网络安全隐患、防范策略和安全系统的工程设计
摘 要
本文对目前计算机网络存在的安全隐患进行了分析,并探讨了针对计算机安全隐患的防范策略。还分析了网络安全的重要性,介绍网络安全系统的工程设计的概念、原则、方法和技术。随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
关键词
计算机网络; 网络安全; 系统设计
Network security, security systems to guard against the strategy and the engineering design
Abstract
This article the security hidden danger which exists to at present computer network has carried on the analysis, and has discussed in view of the computer security hidden danger guard strategy. Article has analyzed the network security importance, the introduction network security system engineering design concept, the principle, the method and the technology. Along with the computer network technology rapid development, the Internet application becomes in particular more and more widespread, while has brought unprecedented magnanimous information, network openness and the freedom has also had the private information and the data is destroyed or infringement possibility, network information safe becomes day by day is important, has been taken by information society's each domain.
Key words
computer network; network security; system design
引言
计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
目前,全世界的军事、经济、社会、文化各个方面都越来越依赖于计算机网络,人类社会对计算机的依赖程度达到了空前的记录。由于计算机网络的脆弱性,这种高度的依赖性是国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。网络安全性既是一个复杂的课题,也是一个永恒的主题。目前有很多很不错的书籍和文章介绍有关计算机网络安全性方面的内容,其范围从适用于非专业人员理解某个领域的最简单的介绍性读物,到针对安全性产品的实现者掌握错综复杂的技术细节的高级参考书,所介绍的内容实在是太多了。对于非网络安全专业的网络管理人员来讲,主要任务是确定安全性策略的基本需求,并指导系统开发商使用该策略实现安全的网络基础设施。虽然他们不一定参与安全工程的具体实施过程,但了解安全工程设计的工作内涵,无疑是有益的。而安全工程设计的概念、原则、方法和技术信息分散在许多不同的书籍中,把它们摘取出来相当困难。本文尝试将这方面的知识汇集起来供大家参考。
1.网络安全隐患
1.1 计算机网络安全的现状
据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称:给我精选10名 “黑客”,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。
据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心。也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。
当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
(1).Internet所用底层TCP/IP网络协议本身易受到攻击,该协议本身的安全问题极大地影响到上层应用的安全。
(2).Internet上广为传插的易用黑客和解密工具使很多网络用户轻易地获得了攻击网络的方法和手段。
(3).快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统和应用程序存在新的攻击漏洞。
(4).现行法规政策和管理方面存在不足。目前我国针对计算机及网络信息保护的条款不细致,网上保密的法规制度可操作性不强,执行不力。同时,不少单位没有从管理制度、人员和技术上建立相应的安全防范机制。缺乏行之有效的安全检查保护措施,甚至有一些网络管理员利用职务之便从事网上违法行为。
1.2 计算机网络面临的威胁
信息安全是一个非常关键而又复杂的问题。计算机信息系统安全指计算机信息系统资产(包括网络)的安全,即计算机信息系统资源(硬件、软件和信息)不受自然和人为有害因素的威胁和危害。
计算机信息系统之所以存在着脆弱性,主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等;计算机信息系统受到的威胁和攻击除自然灾害外,主要来自计算机犯罪、计算机病毒、黑客攻击、信息战争和计算机系统故障等。
由于计算机信息系统已经成为信息社会另一种形式的“金库”和“保密室”,因而,成为一些人窥视的目标。再者,由于计算机信息系统自身所固有的脆弱性,使计算机信息系统面临威胁和攻击的考验。计算机信息系统的安全威胁主要来自于以下几个方面:
(1)自然灾害。计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
(2)黑客的威胁和攻击。计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。
(3)计算机病毒。90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。
(4)垃圾邮件和间谍软件。一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户小知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为,或是发布广告,修改系统设置,威胁用户隐私和计算机安全,并可能小同程度的影响系统性能。
(5)信息战的严重威胁。信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。
(6)计算机犯罪。计算机犯罪,通常是利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。
在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。
2.防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
(1)防火墙技术。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(2)数据加密与用户授权访问控制技术。与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。
数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。
(3)入侵检测技术。入侵检测系统(Intrusion Detection System简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测技术的功能主要体现在以下方面:监视分析用户及系统活动,查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式。
(4)防病毒技术。随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
(5)安全管理队伍的建设。在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
3.网络安全系统的工程设计
3.1 网络安全工程设计的任务
网络安全的目的是保护网络信息。信息安全面临的威胁主要来自:系统的软硬件设备的功能失效;系统的软硬件设备的安全缺陷。一般而言,设备功能失效可以通过提高系统的可靠性来解决,设备冗余、负载均衡和备份等技术能够解决这类物理和工程的可靠性问题,经过认真科学的分析、深思熟虑的设计以及全面严谨的测试能使系统具备足够高的可靠程度,使网络信息被破坏几率降到最小或被破坏的信息能接近完整地恢复。网络系统的安全缺陷,是计算机互联的固有特征,由于网络的资源和信息是被共享的,它们必然有可能因人的恶意或偶然原因遭受破坏、更改或泄露。需要在要保护的信息与可能危害网络服务和信息(无意或恶意)的人之间设立实际和虚拟的屏障,限制网络资源和信息的访问自由度,达到降低信息安全风险的目标。网络可靠性问题和安全屏障问题都是网络系统设计的内容,为了便于分析问题,通常将系统可靠性问题放在网络系统结构设计中考虑,而将安全屏障问题放在网络系统安全设计中考虑。
网络安全设计的目标,从狭义上讲,是解决系统数据不受偶然的或者恶意的原因而遭受破坏、更改、泄密的问题,侧重于保护网络系统中的内部信息;从广义上讲,是解决网络信息的保密性、完整性、可用性、真实性和可控性的问题,除了考虑如何保护网络系统内部信息外,还要考虑网络系统与外部系统间交换信息的安全性以及信息的合规性,外部系统包括互连的计算机网络、公用传输网络、人员等一切与本系统信息输入/输出相关的实体,保护的范围更为广泛。
网络安全设计涉及的内容既有技术方面的问题,也有管理方面的内容,两方面相互补充,缺一不可。技术方面主要侧重于防范非法用户的攻击,管理方面则侧重于内部人为因素的管理。这个管理不仅包括一般意义上的规范使用者合法利用网络的管理制度,它还应该包含大量的保障安全技术发挥作用的管理制度。因为网络安全并不是单纯的技术问题,我们不能买到保证网络绝对安全的万能设备,也不能买到或者编写一段保证网络绝对安全的程序。这就是说,网络安全是一个需要人为干预的过程,而人为干预的作用大小取决于管理制度和落实制度的优劣。安全设备是替代不了管理制度的作用,如果没有一个定期安全审计制度和特征库文护制度,即使网络配置了技术最先进的防火墙、防范病毒、入侵检测等安全设施,由于新的攻击手法不断出现,网络的安全性就会变得越来越差。同样,如果没有一个用户口令密码管理制度,口令密码随意存放或长期不变更的话,网络信息访问权限安全将会形同虚设。在安全设计时,除了选择合适的安全技术外,还应根据采用的安全技术特征制定出相应的可操作的技术管理体系和规定。网络安全工程设计只是从工程实施角度解决防范非法用户攻击的问题,它不是网络安全设计的全部内容,只是网络安全设计的一个技术组成部分。
网络安全工程设计的主要困难之一是无法量化设计中提供的各种安全服务的效益,即既无法确切知道这些安全防御屏障是否真正必要,又无法确切知道这些安全防御屏障是否真正有效。如同现实生活中的车辆投保一样,没投保的车辆也许什么事故都不曾发生;而投了保的车辆,因投保的险种不对,发生了事故却不能获得赔偿。不像网络系统结构设计那样有个较客观的度量规则,比如设计了路由热备份,可以使网络传输中断故障几率降低百分之几。另一个主要困难是各种安全服务如何适应网络系统应用和网络安全环境的变化,已实施的安全防御屏障在今天是有效的,但随着黑客攻击技术的发展,以及网络体系结构的变化、软件的增删、服务项目的调整等原因,明天就未必有效。
由于网络安全工程设计存在着量化的困难和应变的困难,会经常出现两种极端的设计倾向,一种认为既然无法预知安全服务的效益,就忽视必要的安全工程设计,企图依赖于规章制度来规避信息安全风险,或者寄托于在网络应用阶段的事故发生后的“亡羊补牢”;另一种是抱着“有”比“没有”强的想法,在没有对具体的系统和环境进行充分的考察、分析、评估的情况下,为避免安全责任,不管效用如何,不计成本地配置各种安全服务设施。这两种倾向在网络建设过程中都会有反映,在建设规划时期,由于难以判断危险,而感到担心、恐惧和不确定,计划了不切实际的各种安全服务设施,但进入建设实施时期,经常因投资制约或与应用服务效率发生冲突时,大量被砍去的项目却是安全服务设施,网络安全的工程建设始终处于一种盲目的状态。
网络安全工程设计的指导思想应该是,将信息安全风险处于一种“可控”的状态,所谓“可控”是指积极地防御、高效地监测和有效地恢复等三个方面,“防”、“查”、“治”相结合的安全体系,任何杜绝网络系统所有安全漏洞的做法是不现实的。网络安全工程的实现是根据已确立的网络系统信息安全体系结构,将支撑信息安全机制的各种安全服务功能,合理地作用在网络系统的各个安全需求分布点上,最终达到使风险值稳定、收敛且实现安全与风险的适度平衡。
3.2 网络安全工程设计的原则
尽管没有绝对安全的网络,但是,如果在网络方案设计之处就遵从一些合理的原则,那么相应网络系统的安全就更加有保障。设计时如考虑不全面,消极地将安全措施寄托在网络运行阶段的事后“打补丁”思路是相当危险的。从工程技术角度出发,在设计网络安全方案时,应该遵循以下原则:
(1)实用性原则。保证了网络系统的正常运行和合法用户操作活动,网络安全才有意义。网络的信息共享和信息安全是一对不可调和的矛盾:越安全就意味着使用越困难,一方面为方便信息资源的共享,要充分利用网络的服务特征,同时这种方便也带来了网络信息资源的安全漏洞;另一方面为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施,势必给系统的运行增加负担,给用户的使用造成麻烦。比如,在实时性要求很高的业务对安全连接的时延和安全处理的数据扩张有很大限制,如果安全连接和安全处理对系统CPU、存贮器、输传带宽等资源的占用过大,业务就无法正常运行。
(2)整体性原则。网络安全工程系统应该包括3种机制:安全防护机制、安全监测机制、安全恢复机制,它们各自完成不可替代的安全任务,并相互结合形成完整的网络安全体系。安全防护机制是根据具体系统存在的各种安全威胁和安全漏洞采取的相应防护屏障,避免非法入侵的进行,是一种事先防御手段;安全监测机制是监测系统的运行情况,及时发现对系统进行的各种攻击,随之调整防护机制制止此类攻击的进行,是一种事中防御手段;安全恢复机制是在安全防御机制失效,而监测机制没有及时发现的情况下,进行应急处理和信息的恢复,减少攻击造成的破坏程度,是一种事后防御手段。网络安全的工程设计要体现安全防护、监测和应急恢复的安全整体性,要求在网络被攻击时,少发生及不发生系统被破坏的情况,一旦发生破坏情况,应能很快地恢复网络信息中心的服务,降低损失。
(3)安全有价原则。在考虑网络安全问题的工程解决方案时,必须考虑性能价格的平衡。必须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。不同的网络系统所要求的安全侧重点各不相同。例如国家行政首脑机关、国防部门计算机网络安全侧重于存取控制强度。金融部门侧重于身份认证、审计、网络容错等功能。交通、民航侧重于网络容错等。
(4)适用性原则。安全工程设计中要充分考虑到“网络安全是个动态的过程”的特征。为了适应网络服务环境变化和网络服务项目调整的情况,系统单元中所采用的安全服务子系统应能提供友好的可视化的易操作的管理功能,以便及时调整系统的防御屏障体系。
(5)“木桶原则”。强调对信息均衡、全面地进行安全防护。网络信息系统本身在物理上、操作上和管理上的种种漏洞构成了系统安全脆弱性,尤其是多用户网络系统自身的复杂性、信息资源共享利用的广泛性,存在着多种公开或隐蔽的渠道访问信息资源,攻击者必然在系统中不设防的渠道进行攻击。充分、全面、完整地对被保护信息的各种访问渠道进行安全漏洞和安全威胁分析是网络安全系统设计的必要条件。
(6)分层原则。网络系统中的信息必然存在不同级别,如不同信息的价值可分为极高、高、中、低等级别;不同信息的保密程度可分为绝密、机密、秘密、内部、公开;同一信息的用户操作权限可分成面向个人、面向群组或面向公众;子网络安全程度可划分成安全区域、非安全区域或高危区域;系统体系结构可分为应用层、应用支撑层、网络层、传输层等。针对不同级别或层次的安全对象,提供全面的、可选的安全体制,以满足各级别或层次的实际需求。
(7)简化原则。网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性越大。简化网络服务功能,关闭工作任务以外所有的网络服务和网络协议是安全工程设计的重要守则。例如网络业务不需要向用户提供FTP服务,就应该关闭服务器上FTP协议,以免用户启用FTP时,造成不必要的安全漏洞。
在具体实施安全工程过程中,经常会发生体现了某一个原则,就会违背了另一个原则的情况,这就需要根据被保护的信息资源价值、可能的安全威胁和受攻击的风险等实际情况进行平衡性的调整。
3.3 网络安全系统的分层结构模型
为了使复杂的网络安全系统问题简化,更好地解决与工程相关的问题,引入网络安全体系结构概念,对于网络安全工程方案设计具有非常重要的指导意义。研究网络安全体系结构的目的是解决安全服务的逻辑结构和功能分配问题,用层次清晰的结构化的方法,将安全功能按安全对象划分出若干层次,处于高层次的系统仅是利用较低层次的系统提供的接口和功能,不需要了解低层实现该功能所采用的算法和协议;较低层次也仅是使用从高层系统传来的参数,也不需要了解高层实现该功能所采用的算法和协议,这就是层次间的无关性。因为有了这种无关性,层次间的每个模块可以用一个新的模块取代,只要新的模块与旧的模块具有相同的功能和接口,即使它们使用的算法和协议都不一样,也能很好地工作。所以分层结构的网络安全体系结构并不关心各层的安全功能是如何实现,换句话说,它只是从安全功能层面上描述网络安全系统的结构,而不涉及每层硬件和软件的组成,也不涉及这些硬件和软件的实现的问题,是个抽象的逻辑的功能框架。
在计算机网络实践中,“层次”这个概念是无所不在的。安全系统结构层次模型类似于ISO的开放式系统互连(OSI)体系结构的分层模型。网络安全系统层次结构模型与各层次协议的集合定义为网络安全系统的体系结构。根据不同的具体网络结构,网络安全系统的层次的划分、功能的分配及采用的技术均不相同,图1是某国家部委的网络安全体系的层次模型。随着安全技术的发展,不同结构的计算机网络安全系统的互连已成为人们迫切需要解决的问题。
安全支撑平台:安全系统结构的最低层,类似OSI参考模型的物理传输介质层,是系统安全信息的载体。它主要包括私钥算法库、公钥算法库、HASH函数库、密钥生成程序、随机数生成程序等信息的安全算法库;包括用户口令和密钥、安全管理参数及权限、系统当前运行状态等信息的安全信息库和包括安全服务操作界面和安全信息管理界面等信息的用户接口界面。
物理层的安全:物理安全是网络系统安全运行的前提,涉及环境安全、设备安全、媒体安全三个部分,分别针对信息系统所在环境、所用设备、信息载体进行安全保护。主要防止物理通路的损坏、物理通路的窃听和对物理通路的攻击。
链路层的安全:链路安全是网络系统安全运行的基础。主要是阻止非法者窃听在网络链路传送的数据。如划分VLAN(局域网)、VPN、加密通信(远程网)等技术手段可保障链路层的数据安全。
网络层的安全:网络安全保证网络只给被授权的合法客户提供的授权服务。主要是保证网络路由正确,避免被拦截或监听。对于大型的计算机网络,网络拓朴非常复杂,通常采用包过滤、身份认证、入侵检测与实时监控等技术手段增强网络层的安全性。
操作系统的安全:保证客户数据和操作系统的访问控制安全,并能对该操作系统上的应用进行审计。要求配置的操作系统具有足够的安全等级,重要的业务应用操作系统至少达到C2安全级强度。也就是应具备对主体(人、进程)识别和对客体(文件、设备)标注,划分安全等级和范畴,实现对主、客体之间的访问关系进行控制的能力;能支撑用户权限管理和访问控制的安全需求,防止非法用户的入侵;能够按照制定的安全审计计划进行审计处理,包括审计日志和对违规事件的处理。
应用平台的安全:应用平台是指建立在网络系统之上的应用服务软件,如数据库服务器、电子邮件服务器、WEB服务器等。各种服务器管理系统本身的安全等级要达到与操作系统安全等级相当的级别,特别是数据库服务器,应具有对主体(人、进程)识别和对客体(数据表、数据分片)进行标注,划分安全级别和范畴,实现由系统对主、客体之间的访问关系进行强制性控制的能力;具有增强的口令使用方式限制;对有关数据库安全的事件进行跟踪、记录、报警和处理的能力等安全特征。由于应用平台的系统非常复杂,除了要求应用服务器具备自身的安全服务外,通常还要采用其它多种技术手段,来增强应用平台的安全性。
应用系统的安全:应用系统完成网络系统的最终目的—为用户服务。应用系统安全设施的安装与系统的设计和实现关系密切。例如应用系统要利用应用平台提供的服务来保证基本安全,如通信内容安全、通信双方的认证和审计等,就必须根据这些服务的接口、协议在应用程序中开发调用这些服务的模块。
3.4 网络安全系统的安全机制结构
在工程上,安全机制与安全子系统、安全模型或安全策略等术语经常是同义的。将网络安全系统的分层结构模型看作是安全体系结构的横向水平视图,那么系统的安全机制结构是一幅以安全机制为主线的纵向垂直视图,都是为了反映网络的功能服务与安全服务之间的关系。分层结构较适用于安全规划的分析,安全机制结构更适用于安全工程的设计,两者没有实质上的区别,仅仅是观察的视角不同而言。某国家部委计算机网络安全系统的安全机制模型是一个包括系统单元、安全特性和安全子系统的三文立体结构。
安全机制包括加密机制、身份认证机制、授权管理机制、安全防御与响应机制、安全检测与监控机制、安全备份与恢复机制等。
安全特性包括身份鉴别、访问控制、数据加密、数据完整性、不可抵赖、防病毒等安全服务等。
3.5 网络安全工程的实施步骤
网络安全工程实施所采用的方法和过程与管理信息系统实施方法和过程完全相似。
第一步:调研安全需求
网络安全系统的设计和实现必须根据具体的系统和环境,对所面临的来自网络内部和外部的各种安全风险的进行考察、分析、评估、检测(包括模拟攻击),特别是对需要保护的各类信息,确定网络系统存在的安全漏洞和安全威胁。
第二步:确立安全策略
安全策略是网络安全系统设计的目标和原则,是网络安全工程的设计依据。安全策略要综合以下几个方面优化确定:
1.根据应用环境和用户需求决定系统整体安全目标和性能指标,包括各个安全机制子系统的安全目标和性能指标。
2.设定安全系统运行造成的负荷大小和影响范围(如网络通信时延、数据扩张等)。
3.提出网络管理人员进行控制、管理和配置时操作性的要求。
4.安全服务的编程接口可扩展性的规定。
5.用户界面的友好性和使用方便性的具体要求。
第三步:建立安全模型
安全模型指的是经分析和优化后,拟采用的安全系统逻辑方案,它虽然不同于实体结构方案,但它是下一步进行实体结构设计和实现的基础性指导文件。建立安全模型可以使复杂的问题简化,更好地解决与安全策略有关的问题。
第四步:工程的实施
安全工程开发的最后一个阶段。所谓实施指的是将安全模型设计阶段的结果转换为可执行的实体方案,确定安全模型中的每个安全特性的协议、功能和接口,并付以实现和集成。在这个阶段会涉及到大量的安全产品选型,选择合适的产品是影响系统的关键。
第五步:系统测试、评价与运行
对安全系统进行功能、性能与可用性等方面进行测试,确定安全工程是否达到符合安全策略。测试工作原则上应该由中立组织进行;测试方法要有一定的技术手段,保证科学、准确;测试标准应该采用国家标准或国际标准;测试范围是安全策略所规定的项目。
结论
计算机网络的安全问题越来越受到人们的重视,本文简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。系统的安全强度越高,需要的资金投入就越大。当安全工程建设费用超出了投资允许范围时,技术最好的安全工程方案也是无法得以实现的。事实上,安全工程方案是投资与技术二个方面妥协的折衷结果,因此在作安全需求和安全策略时,应该在投资经费框架内,保证基本的安全前提下,选择尽可能好的安全技术和设施。比如配置综合安全审计系统,肯定比分散安全审计的效率高,更有利于监控网络安全事件。因投资不够时,可以放弃综合安全审计系统,但操作系统、应用服务系统、防火墙等其它安全设施必须具备各自的审计功能。也就是说基本安全功能必不可少,性能高低可视投资大小决定舍取。
参考文献
[1].陈斌.《计算机网络安全与防御》【J】.成都市.中国西部科技.2007年02期.
[2].林建平.《计算机网络安全防控策略的若干分析》【N】. 山西省.山西广播电视大学学报.2006.11
[3].王宏伟.《网络安全威胁与对策》【J】. 黄石市.科技创业月刊.2006年05期.
[4].赵安军.《网络安全技术与应用》【M】.北京市.人民邮电出版社2007.07.01http://www.youerw.com/
[5].朱希.《病毒防护技术的研究》【J】.北京市.科学技术与工程.2007年22期.
[6].杨卫东.《网络系统集成与工程设计》【M】,北京市.人民邮电出版社.2005.07.
[7].王鹏.《国土资源管理信息系统的安全建设研究》【J】,江苏省.江苏省国土资源信息化2004年第一期.
致 谢
在论文完成之际,我要特别感谢我的指导老师窦老师的热情关怀和悉心指导。在我撰写论文的过程中,窦老师倾注了大量的心血和汗水,无论是在论文的选题、构思和资料的收集方面,还是在论文的研究方法以及成文定稿方面,我都得到了窦老师悉心细致的教诲和无私的帮助,特别是他广博的学识、深厚的学术素养、严谨的治学精神和一丝不苟的工作作风使我终生受益,在此表示真诚地感谢和深深的谢意。
在论文的写作过程中,也得到了许多同学的宝贵建议,同时还到许多在工作过程中许多同事的支持和帮助,在此一并致以诚挚的谢意。
网络安全隐患、防范策略和安全系统的工程设计下载如图片无法显示或论文不完整,请联系qq752018766
