现代网络技术安全分析
2014-04-16许明霞
许明霞
(中国建材国际工程集团有限公司,蚌埠233018)
现代网络技术安全分析
许明霞
(中国建材国际工程集团有限公司,蚌埠233018)
随着各企业的不断发展壮大,企业之间和企业内部的联络都离不开互联网,设计专业的资料搜索也离不开互联网,网络已成为现代企业运作和发展不可或缺的一部分。互联网的快速普及以及应用越来越广泛,必然引发一系列的网络安全问题。该文主要分析了网络安全的重要性并针对影响网络安全的一系列问题提出了解决方法。
网络安全; 重要性; 技术分析
1 网络安全
网络安全是指通过采用各种管理措施和技术手段,使计算机网络系统正常运行,防范信息盗窃和商业竞争攻击,从而确保网络数据的可用性、完整性和保密性。
网络安全包括网络设备安全、网络信息安全、网络软件安全。
1.1 网络安全的特点
1)机密性:保障信息的机密性。即不泄露给未被授权的用户、实体,并且不被其使用的特性。
2)完整性:不能改变未经授权的数据的特性。也就是说,在存储或传输过程中,保持信息不被修改、破坏和丢失的特性。
3)使用性:被授权的实体可以访问,并可以按需求来使用。也就是说,需要的时候能够存取自己所需要的信息。
4)控制性:能够控制互联网信息和内容的传播。
1.2 威胁网络安全的因素
威胁网络安全的因素主要有两大类:植入威胁和渗入威胁。植入威胁主要有:特洛伊木马、陷门;渗入威胁主要有:假冒、旁路控制、授权侵犯。
2 网络安全的风险分析
网络安全是保障网络正常运行和使用的必要前提。网络安全不仅仅是某一点的安全,而是整个网络的安全,需要从物理方面、网络方面、系统方面、应用方面和管理方面等等进行立体的防护。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。根据国内的应用情况以及网络系统的网络结构,可以从物理风险、结构风险、系统风险、应用风险以及管理风险等方面进行全面地分析。
2.1 物理安全的风险分析
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。网络的物理安全是整个网络系统安全的前提,因此要尽量避免网络的物理安全风险。
2.2 网络结构的安全风险分析
影响网络系统安全性的重要因素是网络的拓扑结构设计。在进行网络外部和内部通信时,网络内部的机器就会受到安全威胁,而且也会影响到在同一网络上的其他许多系统,通过网络的传播,也会影响到其他连上互联网的网络,更甚者还有可能会影响到法律、金融等对安全十分敏感的领域。所以,在设计时,我们必须隔离公开服务器和外网及内部其它业务网络,避免因网络结构而引起的信息外泄;同时还要过滤外网的服务请求,只允许无安全威胁的正常的通信数据包到达相应的主机,其它的请求服务将会在到达主机之前就被拒绝。
2.3 系统安全风险分析
所谓的系统安全是指存在于整个网络中的所有操作系统和网络硬件平台是否可信且无安全隐患。到目前为止,还没有任何操作系统是绝对安全的,不同的用户应该从自身的需求出发,从各方面对网络作详细的分析,尽可能选择安全性高的操作系统。用户不但要选择尽可能安全的操作系统和硬件平台,而且还要对操作系统进行必要的安全配置。首先必须确保用户的合法性,加强登录过程的认证;其次要将其进行的操作限制在最小的范围内,严格限制登录者的操作权限。
2.4 应用系统的安全风险分析
应用系统的安全性涉及到信息的安全性,是不断发展变化的,而且应用类型也是不断增加的。建立安全的系统平台是保障应用系统安全性的主要措施,并且可以利用专业的安全工具不断的找出漏洞,并对漏洞进行修补,提高应用系统的安全性。
保障信息的安全性,即保障机密信息不被泄露、拦截未经授权的访问、保障信息的完整性、打击假冒、破坏系统的行为等等。在网络系统中,很多机密信息在网络中流转,一旦黑客窃取或者破坏某些重要信息,将会引发严重的经济、社会以及政治问题。所以,用户在使用计算机的时候,身份认证是至关重要的,而且对于某些重要信息的通讯必须通过授权,传输信息一定要加密。为了实现对数据的安全保护,必须采用多层次的访问控制与权限控制手段,而且必须采用加密技术,保证网上传输的信息不被窃取和破坏。
2.5 管理的安全风险分析
网络安全中,最关键的部分就是管理。管理责任不明确,不健全的安全管理制度以及可操作性不足等都是可能引发管理安全风险的。一旦在网络中出现了某些攻击行为或者安全威胁时,网管人员将无法及时发现,也不能进行实时的检测、监控,以及向相关部门报告并发出预警信息。当然,在黑客进行攻击行为以后,也没有办法向公安机关提供相关的追踪线索,协助破案。也就是说,缺乏对网络的控制和审查。因此,管理人员必须对站点的任何访问活动都进行相关的多层次的记录,以便于及时发现某些非法入侵行为。
制定健全的管理制度和严格的管理手段,并且深刻理解网络并能提供直接的解决方案,是建立全新的网络安全机制的必备条件,也是保障信息网络的安全性、可扩充性以及可管理性的关键因素。
3 影响网络安全的主要因素
由于企业网络是由内部网络、外部网络和企业广域网组成,网络结构复杂,影响网络安全的主要因素有:病毒入侵、黑客攻击、数据被“窃听”和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。下面来分析几个典型的网络攻击方式:
3.1 病毒入侵
几乎有计算机的地方,就有出现计算机病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快、影响面大,所以它的危害最能引起人们的关注。病毒的“毒性”不同,轻者只会在机器上显示几个警告信息,重者则有可能破坏或危及个人计算机乃至整个企业网络的安全。任何类型的网络免受病毒攻击最保险和最有效的方法是对网络中的每一台计算机安装防病毒软件,并定期更新升级,值得用户信赖的防病毒软件包括360杀毒、腾讯电脑管家和金山毒霸等。然而,只有杀毒软件不行,还必须在意识上加强防范,不随意打开来历不明的邮件,不上陌生网站,不下载有安全隐患的文件等。
3.2 黑客攻击
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。黑客的非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。一般来说,黑客常用的入侵动机和形式可以分为两种。黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。黑客非法闯入将具备企业杀手的潜力,企业不得不加以谨慎预防。防火墙是防御黑客攻击的最好手段,位于企业内部网与外部之间的防火墙产品能够对所有企图进入内部网络的流量进行监控。不论是基于硬件还是软件的防火墙都能识别、记录并阻塞任何有非法入侵企图的可疑的网络活动。
3.3 数据“窃听”和拦截
这种方式是直接或间接截获网络上的特定数据包并进行分析来获取所需信息。一些企业在与第三方网络进行传输时,需要采取有效措施来防止重要数据被中途截获,如用户信用卡号码等。加密技术是保护传输数据免受外部窃听的最好办法,其可以将数据变成只有授权接收者才能还原并阅读的编码。进行加密的最好办法是采用虚拟专用网(VPN)技术。一条VPN链路是一条采用加密隧道(tunnel)构成的远程安全链路,它能够将数据从企业网络中安全地输送出去。两家企业可以通过Internet建立起VPN隧道。一个远程用户也可以通过建立一条连接企业局域网的VPN链路来安全地访问企业内部数据。
3.4 拒绝服务
这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。例如,通过破坏两台计算机之间的连接而阻止用户访问服务;通过向企业的网络发送大量信息而堵塞合法的网络通信,最后不仅摧毁网络架构本身,也破坏整个企业运作。
3.5 内部网络安全
为特定文件或应用设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是,大多数小型企业无法按照这一安全要求操作,企业规模越小,每个人所要求承担的工作就越多。如果一家企业在近期内会迅速成长,内部网络的安全性将是需要认真考虑的问题。
3.6 电子商务攻击
从技术层次分析,试图非法入侵的黑客,或者通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后做更进一步的操作;或者利用服务器对外提供的某些服务进程的漏洞,获取有用信息从而进入系统;或者利用网络和系统本身存在的或设置错误引起的薄弱环节和安全漏洞实施电子引诱,以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令,侵入系统。
4 网络安全的防范措施
互联网在给人们带来方便的同时,它的开放性和共享性,也让网络里通讯的内容和数据充分暴露,极其容易遭受到各种攻击,而每一种攻击带来的后果都是很严重的,比如数据被人窃取、篡改,服务器被攻击瘫痪等等。伴随着信息技术的进步和科技的快速发展,网络安全技术也越来越不容忽视,各种网络安全技术也迎来了黄金发展期,诸如防火墙技术、入侵检测技术、虚拟局域网技术、访问控制技术等等。系统结构本身的安全决定了企业的网络安全,因此企业网络安全系统必须利用结构化的观点和方法来看待。
4.1 虚拟局域网技术
虚拟局域网技术是指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,可以很好地从链路层保障网络的安全。虚拟局域网技术,是根据用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。这一技术的实现,能够有效地控制网络流量以及防止广播风暴风险,并且也可以利用MAC层的数据包过滤技术,对安全性要求较高的虚拟局域网端口实施MAC帧过滤。这种技术还有一个很大的优点:即便某一虚拟子网被黑客攻破,他们也无法窃取到整个网络的信息。
4.2 网络分段
网络分段就是将非法用户与网络资源隔离开,阻止非法用户访问网络的行为发生。以广播为基础的以太网是大多数企业网络所采用的,这种网络结构的弊端就是任何两个节点之间的通信数据包,都有可能被处在同一以太网上的另外任何一个节点的网卡所截取。所以,只要以太网上的任何一个节点被黑客接入并进行侦听,这个以太网上的所有数据包就有可能被其捕获和窃取,通过对数据包进行解包分析,窃取关键信息就易如反掌了。因此,网络分段是企业网络必须采取的网络安全防范措施之一,通过隔离手段,才能更好的保护网络上的信息安全。
4.3 硬件防火墙技术
硬件防火墙通常位于企业网络的边缘,它能很好的将企业内部网络与Internet之间或者与其他外部网络互相隔离,通过隔离来限制网络互访来达到保护企业内部网络的目的。实现和维护防火墙是任何一个企业安全策略的重要组成部分,因此,硬件防火墙也是防范网络安全的一个极其重要的因素。同时,通过设置防火墙,可以实现在内部网与外部网之间建立一条唯一的通道,从而大大地简化了网络的安全管理。
4.4 入侵检测技术
入侵检测技术是对防火墙技术的重要补充,此技术的实施不仅可以帮助系统对付网络攻击,而且也扩展了系统管理员的安全管理能力,从而提高了信息安全基础结构的完整性。入侵检测技术是收集计算机网络系统中的若干关键点的信息,并对这些信息进行分析,从中寻找网络中的违反安全策略的行为和遭到袭击的迹象。入侵检测技术是在不影响网络性能的基础上对网络进行监测,从而实现对网络内部信息的实时保护,打击外部攻击以及非法操作。
5 结 论
网络安全与企业发展息息相关,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性已变得十分重要,企业网络安全已被提到重要的议事日程。网络的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时,要加快网络信息安全技术手段的研究和创新,从而使网络的信息能安全可靠地为广大用户服务。
[1] 高永强,等.网络安全技术与应用[M].北京:人民邮电出版社,2003.
[2] 冯 元.计算机网络安全基础[M].北京:科学出版社,2003.
[3] 石志国.计算机网络安全教程[M].北京:清华大学出版社,2004.
[4] 顾巧论.计算机网络安全[M].北京:科学出版社,2003.
Analysis of Network Security
XU Ming-xia
(China Triumph International Engineering Co,Ltd,Bengbu 233018,China)
With the constant development of various enterprises,between enterprise and enterprise internal contact cannot leave the Internet,the design professional information search is also inseparable from the Internet.Network has become an indispensable part of modern enterprise operation and development.The rapid popularization of the Internet and more and more widely applied,inevitably cause a series of network security problems.This paper mainly analyzed the importance of network security,and the solutions were put forward for a series of problems in network security.
network security;importance; technology analysis
2014-01-10.
许明霞(1981-),工程师.E-mail:xmx@ctiec.net
10.3963/j.issn.1674-6066.2014.02.038
