计算机网络安全问题探讨
发布时间:2023-08-30 09:08:13浏览次数:43计算机网络安全问题探讨学号: 学生姓名: 指导教师: 【摘 要】随着计算机网络的普及和发展,网络对社会生产和生活的各个方面都产生了十分巨大的影响,特别是作为一种生产和生活工具被人们广泛接纳和使用之后,计算机网络的作用将会变得更为巨大。与此同时,网络安全风险也无处不在,各种网络安全漏洞大量存在和不断被发现,计算机系统遭受病毒感染和破坏的情况相当严重计算机病毒呈现出异常活跃的态势。面对日益严峻的网络安全形势,我们不得不采取措施来确保网络的安全有效运行。本文从网络安全定义入手,介绍了计算机网络安全现状,进一步深入分析和探讨了防火墙技术、强化访问控制VPN 技术、网络安全扫描技术等计算机网络安全技术,最后介绍防火墙技术在某校园网中的应用。【关键词】计算机;网络;安全;措施随着互联网的普及和发展,尤其是 的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱一面。据美国 统计,美国每年因网络安全问题所造成的经济损失高达 亿美元,而全球平均每 秒钟就发生一起 计算机侵入事件。在我国,每年因网络安全问题也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。因此,如何建立更加安全、有效的网络体系,值得我们探讨研究。一、计算机网络安全现状(一)计算机网络安全定义国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。 从其本质上讲就是网络安全是指网络系统的硬件、软件及数据受到保护。不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从用户的角度,他们希望涉及到个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段对自己的利益和隐私造成损害和侵犯;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。(二)计算机网络安全现状随着计算机网络的普及,各类网络安全问题也日益突出。据统计,世界上平均每 秒就有一起黑客事件发生,无论是政府机构、军事部门,还是各大银行、大公司,只要与互联网接轨,就难逃黑客的“黑手”。按照数据显示 年一秒钟会有 起黑客事件发生。而这些仅仅是据报道的数据,未被报道的数据远远要比报道的数据多。1
自 年莫里斯蠕虫病毒出现以来,病毒的数量呈爆炸式增长,病毒传播的趋利性日益突出,病毒的破坏性及反查杀能力不断增强。而日益复杂的网络系统和不断增加的安全隐患,使得针对网络的攻击越来越多,计算机网络所面临的威胁也越来越大。现在人们的生活、工作、学习、娱乐和交往都已离不开计算机网络。网络已经成为生活离不开的工具,经济、文化、军事和社会活动都依赖于网络。尽管计算机网络为人们提供了方便,但是受技术和社会因素的各种影响,计算机网络一直存在着多种安全缺陷,计算机系统遭受病毒感染和破坏的情况相当严重,计算机病毒呈现出异常活跃的态势。面对网络安全的严峻形势,我国的网络安全保障工作尚处于起步阶段,基础薄弱,水平不高,网络信息安全服务机构专业化程度不高,行为不规范,网络安全技术与管理人才缺乏。二、计算机网络安全技术(一)防火墙技术防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的网络互联技术。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被答应,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足,无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。做为内部网络与外部网络之间的第一道安全屏障,防火墙是最受人们重视的网络安全技术。但防火墙产品最难评估的是防火墙自身的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断,即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。(二)强化访问控制访问控制是计算机网络保护的一种常见方法,所谓访问控制是指授予不同的用户不同的访问权限,即哪些用户可访问哪些资源以及可访问的用户各自具有的权限,不同主体依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。其主要任务是保证网络资源不被非法使用和非常规访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制 、网络监测和锁定控制、网络端口和节点的安全控制。(三) 技术 是虚拟专用网的简称,它是通过一个公用网络建立的一个临时的、安全的连接,依靠因特网服务提供商或者 网络服务提供商在公用网络中建立专用的、临时的、安全的数据通信网络的技术,它可以实现任意两个节点之间搭建一条安全、稳定的连接隧道。随着网络技术的迅速发展, 提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式,实现了不同的网络之间的连接,和专用网络一样,具有较高的安全和功能保障。 实现的关键技术是隧道技术和加密技术,建立安全专用隧道实现在公网上传输私有数据。虚拟专用网是对企业内部网的扩展,可以访问敏感部门网络中受到保护的资源。由于采用了虚拟专用网技术,用户实际上并不存在一个独立专用的网络,不需要装备专用的设2
备,就能组成一个属于用户自己专用的电信网络。 的安全性可以通过隧道技术、加密和认证技术实现。(四)网络安全扫描技术网络安全扫描技术主要是为了帮助系统管理员及时的了解网络中可能存在或者己经存在的漏洞采取未雨绸缪的防范措施,从而保证系统的安全。网络安全扫描机制安全评估工具可以及时的检查出系统的安全漏洞,还可以对系统的资源使用状况进行分析研究,并给出系统最需解决的问题的提示。通过安全扫描,维护人员可以发现 服务器的各种 端口的分配情况、开放的服务、 服务软件版本以及可能存在的各种安全漏洞。网络安全扫描技术与防火墙、网络监控系统互相配合,能够有效提高网络的安全性。管理员依据扫描的结果发现网络安全漏洞和系统中的错误配置,提前进行防范。与防火墙和网络监控系统的被动防御相比,网络安全扫描是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。网络安全扫描主要分为三个阶段 发现目标主机或网络;进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等。如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息!依据搜集到的信息判断或者进一步测试系统是否存在安全漏洞。(五)数据加密技术数据加密是为了保障数据在传输过程中的安全性,数据传送之前对信息进行重新编码,让截获者无法获取信息的真正内容。数据加密技术是计算机网络中基本的安全技术,为数据的安全传输提供了保障。受保护的原始信息称为明文,加密后的信息称为密文。数据加密就是对那些明文进行加密,并产生密文或密码的形式;解密就是将密文还原回去。目前主要采用两类加密技术 对称密钥加密和非对称密钥加密。(六)数据备份技术在实际应用中,一旦网络系统发生硬件故障,或者人为失误进行了误操作,亦或是入侵者对数据进行了非法访问并对数据进行了完整性破坏,数据备份就可以解决这些问题,对相应的数据起到保护作用,同时它亦是维护网络安全的技术手段吻〕。灾难恢复是避免灾难发生后所导致的数据灾难,有效利用灾难恢复方案在应急地点迅速准确地重新恢复业务应用。目前数据备份有许多解决方法,基于网络的异地容灾备份是其中一种很好的解决方案。在分布式网络环境下,借助专业的数据存储管理软件,加上配套的硬件和存储设备,以便实现数据的自动备份。其工作原理如下:选择网络上的一台应用服务器作为备份机器,并连接一台大容量存储设备,在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件,通过局域网将数据集中备份到与备份服务器连接的存储设备上。通过网络备份,能够及时的将当前的正常数据另外存储,万一发生网络故障,或者数据偶然或者人为的原因破坏时,能够进行及时的恢复,为网络系统运行提供保障。三、防火墙技术在某校园网中的应用(一)防火墙的部署在保障校园网络安全方面,防火墙是最常用的防护措施,对校园网络及其系统具有较好的保护3
作用。根据校园网络的安全需求,可以监控流经防火墙的数据,对通过的数据包允许或者禁止,保证内网对外网的正常 Web 访问和 FtP 下载等服务,还能够保护内网资源免受恶意攻击。为了实现校园网的安全目标,我们在 Internet 和校园网之间部署了一台锐捷 RG-WALL1600M防火墙,为内外网之间建立了一道可靠的安全屏障。同时建立 DMZ 区,该区域是非安全系统与安全系统之间的缓冲区,将 WWW、E-mail、DNS 服务器等连接在该区域内,它阻止了内外网之间的直接通信,更有效的保护了内部网络的安全。防火墙在网络系统中的典型拓扑结构如图(图 3-1)所示:图 3-1 防火墙在网络系统中的典型拓扑结构"#$%&&' 防火墙采用了最新的硬件平台和体系架构,能够广泛适用于教育、政府等的千兆网络环境!该种类型的防火墙的高速性能不会受到策略数和会话数多少的影响,同时具有入侵检测的功能,可以判断攻击并提供解决措施!支持深度状态控制、外部攻击防范、流量监控、网页过滤等功能,可以有效保证网络的安全 提供了强大的路由功能,支持静态"( 路由策略 能够抵御绝大部分的恶意攻击,充分满足校园网用户对网络高可靠性的要求。(二)防火墙的配置和管理防火墙安装后,通过 页面进行配置和管理,主要包括配置管理主机、安装认证管理员身份 证 书 、 管 理 员 身 份 认 证 、 进 入 配 置 管 理 页 面 。 通 过 页 面 链 接 )*+ ,,, ,用管理员帐号 -./0 登录,默认密码 12-33,进入防火墙之后可以逐项进行设置。(三)防火墙实现的功能根据学校网络安全的需求,我们对防火墙提出如下功能 3对于所有没有经过允许的数据包流量进行禁止,这样可以有效的防止非授权的数据包通过防火墙并进入受保护的网络。允许内部网络用户访问外网网段和 4'5 区域网络,并且对于访问的服务进行设置,未指明的服务都是禁止访问的,这样,内部网络用户只能访问防火墙指定的服务,同时对进入 4'5 区域4
的用户访问进行严格限制,防止内网用户对 4'5 区域实施攻击。允许外部网络访问 4'5 网段的服务器,控制 4'5 区域对内网的访问控制,防止外网通过4'5 跳板对内部网络实施攻击。启动防火墙的抗攻击功能,对所有的经过防火墙的流量进行检查。开启防火墙的日志记录功能,对流经防火墙的数据进行记录,并对各个网口的流量进行统计。通过记录的日志信息,可以对各种入侵行为和安全事件进行跟踪和分析。(四)防火墙抗攻击功能设置为防止外部网络对校内网络发动扫描攻击,开启防火墙的抗攻击功能,具体设置如下 第一步 正确配置防火墙的 &% 口地址和 % 口地址第二步 定义防护墙的安全规则。进入防火墙配置页面,选择“安全策略”一今“安全规则”,配置包过滤规则,如下图图 $所示 图 $防火墙包过滤规则设置第三步 配置防火墙 % 口的抗攻击功能进入防火墙的配置页面,选择“安全策略”一今“抗攻击”,选择 % 口,启动抗攻击功能,如下图所示 5
图 $防火墙抗攻击规则设置通过模拟实验,验证了防火墙成功阻止了大量的扫描数据包,保证了内网的安全。四、结束语网络安全是一个综合性的课题,威胁计算机网络安全的因素很多,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,涉及技术、管理、使用等多方面。网络安全不仅仅是技术问题, 同时也是一个安全管理问题。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。认清计算机网络安全潜在的威胁,采取强有效的防范措旌,对于保障计算机网络的安全性是十分重要的。当我们步入信息社会后,这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。我国计算机网络安全技术的研究开发处于起步阶段,仍有大量的工作需要我们去开发和探索。6
7
参考文献杨义先,网络安全理论与技术',北京 人民邮电出版社66$,张民6徐跃进,网络安全实验教程',北京 清华大学出版社66$,龙冬阳,网络安全技术与应用',广州 华南理工大学出版社66$,谢希仁,计算机网络第 版'.北京:电子工业出版社66$,张仕斌,网络安全技术'.清华大学出版社66$,蔡立军,计算机网络安全技术',北京 中国水利水电出版社66$,朱理森6张守连,计算机网络应用技术',北京 专利文献出版社66$,谢希仁,计算机网络',版,北京 电子工业出版社66$,雷震甲,网络工程师教程',北京 清华大学出版社66$,祁明,网络安全与保密',北京 高等教育出版社66$,8
