應對計算機網(wǎng)絡安全技術與措施

摘要：隨著計算機網(wǎng)絡的廣泛應用，計算機網(wǎng)絡安全問題已經(jīng)非常突出，必須采取有力的措施來保證計算機網(wǎng)絡的安全。本文就計算機網(wǎng)絡安全管理的主要技術、方法和措施給予簡單介紹。

關鍵詞：計算機；網(wǎng)絡安全；技術；措施

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2012) 07-0000-02

隨著計算機網(wǎng)絡技術的飛速發(fā)展，計算機網(wǎng)絡已經(jīng)深入到社會生活的各個方面。計算機網(wǎng)絡促進了社會經(jīng)濟的發(fā)展，給人們的生活、工作、學生帶來極大便利的同進也面臨著嚴重的安全問題?，F(xiàn)綜合考慮計算機網(wǎng)絡安全中的人、管理和技術三要素，分別介紹和分析應對計算機網(wǎng)絡安全管理的主要技術、方法和措施：

一、物理安全

企業(yè)網(wǎng)絡安全中，人們必須首先關心的是網(wǎng)絡和主機的物理安全。物理安全主要包括環(huán)境安全、設備安全和介質安全三個方面。

環(huán)境因素主要包括：地理位置、電力供應系統(tǒng)、電磁輻射與屏蔽、無線網(wǎng)絡環(huán)境、區(qū)域保護等應對其他災害。比如服務器要保證合適的環(huán)境溫度，過高的溫度將會影響CPU和存儲系統(tǒng)的工作，而過低的溫度將會對電磁設備產(chǎn)生影響；濕度也是一樣，過高易引起短路，過低則易引起靜電。設備安全主要指網(wǎng)絡物理實體做到防范各種自然災害，如防雷、防火等，物理實體能夠抵抗各種物理臨近攻擊；比如防雷系統(tǒng)不僅要考慮建筑物防雷、還必須考慮計算機和其他弱電耐壓設備的防雷。介質安全包括存儲數(shù)據(jù)的安全及存儲介質本身的安全?？偟膩碚f，物理安全所要面對的威脅包括地震、水災、火災、雷擊等自然災害，以及盜竊、通信干擾、信號注入等人為破壞等。

解決物理安全的方法很多，只要依據(jù)相關的標準，同時管理人員素質等。利用物理手段保證訪問的控制的方式很多，比如可以設置物理屏障。物理屏障可以是墻、門、窗、鎖柜等，也可是警衛(wèi)、警報器、監(jiān)視器和熱敏探測器，或使用身份識別卡、智能身份識別卡，硬件令牌、生物識別技術等進行身份驗證，或者幾種方式聯(lián)合使用。一般而言，對一個安全要求較高的主機來說，至少需要布置三層不同的物理屏障。

二、安全隔離

在計算機網(wǎng)絡安全管理中，隔離是最有效的一種管理方法。目前為止，有采用完全獨立的設備、存儲和線路來訪問不同的網(wǎng)絡，做到完全的物理隔離；有通過硬件控制獨立存儲和分時共享設備與線路來實現(xiàn)對不同網(wǎng)絡的訪問的硬件卡隔離；利用轉播系統(tǒng)分時復制文件的途徑實現(xiàn)數(shù)據(jù)轉播隔離；利用單刀雙擲開關，通過內外部網(wǎng)絡分時訪問臨時緩存器來完成數(shù)據(jù)交換的空氣開關隔離；利用專用通信硬件和專有交換協(xié)議等安全機制來實現(xiàn)的安全通道隔離；還有物理隔離，其目的就是實現(xiàn)內外網(wǎng)信息的隔離。物理隔離的實現(xiàn)方案通常包括客戶端選擇設備和網(wǎng)絡選擇器，用戶通過開關設備或通過鍵盤來控制客戶端選擇不同的存儲介質。也可以設置訪問控制來實現(xiàn)隔離，訪問控制主要是通過防火墻，交換機或路由器的使用來實現(xiàn)。防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一，通過制定嚴格的安全策略，防火墻可以對內外網(wǎng)絡或內部網(wǎng)絡不同信任域之間進行隔離。防火墻提供的NAT功能，也可以起到網(wǎng)段隔離的作用。根據(jù)處理數(shù)據(jù)的方式，防火墻通?？煞譃橹鳈C防火墻、包過濾防火墻、電路層防火墻、應用代理防火墻，狀態(tài)檢測防火墻等幾類。

三、加密技術

數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)字數(shù)據(jù)（明文），按照加密算法變換成與明文完全不同的數(shù)字數(shù)據(jù)（密文）的過程。利用數(shù)據(jù)加密技術，對網(wǎng)絡信道中傳輸?shù)母黝愋畔⑦M行加密處理，以確保信息的安全性。目前加密通道可以建立在數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層甚至應用層。而加密體制分為傳統(tǒng)的密碼體制、對稱密鑰加密體制、非對稱密鑰加密體制。傳統(tǒng)的密碼體制包括以隱寫術而熟知的古典加密、以密碼本為代表的代替密碼及換位密碼、轉輪密碼四種；基于密碼算法的數(shù)據(jù)加密技術是所有網(wǎng)絡上的通信安全所依賴的基本技術。目前流行的一些對稱密鑰加密算法包括：DES、3-DES、AES、IDEA、BlowFish CAST、RC系列算法。非對稱密鑰加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal D_H等。加密算法以及密鑰的管理是加密技術的關鍵所在， 數(shù)據(jù)接收者中有輸入對應的密鑰才能讀出已經(jīng)加密的數(shù)據(jù)信息。對網(wǎng)絡數(shù)據(jù)加密主要有鏈路加密、節(jié)點對節(jié)點加密和端對端加密三種實現(xiàn)方式。

四、入侵檢測與入侵保護

入侵監(jiān)測技術即通過在計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點采集信息進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。目前入侵檢測技術分為基于特征入侵檢測與基于異常情況的入侵檢測兩種類型。該技術發(fā)展到現(xiàn)在，已出現(xiàn)過許多檢測方法，從最初的模式匹配和審計方法，到基于統(tǒng)計和專家系統(tǒng)、原型系統(tǒng)的方法，基于移動代理技術的檢測方法，其次，IDS的整體構架從單一布局到分布式、多系統(tǒng)方向發(fā)展。IDS的應用非常普及，但其缺陷也越來越明顯，比如誤報、漏報，出現(xiàn)危害時不能直接將其阻斷，被動性太強，檢測速度延遲，漏報。因此，IDS可做進一步的改進，比如對IDS使用更先進的計算部件，對IDS更換高級網(wǎng)卡，將IDS整合在防火墻中，或在分析單元采用更高級的人工智能技術等。

入侵保護系統(tǒng)（IPS）相比IDS不僅增加了主動阻斷的功能，而且在性能和數(shù)據(jù)包的分析能力方面都有了很大的提高。IPS的一個亮點是引入弱點分析技術，即通過分析系統(tǒng)漏洞、收集和分析 攻擊代碼或壖蟲代碼、描述攻擊特征或缺陷特征，使IPS能夠主動保護脆弱系統(tǒng)。

同時IPS傾向于提供主動性的防護，能預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截。

如果對攻擊者采用更為主動的措施的話，那不得不提一下蜜罐系統(tǒng)。蜜罐系統(tǒng)的重要功能是對系統(tǒng)中所有操作和行為進行監(jiān)視和記錄。借助偽裝的手段，使攻擊者進入目標系統(tǒng)后仍不知道自己的行為已經(jīng)處于系統(tǒng)監(jiān)視之下。一般通常采用欺騙模式與弱化系統(tǒng)兩種配置方法。鑒于蜜罐系統(tǒng)分析成本相當高，用于商業(yè)機構并不多。除此之外，如果要真正了解網(wǎng)絡當前的安全狀況，還應該采用安全掃描核技術，對網(wǎng)絡整體的安全狀況進行有效評估。

五、數(shù)據(jù)的備份與恢復

現(xiàn)實生活中有種種人為或非人為因素造成的意外的或不可預測的災難發(fā)生，其中包括計算機或網(wǎng)絡系統(tǒng)的軟硬件故障、人為操作故障、資源不足引發(fā)的計劃性停產(chǎn)、生產(chǎn)場地的災難，故進行災難恢復的前對數(shù)據(jù)的備份。

傳統(tǒng)的備份技術主要采用主機內置或外置的磁帶機對數(shù)據(jù)進行冷備份，隨著網(wǎng)絡規(guī)模的擴大，一個完整、優(yōu)良的備份應該是全方位、多層次的，它應該具有集中式管理、自動化備份、對大型數(shù)據(jù)庫的備份和恢復、較強的備份索引功能、歸檔管理、系統(tǒng)災難恢復、較好的可擴展性等特點。

災難恢復技術也稱為業(yè)務連續(xù)性技術，是信息安全領域中的一項重要技術，對企業(yè)和社會關系重大的計算機系統(tǒng)都應當采用災難恢復技術予以保護。一份完整的備份及災難恢復方案應該包括備份硬件、備份軟件、備份制度和災難恢復計劃四個部分。還可根據(jù)企業(yè)自身情況制定日常備份制度和災難恢復計劃，并由管理人員切實執(zhí)行備份制度。目前市場上主要提供IBM的SSA磁盤系統(tǒng)、Magstar磁帶系統(tǒng)、ADSM存儲管理軟件、HP的單鍵災難恢復技術等完事的備份及災難恢復解決方法。

總之，計算機網(wǎng)絡安全事件發(fā)生并沒有一個固定的模式，在時間上也毫無規(guī)律可循。如能阻止未被授權用戶對計算機系統(tǒng)和網(wǎng)絡的訪問，則假定該系統(tǒng)的安全能夠得到保證。同時在預防措施以外，還需要在安全事件發(fā)生之前或之時，安全人員對系統(tǒng)進行檢查和檢測并在做出正確判斷后給予響應或行動。未來的安全防護技術的趨勢是隨著檢測技術和響應技術的提高，能夠整合檢測手段和響應手段，提高應對安全事件的自動化與智能化。

參考文獻：

[1]王群.計算機網(wǎng)絡安全管理[M].人民郵電出版社，2010

[2]陳信明，張振華.計算機網(wǎng)絡安全[M].中國人民大學出版社，2009

[3]王夢龍主編.網(wǎng)絡信息安全[M].中國鐵道出版社，2009