对计算机网络安全问题的探析
2022-07-06董睿
董睿
摘 要:由于计算机网络具有联接形式多样性、终端分布不均匀性以及网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨企图的攻击,所以网上信息的安全和保密是一个至关重要的问题。因此,网络必须有足够强的安全措施,否则网络将是个无用、甚至会危及企业和国家安全的网络。
关键词:计算机网络;安全;思考
一、计算机网络面临的威胁
计算机网络受攻击的对象主要有两种:一是网络中的信息,二是网络中的设备。影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;还可能是外来黑客对网络系统资源的非法使用。归结起来,针对网络安全的威胁主要有三。
一是人为的无意失误。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等,都会给网络安全带来威胁。
二是人为的恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:首先是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;其次是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译,以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
三是网络软件的漏洞和“后门”。网络软件不可能百分之百地无缺陷和无漏洞,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的后果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。
二、计算机网络的安全策略
一是物理安全策略。物理安全策略的目标是保护计算机系统、网络服务器、打印机等硬件设施和通信链路免受自然灾害、人为破坏和搭线攻击。一般采取的方法有:验证用户的身份和使用权限,防止用户越权操作,确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;另一类是对辐射的防护,这类防护措施又可分为对电磁辐射进行屏蔽,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽、隔离和对干扰的防护,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射,来掩盖计算机系统的工作频率和信息特征。
二是访问控制策略。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问,它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。
1、入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
2、网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施,用户和用户组被赋予一定的权限。主要有网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,指定用户对这些文件、目录、设备可以执行哪些操作等。我们可以根据访问权限将用户分为以下几类:①特殊用户(即系统管理员);②一般用户,系统管理员根据他们的实际需要为他们分配操作权限;③审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3、目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目录的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派,继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。
4、网络服务器安全控。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以进行安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
5、防火墙控制。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
三、信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法來具体实施的,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法两种。
一是常规密码。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在众多的常规密码中影响最大的是美国的DES密码。常规密码的优点是有很强的保密强度,且能经受住时间的检验和攻击的考验,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
二是公钥密码。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥中推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和验证;但其算法复杂,加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
四、结束语
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等。
参考文献:
[1]赵建军;计算机网络信息安全及防护[J];电子技术与软件工程; 2020年第16期
[2]罗廷兴;大数据背景下的计算机网络信息安全及防护对策分析[J];信息与电脑(理论版); 2020年第32期