篇一:计算机网络安全的主要技术
随着计算机应用范围的扩大和互联网技术的迅速发展,计算机信息技术已经渗透到人们生活的方方面面,网上购物、商业贸易、金融财务等经济行为都已经实现网络运行,“数字化经济”引领世界进入一个全新的发展阶段。然而,由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨人员的攻击,计算机网络安全问题日益突出。在网络安全越来越受到人们重视和关注的今天,网络安全技术作为一个独特的领域越来越受到人们关注。
一、网络安全的定义
所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。
二、影响网络安全的主要因素
(1)信息泄密。主要表现为网络上的信息被窃听,这种仅窃听而不破坏网络中传输信息
的网络侵犯者被称为消极侵犯者。
(2)信息被篡改。这是纯粹的信息破坏,这样的网络侵犯被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自已的信息,起到信息误导的作用,其破坏作用最大。
(3)传输非法信息流。只允许用户同其他用户进行特定类型的通信,但禁止其它类型的通信,如允许电子邮件传输而禁止文件传送。
(4)网络资源的错误使用。如不合理的资源访问控制,一些资源有可能被偶然或故意地破坏。
(5)非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害了合法用户的利益。
(6)环境影响。自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。
(7)软件漏洞。软件漏洞包括以下几个方面:操作系统、数据库及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
(8)人为安全因素。除了技术层面上的原因外,人为的因素也构成了目前较为突出的安全因素,无论系统的功能是多么强大或者配备了多少安全设施,如果管理人员不按规定正确地使用,甚至人为露系统的关键信息,则其造成的安全后果是难以量的。这主要表现在管理措施不完善,安全意识薄,管理人员的误操作等。
三、计算机网络安全的主要技术
网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如下:认证技术、加密技术、防火墙技术及入侵检测技术等,这些都是网络安全的重要防线。
(一)认证技术
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可
以防止合法用户访问他们无权查看的信息。
(二)数据加密技术
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、代理服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密匙管理技术(Key Management)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
四、结论
网络安全是一个系统的工程,需要仔细考虑系统的安全需求,并将各种安全技术结合在
一起,才能生成一个高效、通用、安全的网络系统。网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
篇二:计算机网络安全与技术的现状与未来发展
计算机网络安全与技术的现状与未来发展
计算机网络的安全问题是伴随人类社会进步和发展而日显其重要性的。信息技术革命不仅给人们带来工作和生活上的方便,同时也使人们处于一个更易受到侵犯和攻击的境地。例如,个人隐私的保密性就是在信息技术中使人们面对的最困难的问题之一。在“全球一村”的网络化时代,传统的物理安全技术和措施不再足以充分保证信息和系统的安全了。
在信息技术领域,信息安全和计算机系统安全是两个相互依赖而又很难分开的问题。保证信息安全的一个必要条件是实现计算机系统的安全,而保证计算机系统安全的一个必要条件也是实现信息安全。这或许就是此问题是如此之难的原因。如果说两者有什么基本的共同之处的话,那就是在于两者的实现都是通过“存取控制”或“访问控制”来作为最后一道安全防线(如果不考虑基于审计或其它信息的攻击检测方法的话)。在这道防线之前,自然就是“身份鉴别”或“身份认证”。为此,各种“授权”或“分配”技术就应运而生了。从根本上说,操作系统安全、数据库安全和计算机网络安全的基本理论是相通的。由于此问题的复杂性,以及在当前的计算机网络环境下,在某种意义上说计算机网络的安全为操作系统安全和数据库安全提供了一个基础,在本文中我们主要讨论计算机网络安全的问题。
(一)、网络安全的含义及特征
网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯。从网络运营商和管理者的角度来说,他们希望对
本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒
绝服务和网络资源的非法占用和非法控制等威胁,制止和防御网络“黑客”的攻击。
网络安全根据其本质的界定,应具有以下基本特征:(1)机密性。是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的各个层次上都有不同的机密性及相应的防范措施。在物理层,要保证系统实体不以电磁的方式向外泄露信息,在运行层面,要保障系统依据授权提供服务,使系统任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等;
(2)完整性。是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性;(3)可用性。是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资料。在物理层,要保证信息系统在恶劣的工作环境下能正常进行。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名;(4)可控性。是指对网络上的信息及信息系统实施安全监控,做到能够控制授权范围内的信息流向、传播及行为方式,控制网络资源的使用及使用网络资源的人或实体的使用方式;(5)可审查性。是为了对出现的安全问题提供调查的依据和手段,使系统内所有发生的与安全有关的动作均有说明性记录可查。
(二)、网络安全现状分析
随着计算机和通信技术的发展,网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保
障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的。
网络安全是研究与计算机科学相关的安全问题,具体地说,网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。每个计算机离不开人,网络安全不仅依赖于技术上的措施,也离不开组织和法律上的措施。客户服务器计算模式下的网络安全研究领域,一是OSI安全结构定义的安全服务:鉴别服务、数据机密性服务、数据完整性服务、访问控制服务等;二是OSI安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。
(三)、网络安全解决方案
网络安全是一项动态、整体的系统工程。网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。
(1)防病毒技术。网络中的系统可能会受到多种病毒威胁,对于此可以采用多层的病毒防卫体系。即在每台计算机,每台服务器以及网关上安装相关的防病毒软件。由于病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应用全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。
(2)防火墙技术。防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通信,根据用户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通信,提高内部网络的安全。
(3)入侵检测技术。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段。实时入侵检测能力之所以重要,是因为它能够同时对付来自内外网络的攻击。
(4)安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。如果说放火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。
(5)网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
(四)个人用户如何尽量保证上网安全?
每台电脑都必须装杀软,但杀软起到的作用往往只是在病毒入侵后,不能根本性的保证个人电脑的安全。并且,杀软的病毒库要时时更新,必须开启实时监控,才能起到杀软真正的作用。每个人都会注册各种账号或者邮箱,会使用一些密码,但是有些人的密码在各个网站是一样的,甚至于连用户名也是一样的,这就很可能导致一个网站被泄密,所有的网站的资料都外泄。最近发生的CSDN泄密事件导致了700万的YY用户、4000万的天涯社区明文密码、500万人人用户密码等各大网站泄
密事件,因此在设置密码的时候应使用强口令,密码要包含大小写字母、数字、符号等,但不含自己及周围熟悉的人的姓名缩写、生日日期、电话号码等,对所有用户都要设强口令,定期或不定期地经常更改密码。密码最好各不相同。密码不要存在电脑里。各种论坛、邮箱切忌使用相同的用户名ID和密码。这样才能保证用户的密码安全。另外,除了刚刚所说的一定要安装杀软外,我们还必须在电脑上安装防火墙,并正确配置和使用。防火墙是我们电脑的第一道防护线,所以一定要树立起一道高墙,检查XP自带防火墙中“例外”里的项目,哪些是正常的网络应用程序和服务,哪些是可疑的甚至是异常的病毒或木马程序,并检查是否有伪装。此外,我们最好不要上一些非法的不可靠甚至于黄色网站,不随意点击链接,以防网页木马,不随意打开邮件附件和别人发来的文件,要先检查文件是否有伪装、捆绑。注意文件扩展名、是否捆绑其他木马文件。
作为一名学生,每天也必须接触到很多文件,打印文件成了大学生的一件比较重要的事,但是各大打印店的电脑却是U盘病毒的中转地,因此要想保证自己的电脑不中U盘病毒,就得购买带有写保护功能的U盘或者移动硬盘,这样才能在这一个环节保证电脑的安全。假如已经中了U盘病毒,那么这个时候要做的事情就是对自己的电脑进行根本性查杀,(1)结束病毒进程(2)删除系统文件夹中的病毒文件
(3)删除硬盘其它盘符根目录下的autorun.inf和相应的病毒文件。
如果非得想在自己的电脑上进行某些可能带有危险性的操作,最好的方法就是使用虚拟机软件,虚拟机的功能是什么呢?简单来说就是在自己的电脑里(物理机)安装一个虚拟的电脑,通过这台电脑来实行操作。使用虚拟机的好处是虚拟机可以随时删除而不会让物理机遭受侵害,比如要攻击别人电脑或者对一个病毒进行实验或使用一个有限时限次使用的软件,都可以使用虚拟机来操作,提高自己电脑的安
篇三:浅谈计算机网络安全技术
浅谈计算机网络安全技术
摘要:随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的,因此,对漏洞的了解及防范也相对重要起来。 在我的这篇论文里,将综合概括一些过去、现有的网络和系统漏洞,就几种常见的和最新出现的漏洞及其特征进行详细的说明,并就此进一步展开对这些漏洞的防范措施的具体介绍,使大家认识并了解这些漏洞的危害,从而更好的保护自己的计算机。
关键词 :计算机网络技术/计算机网络安全/安全漏洞
1,常见计算机网络故障分类及影响
网络故障诊断应该实现三方面的目的:
确定网络的故障点,恢复网络的正常运行;
发现网络规划和配置中欠佳之处,改善和优化网络的性能; 观察网络的运行状况,及时预测网络通信质量。
网络故障诊断以网络原理、网络配置和网络运行的知识为基础。从故障现象出发,以网络诊断工具为手段获取诊断信息,确定网络故障点,查找问题的根源,排除故障,恢复网络正常运行。 网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层CISCO IOS或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信正常为止。
网络诊断可以使用包括局域网或广域网分析仪在内的多种工具:路由器诊断命令;网络管理工具和其它故障诊断工具。CISCO提供的工具足以胜任排除绝大多数网络故障。查看路由表,是解决网络故障开始的好地方。ICMP的ping、trace命令和Cisco的show命令、debug命令是获取故障诊断有用信息的网络工具。我们通常使用一个或多个命令收集相应的信息,在给定情况下,确定使用什么命令获取所需要的信息。譬如,通过IP协议来测定设备是否可达到的常用方法是使
用ping命令。ping从源点向目标发出ICMP信息包,如果成功的话,返回的ping信息包就证实从源点到目标之间所有物理层、数据链路层和网罗层的功能都运行正常。如何在互联网络运行后了解它的信息,了解网络是否正常运行,监视和了解网络在正常条件下运行细节,了解出现故障的情况。监视那些内容呢?利用show interface命令可以非常容易地获得待检查的每个接口的信息。另外show buffer命令提供定期显示缓冲区大小、用途及使用状况等。Show proc命令和 show proc mem命令可用于跟踪处理器和内存的使用情况,可以定期收集这些数据,在故障出现时,用于诊断参考。 网络故障以某种症状表现出来,故障症状包括一般性的(象用户不能接入某个服务器)和较特殊的(如路由器不在路由表中)。对每一个症状使用特定的故障诊断工具和方法都能查找出一个或多个故障原因。
2, 网络安全
1.防火墙技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。 1)包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信
进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
2)代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过
滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。
2.防病毒技术
Internet在为人类传播和交换信息的同时,也为计算机病毒的传播和发展提供了良好的平台,针对网络的病毒正以惊人的速度,向着更具破坏性、更加隐蔽、感染率更高、传播速度更快、更多种类、适应平台更广泛的方向发展。计算机网络安全防范的一项重要内容,就是在充分保证计算机网络安全和对计算机网络性能影响最小的前提下,有效地防止计算机病毒的侵袭。
3.加强计算机网络安全的对策措施
3.1 加强网络安全教育和管理
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有