【摘 要】計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及INTERNET的普及，為人們帶來了便利性，并提高了工作效率，但同時(shí)也出現(xiàn)了一系列的網(wǎng)絡(luò)安全問題。要減少安全問題，應(yīng)該在構(gòu)建網(wǎng)絡(luò)之初就要考慮到提高網(wǎng)絡(luò)安全的設(shè)計(jì)技術(shù)。因此，無論是公司，還是校園網(wǎng)，都需要一種經(jīng)濟(jì)，實(shí)用和安全的設(shè)計(jì)方案，才能保證網(wǎng)絡(luò)的可靠運(yùn)行。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 操作系統(tǒng) 網(wǎng)絡(luò)防病毒軟件 防火墻 入侵檢測(cè)系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們的日常生活和工作已經(jīng)和網(wǎng)絡(luò)密不可分了，如電子商務(wù)，電子政務(wù)，網(wǎng)絡(luò)銀行，數(shù)字貨幣等等。在享受著便利和資源共享的同時(shí)，安全問題也慢慢浮出來，除了大型的網(wǎng)站受到攻擊，不能正常使用外，一些網(wǎng)站還泄露用戶的信息，甚至還泄露了用戶信用卡帳號(hào)及密碼，造成的危害越來越大。因此無論個(gè)人還是單位現(xiàn)在最關(guān)心的就是網(wǎng)絡(luò)的安全問題。當(dāng)然，要做到網(wǎng)絡(luò)的百分百安全是完全不可能的，能做的只能是減少安全問題的發(fā)生。所以，在組建網(wǎng)絡(luò)的初期，就應(yīng)考慮到提高網(wǎng)絡(luò)安全的設(shè)計(jì)技術(shù)?，F(xiàn)在一些公司大部分的安全方案都是由簡(jiǎn)單的帶有防火墻功能的路由器和個(gè)人版的殺毒軟件所組成，布局得比較簡(jiǎn)單，不夠系統(tǒng)，所以經(jīng)常還是出現(xiàn)中毒，資料外泄的現(xiàn)象出現(xiàn)。因此，要設(shè)計(jì)一套安全的方案是必須的。

一、網(wǎng)絡(luò)安全存在的威脅

要設(shè)計(jì)一套安全的方案，必須先了解現(xiàn)存的威脅，才能更好地對(duì)應(yīng)癥下藥。

（一）硬件故障

硬件故障包括計(jì)算機(jī)，線路，以及各種網(wǎng)絡(luò)設(shè)備的故障，除了正常的老化外，還存在電磁幅射及干擾，甚至還可能由于閃電，打雷，地震，火災(zāi)等自然災(zāi)害所造成的，所有這些都會(huì)影響著網(wǎng)絡(luò)的安全。當(dāng)然，要延長(zhǎng)硬件的壽命，最重要的一點(diǎn)就是要考慮到所有這些硬件的運(yùn)行環(huán)境，如溫度，濕度等等。

（二）操作系統(tǒng)和軟件的漏洞和‘后門’

無論是WINDOWS操作系統(tǒng)還是UNIX操作系統(tǒng)，都存在著系統(tǒng)漏洞，更何況大部分人使用的都是盜版的操作系統(tǒng)，而正是這些漏洞的存在，黑客才有機(jī)可乘。而”后門”一般是程序員在設(shè)計(jì)時(shí)為了方便再進(jìn)入系統(tǒng)和軟件的一個(gè)快捷通道，當(dāng)任務(wù)完成后，這些“后門”很多時(shí)候仍然是打開的。如果這些后門被外人所知道，后果則是不堪設(shè)想的。當(dāng)然有些“后門”是入侵者為了下次能再次進(jìn)入系統(tǒng)而故意留下的，同時(shí)入侵者入侵后會(huì)消除入侵痕跡，所以“后門”一般不會(huì)被發(fā)現(xiàn)。

（三）內(nèi)部的威脅

實(shí)踐證明，70%以上的攻擊都是由內(nèi)部人員所引起的。除了內(nèi)部人員的安全意識(shí)不強(qiáng)，導(dǎo)致機(jī)密的泄露外，還有些內(nèi)部人員不滿公司，故意破壞內(nèi)部的網(wǎng)絡(luò)系統(tǒng)，售賣公司的機(jī)密情報(bào)等等。

（四）計(jì)算機(jī)病毒

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)病毒的發(fā)展速度也驚人，有的時(shí)候是先有病毒的發(fā)生，才有了防這種病毒的技術(shù)，而一旦電腦中毒，輕則占用資源，系統(tǒng)運(yùn)行緩慢，重則數(shù)據(jù)丟失，系統(tǒng)崩潰，后果嚴(yán)重。

（五）木馬程序和黑客攻擊

黑客利用木馬程序，可以控制服務(wù)器端的電腦，不但可以提升自己的權(quán)限，進(jìn)行非法訪問，還可以安裝非法軟件，獲取用戶的私密信息，帳戶和密碼等等。

（六）網(wǎng)絡(luò)監(jiān)聽

如果傳輸?shù)男畔⑹敲魑?，并沒有進(jìn)行加密，黑客可以利用SNIFFER等各種監(jiān)聽軟件獲取用戶傳輸?shù)男畔?，同時(shí)也可以利用軟件對(duì)傳輸?shù)男畔⑦M(jìn)行篡改、刪除或插入等動(dòng)作。

（七）網(wǎng)絡(luò)協(xié)議的缺陷

在建網(wǎng)的初期，設(shè)計(jì)時(shí)并沒有很多考慮到網(wǎng)絡(luò)的安全性，更多考慮的是網(wǎng)絡(luò)的連通性，所以無論是IPV4，還是TCP/IP，這些重要的協(xié)議本身就存在一定的安全隱患，很容易被竊聽和欺騙。

二、安全設(shè)計(jì)方案的需求分析

（一）要保證網(wǎng)絡(luò)的路由器等重要設(shè)備不受到入侵，而即使發(fā)生了入侵，也應(yīng)該可以記錄到有入侵行為的發(fā)生，以便反跟蹤攻擊者，從而知道漏洞的存在，以便做好更好的防范。同時(shí)要有及時(shí)發(fā)現(xiàn)病毒和木馬的能力，減少危險(xiǎn)。

（二）要有監(jiān)控流量的功能，從而可以了解用戶的上網(wǎng)情況，，禁止員工在正常的上班時(shí)間玩游戲，上不良網(wǎng)站，下載電影等現(xiàn)象，防止因個(gè)人大量的占用帶寬而影響網(wǎng)絡(luò)的的可靠和穩(wěn)定的運(yùn)行。

（三）方案必須要有防火墻等設(shè)備，以便更好地設(shè)定訪問控制規(guī)則，禁止沒有權(quán)限的用戶訪問內(nèi)部網(wǎng)絡(luò)，同時(shí)也禁止某些用戶進(jìn)行提權(quán)訪問。

三、安全的設(shè)計(jì)方案

（一）網(wǎng)絡(luò)規(guī)劃

整個(gè)網(wǎng)絡(luò)架構(gòu)可以劃分為核心層，匯聚層和接入層。性能最好的設(shè)備應(yīng)放在核心層，同時(shí)最重要的防護(hù)也要放在核心層。布局核心層時(shí)，應(yīng)采用雙備份的三層交換和光纖冗余，保證網(wǎng)絡(luò)的可靠性。根據(jù)安全程度，整個(gè)網(wǎng)絡(luò)可以分為外網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)。外網(wǎng)就是連接INTERNET的區(qū)域，這個(gè)區(qū)域最重要的就是能提供正常穩(wěn)定的網(wǎng)絡(luò)。而在DMZ區(qū)則是存放的是一些可以公開的服務(wù)器系統(tǒng)，可以讓外網(wǎng)的人訪問，如關(guān)于公司主頁(yè)的WEB服務(wù)器，還有郵件服務(wù)器和電子商務(wù)系統(tǒng)等等。而內(nèi)網(wǎng)存放的則是一些重要的單位機(jī)密信息，禁止外面的人訪問，如關(guān)于公司機(jī)密的數(shù)據(jù)庫(kù)服務(wù)器，內(nèi)部員工的重要信息等等。

（二）在重要的區(qū)域間安裝防火墻

防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一，也是實(shí)現(xiàn)網(wǎng)絡(luò)安全最普遍的工具之一。它是隔離內(nèi)網(wǎng)與外網(wǎng)的一道安全的防護(hù)系統(tǒng)，也是網(wǎng)絡(luò)安全最基本的基礎(chǔ)設(shè)施。

一般公司安裝的都是價(jià)格較貴，但防范能力較強(qiáng)的硬件防火墻，防火墻種類較多，但現(xiàn)在一般會(huì)選用狀態(tài)檢測(cè)防火墻，結(jié)合了包過濾和應(yīng)用防火墻的優(yōu)點(diǎn)。而防火墻的體系結(jié)構(gòu)一般會(huì)使用屏蔽主機(jī)結(jié)構(gòu)，它比堡壘主機(jī)結(jié)構(gòu)更安全。為了防止非授權(quán)用戶的訪問，更重要的是進(jìn)行訪問控制策略的設(shè)置，從而保證重要區(qū)域的數(shù)據(jù)。

（三）在防火墻的后面安裝入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)是指可以對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為可以監(jiān)測(cè)到，并能進(jìn)行記錄和報(bào)警的一種技術(shù)，包括了網(wǎng)絡(luò)系統(tǒng)外部的入侵和內(nèi)部用戶的非法使用等行為，而進(jìn)行入檢測(cè)的軟件和硬件的組合就是入侵檢測(cè)系統(tǒng)。

防火墻并不能完全保證網(wǎng)絡(luò)的安全，而且防火墻更重要的是防止外來人的入侵，對(duì)內(nèi)部人員的作案并不會(huì)檢測(cè)出來。而入侵檢測(cè)系統(tǒng)則可以發(fā)現(xiàn)內(nèi)部人員的非法訪問，是防火墻的一個(gè)補(bǔ)充。

入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)分為幾個(gè)步聚，首先進(jìn)行數(shù)據(jù)收集，通過監(jiān)聽端口，就可以收集到所關(guān)心的報(bào)文。接著進(jìn)行數(shù)據(jù)分析，一般會(huì)通過模式匹配，統(tǒng)計(jì)分析和完整性分析三種手段，根據(jù)三種模式的特點(diǎn)，來發(fā)現(xiàn)是否有異?；蛘吲c平時(shí)正?；顒?dòng)的特征偏離多少來進(jìn)行判斷用戶是否違反安全策略，最后如果被認(rèn)定異常或與攻擊行為的特征相匹配，則會(huì)進(jìn)行記錄和報(bào)警，并采取一定的措施，如斷網(wǎng)，發(fā)報(bào)告給管理者等等。

現(xiàn)在所安裝的入侵檢測(cè)系統(tǒng)一般都是采用主機(jī)和網(wǎng)絡(luò)型相結(jié)合的入侵檢測(cè)系統(tǒng)。在一些特別重的的服務(wù)器可以安裝主機(jī)型入侵檢測(cè)系統(tǒng)，有一些重要網(wǎng)絡(luò)的區(qū)域可以在交換機(jī)上連接網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)。

（四）采用網(wǎng)絡(luò)防病毒技術(shù)

計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

計(jì)算機(jī)的病毒的危險(xiǎn)性是很大的，輕則只是占用系統(tǒng)資源，讓機(jī)器運(yùn)行緩慢，重則是可以破壞重要的數(shù)據(jù)，甚至可以毀壞計(jì)算機(jī)的硬件，如CIH病毒，所以防范病毒是必須的。個(gè)人一般是安裝個(gè)人版的殺毒軟件，如瑞星，360等等，但對(duì)于一間家公司來說，為了方便管理和維護(hù)，應(yīng)該安裝的是網(wǎng)絡(luò)版殺毒軟件，可以定期統(tǒng)一進(jìn)行更新病毒庫(kù)，也可以統(tǒng)一進(jìn)行殺毒，當(dāng)然更重要的是用戶必須要用安全意識(shí)，不要隨便上不良網(wǎng)站，不要隨意插U盤等等。

（五）使用掃描技術(shù)

黑客之所以可以入侵系統(tǒng)，是因?yàn)樗炔赛c(diǎn)，使用掃描技術(shù)掃描出在一片區(qū)域中有哪一臺(tái)機(jī)器存在漏洞，然后攻擊它，并可以使它成為“肉雞”，然后不斷去攻擊其他機(jī)器。所以，我們也可以使用安全掃描技術(shù)來關(guān)閉某些不需要開放的端口和服務(wù)，也可以找出本系統(tǒng)的漏洞，然后根據(jù)漏洞進(jìn)行打補(bǔ)丁和進(jìn)行安全配置操作系統(tǒng)。

（六）防止SNFIFFER嗅探，對(duì)數(shù)據(jù)進(jìn)行加密

如果傳輸?shù)臄?shù)據(jù)是明文，黑客可以利用SNIFFER等軟件可以獲取你傳輸?shù)男畔?，如果獲取的內(nèi)容有帳號(hào)和密碼等信息，后果不堪設(shè)想。所以了為防范嗅探，我們可以對(duì)敏感數(shù)據(jù)進(jìn)行加密，如使用SSH協(xié)議或者利用PGP軟件等。

（七）安裝用戶上網(wǎng)行為的監(jiān)控系統(tǒng)

為了提高工作效率，應(yīng)該禁止員工在上班時(shí)間進(jìn)行網(wǎng)上看電影，炒股，下載電影，通過監(jiān)控系統(tǒng)，杜絕個(gè)人大量地占用帶寬，必要的時(shí)候還可以進(jìn)行限流的設(shè)置。

四、結(jié)語(yǔ)

在當(dāng)今時(shí)代，網(wǎng)絡(luò)安全已和我們生活息息相關(guān)，設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò)方案是必須的，本方案更注重在內(nèi)網(wǎng)的防護(hù)進(jìn)行了設(shè)計(jì)，該方案不僅適合各類單位，學(xué)校，而且也有一定的擴(kuò)展性，即使網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，方案也會(huì)適合未來的發(fā)展需求。但更重要的是每一位使用者都必須要有安全意識(shí)，注意數(shù)據(jù)的備份，將風(fēng)險(xiǎn)降到最低。

參考文獻(xiàn)：

[1]安洛生. 網(wǎng)絡(luò)安全技術(shù)[M]. 國(guó)防科技大學(xué)出版社，2010.6

[2]李俊明. 網(wǎng)絡(luò)安全與黑客攻防寶典[M]. 電子工業(yè)出版社，2010.3

[3]于九紅. 網(wǎng)絡(luò)安全設(shè)計(jì)[M].華東理工大學(xué)出版社，2012.9

[4]劉伯仁，張海波.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅及維護(hù)措施[j].中小企業(yè)管理與科技，2008（29）：12