计算机网络安全策略与发展方向初探.docx

1、计算机网络安全策略与发展方向初探计算机网络安全策略与发展方向初探【摘要】随着计算机技术的飞速进步和计算机网络的迅速发展，计算机网络系统的应用范围不断扩大，使人们对计算机网络系统的依赖程度增大。计算机网络系统提供了资源共享性，系统的可靠性，工作效率和系统的可扩充性。然而，正是这些特点，增加了计算机网络系统安全的脆弱性和复杂性，资源共享和分布增加了网络受攻击和威胁的可能性，使计算机网络系统的安全面临巨大的挑战。所以，我们在计算机网络系统飞速发展时期要更加重视计算机网络系统安全策略与发展方向的研究。 【关键词】计算机网络 安全策略 发展方向 计算机信息网络是互联网的基础设施，随着计算机网络规模的迅速

2、发展和网络用户的快速增长，基础设施上没有安全保证是不可思议的。计算机网络系统得不到安全保证，将会不断遭到网络黑客的威胁和各种计算机网络病毒的攻击，使广大网络用户遭受各种不同程度的损失，甚至威胁到国家的政治、军事、经济等领域。所以，在互联网上几乎所有的技术都是开发的，只有网络安全问题不能开放，这是互联网技术发展的一个核心矛盾。要想实现计算机网络系统的安全，最重要的是要有一个网络安全策略来界定操作的正误，全面分析计算机网络系统可能遭受的各种威胁和攻击，以及如何抵御这些威胁和攻击的对策，并制定计算机网络系统所要达到的安全目标。这就是我们要考虑的重要问题。 一、 计算机网络系统安全策略的目标：计算机网

3、络系统是给广大网络用户提供服务和收集信息的，网络安全策略的目标是保护这些资源不被有意或无意的误用，以及抵御网络黑客的威胁和各种计算机网络病毒的攻击。计算机网络系统安全策略要考虑以下几个方面： （一）可使用性： 当网络用户需要时，计算机网络系统和它所拥有的最重要的信息必须可用。 （二）实用性：计算机网络系统和它所保持的信息是服务于特定目标的，它们不仅要可用，而且要具有实用性，实现服务目标时可用。 （三）完整性： 计算机网络系统和它所保持的信息必须保持完整和可靠。 （四）可靠性：必须有一种方法保证计算机网络系统让所有的网络用户都能可靠地访问到各种网络资源。 （五）保密性： 有些网络信息可能认为是私

4、有的或保密的，网络安全机制必须对这些信息进行恰当地规定和对它们的访问进行控制。 （六）所有权： 计算机网络系统的所有者必须能控制系统的使用和日常操作。如果系统管理员将网络系统的控制权丢给黑客的话，所有的网络用户都会受到影响。 二、计算机网络系统安全策略：计算机网络系统的安全管理主要是配合行政手段，制定有关网络安全管理的规章制度，在技术上实现网络系统的安全管理，确保网络系统的安全、可靠地运行，主要涉及以下四个方面：（一）网络物理安全策略：计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击；验证用户的身份和使用权限、

5、防止用户越权操作；确保计算机网络系统有一个良好的工作环境；建立完备的安全管理制度，防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。（二）网络访问控制策略： 访问控制策略是计算机网络系统安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常规访问。它也是维护网络系统安全、保护网络资源的重要手段。各种网络安全策略必须相互配合才能真正起到保护作用，所以网络访问控制策略是保证网络安全最重要的核心策略之一。1入网访问控制：入网访问控制是为网络访问提供第一层访问控制。它能控制网络用户合法登录到网络服务器并获取网络资源，控制准许网络用户入网的时间和方式。网络用户的入网访问控制可分为

6、三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。三道防线中只要任何一道未通过，该用户就不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。如果验证合法，才继续验证用户输入的口令，否则，用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密，加密的方法很多，其中最常见的方法有：基于单向函数的口令加密，基于测试模式的口令加密，基于公钥加密方案的口

7、令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有

8、效之后，再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时，网络还应能对用户的帐号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。2 网络的权限控制：网络的权限控制是针对网络非法操作提出来的一种保护措施。网络用户和用户组被赋予一定的权限。指定网络用户和用户组可以访问哪些目录、子目录、文件和其他网络资源。可以控制网络用户对这些目录、文件和网络资源能够执行哪些操作。可以根据访问权限将网络用户分为以下三种：（

9、1）特殊用户：网络系统管理员；（2）一般用户：系统管理员根据他们的实际需要为他们分配操作权限；（3）审计用户：负责网络的安全控制与资源使用情况的审计。3目录级安全控制：计算机网络系统应允许控制用户对目录、文件和其他网络资源的访问。网络用户在目录一级指定的权限对所有文件和子目录都有效，用户还可以进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：（1） 系统管理员权限（Supervisor）;（2） 读权限(Read);（3） 写权限(Write);（4） 创建权限(Create);（5） 删除权限(Erase);（6） 修改权限(Modify);（7） 文件查找权限(Fi

10、le Scan);（8） 存取控制权限(Access Control);计算机网络系统管理员应为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。这八种访问权限的有效组合可以使用户有效地完成工作，而又能有效地控制用户对服务器资源的访问，这样就加强了网络系统和服务器的安全性。4属性安全控制：网络用户在访问网络资源时，网络系统管理员应给出访问的文件、目录等网络资源的指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络资源联系起来。属性安全控制是在网络权限控制安全的基础上提供更进一步的安全性。5 网络服务器安全控制：网络服务器的安全控制包括可以设置口令锁定服务器控制台

11、，以防止非法用户修改、删除重要信息或破坏网络系统资源；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔等等。网络系统允许合法用户在服务器控制台上执行装载和卸载模块、安装和删除软件等一系列操作。6 网络监测和锁定控制：计算机网络系统管理员应对网络系统进行网络监控，网络服务器应记录用户对网络资源的访问。对非法的网络访问，服务器应以文字、图形或声音等形式报警来提醒网络管理员。如有非法黑客企图攻击、破坏网络系统，网络服务器应实施锁定控制，自动记录企图攻击网络系统的次数，达到所设定的数值，该帐户将被自动锁定。7 网络端口和节点的安全控制：计算机网络系统服务器的端口通常采用自动回呼设备、静默调制

12、解调器来实行保护，并用加密的方式来识别节点的身份。自动回呼设备用来防止假冒合法用户，静默调制解调器用于防范黑客的自动拨号程序对计算机网络系统的攻击。网络系统还常对服务器端和用户端采取控制，在对用户的身份进行有效验证后，才允许进入用户端，并且用户端和服务器端还需再进行相互验证。8网络防火墙控制：网络防火墙控制是一种保护计算机网络系统安全的技术性措施，它是将计算机内部网络和外部网络分开的方法，实际上是一种隔离技术。它可以阻止网络中的黑客来攻击和破坏内部网络。目前网络防火墙控制主要有以下三种类型： （1）包过滤防火墙：这种防火墙设置在网络层，可以在路由器上实现包过滤。它先要建立一定数量的信息过滤表，

13、信息过滤表是以其收到的数据包头信息为基础建立的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。如果数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可以用于禁止外部网络非法用户对内部网络的访问和禁止访问某些服务类型。但包过滤防火墙不能识别有危险的信息包，无法实施对应用级协议的处理，也不能处理UDP、RPC或动态的协议。 （2）代理防火墙：代理防火墙是由代理服务器和过滤路由器组成的，它又称为应用层网关级防火墙。过滤路由器承担连接网络，并对传输的数据进行严格筛选，然后将筛选

14、后的数据传送给代理服务器。代理服务器的功能类似一个数据转发器，起到外部网络申请访问内部网络的中间转接作用，主要用来控制哪些用户能访问哪些服务类型。代理服务器根据外部网络向内部网络提出的某种网络服务申请、服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受该项服务，如果接受此服务，代理服务器就向内部网络转发这项请求。目前较为流行的代理服务器软件是Win Gate和Proxy Server。 （3）双穴主机防火墙：双穴主机防火墙是用服务器主机来实现安全控制功能。网络服务器双穴主机安装多个网卡，分别连接在不同的网络上，从一个网络上收集数据，并且有选择地把收集到的数据传

15、送到另一个网络上，起到中间隔离墙的作用。外部网络和内部网络的用户通过网络服务器双穴主机的共享数据区传输数据，这样保护内部网络不被网络黑客非法攻击和破坏。 （三）网络信息加密策略：信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。信息加密策略通常采用以下三种方法：1网络链路加密方法：链路加密方法目的是保护网络系统节点之间的链路信息安全。2网络端点加密方法：端点加密方法目的是保护网络源端用户到目的用户的数据安全。3网络节点加密方法：节点加密方法目的是对源节点到目的节点之间的传输链路提供保护.信息加密过程是由形形 色色的加密算法来具体实施，它以很小的代价提供很大的安

16、全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规Frethem/index.htm target=_blank style=text-decoration: underline;color: #0000FF密码算法和公钥密码算法。在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA；日本

17、的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。常规Frethem/index.htm target=_blank style=text-decoration: underline;color: #0000FF密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe

18、-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码

19、和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。 密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。 （四）网络安全管理策略：在计算机网络系统安全策略中，不仅需要采取网络技术措施保护网络安全，还必须加强网络的行政安全管理，制定有关网络使用的规章制度，对于确保计算机网络系统的安全、可靠地运行，将会起到十分有效的作用。、计算机网络系统的安全管理策略包括：确定网络安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的管理维护制度和应急措施等等。 三、计算机网络系

20、统安全的发展方向：随着计算机网络技术的迅速发展和进步，信息和计算机网络系统现在已经成为社会发展的重要保证。信息与网络涉及到国家的政治、军事、文化等诸多领域，在计算机网络中存储、传输和处理的信息有各种政府宏观调控决策、商业经济信息、银行资金转帐、股票证劵、能源资源数据、高科技科研数据等重要信息，其中有很多是国家敏感信息和国家机密，所以难免会吸引来自世界各地的各种网络黑客的人为攻击（例如，信息窃取、信息泄漏、数据删除和篡改、计算机病毒等）。因此计算机网络系统的安全是关系到国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。由于计算机网络系统的迅速发展和网络技术的快速进步，计算机网络系统的安

21、全面临越来越大的挑战。网络黑客对计算机网络系统的破坏和攻击方式层出不穷，不断增加。根据有关资料统计，目前已报道的网络黑客攻击方式高达数千种。随着网络黑客攻击方式的不断增加，也就意味着对计算机网络系统安全的威胁也不断增加。由于计算机网络系统应用范围的不断扩大，使人们对网络系统依赖的程度增大，对网络系统的破坏造成的损失和混乱就会比以往任何时候都大。这样，使我们对计算机网络系统信息的安全保护就要提出更高的要求，也使得计算机网络系统信息安全学科的地位显得更加重要，网络系统的信息安全必然随着计算机网络系统应用的发展而不断的发展。下面是一些国际机构和计算机网络专家、学者对本世纪计算机网络系统安全性问题的发

22、展方向和发生重大变化的可能性作出的一些预测： （一）网络规范化方面：由于互联网没有国家界限，这使得各国政府如果不在网络上截断Internet与本国的联系就不可能控制人们的所见所闻。即使完全切断与Internet的联系也是没有用的，因为全球卫星通信系统将最终结束国家的数据界限。这将使针对网络通讯量或交易量收税的工作产生有趣的和不可预期的效应。国家数据政策发布的不确定性将反映在不断改变、混乱且无意义的条例中，就像近期未付诸实施的通信传播合法化运动一样。这些法律法规将被忽略、变更或成为过去，而网络则将安然无恙，继续存在。所以，各国政府将放弃规范化网络内容的努力。 （二）网络系统管理和安全管理方面：随

23、着计算机网络系统在规模和重要性方面的不断增长，系统和网络管理技术的发展将继续深入。由于现行的很多网络管理工具缺乏最基本的安全性，使整个网络系统将可能被网络黑客攻击和完全破坏，达到其法定所有者甚至无法再重新控制它们的程度。最终，我们将认识到网络系统管理和安全管理是同一事物的不同方面，两者密不可分、相互关联。认识到这样一种概念是件很好的事情。 （三）银行、金融系统方面：由于银行、金融系统货币在形式上变得越来电子化，其流动也越来越快。这种流动使货币在使用方便的同时也更容易被盗窃。随着大多数至关重要的财经信息涌上网络系统，来自于内部的对于系统安全性的威胁将会变得越来越大。现在银行、金融系统如果发生一次

24、计算机网络系统安全崩溃事故，将至少会有数千万，甚至数亿的金融系统遭到破坏。在银行、金融系统内部，有些职业道德不好的职员和网络黑客利用工作之便，非法进入网络系统，进行盗窃和破坏，使得投资者和存款人不得不让政府来提供保护。这种盗窃和破坏行为必将增加金融、财经领域中的计算机网络系统现行安全制度的压力。这种安全制度应由政府或由银行、金融系统的审计员来制定。 （四）计算机网络系统法律、法规方面：随着全球信息化的发展，如何确保计算机网络信息系统的安全，已经成为网络系统信息化建设过程中必须解决的重大问题。在目前社会中，利用计算机网络信息系统的犯罪活动相当猖獗，其主要原因之一就是各国的计算机网络信息系统安全立

25、法都不健全。特别是许多国家的有关部门没有制定相应的刑法、民法、诉讼法等法律，给那些利用网络信息系统的犯罪份子惩罚不严、失之宽松，因此使网络犯罪活动屡禁不止。现在，全球许多国家政府越来越重视打击利用计算机网络信息系统的犯罪活动，逐步建立和制定计算机网络信息系统的法律、法规。对计算机犯罪活动量刑、定罪产生的威慑力可使有犯罪企图的人感到有畏惧心理，从而减少网络犯罪的发生，保持社会的安定。另外，还需要加强伦理道德方面的教育，这对社会的稳定和计算机网络安全也十分重要。要教育全体计算机工作者进行合法的计算机信息实践活动。计算机网络系统的法律、法规是规范人们一般社会行为的准则，它发布阻止任何违反规定要求的法

26、令或禁令，明确计算机网络系统工作人员和最终用户的权利和义务，包括宪法、保密法、数据保护法、计算机安全保护条例、计算机犯罪法等等。 （五）计算机网络软件系统方面：世界各国一些开发计算机网络系统软件的公司将由于产品质量或连带责任的诉讼而遭受巨大的经济损失。计算机网络软件质量的现权法将逐渐形成。目前计算机软件的这种处于模糊状态的销售情况即使对于一个能支付得起大量金钱雇佣律师甚至收买法律制定者的软件公司来说，也会因诉讼的巨大损失而不能维持下去。随着计算机网络信息系统法律法规越来越健全，计算机软件和网络安全现权法的时代也将到来。计算机软件生产厂商也应对生产出由于安全方面存在漏洞而使其使用者蒙受财产损失的

27、软件产品负责。计算机软件将主要以Java或Active X这样可供下载的可执行程序的方式运作。计算机网络安全管理系统的建造者们需要找到如何控制和维护可下载式程序的方法。同时他们也要编制一些必要的工具软件以防止某些可下载式有害程序的蔓延。这样的程序主要是病毒和网络黑客程序以及其他目前为止仍无法想象出的一些恶意有害程序。一些网络黑客利用网络软件开发人员工作时在某些流行的网络化软件中留下的特洛伊木马程序，使他们日后有能力攻击和破坏成千上万的网络系统，这样给计算机网络系统的安全构成严重的危害。这种现象已经发生过多次，只是我们还没有给予足够的重视而已。超文本传输协议HTTP文件格式将被越来越多的信息服务

28、机构作为传递消息的方式。Point cast现在就是按照HTTP格式的反馈要求来分渠道传送信息的，可以预见，其他的信息机构也将相继效仿这种方法。计算机网络系统防火墙对于将网络安全策略应用于数据流的作用将减低并会逐渐失去其效力。 虚拟网络系统将与安全性相融合，并很有希望与网络管理系统结合起来。计算机系统软件和硬件将协同工作以便将带有不同类型的目的和特性与网络彼此隔离，由此产生的隔离体仍将被称作“计算机网络防火墙”。 （六）计算机网络系统密码技术方面：在计算机网络系统中，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确认性，防止信息被篡改、伪造或假冒。随着越来越多的计算机网络系统

29、利用密码技术，智能卡和数字认证将会变得越来越盛行，最终用户需要将密码和验证码存放在不至于丢失的地方。所以他们要用智能卡来备份数据以防硬盘损坏无法使用，并将智能卡广泛内置于个人数字助手（PDA）中。 四、结束语 随着计算机网络技术和通信技术的发展，计算机网络系统的信息安全变得越来越重要，特别是随着Internet的迅速发展，信息安全的概念已经扩展到网络延伸至全世界范围。目前当Internet正从开始的学术和科研领域向商业、金融、政府等各方面迅速发展的时候，Internet的安全问题更进一步引起人们的密切关注。这是因为对计算机网络系统的非法入侵或人为的故意破坏将会改变Internet上的应用系统，

30、导致整个网络系统瘫痪。可以毫不夸张地说，计算机网络系统的安全问题已成为决定Internet命运的重要因素。所以必须采取强有力的网络安全策略和认真研究网络安全的发展方向，坚决执行我国现有关于计算机网络信息系统的法律法规，这样才能保证计算机网络系统安全、可靠地正常运行。 【参考文献】 1赵斌斌.网络安全与黑客工具防范A.科学出版社，2001.10. 2蔡立军.计算机网络安全技术A.中国水利水电出版社，2002.08. 3张小斌等. 计算机网络安全工具A. 清华大学出版社，1999.02. 4袁家政.计算机网络安全与应用技术A. 清华大学出版社，2002.08. 5叶丹.网络安全实用技术A. 清华大学出版社，2002.10. 6大众软件.黑客与红客J. 2002.02.R