【摘要】計算機(jī)網(wǎng)絡(luò)普遍存在安全問題。國際互聯(lián)網(wǎng)存在信息管理失控，網(wǎng)絡(luò)犯罪防不勝防。我國網(wǎng)絡(luò)安全形勢嚴(yán)峻。我們需要一個正確的安全策略，需要有效并且經(jīng)濟(jì)的網(wǎng)絡(luò)安全技術(shù)防范措施，包括局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)安全策略

在計算機(jī)網(wǎng)絡(luò)日益擴(kuò)展和普及的今天，計算機(jī)安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵的能力，還要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄?，避免在傳輸途中遭受非法竊取。

一、計算機(jī)網(wǎng)絡(luò)的安全策略

網(wǎng)絡(luò)安全應(yīng)該包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性，后者是指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制等。安全策略應(yīng)該包括物理安全策略和訪問控制策略。

1.1物理安全策略

物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信鏈路免受人為破壞和搭線攻擊；驗證訪問者的身份和使用權(quán)限、防止用戶越權(quán)操作；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)系統(tǒng)等。

1.2訪問控制策略

訪問控制策略至少應(yīng)該包括如下內(nèi)容：（1）入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問把第一道關(guān)。網(wǎng)絡(luò)控制權(quán)限規(guī)范哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。（2）目錄級安全控制。網(wǎng)絡(luò)管理員應(yīng)該規(guī)范用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效。

1.3防火墻技術(shù)

防火墻技術(shù)主要包括有四大類：網(wǎng)絡(luò)級防火墻、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。防火墻在使用的過程中，應(yīng)該考慮到幾個方面的問題：首先要考慮的是防火墻不能夠防病毒的攻擊，雖然有不少的防火墻產(chǎn)品聲稱具有這個功能。其次要考慮防火墻技術(shù)中數(shù)據(jù)與防火墻之間的更新問題，如果延時太長，將無法支持實時服務(wù)要求。并且防火墻采用的濾波技術(shù)會降低網(wǎng)絡(luò)的性能，如果購置高速路由器來改變網(wǎng)絡(luò)的性能，那樣會大大增加網(wǎng)絡(luò)成本。再次是防火墻不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊，也無法保護(hù)繞過防火墻的病毒攻擊。

1.4訪問控制技術(shù)

訪問控制技術(shù)是對信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，它設(shè)計的三個基本概念為：主體、客體和授權(quán)訪問。訪問控制技術(shù)的訪問策略通常有三種：自主訪問控制、強(qiáng)制訪問控制以及基于角色的訪問控制。訪問控制的技術(shù)與策略主要有：入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制、屬性控制以及服務(wù)器安全控制等多種手段。

1.5數(shù)據(jù)加密技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)加密的三種技術(shù)為：鏈路加密、節(jié)點加密和端到端加密。鏈路加密是將所有信息在傳輸前進(jìn)行加密，在每一個節(jié)點對接收到的信息進(jìn)行解密，然后先使用下一個鏈路的密鑰對消息進(jìn)行加密，再進(jìn)行傳輸。節(jié)點加密與鏈路加密不同，節(jié)點加密不允許消息在網(wǎng)絡(luò)節(jié)點以明文形式存在，它先把收到的消息進(jìn)行解密，然后采用另一個不同的密鑰進(jìn)行加密，這一過程是在節(jié)點上的一個安全模塊中進(jìn)行。端到端加密允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密，消息在被傳輸時到達(dá)終點之前不進(jìn)行解密，因為消息在整個傳輸過程中均受到保護(hù)，所以即使有節(jié)點被損壞也不會使消息泄露。

二、網(wǎng)絡(luò)安全技術(shù)防范措施

網(wǎng)絡(luò)安全技術(shù)防范措施主要涉及常用的局域網(wǎng)安全技術(shù)防范措施和廣域網(wǎng)安全技術(shù)防范措施。

2.1局域網(wǎng)安全技術(shù)防范措施

2.1.1網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本方法，也是保證網(wǎng)絡(luò)安全的一項重要措施，其目的就是將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法窺聽。

2.1.2以交換式集線器代替共享式集線器

在對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段的處理以后，以太網(wǎng)遭遇窺聽的危險依然存在。應(yīng)該以交換式集線器代替共享式集線器，控制單播數(shù)據(jù)包只能在兩個節(jié)點之間傳送，從而防止非法窺聽。

2.1.3VLAN的劃分

在分布式網(wǎng)絡(luò)環(huán)境下，應(yīng)該以機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。部門內(nèi)部的所有用戶節(jié)點和服務(wù)器都必須在各自的VLAN內(nèi)，互相不受侵?jǐn)_。VLAN內(nèi)部的連接采用交換實現(xiàn)，而VLAN之間的連接則采用路由實現(xiàn)。

2.2廣域網(wǎng)安全技術(shù)防范措施

由于廣域網(wǎng)多數(shù)采用公網(wǎng)傳輸數(shù)據(jù)，信息在廣域網(wǎng)上被截取的可能性要比局域網(wǎng)大得多。網(wǎng)絡(luò)黑客只要利用一些簡單的包檢測工具軟件，就可以很輕松地實施對通信數(shù)據(jù)包的截取和破譯。廣域網(wǎng)安全應(yīng)該采用以下防范技術(shù)措施：（1）加密技術(shù)。加密型網(wǎng)絡(luò)安全技術(shù)是指通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保證網(wǎng)絡(luò)安全的可靠性，而不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性。數(shù)據(jù)加密技術(shù)可以分為對稱型加密、不對稱型加密和不可逆加密三種。計算機(jī)系統(tǒng)中的口令一般是利用不可逆加密算法加密的。（2）VPN技術(shù)。該技術(shù)是指所謂的虛擬加密隧道技術(shù)，是指將企業(yè)私網(wǎng)的數(shù)據(jù)加密封裝后，通過虛擬的公網(wǎng)隧道進(jìn)行傳輸。企業(yè)在VPN建網(wǎng)選型時，應(yīng)該注意優(yōu)選技術(shù)先進(jìn)的VPN服務(wù)提供商和VPN設(shè)備。（3）身份認(rèn)證技術(shù)。要特別注意處置從外部撥號網(wǎng)絡(luò)訪問總部內(nèi)部網(wǎng)的用戶。因為使用公共電話網(wǎng)通訊風(fēng)險很大，必須嚴(yán)格身份認(rèn)證。常用的身份認(rèn)證技術(shù)有Cisco公司的TACACS+，行業(yè)標(biāo)準(zhǔn)RADIUS等。

2.3安全管理隊伍的建設(shè)

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強(qiáng)計算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。

計算機(jī)網(wǎng)絡(luò)的安全問題涉及到網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全技術(shù)防范措施，也涉及到國家對網(wǎng)絡(luò)安全的防范監(jiān)管機(jī)制及相關(guān)的法律問題，還涉及到網(wǎng)絡(luò)安全當(dāng)事者的職業(yè)道德和高技術(shù)與高感情的平衡問題。相對網(wǎng)絡(luò)技術(shù)專業(yè)工作者來說，如果能夠牢固樹立正確的網(wǎng)絡(luò)安全策略，在力所能及的范圍之內(nèi)，制定和實施經(jīng)濟(jì)有效的安全技術(shù)防范措施，并且能夠經(jīng)常評估和不斷改進(jìn)，相信計算機(jī)網(wǎng)絡(luò)安全的局面將會永遠(yuǎn)是魔高一尺道高一丈。

參考文獻(xiàn)

[1]嚴(yán)明.多媒體技術(shù)應(yīng)用基礎(chǔ)[M].武漢：華中科技大學(xué)出版社，2004.

[2]朱理森，張守連.計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻(xiàn)出版社，2001.

[3]謝希仁.計算機(jī)網(wǎng)絡(luò)（第4版）[M].北京：電子工業(yè)出版社，2003.

[4]謝希仁.計算機(jī)網(wǎng)絡(luò).北京：人民郵電出版社，2006.

[5]林建平.計算機(jī)網(wǎng)絡(luò)安全防控策略的若干分析.山西廣播電視大學(xué)學(xué)報，2006.