楊初長

摘 要:計算機網(wǎng)絡(luò)安全對計算機網(wǎng)絡(luò)的正常使用來說意義重大。對計算機網(wǎng)絡(luò)安全造成影響的因素主要有偶發(fā)因素、自然因素以及人為因素,其中,人為因素是最危險的因素。因此,人們要加強計算機網(wǎng)絡(luò)安全策略的研究,不斷提高計算機網(wǎng)絡(luò)安全。

關(guān)鍵詞:計算機網(wǎng)絡(luò)安全防范策略研究

中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)06(b)-0035-01

1影響計算機網(wǎng)絡(luò)安全的因素

1.1 計算機病毒泛濫成災(zāi)

蠕蟲是一段特殊編制的代碼,在網(wǎng)絡(luò)上進行傳播并具有復(fù)制性;木馬是一種隱藏在其他的正常程序當中的代碼,它可以隱蔽地提供接口和向外發(fā)送信息;病毒則是人為編制的一種具有破壞性質(zhì)的程序。可以說,計算機蠕蟲、木馬與病毒是不同的,但是它們都具有傳染性、隱蔽性、潛伏性、衍生性。

1.2 網(wǎng)絡(luò)系統(tǒng)設(shè)計

在設(shè)計網(wǎng)絡(luò)系統(tǒng)的時候,沒有充分考慮到系統(tǒng)設(shè)計的安全性、合理性、規(guī)范性,在使用過程當中安全漏洞比較多,受到的影響比較大。由于目前局域網(wǎng)采用的是以廣播技術(shù)為基礎(chǔ)的以太網(wǎng),任何節(jié)點之間的數(shù)據(jù)包,除了被相關(guān)的兩個節(jié)點接收之外,同時處于同一以太網(wǎng)的其他的任何一個節(jié)點也可以接收這個數(shù)據(jù)包。因此只要是對任何一個節(jié)點進行偵聽,就可以接收這個以太網(wǎng)上的所有的通信數(shù)據(jù)包,并對數(shù)據(jù)包進行解包分析,進而竊取信息。

1.3 傳輸線路因素

信息在傳輸過程當中由于意外事件、操作失誤、電磁輻射、設(shè)備故障、自然災(zāi)害等各種因素而對數(shù)據(jù)信息造成危害。

1.4 防火墻權(quán)限

許多的站點在配置防火墻上擴大了訪問權(quán)限,沒有意識到這些權(quán)限有能被其他的人員濫用。

2計算機網(wǎng)絡(luò)安全防范策略

2.1 傳輸線路

傳輸線路要有露天保護措施,或者直接掩埋于地下,而且要遠離輻射源,以減少由電磁干擾而引起的信息傳輸錯誤。調(diào)制調(diào)解器和集中器要放在監(jiān)視視線良好的地方,防止發(fā)生外連。電纜鋪設(shè)要采用金屬導(dǎo)管,這樣可以減少輻射對發(fā)送線路的干擾和電磁泄露。

2.2 網(wǎng)絡(luò)系統(tǒng)

要對網(wǎng)絡(luò)系統(tǒng)每個環(huán)節(jié)的設(shè)計進行全面地分析,這是建立可靠、安全的網(wǎng)絡(luò)系統(tǒng)的主要任務(wù),設(shè)計人員要在仔細研究的基礎(chǔ)之上努力抓好提高網(wǎng)絡(luò)運行質(zhì)量的方案設(shè)計。首先,可以采取分段技術(shù)。由于局域網(wǎng)采用的是以路由器作為邊界、以交換機作為中心地網(wǎng)絡(luò)傳輸?shù)母窬?加上基于中心交換機訪問控制功能與三層交換的功能,因此采取邏輯分段和物理分段可以避免同時處于同一以太網(wǎng)的其他的任何一個節(jié)點也可以接收這個數(shù)據(jù)包這種情況,將數(shù)據(jù)信息與非法用戶相互隔離,降低非法偵聽的效果,從而實現(xiàn)對局域網(wǎng)的有效控制,確保網(wǎng)絡(luò)資源的通暢安全。其次,也可以采取將共享式集線器轉(zhuǎn)變?yōu)榻粨Q式集線器的方法,這也可以避免同時處于同一以太網(wǎng)的其他的任何一個節(jié)點也可以接收這個數(shù)據(jù)包這種情況。

2.3 安全訪問控制

訪問控制的主要任務(wù)就是保障信息資源不被一些非法用戶訪問和使用,是網(wǎng)絡(luò)安全與防范的一個重要措施,也是計算機網(wǎng)絡(luò)安全的核心策略之一。(1)入網(wǎng)訪問功能。實施入網(wǎng)訪問控制是網(wǎng)絡(luò)安全防范的第一層控制,它可以做到允許哪些用戶可以進度到服務(wù)器獲取信息資源,控制用戶的入網(wǎng)時間以及允許他們從哪一臺工作站進入服務(wù)器。入網(wǎng)訪問控制分為三個環(huán)節(jié),第一,識別和驗證用戶名;第二,驗證和識別用戶口令;第三,檢查用戶賬號。在這三個環(huán)節(jié)當中無論哪一個環(huán)節(jié)出現(xiàn)問題,系統(tǒng)就會自動地將其視為非法用戶,不允許他們進入服務(wù)器。(2)權(quán)限控制。用戶以及用戶組有一定的訪問權(quán)限,權(quán)限控制就是主要針對網(wǎng)絡(luò)的非法操作提出的一個防范保護措施?？梢愿鶕?jù)權(quán)限大小將用戶分為三個層次,即審計用戶、一般用戶和特殊用戶。審計用戶主要負責網(wǎng)絡(luò)安全控制和信息資源的使用情況;一般用戶,管理員根據(jù)他們的實際需要來分配操作權(quán)限;特殊用戶就是系統(tǒng)管理員。(3)屬性控制。屬性控制在權(quán)限控制的基礎(chǔ)上實現(xiàn)了又進一步的安全防范,屬性控制可以將設(shè)定的屬性與信息資源中的目錄、文件與網(wǎng)絡(luò)設(shè)備有機結(jié)合起來。屬性控制可以保護比較重要的文件和目錄,防止顯示、執(zhí)行修改以及用戶的誤刪除;向文件寫數(shù)據(jù),刪除文件或者目錄的共享、隱含、執(zhí)行、查看以及系統(tǒng)屬性等。

2.4 防火墻安全技術(shù)

目前來講,防火墻技術(shù)是控制網(wǎng)絡(luò)之間的訪問,確保內(nèi)網(wǎng)的信息資源,防止非法進入內(nèi)部網(wǎng)絡(luò)的一種使用最廣泛的技術(shù)。防火墻主要部署在不同的網(wǎng)絡(luò)安全級別之間,它通過檢測信息數(shù)據(jù)包當中的目標端口、源端口、目標地址、源地址等信息來搭配預(yù)先設(shè)定好的訪問規(guī)則,在匹配成功的時候,數(shù)據(jù)包則被允許通過,反之就會被自動丟棄。防火墻技術(shù)大體可以分為三種,即應(yīng)用代理防火墻、狀態(tài)檢測防火墻及包過濾防火墻三種。應(yīng)用代理防火墻:客戶端的所有訪問都要先通過SOCKS封裝然后再發(fā)送至代理服務(wù)器,由代理服務(wù)器進行解包匹配,依據(jù)匹配的結(jié)果來判斷是否可以代替客戶端來向服務(wù)器發(fā)出請示,是丟棄客戶端的數(shù)據(jù)包,還是轉(zhuǎn)發(fā)服務(wù)器返回數(shù)據(jù)包;狀態(tài)檢測防火墻:是在包過濾防火墻的基礎(chǔ)之上發(fā)展起來的,要比包過濾防火墻多出了狀態(tài)檢測表檢測;包過濾防火墻:根據(jù)數(shù)據(jù)包的目標端口源地址、目標地址、源端口進行匹配。

3計算機網(wǎng)絡(luò)安全前景

3.1 針對防火墻技術(shù)存在的一些安全隱患,防火墻技術(shù)要轉(zhuǎn)向智能化的方向,要具有安全防御功能

同時,隨著網(wǎng)絡(luò)架構(gòu)不斷升級,這也要求防火墻的處理能力也要不斷地提高。目前,安全性更高的集成IPS防火墻將會逐步地取代集成IDS防火墻。通過采取集成多種功能的設(shè)計,像包括IPSec、PKI、AAA、VPN等多種附加功能,提高防火墻可控能力以及可管理力,不斷提高防火墻抗DoS的攻擊能力,同時利用決策、概率、記憶、統(tǒng)計等的智能化方法對信息數(shù)據(jù)進行識別,以達到控制訪問的目的。一些具備集中網(wǎng)絡(luò)管理的平臺,可以支持多出口路由、負載均衡、雙機熱備份和IPv6等將是以后防火墻發(fā)展的一個重點方向。

3.2 網(wǎng)絡(luò)隔離技術(shù)正處于第5代的網(wǎng)絡(luò)隔離設(shè)備研發(fā)階段,目前正在向應(yīng)用融合化、易用性等方向發(fā)展,更好的集成入侵防御、數(shù)字證書和加密通道等技術(shù)將會成為新一代的網(wǎng)絡(luò)隔離產(chǎn)品的發(fā)展趨勢

為了更好地適應(yīng)我國提出的公網(wǎng)、外網(wǎng)、內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu),從易管理、成本、安全性等立場出發(fā),三網(wǎng)甚至多網(wǎng)的網(wǎng)絡(luò)隔離產(chǎn)品也是網(wǎng)絡(luò)隔離技術(shù)一個前進方向。

4結(jié)語

計算機網(wǎng)絡(luò)在帶給人們極大方便的同時,也要加強計算機網(wǎng)絡(luò)安全的防范研究。計算機網(wǎng)絡(luò)安全防范是一項復(fù)雜的系統(tǒng)工程,涉及到的因素比較多,除了以上的策略外,使用者還要提高安全意識,自覺遵守安全制度,將各種防范技術(shù)結(jié)合起來,形成一套協(xié)調(diào)一致、完善健全的防護體系。

參考文獻

[1] 李輝.計算機網(wǎng)絡(luò)安全與對策[J].濰坊學(xué)院學(xué)報,2009(2).

[2] 羅明宇,盧錫城,盧澤新,等.計算機網(wǎng)絡(luò)安全技術(shù)[J].計算機科學(xué),2010(17).

[3] 王艷.網(wǎng)絡(luò)安全與入侵檢測技術(shù)[J].和田師范專科學(xué)校學(xué)報,2008(3).