计算机网络安全启示与思考-
最后更新时间:2024-02-14
作者:用户投稿
本站原创
点赞:15623
浏览:69012
本站原创
点赞:15623
浏览:69012
论文导读:asurestopreventcomputernetworksecuritythreats.Improvingnetworksecurityshouldbeseriouslythought.Keywords:computernetwork;networksecurity;precautionarymeasure据国家计算机网络应急协调中心网络安全报告,基础设施和重要信息系统整体上运行基本正常,未出现造成影响严重的网络安全事故,但
摘要:计算机网络的安全问题一直备受关注和重视,在复杂的信息化条件下尤为重要,网络安全不可忽视。该文通过对当前网络安全情况的分析,探讨网络安全防范措施,提高网络安全,是需要我们认真思考的问题。
关键词:计算机网络;网络安全;防范措施
1009-3044(2012)20-4806-02
Inspiration and Thinking of the Computer Network Security
LIU Dan
(Chongqing College of Electronic Engineering, Chongqing 401331, China)
Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.
Key words: computer network; network security; precautionary measure
据国家计算机网络应急协调中心网络安全报告,基础设施和重要信息系统整体上运行基本正常,未出现造成影响严重的网络安全事故,但是网络攻击的次数、频率和复杂度均比往年大幅度增加,遭入侵和受控计算机数量巨大,潜在威胁继续增加,信息数据安全问题日益突出,计算机网络的安全形势依旧十分严峻。主要表现在,一是政府网页被篡改事件大幅度增加。据统计显示,我国大陆地区被篡改网站总数比往年同期增长41%,占被篡改网站总数的比例达7%,而gov.cn域名仅占cn域名总数的2.3%。二是感染木马和僵尸网络的主机数量巨大。国家互联网应急协调中心抽样检测,境内外控制者利用木马控制端对主机进行的控制事件中,木马控制端IP网络地址总数、被控制端IP地址总数均高举不下。中国大陆地区有2百多万个IP地址的主机被植入僵尸程序,有2270个境外控制服务器对大陆地区的主机进行了僵尸网络控制。三是恶意代码的肆虐传播是造成木马和僵尸网络产生和扩大的一大途径。国家互联网应急中心通过技术平台共捕获恶意代码约90万个,比上年同期增长62.5%,其中有新的恶意代码样本,有通过国内外合作渠道接收到的恶意代码。这些恶意代码中,以恶意代码下载器、灰鸽子家族系列,以及与网络游戏有关的恶意程序居多,对终端用户的威胁也最为突出。
1理性分析,网络安全道路依然漫长
1)应用软件漏洞是各种安全威胁的主要根源。在软件系统漏洞的防护上,人们往往重视操作系统漏洞的查找和补丁升级。实际上,近年来,应用软件安全漏洞的威胁越来越大,已经超过了操作系统漏洞。从目前所掌握的安全漏洞情况分析来看,有部分漏洞直接威胁到互联网基础设施的运行安全,更多的漏洞则严重威胁到广大互联网用户的信息系统。如,Realplay软件漏洞、联众世界软件漏洞等。同时,针对漏洞出现的攻击程序、代码也呈目的性强、时效性高的趋势。
2)电子邮件成为达成精确控制的常用手段。对于电子邮件的安全威胁,人们通常只注意到尽量不打开陌生人发送过来的电子邮件,特别是不打开邮件中的附件,这的确是一种好的安全防范习惯。但据了解,目前互联网上流行的电子邮件系统,其邮件用户设置的复杂无一例外地可以被专业人员,而用户一旦被他人获得,即使是由熟悉人员所发送过来的邮件中,也可能在原有的邮件中被他人注入了木马和病毒程序。利用电子邮件对待定目标主机实施远程控制是当前最常见、最精确的渗透控制手段之一。
3)摆渡型攻击技术逐渐成熟并广泛应用于针对内部网络的攻击。摆渡型攻击以移动存储设备、光盘、电子文档等为主要途径,借助木马、蠕虫、病毒等恶意代码,在与互联网物理隔离的内网中交换数据、传播病毒,进行破坏和瘫痪目标网络。根据最新的网络攻击理论和实践,所有的网络都会与外部进行数据交换,已不存在绝对封闭的内部网络。不论什么网络,总要进行系统和应用软件的更新,或进行防病毒系统补丁的更新,此时就相当于建立了对外连接的通道。就算是全封闭的物理隔离网络,由于不能及时修补各种安全漏洞,一旦解决了进入问题,实施攻击将更容易达成目的。因此,物理隔离固然重要,但未必能确保网络的绝对安全。实际上,采用物理隔离的内部网络中所出现的计算机病毒程序,基本上都是由移动存储介质从外界带入的。以往那种认为网络只要物理隔离就可高枕无忧的想法是不正确的。需强调的是,即使是利用光盘进行内外网数据交换,病毒和木马后门程序照样可以通过OFFICE电子文档、图片文件等进行传播。
4)分布式拒绝服务攻击成为大规模网络瘫痪攻击的主要手段。所谓分布式拒绝服务攻击就是在特定时刻由控制者向事先控制的、分布在不同地域的众多网络主机发出攻击指令,受控主机收到攻击指令后,会同时向指定的目标网络节点或服务器发送类似于正常用户访问的数据包,使得目标网络主机来不及响应处理,或致使目标网络信道拥塞,进而造成目标网络或主机无法(拒绝)提供正常服务。如发生在2007年4、5月间的俄罗斯对爱沙尼亚的大规模分布式拒绝服务攻击,导致了爱沙尼亚由先期的政府、媒体网络迅速蔓延到通信、银行等各公共服务网络,大量网站被迫关闭,就连其总统府网站也未能幸免。
2启示思考,我国网络安全防护任重道远
对于复杂的因特网来说,事实上,有“网”必有“洞”,有“洞”就能钻,我们必须居安思危,严密防范。
1)要强化安全忧患意识,坚持动态防御和体系保障理念。论文导读:上,网络防御对抗时技术的较量、人才的博弈,没有骨干人才就没有良好的安全保障。安全防护不适安全产品的简单堆砌,要运用综合集成思想,将各种检测、防护、响应手段围绕安全策略的具体需求有序地组织,相互之间要形成协调、联动的关系;要针对应用中发现的问题,根据实际需求或应用变化的情况,不断地加以改进和完善;网络安全绝不是
信息安全保障是一个复杂的系统工程,要从安全策略、隔离控制、保护、授权认证、实体安全、检测预警、响应恢复和安全管理等多个方面实行整体性防御。要破除全能观念,不能以为安装了核心设备的网络就一定可以高枕无忧了。实际上,只能解决数据交互过程中的保密问题,不能解决网络安全所以问题;仅对局外人员有效,用户之间的信息交换只是在数据传递和存储过程中的加密,而末端应用时是经过解密过的数据;病毒、木马后门等攻击程序通常是合法数据包裹在一起的。网络安全必须从采集、加工、传递、存储、应用的全过程,按照同一密级要求实行全程管理。
信息安全保障还是一种持续的动态发展过程,通常要通过策略、防护、检测、响应和恢复构成一个完整的、动态螺旋式的循环上升链,进而不断改进和完善。安全防范应贯穿于信息系统整个生命周期,只要信息系统存在,安全隐患也就永远存在,安全防范就不能停止。
2)要注重系统顶层设计,重视应用软件的安全性测试。网络构建通常伴随着重要的网络应用,要通过顶层设计统筹考虑网络应用与网络防护的关系。在处理应用系统与安全防护系统可能存在的冲突时,要优先考虑安全问题,要在确保安全性的前提下实现业务系统的功能;在加强自研软件安全性测试的同时,要加强对外协和外购软件的安全测试,努力防止业务系统集成过程中出现安全漏洞。
3)要正视安全的相对性,积极应付各种可能复杂情况。网络安全永远是相对的,要有入侵容忍的思想,不应过分强调严防死守,因为防护手段永远比进攻手段落后半拍;从费效比和网络应用角度看,过度的防护也不可取。因此,要有防线一旦被攻破的思想准备,要通过响应、恢复、补救方案和措施,将损失降低到源于:7彩论文网免费论文www.7ctime.com
最小程度。
4)要采取主动防御战略,注意加强攻击溯源技术研究。保障网络系统安全,不仅要查找自身的薄弱点,及时修补漏洞;同时,还应具备攻击源速度定位能力。只有找到了攻击的源头,才能更有效地采取应对措施,更好地把握网络防御的主动权。近几次发生在因特网上的大规模网络攻击事件,都呈现出网络攻击手段多样、手法隐蔽、源头难以追溯等特点,即使是内部网络中发生的病毒传播现象,也很少有单位能够锁定到确切的传播源,这些事件和现象突出反映了主动防御对保障网络安全的重要性和紧迫性。加强对网络攻击溯源技术和手段的研究,迅速定位攻击源头,及时获得并分析病毒、木马等攻击代码程序样本,研究反制措施,已成为网络安全防护体系中不可或缺的重要组成部分。
5)要树立人才第一观念,高度重视核心骨干人才培养。网络攻防拼的是技术、靠的是人才,要的是机制。事实上,网络防御对抗时技术的较量、人才的博弈,没有骨干人才就没有良好的安全保障。安全防护不适安全产品的简单堆砌,要运用综合集成思想,将各种检测、防护、响应手段围绕安全策略的具体需求有序地组织,相互之间要形成协调、联动的关系;要针对应用中发现的问题,根据实际需求或应用变化的情况,不断地加以改进和完善;网络安全绝不是单纯一次性地购出来、建出来的,而是通过人配出来、改出来、管出来的,这就决定了人才是网络安全的核心要素。
参考文献:
谢希仁.计算机网络[M].北京:电子工业出版社,2003.
Andraw S,Tanenbaum.计算机网络[M].3版.熊桂喜,王小虎,译.北京:清华大学出版社,1998.
[3]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社,2005.
[4]肖军模.网络信安全与对抗[M].北京:解放军出版社,1999.
[5]胡昌振.面向21世纪网络安全与防护[M].北京:北京希望电子出版社,1999.
[6]高永强.网络安全技术与应用大典[M].北京:人民邮电出版社,2003.
摘要:计算机网络的安全问题一直备受关注和重视,在复杂的信息化条件下尤为重要,网络安全不可忽视。该文通过对当前网络安全情况的分析,探讨网络安全防范措施,提高网络安全,是需要我们认真思考的问题。
关键词:计算机网络;网络安全;防范措施
1009-3044(2012)20-4806-02
Inspiration and Thinking of the Computer Network Security
LIU Dan
(Chongqing College of Electronic Engineering, Chongqing 401331, China)
Abstract: Computer network security can not be ignored under the complex information technology surroundings, which has been much concerned and taken seriously. This paper analyzed the current network security situation and explored the measures to prevent computer network security threats. Improving network security should be seriously thought.
Key words: computer network; network security; precautionary measure
据国家计算机网络应急协调中心网络安全报告,基础设施和重要信息系统整体上运行基本正常,未出现造成影响严重的网络安全事故,但是网络攻击的次数、频率和复杂度均比往年大幅度增加,遭入侵和受控计算机数量巨大,潜在威胁继续增加,信息数据安全问题日益突出,计算机网络的安全形势依旧十分严峻。主要表现在,一是政府网页被篡改事件大幅度增加。据统计显示,我国大陆地区被篡改网站总数比往年同期增长41%,占被篡改网站总数的比例达7%,而gov.cn域名仅占cn域名总数的2.3%。二是感染木马和僵尸网络的主机数量巨大。国家互联网应急协调中心抽样检测,境内外控制者利用木马控制端对主机进行的控制事件中,木马控制端IP网络地址总数、被控制端IP地址总数均高举不下。中国大陆地区有2百多万个IP地址的主机被植入僵尸程序,有2270个境外控制服务器对大陆地区的主机进行了僵尸网络控制。三是恶意代码的肆虐传播是造成木马和僵尸网络产生和扩大的一大途径。国家互联网应急中心通过技术平台共捕获恶意代码约90万个,比上年同期增长62.5%,其中有新的恶意代码样本,有通过国内外合作渠道接收到的恶意代码。这些恶意代码中,以恶意代码下载器、灰鸽子家族系列,以及与网络游戏有关的恶意程序居多,对终端用户的威胁也最为突出。
1理性分析,网络安全道路依然漫长
1)应用软件漏洞是各种安全威胁的主要根源。在软件系统漏洞的防护上,人们往往重视操作系统漏洞的查找和补丁升级。实际上,近年来,应用软件安全漏洞的威胁越来越大,已经超过了操作系统漏洞。从目前所掌握的安全漏洞情况分析来看,有部分漏洞直接威胁到互联网基础设施的运行安全,更多的漏洞则严重威胁到广大互联网用户的信息系统。如,Realplay软件漏洞、联众世界软件漏洞等。同时,针对漏洞出现的攻击程序、代码也呈目的性强、时效性高的趋势。
2)电子邮件成为达成精确控制的常用手段。对于电子邮件的安全威胁,人们通常只注意到尽量不打开陌生人发送过来的电子邮件,特别是不打开邮件中的附件,这的确是一种好的安全防范习惯。但据了解,目前互联网上流行的电子邮件系统,其邮件用户设置的复杂无一例外地可以被专业人员,而用户一旦被他人获得,即使是由熟悉人员所发送过来的邮件中,也可能在原有的邮件中被他人注入了木马和病毒程序。利用电子邮件对待定目标主机实施远程控制是当前最常见、最精确的渗透控制手段之一。
3)摆渡型攻击技术逐渐成熟并广泛应用于针对内部网络的攻击。摆渡型攻击以移动存储设备、光盘、电子文档等为主要途径,借助木马、蠕虫、病毒等恶意代码,在与互联网物理隔离的内网中交换数据、传播病毒,进行破坏和瘫痪目标网络。根据最新的网络攻击理论和实践,所有的网络都会与外部进行数据交换,已不存在绝对封闭的内部网络。不论什么网络,总要进行系统和应用软件的更新,或进行防病毒系统补丁的更新,此时就相当于建立了对外连接的通道。就算是全封闭的物理隔离网络,由于不能及时修补各种安全漏洞,一旦解决了进入问题,实施攻击将更容易达成目的。因此,物理隔离固然重要,但未必能确保网络的绝对安全。实际上,采用物理隔离的内部网络中所出现的计算机病毒程序,基本上都是由移动存储介质从外界带入的。以往那种认为网络只要物理隔离就可高枕无忧的想法是不正确的。需强调的是,即使是利用光盘进行内外网数据交换,病毒和木马后门程序照样可以通过OFFICE电子文档、图片文件等进行传播。
4)分布式拒绝服务攻击成为大规模网络瘫痪攻击的主要手段。所谓分布式拒绝服务攻击就是在特定时刻由控制者向事先控制的、分布在不同地域的众多网络主机发出攻击指令,受控主机收到攻击指令后,会同时向指定的目标网络节点或服务器发送类似于正常用户访问的数据包,使得目标网络主机来不及响应处理,或致使目标网络信道拥塞,进而造成目标网络或主机无法(拒绝)提供正常服务。如发生在2007年4、5月间的俄罗斯对爱沙尼亚的大规模分布式拒绝服务攻击,导致了爱沙尼亚由先期的政府、媒体网络迅速蔓延到通信、银行等各公共服务网络,大量网站被迫关闭,就连其总统府网站也未能幸免。
2启示思考,我国网络安全防护任重道远
对于复杂的因特网来说,事实上,有“网”必有“洞”,有“洞”就能钻,我们必须居安思危,严密防范。
1)要强化安全忧患意识,坚持动态防御和体系保障理念。论文导读:上,网络防御对抗时技术的较量、人才的博弈,没有骨干人才就没有良好的安全保障。安全防护不适安全产品的简单堆砌,要运用综合集成思想,将各种检测、防护、响应手段围绕安全策略的具体需求有序地组织,相互之间要形成协调、联动的关系;要针对应用中发现的问题,根据实际需求或应用变化的情况,不断地加以改进和完善;网络安全绝不是
信息安全保障是一个复杂的系统工程,要从安全策略、隔离控制、保护、授权认证、实体安全、检测预警、响应恢复和安全管理等多个方面实行整体性防御。要破除全能观念,不能以为安装了核心设备的网络就一定可以高枕无忧了。实际上,只能解决数据交互过程中的保密问题,不能解决网络安全所以问题;仅对局外人员有效,用户之间的信息交换只是在数据传递和存储过程中的加密,而末端应用时是经过解密过的数据;病毒、木马后门等攻击程序通常是合法数据包裹在一起的。网络安全必须从采集、加工、传递、存储、应用的全过程,按照同一密级要求实行全程管理。
信息安全保障还是一种持续的动态发展过程,通常要通过策略、防护、检测、响应和恢复构成一个完整的、动态螺旋式的循环上升链,进而不断改进和完善。安全防范应贯穿于信息系统整个生命周期,只要信息系统存在,安全隐患也就永远存在,安全防范就不能停止。
2)要注重系统顶层设计,重视应用软件的安全性测试。网络构建通常伴随着重要的网络应用,要通过顶层设计统筹考虑网络应用与网络防护的关系。在处理应用系统与安全防护系统可能存在的冲突时,要优先考虑安全问题,要在确保安全性的前提下实现业务系统的功能;在加强自研软件安全性测试的同时,要加强对外协和外购软件的安全测试,努力防止业务系统集成过程中出现安全漏洞。
3)要正视安全的相对性,积极应付各种可能复杂情况。网络安全永远是相对的,要有入侵容忍的思想,不应过分强调严防死守,因为防护手段永远比进攻手段落后半拍;从费效比和网络应用角度看,过度的防护也不可取。因此,要有防线一旦被攻破的思想准备,要通过响应、恢复、补救方案和措施,将损失降低到源于:7彩论文网免费论文www.7ctime.com
最小程度。
4)要采取主动防御战略,注意加强攻击溯源技术研究。保障网络系统安全,不仅要查找自身的薄弱点,及时修补漏洞;同时,还应具备攻击源速度定位能力。只有找到了攻击的源头,才能更有效地采取应对措施,更好地把握网络防御的主动权。近几次发生在因特网上的大规模网络攻击事件,都呈现出网络攻击手段多样、手法隐蔽、源头难以追溯等特点,即使是内部网络中发生的病毒传播现象,也很少有单位能够锁定到确切的传播源,这些事件和现象突出反映了主动防御对保障网络安全的重要性和紧迫性。加强对网络攻击溯源技术和手段的研究,迅速定位攻击源头,及时获得并分析病毒、木马等攻击代码程序样本,研究反制措施,已成为网络安全防护体系中不可或缺的重要组成部分。
5)要树立人才第一观念,高度重视核心骨干人才培养。网络攻防拼的是技术、靠的是人才,要的是机制。事实上,网络防御对抗时技术的较量、人才的博弈,没有骨干人才就没有良好的安全保障。安全防护不适安全产品的简单堆砌,要运用综合集成思想,将各种检测、防护、响应手段围绕安全策略的具体需求有序地组织,相互之间要形成协调、联动的关系;要针对应用中发现的问题,根据实际需求或应用变化的情况,不断地加以改进和完善;网络安全绝不是单纯一次性地购出来、建出来的,而是通过人配出来、改出来、管出来的,这就决定了人才是网络安全的核心要素。
参考文献:
谢希仁.计算机网络[M].北京:电子工业出版社,2003.
Andraw S,Tanenbaum.计算机网络[M].3版.熊桂喜,王小虎,译.北京:清华大学出版社,1998.
[3]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社,2005.
[4]肖军模.网络信安全与对抗[M].北京:解放军出版社,1999.
[5]胡昌振.面向21世纪网络安全与防护[M].北京:北京希望电子出版社,1999.
[6]高永强.网络安全技术与应用大典[M].北京:人民邮电出版社,2003.