蔫端霸 信息科学 21 浅谈网络威胁与防护 王超 (哈尔滨师范大学文理学院计算机系,黑龙江哈尔滨150301) 摘要计算机网络系统是开放性的的 因而也是很脆弱的,网络威胁无处不在,防不胜防。本文介绍了计算机网络威胁的主要表现形式 与防护措施。 关键词计算机网络;威胁;安全策略 中图分类号TP393 文献标识码A 文章编号1673—9671一(2010)012—0021一O1 计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威 胁;二是对网络中设备的威胁。影响计算机网络的因素很多,有些因素 可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的; 可能是外来黑客对网络系统资源的非法使用。 1计算机网络所面临的威胁 1.1人为的无意失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户 口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对 网络安全带来威胁。 1.2人为的恶意攻击 这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属 于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种 方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在 不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密 信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据 的泄漏。 1.3网络软件的漏洞和“后门” 网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞 和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内 部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。 另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置 的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设 想。 2计算机网络的安全策略 2.1物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬 件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身 份和使用权限、防止用户越权操作;确保笔记本电脑报价系统有一个良 好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算 机控制室和各种偷窃、破坏活动的发生。 抑制和防止电磁泄漏(I ̄pTEMPEsT技术)是物理安全策略的一个主要 问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取 对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交 叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种: 1)采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的 屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离。 2)是干扰的防护措施,即在计算机系统工作的同时,利用干扰装 置产生一种与计算机系统辐射相关的伪噪声向空问辐射来掩盖计算机系 统的工作频率和信息特征。 2.2访问控制策略 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证 网络资源不被非法使用和非常访问。 1)人网访问控制。入网访问控制为网络访问提供了第一层访问控 制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户 入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户 口令的识别与验证、用户帐号的缺省检查。三道关卡中只要任何一 关未过,该用户便不能进人该流行资讯。 对网络用户的用户名和口令进行验证是防止非法访问的第一道 防线。用户注册时首先输入用户名和口令,服务器将验证所输入的 用户名是否合法。如果验证合法,才继续验证用户输入的口令,否 则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。 用户名和口令验证有效之后,再进一步履行用户帐号的缺省检 查。网络应能控制用户登录入网的站点、用户入网的时间、用 户人网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络 还应能对用户的帐号加以,用户此时应无法进入网络访问网络资 源。网络应对所有用户的访问进行审计。如果多次输人口令不正确,则 认为是非法用户的入侵,应给出报警信息。 2)网络的权限控制。网络的权限控制是针对网络非法操作所提出 的一种安全保护措施。用户和用户组被赋予一定的权限。时尚控制用户 和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户 对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏 蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用 网络服务器的目录、时尚资讯和时尚生活。继承权限屏蔽相当于一个过 滤器,可以子目录从父目录那里继承哪些权限。我们可以根据访问 权限将用户分为以下几类:特殊用户(即系统管理员); 般用户,系统管 理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安 全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个 访问控制表来描述。 3)目录级安全控制。网络应允许控制用户对目录、文件、设备的 访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还 可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问 权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限 rite1、创建权限(Cream)、删除权限(Erase)、修改权限(Mo ̄Ufy)、文件查找 权限(File Scan)、存取控制权限Access Contro1)。用户对文件或目标的有效 权限取决于以下--+因素:用户的受托者指派、用户所在组的受托者指 派、继承权限屏蔽取消的用户权限。 4)属性安全控制。当用文件、目录和网络设备时,网络系统管理 员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性 与综合布线的文件、目录和网络设备联系起来。属性安全在权限安全 的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安 全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明 用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托 者指派和有效权限。 5)网络服务器安全控制。网络允许在服务器控制台上执行一系列 操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操 作。网络综合布线的安全控制包括可以设置口令锁定服务器控制台,以 防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间 、非法访问者检测和关闭的时间间隔。 6)网络监测和锁定控制。网络管理员应对网络实施监控,服务器 应记录用户对网络资源的访问,对非法的网络访问怎么丰胸,服务器 应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果 不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络 的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁 定。 3结语 由于计算机网络是开放性的,因此网络本来就是脆弱的,没有绝对 安全的计算机,也没有绝对安全的网络,我们只能不断研究网络威胁的 变化,探索和发展网络防护技术,维护网络的动态安全。
