計算機網絡安全策略及其技術防范措施

【摘要】計算機網絡普遍存在安全問題。國際互聯網存在信息管理失控，網絡犯罪防不勝防。我國網絡安全形勢嚴峻。我們需要一個正確的安全策略，需要有效并且經濟的網絡安全技術防范措施，包括局域網安全技術防范措施和廣域網安全技術防范措施。

【關鍵詞】計算機網絡安全策略

在計算機網絡日益擴展和普及的今天，計算機安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統抵抗外來非法黑客入侵的能力，還要提高對遠程數據傳輸的保密性，避免在傳輸途中遭受非法竊取。

一、計算機網絡的安全策略

網絡安全應該包括信息安全和控制安全。前者是指信息的完整性、可用性、保密性和可靠性，后者是指身份認證、不可否認性、授權和訪問控制等。安全策略應該包括物理安全策略和訪問控制策略。

1.1物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受人為破壞和搭線攻擊；驗證訪問者的身份和使用權限、防止用戶越權操作；建立完備的安全管理制度，防止非法進入計算機系統等。

1.2訪問控制策略

訪問控制策略至少應該包括如下內容：（1）入網訪問控制。入網訪問控制為網絡訪問把第一道關。網絡控制權限規范哪些用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源。（2）目錄級安全控制。網絡管理員應該規范用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效。

1.3防火墻技術

防火墻技術主要包括有四大類：網絡級防火墻、應用級網關、電路級網關和規則檢查防火墻。防火墻在使用的過程中，應該考慮到幾個方面的問題：首先要考慮的是防火墻不能夠防病毒的攻擊，雖然有不少的防火墻產品聲稱具有這個功能。其次要考慮防火墻技術中數據與防火墻之間的更新問題，如果延時太長，將無法支持實時服務要求。并且防火墻采用的濾波技術會降低網絡的性能，如果購置高速路由器來改變網絡的性能，那樣會大大增加網絡成本。再次是防火墻不能防止來自網絡內部的攻擊，也無法保護繞過防火墻的病毒攻擊。

1.4訪問控制技術

訪問控制技術是對信息系統資源進行保護的重要措施，它設計的三個基本概念為：主體、客體和授權訪問。訪問控制技術的訪問策略通常有三種：自主訪問控制、強制訪問控制以及基于角色的訪問控制。訪問控制的技術與策略主要有：入網訪問控制、網絡權限控制、目錄級控制、屬性控制以及服務器安全控制等多種手段。

1.5數據加密技術

網絡數據加密的三種技術為：鏈路加密、節點加密和端到端加密。鏈路加密是將所有信息在傳輸前進行加密，在每一個節點對接收到的信息進行解密，然后先使用下一個鏈路的密鑰對消息進行加密，再進行傳輸。節點加密與鏈路加密不同，節點加密不允許消息在網絡節點以明文形式存在，它先把收到的消息進行解密，然后采用另一個不同的密鑰進行加密，這一過程是在節點上的一個安全模塊中進行。端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密，消息在被傳輸時到達終點之前不進行解密，因為消息在整個傳輸過程中均受到保護，所以即使有節點被損壞也不會使消息泄露。

二、網絡安全技術防范措施

網絡安全技術防范措施主要涉及常用的局域網安全技術防范措施和廣域網安全技術防范措施。

2.1局域網安全技術防范措施

2.1.1網絡分段

網絡分段是控制網絡廣播風暴的一種基本方法，也是保證網絡安全的一項重要措施，其目的就是將非法用戶與網絡資源相互隔離，從而防止可能的非法窺聽。

2.1.2以交換式集線器代替共享式集線器

在對局域網的中心交換機進行網絡分段的處理以后，以太網遭遇窺聽的危險依然存在。應該以交換式集線器代替共享式集線器，控制單播數據包只能在兩個節點之間傳送，從而防止非法窺聽。

2.1.3VLAN的劃分

在分布式網絡環境下，應該以機構或部門的設置來劃分VLAN。部門內部的所有用戶節點和服務器都必須在各自的VLAN內，互相不受侵擾。VLAN內部的連接采用交換實現，而VLAN之間的連接則采用路由實現。

2.2廣域網安全技術防范措施

由于廣域網多數采用公網傳輸數據，信息在廣域網上被截取的可能性要比局域網大得多。網絡黑客只要利用一些簡單的包檢測工具軟件，就可以很輕松地實施對通信數據包的截取和破譯。廣域網安全應該采用以下防范技術措施：（1）加密技術。加密型網絡安全技術是指通過對網絡數據的加密來保證網絡安全的可靠性，而不依賴于網絡中數據通道的安全性。數據加密技術可以分為對稱型加密、不對稱型加密和不可逆加密三種。計算機系統中的口令一般是利用不可逆加密算法加密的。（2）VPN技術。該技術是指所謂的虛擬加密隧道技術，是指將企業私網的數據加密封裝后，通過虛擬的公網隧道進行傳輸。企業在VPN建網選型時，應該注意優選技術先進的VPN服務提供商和VPN設備。（3）身份認證技術。要特別注意處置從外部撥號網絡訪問總部內部網的用戶。因為使用公共電話網通訊風險很大，必須嚴格身份認證。常用的身份認證技術有Cisco公司的TACACS+，行業標準RADIUS等。

2.3安全管理隊伍的建設

在計算機網絡系統中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網絡安全的重要保證，只有通過網絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網絡的安全規范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力，才能使計算機網絡的安全可靠得到保障，從而使廣大網絡用戶的利益得到保障。

計算機網絡的安全問題涉及到網絡安全策略和網絡安全技術防范措施，也涉及到國家對網絡安全的防范監管機制及相關的法律問題，還涉及到網絡安全當事者的職業道德和高技術與高感情的平衡問題。相對網絡技術專業工作者來說，如果能夠牢固樹立正確的網絡安全策略，在力所能及的范圍之內，制定和實施經濟有效的安全技術防范措施，并且能夠經常評估和不斷改進，相信計算機網絡安全的局面將會永遠是魔高一尺道高一丈。

參考文獻

[1]嚴明.多媒體技術應用基礎[M].武漢：華中科技大學出版社，2004.

[2]朱理森，張守連.計算機網絡應用技術[M].北京：專利文獻出版社，2001.

[3]謝希仁.計算機網絡（第4版）[M].北京：電子工業出版社，2003.

[4]謝希仁.計算機網絡.北京：人民郵電出版社，2006.

[5]林建平.計算機網絡安全防控策略的若干分析.山西廣播電視大學學報，2006.