1、1计算机网络安全论文随着计算机网络的发展和 Internet 的广泛普及,信息已经成为现代社会生活的核心。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统,而且通过各种方式与互联网相连。通过上网树立形象、拓展业务,已经成为政府办公、企业发展的重要手段,因此网络安全已成为当今社会各行各业所必不可少的重要项目。一、计算机安全的定义 国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息
2、安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。 网络安全的技术和措施访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述下各种访问控制策略。1)入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户
3、的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于 6 个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密
4、,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式2验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:(1)最小口令长度,(2)强制修改口令的时间间隔,(3)口令的唯一性,(4)口令
5、过期失效后允许入网的宽限次数。用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。2)网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者
6、指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录。从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户;(3)审计用户. 3.4 目录级安全控制 3)目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(
7、Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。4)属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与3网络
8、服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。 5)网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网
9、络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。6)网络监测和锁定控制网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。7)防火墙控制防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向
10、通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。首先应建立一定数量的信息过滤表,信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含有数据包源 IP 地址、目的 IP 地址、传输协议类型(TCP、UDP、ICMP 等)、协议源端口号、协议目的端口号、连接请求方向、ICMP 报文类型等。当一个数据包满足过滤表中的规则时,则允许数据包通过,否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问,也可以用来禁止访问某些服务类型。
11、但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理 UDP、RPC 或动态的协议。(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连,并对数据进行严格选择,然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络4申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围
12、等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务。(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。4.3 信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间
13、的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。 信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背
14、包密码、McEliece 密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal 算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。5当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用 DES 或者 IDEA 来加密信息,而采用 RSA 来传递会话密钥。如果
15、按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络安全管理策略一、网络安全管理策略 所谓网络安全管理策略是指一个网络中关于安全问题采取的原则,对安全使用的要求,以及如何保护网络的安全运行。 制定网络安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是被禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的
16、”。对于网络安全策略,一般采用第一种原则,来加强对网络安全的限制。对于少数公开的试验性网络可能会采用第二种较宽松的原则,这种情况下一般不把安全问题作为网络的一个重要问题来处理。 网络安全策略在确定了描述原则后所要做的是确定网络资源的职责划分。 网络安全策略要根据网络资源的职责确定哪些人允许使用某一设备,对每一台网络设备要确定哪些人能够修改它的配置。更进一步要明确的是授权给某人使用某网络设备和某资源的目的是什么,他可以在什么范围内使用。并确定对每一设备或资源,谁拥有它的管理权,即他可以为其他人授权,使之能够正常使用该设备或资源,并制定授权程序。 另外网络安全策略还应说明网络使用的类型限制。定义可
17、接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。但一般的网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破环系统安全的行为都是禁止的。具体涉及到如下类似的一些问题: 如果用户碰巧发现他对一个不属于他的文件具有写权限,是否允许用户修改该文件? 是否允许用户共享帐号? 一般网络安全策略对上述问题的回答都是否定的。 在大型网络的安全管理中,还要确定是否要为特殊情况制定安全策略。例如是否允许某些组织如 CERT 安全组来试图寻找你的系统的安全弱点。对于此问题,对来自网络本身6之外的请求,一般回答是否定的。 网络安全策略中确定对每个资源管理授权者
18、的同时,还要确定他们可以对用户授与什么级别的权限。如果没有资源管理授权者的信息,就无法掌握究竟哪些人在使用网络。对于主干网络中的关键通信资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全。在对资源授权者管理的同时,要制定对用户授权的过程设计,以防止对授权职责的滥用。 对于为用户初始化帐号使用的口令,以及用户自己对口令的选择要非常慎重。因为对一个再好的网络安全系统,如果用户使用了很差的口令,那么系统的安全性也会很差。 网络安全策略中可以明确指明每个资源的系统级管理员,但在网络的使用中,难免会遇到用户需要特殊权限的时候。一种处理办法是尽量只分配给用户够完成任务所需的最小权限。另外
19、在网络安全策略中要包含对特殊权限进行监测统计的部分,如果对授与用户的特殊权限不可统计,就难以保证整个网络不被破坏。 在网络安全策略中关于用户的权利与责任中,需要指明用户必须明确了解他们所用的计算机网络的使用规则。其中包括是否允许用户将帐号转借给他人,用户应当将他们自己的口令保密到什么程度。用户应在多长时间内更改他们的口令,对其选择有什么限制。是希望用户自身提供备份还是由网络服务提供者提供。在关于用户的权利与责任中还会涉及到电子邮件的保密性,有关讨论组的限制。在电子邮件组织发表的白皮书中指出,Internet 中每个计算机网络中都要有策略来保护职员与用户的稳私。事实上网络安全策略中所能达到的一定
20、只是用户希望达到绝对稳私与网络管理人员为诊断、处理问题而收集用户信息的一个折中。安全策略中必须确定在什么情况下管理员可以读用户的文件,在什么情况下网络管理员有权检查网络上传送的信息。 安全策略中另一重要的部分是当安全策略被破坏时所采取的策略。对于发生在本网络内部的安全问题,要从主干网向地区网逐级过滤、隔离。地区网要与主干网形成配合,防止破坏漫延。对于来自整个网络以外的安全干扰,除了必要的隔离与保护外,还要与对方所在网络进行联系,以进一步确定消除掉安全隐患。每一个网络安全问题都要有文档记录,包括对它的处理过程,并将其送至全网各有关部门,以便预防和留作今后进一步完善网络安全策略的资料。 网络安全策
21、略还要包括本网络对其它相连网络的职责,如出现某个网络告知有危胁来自我方网络。这种情况下,一般不会给予对方权利,让其到我方网络中进行调查,而是在验证对方身份的同时,自己对本方网络进行调查监控,做好相互配合。 网络安全对策最终一定是要送至网络的每一个使用者手中。7对付安全问题最有效的手段是教育,提高每个使用者的安全意识,从而提高整体网络的安全免疫力。 网络安全策略作为向所有使用者发放的手册,应注明其解释权归属何方,以免出现不必要的争端。二、影响计算机网络安全的主要因素 1、网络系统本身的问题 目前流行的许多操作系统均存在网络安全漏洞,如 UNIX,MS NT 和 Windows。黑客往往就是利用这
22、些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面:稳定性和可扩充性方面,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响;网络硬件的配置不协调,一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定;缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用;访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机; 2、来自内部网用户的安全威胁 来
23、自内部用户的安全威胁远大于外部网用户的安全威胁,使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失,管理制度不健全,网络管理、维护任在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。 其自然。特别是一些安装了防火墙的网络系统,对内部网用户来说一点作用也不起。 3、缺乏有效的手段监
24、视、硬件设备的正确使用及评估网络系统的安全性 完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术 三、确保计算机网络安全的防范措施 如何才能使我们的网络百分之百的安全呢?对这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上
25、是理想中的安全8策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。我们可从提高网络安全技术和人员素质入手,从目前来看。 1、依据互联网信息服务管理办法、互联网站从事登载新闻业务管理暂行规定和中国互联网络域名注册暂行管理办法建立健全各种安全机制、各种网络安全制度,加强网络安全教育和培训。 2、网络病毒的防范。在网络环境下,病毒 传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的
26、防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。现在网络版杀毒软件比较多,如瑞星、江民、金山毒霸等。 3、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自
27、己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止 Internet 上的不安全因素蔓延到局域网内部,根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,更加有效利用好防火墙。 4、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动
28、,以保护系统的安全。在学校、政府机关、企事业网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系,有的入侵检测设备可以同防火强进行联动设置。 5、Web,Email,BBS 的安全监测系统。在网络的 www 服务器、Email 服务器等中使用网络安全监测系统,实时跟踪、监视网络, 截获 Internet 网上传输的内容,并将其还原成完整的 www、Email、FTP、Telnet 应用的内容 ,建立保9存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中 心报告,采取措施。 四、结束语 网络安全
29、与网络的发展戚戚相关。网络安全是一个系统的工程,不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机 ,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐。把可能出现的损失降低到最低点,才能生成一个高效、通用、安全的网络系统。信息网络安全是一门边缘性、交叉性学科,我国除了密码学研究开展较早,有较好的基础和积累外,很多方面与国际差距较大。我们要积极吸取借鉴国际上住处网络安全的先进技术和经验,并在此基础上不断创新。信息网络安全有它的
30、特殊性,它与国家安全息息相关,各国的关键技术是不会公开的;有的国家对出口的密码产品作了种种限制,公开声称不会让他们不能破译的密码设备出口;在一些出口的住处网络安全系统中设置了“系统中的系统“,以获取和控制别国的信息。因此,我们既不能行进自己无法监控的信息网络安全设备,也不能照搬照抄国外的信息网络安全技术,必须把发展住处网络安全放在自己的基点上。近几年来,在学习、借鉴国外技术的基础上,国内开发了各类防火墙,安全路电器,安全网点、网络、入侵检测,系统漏洞扫描等硬件或软件的网络安全设备,满足了应用急需,但从发展来看,这些技术和的完善性、规范性、实用性方面还存在不足,特别是在平台的兼容性,多协议的适应性和多功能的综合性方面,存在差距,自立的技术手段需要发展和强化。从这个意义上讲,对住处网络安全研究来源,自主创新是第一位的。
