摘要:随着社会的快速发展以及科学技术的不断进步,计算机网络技术已被广泛应用于各个领域,网络已成为人们工作生活中必不可少的一部分,网络安全问题也越来越成为关注的焦点。通过对计算机网络中的安全问题进行分析和研究,提出计算机网络安全问题的防护策略。
关键词:计算机网络;网络安全;策略
互联网高速发展的今天,不论工作还是生活,越来越离不开网络,网络无处不在,网络给人们带来巨大便利的同时,也带来了严重的安全问题,安全事故频繁发生,计算机网络安全问题成为信息时代人类共同的挑战。
1计算机网络安全问题分析
1.1物理安全方面
计算机及其相关网络设备,是网络系统的硬件支撑,很容易受到外界因素的影响,如运行环境、设备老化、电磁干扰、自然灾害等,这些因素会对网络安全造成不小的威胁,在很大程度上影响着信息的正常交换及存储。自然灾害发生的概率虽然不大,但是却会对网络系统造成严重破坏,比如地震、海啸等。运行环境也会对网络系统的安全构成威胁,如环境温度过高、湿度过大等都会对网络系统的正常运行造成影响。设备被毁、被盗造成信息泄漏或丢失。电磁干扰会影响信息传输的速度和质量,严重的话有可能造成信息被窃取或偷阅。设备老化容易造成设备故障频发,影响网络的安全稳定运行。
1.2系统软件方面
1.2.1操作系统
操作系统是计算机硬件和其它软件的接口,同时也是用户和计算机的接口,可以说操作系统是网络安全的基石和底座。但操作系统本身就有缺陷,只是一般用户很难发现。比如,操作系统可以创建进程、支持进程的远程创建和激活,支持被创建的进程继承创建的权限,这种运行机制为攻击者在远端服务器安装间谍软件提供了条件;操作系统支持远程调用,但是现阶段的远程调用需要经过众多的环节,远程调用中极易被监控;操作系统中总会存在漏洞,攻击者利用漏洞进行非法入侵,破坏计算机网络安全。
1.2.2数据库系统
数据共享是数据库的突出特点,而数据共享就很容易对数据库的安全性造成威胁。数据库里面有海量的数据信息,对使用者来说,最重要的就是看数据是否方便存储和管理,而对数据的逻辑安全考虑却很少,就造成数据库系统安全建设方面存在短板。因为数据库管理系统基本都是和操作系统相互协作工作,攻击者可能会通过操作系统的相关漏洞对数据库管理系统进行攻击,造成数据库里数据的泄漏和破坏。
1.2.3网络协议
网络协议是一种特殊的软件,是计算机网络实现其功能的基本机制。计算机网络能够正常运行,实现网络间各个节点以及终端相互间的互联和通信,都是因为有各种网络协议的存在。因特网最开始的设计和构想是建立在可信的网络环境之下,虽然实现了资源共享和数据交换的功能要求,但是对计算机网络整体的安全性却缺乏考虑。没有认证及加密机制的网络协议是不安全的,况且开放性和共享性也是网络协议的特点,这就导致计算机网络安全存在着先天性缺陷。
1.3应用软件方面
随着信息技术的广泛应用,人们对应用软件的需求越来越多,功能要求也越来越高,这样就导致应用软件的设计和开发越来越复杂,使得软件运行状态难以预料和控制,难免会存在安全缺陷和漏洞。在应用软件的开发阶段,开发者常会在软件内创建后门以方便测试或者修改程序中的缺陷,但在软件正式时,后门可能由于种种原因而没有被删除,或者软件本身在开发时设计不周全,也可能会存在后门,这些后门的存在对使用者的网络系统安全也构成严重威胁。
1.4病毒木马方面
计算机病毒种类繁多而且复杂,其实就是计算机程序,只不过这种程序具有传染性、隐蔽性、潜伏性、破坏性、寄生性、可触发性等特征,能够影响计算机等相关设备的正常使用,具有破坏作用。免杀技术的出现和使用,使得同一种原型病毒代码经过修改后,可以产生无数新的病毒,给杀毒软件带来挑战,尤其是采用病毒特征码技术检测的杀毒软件。自我更新性是病毒的新特征,病毒编制者通过部署病毒升级服务器,借助于网络平台,对病毒进行更新升级,升级的频次有时比杀毒软件的病毒库更新频次还高,使得病毒不能被杀毒软件检测出来。木马也是计算机病毒的一种,它一般包括控制端和服务端,通过一定的方式(比如诱骗、捆绑等)将服务端程序安装到用户计算机中,利用控制端来远程操控用户计算机,木马的产生严重危害计算机网络的安全运行。
1.5网络攻击方面
网络攻击主要是利用网络系统中存在的安全缺陷和漏洞对相关的硬件、软件进行的攻击。攻击者是在信息技术条件下,通过对信息资源实施隐秘操作以实现其目的的个人或群体。网络的全球性给攻击者提供了很好的攻击环境,借助网络这个平台,不管是有线网络还是无线网络,攻击者可以很方便的对网络上任意终端或信息系统发起远程攻击。网络攻击行为分为两种:主动攻击和被动攻击。主动攻击采用篡改、伪造信息数据和终端拒绝服务等攻击方式,通过有选择的破坏网络信息的完整性和有效性,导致某些数据流的篡改和虚假数据流的产生。被动攻击主要是在不影响网络工作的基础上,采用窃听、流量分析、破解弱加密的数据流等攻击方式,截取、窃取、破译重要数据。网络攻击是影响计算机网络安全的重要因素。
1.6安全管理方面
管理是计算机网络安全中非常重要的部分,对计算机网络安全认识不足,安全意识淡薄,没有健全安全管理制度,没有制定有效的网络安全应急预案,对内部人员疏于防范等都可能引起网络安全风险。如果仅仅只依靠一些网络安全设备,而没有正确的管理和使用,没有配置或配置错误的安全控制规则,当网络受到攻击时,就可能无法第一时间接收到预警信息,不能及时采取有效措施来抵御攻击,严重的话可能也获取不到攻击者的攻击痕迹,缺乏相关的日志记录,实现不了事先能防范和事后能取证的安全防护效果,影响到网络安全管理的质量和效果。
2计算机网络安全防护策略
虽然各种安全问题一直困扰着计算机网络的正常运行,但是只要采取正确的防护措施就能够最大限度降低计算机网络受到的安全风险,有效提升计算机网络的安全防护水平。从技术和管理层面主要有如下几方面:
2.1网络隔离技术
网络隔离技术主要是指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的,分为逻辑网络隔离技术和物理网络隔离技术。逻辑网络隔离技术主要包括虚拟局域网、虚拟路由和转发、多协议标签转换、虚拟交换机等。物理网络隔离技术是网络隔离技术的核心和基础,也是最安全的,它通过“数据摆渡”方式对物理隔离的网络之间实现数据交换,可以有效隔离开外部网络的各种潜在安全威胁,透明支持多种网络应用,并定义相关约束和规则来控制网络之间的数据交换状态,实现各种网络之间数据的安全交互,安全强度最高。
2.2防火墙技术
防火墙是实施访问控制策略的系统,位于内部网络与外部网络之间的网络安全系统,是计算机网络安全中用的最多的一种技术。防火墙一般部署在不同网络安全域之间,以隔离内部和外部网络,通过相关的安全策略来控制进出网络的访问行为,以阻挡来自外部的网络入侵,确保内部网络不遭受恶意攻击,防火墙技术是保证计算机网络安全的一个重要保障。随着计算机网络的发展,基于二到四层进行安全防护的传统防火墙,已无法有效防护来自应用层的网络威胁。从最早的包过滤防火墙,到目前的下一代防火墙,防火墙安全引擎更加智能与高效,更加关注应用层控制,通过获取外部信息作出的安全策略更加合理、有效。下一代防火墙在性能、安全性、易用性、可管理性、可视性等方面有了质的飞跃,基本满足计算机网络安全新的防御和管理需要。能够建立起与入侵防御系统之间的自动化的联动机制,当入侵防御系统引擎检测到源自某个IP地址的攻击后,能够自动由防火墙引擎采用最简单的方式直接对其进行阻断,实现在不同信任级别的网络之间实时执行网络安全政策的联机控制,最终在网络边界处实现各种安全控制。
2.3入侵防御系统技术
入侵防御系统是入侵检测系统的升级产品,一般采用串行部署方式,直接嵌入到网络流量中,部署在网络的边界,提供主动、实时的防护。它通过其中的一个端口接收网络边界外系统的数据流量,按照特定的规则对接收的数据流量进行分析检测,检测结果符合规则要求后再通过另外的端口将这些数据流量传输到网络边界内系统中。入侵防御系统采用协议重组分析和并行处理检测的技术,对接收的数据流量进行深度感知,可以实时阻断恶意流量的攻击,并实现对非关键业务进行限流,以确保网络带宽资源的合理配置。
2.4防病毒技术
防病毒技术分为病毒的预防、检测、清除三种技术,这三种技术贯穿了系统在抵御病毒危害应对方式的整个过程中。病毒预防技术采用特定的规则对运行的程序进行监控,如果程序运行状态符合特定的规则,则判断此程序为病毒,并阻止该程序对系统进行任何操作。病毒检测技术通过两种检测方法进行检测,一种是直接检测,根据病毒的特征码来判断,如果被检测程序的代码符合病毒的特征码,则判断此程序为病毒;另一种是间接检测,对某个文件按照一定的方式进行检验和计算,在此基础上得到一个数据值,以后按照不同的周期对此文件进行同样的检验和计算,用得到的数据值和之前的数据值进行比对,如果出现差异,则判断该文件感染了病毒。病毒清除技术是病毒感染程序的逆过程,一般是采用一些具有杀毒功能的软件或硬件来实现。
2.5网络冗余技术
冗余技术是提高系统可靠性的一种方法,主要依靠系统的并联模型设计,又称储备技术。网络冗余设计包括软件冗余设计和硬件冗余设计,它主要通过对网络中的路由器、交换机、服务端、传输介质、网卡等设备及相关软件进行重复配置,当系统某个节点出现故障时,重复配置的相应的设备或软件自动代替出故障的节点,恢复相应的功能,保证整个系统的正常运行。网络冗余技术实现两套完全相同互为备份的网络,一套网络出故障可以快速切换至另一套网络,从而不影响系统通信,提高了计算机网络系统的可靠性。
2.6容灾备份技术
容灾备份技术一般是指在相互距离非常远的两个地方或两个以上地方建设相同的两套或两套以上的信息系统,这些地方的信息系统可以相互侦测到对方的运行状态,当其中一个地方的信息系统出现故障时,其它地方的信息系统可以自动替代其运行,保证了信息系统的正常工作,系统服务不会中断,最大限度降低了严重灾难对信息系统造成的威胁,大大提高了信息系统应对各种风险的抵御能力。容灾备份的最高等级为活动备援中心,这些数据中心之间采用相互备份的方式,可以实现数据不丢失。
2.7网络安全管理
提高网络安全意识,制定和完善相关的网络安全管理制度,明确责任,强化监督,推进安全等级保护、安全测评及风险评估等基础性工作。加强账号密码的安全管理,对所有服务器、终端、网络设备及应用系统设置复杂密码,并定期更换,杜绝弱口令及使用通用密码管理所有设备。安装杀毒软件和终端安全管理软件,及时更新病毒库和安装漏洞补丁,开启设备的关键日志收集功能,并关闭一些不必要的端口。采用多种存储技术对重要信息系统数据定期进行备份,并对备份的数据进行多介质存放。制定网络安全应急预案,并定期组织演练。综上所述,计算机网络安全包含硬件防护、软件防护及通信防护,涉及到多种学科,是一个集中展示信息技术应用的领域。虽然计算机网络没有绝对的安全,但仅仅依靠单一的某种防护措施肯定达不到良好的防护效果,只有把各种防护措施综合起来使用,相互配合,自动协同运行,才能最大限度降低网络受到的安全风险,才能建立起相对完善的计算机网络安全防护体系。
参考文献:
[1]华艳.计算机网络安全威胁分析及防护体系架构研究[J].九江学院学报(自然科学版),2017,32(4):91-93.
[2]刘煜.网络安全态势感知与防护体系[J].电子技术,2017,46(9):28-30.
[3]王铁凡.计算机网络安全风险来源及防范策略研究[J].计算机与网络,2017,43(11):73-75.
作者:张广玉 单位:江苏省淮安市交通信息中心
