摘要:隨著計算機網絡的不斷發展,全球信息化已成為人類發展的趨勢。但由于計算機網絡具有聯結形
式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他的攻擊網絡的安全和保密已成為至關重要的問題。本文就
計算機網絡的安全風險進行了分析,并針對各類風險總結了應對的安全
策略。
關鍵詞:網絡;安全
計算機網絡安全策略是指在某個安全區域內,與安全活動有關的一套規則,由安全區域內 的一個權威建立,它使網絡建設和管理過程中的工作避免了盲目性,但在目前它并沒有得到足夠的重視。國際調查顯示,目前55%的企業網沒有自己的安全策略,僅靠一些簡單的安全措施來保障網絡安 全。
計算機網絡安全策略包括對企業各種網絡服務的安全層次和權限進行分類,確定管理員的安全職責,如實現安壘故障處理.確定網絡拓撲結構、 入侵及攻擊的防御和檢測、備份和災難恢復等。這里所說的安全策略主要涉及4個大的方面:物理安全策略、訪問控制策略、信息加密策略和網絡安全管理策略。
一、物理安全策略和訪問控制策略
1、物理安全策略
制定安全策略的目的是保護路由器、交換機、 工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為 破壞和搭線竊聽攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的機房安全管理制度,妥善保管備 份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。
2、訪問控制策略
訪問控制策略是網絡安壘防范和 保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起 到保護作用,而訪問控制策略可以認為是保證網絡安全最重要的核心策略之一。
(1)入網訪問控制
入網訪問控制為網絡訪問提供了 第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為3個步驟:用戶名的識別以驗證、用戶帳號的缺省限制檢查。
(2)網絡的權限控制
網絡權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,控制用戶和用戶組可以訪 問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。可以根據訪問權限將用戶分為以下幾類:特殊用戶(即系統管理 員);一般用戶,由系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以 用一個訪問控制表來描述。
(3)目錄級安全控制
網絡應能夠控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所 有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有以下8種:系統管理員權限,也叫超級用戶權限、主動 權限、寫權限、創建權限、刪除權限、修改權限、文件查找、存取控制。
(4)屬性安全控制
當使用文件、目錄和網絡設備時,網絡 系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更 進一步的安全。網絡上的資源都應預先標出一組安全屬性,網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除,執行修改、顯示等。
(5)網絡服務器安全控制
計算機網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網 絡服務器的安全控制包括:可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息數據;可以設定服務器控登錄時間限制、非法訪問者檢測和關閉的 時間間隔。
(6)網絡監測和鎖定控制
計算機網絡管理員對網絡實施監控,服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問 進行報警,以引起網絡管理員的注意,并自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
(7)網絡端口和節點的安全控制
網絡中服 務器的端口往往使用自動回呼設備和靜默調制解調制器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防 范黑客的自動撥號程序對計算機進行攻擊。網絡還通常對服務器端采取安全 限制,用戶必須攜帶證實身份的驗證器。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務端再進行相互驗證。
(8)防 火墻控制
防火墻是近十多年來發展起來的一種保護 計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進出方向通信的門檻。在網絡邊界上通過建立起來的相應 網絡通信監控系統來隔離外部和內部網絡,以阻止來自外部網絡的侵入。
二、信息加密策略
信息加密 的目的是保護網絡的數據、文件、口令和控制信息,保護網絡會話的完整性。網絡加密可設在鏈路級、網絡級,也可以設在應用級等,它們分別對應干網絡體系結構 中的不同層次形成加密通信通道。用戶可以根據不同的需求,選擇適當的加密方式。保護網絡信息安全行之有效的技術之一就是數據加密策略。它是對計算機信息進 行保護的最實用和最可靠的方法。
三、網絡安全管理策略
網絡安全管理策略是指在特定的環境里,為 保證提供一定級別的安全保護所必須遵守的規則。實現網絡安全,不僅要靠先進的技術,而且要靠嚴格控的管理和威嚴的法律。三者的關系如同安壘平臺的三根支柱,缺一不可。網絡安全管理策略包 括:(1)確定安全管理等級和安全管理范圍;(2)制定有關網絡操作使用規程和人員出入機房管理制度;(3)制定網絡系統的維護制度和應急措施等;安全管 理的落實是實現網絡安全的關鍵。
四、計算機網絡物理安全管理
涉及計算機網絡的物理安全管理是保 護計算機網絡設備、設施以及其他媒體免遭地震、水災等環境事故和人為地操作失誤導致的破壞過程。網絡物理安全管理主要包括:機房的安全技術管理、通信線路 的安全管理、設備安全管理和電源系統的安全管理。
五、結束語
隨著計算機技術和通信技術的發展, 計算機網絡將日益成為工業、農業和國防等方面的重要信息交換 手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。
關鍵詞:網絡;安全
計算機網絡安全策略是指在某個安全區域內,與安全活動有關的一套規則,由安全區域內 的一個權威建立,它使網絡建設和管理過程中的工作避免了盲目性,但在目前它并沒有得到足夠的重視。國際調查顯示,目前55%的企業網沒有自己的安全策略,僅靠一些簡單的安全措施來保障網絡安 全。
計算機網絡安全策略包括對企業各種網絡服務的安全層次和權限進行分類,確定管理員的安全職責,如實現安壘故障處理.確定網絡拓撲結構、 入侵及攻擊的防御和檢測、備份和災難恢復等。這里所說的安全策略主要涉及4個大的方面:物理安全策略、訪問控制策略、信息加密策略和網絡安全管理策略。
一、物理安全策略和訪問控制策略
1、物理安全策略
制定安全策略的目的是保護路由器、交換機、 工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為 破壞和搭線竊聽攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保網絡設備有一個良好的電磁兼容工作環境;建立完備的機房安全管理制度,妥善保管備 份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。
2、訪問控制策略
訪問控制策略是網絡安壘防范和 保護的主要策略,它的主要任務是保證網絡資源不被非法使用和訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起 到保護作用,而訪問控制策略可以認為是保證網絡安全最重要的核心策略之一。
(1)入網訪問控制
入網訪問控制為網絡訪問提供了 第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為3個步驟:用戶名的識別以驗證、用戶帳號的缺省限制檢查。
(2)網絡的權限控制
網絡權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限,控制用戶和用戶組可以訪 問哪些目錄、子目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。可以根據訪問權限將用戶分為以下幾類:特殊用戶(即系統管理 員);一般用戶,由系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以 用一個訪問控制表來描述。
(3)目錄級安全控制
網絡應能夠控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所 有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有以下8種:系統管理員權限,也叫超級用戶權限、主動 權限、寫權限、創建權限、刪除權限、修改權限、文件查找、存取控制。
(4)屬性安全控制
當使用文件、目錄和網絡設備時,網絡 系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更 進一步的安全。網絡上的資源都應預先標出一組安全屬性,網絡的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除,執行修改、顯示等。
(5)網絡服務器安全控制
計算機網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等。網 絡服務器的安全控制包括:可以設置口令鎖定服務器控制臺,以防止非法用戶修改、刪除重要信息數據;可以設定服務器控登錄時間限制、非法訪問者檢測和關閉的 時間間隔。
(6)網絡監測和鎖定控制
計算機網絡管理員對網絡實施監控,服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問 進行報警,以引起網絡管理員的注意,并自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那么該賬戶將被自動鎖定。
(7)網絡端口和節點的安全控制
網絡中服 務器的端口往往使用自動回呼設備和靜默調制解調制器加以保護,并以加密的形式來識別節點的身份。自動回呼設備用于防止假冒合法用戶,靜默調制解調器用以防 范黑客的自動撥號程序對計算機進行攻擊。網絡還通常對服務器端采取安全 限制,用戶必須攜帶證實身份的驗證器。在對用戶的身份進行驗證之后,才允許用戶進入用戶端。然后,用戶端和服務端再進行相互驗證。
(8)防 火墻控制
防火墻是近十多年來發展起來的一種保護 計算機網絡安全的技術性措施,它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進出方向通信的門檻。在網絡邊界上通過建立起來的相應 網絡通信監控系統來隔離外部和內部網絡,以阻止來自外部網絡的侵入。
二、信息加密策略
信息加密 的目的是保護網絡的數據、文件、口令和控制信息,保護網絡會話的完整性。網絡加密可設在鏈路級、網絡級,也可以設在應用級等,它們分別對應干網絡體系結構 中的不同層次形成加密通信通道。用戶可以根據不同的需求,選擇適當的加密方式。保護網絡信息安全行之有效的技術之一就是數據加密策略。它是對計算機信息進 行保護的最實用和最可靠的方法。
三、網絡安全管理策略
網絡安全管理策略是指在特定的環境里,為 保證提供一定級別的安全保護所必須遵守的規則。實現網絡安全,不僅要靠先進的技術,而且要靠嚴格控的管理和威嚴的法律。三者的關系如同安壘平臺的三根支柱,缺一不可。網絡安全管理策略包 括:(1)確定安全管理等級和安全管理范圍;(2)制定有關網絡操作使用規程和人員出入機房管理制度;(3)制定網絡系統的維護制度和應急措施等;安全管 理的落實是實現網絡安全的關鍵。
四、計算機網絡物理安全管理
涉及計算機網絡的物理安全管理是保 護計算機網絡設備、設施以及其他媒體免遭地震、水災等環境事故和人為地操作失誤導致的破壞過程。網絡物理安全管理主要包括:機房的安全技術管理、通信線路 的安全管理、設備安全管理和電源系統的安全管理。
五、結束語
隨著計算機技術和通信技術的發展, 計算機網絡將日益成為工業、農業和國防等方面的重要信息交換 手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在威脅,采取強有力的安全策略,對于保障網絡的安全性將變得十分重要。
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除! 快速論文發表網(www.6scc.cn)本中心和國內數百家期刊雜志社有良好的合作關系,可以幫客戶代發論文投稿.
投稿郵箱:ksfbw@126.com
客服Q Q:
82702382
聯系電話:15295038833
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除!
下一篇:通過合理的綜合布線提高網絡安全