高校及科研院所計算機網絡環境安全探討

顧學回 邵 鵬

摘要:計算機網絡技術的飛速發展,科研人員越來越多地依賴計算機網絡,但網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,給科研院所工作帶來了極大的威脅。本文就網絡安全防護的重要性,探討科研院所在網絡安全問題中存在的問題,以及其網絡環境容易受到的安全威脅,提出網絡安全防護的基本方法和技術手段。

關鍵詞:網絡安全;安全防護;計算機網絡

1概述

隨著計算機網絡的不斷普及應用,信息技術正在以驚人的速度滲透到科學研究的各個領域,目前科研院所在計算機領域的主要應用包括:科技文獻的檢索、科研信息查詢及信息交流、傳遞等。其中包括部分保密性的科研項目。

科研人員越來越多的依賴于計算機網絡環境開展科研工作,但是,在這種開放式的網絡背后,卻有著巨大的網絡危機。各種攻擊入侵手段相繼出現,網絡攻擊,會使網絡上成千上萬的計算機處于癱瘓狀態;網絡入侵一旦成功,則能竊取用戶機器中各種信息,均會給科研工作造成巨大的損失,所以網絡安全防護對于科研院所用戶而言尤為重要。

2科研院所網絡系統的安全威脅

科研院所的網絡環境多為教育網環境,同一般的公網環境不同,由于科研工作需要,一般擁有較多類型的網絡環境,它們所面臨的網絡安全威脅主要體現在以下幾個方面:

2.1網絡入侵

指具有熟練編寫和調試計算機程序的人并使用這些技巧來獲得非法或未授權的網絡或文件訪問,入侵進入他方內部網的行為。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內客的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。

2.2后門程序

從最早計算機被入侵開始.黑客們就已經發展了“后門”這門技術,利用這門技術,他們可以再次進入系統。后門的功能主要有:使管理員無法阻止種植者再次進入系統;使種植者在系統中不易被發現,使種植者進入系統花費最少時間。

2.3計算機病毒

計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。伴隨著計算機技術的推廣普及,計算機病毒也在不斷地發展演變,其危害越來越大。目前計算機病毒的特點是流行廣泛、種類繁多、潛伏期長、破壞力大。對計算機信息系統的安全構成了長期與現實的威脅。

2.4軟件系統自身漏洞

一般操作系統的體系結構其本身是不安全的,這也是計算機系統不安全的根本原因之一。操作系統的程序是可以動態連接的,包括I/O的驅動程序與系統服務,都可以用打“補丁”的方式進行動態連接。 許多UNIX或Windows操作系統的版本的升級、開發都是采用打“補丁”的方式進行的。這種方法既然廠商可以使用,那么“黑客”也可以使用,同時這種動態連接也為計算機病毒的產生提供了一個好環境。各類軟件系統也存在的一些缺陷或漏洞,有些是疏忽造成的,有些則是軟件公司為了自便而設置的,這些漏洞或“后門”一般不為人所知,但這給病毒、黑客入侵提供了可能。

2.5系統管理漏洞

各類計算機及軟件系統在使用時,由于各種人為因素往往容易造成漏洞,給入侵者以可乘之機。比如,人們在日常使用計算機時對安全防護的疏忽,特別是對口令的不重視,很容易產生弱口令,很多人用諸如自己的生日、姓名、單位名稱等作為口令,為黑客破解密碼提供了機會。在內網中,黑客的口令破解程序更易奏效。

3網絡安全的主要防護措施

計算機網絡安全從技術上來說,主要由防病毒、防火墻、安全衛士、入侵檢測等多個安全組件組成,而一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等。

3.1防火墻技術

“防火墻”(Firewal1)安全保障技術是由軟件,硬件構成的系統,用來在兩個網絡之間實施接入控制策略。我們將防火墻內的網絡稱“可信賴的網絡”。 從網絡發往計算機的所有數據都要經過防火墻的判斷處理后,才能決定是否把這些數據交給計算機,如果發現有害數據,防火墻就會攔截下來,實現對計算機的保護功能防火墻阻止某種類型的信息從外部網絡進入內部網絡的同時,也允許另一種類型的信息從內部網絡進入到外部網絡,也就是說防火墻能夠(允許、阻止)出入網絡的信息流,它能夠有效的監控可信賴的內部網絡和不可信賴的外部網絡之間的任何活動,從而保證了內部可信賴網絡的安全性。

3.2訪問控制技術

訪問控制是計算機信息系統安全的關鍵技術,對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶的口令是用戶登陸計算機的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,使用設定更為復雜的口令,它確定了每個用戶的權力限制條件。

3.3數據加密技術

從密碼體制方面而言,加密技術可分為對稱密鑰密碼體制和非對稱密鑰密碼體制,對稱密鑰密碼技術要求加密、解密雙方擁有相同的密鑰,由于加密和解密使用同樣的密鑰,所以加密方和解密方需要進行會話密鑰的密鑰交換。非對稱密鑰密碼技術的應用比較廣泛,可以進行數據加密、身份鑒別、訪問控制、數字簽名、數據完整性驗證、版權保護等。

3.4防病毒技術

隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺計算機上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。

3.5入侵檢測技術

入侵檢測系統被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。

入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。

3.6物理保護

電纜、終端、路由器和其他系統硬件容易受到物理危害(例如通過搭線到網絡電纜上)。為防止這些問題,應當規劃網絡的物理安裝,網絡服務器、路由器、網絡介質應當放在安全、可靠的地方,并限制用戶的訪問次數。除此之外,為保證信息網絡系統的物理安全.除在網絡規劃和場地、環境等要求之外。還要防止系統信息在空間的擴散。

4總結

科研院所網絡的安全問題,不僅是設備、技術的問題.更是管理的問題。對于計算機系統的使用者來說,一定要提高安全意識,加強安全防護的技術手段,注重對網絡安全知識的了解和學習。要通過組建完整的安全保密管理組織機構,制定嚴格的安全制度,指定安全管理人員,隨時對整個計算機系統進行嚴格的監控和管理。在日常的維護中及時發現問題、解決問題、總結問題。以保障計算機信息系統的安全,滿足科研工作的需要。

參考文獻

[1]李海泉.計算機系統的安全技術[M].北京.人民郵電出版社,2002

[2]于章.計算機及網絡安全與防治基礎[M].北京.航空航天出版社.1999

[3]王宏偉.網絡安全威脅與對策田.科技創業月刊,2006,19(5):179-180

[4]馮素梅.網絡安全技術與應用[J].網絡防火墻技術分析與選擇,2008,(4):21-22.