【精选】浅谈机计算机网络安全管理.docVIP

浅谈机计算机网络安全管理 ---罗英伟 职称：工程师 单位：中国铁通大兴安岭分公司 随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联络形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、怪客、恶意软件和其它不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C31系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在自然和人为等诸多因素的脆弱性和潜在危胁。故此，网络的安全措施应是能全方位的针对各种不同的危胁和脆弱性，这样才能确保网络信息的保密性、完整性和可能性。 一、计算机网络面临的威胁 计算机网络所面临的威胁大体分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，针对网络安全的威胁的主要有以下几种： （1）、人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐户随意转借他人或与别人共享等都会对网络安全带来威胁。 （2）、人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可分为以下两种：一种是主动攻击，它以各种方式有所选择的破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要的机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 （3）、网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻击网络内部的事件，这些事件大部分就是因为安全措施不完善所招致的苦果。 二、网络的安全需求分类 （1）、数据保密，防止非受权用户截获并使用该数据； （2）、数据完整性，用户使用一种方案来确认网络上的数据，在传输过程中有被篡改； （3）、身份验证，用户需要对网络上的另一个用户进行验证，证实它就是它所声称的那个人； （4）、授权，用户需要控制谁能够访问网络上的信息并且能够进行何种操作； （5）、不可抵赖和不可否认，用户不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。另外，保护硬件资源不被非法占有；软件资源免受病毒的侵害，都构成了整个信息网络上的安全需要。 三、网络安全技术 （1）、防火墙技术（Fire Wall） 作为近年来新兴的保护计算机网络安全技术性措施，防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从公司的网络上被非法输出。换言之：防火墙是一道门槛，控制进出两个方向的通信。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯Intemet和公用网络的目的。 防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，因此对部分的非法访问难以有效的控制，因此，防火墙最适合于相对独立的与外部网络的互联途径有限、网络服务种类相对集中的单一网络，例如常见的企业专用网。 (2)、加密 加密作为一种主动的防卫手段,其优势明显,因此要保障网络信息的安全，就应当用现代密码学来助阵。在网络应用中一般采取两种加密形式：秘密秘钥和和公开密钥，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。 对于秘密密钥，又叫私钥加密和对称密钥加密。其常见加密标准为DES等，当使用DES时，用户和接受方采用64位密钥对报文加密和解密，当对安全性有特殊要求时，秘密密钥效率高，它采用KDC来集中管理和分发密钥并以此为基础验证身份，但是并不适合Internet环境，在Internet中使用更多的公钥系统。 （3）、入网访问控制 入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用