論網絡環境下的計算機網絡安全

陳德軍

隨著政府上網、企業上網、電子商務、網上娛樂等一系列網絡應用的蓬勃發展,Internet正在越來越多地離開原來單純的學術環境,融入到社會的各個方面。一方面,網絡用戶成分越來越多樣化,出于各種目的的網絡入侵和攻擊越來越頻繁;另一方面,網絡應用越來越深地滲透到金融、商務、國防等等關鍵要害領域。換言之,Internet網的安全,包括信息數據安全和網絡設備服務的運行安全,日益成為與國家、政府、企業、個人的利益休戚相關的“大事情”。安全保障能力是新世紀一個國家綜合國力、經濟競爭實力和生存能力的重要組成部分。毫不夸張地說,在新世紀里它對一個國家的重要性完全可以與核武器相提并論。這個問題解決不好將全方位地危及國家的政治、軍事、經濟、社會生活等各個方面,使國家處于信息戰和高度經濟金融風險的威脅之中。下面,本人就此作一些分析和思考。

1加強網絡安全意識教育

黑客的攻擊之所以能經常得逞,其主要原因就是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果,人們經常在有意無意之中就泄露了信息。當人們訪問Web站點時,會無意留下訪問的痕跡。當人們在網上購物時,不經意地泄露了許多私人信息,這些不經意為黑客進行數據收集或數據挖掘大開方便之門。

大力進行宣傳教育,培養安全意識。國家必須從政治安全、經濟安全的角度出發,以所發生的信息犯罪案件作為反方面教材來宣傳、教育網絡工作者和用戶,引起重視、提高認識,樹立良好的職業道德,加強自覺維護網絡正常運行的安全意識。特別對未成年人,應從小培養網絡用戶的合法上網概念,防止有害信息的傳播和滲透。另外,對工作人員應結合機房、硬件、軟件、數據和網絡等各方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。

2完善網絡管理功能

安全管理就是控制對網絡信息訪問的過程,可在網絡的多個層次上實現。如在數據鏈路層上采用加密;在網絡層次設備路由器上采用分組過濾及路由協議認證等安全措施;在每個主機上對信息的每個訪問點有相應的服務,而每個服務對敏感信息的訪問提供一種或多種認證機制,如主機身份認證、用戶身份證和密鑰認證等。另外,訪問控制、代理服務器、Web服務器、虛擬局域網、局域網、VLAN技術、網絡管理及檢測等網絡管理功能也被廣泛應用。下面對這些網絡管理功能分別進行分析。

2.1加密

對路由信息或用戶數據都可以采用加密措施。常用的加密方法有兩種;比較老的和比較簡單的是單密鑰或保密密鑰加密,另一種廣泛的開放的網絡安全的解決方案是比較新的更加復雜的編碼形式,即公開密鑰加密。在保密密鑰加密方法中,發送者和接受者共同持有一個保密的密鑰,發送者發送文件之前用這個密鑰加密,并在網絡上傳送加密文件,接受者使用這個密鑰解密。

2.2路由器及路由協議的安全措施

路由器中采取的分組成過濾和路由協議認證是兩個重要的安全措施。分組過濾規則依據建立連接時需要的信息,如源/目標地址、端口號、協議類型等確定,進行分組過濾時,逐一查找分組過濾規則表,若匹配,產生相應的動作;若無法匹配,用默認規則處理,將分組丟棄。路由協議認證時通過檢查動態路由協議OSPF分組中的數字簽名信息來確認路由器身份。

2.3用戶身份認證

用戶身份認證用來確定用戶是否合法。有兩種認證方法:基于令牌的身份驗證和kerberos。驗證令牌與軟件狗或鑰匙盤類似,可以插在計算機串行或并行接口上,也可以是一張插入PC機的軟盤。有同步和挑戰應答兩種驗證令牌的實現算法:在同步算法中,身份認證服務器AS(Authentication Server)負責管理用戶登錄,產生一個PIN(Personal Identification Number)給用戶,當用戶使用PIN登錄時,AS查找內部的身份認證數據庫,若得到與用戶令牌中相同的key,則用戶的令牌產生一個序列,AS用內部得到的key使用同樣算法同步產生一個序列,比較這兩個序列是否相同來鑒別用戶身份。

2.4訪問控制

訪問控制決定一個用戶或程序是否有權對某一特定資源執行一個特定的操作(如共享、修改、簽字等)。有3種權限判定方法:強制法,隨意法和角色判定法。在強制法中,每個用戶具有一個安全級,針對每個資源也有相應的安全系數。安全級集合是一個偏序集。也可以采用分類的方法,每個用戶不僅有一個安全級,而且在同一級中還要受類別的控制。隨意訪問控制采用訪問矩陣指定每一個用戶對每個資源的訪問模式(讀、寫、執行等權限)。

2.5代理服務器

通過代理服務器實現與Internet的連接,使內部網絡更加安全。因為內部網絡成為一個獨立的封閉網絡。對代理服務器有兩種理解,一種理解為應用層防火墻,包括Web Proxy, TELNET Proxy, News Proxy, SMTP Proxy, DNS Proxy 等身份認證機制。另一種特指Web Proxy(或HTTP Proxy),它接收客戶發來的HTTP請求,將其轉發給遠地Web服務器,并將遠地Web服務器傳來的響應傳回客戶端。

2.6Web服務器的安全機制

有兩種加強WEB服務器安全的機制;SSL(Secure soket layer)和SHTTP(Seeure hypetext transfer protocol)SSL是一個分層協議,在TCP/IP協議族中位于傳輸層和應用層之間,目的是在通訊者之間提供安全可靠的鏈接。

2.7網絡管理及檢測

網絡管理及檢測也是提高網絡性能和安全的重要措施,網絡管理和檢測可以選擇HP Open View CLSCO Works HP網絡分析儀或其他相應產品實現。HP Open view支持SNMP, MIB-II協議,采用Xwindows 圖形界面。傳播和滲透。另外,對工作人員應結合機房、硬件、軟件、數據和網絡等各方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業務、技術的培訓,提高操作技能,教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。

3加強網絡系統管理

3.1建立必要的安全管理機制

管理計算機網絡系統安全,從另一個方面講還包含了實體安全和信息安全。實體安全主要是指人為事故、自然災害、環境災害、設備故障。信息安全主要目的是防止信息、數據文件及計算機程序受到意外的或故意的非法泄露、修改和破壞。網絡安全是一項復雜的系統工程,僅有技術是遠遠不夠的,特別是在我們的安全技術水平還比較落后的今天,加強管理不僅是必需的,也是盡快提高我們網絡安全保護水平的捷徑。如果沒有保安巡邏,單靠大樓的門禁系統無法保障沒有盜竊行為發生。實際上,據統計,大量的網絡攻擊來自系統內部,而防范內部攻擊,僅有技術肯定不行,完善的管理可以防止大多數來自內部的威脅,并且適時堵截外部攻擊,可以彌補技術手段的不足。

3.2建立安全隊伍

安全技術力量的形成首先必須是專業化。抽調專門的技術人員專門從事企業的網絡安全建設和管理。可以先從較小的核心開始,通過各種渠道呼吁、宣傳、教育、提高各級領導對網絡安全問題的重視程度,向大家演示黑客攻擊的現實威脅時一種有效地辦法。使領導層、管理層和技術人員大家形成一個共識;網絡安全工作非常重要,投資時必要的。其次,逐步加強安全工作核心小組的實力。根據企業使用的技術種類和以后的發展方向,形成一定的內部研究分工,比如UNLX NT路由、數據庫和其他應用以及上述的各種網絡安全元素等。在技術上保證不落后國際領先水平很遠,以電話、電子郵件或者BBS的方式為安全網提供普遍的技術咨詢和技術支持,對本網和客戶技術人員提供培訓服務,在建設和維護上為領導決策提供網絡安全方面的參考。