淺談計算機網絡安全保護模式與安全保護策略研究

隨著網絡在社會生活中不斷普及,網絡安全問題越來越顯得重要。當因特網以變革的方式提供信息檢索與發布能力的同時,也以變革的方式帶來信息污染與破壞的危險。對計算機網絡安全保護模式與安全保護策略進行探討。

計算機網絡最重要的資源是它所提供的服務及所擁有的信息,計算機網絡的安全性可以定義為保障網絡服務的可用性和網絡信息的完整性。為了有效保護網絡安全,應選擇合適的保護模式。

1 安全保護模式

為盡量減少和避免各種外來侵襲的安全模式有以下幾種類型:

1.1 無安全保護。最簡單的安全保護模式是完全不實施任何安全機制,按銷售商所提供的最小限度安全運行。這是最消極的一種安全保護模式。

1.2 模糊安全保護。另一種安全保護模式通常稱之為“模糊安全保護”,采用這種模式的系統總認為沒有人會知道它的存在、目錄、安全措施等,因而它的站點是安全的。但是實際上對這樣的一個站點,可以有很多方法查找到它的存在。站點的防衛信息是很容易被人知道的。在主機登錄信息中了解到系統的硬件和軟件以及使用的操作系統等信息后,一個入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時間和方法來收集各種信息,因此這種模式也是不可取的。

1.3 主機安全保護。主機安全模式可能是最普通的種安全模式而被普遍采用,主機安全的目的是加強對每一臺主機的安全保護,在最大程度上避免或者減少已經存在的可能影響特定主機安全的問題。

在現代的計算機環境中,主機安全的主要障礙就是環境復雜多變性。不同品牌的計算機有不同的代理商,同一版本操作系統的機器,也會有不同的配置、不同的服務以及不同的子系統。這就得要作大量的前期工作和后期保障上作,以維護所有機器的安全保護,而且機器越多安全問題也就越復雜。即使所有工作都正確地執行了,主機保護還會由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。

1.4 網絡安全保護。由于環境變得大而復雜,主機安全模式的實施也變得愈來愈困難。有更多的站點開始采用網絡安全保護模式。用這種安全保護模式解決如何控制主機的網絡通道和它們所提供的服務比對逐個主機進行保護更有效。現在一般采用的網絡安全手段包括:構建防火墻保護內部系統與網絡,運用可靠的認證方法(如一次性口令),使用加密來保護敏感數據在網絡上運行等。

在用防火墻解決網絡安全保護的同時,也決不應忽視主機自身的安全保護。應該采用盡可能強的主機安全措施保護大部分重要的機器,尤其是互聯網直接連接的機器,防止不是來自因特網侵襲的安全問題在內部機器上發生。上面討論了各種安全保護模式,但沒有一種模式可以解決所有的問題,也不存在一種安全模式可以解決好網絡的管理問題。安全保護不能防止每一個單個事故的出現,它卻可以減少或避免事故的嚴重損失,甚至工作的停頓或終止。

2 安全保護策略

所謂網絡安全保護策略是指一個網絡中關于安全問題采取的原則、對安全使用的要求以及如何保護網絡的安全運行。以下是加強因特網安全保護措施所采取的幾種基本策略。

2.1 最小特權。這是最基本的安全原則。最小特權原則意味著系統的任一對象(無論是用戶、管理員還是程序、系統等),應該僅具有它需要履行某些特定任務的那些特權。最小特權原則是盡量限制系統對侵入者的暴露并減少因受特定攻擊所造成的破壞。

在因特網環境下,最小特權原則被大量運用。在保護站點而采取的一些解決方法中也使用了最小將權原理,如數據包過濾被設計成只允許需要的服務進入。在試圖執行最小特權時要注意兩個問題:一是要確認已經成功地裝備了最小特權,二是不能因為最小特權影響了用戶的正常工作。

2.2 縱深防御。縱深防御是指應該建立多種機制而不要只依靠一種安全機制進行有效保護,這也是一種基本的安全原則。防火墻是維護網絡系統安全的有效機制,但防火墻并不是因特網安全問題的完全解決辦法。任何安全的防火墻,都存在會遇到攻擊破壞的風險。但可以采用多種機制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機安全(采用堡壘主機)以及加強安全教育和系統安全管理等。防火墻也可以采用多層結構。如使用有多個數據包過濾器的結構,各層的數據包過濾系統可以做不同的事情,過濾不同的數據包等。在開銷不大的情況下,要盡可能采用多種防御手段。

2.3 阻塞點。所謂阻塞點就是可以對攻擊者進行監視和控制的一個窄小通道。在網絡中,個站點與因特網之間的防火墻(假定它是站點與因特網之間的唯一連接)就是一個這樣的阻塞點。任何想從因特網上攻擊這個站點的侵襲者必須經過這個通道。用戶就可以在阻塞點上仔細觀察各種侵襲并及時做出反應。但是如果攻擊者采用其他合法的方法通過阻塞點,這時阻塞點則失去了作用。在網絡上,防火墻并不能阻止攻擊者通過很多線路的攻擊。

2.4 防御多樣化。在使用相同安全保護系統的網絡中,知道如何侵入一個系統也就知道了如何侵入整個系統。防御多樣化是指使用大量不同類型的安全系統,可以減少因一個普通小錯誤或配置錯誤而危及整個系統的可能,從而得到額外的安全保護。但這也會由于不同系統的復雜性不同而花費額外的時間與精力。

3 防火墻

防火墻原是建筑物大廈設計中用來防止火勢從建筑物的一部分蔓延到另一部分的設施。與之類似,作為一種有效的網絡安全機制,網絡防火墻的作用是防止互聯網的危險波及到內部網絡,它是在內部網與外部網之間實施安全防范,控制外部網絡與內部網絡之間服務訪問的系統。但必須指出的是防火墻并不能防止站點內部發生的問題。防火墻的作用是:限制人們從一個嚴格控制的點進入;防止進攻者接近其他的防御設備;限制人們從一個嚴格控制的點離開。防火墻的優點:1)強化安全策略:在眾多的因特網服務中,防火墻可以根據其安全策略僅僅容許“認可的”和符合規則的服務通過,并可以控制用戶及其權力。2)記錄網絡活動:作為訪問的唯一站點,防火墻能收集記錄在被保護網絡和外部網絡之間傳輸的關于系統和網絡使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來隔開網絡中的一個網段與另一個網段,防止影響局部網絡安全的問題可能會對全局網絡造成影響。4)集中安全策略:作為信息進出網絡的檢查點,防火墻將網絡安全防范策略集中于一身,為網絡安全起了把關作用。