關(guān)于計算機網(wǎng)絡(luò)安全與管理介紹
關(guān)于計算機網(wǎng)絡(luò)安全與管理介紹
今天學習啦小編就給大家說說計算機網(wǎng)絡(luò)安全與管理,希望能幫助到大家!!!
計算機網(wǎng)絡(luò)安全與管理介紹:
一.引言
近年來,在計算機網(wǎng)絡(luò)技術(shù)應(yīng)用的深入發(fā)展中,網(wǎng)絡(luò)安全問題已經(jīng)逐漸成為網(wǎng)絡(luò)建設(shè)中的核心問題。網(wǎng)絡(luò)系統(tǒng)是一個由眾多計算機和網(wǎng)絡(luò)設(shè)備,以及網(wǎng)絡(luò)系統(tǒng)軟件構(gòu)成的一個復雜的集成系統(tǒng)。在因特網(wǎng)絡(luò)上,互聯(lián)網(wǎng)本身沒有時空和地域的限制,每當有一種新的攻擊手段產(chǎn)生,就能在很短時間內(nèi)傳遍全世界,這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓。因此,計算機網(wǎng)絡(luò)的安全與管理越來越受到人們的關(guān)注,成為一個研究的新課題。
二.計算機網(wǎng)絡(luò)安全威脅分析
(1)計算機網(wǎng)絡(luò)面臨的安全性威脅
①非法授權(quán)訪問。威脅源成功地破壞訪問控制服務(wù), 如修改訪問控制文件的內(nèi)容, 實現(xiàn)了越權(quán)訪問。②非法連接。威脅源以非法手段形成合法的身份, 在網(wǎng)絡(luò)實體與網(wǎng)絡(luò)源之間建立非法連接。③拒絕服務(wù)。阻止合法的網(wǎng)絡(luò)用戶或其他合法權(quán)限的執(zhí)行者使用某項服務(wù)。④信息泄露。未經(jīng)授權(quán)的實體獲取到傳輸中或存放著的信息, 造成泄密。⑤無效的信息流。對正確的通信信息序列進行非法修改、刪除或重復, 使之變成無效信息。⑥偽裝。威脅源泉成功地假扮成另一個實體,隨后濫用這個實體的權(quán)利。
(2)計算機網(wǎng)絡(luò)面臨的安全攻擊
安全攻擊的形式: 計算機網(wǎng)絡(luò)的主要功能之一是通信,信息在網(wǎng)絡(luò)中的流動過程有可能受到中斷、截取、修改或捏造形式的安全攻擊。
?、僦袛?。中斷是指破壞采取物理或邏輯方法中斷通信雙方的正常通信, 如切斷通信線路、禁用文件管理系統(tǒng)等。②截取。截取是指未授權(quán)者非法獲得訪問權(quán),截獲通信雙方的通信內(nèi)容。③修改。修改是指未授權(quán)者非法截獲通信雙方的通信內(nèi)容后, 進行惡意篡改。如病毒可能會感染大量的計算機系統(tǒng),占用網(wǎng)絡(luò)帶寬,阻塞正常流量,發(fā)送垃圾郵件,從而影響計算機網(wǎng)絡(luò)的正常運行。④捏造。捏造是指未授權(quán)者向系統(tǒng)中插入仿造的對象, 傳輸欺騙性消息。
三. 計算機網(wǎng)絡(luò)安全體系的建立
建立開放系統(tǒng)互聯(lián)標準的安全體系結(jié)構(gòu)框架,為網(wǎng)絡(luò)安全的研究奠定了基礎(chǔ)。
(1)身份認證。身份認證是訪問控制的基礎(chǔ),是針對主動攻擊的重要防御措施。身份認證必須做到準確無誤地將對方辨別出來,同時還應(yīng)該提供雙向認證,即互相證明自己的身份。網(wǎng)絡(luò)環(huán)境下的身份認證更加復雜,因為驗證身份一般通過網(wǎng)絡(luò)進行而非直接參交互,常規(guī)驗證身份的方式(如指紋)在網(wǎng)絡(luò)上已不適用;再有,大量黑客隨時隨地都可能嘗試向網(wǎng)絡(luò)滲透,截獲合法用戶口令,并冒名頂替以合法身份入網(wǎng),所以需要采用高強度的密碼技術(shù)來進行身份認證。目前安全性較高的是USBKEY認證方法,這種方法采用軟硬件相結(jié)合,很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設(shè)備,用戶的密鑰或數(shù)字證書無需存于內(nèi)存,也無需通過網(wǎng)絡(luò)傳播。因此,大大增強了用戶使用信息的安全性。
(2)訪問控制。訪問控制的目的是控制不同用戶對信息資源的訪問權(quán)限,是針對越權(quán)使用資源的防御措施。訪問控制可分為自主訪問控制和強制訪問控制兩類。實現(xiàn)機制可以是基于訪問控制的屬性的訪問控制表(或訪問控制矩陣), 也可以是基于安全標簽、用戶分類及資源分檔的多級控制。
(3)數(shù)據(jù)保密。數(shù)據(jù)保密是針對信息泄露的防御措施。數(shù)據(jù)加密是常用的保證通信安全的手段,但由于計算機技術(shù)的發(fā)展,使得傳統(tǒng)的加密算法不斷地被破譯,不得不研究更高強度的加密算法,如目前的DES算法,公開密鑰算法等。
(4)數(shù)據(jù)完整性。數(shù)據(jù)完整性是針對非法篡改信息、文件及業(yè)務(wù)流而設(shè)置的防范措施。也就是說網(wǎng)上所傳輸?shù)臄?shù)據(jù)防止被修改、刪除、插入、替換或重發(fā),從而保護合法用戶接收和使用該數(shù)據(jù)的真實性。
(5)加密機機制。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證,從而使基于因特上的電子交易系統(tǒng)成為了可能,因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。
(6)路由控制。一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個多端口的IP路由器,它通過對每一個到來的IP包依據(jù)組規(guī)則進行檢查來判斷是否對之進行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息,例如協(xié)議號、收發(fā)報文的IP地址和端口號、連接標志以至另外一些IP選項,對IP包進行過濾。代理服務(wù)器是防火墻中的一個服務(wù)器進程,它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個代理服務(wù)器本質(zhì)上是一個應(yīng)用層的網(wǎng)關(guān)一個為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶就一項TCP/TP應(yīng)用,比如Telnet或者FTP,同代理服務(wù)器打交道,代理服務(wù)器要求用戶提供其要訪問的遠程主機名。當用戶答復并提供了正確的用戶身份及認證信息后,代理服務(wù)器連通遠程主機,為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供的用戶身份及認證信息可用于用戶級的認證。
(7)入侵檢測技術(shù)。隨著網(wǎng)絡(luò)安全風險系數(shù)不斷提高,作為對防火墻及其有益的補充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)活動進行實時監(jiān)測的專用系統(tǒng),該系統(tǒng)處于防火墻之后,可以和防火墻及路由器配合工作,用來檢查一個LAN網(wǎng)段上網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡(luò)活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)上的信息進行快速分析或在主機上對用戶進行審計分析,通過集中控制臺來管理和檢測。
(8)備份系統(tǒng)。備份系統(tǒng)可以全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。對系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用,也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護作用。
四.計算機網(wǎng)絡(luò)管理
(1)計算機網(wǎng)絡(luò)管理概述
計算機網(wǎng)絡(luò)管理分為兩類。第一類是計算機網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(例如文件的使用)和存取權(quán)限(許可)的管理,屬于與軟件有關(guān)的計算機網(wǎng)絡(luò)管理問題。第二類是對構(gòu)成計算機網(wǎng)絡(luò)的硬件管理, 包括對工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等的管理。通常情況下這些設(shè)備都分散在網(wǎng)絡(luò)中,當設(shè)備有問題發(fā)生時網(wǎng)絡(luò)管理員希望可以自動地被告通知,為了解決這個問題,在一些設(shè)備中已經(jīng)具有網(wǎng)絡(luò)功能,可以遠程地詢問它們的狀態(tài),使它們在有某種特定類型的事件發(fā)生時能夠發(fā)出警告。這種設(shè)備通常被稱為“智能”設(shè)備。網(wǎng)絡(luò)管理應(yīng)遵循以下的原則: 由于管理信息而帶來的通信量不應(yīng)明顯的增加網(wǎng)絡(luò)的通信量。被管理設(shè)
備上的協(xié)議代理不應(yīng)明顯的增加系統(tǒng)處理的額外開銷,以致于削弱該設(shè)備的主要功能。
(2)計算機網(wǎng)絡(luò)管理的功能
國際標準化組織ISO定義了網(wǎng)絡(luò)管理的五個功能域,分別是: 故障管理、配置管理、計費管理、性能管理和安全管理。
?、俟收瞎芾?。故障管理是對網(wǎng)絡(luò)中的問題或故障進行檢測、隔離和糾正。使用故障管理技術(shù),網(wǎng)絡(luò)管理者可以盡快地定位問題或故障點,排除問題故障。故障管理的過程包括3個步驟。a.發(fā)現(xiàn)問題;b.分離問題,找出故障的原因;c.如果可能, 盡量排除故障。
?、谂渲霉芾怼E渲霉芾硎前l(fā)現(xiàn)和設(shè)置網(wǎng)絡(luò)設(shè)備的過程。配置管理提供的主要功能是通過對設(shè)備的配置數(shù)據(jù)提供快速的訪問,增強網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)的控制;可以將正在使用的配置數(shù)據(jù)與存儲在系統(tǒng)中的數(shù)據(jù)進行比較,而發(fā)現(xiàn)問題;可以根據(jù)需要方便地修改配置。配置管理主要是包括下面三個方面的內(nèi)容:a.獲得關(guān)于當前網(wǎng)絡(luò)配置的信息;b.提供遠程修改設(shè)備配置的手段;C.存儲數(shù)據(jù)、維護最新的設(shè)備清單并根據(jù)數(shù)據(jù)產(chǎn)生報告。
③安全管理。安全管理是控制對計算機網(wǎng)絡(luò)中的信息的訪問的過程。提供的主要功能是正確操作網(wǎng)絡(luò)管理和保護管理對象等安全方面的功能。具體包括:
a.支持身份鑒別, 規(guī)定身份鑒別過程;b.控制和維護授權(quán)設(shè)施;c.控制和維護訪問權(quán)限;d.支持密鑰管理;f.維護和檢查安全日志。
計算機網(wǎng)絡(luò)的規(guī)模越來越大、復雜程度越來越高,為了保證計算機網(wǎng)絡(luò)良好的性能,確保向用戶提供滿意的服務(wù),必須使用計算機網(wǎng)絡(luò)管理系統(tǒng)對計算機網(wǎng)絡(luò)進行自動化的管理。計算機網(wǎng)絡(luò)管理系統(tǒng)的功能是管理、監(jiān)視和控制計算機網(wǎng)絡(luò), 即對計算機網(wǎng)絡(luò)進行了配置, 獲取信息、監(jiān)視網(wǎng)絡(luò)性能、管理故障以及進行安全控制。計算機網(wǎng)絡(luò)管理系統(tǒng)對計算機網(wǎng)絡(luò)的正常運行起著極其重要的作用。
五.結(jié)束語
計算機網(wǎng)絡(luò)信息安全工作貫穿于計算機網(wǎng)絡(luò)建設(shè)、發(fā)展的始終,需要我們時刻重視,不斷學習。只有加強網(wǎng)絡(luò)與信息安全管理,增強安全意識,不斷改進和發(fā)展網(wǎng)絡(luò)安全保密技術(shù),才能防范于未然,確保計算機網(wǎng)絡(luò)的安全、可靠地運行。