《关于网络安全的初步探讨》由会员分享,可在线阅读,更多相关《关于网络安全的初步探讨(5页珍藏版)》请在金锄头文库上搜索。
1、Q Q 盟剐垂贮_ 关于网络安全的初步探讨 北京市崇文区地方税务局杨肖东刘霞 摘要:本文从一般局域网所面临的普遍安全威胁、目前我局系统和网络安全方面存在的漏洞和问 题、网络安全策略和网络安全措施四个方面,分析与探讨网络安全问题。 一、背景: 北京地税信息化建设的近期目标是建成以“四网一库加安全”为核心思想的综合服务管理信息系 统,通过用信息化统领、覆盖、服务、支撑北京地税各项工作,实现由封闭的传统金字塔型管理向职能信 息化、功能网络化、管理自动化的开放服务型转变。“四网一库加安全”中的“四网”是指未来北京地 方综合服务管理信息系统所要提供的四种主要服务体系,即:I n t e r n e t
2、服务( 面向纳税人的服务体系) 、 I n t r a n e t 服务( 面向各级税务干部的内部服务体系) 、政府问协同工作的服务体系和发票协查服务体系。“一 库”是指各类数据的集中存放和管理。“安全”是指北京地方综合服务管理信息系统是构建在安全的 系统架构之上,并满足应用系统的安全服务要求。“四网一库加安全”是对未来的北京地方综合服务管 理信息系统将是建立在合理和安全的系统构架之上,并能同时满足对内、对外和政府间提供高效、快 捷、便利、安全、功能上相对独立、实现上高内聚低耦合、易于扩展、无地域、时问限制的综合立体服务 系统的形象表述。 计算机网络的高速发展和全方位渗透,推动了整个社会的信息
3、化进程,其分布广域性、体系结构开 放性、资源共享性和信道共用性的特点,增加了网络的实用性,但也同时不可避免地带来系统的脆弱性, 使其面临严重的安全问题。 系统实现共享是网络的一大优点,但共享恰恰与安全保密相对立,非法用户很容易利用共享的特点 获得信息,有意破坏共享资源或使整个网络遭受损害。计算机网络技术的普及和随之而来的网络安全问题 使得计算机网络安全保护将会变得越来越重要,本文将对网络安全问题进行一些初步的探讨。 二、一般局域网所面临的普遍安全威胁 对局域网来说,计算机系统本身的脆弱性和通信设施的脆弱性,共同构成了对计算机网络潜在的威 胁,主要有以下几个方面。 l 、自然因素 自然灾害:包括
4、地震、水灾、风灾等不以人们意志为转移的自然灾害。 自然环境:温度、湿度、灰尘度和电磁场等。 2 、意外事故 停电、火灾等不可预见的意外事故。 , 3 、人为的物理破坏 非故意:误操作、失误、失职等人为疏忽而造成的事故。 故意:未经系统授权,非法地对计算机网络系统的资源进行窃取、复制、修改和毁坏。 4 、软件自身的漏洞 无论是W i n d o w s2 0 ( ) o N T 9 8 X P M e ,还是L i n u x ,无论是I I S ( I n t e r n e tI n f o r m a t i o nS e r v e r ) ,还是 E x c h a n g e ,或多
5、或少都存在着安全漏洞,正是因为软件安全漏洞的存在,也使得局域网受到极大的威 胁。 5 、计算机病毒 计算机病毒一直是计算机安全的主要威胁。网络技术的发展,使得计算机病毒可通过国际互联网传 播,从而大大加速了计算机病毒的传播速度和扩大了其传播范围。计算机病毒不仅攻击W i n d o w s 或D o s 操 作系统,震惊业界的胰涑嬗病毒即发生在U N I X 系统上。计算机病毒技术也正朝着智能化、网络化发。 展。病毒由许多不同功能的组件构成,它不仅可分布在同一台计算机上,也可分布在网络系统的其它 9ll心CON托吠全国税务信息化技术与建设成果交流论坛 噬没7 躞耍酡 计算机上;病毒既可分布在局
6、域网上,也可分布在广域网上。病毒的种类和传染方式也在增加,国际空问 的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在W e b 上填表都不用担心病毒感染,然而, 下载可执行文件和接收来历不明的E M a i l 文件需要特别警惕,否则很容易使系统导致严重的破坏,“C I H ” 病毒就是可怕的一例。 6 、网络协议分析软件 网络协议分析软件可以用来排除各种网络故障,监视网络系统,防止黑客的侵入;同时它也可以被 黑客用来截获并分析网络通信中的所有数据,从而对网络的安全造成极大威胁。好的网络协议分析软件可 用于分析1 S O 网络七层模型的每一层的数据包,它既可用于分析广域网,如D D N
7、 、帧中继、x 2 5 的数据 包,也可用来分析局域网如以太网、令牌环网、F D D I 等的数据包;它既可用于分析T C P f l P 协议,也可用 来分析I B M ? S N A 、N E T B I O S 等协议;它既可用于分析F T P 、T E L N E T 、R L O G I N 等应用层的协议,也可 用来分析R I P 、O S P F 等路由协议。虽然这些网络协议分析软件的功能异常强大,但并不要求使用者对计算 机或网络通信协议有深入的了解。即对于普通的电脑用户,也可通过网络协议分析软件来截取网络上的各 种数据,这无疑对网络系统的安全问题提出了更高的要求。 7 、恶意攻
8、击 黑客( h a c k e r ) 在互联网上的攻击活动十分频繁,他1 f 币f J 用I n t e r n e t 的内在缺陷和管理上的一些漏洞非法 进入网络系统,修改或毁坏网络系统中的重要数据等。虽然目前国内的电脑黑客活动不如发达国家,但有 关电脑黑客资料在I n t e m e t 上以及国内的各种盗版光盘上已泛滥成灾,从而也将使国内的网络系统直接面 对各种黑客的威胁。 如果没有人恶意地利用网络的漏洞,网络和数据是安全的。不满的内部员工也可能是进行恶意攻击 的人群,他们可能在w w w 站点上开些小玩笑,甚至破坏w e b 服务器,或者向服务器发送大量的信息使网 络陷于瘫痪等。无论
9、如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工, 可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离 开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据 库、删除数据等等。 三、目前我局系统和网络安全方面存在的漏洞和问题。 l 、没有部门问防火墙,存在内部攻击隐患。 目前还未有这种问题发生,因为干部的计算机水平局限和道德修养的提高,暂时没有这种问题,但 是为防隐患,还是应该建立各部门间的防火墙。 2 、密码泄露和数据泄露的问题。北京地方税务综合服务管理信息系统、办公自动化系统( 二期)
10、和个 人所得税管理信息系统使用人员的用户名和密码,是由信息科统一设定的,相对来i 兑有统一的格式,信息 科要求大家自行修改密码,但是因为安全意识的淡薄,很多人并没有及时和定期修改自己的密码,这就遗 留了一些问题。 3 、操作系统本身的漏洞。我局服务器和P C 大部分使用的是微软的w i n d o w s 系列的操作系统。而 微软的操作系统本身存在着很多漏洞,比如w i n d o w s 操作系统、I E 浏览器,因为树大招风,所以很多 黑客设计了专门针对它的漏洞进行攻击的工具。 4 、共享防护的问题。资源共享是网络的一个极大的优点,但在共享资源的时候应注意限制可以访 问共享资源的用户,并且
11、对共享文件夹设置密码。 5 、现有的安全策略和安全制度还有待完善和健全,并且需要对现有安全制度的切实落实和执行。 四、网络安全策略 面对网络的种种威胁,为最大限度地保护网络中的敏感信息,各行业应采取有效的安全对策来确保 网络系统的安全运行,不论采用安全管理,安全机制,还是从开发网络体系结构的高度进行规划,均应考 虑如下的一些原则。 l 、需求、风险、代价平衡分析 9Il poo叫琵全国税务信息化技术与建设成果交流论坛 幽Z 遂塥章; 任何网络的安全都是相对的,没有一个网络系统是绝对安全的,威胁本身所要付出的代价,威胁可 能带来的风险,以及对抗威胁所花费的成本是安全系统设计折衷的三个方面,通常采
12、用的策略是风险最大 可容忍原则。一个不付出任何代价的安全性是不存在的。 2 、综合性和整体性 这是从系统综合的整体角度看待和分析网络系统的安全性,从而采取有效可行的防范措施。 3 、安全措施公开 保密是基于一系列易于保护的密钥和通行字,这样攻击者即使获得个密码设施,由于没有密钥也 是毫无办法,因此建议安全设施的设计与操作公开化。 4 、特权分散 网络系统中每个应用程序,系统程序及管理人员只能操作完成某项任务所必要的最小特权没施,这 样一旦出现问题可将损失减少,以寻求用户对其最小依赖。 5 、易操作性 降低操作的复杂性,减少对系统安全所造成的人为危害也是重要的个方面。 五、网络安全措施和建议 1
13、 、安全管理 1 1 建议完善现有安全制度。 安全管理中比较重要的一项内容即管理制度的完善和健全。 为了保护网络的安全性,除了在网络没计上增加安全服务功能,完善系统的安全保密措施外,安全 管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管理规范来实现,另一方面 从技术上建立高效的管理平台( 包括网络管理和安全管理) 。安全管理策略主要有:定义完善的安全管理 模型;建立长远的并且可实施的安全策略;彻底贯彻规范的安全防范措施;建立恰当的安全评估尺度,并 且进行经常性的规则审核。当然,还需要建立高效的管理平台。 1 2 我局已有信息化建设领导小组,建议成立计算机系统安全小组,来专
14、门负责筹划和实施关于网络安 全和系统安全方面的工作,使这方面的工作更加专业和精深。 2 、防火墙技术 防火墙技术目前已比较成熟,简单的防火墙技术可在路由器上直接实现,而专用防火墙提供更加可 靠的网络安全控制方法。 现在有许多基于硬件或软件的防火墙,如华为、神州数码、联想、瑞星等厂商的产品。对于局域 网来说,安装防火墙是非常必要的。防火墙是目前最为流行也是使用最广泛的一种网络安全技术,防火墙 作为个分离器、限制器和分析器,用于执行两个网络之问的访问控制策略,有效地监控了内部网和 I n t e m e t 之l H J 的任何活动,既可为内部网络提供必要的访问控制,但又不会造成网络瓶颈,并通过安
15、全策略 控制进出系统的数据,保护网络内部的关键资源。 局域网内部应划分出共享区与私有区,事实上我局内部早已有部门的规划,各部门由于专责事务的 不同而有不同的分工,因此部门的资料是有其业务上安全性的考量,而不会给不同部门的人任意存取的。 例如,财务部门的资料就不会给其它不同部门的人任意拿到,这是我们安全控管上基本的要求。因此,将 我们内部网络再规划成两段,将属于部门专属安全控管的计算机置于私有区内,以防止部门资料的外泄。 而这些不同安全等级网段的区分应用,可以通过V L A N 技术和防火墙的建置来落实。采用交换式局域网技 术组建的局域网,可以运用V L A N ( 虚拟网络) 技术来加强内部网
16、络管理。V L A N 技术的核心是网络分 段,根据不同的部门及不同的安全机制,将网络进行隔离,可以达到限制用户非法访问的目的。 我局可以根据实际的需要,将某些较重要而有安全顾虑的部门( 比如财务科、监察科、检查科、人教科) 网络,加上防火墙的配置,此即所谓的内部防火墙( I n t r a n e tF i r e w a l l ) 。 局域网用户希望建置个安全的网络环境,除了采用防火墙之外,还必须妥善的规划其架构,拟定其安全 政策,最重要的是必须彻底执行其安全政策,而防火墙是落实这些安全政策的必要且重要的工具之一。 9lI pOON现吠全国税务信息化技术与建设成果交流论坛 Q Q Q Z 蹬墒瞳三了一 但是,由于资金、技术、人力、网络安全总体规划等原因和限制,将这项措施落实还有一定的困 难和需要一定的时问。 3 、账号和密码保护 账号和密码保护可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测密 码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号 和
