前言:中文期刊网精心挑选了计算机网络安全分析范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
计算机网络安全分析范文1
关键词:计算机网络安全; 网络安全威胁; 网络安全防范措施; 网络安全技术; 网络安全管理
中图分类号:TN91934文献标识码:A文章编号:1004373X(2012)04010904
Analysis of computer network security
PENG Shasha, ZHANG hongmei, BIAN Dongliang
(Science College, Air Force Engineering University, Xi’an 710051, China)
Abstract: Computer network security (CNS) is a prerequisite to promote the development of network healthily. Based on the analysis of causes against CNS and threats that confront the network security, the specific methods and measures to protect computer network are proposed in two aspects of technology and management. The technologies of firewalls, access control, network antivirus, data encryption, disaster recovery are introduced. The security principles, implementation methods and application fields of the new technologies such as intrusion detection system technology (IDS), virtual private network (VPN) technology and cloud security are elaborated emphatically.
Keywords: computer network security; network security threat; network security measures; network security technology; network security managemen
收稿日期:20110909
基金项目:军内武器系统科研项目(KJ2010182);陕西省电子信息系统综合集成重点实验室基金资助项目(201107Y16)0引言
随着计算机网络的普及和发展,网络的运用已经渗透到各个领域。信息社会,人们对网络的依赖程度也日益加深,但随着网络迅速的发展,网络安全俨然已经成为一个潜在的巨大问题。在网络发展的大好前景下,网络信息安全为其笼罩上了一片乌云。虽然我国的计算机制造业有了很大进步,但是其核心部件的制造技术仍然是很薄弱的。计算机软件的开发和研制也同样受到国外市场的垄断,尤其是操作系统,所以我国目前运用着大量来自境外的计算机软、硬件,这就使得我国的网络安全问题不得不警钟长鸣。
1计算机网络安全
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科 。国际标准化组织(ISO)定义是指网络系统的硬件、软件及其系统的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,网络服务不中断。主要涉及了机密性、完整性、可用性、可审性、真实性、可控性、抗否认性等属性造成网络安全问题的原因。
1.1网络最初设计的理念
网络发展的早期,人们更加看重、强调的是网络的方便性和可用性,却忽略了网络的安全性。那时,网络的使用仅限于一个很小的范围,因此网络安全并没有被重视。但是随着科学技术的发展,以及人类需求的更新,网络克服了地理上的限制,把分布在一个个小范围内的网络分支,成功地联系起来,直至遍布全世界。由于网络的关联性导致此时在传送敏感性信息时,信息的安全就受到了极大的威胁。同时,各类网络产品都是在基础网络协议上发展起来的,或多或少都存在有安全隐患。
1.2网络的开放性
因特网最根本的特征就是开放性,整个因特网就是建立在自由开放的基础上的。当今网络的资源日益广泛应用,同时也为黑客的倾入提供了可乘之机。资源共享与网络安全之间的矛盾也日尖锐化。
1.3网络的控制管理性变差
随着网络遍布全世界,私有网络也因需求不可避免地与外部公众网直接或者间接地联系起来。由于网络的关联性,导致只需攻击网络链条中最薄弱的一个环节就可以使整个安全体系崩溃。从而使网络的运行环境更加复杂化,可控性急剧降低,网络安全性也变差。
2网络安全面临的威胁
现如今,网络所面临的威胁是多方面的,不仅仅是对网络信息的威胁,同样也包括网络设施。总结起来可分为3点:一是人为的疏忽大意,如操作员因配置不当造成安全漏洞,例如,防火墙的配置不当,就会给外来的攻击创造机会,用户安全意识不强,口令选择不慎,或者不及时地更新防护系统,都会造成网络安全的威胁;二是人为恶意攻击,可分为主动攻击与被动攻击,主动攻击是指攻击者通过修改、删除、延迟、复制、插入一些数据流,有目的财破坏信息,可以归纳为中断、篡改、伪造、拒绝服务4种。被动攻击则是对信息进行截获,偷听或者监视,主动攻击时比较容易被发现,但是被动攻击则很难被发现;三是网络软件的漏洞和“后门”,软件在设计和编程时,难免都会有漏洞,这就成了黑客下手攻击的对象,同时,软件开发人员为了便于维护而设置的软件“后门”,也可能成为网络安全的很大隐患;四是管理不当,造成网络设施无意或恶意的损坏。
3网络安全的防御措施
网络安全是一项复杂的工程,它涉及了技术、设备、管理使用及立法制度等各个方面的因素。想要很好地实现信息安全,就必须形成一套完备的网络信息安全体系,使得技术、设备、管理使用及立法制度等方面因素协同发展,缺一不可。
3.1传统技术
3.1.1防火墙
防火强是一种专属的硬件,也可以是架设在一般硬件上的一套软件。在逻辑上,防火墙是一个分离器、限制器和分析器,主要作用是当2个或多个网络之间通信时,防火墙能起到控制访问的尺度,过滤信息。常见的防火墙类型有包过滤型、应用型、网络地址转换的NAT和监测型。 防火墙的运用可最大限度地提高内外网络的正常运行,但是不能防止从LAN内部的攻击,这也就成了防火墙最大的局限性。同时,随着技术的发展,一些破译的方法也使得防火墙存在一定的隐患,所以在防火墙的技术上还有待更好的开发。常用的防火墙有天网、瑞星,还有360防火墙等。
3.1.2访问控制技术
提及访问控制技术,就必须提到访问控制技术设计到的3个基本概念及主体、客体和访问授权。主体:可以对其他实体施加动作的主动实体,有时也可称为用户或者访问者,包括用户本身、用户组、终端、卡机,甚至应用服务程序等。客体:接受其他实体访问的被动实体,它可以是信息、文件、记录,也可以是一个处理器、存储器、网络接点等。访问授权:主体对客体访问的允许权,访问授权对每一对的主题和客体是给定的。
访问控制技术是通过设置访问权限来限制访问主体对访问客体的访问,阻止未经允许的用户有意或无意地获取数据的技术。这项技术是网络安全防范和保护的主要策略之一,它的主要任务是保证网络资源不被非法使用和访问。访问控制技术涉及的范围比较广,包括:入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
3.1.3网络防病毒技术
计算机病毒可以是一个程序,也可以一段可执行码,能破坏计算机的正常运行,使之无法正常使用,甚至使整个操作系统或者硬盘损坏,它们就像生物病毒一样,同样可以大量自我复制并传播,造成大面积的计算机网络安全问题。
防病毒技术根据计算机网络病毒的作用来讲,可分为病毒防御技术、病毒检测技术、病毒清除技术等。网络大都采用ClientServer的工作模式,需要从服务器和工作站2个结合方面解决防范病毒的问题。随着计算机网络技术的发展,网络防病毒技术的发展也将日新月异,其发展方向可大致以下述几种为主:网络操作系统和应用程序集成防病毒技术、集成化网络防病毒技术、网络开放式防病毒技术等。建立起一套全方位、多层次的防病毒系统,并及时进行系统升级,以确保网络免于病毒的侵袭。
3.1.4数据加密技术
数据加密技术是指在数据传输时,对信息进行一些形形的加法运算,将其重新编码,从而达到隐藏信息的作用,使非法用户无法读取信息内容,有效保护了信息系统和数据的安全性,是网络安全核心技术之一。数据加密技术可在网络OSI7层协议的多层实现,从加密技术应用的逻辑位置看,常用的数据加密方式有:链路加密(网络层以下的加密)、节点加密(协议传输层上的加密)、端对端加密(网络层以上的加密)等。按照不同的作用,数据加密技术可以分为:数据存储、数据传输、数据完整性的鉴别以及密钥管理技术等。
信息的加密算法或是解密算法都是在一组密钥控制下进行的。根据加密密钥和解密密钥是否相同,可将目前的加密体制分为2种:一种是当加密密钥与解密密钥对应相同时,称之为私钥加密或者对称加密体制,典型代表是美国的数据加密标志(DES);另一种是加密密钥与解密密钥不相同,通称其为公钥或者非对称加密。这种加密方式,加密密钥是可以公开的,但是解密密钥则是由用户自己持有的,典型代表为RSA体制。
在目前的数据加密系统中,对信息的安全性保护,主要取决于对密钥的保护,而不是对系统和硬件本身的保护,所以密钥的保密和安全管理在数据系统中是极其重要的。
3.1.5容灾技术
信息时代,数据越来越突出,数据的安全性更是影响一个机构发展的生存关键。如何使数据在灾难发生时不丢失,保障服务系统尽快正常运行,容灾技术将成为解决这一问题的能手。
提及容灾技术就必须提出灾难,即一切影响计算机正常工作的事件都称为灾难,包括:自然灾害、设备故障、人为破坏等。容灾就是在上诉灾难发生时,在保证生产系统的数据尽量少丢失的情况下,保持生产系统的业务不间断运行。
容灾的评价指标公认为:RPO(针对数据丢失)、RTO(针对服务丢失)。从其对系统的保护分类来说,可将容灾分为数据容灾和应用容灾。数据容灾就是建立一个异地的数据系统,该系统是本地关键应用数据的一个实时恢复;应用容灾是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统。在灾难发生后,将应用迅速切换到备用系统,使生产系统的业务正常运行。
3.2新型技术
3.2.1入侵检测系统技术(IDS)
入侵检测技术是继“防火墙”之后,近10年来新一代网络安全保障技术,在很大程度上它弥补了防火墙的不足。它是通过对网络或者计算机系统中若干关键点收集信息并分析,检测其中是否有违反安全策略的行为,是否受到攻击,能够有效地发现入侵行为合法用户滥用特权的行为,是一种集检测、记录、报警、响应技术,能主动保护自己免受攻击的动态网络安全策略,也是P2DR的核心部分。
虽然目前很多“防火墙”都集成有入侵检测的模块,但是由于技术和性能上的限制,与专业的入侵检测系统还是无法相比的。专业的入侵检测系统是一种积极主动的网络安全防护工具,提供了对内部、外部攻击和误操作的实时防护,在网络系统受到危害之前拦截相应入侵。目前入侵检测系统常用的入侵检测方法包括:特征检测、异常检测、状态检测、协议分析等。
同时入侵检测系统也存在着一些问题,比如误报;再比如,当受到精巧及有组织的攻击时,要找出这样复杂的攻击是有难度的。从总体上来讲,入侵检测系统的发展趋势可以概括为分布式入侵检测与CIDF、应用层入侵检测、智能层入侵检测、与网络安全其他相结合的入侵检测、建立入侵检测系统评价体系。由于入侵检测系统存在的弊端,已经不能满足网络的发展需求,今后的入侵检测技术主要朝着以下几个方面发展:智能化入侵检测、大规模分布式入侵检测、应用层入侵检测、分布式入侵检测与通用入侵检测等。
3.2.2虚拟专用网(VPN)技术
虚拟专用网(Virtual Private Network,VPN)是一种基于公共数据网,给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。按照实现技术不同,VPN可分为PPTP(PointtoPoint Tunneling Protocol),L2TP(Layer 2 Tunneling Protocol),MPLS(MultiProtocol Label Switch),IPSec(Internet Protocol Security)及SSL(Secure Sockets Layer) 等。
虚拟专用网的作用很多,比如:实现网络安全,简化网络设计,降低成本,容易扩展,连接灵活,完全控制主动权等等。在此主要探讨它的安全性,虚拟专用网大多传输的是私有信息,所以用户数据的安全性就更为关注。目前,VPN主要采用四项技术来保证信息安全,分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。通过这些技术能有力地抵制不法分子篡改、偷听、拦截信息的能力,保证数据的机密性。
3.2.3云安全
云安全是网络时代信息安全的最新体现,随着云计算成为了网络发展的热门话题,相继提出了“云安全”的概念。
云计算是一个新兴的商业计算模型,是分布式处理、并行处理和网络计算的发展,是一种基于互联网的超级计算模式。它利用高速互联网的传输能力,将数据的处理过程从个人计算机或服务器移到互联网上的超级计算机集群中。云计算是一个虚拟的计算资源池,它通过互联网为用户提供资源池内的计算资源。对用户而言,云计算具有随时获取、按需使用、随时扩展、按使用付费等优点。同时,云计算具有效益好、经营集约化、设备利用率高、节能降耗、服务后台化、货币化、即时化、弹性化等等诸多特点。
随着云计算的日渐推广和普及,云计算安全的问题也逐渐浮出水面。和传统的安全风险不同,在云计算中恶意用户和黑客都是云端互动环节攻击数据中心的,其具体变现有信息体的伪造、编造、假冒以及病毒攻击等等,并且这些危害不仅仅是发生在服务定制和交付这2个出入口,还贯穿于服务的组织、加工、整理、包装过程中。
与之相对应的,提出了云安全概念。云安全通过网络的大量客服端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客服端。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时即时采集、分析以及处理。
云安全的概念提出后,曾引发了广泛的争议,许多人认为它是伪命题,但是随着各大公司运用云安全技术实现了新一代的查杀概念,云安全技术成为了不争的事实。但同时,由于云安全仍然是门较新的技术,所以还存在许多问题需要深入的探究、解决并且依靠时间来证实。
3.3管理使用及立法
“三分技术七分管理”,一直都是安全界的名言,网络安全管理也不例外,即使有了再好的技术,没有妥善的管理措施和立法保护措施,网络安全同样也会受到不小的威胁。只有当安全技术和计算力安全管理措施紧密结合,才能使计算机网络安全达到最好成效。
3.3.1对设备的管理
计算机机房应设在适宜的环境下,以保证计算机系统的安全性和可靠性。同时要注意机房的温度、湿度、空气清洁度、虫害、震动、冲击以及电气干扰等方面,都要有相应的标准。机房不但能抵制自然灾害的侵略,同时也要能防范人为地破坏。定期对机房周边,机房和计算机设备进行检查,确保外在安全无隐患。
3.3.2开展网络安全教育和网络道德教育,增强网络安全防范意识仅仅通过技术来解决网络安全问题,是不够的,只有增强了网络安全防范意识,才能使网络安全发挥到最大效能。
培养网络安全意识,就是通过对网民及网络管理人员开展网络安全普及教育,使人们意识到网络安全的重要性,了解并掌握一定的网络安全防范措施。经过定期的网络自查和安全更新,就能排除一些不良的网络安全威胁。比如,及时打好系统补丁、使用杀毒软件进行计算机病毒查杀、不得使用各类移动存储设备在互联网和内网之间传播不安全程序、文件等。
在网络道德教育方面,目前俨然已成为网络安全管理一个很重要的环节。由于计算机技术的大力发展,网络犯罪已日趋恶劣化、低龄化、复杂化、广泛化、损失严重化。所以通过教育宣传等手段来增强人们网络道德观,提高他们对网络不良文化和违法行为的免疫力、抵制力。尤其是在中学生中,一定要重视这一问题的教育,提早让学生对网络信息有着正确的判断分析能力。
3.3.3严格制定并遵守网络安全规章制度
遵照国家和本部门相关信息安全的技术标准和管理规范,针对本部门专项应用,对信息管理和对系统流程的各个环节进行安全评估,设定安全应用等级,明确人员职责,制定安全规章制度的分步实施方案,要求相关人员严格遵守操作,达到安全和应用的科学平衡。
3.3.4完善网络安全立法,加强网络法律监管
我国目前已经出台了多项有关网络安全的法律,但是与网络发展的速度相比还是相对滞后的,而且现有的法律大多过于庞杂,其间的协调性和相通性也不够,缺乏系统规范性和权威性。因此加快制定和完善网络安全的相关法律是迫在眉睫的。在制定网络安全相关法律时,可以借鉴国外成功的经验,与国际有关的法律法规相接轨,并结合我国的实际情况,趋利避害,最终既定出一套适用于我国的网络安全法律。
仅仅有了网络法是不够的,还必须加强网络法律的监管力度。建立一支高素质的网络执法队,使其熟练掌握网络信息技术、安全技术,能够在第一时间内发现不法的网络犯罪行为,提高执法效率。加大网络违法犯罪的处罚力度,查封和大力打击网络有毒、有害的信息,定时整顿网络的秩序。让网络安全相关法律也真正做到“有法可依,有法必依,执法必严,违法必究”的原则。
计算机网络安全分析范文2
【关键词】计算机;建模;网络安全
随着信息技术的快速发展,计算机的应用范围日益广泛。在网络技术的支撑下计算机在人们生活中所起的作用越来越大,同时面临的网络安全问题也日益严峻。当前在互联网快速发展的同时,病毒蠕虫、黑客攻击以及拒绝服务等事件严重影响到了计算机的网络安全。网络安全形势日益严峻,加强对网络安全的研究变得十分重要。
计算机网络安全建模是保证计算机网络安全的重要措施。通过分析建模能够实现对计算机网络的有效保护。分析建模的最终目的是要实现对系统最大限度的保护。先找出漏洞,而后再建模并修复,最后经过验证后应用到实际网络中。这是计算机网络安全模型建模的基本步骤。
一、计算机网络安全属性
计算机网络安全属性包含多个内容,了解计算机网络安全属性是进行建模的重要前提。只有充分掌握计算机网络的安全属性才能够研究出合理的模型。通常情况下计算机网络安全属性包含系统设备、网络权限、计算机弱点、安全需求以及主体连接关系建模等。
系统设备,计算机网络本身是通过各种不同功能的主机组合起来形成的。路由器、服务器、防火墙以及个人计算机是其中主要设备。我们对网络安全属性的考察是必须要了解这些主机设备的操作系统、弱点信息以及端口信息等内容。网络系统中可以分为不同类别的访问权限。Root、Suspuser,User、Access是其中主要的几种访问权限。计算机弱点主要指的是计算机软件编码配置过程中出现的错误。有些恶意攻击者就利用这些错误来对网络系统进行访问。主体连接关系建模。主体连接关系建模主要是通过TCP/IP协议构建起来的。靠这种协议构建起来的网络连接能够达到基本目的,但同时也非常容易出现差错。这是我们需要高度重视的一个问题。安全需求是网络系统在安全性、机密性等方面的要求。
二、计算机网络安全建模分析
所谓计算机网络安全建模就是要结合上文中提到的网络安全属性的各项内容,对安全需求、系统设备、主体连接关系、计算机网络弱点以及访问权限等内容来进行建模。
安全需求建模。在对计算机网络安全需求进行建模之前,首先要了解安全策略这一重要概念。所谓安全策略主要指的是某主体对某一客体是否具有访问权限。强制访问控制策略、特定策略、自主访问控制策略是安全策略的主要内容。等级分析是安全需求建模的又一项重要内容。计算机网络安全可以分为多个不同的安全等级。针对网络系统安全等级的划分主要是通过机密性、可用性以及完整性来进行划分的,通常情况下按照机密性就可以把安全等级划分为C1到C8八个等级。这八个安全等级之间是相互独立,同时又相互关联的。它们可以用来单独评价,同时又可以相互补充。
(一)系统漏洞
木马程序以及后门程序是当前影响计算机网络安全性能的重要问题。针对这些问题,工作人员可以通过安全需求类型分析和等级分析来对其进行有针对性的分析。
(二)访问权限建模
正如上文所述,网络系统中的访问权限可以分为多个等级。等级不同,所包含的权限也就不同。最高的权限是一切资源,一个普通系统用户一般能拥有自己特定的资源;还有一种是低于管理者权限,但同时又比普通用户权限更多的;最后一种就是匿名访问计算机系统的来宾。对访问权限进行科学设计并建模是提升网络安全水平的重要措施。
(三)系统设备建模
在计算机网络系统中,网络主机通常是只有一个地址。针对不同实体可以通过MAC地址、IP地址以及主机名等来进行标记。设计过程中可以把网络设备看做是一个集合,集合中的每个元素代表其中一个实体设备。主机在网络中则可以用(hosti、d,os,svcs,vuls)表示。这几个指标分别指的是网络主机的标示符、操作系统类型、版本号、服务列表以及弱点列表。
(四)网络弱点建模
针对网络弱点的建模,工作人员可以把已经找到的弱点设为一个集合。在集合中的每个元素则可以代表单个弱点。再进行弱点数据库分析之后,就可以通过(BID,NAME、OS、DATE,Ppre,Pcon,AC)多元组来描述。这些指标分别代表着不同含义。针对弱点复杂性主要是通过近似变量来进行秒速的。在以上这些指标中Ppre和Pcon,这两个是需要我们予以高度重视的。
(五)主体链接关系建模
针对主体链接关系的建模主要是通过TCP/IP协议来实现的。针对网络系统中的各种主机设备可以通过TCP(UDP)-端口号-服务类型-应用程序名称,这种序列来进行表示。针对主机间的连接噶U型你则通常通过(Hsrc,Hdst,protocols)三元组来进行表示。这三者主要指的是源主机、目标主机以及两者之间的连接关系。
三、网络安全模型存在的问题
当前在已有网络安全模型中存在着不少问题,不能反映网络设备在网络中的地位,在对计算机弱点进行描述过程中只是通过弱点编号来实现,在描述应用层和传输层的连接关系的时候存在重复,对网络设备的描述也只是考虑到了主机,而没有全面考虑到其他设备。这些问题的出现使得计算机网络安全形势堪忧。
在今后工作过程中,工作人员要在已有的网络安全模型的基础上来对其进行逐步改进。要适当引入网络设备的安全性、攻击者利用弱点进行攻击成功的复杂性。攻击者权限等级细化等要素来最终使得网络安全模型能够在计算机网络安全评估量化分析、网络攻击概率分析以及网络攻击图生成过程中实现有效地复杂度控制。通过这样的措施就可以有效提升网络系统的安全性能。
在计算机技术和网络技术快速发展的今天,计算机网络安全形势也日益严峻。利用计算机弱点来攻击网络已经成为影响网络安全的重要因素。在今后应该不断加强对计算机网络安全技术的研究,要掌握网络系统的安全属性并结合这些属性来进行建模。最后是要逐步改进模型,使得模型能够实现有效地复杂度控制。
参考文献
[1]申加亮,崔灵智.浅论计算机网络安全的现状及对策[J].商情(教育经济研究),2008(01).
[2]程拮.计算机网络安全的现状及防范对策[J].湘潭师范学院学报(自然科学版),2007(04).
计算机网络安全分析范文3
目前我国84.2%的油气田工程采用计算机网络,实现油气田勘探、开发、工程进度、地面建设和数据的管理,其安全性主要通过系统自带的防火墙技术实现,并未专门设有安全控制系统。调研表明,2013年曾有黑客企图入侵胜利油田计算机网络监测系统,试图破解其国外引进的油气田油井定位勘测系统,盗窃其数据管理平台中财务数据,最终被数据保护系统拦截。据统计,我国有38.2%的油田企业曾发生黑客入侵历史记录。由此可见,当前油气田工程中的计算机网络安全现状不容乐观,其安全重要性不言而喻。因此,计算机网络安全控制系统必须尽快引入油气田工程中,使计算机技术更加安全、可靠地服务于油气田的发展。
2网络安全控制系统框架设计
油气田工程从勘探、开发、建设、自动测控、销售数据到工程管理等方面,都需要有相应的安全控制系统,因此,本文针对以上油气田工程分别开发了对应的网络安全控制系统,为油气田工程的开发和监管提供安全保障手段。围绕油气田工程的特殊性,因地制宜地设计了六大网络安全控制子系统,包括油气田勘探、油田开发、工程进度管理、地面建设、数据管理、物资管理等安全控制系统,组成一套较为完整的计算机网络安全控制机制。同时,计算机网络安全控制系统的安全机制采取实时监测、扫描、防火墙技术等各种安全措施,对油气田工程开发、管理、营运等全过程实现安全保护,对所有环节的数据实现反入侵管理,达到油气田工程中网络的安全目的,具体实现框架如图2所示。由于在该系统的设计与实现中涉及到各子系统的安全保密性,针对每个子系统对应的工作环节流程的特殊性,还设计了个性化的数据安全管理协议,通过安全管理协议,实现个性化的数据安全性管理。
3网络安全控制系统关键技术
油气田工程中计算机网络安全控制系统关键技术包括反入侵技术和入侵检测技术两大部分。
3.1反入侵技术
由于攻击者进入油气田计算机网络窃取资料前,会通过一系列试探手段对油气田的账户和IP地址进行漏洞扫描和收集,不停地探测系统的地置信息,对其权限进行破解。当计算机自带的网络服务器拒绝未知的访问时,安全控制系统根据外界未知的访问进行次数计算,当超过一定次数时,系统会自动进入报警保护状态,同时通过一定报警信息通知安全管理员,生成一个完整的探测记录,系统根据探测记录及IP反访问,破解入侵者,并对此IP进行封锁处理,并生成技术报告,此时安全控制系统主要作用包括提取、入侵分析、响应和远程控制。入侵分析任务主要是在其提取到的数据中找出痕迹来区分授权的访问和不正常的访问,然后通过响应功能对此产生响应。经过入侵分析以后,将提取的痕迹生成数据文件,依照安全反入侵保障方法抵抗对方的入侵,并进一步对数据加密,同时利用反攻击算法对入侵者进行破解,增强对此IP或账户的抵御手段,如采用RSS加密算法等。
3.2入侵检测技术
入侵检测技术是抵抗和分析计算机网络安全威胁因素的必要手段,本文采用分布式网络入侵检测技术,基于不同的主机检测系统,对油气田工程的分布式网络主机进行分别加密,并通过B/S模式的网络监视来实现网络安全的监控。在数据传输方面,安全控制系统采用总网对子网的分布式访问,同时采用双磁盘阵列存储数据包,数据包在子网间的传输通过局域网广播形式,避免采用外网引入的安全威胁因素,且任何一台子机的子系统可以访问该局域网中任意一个主机数据。在局域网广播的同时,进一步对数据包进行检测,过滤掉不在分布式局域网中的数据信息,避免任何恶意病毒或入侵因子的传播。入侵检测技术还包括对访问权限的控制,本系统的用户均采用报文加密的方式,与普通的用户名登陆方式不同,报文方式能保证两个子系统在进行数据传输和通讯时,通过握手机制保证实体间通讯的信息均为真实有效信息,保证油气田工程中管理层与现场施工方通讯的消息真实可靠,避免入侵分子对其秘密信息及数据进行窃取。
4结语
计算机网络安全分析范文4
很多企业和个人都习惯利用计算机储存大量的资料与数据,因此,计算机数据库的安全保障问题就显得尤为重要。各种各样的入侵计算机数据库的手段也不断增多然而,随着经济与科学技术的发展,虽然“防火墙”具备一定的防护能力,然而还是扛不住各种各样的干扰因素。一般用户都会将个人的重要信息储存在计算机的内部储存系统中,它关系着企业或者个人的隐私,关系着社会的安全隐患。一旦计算机内部的信息被外来入侵者入侵,其引发的后果与危害不容小觊。因此,为了确保计算机的网络安全,提高计算机的网络安全监测与安全应用技术的使用对计算机内部的安全性能和用户个人隐私的保护具有十分重要的意义。一般来说,计算机网络安全监测分为两个方面,其一是对计算机网络设备的监测,其二是对计算机数据库信息的监测。只有做好这两个方面,才可以保证计算机日常的正常使用,使储存在数据库内大量的隐私信息免受侵袭与损害。安全监测的对象主要分为网络上的计算机病毒、黑客攻击等。这些入侵因素对于计算机来说都是具有知名损伤的,因为他们在入侵的同时不仅盗走了计算机内部的信息,还将其损害销毁,使得相关企业与个人的损失极其严重,不可挽回。由此看来,加强计算机网络安全监测和提高计算机安全保护尤为重要。
2计算机网络安全的防范措施
现如今随着计算机安全应用技术的不断发展,计算机网络安全的防范措施也随之增多。常用的主要有计算机内部信息入侵检测报警技术和防火墙的安装使用。计算机内部信息入侵检测报警技术是指操作人员通过分析计算机系统及网络中的相关信息,进而对计算机数据库设置各种防范措施,来检验外来访问人员的身份和验证信息,如其对数据库无威胁与冲突的情况,就会对其放行,反之,则阻止其访问计算机中的数据库,从此来达到保护计算机数据库安全作用的一种技术。此技术的主要作用是通过对访问人员信息的分析,来检测是否有对计算机数据库攻击的行为,保护计算机免受网络病毒的干扰。其次,当该技术在检测时找到了可疑或者异常的情况,就会做出如报警、将此IP地址记录于黑名单、中断连接等行为,然后对其进行拦截与防御,从根本上降低企业或者个人的信息外露与经济损失,对计算机内外部及数据库进行实时保护,提高计算机数据库的安全性。而防火墙则是选取某品牌的杀毒软件和防火墙软件进行安装,从软件角度和软件设计者角度出发,实时监控电脑的异常情况,在电脑在上网时或受到外部黑客攻击时,及时将其拦截在外,并提醒用户注意,从而避免用户的信息泄露与经济损失。
3防火墙技术分析
防火墙技术分为包过滤性的防火墙、和应用型的防火墙和状态检测型的防火墙三种类型。其作用都是通过对访问人员信息的分析,来检测是否有对计算机数据库攻击的行为,保护计算机免受网络病毒的干扰。其次,当该技术在检测时找到了可疑或者异常的情况,就会做出如报警,及时提醒用户做好防护准备,免受信息损失的伤害。防火墙工作透明,不仅效率高,而且速度也很快,是当前计算机网络用户首选的网络安全保护性应用技术。
4在计算机网络安全中防火墙技术的运用
4.1加密技术
当前,加密技术是保护计算机内部信息的重要手段。其中对计算机加密时主要看中的是两个方面,首先对计算机设计其隐形口令。因为弱口令是针对较大范围内的计算机进行保护,设计加密是为了防止黑客系统攻破计算机防御而设置的简单多数的访问尝试口令,从而达到防治其入侵的目的。而且用户对信息的发送方先对信息做加密处理,密码由和接收方掌握,接收方接收到经过加密处理的信息后,用解密密钥对信息进行解密,从而完成一次安全的信息传输。加密措施利用密钥来保障信息传输的安全性。
4.2身份验证
通过对网络用户的使用授权,在信息的发送方和接收方之间通过身份认证,建立起相对安全的信息通道,这样可以有效防止未经授权的非法用户的介入。身份的验证方式早已由密语指纹等发展为现如今的二维令方式验证。作为创新的互联网登录的安全入口,二维令颠覆了传统的身份认证方式。使用二维令,用户无需再输入用户名和密码,用手机轻松扫描二维码,便可快速完成登录。对于个人用户来说,二维令的出现意味着可以更加安全的畅游互联网;企业用户借助全新的身份认证解决方案,可有效降低安全运营成本,确保信息系统入口安全。
4.3防病毒技术
防火墙防病毒技术主要涉及三方面。一是对病毒的预防,二是对病毒的检测三是清除病毒。其应用的原理主要是电磁波原理。让电磁波作为一种保护源,对计算机及其网络系统进行加密和防干扰。人为产生的高能电磁脉冲的电磁脉冲武器和设备等已经成为现代计算机防病毒的重要手段,电磁安防作为保护数据安全与防病毒的重要手段已经成为信息安全至关重要的范畴与重要环节,也能够让信息安全的防护级别大幅升级。
5结语
计算机网络安全分析范文5
计算机通信网络技术是通信技术与计算机技术相结合的产物。计算机通信网络是按照网络协议,将地球上分散的、独立的计算机相互连接的集合。计算机通信网络具有共享硬件、软件和数据资源的功能,具有对共享数据资源集中处理及管理和维护的能力,但是计算机的数据也会被盗用、暴露或者篡改。通信网络所具有的广泛的地域性和协议开放性决定了网络通信的易受攻击性。另外,由于计算机本身的不完善,用户设备在网上工作时,很可能会受到来自各方面的攻击。随着信息技术的飞速发展,计算机通信网络的安全问题越来越受到广大网民的关注。
一、计算机通信网络的安全问题概述
计算机通信网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。计算机通信网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1988年11月3日,第一个“蠕虫”出现在互联网上。在几小时之内,数千台计算机被传染,计算机通信网络陷入瘫痪。“morris蠕虫”的出现改变了许多人对互联网安全性的看法。一个单纯的程序能有效地摧毁了数百台(或数千台)机器,那一天标志着计算机通信安全性研究分析的开始。随后计算机通信网络的安全问题就频繁出现。据统计,全球约20秒种就有一次计算机入侵事件发生,互联网上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。
二、计算机通信网络的不安全性的主要表现形式
(一)信息泄露:第三者可能偷听到甲乙两方通信内容,第三者利用本来不是发给他的信息。
(二)识别:通信双方不能肯定对方是否是自己想与之通信的对象以至相互猜疑。
(三)假冒:非法用户想获得网络服务,必须有不可伪造的签名。
(四)篡改:攻击者更改网络中传输的报文以达到某些利益。
(五)恶意程序的攻击:包括计算机病毒、计算机蠕虫、逻辑炸弹等。
三、针对计算机的安全性问题采取的措施
(一)访问控制安全
访问控制是网络安全防范和保护的主要本文由收集整理方法,它的主要任务是保证网络资源不被非法的使用和访问。它是保证网络安全最重要的核心策略之一。计算机通信网络的访问控制安全主要包括用户口令鉴别、访问权限控制、网络安全监视、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。
(二)数据传输安全
传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。对数据传输安全可以采取如下措施:
1.加密与数字签名。计算机通信网络的加密即对osi模型中的数据链路层、传输层、应用层这三层进行加密处理。这样做可以有效减少在传输线路上被窃取的危险,使数据在网络传输期间保持加密状态,同时让网络应用程序对数据进行加密和解密处理。
数字签名是数据的接收者用来证实数据的发送者正确无误的一种方法,它主要通过加密算法和证实协议而实现。
2.防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。 通俗地说,防火墙就是一种能拦截有害信息的防御系统。
3.user name/password认证。该种认证方式是最常用的一种认证方式,它用于操作系统登录、telnet(远程登录)、rlogin(远程登录)等,但此种认证方式过程不加密,即password容易被监听和解密。
4.基于pki的认证。使用pki(公开密钥体系)进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。
5.虚拟专用网络(vpn)技术。vpn技术主要提供在公网上的安全的双向通讯,采用透明的加密方案以保证数据的完整性和保密性。
计算机网络安全分析范文6
随着科技高速发展,人们对计算机网络的依赖和需求日益增加,计算机网络通信安全越来越被人们所重视,其中,网络安全协议是确保网络通信安全的重中之重,通过合理有效的网络安全协议能够确保网络安全,防止因网络隐患导致的文件损坏以及信息泄露等问题发生,确保信息传输的安全,促进我国计算机网络的健康发展。计算机网络是由硬件网络、通信软件以及操作系统构成的,对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网而言,人们可以使用这些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护,目前广泛采用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以讲驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络得到可持续的稳定运行,信息能够完整的传送,并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。
1网络安全协议涵义
由于网络安全协议的应用范围越来越广泛,对于网络安全协议的知识也逐渐普遍,网络安全协议主要指的是人们为了某项任务而组成的协议,具体包括以下三个方面:(1)网络安全协议可以将其视为一个过程,具有一定的次序,且该次序不得随意更改。(2)网络安全协议需要拥有多个参与者,且每一个参与者均具有特定步骤,此步骤并非协议的具体内容。(3)网络安全协议主要目标即实现某个任务,从而实现预期的效果。总的来说,计算机网络协议能够确保传输信息的安全性而设定的协议,从而在使用计算机网络过程中,其通过加密安全协议或者其他方式保证信息数据的有效性及完整性,比如身份认证以及密钥的分配,计算机网络通信安全协议诞生于1973年,并且从一开始便做出了良好的表率,随着计算机网络技术的快速发展,安全协议发生了翻天覆地的变化,目前网络安全协议主要包括SET协议以及SSL协议,从而保证信息加密的安全。
2网络安全问题
目前,计算机网络安全技术仍存在诸多弊端,主要包括以下几个方面:(1)网络安全相关技术人员缺乏一定的专业性。实际操作过程中,因为计算机网络技术的广泛性以及繁琐性,所以要求网络安全相关专业人员必须具备较好的网络安全技术专业水平,但是就目前来看,计算网络技术人员的专业水平普遍偏低,而且自身素质良莠不齐,是当前存在的主要问题,假如难以对该问题予以有力规避,将极其容易导致发生安全漏洞以及安全问题,从而致使计算机网络通信的安全性难以保证。(2)缺乏良好的防范体系。尽管目前的网络技术飞速发展,但是网络安全问题却日渐严峻,一般而言,网络安全问题的实质是通过而已攻击、病毒入侵以及黑客操作等导致的,如果缺乏良好的防范体系,将会使得危险因素有可趁之机。(3)缺乏合理的管理机制。以管理角度来讲,目前,计算机网络通信技术缺乏合理的管理机制,因此导致实际操作过程中,存在诸多弊端,盲目的追求经济效益,进而没有对网络安全问题全面考虑。
3网络通信安全基础
3.1加密
密码学中规定将变换的原消息称之为明文,明文变换后称之为密文,明文向密文的转变过程称之为加密过程,将密文向明文转变的过程称之为解密过程,根据加密和解密的密钥相同与否,将密码体制分为非对称密码体制以及对称密码体体制。加密技术主要作用于数据编码和解码阶段,通过特定的编码算法可以将数据编译成拥有相应解码算法的网络才能识别的数据。使用加密技术可以防止数据在网络中被截获,即使数据被非法用户截获后,也不会造成数据的泄漏,对于保密网络和金融商业网络有重要作用。该技术可以针对于TCP/IP协议中的数据链路层。
3.2数字签名
数据单元上的数字签名能够允许接收者判断数据单元的完整性以及来源,从而避免发生交易抵赖的事件,将电子消息加以签名。数字签名的主要过程为发送私钥检验数据并且解密其他有关数据的变量,实现数据的合法“签名”,通过网络通信用户临时分配密钥,目前最有价值的密钥分配协议是Kerber-os,更加安全有效。
3.3端到端加密及链路加密
网络加密策略中主要包括端到端加密及链路加密两种方法,链路加密能够保证网络中各个加密节点均独立,而且通常选用不同的密钥,即便是某条链路出现问题也不会影响其他链路的数据安全。而端到端加密从起点到终点的数据传输均采用一次加密,中间节点不会影响报文的安全性,主要在运输层或者更高层中应用,应用层中的加密能够促使用户自行选择加密算法,但是比较容易遭受流量分析攻击。为了保证数据的安全性,通常将端到端加密及链路加密联合使用,有效确保传输数据安全无虞。
4安全协议区分
目前安全协议的类型并没有一个较为明确的界定,从而导致网络安全协议并没有一个行之有效的分类方式,但是事实上,分类密码协议几近于不可能实现,比如ISO层级模型分类能够将协议分之为底层协议以及高层协议;从协议功能方面可以将其分为密钥认证协议、密钥建立协议、认证协议等,从密钥种类分类可以将其分为混合协议、单钥协议、公钥协议等,因此,通过上述阐述,可以将安全协议简单的分成三类:(1)认证建立协议,根据实体和对应的通信实体之间的身份确认安全协议。(2)密钥建立协议,通过密钥共享,从而实现多个用户传输信息的安全协议。(3)认证密钥建立协议,通过已经证实身份的用户,在其中通过密钥共享传输信息的安全协议。
5安全协议的安全性
5.1安全性和攻击检验
由于计算机网络的不断迅速发展,诸多网络安全协议顺应时代潮流被设计出来,但是由于网络安全协议自身存在的漏洞,而且导致网络安全协议的无效因素多种多样,其中,最主要的因素便是由于网络安全协议的设计对于网络安全知识的匮乏,从而导致设计者在设计过程中不能够网络中存在的诸多安全因素,致使研究不透彻,从而出现问题,就好比密码加密算法,证明协议的不安全性相对证明协议的安全性而言更加简单快捷,一般而言,进行网络完全协议的分析测试时,通常需要从三个方面予以压力检测:(1)加密算法。(2)加密技术。(3)攻击协议。因篇幅限制,不对加密算法意义赘述,本分的研究建立在加密技术和加密算法的安全性的基础上。
5.2设计方法
设计网络安全协议过程中,往往会对协议的交织攻击防御能力和其复杂性予以设计,并且确保该安全协议具有一定的经济性以及简单性,前者是为了满足越来越广的应用范围,后者是为了提高协议安全性,利用合理的边界条件,从而保证安全协议的经济性、简单性、安全性以及复杂性,从而规范网络安全协议的正常进行。(1)时间戳替换为一次性随机数代,当前的网络安全协议采用同步认证的方法,但是这种方法要求各个用户之间具有同步的时钟,因此较为困难,适用于网络环境优良的条件下,但是对于网络环境较差的条件则不适用,因此要求网络安全协议通过异步认证的方法,取代时间戳,从而有效处理网络环境差的诸多问题,确保网络认证的安全性。(2)常规攻击抵御,无论是哪一个网络安全协议,都必须要具备抵御常规攻击的基本功能,避免攻击者通过不法手段谋求蜜月信息,其次,即便是处理过期信息的机制仍需要包含在内,从而有效的加强网络安全协议的全面性以及安全性。(3)任何网络结构中均适用,因为不同的网络结构中其接受的协议长度也不尽相同,因此若想高适用型的网络安全协议满足实际要求,则需要满足最短协议层要求,从而保障网络安全协议适用性及安全性。
6总结
