1、浅谈网络安全及维护内容摘要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、银行等传输敏感数据的计算机网络系统而言,其网络安全和保密尤为重要。因此,网络必须有足够强的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全维护应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密
2、性、完整性和可用性。关键字:计算机网络、网络安全、防火墙、加密技术、安全策略Abstract : Along with the computer network unceasingdevelopment, the global information has become the development of thehuman race the major tendency. But because the computer network hasthe joint form multiplicity, the terminal distribution nonuniformityand ne
3、twork openness, interlocks characteristic and so on nature,causes the network easily the hacker, malicious software and otherillegal attacks, therefore the on-line information security and thesecurity are a very important question. Regarding military automatedtransmission sensitive data the and so o
4、n direction network, bankcomputer network system says, its network security and the securityespecially is important. Therefore, the network must have the enoughstrong security measure, otherwise this network will be useless, evencan endanger the national security the network. Regardless of is inthe
5、local area network or in WAN, all has the nature and artificialand so on many factors vulnerability and the latent threat. Therefore,the network safe maintenance should be can omni-directional in view ofeach kind of different threat and the vulnerability, like this canguarantee the network informati
6、on the secrecy, the integrity and theusability. Key word : Network, network security, firewall, encryptiontechnology, security policy一、网络安全的概念和理论基础(一)前言网络已经成为了人类所构建的最丰富多彩的虚拟世界,网络的迅速发展,给我们的工作和学习生活带来了巨大的改变。我们通过网络获得信息,共享资源。如今, Internet遍布世界任何一个角落,并且欢迎任何一个人加入其中,相互沟通,相互交流。随着网络的延伸,安全问题受到人们越来越多的关注。在网络日益复杂化,
7、多样化的今天,如何保护各类网络和应用的安全,如何保护信息安全,成为了本文探讨的重点。 几乎所有接触网络的人都知道网络中有一些费尽心机闯入他人计算机系统的人,他们利用各种网络和系统的漏洞,非法获得未授权的访问信息。不幸的是如今攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。不需要去了解那些攻击程序是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。(二)网络安全的概念国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
8、由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。(三)网络智及安全保障的几个环节1、网络系统初建阶段的安全考虑 网络智安全所研究的是网络在智慧和智能方面的完备性、可靠性问题,这就需要在系统和网络建造的初期加以系统的考虑。所谓系统的考虑就是应建立专门针对网络智安全的目标、方针、措施、评价的机制和体系。2、与网络交互的人也是网络智安全的一个环节 网络智是网络智慧的表述,网络功能的应用必然与人的交互分不开,特别是在一个相对开放的网络中,有时人与网络的交互具有智慧交流的意义。 3、法律法规建设和监管是重要保障 随着社会需求的不
9、断变化,网络会变得越来越复杂,网络智的安全问题也会随之不断变化和发展,解决网络智安全的技术手段也会得到不断的完善。但是无论如何为了促使网络功能更加强大,更加快捷和方便,安全问题就不可能仅靠自身的完整性和技术措施而无懈可击。因此,建立健全法律法规体系和监督体系便成了网络安全的重要保障,这些法律法规将规范人们在与网络交互时的行为,对那些恶意对网络智安全构成威胁的行为进行有效打击。二、计算网络面临的威胁和防范措施(一)计算机网络所面临的威胁一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网
10、络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:1、人为的无意失误如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。2、人为的恶意攻击这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。3、网络软件的漏洞和“后门”网络软件不可能是百分之百
11、的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。计算机网络攻击的常见手法 。(二)影响计算机网络安全的主要因素网络硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳
12、定。(三)确保计算机网络安全的防范措施互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的两种常见手法及其防范措施。 1、利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 2、通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、
13、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 三、计算机网络的安全策略(一)物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。(二)访问控制策略 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法
14、使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。(三)入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。四、网络安全的几项关键技术(一)防火墙技术 “防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部
15、网之间建立起一个安全网关( scurity gateway),而保护内部网免受非法用户的侵入。所谓防火墙就是一个把互联网与内部网隔开的屏障。 防火墙有二类,标准防火墙和双家网关。标准防火墙系统包括一个UNIX工作站,该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。双家网关(dual home gateway) 则是标准防火墙的扩充,又称堡垒主机(bation host) 或应用层网关(applications layer gateway),它是一个单个的系统,但却能
16、同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的边疆,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。 (二)数据加密技术 与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术三种。 1、数据传输加密技术 目的是对传输中的数据流加密,常用的方针有线路加密和端端加密两种。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过