您好, 访客   登录/注册

计算机网络安全策略研究

来源:用户上传      作者: 王 岩

  摘要:自本世纪初,随着互联网的快速普厦和各种网络应用的不断出现,网络安全已成为国家安全的重要内容,各种网络安全事件不断发生。网络安全威胁从单一的病毒威胁逐渐发展为恶意软件,勒索软件,问谋软件等新的趋势,自然灾害,人员的误操作等危害不断加大,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的安全管理措施,以确保整个计算机网络系统正常、高效、安全地运行。
  关键词:安全策略;加密;防火墙;安全管理
  
  随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
  
  一、影响计算机网络安全的因素
  
  1.人为因素
  ①线路窃听:指利用通信介质的电磁泄露、搭线窃听等手段非法获取网络信息;②破坏数据的完整性:指人为删除、修改某些重要数据。@干扰系统正常运行:指故意改变系统的正常运行方式。如,减慢系统响应时间,使系统无法得到正常响应等。④病毒传播:指通过网络传播病毒。计算机病毒的危害往往令人措手不及,也是企业计算机网络出现问题的主要原因,⑤非授权访问:指未经允许对网络设备及信息资源使用或越权使用,或利用非法手段获得合法用户的使用权限,达到占用合法用户资源的目的。⑥误操作,网络使用者或系统管理员不小心误删系统文件、数据文件、系统目录等。
  
  2.软件漏洞
  软件漏洞包括以下几个方面:数据库、操作系统及应用软件、TCP/IP协议、网络软件和服务,密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
  
  3.特洛伊木马
  提供了用户所不希望的功能,而且这些额外的功能往往是有害的。通常这些程序包含在一段正常的程序中,借以隐藏自己。因为在特洛伊木马程序中包含了一些用户不知道的代码,使得正常程序提供了未授权的功能,可以获取根用户口令、读写未授权文件、获取目标机器的所有控制权等。
  
  二、计算机网络的安全策略
  
  1.物理安全策略
  物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击,验证用户的身份和使用权限、防止用户越权操作。确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
  抑制和防止电磁泄漏(即TEMPEsT技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
  
  2.访问控制策略
  访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
  1)入网访问控制
  入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
  网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
  用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
  2)网络的权限控制
  网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
  3)目录级安全控制
  网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
  4)属性安全控制
  当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。
  5)网络服务器安全控制
  网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
  6)网络监测和锁定控制
  网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
  7)网络端口和节点的安全控制
  网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
  8)防火墙控制
  防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
  
  3.信息加密策略
  信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
  
  4.网络安全管理策略
  在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。


转载注明来源:https://www.xzbu.com/2/view-426489.htm