《浅谈计算机网络的安全防护策略》由会员分享,可在线阅读,更多相关《浅谈计算机网络的安全防护策略(1页珍藏版)》请在金锄头文库上搜索。
1、堪塑篓羼浅谈计算机网络的安全防护策略焦开荣(兰州铁路局兰州电务段,甘肃兰州730000)喃要】随着计算机网络技术和信息处理技术的迅速发畏,Intemet 丰富的信息资源为人们的生活和工作提供了极大的方便,在各行各业发挥着越来越大的作用。但是计算机网络资源共享程序的提高,网络应用范围的扩大,反过来又给网络带来了更多风脸,为了适应新的要求,我们应该构造起锨有效的信息系统安全的防卫体系,全方位地彳呆障计算机信息系统的安全。涝罐i司计算机网络;安全防护;策略1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击:验证用户的身份和使用权限
2、、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境:建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEM PEST技术)是物理安全策略的个主要问题。目前主要防护措施有两类:一类是对传导发射的防护。另类是对辐射的防护。2访问控制策略访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和非正常防问。21入网访问控制入网访问控制为网络访问提供了第层访问控制。它控制哪些用户肯E够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口
3、令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。网络应对所有用户的访问进行审计o如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。22网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:1)特殊用户(即系统管理员);2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;3)审计用户,负
4、责网络的安全控制与资源使用情况的审计bZ3目录级安全控静j网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进步指定对目录下的子目录和文件的权限。对目录和文件的访问权限般有8种:系统管理员权限(Super-visor)、读权限(Read)、写权限(W rite)、创建权限(Create)、删除权限(Erase)、修改权限(Modifv)、文件查找权限CFileScan)、存取控制极限(AccessContr01)。网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作,同
5、时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全陛。“羼J生安全控制当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。网络上的资源都应预先标出一组安全属性。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。23网络服务器安全控制276面弭了了汀雨网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模
6、块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令甸K定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据:可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。26网络监测和锁定控制网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。27网络端口和节点的安全控制网络中服务器的端口往往使用自动回呼设备、静默调制鳃调器加以保护,并以加密的形式来识另怖点的
7、身份。自动回呼设备用于防止不合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算柳进行攻击。28防火墙控制防火墙是近期发展起来的一种保抽寸算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立定数量的信息过滤表,信息过i虑表是以其收到的数龅头唐息为基础而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UD
8、P、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、1CMP报文类型等。当个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是臣前较流行的种防火墙。它将过滤路由器和软件代理技术结台在一起。过滤路由器负贵网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。计算朝,网络安全是个综合性的课题,涉及到技术、管理、使用和维护等多个方面的知识。为保证计算机网络系统的安全,应混合使用多种安全防护措施,才能确保计算机网络安全。参考文献_1l甫湘浩,陈钟网络安全技术概论f嗍北京:国防工业出版社,20032】谢希仁计黜L网络北京:电子工业出版社2003
