摘要：隨著網(wǎng)絡(luò)時代的飛速發(fā)展，計算機網(wǎng)絡(luò)安全問題也日益突出。本文重點探討了計算機網(wǎng)絡(luò)安全的相關(guān)技術(shù)以及設(shè)備布置，在一定程度上很好地保證計算機網(wǎng)絡(luò)的安全。

關(guān)鍵詞：網(wǎng)絡(luò)安全 安全技術(shù) 網(wǎng)絡(luò)設(shè)備

1.引言

近年來，隨著計算機網(wǎng)絡(luò)在全社會的逐步推廣應(yīng)用，尤其是國際互聯(lián)網(wǎng)Internet的在我國的引入，使得社會的信息化進程進一步加快，給人們帶來了巨大的經(jīng)濟效益和社會效益。但同時我們也應(yīng)看到：許多非常機密的數(shù)據(jù)都需要在網(wǎng)絡(luò)上傳輸，從而使得數(shù)據(jù)在網(wǎng)絡(luò)上中的傳輸?shù)陌踩砸踩找嫱怀龅乇┞冻鰜?。因為我們賴以傳輸?shù)挠嬎銠C網(wǎng)絡(luò)是一個不安全的數(shù)據(jù)傳輸系統(tǒng)和資源共享系統(tǒng)。也就是說，必須保證計算機網(wǎng)絡(luò)上日益龐雜信息的安全性，這是本文研究的重點。

2.計算機網(wǎng)絡(luò)安全的技術(shù)

2.1 身份認證系統(tǒng)

用戶驗證是計算機網(wǎng)絡(luò)安全最常用的手段之一。隨著信息技術(shù)的飛速發(fā)展，在計算機網(wǎng)絡(luò)中，建立起統(tǒng)一的身份認證，供各應(yīng)用系統(tǒng)使用，實現(xiàn)用戶統(tǒng)一管理、認證和授權(quán)，既方便計算機網(wǎng)絡(luò)安全內(nèi)部用戶的使用，規(guī)范管理，又增強計算機網(wǎng)絡(luò)安全信息的安全。統(tǒng)一身份認證系統(tǒng)采用目錄服務(wù)集中存儲用戶信息和應(yīng)用系統(tǒng)信息，對用戶實行集中管理、統(tǒng)一認證和授權(quán)。系統(tǒng)主要包括：用戶認證和授權(quán)以及用戶集中管理。

(1)系統(tǒng)的統(tǒng)一認證和授權(quán)控制是相結(jié)合的，常用的訪問控制策略有自主訪問控制(Discretionary Access Control,DAC)、強制訪問控制(Mandatory Access Control,MAC)和基于角色的訪問控制(Role Based Access Control, RRAC)等[1]。結(jié)合計算機網(wǎng)絡(luò)安全的實際情況，每個用戶的電子身份映射到他的實際身份，而用戶的身份決定了他在高計算機網(wǎng)絡(luò)安全中的一個角色。

授權(quán)策略的具體實現(xiàn)是，應(yīng)用系統(tǒng)根據(jù)計算機網(wǎng)絡(luò)安全用戶權(quán)限不同，將合法用戶分為若干組，應(yīng)用系統(tǒng)根據(jù)用戶的身份信息決定用戶屬于哪個用戶組別。應(yīng)用系統(tǒng)注冊后其用戶組信息存儲在目錄數(shù)據(jù)庫中，應(yīng)用系統(tǒng)要求統(tǒng)一身份認證系統(tǒng)認證用戶身份信息時，統(tǒng)一身份認證系統(tǒng)根據(jù)用戶身份查找該用戶在應(yīng)用系統(tǒng)中所屬的用戶組，并將該信息返回給應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)根據(jù)用戶所屬組決定用戶權(quán)限。

(2)用戶資料管理

為了保證用戶的電子身份和他在計算機網(wǎng)絡(luò)安全內(nèi)真實身份的映射，用戶的基本資料來自于不同的管理區(qū)域。該功能就是接收來自這些部分的用戶信息，并將其保存到目錄數(shù)據(jù)庫中，信息的交互主要通過SOAP消息傳遞實現(xiàn)。

對于個別用戶信息的維護，可以采用SOAP的遠程調(diào)用機制，在統(tǒng)一認證系統(tǒng)的用戶管理模塊中提供相應(yīng)的SOAP服務(wù)。通過數(shù)據(jù)庫的觸發(fā)器同步調(diào)用相應(yīng)的SOAP服務(wù)，從而實現(xiàn)目錄數(shù)據(jù)庫中用戶數(shù)據(jù)和各個管理系統(tǒng)數(shù)據(jù)庫之間的數(shù)據(jù)同步。

2.2 VPN技術(shù)

VPN作為一種新興網(wǎng)絡(luò)技術(shù)，以其安全和低成本得到了飛速發(fā)展。VPN技術(shù)是利用公網(wǎng)來構(gòu)建專用網(wǎng)絡(luò)的技術(shù)，即將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而成邏輯上的虛擬子網(wǎng)。為了保障信息在Internet上傳輸?shù)陌踩?，VPN技術(shù)采用了認證、存儲控制、機密性、數(shù)據(jù)完整性等措施，保證信息在傳輸中不被偷看和篡改[2]。

當VPN被配置并初始化后，應(yīng)用程序把虛擬適配器和物理適配器等同對待。

操作系統(tǒng)內(nèi)核負責管理在內(nèi)核中執(zhí)行的安全協(xié)議的SA有效期，當一個安全關(guān)聯(lián)的生存期滿時，內(nèi)核發(fā)送SADB_EXPIRE消息給所有的密鑰套接字監(jiān)聽者，以便密鑰交換守護進程協(xié)商一個替代的安全關(guān)聯(lián)。

2.3 包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)中適當?shù)奈恢蒙蠈?shù)據(jù)包實施有選擇的過濾。比如：包過濾防火墻一般含有一個包檢查模塊，它可以安裝在網(wǎng)關(guān)或者路由器上，處于系統(tǒng)的TCP層和IP層之間，以便搶在操作系統(tǒng)或路由器的TCP層之前對IP包進行處理。通過檢查模塊的處理，防火墻可以對進出站的數(shù)據(jù)進行檢查，驗證數(shù)據(jù)包是否符合過濾規(guī)則。對不符合規(guī)則的包進行報警處理，對需要丟棄的數(shù)據(jù)包，防火墻可根據(jù)包過濾策略，決定是否回復(fù)。

3.計算機網(wǎng)絡(luò)安全的設(shè)備布置

3.1置防火墻

防火墻是設(shè)置在被保護計算機網(wǎng)絡(luò)間的一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它是計算機網(wǎng)絡(luò)區(qū)域之間信息的唯一出入口，能根據(jù)計算機網(wǎng)絡(luò)的安全政策控制(允許、拒絕、監(jiān)測)出入計算機網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)計算機網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

通過利用防火墻對計算機內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部計算機網(wǎng)絡(luò)重點網(wǎng)段的隔離，從而限制了計算機網(wǎng)絡(luò)局部重點或敏感網(wǎng)絡(luò)安全問題對計算機全局網(wǎng)絡(luò)造成的影響。再者，隱私是一般密級網(wǎng)絡(luò)非常關(guān)心的問題，一個計算機內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了計算機內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽計算機網(wǎng)絡(luò)那些透漏內(nèi)部細節(jié)，如Fingers、DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)計算機內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

3.2置殺毒軟件

計算機網(wǎng)絡(luò)用機的人員對電腦知識掌握水平參差不齊。所以在整個計算機網(wǎng)絡(luò)系統(tǒng)中采用一套行之有效的防殺毒軟件顯得格外重要。可以選擇采用業(yè)界功能較強的殺毒軟件。只要計算機網(wǎng)絡(luò)內(nèi)部的服務(wù)器端更新了病毒碼，則計算機網(wǎng)絡(luò)各受管理的工作站就會實時更新病毒碼的功能；通過計算機網(wǎng)絡(luò)服務(wù)器上系統(tǒng)中心可獲知任何設(shè)置“接受管理”的工作站是否操作了帶病毒的程序和文件，從而可定位于病毒的發(fā)源地；計算機網(wǎng)絡(luò)內(nèi)部的服務(wù)器及工作站也應(yīng)該具有實時防護功能，能對病毒入侵進行提示及殺除，從而有效避免病毒的感染。

4.小結(jié)

總之，良好的計算機網(wǎng)絡(luò)安全除了選擇好的網(wǎng)絡(luò)防火墻以抵御惡意的進攻，實現(xiàn)對內(nèi)網(wǎng)的保護、安裝并及時更新殺毒軟件外，應(yīng)該是基于全面的安全策略上的，如：VLAN (虛擬局域網(wǎng))設(shè)計：對計算機網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進行合理劃分，以達到信息流量的控制，并提供良好的安全性；建立計算機管理的規(guī)章制度，利用條例約束計算機網(wǎng)絡(luò)用戶的行為，進一步確保計算機網(wǎng)絡(luò)的安全?！?/p>

參考文獻：

[1]彭杰，計算機網(wǎng)絡(luò)安全問題的探討[J].現(xiàn)代電子技術(shù),2007,(6):13-15.

[2]金雷，謝立.網(wǎng)絡(luò)安全綜述[J].計算機工程與設(shè)計,2005,24(2):19-22.

作者簡介：吳詩豪（1985-），男，貴州銅仁人，西北民族大學(xué)計算機科學(xué)與信息工程學(xué)院（二級單位），學(xué)生，計算機科學(xué)與技術(shù)。