計算機網絡安全策略與發展方向探討

文章編號：1672-5913(2008)16-0094-02

摘要：計算機網絡系統提供了資源共享性，系統的可靠性和可擴充性，然而正是這些特點增加了計算機網絡系統安全的脆弱性和復雜性。本文探討了計算機網絡系統安全策略與發展方向。

關鍵詞：計算機網絡；安全策略；發展方向

中圖分類號：G642

文獻標識碼：B

1計算機網絡系統安全策略的目標

計算機網絡系統是給廣大網絡用戶提供服務和收集信息的，網絡安全策略的目標是保護這些資源不被有意或無意的誤用，以及抵御網絡黑客的威脅和各種計算機網絡病毒的攻擊。計算機網絡系統安全策略要考慮以下幾個方面：

●可使用性

●實用性

●完整性

●可靠性

●保密性

●所有權

2計算機網絡系統安全策略

計算機網絡系統的安全管理主要是配合行政手段，制定有關網絡安全管理的規章制度，在技術上實現網絡系統的安全管理，確保網絡系統的安全、可靠地運行，主要涉及以下四個方面。

2.1網絡物理安全策略

計算機網絡系統物理安全策略的目的是保護計算機系統、網絡服務器、網絡用戶終端機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機網絡系統有一個良好的工作環境；建立完備的安全管理制度，防止非法進入計算機網絡系統控制室和網絡黑客的各種破壞活動。

2.2網絡訪問控制策略

訪問控制策略是計算機網絡系統安全防范和保護的主要策略，主要任務是保證網絡資源不被非法使用和非常規訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種網絡安全策略必須相互配合才能真正起到保護作用，所以網絡訪問控制策略是保證網絡安全最重要的核心策略之一。

(1) 入網訪問控制

入網訪問控制是為網絡訪問提供第一層訪問控制。它能控制網絡用戶合法登錄到網絡服務器并獲取網絡資源，控制準許網絡用戶入網的時間和方式。網絡用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證，用戶口令的識別與驗證，用戶賬號的默認限制檢查。三道防線中只要任何一道未通過，該用戶就不能進入該網絡。

(2) 網絡的權限控制

網絡的權限控制是針對網絡非法操作提出來的一種保護措施。網絡用戶和用戶組被賦予一定的權限。指定網絡用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他網絡資源。可以控制網絡用戶對這些目錄、文件和網絡資源能夠執行哪些操作。可以根據訪問權限將網絡用戶分為以下三種：

① 特殊用戶：網絡系統管理員；

② 一般用戶：系統管理員根據實際需要為之分配權限；

③ 審計用戶：負責網絡的安全控制與資源使用情況的審計。

(3) 目錄級安全控制

計算機網絡系統應允許控制用戶對目錄、文件和其他網絡資源的訪問。網絡用戶在目錄一級指定的權限對所有文件和子目錄都有效，用戶還可以進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：

① 系統管理員權限(Supervisor)

② 讀權限(Read)

③ 寫權限(Write)

④ 創建權限(Create)

⑤ 刪除權限(Erase)

⑥ 修改權限(Modify)

⑦ 文件查找權限(File Scan)

⑧ 存取控制權限(Access Control)

計算機網絡系統管理員應為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。這八種訪問權限的有效組合可以讓用戶有效地完成工作，又能有效地控制用戶對服務器資源的訪問，這樣就加強了網絡系統和服務器的安全性。

(4) 屬性安全控制

網絡用戶在訪問網絡資源時，網絡系統管理員應給出訪問的文件、目錄等網絡資源的指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡資源聯系起來。屬性安全控制是在網絡權限控制安全的基礎上提供更進一步的安全性。

(5) 網絡服務器安全控制

網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞網絡系統資源；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔等等。網絡系統允許合法用戶在服務器控制臺上執行裝載和卸載模塊、安裝和刪除軟件等一系列操作。

(6) 網絡監測和鎖定控制

計算機網絡系統管理員應對網絡系統進行網絡監控，網絡服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問，服務器應以文字、圖形或聲音等形式報警來提醒網絡管理員。如有非法黑客企圖攻擊、破壞網絡系統，網絡服務器應實施鎖定控制，自動記錄企圖攻擊網絡系統的次數，達到所設定的數值，該賬戶將被自動鎖定。

(7) 網絡端口和節點的安全控制

計算機網絡系統服務器的端口通常采用自動回呼設備、靜默調制解調器來實行保護，并用加密的方式來識別節點的身份。自動回呼設備用來防止假冒合法用戶，靜默調制解調器用于防范黑客的自動撥號程序對計算機網絡系統的攻擊。網絡系統還常對服務器端和用戶端采取控制，在對用戶的身份進行有效驗證后，才允許進入用戶端，并且用戶端和服務器端還需再進行相互驗證。

(8) 網絡防火墻控制：

網絡防火墻控制是一種保護計算機網絡系統安全的技術性措施，它是將計算機內部網絡和外部網絡分開的方法，實際上是一種隔離技術。它可以阻止網絡中的黑客來攻擊和破壞內部網絡。目前網絡防火墻控制主要有以下三種類型：

●包過濾防火墻

●代理防火墻

●雙穴主機防火墻

2.3網絡信息加密策略

信息加密策略主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密策略通常采用以下三種方法：

●網絡鏈路加密方法

●網絡端點加密方法

●網絡節點加密方法

計算機網絡系統的信息加密技術是保護網絡安全最有效的方法之一。采用網絡加密技術，不但可以防止非授權用戶的搭線竊聽和非法入網，也是對付網絡黑客惡意軟件攻擊和破壞計算機網絡系統的有效方法。

2.4網絡安全管理策略

包括確定網絡安全管理等級和安全管理范圍；制定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的管理維護制度和應急措施等等。

3計算機網絡系統安全的發展方向

下面是一些國際機構和計算機網絡專家、學者對本世紀計算機網絡系統安全性問題的發展方向和發生重大變化的可能性作出的一些預測：

(1) 網絡規范化方面

由于互聯網沒有國家界限，這使得各國政府如果不在網絡上截斷Internet與本國的聯系就不可能控制人們的所見所聞。即使完全切斷與Internet的聯系也是沒有用的，因為全球衛星通信系統將最終結束國家的數據界限。這將使針對網絡通訊量或交易量收稅的工作產生有趣的和不可預期的效應。國家數據政策發布的不確定性將反映在不斷改變、混亂且無意義的條例中，就像近期未付諸實施的通信傳播合法化運動一樣。這些法律法規將被忽略、變更或成為過去，而網絡則將安然無恙，繼續存在。所以，各國政府將放棄規范化網絡內容的努力。

(2) 網絡系統管理和安全管理方面

由于現行的很多網絡管理工具缺乏最基本的安全性，使整個網絡系統將可能被網絡黑客攻擊和完全破壞，達到其法定所有者甚至無法再重新控制它們的程度。最終，我們將認識到網絡系統管理和安全管理是同一事物的不同方面，兩者密不可分、相互關聯。認識到這樣一種概念是件很好的事情。

(3) 銀行、金融系統方面

由于銀行、金融系統貨幣在形式上變得越來電子化，其流動也越來越快。這種流動使貨幣在使用方便的同時也更容易被盜竊。隨著大多數至關重要的財經信息涌上網絡系統，來自于內部的對于系統安全性的威脅將會變得越來越大。現在銀行、金融系統如果發生一次計算機網絡系統安全崩潰事故，將至少會有數千萬，甚至數億的金融系統

遭到破壞。在銀行、金融系統內部，有些職業道德不好的職員和網絡黑客利用工作之便，非法進入網絡系統，進行盜竊和破壞。這種盜竊和破壞行為必將增加金融、財經領域中的計算機網絡系統現行安全制度的壓力。這種安全制度應由政府或由銀行、金融系統的審計員來制定。

(4) 計算機網絡系統法律法規方面

隨著全球信息化的發展，如何確保計算機網絡信息系統的安全，已經成為網絡系統信息化建設過程中必須解決的重大問題。在目前社會中，利用計算機網絡信息系統的犯罪活動相當猖獗，其主要原因之一就是各國的計算機網絡信息系統安全立法都不健全。特別是許多國家的有關部門沒有制定相應的刑法、民法、訴訟法等法律，對那些利用網絡信息系統的犯罪份子懲罰不嚴、失之寬松，因此網絡犯罪活動屢禁不止。現在，全球許多國家政府越來越重視打擊利用計算機網絡信息系統的犯罪活動，逐步建立和制定計算機網絡信息系統的法律、法規。對計算機犯罪活動量刑、定罪產生的威懾力可使有犯罪企圖的人感到有畏懼心理，從而減少網絡犯罪的發生，保持社會的安定。另外，還需要加強倫理道德方面的教育，這對社會的穩定和計算機網絡安全也十分重要。要教育全體計算機工作者進行合法的計算機信息實踐活動。計算機網絡系統的法律、法規是規范人們一般社會行為的準則，它發布阻止任何違反規定要求的法令或禁令，明確計算機網絡系統工作人員和最終用戶的權利和義務，包括憲法、保密法、數據保護法、計算機安全保護條例、計算機犯罪法等等。

(5) 計算機網絡軟件系統方面

世界各國一些開發計算機網絡系統軟件的公司將由于產品質量或連帶責任的訴訟而遭受巨大的經濟損失。計算機網絡軟件質量的現權法將逐漸形成。目前計算機軟件的這種處于模糊狀態的銷售情況即使對于一個能支付得起大量金錢雇傭律師的軟件公司來說，也會因訴訟的巨大損失而不能維持下去。計算機軟件生產廠商也應對生產出由于安全方面存在漏洞而使其使用者蒙受財產損失的軟件產品負責。

計算機軟件將主要以Java或Active X這樣可供下載的可執行程序的方式運作。計算機網絡安全管理系統的建造者們需要找到如何控制和維護可下載式程序的方法。同時他們也要編制一些必要的工具軟件以防止某些可下載式有害程序的蔓延。這樣的程序主要是病毒和網絡黑客程序以及其他目前為止仍無法想象出的一些惡意有害程序。

一些網絡黑客利用作為網絡軟件開發人員工作時在某些流行的網絡化軟件中留下的特洛伊木馬程序，使他們日后有能力攻擊和破壞成千上萬的網絡系統，這樣給計算機網絡系統的安全構成嚴重的危害。這種現象已經發生過多次，只是我們還沒有給予足夠的重視而已。

虛擬網絡系統將與安全性相融合，并很有希望與網絡管理系統結合起來。計算機系統軟件和硬件將協同工作以便將帶有不同類型的目的和特性與網絡彼此隔離，由此產生的隔離體仍將被稱作“計算機網絡防火墻”。

(6) 計算機網絡系統密碼技術方面

在計算機網絡系統中，使用密碼技術不僅可以保證信息的機密性，而且可以保證信息的完整性和確認性，防止信息被篡改、偽造或假冒。隨著越來越多的計算機網絡系統利用密碼技術，智能卡和數字認證將會變得越來越盛行，用戶需要將密碼和驗證碼存放在不至于丟失的地方，所以他們可能會將智能卡廣泛內置于PDA中。

參考文獻

[1] 趙斌斌.網絡安全與黑客工具防范[M].北京：科學出版社，2001.

[2] 蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社，2002.

[3] 張小斌等. 計算機網絡安全工具[M].北京：清華大學出版社，1999.

[4] 袁家政.計算機網絡安全與應用技術[M].北京：清華大學出版社，2002.

[5] 葉丹.網絡安全實用技術[M].北京：清華大學出版社，2002.