一、網絡安全問題與計算機信息系統
網絡安全技術不但要求防治計算機病毒,而且要提高系統抵抗黑客非法入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。網 絡安全產品有以下幾大特點:第一,網絡安全來源於安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷 地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術管理是一個十分復雜的系統工程。計算機網絡最重要的是向用戶提 供信息服務及其擁有的信息資源。由於信息系統在應用中需要進行安全保護,因此,對計算機網絡的安全性問題的研究總是圍繞著信息系統進行。
1.網絡的開放性帶來的安全問題。Internet的開放性以及其他方面因素導致了網絡環境下的計算機系統存在很多安全問題,這些安全隱患可以歸 結為以下幾個方面。一是只要有程序,就可能存在漏洞。幾乎每天都有新的漏洞被發現和公布,程序設計者在修改已知漏洞的同時又可能使它產生新的漏洞。此外, 系統的漏洞經常被黑客攻擊,而且這種攻擊通常不會產生日志,幾乎無據可查。二是黑客的攻擊手段在不斷更新。
安全工具的更新速度太慢,絕大多數情況需要人為參與才能發現以前未知的安全問題,這就使得他們對新出現的安全問題總是反應太慢。因此,黑客總是可 以找到漏洞進行攻擊。三是傳統安全工具難於保護系統的後門。防火牆很難考慮到這類安全問題,大多數情況下,這類入侵行為可以堂而皇之地繞過防火牆而很難被 察覺。四是安全工具的使用受到人為因素的影響。一個安全工具能不能實現期望的效果,在很大程度上取決於使用者,包括系統管理者和普通用戶。五是每一種安全 機制都有一定的應用范圍和環境。防火牆是一種有效的安全工具,它可以隱蔽內部網絡結構,限制外部網絡到內部網絡的訪問,但對於內部網絡之間的訪問往往是無 能為力的。
2.增強網絡安全的防護力。首先是網絡內部,即個人電腦。我們不能保證電腦用戶每一次操作都是正確與安全的。由於如今流行的操作系統或多或少地存 在漏洞和缺陷,並且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮,一般情況下,可以通過安裝防病毒軟件來防御病毒的威脅。但是,面對蠕蟲、木馬程序、後門程 序等,防病毒軟件並不能起到很顯著的作用,因此,一旦個人電腦遭到攻擊,就很可能威脅到整個內部網絡和核心區域。
其次是網絡結構的安全性。通過部署多層交換機,實現多個VLAN和快速收斂的路由,是保證網絡結構可靠性的最佳方法。在劃分了多個邏輯網絡和建立 符合應用的ACL的同時,我們更希望能收集和歸納出整個網絡的更多安全信息,包括流量的管理、入侵行為和用戶訪問信息。僅通過網絡設備提供的日志、 SNMP管理是遠遠不夠的,現今的方法是通過部署IDS/IPS來實現更有效的管理。在核心的節點部署IDS/IPS探點,采集和匯總數據包的完整信息, 然後提供給網絡管-理人員分析,是一個正確的方法。
3.如何進行網絡安全管理。現階段,為了保證網絡的正常運行,可采用以下幾種方法。一是防范網絡病毒。網絡病毒傳播擴散快,僅用單機防病毒產品已 經很難徹底清除網絡病毒,必須有適合於局域網的全方位防病毒產品。校園網是一個內部局域網,就需要一個基於服務器操作系統平台的防病毒軟件和針對各種桌面 操作系統的防病毒軟件。所以,最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件;通過全方位、多層次的防病毒系統的配 置,通過定期或不定期的自動升級,使網絡免受病毒的侵襲。二是設置防火牆。
利用防火牆在網絡通信時執行一種訪問控制尺度,允許防火牆同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,以此最大限 度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。三是采用入侵檢測系統。入侵檢測系統能夠識別出任何不希望有的 活動,並限制這些活動,以保護系統的安全。內部局域網采用入侵檢測技術時,最好采用混合入侵檢測,在網絡中同時采用基於網絡和基於主機的入侵檢測系統,構 架成一套完整的主動防御體系。四是建立網絡安全監測系統。