摘要:阐述了计算机网络安全的管理及控制,提出了计算机网络安全的表现形式和计算机网络安全规划的原则,并详尽地从物理安全、系统安全、网络安全和应用安全及安全管理等多方面提出许多方法和措施。

关键词:网络安全;信息安全;控制策略

中图分类号:TP393·08文献标识码:A文章编号:1009-8984(2006)02-0075-03

计算机网络作为现代社会的基础设施,越来越多地出现在人们的工作、学习、生活中,其作用越来越重要,并且不可替代。但由于人们的安全意识与资金方面的原因,在信息网络的安全方面往往没有太多的投入与设置。在信息网络形成的初期,由于信息资源和用户数量不多,信息网络的安全问题显得还不突出。随着应用的深入及用户数量的不断增加,各种各样的安全问题开始困扰网络管理人员,信息资源数据的丢失、系统运行效率下降、系统瘫痪的事情时有发生。因此,如何建立一个安全、稳定、高效的计算机信息网络系统,就显得十分迫切并成为重要的问题。

1计算机网络安全的内涵

计算机网络安全包涵“网络安全”和“信息安全”2部分。

“网络安全”(NetworkSecurity)和“信息安全”(In-formationSecurity)是指确保网络上的硬件资源、软件资源和信息资源不被非法用户破坏和使用。网络安全涉及的内容众多、范围广泛,如合理的安全策略和安全机制。网络安全技术包括访问控制和口令、加密、数字签名、认证、内容过滤、包过滤、防(杀)毒软件以及防火墙等。网络安全,特别是信息安全,强调的是网络中信息或数据的完整性、可用性、可控性、不可否认性以及保密性。信息安全的内涵也已发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。网络安全防范的内容也不再仅仅局限于硬件安全,具体说主要包含了物理安全、链路安全、网络安全、系统安全、应用安全及管理安全6个方面。

网络物理安全是整个网络系统安全的前提;链

路传输安全主要保障数据在网络上传输的真实性、

可靠性、机密性、完整性;网络结构的安全则体现在

内部网络与外部网络互联时来自外部网络的安全威

胁及来自内部网络自身的安全威胁二个方面;系统

安全指的是网络操作系统、应用系统的安全;应用的

安全不是一成不变的,要随时针对不同的应用检测

安全漏洞,采取相应的安全措施,降低应用的安全风

险;管理安全指的是通过安全管理制度的制定、责权

的制定、管理工作的执行来降低安全的风险。

2计算机网络安全的表现形式

2·1不良信息的传播

随着网络范围的不断扩大,应用水平的不断加深,越来越多的人进入到了Internet这个大家庭。目前,Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的年轻人来说危害非常大。如果不采取安全措施,会导致这些信息在网络上传播,侵蚀年轻人的心灵。

2·2病毒的危害

计算机病毒是一种人为制造的,寄生于计算机应用程序或操作系统中的可执行部分,并且能够自我复制、传播的程序。通过网络传播的病毒在传播速度、破坏性和传播范围等方面都远远超过单机病毒。网络中的计算机在运行、下载程序和电子邮件时都有可能感染病毒,一旦感染病毒,就有可能造成主机系统的瘫痪或者崩溃。

2·3遭受非法入侵及恶意破坏

一些人因为好奇心、功力心或者恶意心的驱使,利用网络设备、网络协议和操作系统的安全漏洞以及管理上的疏漏,使用各种非法手段访问资源、删改数据、破坏系统。对这些行为如不及时加以控制,也有可能造成主机系统的瘫痪或者崩溃,给用户带来严重的不良后果及损失。

2·4设备、线路损坏

主要是指对网络硬件设备的稳定性。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等。线路包括光纤线路、电缆线路、卫星线路等。它们分布在整个网络内,管理起来非常困难。由于人为或者不可抗力(如天气、自然灾害等原因)的因素,设备、线路会发生损坏或故障,这样会造成网络全部或部分瘫痪。

3计算机网络安全规划原则

在对计算机网络安全进行设计时,既安全、可靠又不加大投资,是我们应该坚持的总的原则。此外,在进行网络安全方面的规划时应当考虑的原则还包括:

3·1需求、风险、代价平衡分析的原则

对一个计算机网络系统所面临的威胁、安全需求、所承担的风险和所要付出的代价一定要进行定性和定量统一的分析,确保系统的安全策略、保护成本以及所要保护内容的价值必须平衡。

3·2综合性、整体性原则

对计算机网络的安全性设计一定要将系统内的设备资源、软件资源、信息资源和人力资源整体规划、综合考虑。只有从整体的角度综合地考虑问题,才有可能获得行之有效的解决措施,最大限度地保护用户的投资效益。

3·3一致性原则

主要是指网络安全问题应该与整个网络的运行周期并存,制定的安全体系结构,必须与网络的安全需求相一致。

3·4易操作性原则

目前,计算机网络系统任何的安全措施的最后实施者都是人,如果过程过于烦琐,本身就降低了系统的安全性。其次,所采取的安全措施不能影响整个计算机网络系统的正常运行。

3·5适应性、灵活性原则

安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应容易修改。

3·6多层保护原则

对任意一个网络来说,绝对的安全难以达到,任何的措施都不是绝对安全的,都可能被攻破。但是如果建立的是一个多层保护系统,各层之间相互补充,整个系统的安全系数也可以随之增大。4计算机网络安全管理的策略

4·1物理安全

在计算机网络当中,保证各种设备的物理安全是保障整个网络安全的前提。所谓的物理安全就是保护计算机网络设备、设施等免遭人为、自然灾害或各种计算机犯罪行为的破坏。具体可以包括以下几个方面:

4·1.1环境安全

主要是指计算机网络系统所在环境的安全保护。在对网络系统进行规划、设计、施工时一定要按照国家规范和标准进行。

4·1.2设备安全

设备安全主要是指应将一些重要的网络设备,如各种服务器、核心交换机、路由器等尽量实行集中管理。对集中管理的设备要做好防火、防盗、防毁措施,保证设备所处房间的正常温度、湿度。各种室外通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。对于终端设备,如工作站、小型交换机、集线器和其它转接设备基本建设投资落实到人,进行严格管理。如果有条件,楼宇内的网络线路应在基础建设时就进行合理设计,综合布线。同时,在进行网络布线施工时一定要有详细的线路图纸,以备检查维修时使用。

4·2系统安全

4·2.1网络结构安全

网络结构安全主要是指网络拓扑结构是否合理、线路是否有冗余等。主要通过合理设计网络结构来达到提高网络安全的目的。

4·2.2操作系统安全

操作系统安全主要是指计算机网络系统中可网管交换机、路由器、服务器等采取的安全配置、权限限制、补丁程序安装等。

4·2.3应用系统安全

在计算机网络系统中使用的服务器种类繁多,各服务器应关闭掉一些不常用的协议或协议端口号。同时,应加强网络系统内用户的身份认证,确定网内用户的合法性。

4·3网络安全

网络安全是整个计算机网络安全解决方案的关键,主要有访问控制、入侵检测、网络安全扫描系统和防病毒系统等4个方面。

4·3.1访问控制

通过对计算机网络内各种可网管的交换机、路由器、服务器、内容过滤器、防火墙等设备进行严密的访问规则的制定和划分虚拟局域网(VLAN)的方式来进行细致的访问控制。

(1)运用交换机、路由器的访问控制技术

可在计算机网络内的可网管交换机及路由器上可使用访问控制列表(ACL)技术对网络内的用户来进行讯问控制。如:允许哪能些用户进行访问?允许用户访问哪些资源?是否允许管理人员以Tel-net、Web等方式进行远程管理?以及可进行远程管理的IP地址限制等。

(2)运用内容过滤器和防火墙

由于上网人员的种类繁杂,有些人的法律意识不强,对网络中的一些非法内容鉴别力不高,因此有必要在互联网的接口处使用内容过滤器。内容过滤器的主要用途是对一些不良网站或非法网站的内容进行过滤,从而达到净化网络目的信息资源的目的,保证网络信息安全。

配置防火墙则是实现网络安全最基本、最经济、最有效的安全措施之一。

使用防火墙的目的就是阻止来自不安全网络的未经授权的信息或不安全的信息进入专用网络,同时也可阻止专用网络内的不安全信息进入其它网络。

(3)运用VLAN技术

目前的局域网主要采用的都是以太网技术,而以太网技术是以CSMA/CD(载波侦听多路访问/冲突检测)的形式为技术基础的。任何二个主机之间的通信同时也可被同一网络上的其它主机所截获而用于非法目的。

为了克服以太网的广播问题,可以运用VLAN技术,减小网络广播的范围,防止大部分基于网络侦听的入侵。同时也可以防止病毒的大范围扩散。

4·3.2入侵检测

目前的入侵检测系统是根据已有的、最新的攻击手段的信息特征代码对进出网段的所有操作行为进行实时监控和记录,并按管理人员业已制定的检测策略实时响应(切断会话、报警等),从而防止针对网络的攻击与非法行为。

4·3.3扫描系统

通过使用各种扫描系统对网络中的服务器、路由器等设备进行攻击性扫描、分析和评估,发现并报告系统存在的漏洞和弱点,评估安全风险,建议补救措施。

4·3.4病毒防护

在网络环境下,计算机病毒有不可估量的威胁性和破坏力。目前,最好的病毒防护办法就是安装防(杀)毒软件并及时更新。同时及时更新、安装操作系统的补丁程序。

4·4应用安全

为了保证应用的安全,应严格控制内部人员开放本机的共享资源,不要轻易开放共享目录。例如,为了达到控制目的,可在三层交换机或路由器上对常用的135、136、138、139等端口的使用进行限制。对数据库服务器中的数据必须经常进行安全备份。

4·5安全管理

制定健全的安全管理体制是计算机网络安全的重要保证。但除了建立起一套严格的安全管理体制外,还必须培养一支具有高度的安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式有效地保证系统的安全。

网络内使用的IP地址做为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。

在计算机网络系统中,绝对的安全是不存在的。只能通过网络使用人员与管理人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,全面强化使用人员和管理人员的安全防范意识。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。

参考文献

[1]谢希仁·计算机网络[M]·大连:大连理工大学出版社,2003·

[2]赵晖·计算机网络安全与防护[J]·通信技术,2004,(3):25—26·

[3]戚文静·网络安全与管理[M]·北京:中国水利水电出版社,2003·

[4]袁家政.计算机网络[M].西安:西安电子科技大学出版社,2001·77卢航,等:计算机网络安全及控制策略