计算机网络安全策略

计算机网络安全策略计算机网络安全策略 【摘要】网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网 络系统安全问题。 计算机网络的安全问题越来越受到人们的重视， 本文简要的分析了计算机 网络存在的安全隐患，并探讨了计算机网络的几种安全防范措施。 总的来说，网络安全不仅 仅是技术问题，同时也是一个安全管理问题。 现今高速发展的社会已经进入了21 世纪， 而 21 世纪的重要特征就是数字化、 网络 化和信息化,这是一个以网络为核心的信息时代。In-ternet 的飞速发展给人类社会的科学 与技术带来了巨大的推动与冲击， 同时也产生了网络信息与安全的问题。 而作为计算机网络 安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不 同。因此，计算机的安全性成了人们讨论的主要话题之一。 而计算机安全主要研究的是计算 机病毒的防治和系统的安全。 在计算机网络日益扩展和普及的今天， 计算机安全的要求更高， 涉及面更广。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力， 还要提高对 远程数据传输的保密性， 避免在传输途中遭受非法窃取。 下面就计算机网络存在的安全隐患 及相关策略进行探讨分析。 （一）计算机网络存在的安全隐患分析 近年来随着 Internet 的飞速发展，计算机网络的资源共享进一步加强，随之而来的信 息安全问题日益突出。据美国 FBI 统计，美国每年网络安全问题所造成的经济损失高达 75 亿美元。 而全球平均每20 秒钟就发生一起Internet计算机侵入事件。 在 Internet/Intranet 的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来 是一对矛盾。在一个开放的网络环境中， 大量信息在网上流动， 这为不法分子提供了攻击目 标。他们利用不同的攻击手段， 获得访问或修改在网中流动的敏感信息， 闯入用户或政府部 门的计算机系统，进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其 “低成本和高收益”又在一定程度上刺激了犯罪的增长。 使得针对计算机信息系统的犯罪活 动日益增多。 一般认为， 计算机网络系统的安全威胁主要来自黑客攻击、 计算机病毒和拒绝服务攻击 三个方面。目前，人们也开始重视来自网络内部的安全威胁。 黑客攻击早在主机终端时代就 已经出现，随着 Internet 的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻 击。新的手法包括： 通过网络监听获取网上用户的帐号和密码；监听密钥分配过程，攻击密 钥管理服务器，得到密钥或认证码，从而取得合法资格；利用UNIX 操作系统提供的守护进 程的缺省帐户进行攻击， 如 TelnetDaemon、 FTPDaemon 和 RPCDaemon 等； 利用 Finger 等命令收集信息，提高自己的攻击能力；利用SendMail，采用debug、wizard 和 pipe 等进 行攻击；利用FTP，采用匿名用户访问进行攻击；利用NFS 进行攻击；通过隐藏通道进行非 法活动；突破防火墙等等。目前，已知的黑客攻击手段多达 500 余种。拒绝服务攻击是一种 破坏性攻击， 最早的拒绝服务攻击是“电子邮件炸弹”。 它的表现形式是用户在很短的时间 内收到大量无用的电子邮件， 从而影响正常业务的运行， 严重时会使系统关机、 网络瘫痪。 总而言之，对 Internet/Intranet安全构成的威胁可以分为以下若干类型：黑客入侵、 来自内部的攻击、计算机病毒的侵入、 秘密信息的泄漏和修改网络的关键数据等， 这些都可 以造成 Internet 瘫痪或引起 Internet 商业的经济损失等等。 人们面临的计算机网络系统的 安全威胁日益严重。 （二）计算机网络的安全策略分析 计算机网络安全从技术上来说， 主要由防病毒、防火墙、入侵检测等多个安全组件组 成， 一个单独的组件无法确保网络信息的安全性。 早期的网络防护技术的出发点是首先划分 出明确的网络边界， 然后通过在网络边界处对流经的信息利用各种控制方法进行检查， 只有 符合规定的信息才可以通过网络边界， 从而达到阻止对网络攻击、 入侵的目的。目前广泛运 用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、防病毒技术等，主要的 网络防护措施包括： 1.防火墙 防火墙是一种隔离控制技术， 通过预定义的安全策略， 对内外网通信强制实施访问控制， 常用的防火墙技术有包过滤技术、 状态检测技术、应用网关技术。包过滤技术是在网络层中 对数据包实施有选择的通过， 依据系统事先设定好的过滤逻辑， 检查数据据流中的每个数据 包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过； 状态检测技术采用的是一种基于连接的状态检测机制， 将属于同一连接的所有包作为一个整 体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合， 对表中的各个连接状 态因素加以识别， 与传统包过滤防火墙的静态过滤规则表相比， 它具有更好的灵活性和安全 性； 应用网关技术在应用层实现， 它使用一个运行特殊的“通信数据安全检查”软件的工作 站来连接被保护网络和其他网络， 其目的在于隐蔽被保护网络的具体细节， 保护其中的主机 及其数据。 2.数据加密与用户授权访问控制技术。 与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。 用户授权访问控制主要用于对静态信息的保护， 需要系统级别的支持， 一般在操作系统中实 现。数据加密主要用于对动态信息的保护。 对动态数据的攻击分为主动攻击和被动攻击。 对 于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以 避免，实现这一切的基础就是数据加密。 数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受 “密钥”控制的。在传统的加密算法中， 加密密钥与解密密钥是相同的， 或者可以由其中一 个推知另一个，称为“对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知， 授权用户既可以用该密钥加密信急，也可以用该密钥解密信息， DES 是对称加密算法中最具 代表性的算法。如果加密/解密过程各有不相干的密钥， 构成加密/解密的密钥对，则称这种 加密算法为“非对称加密算法”或称为“公钥加密算法”，相应的加密/解密密钥分别称为 “公钥”和“私钥”。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再 将密文发送给私钥拥有者。 私钥是保密的，用于解密其接收的公钥加密过的信息。 典型的公 钥加密算法如 RSA 是目前使用比较广泛的加密算法。 3.安全管理队伍的建设。 在计算机网络系统中， 绝对的安全是不存在的， 制定健全的安全管理体制是计算机网络 安全的重要保证， 只有通过网络管理人员与使用人员的共同努力， 运用一切可以使用的工具 和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同 时，要不断地加强计算机信息网络的安全规范化管理力度， 大力加强安全技术建设， 强化使 用人员和管理人员的安全防范意识。网络内使用的IP 地址作为一种资源以前一直为某些管 理人员所忽略，为了更好地进行安