浅析计算机网络安全与防范策略
随着计算机科学技术和网络技术的高速发展,计算机系统功能日渐复杂,网络体系也日渐强大,对社会及人们的生活产生了巨大的影响,由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长,网络的安全问题越来越严峻。因此,如何提高计算机网络的防御能力,增强网络的安全措施,已成为当前急需解决的问题。否则网络不仅不能发挥其有利的作用,甚至会危及国家、企业及个人的安全。
一、网络技术的安全性非常脆弱由于网络技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等缺陷,加上一些人为的因素,使得网络信息的安全受到很大威胁。
首先,TCP/IP的协议集就存在安全缺点。由于在每一层,数据存在的方式和遵守的协议各不相同,而这些协议在开始制定时就没有考虑到通信路径的安全性,从而导致了安全漏洞。从纯技术的角度上说,缺乏安全防护设备与管理系统、缺乏通信协议的基本安全机制、基于HTTP与FTP上的应用软件问题以及不够完善的服务程序等都是产生系统安全漏洞的主要原因。
ฉ其次,由于信息安全还处在初期发展阶段,缺少网络环境下用于产品评价的安全性准则和评价工具。加上许多网络系统管理人员素质不高,缺乏安全意识,当系统安全受到威胁时,缺少应有的安全管理方法、步骤和安全对策,如事故通报、风险评估、改正安全缺陷、评估损失、相应的补救恢复措ก施等。
二、计算机网络安全面临的威胁影响计算机网络安全的因素很多。归结起来,主要有4个方面。
自然因素。主要包括自然灾害的破坏,如地震、雷击、洪水及其他不可抗拒的天灾造成的损害。以及因网络及计算机硬件的老化及自然损坏造成的损失。
无意失误。误操作引起文件被删除,磁盘被格式化,或因为网络管理员对网络的设置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等,都会给网络安全带来威胁。
黑客攻击。这是计算机网络所面临的最大威胁。此类攻击又可分为两种:一种☏是网络攻击,就是以各种方式有选择地破坏对方信息的有效性和完จ整性;另一种是网络侦察,就是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息。
利用网络软件的漏洞和“后门”进行攻击。软件的“后门”都是软件公司的编程设计人员为了自己方便而设置的,一般不为外人所知,一旦“后门”被洞开,所造成的后果不堪设想。
三、当今网络攻击的手段及发展趋势1.拒绝服务攻击。攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的硬件设备,破坏计算机网络的各种配置,消耗计算机及网络中不可再生的资源等。
2.欺骗攻击。黑客会利用TCP/IP协议本身的缺陷进行攻击,或者进行DNS欺骗和Web欺骗。
3.通过协同工具进行攻击。各种协同工具使用的增长,可能导致泄漏机密商业数据。
4.对移动设备的攻击。2005年以来,手机、PDA及其他无线设备感染恶意软件的数量在激增,但因为其不能靠自身传播,所以还没有大规模爆发。但今后仍需要关注它的发展趋势。
5.电子邮件攻击。2005年,英国电子邮件安全公司MessageLabs每周拦截大约2至3次有目标的电子邮件攻击,而2004年这一数字还小得几乎可以忽略,这标志着网络攻击的性质和目的都发生了转变。这些攻击常常针对政府部门、军事机构及其他大型组织。
总而言之,根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。
四、网络信息安全的技术保障策略不安全的网络一旦遭到恶意攻击,将会造成巨大的损失。目前,技术措施仍是最直接、最常用和有效♀的的屏障。技术保障策略主要有如下几种。
1.密码技术。包括加密与解密技术。加密是网络与信息安全保密的重要基础。它是将原文用某种既定方式规则重排、修改,使其变为别人读不懂的密文。解密则是将密文根据原加密方法还原。目前,已成熟的加密方法有很多,如替换加密、移位加密、一次性密码本加密、序列密码等。
2.数字签名。对于网络上传输的电子文档,可使用数字签名的方法来实现内容的确认。签名有两个键,一是签名不能被仿照,二是签名必须与相应的信息捆绑在一起。保证该信息就是签名欲确认的对象,以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议,使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方的身份;发送方不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术,发送方对整个明文进行加密变换,得到一个值,将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。
3.鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗非法访问、冒充、重演等威胁。按照鉴别对象的不同,鉴别技术可以分为消息鉴别和通信双方相互鉴别;按照鉴别内容不同,鉴别技术可以分为用户身份鉴别和消息内容鉴别。
4.网络访问控制策略。访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的方法主要有:MAC地址过滤}VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等。
五、网络安全任重道远据国际调查显示,目前有55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全,这些安全措施可能存在互相分立、互相矛盾、互相重复、各自为战等问题,既无法保障网络的安全可靠,又影响网络的服务性能,并且随着购物运行而对安全措施进行不断的修补,使整个安全系统变得臃肿,难以使用和维护。这些都是迫切需要解决的问题,只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,避免国家、企业或个人的损失。所以,网络安全仍任重道远。