① 計算機信息安全的目標是什麼
1、真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑒別。
2、保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
3、完整性:保證數據的一致性,防止數據被非法用戶篡改。
4、可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
5、不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
6、可控制性:對信息的傳播及內容具有控制能力。
(1)論計算機網路安全防範目的擴展閱讀
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。
計算機網路本身存在一些固有的弱點(脆弱性),非授權用戶利用這些脆弱性可對網路系統進行非法訪問,這種非法訪問會使系統內數據的完整性受到威脅,也可能使信息遭到破壞而不能繼續使用,更為嚴重的是有價值的信息被竊取而不留任何痕跡。
② 計算機網路信息安全及防範措施有哪些
1. 完整性
指信息在傳輸、交換、存儲和處理過程保持非修改、非破壞和非丟失的特性,即保持信息原樣性,使信息能正確生成、存儲、傳輸,這是最基本的安全特徵。
2. 保密性
指信息按給定要求不泄漏給非授權的個人、實體或過程,或提供其利用的特性,即杜絕有用信息泄漏給非授權個人或實體,強調有用信息只被授權對象使用的特徵。
3. 可用性
指網路信息可被授權實體正確訪問,並按要求能正常使用或在非正常情況下能恢復使用的特徵,即在系統運行時能正確存取所需信息,當系統遭受攻擊或破壞時,能迅速恢復並能投入使用。可用性是衡量網路信息系統面向用戶的一種安全性能。
4. 不可否認性
指通信雙方在信息交互過程中,確信參與者本身,以及參與者所提供的信息的真實同一性,即所有參與者都不可能否認或抵賴本人的真實身份,以及提供信息的原樣性和完成的操作與承諾。
5. 可控性
指對流通在網路系統中的信息傳播及具體內容能夠實現有效控制的特性,即網路系統中的任何信息要在一定傳輸范圍和存放空間內可控。除了採用常規的傳播站點和傳播內容監控這種形式外,最典型的如密碼的託管政策,當加密演算法交由第三方管理時,必須嚴格按規定可控執行。
③ 什麼是網路安全,為何要注重網路安全
第一,國家安全方面的原因
當前,網路已經滲透到了社會的方方面面。層出不窮的病毒,防不勝防的黑客,盜取數據,破壞網路,對國家安全構成了極大的威脅。委內瑞拉、烏克蘭電廠遭受攻擊,導致全國區域性大停電;勒索軟體全球肆虐,劫持重要信息資源嚴重影響人們的工作生活;國家之間網路暗戰較量時有發生。一個個看似獨立的網路安全事件,已經產生蝴蝶效應,形成巨大的網路連鎖隱患。網路安全牽一發而動全身,不是一句空話。
第二,個人生活方面的原因
先舉個小例子,小明喜歡發朋友圈,並且每條朋友圈下面都附上自己的位置定位,尤其是一些高大上的地方,都要特別標注。在一次長途旅行回家後,他發現自己家被盜,隨即報警。警方之後抓住了小偷,經審訊得出結論,小偷是通過小明朋友圈信息了解到他的行蹤和位置,實施了犯罪。
這就是簡單的因為數據泄露而造成的犯罪案件。這樣的事件在我們的生活中隨處可見。公共的WIFI、付款的二維碼和鏈接、智能門鎖、甚至連拍照時的「剪刀手」姿勢,都有可能出賣你的秘密。由此看來,互聯網在給我們帶來便捷生活的同時,也在悄悄的將我們變成了「透明人」。
網路威脅,該如何應對?
盡管互聯網面臨著很多不安全因素,但是,我們依然要享受互聯網的便利。外賣的美食還是要品嘗、移動支付還是要使用、網購「剁手」還是要繼續。因為,歷史的車輪已經駛入互聯網時代,我們要做的就是享受其中,同時也要提高安全防範意識,不給不法分子可乘之機。
那麼,面對網路威脅,我們要如何應對? 小編在此簡單總結幾招:
就國家層面而言,有關部門應不斷完善和落實相關的網路安全法律法規,加強網路安全的宣傳教育,使網路安全防護意識深入人心;就網路運營者而言,應重視信息數據、商業數據保護,提高安全意識,向專業的網路安全公司尋求幫助;就個人層面而言,要提高網路安全的防護意識和防護技能,做到知己知彼,百戰不殆。
④ 網路安全分析的目的是什麼
計算機網路和互聯網的發展,區域網安全越來越受到人們的和關注。是在區域網在廣域網中,都著自然和人為等諸多因素的潛在威脅和網路的脆弱性。故此,區域網的安全措施應是能地不同的威脅和脆弱性,才能網路信息的保密性、完整性和可用性。信息的安全與暢通,區域網的安全防範措施已迫在眉睫。
1.當前區域網安全
1.1 計算機網路的定義
計算機網路,通信設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能的網路軟體(即網路通信協議、信息交換和網路操作系統等)網路中資源共享和信息傳遞的系統。[①]
計算機網路由通信子網和資源子網兩構成。通信子網是計算機網路中數據通信的;資源子網是計算機網路中面向用戶的,全網路面向應用的數據工作。就區域網而言,通信子網由網卡、線纜、集線器、中繼器、網橋、路由器、交換機等設備和軟體組成。資源子網由連網的伺服器、工作站、共享的列印機和設備及軟體所組成。
1.2 網路安全定義
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原遭受到破壞、更改、泄露,系統連續地運行,網路服務不中斷。網路安全從其本質講網路上的信息安全。[②]
1.3 區域網安全
區域網的安全主要包括物理安全與邏輯安全。物理安全主要指網路硬體的、使用及管理等;邏輯安全是從軟體的角度的,主要指數據的保密性、完整性、可用性等。
1.3.1 來自互聯網的安全威脅
區域網是與Inernet互連的。Internet的開放性、國際性與自由性,區域網將面臨嚴重的安全威脅。區域網與外部網路間的安全防護措施,很容易遭到來自Internet 黑客的攻擊。可以嗅探程序來探測、掃描網路及操作系統的安全漏洞,如網路I P 地址、應用操作系統的類型、開放的T C P 埠號、系統用來保存用戶名和口令等安全信息的關鍵文件等,並攻擊程序攻擊。還可以網路監聽等手段內部網用戶的用戶名、口令等信息,進而假冒內部合法身份非法登錄,竊取內部網路中信息。還能發送數據包對網路伺服器攻擊,使得伺服器超負荷工作拒絕服務,甚至使系統癱瘓。
1.3.2 來自區域網內部的安全威脅
內部管理人員把內部網路結構、管理員口令系統的信息傳播給外人帶來信息泄漏;內部職工熟悉伺服器、小程序、腳本和系統的弱點,網路開些小玩笑,甚至搞破壞。如,泄漏至關的信息、錯誤地資料庫、刪除數據等,都將給網路的安全威脅。
⑤ 計算機網路安全問題及防範措施
對計算機信息構成不安全的因素很多, 其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素,垃圾郵件和間諜軟體也都在侵犯著我們的計算機網路。計算機網路不安全因素主要表現在以下幾個方面:
1、 計算機網路的脆弱性
互聯網是對全世界都開放的網路,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、國際性的特點就對計算機網路安全提出了挑戰。互聯網的不安全性主要有以下幾項:
(1)網路的開放性,網路的技術是全開放的,使得網路所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊,或是來自對網路協議的攻擊,以及對計算機軟體、硬體的漏洞實施攻擊。
(2)網路的國際性,意味著對網路的攻擊不僅是來自於本地網路的用戶,還可以是互聯網上其他國家的黑客,所以,網路的安全面臨著國際化的挑戰。
(3)網路的自由性,大多數的網路對用戶的使用沒有技術上的約束,用戶可以自由地上網,發布和獲取各類信息。
2、操作系統存在的安全問題
操作系統是作為一個支撐軟體,使得你的程序或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟體資源和硬體資源。操作系統軟體自身的不安全性,系統開發設計的不周而留下的破綻,都給網路安全留下隱患。
(1)操作系統結構體系的缺陷。操作系統本身有內存管理、CPU 管理、外設的管理,每個管理都涉及到一些模塊或程序,如果在這些程序裡面存在問題,比如內存管理的問題,外部網路的一個連接過來,剛好連接一個有缺陷的模塊,可能出現的情況是,計算機系統會因此崩潰。所以,有些黑客往往是針對操作系統的不完善進行攻擊,使計算機系統,特別是伺服器系統立刻癱瘓。
(2)操作系統支持在網路上傳送文件、載入或安裝程序,包括可執行文件,這些功能也會帶來不安全因素。網路很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經常會帶一些可執行文件,這些可執行文件都是人為編寫的程序,如果某個地方出現漏洞,那麼系統可能就會造成崩潰。像這些遠程調用、文件傳輸,如果生產廠家或個人在上面安裝間諜程序,那麼用戶的整個傳輸過程、使用過程都會被別人監視到,所有的這些傳輸文件、載入的程序、安裝的程序、執行文件,都可能給操作系統帶來安全的隱患。所以,建議盡量少使用一些來歷不明,或者無法證明它的安全性的軟體。
(3)操作系統不安全的一個原因在於它可以創建進程,支持進程的遠程創建和激活,支持被創建的進程繼承創建的權利,這些機制提供了在遠端伺服器上安裝「間諜」軟體的條件。若將間諜軟體以打補丁的方式「打」在一個合法用戶上,特別是「打」在一個特權用戶上,黑客或間諜軟體就可以使系統進程與作業的監視程序監測不到它的存在。
(4)操作系統有些守護進程,它是系統的一些進程,總是在等待某些事件的出現。所謂守護進程,比如說用戶有沒按鍵盤或滑鼠,或者別的一些處理。一些監控病毒的監控軟體也是守護進程,這些進程可能是好的,比如防病毒程序,一有病毒出現就會被撲捉到。但是有些進程是一些病毒,一碰到特定的情況,比如碰到5月1日,它就會把用戶的硬碟格式化,這些進程就是很危險的守護進程,平時它可能不起作用,可是在某些條件發生,比如5月1日,它才發生作用,如果操作系統有些守護進程被人破壞掉就會出現這種不安全的情況。
(5)操作系統會提供一些遠程調用功能,所謂遠程調用就是一台計算機可以調用遠程一個大型伺服器裡面的一些程序,可以提交程序給遠程的伺服器執行,如telnet。遠程調用要經過很多的環節,中間的通訊環節可能會出現被人監控等安全的問題。
(6)操作系統的後門和漏洞。後門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟體開發階段,程序員利用軟體的後門程序得以便利修改程序設計中的不足。一旦後門被黑客利用,或在發布軟體前沒有刪除後門程序,容易被黑客當成漏洞進行攻擊,造成信息泄密和丟失。此外,操作系統的無口令的入口,也是信息安全的一大隱患。
(7)盡管操作系統的漏洞可以通過版本的不斷升級來克服, 但是系統的某一個安全漏洞就會使得系統的所有安全控制毫無價值。當發現問題到升級這段時間,一個小小的漏洞就足以使你的整個網路癱瘓掉。
3、資料庫存儲的內容存在的安全問題
資料庫管理系統大量的信息存儲在各種各樣的資料庫裡面,包括我們上網看到的所有信息,資料庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問許可權進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對於資料庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止資料庫被破壞和非法的存取;資料庫的完整性是防止資料庫中存在不符合語義的數據。
4 、防火牆的脆弱性
防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬體和軟體的結合,使Internet 與Intranet 之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入。
但防火牆只能提供網路的安全性,不能保證網路的絕對安全,它也難以防範網路內部的攻擊和病毒的侵犯。並不要指望防火牆靠自身就能夠給予計算機安全。防火牆保護你免受一類攻擊的威脅,但是卻不能防止從LAN 內部的攻擊,若是內部的人和外部的人聯合起來,即使防火牆再強,也是沒有優勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發展,還有一些破解的方法也使得防火牆造成一定隱患。這就是防火牆的局限性。
5、其他方面的因素
計算機系統硬體和通訊設施極易遭受到自然的影響,如:各種自然災害(如地震、泥石流、水災、風暴、物破壞等)對構成威脅。還有一些偶發性因素,如電源故障、設備的機能失常、軟體開發過程中留下的某些漏洞等,也對計算機網路構成嚴重威脅。此外不好、規章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。
計算機網路安全的對策,可以從一下幾個方面進行防護:
1、 技術層面對策
對於技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
(1)建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。
(2)網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(3)資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
(4)應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。
(5)切斷途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U 盤和程序,不隨意下載網路可疑信息。
(6)提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
(7)研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。
2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。
3、安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這個安全的環境是指機房及其設施,主要包括以下內容:
(1)計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。
(2)機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
(3)機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。
⑥ 計算機網路安全防範的目標是什麼,用一段話說明
你好!網路安全防範的目標就是防止網路攻擊,防止遠程非法連接~
⑦ 如何防範計算機網路攻擊
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。
取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。
但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。
另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。
這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。
現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
-----------------------------------------------------------------------------
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
----------------------------------------------------------------------------
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機 ;
(2)允許IP地址為 和 的用戶Telnet (23口)到主機 上;
(3)允許任何地址的E-mail(25口)進入主機 ;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。
當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。
規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。
如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。
這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。
Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。
這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為」停火區」(DMZ,即DemilitarizedZone),Bastionhost放置在」停火區」內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
----------------------------------------------------------------------------
(四)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網。
⑧ 網路安全防範的目標是什麼
你好朋友,當然是減少中毒了,要使電腦少中毒,必須遵循以下兩個原則:1、安裝一款好的防毒軟體。比如360殺毒簡單方便,對系統的病毒防護和修復功能都很好。2、養成良好的使用習慣。下載軟體到官方網頁,或者到自己熟悉的網站下載,不要瀏覽不良網站,不要隨意打開陌生人的郵箱、網址鏈接等。
⑨ 如何進行計算機網路的安全防範
做好計算機的安全防範工作包括以下3點:
1.防火牆技術
網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態。
目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。
雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊。
2.強化訪問控制,力促計算機網路系統運行正常。
訪問控制是網路安全防範和保護的主要措施,它的任務是保證網路資源不被非法用戶使用和非常訪問,是網路安全最重要的核心策略之一。
第一,建立入網訪問功能模塊。入網訪問控制為網路提供了第一層訪問控制。它允許哪些用戶可以登錄到網路伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。第二建立網路的許可權控制模塊。網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。
3.數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所採用的主要手段之一。
數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和埠加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特徵值是否符合預先設定的參數,實現對數據的安全保護。
⑩ 試論如何應對當前計算機網路安全
計算機網路安全防範的有效措施對計算機網路的安全防範可以從技術(數據備份、物理隔離網閘、防火牆技術、加密技術)和管理兩方面加以思考,經過調查,目前解決計算機網路安全問題的有效措施有以下幾點: 1.對必要的數據進行備份數據備份的好處是即使計算機網路被非法侵入或破壞,對於那些重要的數據依然可以從一定硬碟等地方加以恢復。通常對數據進行備份時採用的方法方式有全盤備份,增量備份以及差分備份。 2.在系統中應用防火牆技術防火牆在計算機組成中被劃分到了軟體的行列里,它的位置處於計算機和它所連接的網路之間。由於計算機對信息進行傳輸和發送都需要經過防火牆的掃描,所以就可以對一些不良信息加以審核和過濾,保證計算機網路信息的安全。此外,防火牆不僅能關閉不使用的埠,還能禁止來自特殊站點的訪問,從而保證計算機網路的安全。 3.加密技術在計算機網路安全防護中的使用對計算機網路重要信息的加密過程是對原來的重要數據按照某種計算機語言處理之後,使其具有不可讀的代碼,在使用時,只有對加密的文件或數據加以解密之後才能正常應用,從而達到加密效果。智能卡技術是數據加密技術的兄弟技術,它是密鑰的一種媒體,類似於人們的信用卡,因此智能卡技術的應用大大提高了計算機網路的安全性。 4.加大計算機網路安全管理力度為了更加有效的保證計算機網路的安全,人們在利用技術解決網路安全問題的同時,還應該加大對計算機網路的安全管理力度。網路管理不同於企業實體管理。