淺談計算機網絡安全策略
【摘要】網絡信息的飛速發展給人類社會帶來巨大的推動與沖擊,同時也產生了網絡系統安全問題。計算機網絡的安全問題越來越受到人們的重視,本文簡要的分析了計算機網絡存在的安全隱患,并探討了計算機網絡的幾種安全防范措施。總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。
現今高速發展的社會已經進入了21世紀,而21世紀的重要特征就是數字化、網絡化和信息化,這是一個以網絡為核心的信息時代。In-ternet的飛速發展給人類社會的科學與技術帶來了巨大的推動與沖擊,同時也產生了網絡信息與安全的問題。而作為計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。因此,計算機的安全性成了人們討論的主要話題之一。而計算機安全主要研究的是計算機病毒的防治和系統的安全。在計算機網絡日益擴展和普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。下面就計算機網絡存在的安全隱患及相關策略進行探討分析。
一計算機網絡存在的安全隱患分析
近年來隨著Internet的飛速發展,計算機網絡的資源共享進一步加強,隨之而來的信息安全問題日益突出。據美國FBI統計,美國每年網絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中,Internet/Intranet安全面臨著重大的挑戰,事實上,資源共享和安全歷來是一對矛盾。在一個開放的網絡環境中,大量信息在網上流動,這為不法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。
一般認為,計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。目前,人們也開始重視來自網絡內部的安全威脅。黑客攻擊早在主機終端時代就已經出現,隨著Internet的發展,現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊。新的手法包括:通過網絡監聽獲取網上用戶的帳號和密碼;監聽密鑰分配過程,攻擊密鑰管理服務器,得到密鑰或認證碼,從而取得合法資格;利用UNIX操作系統提供的守護進程的缺省帳戶進行攻擊,如TelnetDaemon、FTPDaemon和RPCDaemon等;利用Finger等命令收集信息,提高自己的攻擊能力;利用SendMail,采用debug、wizard和pipe等進行攻擊;利用FTP,采用匿名用戶訪問進行攻擊;利用NFS進行攻擊;通過隱藏通道進行非法活動;突破防火墻等等。目前,已知的黑客攻擊手段多達500余種。拒絕服務攻擊是一種破壞性攻擊,最早的拒絕服務攻擊是“電子郵件炸彈”。它的表現形式是用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行,嚴重時會使系統關機、網絡癱瘓。
總而言之,對Internet/Intranet安全構成的威脅可以分為以下若干類型:黑客入侵、來自內部的攻擊、計算機病毒的侵入、秘密信息的泄漏和修改網絡的關鍵數據等,這些都可以造成Internet癱瘓或引起Internet商業的經濟損失等等。人們面臨的計算機網絡系統的安全威脅日益嚴重。
二計算機網絡的安全策略分析
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。早期的網絡防護技術的出發點是首先劃分出明確的網絡邊界,然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查,只有符合規定的信息才可以通過網絡邊界,從而達到阻止對網絡攻擊、入侵的目的。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、防病毒技術等,主要的網絡防護措施包括:
1、防火墻
防火墻是一種隔離控制技術,通過預定義的安全策略,對內外網通信強制實施訪問控制,常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過,依據系統事先設定好的過濾邏輯,檢查數據據流中的每個數據包,根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接狀態因素加以識別,與傳統包過濾防火墻的靜態過濾規則表相比,它具有更好的靈活性和安全性;應用網關技術在應用層實現,它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡,其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2、數據加密與用戶授權訪問控制技術。
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。
數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是受“密鑰”控制的。在傳統的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰,構成加密/解密的密鑰對,則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”,相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。
3、安全管理隊伍的建設。
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施,一種技術只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
參考文獻
[1]嚴明:多媒體技術應用基礎[M].華中科技大學出版社,2004.
[2]朱理森,張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2001.
[3]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003.
淺談計算機網絡安全策略相關文章: