淺談計(jì)算機(jī)網(wǎng)絡(luò)安全及建設(shè)

2013-12-03 16:34:02 電力信息化　點(diǎn)擊量：評論 (0)

摘要：本文簡要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)，分析了網(wǎng)絡(luò)安全的設(shè)計(jì)原則，討論了計(jì)算機(jī)網(wǎng)絡(luò)的安全策略、管理原則以及網(wǎng)絡(luò)各層的安全設(shè)計(jì)，最后提出了網(wǎng)絡(luò)安全產(chǎn)品的選型原則。關(guān)鍵詞：計(jì)算機(jī) ；

2、網(wǎng)絡(luò)安全體系的建設(shè)
2.1 安全體系設(shè)計(jì)原則
1). 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則：對任一網(wǎng)絡(luò)來說，絕對安全難以達(dá)到，也不一定必要。對一個網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護(hù)成本、被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅1萬元的信息如果用5萬元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。
2). 綜合性、整體性原則：運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計(jì)算機(jī)網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)，它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。
3). 一致性原則：這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮要容易，而且花費(fèi)也少得多。
4). 易操作性原則：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。
5). 適應(yīng)性、靈活性原則：安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。
6). 多重保護(hù)原則：任何安全保護(hù)措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。

2.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
網(wǎng)絡(luò)系統(tǒng)的可靠運(yùn)轉(zhuǎn)是基于通訊子網(wǎng)、計(jì)算機(jī)硬件和操作系統(tǒng)及各種應(yīng)用軟件等各方面、各層次的良好運(yùn)行。因此，它的風(fēng)險(xiǎn)將來自對企業(yè)的各個關(guān)鍵點(diǎn)可能造成的威脅，這些威脅可能造成總體功能的失效。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析成為制定有效的安全管理策略和選擇有作用的安全技術(shù)實(shí)施措施的基礎(chǔ)依據(jù)。安全保障不能完全基于思想教育或信任。而應(yīng)基于"最低權(quán)限"和"相互監(jiān)督"的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。

2.3 網(wǎng)絡(luò)安全策略
　　安全策略分安全管理策略和安全技術(shù)實(shí)施策略兩個方面：
　　1). 管理策略安全系統(tǒng)需要人來執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)安全措施，也不能完全由計(jì)算機(jī)系統(tǒng)來完全承擔(dān)安全保證任務(wù)，因此必須建立完備的安全組織和管理制度。
　　2). 技術(shù)策略技術(shù)策略要針對網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。

2.4　安全管理原則
　　計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個原則,即多人負(fù)責(zé)原則、任期有限原則、職責(zé)分離原則。制定系統(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實(shí)施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項(xiàng)規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。

2.5 網(wǎng)絡(luò)安全設(shè)計(jì)
　　由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實(shí)現(xiàn)，各個層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不相同。
　　物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。
　　在鏈路層，通過"橋"這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能。
　　在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點(diǎn)通信，通過對主機(jī)路由表的控制來控制與之直接通信的節(jié)點(diǎn)。同時，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點(diǎn)的通信、應(yīng)用服務(wù)，并加強(qiáng)外部用戶識別和驗(yàn)證能力。對網(wǎng)絡(luò)進(jìn)行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等，其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗(yàn)證服務(wù)器和安全級別較高的操作系統(tǒng)。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。

2.6 安全產(chǎn)品選型原則
　　在進(jìn)行網(wǎng)絡(luò)安全方案的產(chǎn)品選型時，要求安全產(chǎn)品至少應(yīng)包含以下功能：
·訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。
·檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。
·攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。
· 加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。
· 認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。
· 備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
· 多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。
· 隱藏內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。
· 設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個贊