摘要：隨著計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，計算機(jī)網(wǎng)絡(luò)安全問題已經(jīng)非常突出，必須采取有力的措施來保證計算機(jī)網(wǎng)絡(luò)的安全。本文就計算機(jī)網(wǎng)絡(luò)安全管理的主要技術(shù)、方法和措施給予簡單介紹。

關(guān)鍵詞：計算機(jī)；網(wǎng)絡(luò)安全；技術(shù)；措施

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 07-0000-02

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會生活的各個方面。計算機(jī)網(wǎng)絡(luò)促進(jìn)了社會經(jīng)濟(jì)的發(fā)展，給人們的生活、工作、學(xué)生帶來極大便利的同進(jìn)也面臨著嚴(yán)重的安全問題?，F(xiàn)綜合考慮計算機(jī)網(wǎng)絡(luò)安全中的人、管理和技術(shù)三要素，分別介紹和分析應(yīng)對計算機(jī)網(wǎng)絡(luò)安全管理的主要技術(shù)、方法和措施：

一、物理安全

企業(yè)網(wǎng)絡(luò)安全中，人們必須首先關(guān)心的是網(wǎng)絡(luò)和主機(jī)的物理安全。物理安全主要包括環(huán)境安全、設(shè)備安全和介質(zhì)安全三個方面。

環(huán)境因素主要包括：地理位置、電力供應(yīng)系統(tǒng)、電磁輻射與屏蔽、無線網(wǎng)絡(luò)環(huán)境、區(qū)域保護(hù)等應(yīng)對其他災(zāi)害。比如服務(wù)器要保證合適的環(huán)境溫度，過高的溫度將會影響CPU和存儲系統(tǒng)的工作，而過低的溫度將會對電磁設(shè)備產(chǎn)生影響；濕度也是一樣，過高易引起短路，過低則易引起靜電。設(shè)備安全主要指網(wǎng)絡(luò)物理實體做到防范各種自然災(zāi)害，如防雷、防火等，物理實體能夠抵抗各種物理臨近攻擊；比如防雷系統(tǒng)不僅要考慮建筑物防雷、還必須考慮計算機(jī)和其他弱電耐壓設(shè)備的防雷。介質(zhì)安全包括存儲數(shù)據(jù)的安全及存儲介質(zhì)本身的安全?？偟膩碚f，物理安全所要面對的威脅包括地震、水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害，以及盜竊、通信干擾、信號注入等人為破壞等。

解決物理安全的方法很多，只要依據(jù)相關(guān)的標(biāo)準(zhǔn)，同時管理人員素質(zhì)等。利用物理手段保證訪問的控制的方式很多，比如可以設(shè)置物理屏障。物理屏障可以是墻、門、窗、鎖柜等，也可是警衛(wèi)、警報器、監(jiān)視器和熱敏探測器，或使用身份識別卡、智能身份識別卡，硬件令牌、生物識別技術(shù)等進(jìn)行身份驗證，或者幾種方式聯(lián)合使用。一般而言，對一個安全要求較高的主機(jī)來說，至少需要布置三層不同的物理屏障。

二、安全隔離

在計算機(jī)網(wǎng)絡(luò)安全管理中，隔離是最有效的一種管理方法。目前為止，有采用完全獨(dú)立的設(shè)備、存儲和線路來訪問不同的網(wǎng)絡(luò)，做到完全的物理隔離；有通過硬件控制獨(dú)立存儲和分時共享設(shè)備與線路來實現(xiàn)對不同網(wǎng)絡(luò)的訪問的硬件卡隔離；利用轉(zhuǎn)播系統(tǒng)分時復(fù)制文件的途徑實現(xiàn)數(shù)據(jù)轉(zhuǎn)播隔離；利用單刀雙擲開關(guān)，通過內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的空氣開關(guān)隔離；利用專用通信硬件和專有交換協(xié)議等安全機(jī)制來實現(xiàn)的安全通道隔離；還有物理隔離，其目的就是實現(xiàn)內(nèi)外網(wǎng)信息的隔離。物理隔離的實現(xiàn)方案通常包括客戶端選擇設(shè)備和網(wǎng)絡(luò)選擇器，用戶通過開關(guān)設(shè)備或通過鍵盤來控制客戶端選擇不同的存儲介質(zhì)。也可以設(shè)置訪問控制來實現(xiàn)隔離，訪問控制主要是通過防火墻，交換機(jī)或路由器的使用來實現(xiàn)。防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一，通過制定嚴(yán)格的安全策略，防火墻可以對內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間進(jìn)行隔離。防火墻提供的NAT功能，也可以起到網(wǎng)段隔離的作用。根據(jù)處理數(shù)據(jù)的方式，防火墻通常可分為主機(jī)防火墻、包過濾防火墻、電路層防火墻、應(yīng)用代理防火墻，狀態(tài)檢測防火墻等幾類。

三、加密技術(shù)

數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)字?jǐn)?shù)據(jù)（明文），按照加密算法變換成與明文完全不同的數(shù)字?jǐn)?shù)據(jù)（密文）的過程。利用數(shù)據(jù)加密技術(shù)，對網(wǎng)絡(luò)信道中傳輸?shù)母黝愋畔⑦M(jìn)行加密處理，以確保信息的安全性。目前加密通道可以建立在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層甚至應(yīng)用層。而加密體制分為傳統(tǒng)的密碼體制、對稱密鑰加密體制、非對稱密鑰加密體制。傳統(tǒng)的密碼體制包括以隱寫術(shù)而熟知的古典加密、以密碼本為代表的代替密碼及換位密碼、轉(zhuǎn)輪密碼四種；基于密碼算法的數(shù)據(jù)加密技術(shù)是所有網(wǎng)絡(luò)上的通信安全所依賴的基本技術(shù)。目前流行的一些對稱密鑰加密算法包括：DES、3-DES、AES、IDEA、BlowFish CAST、RC系列算法。非對稱密鑰加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal D_H等。加密算法以及密鑰的管理是加密技術(shù)的關(guān)鍵所在， 數(shù)據(jù)接收者中有輸入對應(yīng)的密鑰才能讀出已經(jīng)加密的數(shù)據(jù)信息。對網(wǎng)絡(luò)數(shù)據(jù)加密主要有鏈路加密、節(jié)點(diǎn)對節(jié)點(diǎn)加密和端對端加密三種實現(xiàn)方式。

四、入侵檢測與入侵保護(hù)

入侵監(jiān)測技術(shù)即通過在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)采集信息進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。目前入侵檢測技術(shù)分為基于特征入侵檢測與基于異常情況的入侵檢測兩種類型。該技術(shù)發(fā)展到現(xiàn)在，已出現(xiàn)過許多檢測方法，從最初的模式匹配和審計方法，到基于統(tǒng)計和專家系統(tǒng)、原型系統(tǒng)的方法，基于移動代理技術(shù)的檢測方法，其次，IDS的整體構(gòu)架從單一布局到分布式、多系統(tǒng)方向發(fā)展。IDS的應(yīng)用非常普及，但其缺陷也越來越明顯，比如誤報、漏報，出現(xiàn)危害時不能直接將其阻斷，被動性太強(qiáng)，檢測速度延遲，漏報。因此，IDS可做進(jìn)一步的改進(jìn)，比如對IDS使用更先進(jìn)的計算部件，對IDS更換高級網(wǎng)卡，將IDS整合在防火墻中，或在分析單元采用更高級的人工智能技術(shù)等。

入侵保護(hù)系統(tǒng)（IPS）相比IDS不僅增加了主動阻斷的功能，而且在性能和數(shù)據(jù)包的分析能力方面都有了很大的提高。IPS的一個亮點(diǎn)是引入弱點(diǎn)分析技術(shù)，即通過分析系統(tǒng)漏洞、收集和分析 攻擊代碼或壖蟲代碼、描述攻擊特征或缺陷特征，使IPS能夠主動保護(hù)脆弱系統(tǒng)。

同時IPS傾向于提供主動性的防護(hù)，能預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截。

如果對攻擊者采用更為主動的措施的話，那不得不提一下蜜罐系統(tǒng)。蜜罐系統(tǒng)的重要功能是對系統(tǒng)中所有操作和行為進(jìn)行監(jiān)視和記錄。借助偽裝的手段，使攻擊者進(jìn)入目標(biāo)系統(tǒng)后仍不知道自己的行為已經(jīng)處于系統(tǒng)監(jiān)視之下。一般通常采用欺騙模式與弱化系統(tǒng)兩種配置方法。鑒于蜜罐系統(tǒng)分析成本相當(dāng)高，用于商業(yè)機(jī)構(gòu)并不多。除此之外，如果要真正了解網(wǎng)絡(luò)當(dāng)前的安全狀況，還應(yīng)該采用安全掃描核技術(shù)，對網(wǎng)絡(luò)整體的安全狀況進(jìn)行有效評估。

五、數(shù)據(jù)的備份與恢復(fù)

現(xiàn)實生活中有種種人為或非人為因素造成的意外的或不可預(yù)測的災(zāi)難發(fā)生，其中包括計算機(jī)或網(wǎng)絡(luò)系統(tǒng)的軟硬件故障、人為操作故障、資源不足引發(fā)的計劃性停產(chǎn)、生產(chǎn)場地的災(zāi)難，故進(jìn)行災(zāi)難恢復(fù)的前對數(shù)據(jù)的備份。

傳統(tǒng)的備份技術(shù)主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對數(shù)據(jù)進(jìn)行冷備份，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，一個完整、優(yōu)良的備份應(yīng)該是全方位、多層次的，它應(yīng)該具有集中式管理、自動化備份、對大型數(shù)據(jù)庫的備份和恢復(fù)、較強(qiáng)的備份索引功能、歸檔管理、系統(tǒng)災(zāi)難恢復(fù)、較好的可擴(kuò)展性等特點(diǎn)。

災(zāi)難恢復(fù)技術(shù)也稱為業(yè)務(wù)連續(xù)性技術(shù)，是信息安全領(lǐng)域中的一項重要技術(shù)，對企業(yè)和社會關(guān)系重大的計算機(jī)系統(tǒng)都應(yīng)當(dāng)采用災(zāi)難恢復(fù)技術(shù)予以保護(hù)。一份完整的備份及災(zāi)難恢復(fù)方案應(yīng)該包括備份硬件、備份軟件、備份制度和災(zāi)難恢復(fù)計劃四個部分。還可根據(jù)企業(yè)自身情況制定日常備份制度和災(zāi)難恢復(fù)計劃，并由管理人員切實執(zhí)行備份制度。目前市場上主要提供IBM的SSA磁盤系統(tǒng)、Magstar磁帶系統(tǒng)、ADSM存儲管理軟件、HP的單鍵災(zāi)難恢復(fù)技術(shù)等完事的備份及災(zāi)難恢復(fù)解決方法。

總之，計算機(jī)網(wǎng)絡(luò)安全事件發(fā)生并沒有一個固定的模式，在時間上也毫無規(guī)律可循。如能阻止未被授權(quán)用戶對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)的訪問，則假定該系統(tǒng)的安全能夠得到保證。同時在預(yù)防措施以外，還需要在安全事件發(fā)生之前或之時，安全人員對系統(tǒng)進(jìn)行檢查和檢測并在做出正確判斷后給予響應(yīng)或行動。未來的安全防護(hù)技術(shù)的趨勢是隨著檢測技術(shù)和響應(yīng)技術(shù)的提高，能夠整合檢測手段和響應(yīng)手段，提高應(yīng)對安全事件的自動化與智能化。

參考文獻(xiàn)：

[1]王群.計算機(jī)網(wǎng)絡(luò)安全管理[M].人民郵電出版社，2010

[2]陳信明，張振華.計算機(jī)網(wǎng)絡(luò)安全[M].中國人民大學(xué)出版社，2009

[3]王夢龍主編.網(wǎng)絡(luò)信息安全[M].中國鐵道出版社，2009