對網絡安全技術管理的探討

　　摘要：本文主要對企業網絡安全管理進行了探討，可供同行參考。
　　關鍵詞：網絡安全；管理；技術
　　中圖分類號：TP2 文獻標識碼：A文章編號：1672-3791(2011)06(c)-0000-00
　　
　　在當今這個信息化社會中，網絡安全管理技術已經成為網絡技術中人們公認的關鍵技術。由于網絡安全對網絡信息系統的性能、管理的關聯及影響趨于復雜嚴重，網絡安全管理正逐漸成為網絡管理技術中的一個重要分支，網絡安全管理系統呈現出了從通常網管系統中分離出來的趨勢。影響網絡安全的因素有許多，有自然因素，也有人為因素，其中人為因素的危害最大。歸納起來，對網絡安全造成威脅的有：硬件設備故障或突然斷電；計算機病毒的攻擊；人為的進攻。加強網絡安全管理，降低不安全因素的影響，就要制定一系列的安全規范、安全措施，建立安全保障體系，以消除上述的安全威脅。
　　
　　1影響網絡安全因素的分析
　　影響局域網網絡安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來，主要有六個方面構成對網絡的威脅：
　　1.1 人為失誤
　　一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應進入網絡的人上網等，都會對網絡系統造成極大的破壞。
　　1.2 病毒感染
　　從“蠕蟲”病毒開始到CIH、愛蟲病毒。病毒一直是計算機系統安全最直接的威脅，網絡更是為病毒提供了迅速傳播的途徑，病毒很容易地通過代理服務器以軟件下載、郵件接收等方式進入網絡，然后對網絡進行攻擊，造成很大的損失。
　　1.3 來自網絡外部的攻擊
　　這是指來自局域網外部的惡意攻擊，例如：有選擇地破壞網絡信息的有效性和完整性；偽裝為合法用戶進入網絡并占用大量資源；修改網絡數據、竊取、破譯機密信息、破壞軟件執行；在中間站點攔截和讀取絕密信息等。
　　1.4 來自網絡內部的攻擊
　　在局域網內部，一些非法用戶冒用合法用戶的口令以合法身份登陸網站后，查看機密信息，修改信息內容及破壞應用系統的運行。
　　1.5 系統的漏洞及“后門”
　　操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。
　　
　　2 加強網絡安全管理
　　2.1 計算機設備的安全管理
　　加強設備安全管理首先要給計算機設備提供一個良好的運行環境，除嚴格的控制溫度、濕度外，還要做好防塵、防電磁泄漏和干擾、防火、防有害物質、防水防盜等一系列防護措施，減少安全隱患。另外，為減少安全威脅，必須制定安全規范，嚴格管理制度：未經網絡管理員許可，任何人不得以任何原由打開機箱，隨意拆卸或更改集成線路板(卡)；計算機及網絡設備的搬遷或更改有關硬件設備，必須有網絡管理員負責，任何人不得私自進行；計算機及網絡設備出現硬件故障時，應及時向網絡管理員報告，由網絡管理員處理；計算機及外圍設備要定期進行維護；新的計算機接入系統前，應對一些重要信息進行備份；每臺微機都必須連UPS，尤其是服務器要安裝大容量的UPS。
　　2.2 軟件的安全管理及其反病毒技術
　　這是網絡安全一個重要環節。計算機系統的不安全很多來源于計算機病毒。在單機環境下，病毒主要是通過軟盤和硬盤傳輸。軟件管理可采取以下措施：用硬盤啟動機器，如有必要用軟盤啟動，要對軟盤作仔細的檢查，確認無病毒后方可使用；若使用外來軟盤，必須事先檢查，確認無毒方可使用；設置開機及進入系統的口令，限制其他非工作人員使用；經常用病毒檢測軟件進行檢查，一旦發現病毒，及時采取措施；對重要的計算機和硬盤信息做好備份，以便在病毒侵入受破壞后，恢復重要信息；對重要的應用軟件做備份，加上寫保護。在網絡環境下，大部分的病毒以電子郵件的形式傳播，并利用黑客技術，不但刪除文件和操作系統，而且竊取用戶信息，具有不可估量的威脅力和破壞力，維護網絡安全必須采取網絡反病毒技術。網絡反病毒技術包括預防病毒、檢測病毒和消除病毒三種技術。
　　網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁的掃描和監視，工作站上采用防病毒芯片、指定口令字和對網絡目錄及文件設置訪問權限等。
　　2.3 人員管理
　　人為攻擊是計算機網絡所面臨的最大威脅。敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊可分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性，截取網上的信息包，并對其進行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導的作用，或者登陸進入系統使用并占用大量的網絡資源，造成資源的消耗，損害合法用戶的利益。另一種是被動攻擊，它是在不影響網絡正常工作的情況下進行截取、竊取、破譯以獲得更重要的機密。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄露。網絡管理員應該做到以下幾點：
　　(1)網絡管理員應采取層次、分區、表格各種授權方式，控制用戶對網絡信息存取權限。妥善保管系統口令，不得輕易泄露，以防未經授權的人使用。另外，經常去有關的安全網站下載系統補丁程序，盡可能地將系統的漏洞補上。
　　(2)對網絡數據和資料除進行常規備份(完全式、增量式、差分式)外，還要設置自動啟動和停止日志，記錄系統配置以供重新使用，處理備份中發生的各種情況。定期檢查備份的正確性。對重要的數據和資料必須多份拷貝異地存放。同時，對備份所用的存儲設備單獨存放，不要連在互聯網上。
　　(3)特別重要的網站要做到24h有網絡管理員值班，并采取技術措施循環檢查系統日志，以及動態IP的變化。保證網絡系統的正常工作。無人值守網站時，關閉一切連在互聯網上的供工作人員使用的電腦終端設備。
　　
　　3 網絡安全技術措施
　　3.1 局域網安全技術
　　目前的局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也同時為處在同一以太網上的任何接點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。當前，局域網安全的解決辦法有以下幾種：
　　(1)網絡分段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽。網絡分段可分為物理分段和邏輯分段兩種。
　　(2)以交換式集線器代替共享式集線器。對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包 (稱為單播包Unicast Packet)還是會被同一臺集線器上其他用戶所偵聽。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節點之間傳送，從而防止非法偵聽。
　　(3)VLAN 的劃分。為了克服以太網的廣播問題，除了上述方法外，還可以運用VLAN(虛擬局域網)技術，將以太網通信變為點到點通信，防止大部分基于網絡的偵聽的入侵。
　　3.2 廣域網安全技術
　　由于廣域網大多采用共用網進行數據傳播，信息在廣域網上傳輸時被載取和利用的可能性要比局域網大得多。如果沒有專用的軟件對數據進行控制，只要使用Internet上免費下載的“包檢測”工具軟件，就可以很容易地對通信數據進行截取和破譯。廣域網通常采用以下安全解決辦法：
　　(1)防火墻技術。防火墻是一種非常有效的網絡安全管理技術。它是一種由計算機硬件和軟件的組合，使互聯網與內部網之間建立起一個安全網(ScurityGateway)，從而保護內部網免受非法用戶的侵入。防火墻是立體防護體系的聯動中心，是安全決策的焦點。
　　(2)數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部剖析所采用的主要技術手段之一。信息加密過程是由各種加密算法(如常規密碼算法、公鑰密碼算法)來實現的。按其功能不同，數據加密技術主要分數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
　　(3)智能卡技術。與數據加密技術密切相關的另一項技術是智能卡技術。所謂的智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦與它一個口令或密碼。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。
　　
　　4 結束語
　　網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。
　　
　　參考文獻
　　[1] 李曉勇.網絡安全的目標[N].中國電腦