淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防范策略
評(píng)論: 更新日期:2018年06月18日
隨著計(jì)算機(jī)科學(xué)技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展��,計(jì)算機(jī)系統(tǒng)功能日漸復(fù)雜����,網(wǎng)絡(luò)體系也日漸強(qiáng)大�,對(duì)社會(huì)及人們的生活產(chǎn)生了巨大的影響,由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性���、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性�����、互連性等特征�,無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中��,都存在著自然和人為等諸多因素的潛在威脅����,病毒擴(kuò)散、黑客攻擊�、網(wǎng)絡(luò)犯罪等違法事件的數(shù)量迅速增長(zhǎng),網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越嚴(yán)峻����。因此,如何提高計(jì)算機(jī)網(wǎng)絡(luò)的防御能力�����,增強(qiáng)網(wǎng)絡(luò)的安全措施���,已成為當(dāng)前急需解決的問(wèn)題���。否則網(wǎng)絡(luò)不僅不能發(fā)揮其有利的作用�,甚至?xí)<皣?guó)家���、企業(yè)及個(gè)人的安全���。
一、網(wǎng)絡(luò)技術(shù)的安全性非常脆弱由于網(wǎng)絡(luò)技術(shù)本身存在著安全弱點(diǎn)����、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等缺陷����,加上一些人為的因素,使得網(wǎng)絡(luò)信息的安全受到很大威脅�。
首先,TCP/IP的協(xié)議集就存在安全缺點(diǎn)��。由于在每一層�,數(shù)據(jù)存在的方式和遵守的協(xié)議各不相同,而這些協(xié)議在開(kāi)始制定時(shí)就沒(méi)有考慮到通信路徑的安全性��,從而導(dǎo)致了安全漏洞。從純技術(shù)的角度上說(shuō)��,缺乏安全防護(hù)設(shè)備與管理系統(tǒng)�����、缺乏通信協(xié)議的基本安全機(jī)制���、基于HTTP與FTP上的應(yīng)用軟件問(wèn)題以及不夠完善的服務(wù)程序等都是產(chǎn)生系統(tǒng)安全漏洞的主要原因。
其次��,由于信息安全還處在初期發(fā)展階段�,缺少網(wǎng)絡(luò)環(huán)境下用于產(chǎn)品評(píng)價(jià)的安全性準(zhǔn)則和評(píng)價(jià)工具。加上許多網(wǎng)絡(luò)系統(tǒng)管理人員素質(zhì)不高�����,缺乏安全意識(shí)���,當(dāng)系統(tǒng)安全受到威脅時(shí)��,缺少應(yīng)有的安全管理方法���、步驟和安全對(duì)策���,如事故通報(bào)、風(fēng)險(xiǎn)評(píng)估���、改正安全缺陷���、評(píng)估損失、相應(yīng)的補(bǔ)救恢復(fù)措施等�����。
二�、計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的威脅影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多。歸結(jié)起來(lái)�,主要有4個(gè)方面。
(1)自然因素����。主要包括自然災(zāi)害的破壞,如地震�、雷擊、洪水及其他不可抗拒的天災(zāi)造成的損害����。以及因網(wǎng)絡(luò)及計(jì)算機(jī)硬件的老化及自然損壞造成的損失�。
(2)無(wú)意失誤��。誤操作引起文件被刪除��,磁盤(pán)被格式化���,或因?yàn)榫W(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)的設(shè)置不當(dāng)造成的安全漏洞,用戶安全意識(shí)不強(qiáng)�����,用戶口令選擇不慎��,用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等�,都會(huì)給網(wǎng)絡(luò)安全帶來(lái)威脅。
(3)黑客攻擊����。這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。此類(lèi)攻擊又可分為兩種:一種是網(wǎng)絡(luò)攻擊�����,就是以各種方式有選擇地破壞對(duì)方信息的有效性和完整性�����;另一種是網(wǎng)絡(luò)偵察,就是在不影響網(wǎng)絡(luò)正常工作的情況下���,進(jìn)行截獲�、竊取����、破譯以獲得對(duì)方重要的機(jī)密信息。
(4)利用網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”進(jìn)行攻擊��。軟件的“后門(mén)”都是軟件公司的編程設(shè)計(jì)人員為了自己方便而設(shè)置的�����,一般不為外人所知�����,一旦“后門(mén)”被洞開(kāi)����,所造成的后果不堪設(shè)想。
三��、當(dāng)今網(wǎng)絡(luò)攻擊的手段及發(fā)展趨勢(shì)1.拒絕服務(wù)攻擊。攻擊的主要目的是使計(jì)算機(jī)及網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)���。它會(huì)破壞計(jì)算機(jī)網(wǎng)絡(luò)的硬件設(shè)備��,破壞計(jì)算機(jī)網(wǎng)絡(luò)的各種配置����,消耗計(jì)算機(jī)及網(wǎng)絡(luò)中不可再生的資源等�。
2.欺騙攻擊。黑客會(huì)利用TCP/IP協(xié)議本身的缺陷進(jìn)行攻擊���,或者進(jìn)行DNS欺騙和Web欺騙。
3.通過(guò)協(xié)同工具進(jìn)行攻擊�����。各種協(xié)同工具使用的增長(zhǎng)���,可能導(dǎo)致泄漏機(jī)密商業(yè)數(shù)據(jù)�����。
4.對(duì)移動(dòng)設(shè)備的攻擊���。2005年以來(lái)���,手機(jī)、PDA及其他無(wú)線設(shè)備感染惡意軟件的數(shù)量在激增�,但因?yàn)槠洳荒芸孔陨韨鞑ィ赃€沒(méi)有大規(guī)模爆發(fā)���。但今后仍需要關(guān)注它的發(fā)展趨勢(shì)�。
5.電子郵件攻擊���。2005年����,英國(guó)電子郵件安全公司MessageLabs每周攔截大約2至3次有目標(biāo)的電子郵件攻擊��,而2004年這一數(shù)字還小得幾乎可以忽略���,這標(biāo)志著網(wǎng)絡(luò)攻擊的性質(zhì)和目的都發(fā)生了轉(zhuǎn)變����。這些攻擊常常針對(duì)政府部門(mén)、軍事機(jī)構(gòu)及其他大型組織���。
總而言之��,根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段���,可以將威脅歸納為四種基本類(lèi)型:無(wú)組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。
四�、網(wǎng)絡(luò)信息安全的技術(shù)保障策略不安全的網(wǎng)絡(luò)一旦遭到惡意攻擊,將會(huì)造成巨大的損失����。目前,技術(shù)措施仍是最直接��、最常用和有效的的屏障����。技術(shù)保障策略主要有如下幾種�。
1.密碼技術(shù)。包括加密與解密技術(shù)�����。加密是網(wǎng)絡(luò)與信息安全保密的重要基礎(chǔ)。它是將原文用某種既定方式規(guī)則重排�、修改,使其變?yōu)閯e人讀不懂的密文����。解密則是將密文根據(jù)原加密方法還原。目前�����,已成熟的加密方法有很多����,如替換加密、移位加密��、一次性密碼本加密�����、序列密碼等�。
2.數(shù)字簽名。對(duì)于網(wǎng)絡(luò)上傳輸?shù)碾娮游臋n���,可使用數(shù)字簽名的方法來(lái)實(shí)現(xiàn)內(nèi)容的確認(rèn)��。簽名有兩個(gè)鍵����,一是簽名不能被仿照,二是簽名必須與相應(yīng)的信息捆綁在一起�����。保證該信息就是簽名欲確認(rèn)的對(duì)象��,以解決偽造��、抵賴(lài)��、冒充和篡改等安全問(wèn)題��。數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議��,使得收發(fā)數(shù)據(jù)的雙方能夠滿足兩個(gè)條件:接受方能夠鑒別發(fā)送方的身份��;發(fā)送方不能否認(rèn)他發(fā)送過(guò)數(shù)據(jù)這一事實(shí)�。數(shù)據(jù)簽名一般采用不對(duì)稱(chēng)加密技術(shù)�����,發(fā)送方對(duì)整個(gè)明文進(jìn)行加密變換,得到一個(gè)值����,將其作為簽名。接收者使用發(fā)送者的公開(kāi)密鑰對(duì)簽名進(jìn)行解密運(yùn)算��,如其結(jié)果為明文��,則簽名有效���,證明對(duì)方的身份是真實(shí)的���。
3.鑒別。鑒別的目的是驗(yàn)明用戶或信息的正身��。對(duì)實(shí)體聲稱(chēng)的身份進(jìn)行惟一識(shí)別����,以便驗(yàn)證其訪問(wèn)請(qǐng)求,或保證信息來(lái)源以驗(yàn)證消息的完整性���,有效地對(duì)抗非法訪問(wèn)��、冒充��、重演等威脅�����。按照鑒別對(duì)象的不同���,鑒別技術(shù)可以分為消息鑒別和通信雙方相互鑒別��;按照鑒別內(nèi)容不同�����,鑒別技術(shù)可以分為用戶身份鑒別和消息內(nèi)容鑒別�。
4.網(wǎng)絡(luò)訪問(wèn)控制策略����。訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)����。一般采用基于資源的集中式控制、基于資源和目的地址的過(guò)濾管理以及網(wǎng)絡(luò)簽證等技術(shù)來(lái)實(shí)現(xiàn)���。目前進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的方法主要有:MAC地址過(guò)濾}VLAN隔離��、IEEE802.1Q身份驗(yàn)證���、基于IP地址的訪問(wèn)控制列表和防火墻控制等。
五��、網(wǎng)絡(luò)安全任重道遠(yuǎn)據(jù)國(guó)際調(diào)查顯示�����,目前有55%的企業(yè)網(wǎng)沒(méi)有自己的安全策略����,僅靠一些簡(jiǎn)單的安全措施來(lái)保障網(wǎng)絡(luò)安全,這些安全措施可能存在互相分立��、互相矛盾���、互相重復(fù)�����、各自為戰(zhàn)等問(wèn)題�,既無(wú)法保障網(wǎng)絡(luò)的安全可靠����,又影響網(wǎng)絡(luò)的服務(wù)性能��,并且隨著購(gòu)物運(yùn)行而對(duì)安全措施進(jìn)行不斷的修補(bǔ)�,使整個(gè)安全系統(tǒng)變得臃腫����,難以使用和維護(hù)。這些都是迫切需要解決的問(wèn)題���,只有加強(qiáng)網(wǎng)絡(luò)與信息安全管理���,增強(qiáng)安全意識(shí),不斷改進(jìn)和發(fā)展網(wǎng)絡(luò)安全保密技術(shù)��,才能防范于未然���,避免國(guó)家�、企業(yè)或個(gè)人的損失����。所以,網(wǎng)絡(luò)安全仍任重道遠(yuǎn)。
?
