談計算機網(wǎng)絡(luò)安全

作者簡介：閆可新（1992.10-），女，漢族，黑龍江佳木斯人。學歷：本科，單位：齊齊哈爾工程學院，研究方向：計算機。

摘要：計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。網(wǎng)絡(luò)上的敏感信息和保密數(shù)據(jù)經(jīng)常受到各種各樣的攻擊，如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)增刪及計算機病毒感染等。隨著計算機資源共享的進一步加強，隨之而來的網(wǎng)絡(luò)安全問題也日益突出。

關(guān)鍵詞：計算機安全概念；網(wǎng)絡(luò)安全策略；網(wǎng)絡(luò)安全措施

一、計算機安全概念

安全，通常是指這樣一種機制：只有被授權(quán)的人才能使用其相應(yīng)的資源。當前，國際上對于計算機安全的定義并沒有形成一個統(tǒng)一的說法。在我國，計算機安全指的是計算機系統(tǒng)的硬件、軟件數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常工作。

1.實體安全。實體安全又稱物理安全，主要是指構(gòu)成計算機的物理實體出現(xiàn)問題導致的信息泄露，如主機、信息存儲設(shè)備等的損壞。所以為了保護計算機信息的安全，要特別注重對物理實體的安全保護，做好各方面的防范措施，如機體維護、機房安全管理等。

2.系統(tǒng)安全。指系統(tǒng)本身安全不足、未授權(quán)的存取、越權(quán)使用、保證文件系統(tǒng)的完整性。

3.信息安全。信息安全是指保障信息不會被非法閱讀、修改和泄露，它包含了軟件安全和數(shù)據(jù)安全兩個方面。信息泄露和信息破壞信息安全面臨的兩種威脅。

二、網(wǎng)絡(luò)安全策略

隨著網(wǎng)絡(luò)技術(shù)和應(yīng)用的迅速發(fā)展，人們對系統(tǒng)安全也提出了新的要求。主要有以下幾個方面。

1.保密性、完整性、可用性、身份認證、不可抵賴性、安全協(xié)議的設(shè)計、存取控制。要保證計算機系統(tǒng)的安全，首先要確立保證安全的策略，做到以預(yù)防為主，消除隱患。網(wǎng)絡(luò)安全策略的一般性原則：綜合分析網(wǎng)絡(luò)風險任何網(wǎng)絡(luò)都難以達到絕對安全。對一個網(wǎng)絡(luò)的各種風險、潛在的危害、威脅、系統(tǒng)易受到攻擊的脆弱性等進行定性與定量分析，在此基礎(chǔ)上制定有關(guān)規(guī)范和措施，確定系統(tǒng)的安全策略。系統(tǒng)性原則一個好的安全措施應(yīng)該是多種方法綜合應(yīng)用的結(jié)果。計算機網(wǎng)絡(luò)包括用戶、硬件、軟件、數(shù)據(jù)等多個環(huán)節(jié)，要用系統(tǒng)工程的觀點和方法綜合分析這些環(huán)節(jié)在網(wǎng)絡(luò)安全中的地位、影響及作用，才可能獲得有效、可行的措施。易操作性原則制定的各項網(wǎng)絡(luò)安全措施應(yīng)該易于操作。如果措施過于復雜，對具體操作人員要求過高，反而會降低安全性。而且，使用的各種安全措施也不能影響系統(tǒng)的正常運行。靈活性原則任何一個網(wǎng)絡(luò)都不會是一成不變的。各項網(wǎng)絡(luò)安全措施應(yīng)該能夠隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要具有一定的適應(yīng)性，易于修改。技術(shù)與制度在采用各種技術(shù)手段保護網(wǎng)絡(luò)安全的同時，還要制定網(wǎng)絡(luò)用戶應(yīng)遵守的網(wǎng)絡(luò)使用制度與方法。只有將兩方面相結(jié)合才能有效地保護網(wǎng)絡(luò)資源的安全。

2.制定網(wǎng)絡(luò)安全策略的方法。在制定網(wǎng)絡(luò)安全策略時有兩種不同的邏輯方式：

1）凡是沒有明確表示允許的就要被禁止。

2）凡是沒有明確表示禁止的就要被允許。

3.網(wǎng)絡(luò)安全策略的層次結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)的安全策略是對局部網(wǎng)絡(luò)實施的分層次、多級別的，包括入侵檢測、實時告警和修復等應(yīng)急反應(yīng)功能的實時系統(tǒng)策略。

三、網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)的主要安全措施包括：物理訪問控制、邏輯訪問控制、組織控制、人員控制、操作控制、應(yīng)用程序開發(fā)控制、服務(wù)控制、工作站控制、數(shù)據(jù)傳輸保護等。

1.網(wǎng)絡(luò)服務(wù)器的安全措施：口令管理、用戶權(quán)限、文件/目錄的訪問控制、系統(tǒng)配置。

2.網(wǎng)絡(luò)通信安全措施。有兩種方式可以提供安全通信：

（1）建立物理安全的傳輸介質(zhì)。例如在網(wǎng)絡(luò)中使用光線傳送數(shù)據(jù)可以防止信息被竊取，因為任何對光纖的直接插入都可以被檢測出來，而且因為沒有電磁輻射而不能通過電磁感應(yīng)竊取數(shù)據(jù)。

（2）對傳輸數(shù)據(jù)進行加密。保密數(shù)據(jù)在進行數(shù)據(jù)通信是應(yīng)加密，包括鏈路加密和端到端加密。對傳輸數(shù)據(jù)進行加密的算法，例如RSA公用密鑰算法。加密文件和公用密鑰一起構(gòu)成“數(shù)據(jù)信封”，只有接受方的專用密鑰才能打開。

3.設(shè)置防火墻

防火墻是是互聯(lián)網(wǎng)上的首要安全技術(shù)，也是目前防范非法入侵互聯(lián)網(wǎng)的有效方式。防火墻在開放與封閉的界面上構(gòu)造了一個保護層，以防止不可預(yù)料的、潛在的破壞侵入網(wǎng)絡(luò)，很好的保障了網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)的邊界設(shè)置防火墻，還可減輕網(wǎng)絡(luò)中其他主機安全防范的負擔。當然防火墻并不能完全保障網(wǎng)絡(luò)安全不會受到外部威脅，但它可以起到保護隔離的作用。

4.撥號網(wǎng)絡(luò)安全管理

撥號網(wǎng)絡(luò)的用戶存在著不確定性和廣泛性的特點，因此，撥號功能的加入會影響并降低網(wǎng)絡(luò)的安全性?？梢酝ㄟ^以下措施進行網(wǎng)絡(luò)安全性的管理：（1）授權(quán)用戶的身份確認，可在路由器或登錄服務(wù)器上采用用戶及口令驗證對用戶的合法身份加以確認。（2）反向撥號。采用反向撥號等方法來檢驗用戶的真是身份。

5.安全審計

審計是網(wǎng)絡(luò)安全的一項重要內(nèi)容，應(yīng)該在網(wǎng)絡(luò)服務(wù)器中為網(wǎng)絡(luò)系統(tǒng)中為網(wǎng)絡(luò)系統(tǒng)中的各種服務(wù)項目設(shè)置審計日志。經(jīng)常整理日志的內(nèi)容可以發(fā)現(xiàn)異常，這是防范網(wǎng)絡(luò)被非法侵入的基本手段之一。要根據(jù)網(wǎng)絡(luò)的規(guī)模和安全的需要來確定審計日志的檢查方式、檢查時間等。在檢查中要特別注意那些違反安全性和一致性的內(nèi)容，例如不成功的登錄、未授權(quán)的訪問或操作、網(wǎng)絡(luò)掛起、長期不登錄的用戶、具有相同的用戶名和用戶密碼的用戶、脫離連接及其他規(guī)定的動作等。

對于大型網(wǎng)絡(luò)設(shè)備或服務(wù)器，如果審計日志的信息量很大，還應(yīng)該制定審計日志數(shù)據(jù)的維護和備份方法。

6.檢查系統(tǒng)進程。對系統(tǒng)進程不定時地做檢查，可以對服務(wù)失敗的情況做到及時發(fā)現(xiàn)和掌握，而且還有助于發(fā)現(xiàn)攻擊者是值得“特洛伊木馬”等。

7.物理設(shè)備安全與人員安全措施

物理安全性包括機房的安全、網(wǎng)絡(luò)設(shè)備（包括服務(wù)器、工作站、通信線路、路由器、網(wǎng)橋、磁盤、打印機等）的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計中需要考慮之外，還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問題及相應(yīng)的保護措施。加強網(wǎng)絡(luò)管理人員的自身管理，限制特權(quán)用戶的人數(shù)，明確管理人員各自的職能和級別權(quán)限。加強網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識教育，使用戶在使用網(wǎng)絡(luò)時能夠主動參與到網(wǎng)絡(luò)安全管理當中。

8.設(shè)置陷阱和誘餌

防范網(wǎng)絡(luò)非法侵入可分為主動方式和被動方式。在被動方式下，當系統(tǒng)安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全遭到破壞時，應(yīng)立即制止非法侵入活動并將入侵者驅(qū)逐出去，即使恢復網(wǎng)絡(luò)的正常工作狀態(tài)，盡量減少網(wǎng)絡(luò)可能遭受的危害。

當系統(tǒng)的安全防范能力較強時可采用主動方式：在保證網(wǎng)絡(luò)資源及各項網(wǎng)絡(luò)服務(wù)不受損害的基礎(chǔ)上，讓非法入侵者繼續(xù)活動，追蹤入侵者并檢測入侵者的來源、目的、非法訪問的網(wǎng)絡(luò)資源等，以取得可追究其責任的證據(jù)，減少今后的威脅。但要注意的是，只有當具備有較強的技術(shù)力量和經(jīng)濟力量時，才可以從事安全追蹤工作。（作者單位：齊齊哈爾工程學院）

參考文獻：

[1]謝希仁.計算機網(wǎng)絡(luò)教程[M].北京：人民郵電出版社，2006.

[2]黃海軍，蘆芝萍.三層交換的計算機網(wǎng)絡(luò)實驗的實現(xiàn)[J].實驗研究與探索，2003（3）.

[3]宋西軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京大學出版社.

[4]王健.網(wǎng)絡(luò)互聯(lián)與系統(tǒng)集成[M].電子工業(yè)出版社.