計算機信息管理

1、遼寧對外經(jīng)貿(mào)學院論文關于計算機網(wǎng)絡安全的探究摘 要本文闡述了計算機網(wǎng)絡安全的管理及控制和影響計算機網(wǎng)絡安全的主要因素，提出了計算機網(wǎng)絡安全的表現(xiàn)形式并從技術方面和非技術方面提出了相應的安全對策。對當前應用較為廣泛的幾類網(wǎng)絡安全系統(tǒng):防火墻,IDS(入侵檢測系統(tǒng))lips(入侵防御系統(tǒng))進行分析。詳細闡明了三類安全技術的基本原理及其當前的應用狀況。關鍵字：網(wǎng)絡安全，信息安全，防火墻，IDS(入侵檢測系統(tǒng))，IPS(入侵防御系統(tǒng)) 目 錄11引言1正文21、計算機網(wǎng)絡安全的內(nèi)涵22、影響網(wǎng)絡安全的因素23、計算機網(wǎng)絡安全的表現(xiàn)形式33.1 不良信息的傳播33.2 病毒的危害33.3 遭受非法入侵及

2、惡意破壞33.4 設備、線路損壞34.1在管理方面的安全防范對策44.2在物理安全方面的防范對策44.3.在技術防范措施方面的安全對策44.3.1 采用高性能的防火墻技術44.3.2 采用雙宿主機方法54.3.3采用嚴格的加密技術54.3.4身份識別和驗證技術54.3.5 授權與訪問控制54.3.6完整性檢驗64.3.7 反病毒技術65、常見的網(wǎng)絡安全系統(tǒng)75.1防火墻75.2 IDS(Intrusion Detection System入侵檢測系統(tǒng))85.3 IPS (Intrusion Prevention System入侵防御系統(tǒng))95.4對三者進行比較9結論10參考文獻11致 謝12前

3、 言計算機網(wǎng)絡作為現(xiàn)代社會的基礎設施，越來越多地出現(xiàn)在人們的工作、學習、生活中，其作用越來越重要，并且不可替什。但由于人們的安全意識與資金方面的原因，在信息網(wǎng)絡的安全方面往往沒有太多的投人與設置。在信息網(wǎng)絡形成的初期，由于信息資源和用戶數(shù)量不多，信息網(wǎng)絡的安全問題顯得還不突出。隨著應用的深人及用戶數(shù)量的不斷增加，各種各樣的安全問題開始困擾網(wǎng)絡管理人員，信息資源數(shù)據(jù)的丟失、系統(tǒng)運行效率下降、系統(tǒng)癱瘓的事情時有發(fā)生。因此，如何建立一個安全、穩(wěn)定、高效的計算機信息網(wǎng)絡系統(tǒng)，就顯得十分迫切并成為重要的問題。本文主要針對計算機網(wǎng)絡安全的基本知識進行了說明，并就當前常見的網(wǎng)絡安全系統(tǒng)進行了對比。1、計算機

4、網(wǎng)絡安全的內(nèi)涵計算機網(wǎng)絡安全包涵“網(wǎng)絡安全”和“信息安全”兩部分1。“網(wǎng)絡安全”(Network Security)和“信息安全”(Information Security)是指確保網(wǎng)絡上的硬件資源、軟件資源和信息資源不被非法用戶破壞和使用。網(wǎng)絡安全涉及的內(nèi)容眾多、范圍廣泛，如合理的安全策略和安全機制。網(wǎng)絡安全技術包括訪問控制和口令、加密、數(shù)字簽名、認證、內(nèi)容過濾、包過濾、防(殺)毒軟件以及防火墻等。網(wǎng)絡安全，特別是信息安全，強調的是網(wǎng)絡中信息或數(shù)據(jù)的完整性、可用性、可控性、不可否認性以及保密性。信息安全的內(nèi)涵也已發(fā)展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”

5、等多方面的基礎理論和實施技術。網(wǎng)絡安全防范的內(nèi)容也不再僅僅局限于硬件安全，具體說主要包含了物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全6個方面。網(wǎng)絡物理安全是整個網(wǎng)絡系統(tǒng)安全的前提;鏈路傳輸安全主要保障數(shù)據(jù)在網(wǎng)絡上傳輸?shù)恼鎸嵭?、可靠性、機密性、完整性;網(wǎng)絡結構的安全則體現(xiàn)在內(nèi)部網(wǎng)絡與外部網(wǎng)絡互聯(lián)時來自外部網(wǎng)絡的安全威脅及來自內(nèi)部網(wǎng)絡自身的安全威脅二個方面;系統(tǒng)安全指的是網(wǎng)絡操作系統(tǒng)、應用系統(tǒng)的安全;應用的安全不是一成不變的，要隨時針對不同的應用檢測安全漏洞，采取相應的安全措施，降低應用的安全風險;管理安全指的是通過安全管理制度的制定、責權的制定、管理工作的執(zhí)行來降低安全的風險。2

6、、影響網(wǎng)絡安全的因素作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。Internet的迅速發(fā)展得益于它的開放性，但由此帶來的安全問題也絕對不可忽視，在Internet網(wǎng)上，總統(tǒng)和平民百姓地位平等，信息資源和垃圾數(shù)據(jù)同樣存在，網(wǎng)絡管理員和網(wǎng)絡攻擊者進行著殊死的較量。影響計算機網(wǎng)絡安全的因素很多，有人為因素，也有自然因素，人為因素的危害更大。主要表現(xiàn)為:非授權訪問、特洛伊木馬、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡傳播病毒、端口偵探等方面2。歸結起來，針對網(wǎng)絡安全的威脅主要有6個方面: 1.人為的無意失誤;2.人為惡意攻擊

7、;3.網(wǎng)絡軟件的漏洞和“后門”;4.網(wǎng)絡本身的保護機制不健全;5.病毒問題:;6.信息污染。3、計算機網(wǎng)絡安全的表現(xiàn)形式3.1 不良信息的傳播隨著網(wǎng)絡范圍的不斷擴大，應用水平的不斷加深，越來越多的人進人到了Internet這個大家庭。目前，Internet上各種信息良芳不齊，其中有些不良信息違反人類的道德標準和有關法律法規(guī)，對世界觀和人生觀正在形成的年輕人來說危害非常大。如果不采取安全措施，會導致這些信息在網(wǎng)絡上傳播，侵蝕年輕人的心靈。3.2 病毒的危害計算機病毒是一種人為制造的，寄生于計算機應用程序或操作系統(tǒng)中的可執(zhí)行部分，并且能夠自我復制、傳播的程序。通過網(wǎng)絡傳播的病毒在傳播速度、破壞性和

8、傳播范圍等方面都遠遠超過單機病毒。網(wǎng)絡中的計算機在運行、下載程序和電子郵件時都有可能感染病毒，一旦感染病毒，就有可能造成主機系統(tǒng)的癱瘓或者崩潰。3.3 遭受非法入侵及惡意破壞一些人因為好奇心、功力心或者惡意心的驅使，利用網(wǎng)絡設備、網(wǎng)絡協(xié)議和操作系統(tǒng)的安全漏洞以及管理上的疏漏，使用各種非法手段訪問資源、刪改數(shù)據(jù)、破壞系統(tǒng)。對這些行為如不及時加以控制，也有可能造成主機系統(tǒng)的癱瘓或者崩潰，給用戶帶來嚴重的不良后果及損失。3.4 設備、線路損壞主要是指對網(wǎng)絡硬件設備的穩(wěn)定性。網(wǎng)絡設備包括服務器、交換機、集線器、路由器、工作站、電源等。線路包括光纖線路、電纜線路、衛(wèi)星線路等。它們分布在整個網(wǎng)絡內(nèi)，管理起

9、來非常困難。由于人為或者不可抗力(如天氣、自然災害等原因)的因素，設備、線路會發(fā)生損壞或故障，這樣會造成網(wǎng)絡全部或部分癱瘓。4、網(wǎng)絡信息的安全對策針對網(wǎng)絡信息存在的主要問題，我們在進行網(wǎng)絡設計時從管理人手，在授權、物理、技術方面采取了多層防范措施并舉，根本上克服了網(wǎng)絡中存在的安全問題3:4.1在管理方面的安全防范對策制定嚴格的規(guī)章制度和措施，加強對人員的審查和管理，結合軟硬件及數(shù)據(jù)方面的安全問題進行安全教育，提高工作人員的保密觀念和責任心，嚴守操作規(guī)則和各項保密規(guī)定，防止人為事故的發(fā)生;加強對信息的安全管理，對各種信息進行等級分類，有絕密、機密、秘密和非秘密信息等，對保密數(shù)據(jù)從采集、傳輸、處理

10、、儲存和使用等整個過程，都要對數(shù)據(jù)采取安全措施，防止數(shù)據(jù)有意或無意泄露。4.2在物理安全方面的防范對策指計算機及通信設備的安全，如設備的溫度、濕度、防靜電、防磁場、防電子輻射等性能。保護傳輸線路的安全，集中器和調制解調器應置于受監(jiān)視的地方，以防外連的企圖，并定期檢查，以防搭線竊聽、外連或破壞行為發(fā)生;對于儲存數(shù)據(jù)的磁帶、磁盤和光盤等進行安全維護，數(shù)據(jù)定期備份，重要硬件也應雙備份。4.3.在技術防范措施方面的安全對策4.3.1 采用高性能的防火墻技術防火墻技術是維護網(wǎng)絡安全最重要的手段。防火墻在兩個網(wǎng)絡之間實施相應的訪問控制和過濾策略，同時它又是部件和系統(tǒng)的匯集器，在兩個網(wǎng)絡之間通過對網(wǎng)絡作拓樸

11、結構和服務類型上的隔離來加強網(wǎng)絡安全的保護。我們在實現(xiàn)防火墻的技術方面主要有以下兩種:包過濾技術通過包過濾路由器對進出內(nèi)部網(wǎng)絡的P數(shù)據(jù)包按信息過濾規(guī)則進行監(jiān)視、過濾和篩選，允許授權信息通過，拒絕非授權或可疑信息通過。信息過濾規(guī)則按其所收到的P包信息為基礎，如源地址、目的地址、TCP/IP端口號、封裝協(xié)議類型,TCP鏈路狀態(tài)等，當一個IP數(shù)據(jù)包滿足過濾規(guī)則時，則被允許通過，否則拒絕通過，從而起到保護內(nèi)部網(wǎng)絡的作用。應用網(wǎng)關技術由一臺專用計算機來實現(xiàn)，是內(nèi)外網(wǎng)絡連接的橋梁，又稱代理服務，在網(wǎng)關上運行代理程序，一方面代替原來的服務器程序，與客戶程序建立連接;另一方面又代替原來的客戶程序與服務器連接，

12、使得合法用戶可以通過應用網(wǎng)關，安全地使用因特網(wǎng)服務，對于非法用戶則加以拒絕。4.3.2 采用雙宿主機方法又稱保堡主機，是一臺配有多個網(wǎng)絡接口的主機，通常應用網(wǎng)關也會放在雙宿主機上，對所傳遞的服務請求做出響應，如果認為是安全的，代理就會將消息傳到相應主機上，而用戶只能使用代理服務器支持的服務。雙宿主機還有日志的功能，記錄網(wǎng)絡上的所有事件，系統(tǒng)管理員可以監(jiān)控任何可疑的活動并進行相應處理。4.3.3采用嚴格的加密技術當非法用戶采用地址欺騙等方法繞過了防火墻，安全網(wǎng)絡功能就會喪失殆盡。加密技術是網(wǎng)絡信息安全的主動的、開放型防范手段。通過對網(wǎng)絡傳輸?shù)男畔⑦M行加密，使信息傳輸在全封閉狀態(tài)下運行，傳輸?shù)男畔?/p>

13、不會被第三者識別、修改、盜取和偽造，保證信息的完整性和統(tǒng)一性。使用加密技術不僅具有保密性能好，使用方便等優(yōu)點，而且還融人了防篡改、抗否認的數(shù)字簽名技術，成本低，功能強。4.3.4身份識別和驗證技術身份識別和驗證的核心是識別訪問者是否屬本系統(tǒng)的合法用戶，以防止非法用戶進人系統(tǒng)。最常見的是在用戶接人和用戶登錄到主機時，用戶需要輸人用戶名和口令字，系統(tǒng)在完成與系統(tǒng)中保存的用戶名和口令字對比后，判斷該訪問者是否合法用戶，從而決定是否讓其進人系統(tǒng)，這就要求用戶保護好口令，以防泄露。4.3.5 授權與訪問控制授權是指分配給用戶一定的獲得服務的權力或操作管理的權力，主要是通過對用戶的分類和分級來防止一個用戶

14、進行其不應擁有的系統(tǒng)操作能力和服務。訪問控制是一種訪問者對特定網(wǎng)絡資源是否能訪問或者訪問的深度和廣度的控制。通過提取訪問者的戶名、地址以及所要求訪問的網(wǎng)絡資源或服務等信息，然后核對系統(tǒng)訪問控制表，讓符合條件的訪問者進行網(wǎng)絡資源的訪問或得到網(wǎng)絡服務，不合條件的拒絕訪問。訪問控制技術可以控制用戶訪問網(wǎng)絡資源和獲得網(wǎng)絡服務，保護網(wǎng)絡資源和重要數(shù)據(jù)不被盜用。4.3.6完整性檢驗完整性檢驗技術是通過系統(tǒng)對重要文件或數(shù)據(jù)進行完整性的檢查，來確認文件或數(shù)據(jù)是否被篡改4。信息的完整性檢驗表現(xiàn)為:信息來自正確的發(fā)送方而非假冒，信息送到了正確的接收方?jīng)]有丟失或誤送，接收信息的內(nèi)容和發(fā)送時一致，沒有重復接收，信息接

15、收的時序和發(fā)送時一致。完整性檢驗技術主要是避免使用被動的不完整的和錯誤的信息，及時發(fā)現(xiàn)系統(tǒng)中的問題，以便及時采取措施。4.3.7 反病毒技術包括病毒預防、病毒檢測、病毒清除。實現(xiàn)方法是對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測，在工作站上采用防病毒芯片和對網(wǎng)絡目錄用文件設置訪問權限等。5、常見的網(wǎng)絡安全系統(tǒng)隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。那么，我們?nèi)绾畏乐购捅苊庠馐芄艉腿饲?，以確保網(wǎng)上信息的安全呢?本文將對當前應用較為廣泛的三類常見網(wǎng)絡

16、安全系統(tǒng) 防火墻,IDS(網(wǎng)絡人侵檢測系統(tǒng)),IPS(人侵防御系統(tǒng))進行分析5。5.1防火墻防火墻是目前最成熟的網(wǎng)絡安全技術，也是市場上最常見的網(wǎng)絡安全產(chǎn)品，在互聯(lián)網(wǎng)上是一種非常有效的網(wǎng)絡安全工具。它主要是通過對外界屏蔽，以保護內(nèi)部網(wǎng)絡的信息和結構。它是設置在內(nèi)部可信網(wǎng)絡和外部不可信網(wǎng)絡之間的屏障，可以通過實施比較廣泛的安全策略來控制信息流人可信網(wǎng)絡，防止不可預料的潛在的入侵破壞;它也能限制可信網(wǎng)絡中的用戶對外部網(wǎng)絡的非授權訪問，也因此削弱了網(wǎng)絡的功能。一般的防火墻都可以達到以下目的:一是可以限制他人進人內(nèi)部網(wǎng)絡，過濾掉不安全服務和非法用戶;二是防止人侵者接近你的防御設施;三是限定用戶訪問特殊

17、站點;四是為監(jiān)視Internet安全提供方便。由于防火墻假設了網(wǎng)絡邊界和服務，因此適合于相對獨立的網(wǎng)絡。目前防火墻已經(jīng)在Internet上得到了廣泛的應用，而且由于防火墻不限于TCP/IP協(xié)議的特點，也使其逐步在Internet之外更具生命力。面對當前如此多的防火墻產(chǎn)品，如何選擇最符合自身需要的產(chǎn)品呢?通常應從安全策略考慮:首先，是防火墻自身的安全性，如果不能確保自身安全，自然也不能安全保護內(nèi)部網(wǎng)絡;其次，考慮特殊的需求，每個企業(yè)應根據(jù)自身的特殊需求來選擇，并不是每一個防火墻都能滿足客戶需求;最后，一個好的防火墻還應提供完善的售后服務。防火墻不是萬能的，它具有如下缺點:一是防火墻可以阻斷攻擊，

18、但不能消滅攻擊源;二是防火墻不能抵抗最新的未設置策略的攻擊漏洞;三是防火墻對服務器合法開放的端口的攻擊大多無法阻止;四是防火墻不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題;五是防火墻本身也會出現(xiàn)問題和受到攻擊;六是防火墻不處理病毒，不能防止受病毒感染的文件的傳輸;等等。因此，客觀地講，防火墻并不是解決網(wǎng)絡安全問題的萬能藥方，而只是網(wǎng)絡安全政策和策略中的一個組成部分。5.2 IDS(Intrusion Detection System入侵檢測系統(tǒng))IDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術6。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中

19、未授權或異?，F(xiàn)象的技術。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。IDS一般位于內(nèi)部網(wǎng)的人口處，安裝在防火墻的后面，用于檢測人侵和內(nèi)部用戶的非法活動，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前進行攔截和響應人侵處理。它可在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而實現(xiàn)對網(wǎng)絡的保護。IDS能檢測到的攻擊類型常見的是:系統(tǒng)掃描(System Scanning)、拒絕服務(Deny of Service)和系統(tǒng)滲透(System Penetration)o I DS對攻擊的檢測方法主要有:被

20、動、非在線地發(fā)現(xiàn)和實時、在線地發(fā)現(xiàn)計算機網(wǎng)絡中的攻擊者。IDS的主要優(yōu)勢是監(jiān)聽網(wǎng)絡流量，但又不會影響網(wǎng)絡的性能。作為對防火墻的有益補充，IDS能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，可擴展系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應等，從而提高了信息安全基礎結構的完整性，被認為是繼防火墻之后的第二道安全閘門。IDS技術的一大優(yōu)點是只需收集相關的數(shù)據(jù)集合，可顯著減少系統(tǒng)負擔，且技術已相當成熟。它與防火墻采用的方法一樣，檢測準確率和效率都相當高。I DS的缺點是需要不斷升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段，同時其本身的抗攻擊能力差。由于 I DS 和

21、防火墻分別用于不同的目的，因此通常情況下可以同時選擇使用IDS和防火墻，以便更好地保護系統(tǒng)。但是IDS和防火墻聯(lián)動后，其穩(wěn)定性并不是很理想，特別是攻擊者有可能利用偽造的包信息，讓IDS錯誤判斷，進而錯誤指揮防火墻，從而將合法的地址屏蔽掉。5.3 IPS (Intrusion Prevention System入侵防御系統(tǒng))IPS 是 一 種主動的、智能的人侵檢測、防范、阻止系統(tǒng)，不但能檢測人侵的發(fā)生，而且能通過一定的響應方式，實時地終止入侵行為的發(fā)生和發(fā)展，實時地保護信息系統(tǒng)不受實質性攻擊的一種智能化的安全產(chǎn)品。IPS不僅能實現(xiàn)檢測攻擊，還能有效阻斷攻擊，它提供深層防護，注重主動防御，可以說I

22、PS是基于IDS的、建立在IDS發(fā)展基礎上的新生網(wǎng)絡安全產(chǎn)品。IPS 實現(xiàn)實時檢查和阻止人侵的原理是:IPS擁有數(shù)目眾多的過濾器，能夠防止各種攻擊。針對不同的攻擊行為，IP設計不同的過濾器。每一種過濾器設置其相應的過濾規(guī)則，從而確保其準確性。當有新的攻擊手段被發(fā)現(xiàn)，IPS就會創(chuàng)建一個新的過濾器，同時設置其相應的過濾規(guī)則。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。依據(jù)數(shù)據(jù)包中報頭信息，所有流經(jīng)IPS的數(shù)據(jù)包將被分類，如源IP地址和目的護地址、端口號和應用域等。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包

23、需要接受進一步的檢查。過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查，從而確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。IPS的關鍵技術是:主動防御技術、防火墻與IPS互動技術、集成多種檢測技術和硬件加速系統(tǒng)。其主要技術特征是:嵌入式運行模式、完善的安全策略、高質量的入侵特征庫、高效處理數(shù)據(jù)包的能力和強大的響應功能。IPS 在很多方面融合了其他產(chǎn)品的一些特點，并作了很多方面的改進，但目前IPS的技術還不是很成熟，它所面臨的挑戰(zhàn)主要有:單點故障、性能瓶頸、誤報和漏報等。其存在的最大隱患是有可能引起誤操作，這種“主動性”誤操作會阻塞合法的網(wǎng)絡事件，最終影響到商務操作和客戶信任度。它比較適合于組織大范圍的、針對性不是很強的攻擊。5.4對三者進行比較三者相比，防火墻是外圍警戒，充當著防護的第一層，可根據(jù)指定的策略決定哪些流量可以通過，哪些不能;IPS的功能則比較單一，它是防護的第二層，它可以檢測出在網(wǎng)絡中自由流動的通信中存在的攻擊信息，可對防火墻所不能過濾的攻擊進行過濾，是防火墻的有效補充。IPS與IDS相比較，在入侵檢測技術上它們都采用特征庫、基于協(xié)議分析和異常檢測等方式進行檢測。不同的是，IDS只是在惡意流量傳送時或傳送后才發(fā)出報警，其系統(tǒng)的策略更新需要大量的人的參與;而IPS則可提供前瞻性的防護，其設