浅谈计算机网络的安全与管理

吴树勇

(肇庆科技职业技术学院信息工程系,广东肇庆 526020)

1 计算机网络安全威胁

1.1 计算机网络面临的安全性威胁

计算机网络面临多种安全威胁,国际标准化组织ISO对开放系统互联网 OSI环境定义了以下几种威胁:

(1)伪装。威胁源泉成功地假扮成另一个实体,随后滥用这个实体的权利。

(2)非法连接。威胁源以非法手段形成合法的身份,在网络实体与网络源之间建立非法连接。

(3)非法授权访问。威胁源成功地破坏访问控制服务,如修改访问控制文件的内容,实现了越权访问。

(4)拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。

(5)信息泄露。未经授权的实体获取到传输中或存放着的信息,造成泄密。

(6)无效的信息流。对正确的通信信息序列进行非法修改、删除或重复,使之变成无效信息。

以上所描述的种种威胁大多由人为造成,威胁源可以是用户,也可以是程序。除此之外,还有其他一些潜在的威胁,如电磁辐射引起的信息失密、无效的网络管理等。研究网络安全的目的就是尽可能地消除这些威胁。

1.2 计算机网络面临的安全攻击

安全攻击的形式:计算机网络的主要功能之一是通信,信息在网络中的流动过程有可能受到中断、截取、修改或捏造形式的安全攻击。

(1)中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信,如切断通信线路、禁用文件管理系统等。

(2)截取。截取是指未授权者非法获得访问权,截获通信双方的通信内容。

(3)修改。修改是指未授权者非法截获通信双方的通信内容后,进行恶意篡改。

(4)捏造。捏造是指未授权者向系统中插入仿造的对象,传输欺骗性消息。

2 计算机网络安全体系

1989年,国际标准化组织为实现开放系统互联环境下的信息安全,ISO/TC97技术委员会制订了ISO7498-2国际标准。ISO7498-2从体系结构的观点,描述了实现OSI参考模型之间的安全通信所必须提供的安全服务和安全机制,建立了开放系统互联标准的安全体系结构框架,为网络的研究奠定了基础。

2.1 安全服务

(1)身份认证。身份认证是访问控制的基础,是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来,同时还应该提供双向认证,即互相证明自己的身份。网络环境下的身份认证更加复杂,因为验证身份一般通过网络进行而非直接参交互,常规验证身份的方式(如指纹)在网络上已不适用;再有,大量黑客随时随地都可能尝试向网络渗透,截获合法用户口令,并冒名顶替以合法身份入网,所以需要采用高强度的密码技术来进行身份认证。

(2)访问控制。访问控制的目的是控制不同用户对信息资源的访问权限,是针对越权使用资源的防御措施。访问控制可分为自主访问控制和强制访问控制两类。实现机制可以是基于访问控制的属性的访问控制表(或访问控制矩阵),也可以是基于安全标签、用户分类及资源分档的多级控制。

(3)数据保密。数据保密是针对信息泄露的防御措施。数据加密是常用的保证通信安全的手段,但由于计算机技术的发展,使得传统的加密算法不断地被破译,不得不研究更高强度的加密算法,如目前的DES算法,公开密钥算法等。

(4)数据完整性。数据完整性是针对非法篡改信息、文件及业务流而设置的防范措施。也就是说网上所传输的数据防止被修改、删除、插入、替换或重发,从而保护合法用户接收和使用该数据的真实性。

2.2 安全机制

2.2.1 与安全服务有关的安全机制

(1)加密机机制。

(2)数字签名机制。

(3)访问控制机制。

(4)数据完整性机制。

(5)认证交换机制。

(6)路由控制机制。

2.2.2 与管理有关的安全机制

(1)安全标记机制。

(2)安全审核机制。

(3)安全恢复机制。

3 计算机网络管理

3.1 计算机网络管理概述

计算机网络管理分为两类。第一类是计算机网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理,属于与软件有关的计算机网络管理问题。第二类是对构成计算机网络的硬件管理,包括对工作站、服务器、网卡、路由器、网桥和集线器等的管理。通常情况下这些设备都分散在网络中,当设备有问题发生时网络管理员希望可以自动地被告通知,为了解决这个问题,在一些设备中已经具有网络功能,可以远程地询问它们的状态,使它们在有某种特定类型的事件发生时能够发出警告。这种设备通常被称为“智能”设备。

网络管理应遵循以下的原则:由于管理信息而带来的通信量不应明显的增加网络的通信量。被管理设备上的协议代理不应明显的增加系统处理的额外开销,以致于削弱该设备的主要功能。

3.2 计算机网络管理的功能

国际标准化组织 ISO定义了网络管理的五个功能域,分别是:故障管理、配置管理、计费管理、性能管理和安全管理。

(1)故障管理。故障管理是对网络中的问题或故障进行检测、隔离和纠正。使用故障管理技术,网络管理者可以尽快地定位问题或故障点,排除问题故障。故障管理的过程包括 3个步骤。

1)发现问题。

2)分离问题,找出故障的原因。

3)如果可能,尽量排除故障。

(2)配置管理。配置管理是发现和设置网络设备的过程。配置管理提供的主要功能是通过对设备的配置数据提供快速的访问,增强网络管理人员对网络的控制;可以将正在使用的配置数据与存储在系统中的数据进行比较,而发现问题;可以根据需要方便地修改配置。配置管理主要是包括下面三个方面的内容:

1)获得关于当前网络配置的信息。

2)提供远程修改设备配置的手段。

3)存储数据、维护最新的设备清单并根据数据产生报告。

(3)安全管理。安全管理是控制对计算机网络中的信息的访问的过程。提供的主要功能是正确操作网络管理和保护管理对象等安全方面的功能。具体包括:

1)支持身份鉴别,规定身份鉴别过程。

2)控制和维护授权设施。

3)控制和维护访问权限

4)支持密钥管理。

5)维护和检查安全日志。

计算机网络的规模越来越大、复杂程度越来越高,为了保证计算机网络良好的性能,确保向用户提供满意的服务,必须使用计算机网络管理系统对计算机网络进行自动化的管理。计算机网络管理系统的功能是管理、监视和控制计算机网络,即对计算机网络进行了配置,获取信息、监视网络性能、管理故障以及进行安全控制。计算机网络管理系统对计算机网络的正常运行起着极其重要的作用。

4 结束语

据国际调查显示,目前有 55%的企业网没有自己的安全策略,仅靠一些简单的安全措施来保障网络安全,这些安全措施可能存在互相分立、互相矛盾、互相重复、各自为战等问题,既无法保障网络的安全可靠,又影响网络的服务性能,并且随着购物运行而对安全措施进行不断的修补,使整个安全系统变得臃肿,难以使用和维护。这些都是迫切需要解决的问题,只有加强网络与信息安全管理,增强安全意识,不断改进和发展网络安全保密技术,才能防范于未然,避免国家、企业或个人的损失。

[1] 安淑芝.计算机网络[M].北京:中国铁道出版社,2003.

[2] 刘韦韦.局域网组建与管理[M].北京:电子工业出版社, 2002.

[3] 杨威.网络工程设计与系统集成[M].北京:人民邮电出版社,2005.