【摘要】本文介绍了计算机网络信息系统的安全内容,并对计算机网络信息系统安全面临的问题及防御措施作了详细分析。
【关键词】计算机网络信息系统;安全威胁
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01—0159-01
在社会高速网络化的今天,社会各行各业对网络的依赖越来越大。各种重要信息如政务,商务,银行转账信息等等都会在计算机网络中存储、传输和处理。随着互联网的迅速发展,计算机网络中的资源共享也更加广泛,网络信息系统的安全也就提上日程。
一、安全内容
计算机网络信息系统安全是指通过网络技术和管理手段确保网络信息系统中信息的完整性、保密性和可用性受到保护。
从比较实际的情况看主要包括:(1)实体安全:是指确保对信息采集、处理、传输和存储过程不被破坏,(2)运行安全:是指保证与计算机系统运行有关的软、硬件设备正常运作;(3)信息安全:是指确保在信息采集、处理、储存和传输中信息不被泄露、窃取和篡改。要真正实现计算机网络信息系统的安全,首先要全方面了解可能构成计算机网络信息系统安全威胁的因素,然后采取必要的安全措施,做到防患于未然。
二、构成安全威胁的因素
2.1 内部因素
2.1.1 硬件因素
这类因素主要是指硬件物理损坏、设备故障以及传输线路安全与质量问题等,它对网络信息的完整性、可用性及保密性的威胁很大。
2.1.2 软件因素
这类因素主要包括计算机网络信息系统本身有缺陷,系统建立时没有采取有效的安全措施,如对网络互联没有验证、共享文件没有保护、文件没有及时备份等;系统安全防护配置不合理,没有起到应有的作用;系统权限设置太少,用户口令简短且缺乏安全管理;系统在增加新的应用软件或自身软件升级时审核制度不严。
2.2 外来威胁
2.2.1 病毒威胁
病毒主要侵害系统数据区、文件、内存、破坏磁盘;干扰系统运行、降低系统效率、扰乱系统显示、禁止键盘及鼠标运行、攻击CMOS、干扰打印机。病毒的特点是传染性、潜伏性、破坏性、隐蔽性、不可预见性。开始病毒主要还是危害DOS系统,主要在DOS引导,DOS执行时危害计算机;后发展至:伴随及批次阶段、幽灵及多形阶段、网络蠕虫阶段、视窗阶段、宏病毒阶段、互联网阶段、JAWA及邮件炸弹阶段。在未来,“超级”蠕虫病毒以其传播恶意代码速度快、范围广和难以被追查等特点将成为攻击者的首选。
2.2.2 主动攻击
主动攻击又分为内部攻击和远程攻击。内部攻击是指攻击者在网络中取得合法身份后,在局域网内采取攻击的手段以获取超越权限的信息资料。远程攻击是指攻击者通过扫描程序等网络工具对远程机器的网络概况、操作系统进行搜索,发现有关目标机的详细资料,利用口令攻击程序等工具,对目标机器的文件资料、配置进行阅读、拷贝、修改,甚至控制机器。
随着网络的发展,网络攻击者——黑客的数量在增加,攻击方式也在不断改进。未来对计算机网络信息系统威胁最大的远程攻击可能为以下几种:
(1)隐蔽攻击。黑客利用网络中不断出现的新技术和软件产品,将恶意代码在传播过程中改头换面,对代码进行加密,并隐藏其攻击目标,掩盖入侵路径和传播途径,在不知不觉中盗窃、破坏信息,甚至控制机器。
(2)自动更新应用。黑客利用软件商通过网络提供的自动更新服务,将恶意代码嵌在更新服务中或者更改更新服务的链接地址使用户在链接时被定向到攻击者的机器上。
(3)路由/DNS攻击。目前路由边界网关协议的漏洞很少见,但不是无懈可击,NDNS一直被一些问题困扰。黑客若找出了路由协议的漏洞或控制了DNS,整个网络就失去了可用性。
(4)“信息+物理”的混合攻击。这种方式是利用信息手段攻击计算机网络系统,使系统瘫痪,同时以物理方式攻击系统的物理设施。
2.2.3 被动攻击
被动攻击是指攻击者利用通讯设备或其他手段如搭线,从网络中盗取信息但不破坏信息系统的攻击方式,这种攻击主要威胁信息的保密性。如网络监听就是一种最常用的被动攻击方法。其特点是隐蔽性强、手段灵活、检测困难。通过网络监听,攻击者能轻易获得各种重要信息。
2.2.4 拒绝服务
拒绝服务是指攻击者不断对网络服务进行干扰,改变其正常的作业流程,执行无关程序,使系统响应减慢,甚至瘫痪,影响正常用户的使用。如DoS攻击、DDoS攻击、DRDoS攻击等。
三、安全措施
3.1 建立管理制度和安全制度
网络管理员应对所有用户设置资源使用权限和口令,并对用户名和口令进行加密存储、传输,能提供完整的用户使用记录和分析,建立和维护完整的数据库;严格对系统日志进行管理,对可疑活动要仔细分析,及时制止破坏或盗窃信息的活动;定期对网络安全状况做出评估和审核;关注网络安全动态,调整相关安全措施。对所有操作人员、操作技术、设备软件和数据建立相应的管理制度;加强物理环境的安全防护,保证设备和设施不受自然和人为破坏。
3.2 用备份技术提高数据恢复时的完整性
备份信息可以有两种实现方法:手动和自动。一般系统都有简单的备份系统,但对重要的信息应购买专用的系统备份产品。对机密文件应做涉密介质备份。
3.3 查杀病毒
定期检查网络系统是否被感染了计算机病毒,对引导软盘或下载软件和文档应加以安全控制。对外来移动存储设备在使用前应进行病毒检测。要不断更新杀毒软件和病毒库,及时掌握病毒动向,并采取相应的有效措施。
3.4 补丁程序
对系统软件应及时安装补丁程序,不给入侵者以可乘之机。
3.5 在局域网中设置防火墙和网络安全审计系统
防火墙的作用包括包过滤、包的透明转发、阻挡外部攻击和记录攻击等。目前防火墙技术有以下几种:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。安全审计系统主要是对系统中新安装的软件或软件升级包进行安全审计,杜绝不良因素通过新装软件或软件升级包进入系统。
3.6 数据加密
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。
四、结束语
一种技术只能解决一方面的问题,而计算机网络信息系统安全是一项复杂的系统工程,只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能保证计算机网络信息系统的安全。
参考文献
[1]何万敏.网络信息安全与防范技术.甘肃农业.2005
[2]费宗莲.动态威胁防御系统.计算机安全.2005
[3]肖成禹.关于计算机网络信息安全的思考.锅炉制造.2006