄露,计算机磁介质是指计算机中用来记录和存储的磁带、磁盘等设备,其存储量大、复制容易,但同时也存在残留信息复现问题。
2.4 网络通信本身存在安全威胁
互联网的物理连接方式是一大弱点,任何人只要能实际接触到电缆且拥有适当的工具,便能将他的计算机接上,并且成为上面的超级用户。然后,可以用promiscuous(允诺)模式来窃听总线上的所有数据包,从而可以窃取甚至修改信息。
2.5 黑客的攻击
黑客是影响网络安全的最主要因素之一。随着社会发展和技术的进步,出现了一类专门利用计算机犯罪的人,即那些凭借自己所掌握的计算机技术,专门破坏计算机系统和网络系统,窃取政治、军事、商业秘密,或者转移资金账户,窃取金钱,以及不露声色地捉弄他人,秘密进行计算机犯罪的人。他们通过一些非法手段,利用自己编写的或现成的工具来查找网络系统的漏洞,然后对网络系统发动攻击,对网络的正常使用造成或多或少的危害。
2.6 系统配置不当造成的其它安全漏洞
目前流行的许多操作系统均存在网络安全漏洞,如UNIX,MS NT和Windows。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机;
其他安全漏洞,如在网络中路由器配置错误,存在匿名FTP、Telnet的开放、口令文件缺乏安全的保护,保留了不必要的保密终端、命令的不合理使用等等,都会带来或多或少的安全漏洞。
3 加强计算机网络安全的对策
3.1 加强网络安全教育和管理
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的保密观念和责任心。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐射引起的数据错误;电缆铺设应当使用金属导管,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。
3.2 硬件防火墙
防火墙是介于两个网络之间的设备,用来控制两个网络之间的通信。例如:在A网络与B网络之间安装一台防火墙,B网络要访问A网络时,会根据防火墙的规则表使用相应的访问策略,策略包括允许、阻止或报告。在默认的情况下,A网络访问B网络是无需遵守任何访问策略的,也就是说,如果攻击者在A网络中,将会对A网络的安全产生巨大的威胁。通过防火策略,可以有效地阻挡外来的网络攻击和一些病毒的入侵,这就是主动防御技术的最初应用。
3.3 IDS(入侵检测系统)
IDS是为监测内网的非法访问而开发的设备,根据入侵检测识别库的规则,判断网络中是否存在非法的访问。管理员通过分析这些事件,来对网络的安全状况进行评估,再采取对应的防护策略。相对硬件防火墙而言,IDS是基于主动防御技术的更高一级应用。
3.4 IPS(入侵防护系统)
一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。与IDS和硬件防火墙相比,IPS更智能可以通过分析来决定是否允许数据包通行,这也是主动防御技术的最典型应用。
3.5 杀毒软件
在病毒越来越猖狂,破坏力越来越强大的不利形势下,过于陈旧的模式让传统的杀毒软件已经无法承担保护计算机安全的重任。正因为此,杀毒软件厂商才推出了集成了主动防御技术的杀毒软件,不过他们的主动防御技术只是对网页、注册表、恶意脚本增加了监测功能而已,只能说是最初级的主动防御技术应用,距离真正的主动防御还有一定的距离。
3.6 访问与控制
授权控制不同用户对信息资源的访问权限,即哪些用户可访问哪些资源以及可访问的用户各自具有的权限。对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术,也是对付黑客的关键手段。主要技术手段有加密、键盘入口控制、卡片入口控制、生物特征入口、逻辑安全控制。
3.7 重视备份和恢复
备份系统应该是全方位的、多层次的。首先,要使用硬件设备来防止硬件故障;如果由于软件故障或人为误操作造成了数据的逻辑损坏,则使用软件方式和手工方式相结合的方法恢复系统。这种结合方式构成了对系统的多级防护,不仅能够有效地防止物理损坏,还能够彻底防止逻辑损坏。
4 结论
网络安全与网络的发展戚戚相关。网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。
参考文献:
[1] 郎为民,雷承达.计算机网络安全与防护基础教程[M].北京:北京大学出版社,2005.
[2] 闫宏生,王雪莉.计算机网络安全与防护[J].北京:电子工业出版社,2007.
[3] 孙壮桥,白胜楠.校园网的安全和防范[J].河北广播电视大学学报,2006(4).
[4] 陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.
[5] 殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.
[6] 袁德明,乔月圆.计算机网络安全[M].北京:电子工业出版社,2007.
[7] 王志海,童新海,沈寒辉.OpenSSL与网络信息安全——基础、结构和指令[M].北京:清华大学出版社,2007.
[8] 杨青.无线网络安全[M].北京:科学出版社,2009.