摘 要:计算机网络安全直接关系到企事业单位系统的稳定运行、业务的正常开展,同时也关系到内部各种信息的机密性甚至对企业的市场竞争能力产生生死攸关的影响。全文首先介绍了多种影响计算机网络安全的因素,然后从物理隔离、防火墙技术、防病毒技术、数据加密、日常管理中的一般方法等方面探讨了计算机网路安全的防范。
关键词:计算机网络;安全;防范策略
伴随着计算机、网络、通信技术的发展,信息化和网络化已经成为世界经济和社会发展的大趋势。人类社会活动对计算机网络的依赖程度越来越高,而由于网络的开放性和共享性使得其也成为众多黑客的攻击对象,并带来了巨大的损失。因此提高计算机网络安全技术水平,改善计算机网络的安全现状,成为计算机网络安全工作的当务之急。
1 影响计算机网络安全的因素
计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务部中断。总体上看,影响计算机网络安全的因素主要有:①人为失误,这是一种可控行为,如密码丢失、密码认为泄露、非法操作、资源访问控制不合理、安全配置不当等。②病毒感染。病毒一直是计算机系统的最直接威胁,而网络又给病毒的传播提供了便利,这使得它极易通过邮件、文件、熊猫病毒等。③来自网络内外部的攻击,这是一种蓄意的人为攻击,如在中间站点拦截和读取绝密信息;伪装为合法用户进入网络并占用大量资源;有选择地破坏网络信息的有效性和完整性;修改网络数据、窃取、破译机密信息、破坏软件执行等。④利用系统的漏洞及“后门”进行攻击。操作系统、网络、软件本身是存在缺陷或漏洞的,一旦这些“漏洞”及“后门”被他人所知就成为其攻击对象。⑤隐私及机密资料的存储和传输,当系统受到攻击时,如对存储在网络系统内的机密资料不采取措施,或在资料传递过程中不进行加密等处理,也容易造成计算机网络系统的不安全性。综合以上因素可以发现,网络攻击入侵手段主要如下:口令入侵,利用系统漏洞、后门的入侵,窃听,拒绝服务攻击,隐藏IP技术,木马病毒等。
2计算机网络安全的防范策略
2.1物理隔离
物理隔离即实现保密系统与互联网的物理隔断,其主要思想是:使用两个独立硬盘对应于两种网络环境,一个硬盘对应于公共网(外网),另一个硬盘则对应于内部网(内网),这两个独立硬盘采用隔离卡将其分离[1]。同时这两个硬盘拥有独立的操作系统,并能通过各自的专用接口与网络连接,通过这种方式保证了两块硬盘的绝对隔离,任何时候均使两块硬盘不存在共享数据,也使得黑客不能侵入到内网系统中。这种方式的优点在于:其应用广泛,它不依赖于操作系统,可以应用于所有使用DIE-ATA硬盘的CP系统。可以适用于局域网、宽带等不同的网络环境;通过继电器来控制内网和外网间的硬盘转换和网络连接,这使得用户可以自由在内网和外网之间进行转换;网络技术、协议完全透明,且安装方便,操作简单,不需要用户进行专门的维护。但是这种体系在信息化的环境下局限性较为明显,首先用户在内外网转换时需要进行转换操作,给用户带来一定的不便性,其次,信息系统往往要求内外网本身是相通的,如果通过隔离卡将内外网硬盘完全隔开,往往造成信息内部流转不便。在防火墙技术出现后,物理隔离手段一般只在特殊环境下使用。
2.2防火墙-计算机网络安全的屏障
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性[2]。不仅如此,防火墙作为网络安全的监视点,它可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(一)双重宿主主机体系结构。它是是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行代理控制,其代理就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登陆账号,增加了联网的复杂性。(二)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。(三)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器。
2.3防病毒技术
威胁计算机网络安全的首先是病毒,根据病毒对计算机网络的威胁状况,对其可以采取病毒预防、病毒检测、病毒消除和病毒免疫等。(一)病毒预防技术。即根据病毒程序的特征对病毒进行分类整理,然后在计算机运行中,如有类似的特征点出现则认定是计算机病毒。从而阻止病毒进入系统内存或者阻止病毒对磁盘的读写操作,以达到保护系统的目的[3]。常用的病毒预防技术有系统监控技术、磁盘引导区保护、加壳程序和读写控制技术等。(二)病毒检测技术。它有两层含义,首先是对已知或未知的病毒进行检测,对于前者可以采取静态判定技术和特征判定技术进行检测,如根据计算机病毒程序中的病毒特征、关键字、特征程序段内容及病毒传染方式进行检测,而后者一般只能通过动态判定技术和行为监测技术,其中最常用的就是对某个文件或数据段进行校验和计算并保存计算结果,以
后定期或不定期的根据保存结果对该文件或数据段进行检验,若出现变化,即说明文件或数据段的完整性遭到破坏,从而检测到病毒的存在。(三)病毒消除技术。一旦发现了病毒,就必须将其消除,这是病毒检测的必然结果。对于不同的病毒一般需要制定相应的消除方法,进而从被传染文件中摘除该病毒代码并恢复文件的原有信息结构。病毒检测和消除,是一般杀毒软件都具备的功能。(四)病毒免疫技术。计算机病毒的免疫技术目前仍然是一个难题同时也是一个研究热点。病毒是不断变化、变异的,防病毒软件更多时还是处于被动环境下,目前某些反病毒程序通过给可执行程序添加保护性外壳,能在一定程度上起到免疫作用,但仍存在很大局限性。
2.4数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。在计算机网络中,对数据进行加密是是实现网络安全、提高数据的安全性和保密性,防止秘密数据被外部获取所采用的主要手段之一,同时也是防止恶意篡改数据的主要措施。其主要思想就是将数据按照一定的算法进行一系列的复杂处理,变成只有用密钥去识别的代码。数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。(一)数据传输加密技术。即对传输过程中的数据进行加密,常用的方法有线路加密和端对端加密两种。前者指在线路上使用加密密钥,信息数据通过不同的线路加密钥也不同。后者则是指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文加密成密文,然后进入TCP/IP数据包封装穿过互联网,收件人收到后运用相应的密钥进行解密,使密文恢复成为可读数据明文[4]。(二)数据存储加密技术,如密文存储、存取控制。密文存储就是将数据进行加密后进行存储,信息获取者如果没有解密密钥,将无法提取真实的信息。而存取控制是对存取用户的身份进行检查和限制,防止非法用户存取数据或合法用户越权存取数据。(三)数据完整性鉴别技术。其目的是信息数据传送处理时,需要对信息的完整性和对信息操作人的身份和其相关数据进行验证,从而达到保密的要求。(四)密钥管理技术。其主要对象是保密和窃密。为了使数据在加密后使用更方便快捷,现许多需要安全的场合、设施都使用了密钥技术。密钥的管理技术包括密钥的产生,分配保存,更换与销毁等各环节上的保密措施。
2.5日常管理中的一些其他策略
影响计算机网络安全的因素众多,在日常管理者必须从细节入手,才能最大程度的保证计算机网络的安全。(一)对新购置设备的安全检测。首先是计算机系统,可以用检测病毒软件检查已知病毒,并经过试验来确定设备是否安全。一般而言正版系统的安全系数较高。其次是新购置的硬盘或出厂时已格式化好的硬盘中都可能有病毒。对类似的硬件应进行检测或进行低级格式化,因对硬盘只做DOS的FORMAT格式化是不能去除主引导区病毒的。最后是新购置的计算机软件,坚持软件正版化,同时也应该坚持软件查已知病毒或用人工检测和实际实验的方法检测。(二)定期与不定期地进行磁盘文件备份工作。信息化工作环境下,网络瘫痪,特别是数据库的瘫痪将给企业、单位带来不可估量的损失。通过定期的磁盘备份则是有效避免网路安全的有效策略。当然备份前要保证没有病毒。(三)加强制度化管理。实践证明,在防火墙、路由器的保护下,一般单位、企业的网路安全更多的来自于内部,因此加强内部管理是计算机网络安全防范的重要方面。首先对于多人共用一台计算机的环境,特别是机房、实验室等重要岗位,应采取登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,并追究责任。其次,通过密码保护机制,禁止来历不明的人、软件、硬件等进入系统。最后应选用质量好、升级服务及时、对新病毒响应和跟踪迅速有效的反病毒产品。
参考文献:
[1]陈绪乾,杨渫尘. 浅析网络安全及防范技术[J].山东水利职业学院院刊,2009(6)
[2]张国鸣,严体华.网络管理员教程[M].清华大学出版社,2006
[3]赵立群,车亚军,车东升.计算机网络管理与安全[M].清华大学出版社,2008
[4]刘晓辉.网络安全设计、配置与管理大全(网管宝典)[M].电子工业出版社,2009