首页 >> 中国网络传播网文章管理系统 >> 网络安全知识 >> 正文
计算机安全控制的技术手段
|
从技术上讲,计算机安全问题可以分为三种类型:
● 实体的安全性:实体安全包括环境安全、设备安全和媒体安全,它用来保证硬件和软件本身的安全。
● 运行环境的安全性:运行安全包括风险分析、审计跟踪、备份与恢复和应急,它用来保证计算机能在良好的环境里持续工作。
● 信息的安全性:信息安全包括操作系统安全、数据库安全、网络安全、防病毒、访问控制、加密、认证,它用来保障信息不会被非法阅读、修改和泄露。采用先进可靠的安全技术,可以减少计算机信息系统的脆弱性。安全技术是计算机信息系统安全的基础,必须大力发展。
(1)实体安全技术
实体安全技术包括以下内容:
● 电源防护技术:采用良好的屏蔽及避雷措施防止雷电和工业射电干扰;采用稳压电源防止电压波动;采用不间断电源UPS防止突然断电引起设备损坏和数据丢失等损失。
● 防盗技术:安装报警器、各种监视系统及安全门锁等。
● 环境保护:按计算机房安全要求采取防火、防水、防尘、防震、防静电等技术措施。
● 电磁兼容性:采取电磁屏蔽及良好接地等手段,使系统中的设备既不因外界和其他设备的电磁干扰而影响其正常工作,也不因自身的电磁辐射影响周围其他设备的正常工作。
(2)存取控制
存取控制是对用户的身份进行识别和鉴别,对用户利用资源的权限和范围进行核查,是数据保护的前沿屏障,它可以分为身份认证、存取权限控制、数据库保护等几个层次:
● 身份认证:身份认证的目的是确定系统和网络的访问者是否是合法用户。主要采用密码、代表用户身份的物品(如磁卡、IC卡等)或反映用户生理特征的标识(如指纹、手掌图案、语音、视网膜扫描等)鉴别访问者的身份。
● 存取权限控制:存取权限控制的目的是防止合法用户越权访问系统和网络资源。因此,系统要确定用户对哪些资源(比如CPU、内存、I/O设备程序、文件等)享有使用权以及可进行何种类型的访问操作(比如读、写、运行等)。为此,系统要赋予用户不同的权限,比如普通用户或有特殊授权的计算机终端或工作站用户、超级用户、系统管理员等,用户的权限等级是在注册时赋予的。
● 数据库存取控制:对数据库信息按存取属性划分的授权分:允许或禁止运行,允许或禁止阅读、检索,允许或禁止写入,允许或禁止修改,允许或禁止清除等。
(3)病毒防治技术
为了避免计算机病毒的感染和传播,应从预防和清除两个方面着手。
首先,应当树立预防为主的思想。要充分利用操作系统中的安全功能和安全机制,加强存取控制,防止非法用户进入。同时,要加强对目前广泛应用的因特网的管理,防止病毒通过网络传播。为防止病毒侵入对信息的破坏,应当经常进行自行检测,并能养成定期替文件做备份的良好习惯。
选用先进可靠的防杀网络病毒的软件。性能良好的防病毒软件应当能够追随病毒的最新发展不断升级,能够同时防杀单机病毒和网络病毒,能够识别病毒的种类和性质,并能够判断病毒的位置。
为保证计算机不受病毒的侵害,应拒绝购买或使用盗版软件和盗版光盘。从最近病毒发生的情况看,盗版软件和盗版光盘是最容易携带病毒的。此外,在使用外来磁盘和从因特网上下载文件之前,也必须进行病毒检查,防止病毒进入自己的计算机信息系统。
(4)防火墙技术
防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合,使互联网(Internet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成。
防火墙方法有助于提高计算机主系统总体的安全性,因而可使联网用户获得许多好处。防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经过选择的协议通过防火墙,因此,子网网络环境可经受较少的外部攻击。
防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防止非法访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。
对一个机构来说,防火墙实际上可能并不昂贵,因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上,而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上,而不是放在每个需要从Internet 访问的系统上。
保密对某些网点是非常重要的,因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后,某些网点希望封锁某些服务,如Finger和域名服务。Finger显示有关用户的信息,如最后注册时间、邮件有没有被访问等等。但是,Finger也可能把有关用户的信息泄露给攻击者,所以,防火墙系统不可缺少。
如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报,则还可以提供防火墙和网络是否受到试探或攻击的细节,并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要,还因为它可作为网络需求研究和风险分析的依据。
(5)数据加密
数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。当需要时,可使用密钥将密文数据还原成明文数据,称为解密。这样就可以实现数据的保密性。数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方法,它是数据保护在技术上的最后防线。
以数据加密和用户确认为基础的开放型安全保障是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流,只有指定的用户和网络设备才能解译加密数据,从根本上解决网络安全的两大主要需求,即网络服务的可用性和信息的完整性。这类技术在数据传输过程中对所经过的网络路径的安全程度没有要求,不受其影响,从而真正实现网络通信过程中的端到端的安全保障。同时,这类技术一般不需要特殊的网络拓扑结构的支持,实施代价较小,主要体现在软件开发和系统运行维护等方面。可见,数据加密技术是一种普遍适用的、对网络服务影响较少的、并可望成为解决网络安全问题的最终方案。由于大部分数据加密算法源于美国,并且受到美国出口管制法的限制,因而暂时无法在Internet这样的国际网络中大规模使用,但预计几年后这类技术可能成为保障网络安全的主要方式。
(6)其他
除此之外,还有一些其他的安全技术措施。如容错技术,它是为避免由于硬件故障或用户失误等原因而酿成系统故障的一种预防措施。容错就是寻找最常见的故障点,并通过冗余度来加强它们。又如审计跟踪技术,它自动记录系统资源被访问和使用的情况,以备必要时追查和分析。
|
| ·上一篇文章:防火墙简介 |
| ·下一篇文章:文件夹病毒!WindowsXP惊现新安全漏洞 |
相关新闻
