陳德軍

隨著政府上網(wǎng)、企業(yè)上網(wǎng)、電子商務、網(wǎng)上娛樂等一系列網(wǎng)絡應用的蓬勃發(fā)展,Internet正在越來越多地離開原來單純的學術(shù)環(huán)境,融入到社會的各個方面。一方面,網(wǎng)絡用戶成分越來越多樣化,出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁;另一方面,網(wǎng)絡應用越來越深地滲透到金融、商務、國防等等關(guān)鍵要害領(lǐng)域。換言之,Internet網(wǎng)的安全,包括信息數(shù)據(jù)安全和網(wǎng)絡設備服務的運行安全,日益成為與國家、政府、企業(yè)、個人的利益休戚相關(guān)的“大事情”。安全保障能力是新世紀一個國家綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分。毫不夸張地說,在新世紀里它對一個國家的重要性完全可以與核武器相提并論。這個問題解決不好將全方位地危及國家的政治、軍事、經(jīng)濟、社會生活等各個方面,使國家處于信息戰(zhàn)和高度經(jīng)濟金融風險的威脅之中。下面,本人就此作一些分析和思考。

1加強網(wǎng)絡安全意識教育

黑客的攻擊之所以能經(jīng)常得逞,其主要原因就是人們思想麻痹,沒有正視黑客入侵所造成的嚴重后果,人們經(jīng)常在有意無意之中就泄露了信息。當人們訪問Web站點時,會無意留下訪問的痕跡。當人們在網(wǎng)上購物時,不經(jīng)意地泄露了許多私人信息,這些不經(jīng)意為黑客進行數(shù)據(jù)收集或數(shù)據(jù)挖掘大開方便之門。

大力進行宣傳教育,培養(yǎng)安全意識。國家必須從政治安全、經(jīng)濟安全的角度出發(fā),以所發(fā)生的信息犯罪案件作為反方面教材來宣傳、教育網(wǎng)絡工作者和用戶,引起重視、提高認識,樹立良好的職業(yè)道德,加強自覺維護網(wǎng)絡正常運行的安全意識。特別對未成年人,應從小培養(yǎng)網(wǎng)絡用戶的合法上網(wǎng)概念,防止有害信息的傳播和滲透。另外,對工作人員應結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業(yè)務、技術(shù)的培訓,提高操作技能;教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定,防止人為事故的發(fā)生。

2完善網(wǎng)絡管理功能

安全管理就是控制對網(wǎng)絡信息訪問的過程,可在網(wǎng)絡的多個層次上實現(xiàn)。如在數(shù)據(jù)鏈路層上采用加密;在網(wǎng)絡層次設備路由器上采用分組過濾及路由協(xié)議認證等安全措施;在每個主機上對信息的每個訪問點有相應的服務,而每個服務對敏感信息的訪問提供一種或多種認證機制,如主機身份認證、用戶身份證和密鑰認證等。另外,訪問控制、代理服務器、Web服務器、虛擬局域網(wǎng)、局域網(wǎng)、VLAN技術(shù)、網(wǎng)絡管理及檢測等網(wǎng)絡管理功能也被廣泛應用。下面對這些網(wǎng)絡管理功能分別進行分析。

2.1加密

對路由信息或用戶數(shù)據(jù)都可以采用加密措施。常用的加密方法有兩種;比較老的和比較簡單的是單密鑰或保密密鑰加密,另一種廣泛的開放的網(wǎng)絡安全的解決方案是比較新的更加復雜的編碼形式,即公開密鑰加密。在保密密鑰加密方法中,發(fā)送者和接受者共同持有一個保密的密鑰,發(fā)送者發(fā)送文件之前用這個密鑰加密,并在網(wǎng)絡上傳送加密文件,接受者使用這個密鑰解密。

2.2路由器及路由協(xié)議的安全措施

路由器中采取的分組成過濾和路由協(xié)議認證是兩個重要的安全措施。分組過濾規(guī)則依據(jù)建立連接時需要的信息,如源/目標地址、端口號、協(xié)議類型等確定,進行分組過濾時,逐一查找分組過濾規(guī)則表,若匹配,產(chǎn)生相應的動作;若無法匹配,用默認規(guī)則處理,將分組丟棄。路由協(xié)議認證時通過檢查動態(tài)路由協(xié)議OSPF分組中的數(shù)字簽名信息來確認路由器身份。

2.3用戶身份認證

用戶身份認證用來確定用戶是否合法。有兩種認證方法:基于令牌的身份驗證和kerberos。驗證令牌與軟件狗或鑰匙盤類似,可以插在計算機串行或并行接口上,也可以是一張插入PC機的軟盤。有同步和挑戰(zhàn)應答兩種驗證令牌的實現(xiàn)算法:在同步算法中,身份認證服務器AS(Authentication Server)負責管理用戶登錄,產(chǎn)生一個PIN(Personal Identification Number)給用戶,當用戶使用PIN登錄時,AS查找內(nèi)部的身份認證數(shù)據(jù)庫,若得到與用戶令牌中相同的key,則用戶的令牌產(chǎn)生一個序列,AS用內(nèi)部得到的key使用同樣算法同步產(chǎn)生一個序列,比較這兩個序列是否相同來鑒別用戶身份。

2.4訪問控制

訪問控制決定一個用戶或程序是否有權(quán)對某一特定資源執(zhí)行一個特定的操作(如共享、修改、簽字等)。有3種權(quán)限判定方法:強制法,隨意法和角色判定法。在強制法中,每個用戶具有一個安全級,針對每個資源也有相應的安全系數(shù)。安全級集合是一個偏序集。也可以采用分類的方法,每個用戶不僅有一個安全級,而且在同一級中還要受類別的控制。隨意訪問控制采用訪問矩陣指定每一個用戶對每個資源的訪問模式(讀、寫、執(zhí)行等權(quán)限)。

2.5代理服務器

通過代理服務器實現(xiàn)與Internet的連接,使內(nèi)部網(wǎng)絡更加安全。因為內(nèi)部網(wǎng)絡成為一個獨立的封閉網(wǎng)絡。對代理服務器有兩種理解,一種理解為應用層防火墻,包括Web Proxy, TELNET Proxy, News Proxy, SMTP Proxy, DNS Proxy 等身份認證機制。另一種特指Web Proxy(或HTTP Proxy),它接收客戶發(fā)來的HTTP請求,將其轉(zhuǎn)發(fā)給遠地Web服務器,并將遠地Web服務器傳來的響應傳回客戶端。

2.6Web服務器的安全機制

有兩種加強WEB服務器安全的機制;SSL(Secure soket layer)和SHTTP(Seeure hypetext transfer protocol)SSL是一個分層協(xié)議,在TCP/IP協(xié)議族中位于傳輸層和應用層之間,目的是在通訊者之間提供安全可靠的鏈接。

2.7網(wǎng)絡管理及檢測

網(wǎng)絡管理及檢測也是提高網(wǎng)絡性能和安全的重要措施,網(wǎng)絡管理和檢測可以選擇HP Open View CLSCO Works HP網(wǎng)絡分析儀或其他相應產(chǎn)品實現(xiàn)。HP Open view支持SNMP, MIB-II協(xié)議,采用Xwindows 圖形界面。傳播和滲透。另外,對工作人員應結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;加強業(yè)務、技術(shù)的培訓,提高操作技能,教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定,防止人為事故的發(fā)生。

3加強網(wǎng)絡系統(tǒng)管理

3.1建立必要的安全管理機制

管理計算機網(wǎng)絡系統(tǒng)安全,從另一個方面講還包含了實體安全和信息安全。實體安全主要是指人為事故、自然災害、環(huán)境災害、設備故障。信息安全主要目的是防止信息、數(shù)據(jù)文件及計算機程序受到意外的或故意的非法泄露、修改和破壞。網(wǎng)絡安全是一項復雜的系統(tǒng)工程,僅有技術(shù)是遠遠不夠的,特別是在我們的安全技術(shù)水平還比較落后的今天,加強管理不僅是必需的,也是盡快提高我們網(wǎng)絡安全保護水平的捷徑。如果沒有保安巡邏,單靠大樓的門禁系統(tǒng)無法保障沒有盜竊行為發(fā)生。實際上,據(jù)統(tǒng)計,大量的網(wǎng)絡攻擊來自系統(tǒng)內(nèi)部,而防范內(nèi)部攻擊,僅有技術(shù)肯定不行,完善的管理可以防止大多數(shù)來自內(nèi)部的威脅,并且適時堵截外部攻擊,可以彌補技術(shù)手段的不足。

3.2建立安全隊伍

安全技術(shù)力量的形成首先必須是專業(yè)化。抽調(diào)專門的技術(shù)人員專門從事企業(yè)的網(wǎng)絡安全建設和管理?？梢韵葟妮^小的核心開始,通過各種渠道呼吁、宣傳、教育、提高各級領(lǐng)導對網(wǎng)絡安全問題的重視程度,向大家演示黑客攻擊的現(xiàn)實威脅時一種有效地辦法。使領(lǐng)導層、管理層和技術(shù)人員大家形成一個共識;網(wǎng)絡安全工作非常重要,投資時必要的。其次,逐步加強安全工作核心小組的實力。根據(jù)企業(yè)使用的技術(shù)種類和以后的發(fā)展方向,形成一定的內(nèi)部研究分工,比如UNLX NT路由、數(shù)據(jù)庫和其他應用以及上述的各種網(wǎng)絡安全元素等。在技術(shù)上保證不落后國際領(lǐng)先水平很遠,以電話、電子郵件或者BBS的方式為安全網(wǎng)提供普遍的技術(shù)咨詢和技術(shù)支持,對本網(wǎng)和客戶技術(shù)人員提供培訓服務,在建設和維護上為領(lǐng)導決策提供網(wǎng)絡安全方面的參考。