關(guān)于計算機通信網(wǎng)絡(luò)安全與防護策略的幾點思考

1、關(guān)于計算機通信網(wǎng)絡(luò)平安與防護策略的幾點考慮關(guān)于計算機通信網(wǎng)絡(luò)平安與防護策略的幾點考慮一、引言近年來，隨著計算機網(wǎng)絡(luò)技術(shù)的成熟，計算機網(wǎng)絡(luò)應(yīng)用迅速普及。伴隨我國國民經(jīng)濟信息化進程的推進和信息技術(shù)的普及，各行各業(yè)對計算機網(wǎng)絡(luò)的依賴程度越來越高，對信息系統(tǒng)的平安性更加關(guān)注，如何保證網(wǎng)絡(luò)通信的平安性成為人們必須面對的問題。因此，有必要制定并施行計算機信息系統(tǒng)平安防護策略以維護計算機信息系統(tǒng)正常工作秩序，防范計算機犯罪，預(yù)防計算機平安事故，有效保證計算機通信網(wǎng)絡(luò)的平安。二、計算機通信網(wǎng)絡(luò)平安的現(xiàn)狀一計算機通信網(wǎng)絡(luò)平安概述計算機網(wǎng)絡(luò)由計算機和通信網(wǎng)絡(luò)兩部分組成，其中計算機是通信網(wǎng)絡(luò)的終端或信源，通信網(wǎng)絡(luò)提

2、供數(shù)據(jù)傳輸和交換的必要手段，最終實現(xiàn)保存在計算機中的資源共享。計算機通信網(wǎng)絡(luò)平安，是指根據(jù)網(wǎng)絡(luò)特性通過相應(yīng)的平安技術(shù)和措施防止計算機通信網(wǎng)絡(luò)中的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等遭到破壞更改、泄露，防止非特權(quán)用戶竊取效勞，確保網(wǎng)絡(luò)正常運行。從網(wǎng)絡(luò)的運行環(huán)節(jié)來分，網(wǎng)絡(luò)平安有設(shè)備平安、數(shù)據(jù)傳輸平安、用戶識別平安等幾個方面。二目前計算機信息網(wǎng)絡(luò)平安的研究現(xiàn)狀及動向1國外研究現(xiàn)狀及動向。國外對信息網(wǎng)絡(luò)平安研究起步較早，研究的力度大，積累多，應(yīng)用廣。在上個世紀70年代美國的網(wǎng)絡(luò)平安技術(shù)根底理論研究成果計算機保密模型的根底上，制定了可信計算機系統(tǒng)平安評估準那么(tse)，其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和

3、系列平安解釋，形成了平安信息系統(tǒng)體系構(gòu)造的準那么。平安協(xié)議作為信息平安的重要內(nèi)容，其形式化方法分析始于80年代初，目前有基于狀態(tài)機、模態(tài)邏輯和代數(shù)工具的三種分析方法，但仍有局限性和破綻，處于開展的進步階段。作為信息平安關(guān)鍵技術(shù)的密碼學，近年來空前活潑，美、歐、亞各洲舉行的密碼學和信息平安學術(shù)會議頻繁。1976年美國學者提出的公開密鑰密碼體制，克制了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難，同時解決了數(shù)字簽名問題，它是當前研究的熱點。而電子商務(wù)的平安性已是當前人們普遍關(guān)注的焦點，目前正處于研究和開展階段，它帶動了論證理論、密鑰管理等研究，由于計算機運算速度的不斷進步，各種密碼算法面臨著新的密碼體制，如量子密碼

4、、dna密碼、混沌理論等密碼新技術(shù)正處于探究之中。2國內(nèi)研究現(xiàn)狀及動向。我國信息網(wǎng)絡(luò)平安研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡(luò)信息平安研究階段，現(xiàn)已開發(fā)研制出防火墻、平安路由器、平安網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。目前其研究動向主要從平安體系構(gòu)造、平安協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息平安系統(tǒng)等方面提出系統(tǒng)的、完好的和協(xié)同的解決信息網(wǎng)絡(luò)平安的方案。三、計算機通信網(wǎng)絡(luò)平安存在的原因一系統(tǒng)自身的問題由于計算機網(wǎng)絡(luò)軟硬件系統(tǒng)在設(shè)計時為了方便用戶的使用、開發(fā)、和資源共享以及遠程管理，總是留有窗口或是后門，這就使得計算機在實際運用的過程中由于其系統(tǒng)自身的不完善導致了平安隱患

5、。系統(tǒng)問題主要包括以下幾個方面：1網(wǎng)絡(luò)的開放性：網(wǎng)絡(luò)系統(tǒng)的開放性和廣域性設(shè)計使得數(shù)據(jù)的保密難度加大，其中還包括網(wǎng)絡(luò)自身的布線以及通信質(zhì)量而引起的平安問題。2軟件的破綻：通信協(xié)議和通信軟件系統(tǒng)不完善，給各種不平安因素的入侵留下了隱患。假如在使用通信網(wǎng)絡(luò)的過程中，沒有必要的平安等級鑒別和防護措施，便使得攻擊者可以利用上述軟件的破綻直接侵入網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。3脆弱的tp/ip效勞：因特網(wǎng)的基石是tp/ip協(xié)議，該協(xié)議在設(shè)計上力務(wù)實效而沒有考慮平安因素，因為那樣將增大代碼量，從而降低了tp/ip的運行效率，所以說tp/i本身在設(shè)計上就有許多平安隱患。很多基于tp/ip的應(yīng)用效勞如效勞、電子

6、郵件效勞、ftp效勞都在不同程度上存在著平安問題這很容易被一些對tp/ip非常理解的人所利用。二網(wǎng)絡(luò)傳輸信道上的平安隱患網(wǎng)絡(luò)在傳輸信道上設(shè)計不完善，沒有必要的疲敝措施，這也會給計算機通信網(wǎng)絡(luò)留下平安隱患。因為假如傳輸信道沒有相應(yīng)的電磁屏蔽措施，那么在信息傳輸過程中將會向外產(chǎn)生電磁輻射，專門設(shè)備是可以接收到。三人為因素缺乏平安意識和平安技術(shù)的計算機內(nèi)部管理人員、利用合法身份進入網(wǎng)絡(luò)，進展有目的破壞的人員、惡意竊娶篡改和損壞數(shù)據(jù)的網(wǎng)絡(luò)黑客以及網(wǎng)上犯罪人員對網(wǎng)絡(luò)的非法使用及破壞等對網(wǎng)絡(luò)構(gòu)成了極大威脅。四其他因素此外，諸如平安防范技術(shù)、可靠性問題和管理制度的不健全，平安立法的忽略，以及不可抗拒的自然災(zāi)

7、害以及意外事故的損害等也是威脅網(wǎng)絡(luò)通信平安的重要因素。四、進步計算機通信網(wǎng)絡(luò)平安的防護策略針對以上提出的影響網(wǎng)絡(luò)平安的因素，我們從計算機系統(tǒng)、人員方面、網(wǎng)絡(luò)平安策略和平安技術(shù)等方面提出了進步計算機通信網(wǎng)絡(luò)平安的防護策略。一進步系統(tǒng)自身性能計算機系統(tǒng)在研發(fā)設(shè)計時不能只考慮實效，而應(yīng)該把通信平安因素考慮進去。網(wǎng)絡(luò)系統(tǒng)在設(shè)計時應(yīng)該考慮到數(shù)據(jù)的保密難度，完善通信協(xié)議和通信軟件系統(tǒng)，減少軟件系統(tǒng)破綻。使用通信網(wǎng)絡(luò)的過程中，制定必要的平安等級鑒別和防護措施，防止攻擊者利用軟件的破綻直接侵人網(wǎng)絡(luò)系統(tǒng)，破壞或竊取通信信息。二強化網(wǎng)絡(luò)平安教育，發(fā)揮人在網(wǎng)絡(luò)平安上的作用要認識到計算機通信網(wǎng)平安的重要性，廣泛開展網(wǎng)

8、絡(luò)平安研究，加強技術(shù)交流和研究，掌握新技術(shù)，確保在較高層次上處干主動。人員是網(wǎng)絡(luò)平安管理的關(guān)鍵之一，人員不可靠，再好的平安技術(shù)和管理手段也是枉然，故計算機通信網(wǎng)絡(luò)的平安管理必須充分考慮人的因素。加大網(wǎng)絡(luò)管理人才的保存，加強各部門協(xié)作，加大高級網(wǎng)絡(luò)技術(shù)人員的培養(yǎng)和選拔，使他們具有豐富的網(wǎng)絡(luò)技術(shù)知識，同時也具有一定的理論經(jīng)歷，從而到達有效的防護網(wǎng)設(shè)。三制定并認真貫徹施行網(wǎng)絡(luò)平安策略平安策略是指在一個特定的環(huán)境里，為保證提供一定級別的平安保護所必須遵守的規(guī)那么。應(yīng)該從法規(guī)政策、管理、技術(shù)三個層次制定相應(yīng)的策略，實現(xiàn)以下五不的目的:1使用訪問控制機制如身份鑒別，利用用戶口令和密碼等鑒別式到達網(wǎng)絡(luò)系統(tǒng)權(quán)

9、限分級，鑒別真?zhèn)?，訪問地址限制，假如對方是無權(quán)用戶或是權(quán)限被限用戶，那么連接過程就會被終止或是部分訪問地址被屏蔽，到達網(wǎng)絡(luò)分級機制的效果。阻止非受權(quán)用戶進人網(wǎng)絡(luò)，即進不來，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。2使用受權(quán)機制，利用網(wǎng)絡(luò)管理方式向終端或是終端用戶發(fā)放訪問答應(yīng)證書，防止非受權(quán)用戶使用網(wǎng)絡(luò)和網(wǎng)絡(luò)資源。實現(xiàn)對用戶的權(quán)限控制，即不該拿走的拿不走，同時結(jié)合內(nèi)容審計機制，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性。3使用加密機制，使未受權(quán)用戶看不懂，保證數(shù)據(jù)不會在設(shè)備上或傳輸過程中被非法竊取，確保信息不暴露給未受權(quán)的實體或進程，從而實現(xiàn)信息的保密性。4使用數(shù)據(jù)完好性鑒別機制，優(yōu)化數(shù)據(jù)檢查核對方式，保證只有得到允許的人

10、才能修改數(shù)據(jù)，而其它人改不了，防止數(shù)據(jù)字段的篡改、刪除、插入、重復(fù)、遺漏等結(jié)果出現(xiàn)，從而確保信息的完好性。5使用審計、監(jiān)控、防抵賴等平安機制，使得攻擊者、破壞者、抵賴者走不脫，并進一步對網(wǎng)絡(luò)出現(xiàn)的平安問題提供調(diào)查根據(jù)和手段，實現(xiàn)信息平安的可審查性。四進步網(wǎng)絡(luò)平安技術(shù)1防火墻。計算機網(wǎng)絡(luò)的最大特點是開放性、無邊界性、自由性，因此要想實現(xiàn)網(wǎng)絡(luò)的平安，最根本的方法就是把被保護的網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，使之成為可管理的、可控制的、平安的網(wǎng)絡(luò)，實現(xiàn)這一目的最根本的分隔手段就是防火墻。防火墻是網(wǎng)絡(luò)平安的第一道門檻，它的主要目的是控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有連接都經(jīng)過這樣檢查，因此

11、它具有通過鑒別、限制、更改跨越防火墻的數(shù)據(jù)流來實現(xiàn)對網(wǎng)絡(luò)的平安保護。防火墻技術(shù)一般包括數(shù)據(jù)包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)和代理技術(shù)三大類。2密碼技術(shù)。密碼技術(shù)的根本思想是假裝信息，密碼技術(shù)由明文、密文、算法和密鑰構(gòu)成。其中密鑰管理是一個非常重要的問題，是一個綜合性的技術(shù)，涉及到密鑰的產(chǎn)生、檢驗、分配、傳遞、保存、使用、消鑰的全過程。密碼類型根本有3種，即移位密碼、代替密碼和乘積密碼。移位密碼是一種通過改變明碼中每個字符或代碼的相對位置獲得的密碼；代替密碼是一種用其它字符或代碼代替明碼字符后獲得的密碼；乘積密碼那么是一種通過混合代替方法使明碼變成難以破譯的密碼。在實際加密過程中，一般不單獨使用一種密碼，而

12、是將上述3種密碼經(jīng)過屢次變換迭代生成。3用戶識別技術(shù)。為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別才能，防止出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不平安現(xiàn)象，網(wǎng)絡(luò)需要采用識別技術(shù)。常用的識別方法有口令、唯一標識符、標記識別等。4入侵檢測技術(shù)。入侵檢測技術(shù)又稱為ids，作用在于：識別針對網(wǎng)絡(luò)的入侵行為，并及時給出報警或采取平安措施以御敵于國門之外，它在計算機網(wǎng)絡(luò)中是非常有效的平安技術(shù)。目前計算機網(wǎng)絡(luò)大都是基于單一的tp/ip協(xié)議，其入侵行為的形式有一定規(guī)律可循，而通信網(wǎng)絡(luò)本身就具有不同的種類，有完全不同的內(nèi)部管理和信令協(xié)議，因此通信網(wǎng)絡(luò)入侵檢測技術(shù)對于一般的通信網(wǎng)協(xié)議具有針對性，我們可以利用這一特點，設(shè)計基于節(jié)點的入侵檢測系統(tǒng)或設(shè)計基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，基于節(jié)點的工作日志或網(wǎng)管系統(tǒng)的狀態(tài)搜集、平安審計數(shù)據(jù)以及對網(wǎng)絡(luò)數(shù)據(jù)包進展過濾、解釋、分析、判斷來發(fā)現(xiàn)入侵行為。5信息對抗技術(shù)。信息對抗理論與技術(shù)主要包括：黑客防范體系，信息假裝理論與技術(shù)信息分析與監(jiān)控入侵檢測原理與技