浅谈对计算机网络安全的认识
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅谈对计算机网络安全的认识
摘要
计算机网络的发展,特别是互联网的普及,使人们的学习、工作和生活方式发生了很大的变化,与计算机网络的联系也越来越密切。计算机网络系统提供了丰富的资源以便用户共享,提高了系统的灵活性和便捷性,但也正是这些特点,增加了网络系统的脆弱性、网络受威胁和攻击的可能性以及网络安全的复杂性。
关键字:计算机网络安全安全模型安全措施
1.引言
近年来,随着计算机网络的普及与发展,我们的生活和工作都越来越依赖于网络。国家政府机构、各企事业单位不仅建立了自己的局域网系统,而且通过各种方式与互联网相连。但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。所以,我们在利用网络的同时,也应该关注网络安全问题,加强网络安全防范,防止网络的侵害,让网络更好的为人们服务。
2.网络安全概述
2.1网络安全简介
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
2.2网络安全的主要目标
网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。
(1)可靠性
可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠
性是系统安全的最基本要求之一,是所有网络信息系统的建设和运行目标。可靠性用于保证在人为或者随机性破坏下系统的安全程度。
(2)可用性
可用性是网络信息可被授权实体访问并按需求使用的特性。可用性是网络信息系统面向用户的安全性能。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。
(3)保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现,它是在可靠性和可用性的基础之上,保障网络信息安全的重要手段。
(4)完整性
完整性是网络信息未经授权不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(5)不可抵赖性
不可抵赖性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,利用信息源证据防止发信方不真实地否认已发送信息,利用递交接收证据防止收信方事后否认已经接收的信息。
(6)可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
2.3网络安全的类别
(1)物理安全
物理安全指网络系统中相关设备的物理保护,以免予破坏、丢失等。通常的物理网络安全措施是使用物理隔离设备,物理隔离设备的作用是使网络之间无连接的物理途径,这样,内网的信息不可能外泄。
(2)逻辑安全
逻辑安全指的是通过软操作方式来实现网络安全的措施,通常指的是用户通过安装杀毒软件、系统补丁,关闭服务、端口,加密等多种方式实现网络安全的过程。逻辑安全包括信息保密性、完整性和可用性。
(3)操作系统安全
每一种网络操作系统都采用了一些安全策略,并使用了一些常用的安全技术,但是目前很难找到一款安全的网络操作系统。对操作系统安全而言,应该注意以下几个方面:(1)为操作系统选择优秀的杀毒软件和防火墙系统。
(2)设置操作系统管理员账号和密码,并且要保证密码足够强壮。
(3)对系统进行分角色管理,严格控制系统用户。
(4)定期进行系统扫描,及时安装系统补丁程序。
(5)对系统进行备份,定期进行磁盘扫描,检测系统是否出现异常。
(6)可以安装外壳软件或蜜罐系统进行反跟踪。
(4)联网安全
网络按照其工作方式划分为两级体系结构,即把由发送端和接收端组织的网络称为资源子网,把由中间的链路机构成的网络称为通信子网,所以联网的安全性就体现在内部网络安全和外部网络安全两个方面。
内部网络的安全性表现在不向外部网络发送非安全数据,如病毒等,对来自外部网络的攻击有一定的防御能力,保护联网资源不被非授权使用。外部网络安全指的是通过数字加密等方式认证数据机密性与完整性,保证数据通信的可靠性。
2.4网络安全模型
(1)PDRR安全模型
PDRR是美国国防部提出的常见安全模型。它概括了网络安全的整个环节,即防护(Protect)、检测(Detect)、响应(React)、恢复(Restore)。这4个部分构成了一个动态的信息安全周期,如下图所示。
(2)PPDR安全模型
PPDR是美国国际互联网安全系统公司提出的可适应网络安全模型,它包括策略(Policy)、保护(Protection)、检测(Detection)、响应(Response)4个部分。PPDR 模型如下图所示。
2.5安全层次设计
网络安全贯穿于整个OSI网络模型。针对TCP/IP协议,网络安全应贯穿于信息系
统的4个层次。网络安全体系层次模型如下所示。
2.6安全设计原则
在进行计算机网络安全设计、规划时,应遵循以下原则:
(1)需求、风险、代价平衡分析的原则。
(2)综合性、整体性原则。
(3)一致性原则。
(4)易操作性原则。
(5)适应性、灵活性原则。
3.网络安全威胁分类
3.1物理威胁
物理威胁在网络中实际上是最难控制的,它可能来源于外界的有意或无意的破坏。物理威胁有时可以造成致命的系统破坏,例如系统的硬件措施遭受严重的破坏。
物理威胁的防治虽然很重要,然而在网络维护中很多物理威胁往往被忽略,如网络设备被盗等。另外,在更换设备的时候,进行系统信息的销毁也十分重要。如在更换磁盘时,必须经过格式化处理过程,因为反删除软件很容易获取仅从磁盘上删除的文件。
3.2系统漏洞威胁
(1)端口威胁
端口威胁是系统漏洞威胁的重要方面,一般的操作系统都有很多端口开放,在用户上网的时候,网络病毒和黑客可以通过这些端口连接到用户的计算机上。潜在的端口开放相当于给系统开了一个后门,病毒和网络攻击者可以通过开放的端口入侵系统。
(2)不安全服务
操作系统的部分服务程序不需要进行安全认证服务就可以登录,这些程序一般都是基于UDP协议的,它的无认证服务导致系统很有可能被病毒和网络攻击者控制。此类服务在使用完毕后应该立即停止,否则将造成系统不可挽回的损失。例如,基于UDP协议的TFTP 服务就是一种不安全的机制,它是不经过认证的网络服务方式,一旦安装在计算机上并开启服务,就相当于提供了一个和FTP类似的服务功能,与FTP惟一不同的是,它访问网络根本就不需要认证。
(3)配置和初始化
有些系统提供认证和匿名两种方式,所以如何区分服务方式和如何进行系统服务的初始化配置非常关键。例如,FTP服务器默认就提供了匿名访问方式,到底是否提供用户认证访问方式,在系统的配置中非常关键。一些不同的服务系统本身对服务方式的提供有不同的方式,比如IIS服务器中默认是禁止目录浏览的,而Apache系统中默认就可以实现目录浏览,所以必须根据网络需求选择。
3.3身份鉴别威胁
(1)假冒
假冒的身份鉴别通常是用一个模仿的程序代替真正的程序登录界面,设置口令圈套,以窃取口令。
(2)密码暴力破解
按照密码学的观点,任何密码都可以被破解出来,任何密码都只能在一段时间内保持