淺談計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)模式與安全保護(hù)策略研究
隨著網(wǎng)絡(luò)在社會生活中不斷普及,網(wǎng)絡(luò)安全問題越來越顯得重要。當(dāng)因特網(wǎng)以變革的方式提供信息檢索與發(fā)布能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)模式與安全保護(hù)策略進(jìn)行探討。
本文引用地址:http://butianyuan.cn/article/202299.htm計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它所提供的服務(wù)及所擁有的信息,計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。為了有效保護(hù)網(wǎng)絡(luò)安全,應(yīng)選擇合適的保護(hù)模式。
1 安全保護(hù)模式
為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:
1.1 無安全保護(hù)。最簡單的安全保護(hù)模式是完全不實(shí)施任何安全機(jī)制,按銷售商所提供的最小限度安全運(yùn)行。這是最消極的一種安全保護(hù)模式。
1.2 模糊安全保護(hù)。另一種安全保護(hù)模式通常稱之為“模糊安全保護(hù)”,采用這種模式的系統(tǒng)總認(rèn)為沒有人會知道它的存在、目錄、安全措施等,因而它的站點(diǎn)是安全的。但是實(shí)際上對這樣的一個站點(diǎn),可以有很多方法查找到它的存在。站點(diǎn)的防衛(wèi)信息是很容易被人知道的。在主機(jī)登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。
1.3 主機(jī)安全保護(hù)。主機(jī)安全模式可能是最普通的種安全模式而被普遍采用,主機(jī)安全的目的是加強(qiáng)對每一臺主機(jī)的安全保護(hù),在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機(jī)安全的問題。
在現(xiàn)代的計(jì)算機(jī)環(huán)境中,主機(jī)安全的主要障礙就是環(huán)境復(fù)雜多變性。不同品牌的計(jì)算機(jī)有不同的代理商,同一版本操作系統(tǒng)的機(jī)器,也會有不同的配置、不同的服務(wù)以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護(hù)所有機(jī)器的安全保護(hù),而且機(jī)器越多安全問題也就越復(fù)雜。即使所有工作都正確地執(zhí)行了,主機(jī)保護(hù)還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。
1.4 網(wǎng)絡(luò)安全保護(hù)。由于環(huán)境變得大而復(fù)雜,主機(jī)安全模式的實(shí)施也變得愈來愈困難。有更多的站點(diǎn)開始采用網(wǎng)絡(luò)安全保護(hù)模式。用這種安全保護(hù)模式解決如何控制主機(jī)的網(wǎng)絡(luò)通道和它們所提供的服務(wù)比對逐個主機(jī)進(jìn)行保護(hù)更有效?,F(xiàn)在一般采用的網(wǎng)絡(luò)安全手段包括:構(gòu)建防火墻保護(hù)內(nèi)部系統(tǒng)與網(wǎng)絡(luò),運(yùn)用可靠的認(rèn)證方法(如一次性口令),使用加密來保護(hù)敏感數(shù)據(jù)在網(wǎng)絡(luò)上運(yùn)行等。
在用防火墻解決網(wǎng)絡(luò)安全保護(hù)的同時,也決不應(yīng)忽視主機(jī)自身的安全保護(hù)。應(yīng)該采用盡可能強(qiáng)的主機(jī)安全措施保護(hù)大部分重要的機(jī)器,尤其是互聯(lián)網(wǎng)直接連接的機(jī)器,防止不是來自因特網(wǎng)侵襲的安全問題在內(nèi)部機(jī)器上發(fā)生。上面討論了各種安全保護(hù)模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網(wǎng)絡(luò)的管理問題。安全保護(hù)不能防止每一個單個事故的出現(xiàn),它卻可以減少或避免事故的嚴(yán)重?fù)p失,甚至工作的停頓或終止。
2 安全保護(hù)策略
所謂網(wǎng)絡(luò)安全保護(hù)策略是指一個網(wǎng)絡(luò)中關(guān)于安全問題采取的原則、對安全使用的要求以及如何保護(hù)網(wǎng)絡(luò)的安全運(yùn)行。以下是加強(qiáng)因特網(wǎng)安全保護(hù)措施所采取的幾種基本策略。
2.1 最小特權(quán)。這是最基本的安全原則。最小特權(quán)原則意味著系統(tǒng)的任一對象(無論是用戶、管理員還是程序、系統(tǒng)等),應(yīng)該僅具有它需要履行某些特定任務(wù)的那些特權(quán)。最小特權(quán)原則是盡量限制系統(tǒng)對侵入者的暴露并減少因受特定攻擊所造成的破壞。
在因特網(wǎng)環(huán)境下,最小特權(quán)原則被大量運(yùn)用。在保護(hù)站點(diǎn)而采取的一些解決方法中也使用了最小將權(quán)原理,如數(shù)據(jù)包過濾被設(shè)計(jì)成只允許需要的服務(wù)進(jìn)入。在試圖執(zhí)行最小特權(quán)時要注意兩個問題:一是要確認(rèn)已經(jīng)成功地裝備了最小特權(quán),二是不能因?yàn)樽钚√貦?quán)影響了用戶的正常工作。
2.2 縱深防御。縱深防御是指應(yīng)該建立多種機(jī)制而不要只依靠一種安全機(jī)制進(jìn)行有效保護(hù),這也是一種基本的安全原則。防火墻是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的有效機(jī)制,但防火墻并不是因特網(wǎng)安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風(fēng)險。但可以采用多種機(jī)制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機(jī)安全(采用堡壘主機(jī))以及加強(qiáng)安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結(jié)構(gòu)。如使用有多個數(shù)據(jù)包過濾器的結(jié)構(gòu),各層的數(shù)據(jù)包過濾系統(tǒng)可以做不同的事情,過濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。
2.3 阻塞點(diǎn)。所謂阻塞點(diǎn)就是可以對攻擊者進(jìn)行監(jiān)視和控制的一個窄小通道。在網(wǎng)絡(luò)中,個站點(diǎn)與因特網(wǎng)之間的防火墻(假定它是站點(diǎn)與因特網(wǎng)之間的唯一連接)就是一個這樣的阻塞點(diǎn)。任何想從因特網(wǎng)上攻擊這個站點(diǎn)的侵襲者必須經(jīng)過這個通道。用戶就可以在阻塞點(diǎn)上仔細(xì)觀察各種侵襲并及時做出反應(yīng)。但是如果攻擊者采用其他合法的方法通過阻塞點(diǎn),這時阻塞點(diǎn)則失去了作用。在網(wǎng)絡(luò)上,防火墻并不能阻止攻擊者通過很多線路的攻擊。
2.4 防御多樣化。在使用相同安全保護(hù)系統(tǒng)的網(wǎng)絡(luò)中,知道如何侵入一個系統(tǒng)也就知道了如何侵入整個系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個普通小錯誤或配置錯誤而危及整個系統(tǒng)的可能,從而得到額外的安全保護(hù)。但這也會由于不同系統(tǒng)的復(fù)雜性不同而花費(fèi)額外的時間與精力。
3 防火墻
防火墻原是建筑物大廈設(shè)計(jì)中用來防止火勢從建筑物的一部分蔓延到另一部分的設(shè)施。與之類似,作為一種有效的網(wǎng)絡(luò)安全機(jī)制,網(wǎng)絡(luò)防火墻的作用是防止互聯(lián)網(wǎng)的危險波及到內(nèi)部網(wǎng)絡(luò),它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范,控制外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間服務(wù)訪問的系統(tǒng)。但必須指出的是防火墻并不能防止站點(diǎn)內(nèi)部發(fā)生的問題。防火墻的作用是:限制人們從一個嚴(yán)格控制的點(diǎn)進(jìn)入;防止進(jìn)攻者接近其他的防御設(shè)備;限制人們從一個嚴(yán)格控制的點(diǎn)離開。防火墻的優(yōu)點(diǎn):1)強(qiáng)化安全策略:在眾多的因特網(wǎng)服務(wù)中,防火墻可以根據(jù)其安全策略僅僅容許“認(rèn)可的”和符合規(guī)則的服務(wù)通過,并可以控制用戶及其權(quán)力。2)記錄網(wǎng)絡(luò)活動:作為訪問的唯一站點(diǎn),防火墻能收集記錄在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)年P(guān)于系統(tǒng)和網(wǎng)絡(luò)使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段,防止影響局部網(wǎng)絡(luò)安全的問題可能會對全局網(wǎng)絡(luò)造成影響。4)集中安全策略:作為信息進(jìn)出網(wǎng)絡(luò)的檢查點(diǎn),防火墻將網(wǎng)絡(luò)安全防范策略集中于一身,為網(wǎng)絡(luò)安全起了把關(guān)作用。
電磁爐相關(guān)文章:電磁爐原理
評論