计算机网路安全涉及通讯安全、计算机系统安全、储存安全、物理安全、人员安全等诸多要素,下面是我整理的,希望你能从中得到感悟!
计算机网路安全
【摘 要】如何在一个开放式的计算机网路物理环境中构造一个封闭的逻辑环境来满足于国家、群体和个人实际需要,已成为必须考虑的实际问题。计算机网路的安全就是为了克服这些安全问题,使计算机网路的使用更有保障而诞生和发展起来的。
【关键词】加密技术;防火墙技术;网路安全策略
0.概述
网路系统安全涉及通讯安全、计算机系统安全、储存安全、物理安全、人员安全等诸多要素,是与人、网路、环境有关的技术安全、结构安全和管理安全的总和。
1.计算网路面临的威胁
网路安全缺陷产生的原因主要有:TCP/IP的脆弱性、网路结构的不安全性 、易被窃听、缺乏安全意识。
2.计算机网路安全策略
2.1物理安全策略
抑制和防止电磁泄漏***即TEMPEST技术***是物理安全策略的一个主要问题。
2.2访问控制策略
访问控制是网路安全防范和保护的主要策略,它的主要任务是保证网路资源不被非法使用和非常访问。
2.2.1入网访问控制
入网访问控制为网路访问提供了第一层访问控制。它控制哪些使用者能够登入到伺服器并获取网路资源,控制准许使用者入网的时间和准许他们在哪台工作站入网。
2.2.2网路的许可权控制
网路的许可权控制是针对网路非法操作所提出的一种安全保护措施。使用者和使用者组被赋予一定的许可权。
2.2.3目录级安全控制
网路应允许控制使用者对目录、档案、装置的访问。对目录和档案的访问许可权一般有八种:系统管理员许可权***Supervisor***、读许可权***Read***、写许可权***Write***、建立许可权***Create***、删除许可权***Erase***、修改许可权***Modify***、档案查询许可权***File Scan***、存取控制权限***Access Control***。
2.2.4属性安全控制
当用档案、目录和网路装置时,网路系统管理员应给档案、目录等指定访问属性。属性往往能控制以下几个方面的许可权:向某个档案写资料、拷贝一个档案、删除目录或档案、检视目录和档案、执行档案、隐含档案、共享、系统属性等。
2.2.5网路伺服器安全控制
网路伺服器的安全控制包括可以设定口令锁定伺服器控制台,以防止非法使用者修改、删除重要资讯或破坏资料;可以设定伺服器登入时间限制、非法访问者检测和关闭的时间间隔。
2.2.6监测和锁定控制
网路管理员应对网路实施监控,伺服器应记录使用者对网路资源的访问,对非法的网路访问,伺服器应以图形或文字或声音等形式报警,以引起网路管理员的注意。
2.2.7网路埠和节点的安全控制
网路中伺服器的埠往往使用自动回呼装置、静默调变解调器加以保护,并以加密的形式来识别节点的身份。
3.资讯加密策略
资料加密的基本过程就是对原来为明文的档案或资料按某种演算法进行处理,使其成为不可读的一段程式码,通常称为"密文",使其只能在输入相应的金钥之后才能显示出本来内容,通过这样的途径来达到保护资料不被非法人窃取,阅读的目的。该过程的逆过程为解密,即将该编码资讯转化为其原来资料的过程。
加密技术通常分为三大类:"对称式","非对称式"和"单项式"。
对称式加密就是加密和解密使用同一个金钥,通常称之为"Session Key"这种加密技术目前被广泛采用。
非对称式加密就是加密和解密所使用的不是同一个金钥,通常有两个金钥,称为"公钥"和"私钥",它们两个必需配对使用,否则不能开启加密档案。
单项加密也叫做杂凑加密,这种加密使用hash演算法把一些不同长度的资讯转化成杂乱的确128位的编码里,叫做hash值。
4.防火墙技术
网路防火墙技术是一种用来加强网路之间访问控制,防止外部网路使用者以非法手段通过外部网路进入内部网路,访问内部网路资源,保护内部网路操作环境的特殊网路互联装置。
4.1防火墙的分类
根据防火墙所采用的技术不同,我们可以将它分为四种基本型别:包过滤型,网路地址转换―NAT,代理型和监测型。
4.2包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网路中的分包传输技术。
4.3网路地址转化―NAT
网路地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准。它允许具有私有IP地址的内部网路访问因特网。
4.4代理型
代理型防火墙也可以被称为代理伺服器,它的安全性要高于包过滤型产品,并已经开始向应用层发展,代理伺服器位于客户机与伺服器之间,完全阻挡了二者间的资料交流。
4.5监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的资料进行主动的,实时的监测,在对这些资料加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。
5.计算机网路安全的防范措施
5.1网路系统结构设计合理与否是网路安全执行的关键
由于区域网采用的是以广播为技术基础的乙太网,任何两个节点之间的通讯资料包,也被处在同一乙太网上的任何一个节点的网络卡所撷取。网路分段技术的应用将从源头上杜绝网路的安全隐患问题,以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。
5.2强化计算机管理是网路系统安全的保证
***1***加强设施管理,确保计算机网路系统实体安全。建立健全安全管理制度,防止非法使用者进入计算机控制室和各种非法行为的发生;***2***强化访问控制,力促计算机网路系统执行正常。***3***建立网路的许可权控制模组。网路的许可权控制是针对网路非法操作所提出的一种安全保护措施。***4***建立属性安全服务模组。属性安全控制可以将给定的属性与网路伺服器的档案、目录和网路装置联络起来。***5***建立网路伺服器安全设定模组。***6***建立档案资讯加密制度。***7***建立网路智慧型日志系统。***8***建立完善的备份及恢复机制。
随着计算机技术和通讯技术的发展,计算机网路将日益成为工业,农业和国防等方面的重要资讯交换手段,渗透到社会生活的各个领域.因此,认清网路的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网路的安全性将变得十分重要,相信在未来十年中,网路安全技术一定会取得更为长足的进展。
【参考文献】
[1]朱雁辉.防火墙与网路封包[M].电子工业出版社.
[2]资讯管理系列编委会.网路安全管理[M].中国人民大学出版社.
[3]张红旗.资讯网路安全[M].清华大学出版社.
[4]张千里,陈光英.网路安全新技术.人民邮电出版社.
[5]汤子瀛等.计算机网路.西安电子科技大学出版社.
[6]彭民德.计算机网路教程.清华大学出版社,67~88.
[7]张伟.网路安全.机械工业出版社,99.
[8]何炎祥.计算机网路安全学习指导与习题解答.清华大学出版社,101~112.
[9]袁津生,吴砚农.计算机网路安全基础***第二版***.人民邮电出版社,2003:78~92.
[10]殷伟.电脑保安与病毒防治 安徽科学技术出版社,2003:372~382.
点选下页还有更多>>>