計(jì)算機(jī)網(wǎng)絡(luò)安全策略及其技術(shù)防范措施

【摘要】計(jì)算機(jī)網(wǎng)絡(luò)普遍存在安全問題。國際互聯(lián)網(wǎng)存在信息管理失控，網(wǎng)絡(luò)犯罪防不勝防。我國網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。我們需要一個(gè)正確的安全策略，需要有效并且經(jīng)濟(jì)的網(wǎng)絡(luò)安全技術(shù)防范措施，包括局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全策略

在計(jì)算機(jī)網(wǎng)絡(luò)日益擴(kuò)展和普及的今天，計(jì)算機(jī)安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵的能力，還要提高對(duì)遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄?，避免在傳輸途中遭受非法竊取。

一、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

網(wǎng)絡(luò)安全應(yīng)該包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性，后者是指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制等。安全策略應(yīng)該包括物理安全策略和訪問控制策略。

1.1物理安全策略

物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受人為破壞和搭線攻擊；驗(yàn)證訪問者的身份和使用權(quán)限、防止用戶越權(quán)操作；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)系統(tǒng)等。

1.2訪問控制策略

訪問控制策略至少應(yīng)該包括如下內(nèi)容：（1）入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問把第一道關(guān)。網(wǎng)絡(luò)控制權(quán)限規(guī)范哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。（2）目錄級(jí)安全控制。網(wǎng)絡(luò)管理員應(yīng)該規(guī)范用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效。

1.3防火墻技術(shù)

防火墻技術(shù)主要包括有四大類：網(wǎng)絡(luò)級(jí)防火墻、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。防火墻在使用的過程中，應(yīng)該考慮到幾個(gè)方面的問題：首先要考慮的是防火墻不能夠防病毒的攻擊，雖然有不少的防火墻產(chǎn)品聲稱具有這個(gè)功能。其次要考慮防火墻技術(shù)中數(shù)據(jù)與防火墻之間的更新問題，如果延時(shí)太長，將無法支持實(shí)時(shí)服務(wù)要求。并且防火墻采用的濾波技術(shù)會(huì)降低網(wǎng)絡(luò)的性能，如果購置高速路由器來改變網(wǎng)絡(luò)的性能，那樣會(huì)大大增加網(wǎng)絡(luò)成本。再次是防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊，也無法保護(hù)繞過防火墻的病毒攻擊。

1.4訪問控制技術(shù)

訪問控制技術(shù)是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，它設(shè)計(jì)的三個(gè)基本概念為：主體、客體和授權(quán)訪問。訪問控制技術(shù)的訪問策略通常有三種：自主訪問控制、強(qiáng)制訪問控制以及基于角色的訪問控制。訪問控制的技術(shù)與策略主要有：入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制、屬性控制以及服務(wù)器安全控制等多種手段。

1.5數(shù)據(jù)加密技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)加密的三種技術(shù)為：鏈路加密、節(jié)點(diǎn)加密和端到端加密。鏈路加密是將所有信息在傳輸前進(jìn)行加密，在每一個(gè)節(jié)點(diǎn)對(duì)接收到的信息進(jìn)行解密，然后先使用下一個(gè)鏈路的密鑰對(duì)消息進(jìn)行加密，再進(jìn)行傳輸。節(jié)點(diǎn)加密與鏈路加密不同，節(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)節(jié)點(diǎn)以明文形式存在，它先把收到的消息進(jìn)行解密，然后采用另一個(gè)不同的密鑰進(jìn)行加密，這一過程是在節(jié)點(diǎn)上的一個(gè)安全模塊中進(jìn)行。端到端加密允許數(shù)據(jù)在從源點(diǎn)到終點(diǎn)的傳輸過程中始終以密文形式存在。采用端到端加密，消息在被傳輸時(shí)到達(dá)終點(diǎn)之前不進(jìn)行解密，因?yàn)橄⒃谡麄€(gè)傳輸過程中均受到保護(hù)，所以即使有節(jié)點(diǎn)被損壞也不會(huì)使消息泄露。

二、網(wǎng)絡(luò)安全技術(shù)防范措施

網(wǎng)絡(luò)安全技術(shù)防范措施主要涉及常用的局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

2.1局域網(wǎng)安全技術(shù)防范措施

2.1.1網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本方法，也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施，其目的就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法窺聽。

2.1.2以交換式集線器代替共享式集線器

在對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段的處理以后，以太網(wǎng)遭遇窺聽的危險(xiǎn)依然存在。應(yīng)該以交換式集線器代替共享式集線器，控制單播數(shù)據(jù)包只能在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法窺聽。

2.1.3VLAN的劃分

在分布式網(wǎng)絡(luò)環(huán)境下，應(yīng)該以機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。部門內(nèi)部的所有用戶節(jié)點(diǎn)和服務(wù)器都必須在各自的VLAN內(nèi)，互相不受侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN之間的連接則采用路由實(shí)現(xiàn)。

2.2廣域網(wǎng)安全技術(shù)防范措施

由于廣域網(wǎng)多數(shù)采用公網(wǎng)傳輸數(shù)據(jù)，信息在廣域網(wǎng)上被截取的可能性要比局域網(wǎng)大得多。網(wǎng)絡(luò)黑客只要利用一些簡(jiǎn)單的包檢測(cè)工具軟件，就可以很輕松地實(shí)施對(duì)通信數(shù)據(jù)包的截取和破譯。廣域網(wǎng)安全應(yīng)該采用以下防范技術(shù)措施：（1）加密技術(shù)。加密型網(wǎng)絡(luò)安全技術(shù)是指通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保證網(wǎng)絡(luò)安全的可靠性，而不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性。數(shù)據(jù)加密技術(shù)可以分為對(duì)稱型加密、不對(duì)稱型加密和不可逆加密三種。計(jì)算機(jī)系統(tǒng)中的口令一般是利用不可逆加密算法加密的。（2）VPN技術(shù)。該技術(shù)是指所謂的虛擬加密隧道技術(shù)，是指將企業(yè)私網(wǎng)的數(shù)據(jù)加密封裝后，通過虛擬的公網(wǎng)隧道進(jìn)行傳輸。企業(yè)在VPN建網(wǎng)選型時(shí)，應(yīng)該注意優(yōu)選技術(shù)先進(jìn)的VPN服務(wù)提供商和VPN設(shè)備。（3）身份認(rèn)證技術(shù)。要特別注意處置從外部撥號(hào)網(wǎng)絡(luò)訪問總部?jī)?nèi)部網(wǎng)的用戶。因?yàn)槭褂霉搽娫捑W(wǎng)通訊風(fēng)險(xiǎn)很大，必須嚴(yán)格身份認(rèn)證。常用的身份認(rèn)證技術(shù)有Cisco公司的TACACS+，行業(yè)標(biāo)準(zhǔn)RADIUS等。

2.3安全管理隊(duì)伍的建設(shè)

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

計(jì)算機(jī)網(wǎng)絡(luò)的安全問題涉及到網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全技術(shù)防范措施，也涉及到國家對(duì)網(wǎng)絡(luò)安全的防范監(jiān)管機(jī)制及相關(guān)的法律問題，還涉及到網(wǎng)絡(luò)安全當(dāng)事者的職業(yè)道德和高技術(shù)與高感情的平衡問題。相對(duì)網(wǎng)絡(luò)技術(shù)專業(yè)工作者來說，如果能夠牢固樹立正確的網(wǎng)絡(luò)安全策略，在力所能及的范圍之內(nèi)，制定和實(shí)施經(jīng)濟(jì)有效的安全技術(shù)防范措施，并且能夠經(jīng)常評(píng)估和不斷改進(jìn)，相信計(jì)算機(jī)網(wǎng)絡(luò)安全的局面將會(huì)永遠(yuǎn)是魔高一尺道高一丈。

參考文獻(xiàn)

[1]嚴(yán)明.多媒體技術(shù)應(yīng)用基礎(chǔ)[M].武漢：華中科技大學(xué)出版社，2004.

[2]朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社，2001.

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第4版）[M].北京：電子工業(yè)出版社，2003.

[4]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).北京：人民郵電出版社，2006.

[5]林建平.計(jì)算機(jī)網(wǎng)絡(luò)安全防控策略的若干分析.山西廣播電視大學(xué)學(xué)報(bào)，2006.