浅谈计算机网络中的安全问题

【前言】浅谈计算机网络中的安全问题由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(Nanjing Communications Vocational Technology College,Nanjing 211188,China) Abstract: Sets out to strengthen the security of computer networks, the importance of an analysis of computer network security, and security analysis of the proposed soluti...

摘要:阐明了加强计算机网络安全的重要意义,分析了计算机网络中的安全隐患,并对分析出的安全隐患提出了解决方法。

关键词:计算机网络;网络安全;安全性分析;安全策略;解决方法

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2009)15-3890-02

On the Computer Network Security Issues

SHI Yang

(Nanjing Communications Vocational Technology College,Nanjing 211188,China)

Abstract: Sets out to strengthen the security of computer networks, the importance of an analysis of computer network security, and security analysis of the proposed solution.

Key words: computer network; network security; safety analysis; security policy; resolvent

计算机网络的迅速发展,使它成为现今人类活动中不可或缺的一个重要组成部分。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点,因此我们在享受网络服务带来的方便和便捷的同时,也必须面对由此引入的巨大安全保密风险。广泛应用的TCP/IP 协议是在可信环境下为网络互联专门设计的,加上黑客的攻击及病毒的干扰, 使得网络存在很多不安全因素,如口令猜测与破译、DDOS攻击、TCP端口盗用、ARP地址欺骗、邮件炸弹、业务否决、对域名系统和基础设施的破坏、利用WEB破坏数据库、病毒携带等。因此,针对计算机网络在实际运行过程中可能遇到的各种安全威胁, 必须采用防护、检测、响应、恢复等行之, 建立一个全方位并易于管理的安全体系,保障计算机有效的安全措施网络运行的安全、稳定、可靠。

1 计算机网络安全体系的结构

图1为计算机网络安全体系的结构图。

2 计算机网络安全体系的分析

2.1 网络层的安全性分析

网络层安全是网络中最重要的内容,涉及3个方面。

1) IP协议本身的安全性,IP协议本身没有加密使得非法盗窃信息成为可能。

2) 网管协议安全性,如SNMP协议的认证机制非常简单,并且使用未加保密的明码传输。

3) 网络交换传输设备的安全性,交换传输设备包括路由器、ATM和传输介质。由于Intemet普遍采用路由器的无连接存储转发技术,并且路由协议是动态更新的OSPF和RIP协议,更新装有这些协议的路由表,一旦某一个路由器或路由器相应线路发生故障或出现问题,将迅速波及与该路由器联系的网络区域。例如:2006年12月27日由于台湾地震影响,所有经过太平洋的海底光缆都受到不同程度的损坏,以至于内地访问国外的网站会特别慢,甚至会出现打不开的情况。

2.2 系统的安全性分析

在系统安全性问题中,主要考虑两个问题:

1) 病毒、木马对于网络的威胁。

病毒和木马一直是计算机系统安全最直接的威胁, 网络更是为病毒和木马提供了迅速传播的途径,它们很容易地通过服务器以软件下载、邮件接收等方式进入网络,然后对网络进行攻击, 造成很大的损失。

2) 系统的漏洞及“后门”, 操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。另外,编程人员为自便而在软件中留有“后门”,一旦“漏洞”及“后门”为外人所知,就会成为整个网络系统受攻击的首选目标和薄弱环节。大部分的黑客入侵网络事件就是由系统的“漏洞”和“后门”所造成的。

2.3 应用程序的安全性分析

需要考虑的问题是:是否只有合法的用户才能够对特定的数据进行合法的操作。涉及两个方面的问题:一是应用程序对数据的合法权限,二是应用程序对用户的合法权限。例如在公司内部,上级部门的应用程序应该能够存取下级部门的数据,而下级部门的应用程序一般应该不允许存取上级部门的数据。同级部门的应用程序的存取权限也应有所限制,同一部门不同业务的应用程序也应该不允许访问对方的数据。这样可以避免数据的意外损坏,也是从安全方面的考虑。

2.4 数据的安全性分析

在系统信息安令领域,安全保护的根本对象应当是那些存储在磁盘系统上的有效数据,设置防火墙、使用密码、数据加密等做法都是有效的手段。有效数据存储的任何设备、系统,数据流通的任何线路、连接都是网络安全所要考虑到的,而对于数据的安全性所要考虑的问题是:机密数据是否还处于机密状态。

3 计算机网络安全体系的分析的解决方法

3.1 网络层的安全性的解决方法

1) 网络的物理安全性主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络层的安全性的前提,制定健全的安全管理制度,做好异地冗余备份,并且加强网络设备的更新与管理,加强路由协议的动态更新,建立多线的路由选择,如地震后中国电信、中国网通、中国联通等六大电信运营商已经达成协议,共同建立一条连接中美的首个兆兆级海底光缆系统――跨太平洋直达光缆系统(简称TPE),通过这些措施风险是可以避免的。

2) 网络层安全性的另一个核心问题在于网络是否受到控制,即:是不是任何一个IP地址来源的用户都能够进人网络。如果将整个网络比作车站,对于网络层的安全考虑就如同为车站设置检票员一样。检票员会仔细察看每一位进站人的车票和行李,一旦发现无票或危险的来访者,便会将其拒之站外。最主要的防护措施包括:防火墙、VPN ,其中,防火墙技术是网络安全采用最早也是目前使用最为广泛的技术,它将网络威胁阻挡在网络入口处,保证了内网的安全。而以 VPN为代表的加密认证技术则将非法用户拒之门外,并将发送的数据加密,避免在途中被监听、修改或破坏。通过网络通道对网络系统进行访问的时候,每一个用户都会拥有一个独立的IP地址。这一IP地址能够大致表明用户的来源所在地和来源系统。防火墙会通过对来源IP进行分析,便能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,VPN为代表的加密认证技术通过解密判断来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址,系统便会自动将这些数据阻挡在系统之外。并且能够自动记录那些曾经造成过危害的IP地址,使得它们的数据将无法第二次造成危害。

3.2 系统安全性的解决方法

针对目前日益增多的计算机病毒和恶意代码,应采取的病毒防范策略如下:

1) 选择经公安部认证的病毒防治产品,如瑞星、金山毒霸、Norton 、McAfee 、卡巴斯基等。

2) 保证病毒库处与最新状态并定期进行查杀病毒和木马。

3) 制定严格的防病毒制度,不允许使用来历不明、未经杀毒的软件不阅读和下载的来历不明的网上邮件或文件,严格控制,阻断病毒的来源。

4) 对服务器及主机系统进行安全评估;要弥补这些漏洞,就需要使用专门的系统风险评估工具帮助系统管理员找出哪些指令是不应该安装的,哪些指令是应该缩小其用户使用权限的。在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。

5) 正确配置系统,减少病毒侵害事件,确保系统恢复以减少损失。在具体实施时,由于计算机网络用户数量庞大,如所有用户都购买网络杀毒软件则投资太大,可以优先对服务器进行网络防病毒保护,而对个人主机可用单机防病毒软件进行防护。另外,需调动各级系统管理员和用户的积极性,定期对操作系统进行打包、升级,及时发现感染病毒的主机,清除病毒。

在完成了这些工作之后,操作系统自身的安全性问题将在一定程度上得到保障。

3.3 应用系统安全性解决方法

计算机网络主要是通过各种应用系统来体现的,因此应用系统的安全可靠性就显得非常重要。应用系统的安全主要包括授权、认证和加密传输。由于涉及的应用系统非常多,总体上应掌握以下一些原则:

1) 应用系统之间或应用系统各模块之间的通信必须经过授权或认证,如对办公自动化(OA) 等系统传输数据必须进行加密。

2) 限制用户的权限,使用户无法获得系统管理员的口令,防止非法用户对系统进行破坏。对新用户开放满足要求的权限即可,不必开放所有权限。

3) 利用防火墙或TCPWRAPPER等限制应用服务可被访问的客户地址段,关闭不必要开放的端口,降低被攻击的可能性。

4) 经常留意用户从哪里登录主机系统,要检查其合法性。

5) 加强计算机网络信息中心各主机的安全管理,严禁用户以各种途径执行系统级指令,以避免黑客通过SNIFFER等工具软件侦听密码或其他信息。

6) 加强密码管理,提醒或强制应用系统中各人员定期修改密码,禁止使用安性不高的密码。

3.4 数据的安全性分析的解决方法

1) 在数据的保存过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证即使数据失窃,偷盗者(如网络黑客)也读不懂其中的内容。这是一种比较被动的安全手段,但往往能够收到最好的效果。

2) 在数据的传输过程中,机密的数据使用信息加密手段。目前市场上成熟的商业加密设备很多,如发给用户的电子口令卡、使用USB接口的USBKEY 这些较为简单实用,他不仅可以对指定的网络传输机密数据进行数字签名和身份认证,而且具有系统电子密码功能,可以作为操作系统登录的物理电子密码,从而将单因子认证机制升级为双因子认证机制,更大程度上确保了监控管理软件。

3) 传输中所用的加密算法根据不同情况选用公开密钥或私有密钥算法。为保证传输信息不被篡改,还可采用MD5等算法。如计算机网络内部的一些基于WWW的应用( 如OA系统),其加密协议可选用SSL SHTTP,或COOKIE机制及DES,MD5 算法。

4 结束语

上述的计算机网络安全体系中的四方面是相辅相成的,通过以上对它们的分析及解决方法基本上可以建立一套相对完整的网络安全系统。现有的安全技术包括数据加密技术、数字签名技术、防火墙技术只是提供了一种静态的防护措施 但这种措施又是必不可少的,它可以和入侵检测系统结合起来取长补短。总之网络安全是一个系统工程不能仅仅依靠防火墙等单个的系统而需要仔细考虑整个系统的安全需求,并将各种安全技术和管理手段结合在一起才能生成一个高效统一通用的网络安全体系。

参考文献:

[1] 王相林.组网技术与配置[M].北京:清华大学出版社,2007.

[2] 陈龙.安全防范系统工程[M].北京:清华大学出版社,1998.

[3] 秦超.网络与系统安全实用指南[M].北京:北京航空航天大学出版社,2002.

[4] 李海泉.计算机网络安全与加密技术[M].北京:科学出版社,2001.

[5] 赵小林.网络通信技术教程[M].北京:国防工业出版社,2003.

[6] 魏大新.Cisco网络技术教程 [M].北京:电子工业出版社,2004.

[7] 冯博琴.计算机网络与通信[M].北京:经济科学出版社,2000.

[8] 德昱,胡铮.网络与信息资源管理[M].北京:北京希望电子出版社,2005.