近期热点
·企业网络安全的规划设计与实践
·网络安全之我见
·制造执行系统(MES)的应用与发展
·基于PDM的工作流程管理
·<连载>Protel二次开发从入门到精通
·PDM选型决策支持系统的研究与实现
 相关文章
·蜜罐信息采集技术分析
·安全防线 企业VPN防火墙导购
·TCP/IP网络的信息安全与防火墙技术
·进化中的Web应用防火墙
·UTM部署网络安全的优势
·守护者也会有漏洞 防火墙不是万能的
 相关博客
·三巨头携手加强企业网络保护
·中小企业应注重安全路由器哪些方面
·何为安全路由器
·集成的SCADA系统的安全防护
·信息安全运营中心如何运用在大中型企业中
·网络安全铿锵三人行
 相关新闻
·
龙芯再战防火墙 挑战英特尔芯片
·
侠诺FVR420v喜获渠道媒体“最佳渠道支持奖”
·
Qno侠诺新品 全球第一台会说话防火墙路由
·
艾克斯特最新推出清网(防火墙)V5.0新版本
·
引领防火墙用户进入千兆高速时代
·
2005防火墙大会华山论剑
 相关热贴
·浅析传统网络防火墙的五大不足
·最强劲的企业级应用层防火墙Microsoft ISA Server你真的了解吗?
·最强劲的企业级应用层防火墙Microsoft ISA Server你真的了解吗?
·选购防火墙的十项注意
·让你瞧瞧黑客眼中的防火墙与路由器
·中间人纵横灰色地带 跨国公司商业贿赂防火墙
 相关商城商品
· 天网防火墙个人版
 
 
当前位置:基础信息化 -> 综合
 
网络安全之我见
发表时间:2007-9-23 文德春   来源:万方数据
关键字:防火墙 网络 安全 
网络安全越来越受到人们的重视。 本文结合笔者在网络管理的一些经验体会,从密码、系统、共享目录安全和防火墙技术等方面对网络安全谈了自己的看法和做法,介绍了一些常见的网络攻击及其产生的原因,并阐述了防火墙、入侵检测等网络安全技术。

    随着互联网的迅速发展,大量的信息在互联网上进行传播,人们在得益于网络的同时, 网络上的数据也受到了黑客的攻击和篡改,不可避免地会侵犯他人的合法权益,而且这种侵犯将因为互联网比其他媒体更有广泛的影响而加重侵权的严重程度。 网络安全显得日益重要,因此,加强与互联网相关的立法建设,对于全体国民都是非常重要的。

一、计算网络面临的攻击

    计算机网络所面临的威胁大体可分为以下几种。一是对网络中信息的威胁、二是对网络中设备的威胁。 首先是人为方面的因素:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。其次是人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。 此类攻击又可以分为以下两种。再次是网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷, 这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的。
    常见的网络攻击有以下几种:(1)口令攻击:通常是利用sendmail,login 的漏洞进行攻击。另外,用Lopht crack 一类的工具扫描NT 的口令文件,NT 系统也会受到攻击,这是一个很普遍的攻击。 (2)淹没攻击,也称拒绝服务攻击:它的本质是通过不停地占用被攻击系统的资源,导致被攻击系统资源耗尽而无法向合法用户提供正常的服务。(3)序列号攻击:序列号攻击就是利用了客户发送数据包到接受下一个数据包之间的时间差。 攻击者把自己伪装成服务器,通过某种方式得到服务器分配给下一个发送数据字节的序列号,并发送伪装的数据包。(4)缓冲区溢出。很多系统在不检查程序与缓冲区间的变化的情况下,接受任何长度的数据输入,把溢出部分放在堆栈内,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。 (5)合法工具的滥用:一些原本为系统管理员进行网络监控管理的工具,被黑客用来进行网络攻击。 例如。portscan 工具被黑客用来检索系统的活端口。网包嗅探器(packet sniffer),黑客如要攻击网络,则先把网卡编成功能混杂的设备,截取经过网络的信息包,然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。

二、网络攻击的原因及管理

    网络安全受到攻击的原因主要有:1 系统的固有安全漏洞。 任何软件系统,包括系统软件和应用软件,都无法避免安全漏洞的存在,黑客大多都是利用这些漏洞攻击网络。比如MAC、IP、TCP 的地址标识可以被其他用户窥探到,这为假冒身份提供了方便,使得用户认证不能依靠地址标识。2 网络管理上的漏洞。 内部网络缺乏审计跟踪机制,网络管理员和系统管理员对日志和其他审计信息没有足够的重视。有些机构在设计内部网络时,把精力放在如何防御外部攻击上,而对内部攻击的防御不够重视。
    常言道:“三分技术,七分管理”。安全方案的实现,离不开管理。人员管理除了技术层次的要求,比如:学历、个人技能、工作经验等,还应有安全性要求,保证从事网络信息工作的人员都应有良好的品质和可靠的工作动机,不能有任何犯罪记录和不良嗜好。 所有工作人员都应有能力来正确地执行安全的策略,减少人为的因素或操作不当而给系统带来不必要的损失或风险。 系统备份)恢复策略的存在,是为了满足系统业务连续不间断的要求,避免由于自然灾难、事故、设备的损坏和恶意的破坏行为带来系统不停顿服务功能的丧失。 内部网络的不安全主要体现在对网络的违规使用,如越权使用某些业务,查看、修改机密文件或数据库等,同时也包括一些对计算机系统或网络的恶意攻击。

三、网络安全的保护措施

    为了保证计算机系统、网络系统和信息的安全,针对网络攻击我们可以采取一些预防和保护措施,比如采用信息加密,防火墙,入侵检测等技术,来解决安全需求的特定方面的问题。
    1、防火墙控制。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出两个方向通信的门槛。它是被保护网络与外部网络之间的一道屏障,根据各种过滤原则来判断网络数据是否能够通过防火墙。 防火墙的实现技术主要有。数据包过滤、应用网关和代理服务等。
    2、数据加密技术
    数据加密技术是提高网络系统数据的保密性,防止秘密数据被外部破析所采用的主要技术手段,一般采用两种加密形式。保密密钥和公开密钥。(1)保密密钥。又称私钥加密和对称密钥加密,广泛使用的数据加密标准为DES ,使用DES 的用户和接受方采用64 位密钥对报文加密和解密,利用密钥分发中心(KDC)可以集中管理和分发密钥,并在此基础上进行身份验证。(2)公开密钥。在Internet 中使用广泛,其加密密钥和解密密钥是不同的。用户产生一对密钥,其中一个作为公钥公开,另一个作为私钥由属主保存。
    3、安全路由器、安全性分析工具:安全路由器提供了某些基于地址或服务的过滤机制,可以在一定程度上限制网络访问。 安全性分析工具用于自动发现网络上的安全漏洞,给出安全性分析报告。
    4、安全检测预警系统。安全检测预警系统用于实时监视网络上的数据流,寻找具有网络攻击特征和违反网络安全策略的数据流。当它发现可疑数据流时按照系统安全策略规定的响应策略进行响应,包括实时报警、记录有关信息、实时阻断非法的网络连接、对事件涉及的主机实施进一步的跟踪等。
    随着计算机技术和通信技术的发展, 计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。

    本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
 责任编辑:冷凝