淺談計算機網絡安全及建設

2013-12-03 16:34:02 電力信息化　點擊量：評論 (0)

摘要：本文簡要介紹了計算機網絡安全的體系結構，分析了網絡安全的設計原則，討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計，最后提出了網絡安全產品的選型原則。關鍵詞：計算機；

摘要： 本文簡要介紹了計算機網絡安全的體系結構，分析了網絡安全的設計原則，討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計，最后提出了網絡安全產品的選型原則。
關鍵詞： 計算機；網絡；安全；建設
信息是當今社會發(fā)展的重要資源，整個社會對信息的依賴程度越來越高。盡管個人、部門和整個企業(yè)都已認識到信息的寶貴價值和私有性，但競爭已迫使各機構打破原有的界限，在企業(yè)內部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問題的時間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無意的破壞，因此，網絡安全成為一個重要的問題。

1、網絡安全體系結構
通過對網絡應用的全面了解，按照安全風險、需求分析結果、安全策略以及網絡的安全目標,具體的安全控制系統(tǒng)可以可以分為：物理安全、系統(tǒng)安全、網絡安全、應用安全、管理安全等幾個方面。
1.1. 物理安全   保證計算機信息系統(tǒng)各種設備的物理安全是保障整個網絡系統(tǒng)安全的前提。物理安全是保護計算機網絡的物理通路不被損壞、不被竊聽以及不被攻擊和干擾等。它主要包括三個方面：環(huán)境安全、設備安全、媒體安全。正常的防范措施主要在三個方面：  對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，防止信號外泄；  對本地網、局域網傳輸線路傳導輻射的抑制；對終端設備輻射的防范。
1.2 系統(tǒng)安全   分為網絡結構安全、操作系統(tǒng)安全、應用系統(tǒng)安全。網絡結構的安全主要指網絡拓撲結構是否合理、線路是否有冗余、路由是否冗余、防止單點失敗等。對于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網絡操作系統(tǒng)并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制、加強口令字的使用，并及時給系統(tǒng)打補丁、系統(tǒng)內部的相互調用不對外公開等；通過配備安全掃描系統(tǒng)對操作系統(tǒng)進行安全性掃描，及時發(fā)現(xiàn)安全漏洞，并有效地對其進行重新配置或升級。在應用系統(tǒng)安全上，應用服務器盡量不要開放一些沒有經常用的協(xié)議及協(xié)議端口號、加強登錄身份認證，確保用戶使用的合法性、并嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。充分利用操作系統(tǒng)和應用系統(tǒng)本身的日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

1.3 網絡安全   網絡安全是整個安全解決方案的關鍵，通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統(tǒng)、防病毒分別進行。隔離與訪問控制可通過嚴格的管理制度、劃分虛擬子網(VLAN)、配備防火墻來進行。內部辦公自動化網絡根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機來劃分虛擬子網（VLAN），在沒有配置路由的情況下，不同虛擬子網間是不能夠互相訪問。防火墻是實現(xiàn)網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現(xiàn)內外網絡或內部網絡不同信任域之間的隔離與訪問控制；并且可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細粒的訪問控制。通信保密是使得在網上傳送的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇鏈路層加密和網絡層加密等方式。入侵檢測是根據(jù)已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應（阻斷、報警、發(fā)送E-mail），從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺和探測器（網絡引擎）。控制臺用作制定及管理所有探測器（網絡引擎）。探測器（網絡引擎）用作監(jiān)聽進出網絡的訪問行為，根據(jù)控制臺的指令執(zhí)行相應行為。由于探測器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應用不會對網絡系統(tǒng)性能造成多大影響。網絡掃描系統(tǒng)可以對網絡中所有部件（Web站點，防火墻，路由器，TCP/IP及相關協(xié)議服務）進行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風險，建議補救措施。病毒防護也是網絡安全建設中應該考濾的重要的環(huán)節(jié)之一，反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。

1.4 應用安全   表現(xiàn)在內部OA系統(tǒng)中資源共享和信息存儲等方面。嚴格控制內部員工對網絡共享資源的使用，在內部子網中一般不要輕易開放共享目錄，對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數(shù)據(jù)。對有涉及企業(yè)秘密信息的用戶主機，使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數(shù)據(jù)庫服務器中的數(shù)據(jù)庫必須做安全備份，通過網絡備份系統(tǒng)，可以對數(shù)據(jù)庫進行遠程備份存儲。

1.5 構建CA(Certification Authority)體系   針對信息的安全性、完整性、正確性和不可否認性等問題，目前國際上先進的方法是采用信息加密技術、數(shù)字簽名技術。具體實現(xiàn)的辦法是使用數(shù)字證書，通過數(shù)字證書，把證書持有者的公開密鑰（Public Key）與用戶的身份信息緊密安全地結合起來，以實現(xiàn)身份確認和不可否認性。根據(jù)機構本身的特點，可以考濾先構建一個本系統(tǒng)內部的CA系統(tǒng)，即所有的證書只能限定在本系統(tǒng)內部使用有效。隨著需求的發(fā)展，可以對CA系統(tǒng)進行擴充，與國家級CA系統(tǒng)互聯(lián)，實現(xiàn)不同企業(yè)間的交叉認證。

1.6 安全管理   通過制定健全的安全管理體制、構建安全管理平臺、增強人員的安全防范意識來進行。制定健全的安全管理體制是網絡安全得以實現(xiàn)的重要保證；各部門應經常對員工進行網絡安全防范意識的培訓，全面提高員工的整體網絡安全防范意識。構建安全管理平臺將會降彽很多因為無意的人為因素而造成的風險，組建安全管理子網，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網絡設備管理系統(tǒng)以及網絡安全設備統(tǒng)一管理軟件，通過安全管理平臺實現(xiàn)全網的安全管理。