李永思　于曉冉

摘 要：網(wǎng)絡(luò)安全機(jī)制是網(wǎng)絡(luò)安全策略的實(shí)施手段。安全機(jī)制的種類繁多，本文簡單的講述了一些常用的安全機(jī)制。要實(shí)現(xiàn)某個(gè)安全策略或模型，通常要結(jié)合一種或多種安全機(jī)制。

關(guān)鍵詞：訪問控制；加密技術(shù)；防火墻技術(shù)；Windows安全機(jī)制

1 訪問控制

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略之一，其主要內(nèi)容是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制涉及到技術(shù)比較廣，主要包括：第一，入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。能控制那些用戶能登陸到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證、用戶帳號的默認(rèn)限制檢查。三道關(guān)卡中只要任何一關(guān)不過，用戶便不能進(jìn)入網(wǎng)絡(luò)。第二，網(wǎng)絡(luò)權(quán)限控制。網(wǎng)絡(luò)權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，控制用戶可以訪問那些目錄、子目錄、文件和其他資源。例如，可以根據(jù)訪問權(quán)限將用戶分為幾類：特殊用戶、一般用戶、審計(jì)用戶等，對不同的用戶分配不同的資源訪問權(quán)限。第三，目錄級安全控制。網(wǎng)絡(luò)允許合法用戶對相關(guān)目錄，文件和設(shè)備的訪問。例如，對目錄和文件的訪問權(quán)限一般有八中：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限和訪問控制權(quán)限。網(wǎng)絡(luò)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶的訪問和操作，八種訪問權(quán)限的有效組合可以讓用戶有效的完成工作，同時(shí)又能有效地控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)網(wǎng)絡(luò)與服務(wù)器的安全性。第四，屬性安全控制。當(dāng)使用文件，目錄和網(wǎng)絡(luò)設(shè)備等資源時(shí)，系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全是在權(quán)限安全的基礎(chǔ)上提供進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性，用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張?jiān)L問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享等。

2 數(shù)據(jù)加密技術(shù)

通常由加密和解密兩個(gè)過程組成，通過加密密鑰將明文轉(zhuǎn)變成不可讀的密文，通過解密算法和解密密鑰將密文恢復(fù)為可讀的明文。加密的目的是防止有價(jià)值的信息在網(wǎng)絡(luò)上別攔截和竊取。根據(jù)加密方和解密方使用的密鑰是否相同，可將加密技術(shù)分為對稱加密算法和非對稱加密算法。前者算法簡單，算法效率高，但是密鑰管理非常麻煩，因?yàn)槿我庖粚νㄐ胖g都需要分配一個(gè)密鑰。它在一些特殊的應(yīng)用場合非常有效，如銀行系統(tǒng)中應(yīng)用等。而后者算法復(fù)雜，算法效率低，但是密鑰管理簡單，因?yàn)槠渲杏幸环降拿荑€是公開的。下面通過ATM取款來說明加密算法的應(yīng)用。如何保證客戶在ATM機(jī)上輸入的銀行賬號數(shù)據(jù)不泄露呢？用數(shù)據(jù)加密使客戶的銀行數(shù)據(jù)在ATM端通過加密后，將數(shù)據(jù)傳送到銀行的服務(wù)器端，服務(wù)器完成數(shù)據(jù)解密和處理后，再將處理結(jié)果傳送給ATM端。

3 防火墻

一個(gè)實(shí)施訪問控制策略的系統(tǒng)，它位于內(nèi)部網(wǎng)與公共網(wǎng)絡(luò)之間，將內(nèi)部網(wǎng)與公共網(wǎng)絡(luò)分隔開來，用于控制進(jìn)出內(nèi)部網(wǎng)的通信數(shù)據(jù)，加強(qiáng)網(wǎng)間訪問控制。防火墻軟件可以運(yùn)行在一臺路由器或者主機(jī)之上，也可以運(yùn)行在由這些設(shè)備構(gòu)成的小規(guī)模網(wǎng)絡(luò)上。運(yùn)行防火墻軟件的硬件設(shè)備可以是專門的路由器或者主機(jī)，也可以是兼有傳輸功能的路由器或計(jì)算機(jī)功能的主機(jī)。兩種類型的防火墻可以相互補(bǔ)充，相互配合。實(shí)現(xiàn)防火墻的技術(shù)包括分組過濾技術(shù)、代理服務(wù)器技術(shù)和狀態(tài)檢測技術(shù)。防火墻不能保證網(wǎng)絡(luò)上數(shù)據(jù)的完整性。它本身不是完整的安全解決方案，需要與其他安全措施相結(jié)合，如加密技術(shù)、認(rèn)證技術(shù)和入侵檢測技術(shù)。

4 Windows XP的基本安全防范手段

主要包括用戶管理、密碼設(shè)置、共享管理、系統(tǒng)信息備份與恢復(fù)以及硬盤安全操作等。這些針對身份認(rèn)證、基本訪問控制、災(zāi)難恢復(fù)方面的基本設(shè)置可以提高系統(tǒng)的安全性，提供對病毒和惡意代碼攻擊的防御能力。

要進(jìn)一步提高系統(tǒng)的安全保障，可以使用更高級的安全措施，如Windows XP提供的更高級安全防范手段包括關(guān)閉不必要的端口和服務(wù)、Office辦公軟件的保密性設(shè)置、壓縮文件的加密方法、電子郵件和IE瀏覽器的安全使用等。

下面以關(guān)閉端口為例說明Windows XP的高級安全防范手段：端口是計(jì)算機(jī)與外界通信的渠道，它們就像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。各類數(shù)據(jù)包在最終封包時(shí)都會加入端口信息，以標(biāo)識不同的協(xié)議和應(yīng)用。許多蠕蟲病毒就是利用端口信息實(shí)現(xiàn)惡意騷擾的。因此，有必要把一些危險(xiǎn)而又不常用的端口關(guān)閉掉，以保證系統(tǒng)安全。

在TCP/IP中關(guān)閉端口的步驟如下：⑴進(jìn)入配置IP地址的“Internet協(xié)議（TCP/IP）屬性”對話框后，單機(jī)“高級”按鈕，打開“高級TCP/IP設(shè)置”對話框；⑵選擇“選項(xiàng)”選項(xiàng)卡；⑶選中“TCP/IP篩選”，單擊“屬性”按鈕，打開“TCP/IP篩選”對話框。選中“只允許”單選按鈕，單擊“確定”按鈕后，就關(guān)閉了除指定的三個(gè)端口以外的其他端口。這樣，計(jì)算機(jī)安全得多。還可以對其他選項(xiàng)卡設(shè)置。例如，要禁NetBIOS（Network Basic Input/Output System，網(wǎng)絡(luò)基本輸入輸出系統(tǒng)），只需選擇“WINS”選項(xiàng)卡，然后選中“禁用TCP/IP上的NetBIOS”單選按鈕即可。禁用NetBIOS后，可避免黑客利用NetBIOS漏洞入侵計(jì)算機(jī)系統(tǒng)。

[參考文獻(xiàn)]

[1]吳基傳.信息技術(shù)與信息產(chǎn)業(yè)[M].北京：新華出版社，2000.

[2]吳功宜，等.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)教程——自頂向下分析與設(shè)計(jì)方法[M].北京：機(jī)械工業(yè)出版社，2010.