文章編號：1672-5913(2008)16-0094-02

摘要：計算機網(wǎng)絡系統(tǒng)提供了資源共享性，系統(tǒng)的可靠性和可擴充性，然而正是這些特點增加了計算機網(wǎng)絡系統(tǒng)安全的脆弱性和復雜性。本文探討了計算機網(wǎng)絡系統(tǒng)安全策略與發(fā)展方向。

關鍵詞：計算機網(wǎng)絡；安全策略；發(fā)展方向

中圖分類號：G642

文獻標識碼：B

1計算機網(wǎng)絡系統(tǒng)安全策略的目標

計算機網(wǎng)絡系統(tǒng)是給廣大網(wǎng)絡用戶提供服務和收集信息的，網(wǎng)絡安全策略的目標是保護這些資源不被有意或無意的誤用，以及抵御網(wǎng)絡黑客的威脅和各種計算機網(wǎng)絡病毒的攻擊。計算機網(wǎng)絡系統(tǒng)安全策略要考慮以下幾個方面：

●可使用性

●實用性

●完整性

●可靠性

●保密性

●所有權

2計算機網(wǎng)絡系統(tǒng)安全策略

計算機網(wǎng)絡系統(tǒng)的安全管理主要是配合行政手段，制定有關網(wǎng)絡安全管理的規(guī)章制度，在技術上實現(xiàn)網(wǎng)絡系統(tǒng)的安全管理，確保網(wǎng)絡系統(tǒng)的安全、可靠地運行，主要涉及以下四個方面。

2.1網(wǎng)絡物理安全策略

計算機網(wǎng)絡系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、網(wǎng)絡用戶終端機、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機網(wǎng)絡系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機網(wǎng)絡系統(tǒng)控制室和網(wǎng)絡黑客的各種破壞活動。

2.2網(wǎng)絡訪問控制策略

訪問控制策略是計算機網(wǎng)絡系統(tǒng)安全防范和保護的主要策略，主要任務是保證網(wǎng)絡資源不被非法使用和非常規(guī)訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。各種網(wǎng)絡安全策略必須相互配合才能真正起到保護作用，所以網(wǎng)絡訪問控制策略是保證網(wǎng)絡安全最重要的核心策略之一。

(1) 入網(wǎng)訪問控制

入網(wǎng)訪問控制是為網(wǎng)絡訪問提供第一層訪問控制。它能控制網(wǎng)絡用戶合法登錄到網(wǎng)絡服務器并獲取網(wǎng)絡資源，控制準許網(wǎng)絡用戶入網(wǎng)的時間和方式。網(wǎng)絡用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證，用戶口令的識別與驗證，用戶賬號的默認限制檢查。三道防線中只要任何一道未通過，該用戶就不能進入該網(wǎng)絡。

(2) 網(wǎng)絡的權限控制

網(wǎng)絡的權限控制是針對網(wǎng)絡非法操作提出來的一種保護措施。網(wǎng)絡用戶和用戶組被賦予一定的權限。指定網(wǎng)絡用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他網(wǎng)絡資源。可以控制網(wǎng)絡用戶對這些目錄、文件和網(wǎng)絡資源能夠執(zhí)行哪些操作。可以根據(jù)訪問權限將網(wǎng)絡用戶分為以下三種：

① 特殊用戶：網(wǎng)絡系統(tǒng)管理員；

② 一般用戶：系統(tǒng)管理員根據(jù)實際需要為之分配權限；

③ 審計用戶：負責網(wǎng)絡的安全控制與資源使用情況的審計。

(3) 目錄級安全控制

計算機網(wǎng)絡系統(tǒng)應允許控制用戶對目錄、文件和其他網(wǎng)絡資源的訪問。網(wǎng)絡用戶在目錄一級指定的權限對所有文件和子目錄都有效，用戶還可以進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：

① 系統(tǒng)管理員權限(Supervisor)

② 讀權限(Read)

③ 寫權限(Write)

④ 創(chuàng)建權限(Create)

⑤ 刪除權限(Erase)

⑥ 修改權限(Modify)

⑦ 文件查找權限(File Scan)

⑧ 存取控制權限(Access Control)

計算機網(wǎng)絡系統(tǒng)管理員應為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。這八種訪問權限的有效組合可以讓用戶有效地完成工作，又能有效地控制用戶對服務器資源的訪問，這樣就加強了網(wǎng)絡系統(tǒng)和服務器的安全性。

(4) 屬性安全控制

網(wǎng)絡用戶在訪問網(wǎng)絡資源時，網(wǎng)絡系統(tǒng)管理員應給出訪問的文件、目錄等網(wǎng)絡資源的指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡資源聯(lián)系起來。屬性安全控制是在網(wǎng)絡權限控制安全的基礎上提供更進一步的安全性。

(5) 網(wǎng)絡服務器安全控制

網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞網(wǎng)絡系統(tǒng)資源；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔等等。網(wǎng)絡系統(tǒng)允許合法用戶在服務器控制臺上執(zhí)行裝載和卸載模塊、安裝和刪除軟件等一系列操作。

(6) 網(wǎng)絡監(jiān)測和鎖定控制

計算機網(wǎng)絡系統(tǒng)管理員應對網(wǎng)絡系統(tǒng)進行網(wǎng)絡監(jiān)控，網(wǎng)絡服務器應記錄用戶對網(wǎng)絡資源的訪問。對非法的網(wǎng)絡訪問，服務器應以文字、圖形或聲音等形式報警來提醒網(wǎng)絡管理員。如有非法黑客企圖攻擊、破壞網(wǎng)絡系統(tǒng)，網(wǎng)絡服務器應實施鎖定控制，自動記錄企圖攻擊網(wǎng)絡系統(tǒng)的次數(shù)，達到所設定的數(shù)值，該賬戶將被自動鎖定。

(7) 網(wǎng)絡端口和節(jié)點的安全控制

計算機網(wǎng)絡系統(tǒng)服務器的端口通常采用自動回呼設備、靜默調(diào)制解調(diào)器來實行保護，并用加密的方式來識別節(jié)點的身份。自動回呼設備用來防止假冒合法用戶，靜默調(diào)制解調(diào)器用于防范黑客的自動撥號程序?qū)τ嬎銠C網(wǎng)絡系統(tǒng)的攻擊。網(wǎng)絡系統(tǒng)還常對服務器端和用戶端采取控制，在對用戶的身份進行有效驗證后，才允許進入用戶端，并且用戶端和服務器端還需再進行相互驗證。

(8) 網(wǎng)絡防火墻控制：

網(wǎng)絡防火墻控制是一種保護計算機網(wǎng)絡系統(tǒng)安全的技術性措施，它是將計算機內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開的方法，實際上是一種隔離技術。它可以阻止網(wǎng)絡中的黑客來攻擊和破壞內(nèi)部網(wǎng)絡。目前網(wǎng)絡防火墻控制主要有以下三種類型：

●包過濾防火墻

●代理防火墻

●雙穴主機防火墻

2.3網(wǎng)絡信息加密策略

信息加密策略主要是保護計算機網(wǎng)絡系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡資源的安全。信息加密策略通常采用以下三種方法：

●網(wǎng)絡鏈路加密方法

●網(wǎng)絡端點加密方法

●網(wǎng)絡節(jié)點加密方法

計算機網(wǎng)絡系統(tǒng)的信息加密技術是保護網(wǎng)絡安全最有效的方法之一。采用網(wǎng)絡加密技術，不但可以防止非授權用戶的搭線竊聽和非法入網(wǎng)，也是對付網(wǎng)絡黑客惡意軟件攻擊和破壞計算機網(wǎng)絡系統(tǒng)的有效方法。

2.4網(wǎng)絡安全管理策略

包括確定網(wǎng)絡安全管理等級和安全管理范圍；制定有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的管理維護制度和應急措施等等。

3計算機網(wǎng)絡系統(tǒng)安全的發(fā)展方向

下面是一些國際機構(gòu)和計算機網(wǎng)絡專家、學者對本世紀計算機網(wǎng)絡系統(tǒng)安全性問題的發(fā)展方向和發(fā)生重大變化的可能性作出的一些預測：

(1) 網(wǎng)絡規(guī)范化方面

由于互聯(lián)網(wǎng)沒有國家界限，這使得各國政府如果不在網(wǎng)絡上截斷Internet與本國的聯(lián)系就不可能控制人們的所見所聞。即使完全切斷與Internet的聯(lián)系也是沒有用的，因為全球衛(wèi)星通信系統(tǒng)將最終結(jié)束國家的數(shù)據(jù)界限。這將使針對網(wǎng)絡通訊量或交易量收稅的工作產(chǎn)生有趣的和不可預期的效應。國家數(shù)據(jù)政策發(fā)布的不確定性將反映在不斷改變、混亂且無意義的條例中，就像近期未付諸實施的通信傳播合法化運動一樣。這些法律法規(guī)將被忽略、變更或成為過去，而網(wǎng)絡則將安然無恙，繼續(xù)存在。所以，各國政府將放棄規(guī)范化網(wǎng)絡內(nèi)容的努力。

(2) 網(wǎng)絡系統(tǒng)管理和安全管理方面

由于現(xiàn)行的很多網(wǎng)絡管理工具缺乏最基本的安全性，使整個網(wǎng)絡系統(tǒng)將可能被網(wǎng)絡黑客攻擊和完全破壞，達到其法定所有者甚至無法再重新控制它們的程度。最終，我們將認識到網(wǎng)絡系統(tǒng)管理和安全管理是同一事物的不同方面，兩者密不可分、相互關聯(lián)。認識到這樣一種概念是件很好的事情。

(3) 銀行、金融系統(tǒng)方面

由于銀行、金融系統(tǒng)貨幣在形式上變得越來電子化，其流動也越來越快。這種流動使貨幣在使用方便的同時也更容易被盜竊。隨著大多數(shù)至關重要的財經(jīng)信息涌上網(wǎng)絡系統(tǒng)，來自于內(nèi)部的對于系統(tǒng)安全性的威脅將會變得越來越大?，F(xiàn)在銀行、金融系統(tǒng)如果發(fā)生一次計算機網(wǎng)絡系統(tǒng)安全崩潰事故，將至少會有數(shù)千萬，甚至數(shù)億的金融系統(tǒng)

遭到破壞。在銀行、金融系統(tǒng)內(nèi)部，有些職業(yè)道德不好的職員和網(wǎng)絡黑客利用工作之便，非法進入網(wǎng)絡系統(tǒng)，進行盜竊和破壞。這種盜竊和破壞行為必將增加金融、財經(jīng)領域中的計算機網(wǎng)絡系統(tǒng)現(xiàn)行安全制度的壓力。這種安全制度應由政府或由銀行、金融系統(tǒng)的審計員來制定。

(4) 計算機網(wǎng)絡系統(tǒng)法律法規(guī)方面

隨著全球信息化的發(fā)展，如何確保計算機網(wǎng)絡信息系統(tǒng)的安全，已經(jīng)成為網(wǎng)絡系統(tǒng)信息化建設過程中必須解決的重大問題。在目前社會中，利用計算機網(wǎng)絡信息系統(tǒng)的犯罪活動相當猖獗，其主要原因之一就是各國的計算機網(wǎng)絡信息系統(tǒng)安全立法都不健全。特別是許多國家的有關部門沒有制定相應的刑法、民法、訴訟法等法律，對那些利用網(wǎng)絡信息系統(tǒng)的犯罪份子懲罰不嚴、失之寬松，因此網(wǎng)絡犯罪活動屢禁不止?，F(xiàn)在，全球許多國家政府越來越重視打擊利用計算機網(wǎng)絡信息系統(tǒng)的犯罪活動，逐步建立和制定計算機網(wǎng)絡信息系統(tǒng)的法律、法規(guī)。對計算機犯罪活動量刑、定罪產(chǎn)生的威懾力可使有犯罪企圖的人感到有畏懼心理，從而減少網(wǎng)絡犯罪的發(fā)生，保持社會的安定。另外，還需要加強倫理道德方面的教育，這對社會的穩(wěn)定和計算機網(wǎng)絡安全也十分重要。要教育全體計算機工作者進行合法的計算機信息實踐活動。計算機網(wǎng)絡系統(tǒng)的法律、法規(guī)是規(guī)范人們一般社會行為的準則，它發(fā)布阻止任何違反規(guī)定要求的法令或禁令，明確計算機網(wǎng)絡系統(tǒng)工作人員和最終用戶的權利和義務，包括憲法、保密法、數(shù)據(jù)保護法、計算機安全保護條例、計算機犯罪法等等。

(5) 計算機網(wǎng)絡軟件系統(tǒng)方面

世界各國一些開發(fā)計算機網(wǎng)絡系統(tǒng)軟件的公司將由于產(chǎn)品質(zhì)量或連帶責任的訴訟而遭受巨大的經(jīng)濟損失。計算機網(wǎng)絡軟件質(zhì)量的現(xiàn)權法將逐漸形成。目前計算機軟件的這種處于模糊狀態(tài)的銷售情況即使對于一個能支付得起大量金錢雇傭律師的軟件公司來說，也會因訴訟的巨大損失而不能維持下去。計算機軟件生產(chǎn)廠商也應對生產(chǎn)出由于安全方面存在漏洞而使其使用者蒙受財產(chǎn)損失的軟件產(chǎn)品負責。

計算機軟件將主要以Java或Active X這樣可供下載的可執(zhí)行程序的方式運作。計算機網(wǎng)絡安全管理系統(tǒng)的建造者們需要找到如何控制和維護可下載式程序的方法。同時他們也要編制一些必要的工具軟件以防止某些可下載式有害程序的蔓延。這樣的程序主要是病毒和網(wǎng)絡黑客程序以及其他目前為止仍無法想象出的一些惡意有害程序。

一些網(wǎng)絡黑客利用作為網(wǎng)絡軟件開發(fā)人員工作時在某些流行的網(wǎng)絡化軟件中留下的特洛伊木馬程序，使他們?nèi)蘸笥心芰艉推茐某汕先f的網(wǎng)絡系統(tǒng)，這樣給計算機網(wǎng)絡系統(tǒng)的安全構(gòu)成嚴重的危害。這種現(xiàn)象已經(jīng)發(fā)生過多次，只是我們還沒有給予足夠的重視而已。

虛擬網(wǎng)絡系統(tǒng)將與安全性相融合，并很有希望與網(wǎng)絡管理系統(tǒng)結(jié)合起來。計算機系統(tǒng)軟件和硬件將協(xié)同工作以便將帶有不同類型的目的和特性與網(wǎng)絡彼此隔離，由此產(chǎn)生的隔離體仍將被稱作“計算機網(wǎng)絡防火墻”。

(6) 計算機網(wǎng)絡系統(tǒng)密碼技術方面

在計算機網(wǎng)絡系統(tǒng)中，使用密碼技術不僅可以保證信息的機密性，而且可以保證信息的完整性和確認性，防止信息被篡改、偽造或假冒。隨著越來越多的計算機網(wǎng)絡系統(tǒng)利用密碼技術，智能卡和數(shù)字認證將會變得越來越盛行，用戶需要將密碼和驗證碼存放在不至于丟失的地方，所以他們可能會將智能卡廣泛內(nèi)置于PDA中。

參考文獻

[1] 趙斌斌.網(wǎng)絡安全與黑客工具防范[M].北京：科學出版社，2001.

[2] 蔡立軍.計算機網(wǎng)絡安全技術[M].北京：中國水利水電出版社，2002.

[3] 張小斌等. 計算機網(wǎng)絡安全工具[M].北京：清華大學出版社，1999.

[4] 袁家政.計算機網(wǎng)絡安全與應用技術[M].北京：清華大學出版社，2002.

[5] 葉丹.網(wǎng)絡安全實用技術[M].北京：清華大學出版社，2002.