网络安全的技术保障与法律保障_防火墙论文

网络安全的技术保障与法律保障,本文主要内容关键词为:网络安全论文,技术保障论文,法律论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

一、网络安全问题的提出

早期计算机网络的作用,是共享数据并促进大学、政府研究和开发机构、军事部门的科学研究工作。那时制定的网络协议,几乎没有注意到安全性问题。因为许可进入网络的单位都被认定为是可靠的和可以信赖的,并且已经参与研究和共享数据。然而,当1991年美国国家科学基金会(NSF)取消了互联网上不允许商业活动的限制后,越来越多的公司、企业、商业机构、银行和个人进入互联网络,利用其资源和服务进行商业活动,网络安全问题就突现出来。每个厂商都有一些不能为外人或竞争者知道的信息和数据,如特定的单证、交易金额、销售计划、客户名单等,他们不希望外部用户访问这些信息和数据。但是,计算机窃贼或破坏者却千方百计闯入互联网络和主计算机,盗用数据、破坏资源、制造事端。有时,善意的用户也可能会在网络中偶然获取到厂商暴露的信息和数据,尤其是在某些计算机系统缺乏安全保障措施时。在这种情况下,计算机网络安全技术应运而生,以满足这种发展中的需要,使得网络用户在获取同全球网络连接的好处的同时,保证其专用信息及资产的安全。

一个良好的网络安全系统,不仅应当能够防范恶意的无关人员,而且应当能够防止专有数据和服务程序的偶然泄露,同时不需要内部用户都成为安全专家。设置这样一个系统,用户才能够在其内部资源得到保护的安全环境下,享受访问公用网络的好处。

目前,互联网上使用的基本安全系统是防火墙系统,配合使用的还有数据加密技术和智能卡技术。本文着重分析防火墙系统的作用和存在的问题,并试图从法律角度提出若干保障措施以弥补技术保障措施的不足。

二、防火墙的作用

防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合、使互联网(Internet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成,其基本工作原理如图所示。

防火墙方法有助于提高计算机主系统总体的安全性,因而可使联网用户获得许多好处。

1.防止易受攻击的服务

防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经过选择的协议通过防火墙,因此,子网网络环境可经受较少的外部攻击。

例如,防火墙可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可以防护这些服务不会被外部攻击者利用,而同时允许在大大降低外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到共用,并用来减轻主系统的管理负担。

防火墙还可以防护基于路由选择的攻击,如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。

2.控制访问网点系统

防火墙还有能力控制对网点系统的访问。例如,某些主系统可以由外部网络访问,而其他主系统则能有效地封闭起来,防止非法访问。除了邮件服务器或信息服务器等特殊情况外,网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。

3.集中安全性

对一个机构来说,防火墙实际上可能并不昂贵,因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上,而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上,而不是放在每个需要从Internet访问的系统上。

其他的网络安全性解决方案,如Kerberos(NIST94C)要对每个主系统进行修改。尽管Kerberos和其他技术有许多优点值得考虑,而且在某些情况下比防火墙适实用,但是防火墙往往更便于实施,因为只有防火墙需要运行专门的软件。

4.增强的保密

保密对某些网点是非常重要的,因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后,某些网点希望封锁某些服务,如Finger和域名服务。Finger显示有关用户的信息,如最后注册时间、邮件有没有被访问等等。但是,Finger也可能把有关用户的信息泄露给攻击者,所以,防火墙系统不可缺少。

防火墙还可以用来封锁有关网点系统DNS信息。因此,网点系统名字和IP地址都不必提供给Internet主系统。有些网点认为,通过封锁这种信息,它们正在把对攻击者有用的信息隐藏起来。

5.有关网络使用、滥用的记录和统计

如果对Internet的往返访问都通过防火墙,那么,防火墙可以记录各次访问,并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报,则还可以提供防火墙和网络是否受到试探或攻击的细节,并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要,还因为它可作为网络需求研究和风险分析的依据。

三、防火墙存在的问题

尽管防火墙方案有上述这些优点,但它不一定是Internet安全性问题的灵丹妙药,因为其本身也存在许多缺点,而且有很多事情是防火墙所不能防护的。

1.限制利用合乎需要的服务

防火墙最明显的缺点是它可能封锁用户所需的某些服务,如TELNET、FTP、XWindows、NFS等。但这一缺点并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。一个能使安全性要求同用户需要保持平衡的、规划得当的安全性政策可以大大有助于缓解与减少利用服务有关的问题。

2.后门访问的广泛可能性

防火墙不能防护从后门进入网点。例如,如果对调制解调器不加限制,仍然许可访问由防火墙保护的网点,那么,攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP(串行线IP)和PPP(点对点协议)切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调器从后门访问,那么,前门的防火墙又有什么用呢?

3.几乎不能防护内部人员的攻击

虽然防火墙可以用来防护局外人获取灵敏的数据,但它不能防止内部人员将数据拷贝到磁带上,并把数据带出设施。因此,认为有了防火墙就可以防护内部人员的攻击是错误的。如果忽略其他窃取数据或攻击系统的手段,把大量资源存放在防火墙上也是不明智的。

4.其他问题

新的信息服务器和客户机——新的信息服务器和客户机,如World Wide Web(WWW)、Gopher、WAIS等,不宜实施防火墙政策,很有可能遭到数据驱动的攻击。因为这些微机处理的数据可能包含发出的各种指令,这些指令可能告诉攻击者更改访问控制和主系统上与安全有关的重要文件。

MBONE——视频和话音用多址IP传输封装在其他信息包内,防火墙一般在不检查包内容的情况下将这些信息包转发出去。如果信息包含有更改安全性控制措施并认可入侵者的命令的话,那么,MBONE传输就是一种潜在的威胁。

病毒——防火墙不能防止用户从Internet归档文件中下装受病毒感染的个人机程序,或把这些程序附加到电子函件上传输出去。由于这些程序可能以各种方法编码或压缩,因而防火墙不能精确地对这些程序进行扫描来搜寻病毒特征。病毒问题仍然存在,而且必须用其他政策和抗病毒控制措施进行处理。

吞吐量——防火墙是一种潜在的瓶颈,所有的连接都必须通过防火墙,许多信息都要经过检查,信息的传递可能要受到传输速率的影响。

集中性——防火墙系统把安全性集中在一点上,而不是把它分布在各系统间,防火墙受损可能会对子网上其他保护不力的系统造成巨大的损害。

四、法律保障的措施

很明显,单纯的技术保障措施难以完全保证网络运行的安全,相应的法律保障措施必不可少。目前。各国政府纷纷出台各种法律规定,规范网络行为,以保证网络体系的整体安全。我们政府也已颁布了《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机网络国际联网管理暂行规定》等一系列安全法规。认真落实这些强制性的安全措施,就能够为计算机信息系统提供良好的运作环境。

1.加强国际互联网出入信道的管理

《中华人民共和国计算机网络国际联网管理暂行规定》规定,我国境内的计算机互联网必须使用国家公用电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其他信道进行国际联网。除国际出入口局作为国家总关口外,邮电部还将中国公用计算机互联网划分为全国骨干网和各省、市、自治区接入网进行分层管理,以便对入网信息进行有效的过滤、隔离和监测。

2.市场准入制度

《中华人民共和国计算机网络国际联网管理暂行规定》规定了从事国际互联网经营活动和从事非经营活动的接入单位必须具备的条件:

(1)是依法设立的企业法人或者事业单位;

(2)具备相应的计算机信息网络、装备以及相应的技术人员和管理人员;

(3)具备健全的安全保密管理制度和技术保护措施;

(4)符合法律和国务院规定的其他条件。

《中华人民共和国计算机信息系统安全保护条例》规定,进行国际联网的计算机信息系统,有计算机信息系统的使用单位报省级以上的人民政府公安机关备案。

3.安全责任

从事国际互联网业务的单位和个人,应当遵守国家有关法律、行政法规、严格执行安全保密制度,不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。

计算机网络系统运行管理部门必须设有安全组织或安全负责人,其基本职责包括:保障本部门计算机网络的安全运行;制定安全管理的方案和规章制度;定期检察安全规章制度的执行情况,负责系统工作人员的安全教育和管理;收集安全记录,及时发现薄弱环节并提出改进措施;向安全监督机关和上一级主管部门报告本系统的安全情况。

每个工作站和每个终端都要建立健全网络操作的各项制度,加强对内部操作人员的安全教育和监督,严格网络工作人员的操作职责,加强密码、口令和授权的管理,及时更换有关密码、口令,重视软件和数据库的管理和维护工作,加强对磁盘文件和软盘的发放和保管,禁止在网上使用非法软件、软盘。

网络用户也应提高安全意识,注意保守秘密,并应对自己的资金、文件、情报等机要事宜经常检查,杜绝漏洞。

网络系统安全保障是一个复杂的系统工程,它涉及诸多方面,包括技术、设备、各类人员、管理制度、法律调整等,需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列不尽相同的保护措施。只有将技术保障措施和法律保障措施密切结合起来,才能实现安全性,保证我国计算机网络健康发展。

标签:;  ;  ;  ;  ;  ;  ;  ;  

网络安全的技术保障与法律保障_防火墙论文
下载Doc文档

猜你喜欢