摘要：本文主要對(duì)企業(yè)網(wǎng)絡(luò)安全管理進(jìn)行了探討，可供同行參考。
　　關(guān)鍵詞：網(wǎng)絡(luò)安全；管理；技術(shù)
　　中圖分類號(hào)：TP2 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-3791(2011)06(c)-0000-00
　　
　　在當(dāng)今這個(gè)信息化社會(huì)中，網(wǎng)絡(luò)安全管理技術(shù)已經(jīng)成為網(wǎng)絡(luò)技術(shù)中人們公認(rèn)的關(guān)鍵技術(shù)。由于網(wǎng)絡(luò)安全對(duì)網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于復(fù)雜嚴(yán)重，網(wǎng)絡(luò)安全管理正逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個(gè)重要分支，網(wǎng)絡(luò)安全管理系統(tǒng)呈現(xiàn)出了從通常網(wǎng)管系統(tǒng)中分離出來(lái)的趨勢(shì)。影響網(wǎng)絡(luò)安全的因素有許多，有自然因素，也有人為因素，其中人為因素的危害最大。歸納起來(lái)，對(duì)網(wǎng)絡(luò)安全造成威脅的有：硬件設(shè)備故障或突然斷電；計(jì)算機(jī)病毒的攻擊；人為的進(jìn)攻。加強(qiáng)網(wǎng)絡(luò)安全管理，降低不安全因素的影響，就要制定一系列的安全規(guī)范、安全措施，建立安全保障體系，以消除上述的安全威脅。
　　
　　1影響網(wǎng)絡(luò)安全因素的分析
　　影響局域網(wǎng)網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來(lái)，主要有六個(gè)方面構(gòu)成對(duì)網(wǎng)絡(luò)的威脅：
　　1.1 人為失誤
　　一些無(wú)意的行為，如：丟失口令、非法操作、資源訪問(wèn)控制不合理、管理員安全配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)等，都會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。
　　1.2 病毒感染
　　從“蠕蟲”病毒開始到CIH、愛(ài)蟲病毒。病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑，病毒很容易地通過(guò)代理服務(wù)器以軟件下載、郵件接收等方式進(jìn)入網(wǎng)絡(luò)，然后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，造成很大的損失。
　　1.3 來(lái)自網(wǎng)絡(luò)外部的攻擊
　　這是指來(lái)自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行；在中間站點(diǎn)攔截和讀取絕密信息等。
　　1.4 來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊
　　在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后，查看機(jī)密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。
　　1.5 系統(tǒng)的漏洞及“后門”
　　操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷、無(wú)漏洞的。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會(huì)成為整個(gè)網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。
　　
　　2 加強(qiáng)網(wǎng)絡(luò)安全管理
　　2.1 計(jì)算機(jī)設(shè)備的安全管理
　　加強(qiáng)設(shè)備安全管理首先要給計(jì)算機(jī)設(shè)備提供一個(gè)良好的運(yùn)行環(huán)境，除嚴(yán)格的控制溫度、濕度外，還要做好防塵、防電磁泄漏和干擾、防火、防有害物質(zhì)、防水防盜等一系列防護(hù)措施，減少安全隱患。另外，為減少安全威脅，必須制定安全規(guī)范，嚴(yán)格管理制度：未經(jīng)網(wǎng)絡(luò)管理員許可，任何人不得以任何原由打開機(jī)箱，隨意拆卸或更改集成線路板(卡)；計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的搬遷或更改有關(guān)硬件設(shè)備，必須有網(wǎng)絡(luò)管理員負(fù)責(zé)，任何人不得私自進(jìn)行；計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備出現(xiàn)硬件故障時(shí)，應(yīng)及時(shí)向網(wǎng)絡(luò)管理員報(bào)告，由網(wǎng)絡(luò)管理員處理；計(jì)算機(jī)及外圍設(shè)備要定期進(jìn)行維護(hù)；新的計(jì)算機(jī)接入系統(tǒng)前，應(yīng)對(duì)一些重要信息進(jìn)行備份；每臺(tái)微機(jī)都必須連UPS，尤其是服務(wù)器要安裝大容量的UPS。
　　2.2 軟件的安全管理及其反病毒技術(shù)
　　這是網(wǎng)絡(luò)安全一個(gè)重要環(huán)節(jié)。計(jì)算機(jī)系統(tǒng)的不安全很多來(lái)源于計(jì)算機(jī)病毒。在單機(jī)環(huán)境下，病毒主要是通過(guò)軟盤和硬盤傳輸。軟件管理可采取以下措施：用硬盤啟動(dòng)機(jī)器，如有必要用軟盤啟動(dòng)，要對(duì)軟盤作仔細(xì)的檢查，確認(rèn)無(wú)病毒后方可使用；若使用外來(lái)軟盤，必須事先檢查，確認(rèn)無(wú)毒方可使用；設(shè)置開機(jī)及進(jìn)入系統(tǒng)的口令，限制其他非工作人員使用；經(jīng)常用病毒檢測(cè)軟件進(jìn)行檢查，一旦發(fā)現(xiàn)病毒，及時(shí)采取措施；對(duì)重要的計(jì)算機(jī)和硬盤信息做好備份，以便在病毒侵入受破壞后，恢復(fù)重要信息；對(duì)重要的應(yīng)用軟件做備份，加上寫保護(hù)。在網(wǎng)絡(luò)環(huán)境下，大部分的病毒以電子郵件的形式傳播，并利用黑客技術(shù)，不但刪除文件和操作系統(tǒng)，而且竊取用戶信息，具有不可估量的威脅力和破壞力，維護(hù)網(wǎng)絡(luò)安全必須采取網(wǎng)絡(luò)反病毒技術(shù)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消除病毒三種技術(shù)。
　　網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁的掃描和監(jiān)視，工作站上采用防病毒芯片、指定口令字和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。
　　2.3 人員管理
　　人為攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊可分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性，截取網(wǎng)上的信息包，并對(duì)其進(jìn)行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導(dǎo)的作用，或者登陸進(jìn)入系統(tǒng)使用并占用大量的網(wǎng)絡(luò)資源，造成資源的消耗，損害合法用戶的利益。另一種是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下進(jìn)行截取、竊取、破譯以獲得更重要的機(jī)密。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄露。網(wǎng)絡(luò)管理員應(yīng)該做到以下幾點(diǎn)：
　　(1)網(wǎng)絡(luò)管理員應(yīng)采取層次、分區(qū)、表格各種授權(quán)方式，控制用戶對(duì)網(wǎng)絡(luò)信息存取權(quán)限。妥善保管系統(tǒng)口令，不得輕易泄露，以防未經(jīng)授權(quán)的人使用。另外，經(jīng)常去有關(guān)的安全網(wǎng)站下載系統(tǒng)補(bǔ)丁程序，盡可能地將系統(tǒng)的漏洞補(bǔ)上。
　　(2)對(duì)網(wǎng)絡(luò)數(shù)據(jù)和資料除進(jìn)行常規(guī)備份(完全式、增量式、差分式)外，還要設(shè)置自動(dòng)啟動(dòng)和停止日志，記錄系統(tǒng)配置以供重新使用，處理備份中發(fā)生的各種情況。定期檢查備份的正確性。對(duì)重要的數(shù)據(jù)和資料必須多份拷貝異地存放。同時(shí)，對(duì)備份所用的存儲(chǔ)設(shè)備單獨(dú)存放，不要連在互聯(lián)網(wǎng)上。
　　(3)特別重要的網(wǎng)站要做到24h有網(wǎng)絡(luò)管理員值班，并采取技術(shù)措施循環(huán)檢查系統(tǒng)日志，以及動(dòng)態(tài)IP的變化。保證網(wǎng)絡(luò)系統(tǒng)的正常工作。無(wú)人值守網(wǎng)站時(shí)，關(guān)閉一切連在互聯(lián)網(wǎng)上的供工作人員使用的電腦終端設(shè)備。
　　
　　3 網(wǎng)絡(luò)安全技術(shù)措施
　　3.1 局域網(wǎng)安全技術(shù)
　　目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何接點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對(duì)其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。當(dāng)前，局域網(wǎng)安全的解決辦法有以下幾種：
　　(1)網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種。
　　(2)以交換式集線器代替共享式集線器。對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包 (稱為單播包Unicast Packet)還是會(huì)被同一臺(tái)集線器上其他用戶所偵聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。
　　(3)VLAN 的劃分。為了克服以太網(wǎng)的廣播問(wèn)題，除了上述方法外，還可以運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)的偵聽的入侵。
　　3.2 廣域網(wǎng)安全技術(shù)
　　由于廣域網(wǎng)大多采用共用網(wǎng)進(jìn)行數(shù)據(jù)傳播，信息在廣域網(wǎng)上傳輸時(shí)被載取和利用的可能性要比局域網(wǎng)大得多。如果沒(méi)有專用的軟件對(duì)數(shù)據(jù)進(jìn)行控制，只要使用Internet上免費(fèi)下載的“包檢測(cè)”工具軟件，就可以很容易地對(duì)通信數(shù)據(jù)進(jìn)行截取和破譯。廣域網(wǎng)通常采用以下安全解決辦法：
　　(1)防火墻技術(shù)。防火墻是一種非常有效的網(wǎng)絡(luò)安全管理技術(shù)。它是一種由計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)安全網(wǎng)(ScurityGateway)，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻是立體防護(hù)體系的聯(lián)動(dòng)中心，是安全決策的焦點(diǎn)。
　　(2)數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部剖析所采用的主要技術(shù)手段之一。信息加密過(guò)程是由各種加密算法(如常規(guī)密碼算法、公鑰密碼算法)來(lái)實(shí)現(xiàn)的。按其功能不同，數(shù)據(jù)加密技術(shù)主要分?jǐn)?shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
　　(3)智能卡技術(shù)。與數(shù)據(jù)加密技術(shù)密切相關(guān)的另一項(xiàng)技術(shù)是智能卡技術(shù)。所謂的智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個(gè)口令或密碼。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊(cè)的密碼一致。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的。
　　
　　4 結(jié)束語(yǔ)
　　網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。因此只有嚴(yán)格的保密政策、明晰的安全策略才能完好、實(shí)時(shí)地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。
　　
　　參考文獻(xiàn)
　　[1] 李曉勇.網(wǎng)絡(luò)安全的目標(biāo)[N].中國(guó)電腦