全面封堵共筑信息安全
全面堵网,共筑信息安全
——略谈计算机网络安全与维护
【摘要】:网络安全是人们理想中的一种境界,没有百分之百的安全,但人们总是在理想中的安全策略与实际的执行之间寻求一种平衡,从而将不利因素消灭在萌芽状态,最大限度的减少网络隐患,确保计算机网络的安全高效运行。本文从影响计算机网络安全的主要因素入手,从不同角度重点分析维护计算机网络安全的措施,最大限度的实现这种平衡。
【关键词】:网络安全、病毒、黑客、防范措施
随着计算机网络的发展和普及,信息技术已经成为现代社会生活的核心,可以说,离开网络我们将寸步难行。通过网络我们可以方便的与人交流,及时了解时事,获取各种最新的知识信息,开阔视野。如,国家政府机构、各企事业单位不仅建立了自己的局域网系统,还通过各种方式与互联网相连。通过网络树立形象、拓展业务,已经成为政府办公、企业发展的重要手段。但是,无论是在局域网还是在广域网中,都存在着自然和人为的潜在威胁,黑客攻击、病毒扩散、网络犯罪的数量迅速增长,网络的安全问题日趋严峻。因此,如何提高网络安全,确保网络的安全有效运行,一直是迫切需要解决的问题。
影响计算机网络安全的主要因素
一、计算机病毒。信息技术的飞速发展极大地推动了计算机和网络的普及,但同时也促进了计算机病毒的发展。计算机病毒是指人为编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。就像生物病毒一样,计算机病毒有独特的复制能力,它是网络安全的头号大敌,它具有传染性、寄生性、隐蔽性、触发性、破坏性等特点,可以破坏硬盘、主板、显示器、光驱等,在网络上传播后,会造成网络瘫痪,严重影响网络的正常运行。从早期的小球病毒到骇人听闻的CIH
和美丽杀手,到熊猫烧香,再到典型的冲击波、振荡波,计算机病毒的种类和传播形式在不断发展变化,已经成为计算机面临的主要安全问题之一。
二、网络软件的漏洞和“后门”。应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误称为系统漏洞。基本上每款软件多少都会存在漏洞,如UNIX,MS NT 和Windows,这些漏洞可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏系统。这就使我们的计算机处于威险的境地,一旦连入网络,将严重威胁网络的安全。
三、网络硬件的配置不协调。服务器、路由器、交换机、防火墙等配置不当也会造成安全漏洞。例如,文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量,导致它成为网络的瓶颈,存在极大的安全隐患,严重影响网络的传输效率;路由器配置不当将导致客户端无法上网,给用户造成不可估量的损失。
四、黑客。黑客主要以发现和攻击网络操作系统的漏洞和缺陷为目的,利
包括在Cookie中夹杂黑客代码、隐藏指令、取得网站的控制权、制造缓冲区溢出和种植病毒等。其中特洛伊木马程序技术是最常用的黑客攻击手段,是在正常程序运行过程中夹杂着额外的操作代码,通过在用户的电脑系统隐藏一个会在Windows启动时运行的程序,从而达到控制用户电脑的目的。他们有的是了窃取他国机密,为政治服务;有的入侵金融、商业系统,盗取商业信息,获取经济利益;有的是为了显示自己高超的技术,实现“个人价值”;有的是单纯为了破坏而破会,制造网络恐怖活动等。以上种种手段虽然其目的不同,但是均对网络的信息安全构成威胁,甚至有些网络攻击者可以摧毁网络节点,释放计算机病毒,造成整个网络系统的瘫痪。
五、内部安全机制欠缺,安全意识淡薄。
在某种程度上,来自内部用户的安全威胁远远大于外部用户的安全威胁,如内部使用者缺乏安全意识,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;许多应用服务系统在访问控制及安全通信方面考虑较少,如果系统设置错误,很容易造成损失;管理制度不健全,网络管理、维护顺其自然等等。在一个网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏,都会给黑客带来可乘之机,使网络安全机制形同虚设。
六、缺乏有效的手段监视硬件设备的正确使用及评估网络系统的安全性。
完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。
确保计算机网络安全的防范措施
如何才能使我们的网络百分之百的安全呢?对这个问题的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。如何实现这个平衡,确保计算机网络的安全,需要我们运用不同的软件与技巧去防范和解决,我认为可从以下几个方面采取措施:
1、网络病毒的防范。利用全方位防病毒产品实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系,是防范攻击,保护网络安全的重要手段。
病毒的侵入对系统资源构成威胁,影响系统的正常运行,特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪,造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防止病毒的重点是控制病毒的传染,要及时检查,有效地辨别病毒与正常程序,杜绝病毒源。可以通过下几点对付病毒:合理设置杀毒软件,及时更新病毒库;定期检查敏感文件;对外来的软件和机器进行病毒检查;使用移动存储设备之前进行病毒的扫描和查杀;不使用来历不明的的软件,也不使用非正常解密的软件;对所有的邮件进行查毒。
2、配置防火墙。防火墙技术主要用来加强网络间的访问控制,防止外部网络用户非法进人内部网络。防火墙既可以是一种软件产品,又可以制作或嵌入
到某种硬件产品中。它是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公共网络的互联环境中,大型网络系统与Internet互联的第一道屏障就是防火墙,防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理:过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止行为。记录通过防火墙的信息内容和活动,对网络攻击行为进行检测和预警。防火墙虽然能对外部网络的攻击实施有效的防护,但自身也有明显不足:不能防范恶意知情者,如入侵者在防火墙内部偷窃数据,破坏硬件和软件;不能防范不通过它的连接;不能自动防范所有的新的威胁;不能防范病毒;无法防范数据驱动型的攻击等。
需要提醒的是,防火墙是否能够有效地阻挡外部进侵。这一点同防火墙自身的安全性一样,普通用户通常无法判定,即使安装好了防火墙,假如没有实际的外部进侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3、采用入侵检测系统。入侵检测系统(Instusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,是网络安全研究的一个热门,是一种积极主动的安全防护技术,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它提供了对内部入侵、外部入侵和误操纵的实时保护。其主要功能是检测,除此之外还有检测部分阻止不了的进侵;检测入侵的前兆,从而加以处理,如阻止、封闭等;入侵事件的回档,从而提供法律依据;网络遭受威胁程度的评估和入侵事件的恢复等功能。入侵检测技术是其基于在不影响网络性能情况下对网络行为、安全日志、审计数据或网络数据包进行的检测,实现对计算机信息网络的时时监听,识别出任何不希望发生的网络活动,发现对系统的闯入或者对系统的威胁,检测计算机网络中违反安全策略的行为,保证信息系统的资源不受攻击,被认为是防火墙之后的第二道安全闸门。入侵检测分为基于网络的入侵检测、基于主机的入侵检测和混合入侵检测三种方式,以基于网络的入侵检测应用最为广泛。在网络中同时采用基于网络和基于主机的入侵检测系统,(如,在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,)会构架成一套完整立体的主动防御体系。
4、系统漏洞修补。漏洞扫描是对电脑进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则电脑很容易受到网络的伤害甚至被黑客远程控制。Windows操纵系统自发布后,基本每月微软都会发布安全更新和重要更新补丁,已经发布的补丁修补了很多高风险漏洞,一台未及时更新补丁的计算机在一定程度上可以说是基本不设防的,因此建立补丁治理系统是非常重要的安全措施,建议每星期进行一次扫描,一旦发现有漏洞就要马上修复,从而最大限度减少漏洞,降低了病毒利用漏洞的可能,减少安全隐患。
5、网络安全可视化技术。网络安全可视化技术是防火墙技术、漏洞扫描技术和入侵检测技术的合理补充。它利用人类视觉对模型和结构的获取能力,将海量高维抽象网络和系统数据以图形图像形式表现出来,实时显示网络通信的特殊信息,反映目前整个网络的运行状态,并以一种人性化的方式将网络上存在的安全风险准确地告知用户。帮助网络安全分析人员直观快速地观察到网络中的安全威胁,通过繁杂高维数据信息快速地分析网络状况,识别网络异常入侵,预测网络安全事件发展趋势,使网络安全防护变得更智能、更积极、更主动。
6、信息加密技术。加密技术是实现网络安全的一种重要手段,目的是为了防止合法接收者之外的人获取机密信息。其原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始信息,从而确保信息的保密性。明文变成密文的过程称为加密,由密文还原为明文的过程称为解密,加密和解密的规则称为密码算法。
在加密和解密过程中,由加密者和解密者使用的加解密可变参数叫做密钥,用某用户的加密密钥加密后所得的密文只能用该用户的解密密钥才能解密。因而要求用户的私钥不能透露给自己不信任的任何人。如SSL(安全套接层协议)
就是利用加密技术保证信息安全传输的安全通信协议,它提供了两台计算机之间的安全连接,对整个会话进行了加密。
数据加密技术提高了计算机信息网络系统及数据的安全性和保密性,有效地防范了秘密数据被外部破析、窃取和修改。
7、数据备份。完整的网络安全体系,只有防范和检测措施是不够的,还必须具有数据备份和数据还原能力。是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。目前比较常见的备份方式有:定期磁带备份数据;远程磁带库、光盘库备份;远程数据库备份;网络数据镜像;远程镜像磁盘。数据还原是数据备份的反向过程,是从备份文件中恢复原有的文件和数据。网络中的重要数据应定期做数据备份,以便在需要时进行数据还原。
8、设置口令和不同权限的帐号,阻止入侵或非法访问计算机多数用口令来控制系统资源的访问,这是最常用的安全措施,是防止非法访问的第一道防线。没有使用口令或缺口令的系统账号,要及时的设置和修改,否则入侵者很容易进入网络内部系统。用户输入用户名和口令,服务器将验证是否合法,然后根据设置的权限对系统进行访问。通过网络权限的设置,控制哪些用户能够登录到服务器并获取网络资源,控制用户入网的时间和在哪台工作站入网。通过对用户和用户组设置目录、文件和其他资源的访问权限,可以控制用户对这些文件、目录、设备能够执行的操作。通常将用户分为三种类型:特殊用户(系统管理员);一般用户:系统管理员根据实际需要为他们分配操作权限;审计用户:负责网络的安全控制与资源使用情况的审计。
9、加强网络安全教育与管理
计算机网络安全还要有一个好的安全管理体制,管理是整个网络安全中最重要的部分。对员工进行、硬件、软件和网络数据等安全问题教育,加强对员工进行业务和技能方面的培训,提高他们的安全意识;避免发生人为事故。建立健全安全管理制度,运用制度约束用户的行为,防止非法用户进人计算机控制室和各种非法行为的发生,这是网络安全最重要的核心策略之一。
加强内部针对计算机网络的监管力度,主要分为两个方面:
一是硬件设备监管加强硬件设施的监管力度,做好硬件设备的备案、治理,包括主机、光缆、交换机、路由器,甚至光盘、软盘等硬件设施,注重在保护计算机系统、网络服务器、打印机等外部设备上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、志线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的工作环境,有效预防因硬件设施的破坏对计算机和网络造成的损害。
二是局域网的监控,网络监视的执行者通称为“网管”,主要是对整个网络的运行进行动态地监视并及时处理各种事件。通过网络监视可以简单明了地找出并解决网络上的安全题目,定位网络故障点,捉住IP盗用者,控制网络访问范围等。如:加强对子网系统、Web,Email,BBS及IP的监测和保护。
我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告并采取措施。
为了解决IP盗用问题,可以在路由器上捆绑IP和MAC地址,用以监测访问该路由器的IP广播包工作站的MAC是否与路由器MAC相符。
安全管理不仅是一个技术上的问题,也涉及组织、制度、法律、人员和意识,是一个多层次、多方面的体系。它主要包括安全管理机构、安全管理制度及安全管理技术三部分,三者相互联系,缺一不可。
【结束语】
网络安全是一个系统的工程,综合性的课题,涉及到技术、管理、使用等许多方面,不能仅靠杀毒软件、防火墙、漏洞检测等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机 ,而保护的主体则是人,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,健全网络法律法规,才可能防微杜渐,把可能出现的损失降低到最低点,生成一个高效、通用、安全的网络系统。当然,任何网络安全和数据保护的防范措施都是有一定的限度,网络安全只是相对的,没有一劳永逸的网络安全体系,在信息网络化的时代,不断有新的安全问题出现,不断有新的解决方案,网络安全作为一个产业也将随着新技术发展而不断发展。
【参考文献】
[1]楚狂等,网络安全与防火墙技术,人民邮电出版社,2000
[2]香方桂,软件加密解密技术及应用,中南工业大学出版社,2004
[3]殷伟,计算机安全与病毒防治,安徽科学技术出版社,2004
[4]步山岳、张有东,计算机安全技术,高等教育出版社,2008年10月
[5]谢希仁,计算机网络(第五版),电子工业出版社,2008年1月
[6]冯登国,网络安全原理与技术,科技出版社,2007年9月