浅谈计算机网络安全策略-1

浅谈计算机网络安全策略【摘要】Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击，同时也产生了网络信息与安全的问题，因此计算机的安全性成了人们讨论的主要话题之一。本文从介绍计算机网络安全的背景和概念开始，对计算机网络安全的现状进行了分析，从企业网络安全角度浅谈了下网络安全策略，并提出了当前的网络安全问题，最后展望了下计算机网络安全的发展前景。【关键词】网络安全；策略浅谈计算机网络安全策略一、背景21世纪的重要特征是数字化、网络化和信息化，这是一个以网络为核心的信息时代。Internet的飞速发展给人类社会的科学与技术带来了巨大的推动与冲击，同时也产生了网络信息与安全的问题。计算机网络是一个开放和自由的网络，它大大增强了网络信息服务灵活性，也给黑客攻击和入侵敞开了方便之门。据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾，计算机的安全性成了人们讨论的主要话题之一。在计算机网络日益扩展和普及的今天，计算机安全的要求更高，涉及面更广。不但要求防治病毒，还要提高系统抵抗外来非法黑客入侵的能力，还要提高对远程数据传输的保密性，避免在传输途中遭受非法窃取。二、计算机网络安全相关概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全包括网络设备的运行安全和在其上运行的数据信息的安全。威胁到这两方面安全的因素很多，可能是人为的，．鱼可能是非人为的，归纳起来主要有以下几种：一是自然造成的设备损坏、线路阻断等；二是操作人员的失误造成的数据丢失、设备损坏等一三是来网络内部或外部的恶意攻击和入侵。其中最后一种是计算机网络安全面临的最大威胁，也是网络安全策略最需要解决的问题。引起网络攻击的原因多种多样，政治事件、企业之间的竞争、员工发泄对企业的不满或者单纯就是为了炫耀技术都可能成为网络攻击的动机。近几年来出于政治目的和经济目的的攻击日益增多，严重威胁了国家、企业和个人的机密信息安全和经济利益。例如2006年底的“熊猫烧香”病毒和2009年年初的“灰鸽子”病毒都通过盗取他人的账号牟利，有很强的经济目的。三、计算机网络安全的现状分析网络世界没有绝对的安全。据权威资料统计，2012年国内网络诈骗金额超过2800亿元、受骗人数达2.57亿，近五成的网民成为网络诈骗的受害者。以网络诈骗为代表的网络犯罪对网民财产安全造成极大威胁，也对国内网络信息安全厂商提出了严峻挑战。（一）“恶意网站”成主要安全威胁据《2012年个人网络安全年度报告》报告显示：2012年国内每月新增木马病毒达6千多万，木马仍是个人网络安全的首要威胁之一。于此同时，网络钓鱼等“恶意网站”在全球范围内变得的非常猖獗，数量急剧飙升。从犯罪动机上来看，网络安全犯罪正显示出更强的趋利性。在PC端上，50%的主流木马是以获取经济利益为导向，如盗号、恶意广告推广；同样，在PC端拦截的75%恶意URL属于虚假网络购物网站。（二）社交网络与色情站点成主要传播渠道2012年日均有12.5%电脑遭遇恶意网站，即每8台电脑中约有一台中招。恶意网站主要通过微博等社交媒体平台、即时通讯工具进行传播，在全年恶意网站传播中占比27.4%，其传播隐蔽性正在提升，而安全防御难度也随之增加。于此同时，随着恶意虚假广告日益成为色情站长营收手段，色情站点及色情下载捆绑，仍是恶意网站及木马的主要传播渠道，传播占比22.7%。色情和盗版视频网站吸引了大量网民，下载观看这些视频往往被要求安装某款特定“播放器”，而其中已经被捆绑“色播”病毒，其对用户上网安全的危害主要体现在盗号、劫持浏览器、弹出广告、远程控制等不同方面。（三）安全支付是网民首要担忧据《2012年个人网络安全年度报告》数据，67%的网民认为网络支付是互联网核心安全问题，位列最受关注的网络安全话题首位。在2012年拦截的恶意URL上，网上虚假购物占据了所有拦截的75%，主要包括虚假成人药品、虚假保健品、虚假二手车交易网、虚假金融网站，及各类电商仿冒网站等。另外，更为高明的社会工程学攻击，显示出极大的破坏力。据不完全统计，2012年中国互联网的社会工程学攻击，对于用户造成的损失金额超过百亿。其中在网络购物、网上找工作、网上交友聊天等个典型场景中是社会工程学攻击的重灾区。（四）“个人隐私安全”亟待立法保护据《2012年个人网络安全年度报告》显示，最受网民关注网络安全问题是“网络支付不安全”，其次是“个人信息被泄漏”和“账号被盗取”。不过，有意思的是，在网络安全担忧方面，男性与女性有着明显差别。“个人信息被泄露”在男性网民心目中排名第三，而在女性网民心目中高居第二。也就是说，女人比男人更害怕隐私泄露。随着“电商用户信息遭集体泄漏”、“360涉嫌窃取用户隐私”、“快递公司被疑快递单信息被泄露”等一系列安全事件的爆发，引爆了网民对“个人隐私安全”的异常关注。关于如何应对个人隐私保护，高达79.9%的网民首选通过“网络立法”改善个人隐私泄露现状。网民呼吁政府在《关于加强网络信息保护的决定》的基础上，通过对源头和行业发展层面规范立法解决网络威胁。调查显示，82.3%网民期待能加大对“恶意程序或网站开发者”等源头的惩罚力度，70.2%网民期待立法明确“网络服务商和用户”对网络威胁的权责。四、计算机网络安全策略毛主席语录中写道：“政策和策略是党的生命，各级领导同志务必充分注意，万万不可粗心大意。”物类相通，对于网络安全策略来说，我也有相似的感觉。为了抵御网络攻击，保护网络安全，现在几乎所有的网络信息系统都装备了各式各样的网络安全设施，诸如：加密设备、防火墙、入侵检测系统、漏洞扫描、防治病毒软件、VPN、安全认证系统、安全审计系统……等等。有人形象地称它们为网络安全的十八般兵器，但是，搞好网络安全光拥有这些兵器是不够的，必须重视安全策略。安全策略是网络安全的生命，是灵魂。没有正确安全策略的安全系统就像没有灵魂的躯壳，是不能够完成保障安全的使命的。网络安全是个大舞台，在此，我浅谈一下适用于企业的网络安全策略。一个企业，其网络是随着生产需求量的增大而进行网络的增大。企业越大，计算机会相应越多。对于这么一个庞大的计算机群，无论是硬件还是软件，如果不加以策略设置，只依靠默认值的话，那么只能在普通设置的基础之上存在外表上的威摄，而无法做到真实意义上的封阻。如果加以整体良好的策略管理，可以在其中很快的发现威胁问题以及隐藏的网络安全问题，并可以尽快的做出调节，让危险远离，从而保证企业网络安全。（一）企业网络安全管理策略可以分为三段作为企业网络管理人员，可以根据自己企业的网络情况将网络策略分为三段：预发段、上报段以及防堵段。从这三段策略上可以将一件入侵事件完整的分析出来，以便于正常安防工作的开展。1、预发段策略这里指的是前沿策略，当网络边界受到攻击或入侵时，则处在边界处的安全策略首先会被引发，这段策略是否被破坏则需要企业网络管理人员根据日志情况进行分析。2、上报段策略当企业网管人员在日志中发现漏洞情况后，就需要即时的报告给顶头部门，让企业网络安全决策层立即作出针对策略事件的回应。3、防堵段策略企业网络在收到顶头部门反馈回来的建议后，立即变动并启动相应的预备策略，以对入侵者进行更高层次的拦截。（二）企业硬策略设定从硬件设备上来讲，企业使用最多的当属UTM安全网关了。UTM不光集成了硬件防火墙，而且还有检测等功能。由于UTM位于企业的网络边界处，因此对此的策略设置就应得十分重要。在配置UTM总体策略时企业网管在防火墙中配置策略时一定要注意以下几点：1、在UTM中要需开启企业进出网络需要的服务即端口，其它无用的则新建策略进行统一关闭。例如：如果不用SSH或SNMP则关闭。2、防火墙的拦阻规则进行确立设定时，必须将重要的策略放在前端，将次要的放在未端依次排列，因为防火墙策略是至上而下执行的，这样可以达到重策略先行运转的目的。3、在UTM日志系统中应该只开启需要的记录日志，对于不必要的流量分析日志可以进行关闭，尽量优化防火墙内存使用率，以减少设备负担，达到平稳高速的性能。例如：防火墙事件分析(开启)。删除不用的DHCP服务，取消不用的DNS转发服务等。4、设置好防病毒网关的升级周期问题，并且详细设置IPS入侵防御参数中的动作集，在设置时要减少permit或nofity或tracert这三项的出现，多增加block动作才是实施IPS防范入侵的关键。以达最大限度的发挥IPS与防病毒网关共同容合的目的。例如permit容许通过；notify通知用户；tracert追踪数据包；block阻止数据通过等。其实说白了，在UTM中很多策略都是集成的，企业网管只有在此基础之上再根据自身企业情况进行策略删、加、改才能实现工作上的快、管、准。（三）企业软策略设定在企业软环境策略设定上，要注重各部门之间应有的权限策略、密码策略以及行为规范策略。只有三种软策略之间的相互调节与配合，才能实现内网无忧从而保证企业机密资料周全。1、权限策略在这点上需要做到各部门之间各行其事，对于机密文件的访问需要主管授权，而非任何人随意能翻阅重要文件或进入重要的服务器，以保证机密掌握在少数人之手，不扩散的目的。2、密码策略很明显，为企业机密资料加上密码，让授权的用户不光拥有合法进入的通道，而且在打开时必须要输入密码，以防止别有用心的员工在处心积虑的得到用户通道后而进行随意浏览或拷贝重要文件的目的。3、行为规范策略在企业中无论是部门员工或是企业网管，都不得越权操作，例如：在未经决策部门充许的情况下，企业网管帮XX部门私下开通临时通道，让其能访问外网或重要数据库；部门主管在因事外出的情况下将私有的通道与授权交于不相关的部门等。企业只需通过上述三点软策略大方向的设置，即能保证内网数据的安全问题。而对于外网而来的入侵者，则需要硬、软两方面的策略与硬件行为上的功能来实现安全保障了。五、计算机网络安全存在的问题（一）网络系统本身存在的安全问题1、系统漏洞网络系统本身存在的安全问题主要来自系统漏洞带来的威胁。系统漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，系统漏洞对网络安全带来的威胁是不可估量的，而各种网络软件都不可避免存在缺陷和漏洞，甚至安全工具本身也避免不了有安全漏洞的存在，如果计算机网络缺乏安全控制，攻击者有可能通过网络系统的漏洞，使自己具有管理员的权限，从而任意改变网络系统的设置，给用户带来不良影响，软件公司的编程人员为了方便维护而设置“后门”，但是我们常用的安全工具很少会考虑网络系统“后门”的因素，所以当黑客恶意入侵网络系统的“后门”，很容易通过防火墙的限制，并且不易被用户发现，因此，网络系统的“后门”也是安全隐患之一，一旦“后门”被黑客利用，就会给用户带来损失。2、移动存储介质移动存储介质比如U盘、移动硬盘等，由于其自身具有方便小巧、存储量大、通用性强、易携带等特点，应用比较广泛，尤其是涉密单位，这给网络系统的信息安全造成很大的隐患。如有的不知道U盘、移动硬盘上删除的文件能够还原，将曾经存贮过私密信息的U盘外借，造成信息的泄露。（二）网络系统外部存在的问题1、黑客的攻击黑客能熟练使用各种计算机技术和软件，尤其善于发现计算机网络系统自身存在的系统漏洞，并当成被攻击的目标或途径，直接威胁到网络安全系统。目前，黑客攻击计算机网络的事件屡见不鲜。2、计算机病毒的攻击计算机病毒是指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。由于计算机病毒具有蔓延快、范围广，还具有隐蔽性和破坏性等特点，一旦计算机感染上病毒后，轻者造成文件或