隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊,所以網上信息的安全和保密是壹個至關重要的問題。對於軍用的自動化指揮網絡、C3I系統和銀行等傳輸敏感數據的計算機網絡系統而言,其網上信息的安全和保密尤為重要。因此,上述的網絡必須有足夠強的安全措施,否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
2.計算網絡面臨的威脅
計算機網絡所面臨的威脅大體可分為兩種:壹是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網絡系統資源的非法使有,歸結起來,針對網絡安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人***享等都會對網絡安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這壹類。此類攻擊又可以分為以下兩種:壹種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另壹類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,並導致機密數據的泄漏。
(3)網絡軟件的漏洞和“後門”:網絡軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網絡內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“後門”都是軟件公司的設計編程人員為了自便而設置的,壹般不為外人所知,但壹旦“後門”洞開,其造成的後果將不堪設想。
3.計算機網絡的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有壹個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的壹個主要問題。目前主要防護措施有兩類:壹類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另壹類是對輻射的防護,這類防護措施又可分為以下兩種:壹是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是幹擾的防護措施,即在計算機系統工作的同時,利用幹擾裝置產生壹種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。
3.2 訪問控制策略
訪問控制是網絡安全防範和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網絡安全最重要的核心策略之壹。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網絡訪問提供了第壹層訪問控制。它控制哪些用戶能夠登錄到服務器並獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何壹關未過,該用戶便不能進入該網絡。
對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第壹道防線。用戶註冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字符,口令字符最好是數字、字母和其他字符的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩余的口令加密,基於多項式***享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可采用壹次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。
網絡管理員應該可以控制和限制普通用戶的帳號使用、訪問網絡的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯壹性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進壹步履行用戶帳號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問“資費”用盡時,網絡還應能對用戶的帳號加以限制,用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網絡的權限控制
網絡的權限控制是針對網絡非法操作所提出的壹種安全保護措施。用戶和用戶組被賦予壹定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當於壹個過濾器,可以限制子目錄從父目錄那裏繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)壹般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用壹個訪問控制表來描述。
3.2.3 目錄級安全控制
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄壹級指定的權限對所有文件和子目錄有效,用戶還可進壹步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限壹般有八種:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、存取控制權限(Access Control)。用戶對文件或目標的有效權限取決於以下二個因素:用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。壹個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問 ,從而加強了網絡和服務器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網絡設備時,網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進壹步的安全性。網絡上的資源都應預先標出壹組安全屬性。用戶對網絡資源的訪問權限對應壹張訪問控制表,用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝壹個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、***享、系統屬性等。網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網絡服務器安全控制
網絡允許在服務器控制臺上執行壹系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網絡監測和鎖定控制
網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形或文字或聲音等形式報警,以引起網絡管理員的註意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那麽該帳戶將被自動鎖定。
3.2.7 網絡端口和節點的安全控制
網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默調制解調器用以防範黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和服務器端再進行相互驗證。
3.2.8 防火墻控制
防火墻是近期發展起來的壹種保護計算機網絡安全的技術性措施,它是壹個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型;
(1)包過濾防火墻:包過濾防火墻設置在網絡層,可以在路由器上實現包過濾。首先應建立壹定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當壹個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火墻可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火墻:代理防火墻又稱應用層網關級防火墻,它由代理服務器和過濾路由器組成,是目前較流行的壹種防火墻。它將過濾路由器和軟件代理技術結合在壹起。過濾路由器負責網絡互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似於壹個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,代理服務器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名範圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求。代理防火墻無法快速支持壹些新出現的業務(如多媒體)。現要較為流行的代理服務器軟件是WinGate和Proxy Server。
(3)雙穴主機防火墻:該防火墻是用主機來執行安全控制功能。壹臺雙穴主機配有多個網卡,分別連接不同的網絡。雙穴主機從壹個網絡收集數據,並且有選擇地把它發送到另壹個網絡上。網絡服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的***享數據區傳遞數據,從而保護了內部網絡不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯壹方法。據不完全統計,到目前為止,已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的算法、橢園曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網絡的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼算法將是壹種很有前途的網絡安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在壹起使用,比如:利用DES或者IDEA來加密信息,而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼和分組密碼。前者每次只加密壹個比特而後者則先將信息序列分組,每次處理壹個組。 密碼技術是網絡安全最有效的技術之壹。壹個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之壹。
5. 網絡安全管理策略
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理,制定有關規章制度,對於確保網絡的安全、可靠地運行,將起到十分有效的作用。
網絡的安全管理策略包括:確定安全管理等級和安全管理範圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對於保障網絡的安全性將變得十分重要。