1、題目淺談計算機網絡系統安全技術及防護隨著Internet技術發展,計算機網絡正在逐步改變人們的生產、生活及工作方式。在計算機網絡迅速普及的過程中,計算機安全隱患日益變得突出。這就要求我們必須采取強有力的措施來保證計算機網絡的安全,本文對計算機網絡安全技術進行了初步探討與分析。計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。但是由于計算機網絡具有開放性、共享性、國際性的特點,使其比較脆弱。為了解決這個問題,現在人們主要針對數據加密技術、身份認證、防火墻、管理等方面進行了研究。一、網絡的安全定義:安全包括五個基本要素:機密性、完整性、可用

2、性、可控性與可審查性。機密性:確保信息不暴露給未授權的實體或進程。完整性:只有得到允許的人才能修改數據,并且能夠判別出數據是否可用性。可控性:可以控制授權范圍內的信息流向及行為方式。可審查性:對出現的網絡安全問題提供調查的依據和手段。二、現在計算機面臨威脅主要表現在以下幾個方面。1. 內部竊密和破壞。內部人員可能對網絡系統形成下列威脅:內部涉密人員有意或無意泄密、更改記錄信息;內部非授權人員有意無意偷竊機密信息、更改網絡配置和記錄信息;內部人員破壞網絡系統。2.非法訪問。非法訪問指的是未經授使用網絡資源或以未授權的方式使用網絡資源,它包括非法用戶如黑客進入網絡或系統進行違法操作,合法用戶以未授

3、權的方式進行操作。3.破壞信息的完整性。攻擊可能從三個方面破壞信息的完整性:改變信息流的次序、時序,更改信息的內容、形式;刪除某個消息或消息的某些部分;在消息中插入一些信息,讓收方讀不懂或接收錯誤的信息。4.截收。攻擊者可能通過搭線或在電磁波輻射的范圍內安裝截收裝置等方式,截獲機密信息,或通過對信息流和流向、通信頻度和長度等參數的分析,推出有用信息。它不破壞傳輸信息的內容,不易被查覺。5.冒充。攻擊者可能進行下列冒充:冒充領導發布命令、調閱文件;冒充主機欺騙合法主機及合法用戶;冒充網絡控制程序套取或修改使用權限、口令、密鑰等信息,越權使用網絡設備和資源;接管合法用戶、欺騙系統、占用合法用戶的資

4、源。6.破壞系統的可用性。攻擊者可能從下列幾個方面破壞網絡系統的可用性:使合法用戶不能正常訪問網絡資源;使有嚴格時間要求的服務不能及時得到響應;摧毀系統。7.重演。重演指的是攻擊者截獲并錄制信息,然后在必要的時候重發或反復發送這些信息。8.抵賴。可能出現下列抵賴行為:發信者事后否認曾經發送過某條消息;發信者事后否認曾經發送過某條消息的內容;發信者事后否認曾經接收過某條消息;發信者事后否認曾經接收過某條消息的內容。9.其它威脅。對網絡系統的威脅還包括計算機病毒、電磁泄漏、各種災害、操作失誤等。三、網絡安全分析網絡與信息安全指的是按照網絡的結構特點,通過從不同的網絡層次、不同的系統應用,采取不同的

5、措施,進行完善和防御,是一個立體的體系結構,涉及多個方面內容。通過對網絡體系結構的全面了解,按照安全風險、需求分析結果、安全策略以及網絡的安全目標。具體的安全控制系統從以下幾個方面分述:物理安全、網絡安全、應用安全、安全管理。(1物理安全。網絡的物理安全是整個網絡系統安全的保障和前提。由于網絡系統屬于弱電工程,耐壓值很低。因此,在網絡工程的設計中,必須優先考慮網絡設備不受電、火災、雷擊等自然災害的侵蝕。總體來說物理安全風險主要有地震、水災、火災、雷電等環境事故,因此要盡量避免網絡的物理安全風險對計算機造成傷害。(2網絡結構安全。網絡拓撲結構設計是否合理也是影響網絡系統的安全性的因素。假如進行外

6、部和內部網絡通信時,內部網絡計算機安全就會受到威脅,同時對同一網絡上的其他系統也有影響。影響所及還可能涉及法律、金融、政府等安全敏感領域。因此,在網絡設計時有必要將公開服務器(WEB、DNS、EMAIL等和外網進行必要的隔離,避免網絡結構信息外泄。還要對外網的服務器加以過濾,只允許正常通信的數據包到達相應主機。(3系統安全。系統安全是指整個網絡操作系統和網絡硬件平臺的構建是否可靠且值得信任。然而目前沒有絕對安全的操作系統,無論是WindowsNT、VISTA、XP或者其它任何商用UNIX操作系統,用戶在不同的使用途徑下都會使其產生系統漏洞。因此不同的用戶應從不同的方面對其網絡作詳盡的分析,在選

7、擇操作系統時要周密的對其進行安全設置。不但要選用盡可能可靠的操作系統和硬件,并對操作系統進行安全配置,且必須加強登錄過程的用戶認證以確保用戶的合法性。(4網絡安全。網絡安全主要指網絡中通信基礎協議、操作系統和應用系統等可用性以及使用合法性的保證。例如網絡阻塞防護、非法入侵防護、計算機病毒防護等。系統安全保障的核心技術包括身份認證、授權管理、日志審計、系統漏洞檢測、防病毒、入侵防護等一系列技術,其中完整的入侵防護技術主要包括入侵防范、入侵檢測、事件響應、系統恢復等過程。網絡安全主要指網絡信息的安全性,包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密與完整性、遠程接入、域名系統、路由系統的安

8、全,入侵檢測的手段等。(5應用安全內部資源共享安全嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄,否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶,在共享時也必須加上必要的口令認證機制,即只有通過口令的認證才允許訪問數據。信息存儲對有涉及企業秘密信息的用戶主機,使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份。(6管理安全風險。管理也是網絡中安全系統的重要部分。責權不明和安全管理制度不健全等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它安全威脅行為時,計算機就無法進行實時檢測

9、、監控和保護。當安全事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即對網絡的可控性出現缺失。這就要求相關人員必須對站點的訪問活動進行多次、詳盡的記錄,以及時發現威脅行為。(7安全管理。僅有安全技術防范,而無嚴格的安全管理體系相配套,難以保障網絡系統安全。必須制定一系列安全管理制度,對安全技術和安全設施進行管理。實現安全管理應遵循以下幾個原則:可操作性、全局性、動態性、管理與技術的有機結合、責權分明、分權制約、安全管理的制度化。具體工作是:制定健全的安全管理體制制定健全的安全管理體制將是網絡安全得以實現的重要保證,可以根據自身的實際情況,制定如安全操作流程、安全事故的獎罰制度以及對任命

10、安全管理人員的考查等。制訂和完善安全管理制度根據從事工作的重要程度,確定安全管理的范圍,制定安全管理制度,對操作人員進行約束和管理。對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記系統,采用磁卡、身份卡等手段,對人員進行識別、登記管理。制訂和完善系統維護制度對系統進行維護時,應采取數據保護措施,如數據備份等。維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。制訂應急措施當網絡安全事故發生時,啟動應急措施,盡快恢復系統運行,使損失減至最小。增強人員的安全防范意識應該經常對單位員工進行網絡安全防范意識的培訓,全面提高員工的整體網絡安全防范意識。(8構建CA體系。針對信息的安全性、完整性、正確性和不可否認性等問題。目前國際上先進的方法是采用信息加密技術、數字簽名技術,具體實現的辦法是使用數字證書,通過數字證書把證