計算機網絡安全方案的設計與實現

潘樹龍，孫維夫

（1.2.煙臺職業學院信息工程系，山東煙臺264670）

計算機網絡安全方案的設計與實現

潘樹龍1，孫維夫2

（1.2.煙臺職業學院信息工程系，山東煙臺264670）

在信息化社會中，隨著互聯網絡的發展，計算機已由單一使用發展到群集使用，計算機網絡在社會經濟、文教、衛生、軍事乃至政治領域的應用正在深刻地改變著人類的生存環境和生活方式。越來越多的應用領域需要計算機在一定的地理范圍內聯合起來進行群集工作，然而人類卻面臨又一大難題——計算機網絡安全。互聯網的發展，黑客的產生，病毒和感染，在人類享受信息化生活的同時也成為人類的困擾。該文就計算機網絡安全系統提出一系列方案的設計與實現，方便大家系統地了解計算機網絡安全，以及應當采取的對應措施。

計算機網絡；網絡安全；病毒防護

目前，我國網絡基礎設施建設已然成型，網上業務的開展也達到了相當水平，網絡環境和網絡應用已經成為國內各級機構行使職能、處理業務、開展工作的重要基礎和必要手段[1]。

建立和完善網絡安全方案首先需了解用戶的安全環境、安全現狀、以及存在的安全威脅，根據用戶的需求制定和實現一系列的網絡安全方案的設計。

網絡安全是一個必須解決的重要問題，同時也是一個極其復雜的問題。根據實際情況建立相應的網絡安全方案，其中包括：加密技術、防火墻、入侵檢測、安全掃描、防病毒、操作系統的安全性等一系列網絡安全方案。

1 物理隔離

1.1 物理隔離的概述

所謂“物理隔離”是指內部網不直接或間接地連接公共網。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。

1.2 物理隔離的方案

物理隔離的技術架構在隔離上，我們通過以下一組圖示來說明物理隔離是如何實現的。

圖1-1

上頁圖1-1表示沒有連接時內外網的應用狀況。從連接特征可以看出，這樣的結構從物理上完全分離。外網是安全性不高的因特網，內網是安全性很高的內部專用網絡。正常情況下，隔離設備和外網，隔離設備和內網，外網和內網是完全斷開的，即保證網絡之間是完全斷開的。隔離設備可以理解為純粹的存儲介質和一個單純的調度和控制電路[2]。

當外網有數據需要到達內網時，以電子郵件為例，外部服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有協議剝離，將原始的數據寫入存儲介質（見圖1-2）。根據不同的應用，可能有必要對數據進行完整性和安全性檢查，如防病毒和惡意代碼等。

圖1-2

一旦數據完全寫入隔離設備的存儲介質，隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后，立即進行TCP/IP的封裝和應用協議的封裝，并交給應用系統。此時，內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件（見圖1-3）。

圖1-3

2 病毒防護：病毒防護系統

2.1 計算機病毒的概述

計算機病毒是利用程序干擾或破壞系統正常工作的一種手段，它的產生和蔓延給計算機系統的可靠性和安全性帶來嚴重威脅和巨大的損失。計算機病毒主要手段有：數據欺騙、特洛伊木馬、邏輯炸彈、偷襲程序、意大利香腸、蠕蟲病毒、宏病毒、制造陷阱、超級沖殺和異步攻擊等[3]。今后在現代化戰爭中，可以利用傳染病毒來破壞對方的軍事指揮通信系統，使其處于癱瘓狀態。因而，對計算機病毒的危害也絕不能掉以輕心。

2.2 病毒防護系統的實現

其解決方案安裝殺毒軟件。目前計算機反病毒市場上流行的反病毒產品很多，國內的著名殺毒軟件有瑞星、金山毒霸、360等等，國外引進的著名殺毒軟件有Norton AntiVirus、Trend PC-Cillin98、McAfee VirusScan等，要經常更新病毒庫以及安裝網絡防火墻。

3 動態口令身份認證系統

3.1 動態口令身份認證系統的概述

隨著計算機網絡信息技術的迅速發展，信息價值日益受到人們的重視，一些黑客軟件可能隨時都能搜捕到您使用過的密碼，這對信息的安全構成嚴重的威脅，事實上，任何純粹的軟件都無法逃脫黑客的跟蹤，只有軟硬件結合才能從根本上解決這一難題，動態口令身份認證系統正是利用“軟件+硬件令牌”的方式來解決這一難題。動態口令身份認證是集認證與管理于一身，極容易擴展，其具有安全性、唯一性、可靠性、不可否認性。

3.2 動態口令身份認證系統方案實現

動態口令身份認證系統的實現需要建立起動態口令身份認證系統的管理控制臺、認證服務器、應用接口、軟件令牌。針對不同的安全等級要求，可以分別為服務用戶、操作員、系統管理員提供動態口令，以提高其認證的安全性。保持動態口令身份認證系統與應用系統連接的簡單和方便，性能穩定、安全。由于信息時代的發展，接受動態口令可以為手機、動態令等。

4 訪問控制——“防火墻”

4.1 防火墻的概述

網絡防火墻是用來在一個可信網絡（如內部網）與一個不可信網絡（如外部網）間起保護作用的一整套裝置，在內部網和外部網之間的界面上構造一個保護層，并強制所有的訪問或連接都必須經過這一保護層，在此進行檢查和連接。只有被授權的通信才能通過此保護層，從而保護內部網資源免遭非法入侵[4]。

在物理上，防火墻表現為一個或一組帶特殊功能的網絡設備。但它的目的是建立一個網絡安全協議和機制，并通過網絡配置、主機系統、路由器以及諸如身份認證等手段來實現該安全協議和機制。從廣義上說，還包括各種加密技術的應用。

4.2 防火墻方案實現

4.2.1 隔離內外網（全部隔離）部署方案（見圖4－1）

圖4-1

4.2.2 提高內外網服務器安全的防火墻部署方案（見圖4－2）

圖4-2

根據防火墻部署的位置不同，它的功能顯然不一樣，上頁圖4-1隔離內外網（全部隔離）方案，這是最簡單的防火墻部署方案，對各個區域進行防火墻規則設置，施行分層管理對外部訪問進行限制，用豐富的包過濾功能，網絡地址轉換（NAT）DMZ（非軍事區）多種服務器代理職能內容過濾統計計費功能[5]，安全檢測與實時報警功能與IDS聯動抗IP欺騙、防端口掃描、DOS攻擊攔截、p2p協議過濾。適合應用服務多少，以客戶機上網為主的小型網絡；圖4-2是提高內外網服務器安全的防火墻部署方案，這種部署是在帶DMZ部署方案的基礎上，在企業內部增加防火墻以及相應的策略，在內部再增加一個防火墻，安全系數得到提升，但不足之處在于合法訪問必須經過兩道防火墻，再經過安全策略分析之后，才能訪問內部敏感信息。

5 結束語

隨著網絡應用的發展，網絡在各種信息系統中的作用變得越來越重要，人們也越來越關心網絡安全與網絡管理問題。本文通過當今對網絡構成威脅的各種因素，提出了相關的解決對策，并給出了實施方案。總之，網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。

[1]胡道元.計算機局域網[M].北京:清華大學出版社,2001:120-130.

[2]朱理森.張守連.計算機網絡應用技術[M].北京:專利文獻出版社,2001:35-37.

[3]劉占全.網絡管理與防火墻[M].北京:人民郵電出版社,1999:66-68.

[4]陳愛民.計算機的安全與保密[M].北京:電子工業出版社,2002:80-83.

[5]殷偉.計算機安全與病毒防治[M].合肥：安徽科學技術出版社,2004:55-57.

TP393.09

A

1673-8535(2013)03-0016-04

潘樹龍（1981-），男，山東福山人，煙臺職業學院教師，主要研究方向：計算機網絡安全建設以及視頻圖像信息提取。

孫維夫（1970-），男，山東棲霞人，煙臺職業學院講師，研究方向：計算機網絡。

（責任編輯：覃華巧）

2013-04-20