计算机网络安全现状及对策

摘要:网络已成为获取各种信息的重要手段,人们在享受着网络带来快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。该文从网络安全定义入手,全面分析了影响网络安全的因素,从而提出计算机网络安全防范相关措施,以确保网络安全有效运行。

关键词:网络安全;安全策略;安全机制;物理隔离网闸

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)05-1079-02

The Security Actuality and Countermeasure of Network

HU Chun

(Yunnan Vocational Institute of Energy Technology, Qujing 655001, China)

Abstract: network has become the main means to get all sorts of information. At the same time people enjoy the convenient and efficiency from network, they also face the unavoidable risk and the complicated security threat. Beginning with the definiens of network security, this paper analyzes the factors affecting network security and brings forward the related countermeasure to make insure the failure-free operation of network security.

Key words: network security; security policy; security mechanism; GAP technology

1 计算机网络安全的定义

计算机网络安全来自两个方面的定义。从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。从广义上说,凡涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性。[1]从本质上讲,就是系统上的信息安全。

2影响计算机网络安全的因素

2.1 安全策略

安全策略是为了保护网络不受来自网络内外的各种危害而采取的防范措施。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。对安全策略的忽视或设计不当,将给网络带来不可规避的风险。

2.2 应用系统安全漏洞

近年来,随着Internet的发展,Web技术日新月异,人们已经不再满足于静态HTML,更多的是要求动态、交互的网络技术。继通用网关接口(CGI)之后,诸如ASP之类的服务器端网页设计技术,被广泛应用于各种系统中。这一技术解决方案为我们带来便捷的同时,也带来了严峻的安全问题。[2]

2.3 后门和木马程序

后门的功能主要有:使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做“trojian horse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。一旦自己的计算机被安装了后门或木马程序,该程序可能会窃取用户信息,包括用户输入的各种密码,将这些信息发送出去,或者,使得别人可以通过网络控制这些计算机,窃取计算机中的用户信息和文件。

2.4 计算机病毒

计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。[3]如常见的蠕虫病毒,就是以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。它具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。

2.5 硬件的配置不协调

一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。

3 网络安全机制应具有的功能

3.1 身份认证

身份认证是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。

3.2 访问控制

访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问,可分为自主访问控制和强制访问控制。自主访问控制(Discretionary Access Control)是基于对主体或主体所属的主体组的识别来限制对客体的访问,也就是由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源。强制访问控制(Mandatory Access Control)是一种多级访问控制策略,其主要特点是系统对主体和客体实行强制访问控制:系统事先给所有的主体和客体指定不同的安全级别,比如绝密级、机密级、秘密级和无密级。在实施访问控制时,系统先对主体和客体的安全级别进行比较,再决定主体能否访问该客体。所以,不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。

3.3 数字签名

数字签名可以证明消息发送者的身份、消息的真实性及抗否认性。数字签名分为直接数字签名和需要仲裁的数字签名。

3.4 数据完整性保护

数据的完整性可以用消息认证来验证,当接收方收到发送方的消息时,接收方能够验证收到的消息是真实的、未被篡改的。一方面,验证消息的发送者是真正的而不是冒充的,即数据起源认证;另一方面,验证消息在传送过程中未被篡改、重放或延迟等。

3.5 审计追踪

通过网络上发生的各种访问情况记录日志,对日志进行统计分析,从而对资源使用情况进行事后分析。审计也是发现和追踪事件的常用措施。当系统出现安全问题时能够追查原因。

3.6 密钥管理

信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络。对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性非常重要。

4 计算机网络安全防范措施

4.1 加强实体安全管理,确保计算机网络系统实体安全

加强教育培训、资格认证和人事考核鉴定,规范日常工作,明确方位职责;建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和通信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、接线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。

4.2 强化访问控制,保证计算机网络系统运行正常

建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3 种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。

建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。

建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。安装非法访问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3 种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。

4.3 信息网络安全

数据备份。数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等,这样即使连接在网络上的计算机被攻击破坏,因为已经有备份,所以不用担心,再将需要的文件和数据拷回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。

物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。因此,他能够抵御互联网目前存在的几乎所有攻击,例如基于操作系统漏洞的入侵、基于TCP/IP漏洞的攻击、特洛伊木马和基于隧道的攻击等。

防火墙技术。防火墙对信任度不同的网络之间的通信进行控制,通过强制实施统一的安全策略,限制外界用户和内部网络之间的互访。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信, 在很大程度上保护了网络的安全性。

参考文献:

[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2007.

[2] 刘东杰.ASP+ACCESS网上应用系统的安全漏洞及对策[J].期刊论文,2004.

[3] 殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.