對計算機網(wǎng)絡(luò )安全策略及安全技術(shù)的若干思考

　　摘要：隨著(zhù)計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò )將日益成為工業(yè)、農業(yè)和國防等方面的重要信息交換手段，滲透到社會(huì )生活的各個(gè)領(lǐng)域。因此，認清網(wǎng)絡(luò )的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò )的安全性將變得十分重要。本文結合工作中常常遇到的一些實(shí)際情況，分析了網(wǎng)絡(luò )安全受到的一些威脅，并論述了常用的網(wǎng)絡(luò )安全技術(shù)。

　　關(guān)鍵詞：網(wǎng)絡(luò )安全 威脅 技術(shù)

　　0 引言

　　網(wǎng)絡(luò )安全技術(shù)指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數據傳輸的安全性的技術(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò )結構安全分析技術(shù)，系統安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略。一影響計算機網(wǎng)絡(luò )安全的因素很多，有人為因素，也有自然因素，其中人為因素的危害最大。

　　1 計算機網(wǎng)絡(luò )的安全策略

　　1.1 物理安全策略 物理安全策略的目的是保護計算機系統、網(wǎng)絡(luò )服務(wù)器、打印機等硬件實(shí)體和通信鏈路免受自然災害、人為破壞和搭線(xiàn)攻擊；驗證用戶(hù)的身份和使用權限、防止用戶(hù)越權操作；確保計算機系統有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

　　1.2 訪(fǎng)問(wèn)控制策略 訪(fǎng)問(wèn)控制是網(wǎng)絡(luò )安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò )資源不被非法使用和非常訪(fǎng)問(wèn)。它也是維護網(wǎng)絡(luò )系統安全、保護網(wǎng)絡(luò )資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪(fǎng)問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò )安全最重要的核心策略之一。

　　1.3 信息加密策略 信息加密的目的是保護網(wǎng)內的數據、文件、口令和控制信息，保護網(wǎng)上傳輸的數據。網(wǎng)絡(luò )加密常用的方法有鏈路加密、端點(diǎn)加密和節點(diǎn)加密三種。鏈路加密的目的是保護網(wǎng)絡(luò )節點(diǎn)之間的鏈路信息安全；端-端加密的目的是對源端用戶(hù)到目的端用戶(hù)的數據提供保護；節點(diǎn)加密的目的是對源節點(diǎn)到目的節點(diǎn)之間的傳輸鏈路提供保護。用戶(hù)可根據網(wǎng)絡(luò )情況酌情選擇上述加密方式。

　　信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施，它以很小的代價(jià)提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經(jīng)公開(kāi)發(fā)表的各種加密算法多達數百種。如果按照收發(fā)雙方密鑰是否相同來(lái)分類(lèi)，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。

　　1.4 網(wǎng)絡(luò )安全管理策略 在網(wǎng)絡(luò )安全中，除了采用上述技術(shù)措施之外，加強網(wǎng)絡(luò )的安全管理，制定有關(guān)規章制度，對于確保網(wǎng)絡(luò )的安全、可靠地運行，將起到十分有效的作用。

　　網(wǎng)絡(luò )的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò )操作使用規程和人員出入機房管理制度；制定網(wǎng)絡(luò )系統的維護制度和應急措施等。

　　2 常用的網(wǎng)絡(luò )安全技術(shù)

　　由于網(wǎng)絡(luò )所帶來(lái)的諸多不安全因素，使得網(wǎng)絡(luò )使用者必須采取相應的網(wǎng)絡(luò )安全技術(shù)來(lái)堵塞安全漏洞和提供安全的通信服務(wù)。如今，快速發(fā)展的網(wǎng)絡(luò )安全技術(shù)能從不同角度來(lái)保證網(wǎng)絡(luò )信息不受侵犯，網(wǎng)絡(luò )安全的基本技術(shù)主要包括網(wǎng)絡(luò )加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò )地址轉換技術(shù)、操作系統安全內核技術(shù)、身份驗證技術(shù)、網(wǎng)絡(luò )防病毒技術(shù)。

　　2.1 網(wǎng)絡(luò )加密技術(shù) 網(wǎng)絡(luò )信息加密的目的是保護網(wǎng)內的數據、文件、口令和控制信息，保護網(wǎng)上傳輸的數據。網(wǎng)絡(luò )加密常用的方法有鏈路加密，端點(diǎn)加密和節點(diǎn)加密三種。鏈路加密的目的是保護網(wǎng)絡(luò )節點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對源端用戶(hù)到目的端用戶(hù)的數據提供加密保護；節點(diǎn)加密的目的是對源節點(diǎn)到目的節點(diǎn)之間的傳輸鏈路提供加密保護。用戶(hù)可根據網(wǎng)絡(luò )情況選擇上述三種加密方式。

　　信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施的，它以很小的代價(jià)提供很牢靠的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經(jīng)公開(kāi)發(fā)表的各種加密算法多達數百種。如果按照收發(fā)雙方的密鑰是否相同來(lái)分類(lèi)，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。

　　在實(shí)際應用中，人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來(lái)加密信息，而采用RSA來(lái)傳遞會(huì )話(huà)密鑰。如果按照每次加密所處理的比特來(lái)分類(lèi)，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個(gè)比特而后者則先將信息序列分組，每次處理一個(gè)組。

　　網(wǎng)絡(luò )加密技術(shù)是網(wǎng)絡(luò )安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò )，不但可以防止非授權用戶(hù)的搭線(xiàn)偷聽(tīng)和入網(wǎng)，而且也是對付惡意軟件（或病毒）的有效方法之一。

　　2.2 防火墻技術(shù) 防火墻（Firewall）是用一個(gè)或一組網(wǎng)絡(luò )設備（計算機系統或路由器等），在兩個(gè)或多個(gè)網(wǎng)絡(luò )間加強訪(fǎng)問(wèn)控制，以保護一個(gè)網(wǎng)絡(luò )不受來(lái)自另一個(gè)網(wǎng)絡(luò )攻擊的安全技術(shù)。防火墻的組成可以表示為：防火墻=過(guò)濾器+安全策略（+網(wǎng)關(guān)），它是一種非常有效的網(wǎng)絡(luò )安全技術(shù)。在Internet上，通過(guò)它來(lái)隔離風(fēng)險區域（即Internet或有一定風(fēng)險的網(wǎng)絡(luò )）與安全區域（內部網(wǎng)，如Intranet）的連接，但不防礙人們對風(fēng)險區域的訪(fǎng)問(wèn)。防火墻可以監控進(jìn)出網(wǎng)絡(luò )的通信數據，從而完成僅讓安全、核準的信息進(jìn)入，同時(shí)又抵制對企業(yè)構成威脅的數據進(jìn)入的任務(wù)。

　　2.3 網(wǎng)絡(luò )地址轉換技術(shù)（NAT） 網(wǎng)絡(luò )地址轉換器也稱(chēng)為地址共享器（Address Sharer）或地址映射器，設計它的初衷是為了解決IP地址不足，現多用于網(wǎng)絡(luò )安全。內部主機向外部主機連接時(shí)，使用同一個(gè)IP地址；相反地，外部主機要向內部主機連接時(shí)，必須通過(guò)網(wǎng)關(guān)映射到內部主機上。它使外部網(wǎng)絡(luò )看不到內部網(wǎng)絡(luò )，從而隱藏內部網(wǎng)絡(luò )，達到保密作用，使系統的安全性提高，并且節約從ISP得到的外部IP地址。

　　2.4 操作系統安全內核技術(shù) 除了在傳統網(wǎng)絡(luò )安全技術(shù)上著(zhù)手，人們開(kāi)始在操作系統的層次上考慮網(wǎng)絡(luò )安全性，嘗試把系統內核中可能引起安全性問(wèn)題的部分從內核中剔除出去，從而使系統更安全。操作系統平臺的安全措施包括：采用安全性較高的操作系統；對操作系統的安全配置；利用安全掃描系統檢查操作系統的漏洞等。

　　美國國防部（DOD）技術(shù)標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A級，其安全等級由低到高。目前主要的操作系統的安全等級都是C2級（例如，Unix、Windows NT），其特征包括：①用戶(hù)必須通過(guò)用戶(hù)注冊名和口令讓系統識別；②系統可以根據用戶(hù)注冊名決定用戶(hù)訪(fǎng)問(wèn)資源的權限；③系統可以對系統中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng )建其他具有系統管理權限的用戶(hù)。

　　2.5 身份驗證技術(shù) 身份驗證（Identification）是用戶(hù)向系統出示自己身份證明的過(guò)程。身份認證是系統查核用戶(hù)身份證明的過(guò)程。這兩個(gè)過(guò)程是判明和確認通信雙方真實(shí)身份的兩個(gè)重要環(huán)節，人們常把這兩項工作統稱(chēng)為身份驗證（或身份鑒別）。

　　它的安全機制在于首先對發(fā)出請求的用戶(hù)進(jìn)行身份驗證，確認其是否是合法的用戶(hù)，如是合法的用戶(hù)，再審核該用戶(hù)是否有權對他所請求的服務(wù)或主機進(jìn)行訪(fǎng)問(wèn)。從加密算法上來(lái)講，其身份驗證是建立在對稱(chēng)加密的基礎上的。

　　2.6 網(wǎng)絡(luò )防病毒技術(shù) 在網(wǎng)絡(luò )環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH病毒及愛(ài)蟲(chóng)病毒就足以證明如果不重視計算機網(wǎng)絡(luò )防病毒，那可能給社會(huì )造成災難性的后果，因此計算機病毒的防范也是網(wǎng)絡(luò )安全技術(shù)中重要的一環(huán)。

　　網(wǎng)絡(luò )防病毒技術(shù)的具體實(shí)現方法包括對網(wǎng)絡(luò )服務(wù)器中的文件進(jìn)行頻繁地掃描和監測，工作站上采用防病毒芯片和對網(wǎng)絡(luò )目錄及文件設置訪(fǎng)問(wèn)權限等。防病毒必須從網(wǎng)絡(luò )整體考慮，從方便管理人員的工作著(zhù)手，通過(guò)網(wǎng)絡(luò )環(huán)境管理網(wǎng)絡(luò )上的所有機器，如利用網(wǎng)絡(luò )喚醒功能，在夜間對全網(wǎng)的客戶(hù)機進(jìn)行掃描，檢查病毒情況；利用在線(xiàn)報警功能，網(wǎng)絡(luò )上每一臺機器出現故障、病毒侵入時(shí)，網(wǎng)絡(luò )管理人員都能及時(shí)知道，從而從管理中心處予以解決。

【對計算機網(wǎng)絡(luò )安全策略及安全技術(shù)的若干思考】相關(guān)文章：

企業(yè)人文管理的若干思考03-30

企業(yè)招聘管理的若干思考11-14

網(wǎng)絡(luò )德育教育的若干思考03-29

內部審計與舞弊防治的若干思考03-29

混凝土施工裂縫治理的若干思考03-28

企業(yè)經(jīng)營(yíng)創(chuàng )新的若干思考11-09

票據市場(chǎng)發(fā)展若干問(wèn)題的思考11-15

對我國保險代位求償制度的若干思考12-11

高校心理健康教育的若干思考03-10