淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全及建設(shè)

2013-12-03 16:34:02 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘要：本文簡(jiǎn)要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)，分析了網(wǎng)絡(luò)安全的設(shè)計(jì)原則，討論了計(jì)算機(jī)網(wǎng)絡(luò)的安全策略、管理原則以及網(wǎng)絡(luò)各層的安全設(shè)計(jì)，最后提出了網(wǎng)絡(luò)安全產(chǎn)品的選型原則。關(guān)鍵詞：計(jì)算機(jī) ；

摘要： 本文簡(jiǎn)要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的體系結(jié)構(gòu)，分析了網(wǎng)絡(luò)安全的設(shè)計(jì)原則，討論了計(jì)算機(jī)網(wǎng)絡(luò)的安全策略、管理原則以及網(wǎng)絡(luò)各層的安全設(shè)計(jì)，最后提出了網(wǎng)絡(luò)安全產(chǎn)品的選型原則。
關(guān)鍵詞： 計(jì)算機(jī) ；網(wǎng)絡(luò) ；安全；建設(shè)
信息是當(dāng)今社會(huì)發(fā)展的重要資源，整個(gè)社會(huì)對(duì)信息的依賴(lài)程度越來(lái)越高。盡管個(gè)人、部門(mén)和整個(gè)企業(yè)都已認(rèn)識(shí)到信息的寶貴價(jià)值和私有性，但競(jìng)爭(zhēng)已迫使各機(jī)構(gòu)打破原有的界限，在企業(yè)內(nèi)部或企業(yè)之間共享更多的信息，只有這樣才能縮短處理問(wèn)題的時(shí)間，并在相互協(xié)作的環(huán)境中孕育出更多的革新和創(chuàng)造。然而，在群件系統(tǒng)中共享的信息卻必須保證其安全性，以防止有意無(wú)意的破壞，因此，網(wǎng)絡(luò)安全成為一個(gè)重要的問(wèn)題。

1、網(wǎng)絡(luò)安全體系結(jié)構(gòu)
通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用的全面了解，按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo),具體的安全控制系統(tǒng)可以可以分為：物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全等幾個(gè)方面。
1.1. 物理安全   保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的物理通路不被損壞、不被竊聽(tīng)以及不被攻擊和干擾等。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。正常的防范措施主要在三個(gè)方面：  對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門(mén)進(jìn)行屏蔽處理，防止信號(hào)外泄；  對(duì)本地網(wǎng)、局域網(wǎng)傳輸線(xiàn)路傳導(dǎo)輻射的抑制；對(duì)終端設(shè)備輻射的防范。
1.2 系統(tǒng)安全   分為網(wǎng)絡(luò)結(jié)構(gòu)安全、操作系統(tǒng)安全、應(yīng)用系統(tǒng)安全。網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理、線(xiàn)路是否有冗余、路由是否冗余、防止單點(diǎn)失敗等。對(duì)于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶(hù)信息及其口令的關(guān)鍵文件使用權(quán)限進(jìn)行嚴(yán)格限制、加強(qiáng)口令字的使用，并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開(kāi)等；通過(guò)配備安全掃描系統(tǒng)對(duì)操作系統(tǒng)進(jìn)行安全性?huà)呙瑁皶r(shí)發(fā)現(xiàn)安全漏洞，并有效地對(duì)其進(jìn)行重新配置或升級(jí)。在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開(kāi)放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)、加強(qiáng)登錄身份認(rèn)證，確保用戶(hù)使用的合法性、并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對(duì)用戶(hù)所訪(fǎng)問(wèn)的信息做記錄，為事后審查提供依據(jù)。

1.3 網(wǎng)絡(luò)安全   網(wǎng)絡(luò)安全是整個(gè)安全解決方案的關(guān)鍵，通過(guò)訪(fǎng)問(wèn)控制、通信保密、入侵檢測(cè)、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病毒分別進(jìn)行。隔離與訪(fǎng)問(wèn)控制可通過(guò)嚴(yán)格的管理制度、劃分虛擬子網(wǎng)(VLAN)、配備防火墻來(lái)進(jìn)行。內(nèi)部辦公自動(dòng)化網(wǎng)絡(luò)根據(jù)不同用戶(hù)安全級(jí)別或者根據(jù)不同部門(mén)的安全需求，利用三層交換機(jī)來(lái)劃分虛擬子網(wǎng)（VLAN），在沒(méi)有配置路由的情況下，不同虛擬子網(wǎng)間是不能夠互相訪(fǎng)問(wèn)。防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。它通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪(fǎng)問(wèn)控制；并且可以實(shí)現(xiàn)單向或雙向控制，對(duì)一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪(fǎng)問(wèn)控制。通信保密是使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。可以選擇鏈路層加密和網(wǎng)絡(luò)層加密等方式。入侵檢測(cè)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送E-mail），從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測(cè)系統(tǒng)一般包括控制臺(tái)和探測(cè)器（網(wǎng)絡(luò)引擎）。控制臺(tái)用作制定及管理所有探測(cè)器（網(wǎng)絡(luò)引擎）。探測(cè)器（網(wǎng)絡(luò)引擎）用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。由于探測(cè)器采取的是監(jiān)聽(tīng)不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。網(wǎng)絡(luò)掃描系統(tǒng)可以對(duì)網(wǎng)絡(luò)中所有部件（Web站點(diǎn)，防火墻，路由器，TCP/IP及相關(guān)協(xié)議服務(wù)）進(jìn)行攻擊性?huà)呙琛⒎治龊驮u(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施。病毒防護(hù)也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一，反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)。

1.4 應(yīng)用安全   表現(xiàn)在內(nèi)部OA系統(tǒng)中資源共享和信息存儲(chǔ)等方面。嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用，在內(nèi)部子網(wǎng)中一般不要輕易開(kāi)放共享目錄，對(duì)有經(jīng)常交換信息需求的用戶(hù)，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過(guò)口令的認(rèn)證才允許訪(fǎng)問(wèn)數(shù)據(jù)。對(duì)有涉及企業(yè)秘密信息的用戶(hù)主機(jī)，使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開(kāi)放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份，通過(guò)網(wǎng)絡(luò)備份系統(tǒng)，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。

1.5 構(gòu)建CA(Certification Authority)體系   針對(duì)信息的安全性、完整性、正確性和不可否認(rèn)性等問(wèn)題，目前國(guó)際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。具體實(shí)現(xiàn)的辦法是使用數(shù)字證書(shū)，通過(guò)數(shù)字證書(shū)，把證書(shū)持有者的公開(kāi)密鑰（Public Key）與用戶(hù)的身份信息緊密安全地結(jié)合起來(lái)，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。根據(jù)機(jī)構(gòu)本身的特點(diǎn)，可以考濾先構(gòu)建一個(gè)本系統(tǒng)內(nèi)部的CA系統(tǒng)，即所有的證書(shū)只能限定在本系統(tǒng)內(nèi)部使用有效。隨著需求的發(fā)展，可以對(duì)CA系統(tǒng)進(jìn)行擴(kuò)充，與國(guó)家級(jí)CA系統(tǒng)互聯(lián)，實(shí)現(xiàn)不同企業(yè)間的交叉認(rèn)證。

1.6 安全管理   通過(guò)制定健全的安全管理體制、構(gòu)建安全管理平臺(tái)、增強(qiáng)人員的安全防范意識(shí)來(lái)進(jìn)行。制定健全的安全管理體制是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證；各部門(mén)應(yīng)經(jīng)常對(duì)員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識(shí)。構(gòu)建安全管理平臺(tái)將會(huì)降彽很多因?yàn)闊o(wú)意的人為因素而造成的風(fēng)險(xiǎn)，組建安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)一管理軟件，通過(guò)安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的安全管理。

上一頁(yè) 1 2 3 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊