21世纪是网络与信息的时代,人们也逐渐发现了网络信息安全的重要性。这篇文章对当下影响计算机网络信息安全的几点因素进行分析,并介绍一些防御的办法。
1 引言
科学技术水平不断成长,计算机网络已应用到社会的各个领域。人们越来越多地使用计算机,计算机俨然成为了生活中不可缺少的一部分,它跨越时间空间的限制,拥有更好的开放性和共享性,为人们的生活和工作带来了无限的好处,人们用它传递越来越多的信息:朋友间的邮件,同事间的文件,股票交易信息,银行账单信息,医疗信息,商业经济信息,政府宏观决策信息,甚至国家机密信息……更加便捷的信息传递方式,随之而来的便是更加棘手的安全隐患问题,若一些重要数据被人窃取,甚至遭受恶意攻击,导致的后果可能是无法预计的。
据美国FBI统计,每年因网络信息和资源被恶意攻击或泄露所带来的损失就高达75亿美元之多,且金额在持续增多,因此,越来越多的人开始重视网络信息和资源的安全问题,计算机网络安全也随之产生,它采用多种多样的技术手段和管理方法,确保网络系统能够正常的运行,维持网络数据的安全性。
2 网络安全的根本需求
数据的保密性;数据的完整性;数据的可用性;数据的可控性。
3 网络安全的四大阶梯
网络安全大致可分为分成四个部分:物理方面、逻辑方面、操作系统方面和联网方面。
3.1 物理方面:防偷窃、防火、防静电、防雷击、防电磁泄露
防偷窃:和其他的事物相同,盗窃者也可能对我们的计算机下手,比如盗走软盘,主板等,带来的损失可能远远超过想象甚至是不可估量的,所以,必须采用严密的预防措施,保证计算机设备的安全。
防火:人为造成(工作人员不小心引起火灾或蓄意纵火),电气故障(短路,过载,接触不良等)或外部火灾蔓延引发的。
防静电:物体之间彼此摩擦,触碰导致静电,静电产生后,由于未能及时地释放而存留在物体中,造成较高的电位,生成火花引发火灾,有时会导致大部分电器的损坏。
防雷击:损害电子类设备,破坏电子信息装备或引燃易燃易爆品。雷击提防的首要办法是,按照电气,微电子装备的分歧功能及分歧受庇护法式和所属庇护层肯定防护要点做分类庇护。
防电磁泄露:电子计算机和其他电子装备同样,事件发生时要产生电磁发射(辐射发射和传导发射),这两种电磁发射可被高灵敏度的接管装备领受并举行阐发、还原,造成计算机的信息泄露。
3.2 逻辑方面
可以通过口令形式或者文件允许等方式来达到目的。可以限定登录的次数或对证实操纵加之以时间的限定,可以经由过程软件来庇护存储在计算机中的文件等。控制存取的另一种形式可经由硬件完成,在接收到存取的命令后,首先咨询并查对口令,其次再访问位于名目中的授权用户标志号。
3.3 操作系统方面
操作系统属于计算机中最根本、最主要的一部分。若是计算机体系可以提供给许多人利用,操作体系必需能辨别用户,以便于避免相互打扰。一般情况下,用户与账户之间的关系是一一对应的,每个用户只能修改自己的账户所建立的数据。
3.4 联网方面
由庇护计算机和联网资本不被非授权利用的服务和认证数据秘密性与完整性和各通讯的可信赖性的服务来实现。
4 常见的一些问题
4.1 以太网安全
共享通信,只要设置参数就可进入杂错模式,接收所有帧。
MAC地址改写:修改寄存器内容的方式即可变更MAC地址。
4.2 ARP协议安全
ARP欺骗:某个计算机恶意广播ARP报文,即A发出ARP报文,放上的是B的IP地址和与自己的MAC地址。
4.3 IP地址欺骗
攻击者假冒他人IP地址,发送IP包(IP协议不对IP包的源IP地址进行认证,因此任何人不经授权就可伪造IP包的源地址)。
4.4 IP包碎片
经由过程发送两个片断的包来实行进犯,第一片断的偏移量为0,长度为N,第二片断的偏移量小于N,且算上其数据部门也未跨越第一片断的尾部。将片段拼接到一起的时候,系统出现问题,造成崩溃。
Jolt2-死循环发送封装ICMP/UDP报文的IP包,即发送许多相同的片段,且这些片段的偏移值与总长度之和超出了单个IP包的长度限制(65535字节)。
4.5 ICMP攻击
Ping of death,发送很长的报文且连续发送,Internet网上的ping(Packet Internet Group)命令,就是利用ICMP报文实现的。
伪造一个源地址为某主机地址的ICMP ping请求,并且以广播的形式发出,被伪造的主机将在短时间内收到很多ICMP ping回应。
4.6 未经授权的访问
内部职工的滥用。运用暴力破解方法或者字典法将密码强制性译出。
4.7 应用层数据包的探测
telnet;http;ftp;pop。
4.8 拒绝服务(Dos)
进犯者发送一个ICMP回应要求(ECHO REQUEST)报文,将目的地址设置为广播地址,把捏造的进犯方针地址设置为源地址,将致使广播子网内的全部主机向进犯方针发送应对报文,大量的报文将会致使方针主机没法正常进行事物。
4.9 病毒
Melisa,bugbear,kales;
4.10 蠕虫
code red,slapper,slammer;
4.11 特洛伊木马
可以为一种没有经过授权的程序,或包含一段未经授权的程序代码的合法程序,或含有一段使用者不知晓的程序功能的合法程序。以上的程序对使用者说具有侵犯的行为,用来通过非法手段获取使用者的密码,或者通过非法手段控制使用者的计算机。4.12 应用层的攻击
缓冲区溢出。
5 常用的防御措施
5.1 防火墙(firewall)
边界安全设备,运用包过滤技术,应用网关,基于端口进行过滤,阻止试图对组织内部网络进行扫描,阻止企图闯入网络的活动,保护Internet中的资源不会受到攻击,加强网络间访问控制。防火墙能把网络中的各个阶段隔离开并进行保护,通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作,边界路由器是安全的第一道屏障。
5.2 代理分类
HTTP,FTP(应用层代理,和具体的应用协议相关联,速度比较慢),SOCKS(传输层代理,只和传输的数据报文有关,与具体的应用协议无关,速度比较快)。
5.3 NAT网关
NAT(Network Address Translation),是一个IETF标准,,是一种通过让一个整体机构以一个公用IP地址的方式出现在Internet上的方式,将内部的私有网络翻译成合法网络的技术。静态NAT(Static NAT),内网络中的每个IP地址都被永久性的映射成为外网中的某个合法的地址;动态NAT(Pooled NAT):在外网中定义了一系列的合法地址,采用动态分配的方法映射到内网。
5.4 入侵检测系统(IDS Intrusion Detection System)
主动的“检测”,一般是在入侵发生的时候发现入侵行为,并进行后续的“应对”。基于主机型(Host-based),检测的目标为主机系统和系统本地用户,按照主机审核的数据与在系统日志上发现的可疑事件,检测系统运行在被检测的主机或单独的主机上;基于网络型(Network-based),按照网络流量、分析协议、简单网络管理协议信息等数据来检测入侵;基于主体型(Agent-based),采用相互独立运行的进程组(自治主体)分别负责检测,将那些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。
5.5 数据备份
将硬盘上有用的文件,数据拷贝到另外的地方,如移动硬盘加以保存。数据备份是对于数据安全问题最直接与最高效的处理方式之一。
6 治理网络安全的基本方法
威严的法律;先进的技术;严格的管理。
7 总结
在科学技术高速发展的今天,计算机技术更是发展的重中之重,它融入我们的生活的点点滴滴,涉及到各个领域的应用水平。在带来了史无前例的巨大信息量的同时,网络的开放性和自由性也导致了信息和数据被窃取和侵犯的可能性,安全的网络环境变得越来越重要。现阶段,我国信息网络技术安全的研究正在快速发展,我们要积极运用研发出的先进技术,对内要加强自身对于计算机知识的认识,对外要注重对外部威胁的防御,构建一个坚实的网络安全系统,保证网络信息的最大安全。
作者:尚笑宇 来源:电子技术与软件工程 2016年3期
