芻議計算機網絡安全及建設

摘要：本文簡要介紹了計算機網絡安全的體系結構，分析了網絡安全的設計原則，討論了計算機網絡的安全策略、管理原則以及網絡各層的安全設計，最后提出了網絡安全產品的選型原則。

關鍵詞：網絡 安全 建設

社會對信息的依賴程度越來越高。盡管個人、部門和整個企業都已認識到信息的寶貴價值和私有性，但競爭已迫使各機構打破原有的界限，在企業內部或企業之間共享更多的信息。因此，網絡安全成為一個重要的問題。

一、網絡安全

通過對網絡應用的全面了解，按照安全風險、需求分析結果、安全策略以及網絡的安全目標，具體的安全控制系統可以分為：物理安全、系統安全、網絡安全、應用安全、管理安全等幾個方面。

網絡安全是整個安全解決方案的關鍵，通過訪問控制、通信保密、入侵檢測、網絡安全掃描系統、防病毒分別進行。 隔離與訪問控制可通過嚴格的管理制度 、劃分虛擬子網、配備防火墻來進行。內部辦公自動化網絡根據不同用戶安全級別或者根據不同部門的安全需求，利用三層交換機來劃分虛擬子網 ，在沒有配置路由的情況下，不同虛擬子網間是不能夠互相訪問。

防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。它通過制定嚴格的安全策略實現內外網絡或內部網絡不同信任域之間的隔離與訪問控制；并且可以實現單向或雙向控制，對一些高層協議實現較細粒的訪問控制。通信保密是使得在網上傳送的數據是密文形式，而不是明文?？梢赃x擇鏈路層加密和網絡層加密等方式。入侵檢測是根據已有的、最新的攻擊手段的信息代碼對進出網段的所有操作行為進行實時監控、記錄，并按制定的策略實行響應 ，從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測器 。探測器用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為。由于探測器采取的是監聽不是過濾數據包。因此，入侵檢測系統的應用不會對網絡系統性能造成多大影響。網絡掃描系統可以對網絡中所有部件進行攻擊性掃描、分析和評估，發現并報告系統存在的弱點和漏洞，評估安全風險，建議補救措施。病毒防護也是網絡安全建設中應該考慮的重要的環節之一，反病毒技術包括預防病毒、檢測病毒和殺毒三種技術。

二、網絡安全體系的建設

1.安全體系設計原則

A.需求、風險、代價平衡分析的原則：對任一網絡來說，絕對安全難以達到，也不一定必要。對一個網絡要進行實際分析，對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

B.綜合性、整體性原則：運用系統工程的觀點、方法，分析網絡的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡包括個人、設備、軟件、數據等環節，它們在網絡安全中的地位和影響作用，只有從系統綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。

C.一致性原則：這主要是指網絡安全問題應與整個網絡的工作周期同時存在，制定的安全體系結構必須與網絡的安全需求相一致。實際上，在網絡建設之初就考慮網絡安全對策，比等網絡建設好后再考慮要容易，而且花費也少得多。

D.易操作性原則：安全措施要由人來完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統正常運行。

E.多重保護原則 ： 任何安全保護措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其他層保護仍可保護信息的安全。

2.網絡安全風險分析

網絡安全風險分析是制定有效的安全管理策略和選擇有作用的安全技術實施措施的基礎依據。安全保障不能完全基于思想教育或信任，而應基于\"最低權限\"和\"相互監督\"法則。

第一，網絡安全策略

安全策略分安全管理策略和安全技術實施策略兩個方面：一是管理策略。安全系統需要人來執行，即使是最好的、最值得信賴的系統安全措施，也不能完全由計算機系統來完全承擔安全保證任務，因此必須建立完備的安全組織和管理制度。二是技術策略。技術策略要針對網絡、操作系統、數據庫、信息共享授權提出具體的措施。

第二，安全管理原則

計算機信息系統的安全管理主要基于三個原則，即多人負責原則、任期有限原則、職責分離原則 。制定系統安全策略、安裝網絡安全系統只是網絡系統安全性實施的第一步，只有當各級組織機構均嚴格執行網絡安全的各項規定，認真維護各自負責的分系統的網絡安全性，才能保證整個系統網絡的整體安全性。

第三，網絡安全設計

物理層安全涉及傳輸介質的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點。

在鏈路層，通過\"橋\"這一互連設備的監視和控制作用，使我們可以建立一定程度的虛擬局域網，對物理和邏輯網段進行有效的分割和隔離，消除不同安全級別邏輯網段間的竊聽可能。

在網絡層，可通過對不同子網的定義和對路由器的路由表控制來限制子網間的接點通信，通過對主機路由表的控制來控制與之直接通信的節點。同時，利用網關的安全控制能力，可以限制節點的通信、應用服務，并加強外部用戶識別和驗證能力。增強網絡互連的分割和過濾控制，也可以大大提高安全保密性。

總之，網絡安全是一個系統的、全局的管理問題，只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施，才能真正做到整個系統的安全。

參考文獻：

[1]王婷婷，孫志偉；-對媒介融合下新聞實務類課程整合的研究，新聞界，2011年第08期

[2]謝希仁，計算機網絡[M]. 北京：電子工業出版社，1999