信息安全论文计算机网络利沃诺防护策略论文：浅谈计算机网络的信息安全及防护策略

信息安全论文计算机网络利沃诺防护策略论文：浅谈计算机网络的信息安全及防护策略 信息安全论文计算机网络利沃诺防护策略论文:浅谈计算机 网络的信息安全及防护策略 摘 要:随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教、生产、生活等诸多领域。计算机网络信息的安全与防护研究，在信息化建设中具有极其重要的现实意义。本文以网络信息安全为研究内容，对当前计算机网络信息安全存在的主要问进行了深入剖析，并针对现实问题提出了相应的防护策略。 关键词:信息安全 计算机网络 防护策略 前言 近年来，伴随着互联网技术在全球迅猛发展，人们在提供了极大的方便，然而，信息化在给人们带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒发布者，甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家(包括我国)，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不断增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对各 种来自网上的安全威胁，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。本文通过对几起典型的网络安全事件的分析，以及对威胁网络安全的几种典型方法研究的结果，提出实现防护网络安全的具体策略。 一(计算机网络信息安全的主要问题 (一)技术缺陷 计算机网络是一种网间网技术，它的拓展是一种逐步细化的树状结构，网上的主机处于一个局域网中。一般情况下，以太网卡在收到发往别人的消息时会自动丢弃消息，而不向上层传递消息。但以太网卡的接收模式可以设置成混合型，导致以太网可以被窃听，另外fddi、令牌网也存在这样的问题。 计算机网络的基石是tcp/ip协议，该协议在设计上力求实效而没有考虑安全因素。因为那样将增大代码量，从而降低了tcp/ip的运行效率，所以说tcp/ip本身在设计上就有许多安全隐患。很多基于tcp/ip的应用服务如www服务、电子邮件服务、ftp服务和tftp服务、finger服务都不同程度地存在着安全问题，很容易被一些熟悉tcp/ip的人所利用。另外，tcp/ip协议是被公之于众的，因而被破坏的可能性更大。访问控制的配置一般十分复杂，很容易被错误配置，从而给“黑客”以可乘之机。 (二)安全威胁 虽然人为因素和非人为因素都可以对信息安全构成威胁，但精心设计的人为攻击威胁最大。攻击可分为主动攻击和被动攻击。主动攻击主要威胁信息的完整性、可用性和真实性，意在篡改系统中所含信息，或者改变系统的状态和操作。常见的主动攻击手段有四种方式:冒充、篡改、抵赖以及进行非法登录、非授权访问、破坏通信规程和协议、拒绝合法服务请求、设置陷阱和重传攻击等。而被动攻击主要威胁信息的保密性，不会导致对系统中所含信息的任何改动，系统的操作和状态也不会被改变。 二(防护策略 (一)加强服务器的信息存储安全性。服务器负责整个网络的管理，包括管理用户账号、数据存取、享用网络资源的限制等。用户的许多重要信息都存储在中央服务器中，因此服务器的存储器就是一个重要的关键设备。目前，raid技术可以提高信息存储的安全性。raid是指将小容量、廉价的硬盘驱动器结合在一起，通过数据冗余提高数据存储安全性，从而实现对数据进行保护的方法。 (二)加强入网安全性检验。用户名/口令字是网络保密的第一道防线，它是用来限制非法用户使用网络的一种手段。用户名是由网络管理员为欲使用网络资源的用户设立的。一个网络的合法用户都在网络管理员处进行了登记，网络管理员已将属于该用户的软硬件资源及其使用权限同时 授予该用户。用户名/口令字被窃取即意味着其所有网络资源的丢失，因此一定要加强保护。网络管理员为提醒用户注意保密，一般对重要部门要求其定期更改口令字。另外，网络管理员还可通过增加入网限制来防止非法者使用网络。如:入网时间限制，限制某一用户可以入网的时间;工作站限制，限定某一用户只能从其所在的办公室的工作站上登录入网，而不能以同样的用户名在别的工作站上登录入网，此即限定了用户入网的工作站的物理位置;账号限制，用户的账号是可以被临时关闭的，账号关闭以后，任何人暂时都不能再以该用户名入网，但其原来的权限还在，就像银行“冻结”某用户的账号一样，如果允许该用户再入网，则可以通过重新设置，使该用户的账号“解冻”。 (三)利用“防火墙”安全策略。“防火墙”是由计算机硬件和软件的组合构成的，它使互联网与内部网之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。“防火墙”主要有以下安全策略:一是包过滤技术。就是对通过“防火墙”的数据包进行过滤，筛除不符合要求的数据包，包过滤技术实现比较简单，效率较高。但由于这一功能在网络层实现，它对更高层的信息无理解能力，因此，对来自更高层的安全威胁无防范能力。目前多数路由器产品均具备包过滤能力。路由器实现包过滤功能时，它只是简单地将不合条件的数据包删除掉，而不具备对过滤包的登录及功 能，因此不利于系统的审核管理。二是应用网关技术。应用网关建立在网络的应用层，通常由一台专用计算机来实现。它针对特别的网络应用服务协议指定数据过滤逻辑，并依据该逻辑对出入内部网络的数据包进行过滤。应用网关技术可以对数据包的分析结果和采取的措施进行登记，供统计、分析使用。应用网关的过滤机制需要为每个网络应用提供专用的控制码，因此这种方法效率较低，但更安全。 (四)采取数据加密技术。数据传输加密目的是对传输中的数据流加密，常用的方法有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文加密成密文，然后进入tcp/ip数据包封装穿过网络，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。数据存储加密这种加密技术的目的是防止在存储环节上的数据失密，分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法实现。后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据，这种技术主要应用于nt系统和一些网络操作系统中，在系统中可以对不同工作组的用户赋予不同的权限，以达到保护重要数据不被人访问的目的。 三(结束语 尽管现在用于网络安全的产品有很多，比如有防火墙、杀毒软件、入侵检测系统，但是仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除，这就使得黑客进行入侵有机可乘。虽然如此，安全防护仍然必须是慎之又慎，尽最大可能降低黑客入侵的可能，从而保护我们的网络信息安全。 参考文献: [1]王锡林,郭庆平,程胜利.计算机安全.人民邮电出版社,1995. [2]谢希仁.计算机网络.大连理工大学出版社，1996. [3]金舒原,段海新.计算机网络与网络应用.清华大学出版社,2002.