计算机网络信息安全与防护

2022-09-10

一个国家的社会信息化的状态和信息技术体系不受外来威胁与侵害, 要达到信息安全首先应该衡量一个国家宏观的社会信息化状态是否处于自主控制之下是否稳定;其次是信息技术安全问题。所谓的信息安全是在技术层面上的含义, 既保证客观上杜绝对信息安全的属性的威胁, 使得信息的主人在主观撒谎能够对信息的本原性放心, 这是因为信息入侵者无论怀有什么样的阴谋诡计, 何种手段首先通过攻击信息的几种安全属性达到目的的。

1 计算机网络信息安全危机

随着计算机的普及与不断发展, 最近几年来, 威胁网络信息安全的事件越来越多, 特别是一些比较发达地区的国家, 遭受网络黑客袭击的事件也越来越频繁, 网络信息的安全, 不仅会影响到一个国家的文化、经济、军事以及各方面, 还会对国际局势发展的影响起到相当大的危害。而在我国, 各大高校中的机房网络, 当计算机机房从曾今的单机型向网络型机房转变, 学生们的用网频繁, 继而也导致了一些病毒的入侵, 所以网络机房的安全管理维护, 当然也日显重要, 那么面对这么多计算机, 如何将它们安全、合理的使用起来, 以防止外来病毒的攻击呢?以下笔者以高校机房网络为例, 提出机房网络信息安全管理的一些防护措施。

2 高校机房网络面对的安全问题

当前, 网络机房多种流行性病毒的产生原因, 归纳为以下几点。

2.1 拒绝服务攻击

在拒绝服务 (Do S) 攻击中, 攻击者干扰用户使用服务提供者提供给他们的服务。一般来说, 这种攻击的执行都是通过在很大范围内访问提供的服务, 其范围之大使得服务器或者网络提供服务给其他用户的能力很大程度上被削弱了。这种攻击的典型示例就是TCP SYN攻击。在这种类型的攻击中, 攻击者发送大量的TCP SYN请求到某个服务器。在SYN请求被发送之后, “握手”行为就永远也不会结束。服务器, 由于一直设法维持SYN连接的信息并且等待握手行为的完成, 最终耗尽它的资源并停止接收任何进一步的TCP连接请求, 因而拒绝了对真正用户的访问。

2.2 网络访问攻击

网络访问攻击是入侵者获取对网络资源的未授权访问并利用此访问执行任意数量的未授权的甚至是非法的行为的攻击。一旦访问被获取, 甚至可以用来执行对该网络的拒绝服务攻击。网络访问可以进一步被分为两个子类。

(1) 数据访问。

在数据访问攻击中, 攻击者获取对包含于网络里某设备中的数据的未授权的访问。攻击者可以像作为外部用户一样轻易地成为一个内部用户。

(2) 系统访问。

系统访问是网络访问攻击的一种更加恶劣的攻击形式。在这种攻击中, 攻击者可以获得对系统资源的设备的访问。包括在系统中运行程序和使用它的资源做攻击者想做的一些事情。攻击者也可以获得对网络设备诸如照相机、打印机和存储设备的访问。

2.3 由受信任的 (内部) 用户发起的攻击

这是网络攻击的最危险的一种形式, 因为不仅仅是用户拥有对很多网络资源进行访问的权限, 大多数的网络安全策略在定义行为规则和代码方面对内部网中的用户并没有那么严格的限制。这可以使一个内部用户发起上述的任何一种攻击, 而导致破坏性的后果。事实上, 根据大量的研究, 发现大多数通常的网络破坏活动都是由内部而不是外部威胁产生的。

3 管理与维护对策

3.1 制定一个网络安全的目标

网络安全 (Network Security) 是抵御内部和外部各种形式的威胁, 以确保网络的安全的过程。当前, 我们应制定一个网络安全目标。通常, 在网络上实现最终的安全目标可通过下面的一系列步骤完成, 每一步都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站点上建立和实现安全的方法。

第1步确定要保护的是什么。第2步决定尽力保护它免于什么威胁。第3步决定威胁的可能性。第4步以一种划算的方法实现保护资产的目的。第5步不断地检查这些步骤, 每当发现一个弱点就进行改进。

3.2 构建网络安全策略

我们要为网络安全策略定义了一个框架, 它基于风险评估分析以保护连接在网络上的资产。网络安全策略对访问连接在网络上的不同资产定义了访问限制和访问规则。它还是用户和管理员在建立、使用和审计网络时的信息来源。网络安全策略在范围上应该是全面和广泛的。这也就意味着基于它所做出的与安全相关的决定, 应该提供一个高层次的原则性观点, 但不应该考虑这个策略的实现细节等内容。这些细节可能一晚上就变了, 但是这些细节试图完成的一般原则应该保持不变。

3.3 网络安全体系结构的实现

一旦定义了安全策略, 下一步就是以网络安全设计的形式来实现这个策略。我们将讨论不同的安全规则和设计问题。在安全策略构建之后的第一步就是把它转化为安却策略实现的程序。这些程序列举了成功实现这个策略所必须完成的一系列典型任务。这些程序建立在网络设计中使用不同设备和与它们相关的特性能够实现的安全结果之上。通常, 网络安全设计中包含下列要素。

(1) 设备安全特性, 比如管理密码和不同网络组件中的SSH。 (2) 防火墙。 (3) 校园网边界路由器。 (4) 远程访问VPN集中器。 (5) 入侵检测系统 (IDS) 。 (6) 校园网内容过滤以及邮件过滤系统。 (7) 安全AAA服务器和其余网络上相关的AAA服务器。 (8) 不同网络设备上的访问控制和访问限制机制, 比如A CL和C A R。

在一个设计配置中, 要将上述要素中的所有或者部分组合在一起去实现这个网络安全策略需求。

3.4 审计和改进

一旦实现了安全策略, 继续对它分析、测试和改进是非常关键的。可以通过安全系统的正规化审计来实现这一点, 也可以通过使用基于标准操作的度量方法日复一日地检测它来实现。审计可能具有不同的形式, 包括使用不同工具 (比如Cisco Secure Scanner) 的自动检查。这些工具用于查找一校园网中系统可能暴露的弱点。

审计的一个重要功能是让校园网用户一直意识到他们在网络行为中的隐含的安全问题。审计应该用于鉴别用户可能形成的能够导致攻击的习惯。在实际中推荐的方法是预先安排和随机检查的方法。随机审计经常能够抓住防护意识下降的部门和个人用户, 它也会暴露出在维护、检修 (turn around) 等时的漏洞。确定了不同的问题之后, 如果这些问题在本质上是纯技术性的就可以修复它们, 或者可以将它们转换成培训计划以便让用户知道更好的网络安全技术。

总之, 高校机房网络维护管理, 是一项长期、复杂而又庞大的项目工程, 在这项工程中, 有很多问题, 都是具有不确定性的, 所以当前, 我们应时刻更进与改善技术, 明确系统的操作守则, 保证网络的安全、稳定、高效地运行, 来为今后高校的网络教学、以及科研工作的开展和谐社会的建设提供稳定的保障。

摘要：随着计算机的普及与不断发展, 互联网的开放性、共享性与互联程度的的逐步扩大, 其中lnternet的全球普及, 网银, 商业数字货币等一系列列席网络新业务的迅速兴起, 使得计算机网络的安全问题日益重要, 本文以计算机网络信心安全防护为中心点, 展开分析, 并以高校机房网络为例, 提出机房网络信息安全管理的一些防护措施。

关键词：计算机,机房,网络信息,信息安全