◆朱果平

計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)探討

◆朱果平

（忻州職業(yè)技術(shù)學(xué)院 山西 034000）

信息技術(shù)在我國(guó)各行各業(yè)當(dāng)中都有較為廣泛的應(yīng)用，在方便人們的工作生活的同時(shí)也帶來(lái)了很多信息安全問(wèn)題，從而對(duì)信息系統(tǒng)網(wǎng)絡(luò)管理以及安全提出了更高要求，本文探討了網(wǎng)絡(luò)管理及其安全設(shè)計(jì)，旨在尋求如何更好地保護(hù)網(wǎng)絡(luò)安全。

計(jì)算機(jī)信息系統(tǒng)；網(wǎng)絡(luò)管理；安全設(shè)計(jì)

隨著近些年來(lái)我國(guó)經(jīng)濟(jì)的高速發(fā)展以及城市化進(jìn)程的不斷深入，計(jì)算機(jī)信息系統(tǒng)也在各行各業(yè)得到了深入的發(fā)展，借助了各個(gè)行業(yè)的優(yōu)勢(shì)，現(xiàn)已形成“互聯(lián)網(wǎng)+”模式。與此同時(shí)，這也對(duì)計(jì)算機(jī)信息系統(tǒng)的安全也提出了更高要求。

1 當(dāng)前時(shí)代存在的網(wǎng)絡(luò)隱患

從計(jì)算機(jī)系統(tǒng)的運(yùn)行特點(diǎn)可以看出其不免受到如網(wǎng)絡(luò)環(huán)境因素、身份認(rèn)證因素、人為因素等多方面因素的影響，具體的表現(xiàn)如下:

（1）網(wǎng)絡(luò)環(huán)境隱患

在當(dāng)前的信息時(shí)代的大背景下，網(wǎng)絡(luò)系統(tǒng)當(dāng)中往往都需要儲(chǔ)存大量數(shù)據(jù)，并且其中大多數(shù)都是重要數(shù)據(jù)，但是因?yàn)榛ヂ?lián)網(wǎng)的開(kāi)放性思維與共享性思維，這就導(dǎo)致網(wǎng)絡(luò)環(huán)境安全仍然處在較低的水準(zhǔn)，即使是部分的政府網(wǎng)站也無(wú)法避免受到攻擊。從技術(shù)方面來(lái)看，現(xiàn)在的計(jì)算機(jī)信息系統(tǒng)使用的多種協(xié)議，都不可避免地存在一定程度上的安全漏洞，這就導(dǎo)致黑客可以借助這些漏洞實(shí)施盜取數(shù)據(jù)、篡改資料，甚至破壞系統(tǒng)基本文件等操作，不僅影響計(jì)算機(jī)信息系統(tǒng)的安全，更對(duì)人們的日常工作生活產(chǎn)生威脅。

（2）身份認(rèn)證中的隱患

對(duì)于目前的計(jì)算機(jī)信息系統(tǒng)來(lái)說(shuō)，如何正確認(rèn)證用戶(hù)身份是其面對(duì)的一大困境。目前，不法分子通過(guò)偽造用戶(hù)賬戶(hù)從而實(shí)現(xiàn)非法入侵系統(tǒng)，盜取用戶(hù)數(shù)據(jù)。而身份認(rèn)證的隱患往往體現(xiàn)于以下兩方面：第一，本身操作系統(tǒng)就存在一部分身份認(rèn)證隱患，例如目前主流操作系統(tǒng)都是由網(wǎng)絡(luò)下載補(bǔ)丁之后從而完成升級(jí)，而往往這個(gè)下載過(guò)程就會(huì)成為木馬和病毒入侵的窗口；第二，身份訪(fǎng)問(wèn)當(dāng)中的一些隱患同時(shí)反映了一些訪(fǎng)問(wèn)信息當(dāng)中的隱患。當(dāng)前多數(shù)的系統(tǒng)身份認(rèn)證都是賬戶(hù)密碼共同組合或者口令密碼，一旦信息外泄，那么很輕松就可以進(jìn)入系統(tǒng)當(dāng)中實(shí)施破壞或者竊取數(shù)據(jù)。

（3）人為因素中的隱患

雖然隨著近些年來(lái)計(jì)算機(jī)技術(shù)不斷發(fā)展，在社會(huì)的各個(gè)行業(yè)領(lǐng)域當(dāng)中都得到了廣泛應(yīng)用，極大方便了居民的日常生活，但是多數(shù)的網(wǎng)絡(luò)服務(wù)與操作人員自身并不具備高技能水平，也缺乏網(wǎng)絡(luò)管理能力，并且不注重自身素質(zhì)的培養(yǎng)，對(duì)于網(wǎng)絡(luò)安全操作和信息保密控制也缺乏相應(yīng)認(rèn)識(shí)，更缺乏安全意識(shí)，導(dǎo)致操作計(jì)算機(jī)時(shí)，漏洞與失誤頻出，既限制了網(wǎng)絡(luò)技術(shù)的正常發(fā)揮，更是增加了數(shù)據(jù)被盜的隱患。

2 如何進(jìn)行網(wǎng)絡(luò)管理

（1）配置管理

對(duì)于網(wǎng)絡(luò)管理來(lái)說(shuō)，其最基本的管理措施就是監(jiān)控管理。具體來(lái)說(shuō)在系統(tǒng)運(yùn)行管理當(dāng)中，相關(guān)操作人員必須要認(rèn)識(shí)用戶(hù)需要和環(huán)境要求，針對(duì)系統(tǒng)設(shè)備進(jìn)行專(zhuān)門(mén)優(yōu)化。對(duì)于部分的特殊設(shè)備，應(yīng)該對(duì)其使用更高安全等級(jí)的軟件，在同一站點(diǎn)當(dāng)中的配置，必須要有充分的預(yù)測(cè)性、快捷性、操作簡(jiǎn)單等要求，避免出現(xiàn)主機(jī)偵聽(tīng)問(wèn)題。

（2）故障管理

故障管理主要是負(fù)責(zé)排除網(wǎng)絡(luò)當(dāng)中故障原因，并且以此為基礎(chǔ)，從而通過(guò)網(wǎng)絡(luò)控制來(lái)排除障礙。一旦出現(xiàn)網(wǎng)絡(luò)障礙，那么首先需要檢查并分析故障情況；其次就是需要對(duì)部分空余設(shè)備進(jìn)行運(yùn)用，從而便于系統(tǒng)網(wǎng)絡(luò)服務(wù)；再次，應(yīng)該及時(shí)創(chuàng)建日志，實(shí)現(xiàn)對(duì)于系統(tǒng)的科學(xué)管理與維護(hù)，及時(shí)發(fā)現(xiàn)隱患并予以解決；最后，還需要操作人員及時(shí)診斷，使用維修或更換等多個(gè)手段來(lái)盡快恢復(fù)正常服務(wù)。

3 安全設(shè)計(jì)要點(diǎn)分析

在計(jì)算機(jī)設(shè)計(jì)系統(tǒng)中信息系統(tǒng)的安全至關(guān)重要，而設(shè)計(jì)是其最初的要點(diǎn)，也是最重要的要點(diǎn)，針對(duì)目前多個(gè)安全驗(yàn)證方式，分析以下幾種常見(jiàn)安全模式的設(shè)計(jì)要點(diǎn)。

3.1 基于身份識(shí)別的安全設(shè)計(jì)

在當(dāng)前階段當(dāng)中，計(jì)算機(jī)信息系統(tǒng)所應(yīng)用的身份識(shí)別技術(shù)主要有以下幾種：第一就是依靠用戶(hù)賬號(hào)、密碼、口令令牌、密鑰、身份等方式認(rèn)證身份；第二，就是以用戶(hù)的指紋、瞳孔、樣貌、聲紋、體態(tài)特征等身體特征驗(yàn)證身份；第三，借助如身份證、卡片、磁卡等來(lái)驗(yàn)證身份；第四，結(jié)合多種方法來(lái)相互驗(yàn)證。在當(dāng)前時(shí)代當(dāng)中，第一種和第二種方法是當(dāng)前時(shí)代最常用的身份認(rèn)證方法，相關(guān)技術(shù)人員還應(yīng)該從用戶(hù)身份標(biāo)識(shí)加強(qiáng)身份認(rèn)證的準(zhǔn)確性與科學(xué)性，在使用以上兩種技術(shù)時(shí)一定要保證每位用戶(hù)都有其特殊的身份認(rèn)證，并且可以保證對(duì)其身份認(rèn)證的快捷性與準(zhǔn)確性。

3.2 基于訪(fǎng)問(wèn)控制的安全設(shè)計(jì)分析

身份識(shí)別的安全設(shè)計(jì)主要傾向于防止非法系統(tǒng)入侵，保證系統(tǒng)安全保護(hù)，但是因?yàn)槠渥陨淼木窒扌?，無(wú)法解決計(jì)算機(jī)系統(tǒng)內(nèi)部合法用戶(hù)的異常信息，無(wú)法起到防御作用。因此在安全設(shè)計(jì)當(dāng)中更應(yīng)該注重加強(qiáng)控制系統(tǒng)中用戶(hù)非授權(quán)方面的控制，分為以下兩種方式：第一，強(qiáng)制訪(fǎng)問(wèn)控制，這種方式需要對(duì)用戶(hù)和文件用系統(tǒng)管理員權(quán)限設(shè)置固定的安全屬性，避免用戶(hù)擅自篡改系統(tǒng)文件；第二，任意訪(fǎng)問(wèn)控制，這種方式可以在系統(tǒng)當(dāng)中隨機(jī)規(guī)定訪(fǎng)問(wèn)對(duì)象，其中保護(hù)的常用方法就是更改控制表等。此外在信息系統(tǒng)的最初時(shí)期，應(yīng)保證相關(guān)人員對(duì)于系統(tǒng)中尚未發(fā)現(xiàn)的問(wèn)題未雨綢繆，通過(guò)如基于身份安全設(shè)計(jì)等方面，側(cè)重于非法系統(tǒng)入侵方面的安全防護(hù)，保護(hù)信息系統(tǒng)內(nèi)部安全，解決信息異常問(wèn)題，無(wú)法發(fā)揮其安全防護(hù)作用。為此，計(jì)算機(jī)安全系統(tǒng)的設(shè)計(jì)必須要注意需要加強(qiáng)系統(tǒng)內(nèi)部用戶(hù)的非授權(quán)方面控制，具體則包括了強(qiáng)制訪(fǎng)問(wèn)控制與任意訪(fǎng)問(wèn)控制。前者需要對(duì)用戶(hù)以及相關(guān)文件設(shè)定固定安全防護(hù)模式，通過(guò)系統(tǒng)管理員來(lái)設(shè)置，從而避免文件數(shù)據(jù)遭到篡改，而后者則是可以在系統(tǒng)中隨意規(guī)定訪(fǎng)問(wèn)對(duì)象，常見(jiàn)形式包括了如訪(fǎng)問(wèn)矩陣、控制表、防火墻等。

3.3 容錯(cuò)性

為了保證計(jì)算機(jī)系統(tǒng)當(dāng)中的安全，那么就必須在安全設(shè)計(jì)中，注重提高系統(tǒng)容錯(cuò)率，有以下兩種方法。第一就是系統(tǒng)冗余技術(shù)，在這種技術(shù)應(yīng)用過(guò)程中，采取兩種完全相同的且互為獨(dú)立的設(shè)備，并且保證在任務(wù)過(guò)程中同時(shí)完成，并且保證有備用設(shè)施，在一套設(shè)備出現(xiàn)故障甚至停機(jī)時(shí)，那么另一套設(shè)備就可以作為備用設(shè)備從而接過(guò)所有職責(zé)，保證系統(tǒng)的正常運(yùn)行。比如目前多數(shù)的云服務(wù)器普遍采取兩套備用設(shè)備，保證不會(huì)出現(xiàn)數(shù)據(jù)缺失和安全問(wèn)題，從硬件方面保證信息安全。第二就是負(fù)荷分布技術(shù)，該技術(shù)可以將信息系統(tǒng)的信息處理、數(shù)據(jù)存儲(chǔ)以及其他信息管理功能分布在多個(gè)設(shè)備單元上，以防止單一設(shè)備的故障致使整個(gè)系統(tǒng)癱瘓，并且可以實(shí)現(xiàn)多通道操作，利用這項(xiàng)技術(shù)可以加速信息處理，降低故障對(duì)于信息系統(tǒng)安全運(yùn)行的影響。

3.4 設(shè)置防火墻體系

設(shè)置計(jì)算機(jī)網(wǎng)絡(luò)防火墻體系，不僅可以保證系統(tǒng)安全，更可以保護(hù)信息安全，防御攻擊。

（1）包過(guò)濾防火墻。這種技術(shù)是應(yīng)用最為廣泛也最為簡(jiǎn)單的防火墻，這種防火墻技術(shù)在任何的路由器上面都可以實(shí)現(xiàn)的，甚至還可以在虛擬路由器上面實(shí)現(xiàn)。其配置圖如圖1所示：在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)信息交換過(guò)程中，所有信息都必須通過(guò)過(guò)濾路由器，路由器審查每個(gè)信息，設(shè)置過(guò)濾規(guī)則，從而選擇是否接受信息。其優(yōu)點(diǎn)在于其防火墻實(shí)現(xiàn)方式簡(jiǎn)單，且不要求路由器安裝任何多余軟件或者作出設(shè)置。但是其缺點(diǎn)也在于太過(guò)簡(jiǎn)單，防護(hù)方式單一，一旦出現(xiàn)障礙那么就會(huì)將服務(wù)器陷入危機(jī)當(dāng)中；缺少日志記錄，一旦受到攻擊，無(wú)法記錄攻擊方式與痕跡，無(wú)法做到對(duì)攻擊者的定位，這種模式適合個(gè)人服務(wù)器或者主機(jī)。

圖1 包過(guò)濾防火墻配置圖

（2）雙宿主主機(jī)防火墻。這種防火墻系統(tǒng)使用了一種擁有兩個(gè)端口的主機(jī)，這種主機(jī)的兩個(gè)端口分別連接外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)，在主機(jī)當(dāng)中使用代理服務(wù)器。主機(jī)不使用過(guò)濾規(guī)則，而是將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)分割開(kāi)來(lái)，當(dāng)中設(shè)置一個(gè)網(wǎng)關(guān)，使用代理服務(wù)器，保證兩個(gè)服務(wù)器中直接傳輸，這兩個(gè)網(wǎng)絡(luò)當(dāng)中的服務(wù)器不能直接進(jìn)行數(shù)據(jù)交換，數(shù)據(jù)交換通過(guò)代理服務(wù)器才能實(shí)現(xiàn)。這種防火墻的優(yōu)勢(shì)在于可以將需要保護(hù)的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)做好徹底的隔離，并且提供防護(hù)日志，有助于鎖定攻擊者蹤跡，并且在數(shù)據(jù)交換過(guò)程當(dāng)中，內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)地址不會(huì)被發(fā)現(xiàn)。但是其缺點(diǎn)就在于代理服務(wù)器設(shè)計(jì)的難度較大，其數(shù)據(jù)交換必須依靠代理服務(wù)器，而且必須專(zhuān)項(xiàng)設(shè)計(jì)，在某些場(chǎng)合并不適用。

（3）屏蔽主機(jī)網(wǎng)關(guān)防火墻。這種防火墻系統(tǒng)是由一臺(tái)內(nèi)部堡壘主機(jī)和外部過(guò)濾路由器結(jié)合而成，這種配置存在著極大的優(yōu)勢(shì)，首先在外部網(wǎng)絡(luò)訪(fǎng)問(wèn)的過(guò)程中，首先需要經(jīng)過(guò)過(guò)濾服務(wù)器，在經(jīng)過(guò)過(guò)濾服務(wù)器之后才可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)當(dāng)中只能訪(fǎng)問(wèn)堡壘主機(jī)，卻不能直接訪(fǎng)問(wèn)在內(nèi)部網(wǎng)絡(luò)當(dāng)中的其他主機(jī)。而當(dāng)內(nèi)部網(wǎng)絡(luò)需要向外傳輸信息時(shí)，那么就必須要先通過(guò)堡壘主機(jī)，堡壘主機(jī)決定這個(gè)信息是否可以傳輸?shù)酵獠烤W(wǎng)絡(luò)，堡壘主機(jī)是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的唯一途徑。這個(gè)防火墻有著更為安全的優(yōu)勢(shì)，而且過(guò)濾路由器的過(guò)濾規(guī)則設(shè)置相對(duì)簡(jiǎn)單。但是其缺點(diǎn)在于一旦堡壘主機(jī)被攻破，那么其內(nèi)部網(wǎng)絡(luò)就會(huì)失去最后的防護(hù)。

圖2 屏蔽主機(jī)網(wǎng)關(guān)防火墻

4 結(jié)束語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到了國(guó)民經(jīng)濟(jì)與社會(huì)生活的各個(gè)方面當(dāng)中，網(wǎng)絡(luò)的安全與穩(wěn)定更是直接關(guān)系到了我國(guó)居民乃至社會(huì)的數(shù)據(jù)安全，因此，在計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理與安全設(shè)計(jì)中，必須采取強(qiáng)有力的措施，嚴(yán)格做好網(wǎng)絡(luò)管理，保證安全性與穩(wěn)定性，結(jié)合了身份識(shí)別以及訪(fǎng)問(wèn)控制，逐步提高網(wǎng)絡(luò)管理水平和安全設(shè)計(jì)水平。

[1]常博. 計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理安全設(shè)計(jì)與實(shí)現(xiàn)分析[J]. 微型電腦應(yīng)用，2020，36（02）：79-81+85.

[2]李根. 計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)探討[J]. 數(shù)字技術(shù)與應(yīng)用，2019，37（06）：189-190.

[3]羅小婭. 計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)分析[J]. 信息與電腦（理論版），2018（19）：203-204.

[4]江海濤. 計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)探討[J]. 信息通信，2018（02）：178-179.

[5]葉衛(wèi)華，王鳳. 基于網(wǎng)絡(luò)碎片化的高?？蒲泄芾硇畔⑾到y(tǒng)安全設(shè)計(jì)[J]. 電子技術(shù)與軟件工程，2017（08）：233+244.

[6]劉躍. 計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)管理和安全設(shè)計(jì)[J]. 信息與電腦（理論版），2017（14）：184-185.

[7]陳軍，徐玉琴. 淺談?dòng)?jì)算機(jī)管理信息系統(tǒng)的安全設(shè)計(jì)[J]. 內(nèi)蒙古石油化工，2017（05）：135.

[8]馮玉伯，曹作良，朱向彬. 基于網(wǎng)絡(luò)結(jié)構(gòu)的安全管理信息系統(tǒng)設(shè)計(jì)[J]. 天津理工大學(xué)學(xué)報(bào)，2018（02）：33-36.