摘要:
該文對計算機網絡安全存在的問題進行了深入探討,並提出了對應的改進和防範措施。
關鍵詞:
計算機;網絡;安全;對策
隨着計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。
但隨之而來的是,計算機網絡安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。
本文將對計算機信息網絡安全存在的問題進行深入剖析,並提出相應的安全防範措施。
1 。計算機網絡安全的定義
計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境裏,數據的保密性、完整性及可使用性受到保護。
計算機網絡安全包括兩個方面,即物理安全和羅輯安全。
物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。
羅輯安全包括信息的完整性、保密性和可用性。
2. 計算機網絡不安全因素
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。
其中,人為因素是指,一些不法之徒利用計算機網絡存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。
人為因素是對計算機信息網絡安全威脅最大的因素。
計算機網絡不安全因素主要表現在以下幾個方面:
2.1 計算機網絡的脆弱性
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。
互聯網的不安全性主要有以下幾項:
1)網絡的開放性,網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面。
或是來自物理傳輸線路的攻擊,或是來自對網絡通信協議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。
2)網絡的國際性,意味着對網絡的攻擊不僅是來自於本地網絡的用户,還可以是互聯網上其他國家的黑客,所以,網絡的安全面臨着國際化的挑戰。
3)網絡的自由性,大多數的網絡對用户的使用沒有技術上的約束,用户可以自由的上網,發佈和獲取各類信息。
2.2 操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的運用系統在上面正常運行的一個環境。
操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。
操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
1)操作系統結構體系的缺陷。
操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裏面存在問題,比如內存管理的問題,外部網絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。
所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是服務器系統立刻癱瘓。
2)操作系統支持在網絡上傳送文件、加載或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。
網絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。
像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用户的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、加載的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。
所以,建議儘量少使用一些來歷不明,或者無法證明它的安全性的軟件。
3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。
若將間諜軟件以打補丁的方式“打”在一個合法用户上,特別是“打”在一個特權用户上,黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。
4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。
所謂守護進程,比如説用户有沒按鍵盤或鼠標,或者別的一些處理。
一些監控病毒的監控軟件也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。
但是有些進程是一些病毒,一碰到特定的情況,比如碰到7 月1 日,它就會把用户的硬盤格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如7 月1 日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型服務器裏面的一些程序,可以提交程序給遠程的服務器執行,如telnet。
遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
6)操作系統的後門和漏洞。
後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。
在軟件開發階段,程序員利用軟件的後門程序得以便利修改程序設計中的不足。
一旦後門被黑客利用,或在發佈軟件前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。
此外,操作系統的無口令的入口,也是信息安全的一大隱患。
7) 儘管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。
當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網絡癱瘓掉。
2.3 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫裏面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。
例如:授權用户超出了訪問權限進行數據的更改活動;非法用户繞過安全內核,竊取信息。
對於數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。
數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據。
2.4 防火牆的脆弱性
防火牆指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用户的侵入。
但防火牆只能提供網絡的安全性,不能保證網絡的絕對安全,它也難以防範網絡內部的攻擊和病毒的侵犯。
並不要指望防火牆靠自身就能夠給予計算機安全。
防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。
它甚至不能保護你免受所有那些它能檢測到的攻擊。
隨着技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。
這就是防火牆的侷限性。
2.5 其他方面的因素
計算機系統硬件和通訊設施極易遭受到自然環境的影響,如:各種自然災害(如地震、泥石流、水災、風暴、建築物破壞等)對計算機網絡構成威脅。
還有一些偶發性因素,如電源故障、設備的機能失常、軟件開發過程中留下的某些漏洞等,也對計算機網絡構成嚴重威脅。
此外管理不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
3 。計算機網絡安全的對策
3.1 技術層面對策
對於技術方面,計算機網絡安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。
綜合起來,技術層面可以採取以下對策:
1) 建立安全管理制度。
提高包括系統管理員和用户在內的人員的技術素質和職業道德修養。
對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
2) 網絡訪問控制。
訪問控制是網絡安全防範和保護的主要策略。
它的主要任務是保證網絡資源不被非法使用和訪問。
它是保證網絡安全最重要的核心策略之一。
訪問控制涉及的技術比較廣,包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
3) 數據庫的備份與恢復。
數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。
備份是恢復數據庫最容易和最能防止意外的保證方法。
恢復是在意外發生後利用備份來恢復數據的操作。
有三種主要備份策略:只備份數據庫、備份數據庫和事務日誌、增量備份。
4) 應用密碼技術。
應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。
基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
5) 切斷傳播途徑。
對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網絡可疑信息。
6) 提高網絡反病毒技術能力。
通過安裝病毒防火牆,進行實時過濾。
對網絡服務器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網絡目錄和文件訪問權限的設置。
在網絡中,限制只能由服務器才允許執行的文件。
7) 研發並完善高安全的操作系統。
研發具有高安全的操作系統,不給病毒得以滋生的温牀才能更安全。
3.2 管理層面對策
計算機網絡的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護法律、法規的力度。
只有將兩者緊密結合,才能使計算機網絡安全確實有效。
計算機網絡的安全管理,包括對計算機用户的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。
加強計算機安全管理、加強用户的法律、法規和道德觀念,提高計算機用户的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用户不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用户和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用户原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作鬥爭,維護計算機及網絡系統的安全,維護信息系統的安全。
除此之外,還應教育計算機用户和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衞管理制度、專機專用和嚴格分工等管理制度。
3.3 物理安全層面對策
要保證計算機網絡系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。
這個安全的環境是指機房及其設施,主要包括以下內容:
1) 計算機系統的環境條件。
計算機系統的安全環境條件,包括温度、濕度、空氣潔淨度、腐蝕度、蟲害、振動和衝擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。
2) 機房場地環境的選擇。
計算機系統選擇一個合適的安裝場所十分重要。
它直接影響到系統的安全性和可靠性。
選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,並避免設在建築物高層和用水設備的下層或隔壁。
還要注意出入口的管理。
3) 機房的安全防護。
機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而採取的安全措施和對策。
為做到區域安全,首先,應考慮物理訪問控制來識別訪問用户的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動範圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
4 。結束語
計算機網絡安全是一項複雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。
網絡安全解決方案是綜合各種計算機網絡信息系統安全技術,將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網絡安全防護體系。
我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標準。
此外,由於計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻:
[1] 張千裏。網絡安全新技術[M]。北京:人民郵電出版社,2003.
[2] 龍冬陽。網絡安全技術及應用[M]。廣州:華南理工大學出版社,2006.
[3] 常建平,靳慧雲,婁梅枝。網絡安全與計算機犯罪[M]。北京:中國人民公安大學出版社,2002.
1 引言
21世紀全世界的計算機大部分都將通過互聯網連到一起,在信息社會中,隨着國民經濟的信息化程度的提高,有關的大量情報和商務信息都高度集中地存放在計算機中,隨着網絡應用範圍的擴大,信息的泄露問題也變得日益嚴重,因此,計算機網絡的安全性問題就越來越重要。
2 網絡威脅
2.1網絡威脅的來源
(1)網絡操作系統的不安全性:目前流行的操作系統均存在網絡安全漏洞。
(2)來自外部的安全威脅:非授權訪問、冒充合法用户、破壞數據完整性、干擾系統正常運行、利用網絡傳播病毒等。
(3)網絡通信協議本身缺乏安全性(如:TCP/IP協議):協議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。
(4)木馬及病毒感染。
(5)應用服務的安全:許多應用服務系統在訪問控制及安全通信方面考慮的不周全。
2.2網絡攻擊的發展趨勢
目前新發現的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標,而且現在攻擊工具越來越複雜,與以前相比,攻擊工具的特徵更難發現,更難利用特徵進行檢測,具有反偵察的動態行為攻擊者採用隱蔽攻擊工具特性的技術。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術可以繞過防火牆。在許多的網站上都有大量的穿過防火牆的技術和資料。由此可見管理人員應對組成網絡的各種軟硬件設施進行綜合管理,以達到充分利用這些資源的目的,並保證網絡向用户提供可靠的通信服務。
3 網絡安全技術
3.1網絡安全管理措施
安全管理是指按照本地的指導來控制對網絡資源的訪問,以保證網絡不被侵害,並保證重要信息不被未授權的用户訪問。網絡安全管理主要包括:安全設備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設備管理:指對網絡中所有的安全產品。如防火牆、、防病毒、入侵檢測(網絡、主機)、漏洞掃描等產品實現統一管理、統一監控。
安全策略管理:指管理、保護及自動分發全局性的安全策略,包括對安全設備、操作系統及應用系統的安全策略的管理。
安全分析控制:確定、控制並消除或縮減系統資源的不定事件的總過程,包括風險分析、選擇、實現與測試、安全評估及所有的安全檢查(含系統補丁程序檢查)。
安全審計:對網絡中的安全設備、操作系統及應用系統的日誌信息收集彙總。實現對這些信息的查詢和統計;並通過對這些集中的信息的進一步分析,可以得出更深層次的安全分析結果。
3.2網絡安全防護措施
3.2.1防火牆技術
防火牆是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。網絡防火牆技術是一種用來加強網絡之間訪問控制,防止外部網絡用户以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備,主要方法有:堡壘主機、包過濾路由器、應用層網關(代理服務器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換(NAT)、代理型和監測型。
(1)包過濾型
包過濾型產品是防火牆的初級產品,這種技術由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火牆通過讀取數據包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火牆便會將這些數據拒絕。包過濾的優點是處理速度快易於維護。其缺點是包過濾技術完全基於網絡層的安全技術,只能根據數據包的來源、目標和端口等網絡信息進行判斷,無法告知何人進入系統,無法識別基於應用層的惡意入侵,如木馬程序,另一不足是不能在用户級別上進行過濾。即不能鑑別不同的用户和防止IP盜用。
(2)網絡地址轉換
網絡地址轉換在內部網絡通過安全網卡訪問外部網絡時。將產生一個映射記錄。系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,而隱藏真實的內部網絡地址。利用網絡地址轉換技術能透明地對所有內部地址作轉換,使外部網絡無法瞭解內部結構,同時允許內部網絡使用自編的IP地址和專用網絡。防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。
(3)代理型
代理型的特點是將所有跨越防火牆的網絡通訊鏈路分為二段。防火牆內外計算機系統間的應用層的“連接”由二個終止於代理服務器上的“連接”來實現,外部計算機的網絡鏈路只能到達代理服務器,由此實現了“防火牆”內外計算機系統的隔離,代理服務器在此等效於一個網絡傳輸層上的數據轉發器的功能,外部的惡意侵害也就很難破壞內部網絡系統。代理型防火牆的優點是安全性較高,可對應用層進行偵測和掃描,對基於應用層的入侵和病毒十分有效。其缺點是對系統的整體性能有較大的影響,系統管理複雜。
(4)監測型
監測型防火牆是新一代的產品,監測型防火牆能夠對各層的數據進行主動的、實時的監測。在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種監測型防火牆產品一般還帶有分佈式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中。不僅能夠監測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品,但其缺點是實現成本較高,管理複雜。所以目前在實用中的防火 牆產品仍然以第二代代理型產品為主,但在某些方面已開始使用監測型防火牆。
3.2.2物理隔離
所謂“物理隔離”是指內部網不得直接或間接地連接公共網。雖然能夠利用防火牆、代理服務器、入侵監測等技術手段來抵禦來自互聯網的非法入侵。但是這些技術手段都還存在許多不足,使得內網信息的絕對安全無法實現。“物理隔離”一般採用網絡隔離卡的方法。它由三部分組成:內網處理單元、外網處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬盤分區和操作系統,並能通過各自的專用接口與網絡連接。它通過有效而全面地控制計算機的硬盤數據線,使得計算機一次只能訪問及使用其中的一個硬盤分區,從而最大限度地保證了安全(內網)與非安全(外網)之間的物理隔離。隔離島在外網區域時可以讀/寫文件,而在內網區域時只可以讀取文件,這樣就創建了一個只能從外網到內網、操作簡便且非常安全的單向數據通道。
4 結論
隨着網絡的發展會有更多新的計算機的攻擊方式和手段出現,也會有更多更新的防護技術手段出現,做好網絡安全防護工作是計算機管理和應用的重要內容,做好計算機的安全管理,配合高效的防火牆,能夠很好地保障網絡的安全,極大提高網絡的運行效率。
摘要:
隨着現代科學技術的發展,電子計算機逐漸成為我們生活和工作中不可或缺的一部分,我們越來越多的依賴互聯網技術。然而在計算機網絡技術快速發展的同時,一些網絡安全問題也隨之出現了,我們應該採取如何的防範措施呢?本文首先簡要介紹計算機網絡安全的概念,在此基礎上,提出幾種常見的計算機網絡安全防範策略。
關鍵詞:
計算機;網絡安全;防範技術
1.引言
“計算機安全”是指對數據進行有效的保護,還包括對技術、管理等進行保護。防止惡意的入侵,保障數據的準確性和保密性。對計算機網絡保護主要從物理方面保護和邏輯方面保護,邏輯保護其實就是對於信息儲存等的保護,這也是計算機網絡中最為重要的部分。狹義上的計算機網絡安全就是指保障互聯網信息的安全,從內容的完整度,信息的質量,還有就是信息的嚴謹度方面都要進行必要的保護。現如今對計算機網絡數據信息的保護受到了各種形式的衝擊,其中電腦高手的攻擊手段甚至於超過了網絡病毒的種類。時至今日,各種網絡安全威脅越演越烈,與以往的網絡攻擊手段相比,現在更加智能化。為了應對如此眾多的網絡安全問題,國內外的計算機專家學者也是提出了很多的保護和防範措施。本文將從防火牆方面、檢測操作還有密碼操作、三個方面討論如何防範計算機網絡安全問題。
2.防範技術
2.1防火牆技術
防火牆是針對不同領域跨網採取的操作阻止攻擊入侵。防火牆允許“被同意”的人和數據信息進入選定網絡,而不允許“不被同意”的人和數據信息進入,這類技術不僅能最大限度地阻止電腦高手入侵你的網絡,還能強化網絡安全策略,是一種十分有效的網絡安全模型。防火牆分成軟件、硬件和芯片三類,下面分別介紹。軟件防火牆運行範圍窄,對客户安裝的計算機操作系統也有要求,事先要做好基本步驟方可使用,主要是基本的安裝和配置等操作;硬件防火牆本身系統中有網絡防預系統,不需要專門的硬件,他們基於PC架構;芯片級防火牆不僅擁有和硬件相似的系統,而且免去操作。擁有優於前兩者的處理功效,這類防火牆更加完善,但相對成本較高。2.1.1包過濾技術。包過濾技術會根據數據包的不同內容、地址等採取過濾操作,主要是利用路由的原理,對數據包進行二次處理,避免轉發過程發生問題。過濾過程中為了保障實時和雙向的控制,需要使用超過一塊網卡來實現包過濾技術的嚴密操作。包過濾也具有侷限性,對於部分人員採取另外的協議要求其它服務,它將無法進行過濾操作。但是它可以對已有的要轉發的數據包進行有效過濾。2.1.2代理服務技術。代理服務從名字可以得出是以代理為主的特定服務,因此它還被別稱為應用級防火牆,即對特定的應用採取的代理服務。因為它所具有的安全度較高才使得代理服務在防火牆技術中佔據了不小的地位。代理服務的領域包括會話和審計等,可以系統的掌控日誌內容、會話內容還可以保證審計的安全。它的操作主要是聯繫起客户機與服務器。代理服務還有一個優點就是它有良好的保密性,保密內網的IP地址從而起到保護作用。目前比較流行的個人防火牆主要有windows系統自帶及瑞星個人防火牆,這也是目前個人使用最普遍的防火牆;目前主流企業級防火牆有思科的ASA、PIX,以及國外的checkpoint、netscreen等。
2.2檢測技術
入侵檢測相比之前的技術,它更加具有主動性,而且它分為誤用和異常兩種檢測技術,分別從不同角度應對多種不同的網絡攻擊和網絡入侵行為。2.2.1誤用檢測技術。我們如果假設所有入侵者的活動都能夠進行分析並且建立相應的特徵模型。需要對入侵者活動的類型特徵進行辨別,然後匹配,最後進行檢測。對於已知的普遍的攻擊入侵,誤用檢測技術可以高度精準的進行操作,但是也仍然存在着漏洞,倘若攻擊入侵進行了變異,那就無法準確識別入侵。對於這種情況我們將不斷更新特徵模型,對更多的特徵攻擊做出有效的反擊。2.2.2異常檢測技術。這種檢測技術相對來説困難一點,我們假設不同於正常用户的使用就屬於入侵攻擊,對不同於尋常的活動狀態進行數量統計,檢測不符合統計規律的都可以表示具有入侵性,但是這種統計和對於活動的特徵模型的邊界定義不清,因此不易操作。目前國內市場應用最廣泛的入侵檢測軟件就屬360公司推出的個人檢測軟件,當然金山毒霸以及Snort、SecurityOnion、OSSECHIDS等工具軟件也是目前主流的檢測軟件。國外使用比較多的有卡巴斯基、BitDefender等。
2.3數據加密技術
數據加密可以通過對數據加密、密鑰加密、數字簽名等多種方式採取不同手段對計算機網絡加強安全度。2.3.1數據加密。數據加密分別採取節點加密,鏈路加密,和端到端加密。節點加密可以通過在節點處鏈接密碼裝置和機器,從而保護節點處的信息。而鏈路加密則是對信息傳輸過程的進一步加密,在接收方的節點機子內設置。端到端加密則是從兩端都進行加密,更加的嚴謹可靠。2.3.2密鑰密碼技術。計算機網絡安全中的加密和解密都依賴着密鑰。密鑰達到的保密程度不同可以分為私用密鑰和公用密鑰。公用密鑰相對複雜些,對信息的傳輸過程也可以保障保密,而且對於信息接收和傳出的雙方都具有嚴謹保密的操作,接收者同樣可以再次設置密鑰,不僅在傳輸過程有所保障,而且最終接收也具有安全感和高度的保密性。私用密鑰它要求合作雙方都共同認可才可以使用,傳出和接收使用相同的密鑰。簡單來説,公用密鑰是私用密鑰的升級版,根據不同的需求使用不同的加密方式。2.3.3數字簽名認證技術。數字簽名認證技術主要在於採取認證的方式來實現安全的目的,由於認證的安全性能較好如今這種方式已被廣泛應用。通過口令認證或者數字認證來達到對對方真實身份的鑑別。口令認證的操作相對簡單些而且成本低。數字認證需要對加密和解密等不同的方式來進行成本的計算。
3.總結
隨着信息網絡的不斷普及,人們也更加註重信息的準確與安全嚴密性,針對數據信息的嚴密技術要求也將被不斷提升。網絡安全防範技術也是層出不窮,本文只是簡單的介紹了幾種普遍的方法。隨着計算機科學技術的發展,未來的網絡安全問題必將得到更好的解決,從而使計算機網絡在我們的生活中發揮更大的積極作用。
參考文獻
[1]劉志。計算機網絡系統的安全管理與實施策略[J]。信息通信,2015(05)。
[2]馬剛。基於威脅傳播採樣的複雜信息系統風險評估[J]。計算機研究與發展,2015(07)。
[3]沈昌祥。網絡空間安全戰略思考與啟示[J]。金融電子化,2014(06)。
互聯網的飛速發展給人們的生產生活帶來了巨大變化,然而網絡安全技術作為一個獨特的領域越來越受到全球網絡建設者及使用者的關注,本文主要就網絡中經常受到的網絡攻擊及預防措施進行論述。
一、常見的網絡攻擊
(一)入侵系統攻擊。此類攻擊如果成功,將使你的系統上的資源被對方一覽無遺,對方可以直接控制你的機器,可任意修改或盜取被控機器中的各種信息。
(二)欺騙類攻擊。網絡協議本身的一些缺陷可以被利用,使黑客可以對網絡進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
(三)利用病毒攻擊。病毒是黑客實施網絡攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性,而且在網絡中其危害更加可怕,目前可通過網絡進行傳播的病毒已有數萬種,可通過注入技術進行破壞和攻擊。
(四)木馬程序攻擊。特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用户祕密安裝到目標系統的程序。一旦安裝成功並取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統。
(五)網絡偵聽。網絡偵聽為主機工作模式,主機能接受到本網段在同一條物理通道上傳輸的所有信息。只要使用網絡監聽工具,就可以輕易地截取所在網段的所有用户口令和賬號等有用的信息資料。
(六)對防火牆的攻擊。防火牆也是由軟件和硬件組成的,在設計和實現上都不可避免地存在着缺陷,對防火牆的攻擊方法也是多種多樣的,如探測攻擊技術、認證的攻擊技術等。
二、防禦措施主要有以下幾種
(一)防火牆。防火牆是建立在被保護網絡與不可信網絡之間的一道安全屏障,用於保護企業內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。
根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換――NAT、代理型和監測型。
1、包過濾型。包過濾型產品是防火牆的初級產品,其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源端口和目標端口等。防火牆通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外,系統管理員也可以根據實際情況靈活制定判斷規則。
2、網絡地址轉化――NAT。網絡地址轉換是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準,它允許具有私有IP地址的內部網絡訪問因特網,它還意味着用户不需要為其網絡中每一台機器取得註冊的IP地址,在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄,系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時,它並不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問OLM防火牆,根據預先定義好的映射規則來判斷這個訪問是否安全;當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網絡地址轉換的過程對於用户來説是透明的,不需要用户進行設置,用户只要進行常規操作即可。
3、代理型。代理型防火牆也可以被稱為代理服務器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理服務器位於客户機與服務器之間,完全阻擋了二者間的數據交流。從客户機來看,代理服務器相當於一台真正的服務器;而從服務器來看,代理服務器又是一台真正的客户機。當客户機需要使用服務器上的數據時,首先將數據請求發給代理服務器,代理服務器再根據這一請求向服務器索取數據,然後再由代理服務器將數據傳輸給客户機。由於外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部的網絡系統。
4、監測型。監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分佈式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部。
(二)虛擬專用網。虛擬專用網()的實現技術和方式有很多,但是所有的產品都應該保證通過公用網絡平台傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道,利用加密技術對經過隧道傳輸的數據進行加密,以保證數據的私有性和安全性。此外,還需要防止非法用户對網絡資源或私有信息的訪問。
(三)虛擬局域網。選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上,採用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處於不同地理位置的網絡用户加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴,但VLAN技術的侷限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(PVLAN)技術。
(四)漏洞檢測。漏洞檢測就是對重要計算機系統或網絡系統進行檢查,發現其中存在的薄弱環節和所具有的攻擊性特徵。通常採用兩種策略,即被動式策略和主動式策略。被動式策略基於主機檢測,對系統中不合適的設置、口令以及其他同安全規則相背的對象進行檢查;主動式策略基於網絡檢測,通過執行一些腳本文件對系統進行攻擊,並記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統是防火牆的延伸,並能有效地結合其他網絡安全產品的性能,保證計算機系統或網絡系統的安全性和可靠性。
(五)入侵檢測。入侵檢測系統將網絡上傳輸的數據實時捕獲下來,檢查是否有黑客入侵或可疑活動的發生,一旦發現有黑客入侵或可疑活動的發生,系統將做出實時報警響應。
(六)密碼保護。加密措施是保護信息的最後防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用,但隨着計算機性能的飛速發展,解除部分公開算法的加密方法已變得越來越可能。
(七)安全策略。安全策略可以認為是一系列政策的集合,用來規範對組織資源的管理、保護以及分配,以達到最終安全的目的,安全策略的制定需要基於一些安全模型。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,為網絡提供強大的安全服務――這也是網絡安全領域的迫切需要。
【摘要】
首先闡述了民航氣象信息網絡的功能,對目前網絡存在的安全問題進行了分析,並對如何解決這些安全問題進行了探討。
【關鍵詞】
氣象信息;網絡結構;安全問題
最近幾年以來,隨着經濟的發展和社會的進步,我國的民航氣象事業也取得了較大的進步,很多新的設備和系統都應用在民航氣象系統中,在新的設備和系統不斷應用和發展的情況下,需要建立安全的網絡環境,這對民航氣象系統的發展有着重要的作用。促進網絡運行的重要因素是有效的網絡運行結構和合理的管理措施。
1氣象信息網絡的功能
民航氣象中心能夠給外界提供多種信息,主要向空中的交通管制中心提供一些有關於氣象的信息,除此之外還提供塔台情況;向國外氣象中心提供大韓、全日空、籤派、東北航等氣象信息。這些氣象信息主要包括幾個方面,有現場的實時播報、對實際情況播報的內容、本場預報、氣象預報。衞星雲圖等信息。在播報的時候尤其要求信息的及時和準確,這樣才能夠對相關人員的指揮起着重要的作用。
2計算機網絡的安全問題
計算機網絡安全問題是比較複雜的一個問題,隨着經濟的發展和社會的進步,計算機網絡在很多領域都得到了廣泛的應用,由此產生了網絡的不安全因素,計算機病毒逐漸的產生和傳播,計算機網絡很容易就被一些不法分子入侵,很多重要的資料和文件被竊取,甚至給網絡帶來了系統的崩潰和癱瘓等。從以上可以看出,計算機網絡安全運行的必要性。其實計算機網絡安全的問題主要是由內部用户和外部用户共同做成的。目前很多國內的用户與服務器都處於一個相同的網絡環境中,尤其是在應用服務器時,會存在對網絡環境安全的威脅。
3民航氣象信息網絡安全的分析
3.1設計思想
根據這種情況,可以採用一些特殊的辦法,可以考慮使用安全級別,依據網絡終端與氣象業務相連接,這種方式目前比較常用。根據用户的實際情況可以分為幾個等級,信任最高等級、較為安全等級和一般安全等級。其中信任最高等級和較為安全等級能夠利用網絡終端直接與氣象業務相聯繫,網絡在設計時需要考慮是否與區域有所衝突,考慮網絡流量和功能,劃分區域,減少不必要的數據進行傳播,減少對網絡終端的影響。在較為安全的網絡終端中,為了避免英雄愛那個實際的應用,可以分隔一些業務段,使服務網和業務網分離,或者是不再使用原有的信息提供方式,變成間接的信息提供方式,這樣會減少對網絡運行安全的影響。依據以上的安全等級原則,有利於使我們在工作中有據可循。
3.2防火牆
防火牆也是保護網絡運行安全的一個重要設置,存在於網絡和網絡之間,是為了保護網絡之間的安全,是一個重要的屏障。這個屏障在網絡環境安全運行中的作用是防止外部網絡對本網絡的入侵,它成為保護本地網絡的一個重要的關卡。防火牆的實現方式分為很多種,在不同的情況起着不同的作用,在物理結構上,防火牆是一種硬件設備,這個硬件設備是由幾個方面組成的,包括路由器和計算機,或者是主機計算機與配有的網絡相組合。在邏輯上,防火牆相當於一種過濾器,對外部入侵網絡的過濾,還是一種限制器和分析器。防火牆在計算機網絡運行中也充當着阻塞點,通過這個阻塞點能夠通過大部分的信息,這也是唯一的信息檢查點,通過這個信息檢查點能夠確保信息的安全,但是防火牆並不是能夠對每個主機都起到很好的保護作用,由此可見對主機的集中管理具有明顯的優勢。此外,防火牆可以在關鍵時刻實行強制的安全策略。可以根據服務器的信息來判斷哪些服務器能夠通過防火牆,阻止一些服務器通過防火牆。例如在氣象中通常會使用填圖系統,填圖系統的設置與其它系統有着很大的區別,一般是需要收集大量的資料,這些資料都是來源於氣象局網絡系統,而氣象局網絡系統具有高度的保密性,對訪問進行了限制,通過防火牆擁有固定的MAC地址IP和地址才能夠進行訪問,這樣的好處是能夠真正的對內部網絡起到保護作用,防止一些外部網絡對內部網絡提供危險的服務。防火牆還有個重要的用途就是能夠記錄網上的一些活動,通過這些活動管理員可以察覺出外來的入侵者,利用防火牆還可以阻止網段之間的病毒傳播。
3.3安全策略
網絡服務訪問策略主要是針對網絡服務中能夠被允許的服務或者是嚴令禁止的服務,限制網絡使用的方法很多,所以每個途徑都是受到保護的。例如目前可以通過電話撥號的形式登陸到內部WEB服務器上,這樣就可能會使網絡受到攻擊。網絡服務的訪問策略對機構的內部網絡資料起着重要的保護作用,這種網絡服務的訪問不僅只是保障站點的安全還有很多的用途,還可以掃描文件中的病毒,還能夠遠程訪問。由此可見,網絡的內部信息對單位來説是十分重要的,應該注重保護信息安全,用最有效的辦法保證信息的機密和完整,確保信息能夠真實有效;這是每個員工義不容辭的責任和義務,保證信息的完整真實是工作的重中之重,每個人都應該認真對待,將所有信息處理的設備統一執行經過授權的任務。
參考文獻
[1]周建華。中國民航新一代航空氣象系統建設構想[J]。中國民用航空,2008(09),
[2]劉曄。航空氣象技術在空中交通管理中的應用[J]。指揮信息系統與技術,2010(02)。
1 引言
隨着計算機網絡技術的飛速發展,無線網絡技術以獨特的優點,被許多企業、政府、家庭所使用,但在其安裝、使用便利,接入方式靈活的同時,由於無線網絡傳送的數據是利用無線電波在空中輻射傳播,這種傳播方式是發散的、開放的,這給數據安全帶來了諸多潛在的隱患。無線網絡可能會遭到搜索攻擊、信息泄露攻擊、無線身份驗證欺騙攻擊、網絡接管與篡改、拒絕服務攻擊等安全威脅,因此,探討新形勢下無線網絡安全的應對之策,對確保無線網絡安全,提高網絡運行質量具有十分重要的意義。
2 無線網絡存在的主要安全威脅
無線網絡存在的主要安全威脅有兩類:一類是關於網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊;另一類是基於無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對於第一類攻擊在有線網絡的環境下也會發生。可見,無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。
2.1 攻擊者侵入威脅
無線局域網非常容易被發現,為了能夠使用户發現無線網絡的存在,網絡必須發送有特定參數的信標幀,這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線在合適的範圍內對網絡發起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP,不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網,用户通過非法AP接入給網絡帶來很大安全隱患。還有的部分設備、技術不完善,導致網絡安全性受到挑戰。這些挑戰可能包括竊聽、截取和監聽。以被動和無法覺察的方式入侵檢測設備的,即使網絡不對外廣播網絡信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以解除的信息。
2.2 相關無線網絡保密機制存在缺陷
WEP機制用來提高無線網絡安全性,但長期的運行結果是該機制存在一定的安全缺陷,值得影響大家的關注。加密算法過於簡單。WEP中的IV由於位數太短和初始化復位設計,常常出現重複使用現象,易於被他人解除密鑰。而對用於進行流加密的RC4算法,在其頭256個字節數據中的密鑰存在弱點,容易被黑客攻破。一個是接入點和客户端使用相同的加密密鑰。如果在家庭或者小企業內部,一個訪問節點只連接幾台PC的話還可以,但如果在不確定的客户環境下則無法使用。讓全部客户都知道密鑰的做法,無疑在宣告WLAN根本沒有加密。不同的製造商提供了兩種WEP級別,一種建立在40位密鑰和24位初始向量基礎上,被稱作64位密碼;另一種是建立在104位密碼加上24位初始向量基礎上的,被稱作128位密碼。高水平的黑客,要竊取通過40位密鑰加密的傳輸資料並非難事,40位的長度就擁有2的40次方的排列組合,而RSA的解除速度,每秒就能列出2.45×109種排列組合,很容易就可以被解除出來。
雖然WEP有着種種的不安全,但是很多情況下,許多訪問節點甚至在沒有激活WEP的情況下就開始使用網絡了,這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網絡就能輕易記下MAC地址、網絡名、服務設置標識符、製造商、信道、信號強度、信噪比的情況。作為防護功能的擴展,最新的無線局域網產品的防護功能更進了一步,利用密鑰管理協議實現每15分鐘更換一次WEP密鑰,即使最繁忙的網絡也不會在這麼短的時間內產生足夠的數據證實攻擊者破獲密鑰。然而,一半以上的用户在使用AP時只是在其默認的配置基礎上進行很少的修改,幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。
2.3 搜索攻擊威脅
進行搜索也是攻擊無線網絡的一種方法,現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處於活動狀態,如果沒有關閉AP(無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(安全集標識符)等可給黑客提供入侵的條件。同時,許多用户由於安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱,容易遭受黑客攻擊。
除通過欺騙幀進行攻擊外,攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷,通過監測AP發出的廣播幀發現AP的存在。然而,由於802.11沒有要求AP必須證明自己真是一個AP,攻擊者很容易裝扮成AP進入網絡,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11 MAC幀進行認證的技術前,通過會話攔截實現的網絡入侵是無法避免的。
2.4 網絡身份冒充
網絡身份冒充是採取假冒相關用户的身份,通過網絡設備,使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網絡或網卡的MAC地址。由於TCP/IP的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被採用。只有通過智能事件記錄和監控日誌才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
3 無線網絡安全對策探討
提高無線網絡安全等級,必須首先從思想要高度重視,提出有效的應對舉措,確保無線網絡安全。
3.1 科學進行網絡部署
選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作 RAS(RemoteAccessServer,遠程訪問服務器);指定專用於無線網絡的IP協議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用户和入侵者的影響;在網絡上,針對全部用户使用一致的授權規則;在不會被輕易損壞的位置部署硬件。
3.2 合理配置網絡的接入點設備
要對無線網絡加裝防火牆,並且在進行網絡配置時,要首先確保無線接入點放置在防火牆範圍之外,提高防火牆的防禦功效。同時,要利用基於MAC地址的ACLs(訪問控制表)確保只有經過註冊的設備才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖,設置的障礙越多,越會使黑客知難而退,不得不轉而尋求其他低安全性的網絡。
3.3 重視發揮WEP協議的重要作用
WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時,WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之後,應立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用户登錄後進行動態改變,這樣,黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基於會話和用户的WEP密鑰管理技術能夠實現最優保護,為網絡增加另外一層防範。此外,所有無線局域網都有一個缺省的SSID(服務標識符)或網絡名,立即更改這個名字,用文字和數字符號來表示。如果企業具有網絡管理能力,應該定期更改SSID:即取消SSID自動播放功能。
摘要:
傳感器網絡在未來互聯網中發揮着非常重要的作用。因為物理方面極易被捕獲與應用無線通信,及受到能源、計算以及內存等因素的限制,所以傳感器互聯網安全性能極為重要。對無線傳感器網絡進行部署,其規模必須在不同安全舉措中認真判斷與均衡。
關鍵詞:
網絡;無線傳感器;安全;研究
當前互聯網中,無線傳感器網絡組成形式主要為大量廉價、精密的節點組成的一種自組織網絡系統,這種網絡的主要功能是對被檢測區域內的參數進行監測和感知,並感知所在環境內的温度、濕度以及紅外線等信息,在此基礎上利用無線傳輸功能將信息發送給檢測人員實施信息檢測,完整對整個區域內的檢測。很多類似微型傳感器共同構成無線傳感器網絡。由於無線傳感器網絡節點具有無線通信能力與微處理能力,所以無線傳感器的應用前景極為廣闊,具體表現在環境監測、軍事監測、智能建築以及醫療等領域。
1、無線傳感器網絡安全問題分析
徹底、有效解決網絡中所存在的節點認證、完整性、可用性等問題,此為無線傳感器網絡安全的一個關鍵目標,基於無線傳感器網絡特性,對其安全目標予以早期實現,往往不同於普通網絡,在對不同安全技術進行研究與移植過程中,應重視一下約束條件:
①功能限制。部署節點結束後,通常不容易替換和充電。在這種情況下,低能耗就成為無線傳感器自身安全算法設計的關鍵因素之一。
②相對有限的運行空間、存儲以及計算能力。從根本上説,傳感器節點用於運行、存儲代碼進空間極為有限,其CPU運算功能也無法和普通計算機相比[1];
③通信缺乏可靠性。基於無線信道通信存在不穩定特性。而且與節點也存在通信衝突的情況,所以在對安全算法進行設計過程中一定要對容錯問題予以選擇,對節點通信進行合理協調;
④無線網絡系統存在漏洞。隨着近些年我國經濟的迅猛發展,使得無線互聯網逐漸提升了自身更新速度,無線互聯網應用與發展在目前呈現普及狀態,而且在實際應用期間通常受到技術缺陷的制約與影響,由此就直接損害到互聯網的可靠性與安全性。基於國內技術制約,很多技術必須從國外進購,這就很容易出現不可預知的安全性隱患,主要表現為錯誤的操作方法導致病毒與隱性通道的出現,且能夠恢復密鑰密碼,對計算機無線網安全運行產生很大程度的影響[2]。
2、攻擊方法與防禦手段
傳感器網絡在未來互聯網中發揮着非常重要的作用。因為物理方面極易被捕獲與應用無線通信,及受到能源、計算以及內存等因素的限制,所以傳感器互聯網安全性能極為重要。對無線傳感器網絡進行部署,其規模必須在不同安全舉措中認真判斷與均衡。現階段,在互聯網協議棧不同層次內部,傳感器網絡所受攻擊與防禦方法見表1。該章節主要分析與介紹代表性比較強的供給與防禦方法。
3、熱點安全技術研究
3.1有效發揮安全路由器技術的功能
無線互聯網中,應用主體互聯網優勢比較明顯,存在較多路由器種類。比方説,各個科室間有效連接無線網絡,還能實現實時監控流量等優點,這就對互聯網信息可靠性與安全性提出更大保障與更高要求[3]。以此為前提,無線互聯網還可以對外來未知信息進行有效阻斷,以將其安全作用充分發揮出來。
3.2對無線數據加密技術作用進行充分發揮
在實際應用期間,校園無線網絡必須對很多保密性資料進行傳輸,在實際傳輸期間,必須對病毒氣侵入進行有效防範,所以,在選擇無線互聯網環節,應該對加密技術進行選擇,以加密重要的資料,研究隱藏信息技術,採用這一加密技術對無線數據可靠性與安全性進行不斷提升。除此之外,在加密數據期間,數據信息收發主體還應該隱藏資料,保證其數據可靠性與安全性得以實現。
3.3對安全MAC協議合理應用
無線傳感器網絡的形成和發展與傳統網絡形式有一定的差異和區別,它有自身發展優勢和特點,比如傳統網絡形式一般是利用動態路由技術和移動網絡技術為客户提供更好網絡的服務。隨着近些年無線通信技術與電子器件技術的迅猛發展,使多功能、低成本與低功耗的無線傳感器應用與開發變成可能。這些微型傳感器一般由數據處理部件、傳感部件以及通信部件共同組成[4]。就當前情況而言,僅僅考慮有效、公平應用信道是多數無線傳感器互聯網的通病,該現象極易攻擊到無線傳感器互聯網鏈路層,基於該現狀,無線傳感器網絡MAC安全體制可以對該問題進行有效解決,從而在很大程度上提升無線傳感器互聯網本身的安全性能,確保其能夠更高效的運行及應用[5]。
3.4不斷加強網絡安全管理力度
實際應用環節,首先應該不斷加強互聯網安全管理的思想教育,同時嚴格遵循該制度。因此應該選擇互聯網使用體制和控制方式,不斷提高技術維護人員的綜合素質,從而是無線互聯網實際安全應用水平得到不斷提升[6]。除此之外,為對其技術防禦意識進行不斷提升,還必須培訓相關技術工作者,對其防範意識予以不斷提升;其次是應該對網絡信息安全人才進行全面培養,在對校園無線網絡進行應用過程中,安全運行互聯網非常關鍵[7]。所以,應該不斷提升無線互聯網技術工作者的技術能力,以此使互聯網信息安全運行得到不斷提升。
4、結束語
無線傳感器網絡技術是一種應用比較廣泛的新型網絡技術,比傳統網絡技術就有較多優勢,不但對使用主體內部資料的保存和傳輸帶來了方便,而且也大大提升了國內無線互聯網技術的迅猛發展。從目前使用情況來看,依舊存在問題,負面影響較大,特別是無線傳感器網絡的安全防禦方面。網絡信息化是二十一世紀的顯著特徵,也就是説,國家與國家間的競爭就是信息化的競爭,而無線網絡信息化可將我國信息實力直接反映與體現出來,若無線傳感網絡系統遭到破壞,那麼就會導致一些機密文件與資料信息的泄露,引發不必要的經濟損失與人身安全,私自截獲或篡改互聯網機密信息,往往會造成互聯網系統出現癱瘓現象。因此,應該進一步強化無線傳感器互聯網信息安全性。
參考文獻:
[1]周賢偉,覃伯平。基於能量優化的無線傳感器網絡安全路由算法[J]。電子學報,2007,35(1):54—57。
[2]羅常。基於RC5加密算法的無線傳感器網絡安全通信協議實現技術[J]。電工程技術,2014(3):15—18。
[3]試析生物免疫原理的新型無線傳感器網絡安全算法研究[J]。科技創新導報,2015(3):33—33。
[4]滕少華,洪源,李日貴,等。自適應多趟聚類在檢測無線傳感器網絡安全中的應用[J]。傳感器與微系統,2015(2):150—153。
[5]劉雲。基於流密碼的無線傳感器網絡安全若干問題管窺[J]。網絡安全技術與應用,2014(10):99—100。
[6]曾鵬,樑韋華,王軍,等。一種基於生物免疫原理的無線傳感器網絡安全體系[J]。小型微型計算機系統,2005,26(11):1907—1910。
[7]邵舒淵,盧選民。基於無線傳感器網絡技術的煤礦安全監測系統研究與開發[J]。電子技術應用,2008,34(6):138—140。
摘 要:
對計算機網絡安全性分析建模進行研究,以保障計算機網絡的安全穩定運行。
關鍵詞:
計算機網絡;安全性分析;建模
當今社會信息技術不斷髮展進步,計算機在社會羣體的生活中扮演着重要的角色,此種形勢下,計算機網絡安全面臨着嚴峻的挑戰。 為降低計算機網絡系統運行過程中的安全隱患,社會羣體主張通過數學建模的研究方式保障計算機網絡安全。 計算機網絡安全性研究工作的開展,目標是建立一個安全模型,對計算機網絡安全性進行分析,以保障計算機網絡運行的穩定性。 但黑客職業的出現,嚴重影響了計算機使用的安全性和可靠性,嚴重侵犯了社會羣體的隱私,計算機在遭受木馬病毒後會陷入嚴重癱瘓的情況,在此種情況下,應當高度重視計算機網絡安全,加強計算機網絡安全性分析建模研究具有重要的現實意義。
1、目前我國計算機網絡安全發展現狀
計算機在人們日常生活中的使用度越來越高,人們對計算機的依賴度也越來越高。 人們已經逐漸的習慣了將自己的所有的隱私存儲在計算機內,特別是一些大型的企業將自己企業所有的商業機密全都存儲在計算機內,如果一旦計算機受到攻擊,那麼人們的隱私和商業機密將全部泄露出去。 因此計算機網絡安全問題受到了所有人們的高度重視, 因為人們對自己的隱私越來越重視,不能夠允許自己的隱私泄露出去,但是現存的許多的木馬病毒會隱藏在用户所打開的網頁或者下載的軟件中, 使人防不勝防。 許多的商家看中了這個商機開發了許多的防毒軟件,但是這些殺毒軟件根本起不到多少的作用。
近年來許多的計算機網絡研究人員對於計算機網絡安全進行了全方位的研究,並對計算機系統的安全防護、安全檢測和數據找回等進行了深入詳細的研究與探析,建立了有效的網絡安全模型。 網絡安全模型就是綜合研究成果建立出的計算機網絡安全模型對保護計算機網絡安全有很好的效果。
2、影響計算機網絡安全性的重要因素
2.1、計算機網絡軟件和網絡漏洞。 計算機網絡軟件和網絡漏洞是指在硬件、軟件或協議的安全設計和實現上存在一定不足,導致非法用户在未經授權的條件下登陸系統內部,並對計算機網絡造成惡意破壞,嚴重影響計算機網絡的正常安全使用。 在計算機網絡系統運行過程中,計算機網絡安裝軟件以及網絡漏洞是威脅計算機網絡安全的一項重要因素。 在計算機網絡系統運行過程中,計算機一旦存在網絡漏洞,為病毒入侵和黑客攻擊提供了便利的條件,嚴重影響用户數據信息傳輸和交流,部分用户甚至受到病毒的惡意供給和非法控制,嚴重影響用户的正常工作和生活。
2.2、計算機網絡信息泄露 、篡改和非法傳輸 。 為保障計算機網絡安全, 就應當充分做好計算機內部存儲數據信息的保護工作,尤其是社會羣體在計算機中存儲的隱私信息,包括個人資料、商業機密和銀行賬户與密碼,還有研究人員的一些重要發明成果和研究成果等,都是重要的數據信息,在計算機網絡系統中需要重點保護。 但當前計算機系統運行過程中,計算機網絡信息泄露、篡改和非法傳輸的問題比較嚴重,嚴重威脅着計算機網絡安全性。 隨着現代社會科學技術的不斷髮展進步,社會羣體對計算機技術的研究不斷深入,一些計算機專業出身的羣體能夠輕而易舉的入侵其他用户的計算機網絡系統,瀏覽用户的數據信息,甚至存在非法篡改和非法傳輸等行為,嚴重影響着計算機網路安全,不利於社會的穩定有序發展。
2.3、黑客和病毒的惡意攻擊。 黑客和病毒的惡意攻擊是影響計算機網絡安全的又一大主要因素。 黑客是計算機網絡普及後新興的一種職業,黑客使用高超的計算機網絡技術,不斷的攻擊他人的網絡從他人的計算機中獲取大量的信息, 從而獲得大量的利潤。
甚至有的黑客攻擊他人的計算機不是為了謀取暴利,僅僅是處於一種炫耀的心理,希望所有的人都知道。 前幾年在我國發生過一次非常惡劣的攻擊計算機的事件,就是有一個黑客製作了一種叫做“ 熊貓燒香”的木馬病毒,凡是被該木馬病毒攻擊過的計算機都會陷入癱瘓,整個屏幕都會變成熊貓燒香的圖案,這個事件對我國造成了較大的損失,雖然及時得到了處理,但是對人們造成的影響是不可估量的,由此可見黑客和病毒的惡意攻擊對計算機網絡安全的影響有多大。 惡意程序、病毒、木馬等工具也是黑客常用的手段,對用户的數據進行惡意篡改和竊取,並且病毒或者木馬還能夠影響計算機網絡的聯通性,影響用户計算機正常使用。
3、計算機網絡安全性分析模型
3.1、計算機網絡拓撲結構模型分析。 計算機網絡拓撲結構是一種現代物理構成模型,計算機設備與信息傳輸媒介之間所形成關係為節點與線之間的關係。 在計算機網絡系統運行過程中,為全面提高計算機網絡安全性,應當積極採取有效措施構建計算機網絡拓撲結構模型, 分析網絡設備的具體特點並對設備進行優化改進,掌握計算機網絡拓撲結構模型中的連接關係,為計算機網絡安全奠定可靠的基礎。 計算機網絡設備是計算機網絡的硬件設施的有序集合,通過交換機、防火牆和主機等設備的協調運作,保障計算機網絡的穩定運行。 互聯網中大多以硬件地址和設備名稱等方式標註硬件設備,以實現準確區分。 在計算機網絡拓撲結構模型中,應當加強計算機安全等級設定,提高密碼設置的複雜性和多樣性,提高計算機網絡安全等級,切實保障計算機網絡安全。
3.2、計算機網絡攻擊模型 。 計算機網絡系統運行過程中 ,極易受到黑客和病毒的惡意攻擊,嚴重影響計算機網絡安全。 為保證計算機網絡安全,應當加強計算機訪問權限設置,提高計算機網絡系統內部重要信息的私密性,只有管理員才具有該網絡系統的訪問權限,計算機內部重要信息的修改,只有在所存儲的計算機上能夠進行操作, 其他計算機或移動設備不能夠實現遙控操作,從而保障計算機網絡安全。
計算機網絡攻擊模型中,應當對計算機網絡訪問權限中最底層用户進行有效控制,將用户訪問權限降到最低水平,確保其不能夠通過任何方式獲取主機的數據信息, 以免計算機受到攻擊。計算機網絡系統運行過程中, 應當積極優化計算機網絡系統,減少計算機漏洞問題,定期對計算機網絡及計算機設備進行維護和檢測,及時對計算機網絡系統漏洞進行處理,修復網絡系統,最大程度上保證計算機網絡安全。
4、結論
在信息時代下,計算機網絡技術不斷髮展,網絡安全事故頻發,嚴重威脅着計算機網絡安全,甚至對社會羣體的切身利益產生一定影響和制約。 為保障計算機網絡安全,應當加大計算機網絡安全性分析建模研究,切實提高網絡安全性分析管理的工作效率,維護計算機網絡運行的穩定性和安全性。
參考文獻
[1] 徐 小平。計算機網絡系 統安全性分析及評估 [J]。電 腦知識與技術,2016( 8):102.
[2] 王秋豔,朱 民。網上銀行的安全性分析與研究[J]。軟 件導刊 ,2011( 8) :45.
蒙田範文網