浅谈网络建设的安全策略.docVIP

浅谈网络建设的安全策略 　　[摘要]论述网络的物理安全，网络管理安全、操作系统安全、防火墙部署等，并依据防火墙部署的位置详细阐述防火墙的选择标准，对网络安全的现状及其研究方向做出分析。 　　[关键词]网络安全 防火墙 　　中图分类号：TP3 文献标识码：A文章编号：1671－7597 (2008) 0110026－03 　　 　　一、信息系统安全的层次 　　 　　一个信息系统的安全问题包含许多内容，通常可分为下面五个层面： 　　（一）物理安全问题 　　物理安全主要包含主机硬件和物理线路的安全问题，包括如下因素：火灾及自然灾害、辐射、硬件故障、搭线窃听、盗用、偷窃、超负荷等等。如线路窃听就是网上“黑客”们经常采用且很难被发现的手段。除光缆外的各种通信介质都不同程度的存在着电磁辐射。Modem、Terminal、电缆接口等亦都存在电磁辐射，有些甚至可在较远距离内将信号还原。“黑客”们便经常利用这些电磁辐射，使用各种高性能的协议分析仪和信道监测器进行搭线窃听，对信息流进行分析，可以很容易地得到口令、ID及账号等重要信息。 　　要设置好物理安全，必须控制对系统和它所连接网络的策略关系，检查系统所处的位置，注意阻止未授权用户做某些事情。 　　（二）网络安全问题 　　网络安全是指网络层面的安全，把计算机连到网络上又多出一个新的安全威胁。从绝对意义讲，联网的计算机都是不安全的，能被网上的任何一台主机攻击或插入物理网络攻击，同时网络软件也引入新的威胁，大部分Internet软件协议没有进行安全性的设计，并且网络服务器程序经常用超级用户特权来执行，这便造成诸多安全问题。如：信息在网络中传输时的安全问题、网络上的服务器对外提供的服务及其端口设置的安全问题等。主要包含： 　　1．非授权访问 　　通过巧妙地避开系统访问控制机制，攻击者或合法用户对网络设备及资源进行非正常使用，擅自扩大权限，访问无权访问的信息。如非法使用无权使用的网管软件，查看或修改重要的网络数据等。 　　2．假冒主机或用户 　　网上“黑客”们非法增加节点，使用假冒主机以欺骗合法用户及主机，使用假冒的网络控制程序（如特洛伊木马）套取或修改使用权限、密钥、口令等信息，然后利用这些信息冒充合法使用者甚至超级用户进行远程登录，使系统逐渐失去防卫能力。也有的攻击者在发现某个合法用户与某个远程主机或网络建立连接后，通过非法端口或网络协议上的漏洞，接管该合法用户，从而达到欺骗系统、占用合法用户资源的目的。 　　3.对信息完整性的攻击 　　改变信息流的秩序或流向，删除、修改或重发某些重要信息，以便使对方做出对攻击者有意的响应，或恶意增添大量无用的信息，干扰用户的正常使用。 　　4.对服务的干扰 　　不断地对网上的服务实体进行干扰，使其忙碌，执行非服务性操作，使系统或用户无法正常使用甚至瘫痪。 　　（三）系统安全问题 　　系统安全是指主机操作系统层面的安全，如系统目录设置、账号口令设置、安全管理设置的问题等。主要包含： 　　1．防止未授权存取 　　未被允许使用系统的人进入系统将造成不良后果，良好的用户意识、良好的口令管理、登录活动的记录和对报告、用户和网络活动的周期性检查等是防范的关键。 　　2．防止越权使用 　　3．防止泄密 　　防止已授权或未授权的用户相互存取重要信息是计算机安全环节中的一个重要问题。文件系统查账、用户意识及加密等都是防止泄密的关键。 　　4．防止用户拒绝系统的管理 　　这一方面的安全应由操作系统来完成。一个好的系统不应被一个有意试图使用过多资源的用户损害。然而常用操作系统都不能很好地限制用户对资源的使用，若不加限制，一个用户甚至能够使用文件系统的整个磁盘空间。 　　5.防止丢失系统的完整性 　　这一安全环节与系统管理员的实际工作密切，所以，系统管理员要定期地备份文件系统；系统崩溃后及时修复文件系统；当有新用户时，检测该用户是否具有可能使系统崩溃的软件，同时，保持一个可靠的操作系统，即用户不能经常性地使系统崩溃。 　　（四）人员管理安全问题 　　任何一个信息系统的安全，在很大程度上都依赖于最初设计时制定的网络安全策略及人员管理策略，因为所有的安全技术和手段，都围绕这一策略来选择和使用，如果在安全策略上出了问题，相当于没有安全系统，安全策略的指定一方面要考虑如何防止外部对本网的攻击，另一方面也要考虑如何防止内部人员的攻击，即人员管理问题，后者在某种程度上，其复杂性和难度要远远超过前者。所以，人员管理问题也是信息系统安全问题的一个重要环节。 　　（五）应用安全问题 　　应用安全是指主机系统上应用软件层面的安全，如：Web服务器、数据库的安全问题等。应用系统软件引入新的威胁，大部分Internet应用系统软件协议没有