淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范

代 沁 張 亮 董海兵 師建宇

（中國(guó)石油呼和浩特石化公司，內(nèi)蒙古 呼和浩特 010070）

1 概述

當(dāng)今世界中網(wǎng)絡(luò)已經(jīng)成為人們必不可少的工具，它在人們?nèi)粘Ｉ詈凸ぷ髦袠O大的帶來各方面的便利條件，但是在網(wǎng)絡(luò)安全問題刻不容緩，涉及于從國(guó)家安全到個(gè)人財(cái)產(chǎn)、個(gè)人信息等。下面淺談以個(gè)人的理解和經(jīng)歷來總結(jié)出的網(wǎng)絡(luò)安全性的重要性和一般涉及到的網(wǎng)絡(luò)安全技術(shù)和防范措施。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

2.1.1虛擬局域網(wǎng)（VLAN）

虛擬局域網(wǎng)（VLAN）能夠賦予網(wǎng)絡(luò)管理系統(tǒng)限制VLAN以外的網(wǎng)絡(luò)節(jié)點(diǎn)與網(wǎng)內(nèi)的通信，可防止基于網(wǎng)絡(luò)的監(jiān)聽入侵。例如可把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器等單獨(dú)劃分為一個(gè)VLAN1，把企業(yè)的外聯(lián)網(wǎng)劃分為另一個(gè)VLAN2，通過控制VLAN1和VLAN2間的單向信息流向，即VLAN1可訪問VLAN2的信息，VLAN2不能訪問VIAN1的信息，這樣就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用，而且某個(gè)VLAN出現(xiàn)的問題不會(huì)穿過VLAN傳播到整個(gè)網(wǎng)絡(luò)，因而大大提高了網(wǎng)絡(luò)系統(tǒng)的安全性。

2.1.2虛擬專用網(wǎng)（VPN）

虛擬專用網(wǎng)（VPN）專用于Intranet（企業(yè)內(nèi)部網(wǎng)）與Internet（因特網(wǎng)）的安全互連，VPN不是一個(gè)獨(dú)立的物理網(wǎng)絡(luò)，VPN是利用公共網(wǎng)絡(luò)資源為用戶建立的邏輯上的虛擬的專用網(wǎng)，是在一定的通信協(xié)議基礎(chǔ)上，通過因特網(wǎng)在遠(yuǎn)程客戶機(jī)與企業(yè)內(nèi)部網(wǎng)之間，建立一條加密的多協(xié)議的“隧道”，VPN可以將信息加密后重新組包在公共網(wǎng)絡(luò)上傳輸，是一種集網(wǎng)絡(luò)加密、訪問控制、認(rèn)證和網(wǎng)絡(luò)管理于一體，能夠?qū)崿F(xiàn)廉價(jià)的、安全可靠的跨地域的數(shù)據(jù)通信。

2.1.3防火墻

防火墻是特定的計(jì)算機(jī)硬件和軟件的組合，它在兩個(gè)計(jì)算機(jī)網(wǎng)絡(luò)之間實(shí)施相應(yīng)的訪問控制策略，使得內(nèi)部網(wǎng)絡(luò)與Internet或其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，禁止外部網(wǎng)絡(luò)的客戶直接進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，內(nèi)部網(wǎng)絡(luò)用戶也必須經(jīng)過授權(quán)才能訪問外部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，必須安裝防火墻。

2.1.4安全審計(jì)技術(shù)

安全審計(jì)技術(shù)是對(duì)用戶使用網(wǎng)絡(luò)系統(tǒng)時(shí)所進(jìn)行的所有活動(dòng)過程進(jìn)行記錄，可跟蹤記錄中的有關(guān)信息，對(duì)用戶進(jìn)行安全控制。通過誘捕與反擊兩個(gè)手段，故意安排漏洞，誘使入侵者入侵，以獲得入侵證據(jù)和入侵特征，跟蹤入侵者來源，查清其真正身份，對(duì)其行為采取有效措施，切斷入侵者與網(wǎng)絡(luò)系統(tǒng)的連接。

2.1.5防病毒技術(shù)

在Internet接入處如防火墻、路由器、代理服務(wù)器上可安裝基于Internet網(wǎng)關(guān)的防病毒軟件。在內(nèi)部網(wǎng)絡(luò)的各個(gè)服務(wù)器上也要安裝防病毒軟件，防止內(nèi)部網(wǎng)絡(luò)用戶通過服務(wù)器擴(kuò)散病毒。內(nèi)部網(wǎng)絡(luò)的每臺(tái)計(jì)算機(jī)終端都要安裝可以定期更新的防病毒軟件，并且要定期掃描病毒，每個(gè)用戶都應(yīng)該知道檢測(cè)出病毒時(shí)該如何處理。

2.1.6安全掃描技術(shù)

安全掃描技術(shù)分為基于服務(wù)器和基于網(wǎng)絡(luò)兩種，它能實(shí)時(shí)掃描和及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、交換機(jī)、防火墻等系統(tǒng)設(shè)備的安全漏洞。

2.1.7 WAP協(xié)議技術(shù)

為提高計(jì)算機(jī)無線互聯(lián)網(wǎng)的安全性和保密性，可使用WAP協(xié)議來防止電磁波泄露、防止數(shù)據(jù)被竊聽、被假冒和被篡改等。

2.1.8數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是利用數(shù)學(xué)原理，采用軟件方法或硬件方法重新組織數(shù)據(jù)信息，使得除了合法的接收者，任何人很難恢復(fù)原來的數(shù)據(jù)信息或讀懂變化后的數(shù)據(jù)信息。數(shù)據(jù)加密技術(shù)主要有私鑰加密和公鑰加密兩種。

2.1.9信息認(rèn)證技術(shù)

信息認(rèn)證技術(shù)包括數(shù)字簽名、身份識(shí)別和信息完整性校驗(yàn)等。在電子商務(wù)活動(dòng)中，信息認(rèn)證是通過第三方權(quán)威機(jī)構(gòu)對(duì)用戶合法性進(jìn)行檢驗(yàn)和確認(rèn)，從而保證交易雙方或多方的利益不受損害。

2.2 網(wǎng)絡(luò)環(huán)境要求與網(wǎng)絡(luò)設(shè)備的安全配置

2.2.1交換機(jī)的安全配置要求

1)從設(shè)備廠商獲取到升級(jí)包后，在測(cè)試環(huán)境中對(duì)升級(jí)包進(jìn)行測(cè)試后再進(jìn)行補(bǔ)丁更新。

2)普通用戶的口令應(yīng)與超級(jí)用戶的口令存在較大的區(qū)別。

3)超級(jí)管理員的密碼應(yīng)采用不可逆加密算法進(jìn)行加密處理，登陸設(shè)備后靜態(tài)口不是明文存放。

4)應(yīng)對(duì)遠(yuǎn)程登陸設(shè)備的IP地址進(jìn)行限制，在設(shè)備上設(shè)定可登陸的IP地址。

5)啟用OSPF協(xié)議加密認(rèn)證的方式。

6)更改SNMP通信協(xié)議中讀操作的默認(rèn)口令。

我常常利用課前或早讀給學(xué)生們念上一篇或一段美文，共同賞析，望著那一雙專注的眼神我知道他們被文中的文字深深地打動(dòng)著，聽完后，我們?cè)谝黄鸾涣餍闹械母袆?dòng)，那相似的情感流露就是一首首動(dòng)人的小詩。

7)應(yīng)制定可與網(wǎng)絡(luò)設(shè)備進(jìn)行SNMP讀交互的IP地址。

8)啟用網(wǎng)絡(luò)設(shè)備的日志記錄功能，記錄用戶登錄設(shè)備行為和登錄后的操作行為。

9)開啟網(wǎng)絡(luò)設(shè)備的NTP服務(wù)，達(dá)到時(shí)間的同步。

10)應(yīng)開啟網(wǎng)絡(luò)設(shè)備的SSH服務(wù)，通過SSH協(xié)議進(jìn)行隊(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程維護(hù)，提高通信的安全性。

11)應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備的Telnet服務(wù)，不要通過Telnet協(xié)議遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備。

2.2.2路由器的安全配置要求

1)普通用戶的口令應(yīng)與超級(jí)用戶的口令存在較大的區(qū)別。

2)超級(jí)管理員的密碼應(yīng)采用不可逆加密算法進(jìn)行加密處理，登錄設(shè)備后靜態(tài)口不是明文存放。

4)更改SNMP通信協(xié)議中讀操作的默認(rèn)口令。

5)應(yīng)制定可與網(wǎng)絡(luò)設(shè)備進(jìn)行SNMP讀交互的IP地址。

6)啟用網(wǎng)絡(luò)設(shè)備的日志記錄功能，記錄用戶登錄設(shè)備行為和登錄后的操作行為。

7)開啟網(wǎng)絡(luò)設(shè)備的NTP服務(wù)，達(dá)到時(shí)間的同步。

8)應(yīng)開啟網(wǎng)絡(luò)設(shè)備的SSH服務(wù)，通過SSH協(xié)議進(jìn)行隊(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程維護(hù)，提高通信的安全性。

9)應(yīng)關(guān)閉網(wǎng)絡(luò)設(shè)備的Telnet服務(wù)，不要通過Telnet協(xié)議遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備。

2.2.3防火墻的安全配置要求

1)防火墻的遠(yuǎn)程管理協(xié)議應(yīng)采用SSH協(xié)議或Https協(xié)議，保證通信的安全性。

2)管理員的角色中至少應(yīng)包括系統(tǒng)管理員、審計(jì)管理員等用戶角色。

3)安排專人每天對(duì)防火墻的日志進(jìn)行分析，對(duì)記錄的高危時(shí)間應(yīng)重點(diǎn)分析，并追溯源頭。

結(jié)束語

從國(guó)家到民間各行各業(yè)中網(wǎng)絡(luò)已成為了信息時(shí)代的基礎(chǔ)。它的安全運(yùn)行也成為了人們注重的事物之一。在這信息技術(shù)發(fā)達(dá)的年代我們應(yīng)該學(xué)會(huì)計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)與防范措施，而對(duì)于某單位或某行業(yè)的網(wǎng)絡(luò)管理員顯的更為重要。

[1]周炎濤.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用教程（第2版）[M].電子工業(yè)出版社.2004.

[2]楊富國(guó)等.網(wǎng)絡(luò)設(shè)備安全與防火墻[M].北方交通大學(xué)出版社.2005.