計算機網(wǎng)絡安全的主要隱患及管理措施分析

袁琳

摘 要：計算機網(wǎng)絡能夠得到應用必須解決其主要隱患。組建的計算機網(wǎng)絡中每一個節(jié)點可以自由移動，相比較常規(guī)網(wǎng)絡而言，計算機網(wǎng)絡更容易被攻擊者攻擊。該文闡述了計算機網(wǎng)絡的安全問題主要體現(xiàn)在哪些方面，對其安全技術(shù)進行了相應的分析，并針對網(wǎng)絡安全問題體現(xiàn)點做出了相應的解決對策。

關(guān)鍵詞：計算機網(wǎng)絡 安全隱患 管理措施 管理目標

中圖分類號：TP309 文獻標識碼：A 文章編號：1672-3791（2015）09（c）-0008-02

1 計算機網(wǎng)絡安全的主要隱患

1.1 網(wǎng)絡攻擊問題

計算機網(wǎng)絡通信時采用多跳路由，這使得傳輸?shù)南⒁?jīng)過多次路由才能到達目的節(jié)點，這樣容易被攻擊者攻擊，最常見的是攻擊者采用拒絕服務攻擊、信息攻擊等。信息攻擊時主要是信息竊取攻擊，主要方式有被動攻擊、信息冒充、主動入侵等。

1.2 身份識別問題

計算機網(wǎng)絡中節(jié)點數(shù)量多且節(jié)點具有移動性，使得節(jié)點間的關(guān)系與傳統(tǒng)網(wǎng)絡相比更加復雜，對節(jié)點的身份識別增加難度，通常采用認證策略解決對節(jié)點身份識別。在傳統(tǒng)網(wǎng)絡中使用CA認證模式成功對節(jié)點進行安全認證，但是由于計算機網(wǎng)絡的特點不能直接采用該認證策略。

1.3 秘鑰管理問題

計算機網(wǎng)絡中密鑰管理問題對于網(wǎng)絡安全非常重要。將信息進行加密后在網(wǎng)絡中傳輸可以保證數(shù)據(jù)的完整性、抗抵賴性。在加密時常用的加密機制有兩種：對稱加密機制和非對稱加密機制。當計算機網(wǎng)絡的規(guī)模較大時，網(wǎng)絡中的節(jié)點需要管理相當數(shù)量的密鑰數(shù)，這使得計算機網(wǎng)絡運轉(zhuǎn)比較困難。

1.4 訪問控制問題

為了保證網(wǎng)絡安全，需要確保不被非授權(quán)用戶訪問。保證網(wǎng)絡不被合法用戶訪問能夠提高網(wǎng)絡的安全性，主要表現(xiàn)在兩個方面：在應用層，非授權(quán)用戶即使獲得設(shè)備也不能正常使用該設(shè)備；在網(wǎng)絡層，需要確保非授權(quán)節(jié)點不能訪問網(wǎng)絡，保證網(wǎng)絡中用戶都是授權(quán)用戶。

1.5 節(jié)點間信任問題

通過大量的節(jié)點協(xié)作從而組建計算機網(wǎng)絡，這些節(jié)點容易被攻擊，甚至可能被俘獲，所以節(jié)點間需要建立信任機制。由于沒有可信任媒介，只能借助秘鑰解決信任問題。所以建立一個不依賴第三方可以產(chǎn)生可信任秘鑰成為一個解決問題突破口。

2 計算機網(wǎng)絡安全管理目標

2.1 可用性

建立的計算機網(wǎng)絡各種服務功能必須是可用的，能夠抵抗外界甚至內(nèi)部對網(wǎng)絡發(fā)起攻擊，并且能夠保證網(wǎng)絡在受到攻擊的情況下仍然能夠工作。網(wǎng)絡中最常見拒絕服務DOS 攻擊可以發(fā)生在計算機網(wǎng)絡的任何一層。計算機網(wǎng)絡的物理信道容易被攻擊者使用無線電干擾，導致媒體層與物理層受到攻擊；網(wǎng)絡層的攻擊一般通過攻擊設(shè)定的路由協(xié)議；高層的攻擊一般通過攻擊高層的服務。拒絕服務攻擊能夠消耗設(shè)備大量的能量，持續(xù)的攻擊會使得節(jié)點的能量耗盡，最終癱瘓網(wǎng)絡。

2.2 機密性

當節(jié)點欲加入計算機網(wǎng)絡時，對該節(jié)點進行安全認證，確保非授權(quán)用戶不能訪問網(wǎng)絡，從而保證了網(wǎng)絡中的數(shù)據(jù)信息、節(jié)點的信息等安全，達到網(wǎng)絡的機密性。在特殊情況下更是要保證機密性，如路由信息，戰(zhàn)場上采用計算機網(wǎng)絡組網(wǎng)通信時，路由信息泄露將危及到該節(jié)點的位置和標識。

2.3 完整性

信息在通信過程中要保證沒有被修改過、傳輸丟失等情況發(fā)生，需要采用校驗機制和重發(fā)機制對傳輸?shù)臄?shù)據(jù)進行校驗。特別是在復雜環(huán)境里布置大規(guī)模計算機網(wǎng)絡，比如在戰(zhàn)場上部署的軍隊，對方也在覆蓋的區(qū)域內(nèi)，敵手可以輕易架設(shè)各種干擾設(shè)備進行干擾，這樣會大大影響計算機網(wǎng)絡中信息交流。

2.4 安全認證

采用認證往往只能夠證明該設(shè)備是合法設(shè)備，不能夠證明使用設(shè)備的人員是合法使用者。因此建立的認證算法要能夠以較小的開銷認證使用者以及設(shè)備。

2.5 抗抵賴性

抗抵賴性能夠有效的防止內(nèi)部攻擊。節(jié)點發(fā)出的信息不能通過一定的措施否認、掩蓋其發(fā)出內(nèi)容。在檢查和孤立的被俘獲節(jié)點有非常重要意義，當節(jié)點 A 收到被俘獲的節(jié)點 B 發(fā)送的錯誤信息，節(jié)點 A 將節(jié)點 B 被俘獲的信息傳播給其他節(jié)點。

3 應急移動計算機網(wǎng)絡安全管理措施分析

對需要加入計算機網(wǎng)絡的節(jié)點進行安全認證，能夠有效的防止非授權(quán)用戶訪問網(wǎng)絡，提高網(wǎng)絡的安全性。但是在計算機網(wǎng)絡中沒有可信中心，這樣對網(wǎng)絡中的節(jié)點進行安全認證必須借助于某種安全認證模型，有學者已經(jīng)詳細討論了適合在計算機網(wǎng)絡中使用的安全認證模型，對于大規(guī)模布置的計算機網(wǎng)絡，分布式認證模型所具有的良好可擴展性適合在計算機網(wǎng)絡中使用。

基于口令的安全認證方案已經(jīng)在多種安全認證環(huán)境中得到廣泛的應用，具有使用者記憶方便、可修改性、保密性強等諸多的優(yōu)點，基于口令的遠程安全認證方案由Lamport 于 1981 年首先提出，該方案將用戶的口令表存儲在遠程服務器端，在安全認證時調(diào)用該口令表，但是該口令表容易被攻擊，而且隨著口令表的增長，服務器將要花費很大的開銷來維護口令表的安全。在 2000 年，Hwang 和 Li 提出了一個新的 H-L 方案，該方案的安全性只需要在服務器端維護唯一的秘鑰來代替密碼表；但是該方案用戶不能隨機選擇口令，用戶的口令需要根據(jù)秘鑰以及用戶身份來生成，而且該口令比較長，達到1 024位。2002 年，Chieu和Wu 提出一個新的 C-W 方案，用戶可以自己選擇登陸口令，并且遠程服務器不再需要保存口令表，同時在認證過程中只需要進行一次信息傳輸；但是用戶容易記得的口令長度一般較短，故容易被攻擊者利用字典攻擊破解口令。

基于 PKI 的方法在有線網(wǎng)絡中安全認證得到很到的應用，通常借助一個全局的可信權(quán)威認證中心 CA 來給相應的節(jié)點分發(fā)和撤銷證書，當網(wǎng)絡中的認證中心 CA 被攻擊者俘獲，整個網(wǎng)絡將可能崩潰；將 PKI 秘鑰管理機制應用到移動計算機網(wǎng)絡中，利用門限加密思想可以解決 PKI 中只有一個 CA 的問題，即將分布式秘鑰管理方法引入到計算機網(wǎng)絡中。在布置的應急移動計算機網(wǎng)絡中的節(jié)點一般能量、存儲能力有限，不能應用比較復雜的計算來進行安全認證，從而保證節(jié)點使用的可持續(xù)性。認證加密的核心思想就是，在不安全的信道上消息認證者運用加密算法將消息加密后，通過認證的方式將加密后的消息發(fā)送給大量接受者，其中只有擁有認證者授權(quán)的用戶才可以解密所認證的消息。

4 結(jié)語

如今計算機網(wǎng)絡技術(shù)的主要問題是網(wǎng)絡環(huán)境下的安全和可信度，是怎樣解決網(wǎng)絡的個人隱私信息以及敏感數(shù)據(jù)的遺失和泄露等問題，是網(wǎng)絡服務提供商的職責所在。所以必須對計算機網(wǎng)絡安全風險進行全面地評估，積極構(gòu)建起信息安全體系，保護網(wǎng)絡安全，為我國信息化建設(shè)提供技術(shù)保證與安全支持。

參考文獻

[1] 劉建波.“云計算”環(huán)境中的網(wǎng)絡安全策略分析[J].中國科技投資，2012（21）：48.

[2] 劉伊玲.基于“云計算”環(huán)境下的網(wǎng)絡安全策略初探[J].科技創(chuàng)新與應用2013（10Z）：40.

[3] 彭沙沙，張紅梅，卞東亮.計算機網(wǎng)絡安全分析研究[J].現(xiàn)代電子技術(shù)，2012（4）：109-112.