題目 淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)及防護(hù)-

1、題目淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)及防護(hù)隨著Internet技術(shù)發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)正在逐步改變?nèi)藗兊纳a(chǎn)、生活及工作方式。在計(jì)算機(jī)網(wǎng)絡(luò)迅速普及的過(guò)程中,計(jì)算機(jī)安全隱患日益變得突出。這就要求我們必須采取強(qiáng)有力的措施來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)的安全,本文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)進(jìn)行了初步探討與分析。計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個(gè)網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。但是由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、共享性、國(guó)際性的特點(diǎn),使其比較脆弱。為了解決這個(gè)問(wèn)題,現(xiàn)在人們主要針對(duì)數(shù)據(jù)加密技術(shù)、身份認(rèn)證、防火墻、管理等方面進(jìn)行了研究。一、網(wǎng)絡(luò)的安全定義:安全包括五個(gè)基本要素:機(jī)密性、完整性、可用

2、性、可控性與可審查性。機(jī)密性:確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程。完整性:只有得到允許的人才能修改數(shù)據(jù),并且能夠判別出數(shù)據(jù)是否可用性?？煽匦?可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。可審查性:對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。二、現(xiàn)在計(jì)算機(jī)面臨威脅主要表現(xiàn)在以下幾個(gè)方面。1. 內(nèi)部竊密和破壞。內(nèi)部人員可能對(duì)網(wǎng)絡(luò)系統(tǒng)形成下列威脅:內(nèi)部涉密人員有意或無(wú)意泄密、更改記錄信息;內(nèi)部非授權(quán)人員有意無(wú)意偷竊機(jī)密信息、更改網(wǎng)絡(luò)配置和記錄信息;內(nèi)部人員破壞網(wǎng)絡(luò)系統(tǒng)。2.非法訪(fǎng)問(wèn)。非法訪(fǎng)問(wèn)指的是未經(jīng)授使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,它包括非法用戶(hù)如黑客進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作,合法用戶(hù)以未授

3、權(quán)的方式進(jìn)行操作。3.破壞信息的完整性。攻擊可能從三個(gè)方面破壞信息的完整性:改變信息流的次序、時(shí)序,更改信息的內(nèi)容、形式;刪除某個(gè)消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯(cuò)誤的信息。4.截收。攻擊者可能通過(guò)搭線(xiàn)或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式,截獲機(jī)密信息,或通過(guò)對(duì)信息流和流向、通信頻度和長(zhǎng)度等參數(shù)的分析,推出有用信息。它不破壞傳輸信息的內(nèi)容,不易被查覺(jué)。5.冒充。攻擊者可能進(jìn)行下列冒充:冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱文件;冒充主機(jī)欺騙合法主機(jī)及合法用戶(hù);冒充網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、口令、密鑰等信息,越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源;接管合法用戶(hù)、欺騙系統(tǒng)、占用合法用戶(hù)的資

4、源。6.破壞系統(tǒng)的可用性。攻擊者可能從下列幾個(gè)方面破壞網(wǎng)絡(luò)系統(tǒng)的可用性:使合法用戶(hù)不能正常訪(fǎng)問(wèn)網(wǎng)絡(luò)資源;使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng);摧毀系統(tǒng)。7.重演。重演指的是攻擊者截獲并錄制信息,然后在必要的時(shí)候重發(fā)或反復(fù)發(fā)送這些信息。8.抵賴(lài)?？赡艹霈F(xiàn)下列抵賴(lài)行為:發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息;發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條消息的內(nèi)容;發(fā)信者事后否認(rèn)曾經(jīng)接收過(guò)某條消息;發(fā)信者事后否認(rèn)曾經(jīng)接收過(guò)某條消息的內(nèi)容。9.其它威脅。對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅還包括計(jì)算機(jī)病毒、電磁泄漏、各種災(zāi)害、操作失誤等。三、網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)與信息安全指的是按照網(wǎng)絡(luò)的結(jié)構(gòu)特點(diǎn),通過(guò)從不同的網(wǎng)絡(luò)層次、不同的系統(tǒng)應(yīng)用,采取不同的

5、措施,進(jìn)行完善和防御,是一個(gè)立體的體系結(jié)構(gòu),涉及多個(gè)方面內(nèi)容。通過(guò)對(duì)網(wǎng)絡(luò)體系結(jié)構(gòu)的全面了解,按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo)。具體的安全控制系統(tǒng)從以下幾個(gè)方面分述:物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、安全管理。(1物理安全。網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的保障和前提。由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程,耐壓值很低。因此,在網(wǎng)絡(luò)工程的設(shè)計(jì)中,必須優(yōu)先考慮網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)、雷擊等自然災(zāi)害的侵蝕?？傮w來(lái)說(shuō)物理安全風(fēng)險(xiǎn)主要有地震、水災(zāi)、火災(zāi)、雷電等環(huán)境事故,因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)對(duì)計(jì)算機(jī)造成傷害。(2網(wǎng)絡(luò)結(jié)構(gòu)安全。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)是否合理也是影響網(wǎng)絡(luò)系統(tǒng)的安全性的因素。假如進(jìn)行外

6、部和內(nèi)部網(wǎng)絡(luò)通信時(shí),內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)安全就會(huì)受到威脅,同時(shí)對(duì)同一網(wǎng)絡(luò)上的其他系統(tǒng)也有影響。影響所及還可能涉及法律、金融、政府等安全敏感領(lǐng)域。因此,在網(wǎng)絡(luò)設(shè)計(jì)時(shí)有必要將公開(kāi)服務(wù)器(WEB、DNS、EMAIL等和外網(wǎng)進(jìn)行必要的隔離,避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄。還要對(duì)外網(wǎng)的服務(wù)器加以過(guò)濾,只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)。(3系統(tǒng)安全。系統(tǒng)安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)的構(gòu)建是否可靠且值得信任。然而目前沒(méi)有絕對(duì)安全的操作系統(tǒng),無(wú)論是WindowsNT、VISTA、XP或者其它任何商用UNIX操作系統(tǒng),用戶(hù)在不同的使用途徑下都會(huì)使其產(chǎn)生系統(tǒng)漏洞。因此不同的用戶(hù)應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析,在選

7、擇操作系統(tǒng)時(shí)要周密的對(duì)其進(jìn)行安全設(shè)置。不但要選用盡可能可靠的操作系統(tǒng)和硬件,并對(duì)操作系統(tǒng)進(jìn)行安全配置,且必須加強(qiáng)登錄過(guò)程的用戶(hù)認(rèn)證以確保用戶(hù)的合法性。(4網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)中通信基礎(chǔ)協(xié)議、操作系統(tǒng)和應(yīng)用系統(tǒng)等可用性以及使用合法性的保證。例如網(wǎng)絡(luò)阻塞防護(hù)、非法入侵防護(hù)、計(jì)算機(jī)病毒防護(hù)等。系統(tǒng)安全保障的核心技術(shù)包括身份認(rèn)證、授權(quán)管理、日志審計(jì)、系統(tǒng)漏洞檢測(cè)、防病毒、入侵防護(hù)等一系列技術(shù),其中完整的入侵防護(hù)技術(shù)主要包括入侵防范、入侵檢測(cè)、事件響應(yīng)、系統(tǒng)恢復(fù)等過(guò)程。網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證,網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)控制,數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安

8、全,入侵檢測(cè)的手段等。(5應(yīng)用安全內(nèi)部資源共享安全嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開(kāi)放共享目錄,否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信息需求的用戶(hù),在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制,即只有通過(guò)口令的認(rèn)證才允許訪(fǎng)問(wèn)數(shù)據(jù)。信息存儲(chǔ)對(duì)有涉及企業(yè)秘密信息的用戶(hù)主機(jī),使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開(kāi)放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份。(6管理安全風(fēng)險(xiǎn)。管理也是網(wǎng)絡(luò)中安全系統(tǒng)的重要部分。責(zé)權(quán)不明和安全管理制度不健全等都可能引起管理安全的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它安全威脅行為時(shí),計(jì)算機(jī)就無(wú)法進(jìn)行實(shí)時(shí)檢測(cè)

9、、監(jiān)控和保護(hù)。當(dāng)安全事故發(fā)生后,也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據(jù),即對(duì)網(wǎng)絡(luò)的可控性出現(xiàn)缺失。這就要求相關(guān)人員必須對(duì)站點(diǎn)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行多次、詳盡的記錄,以及時(shí)發(fā)現(xiàn)威脅行為。(7安全管理。僅有安全技術(shù)防范,而無(wú)嚴(yán)格的安全管理體系相配套,難以保障網(wǎng)絡(luò)系統(tǒng)安全。必須制定一系列安全管理制度,對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理應(yīng)遵循以下幾個(gè)原則:可操作性、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約、安全管理的制度化。具體工作是:制定健全的安全管理體制制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證,可以根據(jù)自身的實(shí)際情況,制定如安全操作流程、安全事故的獎(jiǎng)罰制度以及對(duì)任命

10、安全管理人員的考查等。制訂和完善安全管理制度根據(jù)從事工作的重要程度,確定安全管理的范圍,制定安全管理制度,對(duì)操作人員進(jìn)行約束和管理。對(duì)于安全等級(jí)要求較高的系統(tǒng),要實(shí)行分區(qū)控制,限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng),采用磁卡、身份卡等手段,對(duì)人員進(jìn)行識(shí)別、登記管理。制訂和完善系統(tǒng)維護(hù)制度對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí),應(yīng)采取數(shù)據(jù)保護(hù)措施,如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門(mén)批準(zhǔn),并有安全管理人員在場(chǎng),故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。制訂應(yīng)急措施當(dāng)網(wǎng)絡(luò)安全事故發(fā)生時(shí),啟動(dòng)應(yīng)急措施,盡快恢復(fù)系統(tǒng)運(yùn)行,使損失減至最小。增強(qiáng)人員的安全防范意識(shí)應(yīng)該經(jīng)常對(duì)單位員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn),全面提高員工的整體網(wǎng)絡(luò)安全防范意識(shí)。(8構(gòu)建CA體系。針對(duì)信息的安全性、完整性、正確性和不可否認(rèn)性等問(wèn)題。目前國(guó)際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù),具體實(shí)現(xiàn)的辦法是使用數(shù)字證書(shū),通過(guò)數(shù)字證書(shū)把證