1、 1 浅谈计算机网络安全及建设浅谈计算机网络安全及建设 摘 要 : 本文简要介绍了计算机网络安全的体系结构,分析了网络安全的设计原则,讨论 了计算机网络的安全策略、 管理原则以及网络各层的安全设计, 最后提出了网络安全产品的 选型原则。 关键词 : 计算机 ; 网络 ; 安全; 建设 信息是当今社会发展的重要资源,整个社会对信息的依赖程度越来越高。尽管个人、 部门和整个企业都已认识到信息的宝贵价值和私有性,但竞争已迫使各机构打破原有的界 限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间,并在相互 协作的环境中孕育出更多的革新和创造。 然而, 在群件系统中共享的信息却必须保
2、证其安全 性,以防止有意无意的破坏,因此,网络安全成为一个重要的问题。 1 1、网络安全体系结构、网络安全体系结构 通过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安 全目标,具体的安全控制系统可以可以分为:物理安全、系统安全、网络安全、应用安全、 管理安全等几个方面。 1.1. 物理安全 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全 的前提。 物理安全是保护计算机网络的物理通路不被损坏、 不被窃听以及不被攻击和干扰等。 它主要包括三个方面:环境安全、设备安全、媒体安全。 正常的防范措施主要在三个方 面: 对主机房及重要信息存储、 收发部门进行屏蔽处理,
3、防止信号外泄; 对本地网、 局域网传输线路传导辐射的抑制; 对终端设备辐射的防范。 1.2 系统安全 分为网络结构安全、操作系统安全、应用系统安全。网络结构的安全 主要指网络拓扑结构是否合理、线路是否有冗余、路由是否冗余、防止单点失败等。 对于 操作系统的安全防范可以采取如下策略: 尽量采用安全性较高的网络操作系统并进行必要的 安全配置、 关闭一些起不常用却存在安全隐患的应用、 对一些保存有用户信息及其口令的关 键文件使用权限进行严格限制、加强口令字的使用,并及时给系统打补丁、系统内部的相互 调用不对外公开等; 通过配备安全扫描系统对操作系统进行安全性扫描, 及时发现安全漏 洞,并有效地对其进
4、行重新配置或升级。在应用系统安全上,应用服务器尽量不要开放一些 没有经常用的协议及协议端口号、加强登录身份认证,确保用户使用的合法性、并严格限制 登录者的操作权限, 将其完成的操作限制在最小的范围内。 充分利用操作系统和应用系统本 身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。 1.3 网络安全 网络安全是整个安全解决方案的关键,通过访问控制、通信保密、入 侵检测、网络安全扫描系统、防病毒分别进行。 隔离与访问控制可通过严格的管理制度 、 划分虚拟子网(VLAN)、 配备防火墙来进行。 内部办公自动化网络根据不同用户安全级别或者 根据不同部门的安全需求,利用三层交换机来划分虚拟子
5、网(VLAN) ,在没有配置路由的情 况下,不同虚拟子网间是不能够互相访问。防火墙是实现网络安全最基本、最经济、最有效 的安全措施之一。 它通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔 离与访问控制; 并且可以实现单向或双向控制, 对一些高层协议实现较细粒的访问控制。 通 信保密是使得在网上传送的数据是密文形式, 而不是明文。 可以选择链路层加密和网络层加 密等方式。 入侵检测是根据已有的、 最新的攻击手段的信息代码对进出网段的所有操作行为 进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送 E-mail) ,从而防止针 对网络的攻击与犯罪行为。入侵检测系统一般包括
6、控制台和探测器(网络引擎) 。控制台用 作制定及管理所有探测器(网络引擎) 。探测器(网络引擎)用作监听进出网络的访问行为, 根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检 测系统的应用不会对网络系统性能造成多大影响。 网络扫描系统可以对网络中所有部件 (Web 2 站点,防火墙,路由器,TCP/IP 及相关协议服务)进行攻击性扫描、分析和评估,发现并 报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。病毒防护也是网络安全建设中 应该考滤的重要的环节之一,反病毒技术包括预防病毒、检测病毒和杀毒三种技术。 1.4 应用安全 表现在内部 OA 系统中资源共享和信息存储等方面。 严格控制内部员工 对网络共享资源的使用, 在内部子网中一般不要轻易开放共享目录, 对有经常交换信息需求 的用户, 在共享时也必须加上必要的口令认证机制, 即只有通过口令的认证才允许访问数据。 对有涉及企业秘密信息的用户主机, 使用者在应用过程中应该做到尽量少开放一些不常用的 网络服务。对数据库服务器中的数据库必须做安全备份,通过网络备份系统,可以对数据库 进行远
