文档介绍:安全策略防范恶意攻击
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机 网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易 受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和防止用户越权操作;确保计 算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机 控制室和各种偷窃、破坏活动的发生。
抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防 护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波 器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以 下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机 房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工 作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机 系统的工作频率和信息特征。
2访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使 用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相 互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。 下面我们分述各种访问控制策略。
入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并 获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、 用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输 入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户 输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口 令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是 数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方 法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密, 基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。 经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令, 也可用便携式验证器(如智能卡)来验证用户的身份。
网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名 或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。 用户口令应是每用户访问网络所必须提交的”证件”、用户可以修改自己的口令,但系统管理 员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口 令的唯一性、口令过期失效后允许入网的宽限次数。
用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用 户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络 的访问”资费”用尽时,网络还应能