陳德軍

隨著政府上網(wǎng)、企業(yè)上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂(lè)等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展,Internet正在越來(lái)越多地離開(kāi)原來(lái)單純的學(xué)術(shù)環(huán)境,融入到社會(huì)的各個(gè)方面。一方面,網(wǎng)絡(luò)用戶成分越來(lái)越多樣化,出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁;另一方面,網(wǎng)絡(luò)應(yīng)用越來(lái)越深地滲透到金融、商務(wù)、國(guó)防等等關(guān)鍵要害領(lǐng)域。換言之,Internet網(wǎng)的安全,包括信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全,日益成為與國(guó)家、政府、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。安全保障能力是新世紀(jì)一個(gè)國(guó)家綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能力的重要組成部分。毫不夸張地說(shuō),在新世紀(jì)里它對(duì)一個(gè)國(guó)家的重要性完全可以與核武器相提并論。這個(gè)問(wèn)題解決不好將全方位地危及國(guó)家的政治、軍事、經(jīng)濟(jì)、社會(huì)生活等各個(gè)方面,使國(guó)家處于信息戰(zhàn)和高度經(jīng)濟(jì)金融風(fēng)險(xiǎn)的威脅之中。下面,本人就此作一些分析和思考。

1加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育

黑客的攻擊之所以能經(jīng)常得逞,其主要原因就是人們思想麻痹,沒(méi)有正視黑客入侵所造成的嚴(yán)重后果,人們經(jīng)常在有意無(wú)意之中就泄露了信息。當(dāng)人們?cè)L問(wèn)Web站點(diǎn)時(shí),會(huì)無(wú)意留下訪問(wèn)的痕跡。當(dāng)人們?cè)诰W(wǎng)上購(gòu)物時(shí),不經(jīng)意地泄露了許多私人信息,這些不經(jīng)意為黑客進(jìn)行數(shù)據(jù)收集或數(shù)據(jù)挖掘大開(kāi)方便之門(mén)。

大力進(jìn)行宣傳教育,培養(yǎng)安全意識(shí)。國(guó)家必須從政治安全、經(jīng)濟(jì)安全的角度出發(fā),以所發(fā)生的信息犯罪案件作為反方面教材來(lái)宣傳、教育網(wǎng)絡(luò)工作者和用戶,引起重視、提高認(rèn)識(shí),樹(shù)立良好的職業(yè)道德,加強(qiáng)自覺(jué)維護(hù)網(wǎng)絡(luò)正常運(yùn)行的安全意識(shí)。特別對(duì)未成年人,應(yīng)從小培養(yǎng)網(wǎng)絡(luò)用戶的合法上網(wǎng)概念,防止有害信息的傳播和滲透。另外,對(duì)工作人員應(yīng)結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各方面的安全問(wèn)題,進(jìn)行安全教育,提高工作人員的保密觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。

2完善網(wǎng)絡(luò)管理功能

安全管理就是控制對(duì)網(wǎng)絡(luò)信息訪問(wèn)的過(guò)程,可在網(wǎng)絡(luò)的多個(gè)層次上實(shí)現(xiàn)。如在數(shù)據(jù)鏈路層上采用加密;在網(wǎng)絡(luò)層次設(shè)備路由器上采用分組過(guò)濾及路由協(xié)議認(rèn)證等安全措施;在每個(gè)主機(jī)上對(duì)信息的每個(gè)訪問(wèn)點(diǎn)有相應(yīng)的服務(wù),而每個(gè)服務(wù)對(duì)敏感信息的訪問(wèn)提供一種或多種認(rèn)證機(jī)制,如主機(jī)身份認(rèn)證、用戶身份證和密鑰認(rèn)證等。另外,訪問(wèn)控制、代理服務(wù)器、Web服務(wù)器、虛擬局域網(wǎng)、局域網(wǎng)、VLAN技術(shù)、網(wǎng)絡(luò)管理及檢測(cè)等網(wǎng)絡(luò)管理功能也被廣泛應(yīng)用。下面對(duì)這些網(wǎng)絡(luò)管理功能分別進(jìn)行分析。

2.1加密

對(duì)路由信息或用戶數(shù)據(jù)都可以采用加密措施。常用的加密方法有兩種;比較老的和比較簡(jiǎn)單的是單密鑰或保密密鑰加密,另一種廣泛的開(kāi)放的網(wǎng)絡(luò)安全的解決方案是比較新的更加復(fù)雜的編碼形式,即公開(kāi)密鑰加密。在保密密鑰加密方法中,發(fā)送者和接受者共同持有一個(gè)保密的密鑰,發(fā)送者發(fā)送文件之前用這個(gè)密鑰加密,并在網(wǎng)絡(luò)上傳送加密文件,接受者使用這個(gè)密鑰解密。

2.2路由器及路由協(xié)議的安全措施

路由器中采取的分組成過(guò)濾和路由協(xié)議認(rèn)證是兩個(gè)重要的安全措施。分組過(guò)濾規(guī)則依據(jù)建立連接時(shí)需要的信息,如源/目標(biāo)地址、端口號(hào)、協(xié)議類型等確定,進(jìn)行分組過(guò)濾時(shí),逐一查找分組過(guò)濾規(guī)則表,若匹配,產(chǎn)生相應(yīng)的動(dòng)作;若無(wú)法匹配,用默認(rèn)規(guī)則處理,將分組丟棄。路由協(xié)議認(rèn)證時(shí)通過(guò)檢查動(dòng)態(tài)路由協(xié)議OSPF分組中的數(shù)字簽名信息來(lái)確認(rèn)路由器身份。

2.3用戶身份認(rèn)證

用戶身份認(rèn)證用來(lái)確定用戶是否合法。有兩種認(rèn)證方法:基于令牌的身份驗(yàn)證和kerberos。驗(yàn)證令牌與軟件狗或鑰匙盤(pán)類似,可以插在計(jì)算機(jī)串行或并行接口上,也可以是一張插入PC機(jī)的軟盤(pán)。有同步和挑戰(zhàn)應(yīng)答兩種驗(yàn)證令牌的實(shí)現(xiàn)算法:在同步算法中,身份認(rèn)證服務(wù)器AS(Authentication Server)負(fù)責(zé)管理用戶登錄,產(chǎn)生一個(gè)PIN(Personal Identification Number)給用戶,當(dāng)用戶使用PIN登錄時(shí),AS查找內(nèi)部的身份認(rèn)證數(shù)據(jù)庫(kù),若得到與用戶令牌中相同的key,則用戶的令牌產(chǎn)生一個(gè)序列,AS用內(nèi)部得到的key使用同樣算法同步產(chǎn)生一個(gè)序列,比較這兩個(gè)序列是否相同來(lái)鑒別用戶身份。

2.4訪問(wèn)控制

訪問(wèn)控制決定一個(gè)用戶或程序是否有權(quán)對(duì)某一特定資源執(zhí)行一個(gè)特定的操作(如共享、修改、簽字等)。有3種權(quán)限判定方法:強(qiáng)制法,隨意法和角色判定法。在強(qiáng)制法中,每個(gè)用戶具有一個(gè)安全級(jí),針對(duì)每個(gè)資源也有相應(yīng)的安全系數(shù)。安全級(jí)集合是一個(gè)偏序集。也可以采用分類的方法,每個(gè)用戶不僅有一個(gè)安全級(jí),而且在同一級(jí)中還要受類別的控制。隨意訪問(wèn)控制采用訪問(wèn)矩陣指定每一個(gè)用戶對(duì)每個(gè)資源的訪問(wèn)模式(讀、寫(xiě)、執(zhí)行等權(quán)限)。

2.5代理服務(wù)器

通過(guò)代理服務(wù)器實(shí)現(xiàn)與Internet的連接,使內(nèi)部網(wǎng)絡(luò)更加安全。因?yàn)閮?nèi)部網(wǎng)絡(luò)成為一個(gè)獨(dú)立的封閉網(wǎng)絡(luò)。對(duì)代理服務(wù)器有兩種理解,一種理解為應(yīng)用層防火墻,包括Web Proxy, TELNET Proxy, News Proxy, SMTP Proxy, DNS Proxy 等身份認(rèn)證機(jī)制。另一種特指Web Proxy(或HTTP Proxy),它接收客戶發(fā)來(lái)的HTTP請(qǐng)求,將其轉(zhuǎn)發(fā)給遠(yuǎn)地Web服務(wù)器,并將遠(yuǎn)地Web服務(wù)器傳來(lái)的響應(yīng)傳回客戶端。

2.6Web服務(wù)器的安全機(jī)制

有兩種加強(qiáng)WEB服務(wù)器安全的機(jī)制;SSL(Secure soket layer)和SHTTP(Seeure hypetext transfer protocol)SSL是一個(gè)分層協(xié)議,在TCP/IP協(xié)議族中位于傳輸層和應(yīng)用層之間,目的是在通訊者之間提供安全可靠的鏈接。

2.7網(wǎng)絡(luò)管理及檢測(cè)

網(wǎng)絡(luò)管理及檢測(cè)也是提高網(wǎng)絡(luò)性能和安全的重要措施,網(wǎng)絡(luò)管理和檢測(cè)可以選擇HP Open View CLSCO Works HP網(wǎng)絡(luò)分析儀或其他相應(yīng)產(chǎn)品實(shí)現(xiàn)。HP Open view支持SNMP, MIB-II協(xié)議,采用Xwindows 圖形界面。傳播和滲透。另外,對(duì)工作人員應(yīng)結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各方面的安全問(wèn)題,進(jìn)行安全教育,提高工作人員的保密觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能,教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。

3加強(qiáng)網(wǎng)絡(luò)系統(tǒng)管理

3.1建立必要的安全管理機(jī)制

管理計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全,從另一個(gè)方面講還包含了實(shí)體安全和信息安全。實(shí)體安全主要是指人為事故、自然災(zāi)害、環(huán)境災(zāi)害、設(shè)備故障。信息安全主要目的是防止信息、數(shù)據(jù)文件及計(jì)算機(jī)程序受到意外的或故意的非法泄露、修改和破壞。網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程,僅有技術(shù)是遠(yuǎn)遠(yuǎn)不夠的,特別是在我們的安全技術(shù)水平還比較落后的今天,加強(qiáng)管理不僅是必需的,也是盡快提高我們網(wǎng)絡(luò)安全保護(hù)水平的捷徑。如果沒(méi)有保安巡邏,單靠大樓的門(mén)禁系統(tǒng)無(wú)法保障沒(méi)有盜竊行為發(fā)生。實(shí)際上,據(jù)統(tǒng)計(jì),大量的網(wǎng)絡(luò)攻擊來(lái)自系統(tǒng)內(nèi)部,而防范內(nèi)部攻擊,僅有技術(shù)肯定不行,完善的管理可以防止大多數(shù)來(lái)自內(nèi)部的威脅,并且適時(shí)堵截外部攻擊,可以彌補(bǔ)技術(shù)手段的不足。

3.2建立安全隊(duì)伍

安全技術(shù)力量的形成首先必須是專業(yè)化。抽調(diào)專門(mén)的技術(shù)人員專門(mén)從事企業(yè)的網(wǎng)絡(luò)安全建設(shè)和管理?？梢韵葟妮^小的核心開(kāi)始,通過(guò)各種渠道呼吁、宣傳、教育、提高各級(jí)領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全問(wèn)題的重視程度,向大家演示黑客攻擊的現(xiàn)實(shí)威脅時(shí)一種有效地辦法。使領(lǐng)導(dǎo)層、管理層和技術(shù)人員大家形成一個(gè)共識(shí);網(wǎng)絡(luò)安全工作非常重要,投資時(shí)必要的。其次,逐步加強(qiáng)安全工作核心小組的實(shí)力。根據(jù)企業(yè)使用的技術(shù)種類和以后的發(fā)展方向,形成一定的內(nèi)部研究分工,比如UNLX NT路由、數(shù)據(jù)庫(kù)和其他應(yīng)用以及上述的各種網(wǎng)絡(luò)安全元素等。在技術(shù)上保證不落后國(guó)際領(lǐng)先水平很遠(yuǎn),以電話、電子郵件或者BBS的方式為安全網(wǎng)提供普遍的技術(shù)咨詢和技術(shù)支持,對(duì)本網(wǎng)和客戶技術(shù)人員提供培訓(xùn)服務(wù),在建設(shè)和維護(hù)上為領(lǐng)導(dǎo)決策提供網(wǎng)絡(luò)安全方面的參考。