公务员期刊网 论文中心 正文

计算机介布式系统网络安全研究

计算机介布式系统网络安全研究

1分布式系统的细分

1.1非连接的局域网

许多建立在非连接局域网上的系统通常只对组织的会员开放,所以说网络的使用者是有限的。显而易见的是,与连接的局域网相比之下,非连接的局域网潜在的威胁少,因此安全隐患也相对少了很多。常言道:家贼难防,其最大的隐患在于组织内部会员的访问,他们往往最了解系统的工作流程,最清楚系统的弱点,因此,他们中的任何一个都有能成为非连接局域网的巨大威胁。有些情况下,你以为你的局域网是安全的,以为网络上只有你们几个相互熟悉、可以信赖的用户,可谁都不知道或许某个人在计算机上都安装了调制解调器,这时非连接网络的潜在威胁也就暴露了:在不知情的情况下,你以为网络已经安全地与外部连接上了,其实早已不再安全。

1.2与外部连接的局域网

与外部连接的局域网通常由全连接的局域网和部分连接的局域网构成。全连接的局域网与外界有无缝接口,而部分连接的局域网则需要组织内部自己独特的访问技术和方法,与外界流行的局域网技术不同。例如:某人利用安装了调制解调器的计算机访问这个网络,就相当于电话线访问网络,包含着访问该网络的一些权限限制,这就构成了一个部分连接的局域网。因此,世界上任何一个地方的威胁都可能成为它的致命隐患,毕竟网际没有法律和警察去制约某些资源的访问。与外部链接的局域网通俗来讲是局域网和部分不受该组织控制的另外的网络相连接。与外部链接的局域网和非连接的局域网的区别之一是:与外部链接的局域网面临的潜在的威胁更多,包括组织内部也包括网络外部的网际参与者。

2分布式系统的网络安全策略

2.1使用防火墙:最常用的网络安全技术

防火墙的建设意味着在连接局域网和外部网络的路由器上安装了一个过滤网,可以通过的只有那些符合规定的“包裹”。控制端口间的访问是防火墙的关键。就好像我们通过路由器的设置将来自外界想通过此端口的访问包都过滤掉,以关闭外来的TELNET。网络管理员建立一张有关允许与不允许访问的端口号表得到了绝大多数供应商的支持。此项安全技术可以使网络管理员不必访问组织内部用户计算机,而提高了系统的安全性。简言之就是:通过防火墙的保护,组织内部用户就可以自由地安装他们想要的计算机配置。但值得注意的是,足够的自由意味着网络的不可访问。对于一个组织,并不是没有考虑到网络连接的安全性,可安全这一因素显然不是最重要的。为了更加便利地在与外界沟通的过程中实现信息交流,了解防火墙的配置,使其很好地达到这一目标便显得尤为重要。你若要实现防火墙内外的机器可以互相分析和通讯,则需要一种协议的传输,这种协议必须有网络的支持,尤其是和TCP的端口的域名系统协议。这样一来,外部机器便可对相应姓名的内部机器进行DNS服务器访问。其实想实现防火墙不难,最普遍的方法是拒绝绝大部分外部机器发出的连接要求。当然,除了个别特例,像是必须限制墙内的机器向外发起的连接外,说不定所期待连接上的机器也会带来毁灭性的伤害。

2.2防火墙的另外一个成本是机会成本

电子邮件的用途广泛、使用便捷,所以能作为唯一许可协议被要求苛刻的防火墙所接受。防火墙把其他所有的协议都拒之门外,使得公司员工每日只能访问往日的网站,与那些等待被挖掘价值的新颖的网站相隔绝,不仅压抑了工作氛围,而且降低了网络的价值。在这种情况下,网络管理人员经过重新包装,让网关和防火墙再一次不完美结合。虽是不完美,其实对于正常情况下人们的使用已是足够。利用网关与防火墙结合,可以设置一个特定的机器在信息输送途中遭遇阻塞时作为一个收发电子邮件、远程登录、文件传输的点。这样一来,哪怕在不安全局域网登录,即使管理员不能为每一台机器配置好合理的软件,我们所处的网络也是安全的。

3虚拟私人网络(VirtualPrivateNetworks)

网络的发达使得网上通讯成为公司及组织之间交流和探讨的有效途径。很多情况是为了和特定的人群进行通讯,有些组织只是关注了特定地区和网络。虚拟私人网络此时便可以很好地应用于他们身上。这就好像为通讯双方设立了一条私人的、虚拟的电路,电路这端是组织本身,那一端则是防火墙允许的指定的路由器,不仅实现了一对多,并且保证了被封装在IP包中数据在传输过程中的安全。当然,有些问题仍是有疑虑的,要知道,这世上尤其是在网络世界中是没有绝对的安全。在为所要保护的信息付出精力和时间之前,我们需要了解其真正的价值和地位,就像为了运送一件古董,必须事先知道它的年代和价值才能为其投入相搭配的保险金额。所以,如今的社会网络建设和安全工作,在本质上不可能存在真正意义上的万无一失,只能在力所能及的范围内不断加强相关建设,最大限度地防范风险。

作者:梁国玲 单位:大兴安岭林业集团公司绿色产业发展处