隨著網(wǎng)絡在社會生活中不斷普及,網(wǎng)絡安全問題越來越顯得重要。當因特網(wǎng)以變革的方式提供信息檢索與發(fā)布能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網(wǎng)絡安全保護模式與安全保護策略進行探討。

計算機網(wǎng)絡最重要的資源是它所提供的服務及所擁有的信息,計算機網(wǎng)絡的安全性可以定義為保障網(wǎng)絡服務的可用性和網(wǎng)絡信息的完整性。為了有效保護網(wǎng)絡安全,應選擇合適的保護模式。

1 安全保護模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護模式。

1.2 模糊安全保護。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統(tǒng)總認為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛(wèi)信息是很容易被人知道的。在主機登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機安全保護。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護,在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機安全的問題。

在現(xiàn)代的計算機環(huán)境中,主機安全的主要障礙就是環(huán)境復雜多變性。不同品牌的計算機有不同的代理商,同一版本操作系統(tǒng)的機器,也會有不同的配置、不同的服務以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護,而且機器越多安全問題也就越復雜。即使所有工作都正確地執(zhí)行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網(wǎng)絡安全保護。由于環(huán)境變得大而復雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網(wǎng)絡安全保護模式。用這種安全保護模式解決如何控制主機的網(wǎng)絡通道和它們所提供的服務比對逐個主機進行保護更有效?，F(xiàn)在一般采用的網(wǎng)絡安全手段包括:構建防火墻保護內(nèi)部系統(tǒng)與網(wǎng)絡,運用可靠的認證方法(如一次性口令),使用加密來保護敏感數(shù)據(jù)在網(wǎng)絡上運行等。

在用防火墻解決網(wǎng)絡安全保護的同時,也決不應忽視主機自身的安全保護。應該采用盡可能強的主機安全措施保護大部分重要的機器,尤其是互聯(lián)網(wǎng)直接連接的機器,防止不是來自因特網(wǎng)侵襲的安全問題在內(nèi)部機器上發(fā)生。上面討論了各種安全保護模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡的管理問題。安全保護不能防止每一個單個事故的出現(xiàn),它卻可以減少或避免事故的嚴重損失,甚至工作的停頓或終止。

2 安全保護策略

所謂網(wǎng)絡安全保護策略是指一個網(wǎng)絡中關于安全問題采取的原則、對安全使用的要求以及如何保護網(wǎng)絡的安全運行。以下是加強因特網(wǎng)安全保護措施所采取的幾種基本策略。

2.1 最小特權。這是最基本的安全原則。最小特權原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網(wǎng)環(huán)境下,最小特權原則被大量運用。在保護站點而采取的一些解決方法中也使用了最小將權原理,如數(shù)據(jù)包過濾被設計成只允許需要的服務進入。在試圖執(zhí)行最小特權時要注意兩個問題:一是要確認已經(jīng)成功地裝備了最小特權,二是不能因為最小特權影響了用戶的正常工作。

2.2 縱深防御?？v深防御是指應該建立多種機制而不要只依靠一種安全機制進行有效保護,這也是一種基本的安全原則。防火墻是維護網(wǎng)絡系統(tǒng)安全的有效機制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結構。如使用有多個數(shù)據(jù)包過濾器的結構,各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點。所謂阻塞點就是可以對攻擊者進行監(jiān)視和控制的一個窄小通道。在網(wǎng)絡中,個站點與因特網(wǎng)之間的防火墻(假定它是站點與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網(wǎng)上攻擊這個站點的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網(wǎng)絡上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護系統(tǒng)的網(wǎng)絡中,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護。但這也會由于不同系統(tǒng)的復雜性不同而花費額外的時間與精力。

3 防火墻

防火墻原是建筑物大廈設計中用來防止火勢從建筑物的一部分蔓延到另一部分的設施。與之類似,作為一種有效的網(wǎng)絡安全機制,網(wǎng)絡防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內(nèi)部網(wǎng)絡,它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范,控制外部網(wǎng)絡與內(nèi)部網(wǎng)絡之間服務訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點內(nèi)部發(fā)生的問題。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設備;限制人們從一個嚴格控制的點離開。防火墻的優(yōu)點:1)強化安全策略:在眾多的因特網(wǎng)服務中,防火墻可以根據(jù)其安全策略僅僅容許“認可的”和符合規(guī)則的服務通過,并可以控制用戶及其權力。2)記錄網(wǎng)絡活動:作為訪問的唯一站點,防火墻能收集記錄在被保護網(wǎng)絡和外部網(wǎng)絡之間傳輸?shù)年P于系統(tǒng)和網(wǎng)絡使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡中的一個網(wǎng)段與另一個網(wǎng)段,防止影響局部網(wǎng)絡安全的問題可能會對全局網(wǎng)絡造成影響。4)集中安全策略:作為信息進出網(wǎng)絡的檢查點,防火墻將網(wǎng)絡安全防范策略集中于一身,為網(wǎng)絡安全起了把關作用。