一、 前言
在当代社会,随着网络的普及和发展,我们的生活和工作都越来越依赖与网络。与此相关的网络安全问题也随之突显出来,并逐渐成为我们不可避免的日常生活问题了,更何况大量的企业网络中所包含的各种商业信息等更是岌岌可危。因此,明白一些简单的网络安全知识有一定的好处。
二,网络安全的主要威胁种类
计算机网络面临的主要威胁来自安全的三要素:即①人;②计算机;③信息。人为因素和运行环境的影响为主要的。其中包括网络设备的不安全因素和对网络信息的威胁。这些网络安全威胁主要有如下表现:
1、人为因素
人为因素分为三种情况,第一种为用户自己的无意操作失误而引发的网络部安全。如管理员安全配置不当造成安全漏洞,用户安全意识淡薄,口令选择不慎,将自己的的帐户随意转借他人或与别人共享,密码泄露等。第二种为用户的恶意破坏。如对网络硬件设备的破坏,利用黑客技术对网络系统的破坏。这种恶意破坏可有选择地破坏某种信息,使之缺乏有效性、完整性,也可通过截取、破译等方式获得重要信息和资料,并不影响网络的正常运行。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。
2、基本的安全威胁
网络安全具备五个方面的特征即机密性、完整性、可用性、可控性、不可否认性。下面的四个基本安全威胁直接针对这五个安全目标。信息泄露信息泄露给某个未经授权的实体。这种威胁主要来自窃听、搭线等信息探测攻击。完整性破坏数据的一致性由于受到未授权的修改、创建、破坏而损害。拒绝服务(即DOS)对资源的合法访问被阻断。拒绝服务可能由以下原因造成攻击者对系统进行大量的、反复的非法访问尝试而造成系统资源过载无法为合法用户提供服务系统物理或逻辑上受到破坏而中断服务。非法使用某一资源被非授权人或以非授权方式使用。
3、主要的一些威胁
一般的威胁是直接导致某一基本威胁来实现,主要包括渗入威胁和植入威胁。
主要的渗入威胁有,假冒,即某个实体假装成另外一个不同的实体。这个没有得到一定的权限而以非法的途径进入或者访问,从而获得合法的资源利用权利或者更改权利。攻击者通过各种手段发现系统或者网站的缺陷漏洞,并利用这些安全缺陷绕过系统防线渗入到系统内部。对某一资源具有一定权限的实体,将此权限用于未被授权的目的,也称“内部威胁”
主要的植入威胁有,特洛伊木马,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。陷门,在某个系统或某个文件中预先设置“机关”,使得当提供特定的输入时,允许违反安全策略。
4、病毒
计算机病毒是现代信息化社会的公害,是目前最为常见的一种网络安全威胁的形式,也是计算机犯罪的一种特殊形式。计算机病毒也是最不安全的因素之一。计算机病毒是一段特殊程序,其最大特点是具有感染能力和表现(破坏)能力。计算机病毒在程序结构、磁盘上的存储方式、感染目标的方式以及控制系统的方式上既具有许多共同的特点,又有许多特殊的技巧和方法,了解病毒程序的这些结构和特征对于有效地预防、检测和清除病毒是十分必要的。
三:计算机网络安全的对策措施
(一),网络安全技术加强安全防范。
1、明确网络安全目标。采用对应的措施
(a)、身份真实性:对通信实体身份的真实性进行识别。如:指纹识别、人脸识别、眼角膜扫描、公钥加密认证等。实例有Kerberos认证、数字签名技术。
(b)、信息机密性:保证机密信息不会泄露给非授权的人或实体。 如:信息加密、解密;信息划分密级,对用户分配不同权限,对不同权限的用户访问的对象进行访问控制;防止硬件辐射泄露、网络截获、窃听等。
(c)、信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。严格控制对系统中数据的写访问。只允许许可的当事人进行更改。
(d)、服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。在坚持严格的访问控制机制的条件下,为用户提供方便和快速的访问接口。提供安全性的访问工具。即使在突发事件下,依然能够保障数据和服务的正常使用,例如可防范病毒及各种恶意代码攻击包括DDos攻击,可进行灾难备份
(e)、不可否认性:建立有效的责任机智,防止实体否认其行为。数字签名,可信第三方认证技术。
(f)、系统可控性:能够控制使用资源的人或实体的使用方式。实现信息和信息系统的认证(可认证性即真实性)、授权(访问控制)和监控管理
(g)、系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。
(h)、可审查性:对出现问题的网络安全问题提供调查的依据和手段
2、 访问控制措施
访问控制措施的主要任务是保证资源不被非授权使用和非授权访问。访问控制是网络安全中最重要的核心措施之一,包括3个访问控制策略:
(1)自主访问控制策略(Discretionary Access Control Model)(简称DAC):
a、严格的自主访问控制
b、自由的自主访问控制
c、属主权可以转让的自主访问控制
信息在移动过程中其访问权限关系会被改变。如用户A可将其对目标O的访问权限传递给用户B,从而使不具备对O访问权限的B可访问O。Eg:电影票
(2) 强制访问控制(MAC)
访问控制机制通过比较安全标签来确定的授予还是拒绝用户对资源的访问。强制访问控制进行了很强的等级划分,所以经常用于军事用途。如:Bell-LaPadula保密性模型、Biba完整性模型、Chinese Wall 安全模型。
(3) 基于角色的访问控制(RBAC)
授权给用户的访问权限,通常由用户在一个组织中担当的角色来确定。“角色”指一个或一群用户在组织内可执行的操作的集合。角色就充当着主体(用户)和客体之间的关联的桥梁。这是与传统的访问控制策略的最大的区别所在。基于角色的访问控制方法(RBAC)的显著的两大特征是:
– 1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。
– 2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
用户以什么样的角色对资源进行访问,决定了用户拥有的权限以及可执行何种操作。授权规定是强加给用户的,用户不能自主的将访问权限传给他人。
主要实例:
①文件系统的访问权限:对文件系统的访问控制,仅适用于采用了NTFS的磁盘分区。可以在设置文件或目录权限的对话框中对作用于文件或文件夹的访问控制表(ACL)进行设置。 ACL中的每项ACE(Access Control Entries)都会为用户或用户组分配一个或多个访问文件或目录的权限级别。对文件来说,可以设置的权限级别为“无(No Access)”。“读(Read)”、“更改(Change)”和“完全控制(Full Control)”。
②注册表的访问控制:标准的注册表键值权限设置对话框只提供了“读取(Read)”、“完全控制(Full Control)”和特殊访问(Special Access)这三个选项。同样地,在注册表键下面创建的子键也将会自动继承其权限,当上一级键的访问权限被修改时,其子键的权限也将被重置。
③打印机的访问控制:从某种程度上来说,打印机也是系统中重要的对象。与文件系统、注册表一样也受到访问控制列表的保护。打印机的访问权限是通过打印机属性对话框进行设置的,其中权限设置对话框显示了用户和用户组访问特定打印机的设置。有以下4中权限可供设置:“无(No Access)”、“打印(Print)”、“管理文档(Management Documents)”和“完全控制(Full Control)”。
3、网络通信安全措施
网络通信安全措施主要有:①建立物理安全的传输媒介。如在网络中使用光纤来传送数据可以防止信息被窃取。②对传输数据进行加密。保密数据在进行数据通信时应加密,包括链路加密和端到端加密。多数情况下,密码技术是网络安全最有效地手段,可以防止非授权用户的窃入,也可以有效防止恶意攻击。
4、网络安全管理措施
网路系统建设者中有“三分技术,七分管理”之说。网络信息安全问题说到底,也是一个管理问题。网络管理,是指利用软性手段对网络进行监视和控制,以减少故障的发生。一旦发生故障,能及时发现,并采取有效手段,最终使网络性能达到最优,从而减少网络维护费用。加强网络的安全管理,制定相关配套的规章制度,确定安全管理等级,明确安全管理范围,采取系统维护方法和应急措施等,对网络安全、可靠地运行,将起到很重要的作用。
(二)、物理安全措施
除了一些技术上的保护措施,物理安全性也是不容忽视的。其中包括所有网络设备的安全性以及防火、防水、防盗、防雷等。网络物理安全性除了在系统设计中需要考虑外,还要在网络管理制度中分析物理安全性可能出现的问题及相应的保护措施,将一些重要设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、架空或穿线,并由明显标记,防止意外损坏。对于终端设备如小型交换机、集线器、工作站和其他转接设备要落实到人,进行严格管理
(三)制定网络安全政策法规,普及计算机网络安全教育。
作为全球信息化程度最高的国家,美国非常重视信息系统安全,把确保信息系统安全列为国家安全战略最重要的组成部分之一,采取了一系列旨在加强网络基础架构保密安全方面的政策措施。因此,要保证网络安全有必要颁布网络安全法律,并增加投入加强管理,确保信息系统安全。除此之外,还应注重普及计算机网络安全教育,增强人们的网络安全意识。
四、结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。我们还得不懈的奋斗……。