计算机网络安全与技术的现状与未来发展

计算机网络安全与技术的现状与未来发展 计算机网络的安全问题是伴随人类社会进步和发展而日显其重要性的 信息技 术革命不仅给人们带来工作和生活上的方便 同时也使人们处于一个更易受到侵犯 和攻击的境地 例如 个人隐私的保密性就是在信息技术中使人们面对的最困难的 问题之一 在 全球一村 的网络化时代 传统的物理安全技术和措施不再足以充分 保证信息和系统的安全了 在信息技术领域 信息安全和计算机系统安全是两个相互依赖而又很难分开的 问题 保证信息安全的一个必要条件是实现计算机系统的安全 而保证计算机系统 安全的一个必要条件也是实现信息安全 这或许就是此问题是如此之难的原因 如 果说两者有什么基本的共同之处的话 那就是在于两者的实现都是通过 存取控制 或 访问控制 来作为最后一道安全防线 如果不考虑基于审计或其它信息的攻击检 测方法的话 在这道防线之前 自然就是 身份鉴别 或 身份认证 为此 各种 授权 或 分配 技术就应运而生了 从根本上说 操作系统安全 数据库安全和计 算机网络安全的基本理论是相通的 由于此问题的复杂性 以及在当前的计算机网 络环境下 在某种意义上说计算机网络的安全为操作系统安全和数据库安全提供了 一个基础 在本文中我们主要讨论计算机网络安全的问题 一 网络安全的含义及特征 网络安全从其本质上讲就是网络上的信息安全 指网络系统的硬件 软件及 数据受到保护 不遭受破坏 更改 泄露 系统可靠正常地运行 网络服务不中断 从用户的角度 他们希望涉及到个人和商业的信息在网络上传输时受到机密性 完 整性和真实性的保护 避免其他人或对手利用窃听 冒充 篡改 抵赖等手段对自 己的利益和隐私造成损害和侵犯 从网络运营商和管理者的角度来说 他们希望对 本地网络信息的访问 读写等操作受到保护和控制 避免出现病毒 非法存取 拒 绝服务和网络资源的非法占用和非法控制等威胁 制止和防御网络 黑客 的攻击 网络安全根据其本质的界定 应具有以下基本特征 1 机密性 是指信息 不泄露给非授权的个人 实体和过程 或供其使用的特性 在网络系统的各个层次 上都有不同的机密性及相应的防范措施 在物理层 要保证系统实体不以电磁的方 式向外泄露信息 在运行层面 要保障系统依据授权提供服务 使系统任何时候都 不被非授权人使用 对黑客入侵 口令攻击 用户权限非法提升 资源非法使用等 2 完整性 是指信息未经授权不能被修改 不被破坏 不被插入 不延迟 不 乱序和不丢失的特性 3 可用性 是指合法用户访问并能按要求顺序使用信息 的特性 即保证合法用户在需要时可以访问到信息及相关资料 在物理层 要保证 信息系统在恶劣的工作环境下能正常进行 在运行层面 要保证系统时刻能为授权 人提供服务 保证系统的可用性 使得发布者无法否认所发布的信息内容 接受者 无法否认所接收的信息内容 对数据抵赖采取数字签名 4 可控性 是指对网 络上的信息及信息系统实施安全监控 做到能够控制授权范围内的信息流向 传播 及行为方式 控制网络资源的使用及使用网络资源的人或实体的使用方式 5 可审查性 是为了对出现的安全问题提供调查的依据和手段 使系统内所有发生的 与安全有关的动作均有说明性记录可查 二 网络安全现状分析 随着计算机和通信技术的发展 网络信息的安全和保密已成为一个至关重要且 急需解决的问题 计算机网络所具有的开放性 互连性和共享性等特征使网上信息 安全存在着先天不足 再加上系统软件中的安全漏洞以及所欠缺的严格管理 致使 网络易受攻击 因此网络安全所采取的措施应能全方位地针对各种不同的威胁 保 障网络信息的保密性 完整性和可用性 现有网络系统和协议还是不健全 不完善 不安全的 网络安全是研究与计算机科学相关的安全问题 具体地说 网络安全研究了安 全的存储 处理或传输信息资源的技术 体制和服务的发展 实现和应用 每个计 算机离不开人 网络安全不仅依赖于技术上的措施 也离不开组织和法律上的措施 客户服务器计算模式下的网络安全研究领域 一是 OSI 安全结构定义的安全服务 鉴别服务 数据机密性服务 数据完整性服务 访问控制服务等 二是 OSI 安全 结构定义的安全机制 加密 数字签名 访问控制 数据完整性 鉴别交换 通信 填充等机制以及事件检测 安全审查跟踪 安全恢复 三是访问控制服务 访问控 制服务中的安全技术有静态分组过滤 动态分组过滤 链路层网关 应用层网关 四是通信安全服务 OSI 结构通信安全服务包括鉴别 数据机密性和完整性和不可 抵赖服务 五是网络存活性 目前对 Internet 存活性的研究目的是开发一种能保护 网络和分布式系统免遭拒绝服务攻击的技术和机制 三 网络安全解决方案 网络安全是一项动态 整体的系统工程 网络安全有安全的操作系统 应用系 统 防病毒 防火墙 入侵检测 网络监控 信息审计 通信加密 灾难恢复 安 全扫描等多个安全组件组成 一个单独的组件是无法确保信息网络的安全性 1 防病毒技术 网络中的系统可能会受到多种病毒威胁 对于此可以采用 多层的病毒防卫体系 即在每台计算机 每台服务器以及网关上安装相关的防病毒 软件 由于病毒在网络中存储 传播 感染的方式各异且途径多种多样 故相应地 在构建网络防病毒系统时 应用全方位的企业防毒产品 实施层层设防 集中控制 以防为主 防杀结合的策略 2 防火墙技术 防火墙技术是近年发展起来的重要网络安全技术 其主要作 用是在网络入口处检查网络通信 根据用户设定的安全规则 在保护内部网络安全 的前提下 保障内外网络通信 提高内部网络的安全 3 入侵检测技术 入侵检测系统是近年出现的新型网络安全技术 目的是提 供实时的入侵检测及采取相应的防护手段 实时入侵检测能力之所以重要 是因为 它能够同时对付来自内外网络的攻击 4 安全扫描技术 这是又一类重要的网络安全技术 安全扫描技术与防火墙 入侵检测系统互相配合 能够有效提高网络的安全性 通过对网络的扫描 可以了 解网络的安全配置和运行的应用服务 及时发现安全漏洞 客观评估网络风险等级 如果说放火墙和网络监控系统是被动的防御手段 那么安全扫描就是一种主动的防 范措施 做到防患于未然 5 网络安全紧急响应体系 网络安全作为一项动态工程 意味着它的安全 程度会随着时间的变化而发生变化 随着时间和网络环境的变化或技术的发展而不 断调整自身的安全策略 并及时组建网络安全紧急响应体系 专人负责 防范安全 突发事件 四 个人用户如何尽量保证上网安全 每台电脑都必须装杀软 但杀软起到的作用往往只是在病毒入侵后 不能根本 性的保证个人电脑的安全 并且 杀软的病毒库要时时更新 必须开启实时监控 才能起到杀软真正的作用 每个人都会注册各种账号或者邮箱 会使用一些密码 但是有些人的密码在各个网站是一样的 甚至于连用户名也是一样的 这就很可能 导致一个网站被泄密 所有的网站的资料都外泄 最近发生的 CSDN 泄密事件导致 了 700 万的 YY 用户 4000 万的天涯社区明文密码 500 万人人用户密码等各大网 站泄密事件 因此在设置密码的时候应使用强口令 密码要包含大小写字母 数字 符号等 但不含自己及周围熟悉的人的姓名缩写 生日日期 电话号码等 对所有 用户都要设强口令 定期或不定期地经常更改密码 密码最好各不相同 密码不要 存在电脑里 各种论坛 邮箱切忌使用相同的用户名 ID 和密码 这样才能保证用 户的密码安全 另外 除了刚刚所说的一定要安装杀软外 我们还必须在电脑上安 装防火墙 并正确配置和使用 防火墙是我们电脑的第一道防护线 所以一定要树 立起一道高墙 检查 XP 自带防火墙中 例外 里的项目 哪些是正常的网络应用 程序和服务 哪些是可疑的甚至是异常的病毒或木马程序 并检查是否有伪装 此 外 我们最好不要上一些非法的不可靠甚至于黄色网站 不随意点击链接 以防网 页木马 不随意打开邮件附件和别人发来的文件 要先检查文件是否有伪装 捆绑 注意文件扩展名 是否捆绑其他木马文件 作为一名学生 每天也必须接触到很多文件 打印文件成了大学生的一件比较 重要的事 但是各大打印店的电脑却是 U 盘病毒的中转地 因此要想保证自己的电 脑不中 U 盘病毒 就得购买带有写保护功能的 U 盘或者移动硬盘 这样才能在这一 个环节保证电脑的安全 假如已经中了 U 盘病毒 那么这个时候要做的事情就是对 自己的电脑进行根本性查杀 1 结束病毒进程 2 删除系统文件夹中的病毒文 件 3 删除硬盘其它盘符根目录下的 autorun inf 和相应的病毒文件 如果非得想在自己的电脑上进行某些可能带有危险性的操作 最好的方法就是 使用虚拟机软件 虚拟机的功能是什么呢 简单来说就是在自己的电脑里 物理机 安装一个虚拟的电脑 通过这台电脑来实行操作 使用虚拟机的好处是虚拟机可以 随时删除而不会让物理机遭受侵害 比如要攻击别人电脑或者对一个病毒进行实验 或使用一个有限时限次使用的软件 都可以使用虚拟机来操作 提高自己电脑的安 全性 但是虚拟机也不是万能的 有些情况下虚拟机的病毒会影响到物理机 比如 1 利用 VMware 自带的文件夹共享功能将物理机硬盘文件夹共享给虚拟机 2 即使未启用 VMware 自带的文件夹共享功能 但虚拟机和物理机是联网的 而 防范措施是 1 利用 VMware 自带的文件夹共享功能时设置 只读 2 当进 行带毒实验时 虚拟机无需网络功能 则可关闭虚拟机的网络功能 3 经常 合 理使用快照功能 4 加强物理机的防护 另外就是个人电脑要做好备份工作 确 保万无一失 接下来是有关于 PING 命令的使用 Ping 命令的作用是 检测目标计算机是否 在线 从源计算机到目标计算机的网络速度 网络距离 和网速稳定性 因此连续 不断地 ping 某个网站或者某台电脑的 IP 一则可以攻击 另则可以查看网速稳定 性 接下来是关于 TRACRET 命令 TRACRET 命令是用以查看 IP 数据报从源计算机 到达目标计算机的完整路径 根据此完整路径可以知道 IP 数据报所经过的中间节 点 地理位置 和网速瓶颈 然后是有关于域名地址的认识 域名地址由若干域组成 每个域由 分隔或连接 我们在看一个网址的时候是从右往左看而不是从左往右看 掌握了这一点之后就不用担心会上一些钓鱼网站或者是假冒网站 我们经常网购物 品 一些不法商就可能利用这一个市场来谋取非法利益 比如设置一个假的购物网 站或者银行网站 我个人的习惯是背下一些比较基本的网站比如 或者 这样的网购网站 或者是 和 这样 的银行网站 然后直接输入 这样的话就可以大大提高网购的安全性 当然这个不 是相当好的方法 因为有些时候我们记住所有的网购网站 因此在网购的时候首先 要对网站进行详细的辨识 比如 1 一 跟 l 之间的区别 o 跟 O 跟 0 零 之间 的区别 或者使用一些专门的浏览器 如果在地址栏里的前面有个安全的标志或者 盾牌的标志 就可以知道这个网站相对来说是比较安全的官方网站 刚刚所写的所有都是有关于防御的方法 接下来想说些有关于攻击的方法 有 句话说得好 进攻就是最好的放手 因此掌握些攻击的方法对于个人电脑的安全等 级提升是有用的 攻击分为五步曲 1 隐藏 IP 2 踩点扫描 3 获得系统或 管理员权限 4 种植后门 5 在网络中隐身 网络攻击有五个攻击手段 1 社会工程学攻击 2 物理攻击 3 暴力攻击 4 漏洞攻击 5 DOS 攻击 对自 己的电脑要掌握五种手工安全检查方法 1 查进程 2 查端口 3 查连接 4 查服务 5 查启动项 个人电脑操作系统的安全配置方案分为三大篇 一 初级篇 需要掌握 12 个原则 物理安全 停止 Guest 帐号 限制用户数量 创建多个管理员帐号 管理 员帐号改名 陷阱帐号 更改默认权限 设置安全密码 屏幕保护密码 使用 NTFS 分区 运行防毒软件 确保备份盘安全 二 中级篇 需要掌握 10 个原则 操作系统安全策略 关闭不必要的服务 关闭不必要的端口 开启审核策略 开启 密码策略 开启帐户策略 备份敏感文件 不显示上次登陆名 禁止建立空连接和 下载最新的补丁 三 高级篇 需要掌握 14 个原则 关闭 DirectDraw 关闭默 认共享 禁用 Dump File 文件加密系统 加密 Temp 文件夹 锁住注册表 关机 时清除文件 禁止软盘光盘启动 使用智能卡 使用 IPSec 禁止判断主机类型 抵抗 DDOS 禁止 Guest 访问日志 数据恢复软件 很多人在家里或者宿舍里都有使用无线路由器 我自己在家里也是使用无线路 由器上网 无线路由器的作用在于 1 脱离网线束缚 随地上网 2 可以实现 共享上网 但是这带来的隐患是 1 自己的无线网络信号可能被人盗用即被蹭网 2 别人可能利用无线网络对自己计算机进行攻击 入侵 3 自己电脑通过无线 网络传输的数据可能被人嗅探窃听 账号 密码可能被窃取 因此要掌握一些基本 的防范措施 1 修改进入无线路由器管理页面的出厂默认的管理员账号和密码 2 修改无线路由器的 LAN 默认地址 默认 192 168 0 1 1 3 关闭 DHCP LAN 内电脑手动分配 IP 4 设置 IP MAC 地址绑定 即使关闭 DHCP 也可 为电脑分配固定的