网络安全与维护
摘要:随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络安全问题必须放在首位。本文介绍了计算机网络安全的内容及其维护措施。给计算机网络工作人员有一定的帮助。
关键字:计算机网络 安全 维护
Abstract:Along with the time development, Internet popularizes day by day, the network already became the sea of the information resource。It has brought enormous convenient to the people。But because Internet is open, does not have the control mechanism 。So the network may receive the computer virus and hacker’s attack frequently. It may cause the computer and the computer network data and the document loses, system paralysis. Therefore, the computer network system security problem must place the first place. This article introduced the computer system security content and its maintenance measure. The computer network staff may get something from it.
Keywords:Computer network System safe Maintenance Management
1、计算机网络安全概述
计算机网络安全主要包括三个方面的内容:安全性、保密性、完整性。从系统安全的内容出发,计算机网络系统中安全机制基本的任务是访问控制:即授权、确定访问权限、实施访问权限、计算机网络审计跟踪。
1.计算机网络系统的安全性。它主要是指内部与外部安全。内部安全是在系统的软件、硬件及周围的设施中实现的。外部安全主要是人事安全,是对某人参与计算机网络系统工作和这位工作人员接触到的敏感信息是否值得信赖的一种审查过程。
2.计算机网络系统保密性。加密是对传输过程中的数据进行保护的重要方法,又是对存储在各种媒体上的数据加以保护的一种有效的手段。系统安全是我们的最终目标,而加密是实现这一目标的有效的手段。
3.计算机网络系统的完整性。完整性技术是保护计算机网络系统内软件(程序)与数据不被非法删改的一种技术手段,它可分为数据完整性和软件完整性。
4.计算机网络安全访问控制。(1)授权:决定哪个主体有资格访问哪个客体。(2)确定访问权限:决定是否有权读、写、运行、删除以及附着。(3)实施访问权限:在一个计算机网络系统中,访问控制权指本系统内主体对客体的访问控制,不涉及访问本系统。
5.计算机网络审计跟踪。在一个计算机网络系统中,审计跟踪对使用何种系统资源、使用时间、如何使用以及由哪个用户使用等问题提供了一个完备的纪录,以备非法事件发生后能够有效追查。它是在用户进人系统进行各种操作时自动进行的。
2、影响计算机网络系统安全的因素
2.1.自然因素:
2.1.1软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:
2.1.2、协议漏洞
例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。
2.1.3、缓冲区溢出
很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。
2.1.4、口令攻击
例如,U nix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。
2.1.5 病毒攻击
因为企业网络同样也是连接在互联网上的一个网络,所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工”并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝服务攻击。
2.2人为因素
2.2.1操作失误
操作员安全配置不当造成的安全漏洞,用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络安全己不构成主要威胁。
2.2.2恶意攻击
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。
3、计算机网络系统安全维护策略
一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性等特点。计算机网络安全保护的重点应在以下两个方面:一是计算机病毒,二是黑客的入侵。
3.1.计算机病毒的防御
防御计算机病毒应该从两个方面着手,首先应该加强内部网络管理人员以及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下:
1.权限设置,口令控制
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。
2 .简易安装,集中管理
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
3.实时杀毒,报警隔离
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,LAN服务器,服务器上的网关,Internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒,势必会在LAN上蔓延,而服务器具有了防毒功能,病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉,当在网络中任何一台工作站或服务器上发现病毒时,它都会立即报警通知网络管理员。
4.以网为本,多层防御
网络防毒不同于单机防毒。计算机网络是一个开放的系统,它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒,一旦上网仍会被病毒感染,它是不能在网络上彻底有效地查杀病毒,确保系统安全的。所以网络防毒一定要以网为本,从网络系统和角度重新设计防毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。
3.2 对黑客攻击的防御
对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略,方法如下:
防火墙构成了系统对外防御的第一道防线。在这里,防火墙是一个小型的防御系统,用来隔离被保护的内部网络,明确定义网络的边界和服务,同时完成授权、访问控制以及安全审计的功能。基本的防火墙技术有以下几种:
1.包过滤路由器
路由器的一个主要功能足转发分组,使之离目的更近。为了转发分组,路由器从IP报头读取目的地址,应用基于表格的路由算法安排分组的出口。过滤路由器在一般路由器的基础上增加了一些新的安全控制功能。绝人多数防火墙系统在它们的体系结构中含了这些路由器,但只足以一种相当随意的方式来允许或禁止通过它的分组,因此它并不能做成一个完整的解决方案。
2.双宿网关
一个双宿网关足一个具有两个网络界面的主机,每个网络界面与它所对应的网络进行了通信。它具有路由器的作用。
通常情况下,应用层网关或代理双宿网关下,他们传递的信息经常是对一特定服务的请求或者对一特定服务的响应。如果认为消息是安全的,那么代理会将消息转发相应的主机上。用户只能够使用代理服务器支持的服务。
3.过滤主机网关
一个过滤主机网关是由一个双宿网关和一个过滤路由器组成的。防火墙的配置包括一个位于内部网络下的堡垒主机和一个位于堡垒主机和INTERNET之间的过滤路由器。这个系统结构的第一个安全设施是过滤路由器,它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。对到来的信息流而言,由于先要经过过滤路由器的过滤,过滤后的信息流被转发到堡垒主机上,然后由堡垒主机下的应用服务代理对这此信息流进行了分析并将合法的信息流转发到内部网络的主机上;外出的信息首先经过堡垒主机下的应用服务代理的检查,然后被转发到过滤路由器,然后有过滤路由器将其转发到外部网络上。
4.过滤子网网关
一个安全的过滤子网建立在内部网络与INTERNET之间,这个子网的入口通常是一个堡垒主机,分组过滤器通常位于子网与INTERNET之间以及内部网络与子网之间。
分组过滤器通过出入信息流的过滤起到了子网与内部网络和外部网络的缓冲作用。堡垒主机上的代理提供了对外网络的交互访问。在过滤路由器过滤掉所有不能识别或禁止通过的信息流后,将其他信息流转发到堡垒主机上,由其上的代理仔细进行检查。
所以,可以根据实际情况,单独或者结合使用以上防火墙技术来构筑第一道防线。
但是防火墙并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
3.3 世界各国对网络威胁采取的主要对策
鉴于当前世界网络面临如此多的安全隐患,世界各国均十分重视,纷纷采取对策。
1.美国的网络安全建设
1998年5月22日,美国政府颁发了《保护美国关键基础设施》总统令(PDD-63),围绕“信息保障”成立了多个组织,其中包括全国信息保障委员会、全国信息保障同盟、关键基础设施保障办公室、首席信息官委员会、联邦计算机事件响应能动组等10多个全国性机构。1998年美国国家安全局(NSA)又制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略目标2000年1月,美国又发布了《保卫美国的计算机空间──保护信息系统的国家计划》。该计划分析了美国关键基础设施所面临的威胁,确定了计划的目标和范围,制定出联邦政府关键基础设施保护计划(其中包括民用机构的基础设施保护方案和国防部基础设施保护计划)以及私营部门、州和地方政府的关键基础设施保障框架。
2.俄罗斯的网络安全建设
1995年颁布了《联邦信息、信息化和信息保护法》,1997年出台的《俄罗斯国家安全构想》,2000年普京总统批准了《国家信息安全学说》,为提供高效益、高质量的信息保障创造条件,明确界定了信息资源开放和保密的范畴,提出了保护信息的法律责任;明确提出:“保障国家安全应把保障经济安全放在第一位”,而“信息安全又是经济安全的重中之重”;明确了联邦信息安全建设的目的、任务、原则和主要内容。第一次明确指出了俄罗斯在信息领域的利益是什么、受到的威胁是什么以及为确保信息安全首先要采取的措施等。
3我国面对网络威胁采取的主要对策
(1)加强对网络信息安全的重视
国家有关部门建立了相应的机构,发布了有关的法规,以加强对网络信息安全的管理。2000年1月,国家保密局发布的《计算机信息系统国际联网保密管理规定》已开始实施;2000年3月,中国国家信息安全测评认证中心计算机测评中心宣告成立;2000年4月,公安部发布了《计算机病毒防治管理办法》;2000年7月,我国第一个国家信息安全产业基地在四川省成都高新技术产业开发区奠基;2000年10月,信息产业部成立了网络安全应急协调小组,国家计算机网络与信息安全管理工作办公室主办了“计算机网络应急工作企业级研讨会”,这一切都反映出我国对计算机网络与信息安全的高度重视,以及努力推动我国信息安全产业发展、提高我国信息安全技术水平的决心。
(2)强化信息网络安全保障体系建设
在十六大会议上,江{学}泽{海}民同志指出:“信息化是我国加快实现工业化和现代化的必然选择,坚持以信息化带动工业化,以工业化促进信息化,走出一条科技含量高的路子大力推进信息化”。中央保密委员会、最高人民检察院也多次在2003年发文要求做好信息保密工作,切实防范外来的侵害和网络化带来业务的泄密,明确规定“计算机信息系统,不得与公网、国际互联网直接或间接的连接”,如要相连,“必须采取物理隔离的保密防范措施”。
四、结束语
计算机网络的安全与我们自己的利益息息相关,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,网络管理人员要掌握最先进的技术,把握住计算机网络安全的大门。
参考文献
[1]宋培义.广播电视网络技术[M].
[2] 蒋 错.最新电脑故津排除[M].
[3]钱 蓉.黑客行为与网络安全.[M].电力机车技术,2002.
[4]关义章,戴宗坤.信息系统安全工程学[M].四川大学信息安全研究所,2002
[5]郭军.网络管理.[M].北京:北京邮电大学出版社,2001
[6]蔡立军.计算机网络安全技术[M].中国水利水电出版社 , 2002
[7]余建斌.黑客的攻击手段及用户对策[M].北京人民邮电出版社, 1998
