劉春翔

[摘要]由于網絡的快速發(fā)展，人們使用網絡的活動也越來越頻繁，因此網絡的安全性越來越受到人們的重視，從網絡上所面臨的威脅，結合網絡管理的一些經驗體會，從物理安全策略和訪問控制策略方面，提出一些解決網絡威脅的方案。

[關鍵詞]計算機網絡 網絡安全 加密

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0520068－01

一、引言

隨著計算機網絡的加速發(fā)展，全球信息化已成為人類發(fā)展的重大趨勢。但由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡更容易受到網絡上許多不軌行為的攻擊，所以網上信息的安全和保密是一個至關重要的問題。因此，網絡上必須有足夠強的安全措施，才能保證網絡上的信息受到保護，維護人們的利益。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性

二、計算網絡面臨的威脅

計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅；二是對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網絡系統(tǒng)資源的非法使有，歸結起來，針對網絡安全的威脅主要有三：

1．人為的無意失誤。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

2．人為的惡意攻擊。這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

3．網絡軟件的漏洞和“后門”。網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現(xiàn)過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。

三、計算機網絡的安全策略

（一）物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

（二）訪問控制策略

訪問控制是網絡安全防范和保護的主要策略，其任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統(tǒng)安全、保護網絡資源的重要手段。下面我們分述各種訪問控制策略。

1．入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。

對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。

2．網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、能夠執(zhí)行哪些操作。受托者指派和繼承權限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據他們的實際需要為他們分配操作權限；（3）審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

3．目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統(tǒng)管理員權限、讀權限、寫權限、創(chuàng)建權限、刪除權限、修改權限、文件查找權限、存取控制權限。八種訪問權限的有效組合可以讓用戶有效地完成工作，又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

4．屬性安全控制。當文件、目錄和網絡設備被使用時，網絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

5．網絡服務器安全控制。網絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

6．網絡監(jiān)測和鎖定控制。網絡管理員應對網絡實施監(jiān)控，服務器應記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

四、結論

本文就網絡安全隱患進行了探討，并提出了一些相應的網絡安全措施?，F(xiàn)在網絡上的需要解決的問題很多，為了減少網絡安全風險，本文對網絡安全技術進行了研究，給出了一些切實可行的解決方法，針對網絡上的威脅有一定的防治作用。

參考文獻：

[1]任戎，計算機網絡完全分析及策略，《電腦知識與技術》，2009年.