谈计算机网络安全

2014-12-16 23:07闫可新
2014年32期

作者简介:闫可新(1992.10-),女,汉族,黑龙江佳木斯人。学历:本科,单位:齐齐哈尔工程学院,研究方向:计算机。

摘要:计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。网络上的敏感信息和保密数据经常受到各种各样的攻击,如信息泄露、信息窃取、数据篡改、数据增删及计算机病毒感染等。随着计算机资源共享的进一步加强,随之而来的网络安全问题也日益突出。

关键词:计算机安全概念;网络安全策略;网络安全措施

一、计算机安全概念

安全,通常是指这样一种机制:只有被授权的人才能使用其相应的资源。当前,国际上对于计算机安全的定义并没有形成一个统一的说法。在我国,计算机安全指的是计算机系统的硬件、软件数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常工作。

1.实体安全。实体安全又称物理安全,主要是指构成计算机的物理实体出现问题导致的信息泄露,如主机、信息存储设备等的损坏。所以为了保护计算机信息的安全,要特别注重对物理实体的安全保护,做好各方面的防范措施,如机体维护、机房安全管理等。

2.系统安全。指系统本身安全不足、未授权的存取、越权使用、保证文件系统的完整性。

3.信息安全。信息安全是指保障信息不会被非法阅读、修改和泄露,它包含了软件安全和数据安全两个方面。信息泄露和信息破坏信息安全面临的两种威胁。

二、网络安全策略

随着网络技术和应用的迅速发展,人们对系统安全也提出了新的要求。主要有以下几个方面。

1.保密性、完整性、可用性、身份认证、不可抵赖性、安全协议的设计、存取控制。要保证计算机系统的安全,首先要确立保证安全的策略,做到以预防为主,消除隐患。网络安全策略的一般性原则:综合分析网络风险任何网络都难以达到绝对安全。对一个网络的各种风险、潜在的危害、威胁、系统易受到攻击的脆弱性等进行定性与定量分析,在此基础上制定有关规范和措施,确定系统的安全策略。系统性原则一个好的安全措施应该是多种方法综合应用的结果。计算机网络包括用户、硬件、软件、数据等多个环节,要用系统工程的观点和方法综合分析这些环节在网络安全中的地位、影响及作用,才可能获得有效、可行的措施。易操作性原则制定的各项网络安全措施应该易于操作。如果措施过于复杂,对具体操作人员要求过高,反而会降低安全性。而且,使用的各种安全措施也不能影响系统的正常运行。灵活性原则任何一个网络都不会是一成不变的。各项网络安全措施应该能够随着网络性能及安全需求的变化而变化,要具有一定的适应性,易于修改。技术与制度在采用各种技术手段保护网络安全的同时,还要制定网络用户应遵守的网络使用制度与方法。只有将两方面相结合才能有效地保护网络资源的安全。

2.制定网络安全策略的方法。在制定网络安全策略时有两种不同的逻辑方式:

1)凡是没有明确表示允许的就要被禁止。

2)凡是没有明确表示禁止的就要被允许。

3.网络安全策略的层次结构

网络系统的安全策略是对局部网络实施的分层次、多级别的,包括入侵检测、实时告警和修复等应急反应功能的实时系统策略。

三、网络安全措施

网络的主要安全措施包括:物理访问控制、逻辑访问控制、组织控制、人员控制、操作控制、应用程序开发控制、服务控制、工作站控制、数据传输保护等。

1.网络服务器的安全措施:口令管理、用户权限、文件/目录的访问控制、系统配置。

2.网络通信安全措施。有两种方式可以提供安全通信:

(1)建立物理安全的传输介质。例如在网络中使用光线传送数据可以防止信息被窃取,因为任何对光纤的直接插入都可以被检测出来,而且因为没有电磁辐射而不能通过电磁感应窃取数据。

(2)对传输数据进行加密。保密数据在进行数据通信是应加密,包括链路加密和端到端加密。对传输数据进行加密的算法,例如RSA公用密钥算法。加密文件和公用密钥一起构成“数据信封”,只有接受方的专用密钥才能打开。

3.设置防火墙

防火墙是是互联网上的首要安全技术,也是目前防范非法入侵互联网的有效方式。防火墙在开放与封闭的界面上构造了一个保护层,以防止不可预料的、潜在的破坏侵入网络,很好的保障了网络安全。在网络的边界设置防火墙,还可减轻网络中其他主机安全防范的负担。当然防火墙并不能完全保障网络安全不会受到外部威胁,但它可以起到保护隔离的作用。

4.拨号网络安全管理

拨号网络的用户存在着不确定性和广泛性的特点,因此,拨号功能的加入会影响并降低网络的安全性。可以通过以下措施进行网络安全性的管理:(1)授权用户的身份确认,可在路由器或登录服务器上采用用户及口令验证对用户的合法身份加以确认。(2)反向拨号。采用反向拨号等方法来检验用户的真是身份。

5.安全审计

审计是网络安全的一项重要内容,应该在网络服务器中为网络系统中为网络系统中的各种服务项目设置审计日志。经常整理日志的内容可以发现异常,这是防范网络被非法侵入的基本手段之一。要根据网络的规模和安全的需要来确定审计日志的检查方式、检查时间等。在检查中要特别注意那些违反安全性和一致性的内容,例如不成功的登录、未授权的访问或操作、网络挂起、长期不登录的用户、具有相同的用户名和用户密码的用户、脱离连接及其他规定的动作等。

对于大型网络设备或服务器,如果审计日志的信息量很大,還应该制定审计日志数据的维护和备份方法。

6.检查系统进程。对系统进程不定时地做检查,可以对服务失败的情况做到及时发现和掌握,而且还有助于发现攻击者是值得“特洛伊木马”等。

7.物理设备安全与人员安全措施

物理安全性包括机房的安全、网络设备(包括服务器、工作站、通信线路、路由器、网桥、磁盘、打印机等)的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑之外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施。加强网络管理人员的自身管理,限制特权用户的人数,明确管理人员各自的职能和级别权限。加强网络用户的网络安全意识教育,使用户在使用网络时能够主动参与到网络安全管理当中。

8.设置陷阱和诱饵

防范网络非法侵入可分为主动方式和被动方式。在被动方式下,当系统安全管理员发现网络安全遭到破坏时,应立即制止非法侵入活动并将入侵者驱逐出去,即使恢复网络的正常工作状态,尽量减少网络可能遭受的危害。

当系统的安全防范能力较强时可采用主动方式:在保证网络资源及各项网络服务不受损害的基础上,让非法入侵者继续活动,追踪入侵者并检测入侵者的来源、目的、非法访问的网络资源等,以取得可追究其责任的证据,减少今后的威胁。但要注意的是,只有当具备有较强的技术力量和经济力量时,才可以从事安全追踪工作。(作者单位:齐齐哈尔工程学院)

参考文献:

[1]谢希仁.计算机网络教程[M].北京:人民邮电出版社,2006.

[2]黄海军,芦芝萍.三层交换的计算机网络实验的实现[J].实验研究与探索,2003(3).

[3]宋西军.计算机网络安全技术[M].北京大学出版社.

[4]王健.网络互联与系统集成[M].电子工业出版社.