网络安全问题及解决方式

网络安全问题

及解决方式网络安全问题及解决方式随着全球信息化的飞速发展,计算机技术也在飞速的发展，以Internet为代表的信息网络技术的应用正日益普及，应用领域从传统的小型业务系统，逐渐向大型关键业务系统扩展，信息网络已经深入到国家的政府、军事、文教、金融、商业等诸多领域，可以说网络无处不在，他正在改变我们的工作方式和生活方式。随着网络的不断发展，通信日益便捷，把我们的生活推向快速化，我们也逐渐适应了快速的通信化生活，由于信息的高速、便捷，人们都在利用高科技技术进行通信，使我们的生活向着高速化发展，人们逐渐放弃了陈旧的通信方式，改用快捷便利的通信方式，使我们的生活逐渐信息化和多样化，把我们的生活装点的更加丰富多彩。伴随着网络的普及，信息给人们带来了很多好处，但是网络也给我们带来一些问题，安全日益成为影响网络效能的重要问题，据调查，大多数数据表明信息安全成为一个非常严重的社会问题，已经引起了人们的足够重视。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出更高的要求，国际上的计算机犯罪在急剧增加，近年来，国内的计算机犯罪案件有急剧上升，计算机犯罪已经成为普遍的国际性问题。网络安全不仅关系到国计民生，还与国家安全息息相关，它涉及到国家政治和军事命脉，影响到国家的安全和主权，一些发达国家都把国家网络安全纳入了国家安全体系。因此，网络安全不仅成为上家关注的焦点，也是技术研究的热门领域，同时也是国家和政府关注的焦点。在信息不断发展的今天，我们不仅要充分的利用网络的有利资源，还应该加强网络安全的防范，加强防火墙技术的发展，使网络安全能够得到更好的维护。以使我们的生活更加的丰富，使通讯更加安全，让信息快速的发展。1.计算机网络安全1=1.计算机网络安全1=2007年网络安全事件类型分布

gERT/位呻呻2007年网络安全事件类型分布

gERT/位呻呻1197.27=4柜蟠路她.施斗■raas件u丽.舶或格味浏R斜击1.1物理灾害计算机作为物理存在，容易受所处环境中的各种要素的影响，这些要素包括温度、湿度、振动等。很多计算机房对于防震、防火、防水、避雷、防电磁泄露或干扰等没有足够的应对措施，抵御自然灾害和意外事故的能力较差。日常工作中因断电而造成设备损坏、数据丢失的现象时有发生。噪音和电磁辐射同样会导致网络信噪比下降，误码率增加，信息的安全性、完整性和可用性受到威胁。1.2恶意攻击恶意攻击分为主动攻击和被动攻击。主动攻击是以破坏对方的网络和信息为主要目的，通常采用修改、删除、伪造、欺骗、病毒、逻辑炸弹等手段，一旦获得成功可破坏对方网络系统的正常运行，甚至导致整个系统的瘫痪。主动性攻击造成的损失很大，往往以宕机、网络阻塞、数据丢失、数据替换等为代价。被动攻击以获取对方信息为目标，通常在对方不知情的情况下窃取对方的机密信息，例如商贸秘密、工程计划、投标标底、个人资料等，但是不破坏系统的正常运行，而是通过窥伺系统缺陷，获取信息为主。不论是主动攻击，还是被动攻击都可能对计算机网络造成极大的危害，并导致一些机密数据的泄漏，从而造成不可弥补的损失。因此，必须采取一些必要的防范措施。1.3软件漏洞和后门软件漏洞分为两种：一种是蓄意制造的漏洞，是系统设计者为日后控制系统或窃取信息而故意设计的漏洞；另一种是无意制造的漏洞，是系统设计者由于疏忽或其它技术原因而留下的漏洞。因为这些漏洞的存在从而给网路带来了一定的安全隐患。例如：为了给系统开发人员提供的便捷的入口，从而不设置操作系统的入口密码，给开发人员的通道也成了“黑客”们的通道；操作系统运行时，一些系统进程总在等待一些条件的出现，一旦有满足要求的条件出现，程序便继续运行下去，这都是“黑客”可以利用的。另外，程序员为了方便自己而设置的一些软件后门，虽然一般不为外人所知，但一旦泄漏出去或被他人发现，极有可能带来危害更是极大和损失。1.4有害程序1.4.1计算机病毒目前数据安全的头号大敌是计算机病毒，它是一种特殊编制的计算机程序，可以通过磁盘、光盘、计算机网络等各种途径进行复制传播，其隐蔽性、传染性、破坏性都在进一步的发展。随着Internet的迅猛发展，计算机病毒借助网络上的枢纽节点，扩散速度大大加快，而且破坏性也加大，受感染的范围也越来越广，造成严重危害。计算机病毒虽是一个小小程序，但它和通的计算机程序不同，具有以下特点：计算机病毒的程序性(可执行性)：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。计算机病毒的传染性：传染性是病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。计算机病毒的潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染，而不被人发现。计算机病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性。计算机病毒的破坏性：系统被病毒感染后，病毒一般不即时发作，而是潜藏在系统中，等条件成熟后，便会发作，给系统带来严重的破坏。攻击的主动性：病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。1.4.2特洛伊木马特洛伊木马原理一个C/S系统，包括主控端和被控端两个程序。其中主控端安装在攻击者自己的计算机上，用于远程控制被攻击系统。被控端则需要通过各种隐秘手段植入到被攻击系统中。基本过程如下：攻击者通过各种手段将木马植入到被攻击系统中在被攻击系统中，木马被控端程序被加载运行。这样，被攻击系统中就会产生一个新进程，打开一个约定的监听端口，接收攻击者发来的各种命令攻击者在自己的计算机上运行木马主控端程序，向被攻击系统的预定监听端口发送连接请求隐藏在被攻击系统中的木马被控端程序一旦发现这个来自攻击者的连接请求，就会立即做出响应，建立TCP连接2） 特洛伊木马的传播通过存储介质传播从不明站点下载软件接收电子邮件附件即时通信文件传送3） 特洛伊木马的植入特洛伊木马的植入是指木马程序在被攻击系统中激活，自动加载运行的过程。■系统配置文件的自启动选项：直接程序启动组目录，win.ini，system.ini等■加载自启动的注册表项■通过修改文件关联加载1.4.3蠕虫蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其他程序中的方式来复制自己，所以在病毒中它也算是一个“另类”。蠕虫病毒的破坏性很强，部分蠕虫病毒不仅可以在因特网上兴风作浪，局域网也成了它们“施展身手”的舞台一一蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内，当客户机访问服务机，并对有毒的软件实施下载后，病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中（通常是经过网络连接）。2.计算机网络安全防范策略2.1网络安全防范体系层次作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

对母对母敝访机昼非可用控机立认认匍1洛由认征务证1）物理环境的安全性（物理层安全）该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份，防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等。2）操作系统的安全性（系统层安全）该层次的安全问题来自网络内使用的操作系统的安全，如WindowsNT、Windows2000等。主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。3） 网络的安全性（网络层安全）该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段、网络设施防病毒等。4） 应用的安全性（应用层安全）该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。5） 管理的安全性（管理层安全）安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。2.2网络安全防范解决方法1)网络防火墙技术Internet防火墙是这样的系统(或一组系统)，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。网络防火墙技术是网络中的关卡，通过加强网络之间访问控制，防止外部网络用户以非法手段借由互联网进入内部网络，访问内部网络资源，从而达到保护内部网络操作环境的目的。用户通过制定一系列安全策略，对网络之间传输的数据包按照来实施检查，决定网络之间的通信是否被允许，并监视网络运行状态。防火墙系统是由两个基本部件数据包过滤路由器(PacketFilteringRouter)、应用层网关(ApplicationGateway)构成的，防火墙处于5层网络安全体系中的最底层，作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，防火墙是安全策略的一个部分。安全策略建立全方位的防御体系，甚至包括：告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。2）入侵检测邮件服药器基于主机入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。3）数据加密技术数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。根据密钥类型不同可以将现代密码技术分为两类：对称加密算法（私钥密码体系）和非对称加密算法（公钥密码体系）。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的，因而比私匙加密系统的速度慢得多，不过若将两者结合起来，就可以得到一个更复

杂的系统。IntrwM揖在两路山藩匕同域路"的甘牯也血*花］散期发送方向f IntrwM揖在两路山藩匕同域路"的甘牯也血*花］散期发送方向f 1睡踏拥洛机对数据址行解者A芯致懈进行如密对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。®解密信加验i「用®解密信加验i「用15-蛔筌凯箭机数法俳息认证服务器4）认证技术。认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。①涸叩艳芥器也1中随机教②,京J鼠仆j讯旷携'包括随机数顼尸「1净饵⑤认旷面凹卬打w「间由品川客户端浏览器 岬程序服网允评用户粉向且Ki如程悴<1>数字签名。数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。<2>数字证书。数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。5）防御病毒技术随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上，即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其他资源传染，网络防病毒软件会立刻检测到并加以删除。病毒的侵入必将对系统资源构成威胁，因此用户要做到“先防后除”。很多病毒是通过传输介质传播的，因此用户一定要注意病毒的介质传播。在日常使用计算机的过程中，应该养成定期查杀病毒的习惯。用户要安装正版的杀毒软件和防火墙，并随时升级为最新版本，还要及时更新Windows操作系统的安装补丁，做到不登录不明网站等等。提高网络工作人员的素质，强化网络安全责任提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育，提高工作人员的责任心，并加强业务技术培训，提高操作技能，重视网络系统的安全管理，防止人为事故的发生。在我国，网络研究起步较晚，网络安全技术还有待提高和发展。另外，为了确保网络的安全运行，我们还要建立严密的管理制度，制定完善的管理措施，提高人们对网络安全的认识，完善法律、法规，对计算机犯罪进行法律制裁。3合理的解决方案针对网络系统实际情况，解决网络的安全保密问题是当务之