互联网安全及防范措施
2012-08-15文丨张海波张军儒
文丨张海波 张军儒 刘 江
随着计算机的发展和普及,越来越多的人意识到网络对于生产和生活的重要性,网络把分散在各处的众多的计算机联系在一起,组成一个局域网,在这个局域网中,计算机之间可以共享程序、文档、图片等各种资源;还可以通过网络使多台计算机共享同一硬件,与此同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济实惠。
计算机安全的定义
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而 遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可以理解为我们常说的信息安全,是对于信息的保密性、 完整性和可用性的保护,而网络安全性的含义则是对于信息安全的一种引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
计算机网络安全的现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术所具有的复杂性和多样性,使得计算机的网络安全成为一个需要持续关注和提高的领域。现如今黑客的攻击方法已然超过了计算机病毒的种类,而且许多攻击对于计算机来说都是致命的。在Internet网络上,因其本身没有时空和地域的限制,所以每当有一种新的攻击手段产生,就能在一周内传遍全世界,它们利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。像蠕虫、后门、Rootkits、DOS和Sniffer是大家耳熟能详的几种黑客攻击手段。这些攻击手段都体现了它们惊人的威力,而且时至今日有愈演愈烈之势。与以前出现的攻击方法相比,这几类攻击手段的新变种,更加的智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets,黑客的攻击手法不断的升级翻新,对用户的信息安全防范能力不断的发起挑战。
影响计算机网络安全的主要因素
1.关于网络系统本身
目前使用较为广泛的操作系统均存在网络安全漏洞,如UNIX,MS NT 和Windows。然而黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。其内容具体包括以下几个方面:(1)稳定性和可扩充性方面,由于设计系统的不规范、不合理以及缺乏对于安全的考虑,因而使其受到影响;(2)网络硬件配置的不协调,首先是文件服务器。它是网络的中枢,其运行的稳定性、功能的完善性直接影响到网络系统的质量。网络应用的需求没有引起操作者足够的重视,设计和选型考虑不够周密,使网络功能发挥受阻,从而影响网络的可靠性、扩充性和升级换代。其次是网卡所用工作站选配不当,导致网络的不稳定;缺乏相关的安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,但是却忽视了这些权限有可能被其他人员滥用。
2.关于来自内部的网络用户
其实相对于网络安全的问题来说,其内部用户的安全威胁远大于外部网用户的安全威胁,由于使用者缺乏基本的安全意识,导致许多应用服务系统在访问控制及安全通信方面考虑欠佳,一旦系统设置错误,极容易造成损失。管理制度的不健全,网络管理、维护不在一个设计充分且安全的网络中,以及人为因素造成的安全漏洞无疑是整个网络安全的最大隐患。即使网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。例如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,其内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。
3.关于有效的手段监视、硬件设备的正确使用
黑客入侵防范体系的基础——完整准确的安全评估。它对现有或即将构建的整个网络的安全防护性可以作出科学、准确的分析评估,而且可以保障将要实施的安全策略技术上的可实现性、经济上的可行性以及组织上的可执行性。网络安全评估分析就是对整个网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全现状进行相对的评估、分析,对发现的问题提出建议,从而提高网络系统安全性能的一个过程。因此评估分析技术是一种相对行之有效的安全技术。
4.关于黑客的攻击
随着黑客的攻击手段不断更新,几乎每天都会有不同的系统安全问题出现。然而与之相反的是,安全工具的更新速度太慢,而且绝大多数情况下需要人为的参与进来才能发现以前未知的安全问题,使得它们对于新出现的安全问题总是反应不及。当安全工具刚发现并努力更正某方面的安全漏洞时,其他方面的安全问题又出现了。无法做到未雨绸缪,这是网络安全的致命弱点。
确保计算机网络安全的防范措施
到底如何才能使我们的网络百分之百的安全呢?答案是:不可能。之所以不可能是因为迄今为止还没有一种技术可以完全消除网络安全漏洞。网络的安全实际上只是实际的执行和理想中的安全策略之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济等方面。我们可以从提高网络安全技术和提升操作人员的素质入手,从以下几个方面进一步落实网络安全的可行性管理:
1.管理制度和法律法规建设。依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制、各种网络安全制度,加强网络安全教育和人员的培训。
2.严防网络病毒的传播。在当前网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,因此必须研发适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,亟需一个针对各种桌面操作系统的防病毒软件和基于服务器操作系统平台的防病毒软件。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,来识别隐藏在电子邮件和附件中的病毒。如果计算机要与互联网相连,就需要网关的防病毒软件,从而加强上网计算机的安全。所以最好使用全方位的防病毒产品,针对互联网络中所有可能的病毒攻击点设置对应的防病毒软件,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如卡巴斯基、瑞星、诺顿、360等。
3.配置相对的硬件防火墙。我们可以利用硬件防火墙,在网络传输时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地防止黑客随意更改、移动甚至删除网络上的重要信息。硬件防火墙是一种行之有效且应用广泛的网络安全机制,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效的利用好防火墙。
4.采用入侵检测系统。入侵检测技术是为保证系统的安全而设计的一种用于检测计算机网络中违反安全策略行为的技术,是一种能够及时发现并报告系统中未授权或异常现象的技术。在入侵检测系统中利用审计记录,识别出任何不希望有的活动,从而达到限制这些活动,保护系统安全的目的。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测的方法。在网络中同时采用基于主机和基于网络的入侵检测系统,构架出一套完整立体的主动防御体系,同防火强进行联动设置。
5.Web,Email,BBS的安全监测系统。在网络的www、Email等服务器中使用网络安全监测系统,实时跟踪、监视网络, 截获互联网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet等应用内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,并采取措施整改。
6.IP盗用问题的解决方案。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问互联网时,路由器要检查发出这个IP广播包的工作站的 MAC是否与路由器上的MAC地址表相符,如果相符就放行,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
7.数据备份。数据备份解决网络安全重要的一关,数据由于硬件故障、人为因素或破坏性病毒等原因造成数据丢失,数据备份则把损失减少到最少或者可以接受的范围之内,为计算机网络安全守好最重要的一关。
结束语
网络安全是一个系统的工程,不能仅仅依靠杀毒软件、防火墙、漏洞检测等硬件设备的防护,必须要意识到计算机网络系统是一个人机系统,虽然安全保护的对象是计算机 ,但是安全保护的主体却是人,因此重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,同时注重树立人的计算机安全意识,防微杜渐,将有可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。