趙志宇 孟光勝

[摘要]隨著計(jì)算機(jī)的廣泛使用和網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的安全已成為大家共同關(guān)心的話(huà)題。因此就影響計(jì)算機(jī)網(wǎng)絡(luò)安全一些因素提出相應(yīng)的解決方案。

[關(guān)鍵詞]網(wǎng)絡(luò)安全策略

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1871—7597(2009)1020090--01

一、計(jì)算機(jī)啊培安全的含義

計(jì)算機(jī)網(wǎng)絡(luò)安全的含義是針對(duì)具體用戶(hù)的，用戶(hù)不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也不同。對(duì)于普通用戶(hù)來(lái)說(shuō)，其目的可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而對(duì)于網(wǎng)絡(luò)提供商來(lái)說(shuō)，除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，和在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

二、影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素

1、不協(xié)調(diào)的硬件配置。一是服務(wù)器，其運(yùn)行的穩(wěn)定性、功能的完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。如若在設(shè)計(jì)和選型上考慮欠周密，將使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代；二是工作站選配不當(dāng)導(dǎo)致的網(wǎng)絡(luò)不穩(wěn)定。2、網(wǎng)絡(luò)操作系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問(wèn)題。任何一個(gè)系統(tǒng)都不是萬(wàn)無(wú)一失的。3、缺少安全策略。這個(gè)主要是在配置防火墻時(shí)無(wú)意中擴(kuò)大了訪(fǎng)問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。4、訪(fǎng)問(wèn)控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給不法分子以可乘之機(jī)。5、管理制度不健全，網(wǎng)絡(luò)的管理、維護(hù)沒(méi)有一個(gè)健全的體系，任其自然。

三、確保計(jì)算機(jī)網(wǎng)絡(luò)安全的策略

1、在病毒的防護(hù)上應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系計(jì)算機(jī)病毒在形式上越來(lái)越狡猾，造成的危害也日益嚴(yán)重。據(jù)有關(guān)調(diào)查顯示：70％的病毒發(fā)生在網(wǎng)絡(luò)上，由此考慮到病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多樣，故在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的防毒軟件，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。具體而言t就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過(guò)全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒(méi)有薄弱環(huán)節(jié)成為病毒入侵的缺口。

2、在網(wǎng)絡(luò)安全的集中管理方面應(yīng)用防火墻技術(shù)，控制訪(fǎng)問(wèn)權(quán)限防火墻是在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件；設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶(hù)使用，防止內(nèi)部受到外部非法用戶(hù)的攻擊。防火墻的功能：

(1)防火墻能夠強(qiáng)化安全策略。通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。

(2)防火墻能有效地記錄因特網(wǎng)上的活動(dòng)。將所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么防火墻就能記錄下這些訪(fǎng)問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，井提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

(3)防火墻限制暴露用戶(hù)點(diǎn)。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線(xiàn)索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透露的內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。

(4)防火墻是一個(gè)安全策略的檢查站防火墻在內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)，以實(shí)現(xiàn)所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。網(wǎng)絡(luò)管理員可以通過(guò)這個(gè)檢查點(diǎn)，配置防火墻監(jiān)視、過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量而實(shí)現(xiàn)安全目的。

3、在網(wǎng)絡(luò)與主機(jī)資源的保護(hù)方面應(yīng)用入侵檢測(cè)技術(shù)，防止內(nèi)外網(wǎng)攻擊入侵檢測(cè)系統(tǒng)(intrusion detection system，IDS)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)；它的目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自?xún)?nèi)部用戶(hù)的非授權(quán)行為，并且采取相應(yīng)的防護(hù)手段。應(yīng)用防火墻技術(shù)，雖能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。但僅使用防火墻，還不能保證網(wǎng)絡(luò)的充分安全。因?yàn)椋?1)入侵者可能尋找到防火墻背后敞開(kāi)的后門(mén)；(2)入侵者可能就在防火墻內(nèi)；(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。

那么，應(yīng)用入侵檢測(cè)系統(tǒng)可以提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段·如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)槭紫人軌驅(qū)Ω秮?lái)自?xún)?nèi)外網(wǎng)絡(luò)的攻擊，其次是因?yàn)樗軌蚩s短黑客入侵的時(shí)間。如在需要保護(hù)的主機(jī)網(wǎng)段上安裝了入侵檢測(cè)系統(tǒng)，可以實(shí)時(shí)監(jiān)視各種對(duì)主機(jī)的訪(fǎng)問(wèn)請(qǐng)求，并及時(shí)將信息反饋給控制臺(tái)，這樣全網(wǎng)任何一臺(tái)主機(jī)受到攻擊時(shí)系統(tǒng)都可以及時(shí)發(fā)現(xiàn)。

4、應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評(píng)估與安全加固網(wǎng)絡(luò)安全掃描技術(shù)是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)。通過(guò)網(wǎng)絡(luò)安全掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的Web服務(wù)器的各種TCP／IP端口的分配、開(kāi)放的服務(wù)、Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上的安全漏洞。通過(guò)對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配簧和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀(guān)評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合就能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性。

5、應(yīng)用網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)站安全可靠的運(yùn)行Web服務(wù)系統(tǒng)是個(gè)讓外界了解您的窗口，它的正常運(yùn)行將關(guān)系到您的形象。由于網(wǎng)站服務(wù)器系統(tǒng)在安全檢測(cè)中存在嚴(yán)重的安全漏洞，也是黑客入侵的極大目標(biāo)。此時(shí)使用網(wǎng)站監(jiān)控與自動(dòng)恢復(fù)系統(tǒng)，可以保護(hù)網(wǎng)站服務(wù)器的安全。

6、應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系，防范安全突發(fā)事件網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程，意味著她的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。隨著信息技術(shù)的日新月異，昔日固若金湯的網(wǎng)絡(luò)安全策略，也會(huì)變得不堪一擊。因此，我們要隨時(shí)調(diào)整自身的安全策略，并及時(shí)組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專(zhuān)人負(fù)責(zé)，防范安全突發(fā)事件。

四、小結(jié)

本文就影響計(jì)算機(jī)網(wǎng)絡(luò)安全的一些因素提出了相應(yīng)的解決方案。隨著網(wǎng)絡(luò)的發(fā)展，新的問(wèn)題仍然會(huì)產(chǎn)生，而有關(guān)網(wǎng)絡(luò)安全的技術(shù)還會(huì)誕生，因此有關(guān)網(wǎng)絡(luò)安全的各項(xiàng)技術(shù)仍有待進(jìn)一步的研究和完善。