浅谈计算机网络安全管理
【关键词】 ;
【正文】关键词:计算机;网络;安全;管理
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联络形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件等攻击,所以网上信息的安全和保密是一个至关重要的问题。故此,网络的安全措施应是能全方位的排除各种不同的威胁,这样才能确保网络信息的保密性、安全性。
一、计算机网络面临的威胁
计算机网络所面临的威胁大体分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,针对网络安全的威胁的主要有以下几种:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账户随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可分为以下两种:一种是主动攻击,它以各种方式有所选择的破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要的机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻击网络内部的事件大部分就是因为安全措施不完善所招致。
二、网络的安全需求分类
(1)数据保密,防止非受权用户截获并使用该数据;
(2)数据完整性,防止在传输过程中有被篡改;
(3)身份验证,证实它就是它所声称的那个人;
(4)授权,控制谁能够访问网络上的信息并且能够进行何种操作;
三、网络安全技术
(1)防火墙技术(Fire Wall)
作为近年来新兴的保护计算机网络安全技术性措施,防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换言之:防火墙是一道门槛,控制进出两个方向的通信。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯Intemet和公用网络的目的。
防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对部分的非法访问难以有效地控制,因此,防火墙最适合于相对独立的与外部网络的互联途径有限、网络服务种类相对集中的单一网络,例如常见的企业专用网。
(2)加密。加密作为一种主动的防卫手段,其优势明显,因此要保障网络信息的安全,就应当用现代密码学来助阵。在网络应用中一般采取两种加密形式:秘密密钥和和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。
对于秘密密钥,又叫私钥加密和对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境,在Internet中使用更多的公钥系统。
(3)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。经过加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
(4)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IBM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
(5)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
(6)属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件夹、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。除此还有网络服务器安全控制;网络监测和锁定控制;网络端口和节点的安全控制;网络防毒技术等。
综上所述,网络安全是一项复杂的技术,涉及计算机管理和应用的各个环节。用户只有针对使用类型,才能确定最佳解决方案。
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联络形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件等攻击,所以网上信息的安全和保密是一个至关重要的问题。故此,网络的安全措施应是能全方位的排除各种不同的威胁,这样才能确保网络信息的保密性、安全性。
一、计算机网络面临的威胁
计算机网络所面临的威胁大体分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络的因素很多,针对网络安全的威胁的主要有以下几种:
(1)人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账户随意转借他人或与别人共享等都会对网络安全带来威胁。
(2)人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可分为以下两种:一种是主动攻击,它以各种方式有所选择的破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要的机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻击网络内部的事件大部分就是因为安全措施不完善所招致。
二、网络的安全需求分类
(1)数据保密,防止非受权用户截获并使用该数据;
(2)数据完整性,防止在传输过程中有被篡改;
(3)身份验证,证实它就是它所声称的那个人;
(4)授权,控制谁能够访问网络上的信息并且能够进行何种操作;
三、网络安全技术
(1)防火墙技术(Fire Wall)
作为近年来新兴的保护计算机网络安全技术性措施,防火墙是一种隔离控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。换言之:防火墙是一道门槛,控制进出两个方向的通信。通过限制与网络或某一特定区域的通信,以达到防止非法用户侵犯Intemet和公用网络的目的。
防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对部分的非法访问难以有效地控制,因此,防火墙最适合于相对独立的与外部网络的互联途径有限、网络服务种类相对集中的单一网络,例如常见的企业专用网。
(2)加密。加密作为一种主动的防卫手段,其优势明显,因此要保障网络信息的安全,就应当用现代密码学来助阵。在网络应用中一般采取两种加密形式:秘密密钥和和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。
对于秘密密钥,又叫私钥加密和对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境,在Internet中使用更多的公钥系统。
(3)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。经过加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。
(4)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IBM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。
(5)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
(6)属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件夹、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。除此还有网络服务器安全控制;网络监测和锁定控制;网络端口和节点的安全控制;网络防毒技术等。
综上所述,网络安全是一项复杂的技术,涉及计算机管理和应用的各个环节。用户只有针对使用类型,才能确定最佳解决方案。
- 【发布时间】2017/8/5 14:29:28
- 【点击频次】697