论文部分内容阅读
摘要:本文对计算机网络的安全及防范进行了简要论述。
关键词:网络安全 防范
1 计算机网络安全概述
1.1 计算机网络安全的含义 国际标准化委员会的定义是:“为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”美国国防部国家计算机安全中心的定义是:“要讨论计算机安全首先必须讨论对安全需求的陈述。”由此衍生出计算机网络安全的含义,即:计算机网络的硬件、软件、数据的保密性、完整性、可用性得到保护,使之不受到偶然或恶意的破坏。其具体含义也会随着使用者所站的角度不同而不同。从普通用户立场来说,他们所认为的计算机网络安全就是保护个人隐私或机密信息,以免受到他人的窃取或篡改;就网络提供商而言,他们不仅要保证用户信息的安全,还要考虑自然环境例如火、电、水、雷击、地震等自然灾害,战争等突发事件给网络运行带来的破坏。
1.2 计算机网络安全的现状 据了解,近年来,互联网技术在全球迅猛发展,信息技术在给人们带来各种便利的同时,也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃取、黑客的侵袭、病毒发布,甚至系统内部的泄密。很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体防范意识,正因为如此,我国许多企事业单位的计算机网络均遭受过不同程度的攻击,公安部门受理各类网络违法犯罪案件也在逐年增加。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙技术、入侵检测技术、代理服务器技术、信息加密技术、防病毒技术等,但是无论在发达国家还是在发展中国家,网络安全都对社会造成了严重的危害。如何消除安全隐患,确保网络信息的安全,已成为一个重要问题。
2 计算机网络安全的防范策略
2.1 防火墙技术 防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使内部网和外部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的主要任务就是依据相应的安全策略针对网络之间进行传输的数据包例行检查,只有在数据包通过安全检查的情况下才允许使用网络进行通信,也就是说在防火墙的运行之下网络的运行处于被监视状态。按照防火墙使用的相应技术类型,我们能够把它分为:包过滤型、网络地址转换—NAT、代理型和监测型这几种基本类型。
2.1.1 包过滤型 包过滤型产品所使用的技术就是网络中的分包传输技术,它是属于防火墙的初级产品。两个或多个的网络之间的数据传递通常是以“包”为单位进行的,在这个过程之中数据被分为各种各样大小的数据包,各个数据包都会传输一部分像数据的源地址、目标地址、传输控制协议源端口和目标端口等这样的具体的信息。每个数据包里的地址信息都携带者这个“包”所在的站点,防火墙只需要读取这个站点的信息就能判断数据包的安全性,对系统可能造成危害的数据包将会被阻止。
2.1.2 网络地址转化—NAT 网络地址转换,顾名思义就是将自己本身的IP地址转换成不常用的、外部的、注册的IP地址标准。它允许拥有私有IP地址的内部网络在因特网上使用。这样的网络地址转化表明用户可以使用自己注册的好的IP地址在其他的网络中的机器上使用。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统之所以能够对外部的网络隐藏住自己的真实的内部网络地址,主要是在于系统能够把外出的源地址和源端口映射为一个伪装的地址和端口,将源地址和源端口隐藏起来而是将该伪装的地址和端口通过非安全网卡访问外部网络。这样一来,内部的网络使用非安全网卡连接外部网络的时候,内部网络的连接情况就会被隐藏起来,仅仅使用一个开放的IP地址和端口来访问外部网络。OLM防火墙通常都是按照之前定义好的映射规则来检测这个访问的安全性。防火墙检测其和规则相吻合的时候,觉得这样的访问具备了安全性,就会允许访问,也可以将连接请求映射到不同的内部计算机中;在不满足规则的情况下,防火墙就觉得这样的访问将会威胁到系统而拒绝访问请求。网络地址转换的过程对于用户来说是公开的,用户不必进行设置,只需要按照常规进行操作就可以了。
2.1.3 代理型 代理型防火墙也能够被叫做代理服务器,它的安全性要高于包过滤型产品,并且它早就开始向应用层领域发展。代理服务器位于客户机与服务器之间,彻底的切断了二者间的数据传输。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间只有间接的数据传输通道,所以说外部的不怀好意的侵入将会被拒绝在外,从而维护了企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效,其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,在很大程度上增加了系统管理的复杂性。
2.1.4 监测型 监测型防火墙是随着信息技术的发展而顺应而生的产品,该技术在现在的使用上来讲,早就超出了防火墙以前的定义范围。监测型防火墙能够对各层的数据进行主动的、实时的监测,有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用防火墙和其他网络的节点之中。
2.2 入侵检测技术 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,主要原因如下:①入侵者可寻找防火墙背后可能敞开的后门。②入侵者可能就在防火墙内。③由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。入侵检测系统可分为两类:①基于主机。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web 服务器应用。②基于网络。基于网络的入侵检测系统用于实时监控网络关键路径的信息。
2.3 信息加密技术 对数据进行加密,通常是利用密码技术实现的。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。在信息传送特别是远距离传送这个环节,密码技术是可以采取的唯一切实可行的安全技术,能有效地保护信息传输的安全。网络加密常用的方法由链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全,端点加密的目的是对源端用户到目的端用户的数据提供保护,节点加密的目的是对源节点到目的节点之间的传输链路提供保护。与防火墙技术相比,数据加密技术更灵活,更适用于开放的网络环境。
2.4 防病毒技术 随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大地威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测,清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件就会立刻检测到并加以删除。
3 结束语
计算机网络的安全问题越来越受到人们的重视。网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标,技术方案和相关的配套法规等,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献:
[1]陈斌.计算机网络安全与防御[J].信息技术与网络服务(学术研究).2006.
[2]高永安.计算机网络安全的防范策略[J].科技信息.2006.
[3]王宏伟.网络安全威胁与对策[M].人民邮电出版社.2006.
作者简介:崔健,男,(1981-),安徽铜陵人,铜陵职业技术学院教师,合肥工业大学在职研究生,研究方向:数据挖掘。
关键词:网络安全 防范
1 计算机网络安全概述
1.1 计算机网络安全的含义 国际标准化委员会的定义是:“为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”美国国防部国家计算机安全中心的定义是:“要讨论计算机安全首先必须讨论对安全需求的陈述。”由此衍生出计算机网络安全的含义,即:计算机网络的硬件、软件、数据的保密性、完整性、可用性得到保护,使之不受到偶然或恶意的破坏。其具体含义也会随着使用者所站的角度不同而不同。从普通用户立场来说,他们所认为的计算机网络安全就是保护个人隐私或机密信息,以免受到他人的窃取或篡改;就网络提供商而言,他们不仅要保证用户信息的安全,还要考虑自然环境例如火、电、水、雷击、地震等自然灾害,战争等突发事件给网络运行带来的破坏。
1.2 计算机网络安全的现状 据了解,近年来,互联网技术在全球迅猛发展,信息技术在给人们带来各种便利的同时,也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃取、黑客的侵袭、病毒发布,甚至系统内部的泄密。很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体防范意识,正因为如此,我国许多企事业单位的计算机网络均遭受过不同程度的攻击,公安部门受理各类网络违法犯罪案件也在逐年增加。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙技术、入侵检测技术、代理服务器技术、信息加密技术、防病毒技术等,但是无论在发达国家还是在发展中国家,网络安全都对社会造成了严重的危害。如何消除安全隐患,确保网络信息的安全,已成为一个重要问题。
2 计算机网络安全的防范策略
2.1 防火墙技术 防火墙技术,最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使内部网和外部网之间建立起一个安全网关,从而保护内部网免受非法用户的侵入。防火墙的主要任务就是依据相应的安全策略针对网络之间进行传输的数据包例行检查,只有在数据包通过安全检查的情况下才允许使用网络进行通信,也就是说在防火墙的运行之下网络的运行处于被监视状态。按照防火墙使用的相应技术类型,我们能够把它分为:包过滤型、网络地址转换—NAT、代理型和监测型这几种基本类型。
2.1.1 包过滤型 包过滤型产品所使用的技术就是网络中的分包传输技术,它是属于防火墙的初级产品。两个或多个的网络之间的数据传递通常是以“包”为单位进行的,在这个过程之中数据被分为各种各样大小的数据包,各个数据包都会传输一部分像数据的源地址、目标地址、传输控制协议源端口和目标端口等这样的具体的信息。每个数据包里的地址信息都携带者这个“包”所在的站点,防火墙只需要读取这个站点的信息就能判断数据包的安全性,对系统可能造成危害的数据包将会被阻止。
2.1.2 网络地址转化—NAT 网络地址转换,顾名思义就是将自己本身的IP地址转换成不常用的、外部的、注册的IP地址标准。它允许拥有私有IP地址的内部网络在因特网上使用。这样的网络地址转化表明用户可以使用自己注册的好的IP地址在其他的网络中的机器上使用。在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统之所以能够对外部的网络隐藏住自己的真实的内部网络地址,主要是在于系统能够把外出的源地址和源端口映射为一个伪装的地址和端口,将源地址和源端口隐藏起来而是将该伪装的地址和端口通过非安全网卡访问外部网络。这样一来,内部的网络使用非安全网卡连接外部网络的时候,内部网络的连接情况就会被隐藏起来,仅仅使用一个开放的IP地址和端口来访问外部网络。OLM防火墙通常都是按照之前定义好的映射规则来检测这个访问的安全性。防火墙检测其和规则相吻合的时候,觉得这样的访问具备了安全性,就会允许访问,也可以将连接请求映射到不同的内部计算机中;在不满足规则的情况下,防火墙就觉得这样的访问将会威胁到系统而拒绝访问请求。网络地址转换的过程对于用户来说是公开的,用户不必进行设置,只需要按照常规进行操作就可以了。
2.1.3 代理型 代理型防火墙也能够被叫做代理服务器,它的安全性要高于包过滤型产品,并且它早就开始向应用层领域发展。代理服务器位于客户机与服务器之间,彻底的切断了二者间的数据传输。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间只有间接的数据传输通道,所以说外部的不怀好意的侵入将会被拒绝在外,从而维护了企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效,其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,在很大程度上增加了系统管理的复杂性。
2.1.4 监测型 监测型防火墙是随着信息技术的发展而顺应而生的产品,该技术在现在的使用上来讲,早就超出了防火墙以前的定义范围。监测型防火墙能够对各层的数据进行主动的、实时的监测,有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用防火墙和其他网络的节点之中。
2.2 入侵检测技术 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够,主要原因如下:①入侵者可寻找防火墙背后可能敞开的后门。②入侵者可能就在防火墙内。③由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短黑客入侵的时间。入侵检测系统可分为两类:①基于主机。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web 服务器应用。②基于网络。基于网络的入侵检测系统用于实时监控网络关键路径的信息。
2.3 信息加密技术 对数据进行加密,通常是利用密码技术实现的。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。在信息传送特别是远距离传送这个环节,密码技术是可以采取的唯一切实可行的安全技术,能有效地保护信息传输的安全。网络加密常用的方法由链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全,端点加密的目的是对源端用户到目的端用户的数据提供保护,节点加密的目的是对源节点到目的节点之间的传输链路提供保护。与防火墙技术相比,数据加密技术更灵活,更适用于开放的网络环境。
2.4 防病毒技术 随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大地威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测,清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件就会立刻检测到并加以删除。
3 结束语
计算机网络的安全问题越来越受到人们的重视。网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标,技术方案和相关的配套法规等,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献:
[1]陈斌.计算机网络安全与防御[J].信息技术与网络服务(学术研究).2006.
[2]高永安.计算机网络安全的防范策略[J].科技信息.2006.
[3]王宏伟.网络安全威胁与对策[M].人民邮电出版社.2006.
作者简介:崔健,男,(1981-),安徽铜陵人,铜陵职业技术学院教师,合肥工业大学在职研究生,研究方向:数据挖掘。