浅谈机计算机网络安全管理

《浅谈机计算机网络安全管理》由会员分享，可在线阅读，更多相关《浅谈机计算机网络安全管理（6页珍藏版）》请在装配图网上搜索。

1、浅谈机计算机网络安全管理 -罗英伟职称：工程师 单位：中国铁通大兴安岭分公司 随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联络形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、怪客、恶意软件和其它不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。对于军用的自动化指挥网络、C31系统和银行等传输敏感数据的计算机网络系统而言，其网上信息的安全和保密尤为重要。因此，上述的网络必须有足够强的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在自然和人为等诸多因素的脆弱性和潜在危胁。故此，网络

2、的安全措施应是能全方位的针对各种不同的危胁和脆弱性，这样才能确保网络信息的保密性、完整性和可能性。一、计算机网络面临的威胁计算机网络所面临的威胁大体分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，针对网络安全的威胁的主要有以下几种： （1）、人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐户随意转借他人或与别人共享等都会对网络安全带来威胁。 （2）、人为的恶意攻击：这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可分为以下两种：一种是主动攻击，它以各种方式有所选择的破坏信息的

3、有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要的机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 （3）、网络软件的漏洞和“后门”：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻击网络内部的事件，这些事件大部分就是因为安全措施不完善所招致的苦果。二、网络的安全需求分类 （1）、数据保密，防止非受权用户截获并使用该数据； （2）、数据完整性，用户使用一种方案来确认网络上的数据，在传输过程中有被篡改； （3）、身份验证，用户需要对网络上的另一个用户进行验证

4、，证实它就是它所声称的那个人； （4）、授权，用户需要控制谁能够访问网络上的信息并且能够进行何种操作； （5）、不可抵赖和不可否认，用户不能抵赖自己曾做出的行为，也不能否认曾经接到对方的信息，这在交易系统中十分重要。另外，保护硬件资源不被非法占有；软件资源免受病毒的侵害，都构成了整个信息网络上的安全需要。三、网络安全技术 （1）、防火墙技术（Fire Wall） 作为近年来新兴的保护计算机网络安全技术性措施，防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从公司的网络上被非法输出。换言之：防火墙是一道门槛，控制进出两个

5、方向的通信。通过限制与网络或某一特定区域的通信，以达到防止非法用户侵犯Intemet和公用网络的目的。 防火墙是一种被动防卫技术，由于它假设了网络的边界和服务，因此对部分的非法访问难以有效的控制，因此，防火墙最适合于相对独立的与外部网络的互联途径有限、网络服务种类相对集中的单一网络，例如常见的企业专用网。 (2)、加密 加密作为一种主动的防卫手段,其优势明显,因此要保障网络信息的安全，就应当用现代密码学来助阵。在网络应用中一般采取两种加密形式：秘密秘钥和和公开密钥，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外，密钥合理分配、加密效率

6、与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。 对于秘密密钥，又叫私钥加密和对称密钥加密。其常见加密标准为DES等，当使用DES时，用户和接受方采用64位密钥对报文加密和解密，当对安全性有特殊要求时，秘密密钥效率高，它采用KDC来集中管理和分发密钥并以此为基础验证身份，但是并不适合Internet环境，在Internet中使用更多的公钥系统。 （3）、入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用

7、户帐号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，

8、基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户或用户帐号是所有计算机系统中最基本的安全形式。用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。（4）、网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用

9、户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IBM）可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。（5）、目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。（6）、属性安全控制当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件夹、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。除此还有网络服务器安全控制；网络监测和锁定控制；网络端口和节点的安全控制；网络防毒技术等。综上所述，网络安全是一项复杂的技术，涉及到计算机管理和应用的各个环节。用户只有针对使用类型，才能确定最佳解决方案。 2011年11月10日