论网络环境下的计算机网络安全.docx

? ? 论网络环境下的计算机网络安全 ? ? 陈德军 随着政府上网、企业上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之,Internet网的安全,包括信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。毫不夸张地说,在新世纪里它对一个国家的重要性完全可以与核武器相提并论。这个问题解决不好将全方位地危及国家的政治、军事、经济、社会生活等各个方面,使国家处于信息战和高度经济金融风险的威胁之中。下面,本人就此作一些分析和思考。 1加强网络安全意识教育 黑客的攻击之所以能经常得逞,其主要原因就是人们思想麻痹,没有正视黑客入侵所造成的严重后果,人们经常在有意无意之中就泄露了信息。当人们访问Web站点时,会无意留下访问的痕迹。当人们在网上购物时,不经意地泄露了许多私人信息,这些不经意为黑客进行数据收集或数据挖掘大开方便之门。 大力进行宣传教育,培养安全意识。国家必须从政治安全、经济安全的角度出发,以所发生的信息犯罪案件作为反方面教材来宣传、教育网络工作者和用户,引起重视、提高认识,树立良好的职业道德,加强自觉维护网络正常运行的安全意识。特别对未成年人,应从小培养网络用户的合法上网概念,防止有害信息的传播和渗透。另外,对工作人员应结合机房、硬件、软件、数据和网络等各方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。 2完善网络管理功能 安全管理就是控制对网络信息访问的过程,可在网络的多个层次上实现。如在数据链路层上采用加密;在网络层次设备路由器上采用分组过滤及路由协议认证等安全措施;在每个主机上对信息的每个访问点有相应的服务,而每个服务对敏感信息的访问提供一种或多种认证机制,如主机身份认证、用户身份证和密钥认证等。另外,访问控制、代理服务器、Web服务器、虚拟局域网、局域网、VLAN技术、网络管理及检测等网络管理功能也被广泛应用。下面对这些网络管理功能分别进行分析。 2.1加密 对路由信息或用户数据都可以采用加密措施。常用的加密方法有两种;比较老的和比较简单的是单密钥或保密密钥加密,另一种广泛的开放的网络安全的解决方案是比较新的更加复杂的编码形式,即公开密钥加密。在保密密钥加密方法中,发送者和接受者共同持有一个保密的密钥,发送者发送文件之前用这个密钥加密,并在网络上传送加密文件,接受者使用这个密钥解密。 2.2路由器及路由协议的安全措施 路由器中采取的分组成过滤和路由协议认证是两个重要的安全措施。分组过滤规则依据建立连接时需要的信息,如源/目标地址、端口号、协议类型等确定,进行分组过滤时,逐一查找分组过滤规则表,若匹配,产生相应的动作;若无法匹配,用默认规则处理,将分组丢弃。路由协议认证时通过检查动态路由协议OSPF分组中的数字签名信息来确认路由器身份。 2.3用户身份认证 用户身份认证用来确定用户是否合法。有两种认证方法:基于令牌的身份验证和kerberos。验证令牌与软件狗或钥匙盘类似,可以插在计算机串行或并行接口上,也可以是一张插入PC机的软盘。有同步和挑战应答两种验证令牌的实现算法:在同步算法中,身份认证服务器AS(Authentication Server)负责管理用户登录,产生一个PIN(Personal Identification Number)给用户,当用户使用PIN登录时,AS查找内部的身份认证数据库,若得到与用户令牌中相同的key,则用户的令牌产生一个序列,AS用内部得到的key使用同样算法同步产生一个序列,比较这两个序列是否相同来鉴别用户身份。 2.4访问控制 访问控制决定一个用户或程序是否有权对某一特定资源执行一个特定的操作(如共享、修改、签字等)。有3种权限判定方法:强制法,随意法和角色判定法。在强制法中,每个用户具有一个安全级,针对每个资源也有相应的安全系数。安全级集合是一个偏序集。也可以采用分类的方法,每个用户不仅有一个安全级,而且在同一级中还要受类别的控制。随意访问控制采用访问矩阵指定每一个用户对每个资源的访问模式(读、写、执行等权限)。 2.5代理服务器 通过代理服务器实现与Internet的连接,使内部网络更加安全。因为内部网络成为一个独立的封闭网络。对代理服务器有两种理解,一种理解为应用层防火墙,包括Web Proxy, TELNET P