网络的安全威胁与对策,本文主要内容关键词为:对策论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 网络安全所面临的主要威胁
网络安全所面临的威胁主要分为两大类:一是对网络中信息的威胁;二是对网络中设备的威胁。从形式上:电磁泄露、搭线窃听、非法入侵、线路干扰、意外原因、病毒感染、信息截取、操作系统本身及各种应用服务存在的安全问题、网络协议的缺陷等都是威胁网络安全的重要因素。
1.1 屏蔽措施等不利
网络接口、传输线路的处理都有可能因屏蔽措施不严而造成电磁泄露,特别是目前大多数计算机房的屏蔽和防辐射设施都不健全,对网络的安全构成了直接的威胁。
1.2 计算机病毒
自1987年以来,全世界已发现近50万种计算机病毒,他不但破坏计算机硬件(如:臭名昭著的CIH病毒),而且可以破坏网络安全系统并通过网络破坏更多的计算机(如:最新的电脑蠕虫),它以整个电脑为感染对象,并能通过电子邮件传播,短时间内就能造成网络瘫痪。
1.3 黑客攻击
黑客的侵扰是破坏网络信息安全的主要因素。目前,因特网上已由3万多个黑客网站,而且技术不断创新,基本的攻击手法已多达800多种。“黑客”攻击的方式主要有:篡改、删除和插入信息、拒绝服务、网络监听、侵犯个人隐私等。
1.4 操作系统和应用软件的漏洞
操作系统是一个复杂、庞大的软件,有时一些软件设计编程人员为自己方便而设置的一些“后门”或是因为程序人员的疏忽或软件人员的失误,也可能会留下一些漏洞,这都将使黑客对系统入侵成为可能。例如Windows95和Windows NT系统是目前常用的个人计算机操作系统和网络操作系统,但它们都有严重的安全漏洞,如果用户不及时到Microsoft的站点上下载升级程序很有可能成为入侵者造访的对象。
另一方面,西方发达国家处于国家或民族的利益,也可能人为地在操作系统中留下“后门”或秘密通道,以备将来获取其他国家用户的重要信息为己所用,这也正是我们国家一再强调要自主开发操作系统的重要原因。
1.5 Internet浏览与E-mail收发
因为E-mail是用户与外界联系的重要途径之一,因此通过E-mail极易实现破坏对方的目的。通过E-mail传播的逻辑炸弹、特洛伊木马和电子炸弹等。同时,Web页面是目前Internet上提供信息和用户浏览信息的主要形式,一些不法分子为达到自己的各种目的,侵入一些网络站点的网页,篡改网页内容,往往造成非常恶劣的影响。
1.6 工作人员的不安全因素
工作人员的不安全因素主要来自工作人员信息安全观念不强,或不具备信息安全的基本知识,操作失误以及违章操作造成人为的泄密事故。另外,工作人员的非法行为也是网络不安全因素的一大来源,工作人员利用其对系统的了解,非法对系统进行破坏,造成系统软件的故障对网络造成不良后果。
此外,环境及一些自然灾害如:温度、湿度、空气洁净度、静电、停电及地震、火灾、水灾等也是造成网络不安全的主要因素。
2 网络安全的对策
网络的安全措施以及相对应的控制技术种类繁多而且相互交叉。虽然没有完整统一的理论基础,但是在不同的场合,为了不同的目的,这些技术确实发挥了出色的功效。目前采用的手段主要有防火墙、加密、身份认证、访问控制、安全操作系统、安全路由器及网络入侵检测技术等。
2.1 防火墙
为了保护内部网络不受来自Internet的侵害,一个最有效的方法就是设置防火墙。网络防火墙设置在内部网络和外部网络之间,是两个网络之间的屏障,通过安全访问控制技术阻止外部入侵者进入内部网,并让满足权限的用户从内部网访问外部网及Internet。常采用包过滤技术、代理技术和电路网关级技术。有时几种防火墙同时使用,互相弥补各自的缺陷,增加系统的安全性。
包过滤防火墙(网络层防火墙):包过滤防火墙通常安装在路由器上,可以用来禁止外部不合法用户对内部的访问,也可禁止访问某些服务类型,只允许满足过滤表中规则的数据通过。它基于IP Packet的源,或IP地址,或TCP端口,有较好的网络性能和较好的应用程序透明性,但由于无法有效地区分同一IP地址的不同用户,所以它的安全性较低。
代理防火墙(应用层网关级防火墙):由代理服务器和过滤路由器组成。过滤路由器负责网络互连,并对数据进行严格选择,然后将数据传给代理服务器,代理服务器类似于一个数据转发器,主要控制哪些用户能访问哪些服务类型,使得内部网络与外部网络不存在直接的连接,因此,即使防火墙发生了问题,外部网络也无法获得与被保护的网络连接。代理防火墙还提供了详细的日志及审计功能,大大提高了网络的安全性。
双穴主机防火墙:是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络,双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上,网络服务由双穴主机上的服务代理来提供。内部网络和外部网络的用户可通过双穴主机上的共享数据区传递数据,确保内部网络不受非授权用户的攻击。
2.2 数字签名
数字签名技术是实现网络环境下数据安全传输的重要手段之一,是一种主动安全防御策略。主要用于防止非法伪造、假冒和篡改信息,能够保证数据的完整性。如果数据在传送过程中被修改过或者根本就是伪造的,则无法通过接受方的数字签名验证,同时它具有不可抵赖性,发送方不能抵赖他曾发送了该信息,因为别人无法伪造他的数字签名,除非他的私人密钥被窃取,它将成为电子商务的首选安全技术。
2.3 入侵检测
入侵检测系统是对防火墙的必要补充,作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。可分成三种主要的入侵检测机构:基于主机的入侵检测系统;对主机的审计信息进行分析与检测,寻找入侵事件的线索;基于网络的入侵检测系统:对网络实施监听并通过流量分析提取特征模式,再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。混合分布式入侵检测系统则是前两种入侵检测技术的结合。
2.4 其他安全措施
对信息的传输回路进行有效地保护以预防电磁泄露对网络信息安全存在的隐患。通常采取的措施:对传输电缆加金属屏蔽或露天保护;使传输线路远离各种辐射源,以免数据由于干扰而出错;定期检查线路,以防搭线接听、外连或破坏等。同时,在尽量堵塞安全中的技术漏洞的同时,加强人的安全意识和保密观念,增强用户的自我保护能力;进行安全立法,运用法律手段保护网络的安全也是重要的措施。
网络安全是一个系统概念,完善的网络安全体系集成了监控和保密性,但随着网络技术的迅速发展,新的安全漏洞,新的黑客攻击技术会不断涌现,这就要求建立完备的管理制度,发展网络安全技术,并从技术和人为两方面堵塞漏洞。