随着政府上网、企业上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之,Internet网的安全,包括信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。毫不夸张地说,在新世纪里它对一个国家的重要性完全可以与核武器相提并论。这个问题解决不好将全方位地危及国家的政治、军事、经济、社会生活等各个方面,使国家处于信息战和高度经济金融风险的威胁之中。下面,本人就此作一些分析和思考。
1加强网络安全意识教育
黑客的攻击之所以能经常得逞,其主要原因就是人们思想麻痹,没有正视黑客入侵所造成的严重后果,人们经常在有意无意之中就泄露了信息。当人们访问Web站点时,会无意留下访问的痕迹。当人们在网上购物时,不经意地泄露了许多私人信息,这些不经意为黑客进行数据收集或数据挖掘大开方便之门。
大力进行宣传教育,培养安全意识。国家必须从政治安全、经济安全的角度出发,以所发生的信息犯罪案件作为反方面教材来宣传、教育网络工作者和用户,引起重视、提高认识,树立良好的职业道德,加强自觉维护网络正常运行的安全意识。特别对未成年人,应从小培养网络用户的合法上网概念,防止有害信息的传播和渗透。另外,对工作人员应结合机房、硬件、软件、数据和网络等各方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
2完善网络管理功能
安全管理就是控制对网络信息访问的过程,可在网络的多个层次上实现。如在数据链路层上采用加密;在网络层次设备路由器上采用分组过滤及路由协议认证等安全措施;在每个主机上对信息的每个访问点有相应的服务,而每个服务对敏感信息的访问提供一种或多种认证机制,如主机身份认证、用户身份证和密钥认证等。另外,访问控制、代理服务器、Web服务器、虚拟局域网、局域网、VLAN技术、网络管理及检测等网络管理功能也被广泛应用。下面对这些网络管理功能分别进行分析。
2.1加密
对路由信息或用户数据都可以采用加密措施。常用的加密方法有两种;比较老的和比较简单的是单密钥或保密密钥加密,另一种广泛的开放的网络安全的解决方案是比较新的更加复杂的编码形式,即公开密钥加密。在保密密钥加密方法中,发送者和接受者共同持有一个保密的密钥,发送者发送文件之前用这个密钥加密,并在网络上传送加密文件,接受者使用这个密钥解密。
2.2路由器及路由协议的安全措施
路由器中采取的分组成过滤和路由协议认证是两个重要的安全措施。分组过滤规则依据建立连接时需要的信息,如源/目标地址、端口号、协议类型等确定,进行分组过滤时,逐一查找分组过滤规则表,若匹配,产生相应的动作;若无法匹配,用默认规则处理,将分组丢弃。路由协议认证时通过检查动态路由协议OSPF分组中的数字签名信息来确认路由器身份。
2.3用户身份认证
用户身份认证用来确定用户是否合法。有两种认证方法:基于令牌的身份验证和kerberos。验证令牌与软件狗或钥匙盘类似,可以插在计算机串行或并行接口上,也可以是一张插入PC机的软盘。有同步和挑战应答两种验证令牌的实现算法:在同步算法中,身份认证服务器AS(Authentication Server)负责管理用户登录,产生一个PIN(Personal Identification Number)给用户,当用户使用PIN登录时,AS查找内部的身份认证数据库,若得到与用户令牌中相同的key,则用户的令牌产生一个序列,AS用内部得到的key使用同样算法同步产生一个序列,比较这两个序列是否相同来鉴别用户身份。
2.4访问控制
访问控制决定一个用户或程序是否有权对某一特定资源执行一个特定的操作(如共享、修改、签字等)。有3种权限判定方法:强制法,随意法和角色判定法。在强制法中,每个用户具有一个安全级,针对每个资源也有相应的安全系数。安全级集合是一个偏序集。也可以采用分类的方法,每个用户不仅有一个安全级,而且在同一级中还要受类别的控制。随意访问控制采用访问矩阵指定每一个用户对每个资源的访问模式(读、写、执行等权限)。
2.5代理服务器
通过代理服务器实现与Internet的连接,使内部网络更加安全。因为内部网络成为一个独立的封闭网络。对代理服务器有两种理解,一种理解为应用层防火墙,包括Web Proxy, TELNET Proxy, News Proxy, SMTP Proxy, DNS Proxy 等身份认证机制。另一种特指Web Proxy(或HTTP Proxy),它接收客户发来的HTTP请求,将其转发给远地Web服务器,并将远地Web服务器传来的响应传回客户端。
2.6Web服务器的安全机制
有两种加强WEB服务器安全的机制;SSL(Secure soket layer)和SHTTP(Seeure hypetext transfer protocol)SSL是一个分层协议,在TCP/IP协议族中位于传输层和应用层之间,目的是在通讯者之间提供安全可靠的链接。
2.7网络管理及检测
网络管理及检测也是提高网络性能和安全的重要措施,网络管理和检测可以选择HP Open View CLSCO Works HP网络分析仪或其他相应产品实现。HP Open view支持SNMP, MIB-II协议,采用Xwindows 图形界面。传播和渗透。另外,对工作人员应结合机房、硬件、软件、数据和网络等各方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;加强业务、技术的培训,提高操作技能,教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。
3加强网络系统管理
3.1建立必要的安全管理机制
管理计算机网络系统安全,从另一个方面讲还包含了实体安全和信息安全。实体安全主要是指人为事故、自然灾害、环境灾害、设备故障。信息安全主要目的是防止信息、数据文件及计算机程序受到意外的或故意的非法泄露、修改和破坏。网络安全是一项复杂的系统工程,仅有技术是远远不够的,特别是在我们的安全技术水平还比较落后的今天,加强管理不仅是必需的,也是尽快提高我们网络安全保护水平的捷径。如果没有保安巡逻,单靠大楼的门禁系统无法保障没有盗窃行为发生。实际上,据统计,大量的网络攻击来自系统内部,而防范内部攻击,仅有技术肯定不行,完善的管理可以防止大多数来自内部的威胁,并且适时堵截外部攻击,可以弥补技术手段的不足。
3.2建立安全队伍
安全技术力量的形成首先必须是专业化。抽调专门的技术人员专门从事企业的网络安全建设和管理。可以先从较小的核心开始,通过各种渠道呼吁、宣传、教育、提高各级领导对网络安全问题的重视程度,向大家演示黑客攻击的现实威胁时一种有效地办法。使领导层、管理层和技术人员大家形成一个共识;网络安全工作非常重要,投资时必要的。其次,逐步加强安全工作核心小组的实力。根据企业使用的技术种类和以后的发展方向,形成一定的内部研究分工,比如UNLX NT路由、数据库和其他应用以及上述的各种网络安全元素等。在技术上保证不落后国际领先水平很远,以电话、电子邮件或者BBS的方式为安全网提供普遍的技术咨询和技术支持,对本网和客户技术人员提供培训服务,在建设和维护上为领导决策提供网络安全方面的参考。
