談勝 王照環(huán)

摘要:隨著計(jì)算機(jī)互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)信息的安全性及實(shí)現(xiàn)方法受到了人們極大的關(guān)注。本文闡述了計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅,影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素,確保計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施。

關(guān)鍵詞:網(wǎng)絡(luò)安全需求技術(shù)手段防范策略

中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2012)04(c)-0040-01

1計(jì)算機(jī)網(wǎng)絡(luò)安全存在的威脅

由于計(jì)算機(jī)網(wǎng)絡(luò)分布廣泛和開放性的特征,很容易受到各種攻擊。常見的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅主要有:竊聽,偽造,篡改,拒絕服務(wù)攻擊,電子欺詐,拒絕未經(jīng)授權(quán)的訪問和傳輸。

2網(wǎng)絡(luò)安全需求

(1)身份認(rèn)證:身份認(rèn)證是授權(quán)控制的基礎(chǔ)。身份認(rèn)證必須做到準(zhǔn)確的將對(duì)方辨別出來。應(yīng)該提供雙向的認(rèn)證,即互相證明自己的身份,目前一般采用基于對(duì)稱密鑰或公開密鑰加密的方法,如kerberos,PGP等。

(2)授權(quán)控制:授權(quán)控制是控制不同用戶對(duì)信息資源訪問權(quán)限,對(duì)授權(quán)控制的要求主要有以下幾點(diǎn)。

①一致性,即控制沒有二義性。

②統(tǒng)一性,對(duì)信息資源集中管理,同意觀測(cè)安全策略。

③要求有審計(jì)功能,對(duì)所有授權(quán)記錄可以核查。

④盡可能地提供細(xì)粒度的控制。

(3)數(shù)據(jù)加密:數(shù)據(jù)加密是最基本的保證安全通信的手段。目前加密技術(shù)主要有兩大類:一類是基于對(duì)稱密鑰加密的算法,也稱為私鑰算法;另一類是基于非對(duì)稱密鑰加密的算法,也稱為公鑰算法。加密手段可以分為硬件加密和軟件加密,硬件加密速度快、效率高、安全性好、成本高;軟件加密成本低且靈活。

(4)數(shù)據(jù)完整性:數(shù)據(jù)完整性是指網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)防止被修改、刪除、插入、替換或重發(fā),以保證合法用戶接受和使用該數(shù)據(jù)的真實(shí)性。

(5)抗抵賴性:接收方要確保對(duì)方不能夠抵賴收到的信息是其發(fā)出的信息,而且不是被他人冒名、篡改過的信息。通常采用的方法是電子簽名。

3確保計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)手段

(1)防火墻技術(shù):要想實(shí)現(xiàn)網(wǎng)絡(luò)的安全,一個(gè)很基本的方法就是把被保護(hù)的網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來,使之成為可管理、可控制、安全的內(nèi)部網(wǎng)絡(luò),為實(shí)現(xiàn)這一目標(biāo)的最基本的手段就是在網(wǎng)絡(luò)的對(duì)外接口,采用防火墻技術(shù)。防火墻有點(diǎn)像古代守護(hù)城池用的護(hù)城河,在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。防火墻的主要作用是通過控制出、入一個(gè)網(wǎng)絡(luò)的權(quán)限,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。從總體上看,防火墻應(yīng)該具有以下基本功能:對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警,管理進(jìn)、出網(wǎng)絡(luò)的訪問行為并過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù),通過防火墻的信息內(nèi)容和活動(dòng),封堵某些禁止行為。

(2)NAT技術(shù):隱藏內(nèi)部網(wǎng)絡(luò)信息?？梢杂脕頊p少對(duì)注冊(cè)地址的需求。簡(jiǎn)單的說,NAT就是當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí),在防火墻或邊緣路由器處,將內(nèi)部地址替換成可路由的合法地址,從而在外部公共網(wǎng)上正常使用。當(dāng)內(nèi)部節(jié)點(diǎn)不需與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時(shí),在內(nèi)部專用網(wǎng)絡(luò)中使用不可路由的內(nèi)部地址。這只是一種過渡的解決方法

(3)VPN技術(shù):VPN可文譯為虛擬專用網(wǎng),具有虛擬特點(diǎn),它并不是專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路,但同時(shí)又具有專線的數(shù)據(jù)傳輸功能,因?yàn)閂PN能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己公司的信息。VPN具有以下優(yōu)點(diǎn):①成本低;②擴(kuò)展容易;③完全控制主動(dòng)權(quán)。

(4)網(wǎng)絡(luò)加密技術(shù)(Ipsec):IPSec是安全聯(lián)網(wǎng)的長(zhǎng)期方向。它通過端對(duì)端的安全性來提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與 Internet 的攻擊。其作用是保護(hù)IP數(shù)據(jù)包的內(nèi)容,通過數(shù)據(jù)包篩選及受信任通訊的實(shí)施來防御網(wǎng)絡(luò)攻擊。其中以接收和發(fā)送最為重要。IPSec的安全特性主要有:不可否認(rèn)性、反重播性、數(shù)據(jù)完整性、數(shù)據(jù)可靠性(加密)、認(rèn)證。

4安全防范策略

網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng),即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,下面介紹一系列比較重要的防范策略。

(1)訪問控制:將訪問控制設(shè)備放在網(wǎng)絡(luò)邊界處并啟用訪問控制功能,對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾。限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù),按用戶和系統(tǒng)之間的允許訪問規(guī)則,決定允許或拒絕用戶對(duì)受控系統(tǒng)進(jìn)行資源訪問。根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力,在會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。

(2)結(jié)構(gòu)的安全:確保主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力,具備冗余空間,保證在業(yè)務(wù)需要的高峰時(shí)滿足各方面的網(wǎng)絡(luò)帶寬需求,在發(fā)生網(wǎng)絡(luò)擁塞時(shí)候優(yōu)先保護(hù)重要主機(jī)。部分重要網(wǎng)絡(luò)避免直接與外部連接,禁止直接部署在邊界處,采用可靠地技術(shù)手段,將重要網(wǎng)段與其他網(wǎng)段隔離。

(3)邊界防護(hù):把不同安全級(jí)別的網(wǎng)絡(luò)相連接,就產(chǎn)生了網(wǎng)絡(luò)邊界。如何防護(hù)邊界呢？對(duì)于公開的攻擊,只有防護(hù)一條路,檢查非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為,并確定出位置,對(duì)其進(jìn)行有效阻斷。

(4)入侵檢測(cè):在網(wǎng)絡(luò)邊界處監(jiān)視或在可能的情況下,阻止入侵者試圖控制自己的系統(tǒng)或網(wǎng)絡(luò)資源。檢測(cè)任何損害系統(tǒng)的機(jī)密性、完整性或可用性的行為的一種網(wǎng)絡(luò)安全策略。

(5)安全掃描:借助掃描軟件對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)端口進(jìn)行安全性檢查,能夠幫助管理員查找目標(biāo)主機(jī),找到運(yùn)行的服務(wù)及其相關(guān)屬性,并發(fā)現(xiàn)這些服務(wù)潛在的漏洞。它只是幫助管理員找到網(wǎng)絡(luò)的隱患,并不能直接解決問題。

(6)日志審計(jì)系統(tǒng):日志文件是包含關(guān)于系統(tǒng)消息的文件,這些消息通常來自于操作系統(tǒng)內(nèi)核、運(yùn)行的服務(wù),以及在系統(tǒng)上運(yùn)行的應(yīng)用程序。日志文件包括系統(tǒng)日志、安全日志、應(yīng)用日志等。日志審計(jì)系統(tǒng)通過一些特定的、預(yù)先定義的規(guī)則來發(fā)現(xiàn)日志中潛在的問題,顯然它是一種被動(dòng)式、事后的防護(hù)或事中跟蹤的手段,很難在事前發(fā)揮作用。

5結(jié)語(yǔ)

顯然,保障網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)服務(wù)效率永遠(yuǎn)是一對(duì)矛盾體,要想網(wǎng)絡(luò)系統(tǒng)安全可靠,勢(shì)必會(huì)增加許多控制措施和安全設(shè)備,這會(huì)或多或少的影響使用效率和方便性。

參考文獻(xiàn)

[1] 馬利.姚永雷計(jì)算機(jī)網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2010,8.

[2] 宋凱.劉念計(jì)算機(jī)網(wǎng)絡(luò)[M].清華大學(xué)出版社,2010,2.

[3] 周小華.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與解決方案[M].浙江大學(xué)出版社,2008,10.