计算机网络安全探讨
摘要:当今计算机网络给人类带来了极大的便利和发展空间,但它像一把双刃剑,网络应用和服
务越深入越广泛,网络安全的控制和难度就越大。它不仅从一般性的防卫变成了一种非常普通的防范,
而且还从一种专门的领域变成了无处不在。面对这一信息社会、网络社会的时候,应建立起一套完整的
网络安全体系,需要我们从制度、管理、技术综合作用下达到网络应用和网络安全的平衡,且势在必行,
特别是从政策上和技术上建立起有自己特色的网络安全体系。
关键词:计算机网络;网络安全;安全策略;防火墙;信息加密
目前计算机网络信息传输面临着很大的威胁,
其构成的因素是多方面的。这种威胁不加以重视将
给我们带来巨大的损失。网络安全已被信息社会的
各个领域所重视。随着计算机网络的不断发展,全
球信息化已成为人类发展的大趋势;给政府机构、企
事业单位带来了革命性的改革。但由于计算机网络
具有联结形式多样性、终端分布不均匀性和网络的
开放性、互连性等特征,致使网络易受黑客、病毒、恶
意软件和其他不轨行为的攻击,网上信息的安全和
保密是一个至关重要的问题。对于一些敏感数据而
言,其网上信息的安全和保密尤为重要。本文初步
探讨在计算机网络上信息传输的安全管理及其技术
措施。
1 计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一
是对网络中信息的威胁;二是对网络中设备的威胁。
影响计算机网络的因素很多,有些因素可能是有意
的,也可能是无意的;可能是人为的,也可能是非人
为的;可能是外来黑客对网络系统资源的非法使用,
归结起来,针对网络安全的威胁主要有:
111 人为的无意失误
如操作员安全配置不当造成的安全漏洞,用户
安全意识不强,用户口令选择不慎,用户将自己的账
号随意转借他人或与别人共享等都会对网络安全带
来威胁。
112 人为的恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻
击和计算机犯罪就属于这一类。此类攻击又可以分
为以下两种:一种是主动攻击,它以各种方式有选择
地破坏信息的有效性和完整性;另一类是被动攻击,
它是在不影响网络正常工作的情况下,进行截获、窃
取、破译以获得重要机密信息。这两种攻击均可对
计算机网络造成极大的危害,并导致机密数据的泄
漏。
2 计算机网络的安全策略
211 网络安全管理策略
在网络安全中,加强网络的安全管理,制定有关
规章制度,对于确保网络的安全、可靠地运行,将起
到十分有效的作用。
21111 树立“三分技术、七分管理“的思想。安全是
一种“买不到”的东西。打开包装箱后即插即用并提
供足够安全水平的安全防护体系是不存在的。建立
一个有效的信息安全体系首先需要在好的信息安全
治理的基础上,其次要制定出相关的管理策略和规
章制度,然后才是在安全产品及技术的帮助下搭建
起整个架构。相反,就不可能得到一个真正意义上
的安全防护体系。我们现在对信息安全的管理基本
上还处在一种静态的、局部的、少数人负责的、突击
式的、事后纠正式的管理方式,不能从根本上避免降
低各类风险,也不能降低信息安全故障导致的综合
损失。据BISS 数据统计,把安全事故因素做了一些
分类,出于疏忽的是57 % ,外部恶意攻击是24 % ,不
到四分之一,病毒14 % ,两个加起来是38 %。用户
误操作占5 %。如果进行了管理上的加强,有70 %
以上的安全事故可以避免。这就说明安全管理所具
有的重要性,也充分说明了“三分技术,七分管理”的
原则。因此从各级考试机构领导层到具体管理人员
必须要充分认识到管理在网络安全方面的重要性。
21112 在风险评估和检测的基础上建立控制目标
与控制方式。首先通过评估确定现有网络上有哪些
系统与资源、最严重的安全漏洞有哪些、信息传输中
哪些部分有威胁等,然后制定信息安全方针策略,确
定控制目标与控制方式,建立商务计划。
21113 确定安全管理等级和安全管理范围。
21114 制订有关网络操作使用规程和人员出入机
房管理制度。
21115 制定网络系统的维护制度和应急措施。
21116 加强网管人员培训。
212 物理安全策略
物理安全策略的目的是保护计算机系统、网络
服务器、打印机等硬件实体和通信链路免受自然灾
害、人为破坏和搭线攻击;验证用户的身份和使用权
限、防止用户越权操作;确保计算机系统有一个良好
的电磁兼容工作环境;建立完备的安全管理制度,防
止非法进入计算机控制室和各种偷窃、破坏活动的
发生。抑制和防止电磁泄漏(即TEMPEST 技术) 是
物理安全策略的一个主要问题。
213 访问控制策略
访问控制是网络安全防范和保护的主要策略,
它的主要任务是保证网络资源不被非法使用和非常
访问。它也是维护网络系统安全、保护网络资源的
重要手段。各种安全策略必须相互配合才能真正起
到保护作用,但访问控制可以说是保证网络安全最
重要的核心策略之一。下面我们分述各种访问控制
策略。
21311 入网访问控制。入网访问控制为网络访问
提供了第一层访问控制。它控制哪些用户能够登录
到服务器并获取网络资源,控制准许用户入网的时
间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名
的识别与验证、用户口令的识别与验证、用户账号的
缺省限制检查。三道关卡中只要任何一关未过,该
用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非
法访问的第一道防线。用户注册时首先输入用户名
和口令,服务器将验证所输入的用户名是否合法。
如果验证合法,才继续验证用户输入的口令,否则,
用户将被拒之网络之外。用户的口令是用户入网的
关键所在。为保证口令的安全性,用户口令不能显
示在显示屏上,口令长度应不少于6 个字符,口令字
符最好是数字、字母和其他字符的混合,用户口令必
须经过加密,加密的方法很多,其中最常见的方法
有:基于单向函数的口令加密,基于测试模式的口令
加密,基于公钥加密方案的口令加密,基于平方剩余
的口令加密,基于多项式共享的口令加密,基于数字
签名方案的口令加密等。经过上述方法加密的口
令,即使是系统管理员也难以得到它。用户还可采
用一次性用户口令,也可用便携式验证器(如智能
卡) 来验证用户的身份。网络管理员应该可以控制
和限制普通用户的账号使用、访问网络的时间、方
式。用户名或用户账号是所有计算机系统中最基本
的安全形式。用户账号应只有系统管理员才能建
立。用户口令应是每用户访问网络所必须提交的
“证件”、用户可以修改自己的口令,但系统管理员应
该可以控制口令的以下几个方面的限制:最小口令
长度、强制修改口令的时间间隔、口令的惟一性、口
令过期失效后允许入网的宽限次数。用户名和口令
验证有效之后,再进一步履行用户账号的缺省限制
检查。网络应能控制用户登录入网的站点、限制用
户入网的时间、限制用户入网的工作站数量。当用
户对交费网络的访问“资费”用尽时,网络还应能对
用户的账号加以限制,用户此时应无法进入网络访
问网络资源。网络应对所有用户的访问进行审计。
如果多次输入口令不正确,则认为是非法用户的入
侵,应给出报警信息。
21312 网络的权限控制。网络的权限控制是针对
网络非法操作所提出的一种安全保护措施。用户和
用户组被赋予一定的权限。网络控制用户和用户组
可以访问哪些目录、子目录、文件和其他资源。可以
指定用户对这些文件、目录、设备能够执行哪些操
作。受托者指派和继承权限屏蔽( IRM) 可作为其两
种实现方式。受托者指派控制用户和用户组如何使
用网络服务器的目录、文件和设备。继承权限屏蔽
相当于一个过滤器,可以限制子目录从父目录那里
继承哪些权限。我们可以根据访问权限将用户分为
以下几类: Y特殊用户(即系统管理员) ; ②一般用
户,系统管理员根据他们的实际需要为他们分配操
作权限; ③审计用户,负责网络的安全控制与资源使
用情况的审计。用户对网络资源的访问权限可以用
一个访问控制表来描述。
21313 目录级安全控制。网络应允许控制用户对
目录、文件、设备的访问。用户在目录一级指定的权
限对所有文件和子目录有效,用户还可进一步指定
对目录下的子目录和文件的权限。对目录和文件的
访问权限一般有八种:系统管理员权限(Supervisor) 、
读权限(Read) 、写权限(Write) 、创建权限(Create) 、删
除权限( Erase) 、修改权限(Modify) 、文件查找权限
(File Scan) 、存取控制权限(Access Control) 。用户对
文件或目标的有效权限取决于以下二个因素:用户
的受托者指派、用户所在组的受托者指派、继承权限
屏蔽取消的用户权限。一个网络系统管理员应当为
用户指定适当的访问权限,这些访问权限控制着用
户对服务器的访问。八种访问权限的有效组合可以
让用户有效地完成工作,同时又能有效地控制用户
对服务器资源的访问,从而加强了网络和服务器的
安全性。
21314 属性安全控制。当用文件、目录和网络设备
时,网络系统管理员应给文件、目录等指定访问属
性。属性安全控制可以将给定的属性与网络服务器
的文件、目录和网络设备联系起来。属性安全在权
限安全的基础上提供更进一步的安全性。网络上的
资源都应预先标出一组安全属性。用户对网络资源
的访问权限对应一张访问控制表,用以表明用户对
网络资源的访问能力。属性设置可以覆盖已经指定
的任何受托者指派和有效权限。属性往往能控制以
下几个方面的权限:向某个文件写数据、拷贝一个文
件、删除目录或文件、查看目录和文件、执行文件、隐
含文件、共享、系统属性等。网络的属性可以保护重
要的目录和文件,防止用户对目录和文件的误删除、
执行修改、显示等。
21315 网络服务器安全控制。网络允许在服务器
控制台上执行一系列操作。用户使用控制台可以装
载和卸载模块,可以安装和删除软件等操作。网络
服务器的安全控制包括可以设置口令锁定服务器控
制台,以防止非法用户修改、删除重要信息或破坏数
据;可以设定服务器登录时间限制、非法访问者检测
和关闭的时间间隔。
21316 网络监测和锁定控制。网络管理员应对网
络实施监控,服务器应记录用户对网络资源的访问,
对非法的网络访问,服务器应以图形或文字或声音
等形式报警,以引起网络管理员的注意。如果不法
之徒试图进入网络,网络服务器应会自动记录企图
尝试进入网络的次数,如果非法访问的次数达到设
定数值,那么该账户将被自动锁定。
21317 网络端口和节点的安全控制。网络中服务
器的端口往往使用自动回呼设备、静默调制解调器
加以保护,并以加密的形式来识别节点的身份。自
动回呼设备用于防止假冒合法用户,静默调制解调
器用以防范黑客的自动拨号程序对计算机进行攻
击。网络还常对服务器端和用户端采取控制,用户
必须携带证实身份的验证器(如智能卡、磁卡、安全
密码发生器) 。在对用户的身份进行验证之后,才允
许用户进入用户端。然后,用户端和服务器端再进
行相互验证。
21318 防火墙控制。防火墙是近期发展起来的一
种保护狡算机网络安全的技术性措施,它是一个用
以阻止网络中的黑客访问某个机构网络的屏障,也
可称之为控制进/ 出两个方向通信的门槛。在网络
边界上通过建立起来的相应网络通信监控系统来隔
离内部和外部网络,以阻档外部网络的侵入。
214 信息加密策略
信息加密的目的是保护网内的数据、文件、口令
和控制信息,保护网上传输的数据。网络加密常用
的方法有链路加密、端点加密和节点加密三种。链
路加密的目的是保护网络节点之间的链路信息安
全;端- 端加密的目的是对源端用户到目的端用户
的数据提供保护;节点加密的目的是对源节点到目
的节点之间的传输链路提供保护。我们可根据网络
情况酌情选择上述加密方式。
随着计算机技术和通信技术的发展,通过计算
机网络进行资源共享将会越来越重要,并且它将渗
透到各个领域。基于上述,各网络机构应该将网络
安全问题纳入整体规划中,从网络安全技术和网络
安全管理两方面入手,尽快解决以前网络安全意识
淡薄、网络安全管理工作松懈、网络安全技术和设备
投入不足的问题,采取强有力的安全策略,建立信息
安全制度,在硬件产品、技术力量、人员培训方面加
大投入,实施过程中采用预防控制的原则、全员参与
原则、动态管理的原则、可持续性原则,建立起具有
自己网络安全特色的体系,确保信息网络的安全。
[参考文献]
[1 ] 防黑反毒. 机械工业出版社.
[2 ] 计算机网络安全实用技术,电子工业技术出版
社.