关键词:数据加密 黑客 后门 信息加密 防火墙
一、计算机网络安全的现状
据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆?塞特尔称:给我精选10名“黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:“如果给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。”
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
(1)Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。(2)Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。(3)快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。(4)现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强,执行不力。同时,不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。
二、计算机网络面临的威胁
信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全,即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。
计算机信息系统之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外,主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。
由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面:
(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
(2)网络软件的漏洞和“后门”。网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
(3)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。
(4)计算机病毒。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
(5)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为,或是广告,修改系统设置,威胁用户隐私和计算机安全,并可能小同程度的影响系统性。
(6)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。
(7)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
三、计算机网络安全防范策略
(一)物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。
(二)访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。
1、入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
2、网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。
3、目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。
4、属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。
5、网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
6、网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
7、网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。
8、防火墙控制。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(三)信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
1、常规密码。收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
2、公钥密码。收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全。
(四)网络安全管理策略
安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。
四、结语
计算机网络的安全问题越来越受到人们的重视,本文简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。 参考文献:
1、朱雁辉.防火墙与网络封包截获技术[M].电子工业出版社,2002
2、信息管理系列编委会.网络安全管理.中国人民大学出版社,2003
【关键词】网络安全威胁因素有效策略
中图分类号:TN711文献标识码:A 文章编号:
随着计算机网络规模的不断扩大以及新的应用(如电子商务、远程医疗等) 不断涌现, 威胁网络安全的潜在危险性也在增加, 使得网络安全问题日趋复杂。对网络系统及其数据安全的挑战也随之增加。网络在使通信和信息的共享变得更为容易的同时,其自身也更多地被暴露在危险之中。网络安全问题往往具有伴随性, 即伴随网络的扩张和功能的丰富,网络安全问题会随之变得更加复杂和多样, 网络系统随时都会面临新出现的漏洞和隐患, 所以网络安全问题是为保障信息安全随时需要考虑的问题。
一、网络安全面临的主要威胁因素
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,从而引起大范围的瘫痪和损失,另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足, 这些风险正日益加重。常见的威胁主要来自以下几个方面:
1、自然威胁
自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。
2、非授权访问
指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问,侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。
3、后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”这门技术,利用这门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做“trojian horse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马里一般有两个程序,一个是服务器程序,一个是控制器程序。如果一台电脑被安装了木马服务器程序,那么,黑客就可以使用木马控制器程序进入这台电脑,通过命令服务器程序达到控制你的电脑的目的。
4、计算机病毒
计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体, 利用操作系统和应用程序的漏洞主动进行攻击, 是一种通过网络传统的恶性病毒。它具有病毒的一些共性, 如传播性、隐蔽性、破坏性和潜伏性等等, 同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。
二、加强网络安全的有效策略
1、访问权限的控制
访问权限控制是实现网络安全防范和保护的重要措施之一,其基本任务是在身份认证的基础上,防止非法用户进入系统及防止合法用户对系统资源的非法使用。访问控制的基本目的是防止未授权的用户非法访问受保护的资源,保证合法用户可以正常访问信息资源。访问控制的内容包括:用户身份的识别和认证;对访问的控制;审计跟踪。
2、防火墙技术
采用防火墙技术是解决网络安全问题的主要手段之一。防火墙常被安装内部受保护的网络连接到外部Internet 的结点上, 用于逻辑隔离内部网络和外部网络。它是一种加强网络之间访问控制的网络设备,它能够保护内部网络信息不被外部非法授权用户访问。防火墙之所以能够保障网络安全,是因为防火墙具有如下的功能:它可以扫描流经它的网络通信数据,对一些攻击进行过滤;防火墙可以通过关闭不使用的端口,还可以禁止来自特殊站点的访问,从而防止来自非法闯入者的任何不良企图;可以记录和统计有关网络使用滥用的情况。防火墙技术可以综合身份认证、加密技术和访问控制技术、以及支持多种现有的安全通信协议来达到更高的安全性,因此网络管理员可将防火墙技术与其他安全技术配合使用,以达到提高网络安全性的目的。但是防火墙技术只能防外不防内,不能防范网络内部的攻击,也不能防范病毒,且经伪装通过了防火墙的入侵者可在内部网上横行无阻。
3、数据加密技术
数据加密技术是保护网络上传输的信息不被恶意者篡改截取一种重要措施和方法,可以将被传送的信息进行加密,使信息以密文的形式在网络上传输。这样,即使攻击者截获了信息,也无法知道信息的内容。通过这种方法,我们可以达到一些敏感的数据只能被相应权限的人访问的目的,防止被一些怀有不良用心的人看到或者破坏。按照接收方和发送方的密钥是否相同,可将加密算法分为对称算法和公开密钥算法。在对称算法中,加密密钥和解密密钥相同或者加密密钥能够从解密密钥中推算出来,反之也成立。对称算法优点是速度快,算法易实现,但是其密钥必须通过安全的途径传送,因此其密钥管理成为系统安全的重要因素。在公开密钥算法中,加密密钥和解密密钥互不相同,并且几乎不可能从加密密钥推导出解密密钥。公开密钥算法较对称密钥算法相比容易实现密钥管理,但是算法较复杂,加密解密花费时间长。在维护网络安全的工作中,我们可以结合使用这两种加密算法,互补长短。
4、侵检测技术
入侵检测是继“防火墙”、“数据加密”等传统安全保护方法之后的新一代安全保障技术。入侵检测是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。目前,入侵检测技术按照检测方法的不同可分为误用检测、异常检测以及混合型入侵检测系统。异常检测主要通过对计算机网络用户的不正常行为以及计算机网络资源的非正常使用情况进行检测,从而发现并指出不法入侵行为。异常检测虽然具有响应速度快、可以检测到新的未知攻击,但是误报率较高。误用检测根据已知的攻击方法事先定义好入侵模式库,通过判断模式库中的模式出现与否来判定入侵。该方法对已知的攻击模式非常有效,但它对新的入侵攻击却几乎无能为力。混合型入侵检测系统:由于的两种入侵检测系统各有其优点和不足,因而在很多实际的入侵检测系统中同时采用了异常入侵检测和误用检测这两种方法,采用两种不同的入侵检测方法的入侵检测系统我们将之称为混合型入侵检测系统。
入侵检测技术具有以下几方面功能: 审计系统的配置和安全漏洞;检测和分析系统和用户的活动,查找非法用户和合法用户的违规操作;非正常行为的统计分析,以发现攻击行为的规律性;实时检测入侵行为,迅速做出反应加以识别;检测系统程序以及数据文件是否正确。
为了达到网络安全的目的,除了上面介绍的几种之外,还有一些被广泛应用的网络安全技术,例如安全审计、可靠系统设计、系统脆弱性评估等。
总之,解决安全的措施有很多,仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施,尽可能提高网络系统的安全可靠性,使网络系统更安全地为大家服务。
参考文献:
[1] 张云勇,陈清金,潘松柏,魏进武.云计算安全关键技术分析[J]. 电信科学. 2010(09)
[2] 包延芳.浅析网络防火墙技术[J]. 今日科苑. 2008(02)
[3] 王玲.网络信息安全的数据加密技术[J]. 信息安全与通信保密. 2007(04)
【 关键词 】 防火墙技术;移动IP;安全性;加密
【 Abstract 】 The information net Internet oneself as a biggest world use scope negotiates of open sex biggest place then various calculator connect a net and opened widely to share a resources.But, because of negotiating to design in the network in earlier period up for neglecting safe problem, and in the management and the anarchy on the use, make the Internet oneself safety be subjected to severity threat gradually, the safe trouble having something to do with it often has occurrence.Therefore this thesis is from the network fire wall strategy, obstruct a control and move a few aspect synopsises of IP network safety control etc.s analysis network safety control.
【 Keywords 】 firewall technology;mobile ip;safety;encryption
1 引言
具有让世界上任何地方任何计算机相连的能力是一件喜忧参半的事。对于坐在家中环游因特网的人来说,是乐趣无穷,但对于公司的安全性主管,这是一个噩梦。大多数公司在网上都有大量的机密信息――商务秘密、产品开发计划、商场战略、经济分析等,让竞争者知道这些信息会产生难以预料的后果。
2 防火墙技术
除了信息外泄的危险,还有信息渗入的危险。特别是,病毒等各种数字害虫(Kaufman)会破坏机密,毁掉有价值的数据,并浪费管理员大量的时间清理它们留下的垃圾。一种方法是加密,这种办法可以保护数据在两个安全点之间的传送。但是,加密并不能防止数字害虫和黑客的入侵。要达到这一目的,我们要用要防火墙。对于拥有多个LAN的公司的内部网络可以任意连接,但进出该公司的通信量必须经过防火墙。防火墙通常由两个组成部分:两个用作分组筛选的路由器和一个应用程序网关。也有更简单的配置,但这种设计的优点在于,每个进出的分组都必须经过两个筛选器和一个应用程序网关,不再有其他的路由器。每个分组筛选器(Packet Filter)是一个装备有额外功能的标准路由器,这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发,不能通过检查的就被丢弃。
如图1所示,很有可能位于内部LAN的分组筛选器检查外出分组,而位于外部LAN的分组筛选器检查进入分组。通过第一道关卡的分组再送入应用程序网关作进一步的检查。将两个分组筛选器分别放到两个网络上的原因,是为了保证没有进出分组能不经过应用程序网关,也就是说没有可绕过它的路由可走。
可以为特殊的应用程序安装一个或多个应用程序网关,但往往谨慎的机构只允许电子函件的进出和使用万维网,其他的应用被认为太危险而禁止使用。结合加密和分组筛选,可提供有限的安全性,其代价是有些不方便。值得一提的是设计一个逻辑上完全安全的系统很容易,但实际上可能像筛子一样漏洞百出。如果有些机器是无线上网的,并且使用微波通信,正好从两个方向上绕过了防火墙,就会出现上述情形。
3 拥塞控制
资源耗尽,某一资源被故意超负荷使用,导致其他用户的服务被中断通常,这就是网络拥塞。拥塞分源端和目的端,分组筛选器由系统管理员配置的表所驱动。这些表列出了可接受的源端和目的端,以及作用于进出其他机器的分组的缺省规则。在一个Unix设置的标准配置中,一个源端或目的端由一个IP地址和一个端口组成。端口表明希望得到什么样的服务。
拥塞外出分组更有技巧性,因为虽然大多数节点使用标准端口号,但这也不一定是一成不变的,更何况有一些重要的服务,像FTP(文件传输协议),其端口号是动态分配的。此外,虽然拥塞TCP连接很困难,但拥塞UDP分组甚至更难,因为很难事先知道它们要做什么。很多分组筛选器只是拦截UDP分组流。
4 移动IP网络安全控制
很多公司用户都有便携式计算机,并希望他们在外地甚至在路上时都能保持与因特网的联系。遗憾的是,IP地址系统的异地工作是说起来容易做起来难。
真正的阻碍是编址方案本身。每个IP地址有3个字段:类别、网络号和主机号。例如,假设机器的IP地址是160.80.40.20,其中160.80给出类别(B)和网络号(8 272);40.20是主机号(10 260)。全世界路由器的路由选择表都给出了160.80的线路。当一个目的地IP地址形如160.80.xxx.yyy的分组到来时,它就被放到该线路上。
如果忽然一下,拥有这个地址的机器搬到了某个远程节点,给它的分组仍将继续送到其原地LAN(或路由器)。机器拥有者将不能再获取电子函件等。根据它的新位置再给该机器一个新的IP地址也不太可取,因为要将这个变化通知大量的人、程序以及数据库。
另一个方法是让路由器利用完整IP地址作路由选择,而不是仅仅只用类别和网络号。但这种策略需要每个路由器有上千万的表项,其开销对因特网来说是个天文数字。解决移动IP带来的安全问题,我们可以选用方案:(1)每个移动主机必须能在任何地方使用其原地IP地址;(2)不允许对固定主机的软件作修改;(3)不允许对路由器的软件和表作修改;(4)大部分给移动主机的分组不能绕道传送;(5)当移动主机在原地时不能增加开销。
每个允许其用户漫游的网络先创建一个原地。每个允许游客加入的网络
再创建一个外地。当一个移动主机出现在一个外部网点中时,它与处在那儿的外地主机联系,并进行登记,外地主机再与用户的原地联系,并给它一个关照地址,通常是外地自己的IP地址。
当一个分组到达用户的原地LAN,它进入与该LAN相连的某个路由器。该路由器便试着用通常的办法来定位主机,广播一个ARP分组,比方说,问:“160.80.40.20的以太网地址是什么?”原地通过给出它自己的以太网地址来回答这个询问。路由器便将发给160.80.40.20的分组传给原地,然后,原地将分组包装进IP分组的有效载荷字段,通过隧道将它发向拥有关照地址的外地,然后外地取出分组并将其发往移动主机的数据链路层地址。此外,原地还将关照地址传给发送者,因此以后的分组可以通过隧道直接送到外地。这一方案满足上述所有要求。
如何实现安全性,何处实现安全性,若将它置于网络层,它变成了标准服务,而不必再进行任何预处理。真正的安全性应用程序通常需要至少具有端到端加密功能,其中源端应用程序加密,目的端应用程序再解密。任何一端出了问题,用户就处在他不能控制的网络层应用的潜在错误的威胁之下。这类应用程序完全可以不使用IP的安全特性,由它自己完成相应的工作。
5 结束语
网络安全的多变性、复杂性及信息系统的脆弱性,决定了网络安全威胁的客观存在,同时也是也是安全管理的问题。随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。希望在不久的将来,我国信息安全工作能跟随信息化发展。
参考文献
[1] 刘远生.计算机网络安全[M].北京:清华大学出版社,2009.
[2] 王凤英.网络与信息安全[M].北京:中国铁道出版社,2006.
[3] 孙建国.网络信息安全实训[M].北京:人民邮电出版社,2013.
[4] 诸葛建伟.网络攻防技术与实践[M].北京:电子工业出版社,2011.
关键词:移动网 安全 IP化改造 LTE
中图分类号:TN929 文献标识码:A 文章编号:1672-3791(2015)04(c)-0015-01
随着现代通信技术越来越深入的影响人们的生活,通信甚至和喝水吃饭一样成为了人们日常生活的不可或缺的一部分,而其中以3G、4G为代表移动通信技术更是成为其中与人们日常生活联系最紧密的通信技术。在这样的背景下,对移动通信网络的安全性提出了更高的要求。但另一方面随着用户越来越多,业务越来越多,网络规模也越来越大、越来越复杂。庞大复杂的网络和安全性的高要求形成矛盾,依靠主备容灾、倒换等传统的安全策略已经难以对新型的网络提供高效的安全保障,于是客观要求我们提出保障移动网络安全的新策略。
1 移动网络IP化―― 安全新策略的承载基础
传统的网络大都以电路承载为主要,但随着网络的演进,电路承载投资巨大,后续演进困难等弊端逐一显现,基本上所有的主流运营商都选择了网络IP化的演进方向。所谓移动网IP化就是以IP承载方式替代传统电路承载,实现移动网各个接口的IP化改造。IP化改造不仅本身提高了网络的安全性,更为后续的安全策略提供了承载保障。后续的网络演进几乎都是建立在网络IP化的基础之上。对于移动网络安全至关重要的是核心网的IP化改造,其中包括:Nc接口、Mc接口、Nb接口。
IP承载方式的具有天然的多路由选择性,较之点到点电路承载方式更为安全。IP承载方式能够有效降低传输负荷,对整个传输网络的安全具有很大的提升作用。在IP承载方式的基础之上网络安全策略有了很大的提升空间。
2 打破大区制――网状长途网的建立
2.1 传统大区制长途网络结构
对中国这样幅员辽阔的国家,长途网对于通信网尤为重要,长期以来我国的长途网都是采用大区制。即全国分为若干个大区,每个大区都设大区节点,下带若干个省份。大区下带省份的出省入省话务均由大区节点所在省份汇接。
2.2 大区制长途网络的安全隐患
在传统长途网中,大区节点间点对点相连,大区内各省份话务均由大区节点转接,这样一旦某大区节点故障,将会对整个大区话务产生影响,造成数省大规模通信中断。同时,大区制长途网络中,由于节点单一,某省话务量激增会导致大区节点负荷激增,进而影响整个大区通信安全。
2.3 网状软交换长途网络的建立
由于传统长途网存在的安全隐患,加之传统长途网基于电路传输扩容投资成本巨大,于是各大运营商纷纷建立起以IP为承载的新型软交换长途网络。
新型软交换长途网络有几个区别于传统长途网络的特点。
(1)使用软交换设备。
与传统长途网络由传统交换机搭建不同,新型长途网络使用软交换设备,控制与承载分离。
(2)IP承载。
与传统长途网络使用电路承载不同,新型长途网络承载与IP承载网之上,其Nb接口、Nc接口、Mc接口均实现IP化。
(3)网状网连接。
新型长途网络打破了层层转接的大区制组网模式,实现了网状网连接,安全型大大提升。
长途网通过新型软交换网状长途网络的建立,安全性得到了很大的提升,和用户日常通信更为紧密的本地网则提出了MSC Pool的概念。
3 MSC Pool――本地网池组化改造
MSC Pool是一种通过采用Iu/A-Flex技术,一个BSC/RNC可以归属于多个MSC,同时将多个MSC构成一组资源池,从而实现MSC资源共享的特性组网方案。
MSC Pool组网相比传统本地网组网安全性能大为提高,主要表现为以下几点。
(1)MSC Pool中无线侧BSC和RNC与多个CN节点连接组网,A口或Iu口的安全性大大提高。
(2)MSC Pool组网方式下,通过负荷均衡技术,在同一MSC池区内能够保证每个MSC接入用户数大体相当。这样有效避免了传统组网方式下,某区域内用户突然激增造成的整个MSC负荷激增的危险情况。
(3)MSC Pool具有良好的容灾能力,一方面MSC Pool的负荷分担机制已经具备了一定的MSC级的容灾能力,另一方面MSC Pool组网模式还能够提供良好的主被叫容灾方案。
(4)由于MSC Pool内没有局间切换和局间位置更新,所以信令流量和系统负荷大为减少,相应的网络安全性得到了提升。
在3G网络中引入的IP化改造、网状长途网、MSC Pool组网等新技术新概念,使得移动网安全性能大为提高。
4 面向4G的归属位置寄存器――分布式HLR的建立
分布式HLR与传统HLR最大的区别是将传统HLR的信令接入及处理模块和用户数据库模块分离,分别成为分布式HLR的前端(FE)和后端(BE)。FE实现协议接入与业务处理功能,BE实现用户数据的存储、访问、管理、接入控制、同步等功能。分布式HLR系统由前端和用户数据库功能实体构成。
分布式HLR具有完备的容灾方案,一般建议的容灾方式有以下几点。
(1)FE可采用N+1备份方式(N>=1);当N=1时,可采用1+1主备或1+1互备;当N>=2时,应采用N+1主备方式。当主用FE故障时,信令消息自动/手动切换到备用FE;当FE恢复后,信令消息再恢复到FE。
(2)BE一般采用1+1主备方式,每个BE都可对FE提供数据访问服务,形成BE的容灾系统。每个BE中保存所有用户数据,一个BE故障,另外一个BE自动接管,提供服务。
分布式HLR的优点主要体现在设备容量大、组网能力强、容灾方案完善、设备利用率高、可靠性强、可平滑演进的特性 。HLR在移动网中具有举足轻重的作用,直接关系到网络安全。分布式HLR的建立对加强移动网的安全起到了至关重要的作用。
5 高效安全的第四代移动通信网――扁平化的LTE网络
LTE的全称是3GPP Long Term Evolution,其采用优化的UTRAN结构。LTE根据双工方式的不同,分为FDD和TDD两种模式。
LTE网络最大的结构特点就是采用扁平化的网络结构
LTE架构在安全提升方面有几个明显优势。
(1)LTE采用了扁平化的网络结构,使网络结构进一步简化。
(2)网络扁平化使得系统延时减少,从而改善用户体验,可开展更多业务。
(3)网元数目减少,使得网络部署更为简单,网络的维护更加容易。
(4)取消了RNC的集中控制,避免单点故障,有利于提高网络稳定性。
今天,移动通信已经几乎已经融入到了生活的方方面面,对于电信级的通信网络,网络安全是其生命线。随着通信网络的升级,越来越多的安全新策略被应用,我们一定能够给亿万用户提供一个越来越先进、越来越安全的通信网络。
参考文献
关键词:校园网;网络安全;策略
简单地说,校园网是指在学校范围之内,为教师的教育教学和科研、学生的学习和生活等需求提供信息交流、资源共享的计算机网络系统。校园办公服务软件不断发展的同时,学校的教育教学、校务办公、为学生服务的功能也通过互联网连接,这大大扩展了办公及学习的深度和广度。与此同时,校园网的安全问题也越来越突出,网络病毒,黑客入侵,管理不善等原因使得校园网络面临着严重的威胁。
1校园网的安全隐患
1.1导致校园网危险的内在原因
1.1.1软硬件自身的漏洞
硬件系统的安全威胁。一是指物理方面的安全,主要是由于互联网中硬件装置摆放的位置不太合适,或是由于安全的防范措施不当,导致网络硬件一些设备不能安全正常地使用。二是指设置安全,主要是指在仪器上要有正确的设置,预防网络黑客获取了计算机的远程控制的特权。网络系统的安全漏洞,是指网络系统的程序员编程设计时,没有事先预料到可能存在的安全隐患,导致系统存在缺陷。现今,校园里采用的计算机操作系统大部分是微软公司的WINDOWS操作系统,而针对WINDOWS操作系统的病毒和黑客非常的多,安全问题十分堪忧。
1.1.2设置上的失误
正确地安排设计校园网的配置设备是非常关键的。网络线路一旦成形并布线,那么,如果再进行调整是十分麻烦的。因为其布线有一定的网络拓扑结构,如果重新设计,不仅会浪费人力、物力、财力,还会影响正常的教学活动。目前,网络维护公司其技术、质量及其所谓的解决方案一般都是夸大其词,并不能真正地达到百分之百的防治效果。
1.1.3管理漏洞
人为的管理体制,也是校园网中比较重要的部分。人员的负责制度、管理条例、安全意识、安全防范行为都不健全,加上一些管理人员自身的知识和技能不足等原因,非常有可能引发网络安全的问题。
1.2导致校园网危险的外在原因
1.2.1网络黑客的入侵
校园网的规模庞大而且复杂,其中的设备五花八门,不仅在管理上带来了很大的难度,也给不法的黑客可趁之机,因此,黑客的攻击是校园网络安全中一个不可小视的重要因素。
1.2.2计算机病毒的破坏
通常情况下,计算机网络的基本组成包括在网络中安置的服务器和节点站(包含有盘和无盘工作站、远程工作站)。计算机病毒的入侵路径,通常是先进入到网络中的有盘工作站,即进入了网络,再开始在互联网上传播。
2解决校园网络安全问题的一些关键技术
基于校园网络的现状,在明确了几个威胁校园网安全的因素的基础上,就可以制定一系列网络安全系统策略和原则,并从硬件和软件方面考虑,需要采用多种技术及软件相互配合的方式,包括防火墙、入侵检测、病毒防御等的运用。
2.1防火墙部署
防火墙是指一种隔离技术,用于将内部网和公众访问网分开的技术,也就是校内网和校外人员访问的校园网是不同的。防火墙是在网络之间进行信息传递时所实现的访问限制标准和程度,它可以使你“允许进入”的访问用户和数据访问你的网络,也将你“不允许进入”的访问用户和数据拒绝,这种分隔校园中的通信更加安全,校园内的数据库、网络、网站就能得到最大限度的保护。最大程度地保护校园网络免于其他的威胁和侵害。
2.2入侵检测
入侵检测是对入侵网络的行为进行检查。它的技术原理就是利用对计算机网络或者是计算机系统中一些关键点进行收集信息,并对信息进行分析,从中检测网络或系统中有无违背安全策略的行为和被攻击的现象。
2.3计算机病毒防御
防病毒技术能够及时发现病毒并且消灭病毒,防止网络病毒的进一步传播和扩大。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等。防病毒产品有:Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。
2.4漏洞扫描
漏洞扫描是指在漏洞数据库的基础上,利用扫描等形式检测指定的远程计算机或本地计算机系统的安全性,并检测出能够被利用的漏洞的一种安全检测行为。漏洞扫描技术是一种非常常用的网络安全技术。它与防火墙、入侵检测系统联合使用,很大程度地提高网络的安全性。通过使用网络扫描技术,校园网络管理人员可以知道网络的安全设置和运行时的应用服务,并能尽早发现安全漏洞,客观评估网络风险等级,并尽快处理风险和威胁。校园网络管理员能按照扫描的结果改正校园网络中错误设置和系统中的漏洞,在恶意入侵者入侵之前准备防范。防火墙是一种被动的防范措施,然而安全扫描是一种主动的防范手段,这种防范可以有效避免入侵者的攻击行为。
2.5营造良好的网络环境,培养学生的网络道德情感
由于学生的心理、思想还不成熟,在网络面前往往缺乏理智的辨别能力,部分学生甚至出现了道德意识欠缺、道德素质偏低等问题。学生是网络世界一个不容忽视的群体,他们的网络道德素质对网络道德建设有着很大的影响。在校学生网络道德素质问题的解决,不但能改善网络环境、维护网络秩序,并且对提高在校学生的道德素质都会有积极影响。
2.6加强管理人员安全意识,切实提高管理人员技术水平
(1)提高网络管理层的安全意识,学校领导应大力支持与重视网络建设和网络安全,这是构建安全校园网络的保障。(2)提升网络管理队伍的安全素养,加强学生与教师的安全意识和网络管理员安全技能的培训工作,提高管理员的技术水平。在校园网络中建立起一套完整的网络安全体系,加强校园网络安全管理制度和措施,形成一个较全面的安全理论体系,在一定程度上解决校园网中存在的若干安全问题。如今在国家大力支持计算机和网络教育的情况下,相信校园网络的安全工作将会提到一个更高的层次,引起更多的重视,为我国的教育事业做出更多的贡献。
参考文献
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与应用,2007.
[2]刘钦创.高校校园网的安全现状与对策[J].现代计算机,2006.
关键词:网络;安全
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。
计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。
一、物理安全策略和访问控制策略
1、物理安全策略
制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。
2、访问控制策略
访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。
(1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。
(2)网络的权限控制
网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
(3)目录级安全控制
网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。
(4)属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。
(5)网络服务器安全控制
计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
计算机网络管理员对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
(7)网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。
(8)防火墙控制
防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。
二、信息加密策略
信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。
三、网络安全管理策略
网络安全管理策略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。
四、计算机网络物理安全管理
涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。
关键词:网络;安全
计算机网络安全策略是指在某个安全区域内,与安全活动有关的一套规则,由安全区域内的一个权威建立,它使网络建设和管理过程中的工作避免了盲目性,但在目前它并没有得到足够的重视。国际调查显示,目前55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全。
计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类,确定管理员的安全职责,如实现安垒故障处理.确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面:物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。
一、物理安全策略和访问控制策略
1、物理安全策略
制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;验证用户的身份和使用权限,防止用户越权操作;确保网络设备有一个良好的电磁兼容工作环境;建立完备的机房安全管理制度,妥善保管备份磁带和文档资料;防止非法人员进入机房进行偷窃和破坏活动。www.133229.COm
2、访问控制策略
访问控制策略是网络安垒防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,而访问控制策略可以认为是保证网络安全最重要的核心策略之一。
(1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤:用户名的识别以验证、用户帐号的缺省限制检查。
(2)网络的权限控制
网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,由系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
(3)目录级安全控制
网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种:系统管理员权限,也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。
(4)属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性,网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除,执行修改、显示等。
(5)网络服务器安全控制
计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括:可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息数据;可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和锁定控制
计算机网络管理员对网络实施监控,服务器应记录用户对网络资源的访问。对非法的网络访问进行报警,以引起网络管理员的注意,并自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
(7)网络端口和节点的安全控制
网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制,用户必须携带证实身份的验证器。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务端再进行相互验证。
(8)防火墙控制
防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络,以阻止来自外部网络的侵入。
二、信息加密策略
信息加密的目的是保护网络的数据、文件、口令和控制信息,保护网络会话的完整性。网络加密可设在链路级、网络级,也可以设在应用级等,它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求,选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。
三、网络安全管理策略
网络安全管理策略是指在特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不仅要靠先进的技术,而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱,缺一不可。网络安全管理策略包括:(1)确定安全管理等级和安全管理范围;(2)制定有关网络操作使用规程和人员出入机房管理制度;(3)制定网络系统的维护制度和应急措施等;安全管理的落实是实现网络安全的关键。
四、计算机网络物理安全管理
涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括:机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。
