体会,着重从计算机网络安全的定义出发,并针对网络安全防范策略及网络安全的目标谈些粗浅的看法。
关键词:计算机网络;网络安全;防范策略;网络安全的目标
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)29-6945-03
随着计算机的发展,计算机网络逐渐渗透到各个技术领域和整个社会的各个方面。它不仅使分散在网络各处的计算机能共享网络上的所有资源,而且能为用户提供强有力的通信手段和尽可能完善的服务,从而极大地方便了用户。因此许多单位都建立了自己的网络,但在建设网络的过程中,由于对网络安全认识不够重视,网络安全隐患不免存在,致使机密数据会随时泄露、甚至全网处于瘫痪而不能工作,因此网络安全是我们所面临的亟待解决的一个刻不容缓的问题。
1 网络安全的定义
网络安全从本质上来说就是网络信息的安全。从概念上来看,网络和安全是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性,而安全则要尽可能地实现一台计算机的封闭性。因此,在现实中,计算机网络的安全性,实际上是在二者中寻找到一个平衡点,一个可以让所有用户都可能接受的平衡点。
总的来说,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会因为偶然或恶意的原因而遭到破坏、更改、泄露,系统能连续、可靠、正常地运行,网络服务不中断。
2 网络安全面临的威胁
网络在推动社会迅猛发展的同时,也产生了一些新的问题,即网络安全面临的威胁也应运而生,如站点被攻击、计算机病毒、信用卡被盗、拒绝服务攻击等等,使网络面临极大的挑战。下面通过两个用户小王和小李在计算机网络上的通信来考察计算机网络面临的威胁。如图1所示。
图1对网路的主动攻击和被动攻击
截获:当小王通过网络与小李通信时,如果不采取任何保密措施,那么别人就很有可能偷听到他们的通信内容。
中断:当用户正在通信时,有些故意破坏者可中断他们的通信,从而发送的信息到达不了目的站。
篡改:当用户正在通信时,有些故意破坏者可从中改写他们的通信内容,从而使发送的信息不能准确地到达目的站。
伪造:当用户正在通信时,有些故意破坏者可从中伪造他们的通信内容,从而使发送的信息不能准确地到达目的站。如我们可以通过电话通信,利用声音来确认对方。而用计算机通信时,如在小王的屏幕上显示出“我是小李”时,小王就不能确定对方是小李还是其他人。
以上四种对计算机网络的威胁可划分为两大类[4],即主动攻击和被动攻击。在上述情况中,更改信息和拒绝用户使用资源的攻击称为主动攻击,而截获信息的攻击称为被动攻击。主动攻击指攻击者对某个连接中通过的数据单元进行各种处理。如有选择地更改、删除、延迟这些数据单元。 甚至还可以将伪造的、篡改的数据单元送入到一个连接中去。还有一种特殊的主动攻击就是恶意程序的攻击。被动攻击是指观察通过某一个协议数据单元而不干扰信息流。也就是说这些数据对攻击者来说是不容易理解的,他也可以借助数据单元的协议控制信息部分,查明正在通信的协议实体的地址和身份,分析数据单元的长度和传输的频度,以便理解所通信的确切含义。
计算机网络安全的威胁不仅仅来自上面的几种。总的来说,主要包含以下几个方面[3]:
1)信息泄露或丢失威胁
它是指敏感性的或保密性的数据中有意或无意中被泄露或丢失,常常表现为数据在传输中丢失或泄露。如黑客常常利用电磁泄漏或搭线窃听等方式截取重要数据信息等。
2)数据完整性破坏威胁
数据完整性破坏是指用不正当的手段获得对数据的使用权,对数据进行未授权的创建、修改或破坏,使数据的一致性遭到破坏。
3)拒绝服务威胁
拒绝服务是指不断对计算机网络服务系统进行干扰,更改其正常的作业流程,执行无关的程序,使得本系统的运行速度变慢甚至瘫痪,从而影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到所请求的服务。
4)非授权防问威胁
非授权防问是指没有预先经过同意就使用计算机网络或计算机网络资源被看作是非授权访问。非授权访问主要有假冒身份攻击、非法用户进入计算机网络系统进行违法操作、合法用户以未授权方式进行操作等形式。
5)特洛伊木马威胁
计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。造成数据丢失和泄露。
6)系统安全威胁
系统安全常常是指计算机网络操作系统的安全。因为操作系统本身存在安全漏洞,所以操作系统如果没有采用相应的安全配置,就会漏洞百出。
7)病毒威胁
病毒是恶意破坏系统和应用程序的代码或程序,可以自动在网络中进行多种方式的传播。
8)暗门威胁
暗门又称后门,指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。
9)盗用密码威胁
通常有两种方式:一种方式是因为用户不小心密码被他人“发现”了。而“发现”的方法一般是“猜测”。另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统。
10)内外部泄密威胁
内外部泄密的可能原因有操作员使用不当,安全配置不规范造成的安全漏洞,用户安全意识不强,设置的用户口令过于简单,将自己的帐号随意告诉他人,与其他人共享某些机密信息等。这些都有可能带来很大的危害,造成企业机密数据丢失,使得企业遭受巨大的经济损失。
11)重演威胁
指截获并录制信息,然后在必要的时候重发或反复发送这些信息。
12)其他威胁
对网络安全的威胁还包括软硬件故障的威胁、各种自然灾害的威胁等等。
当前,计算机网络安全所面临的威胁越来越严俊,而且一些威胁体现的形式也越来越多样化。因此,充分地而又正确地认识计算机网络安全存在的威胁,积极采取防范策略,对于保护信息和计算机网络免遭破坏是非常有必要的。
3 网络安全的防范策略
在计算机网络中可以综合运用下面这些防范策略[3]来应对上面的威胁。
1)隔离及访问控制策略
首先要有严格的管理制度,可制定如“用户授权实施规则”、“口令及账户管理规范”、“权限管理制度”、“安全责任制度”等一系列的规章守则。其次可以通过划分虚拟子网,实施较为粗略的访问控制。内部办公自动化网络可以根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问的。
2)数据加密策略
所谓加密是指将数据信息(即明文)转换为不可识别的形式(即密文)的过程,目的是使不应该了解该数据信息的人不能够知道或识别。在计算机网络中,采用加密技术将真正要通信的信息隐藏起来,再将隐藏后的信息传输出去,这样信息在传输的过程中即使被窃取或截获,窃取者也不能了解信息的内涵,从而保证信息传输的安全。
3)防火墙策略
防火墙是用来连接两个网络并控制两个网络之间相互访问的系统,它包括用于网络连接的软件和硬件以及控制访问的方案。防火墙系统的主要目标是对进出的所有数据进行分析,并对用户进行认证,从而防止有害信息进入受保护的网络系统,为网络提供安全保障。 防火墙本身是一种隔离技术,用来防止不希望的、未授权的通信进入被保护的网络。
4)身份认证策略
身份认证是指判断一个网络实体是否是其所声称身份的过程。在开发的网络环境中,服务提供者需要通过身份鉴别技术判断提出服务申请的网络实体是否拥有其所声称的身份。
5)网络安全扫描策略
网络安全扫描是为使系统中存在的安全漏洞,并采取相应的防范措施,从而降低系统的安全风险而发展起来的一种安全技术。
6)防病毒策略
防病毒就是采用各种有效的手段对病毒进行预防、检测和清除,将病毒危害程度降到最低,保证计算机网络能够长期安全而又稳定地运行。
防病毒的主要策略如下:①安装杀毒软件,经常定期的检测计算机;②及时对各种文件作备份;③对外来磁盘、光盘等进行杀毒处理;④避免浏览非法网页;⑤对电子邮件提高警惕,对来历不明的邮件不要轻易打开。
7)入侵检测策略
入侵检测是指“通过对行为、安全日志、审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。它是一种主动保护自己免受攻击的网络安全技术,能实现对网络的安全监视,是防火墙的合理补充,能够帮助系统应对网络攻击,扩展了系统管理员的安全管理能力。进行入侵检测的软件与硬件的组合便是入侵检测系统。
8)黑客诱骗策略
黑客诱骗技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐系统,其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已经处于系统的监视之中。同时管理人员可以通过记录下的信息还可以作为对黑客起诉的证据。
9)网络备份系统策略
为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息,人们引入了备份系统。根据系统安全需求可以选择的备份机制有:场地内高速大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提之一。
4 网络安全的目标
鉴于上面的网络威胁的多样性、复杂性及信息的重要性等等,可以看出网络系统安全的七项安全目标:合法性、保密性、可用性、可审查性、可控性、完整性和不可否认性。
合法性:每个想获得访问的实体都必须经过鉴别或身份验证。
保密性:确保信息不暴露给未授权的实体或进程。
可用性:得到授权的实体在需要时可访问数据。
可审查性:对出现的网络安全问题提供调查的依据和手段。
可控性:可以控制授权范围内的信息流向及行为方式。
完整性:只有得到允许的人才能修改数据,并且能够判断出数据是否已被篡改。
不可否认性:也称不可抵赖性,是确保发送消息的人不能否认其所发过的消息。
5 结束语
在计算机网络日益发展的今天,网络的安全性问题已经引起了公众的高度重视,因此,必须清醒地认识对于达到整个的Internet网,小到局域网,都存在着来自网络内部和外部的威胁。要使网络有序安全地运行,必须加强网络的使用方法、网络安全与道德教育,提升网络安全防范策略,不断地健全相关的规章制度,明确网络安全的目标,才能使计算机网络更好地服务于社会。
参考文献:
[1] 张红旗.信息网络安全[M].北京:清华大学出版社,2003.
[2] 宋红,吴建军.岳俊梅.计算机安全技术[M].北京:中国铁道出版社,2003.
[3] 张苗,肖乐.局域网组建、管理与维护 [M].长沙:国防科技大学出版社,2009.
[4] 王风茂,张学军.计算机网络技术[M].北京:大连理工出版社,2009.
[5] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
[6] 杨波.网络安全理论与应用[M].北京:电子工业出版社,2003.
[7] 梁亚声.计算机网络安全技术[M].北京:机械工业出版社,2004.