計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)

文檔可自由編輯打印3/3文檔可自由編輯打印文檔可自由編輯打印2008年第24卷增刊 中北大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版) Vo.24Sp.2008(2008年6月) OURLOFORHUNVERSYOFCHA(OCLCECEDTON) Ju.2008) 文章編:16731646(2008)增刊007303Ξ計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)Ξ朱俊(中北大學(xué)經(jīng)濟(jì)與管理學(xué)院,山西太原030051)摘:網(wǎng)絡(luò)安全是一個(gè)普遍受到人們關(guān)注的課進(jìn)入信息時(shí)代后,網(wǎng)絡(luò)中存在很多不安全的因素,網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的一個(gè)重要保障,在一定意義上,只有網(wǎng)絡(luò)安全才可以保證網(wǎng)絡(luò)生活能夠有序進(jìn)。關(guān)鍵:計(jì)算機(jī)網(wǎng);安全技;信息安;防火墻中圖分類:TP39.08文獻(xiàn)標(biāo)識(shí):ATheDesgnofSecuritySoutonforCmputerNeworkHUJn;ColegeofEomcandManagmentNorthUnverstyofChnaΚTayuan030051ChnaΓAbsacΠTheecurityofnternetisammononcernngothepop.afterenterngthenomatonwordΚthArearemanynetworkunafefacor.theneworkecuritytechoogyisanmportantafegoundotheneworkaft.nmeondditonwecanonyguarantethenternetlfemoothybytheecurityofnewor.KeyordΠneworkecurityfirwalntrusondetectonecurityaudit計(jì)算機(jī)網(wǎng)絡(luò)是通過某種通信手段,把地理上分散的計(jì)算機(jī)連接起來實(shí)現(xiàn)資源共享的系。因此在計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)過程中,人們總是過多地考慮如何能夠方便地實(shí)現(xiàn)資源共但是在實(shí)際應(yīng)用中,資源共享總是在一個(gè)局部或者某些特定用戶之間進(jìn)行的,超越了這個(gè)范圍,就會(huì)造成信息泄信息破壞等危害網(wǎng)絡(luò)安全的現(xiàn)。計(jì)算機(jī)網(wǎng)絡(luò)安全的通常定義是指網(wǎng)絡(luò)系統(tǒng)的硬軟件及系統(tǒng)中數(shù)據(jù)信息能夠受到保護(hù),不會(huì)因?yàn)榕既换蛘邜阂庠蚨馄啤⒏孤?系統(tǒng)能夠連續(xù)可靠運(yùn)行,網(wǎng)絡(luò)服務(wù)不中也就是說通過采用各種技術(shù)和管理措施,使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行,從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用完整性和保密所以,建立網(wǎng)絡(luò)安全保護(hù)措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增修、丟失和泄露。1網(wǎng)絡(luò)安全的主要威脅以nternet為主的計(jì)算機(jī)網(wǎng)絡(luò)改變了傳統(tǒng)的社會(huì)運(yùn)行方式,大多數(shù)情況下,人們不需要面對(duì)面地進(jìn)行交流或是實(shí)施商務(wù)活但是事物都有兩面性,人

們從nternet中受益的同時(shí),也面臨著巨大的風(fēng):信息資源被機(jī)密信息被竊網(wǎng)絡(luò)被攻擊破壞。網(wǎng)絡(luò)信息安全的威脅來自很多方面,這些威脅可以宏觀的分為人為因素和自然因。它們都可以對(duì)通信安全構(gòu)成威脅,但是精心設(shè)計(jì)的人為攻擊威脅最。人為攻擊可分為主動(dòng)攻擊和被動(dòng)攻。被動(dòng)攻擊不會(huì)導(dǎo)致系統(tǒng)中所含信息的任何改動(dòng),而且系統(tǒng)的操作和狀態(tài)也不會(huì)改。被動(dòng)攻擊主要威脅信息的保密性,常見的被動(dòng)攻擊手段有偷竊和分。主動(dòng)攻擊則意在篡改系統(tǒng)中所含信息,或者改變系統(tǒng)的狀態(tài)和操。因此主動(dòng)攻擊主要威脅信息的完整可用性和真實(shí)性,其危害要比被動(dòng)攻擊大得。其具體形式分:偽造信篡改信息和拒絕服務(wù)DenalOfServce,簡(jiǎn)稱DOS.偽造信息是攻擊方可以假冒一合法的或?qū)Ψ剿湃蔚闹鳈C(jī)發(fā)放信息,來獲取對(duì)系統(tǒng)的訪;篡改信息是攻擊者有選擇地修刪延重排序以及復(fù)制真正的信息或插入虛假的信;常見DOS攻擊表現(xiàn)為攻擊者發(fā)出大量的信息沖垮站主動(dòng)攻擊可以通過有關(guān)、Ξ收稿日:20080425作者簡(jiǎn):朱俊(1984),男,碩士生,從事專:信息管理與信息系。74 中北大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版) 2008年增刊硬件檢測(cè)到,但難以做到徹底防.在網(wǎng)絡(luò)的實(shí)際應(yīng)用中,我們經(jīng)常遇到的也是主動(dòng)攻擊,由于主動(dòng)攻擊危害很大,且易形成比較明顯的后果,所以,如何防范好主動(dòng)攻擊就成為網(wǎng)絡(luò)防護(hù)的重要內(nèi)。2網(wǎng)絡(luò)安全技術(shù)特征從技術(shù)角度來說,網(wǎng)絡(luò)信息安全與保密的技術(shù)特征主要表現(xiàn)在以下方:1)可靠:即網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功;2)完整:即保證消息的來去內(nèi)容真實(shí)無;3)保密:即保證消息不會(huì)被非法泄露擴(kuò);4)不可否認(rèn):即保證消息的發(fā)送和接收者無法否認(rèn)自己所做過的操作行:5)可用:即可被授權(quán)實(shí)體訪問并能按需求使;6)可控:即對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能。3信息安全需求分析信息安全是指信息的保密性Confdentality)、完整性(ntegrity)可用性Avaiability)和可控性Contolability)。就是指信息的安全有效。保密性就是對(duì)杭對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的完整性就是對(duì)杭對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的墓.可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所?？煽匦跃褪菍?duì)信息及信息系統(tǒng)實(shí)施安全監(jiān).由于計(jì)算機(jī)網(wǎng)絡(luò)通常由多級(jí)網(wǎng)絡(luò)組成,其信息系統(tǒng)也由多級(jí)組成,各級(jí)網(wǎng)絡(luò)信息的安全要求也各不相。.1信息安全的主要問題信息安全是一個(gè)及其復(fù)雜的系統(tǒng)工程,其灑蓋的內(nèi)容包:安全的組織保保密規(guī)安全策、基本安全機(jī)制的設(shè)物理安L人RWAN的安外網(wǎng)互連安網(wǎng)絡(luò)管防火安全應(yīng)、數(shù)據(jù)庫與交互監(jiān)視等多個(gè)方面,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)信息主要存在以下幾個(gè)方面的安全問:內(nèi)部竊密和破。據(jù)統(tǒng)計(jì),80%以上的信息的泄漏或破壞足由內(nèi)部人員造成。這是因?yàn)閮?nèi)部人員在網(wǎng)絡(luò)內(nèi)有著一定的權(quán)限,了解的內(nèi)部信息也比較多,比外部的闖入者省了一半以上的力截截取就是竊聽,它是指在信息的通訊線路中,設(shè)法找到一個(gè)節(jié)點(diǎn),在通訊

的過程中截取.息,網(wǎng)絡(luò)中信息截收是很容易做到。.2非法訪問未授權(quán)用戶繞過為保護(hù)信息所做的安全設(shè)置(比:訪問權(quán)限設(shè)定)訪問保密信息,從而破壞信息的保密性,造成信息存儲(chǔ)過程的泄。破壞信息入侵者無法獲取信息,但對(duì)存儲(chǔ)信息進(jìn)行破壞刪除或修改,從而破壞存儲(chǔ)信息的完整.物理設(shè)備故障由于信息存儲(chǔ)設(shè)備的物理故障造成存儲(chǔ)信息的丟失和破壞,從而使信息的完整性和可用性遭到破.4信息安全設(shè)計(jì)由于計(jì)算機(jī)網(wǎng)絡(luò)具有連接形式多樣技術(shù)復(fù)雜性和網(wǎng)絡(luò)的開放互連性等特征,導(dǎo)致信息系統(tǒng)的安全問題變得非常復(fù)。無論是在局域網(wǎng)還是在廣域網(wǎng)中,對(duì)于信息系統(tǒng)而言,都存在著自然的和人為的等諸多因素的潛在威因此,必須針對(duì)各種不同的威脅和系統(tǒng)的脆弱性,全方位系統(tǒng)化地制定信息系統(tǒng)的安全措施,這樣才能確保信息系統(tǒng)的安全。.1信息存儲(chǔ)安全設(shè)計(jì)信息存儲(chǔ)是信息傳輸利用的前提,因此,信息存儲(chǔ)安全是信息安全的基..2信息存儲(chǔ)過程中的安全威脅信息存儲(chǔ)安全是指信息在存儲(chǔ)過程中,其保密完整可用性和可控性沒有遭到破壞,信息在存儲(chǔ)過程中安全有信息在存儲(chǔ)過程中,其安全性受到如下幾個(gè)方面的威..3數(shù)據(jù)訪問控制為了防止用戶非法訪問受控信息和保密信息,必須對(duì)存儲(chǔ)信息采用訪問拉制技術(shù),由于計(jì)算機(jī)信息存儲(chǔ)系統(tǒng)主要為UNXWnwNT系統(tǒng),其信息訪問控制采用系統(tǒng)提供安全控制技術(shù)和自行設(shè)計(jì)安全控制相結(jié)合的辦法來實(shí)。1)信息用戶身份鑒別身份鑒別技術(shù)是對(duì)終端用戶的身份進(jìn)行識(shí)別和驗(yàn)證,防止非法用戶闖入計(jì)算機(jī)系統(tǒng),非法訪問涉密信。身份鑒別方法有三:口令驗(yàn)通行證驗(yàn)證和人類特征驗(yàn)在信息安全中主要采用口令驗(yàn)。口令驗(yàn)證可以驗(yàn)證用戶是否合法,這種驗(yàn)證方法廣泛地應(yīng)用于各個(gè)方。為了保證口令驗(yàn)證的安全有效,采用口令與C卡雙重認(rèn)證技術(shù),其過程如:首先由用戶自己選擇一個(gè)自己的口令,然后由計(jì)(2008年6月) 計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)(朱俊) 75算機(jī)自動(dòng)識(shí)別錄有較長(zhǎng)密碼的用戶個(gè)人信息認(rèn)證C。使用時(shí)用戶先將C卡插入計(jì)算機(jī),由計(jì)算機(jī)讀取并對(duì)C卡進(jìn)行驗(yàn)證,然后再由用戶輸入口令,兩者都響合后,才允許用戶訪問和使用存儲(chǔ)信這種方法可以有效得防止口令被猜測(cè)和盜取,從而保證信息存儲(chǔ)安。在使用口令驗(yàn)證時(shí)應(yīng)注意以下幾個(gè)問:口令要有一定長(zhǎng)度,不要少于6個(gè)字;不要使用性出生日電話號(hào)身份證號(hào)車牌號(hào)單位名家庭住址等作口;不要以任何形式使用用戶名作口令,如反向或縮寫;不要以英語或其它語言中的單詞作口;口令設(shè)置采用字?jǐn)?shù)字“%#3.等混排,并有一定的長(zhǎng)度限;應(yīng)該定期更換口;口令必須加密存儲(chǔ),并保證口令加密文件和口令存儲(chǔ)載體的安;口令在網(wǎng)絡(luò)中傳輸時(shí)應(yīng)加。2)訪問權(quán)限控制訪問權(quán)限控制是指對(duì)合法用戶進(jìn)行的對(duì)存儲(chǔ)信息的文件或數(shù)據(jù)操作權(quán)限的限制,這種權(quán)限主要包括對(duì)信息資源的執(zhí)行。信息存儲(chǔ)訪問權(quán)限控制主要采用下列方:確定合法用戶對(duì)信息的訪問權(quán)對(duì)用戶進(jìn)行分類,確定每類用戶的信息訪問權(quán)限和可進(jìn)行的操作,防止合法用戶越權(quán)訪問保密信.對(duì)涉密程度高的系統(tǒng),訪問權(quán)限控制到單個(gè)用建立用戶訪問信息控制詳細(xì)列出用戶類、可訪問.息及操作權(quán)控制文件的物理位置和邏輯組織按文件的類型劃分文件的存儲(chǔ)區(qū)域,用戶文件與系統(tǒng)文件隔離,應(yīng)用軟件與數(shù)據(jù)文件隔離,各區(qū)域相對(duì)獨(dú)立,相互影響的各個(gè)子系統(tǒng)的文件也應(yīng)盡量相對(duì)獨(dú)立,并賦予相應(yīng)的訪問權(quán)。3)病毒防護(hù)建立病毒防護(hù)和檢查措施,防止病毒對(duì)數(shù)據(jù)造成破。建立軟外來文件檢查制度,防止病毒傳染和擴(kuò)。5防火墻訪問控制1)防火墻是目前最為流使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù),它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)。防火墻主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略,它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間,或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存?zhèn)鬟f操防火墻是一種隔離控制

技術(shù),可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口,能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能通過在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊數(shù)據(jù),根據(jù)預(yù)先設(shè)定的安全規(guī)則,提供一種安全的網(wǎng)間網(wǎng)數(shù)據(jù)通。2)防火墻主要有三種類:包過濾代理服務(wù)器全狀態(tài)包過濾防火墻的使用是非常靈活的,可以在以太網(wǎng)絡(luò)的任意部位進(jìn)行鏈路上分割,構(gòu)成安全的網(wǎng)絡(luò)范。可以用于在單位內(nèi)網(wǎng)同外界的廣域網(wǎng)出口上,實(shí)現(xiàn)對(duì)目標(biāo)單位內(nèi)網(wǎng)的保;可以在內(nèi)部網(wǎng)絡(luò)上進(jìn)行劃分,建立局部的安全;可以單獨(dú)設(shè)置在某一臺(tái)或幾臺(tái)重要的服務(wù)器前,對(duì)這些服務(wù)器進(jìn)行安全保。3)防火墻方案實(shí)。選購(gòu)防火墻主要應(yīng)從安全角度考慮,在這里效率不應(yīng)成瓶頸問題,應(yīng)該選購(gòu)業(yè)界大公司或資深信息安全研制單位的成熟產(chǎn)。可從以下幾個(gè)方面考:①適用性,網(wǎng)絡(luò)部署靈活,適應(yīng)多種復(fù)雜網(wǎng)絡(luò)環(huán)境和接入模。支持各種應(yīng)用代理及多種基于動(dòng)態(tài)議的復(fù)雜應(yīng)提供靈活多樣VN客戶端接入方。②安全性,采用增強(qiáng)性抗攻擊技術(shù),可防范各類常見類型的網(wǎng)絡(luò)攻③可靠性,擁有防火HA集群技術(shù),可實(shí)現(xiàn)四個(gè)防火墻集群的主動(dòng)負(fù)載均。④擴(kuò)展性,軟件設(shè)計(jì)采用安全功能模塊化技術(shù),模塊升級(jí)簡(jiǎn)便,充分保障用戶的投資利。⑤管理性,支持多種管理方式,提供完善的日志管理和審計(jì)功能,有效降低管理成。參考文獻(xiàn)[1]高常波,羅萬伯,王.計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)[J.2003(3):323.[2][美D·艾.nternet網(wǎng)絡(luò)安全參考手冊(cè)M.尹偉,等,.