下载文档第一篇:计算机网络安全管理普遍含义
计算机网络安全管理普遍含义
网络安全管理是指对所有计算机网络应用体系中各个方面的安全技术和产品进行统一的管理和协调,进而从整体上提高整个计算机网络的防御入侵、抵抗攻击的能力体系。
最初人们对网络安全的普遍认识是单点式的、分散的安全管理。
一个系统中采用各类不同的安全设施实现不同的安全功能,目前大部分单个的网络安全管理工具比较分散,各个安全功能需要分别进行配置,不同的管理工具之间缺乏连通性,但是由各种技术和产品构成的系统日益复杂。
管理员如果要实现一个整体安全策略需要对不同的设备分别进行设置,特别是在全局安全策略需要进调整时,很难考虑周全和实现全局的一致性。
网络管理的趋势是向分布式、智能化和综合化方向发展。
(1)基于Web的管理。www以其能简单、有效地获取如文本、图形、声音与视频等不同类型的数据在Internet上广为使用;
(2)基于CORBA的管理。公共对象请求代理体系结构CORBA是由对象管理小组为开发面向对象的应用程序提供的一个通用框架结构;
(3)采用Java技术管理。Java用于异购分布式网络环境的应用程序开发,它提供了一个易移植、安全、高性能、简单、多线程和面向对象的环境,实现“一次编译,到处运行”。将Java技术集成至网络管理,可以有助于克服传统的纯SNMP的一些问题,降低网络管理的复杂性。
总之,计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。
第二篇:计算机网络安全的含义
计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。计算机网络攻击的特点
计算机网络攻击具有下述特点:①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。计算机网络中的安全缺陷及产生的原因
网络安全缺陷产生的原因主要有:
第一,TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是(转载自中国教育文摘http://,请保留此标记。)由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:
利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。常见的网络攻击及其防范对策
5.1 特洛伊木马
特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网时控制你电脑的目的。
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
5.2 邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗
(转载自中国教育文摘http://,请保留此标记。)殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。
5.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来分析问题的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外,还可以让系统自动检查是否过载或者重新启动系统。
5.4 淹没攻击
正常情况下,TCP连接建立要经历3次握手的过程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求。
对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
第三篇:计算机网络安全管理
1、双机双网的优缺点?优点:(1)、内、外网络分别使用专用的通线线路和网络设备,两
套网络之间实现了彻底的物理隔离,系统安全性高。(2)、只要在制度和应用中能保证用户执行专网的规定,不随意改变计算机的归属,就可以实现真正的物理隔离。缺点:
(1)、两套网络需要单独组建和管理,建设和使用成本高。(2)、接入网络的计算机等设备的利用率低。(3)、内、外网之间无法实现数据共享,且两套系统之间无法实现实时的数据同步更新。
2、一机双网的优缺点?优点:(1)、每个用户只需要配置一台计算机,节约了成本。(2)、任何时刻只有一块硬盘和对应的网络连接被启动,而另一块硬盘和对应的网络连接被切断,实现了以硬盘访问位对象的物理隔离。(3)、系统安全性虽然比“双机网络”方案差,但能够满足对内网数据安全性不是很高的用户需求。缺点:(1)、需要组建两套独立的网络系统,造成资源的浪费和管理成本的增大。(2)、当在内、外之间切换时需要重启计算机,给用户带来不便。(3)、物理隔离卡上具有多个网络接口,分别接到内被网络和外部网络,物理隔离卡用于实现内外网络物理隔离。这种方法占用了计算机很多硬件资源,成本也很高。(4)、物理隔离卡的安全性决定着整个系统的安全。
3、计算机病毒的特征:(1)、非权限可执行性。(2)、隐蔽性。(3)、传染性。(4)、潜伏性
(5)、破坏性(6)、可触发性(7)、针对性(8)与黑客技术的结合性。
4、计算机病毒的分类:(1)、文件传染性病毒(2)、引导扇区病毒(3)、主引导记录病毒
(4)、复合型病毒(5)、宏病毒
5、计算机病毒检测的实现过程:(1)、从感染源中提取病毒样本(2)、从病毒样本中提取
病毒的特征码(3)、将特征码导入病毒数据库(4)、查毒操作
6、防火墙的基本功能:(1)、监控并限制访问(2)、控制协议和服务(3)、保护内部网络
(4)网络地址转换(5)、虚拟专用网(6)、日志记录与审计
7、防火墙应用的局限性:(1)、防火墙不能防范未通过自身的网络连接(2)、防火墙不能
防范全部的威胁(3)、防火墙不能防范内部用户的恶意破坏(4)、防火墙本身也存在安全问题(6)、认为因素在很大程度上影响了防火墙的功能
8、入侵检测系统的功能:(1)、监视、分析用户及系统行为,查找非法用户和合法用户的越权操作(2)、系统配置和漏洞的审计检查(3)、评估重要系统和数据文件的完整性(4)、识别、反应已知攻击的行为模式并报警(5)、异常行为模式的统计分析(6)操作系统的审计跟踪管理基违反安全策略的用户行为的识别
9、数字签名必须同时满足以下的要求:(1)、发送者事后不能否应对报文的签名。(2)、接
收者能够核实发送的报文签名。(3)、接收者不能伪造发送者的报文签名。(4)、接收者不能对发送者的报文进行部分篡改。(5)、网络的其他用户不能冒充报文的接收者或发送者。
10、VPN的特点:(1)、费用低(2)、安全保障(3)、服务质量保障(4)课扩张性和灵
活性(5)可管理性
第四篇:计算机网络安全管理工作总结
网管工作总结
2007年以来,我矿的计算机网络管理工作在我矿党政领导的正确领导下,在公司信息中心的关心、帮助、指导和支持下,我矿计算机管理工作取得了有效的进步,OA系统、瓦斯监测、财务系统、供应购销链及煤矿安全等网络系统的安全、稳定运行工作取得了较好成绩。计算机各项管理的工作得以顺利开展,并取得较好效果。现将一年来的计算机管理工作总结如下:
一、制定制度,明确责任
我矿共有电脑129台,打印机77台,分布在矿区的办公大楼,综合大楼,救护队各地,分布较散,由于局域网络的全面铺开应用,给我矿网络管理与维护工作带来难处。对此,在我矿党政领导的高度重视和指导下,我矿成立了计算机安全管理领导小组并制定出台了《计算机及网络管理办法》,对计算机的使用和网络的安全管理拟定了详细的规定和法则,坚持专业管理与业余小组管理相结合,落实责任,明确分工,使逢春煤矿的计算机与网络管理在制度上得到了健全,做到了责任落实到个人。
二、加强管理,规范员工行为,提高员工素质
为了规范我矿员工使用电脑的行为,我矿每个星期都坚持定时或不定时对电脑进行检查,检查杀毒软件是否升级,电脑是否做到人走关机,电脑上是否安装了游戏等。在雷雨季节时候,我矿更是加强了检查次数,并及时制定了《雷雨季节计算机使用办法》。办法规定:电脑使用者必须做到人走关机并将网线拔出,做好相关防雷措施。
在电脑使用上,我矿员工素质参差不齐,2007年3月,我矿遭受了一次因为ARP病毒导致全矿网络瘫痪的事故。事后经分析,这次事故是由于一个基层连队的电脑使用不当造成。这让我矿感到:要想让我矿网络长治久安,还得从提高电脑使用者素质抓起。为此,去年,我矿组建了一个电脑培训室,并组织举办了4次计算机安全培训,这4次培训都是针对对电脑知识欠缺的基层连队的队长、书记和机关管理人员而设计;培训课上除了学习《计算机及网络管理办法》以及一些办公自动化软件应用的基础知识,还重点讲解了计算机基础知识、计算机安全相关知识、病毒的防范、处理以及卸载、安装、杀毒软件的等技巧。经过培训,我矿各级管理人员对计算机网络安全意识得到了提高,同时也提高了他们电脑操作和应用水平。
另外,我矿在日常的计算机及网络维护过程中,采取现场讲解、指导的方式,如:问题原因出在那里,下次遇见这种情况怎么处理。同时还要求他们人走关机,重要资料不存C盘并备好份等。提高了计算机使用者的业务技能,才能进一步提高计算机使用者的安全意识、防范、处理技能。
三、加强学习,提高自身业务素质
计算机是一门很深的学科,技术更新很快,只有不断的学习才能提高自身水平,从矿计算机管理的实际情况出发,我们着重自学了计算机硬件日常保养及维护,以及常用软件使用等。
计算机和网络管理最主要的安全问题还是防治病毒的入侵。
2007年期间,ARP病毒在我矿盛行。后经公司信息中心的老师们指点,我矿学习了利用 Sniffer4_70工具进行抓包分析,大大减少了对病毒计算机的盲目性处理。后来,我矿从网络上找到了一款ARP防火墙单机版,这款软件能够拦截来自局域网中的ARP病毒攻击,也能够抑制感染了病毒的计算机对局域网的发包数量,我矿把这款软件安装在一些经常用U盘的电脑上,这样,一旦我矿有电脑感染了ARP病毒,我矿就能在最短的时间内知道并进行处理。
但这款软件并不能对感染了病毒的计算机进行杀毒处理,于是,我矿从网上找到了一款专门针对一些ARP病毒的杀毒工具,如USBCleaner6.0专杀工具,AV终结者-8749木马专杀工具等。有了这些软件工具,有效杜绝了该病毒的进一步蔓延和入侵,确保了我矿计算机的安全运行。
第五篇:计算机网络安全管理责任状
计算机网络安全管理责任状
为明确任务,落实责任,不断增强教师的安全防范意识,更好地实施学校计算机与网络的安全管理,坚决杜绝意外事故的发生,现就加强计算机与网络的安全管理,打造平安校园,下达责任书,请认真执行。
一、责任目标
1、负责本校计算机与网络的安全保护管理工作,建立健全安全保护管理制度,定期检查计算机软硬件设备,做好计算机病毒和网络安全的防范工作。
2、每日检查计算机房、微机室安全设施,使用完毕,及时关闭门窗、电源,做好每天安全台帐记录。
3、负责对本校网络用户的安全操作培训。
4、教育与督促学生遵纪守规,爱护机房内所有公物,对不服从管理的学生有权作出取消上机资格的处理。
5、有权对师生员工的上网记录进行保留,检查与监督师生员工不利用计算机与网络从事非法活动,浏览不良网页,或破坏、随意改变学校网页内容。
6、定期做好计算机房与微机室环境卫生工作。
二、目标管理措施
1、根据以上目标任务,计算机与网络安全管理责任人应认真抓好落实工作,严格计算机与网络安全工作的管理,及时解决实施过程中的困难与问题,确保各项工作目标全面完成。
2、明确目标责任人。网管员_______ 为目标责任人。
三、目标考核办法
以上目标任务,由电教处进行目标考核,并列入教师学期工作考核。凡由于责任不到位,没有完成任务的,对目标责任人将实行评优“一票否决制”,对出现重大事故并造成重大损失和恶劣影响的,将依法追究相应的管理责任。
四、责任期限
本责任书有效期自____年___月___日至_____年___月____日
五、责任书一式两份,甲乙双方各执一份。
甲 方(教导主任)签名:____ 年___月___日
乙 方(网管员)签名:___ 年___月___日
