网络交换机的安全威胁(精选十篇)
网络交换机的安全威胁 篇1
而广域交换机主要在中国移动、电信、网通网络运营商中应用。网络交换机的应用范围较广, 在实际应用时常常会受到多种因素的影响, 导致网络交换机中还存在着一定的安全漏洞, 这对计算机用户来说造成了一定的威胁。
一、网络交换的安全威胁
(一) 网络病毒安全威胁
现阶段, 网络病肆虐, 网络用户使用者一不留神就导致PC机存留大量的病毒, 如果这些病毒不能及时控制就会导致在用户的网络区域中泛滥, 占据着用户的网络宽带, 造成网络拥堵的现象发生。在这种情况下, 还会产生以下几种异常现象:
1.单播类异常报文
这种报文是指在出现异常现象时, 系统就会将该异常现象进行不停的发送对应的网络交换机中, 而网络交换机的内部系统就会出现文件存储异常现象发生。严重的话还会使网络交换机中存在着大量的病毒, 从而对网络地质进行攻击, 造成不可挽回的损失;
2.广播类异常报文
这类异常形式主要通过广播报文的形式对相关的网站、网站进行异常攻击, 从而导致网站在运行时不会接收到文件, 如果不能对该现象开展及时处理就会导致整个网络的传输系统瘫痪, 不能正常使用。
(二) 未授权交换机端口威胁
一些企业在发展过程中, 常常会在自身内部的网络系统中传输重要的机密文件、信息, 而这些机密文件信息是不可以外泄的, 一旦这些信息被一些非法分子获取, 就会对整个企业造成巨大的经济损失。因此, 在网络交换机使用过程中一旦出现了未经授权的计算机连接网络交换机的端口中, 就会对整个局域的内部网络系统处于一种安全隐患中。比如说, 一些工作人员在工作期间将自己的计算机带入到公司进行文件数据, 但是他们并不知道自己的计算机存在问题, 从而在连接过程中出现问题。
(三) VLAN中攻击威胁
在网络正常运行期间, 通过网络交换机设备所划分出来的VLAN都具有一定的网络安全的保护作用。如果没有对应的使用线路的话, VLAN之间的计算机是很难进行通信工作, 从而导致其中存在着一定的安全隐患问题。然而, 利用DTP, VLAN中的攻击就会以持续的形式出现, 并对计算机所连接的交换器进行攻击, 从而交换机中的功能很难被发挥出来。
二、网络交换机的防范措施
(一) 网络病毒防范措施
病毒对于网络用户来说会造成大量的网络流量, 如果在网络系统运行时发现其存在的问题就可以有效的避免这一现象发生。因此, 在网络系统实际运行期间要做好其病毒防范工作, 针对一些单播类型的异常报文运营商来说, 可以采用ICMP的报文形式进行防范, 对于广播类异常报文而言, 可以采用网络交换机端口的隔离技术进行防范, 只有这样才能保证网络交换机的使用安全。
(二) 未授权交换机的防范措施
对于未授权的交换机的防范工作来说, 可以通过局域内部网络系统进行, 并对每一个员工分配固定的IP地址, 员工在工作期间可以使用自己的专用地址进行操作, 从而保证所连接网络的安全。另外, 在网络交换机使用期间, 相关管理人员还可以通过PC机的MAC地址进行统计, 并将网络交换机的位置进行合理设置, 只有这样才能保证企业内部的网络系统可以通过MAC地址来访问, 减少病毒事件发生, 保证网络交换机的使用安全。
(三) VLAN中攻击防范
对于网络交换机周鹏那个的VLAN攻击的防范工作来说, 可以将现有的网络交换机中的端口通过VLAN ID的形式进行连接, 并通过网络交换机的运行现状对其进行明确设置, 只有这样才能保证端口中的DTP可以禁止应用。对于IP/MAC来说, 可以通过非授权访问的形式进行操作。
三、总结
随着社会不断的发展, 网络攻击现象越来越频繁, 而交换机是网络的核心节点, 其在运行时也存在着较大的安全隐患。如果这一隐患不能及时控制, 就会造成巨大的经济损失。因此, 我国相关工作人员应该加强对其的研究, 并为其制定一项科学、合理的安全防范制度, 只有这样才能保证网络的使用安全。
摘要:网络交换机是一种全新的网络扩大设备, 并将原有的网络连接口扩大, 增加网络连接端口与局域网络终端的连接数量。随着社会不断的发展, 我国信息技术水平逐渐提高, 网络规模不断扩大, 网络交换机在各个领域中得到了广泛的应用, 对人们的日常工作、生活、学习提供了很大的帮助。然而, 网络交换机在使用过程中常常会受到多种因素的影响使其安全受到威胁, 导致计算机中的文件、数据、信息丢失, 从而造成巨大的经济损失, 只有做好网络交换机使用安全防范工作才能将其中存在的风险。
关键词:网络交换机,安全威胁,防范
参考文献
[1]李光辉, 殷保群.电力公司无线网络设计方案[A].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司.2016电力行业信息化年会论文集[C].中国电机工程学会电力信息化专业委员会、国家电网公司信息通信分公司:2016:5.
[2]王涛.浅谈企业信息系统安全建设[A].核工业勘察设计 (2012特1) [C].2012:10.
[3]胡亚希.一种基于交换机的局域网AR P攻击防御方法的研究及系统实现[D].湖南大学, 2010.
网络交换机的安全威胁 篇2
关键词 网络安全 因素 个人信息 安全
中图分类号:TP393.08 文献标识码:A
通过考察近几年在Internet上发生的黑客攻击事件,我们不难看出威胁网络安全的基本模式是一样的。特别在大量自动软件工具出现以后,加之Internet提供的便利,攻击者可以很方便地组成团体,使得网络安全受到的威胁更加严重。
隐藏在世界各地的攻击者通常可以越过算法本身,不需要去试每一个可能的密钥,甚至不需要去寻找算法本身的漏洞,他们能够利用所有可能就范的错误,包括设计错误、安装配置错误及教育培训失误等,向网络发起攻击。但在大多数情况下,他们是利用设计者们犯的一次次重复发生的错误轻松得逞的。
我们可以粗略地将对系统安全造成的威胁归结为6大类 : 教育培训问题、变节的员工、系统软件的缺陷、对硬件的攻击、错误的信任模型和拒绝服务。需要指出的是,这几类威胁之间可能会有交叉与重叠之处。另外,一些文献对系统安全的威胁分类方法可能同这里给出的不同,但大多没有本质的区别。
要真正理解网络的信息安全,需要对网络信息系统存在的安全缺陷和可能受到的各种攻击有深入正确的理解。所谓“知已知彼,百战不殆”,通过对系统缺陷和攻击手段进行分类与归纳,可让人们正视系统的不足与所受威胁。
对于安全系统的使用者来说,可以采用 2 种不同的安全模型。
(1)火车司机型在这种系统中,使用者只需要控制系统的启停,安全系统便能够辨别出危险信号,自动找寻安全道路,使用者在其他时间可以放心大胆地干别的事情。
(2)航空飞行员型在这种模型中,即使系统已经拥有很先进的自动导航设备,而且大多数情况下系统已经处在自动运行中,仍然要求使用者必须在安全方面训练有素。
在这 2 种模型中,第一种显得非常好用。用惯了图形用户界面的人都希望安全系统在经过简单的指导安装之后,不用再亲自介入以后的运行了。这种想法很自然,但实现起来并不容易。网络世界远远没有铁路系统那么有序,缺少像铁轨那样严格控制并引导列车前进的机制,由于可能出现的异常情况太多,所以没有什么办法可以让人一劳永逸。
有些人会认为:“不是还有防火墙吗?交给它好了!”这同样是错的,防火墙并不是万灵药,它虽然堵住了大量不安全的缺口,但还是小心翼翼地向外界打开了一扇访问内部信息的小门。尽管此门的开启受到限制,可路却通了。如果有人利用这条路径进行数据驱动型的攻击,防火墙是无能为力的。
最近,电视和网上公布一些网上个人信息被泄密的信息,这直接关系到个人秘密和隐私,在当今互联网飞速发展的时代,加强网络信息保护至关重要,势在必行。
网络时代,个人信息是网络交易的前提和基础,一旦被对方掌握,会给信息安全造成极大威胁。由于缺少相关法律,对利用公民个人信息谋取巨额利润的一些商家甚至不法分子难以追究其法律责任。如果我国不加快个人信息保护立法步伐,将会带来公民对个人信息安全缺乏信心、互联网公司收集不到有效信息、社会公信难以形成等问题。
目前我国一些法律虽然涉及了对个人信息保护的内容,但比较零散,也缺乏法律位阶比较高的法律,还难以形成严密的保护个人信息的法律网,这就容易使不法分子钻空子。
在加强网络信息管理过程中,建议对那些提供公共或专业服务、涉及个人信息储存和利用的机构,要对其承担的相关法律义务加以明确;对于非法手段获取个人信息的行为,应规定较为严厉的惩治措施。
在完善法律法规的同时,还要多措并举、多管齐下,各有关监管部门切实担负起监管职责,执法部门严格执法,网民也应增强提高个人信息的保护和防范意识互联网是社会大众共有的虚拟世界,这一虚拟世界早已和现实社会密不可分,这就决定了互联网不是绝对自由的平台,而应该是和谐与法治秩序的领地。如果管理不善,国家信息安全就会受到威胁,企业电子商务就会受到影响,大众个人隐私就会受到损害。
与现实社会管理一样,互联网管理不仅要依靠行业和个人自律,更应依靠机制和法律。对于网络监管,动力来自社会,呼声来自民间;作为国家利益和公众利益的代表,政府介入其中,健全法律机制,促进立法、执法,敦促行业自律,引导并保持互联网健康的发展方向,依据了社会形势,顺应了民众呼声。明确在互联网中哪些是得到保护的、哪些是要进行限制、禁止的,让网民明确自己的权利与义务,使得上网行为有章可循、有法可依,是公民合法权益的一部分,更是依法治国的题中应有之义。
网络信息系统网络安全的威胁与措施 篇3
网络系统的不安全因素按威胁对象可以分为三种:一是对网络硬件的威胁, 主要指恶意破坏网络设施的行为;二是对网络软件的威胁, 如病毒、木马侵入等;三是对网络传输或存储的数据进行攻击, 如数据修改、删除破坏数据等。
针对以上三种威胁对象, 需要明确相应的安全威胁, 并针对威胁特点建立相应的措施降低网络系统的不安全因素。
1 业务系统和网络环境
“金保工程”信息系统是一个涵盖人事人才、社会保险、劳动就业等人力资源和社会保障业务, 覆盖省、市、县各级机关、经办机构、社区、街道的庞大而复杂的计算机网络系统, 具有以下几个特点。
(1) 省级大集中式系统, 承担数据存储、处理和应用服务的数据层和应用层均集中在省级中心平台; (2) 全网实时系统, 全省各级所有业务通过网络互联, 基于统一、集中的资源数据库展开, 要求整个系统7×24小时实时连通并平稳运行; (3) 准金融系统, 所涵盖的社会保险系统是对基金和账户的管理, 涉及参保人员个人利益, 关系到国计民生; (4) 系统接入单位多, 用户复杂, 用户不仅包含省、市、县各级机关、经办机构、社区、街道等劳动保障系统工作人员, 同时还有定点医院药店、各种企业、税务、银行、邮政等相关单位用户, 绝大多数用户均需实时连接网络, 进行业务处理。
2 面临的威胁及相应措施
随着系统的实施, 黑龙江省“金保工程”业务处理对计算机网络的依赖程度将逐步增大, 安全问题不容忽视。针对信息系统网络方面可能面临的各种风险和安全威胁, 建立了多层次、立体交叉的网络安全屏障, 以确保系统安全、稳定运行。主要体现在以下几个层面。
2.1 物理层面
物理层面的风险主要是指由于计算机硬件设备损坏而影响系统正常运行, 物理层面是整个网络系统安全的第一道防线。
在物理层面的安全屏障主要有:
(1) 建立灾备中心。
中心平台包括数据中心、灾备中心和监控中心。数据中心是整个系统的核心, 与数据中心不同物理地址的灾备中心是数据中心的备份。目前, 通过远程磁带备份系统, 每天将数据中心内的数据备份到灾备中心磁带库, 并将磁带转移到其它地点。最大限度在24小时之内恢复受损数据。二期建设将在灾备中心建立与数据中心相同的网络平台, 实现数据中心的应用级灾备。
(2) 设备和线路冗余配置。
为了防止数据中心所有设备和网络的单点故障导致服务中断, 在平台和网络的设计上采用完全冗余的配置。一是中心平台所有的核心设备均采用两台或多台双机冗余热备和负载均衡机制。二是在线路上, 采用一主一备网络连接, “省-市地”主干网以覆盖全省各市地的电子政务网为主, 以基于互联网的10M光纤为备份, 所有连接节点均有两个以上的路由连接数据中心。
(3) 完善机房环境。
中心平台和各市地的中心节点机房建设均按国家A级机房标准规划, 基本设施包括:多路互投供电和不间断电源UPS, 六面体屏蔽, 防雷、防静电、防盗、防火、防水、防尘等系统, 温度和湿度控制系统。同时建立严格的机房管理制度, 有利地保障了系统的稳定运行。
2.2 网络层面
计算机网络互联在大大扩展信息资源共享空间的同时, 也将其自身暴露在更多危险攻击之下。信息系统也同样承担着非法接入、非法访问、病毒传播等风险。
网络层面的安全屏障主要有:
(1) 路由策略。
由于信息系统的网络大部线路是基于公网的VPN通道, 因此在出口处的VPN设备必然要与公网连接, 为防止来自公网的非法访问, 内网用户的IP地址使用了RFC1918所定义的私有网络地址, 这种地址外部用户不能够直接访问, 同时连接外网的VPN设备也不把到公网的路由广播到内部网络。这样可以保证内网用户和外网用户双方都无法直接互相访问。
(2) 防火墙访问控制。
在中心平台和每个地市中心节点都安装了一台做访问控制的防火墙, 这台防火墙只允许内部数据通过, 任何内外之间的直接访问都会被防火墙所隔离, 有效的防止了外部非法访问。
(3) 多层面用户身份认证。
在网络上用户的合法性和该用户拥有的合法权限均通过多个层面的身份认证系统来确认, 这些认证包括VPN密钥认证、Radius身份认证、终端设备和数字密钥身份认证、业务系统登录认证等。如果黑客想要冒充合法用户进入时, 由于没有密钥口令, 连接请求将会被拒绝。网络最终要做到每个用户在信息中心登记后分配给其单独的用户名和口令, 并定期更新口令。为了加强对用户的身份认证, 还在应用层上对用户所持有的数字密钥进行验证, 只有各方面信息完全吻合的用户才能被认定为合法用户, 授予登录访问权限。而且因采用分层管理, 合法用户也无法访问到与其无关的服务内容。
(4) 使用访问列表控制非法连接。
访问控制列表是应用在路由器接口的指令列表, 这些指令列表可以控制路由器的数据接收。通过灵活地增加访问控制列表, 可以过滤流入和流出路由器接口的数据包。
(5) 设置网络防病毒系统。
在系统中部署了网络防病毒软件, 在省数据中心设置了一台防病毒根服务器, 在各地市中心设置防病毒分支服务器。网络管理员只要定期升级根服务器, 全省的防病毒软件客户端就可以通过分支的防病毒服务器随时自动进行升级。
(6) 通过访问控制隔断病毒传播途径。
多数病毒的传播途径都是有规律可循的。当某种病毒流传时, 根据其网络传播特点, 在网络路由转发设备上制定相应的访问控制列表, 就可将病毒控制在最小范围内来处理, 而不会大面积传播。
2.3 应用层面和数据层面
应用和数据两个层面的风险主要有:非法用户 (入侵者) 对网络进行探测扫描、通过攻击程序对应用层主机的漏洞进行攻击、使服务器超负荷工作以至拒绝服务甚至系统瘫痪。由于系统采用的是基于公网的VPN技术, 信息需要通过公网传输, 在公网上, 信息有可能会被人截获, 造成信息泄漏或数据被修改后再发送, 从而造成数据破坏。
用于数据层面的屏障主要有:
(1) 在通过公网建立VPN连接时, 所有传输数据都经过加密, 以防止在传输过程中被窃听或篡改。
(2) 防止非法用户进入并攻击系统。首先是防止非法用户连接到内部网络, 具体措施已在前面网络层面论述。而对已经连接到内部网络中的非法用户, 要防止其对服务器进行攻击。解决此问题的措施主要有:①对关键服务器采用负载均衡交换机进行端口映射。负载均衡交换机对访问没有进行映射端口的数据包直接丢弃, 使针对服务器的端口扫描和漏洞攻击无效, 使非法用户无法远程对服务器进行直接访问, 也就不能发起直接攻击;②入侵检测系统随时对入侵行为进行报警和记录。在数据中心和各地市中心都配置了入侵检测系统, 随时监控着网络上的数据流量, 检测到攻击特征的数据后立即告警, 以便迅速采取进一步的措施, 同时也为事后审核及追查攻击源头提供参考;③使用漏洞扫描系统进行主动的安全防护。信息中心配备了便携式的漏洞扫描系统, 由管理员根据需要不定期的扫描系统内服务器和网络设备的漏洞, 通过自身的主动监测, 发现系统漏洞并及时弥补, 对网络入侵做到防范于未然, 同时建立系统安全报告, 对整个系统的安全状况提供客观的评估标准。
3 结束语
黑龙江省“金保工程”信息系统在网络系统方面的安全机制是整体的、动态的。不仅包括物理安全、系统安全、网络安全、应用安全等多层面的内容, 并且配置了负载均衡交换机、防火墙、IDS、VPN、漏洞扫描、防病毒、身份认证等多种安全设备和安全技术手段, 同时还建立完善的安全管理体制, 有效地实现整体安全, 建筑一道可靠的网络安全屏障, 确保信息系统稳定运行。
参考文献
[1]李志刚.当前企业网络安全的威胁因素及对策研究[J].计算机光盘软件与应用, 2012 (16) :86-88.
[2]吴佳峰.计算机网络安全常见威胁及对策[J].技术与市场, 2012 (19) :5-6.
[3]王秀和.计算机网络安全技术浅析[J].中国教育技术装备, 2007 (5) :49-53.
[4]黄献朝.浅析通信工程网络安全问题与解决对策[J].城市建设理论研究, 2012 (33) :16-18.
[5]黄礼祥.浅析我国网络安全面临的威胁与对策[J].中国新技术新产品, 2012 (15) :23-24.
[6]郑崇伟.基于智能型防火墙INTRANET网络安全技术的研究[J].计算机工程与应用, 2003 (39) :156-158.
计算机网络面临的威胁及安全策略 篇4
一、计算网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:1、人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。2、人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。3、网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
二、计算机网络的安全策略
1、物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2、访问控制策略 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。
(1)、入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。
(2)、网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
(3)、目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。
(4)、属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
(5)、网络服务器安全控制 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)、网络监测和锁定控制 网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
(7)、网络端口和节点的安全控制 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端,然后,用户端和服务器端再进行相互验证。
(8)、防火墙控制 防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
3、信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
4、网络安全管理策略 在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
军队网络的安全威胁及技术防护 篇5
网络是一把“双刃剑”,在为人类社会提供各种便利的同时, 也带来了许多的社会风险。网络安全已经成为一个关系到国家安危、军队秘密、人民生活、社会安定等诸多方面的重大现实问题。
《孙子兵法·形篇》:“昔之善战者,先为不可胜,以待敌之可胜。”在网络安全方面,军队只有先将己方的安全防线筑牢,才能全力以赴地对敌发起攻击。军队网络安全上的任何一个小小的疏漏都有可能导致全盘皆输。
事实证明,网络信息化水平越高,军队网络安全问题也就越突出。在军队网络安全体系的大环节下,某个小环节出现了问题或存有漏洞,都可能导致整个系统的瘫痪。未来的信息化作战既需要锐利的“矛”,更需要坚固的“盾”。
1军队网络安全面临的威胁
在新的历史条件下,军队网络安全面临着巨大的威胁。
1.1精确打击的威胁
精确打击,是在先期侦察和精确定位的基础上,利用具有自动“寻的”功能的武器,对目标实施攻击的行动。军队网络作为物理和技术的“复合体”,需要数量众多的物理实体来支撑。指挥机构层次越高,支撑网络的物理实体的数量和体积也越大。例如, 国家和军队首脑机关、军队驻地和地方政府,都是军队网络信息通达的重要地点。这些地点的通信大楼外部,天线高耸,型式各异,征候十分明显,极易被敌侦测和定位。
由此可见,远距离精确打击已成为对战略目标实施摧毁的主要威胁。电子侦察技术、精确定位技术和精确制导技术大量运用, 将使军队网络信息的生存环境更加恶劣,“硬”摧毁的威险随时会发生。
1.2网络环境的威胁
网络环境对军队信息网络安全所造成的威胁,与电脑硬件、 操作系统及应用软件因素紧密相关。
1.2.1电脑硬件陷阱
我军计算机所采用的芯片,相当部分依赖进口。这些芯片中, 很有可能存在预先植入的病毒。
1.2.2操作系统漏洞
操作系统是应用软件的运行平台。在军队网络中,用户必须通过相同的操作系统进行互访,如果操作系统设有“陷阱和后门”,军队网络就有可能被他人所控制。根据斯诺登的爆料,很多公司都可以十分方便地利用“陷阱和后门”技术,对用户进行跟踪,使用户的一举一动都处在其监控之下。
1.2.3应用软件缺陷
从应用软件方面讲,我军“310”网内各级用户终端基本上是专机专用,所使用的应用软件是经过严格论证后,由我军统一组织研制和开发的,安全性能相对可靠。而与军队网络相连的其他网络,如“宽带综合业务数字网”、“军事训练网”及其子网等,用户终端及其网管系统在应用软件选择方面,尚没有严格的规定, 可能还存在一定的安全隐患。
1.3信息攻击的威胁
信息攻击的目的是通过对网络信息的窃取、篡改或删除,使军队网络信息泄露、业务中断、服务禁止或全网瘫痪。军队网络信息面临着无时不在、无处不在、无孔不入的威胁,战时与平时的区别在军队网络安全防御中已经消失。
1.3.1军队网络程序攻击
程序攻击主要是指那些熟悉军队网络、精通计算机编程的人员,抱着不同的目的,运用各种类型的程序,对计算机或军队网络进行的攻击。其中,最主要的攻击方式就是计算机病毒攻击。
1.3.2军队网络黑客攻击
黑客攻击是一种主要的军队网络信息攻击方式。攻击方通过蒙骗网络服务器、开辟数据通道,获得相关数据与资料,对计算机或军队网络进行探测和破坏,最后消除入侵痕迹。黑客只要有一台计算机、一台调制解调器和一根连线,就可在地球上的任何一个角落里发动进攻。
1.3.3军队网络系统攻击
系统攻击主要是指利用计算机操作系统本身存在的缺陷对军队网络进行攻击。通常我们总是设法保护装有信息的机器,实际上军队网络安全的强度取决于网络中最弱连接的强弱程度。攻击者认识到了这一点,他们寻找军队网络中未受保护的机器,诸如不常使用的打印机或传真机,利用它们跳到具有敏感信息的机器。
1.3.4军队网络内部攻击
内部攻击是指工作人员出于好奇或无意造成对军队网络的破坏,以及军队内部可能存在的不稳定分子或敌特分子,抱着不同目的对军队网络实施的攻击。
1.4高能武器的威胁
随着电子技术的发展,军队网络内电子设备的制造工艺越来越精细,一个小小的芯片就可代替原来成千上万个电子管的功能。现代电子集成技术在提高电子设备功能的同时,也给电子设备安全造成威胁。美国洛斯阿拉莫斯非常规武器国家试验室,利用“麦克斯韦”定理中的“瞬变电磁场”理论,研制了一种新型武器,对电子芯片进行了成功的攻击试验。这种武器叫做“高能微波” HPM(High Power Microwave)武器。它是将强大的微波能量汇聚在很窄的波束内,以近似光速的强微波脉冲定向打击目标的武器。具有速度快(光速)、针对性强(人或电子设备)、毁灭性大、打击区域广的特点,其辐射的频率为1~30GHz,脉冲功率为1MW~100GW。与常规武器相比,该武器对目标不是进行 “爆炸”式的摧毁,而是利用极强的电磁脉,通过设备对外开放的通道(天线)或与设备相连接的线缆,悄无声息地耦合到目标设备内部毁伤电子器件。这种高能微波不仅能破坏电子设备,而且能穿过比波长更小的缝隙进入目标内部,象“雷电”一样瞬间夺去人的性命。
1.5隐蔽战线的威胁
隐蔽战线的威胁,是一种来自网络信息传播范围和环境的威胁。这种威胁既可能来自己方,也可能来自敌方。但总的来说, 隐蔽战线的威胁是由“网络信息传播范围”和“与网络信息相关的人员”两种因素构成的。造成这种威胁的内因是防奸保密工作的疏忽、外因是敌特分子的渗透。
2军队网络安全的技术防护
军队网络安全的技术防护,不同于一般的传统信息保密,它是一项庞大的系统工程,不仅涉及技术人员对产品的采购、使用、 维护和保养,也需要各级首长机关制定严密的技术管理制度和措施做保障。因此,掌握网络安全防护的基本技术和措施,将有助于部队做好网络安全防范,杜绝网络泄密事件的发生。
2.1防火墙技术
防火墙是一种将内部网和公共网,例如Internet网与军队310网分开的方法。通过它可以隔离风险区域(如公共网)与安全区域(如保密的各级局域网)的连接,但同时又不会妨碍用户对风险区域的访问。
2.1.1防火墙的概念
防火墙是位于内部网络与外部网络之间、或两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户对内部网络的访问及内部用户访问外部网络的权限的系统,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
在构建安全的网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。通常购买网络安全设备时,总是把防火墙放在首位。
2.1.2防火墙的目的和功能
一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全的服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视局域网安全提供方便。
防火墙作为内部网与外部网之间的一个保护层,使内部网与外部网之间所有的信息流都必须通过防火墙,并通过监测、限制、 更改所有流进流出防火墙的数据流,达到保护内部网络免受非法入侵。防火墙的功能主要有四个方面:网络安全的屏障;强化网络安全的策略;对网络存取和访问进行监控审计;防止内部信息的外泄。
2.2电磁防护技术
任何电子信息系统设备工作时,其主机以及外部设备及各种电源线、信号线、地线都会产生电磁波。而电磁波辐射导致信息泄漏,从而危及军队的安全。普通计算机在进行数据传输、数据处理过程中泄露出的电磁波,可在1000米以内被接收和复原, 若采用尖端接收和解码技术,则截获的最大距离将会更远。
为了尽量减少电磁泄露的危险,必须采取完全防护措施。
2.2.1干扰技术
干扰技术是一种主动式信息泄露防护技术,是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起,以掩盖原泄露信息的内容和特征等,使窃密者即使截获这一混合信号也无法提取其中的信息。目前,常用的计算机电磁辐射干扰器大致可以分为两种:白噪声干扰器和计算机视频辐射相关干扰器。
2.2.2屏蔽技术
屏蔽室是一个导电的金属材料制成的大型六面体,能够抑制和阻挡电磁波在空中传播。它具有两种基本功能:(1)阻止外部电磁干扰进入屏蔽室。(2)使屏蔽室内的电磁能量不外泄。屏蔽技术是防止计算机信息泄露的重要手段,使用不同结构和材料制造的屏蔽室,一般可以使电磁波衰减60~140d B。
2.2.3低辐射技术
低辐射技术,是指在设计和生产计算机设备时,就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施,从而达到减少计算机信息泄露的最终目的。目前广泛采用的低辐射技术有:屏蔽,布线与元器件选择,红、黑设备隔离、 滤波,I/O接口和连接,低辐射测试技术。
2.3信息数据安全防护技术
2.3.1软件加密
目前Internet上各种加密软件种类繁多,但是,就算密钥比较长,并加入了@、%、*等特殊符号,解密也仅仅是一个时间长短的问题。所以,单独使用软件加密是不行的。
2.3.2硬件加密
信息主要存储在硬盘、光盘、软盘、U盘等硬件介质里,而一但将信息存储进硬件介质里,就很难将其擦除,普通的删除以及格式化,甚至摔、压、进水等手段造成的物理损坏,数据修复专家还可以将数据恢复部分甚至全部。除非将硬件完全熔毁,否则安全隐患还是存在的。
2.4防计算机病毒技术
2.4.1硬件防病毒技术
我军的网络通常可分为内网和外网,办公电脑是在内部网里面工作,自动化站与外网用户相互交换信息。硬件防病毒主要是在内部网和外网之间安装防毒墙,防毒墙相当于军队的门户,将所有从外网到内网的信息数据流通过防毒墙进行扫描,从而保证从外网到内网的信息不带病毒。据统计,现在98%的病毒主要是通过Internet,或通过电子邮件方式传播,因此建立高效的防毒墙就显得非常重要。防毒墙技术目前是前沿技术,具有信息透明、 带宽占用率低;即插即用,启动迅速,便于备份;自备硬件资源, 不依赖网络系统资源、硬件资源和操作系统等显著优点;只需要合理配置好防毒墙,在客户端的用户不需要对防毒墙进行任何操作,极大简化了用户的操作,特别适合于军队办公计算机使用。
2.4.2软件防病毒技术
软件防病毒技术就是采用程序代码自动识别病毒特征并消除病毒的软件技术。目前国内外防病毒软件品种繁多,主要分为单机版和网络版,单机版与网络版区别很大,这主要表现在两个方面:安全和管理。单机版实现的安全级别明显低于网络版,网络版产品在系统控制中心升级以后,各个节点的版本则会自动与其保持一致。
2.5入侵检测技术
入侵检测是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。入侵检测的目标是通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为及活动,从而保护信息系统的资源不受拒绝服务攻击,防止系统数据的泄露、篡改和破坏。
2.5.1入侵检测系统
入侵检测系统(IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络安全管理员及时采取对策提供有价值的信息。
2.5.2入侵检测系统的作用和功能
入侵检测系统会监视整个网络环境中的数据流量,并且总是与一种预定式的可疑行为模式来进行对照,入侵检测系统的存在价值就是能够察觉黑客的入侵行为并且进行记录和处理。入侵检测系统现在已经成为重要的安全组件,它有效地补充和完善了其他安全技术和手段。
2.5.3入侵检测常用的技术
网络入侵的检测实际上也是一种信息识别与检测技术。网络入侵活动的实际体现就是数据包,它作为信息输入到检测系统之中,检测系统对其进行分析和处理之后得到的就是网络入侵的判断。因此,传统的信息识别技术也可以用到入侵检测中来。
2.5.4拒绝服务攻击技术
采用模式匹配的方法,发现入侵攻击行为后,要有效地进行反攻击,就是进行拒绝服务攻击技术。
(1)Land攻击
检测方法:判断网络数据包的源地址和目标地址是否相内同。反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为,并对这种攻击进行审计。
(2)TCP SYN攻击
检测方法:检查单位时间内收到的SYN连接是否超过系统设定的值。反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
(3)Ping Of Death攻击
检测方法:判断数据包的大小是否大于65535个字节。反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
(4)Win Nuke攻击
检测方法:判断数据包目标端口是否为139、138、137等, 并判断URG位是否为“1”。反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段,并对这种攻击进行审计。
(5)Teardrop攻击
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。反攻击方法:添加系统补丁程序, 丢弃收到的病态分片数据包并对这种攻击进行审计。
(6)端口扫描预探测攻击
TCP/UDP端口扫描是一种预探测攻击。检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、 8080等以外的非常用端口的连接请求。反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
参考文献
[1]李强.军队网络安全与防护.科技情报开发与经济.
[2]许佩剑.军队信息网络安全性研究.山东大学.
[3]王合军,聂丽.军队自动化网络信号安全与防护.四川省通信学会学术年会.
小型网络面临的威胁及安全策略 篇6
1、计算机网络面临的威胁
计算机网络安全指网络系统资源 (硬件、软件和信息) 不受自然和人为有害因素的威胁和危害。由于网络中的计算机系统已经成为信息社会另一种形式的"金库"和"保密室",因而,成为一些人窥视的目标。再者,由于计算机网络自身所固有的脆弱性,使计算机网络面临威胁和攻击的考验。小型计算机网络受到的威胁和攻击除自然灾害外,主要来自计算机犯罪、计算机病毒、黑客攻击、和计算机系统故障等以下几个方面。
1) 自然灾害。计算机仅仅是一个智能的机器,易受自然灾害及环境 (温度、湿度、振动、冲击、污染) 的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
2) 网络软件的漏洞和"后门"。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的后果。另外,软件的"后门"都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦"后门"洞开,其造成的后果将不堪设想。
3) 黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,这些黑客具有计算机系统和网络脆弱性的知识,能使用各种计算机工具,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞,即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径。
4) 计算机病毒。90年代,出现了曾引起世界性恐慌的"计算机病毒",其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
5) 垃圾邮件和间谍软件。一些人利用电子邮件地址的"公开性"和系统的"可广播性"进行商业、宗教、政治等活动,把自己的电子邮件强行"推入"别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能小同程度的影响系统性。
6) 计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。由于计算机犯罪既不受时间、地点、条件限制,又具有"低成本和高收益"的特性,因此使得针对计算机信息系统的犯罪活动日益增多。
2、计算机网络安全防范策略
2.1 加强内部监管力度
加强内部针对计算机网络的监管力度,主要分为两个方面:
1)硬件设备监管。加强硬件设施的监管力度,做好硬件设备的备案、管理,包括主机、光缆、交换机、路由器,甚至光盘、软盘等硬件设施,可以有效预防因硬件设施的破坏对计算机和网络造成的损害。
2)局域网的监控。网络监视的执行者通称为"网管",主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全问题,如定位网络故障点,捉住IP盗用者,控制网络访问范围等。
2.2 配置防火墙
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最受人们重视的网络安全技术。防火墙产品最难评估的是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断,即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
2.3 网络病毒的防范
电脑安全的最大威胁之一来自特洛伊木马。这是一种专门的程序工具,比较有名的代表有BO、Pwlview,特别是全中文界面的Netspy,操作方法一学就会。这种程序令可以在不知不觉中运行,然后就开始实施攻击。有的使被攻击者在毫无察觉的情况下主动泄露用户名和口令,有的则在被攻击者的C盘中找到Windows下的*.pwl,使的账号和密码都显示出来。为避免损失,对付特洛伊木马程序的方法:一是不要轻易接受来历不明的软件;二是用杀毒软提供的清除特洛伊木马的功能进行检查和清除;三是当发现上网速度奇慢无比时,如"已发送字节"变为1k~3kbps时,应立即挂断网络,然后对硬盘进行认真彻底的检查。
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,因此,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位,多层次的防病毒系统的配置,定期或不定期的自动升级,最大程度上使网络免受病毒的侵袭。对于已感染病毒的计算机采取更换病毒防护软件,断网等技术措施,及时安装针对性的杀毒软件清理病毒,以保证系统的正常运行。
2.4 系统漏洞修补
Windows操作系统自发布以后,基本每月微软都会发布安全更新和重要更新的补丁,已经发布的补丁修补了很多高风险的漏洞,一台未及时更新补丁的计算机在一定程度上可以说是基本不设防的,因此建立补丁管理系统并分发补丁是非常重要的安全措施,可以对系统软件进行修补从而最大限度减少漏洞,降低了病毒利用漏洞的可能,减少安全隐患。
2.5 使用入侵检测系统
入侵检测技术是网络安全研究的一个热点,是一种积极主动的安全防护技术,提供了对内部入侵、外部入侵和误操作的实时保护。入侵检测系统 (Instusion Detection System,简称IDS) 是进行入侵检测的软件与硬件的组合,其主要功能是检测,除此之外还有检测部分阻止不了的入侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的归档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。采用入侵检测系统,能够在网络系统受到危害之前拦截相应入侵,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
2.6 增强计算机用户的安全意识
进行计算机网络的安全防范,对于用户的安全意识培训必不可少,对于许多计算机操作者来说,安全意识仍很薄弱。管理人员可以通过权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。然而,更多的安全措施必须由用户自己来完成,比如:
1)密码控制。网络安全系统的最外层防线就是网络用户的登录,用户必须对自己密码的安全性、保密性负责。
2)文件管理。用户对自己的文件必须负责。对于一般的系统和应用,文件的创建者拥有对文件的全部权限,包括将权限分配给他人的权限。用户在日常的操作中,要合理利用身份的权限,管理好计算机内的文件。
3)运行安全的程序。目前在系统一级上,尚无对病毒的有效控制。任何程序都可能包含病毒的,用户在操作计算机的过程中,要保持警惕,尽量只浏览知名、正规站点,使用正版工具。
2.7 关闭共享
Windows的网络邻居,在给用户带来方便的同时也带来了隐患,使得一些特殊的软件可以搜索到网上的"共享"目录而直接访问对方的硬盘,从而使别有用心的人控制您的机器。鉴别是否"共享",主要观察硬盘或文件夹图标下有无一只小手,如果有的话就表明启动了共享功能,于是您需要选中该图标,选择"文件"下的"共享"标签,再选中"不共享",同时这只小手就消失了。如果您必须运行"共享"服务,那么也应明确哪些内容可以共享,尽量不要将您的整个驱动器共享出来,而是仅将那些有必要共享的文件夹设置为共享,并且用不易猜中的口令来保护这些共享资源。
2.8 警惕来路不明的软件、程序及邮件
几乎所有上网的人都在网上共享过软件(尤其是可执行文件),在给你带来方便和快乐的同时,也会悄悄地把一些你不欢迎的东西带到你的机器中,比如病毒。因此应选择信誉较好的下载网站下载软件,将下载的软件及程序集中放在非引导分区的某个目录,在使用前最好用杀毒软件查杀病毒。有条件的话,可以安装一个实时监控病毒的软件,随时监控网上传递的信息。不要打开来历不明的电子邮件及其附件,以免遭受病毒邮件的侵害。
3、结语语
计算机网络的安全问题越来越受到人们的重视,本文简要的分析了小型计算机网络存在的几种安全隐患,并提出了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
摘要:随着计算机网络的迅猛发展, 网络的安全问题日益受到人们的重视, 本文分析了小型网络所存在的几种安全隐患, 提出了几种安全防范措施, 对于保护小型网络具有一定的参考价值。
关键词:网络安全,安全威胁,安全策略
参考文献
[1]葛秀慧.计算机网络安全管理[M].北京:清华大学出版社, 2006, 213-219.
[2]李荣.浅谈计算机网络安全及防范技术[J].电脑知识与技术, 2007, 13:34-36.
[3]卢立蕾.Windows环境木马进程隐藏技术研究[J].信息网络安全, 2009, 05:40-42.
论无线网络的安全威胁及对策 篇7
1 无线网络存在的安全威胁
无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见, 无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
1.1 有线等价保密机制的弱点
IEEE (Institute of Electrical and Electronics Engineers, 电气与电子工程师学会) 制定的802.11标准中, 引入WEP (Wired Equivalent Privacy, 有线保密) 机制, 目的是提供与有线网络中功能等效的安全措施, 防止出现无线网络用户偶然窃听的情况出现。然而, WEP最终还是被发现了存在许多的弱点。
(1) 加密算法过于简单。
WEP中的IV (Initialization Vector, 初始化向量) 由于位数太短和初始化复位设计, 常常出现重复使用现象, 易于被他人破解密钥。而对用于进行流加密的RC4算法, 在其头256个字节数据中的密钥存在弱点, 容易被黑客攻破。此外, 用于对明文进行完整性校验的CRC (Cyclic Redundancy Check, 循环冗余校验) 只能确保数据正确传输, 并不能保证其是否被修改, 因而也不是安全的校验码。
(2) 密钥管理复杂。
802.11标准指出, WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量, 使无线网络难以被攻破。但由于这种方式的过程非常复杂, 且需要手工进行操作, 所以很多网络的部署者为了方便, 使用缺省的WEP密钥, 从而使黑客对破解密钥的难度大大减少。
(3) 用户安全意识不强。
许多用户安全意识淡薄, 没有改变缺省的配置选项, 而缺省的加密设置都是比较简单或脆弱的, 经不起黑客的攻击。
1.2 进行搜索攻击
进行搜索也是攻击无线网络的一种方法, 现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler 软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的, 或即使加密功能是处于活动状态, 如果没有关闭AP (wireless Access Point, 无线基站) 广播信息功能, AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息, 如网络名称、SSID (Secure Set Identifier, 安全集标识符) 等可给黑客提供入侵的条件。
1.3 信息泄露威胁
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式, 它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息, 只要能够发现任何明文信息, 攻击者仍然可以使用一些网络工具, 如AiroPeek和TCPDump来监听和分析通信量, 从而识别出可以破解的信息。
1.4 无线网络身份验证欺骗
欺骗这种攻击手段是通过骗过网络设备, 使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的, 最简单的方法是重新定义无线网络或网卡的MAC地址。
由于TCP/IP (Transmission Control Protocol/Internet Protocol, 传输控制协议/网际协议) 的设计原因, 几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是, 因为巨大的管理负担, 这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候, 简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。
1.5 网络接管与篡改
同样因为TCP/IP设计的原因, 某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP, 那么所有来自无线网的通信量都会传到攻击者的机器上, 包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问, 而且这种攻击通常不会引起用户的怀疑, 用户通常是在毫无防范的情况下输人自己的身份验证信息, 甚至在接到许多SSL错误或其他密钥错误的通知之后, 仍像是看待自己机器上的错误一样看待它们, 这让攻击者可以继续接管连接, 而不容易被别人发现。
1.6 拒绝服务攻击
无线信号传输的特性和专门使用扩频技术, 使得无线网络特别容易受到DoS (Denial of Service, 拒绝服务) 攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源, 使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率, 从而造成无线频谱内出现冲突;②攻击者发送大量非法 (或合法) 的身份验证请求;③如果攻击者接管AP, 并且不把通信量传递到恰当的目的地, 那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线, 从很远的地方攻击无线网。已经获得有线网访问权的攻击者, 可以通过发送多达无线AP无法处理的通信量进行攻击。
1.7 用户设备安全威胁
由于IEEE 802.11标准规定WEP加密给用户分配是一个静态密钥, 因此只要得到了一块无线网网卡, 攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说, 如果终端用户的笔记本电脑被盗或丢失, 其丢失的不仅仅是电脑本身, 还包括设备上的身份验证信息, 如网络的SSID 及密钥。
2 无线网络采用的安全技术
采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。
2.1 扩展频谱技术
扩频技术是用来进行数据保密传输, 提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去, 与窄带射频相反, 它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号, 在这个范围内可以得到79个隔离的不同通道, 无线信号被发送到成为随机序列排列的每一个通道上 (例如通道1、18、47、22……) 。无线电波每秒钟变换频率许多次, 将无线信号按顺序发送到每一个通道上, 并在每一通道上停留固定的时间, 在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案, 系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰, 因而不用担心网络上的数据被其他用户截获。
2.2 用户密码验证
为了安全, 用户可以在无线网络的适配器端使用网络密码控制。这与Windows NT提供的密码管理功能类似。 由于无线网络支持使用笔记本或其他移动设备的漫游用户, 所以严格的密码策略等于增加一个安全级别, 这有助于确保工作站只被授权用户使用。
2.3 数据加密
数据加密技术的核心是借助于硬件或软件, 在数据包被发送之前就加密, 只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中, 例如商业用或军用的网络, 能有效地起到保密作用。
此外, 如果要求整体的安全保障, 比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中, 由制造商提供, 另外还可选择低价格的第三方产品, 为用户提供最好的性能、服务质量和技术支持。
2.4 WEP配置
WEP是IEEE 802.11b协议中最基本的无线安全加密措施, 其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密, 防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外, WEP还提供认证功能。
2.5 防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中, 适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下, 入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
2.6 端口访问控制技术
端口访问控制技术 (802.1x) 是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。802.1x除提供端口访问控制能力之外, 还提供基于用户的认证系统及计费, 特别适合于公司的无线接入解决方案。
2.7 使用VPN技术
VPN (Virtual Private Network, 虚拟专用网) 是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性, 它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素, 同时还可以提供基于RADIUS的用户认证以及计费。因此, 在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
3 无线网络采取的安全措施
要排除无线网络的安全威胁, 另一种对策是采取如下八项安全措施。
3.1 网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时, 要纳入网络的规划计划, 及时采取措施, 排除无线网络的安全威胁。
3.2 网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件, 同时还要做到如下几点:修改设备的默认值;把基站看作RAS (Remote Access Server, 远程访问服务器) ;指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上, 针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.3 启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能, 必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性, 防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个 AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥, 避免使用缺省选项;四是密钥由用户来设定, 并且能够经常更改;五是要使用最坚固的WEP版本, 并与标准的最新更新版本保持同步。
3.4 MAC地址过滤
MAC (Media Access Controller, 物理地址) 过滤可以降低大量攻击威胁, 对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址, 并配置在AP上, 只允许这些地址访问网络, 阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误, 并定期检查, 判断是否有人企图突破安全措施。
3.5 进行协议过滤
协议过滤是一种降低网络安全风险的方式, 在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法, 能够限制那些企图通过SNMP (Simple Network Management Protocol, 简单网络管理协议) 访问无线设备来修改配置的网络用户, 还可以防止使用较大的ICMP协议 (Internet Control Message Protocol, 网际控制报文协议) 数据包和其他会用作拒绝服务攻击的协议。
3.6 屏蔽SSID广播
尽管可以很轻易地捕获RF (Radio Frequency, 无线频率) 通信, 但是通过防止SSID从AP向外界广播, 就可以克服这个缺点。封闭整个网络, 避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。
3.7 有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式, 判断无线网络使用哪一个分配IP的方法最适合自己的机构, 对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址, 限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用, 可以降低那些繁重的管理工作。
3.8 加强员工管理
加强单位内部员工的管理, 禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Ad hoc网络结构;加强员工的学习和技术培训, 特别是对网络管理人员的业务培训。
此外, 在布置AP的时候要在单位办公区域以外进行检查, 通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域, 同时要加强对单位附近的巡查工作, 防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社, 2004.
[2]王乐.中国标准撼动Wi-Fi[J].电脑报, 2003, (49) .
网络交换机的安全威胁 篇8
关键词:计算机网络,信息安全,威胁,对策
0 引言
随着信息时代的来临, 计算机网络技术作为信息时代最具代表性的通信工具, 已经渗入到日常生活的方方面面, 于国家而言, 网络技术发展的程度也是衡量一个国家综合实力的标志之一, 而我国作为一个新兴的快速发展的国家, 网络技术的发展程度也伴随着许多问题的产生, 其中最重要的是网络信息安全的问题, 为了维护我国社会和经济的稳定和发展, 构建网络信息安全系统势在必行。
1 计算机网络信息安全现状
在计算机技术普及的今天, 网络技术发展得相当成熟, 经过几十年的信息时代的发展, 计算机网络给人们的生产生活带来了极大的便利, 可以说计算机网络技术改变了当今的世界, 然而, 在计算机网络技术这柄双刃剑的作用下, 其安全问题也日益变得复杂化, 计算机的网络安全系统需要不断地更新和升级, 因为新的安全威胁总是随着系统升级而升级, 只有这样, 才能保障用户的安全, 虽然如此, 网络安全问题还是频繁发生, 究其原因, 网络受到的攻击过于容易和简单, 计算机的安全软件升级得比较慢, 当然最主要的还是计算机网络协议本身有缺陷, 从外在人为因素来看, 计算机网络安全方面缺乏法律法规的硬性政策的控制和监管, 这些都使得计算机网络容易受到外来不明威胁来源的恶性攻击, 举个比较简单的例子, 网络监听的现象就非常普遍, 不管是私人还是政府部门都存在这种隐蔽的威胁, 由于计算机安全网络更新升级比较慢的原因, 目前的网络受到的攻击也越来越多样化。再加上计算机网络的各种尖端技术还经常用在军事领域, 各种国家机密都可能通过计算机网络的瘫痪和盗取而使国家安全受到威胁, 而且其造成的危害性更大。总的来说, 目前计算机网络的安全问题时刻需要我们引起高度的关注。
2 计算机网络信息安全系统面临的威胁
2.1 现有网络安全技术的缺陷
从整体而言, 虽然说在计算机网络技术刚开始普及的时候就有相应的安全技术, 但这种网络安全技术设计的并不全面, 没有全面覆盖网络技术缺陷, 比如, 对于军事领域的安全技术可能就不适用于普通用户, 同样的道理, 一个行业的安全技术是有可能对另一个行业无用的, 这就无法为整个计算机系统提供全面的保护。具体说来, 这些网络安全技术的缺陷表现在各个方面, 比如虚拟网络中的身份验证, 电子签名、数据流通过程中的保密性完整性以及应用系统整合性等等。在对用户信息的认证问题上, 可能有访问控制技术对其进行有效地甄别以防止他人随意盗取用户信息, 但是在客户数据流通时, 访问控制技术可能就无法起到保护用户信息安全的作用, 同样的, 像一般杀毒软件虽然都能起到防止病毒入侵和杀毒的作用, 但是一旦涉及到身份验证或者系统升级整合等问题的时候, 这些杀毒软件一样无益, 所以, 从以上分析的结果来看, 我们的计算机网络安全技术虽然有一定的针对性, 但是缺乏有效防止安全问题的整体性。
2.2 计算机病毒攻击
在所有传统计算机网络安全威胁中, 计算机病毒攻击可能是最普遍的一种传统安全威胁, 说其普遍也是因为这种安全威胁有着各种不确定因素, 比如攻击来源不容易确定, 攻击网络安全的方式也多种多样, 就连攻击的对象也不确定, 往往都是潜在的, 除此之外, 病毒对计算机网络安全的造成的威胁大的另一个原因, 计算比病毒扩散得太快, 越是网络发达和数据流通顺利, 其扩散能力越强, 而且, 计算机病毒有一定的潜伏期, 也一定时间内不容易被发现, 这些都是造成计算机病毒对网络安全危害大的愿意, 通常这种危害表现在, 使用户的信息丢失, 降低网络流通的效率, 严重的甚至可能早上系统瘫痪或者硬件和软件的损坏等。这些都是外在的计算机大众病毒的攻击问题。
2.3 漏洞问题以及后门问题
前面已经说过, 计算机安全系统的更新升级的周期比较慢, 这就会使某些安全软件存在缺陷和漏洞, 这点是无法避免的, 一旦出现漏洞, 就给各种网络安全问题留下了可乘之机, 窃取或者破坏用户的信息, 伴随用户信息丢失而来的是计算机用户的系统运行不稳定或者IP地址收到轰击等问题, 当然, 在最初计算机程序编制的的时候, 会通过计算机的后门自行管理和调节, 虽然恶意攻击网络的黑客可能不太了解这种自我管理和调节机制, 但是, 如果计算机后门也出现漏洞, 其后果就不堪设想, 计算机整个安全系统都有可能因此而导致瘫痪。
2.4 现行法规政策和管理存在不足
从外在因素来看, 计算机网络安全问题比较严重的原因是相关的法律法规还没有跟上计算机这个领域的各种快速的变化, 还很不完善, 操作性不强, 执行力还不够, 计算机领域的管理人员的素质参差不齐, 造成的结果则是计算机安全防范机制问题很多, 系统口令的设置过于随意, 没有足够的安全意识, 另外, 单位内部也存在管理不善的问题, 特别是对账号的管理的疏忽, 经常使得账号就轻易被不法分子所盗取或者篡改, 更为恶劣的, 有些缺乏职业责任心的管理人员竟然利用职务之便, 泄露公司或者单位网络的机密信息, 这些问题都说明, 在计算机网络安全问题的法律法规的构建方面, 还存在不小的差距和问题。
2.5 人为破坏因素愈演愈烈
近几年, 随着信息技术发展得越来越迅猛, 计算机网络的各种危机也越来越频繁, 这其中, 人为因素占了很大一部分, 比如各种黑客攻击, 计算机犯罪等等, 如今, 又衍生了网络职业黑客这一职业, 他们往往通过有缺陷的网络体系和安全系数不高的用户进行入侵或者通过一些间谍软件, 来盗取各种信息, 并将其中有价值的部分卖给有需要的人, 这就是这一职业的获利过程, 而在这个商业竞争空前激烈的时代, 计算机网络技术的在商业竞争中无孔不入, 而为了达到商业盈利的行为, 有些职业操守很低的竞争者会利用计算机网络技术侵入对手的计算机系统, 对竞争对手的电脑操作系统心境破坏, 或者盗取对手的商业机密, 这种恶性竞争的行为愈发泛滥, 这也是值得我们注意的认为破坏因素, 这种人为破坏因素危害大的原因也是因为计算机犯罪没有任何限制, 且不容易察觉, 而且成本较低, 也不好确定犯罪对象等等, 这些都是人为网络犯罪愈发频繁的原因, 也是的计算机网络技术的维护变得困难。
3 网络信息安全系统防护措施
3.1 加强访问控制策略
想要对计算机网络安全系统进行防护, 首先要严格网络的访问控制, 访问控制主要是防止那些不具有使用权限的用户滥用网络资源的一种防护机制, 而且这种防护机制是从网络访问的源头进行控制的。具体途径则是通过对企图访问的客户进行身份或者口令进行识别和认证, 一旦发现不符合权限的不明用户, 就会自动进行甄别, 同时根据网络用户的权限进行严格的审查和监督, 除此之外, 还应该通过一些尖端技术, 实现目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等等, 通过这几个方面, 从而是对网络访问控制的进一步加强。
3.2 信息加密技术
在用户正常进行使用计算机网络的时候, 网络内部的数据口令等等都是受到正常保护的, 但是, 由于外在的人为因素, 这些数据或者口令有可能会被非法分子盗用, 这个时候, 就需要对这些流通的信息数据进行加密, 在目前的技术水平下, 我国主要使用链路加密、端点加密和节点加密等手段, 一旦对信息进行了加密, 即使数据信息被盗用, 非法分子也无法进行解密从事非法犯罪行为, 对于我国大多数计算机网络使用的系统来说, 都配备有这种功能, 这也是市场竞争的结果。
3.3 加强病毒防范
前面已经谈到过, 计算机安全系统本身就存在缺陷, 病毒的入侵从某种程度上来说是不可避免的, 但是我们还是可以通过经常对病毒的查杀和对系统的更新升级进行防范。对于漏洞的检测, 需要专业的软件或者更完善的系统进行弥补, 病毒往往都是通过电脑系统漏洞侵入电脑的, 对于病毒而言, 我们要定期对系统进行查杀, 隔离和检测, 对于检测出的病毒要彻底进行清除, 因为病毒往往有一定的潜伏能力;其次对于病毒和漏洞问题, 计算机网络系统应该具有一定的预警机制, 一旦发现有可能是病毒入侵的征兆, 预警机制可以及时提醒用户, 及早发现, 及早控制和隔离。
3.4 防火墙技术
防火墙是将本地网络和外来网络进行分隔开的防护技术, 一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成, 主要是为了根据用户的需求控制信息流, 目前市面上大多数用户都是使用的过滤防火墙或者代理防火墙技术, 这两种防火墙技术都有自身的不足, 应该大力开发和普及将两种防火墙技术有点结合在一起的一套完整成熟的技术。
3.5 建立安全实时防御和恢复系统
随着计算机网络技术的更新换代, 病毒和漏洞也时刻存在, 其自我更新的能力也在不断加强, 除了不断更新升级系统来防范以外, 还应该建立安全实时防御和恢复系统, 一旦网络在被破坏时能即使进行自动防御, 这是这一系统的预警机制, 而当用户的数据信息因为系统被攻击而丢失数据的话, 这一系统又可以通过对入侵电脑系统的数据进行自动检测, 并通过备份功能自动恢复用户的数据, 安全实时防御和恢复系统是一个集预警, 恢复, 检测于一体的安全防范机制, 在计算机网络信息安全系统的构建中, 应该加大这一措施的实施力度。
3.6 加强政府的监管和控制, 制定有效的应急预案
以上都是从计算机网络技术层面来说, 而从计算机网络技术的管理层面来看, 政府的监管和控制是构建健康完善网络体系的重要的支撑。因为网络技术不仅关系到个人用户的使用方便问题, 同时由于网络技术的普及, 这一技术的发展时刻也关系到国家的安全和社会稳定的问题, 在大力普及计算机网络技术的同时也应该加强人为的管理。具体可以从以下几个方面着手:首先, 应该落实信息安全等级保护的责任部门和人员, 负责信息系统的安全等级保护管理工作, 其次完善安全等级保护机制, 各级网络管理人员要严格按照保护技术标准来指导自己的工作, 同时, 对于管理人员而言, 要时时加强对他们的考核和评估;再次, 对安全事故的处理要有一定的应急处理机制, 政府还应该加大对计算机网络安全的教育的宣传和指导工作, 对非法使用网络的人员要进行有效的监管, 从源头上防止网络犯罪的发生, 同时为市场经济的发展和未成年人的健康成长提供一个良好的网络环境。在监管的同时, 加大教育的力度, 利用整个社会来强化网络安全意识。
一方面, 政府要加强监管和防范, 另一方面一旦出现网络安全问题, 就是考验政府应对网络突发问题的应急处理反应, 应急机制是否完善直接关系着社会的稳定和经济平稳发展, 尤其在一些政治环境或者国际关系比较紧张的时候, 网络安全应急机制就显得更加重要, 当然应急预案也不是那么容易制定的, 需要政府统筹安排和指挥, 最重要的一点就是对突发事件的反应一定要快, 不仅要快速对事件的来龙去脉, 还要尽快为网络事件定性, 同时要控制事态的发展, 一旦发生还要做先期处置, 以防止网络事件的扩散。一旦确定事件的性质, 就应当走法律程序, 严格按照相关的网络法律法规办事。网络违法行为相关的法律法规还比较欠缺, 因此, 从立法角度来讲, 要加快网络犯罪的立法进程, 对人为破坏网络安全的各种行为, 从法律上严惩网路犯罪行为。
在计算机网络技术发展迅速的今天, 相关的专业人士也在不断学习和充电, 时刻保持关注技术的发展的最新动态, 时刻防止网络安全的动态, 信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分, 构建网络信息安全系统成为当今社会的当务之急。
参考文献
[1]程莹, 宋蕾, 孙健, 韩伟杰.可生存性网络研究[A].全国ISNBM学术交流会暨电脑开发与应用创刊20周年庆祝大会论文集[C].2005
[2]邢攸姿.举起信息安全的大旗保证网络与信息安全[A].中国航海学会航标专业委员会测绘学组学术研讨会学术交流论文集[C].2006
[3]周春霞.剖析计算机网络安全应用及防范措施[J].网络安全技术与应用.2011 (05)
[4]邱文军, 华中平.计算机网络系统安全维护研究[J].软件导刊.2007 (17)
[5]王宏宇, 敖思军, 刘红.浅析电子政务安全中常用的网络技术[J].辽宁行政学院学报.2005 (05)
网络交换机的安全威胁 篇9
【关键词】网络安全;防范措施;漏洞;杀毒;加密
当前计算机网络已广泛用于经济、军事、教育等各个领域。因此,计算机的网络安全便成为涉及个人、单位、社会、国家信息安全的重大问题。如何保障网络信息的安全已成为当前人们迫在眉睫需要解决的问题。
一、网络安全存在的威胁
近年来,威胁网络安全的事件不断发生,特别是计算机和网络技术发展迅速的国家和部门发生的网络安全事件越来越频繁和严重。一些国家和部门不断遭到入侵攻击归纳起来,针对网络安全的威胁主要有:(1)软件漏洞。每一个操作系统或网络软件都不可能是无缺陷和漏洞的,这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。(2)配置不当。安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。(3)安全意识不强。用户口令选择不慎或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(4)病毒。目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。(5)黑客。对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(Hacker)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
二、计算机网络安全的防范措施
(1)软件杀毒技术。加强内部网络管理人员以及使用人员的安全意识.很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。(2)防火墙(Fire Wall)技术。防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。据预测近5年世界防火墙需求的年增长率将达到174%。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但需要说明的是防火墙只能抵御来自外部网络的侵扰,而对企业内部网络的安全却无能为力。要保证企业内部网的安全,还需通过对内部网络的有效控制和管理来实现。(3)安全数据加密技术。数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。(4)网络主机的操作系统安全和物理安全措施。为保证信息网络系统的物理安全,还要防止系统信息在空间的扩散。通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。为保证网络的正常运行,在物理安全方面应采取如下措施:一是产品保障方面,主要指产品采购、运输、安装等方面的安全措施;二是运行安全方面,网络中的设备,特别是安全类产品在使用过程中,必须能够从生成厂家或供货单位得到迅速的技术支持服务,对一些关键设备和系统,应设置备份系统;三是防电磁辐射方面,所有重要涉密的设备都需安装防电磁辐射产品,如辐射干扰机;四是保安方面,主要是防盗、防火等,还包括网络系统所有网络设备、计算机、安全设备的安全防护。
网络交换机的安全威胁 篇10
报告中最出乎我们意料的一些Web应用趋势包括:
(1) 社交网络成为新的通信平台:个人页面/博客、聊天/即时通讯和电子邮件在最受欢迎的社交网络亚分类中分别排在第二、第三和第四位。与此同时, 网络邮件从2008年的第五位和2009年的第九位跌落至2010年的第17位。之所以在流行程度上持续下跌, 主要是因为压倒性多数的互联网用户转向使用社交网络, 将其作为通信平台。
(2) Web行为更加专注于商业:由于全球用户都面临高失业率和持续金融危机的挑战, 因此, 作为Web行为驱动力的个人欲望更加趋于商业化。Blue Coat发现, 对于约会/交友、色情和成人类别的网络内容的需求在2010年显著下滑。这些类别在2009年十大最受欢迎的类别中分别排名第四、第五和第八;而在2010年, 音频/视频剪辑、新媒体和参考等类别占据了前十名。
基于Web的威胁变得愈加复杂和精密, 网络罪犯利用技术与多阶段的组合来发动攻击。以下几点就是2010年最大的转变:
(1) 社交网络成为恶意软件载体:2010年, 网络犯罪活动成功利用朋友之间的信任关系来迅速感染并利用新用户。社交网络钓鱼和点击劫持攻击是2010年通过社交网络发起的两个最常见的攻击类型。网络钓鱼攻击转向社交网络的主要驱动因素是:犯罪分子试图获得用户凭证, 通过这些凭证, 还可进入共用一个密码的银行、金融及其它网络账户。
(2) 合法网站成为攻击基础的组成部分:2010年的威胁环境中, 最显著的一个转变就是:攻击基础从免费域名迁移到具有良好声誉并可接受用途类别评级的知名网站。通过侵入可信赖网站, 网络犯罪分子可在拥有良好声誉的网站上托管攻击基础。
(3) 恶意软件隐藏在可接受的网络类别中:以前, 恶意软件曾经隐藏在传统上被可接受的使用政策所阻止的类别中。然而, 2010年, 在托管恶意软件的网络名单上分别排在第二和第六位的在线存储和开放/混合内容是增长速度最快的。托管恶意软件的在线存储网站新增了13%, 而托管恶意软件的开放/混合内容网站则新增了29%。对大多数企业来说, 这两类通常都属于可接受的使用政策。
根据调查结果, 报告提供了一些企业可以加以利用的经验, 以便更好地保护自己的员工和机密数据。其中包括:
(1) 动态防御是防止恶意软件的关键:利用动态链接, 网络犯罪活动可构建攻击的基础, 只变化可交付的恶意软件的位置。要想阻止恶意软件交付、call home尝试、欺诈和网络钓鱼, 需要一个可动态响应的防御措施, 以便对新的未知内容进行评级, 并分析逐渐成为恶意软件组成部分的动态链接。
(2) 实时评级是成功网络防御的关键:不能实时分析网络请求并立即提供评级的防御措施会让用户面临有可能持续数小时的攻击。
(3) 更少依赖信誉评级:为避免被发现, 越来越多的网络犯罪开始劫持具有良好信誉评级的合法网站, 并利用这些网站来托管攻击基础设施。只利用信誉评级的防御措施将使用户面临这类攻击。
(4) 保护远程用户:访问网络是一种普遍行为, 因此, 无论在何处, 网络都必须保障24×7的全天候安全。
相关文章:
软交换中网络安全01-07
综合运营交换系统01-07
天线交换与控制系统01-07
软交换中网络安全论文01-07
司法改革研究路径01-07
网络隔离与安全信息交换技术研究01-07
天线自动交换系统01-07
雨天行车温馨提示语01-07
夏季安全行车四提示01-07
安全行车:暴雨行车小窍门01-07
