论文部分内容阅读
【摘 要】网络飞速发展与广泛应用的同时,网络安全也引起了人们越来越多的关注,本文在总结了网络常见的安全问题及其后果, 提供了基于网络内部的安全策略,探讨了解决这些安全问题的方法,提供了基于网络内部的安全策,探讨了解决这些安全问题的方法略。
【关键词】网络安全;病毒;网络
一、引言
网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net,它具有开放性。但给人们带来方便的开放性同时也给黑客、病毒等也带来了入侵的可能。即网络的安全性问题。一旦安全问题得不到很好地解决,就可能出现数据丢失、设备损坏、系统瘫痪、商业秘密泄漏等严重后果,给企业和个人带来损失。
二、网络常见的安全问题
1、黑客入侵
黑客攻击的方法和手段各种各样,但为了实现攻击目的,通常做信息搜集,取得系统访问权或控制权,实施破坏,清除入侵痕迹等。为了工作方便,网络都备有与外网和国际互联网相互连接的出入口。因此外网及国际互联网中的黑客只要侵入网络中的任意节点进行侦听,就可以捕获发生在网络上的所有数据包,对其进行解包分析,从而窃取关键信息;而网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。目前的网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。
2、数据破坏
破坏性是指计算机病毒对正常的程序或数据进行增加,删除,修改等。病毒唯一的目的就是破坏计算机系统内的资源,使计算机内的数据遭到破坏,干扰计算机系统或软件的正常运行,严重的会造成计算机系统的崩溃。在网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、文件、目录等;病毒还可能攻击文件数据区,使文件数据被删除、替换、丢失、改名、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会给企业和个人在人力、物力、财力的巨大浪费。
3、病毒感染
计算机病毒在没有发作之前,它只对自身进行自制,并一直潜伏在计算机系统内,一旦条件满足的时候,就开始执行它的任务。随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
三、网络安全策略
1、数据的安全保护
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
2、网络的安全预警
网络安全预誓系统分为病毒预警和入侵预警两部分。
病毒预警系统通过对所有进出网络的数据实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的入侵告警报告,显示入侵告警信息并跟踪分析入侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。
3、访问控制
网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,正是由于它的开放性,就使它最容易成为黑客们攻击的对象,但它与内部网是隔开的,即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
4、内外网隔离
在内网络和外网之间,设置物理隔离,以实现内外网的隔离是保护网络安全的最主要、同时也是最有效、最经济的方法之一。
第一层隔离防护方法是路由器。路由器滤掉被屏蔽的IP地址和服务。首先屏蔽所有的IP地址,然后有选择放行一些地址进入网络。
第二层隔离防护方法是防火墙。大多数防火墙都是有认证的,无论哪一类型防火墙,都具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。 5、内部网络隔离与分段管理
内部网络分段是保证安全的一项基本措施,就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。网络可以根据部门或业务需要分段。网络分段可采用逻辑分段或物理分段两种方式: 逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离;物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯 。
四、病毒的防治
相对于病毒的防护来说,网络病毒的防治具有更大的难度, 网络防护病毒最大的特点在于网络的管理功能,若没有管理功能,很难完成网络防毒的任务。网络病毒防治应与网络管理紧密结合。只有管理与防范相结合,才能保证系统正常运行。病毒防治的根本目的是保护用户的数据安全,因此网络病毒的防治可以从以下3个方面入手:(1)封堵漏洞,查杀病毒(2);数据备份;(3)灾难恢复。数据备份是降低病毒破坏性的最有效方法。定期进行数据备份,这样即使遭受病毒攻击,也可以恢复关键数据。
1、定期进行病毒扫描
采用防毒软件定期进行扫描是最常用的防范方法。病毒扫描程序一般使用特征文件在被传染的文件中查找病毒,用户通过更新特征文件来更新软件,以查找最新病毒。多数扫描程序在发现病毒后会执行一个独立的进程,对病毒进行清除或隔离。但目前已有一些病毒扫描程序不再局限于特征码匹配。
2、构建多层次病毒防护
多层防御的网络防毒体系应该由用户桌面、服务器、网关和病毒防火墙组成,具有层次性、集成性和自动化的特点
(1)及时升级系统最新系统平台,对BUG进行修补,要经常从相关的网站下载补丁程序,及时完善系统和应用程序,尽量减少系统和应用程序漏洞。
(2)禁用不必要的服务,对不需要或不安全的功能性应用程序尽量不安装或者关闭,重要服务器要专机专用,通过服务管理器或注册表禁用不需要的服务。
(3)要保证账号与密码的安全,特别要注意安全权限等关键配置,防止因配置疏忽留下漏洞而给病毒可乘之机,保证文件系统的安全。
3、培养良好的防范病毒的习惯
除了积极采取病毒防治措施外,最重要的是还要建立良好的病毒防范意识,培养防范病毒的习惯,最重要的是人的因素,再安全的系统如果系统操作者没有良好的安全防范意识,都会使系统处于非常危险的情况,因此必须重视人防因素。
参考文献:
[1] 陈钳生 中等职业教育系列教材 河北大学出版社 2009.12
[2]丁易名 21世纪高等教育与职业教育精品教材系列丛书 中国传媒大学出版社 2007.8
[3] 网络安全保护 科学出版社 第1版 2009.4
【关键词】网络安全;病毒;网络
一、引言
网络一般是基于TcrilP协议并采用了Internet的通信标准和Web信息流通模式的Intra-net,它具有开放性。但给人们带来方便的开放性同时也给黑客、病毒等也带来了入侵的可能。即网络的安全性问题。一旦安全问题得不到很好地解决,就可能出现数据丢失、设备损坏、系统瘫痪、商业秘密泄漏等严重后果,给企业和个人带来损失。
二、网络常见的安全问题
1、黑客入侵
黑客攻击的方法和手段各种各样,但为了实现攻击目的,通常做信息搜集,取得系统访问权或控制权,实施破坏,清除入侵痕迹等。为了工作方便,网络都备有与外网和国际互联网相互连接的出入口。因此外网及国际互联网中的黑客只要侵入网络中的任意节点进行侦听,就可以捕获发生在网络上的所有数据包,对其进行解包分析,从而窃取关键信息;而网络中的黑客则有可能非常方便的截取任何数据包,从而造成信息的失窃。目前的网络基本上都采用以广播为技术基础的以太网。在同一以太网中,任何两个节点之间的通信数据包,不仅可以为这两个节点的网卡所接收,也同时能够为处在同一以太网上的任何一个节点的网卡所截取。
2、数据破坏
破坏性是指计算机病毒对正常的程序或数据进行增加,删除,修改等。病毒唯一的目的就是破坏计算机系统内的资源,使计算机内的数据遭到破坏,干扰计算机系统或软件的正常运行,严重的会造成计算机系统的崩溃。在网络系统中,有多种因素可能导致数据的破坏。首先是黑客侵入,黑客基于各种原因侵入网络,其中恶意侵入对网络的危害可能是多方面的。其中一种危害就是破坏数据,可能破坏服务器硬盘引导区数据、删除或覆盖原始数据库、破坏应用程序数据等。其次是病毒破坏,病毒可能攻击系统数据区,包括硬盘主引导扇区、文件、目录等;病毒还可能攻击文件数据区,使文件数据被删除、替换、丢失、改名、丢失数据文件;病毒还可能攻击CMOS,破坏系统CMOS中的数据。第三是灾难破坏,由于自然灾害、突然停电、强烈震动、误操作等造成数据破坏。重要数据遭到破坏和丢失,会给企业和个人在人力、物力、财力的巨大浪费。
3、病毒感染
计算机病毒在没有发作之前,它只对自身进行自制,并一直潜伏在计算机系统内,一旦条件满足的时候,就开始执行它的任务。随着计算机和网络的进步和普及,计算机病毒也不断出现,总数已经超过20000种,并以每月300种的速度增加,其破环性也不断增加,而网络病毒破坏性就更强。一旦文件服务器的硬盘被病毒感染,就可能造成系统损坏、数据丢失,使网络服务器无法起动,应用程序和数据无法正确使用,甚至导致整个网络瘫痪,造成不可估量的损失。
三、网络安全策略
1、数据的安全保护
对于数据库来说,其物理完整性、逻辑完整性、数据元素完整性都是十分重要的。数据库中的数据有纯粹信息数据和功能文件数据两大类,入侵保护应主要考虑以下几条原则:物理设备和安全防护,包括服务器、有线、无线通信线路的安全防护;服务器安全保护,不同类型、不同重要程度的数据应尽可能在不同的服务器上实现,重要数据采用分布式管理,服务器应有合理的访问控制和身份认证措施保护,并记录访问日志。系统中的重要数据在数据库中应有加密和验证措施。
2、网络的安全预警
网络安全预誓系统分为病毒预警和入侵预警两部分。
病毒预警系统通过对所有进出网络的数据实施不间断的持续扫描,保持全天24小时监控所有进出网络的文件,发现病毒时可立即产生报警信息,通知管理员,并可以通过IP地址定位、端口定位追踪病毒来源,并产生功能强大的扫描日志与报告,记录规定时间内追踪网络所有病毒的活动。
入侵预警系统中,入侵检测可以分析确定网络中传输的数据包是否经过授权。一旦检测到入侵信息,将发出警告,从而减少对网络的威胁。它把包括网络扫描、互联网扫描、系统扫描、实时监控和第三方的防火墙产生的重要安全数据综合起来,提供内部和外部的分析并在实际网络中发现风险源和直接响应。它提供企业安全风险管理报告,报告集中于重要的风险管理范围,如实时风险、攻击条件、安全漏洞和攻击分析;提供详细的入侵告警报告,显示入侵告警信息并跟踪分析入侵趋势,以确定网络的安全状态;信息可以发往相关数据库,作为有关网络安全的决策依据。
3、访问控制
网络应采用访问控制的安全措施,将整个网络结构分为三部分,内部网络、隔离区以及外网。每个部分设置不同的访问控制方式。其中:内部网络是不对外开放的,它不对外提供任何服务,所以外部用户检测不到它的IP地址,也难以对它进行攻击。隔离区对外提供服务,系统开放的信息都放在该区,正是由于它的开放性,就使它最容易成为黑客们攻击的对象,但它与内部网是隔开的,即使受到了攻击也不会危及内部网,这样双重保护了内部网络的资源不受侵害,也方便管理员监视和诊断网络故障。
4、内外网隔离
在内网络和外网之间,设置物理隔离,以实现内外网的隔离是保护网络安全的最主要、同时也是最有效、最经济的方法之一。
第一层隔离防护方法是路由器。路由器滤掉被屏蔽的IP地址和服务。首先屏蔽所有的IP地址,然后有选择放行一些地址进入网络。
第二层隔离防护方法是防火墙。大多数防火墙都是有认证的,无论哪一类型防火墙,都具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。 5、内部网络隔离与分段管理
内部网络分段是保证安全的一项基本措施,就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。网络可以根据部门或业务需要分段。网络分段可采用逻辑分段或物理分段两种方式: 逻辑分段则是指将整个系统在网络层上进行分段。并能实现子网隔离。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现隔离;物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法进行直接通讯 。
四、病毒的防治
相对于病毒的防护来说,网络病毒的防治具有更大的难度, 网络防护病毒最大的特点在于网络的管理功能,若没有管理功能,很难完成网络防毒的任务。网络病毒防治应与网络管理紧密结合。只有管理与防范相结合,才能保证系统正常运行。病毒防治的根本目的是保护用户的数据安全,因此网络病毒的防治可以从以下3个方面入手:(1)封堵漏洞,查杀病毒(2);数据备份;(3)灾难恢复。数据备份是降低病毒破坏性的最有效方法。定期进行数据备份,这样即使遭受病毒攻击,也可以恢复关键数据。
1、定期进行病毒扫描
采用防毒软件定期进行扫描是最常用的防范方法。病毒扫描程序一般使用特征文件在被传染的文件中查找病毒,用户通过更新特征文件来更新软件,以查找最新病毒。多数扫描程序在发现病毒后会执行一个独立的进程,对病毒进行清除或隔离。但目前已有一些病毒扫描程序不再局限于特征码匹配。
2、构建多层次病毒防护
多层防御的网络防毒体系应该由用户桌面、服务器、网关和病毒防火墙组成,具有层次性、集成性和自动化的特点
(1)及时升级系统最新系统平台,对BUG进行修补,要经常从相关的网站下载补丁程序,及时完善系统和应用程序,尽量减少系统和应用程序漏洞。
(2)禁用不必要的服务,对不需要或不安全的功能性应用程序尽量不安装或者关闭,重要服务器要专机专用,通过服务管理器或注册表禁用不需要的服务。
(3)要保证账号与密码的安全,特别要注意安全权限等关键配置,防止因配置疏忽留下漏洞而给病毒可乘之机,保证文件系统的安全。
3、培养良好的防范病毒的习惯
除了积极采取病毒防治措施外,最重要的是还要建立良好的病毒防范意识,培养防范病毒的习惯,最重要的是人的因素,再安全的系统如果系统操作者没有良好的安全防范意识,都会使系统处于非常危险的情况,因此必须重视人防因素。
参考文献:
[1] 陈钳生 中等职业教育系列教材 河北大学出版社 2009.12
[2]丁易名 21世纪高等教育与职业教育精品教材系列丛书 中国传媒大学出版社 2007.8
[3] 网络安全保护 科学出版社 第1版 2009.4