淺談關于計算機網絡的安全與管理
引導語:計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。今天,小編為大家帶來的是關于計算機網絡的安全與管理的論文,希望對你有幫助。
論文關鍵詞: 計算機網絡安全威脅 安全體系 網絡管理
論文摘要:隨著通訊技術、光纖技術的不斷發展,計算機網絡技術也同時不斷進步,計算機網絡的安全也成為計算機網絡設計師與客戶重視的焦點。本文主要對計算機網絡安全面臨的威脅和安全體系的建立與計算機網絡管理進行了探討。
一.引言
近年來,在計算機網絡技術應用的深入發展中,網絡安全問題已經逐漸成為網絡建設中的核心問題。網絡系統是一個由眾多計算機和網絡設備,以及網絡系統軟件構成的一個復雜的集成系統。在因特網絡上,互聯網本身沒有時空和地域的限制,每當有一種新的攻擊手段產生,就能在很短時間內傳遍全世界,這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。因此,計算機網絡的安全與管理越來越受到人們的關注,成為一個研究的新課題。
二.計算機網絡安全威脅分析
(1)計算機網絡面臨的安全性威脅
①非法授權訪問。威脅源成功地破壞訪問控制服務, 如修改訪問控制文件的內容, 實現了越權訪問。②非法連接。威脅源以非法手段形成合法的身份, 在網絡實體與網絡源之間建立非法連接。③拒絕服務。阻止合法的網絡用戶或其他合法權限的執行者使用某項服務。④信息泄露。未經授權的實體獲取到傳輸中或存放著的信息, 造成泄密。⑤無效的信息流。對正確的通信信息序列進行非法修改、刪除或重復, 使之變成無效信息。⑥偽裝。威脅源泉成功地假扮成另一個實體,隨后濫用這個實體的權利。
(2)計算機網絡面臨的安全攻擊
安全攻擊的形式: 計算機網絡的主要功能之一是通信,信息在網絡中的流動過程有可能受到中斷、截取、修改或捏造形式的安全攻擊。
①中斷。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信, 如切斷通信線路、禁用文件管理系統等。②截取。截取是指未授權者非法獲得訪問權,截獲通信雙方的通信內容。③修改。修改是指未授權者非法截獲通信雙方的通信內容后, 進行惡意篡改。如病毒可能會感染大量的計算機系統,占用網絡帶寬,阻塞正常流量,發送垃圾郵件,從而影響計算機網絡的正常運行。④捏造。捏造是指未授權者向系統中插入仿造的對象, 傳輸欺騙性消息。
三. 計算機網絡安全體系的建立
建立開放系統互聯標準的安全體系結構框架,為網絡安全的研究奠定了基礎。
(1)身份認證。身份認證是訪問控制的基礎,是針對主動攻擊的重要防御措施。身份認證必須做到準確無誤地將對方辨別出來,同時還應該提供雙向認證,即互相證明自己的身份。網絡環境下的身份認證更加復雜,因為驗證身份一般通過網絡進行而非直接參交互,常規驗證身份的方式(如指紋)在網絡上已不適用;再有,大量黑客隨時隨地都可能嘗試向網絡滲透,截獲合法用戶口令,并冒名頂替以合法身份入網,所以需要采用高強度的密碼技術來進行身份認證。目前安全性較高的是USBKEY認證方法,這種方法采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備,用戶的密鑰或數字證書無需存于內存,也無需通過網絡傳播。因此,大大增強了用戶使用信息的安全性。
(2)訪問控制。訪問控制的目的是控制不同用戶對信息資源的訪問權限,是針對越權使用資源的防御措施。訪問控制可分為自主訪問控制和強制訪問控制兩類。實現機制可以是基于訪問控制的屬性的訪問控制表(或訪問控制矩陣), 也可以是基于安全標簽、用戶分類及資源分檔的多級控制。
(3)數據保密。數據保密是針對信息泄露的防御措施。數據加密是常用的保證通信安全的手段,但由于計算機技術的發展,使得傳統的加密算法不斷地被破譯,不得不研究更高強度的加密算法,如目前的DES算法,公開密鑰算法等。
(4)數據完整性。數據完整性是針對非法篡改信息、文件及業務流而設置的防范措施。也就是說網上所傳輸的數據防止被修改、刪除、插入、替換或重發,從而保護合法用戶接收和使用該數據的真實性。
(5)加密機機制。加密技術的出現為全球電子商務提供了保證,從而使基于因特上的電子交易系統成為了可能,因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。
(6)路由控制機制。一套完整的防火墻系統通常是由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息,例如協議號、收發報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。代理服務器是防火墻中的一個服務器進程,它能夠代替網絡用戶完成特定的TCP/TP功能。一個代理服務器本質上是一個應用層的網關一個為特定網絡應用而連接兩個網絡的網關。用戶就一項TCP/TP應用,比如Telnet或者FTP,同代理服務器打交道,代理服務器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,代理服務器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。
(7)入侵檢測技術。隨著網絡安全風險系數不斷提高,作為對防火墻及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現攻擊的發生,它擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。入侵檢測系統是一種對網絡活動進行實時監測的專用系統,該系統處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網段上網段上的所有通信,記錄和禁止網絡活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統能夠對網絡上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制臺來管理和檢測。
(8)備份系統。備份系統可以全盤恢復運行計算機系統所需的數據和系統信息。對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。
四.計算機網絡管理
(1)計算機網絡管理概述
計算機網絡管理分為兩類。第一類是計算機網絡應用程序、用戶帳號(例如文件的使用)和存取權限(許可)的管理,屬于與軟件有關的計算機網絡管理問題。第二類是對構成計算機網絡的硬件管理, 包括對工作站、服務器、網卡、路由器、網橋和集線器等的管理。通常情況下這些設備都分散在網絡中,當設備有問題發生時網絡管理員希望可以自動地被告通知,為了解決這個問題,在一些設備中已經具有網絡功能,可以遠程地詢問它們的狀態,使它們在有某種特定類型的事件發生時能夠發出警告。這種設備通常被稱為“智能”設備。網絡管理應遵循以下的原則: 由于管理信息而帶來的通信量不應明顯的增加網絡的通信量。被管理設
備上的協議代理不應明顯的增加系統處理的額外開銷,以致于削弱該設備的主要功能。
(2)計算機網絡管理的功能
國際標準化組織ISO定義了網絡管理的五個功能域,分別是: 故障管理、配置管理、計費管理、性能管理和安全管理。
①故障管理。故障管理是對網絡中的問題或故障進行檢測、隔離和糾正。使用故障管理技術,網絡管理者可以盡快地定位問題或故障點,排除問題故障。故障管理的過程包括3個步驟。a.發現問題;b.分離問題,找出故障的原因;c.如果可能, 盡量排除故障。
②配置管理。配置管理是發現和設置網絡設備的過程。配置管理提供的主要功能是通過對設備的配置數據提供快速的訪問,增強網絡管理人員對網絡的控制;可以將正在使用的配置數據與存儲在系統中的數據進行比較,而發現問題;可以根據需要方便地修改配置。配置管理主要是包括下面三個方面的內容:a.獲得關于當前網絡配置的信息;b.提供遠程修改設備配置的手段;C.存儲數據、維護最新的設備清單并根據數據產生報告。
③安全管理。安全管理是控制對計算機網絡中的信息的訪問的過程。提供的主要功能是正確操作網絡管理和保護管理對象等安全方面的功能。具體包括:
a.支持身份鑒別, 規定身份鑒別過程;b.控制和維護授權設施;c.控制和維護訪問權限;d.支持密鑰管理;f.維護和檢查安全日志。
計算機網絡的規模越來越大、復雜程度越來越高,為了保證計算機網絡良好的性能,確保向用戶提供滿意的服務,必須使用計算機網絡管理系統對計算機網絡進行自動化的管理。計算機網絡管理系統的功能是管理、監視和控制計算機網絡, 即對計算機網絡進行了配置, 獲取信息、監視網絡性能、管理故障以及進行安全控制。計算機網絡管理系統對計算機網絡的正常運行起著極其重要的作用。
五.結束語
計算機網絡信息安全工作貫穿于計算機網絡建設、發展的始終,需要我們時刻重視,不斷學習。只有加強網絡與信息安全管理,增強安全意識,不斷改進和發展網絡安全保密技術,才能防范于未然,確保計算機網絡的安全、可靠地運行。
參考文獻:
原莉.如何確保計算機網絡安全[J].職大學報,2008,4.
楊威.網絡工程設計與系統集成[M].北京:人民郵電出版社,2005.36
【淺談計算機網絡的安全與管理】相關文章:
淺談計算機網絡的安全問題10-08
淺談中小企業中計算機網絡管理的安全論文10-09
淺談計算機網絡安全建設論文10-11
淺談計算機網絡安全的分析及對策10-26
淺談計算機網絡安全建設方法及安全技術10-26
淺談物業園區供電的安全管理10-08
淺談建筑施工安全風險管理10-06
淺談企業安全管理問題實踐10-05
淺談建筑企業施工安全管理10-06