计算机网络系统安全威胁及的对策.docVIP

计算机网络系统安全威胁及的对策 　　摘 要：计算机信息技术的不断发展，使得高校和各类企事业单位都建立了自有的局域网络平台，并通过网络接入设备与互联网相互连接，或通过Internet的VPN通道连接方式，形成了自己单位系统内部使用的广域网络平台，进行着对外信息发布、信息查询和内部业务的应用，这就使得网络系统随时可能遭受各种网络侵袭和物理环境因素的影响而陷于瘫痪，造成巨大的损失。本文主要介绍了计算机网络信息系统所承受的安全威胁形式以及可以采取的应对策略。 　　关键词：安全威胁；访问控制 　　中图分类号： TP393.08 文献标识码： A 文章编号： 1673-1069（2016）26-136-2 　　1 网络信息系统的安全威胁 　　安全威胁就是对于计算机网络信息系统的安全而出现的威胁。具体指一些实体或事件，诸如个人、事件或应用程序对于系统内部某一项或某类系统资源的安全性、完整性以及在授权使用范围内的使用造成影响和危害。 　　对于网络信息系统的安全威胁。可将其划分为有意识行为和无意识行为。 　　有意识行为主要是对网络信息系统的有意识的系统入侵。无意识的安全威胁是系统通过扫描（ping的方式）而不对其进行某些实际行动。有偶然行为，也有某些有意识的个人炫耀性行为；有意识的安全威胁则是带有某些目的性的入侵，是对某些信息的修改（如对于学生成绩的修改和对于企业信息的某些主要数据的修改）和专有的数据信息资源的盗取和外泄。 　　系统攻击者（俗称黑客、网军）多数是采用多种独特的方式，寻找将要攻击系统的漏洞而入侵和攻击，造成的影响和危害各不相同。 　　1.1 关闭某些服务 　　入侵者主要是对于某些网络关键设备（网络核心交换机、某汇聚层或接入交换机）的网络配置程序进行修改，改变网络路由，使之引向一个无效的网络路由指引，而实现网络中断。也可以对某些网络服务器系统进行入侵，关闭服务器的某些应用。 　　1.2 数据信息盗窃 　　入侵者有目的盗取企事业单位中所需要的关键信息数据、如学生个人信息、企业的经销存数据和财务数据等。这种攻击行为一般是通过网络扫描、伪装或使用某些合法方式对于网络信息系统进行攻击。如：使用扫描和破译用户密码的计算机程序软件和伪造密钥。也可在入侵了网络系统之后，伪装成系统内部用户而由系统内部破译密码合法登录系统等方式对系统发起攻击。 　　1.3 信息数据的破坏 　　入侵者既有对系统的关键设备设置、程序应用和存储数据的篡改并合法保存，使之为其长时间服务和利用，也有正在通过网络平台进行数据复制传输。这种攻击行为是以损坏系统的数据信息资源的完整性为目的的。 　　2 安全解决方案的关键措施 　　最大限度地发挥网络数据通信的优势，完整的安全解决方案必须包含以下保护措施： 系统物理保护；动态用户身份验证；访问用户控制；多重加密；实时网络监控。 　　2.1 物理安全保护 　　物理风险主要涉及网络系统平台的设备选型和网络系统访问人员的身份验证。可以使用的措施和策略相应比较多：系统设备选型和调整；网络路由的时段性调整；敏感网络设备或应用设备，配置在可以严格保护的安全环境中；销毁过期文档或对敏感文档实行刻盘保护；动态身份验证；用户密码的安全性保护策略和增加相应的身份验证设备等。物理性的安全措施大多数都依赖于行政手段（如制度性建设等）的干预并结合新设备的购买和使用来实现。 　　2.2 访问用户身份验证 　　身份验证是所有网络安全系统中不可或缺的一个重要组成部分。是区别系统合法用户和网络入侵者的唯一重要方法。使用统一身份管理系统，进行统一身份验证、统一身份管理、统一授权、统一审核以及单点登录方式，加强管理，守好第一道关卡；除去用户身份验证之外，身份验证系统还可用于分配和确定请求访问者使用网络资源的范围、数据使用授权，如人事数据库、财务数据库、物流系统服务器或数据库等，或某些应用系统中的应用范围限制等； 　　用户身份验证一般包含几个要素：①用户使用方式：智能卡、授权使用证书、use key等；②用户保护方式：用户密码（静态密码、随即验证码等）；③物理属性保护：用户指纹、虹膜或脸部特征扫描识别等物理方式对访问用户进行物理确认。身份验证主要是通过访问用户询问和回答、统一账号管理、基于AD域集成认证和单点登录、统一认证单点登录，数字签名服务管理等技术来实现。作为网络系统管理员，可以根据网络内部和网络外部访问用户的不同需求制定不同的访问安全策略。在网络信息系统内部不同的资源控制区域，采取不同的网络信息资源安保技术的组合来实现对网络内外部访问用户的身份验证。 　　2.3 用户访问控制 　　用户访问控制是指制约访问用户连接的特定网络、PC、特定类别的数据流量的能力。管理用户访问系统的软硬件技术和实现形式一般如下： 　　①基于A