计算机网络安全现状分析与防范对策研究
2013-02-19杨贵如
杨贵如
( 阳泉师范高等专科学校 山西阳泉 045200)
随着信息时代的加速到来,人们对因特网的依赖也越来越强,网络已成为人们生活中不可缺少的一部分。Internet 本身就是一个面向所有人群的高开放性系统,但普通网络用户在网络信息保密和系统安全方面做得并不完备,加上计算机网络技术的飞速发展,因特网上的攻击与破坏事件不胜枚举。笔者阐述了网络安全的内涵、特征,分析了网络安全的现状及常见的网络安全威胁,对如何提高网络安全提出了防范对策。
1 网络安全概述
1.1 内涵
网络安全是指通过采用各种技术和管理措施,指保护系统硬件、软件及数据,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,使网络系统连续可靠正常地运行,从而确保网络数据的可用性、完整性和保密性[1]。网络安全的具体含义会随着“角度”的变化而变化,在不同应用环境下可能会有不同的解释。
1.2 主要特征[2]
1.2.1 保密性 保证只有授权用户可以访问数据,而限制其他用户对数据的访问。数据的保密性分为网络传输的保密性和数据存储保密性两个方面。网络传输保密性通过对传输数据进行加密处理来实现;数据存取保密性主要通过访问控制来实现。
1.2.2 完整性 数据未经授权不能改变,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
1.2.3 可用性 可被授权实体访问并按需求使用,即当需要时能否存取和访问所需的信息。
1.2.4 不可否认性(不可抵赖性) 在信息交互过程中确信参与者的真实同一性,所有参与者都不能否认和抵赖曾经完成的操作和承诺。
1.2.5 可控性 人们对信息的传播途径、范围及其内容所具有的控制能力。
2 网络安全现状分析
网络信息安全在国内还是一个比较年轻的产业,还处于刚刚起步的阶段。对许多网络用户而言,知道面临着一定的威胁,但这种威胁来自哪里、究竟有什么后果,并不十分清楚。对网络安全构成威胁的因素主要分为无意的和有意的两类,其中无意的威胁是指人为操作错误、设备故障、自然灾害等不以人的意志为转移的事件,而有意的威胁则为窃听、计算机犯罪等人为的破坏,这些因素主要来源于:
2.1 人为失误[3]
一些无意的行为,如:丢失口令、非法操作、资源访问控制不合理、管理员安全配置不当以及疏忽大意允许不应进入网络的人上网等,都会对网络系统造成极大的破坏。
2.2 计算机病毒
计算机病毒已经成为危害网络安全的首要威胁因素,具有繁殖性、传染性、潜伏性、隐蔽性、可触发性等特点。在网络环境下,会造成计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难。以前的病毒多是毁坏计算机内部的数据,使系统瘫痪;现在常常与黑客程序结合起来,被黑客利用来窃取用户的敏感信息,危害更大。
2.3 非法访问和破坏
非法访问故名思议就是在未得到管理员授权的情况下,访问、使用或破坏某些资源。目前对非法入侵者有一个统一的名称—— “黑客”。他们依靠已掌握的技术,非法获得系统的控制权限,从而达到窃取用户秘密信息和破坏数据的目的。现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,成为网络安全的主要威胁。
2.4 管理漏洞
严格管理网络通信系统是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。目前,美国75 ~85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃。此外,管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄露,从而是一些不法分子有可乘之机。
2.5 网络的缺陷及漏洞
Internet的共享性和开放性,使网上信息安全存在先天不足。因为其赖以生存的TCP/IP 协议,缺乏相应的安全机制,而且因特网最初设计时也没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
2.6 隐私及机密资料的存储和传输[3]
机密资料存储在网络系统内,当系统受到攻击时,如不采取措施,很容易被搜集而造成泄密。同样,机密资料在传输过程中,由于要经过多个节点,且难以查证,在任何中介网站均可能被读取。
3 网络安全技术的综合运用
要保障网络安全,就要综合运用各种先进的网络安全技术。目前采用的网络安全技术主要有:
3.1 虚拟网技术
主要基于局域网交换技术(ATM 和以太网交换),可使得信息只到达应该到达的地点,防止了大部分基于网络监听的入侵,并通过访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
3.2 防火墙技术
用于加强网络与网络之间的访问控制,防止外部网络用户以非法入侵,保护内部网络操作环境。
3.3 病毒防护技术
主要是阻止病毒的传播,检查和清除病毒,病毒数据库的升级,安装Java 及ActiveX 控制扫描软件,禁止未经许可的控件下载和安装等。
3.4 入侵检测技术
可提供实时的入侵检测及采取相应的防护手段,能够对付来自内部网络的攻击,并能够缩短hacker 入侵的时间。
3.5 安全扫描技术
安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描器不能实时监视,但能测试和评价系统的安全性,及时发现安全漏洞。
3.6 认证和数字签名技术
主要解决网络通讯过程中通讯双方的身份认可,数字签名还可用于通信过程中的不可抵赖要求的实现[5]。
3.7VPN 技术
提供在Internet 上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。 (8)应用系统的安全技术:这个部分最为复杂,主要有域名服务、Web Server 应用安全、电子邮件系统安全和操作系统安全。
4 网络安全体系结构模型构建
网络安全不仅是某一台计算机的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问题。要保障网络安全,必须综观全局,结合整个网络系统来制定合适的网络安全策略,制定严格的网络安全制度规范体系。网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才能保障网络安全。整个网络安全体系结构应包含物理安全、网络安全和信息安全三个层面。
4.1 物理安全[4]
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。建立物理安全体系结构应从三个方面考虑:一是自然灾害(地震、火灾、洪水)、物理损坏(硬盘损坏、设备使用到期、外力损坏)和设备故障(停电断电、电磁干扰);二是电磁辐射、乘机而入、痕迹泄漏等;三是操作失误(格式硬盘、线路拆除)、意外疏漏等。
4.1.1 环境安全 通过制定计算机机房设计规范、人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度等一系列规章制度来保障网络体系各硬件的使用环境稳定有保障。
4.1.2 设备安全 严格管控硬件系统的运行环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要设置具体的要求和标准[6],同时要做到防盗、防毁、防止线路截获。计算机房场地选择时,要注意其外部环境安全性、可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁,还要注意出入口的管理[6]。
4.1.3 媒体安全 媒体本身安全才能保障其所含数据的安全性。媒体数据安全包含两层意思,一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等。二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护。
4.2 网络安全
4.2.1 系统安全 主要是指网络系统的主机、伺服器及其系统中的数据应受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断[5]。应定期升级硬件系统和软件系统的反病毒能力,进行系统安全性检测和入侵检测,并实时监测非法访问和入侵,并对入侵数据进行审计和分析,防止恶意攻击和破坏。
4.2.2 网络运行安全 网络运行安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性[2]。
可通过磁盘阵列、数据备份、异地容灾等手段,定期备份数据,保证数据的安全,以便在发生意外时能够及时恢复,保证系统的不间断运行。数据安全是一种主动的包含措施,数据本身的安全必须基于可靠的加密算法与安全体系。
4.2.3 局域网、子网安全 局域网的安全主要是通过防火墙技术来实现的。所谓防火墙是指一组程序,运行在网络的服务器或专门的网关中,以保护此网络的资源不被来自其它网络的非授权用户侵犯。典型的防火墙建立在一个服务器/主机机器上,亦称“堡垒”,是一个多边协议路由器。它的主要作用除了防止未经授权的来自或对Internet的访问外,还包括为安全管理提供详细的系统活动的记录。
4.3 信息安全
4.3.1 信息的传输安全 这是指信息的动态安全,信息传输是从一端将命令或状态信息经信道传送到另一端,并被对方所接收,包括传送和接收。要防止截获信息、窃听信息、篡改信息和伪造信息,保障信息数据安全传输,主要通过以下技术实现[6]:①信息加密技术。通过各种各样的加密算法来进行具体的信息数据加密,保护信息数据的安全通信。②信息确认技术。为有效防止信息被非法伪造、篡改和假冒,可限定信息的共享范围,使发信者无法抵赖自己发出的消息;合法的接收者可以验证他收到的消息是否真实;除合法发信者外,别人无法伪造消息。③访问控制技术。该技术只允许用户对基本信息库的访问,禁止用户随意的或者是带有目的性的删除、修改或拷贝信息文件。
4.3.2 信息的存储安全 这是指信息的静态安全。数据是最核心的资产,存储系统作为数据的保存空间,是数据保护的最后一道防线。安全存储要解决的问题主要有两个,一是如何保证文件数据完整可靠不泄密;二是如何保证只有合法的用户,才能够访问相关的文件。要解决这两个问题,需要使用数据加密和认证授权管理技术,这也是安全存储的核心技术。在安全存储中,利用技术手段把文件变为乱码(加密)存储,在使用文件的时候,用相同或不同的手段还原(解密)。这样,存储和使用,文件就在密文和明文状态两种方式切换。既保证了安全,又能够方便的使用。加密包括两个元素:算法和密钥对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)[7]。对称加密以数据加密标准(sata encryption etandard,DES)算法为典型代表,非对称加密通常以RSA (rivest shamir ad1eman)算法为代表。现代的成熟加密解密算法,都具有可靠的加密强度,除非能够持有正确的密钥,否则很难强行破解。采用加密和身份认证技术,存储就有了可靠的保障。
4.3.3 防止信息泄密 信息的泄露会在传输和存储随时发生。数据泄漏主要包括:①运用网络攻击,以高科技、医药研发、文化创意、咨询等知识密集型企业和金融、证券、电子商务等领域的企业最为常见。②社交网站的兴起。微博、BBS、社区等社交网站的兴起为公共服务开展创造了更便捷的平台,但与此同时,这些应用也带来了新型的攻击。③网络内部用户的非法窃取。通过即时通讯、FTP 上传、移动存储、打印、电子邮件等手段泄漏信息。
面对种种潜在的信息泄漏“危机”,建立一个完善的信息防火墙是必不可少的。①选择专业数据防泄露工具,可对不同保护级别的数据予以相应的保护。此外,网络安全管理者还应对存储在服务器、数据库、终端磁盘、便携设备和其他数据库的数据进行加密防护。②封堵各种泄漏途径。网络系统复杂多样,数据存储系统也需要分门别类的维护,比如,从职能上进行划分,亦可从部署位置上可以分为内网系统和外网系统等等。因此,不同网络区域有着不同的数据防护需求。③控制计算机的外设端口和网络,对各类移动存储设备进行加密处理。众多加密产品的问世,可以使网络安全管理者以较低的成本实现电子邮件、磁盘等系统的加密。采取加密技术来实现对内部关键数据和文件的监控和保护,这可以在完全不改变原有工作流程和文件使用习惯的前提下,有效的防止被动和主动泄密。④培养用户的忠诚度,创造良好的工作环境氛围,增强用户的归属感,提高信息防泄漏的意识等,可以从内部着手进一步减低重要信息外漏的风险。
[1]胡煜斌. 探析当前计算机网络安全的现状与防范[J]. 长江工程职业技术学院学报,2011,28 (4) : 70.
[2]龚伏廷. 计算机网络安全技术探析[J]. 电脑知识与技术,2010,6 (15) : 3922.
[3]夏恒元. 网络安全与防护的相关研究[J]. 科技资讯,2007,5 (31) : 237.
[4]赵真. 浅析计算机网络的安全问题及防护策略[J]. 上海工程技术大学教育研究,2010,24 (3) : 237.
[5]谢丽芬. 江西电力职业技术学院电子校务系统设计与实现[D]. 西安: 电子科技大学,2010. 36.
[6]祝俊琴,孙瑞. 浅析信息数据的安全与加密技术[J]. 硅谷,2011,10 (6) : 16.
[7]朱建忠. 计算机网络安全与防范研究[J]. 网络安全技术与应用,2009,7 (12) : 37.
