计算机网络安全与保密

第２５卷第２期河北理工学院学报。年５月。

文章编号一ｄｏ８

计算机网络安全与保密。

关启明。河北理ｔ学院教务处，河北唐山０６３

关键词：计算机网络；安全；保密。

摘要：企事业单位计算机网络安全是国家计算机网络安全的基石，涉。

及的范围非常广。讨论了在企事业单位的计算机网络，包括提供公共。

服务的ｉｐｓ网络、校园网、企业内部网的安全保密策略、安全保密基本技术、黑客与防范、保密安全管理中图分类号。

文献标识码：ｅ

计算机安全保密策略。

企事业单位的网络安全策略应该在充分的考察和研究以后，至少对下面的内容进行限定：

．１开放的服务及其分担组合。

常见的服务包括电子邮件（ｓｍ和。

ｓ、计费．ｎｔ文件和打印机共享等。一般说一个主机上面开放的服务越多，其暴露和被攻击的可能性就越大。但是各种服务的安全威胁性是不一样的。

相对来说，电子邮件（ｓｅ和ｑｐｏ域名查询以及ｉｆ等服务比较脆弱，已有的安全漏洞较多，并且还在不停地被发现。解决的办法是对各种服务根据网络实力进行服务分担并且分别使用ｖｌａ或者防火墙等手段进行隔离。对于ｉｆ服务，必须保证只在需要的短暂时间段内开放。

‘．２各种服务的安全运行级别。

对于不同的网络来说，不同的服务重要性并不一样。例如如果网络向社会提供免费电子邮件服务，此时的专用邮件服务器相当于企业的产品，其可用性、完整性和机密性就相对更加重要。但是另外的网络可能正在提供电子商务业务，那么其数据库服务器和认。

证服务器就是业务的直接保证。一般来说，对于ｉｓｐ网络，计费和认证服务器则非常重要。安全策略应该正确描述和划定安全等级。

这样有利于资金的分配、隔离和信任关系、发生故障、攻击及灾难时正确确定事故等级。

收稿日期。作者简介：关启明（１９一），男，河北承德市人，河北理工学院教务处正高级工程师。

一。第２期关启明：计算机网络安全与保密８５

．３根据服务功能区分，确定网络拓扑、隔离手段、依赖和信任关系‘

前面两项确定以后，企事业单位应根据企事业单位的地理分布和部门功能分布等确认网络的物理和逻辑拓扑、相互间的业务依赖信任关系以及之间采取的隔离手段。

安全保密基本技术。

目前计算机安全保密技术主要分为防范技术和检测技术两大类。防范技术主要是通。

过建立严格的认证和访问控制机制以阻止计算机犯罪的发生，检测技术主要是通过建立入侵检测机制实时或事后识别已发生的计算机犯罪行为。近年来研究较多的主要是：

．１防电磁泄漏技术。

构成信息网络系统的设备在运行时能通过地线、电源线、信号线等产生电磁泄漏。如果泄漏的电磁信号被接收下来，经过提取处理，可恢复出原信息。为防止电磁泄漏造成信息泄密，近年来世界各国都在研制防电磁泄漏的技术。

主要包括两方面内容：一是抑制和屏蔽技术，通过对设备加金属屏蔽，改善电路布局，进行电源和信号线路滤波，使用不产生。

电磁辐射和高抗干扰的光缆，来抑制和屏蔽电磁辐射；二是干扰防护技术，通过施放噪声等方式隐蔽工作频率和信息特征，使外界无法探测到信息内容。电磁干扰在１９世纪末即引起人们的重视，后来电磁干扰涉及的范围越来越广。防电磁泄漏技术是计算机安全领。

域中引入最早的技术，我国就是从防电磁泄漏开始研究计算机安全工作的。

．２密码技术。

密码技术分对称密钥和非对称密钥密码两种。对称密钥密码技术要求加解密双方都拥有相同的密钥，而非对称密钥密码（又称公钥密码）技术是双方拥有不同的密钥。

．３防火墙技术。

防火墙”原指汽车上防止引擎发生**而用来隔离引擎和乘客的装置。引入计算机安全领域是指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。

防火墙”种类很多，大致可分为两大类，一类是包过滤型通常直接**报文，对用户完全透明，速度较快；另一类是**服务，通过**服务器建立网络连接，具有较强的身份验证和日志功能。但不论是哪一类“防火墙”，目前都不能做到无隙可击。防。

火墙技术的核心思想是在不安全的网问网环境中构造一个相对安全的子网环境。目前。

防火墙”对系统的安全、基于网络访问的安全研究较多，但对网络上流动的信息内容本身的安全处理较少。而由于我国的特殊需求，需要对网络上的信息安全进行分析，并加以过滤和控制。因此从我国实际的应用背景出发，不仅要求防火墙产品实现传统防火墙的技术，同时还要求对网络信息的安全进行分析和控制。

．４身份识别技术。

计算机系统安全机制的主要目标是控制对信息的访问，这也是预防和控制犯罪的主要途径。当前用于身份识别的技术方法主要有四种，一是利用用户身份、口令、密钥等技术措施进行身份识别；二是利用用户的体貌特征、指纹、签字等技术措施进行身份识别；三是利用用户持有的证件，如光卡、磁卡等进行身份识别；四是多种方法交互使用进行身份。

识别。其中，口令识别是目前广泛采取的技术措施，这种控制机制的优点是简单易掌握，能。

蟊疆熬＆韵。

６河北理工学院学报．第２５卷。

减缓受到攻击的速度，但不能较好地解决非法用户系统的非法访问。

．５访问控制技术。

身份识别的目的是防止人侵者非法侵人系统，但对系统内部的合法用户却无能力。

目前对系统内部用户非授权的访问控制主要有两种类型，任意访问控制和强制访问。

控制。任意访问控制，指用户可以随意在系统中规定访问对象。任意访问控制的优点是方便用户，成本小，缺点是安全系数小。

强制访问控制可以通过无法回避的访问限制来防止对系统的非法人侵，缺点是灵活性小、安全费用大，一般对安全性要求较高的系统，通常。

采用任意访问控制和强制访问控制相结合的方法，安全要求较低的信息系统采用作任意访问控制，而对信息密级较高的系统则必须采用强制访问控制。２．数字签名技术。

数字签名技术是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术。主要包括接收者能够核实发送者对报文的签名、发送者事后不能抵赖对报文签名、接收者不能伪造对报文的签名等方面。实现数字签名的方法很多，比如利用公开密钥密码制实现的数字签名方法等。

．７入侵检技术。

人侵检测技术由于近年来黑客盛行而受到极大重视。人侵检测技术的基本原理是，首先收集系统的脆弱性指标建立检测库，再以此检测库检测发现其它系统中是否有已知的类似脆弱性；若发现新的脆弱性，再反过来更新原有的检测库。如此往复，不断丰富检测库，及时发现系统脆弱性。

人侵检测包括通过破译口令或使用软件非授权侵人系统、合法用户的信息外泄。冒充他人账户的闯人等多种内容。２－风险分析技术。

风险分析是安全管理的重要部分，主要包括两个方面内容，静态分析和动态分析。静态分析，即系统设计前的风险分析和系统试运行前的风险分析；动态分析，即系统运行期间的风险分析和系统运行后的风险分析。系统设计前的风险分析旨在通过分析系统固有。

的脆弱性，发现系统设计前潜在的安全隐患；系统试运行前的风险分析，旨在根据系统试运行期间运行状态，发现系统设计的安全漏洞；系统运行期间风险分析旨在根据系统运行的记录，发现系统运行期间的安全漏洞；系统运行后的风险分析，旨在通过分析运行记录，发现系统的安全隐患，提出改进的分析报告。２－审计跟踪技术‘

审计跟踪是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序，对系统的使用情况建立日志记录，以便实时地监控、报警或事后分析、统。

计、报告，是一种通过事后追查来保证系统安全的技术手段。从系统部件功能看，可分为。

操作系统审计跟踪、数据库审计跟踪、网络审计跟踪三种；从角色要求看，可分为系统操作。

审计、服务审计、通信审计、故障审计和事件审计等五类；从安全强度要求看，可分为自主型安全控制审计和强制性安全控制审计等两类。审计跟踪技术对打击和防范计算机犯罪具有重要意义。

黑客与防范。

第２期关启明：计算机网络安全与保密８７

．１要提高网络管理人员的素质，而不是去买一个如何先进的安全产品。

正如我们所知道的，很多管理员的安全技术业务水平还较薄弱（当然这与公司和单位对网络安全的投入力度有关），错误的配置和工作疏忽时有发生。例如对付ｓｙｎ的攻击，其实一些优秀的防火墙已经有防范的功能了。可是管理员没有很好地正。

确使用。如就有两种对付ｓｙｎ的方法，一种叫ｓｙｎ一种叫正确理解这两种防范的原理和适用性可以很好地防范ｓｙｎ攻击（当然对付分布式的攻击则要看在设计防火墙时所考虑的负荷能否满足现状）。还在配置ｓｎｍ简单网络管理协议）的时候，很多管理员（包括电信部门）使用了缺省的口令配置。

个技术很低的黑客利用一些现成的网管软件就可以把整个网络的拓扑情况搞得一清二。

楚，如主机和设备的分布类型、型号、端口状况、共享的目录、用户列表，ｉｐ地址的分布等等。更要命的是有可能拿到和修改网络设备、主机的配置清单从而令设备直接瘫痪。要。

知道如何保护这些信息不外泄，是国内外安全公司投入大量资金和人力研发各种安全产品时的一个重要目标。可是这部分的防范就被这个／ｊｖ的配置疏忽给彻底摧毁了。黑客得到这些宝贵的资料为下一步的入侵铺平了道路。

．２要经常查阅网络设备主机的安全性漏洞情况的发布并及时进行修补。

值得注意的是，有些漏洞的公布并不是由设备厂家先发现和发布的，因而要多留意国内外各大安全站点的最新发布，如等。可以这样说，绝大部分系统等）如果在大半年内没有更新安全补丁或修改系统安全参数，那么系统就可能被攻击。特别是一些非常。

流行的操作系统，如据专家分析，１３本**被黑客攻击的事件是属于机器受ｓｕｎ的远程溢出漏洞所导致的，而类似这样的溢出程序在ｉｎｔ上。

很容易得到，所以网络管理人员不断进行知识更新是非常重要的。３．要大力发展我国自己的安全产品和网络设备。

众所周知，我国目前使用的大部分网络产品和安全产品都被国外公司所垄断。虽然无可否认国外的安全产品其技术水平的确较高，不过发展民族产业才是我国真正摆脱受外国技术约束的唯一途径。而且一些外国公司（当然也包括我国自己的一些公司）在设计网络产品时没有抱着对用户负责的态度。

我们通过研究发现网络产品有不同程度的“后门密码”，这些“后门密码”不是黑客安装的，而是厂家由于各种所谓的理由（如厂家远程管理）而设置的，也就是说任何人如果知道这些设备特殊的密码都可以进入并修改设备参数。更为严重的是，这些“万能”密码居然没有在用户的设备文档**现，更不用说叫用户如何修改这些密码的参数了。例如，一个在交换机市场占有很大份额的国外著名。

厂商其多款交换设备都有严重的后门密码，黑客可以登录到设备修改参数或令设备根本无法正常运作，从而导致与其相连的所有服务器全部瘫痪。要知道，这些设备正大量地在我国的各大ｉｓｐ**公司、银行等行业使用，所以说我国的网络几乎没有安全可言。

．４要全面综合地设计网络的安全体系，包括缜密的网络安全拓扑设计、应用平台的选型、安全防护产品的选型、强有力的入侵检测（ｉｄ和漏洞扫描器、应急措施的制定、完善的人员管理制度、最坏情况的预先估计。

赫，—８河北理工学院学报第２卷。

保密安全管理。

．１将计算机保密管理纳入基础管理内容。

将计算机保密管理纳入基础管理内容，是保证安全的一项重要措施。要做好宣传教育工作，提高全体员工保守秘密的意识，增强他们保守秘密的责任感；要关心员工的工作、学习、生活，加大企事业单位的凝聚力和向心力，使员工有归宿感，从而一心一意为企事业单位服务；要建立健全相关的制度，并将计算机保密管理列入对相关人员的考核内容，强化保密责任；要与相关人员以及相关单位签订保密合同，使恶意泄密者和窃密者因此得到的利益远远小于可能遭受的损失，从而不敢轻举妄动。４．计算机存在的泄密隐患。

与传统的秘密载体相比，计算机能大量存贮、高速处理信息、但却存在诸多泄密隐患，主要包括：

１）机内资料可以在极短的时间内被复制、窃取而难以发现；

２）信息在网络上传输时容易被别有用心地截取；

３）窃密者可以通过乱撞乱碰或穷举的方法破解用户口令，一旦成功将为所欲为地窃取用户的资料；（４进口计算机软硬件常常留有“后门”，在计算机工作时会通过互联网将机内信息发到生产厂家总部；（５显示器上的**信号能在近三百米内被专用的电磁接收设备接收、还原。４．采取必要的技术防范措施。

涉密计算机系统在技术防范上要符合以下要求：

１）做到专人使用、专人管理，明确责任；

２）外修时必须先拆卸涉密磁盘或派人随机监督，防止涉密信息被修理人员窃取；（３设置有足够强度的口令（口令的字符数越多，越没规律，则强度越大。国家保密局规定。处理秘密级、机密级国家秘密的计算机，口令分别不得少于６个和８个字符，涉及商业秘密的计算机可以比照设置），并且要经常更换；

４）涉密信息加密后贮存、传输，使窃密者即使窃取到涉密信息也解读不出；。

５）配备干扰器，对计算机显示器发出的辐射信号进行干扰，使窃密者难以从被截获的辐射信号中还原出有效信息；（６与社会网在物理上隔断，以防被外部的“黑客”通过社会网入侵；

７）企事业单位内部的局域网要采取访问控制（不同类型的用户给予不同的存取权。

限）、审计跟踪（记录每个用户的每次活动）技术。

参考文献：１］刘宝旭；许榕生．黑客防范技术揭秘［ｍ］北京：机械工业出版社，，２

２］金桥电脑工作室．黑客防范宝典一网络的安全机密及对策［ｍ］北京：科学技术文献出版社密码学与网络安全一原理与实践［ｍ］北京；清华大学出版社等．网络安全机密与解决方案［ｍ］北京：清华大学出版社．２０鲍友仲．网络安全之防黑秘诀［ｍ］北京：

电子工业出版社．２０蒋平．计算机安全保安．［ｍ北京：金城出版社。２０

第２期关启明：计算机网络安全与保密８９

上接第７９页）

上接第８３页。

计算机网络安全与保密

计算机网络安全与防范

计算机网络安全与防范

计算机网络安全与防御

其他用户还读了