計(jì)算機(jī)通信網(wǎng)絡(luò)安全與防護(hù)策略的幾點(diǎn)思考

李治國(guó) 國(guó)網(wǎng)山東省電力公司成武縣供電公司

1 計(jì)算機(jī)通信網(wǎng)絡(luò)存在的安全問(wèn)題

1.1 防范體系不完整

隨著計(jì)算機(jī)信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也隨之產(chǎn)生，在計(jì)算機(jī)的使用過(guò)程當(dāng)中，網(wǎng)絡(luò)安全問(wèn)題的存在是不可避免的。所以，做到防護(hù)措施的規(guī)范性非常重要，網(wǎng)絡(luò)的安全問(wèn)題，主要體現(xiàn)在病毒入侵、惡意攻擊和黑客操控。很多公司與企業(yè)，甚至到國(guó)家安全體系都與網(wǎng)絡(luò)通訊技術(shù)的安全性有著重要的關(guān)系，不能做好計(jì)算機(jī)通信安全防范措施對(duì)國(guó)家安全和企業(yè)都會(huì)帶來(lái)一定的損失，因此加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)的安全防范至關(guān)重要。

1.2 管理體制不健全

如今我國(guó)的計(jì)算機(jī)通信系統(tǒng)管理體制不夠健全，缺乏相應(yīng)管理體制的建立。企業(yè)和單位不重視網(wǎng)絡(luò)安全性，只注重經(jīng)濟(jì)效益的發(fā)展，忽略了推動(dòng)發(fā)展的根本方式就是網(wǎng)絡(luò)安全。維護(hù)系統(tǒng)的相關(guān)人員缺乏專業(yè)性的知識(shí)儲(chǔ)備，技術(shù)水平達(dá)不到相應(yīng)標(biāo)準(zhǔn)也是因素之一。

1.3 技術(shù)人員不專業(yè)

社會(huì)上大量培訓(xùn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)學(xué)校的涌現(xiàn)，使計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)人員的技術(shù)水平參差不齊。如技術(shù)人員的素質(zhì)低下，在維護(hù)企業(yè)系統(tǒng)安全時(shí)必然會(huì)產(chǎn)生安全漏洞，使整個(gè)系統(tǒng)混亂不堪。正式的技術(shù)人員又因?yàn)楹鲆暺髽I(yè)網(wǎng)絡(luò)安全的重要性，對(duì)工作過(guò)程敷衍了事。這些都是威脅計(jì)算機(jī)通信系統(tǒng)安全的因素。

2 提高計(jì)算機(jī)通信網(wǎng)絡(luò)安全的防護(hù)策略

針對(duì)以上提出的影響網(wǎng)絡(luò)安全的因素，我們從計(jì)算機(jī)系統(tǒng)、人員方面、網(wǎng)絡(luò)安全策略和安全技術(shù)等方面提出了提高計(jì)算機(jī)通信網(wǎng)絡(luò)安全的防護(hù)策略。

2.1 提高系統(tǒng)自身性能

計(jì)算機(jī)系統(tǒng)在研發(fā)設(shè)計(jì)時(shí)不能只考慮實(shí)效，而應(yīng)該把通信安全因素考慮進(jìn)去。網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)應(yīng)該考慮到數(shù)據(jù)的保密難度，完善通信協(xié)議和通信軟件系統(tǒng)，減少軟件系統(tǒng)漏洞。使用通信網(wǎng)絡(luò)的過(guò)程中，制定必要的安全等級(jí)鑒別和防護(hù)措施，防止攻擊者利用軟件的漏洞直接侵人網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。

2.2 強(qiáng)化網(wǎng)絡(luò)安全教育，發(fā)揮人在網(wǎng)絡(luò)安全上的作用

要認(rèn)識(shí)到計(jì)算機(jī)通信網(wǎng)安全的重要性，廣泛開展網(wǎng)絡(luò)安全研究，加強(qiáng)技術(shù)交流和研究，掌握新技術(shù)，確保在較高層次上處于主動(dòng)。人員是網(wǎng)絡(luò)安全管理的關(guān)鍵之一，人員不可靠，再好的安全技術(shù)和管理手段也是枉然，故計(jì)算機(jī)通信網(wǎng)絡(luò)的安全管理必須充分考慮人的因素。加大網(wǎng)絡(luò)管理人才的保留，加強(qiáng)各部門協(xié)作，加大高級(jí)網(wǎng)絡(luò)技術(shù)人員的培養(yǎng)和選拔，使他們具有豐富的網(wǎng)絡(luò)技術(shù)知識(shí)，同時(shí)也具有一定的實(shí)踐經(jīng)驗(yàn)，從而達(dá)到有效的防護(hù)網(wǎng)設(shè)。

3 制定并認(rèn)真貫徹實(shí)施網(wǎng)絡(luò)安全策略

安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。應(yīng)該從法規(guī)政策、管理、技術(shù)三個(gè)層次制定相應(yīng)的策略，實(shí)現(xiàn)以下目的：

(1)使用訪問(wèn)控制機(jī)制如身份鑒別，利用用戶口令和密碼等鑒別式達(dá)到網(wǎng)絡(luò)系統(tǒng)權(quán)限分級(jí)，鑒別真?zhèn)危L問(wèn)地址限制，如果對(duì)方是無(wú)權(quán)用戶或是權(quán)限被限用戶，則連接過(guò)程就會(huì)被終止或是部分訪問(wèn)地址被屏蔽，達(dá)到網(wǎng)絡(luò)分級(jí)機(jī)制的效果。阻止非授權(quán)用戶進(jìn)人網(wǎng)絡(luò)，即“進(jìn)不來(lái)”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。

(2)使用授權(quán)機(jī)制，利用網(wǎng)絡(luò)管理方式向終端或是終端用戶發(fā)放訪問(wèn)許可證書，防止非授權(quán)用戶使用網(wǎng)絡(luò)和網(wǎng)絡(luò)資源。實(shí)現(xiàn)對(duì)用戶的權(quán)限控制，即不該拿走的“拿不走”，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源及信息的可控性。

(3)使用加密機(jī)制，使未授權(quán)用戶 “看不懂”，保證數(shù)據(jù)不會(huì)在設(shè)備上或傳輸過(guò)程中被非法竊取，確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程，從而實(shí)現(xiàn)信息的保密性。

(4)使用數(shù)據(jù)完整性鑒別機(jī)制，優(yōu)化數(shù)據(jù)檢查核對(duì)方式，保證只有得到允許的人才能修改數(shù)據(jù)，而其它人“改不了”，防止數(shù)據(jù)字段的篡改、刪除、插入、重復(fù)、遺漏等結(jié)果出現(xiàn)，從而確保信息的完整性。

(5)使用審計(jì)、監(jiān)控、防抵賴等安全機(jī)制，使得攻擊者、破壞者、抵賴者“走不脫”，并進(jìn)一步對(duì)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題提供調(diào)查依據(jù)和手段，實(shí)現(xiàn)信息安全的可審查性。

4 提高網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻

計(jì)算機(jī)網(wǎng)絡(luò)的最大特點(diǎn)是開放性、無(wú)邊界性、自由性，要想實(shí)現(xiàn)網(wǎng)絡(luò)的安全，最基本的方法就是把被保護(hù)的網(wǎng)絡(luò)從開放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，使之成為可管理的、可控制的、安全的網(wǎng)絡(luò)，實(shí)現(xiàn)這一目標(biāo)基本手段就是防火墻。防火墻是網(wǎng)絡(luò)安全的第一道門檻，它的主要目標(biāo)是控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限，并迫使所有連接都經(jīng)過(guò)這樣檢查，因此它具有通過(guò)鑒別、限制、更改跨越防火墻的數(shù)據(jù)流來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。防火墻技術(shù)一般包括數(shù)據(jù)包過(guò)濾技術(shù)，應(yīng)用網(wǎng)關(guān)和代理技術(shù)三大類。

4.2 密碼技術(shù)

密碼技術(shù)的基本思想是偽裝信息，密碼技術(shù)由明文、密文、算法和密鑰構(gòu)成。其中密鑰管理是一個(gè)非常重要的問(wèn)題，是一個(gè)綜合性的技術(shù)，涉及到密鑰的產(chǎn)生、檢驗(yàn)、分配、傳遞、保存、使用、消鑰的全過(guò)程。密碼類型基本有3種，即移位密碼、代替密碼和乘積密碼。移位密碼是一種通過(guò)改變明碼中每個(gè)字符或代碼的相對(duì)位置獲得的密碼；代替密碼是一種用其它字符或代碼代替明碼字符后獲得的密碼；乘積密碼則是一種通過(guò)混合代替方法使明碼變成難以破譯的密碼。在實(shí)際加密過(guò)程中，一般不單獨(dú)使用一種密碼，而是將上述3種密碼經(jīng)過(guò)多次變換迭代生成。

4.3 用戶識(shí)別技術(shù)

為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡(luò)需要采用識(shí)別技術(shù)。常用的識(shí)別方法有口令、唯一標(biāo)識(shí)符、標(biāo)記識(shí)別等。

4.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)又稱為IDS，作用在于：識(shí)別針對(duì)網(wǎng)絡(luò)的入侵行為，并及時(shí)給出報(bào)警或采取安全措施以御敵于國(guó)門之外，它在計(jì)算機(jī)網(wǎng)絡(luò)中是非常有效的安全技術(shù)。目前計(jì)算機(jī)網(wǎng)絡(luò)大都是基于單一的TCP/IP協(xié)議，其入侵行為的模式有一定規(guī)律可循，而通信網(wǎng)絡(luò)本身就具有不同的種類，有完全不同的內(nèi)部管理和信令協(xié)議，因此通信網(wǎng)絡(luò)入侵檢測(cè)技術(shù)對(duì)于一般的通信網(wǎng)協(xié)議具有針對(duì)性，我們可以利用這一特點(diǎn)，設(shè)計(jì)基于節(jié)點(diǎn)的入侵檢測(cè)系統(tǒng)或設(shè)計(jì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，基于節(jié)點(diǎn)的工作日志或網(wǎng)管系統(tǒng)的狀態(tài)搜集、安全審計(jì)數(shù)據(jù)以及對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾、解釋、分析、判斷來(lái)發(fā)現(xiàn)入侵行為。

4.5 信息對(duì)抗技術(shù)

信息對(duì)抗理論與技術(shù)主要包括：黑客防范體系，信息偽裝理論與技術(shù)信息分析與監(jiān)控入侵檢測(cè)原理與技術(shù)反擊方法應(yīng)急響應(yīng)系統(tǒng)計(jì)算機(jī)病毒人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。

4.6 通信網(wǎng)絡(luò)內(nèi)部協(xié)議安全

通信網(wǎng)絡(luò)內(nèi)部協(xié)議的安全性主要應(yīng)通過(guò)數(shù)據(jù)的認(rèn)證和完整性鑒別技術(shù)實(shí)現(xiàn)協(xié)議的安全變異和重構(gòu)。其中公鑰密碼算法和哈希函數(shù)是設(shè)計(jì)中的基本工具，它們用來(lái)實(shí)現(xiàn)對(duì)協(xié)議數(shù)據(jù)的源發(fā)起點(diǎn)的實(shí)體認(rèn)證和抗重放的協(xié)議完整性鑒別。在安全協(xié)議的設(shè)計(jì)過(guò)程中，如果能夠做到對(duì)于一個(gè)完整的信令過(guò)程一次加密，則安全性能夠得到保證。

5 結(jié)束語(yǔ)

計(jì)算機(jī)通信網(wǎng)絡(luò)的安全問(wèn)題一直存在，給人們的生活帶來(lái)很大的影響，為了確保計(jì)算機(jī)的安全運(yùn)行，需要不斷優(yōu)化提升計(jì)算機(jī)系統(tǒng)本身的安全性，而且還要提升計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的等級(jí)，加強(qiáng)防火墻技術(shù)的使用，對(duì)用戶信息的進(jìn)行嚴(yán)格的認(rèn)證，從而確保計(jì)算機(jī)通信網(wǎng)絡(luò)安全。