计算机信息安全论文(2)
计算机信息安全论文篇二
《计算机网络信息安全与防范》
摘 要:本文对现实中网络安全的威胁以及表现形式做了分析与比较,特别对为加强安全应采取的应对措施做了深入讨论,并描述了该研究领域的未来发展走向。
关键词:系统应用软件 病毒 防火墙技术 加密技术
计算机网络是一个开放和自由的空间,具有连接形式多样性、终端分布不均匀性和网络互联性等特征,致使网络容易受到病毒、木马、间谍软件等恶意代码的攻击。利用计算机犯罪很难留下犯罪的证据,这大大刺激了计算机犯罪案件的发生,使计算机犯罪迅速地增加,这就使网络系统面临很大的威胁,成为严重的社会问题之一。
一、网络安全的主要威胁因素
计算机网络面临的安全威胁大体可分为两种:一是对网络本身的威胁,二是对网络中信息的威胁。对网络本身的威胁包括对网络设备和网络软件系统平台的威胁;对网络中信息的威胁除了包括对网络中数据的威胁外,还包括对处理这些数据的信息系统应用软件的威胁。
1.人为的无意失误
人为的无意失误是造成网络不安全的重要原因之一。网络管理员在这方面不但肩负重任,还面临越来越大的压力。网络管理员稍有考虑不周,安全配置不当,就会造成安全漏洞。另外用户安全意识不强,不按照安全规定操作,一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网,或将自己的账户随意转借他人与别人共享等,这些都会对网络安全带来威胁。
2.人为的恶意攻击
人为的恶意攻击是目前计算机网络所面临的最大威胁。敌手的攻击和计算机犯罪就属于这一类。人为攻击又可以分为两类:一类是主动攻击,它以各种方式有选择地破坏系统和数据的有效性和完整性;另一类是被动攻击,它是在不影响网络和应用系统正常运行的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,导致网络瘫痪或机密泄漏。
3.病毒感染
在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒。计算机病毒具有破坏性、复制性和传染性。计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质里,当达到某种条件时即被激活,通过修改其他程序的方法将自己精确拷贝或者以可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。计算机病毒是人为造成的,对其他用户的危害性很大。计算机病毒的花样不断翻新,编程手段越来越高,其蔓延范围广泛,增长速度惊人,损失难以估计。它像灰色的幽灵附在其他程序上,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛伊木马等有害代码大量涌现。
4.系统的漏洞及“后门”
计算机系统漏洞是程序在设计、实现或运行操作上存在的错误,被黑客用来获取信息,取得用户权限、取得系统管理权限或破坏系统。操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员为自身的方便在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节,大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。曾经出现过的黑客攻击网络内部的事件,这些事件大部分是安全措施不完善所招致的苦果。
根据网络漏洞产生的原因、存在的位置和利用漏洞攻击的原理,漏洞可以分为系统漏洞和人为漏洞两类。系统漏洞是指硬件或软件因为设计或制作生产时产生的能被利用的漏洞,这些漏洞有很多都是由于系统设计人员和程序员对网络环境的不熟悉、工作失误造成的,无论是操作系统、网络应用软件、还是单机应用软件都广泛隐藏着漏洞。人为的漏洞也有两类,一类是故意留下来的,网络管理员或程序开发者为更好地控制网络,往往预留秘密通道,以保持对网络的绝对控制;另一类是因为管理员的疏忽而产生的。
二、网络安全的防范措施
1.建立信息安全管理保障体系
信息安全是三分靠技术,七分靠管理,没有一个安全的管理体系作保障,就谈不上网络的安全。管理是多方面的,有信息的管理、制度的管理、人员的管理、机构的管理等,它的作用是最广泛的,是网络安全的灵魂。
信息安全管理保障体系,主要是从技术管理、制度管理等方面加强保密管理的力度,使管理成为信息安全工作的重中之重。技术管理主要是对泄密隐患的技术检查,对安全产品、系统的技术测评;制度管理主要是指各种信息安全保密制度的制定、监督执行与落实。光依靠技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,应该积极培养计算机网络信息安全意识,加强安全意识的培训,对广大的一般操作人员进行培训,让他们统一认识,增强安全意识,养成良好的上网习惯,提高职业道德修养。网络治理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源,对重要部门和信息,严格做好开机查毒和及时备份数据。
2.防火墙技术
防火墙(Firewall)一词来源于早期欧式建筑中为了防止火灾的蔓延而在建筑物之间修建的矮墙。计算机网络中的防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。防火墙主要用于逻辑隔离外部网络与受保护的内部网络。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准的信息进入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙三种类型,并在计算机网络得到了广泛的应用。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。
由于防火墙是一种被动技术,它假设了网络边界和服务,对内部的非法访问难以实现有效的控制。因此,防火墙适合于相对独立的网络。虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意的人为攻击;不能防范内部用户攻击;不能防止内部用户因误操作而造成口令失密受到的攻击;很难防止病毒或者受病毒感染的文件的传输等。
3.数据加密技术
在计算机网络中,加密技术是信息安全技术的核心,是一种主动的信息安全防范措施,信息加密技术是其他安全技术的基础。加密技术是指通过使用代码或密码将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的不可理解的密文形式(即加密),对电子信息在传输过程中或存储体内进行保护,以阻止信息泄露或盗取,从而确保信息的安全性。
数据加密的方法很多,到目前为止已经公开发表的各种加密算法多达百种,常用的算法有简单加密方法、对称算法、公钥算法等。简单的加密方法有:换位和置换。换位和置换是两种主要的编码方法,是组成最简单的密码的基础。换位很像是一种字母游戏,打乱字母的顺序,并设法用这些打乱的字母组成一个单词。在换位密码中,数据本身并没有改变,它只是被安排成另一种不同的格式,有许多种不同的置换密码,有一种是用凯撒大帝的名字命名的,即凯撒密码。它的原理是每一个字母都用其前面的第三个字母代替,如果到了最后那个字母,则又从头开始算。字母可以被在它前面的第n个字母所代替,在凯撒的密码中n就是3。基于密钥的密码算法,这种算法通常有两类:对称算法和公开密钥算法。对称算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。大多数对称算法中,加、解密的密钥是相同的,它要求发送者和接收者在安全通信之前,商定一个密钥。算法的安全性依赖于密钥,只要通信需要保密,密钥就必须保密。这一类算法的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
4.防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其他资源传染,网络防病毒软件会立刻检测到并加以删除。病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式对网络进行传播和破坏,造成线路堵塞和数据丢失损毁,建立统一的整体网络病毒防范体系是对计算机网络整体有效防护的解决办法。
计算机网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了要保证网络的安全,仅仅使用各种安全技术来实现防范是远远不够的,还要求有关管理、操作人员必须具有高度的安全防范意识。
随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的计算机网络系统。
(作者单位:河南省驻马店高级技工学校)
看过“计算机信息安全论文”的人还看了:
