《计算机网络安全策略与发展方向初探.doc》由会员分享,可在线阅读,更多相关《计算机网络安全策略与发展方向初探.doc(10页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全策略与发展方向初探【摘要】随着计算机技术的飞速进步和计算机网络的迅速发展,计算机网络系统的应用范围不断扩大,使人们对计算机网络系统的依赖程度增大。计算机网络系统提供了资源共享性,系统的可靠性,工作效率和系统的可扩充性。然而,正是这些特点,增加了计算机网络系统安全的脆弱性和复杂性,资源共享和分布增加了网络受攻击和威胁的可能性,使计算机网络系统的安全面临巨大的挑战。所以,我们在计算机网络系统飞速发展时期要更加重视计算机网络系统安全策略与发展方向的研究。 【关键词】计算机网络 安全策略 发展方向 计算机信息网络是互联网的基础设施,随着计算机网络规模的迅速发展和网络用户的快速增长,基础设
2、施上没有安全保证是不可思议的。计算机网络系统得不到安全保证,将会不断遭到网络黑客的威胁和各种计算机网络病毒的攻击,使广大网络用户遭受各种不同程度的损失,甚至威胁到国家的政治、军事、经济等领域。所以,在互联网上几乎所有的技术都是开发的,只有网络安全问题不能开放,这是互联网技术发展的一个核心矛盾。要想实现计算机网络系统的安全,最重要的是要有一个网络安全策略来界定操作的正误,全面分析计算机网络系统可能遭受的各种威胁和攻击,以及如何抵御这些威胁和攻击的对策,并制定计算机网络系统所要达到的安全目标。这就是我们要考虑的重要问题。 一、 计算机网络系统安全策略的目标:计算机网络系统是给广大网络用户提供服务和
3、收集信息的,网络安全策略的目标是保护这些资源不被有意或无意的误用,以及抵御网络黑客的威胁和各种计算机网络病毒的攻击。计算机网络系统安全策略要考虑以下几个方面: (一)可使用性: 当网络用户需要时,计算机网络系统和它所拥有的最重要的信息必须可用。 (二)实用性:计算机网络系统和它所保持的信息是服务于特定目标的,它们不仅要可用,而且要具有实用性,实现服务目标时可用。 (三)完整性: 计算机网络系统和它所保持的信息必须保持完整和可靠。 (四)可靠性:必须有一种方法保证计算机网络系统让所有的网络用户都能可靠地访问到各种网络资源。 (五)保密性: 有些网络信息可能认为是私有的或保密的,网络安全机制必须对
4、这些信息进行恰当地规定和对它们的访问进行控制。 (六)所有权: 计算机网络系统的所有者必须能控制系统的使用和日常操作。如果系统管理员将网络系统的控制权丢给黑客的话,所有的网络用户都会受到影响。 二、计算机网络系统安全策略:计算机网络系统的安全管理主要是配合行政手段,制定有关网络安全管理的规章制度,在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,主要涉及以下四个方面:(一)网络物理安全策略:计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机网络
5、系统有一个良好的工作环境;建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。(二)网络访问控制策略: 访问控制策略是计算机网络系统安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用,所以网络访问控制策略是保证网络安全最重要的核心策略之一。1 入网访问控制:入网访问控制是为网络访问提供第一层访问控制。它能控制网络用户合法登录到网络服务器并获取网络资源,控制准许网络用户入网的时间和方式。网络用户的入网访问控制可分为三个步骤:用户名的识别与验证、
6、用户口令的识别与验证、用户账号的默认限制检查。三道防线中只要任何一道未通过,该用户就不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密
7、,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户帐号的
8、缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。2 网络的权限控制:网络的权限控制是针对网络非法操作提出来的一种保护措施。网络用户和用户组被赋予一定的权限。指定网络用户和用户组可以访问哪些目录、子目录、文件和其他网络资源。可以控制网络用户对这些目录、文件和网络资源能够执行哪些操作。可以根据访问权限将网络用户分为以下三种:(1)特殊用户:网络系统管理员;
9、(2)一般用户:系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户:负责网络的安全控制与资源使用情况的审计。3目录级安全控制:计算机网络系统应允许控制用户对目录、文件和其他网络资源的访问。网络用户在目录一级指定的权限对所有文件和子目录都有效,用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:(1) 系统管理员权限(Supervisor);(2) 读权限(Read);(3) 写权限(Write);(4) 创建权限(Create);(5) 删除权限(Erase);(6) 修改权限(Modify);(7) 文件查找权限(File Scan);(8) 存取
10、控制权限(Access Control);计算机网络系统管理员应为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。这八种访问权限的有效组合可以使用户有效地完成工作,而又能有效地控制用户对服务器资源的访问,这样就加强了网络系统和服务器的安全性。4属性安全控制:网络用户在访问网络资源时,网络系统管理员应给出访问的文件、目录等网络资源的指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络资源联系起来。属性安全控制是在网络权限控制安全的基础上提供更进一步的安全性。5 网络服务器安全控制:网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要
11、信息或破坏网络系统资源;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等等。网络系统允许合法用户在服务器控制台上执行装载和卸载模块、安装和删除软件等一系列操作。6 网络监测和锁定控制:计算机网络系统管理员应对网络系统进行网络监控,网络服务器应记录用户对网络资源的访问。对非法的网络访问,服务器应以文字、图形或声音等形式报警来提醒网络管理员。如有非法黑客企图攻击、破坏网络系统,网络服务器应实施锁定控制,自动记录企图攻击网络系统的次数,达到所设定的数值,该帐户将被自动锁定。7 网络端口和节点的安全控制:计算机网络系统服务器的端口通常采用自动回呼设备、静默调制解调器来实行保护,并用加密的方
12、式来识别节点的身份。自动回呼设备用来防止假冒合法用户,静默调制解调器用于防范黑客的自动拨号程序对计算机网络系统的攻击。网络系统还常对服务器端和用户端采取控制,在对用户的身份进行有效验证后,才允许进入用户端,并且用户端和服务器端还需再进行相互验证。8网络防火墙控制:网络防火墙控制是一种保护计算机网络系统安全的技术性措施,它是将计算机内部网络和外部网络分开的方法,实际上是一种隔离技术。它可以阻止网络中的黑客来攻击和破坏内部网络。目前网络防火墙控制主要有以下三种类型: (1)包过滤防火墙:这种防火墙设置在网络层,可以在路由器上实现包过滤。它先要建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头
13、信息为基础建立的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。如果数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部网络非法用户对内部网络的访问和禁止访问某些服务类型。但包过滤防火墙不能识别有危险的信息包,无法实施对应用级协议的处理,也不能处理UDP、RPC或动态的协议。 (2)代理防火墙:代理防火墙是由代理服务器和过滤路由器组成的,它又称为应用层网关级防火墙。过滤路由器承担连接网络,并对传输的数据进行严格筛选,然后将筛选后的数据传送给代理服务器。代理
14、服务器的功能类似一个数据转发器,起到外部网络申请访问内部网络的中间转接作用,主要用来控制哪些用户能访问哪些服务类型。代理服务器根据外部网络向内部网络提出的某种网络服务申请、服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受该项服务,如果接受此服务,代理服务器就向内部网络转发这项请求。目前较为流行的代理服务器软件是Win Gate和Proxy Server。 (3)双穴主机防火墙:双穴主机防火墙是用服务器主机来实现安全控制功能。网络服务器双穴主机安装多个网卡,分别连接在不同的网络上,从一个网络上收集数据,并且有选择地把收集到的数据传送到另一个网络上,起到中间隔离
15、墙的作用。外部网络和内部网络的用户通过网络服务器双穴主机的共享数据区传输数据,这样保护内部网络不被网络黑客非法攻击和破坏。 (三)网络信息加密策略:信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密策略通常采用以下三种方法:1网络链路加密方法:链路加密方法目的是保护网络系统节点之间的链路信息安全。2网络端点加密方法:端点加密方法目的是保护网络源端用户到目的用户的数据安全。3网络节点加密方法:节点加密方法目的是对源节点到目的节点之间的传输链路提供保护.信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规Frethem/index.htm target=_blank style=text-decoration: underline;color: #0000FF密码算法和公钥密码算法。在常规密码中,收信
