摘 要 随着计算机网络技术的飞速发展,人们对计算机和网络的依赖性越来越大,但信息被暴露和非法使用、网络受到攻击的可能性大大增加。经济全球化、互联网应用的普及、国家信息化建设的深入,信息安全已经成为国家安全保障体系的核心组成部分。提高计算机网络安全防范意识、增强防范措施,是让计算机网络运行良好的前提,是防范计算机病毒,保障信息安全的手段。
关键词 计算机 网络安全 防范措施
一、前言
网络的出现给人们的生活带来了很大的方便,尤其是互联网的应用变得越来越普遍,在带来了前所未有的海量信息的同时,不仅节约了工作时间,还提高了工作效益,每个组织、每个人、每天都会遇到各种各样的网络安全威胁问题。尽管可以通过诸多技术的、管理的、操作的方法来应对网络安全事件,但迄今为止,尚为找到某种技术防护措施或实施某些安全策略来对信息系统提供绝对的保护。随着网络的开放性和自由性,产生了私有信息和数据被破坏或侵犯的可能,使网络信息的安全性变得日益重要,已被信息社会的各个领域所重视。
二、计算机网络安全事件
计算机网络安全事件是指由于自然或者人为,以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或者在信息系统内发生对社会造成负面影响的事件。计算机网络安全事件通常由单个或一系列意外或有害的信息安全事态所组成。从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及网络上信息的保密、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。例如:个人、企业用户等,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,对用户资源进行破坏。
计算机网络安全威胁分类:
(一)基本威胁。
要实现信息的机密性、完整性、可用性以及资源的合法使用这四个基本安全目标,必须采取措施对抗下面4个基本安全威胁:
1.信息泄露。
信息被泄露或透露给某个未授权的实体。这种威胁主要来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。
2.完整性破坏。
数据的一致性通过为授权的创建、修改或破坏而受到损坏。
3.拒绝服务。
对信息或其他资源的合法访问被无条件地阻止。这可能是由于以下攻击所致:攻击者通过对系统进行非法的、根本无法成功的访问尝试而产生过量的负载,从而导致系统的资源对合法用户也是不可使用的;也可能由于系统在物理上或逻辑上受到破坏而中断服务。
4.非法使用。
某一资源被某个未授权的人或以某一未授权的方式使用。这种威胁的例子有:侵入某计算机系统的攻击者会利用此系统作为盗用电信服务的基点或者作为侵入其他系统的出发点。
(二)主要的可实现威胁。
在安全威胁中,主要的可实现威胁是十分重要的,因为任何这类威胁的某一实现会直接导致任何基本威胁的某一实现。因而,这些威胁使基本威胁成为可能。主要的可实现威胁包括渗入威胁和植入威胁。
主要的渗入威胁有:
1.假冒。
某个实体(人或系统)假装成另一个不同的实体。这是渗入某个安全防线的最为通用的方法。某个未授权的实体提示某一防线的守卫者,使其相信它是一个合法的实体,此后便取此合法用户的权利和特权。黑客大多采用假冒攻击。
2.旁路控制。
为了获得未授权的权利和特权,某个攻击者会发掘系统的缺陷或安全上的脆弱之处。例如,攻击者通过各种手段发现原来应保密,但是却又暴露的一些系统“特征”。利用这些“特征”,攻击者可以饶过防线守卫者渗入系统内部。
3.授权侵犯。
被授权以某一目的的使用某一系统或资源的某个人,却将此权限用于其他未授权的目的,这也称做“内部威胁”。
主要的植入威胁有:
(1)特洛伊木马。
软件中还有一个觉察不出的或无害的程序段,当它被执行时,会破坏用户的安全性。例如,一个外表上具有合法目的的软件应用程序,如文本编辑,它还具有一个暗藏的目的,就是将用户的文件拷贝到一个隐藏的秘密文件中。这种应用程序称为特洛伊木马,此后,植入特洛伊木马的那个人则可以阅读到该用户的文件。特洛伊木马能够摧毁数据,有时伪装成系统上已有的程序,有时创建新的用户名和口令。
(2)陷门。
在某个系统或某个文件中设置的“机关”,使得当提供特定的输入数据时,允许违反安全策略。例如,一个登录处理子系统在处理一个特定的用户识别号时,允许饶过通常的口令检查。
(三)潜在威胁。
如果在某个给定环境对任何一种基本威胁或主要的可实现威胁进行分析,我们就能够发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致一些更基本的威胁的发生。例如,如果考虑信息泄露这样一种基本威胁,我们有可能找出一下几种潜在威胁:窃听、业务流分析、人员疏忽和媒体清理。
三、网络安全管理及防范措施
(一)应用加密技术和数字签名。
加密技术和数字签名为小组计算机系统内部的数据和在不安全网络中传输的数据提供可靠的安全保证。密码方法同样能保证连接至小组内部网络的连接(特别是来自外部的连接)的真实性。像S/MIME和PGP或者GPG这些普通的加密工具都可以实现小组和合作成员之间敏感数据的安全通信。
(二)VLAN(虚拟局域网)技术。
选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它根据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
(三)防火墙技术。
防火墙将用户的私有网络同外部网络隔离开,通过Swatch 和logsurfer这样的工具,在网络中增加认证和授权,检测出网络攻击和系统中存在的安全漏洞,定期(至少每天)检查日志文件中的可疑行为,并且帮助分析数据,有完善的管理和控制功能。
(四)杀毒软件。
通过安装杀毒软件,每周升级病毒库,确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全的运行。
(五)灾难处理与数据备份。
万一发生灾难,如破坏性极大的网络入侵、蓄谋破坏、火灾或其他自然灾害,使计算机网络系统中的信息可能导致损坏或丢失。由于各种原因出现灾难事件最为重要的是恢复和分析手段和依据。网络运行部门应该制定完整的系统备份计划,并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。
四、结束语
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。总之,涉及技术、管理、使用等许多方面,仅仅采用一两项安全技术是不足以全面对抗网络所潜在的各种威胁的。因此需要仔细考虑系统的安全需求,并将各种技术结合在一起,才能生成一个高效、通用、安全的网络系统。
参考文献:
[1]郭正红,胡世锋.常见网络攻击手段及安全策略[J].电脑知识与技术,2008,(05).
[2]谭瑛.计算机网络的安全威胁及其防御机制研究[J].电脑知识与技术,2009,(24)
[3]汪海慧.浅议网络安全问题及防范对策[J].信息技术,2007,(01).
[4]黄开枝,孙岩.网络防御与安全对策[M].北京:清华大学出版社,2004.