吳樹(shù)勇

(肇慶科技職業(yè)技術(shù)學(xué)院信息工程系,廣東肇慶 526020)

1 計(jì)算機(jī)網(wǎng)絡(luò)安全威脅

1.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全性威脅

計(jì)算機(jī)網(wǎng)絡(luò)面臨多種安全威脅,國(guó)際標(biāo)準(zhǔn)化組織ISO對(duì)開(kāi)放系統(tǒng)互聯(lián)網(wǎng) OSI環(huán)境定義了以下幾種威脅:

(1)偽裝。威脅源泉成功地假扮成另一個(gè)實(shí)體,隨后濫用這個(gè)實(shí)體的權(quán)利。

(2)非法連接。威脅源以非法手段形成合法的身份,在網(wǎng)絡(luò)實(shí)體與網(wǎng)絡(luò)源之間建立非法連接。

(3)非法授權(quán)訪問(wèn)。威脅源成功地破壞訪問(wèn)控制服務(wù),如修改訪問(wèn)控制文件的內(nèi)容,實(shí)現(xiàn)了越權(quán)訪問(wèn)。

(4)拒絕服務(wù)。阻止合法的網(wǎng)絡(luò)用戶或其他合法權(quán)限的執(zhí)行者使用某項(xiàng)服務(wù)。

(5)信息泄露。未經(jīng)授權(quán)的實(shí)體獲取到傳輸中或存放著的信息,造成泄密。

(6)無(wú)效的信息流。對(duì)正確的通信信息序列進(jìn)行非法修改、刪除或重復(fù),使之變成無(wú)效信息。

以上所描述的種種威脅大多由人為造成,威脅源可以是用戶,也可以是程序。除此之外,還有其他一些潛在的威脅,如電磁輻射引起的信息失密、無(wú)效的網(wǎng)絡(luò)管理等。研究網(wǎng)絡(luò)安全的目的就是盡可能地消除這些威脅。

1.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全攻擊

安全攻擊的形式:計(jì)算機(jī)網(wǎng)絡(luò)的主要功能之一是通信,信息在網(wǎng)絡(luò)中的流動(dòng)過(guò)程有可能受到中斷、截取、修改或捏造形式的安全攻擊。

(1)中斷。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信,如切斷通信線路、禁用文件管理系統(tǒng)等。

(2)截取。截取是指未授權(quán)者非法獲得訪問(wèn)權(quán),截獲通信雙方的通信內(nèi)容。

(3)修改。修改是指未授權(quán)者非法截獲通信雙方的通信內(nèi)容后,進(jìn)行惡意篡改。

(4)捏造。捏造是指未授權(quán)者向系統(tǒng)中插入仿造的對(duì)象,傳輸欺騙性消息。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全體系

1989年,國(guó)際標(biāo)準(zhǔn)化組織為實(shí)現(xiàn)開(kāi)放系統(tǒng)互聯(lián)環(huán)境下的信息安全,ISO/TC97技術(shù)委員會(huì)制訂了ISO7498-2國(guó)際標(biāo)準(zhǔn)。ISO7498-2從體系結(jié)構(gòu)的觀點(diǎn),描述了實(shí)現(xiàn)OSI參考模型之間的安全通信所必須提供的安全服務(wù)和安全機(jī)制,建立了開(kāi)放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)框架,為網(wǎng)絡(luò)的研究奠定了基礎(chǔ)。

2.1 安全服務(wù)

(1)身份認(rèn)證。身份認(rèn)證是訪問(wèn)控制的基礎(chǔ),是針對(duì)主動(dòng)攻擊的重要防御措施。身份認(rèn)證必須做到準(zhǔn)確無(wú)誤地將對(duì)方辨別出來(lái),同時(shí)還應(yīng)該提供雙向認(rèn)證,即互相證明自己的身份。網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證更加復(fù)雜,因?yàn)轵?yàn)證身份一般通過(guò)網(wǎng)絡(luò)進(jìn)行而非直接參交互,常規(guī)驗(yàn)證身份的方式(如指紋)在網(wǎng)絡(luò)上已不適用;再有,大量黑客隨時(shí)隨地都可能嘗試向網(wǎng)絡(luò)滲透,截獲合法用戶口令,并冒名頂替以合法身份入網(wǎng),所以需要采用高強(qiáng)度的密碼技術(shù)來(lái)進(jìn)行身份認(rèn)證。

(2)訪問(wèn)控制。訪問(wèn)控制的目的是控制不同用戶對(duì)信息資源的訪問(wèn)權(quán)限,是針對(duì)越權(quán)使用資源的防御措施。訪問(wèn)控制可分為自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制兩類。實(shí)現(xiàn)機(jī)制可以是基于訪問(wèn)控制的屬性的訪問(wèn)控制表(或訪問(wèn)控制矩陣),也可以是基于安全標(biāo)簽、用戶分類及資源分檔的多級(jí)控制。

(3)數(shù)據(jù)保密。數(shù)據(jù)保密是針對(duì)信息泄露的防御措施。數(shù)據(jù)加密是常用的保證通信安全的手段,但由于計(jì)算機(jī)技術(shù)的發(fā)展,使得傳統(tǒng)的加密算法不斷地被破譯,不得不研究更高強(qiáng)度的加密算法,如目前的DES算法,公開(kāi)密鑰算法等。

(4)數(shù)據(jù)完整性。數(shù)據(jù)完整性是針對(duì)非法篡改信息、文件及業(yè)務(wù)流而設(shè)置的防范措施。也就是說(shuō)網(wǎng)上所傳輸?shù)臄?shù)據(jù)防止被修改、刪除、插入、替換或重發(fā),從而保護(hù)合法用戶接收和使用該數(shù)據(jù)的真實(shí)性。

2.2 安全機(jī)制

2.2.1 與安全服務(wù)有關(guān)的安全機(jī)制

(1)加密機(jī)機(jī)制。

(2)數(shù)字簽名機(jī)制。

(3)訪問(wèn)控制機(jī)制。

(4)數(shù)據(jù)完整性機(jī)制。

(5)認(rèn)證交換機(jī)制。

(6)路由控制機(jī)制。

2.2.2 與管理有關(guān)的安全機(jī)制

(1)安全標(biāo)記機(jī)制。

(2)安全審核機(jī)制。

(3)安全恢復(fù)機(jī)制。

3 計(jì)算機(jī)網(wǎng)絡(luò)管理

3.1 計(jì)算機(jī)網(wǎng)絡(luò)管理概述

計(jì)算機(jī)網(wǎng)絡(luò)管理分為兩類。第一類是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)(例如文件的使用)和存取權(quán)限(許可)的管理,屬于與軟件有關(guān)的計(jì)算機(jī)網(wǎng)絡(luò)管理問(wèn)題。第二類是對(duì)構(gòu)成計(jì)算機(jī)網(wǎng)絡(luò)的硬件管理,包括對(duì)工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。通常情況下這些設(shè)備都分散在網(wǎng)絡(luò)中,當(dāng)設(shè)備有問(wèn)題發(fā)生時(shí)網(wǎng)絡(luò)管理員希望可以自動(dòng)地被告通知,為了解決這個(gè)問(wèn)題,在一些設(shè)備中已經(jīng)具有網(wǎng)絡(luò)功能,可以遠(yuǎn)程地詢問(wèn)它們的狀態(tài),使它們?cè)谟心撤N特定類型的事件發(fā)生時(shí)能夠發(fā)出警告。這種設(shè)備通常被稱為“智能”設(shè)備。

網(wǎng)絡(luò)管理應(yīng)遵循以下的原則:由于管理信息而帶來(lái)的通信量不應(yīng)明顯的增加網(wǎng)絡(luò)的通信量。被管理設(shè)備上的協(xié)議代理不應(yīng)明顯的增加系統(tǒng)處理的額外開(kāi)銷,以致于削弱該設(shè)備的主要功能。

3.2 計(jì)算機(jī)網(wǎng)絡(luò)管理的功能

國(guó)際標(biāo)準(zhǔn)化組織 ISO定義了網(wǎng)絡(luò)管理的五個(gè)功能域,分別是:故障管理、配置管理、計(jì)費(fèi)管理、性能管理和安全管理。

(1)故障管理。故障管理是對(duì)網(wǎng)絡(luò)中的問(wèn)題或故障進(jìn)行檢測(cè)、隔離和糾正。使用故障管理技術(shù),網(wǎng)絡(luò)管理者可以盡快地定位問(wèn)題或故障點(diǎn),排除問(wèn)題故障。故障管理的過(guò)程包括 3個(gè)步驟。

1)發(fā)現(xiàn)問(wèn)題。

2)分離問(wèn)題,找出故障的原因。

3)如果可能,盡量排除故障。

(2)配置管理。配置管理是發(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過(guò)程。配置管理提供的主要功能是通過(guò)對(duì)設(shè)備的配置數(shù)據(jù)提供快速的訪問(wèn),增強(qiáng)網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)的控制;可以將正在使用的配置數(shù)據(jù)與存儲(chǔ)在系統(tǒng)中的數(shù)據(jù)進(jìn)行比較,而發(fā)現(xiàn)問(wèn)題;可以根據(jù)需要方便地修改配置。配置管理主要是包括下面三個(gè)方面的內(nèi)容:

1)獲得關(guān)于當(dāng)前網(wǎng)絡(luò)配置的信息。

2)提供遠(yuǎn)程修改設(shè)備配置的手段。

3)存儲(chǔ)數(shù)據(jù)、維護(hù)最新的設(shè)備清單并根據(jù)數(shù)據(jù)產(chǎn)生報(bào)告。

(3)安全管理。安全管理是控制對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的信息的訪問(wèn)的過(guò)程。提供的主要功能是正確操作網(wǎng)絡(luò)管理和保護(hù)管理對(duì)象等安全方面的功能。具體包括:

1)支持身份鑒別,規(guī)定身份鑒別過(guò)程。

2)控制和維護(hù)授權(quán)設(shè)施。

3)控制和維護(hù)訪問(wèn)權(quán)限

4)支持密鑰管理。

5)維護(hù)和檢查安全日志。

計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模越來(lái)越大、復(fù)雜程度越來(lái)越高,為了保證計(jì)算機(jī)網(wǎng)絡(luò)良好的性能,確保向用戶提供滿意的服務(wù),必須使用計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自動(dòng)化的管理。計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)的功能是管理、監(jiān)視和控制計(jì)算機(jī)網(wǎng)絡(luò),即對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行了配置,獲取信息、監(jiān)視網(wǎng)絡(luò)性能、管理故障以及進(jìn)行安全控制。計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行起著極其重要的作用。

4 結(jié)束語(yǔ)

據(jù)國(guó)際調(diào)查顯示,目前有 55%的企業(yè)網(wǎng)沒(méi)有自己的安全策略,僅靠一些簡(jiǎn)單的安全措施來(lái)保障網(wǎng)絡(luò)安全,這些安全措施可能存在互相分立、互相矛盾、互相重復(fù)、各自為戰(zhàn)等問(wèn)題,既無(wú)法保障網(wǎng)絡(luò)的安全可靠,又影響網(wǎng)絡(luò)的服務(wù)性能,并且隨著購(gòu)物運(yùn)行而對(duì)安全措施進(jìn)行不斷的修補(bǔ),使整個(gè)安全系統(tǒng)變得臃腫,難以使用和維護(hù)。這些都是迫切需要解決的問(wèn)題,只有加強(qiáng)網(wǎng)絡(luò)與信息安全管理,增強(qiáng)安全意識(shí),不斷改進(jìn)和發(fā)展網(wǎng)絡(luò)安全保密技術(shù),才能防范于未然,避免國(guó)家、企業(yè)或個(gè)人的損失。

[1] 安淑芝.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:中國(guó)鐵道出版社,2003.

[2] 劉韋韋.局域網(wǎng)組建與管理[M].北京:電子工業(yè)出版社, 2002.

[3] 楊威.網(wǎng)絡(luò)工程設(shè)計(jì)與系統(tǒng)集成[M].北京:人民郵電出版社,2005.