(辽宁工程技术大学职业技术学院 辽宁阜新 123000) 摘 要:本文通过笔者实际工作经验和相关理论知识,探讨了网络安全面临的威胁,并且提出了相应的对策,以其为有关网络工作者提供参考。 关键词:网络安全;威胁;对策; 一、网络安全含义与特征 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全应具有保密性、完整性、可用性、可控性等四个方面的特征 二、构成计算机网络不安全的主要原因 1、操作系统本身不安全,这是操作系统不安全的根本原因。
操作系统不安全的首要原因是操作系统结构制造成的,操作系统支持程序动态连接与数据动态交换,则虽然是现代系统集成和系统扩展的需要,但显然与安全有矛盾;操作系统不安全的原因还在于可以创建进程,甚至支持在网络的节点上进行远程进程的创建与激活,更加重要的是被创建进程还继承创建进程的权利。操作系统通常都提供daemon(守护进程)软件.这种软件实际上都是一些系统进程,往往与其他操作系统核心层软件有同等的权力。他们总在等待一些条件的出现,一旦条件出现,程序便可以运行下去。这些软件通常都是“黑客”利用得手段。 2、网络自身具有不安全性。Internet和TCPnP协议在最初设计时,主要追求网络的互联性及其所能提供的服务,并没有考虑安全问题。这就造成了基于TCPnl’协议应用程序的不安全。集中表现在:几乎所有的数据在网络上都是明文传输和用户在网络上的身份仅通过LP地址表现。由于这两个原因,使得一些软件 产品的安全工作形同虚设。 3、各种应用服务存在安全问题。Telnet、I卫)、NF5、RPC、rI闱n、DNS、沁8、协b、心6v以等都存在安全问题。例如Telnet,F~协议在用户认证时,密码以明文方式传送。 4、Internel上随处可以方便地获取系统人侵和破解工具。 5、安全制度不健全,很少有单位制定安全制度并坚持执行。 三、构成计算机网络安全的主要威胁: 从技术的角度看,计算机网络不安全的因素,一方面由于它是面向所有用户的,所有资源通过网络共享,另一方面是它的技术是开放和标准的。从一般意义上讲,网络安全所面临的威胁主要可分为两大类:一是网络中信息的威胁;二是对网络中设备的威胁。主要表现在: 1、信息泄漏:非法窃取网络传输数据以获取有用的信息.如,对通信线路中传输的信后进行打线监听。 2、信息篡改:截取网上传输的数据包,并进行修改,添加或破坏。 3、非授权访问:没有授权就是用网络资源,非法登人系统,获得网络资源与网络信息,甚至 进行蓄意破坏。 4、非法信息渗透:利用Internet的开放性特点,向企业内部传播不良信息激战网络带宽。 5、假冒合法用户,通过网络对企业的正常业务进行干扰,如发送虚假订单等。 四、搞好网络安全对策 1、增强网络安全意识刻不容缓。随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等),因此我们要加强网络安全意识。 2、网络安全管理体系的建立。实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立组织的安全管理体系是网络安全的核心。我们要从系统工程的角度构建网络的安全体系结构,把组织和部门的所有安全措施和过程通过管理的手段融合为一个有机的整体。安全体系结构由许多静态的安全控制措施和动态的安全分析过程组成。 3、使用防火墙和代理服务器技术。防火墙是实现内网与外部不可信任网络间或内网不同网络安全区域的隔离和控制访问的综合性网络安全技术,它的主要目标是通过控制入、出网络的权限,使所有的连接都经过检查,防止外界因素干扰、破坏网络。仅使用防火墙所提供的访问控制能力是不够的,需要与其它技术共同使用。如身份认证,网络地址翻译,负载平衡,流量分析等。代理服务器是使用代理技术阻断内外网络间的通信,达到隐藏内部网络的目的。它类似于一个数据转发器,控制用户访问的服务类型,认为是“可以信赖“的服务才能通过。可以利用在代理服务器上做安全设置,实现网络防火墙的功能。 4、采用各种安全技术,构筑防御系统,主要有:(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2) NAT技术:隐藏内部网络信息。(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。 参考文献:1、张怡 . 浅议计算机网络安全策略[J] . 科技咨讯 .2006 . 9
|
| |