摘要
在信息技术快速发展的今天,网络对于人类的生活方式影响显著增强,网络技术快速地在社会各个领域普及,使得计算机网络的安全成为一个亟待解决的问题。如何能够保证网络的快速健康发展己成为研究学者们关注的焦点,并具有非常突出的现实背景和极其重要的理论意义。本文首先对计算机网络安全的相关研究背景,本文研究的意义,该课题的国内外相关研究现状以及本文所使用的研究方法进行了概述。然后对网络安全技术相关理论进行了归纳,包括网络安全的内涵,网络安全的研究内容以及网络安全信息框架与网络安全动态模型。第三部分对计算机网络安全问题进行了分析,分别从网络硬件、网络软件、网络管理者和网络用户四个方面对网络安全问题进行研究,分析各个方面可能出现的网络安全问题及其原因。第四部分提出了网络安全防护措施,分别提出了硬件系统、系统安全漏洞、应用软件、管理者等四个方面的安全防范措施。
关键词:计算机;网络安全;防护措施
1 绪论
网络安全从不同的角度出发有着不同的具体内容。用户(个人、机构等)希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改等手段侵犯用户的利益和隐私。网络运行和管理者角度希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、后门、非法存取、拒绝服务攻击和网络资源非法占用、非法控制的威胁,防御和制止网络黑客的攻击。安全保密部门希望对非法的、有害的、涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,给国家造成巨大损失。从意识形态和社会教育角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须进行控制。
2 网络安全技术概述
2.1 网络安全的定义
国际标准化组织(ISO)对计算机系统安全的要求是:为数据处理系统建立和采用的技术以及管理的安全提供保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
在我国《计算机信息系统安全保护条例》第三条中对信息系统安全的总体要求规定:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
目前对网络安全尚未形成一个标准的定义,综合各方观点,网络安全应该是指利用各种网络管理、控制、和技术措施,使网络系统的硬件、软件及其系统中的数据资源受到保护,不因一些不利因素而使这些资源遭到破坏、更改、泄露,保证网络系统连续、可靠、安全地运行。网络安全是一门涉及计算机技术、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多学科的综合性学科。
网络安全的本质是网络上信息的安全,即确保网络环境下信息系统的安全运行和在信息系统中存储、处理和传输的数据得到安全的保护,也就是网络系统运行的可靠性(Reliability),信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。
2.2 网络信息安全框架
网络信息安全框架反映了信息系统安全需求和体系结构的共性,其构成要素是安全特性、系统单元及 TCP/IP 参考模型的结构层次。如图2-1所示,为三维信息系统安全结构框架。
图2-1 网络信息安全框架
2.2.1 安全特性
信息安全特性包括保密性、完整性、可用性以及认证安全。
保密性:指信息在存储和传输过程中保障信息仅仅为那些被授权使用的人获
取。
完整性:指信息在存储和传输过程中不被未授权的实体插入、修改、重发、删除等,信息的内容不会改变。包含两层意思:一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等;另一方面是指信息处理的方法的正确性。不正当的操作,如误删除文件,有可能造成重要文件的丢失。
可用性:指不会因为系统受到攻击而导致用户无法正常访问资源。信息及相
关的信息资产在授权人需要的时候,可以立即获得。
认证安全:指采取某些验证措施和技术,防止无权访问某些资源的实体通过
特殊手段进入网络。
2.2.2 系统单元
物理单元:指硬件设备、网络设备等,解决物理环境的安全问题。
网络单元:指网络传输,解决网络协议的安全缺陷。
系统单元: 指操作系统,解决终端和中间网络设备使用操作系统的安全问题。
应用单元:指应用程序,解决应用程序的安全问题。
管理单元:指网络的管理环境,建立完善的管理机制对网络资源进行安全管
理。
3 计算机网络安全问题分析
网络给人们的生活、工作和学习带来了极大的便利,但是网络安全也逐渐成为人们关注的焦点,不断面临着新的考验。网络安全可以通过很多形式表现出来,如计算机系统被损坏、文件数据被盗、机密泄露等,都在不同程度上让人们蒙受一定损失。对网络的恶性进攻和破坏行为会严重地危害国家经济建设、社会稳定、国家安全、经济建设,对人们的生活造成了十分恶劣的影响。既八十年代末莫里斯蠕虫的网络入侵事件出现后,各种与网络入侵和网络安全相关的新闻铺天盖地的席卷全球,网络安全问题是在中国也时有发生,并同样产生了一系列的社会影响。
3.1 网络硬件方面存在的安全问题
研发过程中存在着设计缺陷。网络系统的设计原则主要是基于一旦中枢系统出现故障不能正常运转时,其余部分仍能够不受影响而继续工作,从而保证各种信息的准确传输。在这样的总体原则下,网络系统往往更加倾向于实用性而忽略了安全性。互联网最初只是计算机科研人员研发的环境,并不是以盈利为目的的信息传输方式,一般来讲,此时的互联网都没有将网络安全等因素纳入到考虑的范畴中来。网络协议建立的前提是假定了一个绝对受信任的环境,这种连接的模式安全性存在着严重的缺陷,不能够持久发展。这必然会受到来自外界的各种网络攻击,如扫描攻击、监听攻击、欺骗攻击以及拒绝服务等。网络通信系统与应用系统协议均存在着不同程度的设计缺陷,任意用来对网络系统进行攻击。
网络系统中硬件往往存在不同程度的安全设计漏洞,例如网络应用的可信赖性差、网络技术的很多关键部分存在安全隐患,系统参数的设置还需要进一步验证,如防火墙等商品的应用是否能够达到预期效果,自身运行是否完备,设置参数是否存在漏洞等等。在 Windows 桌面、Unix 操作系统、NT 操作系统和网络软件的在应用的本身都存在不同程度的缺陷和不足,目前应用较为广泛的操作系统本身都不能完全保证网络的安全运行。如果防火墙的设置不能达到标准,那么该设置不但不能起到作用,同时还会对网络产生其他的危害,当防火墙与网络相连接时,很有可能成为被进攻的突破口。
拓扑系统通常是总线型与星型相结合的结构,往往面临的安全问题也很多。纷繁复杂的网络产品相继出现在各个卖场,安全隐患也在购买与售出的过程中不断滋生,网络的交互性使得系统在整个链条中总是存在着某个薄弱环节,而摧毁这个环节就完全等同于使整个系统土崩瓦解。各种设备和操作系统的种类繁多,拓扑系统非常复杂,也增加了网络系统本身的复杂性,维护网络安全的管理工作更加艰难和复杂。入侵者往往能够在相对复杂的环境中掩饰自己的真实愿望,一旦遇到机会,就会奋力一击,最终导致系统的崩溃。随着网络的规模不断加大,维护网络的安全也显得十分必要,一旦网络配置欠妥,安全漏洞便顺势产生。
除以上主要因素外,自然环境也会使网络中各种隐患存在,例如火灾、地震、水灾等自然现象以及频发停电和人为断电等事件,这些因素也会给网络安全带来很大的问题。
3.2 网络软件方面存在的问题
3.2.1 网络入侵
这种入侵方式要求计算机操作人员拥有良好的程序编写与调试能力,能够灵活掌握相关网络程序的应用方法,并通过应用相关技巧取得非法进入的资格,并对未经授法的数据和文件进行访问,非法进入到各机构的内部网络的行为。网络入侵能够获得使用计算机网络系统的访问权限、写权限以及储存权限等;同时还能够为进入其他系统或更深层次系统作铺垫;对计算机网络系统进行破坏性进攻,使其丧失所有服务和执行的能力。
3.2.2 后门和木马程序
互联网兴起后,计算机网络的黑客们开发出一种“后门”技术,这门技术能够使他们一次又一次地闯入到其他网络系统中。木马技术就是一种特殊的后门技术,该程序主要采用远程控制等手段对互联网实施隐蔽性的进攻,因此也成为黑客们经常使用的一种网络入侵工具。
3.2.3 计算机病毒和蠕虫
在编写计算机程序的过程中植入一种能够损坏计算机功能同时破坏相应程序的网络处理方式成为计算机病毒。计算机病毒不仅使计算机无法正常使用,同时能够自动地复制出有关计算机网络执行代码和程序。蠕虫病毒是一种新型的计算机病毒,其主要是在计算机运行过程中,寻找操作系统或程序的漏洞进行自发性攻击,并能够利用网络迅速而广泛地传播的恶性病毒。计算机病毒往往具有一些相似性,如它们的传播速度快,破坏范围广,隐蔽性强等等。与此同时,不同的计算机病毒还具有一些自身独有的特点,如不需要寄生于文件之中,在网络中能够造成停止服务的假象,能够联合其他黑客技术共同进攻计算机系统等等。蠕虫病毒的损坏性极大,往往是普通病毒的数十倍、上百倍。随着网络的不断兴起,蠕虫也会在极短的时间内滋生与整个互联网,使网络系统全面瘫痪。
3.2.4 拒绝服务攻击
对DOS系统的攻击简单容易,但同时进攻效果却非常显著,应对这种进攻几乎没有任何有效的方法。拒绝服务攻击通过拒绝服务的访问诉求来破坏系统的正常运行,从而破坏互联网与局域网系统的链接部分,从而使系统丧失服务功能。类似这种服务攻击的方式还有很多,包括面向www的服务、tftp的服务以及ftp 的服务等等。拒绝服务类攻击的突出优势包括简易的操作性、攻击的隐蔽性、攻击能力强等,因此得以飞速的发展和广泛的应用,此后还出现了一种以分布式为基础的拒绝服务攻击(DDOS),更是极大地增强了攻击本身的水平和能力。
3.2.5 对加密方法的攻击
这种攻击方法主要针对带有密码的各类文件,破译者可选择对已知的密文进行攻击、对己知的明文进行攻击、有选择性地对密文进行攻击以及有选择性地对明文进行攻击等等诸多攻击方式。对一定的编程方式还可采用相应的攻击措施,例如采用 DES 对更迭的分组密码进行破解时,还能够采用差分攻击法、能量变更破解法等。
3.2.6 端口扫描
该方法主要采用一种能够主动获得核心网络信息的方法。采用端口扫描的方法对网络信息进行扫描,不仅能够在主系统中推测出端口的数量,还能够计算出每个端口对应的序号,并以此推断出主系统的运行方式和操作方法,通过与其它扫描结果相配合,最终得到整个互联网的组成。
3.3 网络管理者存在的安全问题
网络的管理过程中往往忽视了网络安全的重要性,尤其对于管理人员的配备方面显得十分欠缺。比如在各个高校的校园网中,一般每个高校负责专门进行网络维护人员的数量非常有限,且这些网络维护的工作人员也指负责维护网络的日常运行,没有时间和精力去进行全部计算机的管理工作,在院系中的计算机负责人员,对网络安全实施相关措施也是十分必要的。
现在大多数的网络都比较重视网络的整体规模建设,往往忽略安全建设。很多网络管理者主要将精力投入在网络的容量与规模的建设上,网络安全意识不够,没有建立网络安全防御系统。网络安全管理相关技术人员缺乏。现在我国大多数网络管理人员的网络安全知识和安全管理经验不足,对于日趋复杂多变的网络安全形势难以应付。少部分网络管理人员对网络安全的重视程度不够,不愿花时间去研究网络防范技术,安全管理方法欠缺。
缺乏良好的保密意识或不了解保密原则,网络机密随意泄露;毫无顾忌地打印和复制机密要件;打印系统保密文件过于随意,向非工作人员透露机密信息。业务能力差,由于操作不得当使文件输出错误或发送至无关人员,由于没有按照操作原则工作而导致泄密。由于规则不完备造成人为泄密的发生。由于网络中忽视了对机密文件的管理规定,而导致机密文件不能妥善保存,各级文件随意堆放,错误操作等导致财产损失。个人素质低下,没有责任心,没有端正的工作态度,故意损坏网络系统和相关设备。
3.4 网络用户存在的安全问题
如今我国大多数网络用户的网络安全防卫意识比较薄弱,除了一部分计算机专业人员掌握一些网络安全知识外,大部分人缺乏足够的网络安全防范能力,他们普遍认为网络的维护是相关管理人员的事,与自己无关,这就造成了网络安全风险的存在。
无论是企业还是高校的网络一般会将 IP 技术作为主要应用方式对系统的框架进行重组,这个系统自身存在着被攻击的危险。网络的管理技术人员采用的安全策略还存在着防御手段单一、主动性差、缺乏预警机制以及灵活性不强的缺点,无法从根本上对网络设施实行集中管理,更无法与高速发展的网络技术和复杂的网络环境相适应。
此外,我国的网络道德教育普遍滞后,一些用户恶意使用网络数据资源、浏览不健康网站、收发不良信息等问题日益突出,据统计网络犯罪呈现上升态势。分析其原因在于大多数网络管理制度不完善,普遍缺乏监管机制,存在严重的管理漏洞。而且各网络管理者缺乏对国家相关政策、法规和制度的宣传力度,造成很多人不了解,同时企业或者学校也没有制定出适合自己的网络安全管理规章制度,网络安全监管的机制很不完善,这造成了严重的网络安全问题。
本站文章通过互联网转载或者由本站编辑人员搜集整理发布,如有侵权,请联系本站删除。