关于计算机通信网络安全与防护策略的几点思考

关于计算机通信网络安全与防护策略的几点思考

　一、引言
　　
　　近年来，随着计算机网络技术的成熟，计算机网络应用迅速普及。伴随我国国民经济信息化进程的推进和信息技术的普及，各行各业对计算机网络的依赖程度越来越高，对信息系统的安全性更加关注，如何保证网络通信的安全性成为人们必须面对的问题。因此，有必要制定并实施计算机信息系统安全防护策略以维护计算机信论文联盟http://息系统正
　　常工作秩序，防范计算机犯罪，预防计算机安全事故，有效保证计算机通信网络的安全。
　　
　　二、计算机通信网络安全的现状
　　
　　（一）计算机通信网络安全概述
　　计算机网络由计算机和通信网络两部分组成，其中计算机是通信网络的终端或信源，通信网络提供数据传输和交换的必要手段，最终实现保存在计算机中的资源共享。计算机通信网络安全，是指根据网络特性通过相应的安全技术和措施防止计算机通信网络中的硬件、操作系统、应用软件和数据等遭到破坏更改、泄露，防止非特权用户窃取服务，确保网络正常运行。从网络的运行环节来分，网络安全有设备安全、数据传输安全、用户识别安全等几个方面。
　　（二）目前计算机信息网络安全的研究现状及动向
　　1．国外研究现状及动向。国外对信息网络安全研究起步较早，研究的力度大，积累多，应用广。在上个世纪70年代美国的网络安全技术基础理论研究成果“计算机保密模型”的基础上，制定了“可信计算机系统安全评估准则”(tcsec)，其后又制定了关于网络系统数据库方面和系列安全解释，形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容，其形式化方法分析始于80年代初，目前有基于状态机、模态逻辑和代数工具的三种分析方法，但仍有局限性和漏洞，处于发展的提高阶段。作为信息安全关键技术的密码学，近年来空前活跃，美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制，克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等研究，由于计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、dna密码、混沌理论等密码新技术正处于探索之中。
　　2．国内研究现状及动向。我国信息网络安全研究历经了通信保密、数据保护两个阶段，正在进入网络信息安全研究阶段，现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。目前其研究动向主要从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统等方面提出系统的、完整的和协同的解决信息网络安全的方案。
　　
　　三、计算机通信网络安全存在的原因
　　
　　（一）系统自身的问题
　　由于计算机网络软硬件系统在设计时为了方便用户的使用、开发、和资源共享以及远程管理，总是留有“窗口”或是“后门”，这就使得计算机在实际运用的过程中由于其系统自身的不完善导致了安全隐患。系统问题主要包括以下几个方面：
　　1．网络的开放性：网络系统的开放性和广域性设计使得数据的保密难度加大，其中还包括网络自身的布线以及通信质量而引起的安全问题。
　　2．软件的漏洞：通信协议和通信软件系统不完善，给各种不安全因素的入侵留下了隐患。如果在使用通信网络的过程中，没有必要的安全等级鉴别和防护措施，便使得攻击者可以利用上述软件的漏洞直接侵入网络系统，破坏或窃取通信信息。
　　3．脆弱的tcp/ip服务：因特网的基石是tcp/ip协议，该协议在设计上力求实效而没有考虑安全因素，因为那样将增大代码量，从而降低了tcp/ip的运行效率，所以说tcp/i本身在设计上就有许多安全隐患。很多基于tcp/ip的应用服务如www服务、电子邮件服务、ftp服务都在不同程度上存在着安全问题这很容易被一些对tcp/ip十分了解的人所利用。
　　（二）网络传输信道上的安全隐患
　　网络在传输信道上设计不完善，没有必要的疲敝措施，这也会给计算机通信网络留下安全隐患。因为如果传输信道没有相应的电磁屏蔽措施，那么在信息传输过程中将会向外产生电磁辐射，专门设备是可以接收到。
　　（三）人为因素
　　缺乏安全意识和安全技术的计算机内部管理人员、利用合法身份进入网络，进行有目的破坏的人员、恶意窃取、篡改和损坏数据的网络黑客以及网上犯罪人员对网络的非法使用及破坏等对网络构成了极大威胁。
　　（四）其他因素
　　此外，诸如安全防范技术、可靠性问题和管理制度的不健全，安全立法的疏忽，以及不可抗拒的自然灾害以及意外事故的损害等也是威胁网络通信安全的重要因素。
　　
　　四、提高计算机通信网络安全的防护策略
　　
　　针对以上提出的影响网络安全的因素，我们从计算机系统、人员方面、网络安全策略和安全技术等方面提出了提高计算机通信网络安全的防护策略。
　　（一）提高系统自身性能
　　计算机系统在研发设计时不能只考虑实效，而应该把通信安全因素考虑进去。网络系统在设计时应该考虑到数据的保密难度，完善通信协议和通信软件系统，减少软件系统漏洞。使用通信网络的过程中，制定必要的安全等级鉴别和防护措施，防止攻击者利用软件的漏洞直接侵人网络系统，破坏或窃取通信信息。
　　（二）强化网络安全教育，发挥人在网络安全上的作用
　　要认识到计算机通信网安全的重要性，广泛开展网络安全研究，加强技术交流和研究，掌握新技术，确保在较高层次上处干主动。人员是网络安全管理的关键之一，人员不可靠，再好的安全技术和管理手段也是枉然，故计算机通信网络的安全管理必须充分考虑人的因素。加大网络管理人才的保留，加强各部门协作，加大高级网络技术人员的培养和选拔，使他们具有丰富的网络技术知识，同时也具有一定的实践经验，从而达到有效的防护网设。
　　（三）制定并认真贯彻实施网络安全策略
　　安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。应该从法规政策、管理、技术三个层次制定相应的策略，实现以下“五不”的目的:
　　1．使用访问控制机制如身份鉴别，利用用户口令和密码等鉴别式达到网络系统权限分级，鉴别真伪，访问地址限制，如果对方是无权用户或是权限被限用户，则连接过程就会被终止或是部分访问地址被屏蔽，达到网络分级机制的效果。阻止非授权用户进人网络，即“进不来”，从而保证网络系统的可用性。
　　2．使用授权机制，利用网络管理方式向终端或是终端用户发放访问许可证书，防止非授权用户使用网络和网络资源。实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性。
　　3．使用加密机制，使未授权用户 “看不懂”，保证数据不会在设备上或传输过程中被非法窃取，确保信息不暴露给未授权的实体或进程，从而实现信息的保密性。
　　4．使用数据完整性鉴别机制，优化数据检查核对方式，保证只有得到允许的人才能修改数据，而其它人“改不了”，防止数据字段的篡改、删除、插入、重复、遗漏等结果出现，从而确保信息的完整性。