现在位置:范文先生网>商务管理论文>电子商务论文>对网络安全对策的探讨

对网络安全对策的探讨

时间:2023-02-20 08:27:16 电子商务论文 我要投稿
  • 相关推荐

对网络安全对策的探讨

网络时代   不同的人往往从不同的角度将某个时期冠之以“XX时代”,用来强调某些事物或某些人对社会的重要影响。这里所说的网络是指以计算机和其他电信设备为用户终端,以现代综合电信网为传输链路,以交换设备和处理设备为结点,以多种多样的信息为载荷的集合。这种网络对当代社会的经济、政治、文化、军事和人们的生活等方面均产生了重大的影响,所以越来越多的人认为我们的社会已经进入“网络时代”。   可从以下数据和事例中看出网络对社会产生的重大影响:   全球的Internet用户已达5亿多户,中国则达4500多万户,而在Internet网之外还有相当数量的专用网用户。   全球已发现的计算机病毒超过4.5万种,每年造成的经济损失超过1.6万亿美元。   中国青年报2002年9月2日有两篇关于网络的报道。一篇是说张小姐8月24日在云南丽江乘坐的旅游车翻入山谷,张小姐第三腰椎压缩性骨折,如不及时救治可能终身残疾,其远在深圳的朋友上网求援,获得民航的包机专运,使病人26日就转至广州中山附二医院,27日及时进行了手术,网络使她赢得了抢救的时间;另一篇是说7月23日11:15至12:30首都国际机场因为网络故障而“瘫痪”使60个航班和6000多名旅客的飞行被延误,还提到7月5日深圳证券交易所因为网络故障而关停数小时的严重事故。   在网络时代,网络给社会带来了前所未有的机遇和挑战。网络的正常运行为社会带来了巨大的进步和财富,而网络的不安全性也会造成意想不到的灾难和损失。网络正在加速扩大覆盖范围、加速渗透到各个领域、加速改变传统规则,我们只有努力提高网络的安全性,趋利避害,才能与网络时代同步前进。   关于网络安全的主要观点   网络安全的目标   保障网络的物理安全,对网络施以物理保护,防止遭到破坏。   保障网络的逻辑安全,即使用逻辑隔离以保证信息的机密性(confidentiality)、完整性(integrity)、可用性(availability)、可控制性(controllability)、真实性(authenticity)和不可抵赖性(non-repudiation)。机密性保证信息不会被未经授权的人所解读;完整性保证信息不会被增、删、篡改和破坏;可用性保证信息确实为授权使用者正常运行;可控性保证对网络和信息可实施安全监控;真实性保证接收到的信息确实是发信方发的而不是假冒的;不可抵赖性保证发信方无法否认他发给收信方的信息,并可通过数字取证、证据保全,使公证方和仲裁方方便介入,用法律管理网络。   保障网络的管理安全,首先是要选用可信任的人,其次是管理部门和管理人员要有足够的安全常识,制订相应的法律、规章、制度,加强行政管理,预防为主。   安全不是绝对的   安全是一个与风险密切相关的概念,只有在一定风险程度范围内的安全,而没有绝对的安全。   网络共享和网络威胁是一对公生体,网络开放、共享的程度越高,网络面临的威胁就越高。或者说,网络的可用性越高,网络的安全性就越低。网络存在安全漏洞是难免的,网络的被攻击是不可避免的,只是要把被攻破的几率尽可能降低而已。   网络信息战已现端倪   网络信息战是指在网络里为争夺制信息权而进行的军事争斗,目的是瘫痪敌方的指挥自动化系统。   网络信息战的作战形式包括指挥控制战、电子战、情报战、心理战、黑客战等。   1991年海湾战争中,美军第一次将计算机病毒用于实战并获得了胜利,网络信息战开始应用于战争;此后,在南斯拉夫的科索沃战争、俄罗斯的车臣战争,2001年以中美战机相撞事件为导火索出现的中美黑客大战,2001年发生在美国的“9.11”恐怖袭击中,都有网络信息战的影子。   许多军事专家已在潜心研究网络信息战的方方面面,甚至将网络信息攻击看作是现代战争的杀手锏。可以设想,在不久的将来,军队编制中出现网络战分队甚至网军都是完全可能的。   密码技术是网络信息安全最核心最基本的技术   密码的主要作用是将信息的密级属性改变成公开属性,使那些带密级的信息可以在公共网络中存放、传输和交换。   密码技术可用于信息加密、信息认证、数字签名、授权控制、加密隧道和密钥管理等方面,使截获信息的人无法凭借现阶段可获得的计算资源进行破译。   秘密全部寓于密钥之中,这是编密者的基本信条,截获者可以截取密文,但只要拿不到密钥,就应无法破译。   编密有严格的程序和数学算法,而破译则要靠丰富的经验、广泛的联想和恰当的技巧了。世界上没有不可破译的密码,而往往要受物力、财力、时间、条件的制约,“两军相逢”只有智者胜了。   简单的加密只能麻痹自己,方便敌人,还不如不加密。   网络安全不能一劳永逸   网络安全和网络威胁是一对矛盾,此消彼长,并在动态中发展,在斗争中前进。   网络安全措施不是万能的,但是没有网络安全措施是万万不能的。   网络安全的重点在于提高网络的顽存性,允许某些非法入侵,允许部分组件受损、允许某些部件的不可靠,但网络仍能在结构上合理配置资源和资源重组,仍可完成主要任务。   网络安全要在定期的测评中运用最新技术成果不断改进,不能一劳永逸。   网络安全的投资   网络安全产业包括安全设备和安全服务两部分。安全设备包括防火墙、杀毒软件、密码机、访问控制、安全认证、加密隧道的构筑等;安全服务包括安全咨询、安全风险评估、项目实施、整体解决方案、安全培训、售后技术支援、产品更新换代等。   国际上网络安全产业的投资大约占网络产业的10%—15%,其中安全设备和安全服务的投资比例接近于1:1,而且随着时间的推移安全服务的投资比例还会增大。专家们预计不久的将来就会出现“网上110”、“网上警察”和“网上急救队”了。   做网络安全的理性用户   理性用户应该遵纪守法,贯彻执行相关的网络安全技术标准、规范;听取专家咨询建议,制订与网络发展协调的安全方案;精挑细选,掌握产品的真实性能指标;关注最新技术,动态调整安全方案,备好安全应急措施。   网络安全的基本对策   建立网络安全的体系结构   网络安全的体系结构是一个理论基础,可以使网络安全建设纲举目张、有条不紊、全面周到、相对完善。   国外的一些政府部门、研究机构和公司已经就网络安全体系结构提出了一些模型,赵战先生在其基础上提出了适合中国国情的模型,即WPDRRC(预警、保护、检测、反应、恢复和反击)。预警是指预测网络可能受到的攻击,评估面临的风险,为安全决策提供依据;保护是指依据不同等级的安全要求,采用不同的保护等级;检测是指动态、实时地查明网络所受到的威胁性质和程度;反应是指对于危及安全的事件及时做出相应的处理,把危害减至最低限度;恢复是指采用容错、冗余、替换、修复和一致性保证等技术使网络迅速恢复正常工作;反击是指具有犯罪取证能力和打击手段。   专网与互联网的隔离   2002年8月5日国家信息化办公室发文要求、“电子政务网络由政务内网和政外网构成,两网之间有机隔离,政务外网与互联网之间逻辑隔离。”其他部门和单位也有与此类似的要求。   物理隔离,就是两个网络之间不存在数据流,也不存在可以共享的存储和信道。物理隔离的实施方案有:支持双主机、单终端的终端切换方案;双硬盘、双网卡的物理隔离方案;具有双网隔离功能的隔离网卡方

案;外部网使用单独硬盘,内部网使用服务器端统一存储的隔离方案;后来又出现了双主板、单CPU、通过硬件体系结构实现隔离的方案。用户可以灵活设计自己的物理隔离方案,但它仍然无法抵御来自内部的无意疏忽和有意攻击。   逻辑隔离,就是两个网络之间只允许合法的数据交流,而不允许非法的数据流进入专网。逻辑隔离可使用防火墙、网闸等来实现,例如校园网与互联网通过防火墙来互联,防火墙可将互联网上的色情、恐怖、邪教宣传等信息拒之于校园网之外。但是防火墙是防外不防内的,防火墙的标签区分能力仍有大量的盲点,防火墙自身往往也存在漏洞使攻击者有隙而入,防火墙的过滤规则如果定义不恰当也会有“漏网之鱼”,防火墙若不能适应新的安全威胁即时升级和更新也将有名无实。   另外需要指出的是,为了安全关闭网络是因噎废食;为了安全而与外部网物理隔绝,会使内部网变成“信息孤岛”,大大降低使用效能;采用相对完善的安全方案,使内部网与外部网(包括互联网)安全互联,使专网用户也能共享互联网的丰富资源,这才是网络的“大禹治水”之道,网络的发展是硬道理   防火墙技术   防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。   防火墙可以用硬件、也可以用软件、或用硬软件共同来实现。防火墙按应用场合可分为企业防火墙和个人防火墙,按技术原理可分为包过滤型和应用网关型,按工作模式可分为网桥模式和路由模式。   防火墙可以为专网加强访问控制、提供信息过滤、应用层的专用代理、日志分析统计报告、对用户进行“钥匙口令+防火墙一次性口令”的双因于认证等功能。   防火墙的介入不应过多影响网络的效能,正常工作时应能阻挡或捕捉到非法闯入者,特别是一旦防火墙被攻破时应能重新启动并恢复到正常工作状态,把对网络的破坏降至最低限度。   访问控制技术   访问控制是一种确定进入网络的合法用户对哪些网络资源(如内存、I/0、CPU、数据库等)享有何种授权并可进行何种访问(如读、写、运行等)的机制。   访问控制可分为身份访问控制、内容访问控制、规则访问控制、环境访问控制、数据标签等类型。   访问控制的常用技术有通行字、权限标记、安全标记、访问控制表和矩阵、访问持续时间限制等。   访问控制必须遵从最小特权原则,即用户在其合法的访问授权之外而无其他的访问特权,以保证有效防止网络因超权限访问而造成的损失。   值得指出的是,访问控制的强度并不是很高的,也不会是绝对安全的,例如通行字一般都很短且带有一些人所共知的特征,被猜中或攻破的可能性是较大的。   防病毒技术   计算机病毒是一种攻击性程序,它可以修改其他程序或将自身的拷贝插入其他程序中来感染计算机网络,病毒通常都具有破坏性作用,并通过网上信息交流而迅速传播,进一步破坏网上信息的完善性。   计算机病毒的特点是具有非授权的可执行性、隐蔽性好、感染性强、潜伏得深、破坏性广泛、有条件地触发而发作、新病毒层出不穷等。   计算机病毒的危害多种多样。病毒程序会消耗资源使网络速度变慢;病毒会干扰、改变用户终端的图像或声音,使用户无法正常工作:有些病毒还会破坏文件、存储器、软件和硬件,使部分网络瘫痪;有些病毒会在硬盘上设置远程共享区,形成后门,为黑客大开方便之门。   防病毒技术包括四个方面:病毒的检测(查毒),并可自动报警和拦截;病毒的清除(杀毒),清除力求干净彻底、不伤害网络;网络的修复,依据相关线索抢救丢失的数据,使网络恢复正常工作;病毒的预防(免疫),通常利用软件补丁不断弥补网络漏洞,以亡羊补牢,同时要对杀毒软件及时升级换代,保持其足够的“杀伤力”。   网络病毒千奇百怪,分类方法繁多。按病毒的算法分类则有伴随性病毒(最早出现的一种病毒),“蠕虫”型病毒(如1998年的莫里斯病毒)、寄生型病毒(新发现的病毒基本上都是此类),如幽灵病毒、装甲病毒、行骗病毒、慢效病毒、轻微破坏病毒、噬菌体病毒、反反病毒以及综合性病毒等;而广大网民容易理解的还是按应用场合分类为互联网病毒、电子邮件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序以及其它应用性病毒。道高一尺,魔高一丈,病毒功防战中只能是“勇敢+智慧+坚韧”的一方取胜了。   入侵检测技术   入侵检测被认为是继防火墙、信息加密之后的新一代网络安全技术。入侵检测是在指定的网段上(例如在防火墙内)及早发现具有入侵特征的网络连接,并予以即时地报警、切断连接或其它处置。   入侵检测与防火墙所监视的入侵特征不同。防火墙监视的是数据流的结构性特征,如源地址、目的地址和端口号等,这些特征一定会表示在数据流的特定位置上;而入侵检测监视的是体现在数据内容中的攻击特征,如数据流中出现大量连续的Nop填充码,往往是利用缓;中区溢出漏洞的攻击程序所制,它们使数据流的内容发生了改变。但是还有一些入侵不会导致数据流出现攻击特征字符串,而是体现为一种异常的群体行为模式,必须靠分布式入侵检测系统才能综合分析而发现。   入侵检测的难点在于:检测耗费时间加响应耗费时间之和必须小于攻击耗费时间,这个时间随着计算机速度的提高往往在μs级甚至于ns级;攻击特征成千上万,既有已知的还有未知的,入侵检测的算法也要随之而改进:网络宽带越来越大,网上数据流量已是天量海量,检测如此巨大的数据流真如“大海捞针”;入侵检测要对非法入侵发现得及时、抓住特征、防止销毁证据并做出反击,是一场不折不扣的高科技战争。   虚拟安全专网(VPN)   VPN是指业务提供商利用公众网(如互联网)将多个用户子网连接成一个专用网,VPN是一个逻辑网络而非物理网络,它既拥有公众网的丰富资源而又拥有专用网的安全性和灵活性。   目前的公众网都是基于IP网间协议的,为了解决IP数据流的安全问题,IETF(因特网工程工作组)制订了一个Ipsec(IP安全标准)。Ipsec采用两种安全机制:一个是AH(IP鉴别头),它对IP数据进行强密码校验,进而提供数据完整性鉴别和源鉴别;另一个是ESP(IP数据封装安全净荷),它通过加密IP数据来提供数据完整性和保密性,ESP又分为隧道加密方式(即对整个IP数据全加密)和IP数据净荷加密方式两类。   Ipsec是一种端到端的安全机制,Ipsec工作于互联网协议的第三层即网间协议层,因此位于第四层的TCP协议(即传送控制协议)不用任何改变即可工作在Ipsec之上。   其它网络安全对策   除了上述几条外,网络安全方面还应采用以下一些对策:   适当强度的密码算法,密码始终是网络安全的基石,也是一切安全对策的核心;   采用安全性好的操作系统;   采用电磁防护措施,一方面要防止有用信息的电磁漏泻发射,另一方面要采用抗电磁干扰传输方式;   采用防雷电的保护措施;   采用适当的物理防护措施;   加强行政管理、完善规章制度、严格人员选任、法律介入网络等。   结束语   网络是我们驰骋的广阔天地,而网络出口和IP地址为我们划定了网络疆土。网络天地里既充满了各种各样的有用资源,也暗藏着许多“杀机”,正在进行着一场没有硝烟的战争。“保存自己、消灭敌人”是我们的基本原则,为了实现网络安全,我们必须不断学习,与网络的发展同步前

进;听取和尊重专家的建议,慎重安全决策;综合运用多种安全对策,确保适度的网络安全;动态改进安全对策;努力占据安全的制高点。


【对网络安全对策的探讨】相关文章:

我国村民自治存在的问题与对策探讨08-06

基层行政执法工作的难点及对策探讨08-15

我国村民自治存在的问题与对策探讨08-06

高校学院档案工作问题及对策探讨08-05

关于提高农民收入的对策探讨08-12

WTO对中国税制的影响及其对策探讨08-05

高中作文教学的现状分析与对策探讨08-24

铁路货运向现代物流拓展对策探讨08-05

关于MCAI教学普及问题及其对策的探讨08-17