计算机网络安全与管理
计算机网络安全与管理 Last updated at 10:00 am on 25th December 2020
计算机网络安全与管理
院系专业名称年级班别学号学生姓名
中文摘要:随着计算机和网络的飞速发展,网络已经涉及到国家、政府、军事、文教等诸多领域,网络安全问题在人们生产生活中占有很重要的地位。因此,在这个网络时代,加强网络的安全保障显得原来越重要。从计算机网络安全与管理出发,分析了计算机网络、网络安全、管理防范、安全存在的问题等,简单的做了一些介绍。
关键词:计算机、网络安全、安全管理
当前,随着计算机的迅猛发展为现代化建设提供了一定的技术保障。并且网络技术发展的日益普及,给我们带来了巨大的经济效益。但是,网络的发展也带来了一系列的安全隐患和威胁,导致了一些新的安全问题和社会不稳定因素。计算机网络安全面临着众多的威胁,如黑客攻击,病毒,后门等,使得人们的安全降低,严重威胁着人们的生活财产等的安全,所以网络的王权与管理刻不容缓。
1.计算机网络组成
计算机网络组成要素,无论什么类型的网络,其基本组成部分主要包括如下部分。
(1)网络终端设备
为网络的主体,一般指计算机。但随着智能化以及网络的发展,机、电视机报警设备等都可以接入网络它们都属于网路终端设备。
(2)通信链路
包括通信设备与通信线路,用以连接网络终端设备并构成计算机网络。如光缆、网卡、交换机、路由器等。
(3)网络协议
网络协议是网络终端设备之间进行通信是必须遵守的一套规则和约定,发送的信息要遵守该约定,收到的信息按照规则或约定进行理解。目前使用最广泛的是TCP/IP。
(4)网络操作系统和网络应用软件
链接到网络上的计算机必须装有支持通信协议的网络操作系统,才能使计算机之间进行信息传递。目前几乎所有的操作系统都是网络操作系统。此外,为了提供特殊服务,计算机上还应该安装相应的网络应用程序,如浏览器、QQ、电子邮件等。
2.网络安全与管理概述
网络安全与管理的基本概念
随着计算机和通信技术的发展,国家和社会的信息化程度逐步提高,网络已成为全球信息基础设施的主要组成部分,成为现代人工作生活中必可少的一部分,人们对网络的依赖程度也逐步加深,一旦网络由于种种原因发生故障,陷于瘫痪,人们的生活也必然会受到极大的影响。网络技术如同一把双刃剑,在给我们带来便利的同时,所引发的安全隐患问题也很值得我们关注。广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全是一门涉及多方面的学科,如计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等等,它涉及安全体系结构、安全协议、密码理论、信息内容分析、安全监控、应急处理等。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
有效的网络管理不仅局限于技术上的问题,同时也是管理和法律法规的问题。网络监管系统的基础设施要采用先进的硬件设备,包括抗电磁干扰、数据灾备及电源保护等设备。网络安全技术随着现代技术的进步不断发展,如果没有合理有效的网络管理,就很难以有健康发展的网络环境。从管理上来说,目前成立专门的监管部门,分区域行业进行监督和管理。网络监督还必须从法律法规上进行强化,制定规范的法律法规,并达成行业和相关人员的自律。网络技术的进步给了人们以更大的信息支配能力,互联网打破了传统的区域性,使个人的网络行为对社会发生的影响空前增大,也要求人们更严格地控制自己的行为。
网络安全与管理的定义
网络安全的定义
国际标准化组织对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。由此,可以将计算机网络安全理解为:通过采用各种技术和管理措施,是网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
网络安全包括网络硬件资源和信息资源的安全性,而硬件资源包括通信线路、通信设备(路由机、交换机等)、主机等,要实现信息快速安全的交换,必须有一个可靠的物理网络。信息资源包括维持网络服务运行的系统软件和应用软件,以及在网络中储存和传输的用户信息数据等。
网络安全具体会随着重视角度的变化而变化。例如,从用户的角度来说,他们希望涉及个人隐私的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用窃听篡改等手段侵犯利益和隐私,从网络运行和管理者的角度来说,他们希望对本
地网络信息的访问、读、写等操作受到保护和控制,避免病毒、非法存取、拒绝服务等威胁,制止和防御网络黑客的攻击。
在不同的环境和应用中,网络安全的解释也是不相同的。
①运行系统安全,即多指操作系统的安全。
②网络上系统信息的安全,包括用户存取权限控制、数据加密等。
③网络上信息传播的安全,及信息传播后的安全。
④网络信息本身安全,其侧重保护网络信息的保密性、真实性和完整性。
⑤物理安全,即网络中各种物理设备的安全。
网络管理的定义
网络管理就是指监督、组织和控制网络通信服务,以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调保持网络系统的高效运行。
网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者是相辅相成。从网络管理范畴来分类,可分为对网“路”的管理,即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部计算机、服务器、交换机等进行管理;对行为的管理,即针对用户的使用进行管理;对资产的管理,即统计软件的信息等。
网络管理的功能
国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。针对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件、网络配置管理软件、网络性能管理软件、网络服务厂安全管理软件、网络计费管理软件。
(1)网络故障管理
计算机网络服务发生意外中断是常见的,这种意外中断在某些重要的时候可能会对社会或生产到来很大的影响。在大型计算机网络中,当发生失效故障时,往往不能轻易、具体地确定故障所在的准确位置,而需要相关技术上的支持,因此需要有一个故障管理系统,科学的管理网络发生的所有故障,并记录每个故障的产生及相关信息,最后确定并排除那些故障,保证网络能提供连续可靠的服务。
(2)网络配置管理
一个实际中使用的计算机网络是由多个厂家提供的产品、设配相互连接而成的,因此各设备需要相互了解和适应与其发生关系的其它设备的参数、状态等信息,否则就不能有效甚至正常工作尤其是网络系统常常是动态变化的,因此需要有足够的技术手段来支持这种调整或改变,使网络能更有效地工作。
(3)网络性能管理
由于网络资源有限性,因此最理想的是在使用最少的网络资源和具有最小通信费用的前提下,网络提供持续可靠的通信能力,并使网络资源的使用达到最优化的程度。
(4)网络安全管理
计算机网络系统的特点决定了网络本身安全的固有脆弱性因此要确保网络资源不被非法使用,确保网络管理系统本身不被未经授权者访问,以及网络管理信息的机密性和完整性。
(5)网络计费管理
当计算机网络系统中的信息资源是在有偿使用的情况下,需要能够记录和统计哪些用户利用那条通信线路传输了多少信息,以及做的是什么工作等。在非商业化的网络上,仍需要统计各条路线工作的繁闲情况和不同资源的利用情况,以供决策参考。
网络安全与管理的基本属性
对整个网络信息系统的保护是为了网络信息的安全,即信息的储存安全和信息的传输安全等,阻止安全威胁,确保网络系统的信息安全。从网络信息系统的安全属性角度来说,就是对网络信息资源的保密性、完整性和可用性等安全属性的保护。从技术角度来说,网络信息安全与管理的目标主要表现在系统的可靠性、可用性、保密性、完整性、可控性等安全属性方面。
(1)可靠性
可靠性是网络信息系统能够在规定条件下和规定时间内完成工能的特性。可靠性时系统安全的最基本要求之一,是所有网络信息系统的建设和运行的目标。
(2)可用性
可用性就是要保障网络资源无论在何时,无论经过何种处理,只要需要即可使用,而不是系统故障或误操作等使资源丢失或妨碍对资源的使用。可用性是网络信息系统面向用户的安全性能。
(3)保密性
保密性指网络中的数据必须按照数据拥有者的要求保证一定的秘密性,不会被未授权的第三方非凡获知。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。
(4)完整性
完整性指网络中的信息安全、精确与有效,不因人为的因素而改变信息原有的内容、形式与流向,既不能被未授权的第三方修改。完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、储存和传输。
(5)可控性
可控性是对网络信息的传播及内容具有控制力的特性。概括地说,网络信息安全与保密的核心,是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和储存消息的保密性、完整性、真实性、可靠性、可用性等。
3网络安全与管理问题
网络安全问题范围
由于网路建立开始只考虑方向性、开放性,并没有考虑总体安全构架,因此开放性的网络导致网络的技术是全开放的,任何一个人或者团体都可能介入,因而网络所面临的破坏和供给可能是多方面的。正如一句非常经典的话:“Internet的美妙之处在于你和每个人都能互相连接,Internet的可怕之处在于每个人都能和你互相连接。”这使得网络的安全不仅是个人或区域,而是国家和世界范围的,更是现实世界和虚拟世界。
网络安全问题的根源
网络安全问题的根源大体上有物理安全问题、方案设计的缺陷、系统的安全漏洞、安全漏洞、人为因素等几个问题。
(1)物理安全问题
处理物理设备本身的问题外,物理安全问题还包括设备的位置安全、限制物理访问、物理环境安全和地域因素等。物理设备的位置极为重要,所有基础网络设施都应该放置在严格限制来访人员的地方,以降低出现未经授权访问的可能性。同时,还要注意严格限制对接线柜和关键网络基础设施所在地的物理访问。物理设备也面临着环境方面的威胁,这些威胁包括温度、湿度、灰尘、供电系统对系统运行可靠性的影响,由于电子辐射造成信息泄露以及自然灾害对系统的破坏等。
(2)方案设计的缺陷
由于实际中网络的结构往往比较复杂,会包含星型总线型和环型等各种拓扑结构,结构的复杂无疑给网络系统管理拓扑设计带来很多问题。为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。
(3)安全漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或后门也不可避免的存在,比如我们常用的Windows系统,存在一些安全漏洞,众多的各类服务器浏览器数据库等都被发现存在过安全隐患可以说任何一个软件系统度可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全问题的主要根源之一。
(4)人的因素
人的因素包括人为无意的失误人为的恶意攻击等。网络建设单位、管理人员和技术人员缺乏安全防范意识,没有采取主动的安全措施加以防范等。网络管理人员和技术人员缺乏必要的专业安全知识,不能安全的配置和管理网络,不能及时发现已经存在的和随时可能出现的安全问题,对突发的网络安全事件不能作出积极有序和有效的反应。
网络安全威胁
各种威胁可以按不同的方法进行分类。一种分类方法是根据威胁来源是机构外部还是内部。另一种方法是根据攻击的技术复杂级别,从“脚本小子”到“精英黑客”。第三种方法是检查各种威胁的组织级别,从无组织的威胁到高度有组织的威胁。这些分类方法事实上它们都是相互重叠的。
1.病毒和蠕虫
当员工没有按照某种惯例或规程操作时,机构可能会遇到病毒和蠕虫,通常你不必担心是你的员工编写和发布了病毒和蠕虫。重要的是应该在恶意软件的编写者和发布者之间划清界限。业界对便携病毒的道德规范一直争论不休,但现在仅仅编写病毒并不被认为是犯罪行为。这是正确的,如计算机课程中,学习和制作病毒。据说,到目前为止病毒和蠕虫是机构面临的最普遍的问题,可以毫不夸张地说,已经有数以千计的病毒和蠕虫被制造出来。幸运的是,反病毒软件和程序可以清除大部分这种威胁。
2.入侵者
未尽授权而故意访问计算机系统或网络的行为称之为黑客攻击。这一名称也适用于超出系统授权范围的行为,包括授权用户企图访问未授权的文件或者获取未授予的权限。
入侵者或者哪些试图发动入侵的让人,更具其技术复杂程度可以明确分为许多类。在技术上级别最低的一般称为脚本小子,指一些不具备开发脚本或发现软件新漏洞的专门
技术知识、但是能理解计算机系统、能够下载和运行别人开发的脚本的个人。另一级别是那些能编写利用已知漏洞的脚本的人员,这些人的技术能力比脚本小子更胜一筹。在这一部分人的顶端是那些技术高超的人,通常称为经营黑客。他们不仅有能力编写利用已知漏洞的脚本,还具有发现新漏洞的能力。然而,这一群体的人数最少。
3.内部人员
安全专业人员通常知道,内部人员在许多方面都比外部入侵者更加危险。原因很简单,内部人员拥有能够对机构造成直接破坏的必要知识和访问权。大多数安全措施都是设计用来防止外部入侵者的。内部人员实际上已经拥有进行犯罪活动的全部访问权。除了空前的访问权,内部人员通常也知道安全系统的情况,也能更好地躲避检测。
4.犯罪组织
随着企业对计算机系统和网络的依赖程度的持续增加,以及通过Internet签订的经济合同总量的增加,犯罪组织逐渐把电子世界当作新的攻击目标,Internet上的犯罪活动和现实世界的犯罪在本质上没有区别,在电子环境中同样会发生欺骗、敲诈、偷窃、盗用以及伪造等犯罪活动。
4.网络安全与管理的规范
网络安全防范体系
一个全方位、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全需求,根据网络的应用现状和网络结构,一个网络的整体由网络硬件网络协议网络操作系统和应用程序构成,而若要实现网络的整体安全,还需要考虑数据的安全性问题,此外无论是网络本身还是操作系统和应用程序,最终都是由人来操作和使用的,所以还有一个重
要的安全问题就是用户的安全性。可以将网络安全防范体系的层次化分为物理安全、系统安全、网络层安全、应用层安全和安全管理。
1.物理安全
该层次的安全包括通信线路、物理设备的安全、机房安全等。物理层次的安全主要体现在通信线路的可靠性、软件设备安全性、设备的备份、防灾害能力及防干扰能力、设备的运行环境等。
2.系统安全
该层次的安全问题来自网络内使用的操作系统,如windows XP、windows 2000等。主要表现在三方面,一是操作系统本身的缺陷到来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是恶意代码对操作系统的威胁。
3.网络层安全
该层次的安全问题主要体现在网络方面的安全性,包括网络层次身份认证、网络资源的访问控制、数据传输的保密与完整性、域名系统的安全、入侵检测的手段、网络设施防病毒等。
4.应用层安全
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括web服务、电子邮件系统、DNS等。此外还包括使用系统中资源和数据的用户是否是真正被授权的用户。
5.安全管理
安全管理包括安全技术和设备的管理安全制度管理部门与人员的组织规则等。管理的制度化极大程度的影响整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
网络安全体系结构
安全服务
在对威胁进行分析的基础上,有以下5种标准的安全服务
1.鉴别
用于识别对象的身份和身份的证实。
2.访问控制
提供对越权使用资源的防御措施。访问控制可分为自主控制访问、强制性访问控制、角色的访问控制。
3.数据机密性
它是针对信息泄露而采取的防御措施,可分为连接机密性、无连接机密性、选择字段机密性和业务流机密性,它的基础是数据加密机制的选择。
4.数据完整性
在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证。
5.抗否认
是针对对方抵赖的防范措施,用来证实发生过的操作,它可分为发送抵赖对递交防抵赖和进行公证。
安全机制
1.加密机制
借助各种加密算法对存放的数据和流通中的信息进行加密
2.数字签名访
数字签名是附加在数据单元上的一些数据,或是对数据单元所做的密码交换,这种数据或变换允许数据单元的接收者确认数据单元的来源和数据单元的完整性,并保护数据,防止被人伪造。
3.访问控制机制
为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关实体的信息,与加密机制有关。
4.数据完整性机制
数据完整性有两个方面:单个数据单元或字段的完整性和数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的。判断是否陪篡改过,与加密机制有关。
5.鉴别交换机制
用来实现同级之间的认证。可用于鉴别交换的一些技术是:使用鉴别信息。
6.路由控制机制
防止不利信息通过路由,目前典型的应用为网络层防火墙。带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。
7.公证机制
有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证机制和得到确保。
8.可信功能度
根据某些标准被认为是正确的,就是可信的。
9.安全标记
安全标记始于某一资源密切相关的标记,为该资源命名或指定安全属性。包含数据项的资源可能是具有与这些数据相关联的安全标记。
10.事件检测
与安全有关的事件监测包括对安全明显事件的检测,也可以包括对正常事件的检测。
11.安全审计跟踪
安全审计就是对系统的记录与行为进行独立的评估考查,目的是测试系统的控制是否恰当,保证与既定策略和操作的协调一致,有助于做出损害评估,以及对在控制、策略与规程中指明的改变做出评价。
12.安全恢复
安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把回复动作当作是应用一组规则的结果。
安全管理
安全管理活动有三类:系统安全管理、安全服务管理、安全机制管理。
1. 系统安全管理
①总体安全策略的管理,包括一致性的修改与维护;
②与安全服务管理和安全机制管理的交互作用;
③事件处理管理,包括远程报告那些违反系统安全的明显企图,以及对用来触发事件报告的阀值修改;
④安全恢复管理,包括维护那些用来对实际的或可疑的安全事故作出反应的规则、远程报告对系统安全的明显违规、安全管理者的交互作用。
2. 系统安全管理
①为该种服务决定与指派目标安全保护;
②指定与维护选择规则,用以选取为提供所需的安全服务而使用的特定的安全机制;
③对那些需要事先取得管理统一的可用安全机制进行协商;
④通过适当的安全机制管理功能调用特定的安全机制;
⑤与别的安全服务管理功能和安全机制管理功能的交互作用。
3. 安全机制管理。
①密钥管理
②加密管理
③数字签名管理
④访问控制管理
⑤数据完整性管理
⑥鉴别管理
⑦路由选择控制管理
⑧公证管理
4计算机网络安全管理措施
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网
络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。
(1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
(2)网络访问控制。访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作,备份是恢复数据库最容易和最能防止意外的保证方法,恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
(5)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
结束语