ECHNOLOoYlNFORMATION信息技术现代网络安全防御策略的研究周萍(上海民远职业技术学院上海201203)摘要:随着计算机和一络艘术的广泛应用,与之相关的一络安全问题也日益突出。本文深入分析了目前网络安全的主要威胁,闱遽了现代计算机网络的防御策略。关键词:网络安全安全策略访问控削信息加奢中图分类号;TN915.08文献标识码:A文章编号11672—37al(2008)09(a)一0026—02随着计算机网络技术的迅速发展,网络的应用已经深入到社会生活的各个方面。然而,计算机网络技术和其他科学技术一样是一把双刃剑。当它给人们的工作、学习和生活方式带来了极大的便利同时,也暴露出了严重的安全隐患。由于计算机网络具有联结形式多样性、终端分布不均匀和网络的开放性、互连性等特征,致使网络易受到黑客、恶意软件和其他不轨行为的攻击,各种网络安全问题给个人、企业甚至国家造成了很大的困扰和损失。因此网络安全成为了网络建设的重要课题。网络软件不可能没有缺陷和漏洞,然而,这些缺陷和漏洞恰恰是黑客进行攻击的首选目标。另外,软件的“后门”是编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”被打开,其造成的后果将不堪设想。I.2.3黑客攻击这是计算机网络所面临的最大威胁。此类攻击又可分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一种是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取,破译以获得对方重要机密信息。这两种攻击均可对计算机网络造成极大的危害。如:根据2007年美国AKAMAI公司关于网络攻击的调查显示,业洲发生的网络攻击比较频繁,中国以日攻击183次排在榜首。自2006年12月以来,针对我国的中小企业网站的攻击事件明显增多,给用户造成了重大的经济损失。1.2.4计算机病毒计算机病毒种类繁多,他们通过收发电子邮件、下载文件等网络操作行为迅速传播,它动辄删除,修改文件,导致计算机速度下降,程序出错甚至死机,对网络安全也构成了极大的威胁。1.2.5自然灾害2.2访问控制策略访问控制是网络安全防范和保护的最重要的核心策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。2.2.1入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省检查。三道关卡中只要任何一关未过,用户便不能进入该网络。2.2.2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能执行哪些操作。我们可以将用户分为以下几类:特殊用户(即系统管理员),一般用户。系统管理员根据其实际需要为其分配操作权限,审计用户,负责网络的安全控制与资源使用情况的审计。2.2.3目录级安全控制网络应允许控制用户对目录、文件,设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般包括八种:系统管理员权限(Supen,isor)、读仅腻Read)、写权限(Write)、创建权限(Create)、删除权限(Emse)、修改权限(Modify),文件查找权限(FileScan)和存取控制权限(Accesscontr01)。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效控制用户对服务器资源的访问,从而加强网络和服务器的安全性。2.2.4属性安全控制当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件,目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性往往能控制以下几个方面的权限:向某个文件写1现代网络安全security)从其本质上来讲就是网络上的“信息安全”(血fomationsecurity),从广义上说,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论都是网络安全所要研究的领域。因此网络安全是指网络系统中的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改和泄露,使系统能够连续,可靠、正常地运行,保证网络服务不中断。1.1计算机网络安全的特点①保密性,是指信息不泄露给未经授权的用户、实体和过程,或供其使用的特性。“网络安全”(network②完整性,是指信息未经授权不能被修改、不被破坏,不被插入、不延迟,不乱序和不丢失等特性。④可用性,是指合法用户访问并能按要求顺序使用信息的特性。④可控性,是指授权机构对信息的内容及传播有控制能力的特性,可以控制授权范围内的信息流向以及方式。⑤可审查性,是指信息通信结束后,通信双发不能抵赖曾经做出的行为,也不能否认曾经接收到对方的信息。1.2网络安全的主要威胁及现状在网络技术被广泛应用的今天,计算机网络面临的威胁大体可分为两种:一是对网络中信息的威胁,二是对网络中设备的威胁。影响网络安全的因素有很多,有软件的、硬件的、・人为的、自然的等等。归结来说,计算机网络面临的安全威胁主要有以下几个方面。1.2.1网络管理不当和用户误操作如网络管理员对网络安全配置不当造成的安全漏洞,网络用户安全意识薄弱,设置口令过于简单,对网络的误操作等都会对网络安全带来威胁。1.2.2网络软件的漏洞和。后门。自然界的台风、地震、火山喷发、洪水等灾害会对计算机网络造成严重的损害和影响。例如:由于受到2006年12月26日地震影响,多条国际海底通信光缆发生中断,造成附近国家和地区的国际和地区性通信受到严重影响。2计算机网络安全策略2.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器,打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击,验证用户的身份和使用权限、防止用户越权操作,确保计算机系统有一个良好的电磁兼容工作环境・建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEsT技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为采用各种电磁屏蔽和干扰的防护措施。26秘经乏_若子讯ScIENcE&TEcHNOLOoYINFORMATION万方数据 信息技术数据,拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的文件和目录,防止用户对目录和文件的误删除、执行修改和显示。2.2.5网络服务器安全控制网络允许在服务器控制台上执行一系列操作。用户使用控制台可以进行装载和卸载模块,安装和删除软件等操作。网络服务器的安全控制包括:设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间、非法访问者检测和关闭的时间间隔。2.2.6网络监测和锁定控制网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。2.2.7网络端口和节点的安全控制‘网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器等)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。2.2.8防火墙控制防火墙是在网络边界上建立的用以阻止网络中的黑客访问某个网络的屏障。目前的防火墙主要有以下三种类型,即:包过滤防火墙、代理防火墙和双穴主机防火墙。2.3信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全,端一端加密的目的是对源端用户到目的端用户的数据提供保护,节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。2.3.1常规密码收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。其优点是有很强的保密性,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。2.3.2公钥密码收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单.尤其可方便的实现数字签名和验证,但其算法复杂。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全。2.4网络安全管理策略在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等。3结语随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。(上接25页)<Ⅱs七><reface翻se叫my.us郎details.U∞rDetai】蕊两叫i∞,实现UserDetansSer、,ice接口的方法。到这里为止,springacegi的基本用法和基本功能都写完了。一些具体的用法,可以参考spring的相关内容。另外文中实例是以acegi—1.0.1为基础的。auLhentjcatjonPH)oes商ngFjlterEhtIyPo砒Acegi是拦截过滤器,它使用三个组件来做出授权决策。authentlcationMamger在授权的过程中使用authenticationManager重新对客户机进行身份验证。AccessDecisionManager用来判断用户所拥有的权限与当前受保护的URlo(xll=”daoAuthenticatiodProvide一/><be孤class=’’org.acegisecurity.proViders.anOnymous.AnonymOusAuthenticatiOnPrOvider”><pro球jr够mⅡle=”key”、rah】e=”j加唧net¨/></bea肌></Usc>参考文献【l】springmaction【M】.人民邮电出版社.【21http://static.sprmgframework.org/L资源所对应的权限是否相匹配。如果匹配失败,则返回403错误(禁止访问)给用户。匹配成功则用户可以访问受保护的U源。objectDefillitionSource用来对url进行权限控制。一般来说我喜欢把权限控制从上向下放宽。例如访问/project/・・路径下的资源需要ROLE—project权限。/¨路径下的资源IS—AUTHENTICATED—ANONYMOUSLY权限。R</pmperty></bean>sp血g一9ecurity/site/refellence/html/sprin99ecurity.htmlsprjng.L资认证管理器,它需要几个提供者给他提供服务。daoAuttlerlticationProvider负责提供用户信息。<beanid=”daoAuttlellticatio州Provider”class=”org.acegi9E℃urity.providers.dao.DaoAuthellticationProvider”><propertyname=”userDetailsService”【3】htcp://www.ibm.00m/developerworks/【4】Mas锄血go嘲eSQL.By舢ansanjayMiShra.【5】TheDebateforS.Abbot.8ecurejava/IBM.Beauljeu,E—Commerce.ref=”u∞rDetail《;eⅣice”/></b昀皿>【61E—BizBucksLostTram.T.W丑son.UndertheSSL.auth饥tjcationManager<b∞nid=”auth既1t妇tionManager”要。daoAuthenticationProvider使用userDetailsService和系统交互。这个很重通常userDetailsservice实现org.【7】Introductiont0TCP/IP.H.Gibert.class=”Org.acegisecurity.providers.Prov女derManager¨><pmperty彻me=”provide璐”>万方数据 幂斗括渍讯SClENCE&TEcHNOLOGYINFORMATION27现代网络安全防御策略的研究
作者:作者单位:刊名:英文刊名:年,卷(期):
周萍
上海民远职业技术学院,上海,201203科技资讯
SCIENCE & TECHNOLOGY INFORMATION2008(25)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_kjzx200825016.aspx