论文部分内容阅读
【摘要】计算机网络普遍存在安全问题。国际互联网存在信息管理失控,网络犯罪防不胜防。我国网络安全形势严峻。我们需要一个正确的安全策略,需要有效并且经济的网络安全技术防范措施,包括局域网安全技术防范措施和广域网安全技术防范措施。
【关键词】计算机网络安全策略
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
一、计算机网络的安全策略
网络安全应该包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性,后者是指身份认证、不可否认性、授权和访问控制等。安全策略应该包括物理安全策略和访问控制策略。
1.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受人为破坏和搭线攻击;验证访问者的身份和使用权限、防止用户越权操作;建立完备的安全管理制度,防止非法进入计算机系统等。
1.2访问控制策略
访问控制策略至少应该包括如下内容:(1)入网访问控制。入网访问控制为网络访问把第一道关。网络控制权限规范哪些用户和用户组可以访问哪些目录、子目录、文件和其它资源。(2)目录级安全控制。网络管理员应该规范用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效。
1.3防火墙技术
防火墙技术主要包括有四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。防火墙在使用的过程中,应该考虑到几个方面的问题:首先要考虑的是防火墙不能够防病毒的攻击,虽然有不少的防火墙产品声称具有这个功能。其次要考虑防火墙技术中数据与防火墙之间的更新问题,如果延时太长,将无法支持实时服务要求。并且防火墙采用的滤波技术会降低网络的性能,如果购置高速路由器来改变网络的性能,那样会大大增加网络成本。再次是防火墙不能防止来自网络内部的攻击,也无法保护绕过防火墙的病毒攻击。
1.4访问控制技术
访问控制技术是对信息系统资源进行保护的重要措施,它设计的三个基本概念为:主体、客体和授权访问。访问控制技术的访问策略通常有三种:自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有:入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。
1.5数据加密技术
网络数据加密的三种技术为:链路加密、节点加密和端到端加密。链路加密是将所有信息在传输前进行加密,在每一个节点对接收到的信息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。节点加密与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
二、网络安全技术防范措施
网络安全技术防范措施主要涉及常用的局域网安全技术防范措施和广域网安全技术防范措施。
2.1局域网安全技术防范措施
2.1.1网络分段
网络分段是控制网络广播风暴的一种基本方法,也是保证网络安全的一项重要措施,其目的就是将非法用户与网络资源相互隔离,从而防止可能的非法窥听。
2.1.2以交换式集线器代替共享式集线器
在对局域网的中心交换机进行网络分段的处理以后,以太网遭遇窥听的危险依然存在。应该以交换式集线器代替共享式集线器,控制单播数据包只能在两个节点之间传送,从而防止非法窥听。
2.1.3VLAN的划分
在分布式网络环境下,应该以机构或部门的设置来划分VLAN。部门内部的所有用户节点和服务器都必须在各自的VLAN内,互相不受侵扰。VLAN内部的连接采用交换实现,而VLAN之间的连接则采用路由实现。
2.2广域网安全技术防范措施
由于广域网多数采用公网传输数据,信息在广域网上被截取的可能性要比局域网大得多。网络黑客只要利用一些简单的包检测工具软件,就可以很轻松地实施对通信数据包的截取和破译。广域网安全应该采用以下防范技术措施:(1)加密技术。加密型网络安全技术是指通过对网络数据的加密来保证网络安全的可靠性,而不依赖于网络中数据通道的安全性。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密三种。计算机系统中的口令一般是利用不可逆加密算法加密的。(2)VPN技术。该技术是指所谓的虚拟加密隧道技术,是指将企业私网的数据加密封装后,通过虚拟的公网隧道进行传输。企业在VPN建网选型时,应该注意优选技术先进的VPN服务提供商和VPN设备。(3)身份认证技术。要特别注意处置从外部拨号网络访问总部内部网的用户。因为使用公共电话网通讯风险很大,必须严格身份认证。常用的身份认证技术有Cisco公司的TACACS+,行业标准RADIUS等。
2.3安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
计算机网络的安全问题涉及到网络安全策略和网络安全技术防范措施,也涉及到国家对网络安全的防范监管机制及相关的法律问题,还涉及到网络安全当事者的职业道德和高技术与高感情的平衡问题。相对网络技术专业工作者来说,如果能够牢固树立正确的网络安全策略,在力所能及的范围之内,制定和实施经济有效的安全技术防范措施,并且能够经常评估和不断改进,相信计算机网络安全的局面将会永远是魔高一尺道高一丈。
参考文献
[1]严明.多媒体技术应用基础[M].武汉:华中科技大学出版社,2004.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
[4]谢希仁.计算机网络.北京:人民邮电出版社,2006.
[5]林建平.计算机网络安全防控策略的若干分析.山西广播电视大学学报,2006.
【关键词】计算机网络安全策略
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
一、计算机网络的安全策略
网络安全应该包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性,后者是指身份认证、不可否认性、授权和访问控制等。安全策略应该包括物理安全策略和访问控制策略。
1.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受人为破坏和搭线攻击;验证访问者的身份和使用权限、防止用户越权操作;建立完备的安全管理制度,防止非法进入计算机系统等。
1.2访问控制策略
访问控制策略至少应该包括如下内容:(1)入网访问控制。入网访问控制为网络访问把第一道关。网络控制权限规范哪些用户和用户组可以访问哪些目录、子目录、文件和其它资源。(2)目录级安全控制。网络管理员应该规范用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效。
1.3防火墙技术
防火墙技术主要包括有四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。防火墙在使用的过程中,应该考虑到几个方面的问题:首先要考虑的是防火墙不能够防病毒的攻击,虽然有不少的防火墙产品声称具有这个功能。其次要考虑防火墙技术中数据与防火墙之间的更新问题,如果延时太长,将无法支持实时服务要求。并且防火墙采用的滤波技术会降低网络的性能,如果购置高速路由器来改变网络的性能,那样会大大增加网络成本。再次是防火墙不能防止来自网络内部的攻击,也无法保护绕过防火墙的病毒攻击。
1.4访问控制技术
访问控制技术是对信息系统资源进行保护的重要措施,它设计的三个基本概念为:主体、客体和授权访问。访问控制技术的访问策略通常有三种:自主访问控制、强制访问控制以及基于角色的访问控制。访问控制的技术与策略主要有:入网访问控制、网络权限控制、目录级控制、属性控制以及服务器安全控制等多种手段。
1.5数据加密技术
网络数据加密的三种技术为:链路加密、节点加密和端到端加密。链路加密是将所有信息在传输前进行加密,在每一个节点对接收到的信息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。节点加密与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
二、网络安全技术防范措施
网络安全技术防范措施主要涉及常用的局域网安全技术防范措施和广域网安全技术防范措施。
2.1局域网安全技术防范措施
2.1.1网络分段
网络分段是控制网络广播风暴的一种基本方法,也是保证网络安全的一项重要措施,其目的就是将非法用户与网络资源相互隔离,从而防止可能的非法窥听。
2.1.2以交换式集线器代替共享式集线器
在对局域网的中心交换机进行网络分段的处理以后,以太网遭遇窥听的危险依然存在。应该以交换式集线器代替共享式集线器,控制单播数据包只能在两个节点之间传送,从而防止非法窥听。
2.1.3VLAN的划分
在分布式网络环境下,应该以机构或部门的设置来划分VLAN。部门内部的所有用户节点和服务器都必须在各自的VLAN内,互相不受侵扰。VLAN内部的连接采用交换实现,而VLAN之间的连接则采用路由实现。
2.2广域网安全技术防范措施
由于广域网多数采用公网传输数据,信息在广域网上被截取的可能性要比局域网大得多。网络黑客只要利用一些简单的包检测工具软件,就可以很轻松地实施对通信数据包的截取和破译。广域网安全应该采用以下防范技术措施:(1)加密技术。加密型网络安全技术是指通过对网络数据的加密来保证网络安全的可靠性,而不依赖于网络中数据通道的安全性。数据加密技术可以分为对称型加密、不对称型加密和不可逆加密三种。计算机系统中的口令一般是利用不可逆加密算法加密的。(2)VPN技术。该技术是指所谓的虚拟加密隧道技术,是指将企业私网的数据加密封装后,通过虚拟的公网隧道进行传输。企业在VPN建网选型时,应该注意优选技术先进的VPN服务提供商和VPN设备。(3)身份认证技术。要特别注意处置从外部拨号网络访问总部内部网的用户。因为使用公共电话网通讯风险很大,必须严格身份认证。常用的身份认证技术有Cisco公司的TACACS+,行业标准RADIUS等。
2.3安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
计算机网络的安全问题涉及到网络安全策略和网络安全技术防范措施,也涉及到国家对网络安全的防范监管机制及相关的法律问题,还涉及到网络安全当事者的职业道德和高技术与高感情的平衡问题。相对网络技术专业工作者来说,如果能够牢固树立正确的网络安全策略,在力所能及的范围之内,制定和实施经济有效的安全技术防范措施,并且能够经常评估和不断改进,相信计算机网络安全的局面将会永远是魔高一尺道高一丈。
参考文献
[1]严明.多媒体技术应用基础[M].武汉:华中科技大学出版社,2004.
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.
[3]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003.
[4]谢希仁.计算机网络.北京:人民邮电出版社,2006.
[5]林建平.计算机网络安全防控策略的若干分析.山西广播电视大学学报,2006.