柯亞賢

摘要:在網(wǎng)絡(luò)廣泛應(yīng)用的今天,網(wǎng)絡(luò)安全管理刻不容緩。該文通過網(wǎng)絡(luò)安全管理、設(shè)備部署、策略實(shí)施等方面闡述如何保障網(wǎng)絡(luò)安全。

關(guān)鍵詞:網(wǎng)絡(luò)管理;安全管理;安全技術(shù);加密;認(rèn)證

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)22-pppp-0c

在信息時(shí)代,信息可以幫助團(tuán)體或個(gè)人,使他們受益,同樣,信息也可以用來對他們構(gòu)成威脅,造成破壞,帶來損失。隨著網(wǎng)絡(luò)技術(shù)地迅猛發(fā)展,大量地信息在網(wǎng)絡(luò)上高速傳遞,網(wǎng)絡(luò)的安全技術(shù)刻不容緩。網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。

通過加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識,部署系統(tǒng)安全策略來控制對系統(tǒng)資源的訪問,這是防病毒進(jìn)程中,最容易和經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令、安全證書、id等,對應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。

在網(wǎng)絡(luò)上,要保證流暢的安全訪問,安全的管理意識和設(shè)備的部署(包括硬件和策略)是十分關(guān)鍵的,它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量,而且涉及到網(wǎng)絡(luò)的安全性。再好的防火墻,如果不加以科學(xué)的策略控制,就是虛設(shè)。通過路由訪問控制策略,工作站的本地安全策略的科學(xué)配置加上一套好的殺毒軟件也能較好地保證網(wǎng)絡(luò)的流暢和安全訪問。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容,其邏輯安全的內(nèi)容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護(hù),而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。從普通使用者的角度來說,可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù),避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全是指和網(wǎng)絡(luò)相關(guān)的安全問題。網(wǎng)絡(luò)的基本功能是為其他通信實(shí)體(主機(jī)、其他網(wǎng)絡(luò)等)提供信息傳輸服務(wù)。從這個(gè)角度看,網(wǎng)絡(luò)安全的核心問題就是如何保障網(wǎng)絡(luò)安全地實(shí)施其基本功能:信息傳輸。當(dāng)我們從不同角度觀察這個(gè)功能的實(shí)施,就會產(chǎn)生不同的安全問題。例如:

1) 如果把網(wǎng)絡(luò)看成一種資源,那么就需要對利用這種資源的實(shí)體進(jìn)行驗(yàn)證、授權(quán)和計(jì)費(fèi);

2) 網(wǎng)絡(luò)正常運(yùn)行的前提是協(xié)議的正常操作:各種協(xié)議實(shí)體不能被偽造的或其它非法報(bào)文所欺騙,網(wǎng)絡(luò)必須有能力過濾報(bào)文;

3) 作為一種傳輸基礎(chǔ)設(shè)施,網(wǎng)絡(luò)應(yīng)該對其所傳輸?shù)臄?shù)據(jù)實(shí)施安全保護(hù);

4) 對于具備特定所有權(quán)的網(wǎng)絡(luò),網(wǎng)絡(luò)應(yīng)該有能力提供某種關(guān)于其自身的隱私保護(hù)的能力。

網(wǎng)絡(luò)面臨的安全問題層出不窮,網(wǎng)絡(luò)安全技術(shù)也處于不斷發(fā)展當(dāng)中。

5) AAA的實(shí)施技術(shù)

AAA(Authentication,Authorization and Accounting :驗(yàn)證、授權(quán)和計(jì)費(fèi)):AAA定義了實(shí)施驗(yàn)證、授權(quán)和計(jì)費(fèi)的系統(tǒng)的一般框架。AAA是網(wǎng)絡(luò)接入中對于網(wǎng)絡(luò)用戶的驗(yàn)證、授權(quán)和計(jì)費(fèi)技術(shù)的統(tǒng)稱。AAA不特指某種具體的協(xié)議或技術(shù),它只是一個(gè)技術(shù)框架。具體驗(yàn)證、授權(quán)和計(jì)費(fèi)工作都是由特定的協(xié)議或設(shè)備來完成。一個(gè)典型的AAA應(yīng)用如下圖所示:

在圖所示網(wǎng)絡(luò)中,用戶通過某個(gè)接入網(wǎng)絡(luò)和由網(wǎng)絡(luò)接入服務(wù)器(NAS,Network Access Server)、網(wǎng)關(guān)和AAA服務(wù)器所組成的一個(gè)ISP局域網(wǎng)相連,并期望獲得對于由ISP網(wǎng)關(guān)所連接的Internet的訪問權(quán)限。

圖中NAS的基本功能是作為接入網(wǎng)和ISP之間的網(wǎng)關(guān),實(shí)現(xiàn)用戶的接入。對于不同的接入網(wǎng)絡(luò),NAS所采用的技術(shù)和具體實(shí)現(xiàn)有很多不同。比如華為3Com公司的Quidway A8010設(shè)備提供撥號用戶的接入,S3026則可以提供以太網(wǎng)用戶的接入功能。

在實(shí)際應(yīng)用中,并不是所有用戶都有權(quán)利通過接入服務(wù)器訪問Internet,使用了接入服務(wù)的用戶也需要交納一定的費(fèi)用等。即ISP必須能夠?qū)崿F(xiàn)用戶的授權(quán)、論證和計(jì)費(fèi)等功能。圖中NAS和AAA服務(wù)器之間是客戶機(jī)和服務(wù)器的關(guān)系,負(fù)責(zé)提供上述功能。以AAA功能的驗(yàn)證功能的實(shí)現(xiàn)為例:NAS負(fù)責(zé)收集用戶名、用戶密碼等信息,并向AAA服務(wù)器發(fā)起“訪問請求”,AAA服務(wù)器根據(jù)預(yù)先配置的用戶數(shù)據(jù)庫以及策略決定是否允許該用戶訪問網(wǎng)絡(luò)資源,并將認(rèn)證結(jié)果通知NAS,進(jìn)而由NAS接受或拒絕該用戶對于網(wǎng)絡(luò)的訪問請求。

1) 網(wǎng)絡(luò)防火墻技術(shù)

防火墻的原意是指大樓建筑中用于將火災(zāi)隔離于一定區(qū)域的墻體。信息技術(shù)借用這個(gè)詞匯是指用于將網(wǎng)絡(luò)危險(xiǎn)和內(nèi)部網(wǎng)絡(luò)隔離開來的軟硬件設(shè)施。具體來說,防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。

2) 安全加密技術(shù)

加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于Internet上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀(jì)的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。

3) 網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施

防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò),必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線,用來遭受攻擊之后進(jìn)行系統(tǒng)恢復(fù)。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計(jì)、入侵檢測和應(yīng)急處理機(jī)構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息,作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生,如果有入侵發(fā)生,則啟動應(yīng)急處理措施,并產(chǎn)生警告信息。而且,系統(tǒng)的安全審計(jì)還可以作為以后對攻擊行為和后果進(jìn)行處理、對系統(tǒng)安全策略進(jìn)行改進(jìn)的信息來源。

總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題,而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

3 如何保障網(wǎng)絡(luò)安全

1) 意識安全,認(rèn)識到信息的安全風(fēng)險(xiǎn),評估系統(tǒng)的應(yīng)用風(fēng)險(xiǎn)制定合理的管理安全策略。

2) 概念安全,界定自身的安全區(qū)域,保證區(qū)域安全。

3) 拓?fù)浒踩?劃分安全類別,對不同的數(shù)據(jù)應(yīng)用進(jìn)行不同級別的安全保護(hù)。

4) 接入安全,把好各網(wǎng)絡(luò)進(jìn)出口,設(shè)置策略路由或防火墻,實(shí)施訪問控制。

5) 訪問規(guī)則安全,定義好訪問規(guī)則,科學(xué)分配訪問控制權(quán)限。

參考文獻(xiàn):

[1] 柳純錄.信息系統(tǒng)項(xiàng)目管理師教程[M].2版.北京:清華大學(xué)出版社,2008.

[2] 周碧英.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008(3).

[3] 孫曉南.防火墻技術(shù)與網(wǎng)絡(luò)安全[J].信息科技,2008(3).