科技信息2008年第27期SCIENCE&TECHNOLOGYINFORMATION
科●一、影响计算机网络安全的因素(1)安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。(2)应用系统安全漏洞。WEB服务器和浏览器难以保障安全,最初人们引入CGI程序目的是让主页活起来,然而很多人在编CGI程序时对软件包并不十分了解,多数人不是新编程序,而是对程序加以适当的修改,这样一来,很多CGI程序就难免具有相同安全漏洞。(3)后门和木马程序。后门的功能主要有:使管理员无法阻止种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少时间。木马,又称为特洛伊木马,是一类特殊的后门程序,英文叫做“trojianhorse”,其名称取自希腊神话的“特洛伊木马记”,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。木马里一般有两个程序,一个是服务器程序,一个是控制器程序。如果一台电脑被安装了木马服务器程序,那么,黑客就可以使用木马控制器程序进入这台电脑,通过命令服务器程序达到控制你的电脑的目的。(4)计算机病毒。计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒,就是以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传统的恶性病毒。它具有病毒的一些共性,如传播性、隐蔽性、破坏性和潜伏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等。(5)硬件的配置不协调。一是文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。二、网络安全机制应具有的功能(1)身份识别。身份识别是安全系统应具备的基本功能,身份识别主要是通过标识和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。对于一般的计算机网络而言,主要考虑主机和节点的身份认证,至于用户的身份认证可以由应用系统来实现。(2)存取权限控制。访问控制是根据网络中主体和客体之间的访问授权关系,对访问过程做出限制,可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及其身份来控制主体的活动,能够实施用户权限管理、访问属性(读、写、执行)管理等。强制访问控制则强调对每一主、客体进行密级划分,并采用敏感标识来标识主、客体的密级。(3)数字签名。即通过一定的机制如RSA公钥加密算法等,使信息接收方能够做出“该信息是来自某一数据源且只可能来自该数据源的判断”。(4)保护数据完整性。既通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户被欺骗。(5)审计追踪。通过网络上发生的各种访问情况记录日志,对日志进行统计分析,从而对资源使用情况进行事后分析。审计也是发现和追踪事件的常用措施。当系统出现安全问题时能够追查原因。(6)密钥管理。信息加密是保障信息安全的重要途径,以密文方式在相对安全的信道上传递信息,可以让用户比较放心地使用网络。对密钥的产生、存储、传递和定期更换进行有效地控制而引入密钥管理机制,对增加网络的安全性和抗攻击性也是非常重要的。三、计算机网络安全的防范措施(1)加强设施管理,确保计算机网络系统实体安全建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生;注重在保护计算机系统、网络服务器、打印机等外部设备和通信链路上狠下功夫,并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、接线及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。(2)强化访问控制,保证计算机网络系统运行正常①建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。可以根据访问权限将用户分为3种类型:特殊用户(系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。②建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。③建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装非法访问设备等。安装非法访问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障,也是控制进、出两个方向通信的门槛。目前的防火墙有3种类型:一是双重宿主主机体系结构的防火墙;二是被屏蔽主机体系结构的防火墙;三是被屏蔽主机体系结构的防火墙。流行的软件有:金山毒霸、KV3000+、瑞星、KILL等。(3)从技术上解决信息网络安全问题①数据备份。所谓数据备份就是将硬盘上的有用的文件、数据都拷贝到另外的地方如移动硬盘等,这样即使连接在网络上的计算机被攻击破坏,因为已经有备份,所以不用担心,再将需要的文件和数据拷回去就可以了。做好数据的备份是解决数据安全问题的最直接与最有效措施之一。②物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。③防火墙技术。防火墙技术对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信,在很大程度上保护了网络的安全性。【参考文献】[1]香方桂.软件加密解密技术及应用[M].长沙:中南工业大学出版社.2004.[2]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002.[3]殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004.[责任编辑张新雷]现代计算机网络安全的现状及对策吴楚林(惠州市海达计算机系统工程有限公司广东惠州516008)【摘要】随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。本文从不同角度全面了解影响计算机网络安全的因素,并从个几个方面提出计算机网络安全防范的相关措施,以确保网络的安全管理与有效运行。【关键词】计算机网络;网络安全;加密技术○IT技术论坛○