连接到因特网就会面临着网络的威胁。为了降低网络安全的风险,各计算机网络使用机构、企业或单位应该建立相应的网络安全管理制度,建立合适的网络安全管理政策,建立安全审计和跟踪机制以及制定具体的网络安全策略,提高整体网络的安全体系。针对网络安全,业界有一种说法,“三分技术,七分管理”,意思是在某种程度上防御安全风险,人的因素是最重要的,特别是强调制定合理的安全策略并严格执行。
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。网络安全策略包括对企业的各种网络服务的安全层次和用户的权限进行分类,确定管理员的安全职责,如何实施安全故障处理、网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等内容。
制定网络安全策略的目的是决定一个组织机构怎样来保护自己。网络安全的策略规定了一个组织结构的网络行为,哪些网络行为是允许的,哪些网络行为是禁止的。各个组织机构在制定安全策略的时候,都需要结合本单位的情况,制定本单位的总体安全政策和详细的实施规则,这样可以降低人为的不安全因素带来的威胁;同时可以采取积极主动的方式抵御网络的攻击,可以降低单位的网络安全风险。一般来说,一个网络安全策略主要涉及物理安全策略、访问控制策略、信息加密策略和网络安全管理策略4个方面。
1.物理安全策略
物理安全在整个计算机网络信息系统安全体系中占有重要地位。计算机信息系统物理安全的内涵是保护计算机信息系统设备、基础设施、通信网络以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。包含的主要内容为机房安全技术、电源系统安全技术、通信线路安全技术、计算机系统设备安全技术等。
计算机网络系统设备安全应采取的主要手段有计算机网络系统设备的安全管理和维护、信息存储媒体的管理和计算机网络系统设备的电磁兼容技术。通信线路安全主要有加压电缆和光纤等通信线路的防窃听技术。
制定物理安全策略的目的是计算机信息系统物理设备、基础设施、通信网络等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生;抑制和防止电磁泄漏。
2.访问控制策略
访问控制的实现首先要考虑对合法用户进行验证,然后是对控制策略的选用与管理,最后要对非法用户或是越权操作进行管理。访问控制通常包括认证、控制策略实现和审计。访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。它也是维护网络系统安全、保护网络资源的重要手段。访问控制是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(1)入网访问控制
入网访问控制主要是对上网的用户进行的资格认证。用户的入网访问控制就是对用户名的识别与验证、用户口令的识别与验证、用户账号的默认限制检查。这3个步骤的严格认证,以确保该用户有合法的身份进入网络。
(2)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施,它强化对网络资源的授权访问。所有的用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。权限控制一般将用户分为以下3类。
1)特殊用户即系统管理员,具有最高权限。
2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限。
3)审计用户,负责网络的安全控制与资源使用情况的审计。
(3)目录级安全控制(www.xing528.com)
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种,即系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(AccessControl)。用户对文件或目标的有效权限取决于以下两个因素:用户的委托者指派、用户所在组的委托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。8种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
(4)属性安全控制
当使用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何委托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、复制一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、修改、显示等。
(5)网络服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
(6)网络监测和账户锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
3.信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端到端加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况和应用选择上述加密方式。
信息加密的实现方法就是采用加密算法。在多数情况下,信息加密是保证信息机密性的唯一方法。目前,全世界公开发表的各种加密算法多达数百种,这些密码算法有不同的类型和不同的密码强度,在各种系统中得到了广泛的应用。
4.网络安全管理策略
在网络安全中,除了采用上述技术措施外,加强网络的安全管理,制定有关规章制度,对于确保网络安全、可靠地运行,也将起到十分有效的作用。安全管理策略是指在一个特定的环境里,为提供一定级别的安全保护所必须遵守的规则。网络的安全管理策略包括确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房的管理制度;制定网络系统的维护制度和应急措施等。该安全管理策略模型包括了建立安全环境的3个重要组成部分。
1)威严的法律:安全的基石是社会法律、法规与手段,这是建立一套安全管理的标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
2)先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,根据安全服务的种类,选择相应的安全机制,然后集成先进的安全技术。
3)严格的管理:制定有关网络操作使用规程和人员出入机房的管理制度;制定网络系统的维护制度和应急措施等。各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体的信息安全意识。
为保证计算机网络系统的安全运行,网络系统的使用单位应该成立计算机安全管理机构,规划网络系统的安全,制定完善的安全策略和措施,建立网络安全管理制度,设立专职安全人员,进行安全管理、安全审计、系统风险分析、软硬件管理等。从事安全管理的人必须严格遵守和执行单位的安全管理规章制度,明确职责。当然,计算机网络安全不单是依靠安全管理人员,更多是依靠单位内部所有员工的执行。比如,对于普通的计算机用户,必须教会他们正确利用网络资源,规定谁可以使用网络资源,他们可以做什么,不能够做什么,合理地执行网络行为,这些在单位的安全管理制度中应该有明确的规定,可以避免泄露单位敏感的信息,规避人为因素带来的风险。而系统安全管理员承担更大的责任,必须对计算机网络进行监控,采取专门的安全措施保障网络安全。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
