摘 要： 網(wǎng)絡(luò)的產(chǎn)生方便了人們的工作和學(xué)習(xí)，同時也產(chǎn)生了一系列安全問題。如何保障網(wǎng)絡(luò)應(yīng)用中的安全問題，特別是網(wǎng)絡(luò)中信息的安全，是網(wǎng)絡(luò)管理者必須正視的非常緊迫的問題。本文從管理者的角度對當(dāng)前信息網(wǎng)絡(luò)安全管理中可能出現(xiàn)的問題作了分析，并就解決對策作了一定的研究。
　　關(guān)鍵詞： 信息安全 網(wǎng)絡(luò)安全管理 問題與對策
　　
　　談到“安全管理”，很多人首先想到的可能是“網(wǎng)絡(luò)安全”。其實安全管理不僅僅只是網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全只是其中的一部分，我們必須要把“網(wǎng)絡(luò)安全”上升到“信息安全”的高度，只有有效地實現(xiàn)了信息的安全，才能算做好了安全管理工作。原因很明顯，如果只是網(wǎng)絡(luò)被破壞，那只要花一定金額的錢就可以重建網(wǎng)絡(luò)，最多只是需要時間而已，其損失可以被估量。而如果關(guān)鍵信息或重要信息被丟失、破壞，那后果是及其嚴(yán)重的，因為很多重要信息無法被重構(gòu)，花再多錢也無用，并且其產(chǎn)生的負(fù)面影響非常重大。
　　所以，我就安全管理中的幾個重要的問題展開討論，并就解決該問題的對策進(jìn)行更深一步的研究。
　　1.首要問題：人的因素
　　1.1安全管理中的兩類人員
　　可能會有很多人有疑問，人怎么會成為安全管理中的首要問題呢？當(dāng)然，這里的“人”包括兩類：一類是內(nèi)部的管理人員或合法接入內(nèi)網(wǎng)的外部人員；另一類是外部的攻擊人員。其中最重要的，也是“人”之所以成為“首要問題”的原因的是第一類人員；而第二類人員可以歸結(jié)為網(wǎng)絡(luò)安全技術(shù)問題之一。
　　其實只要設(shè)想一下就可以明白：對某個網(wǎng)絡(luò)，不管其結(jié)構(gòu)、大小，假如說通過一定的技術(shù)手段，它已經(jīng)成為“銅墻鐵壁”，這時它夠安全嗎？記得有這樣一句話：堡壘最容易從內(nèi)部被攻破。也就是說，如果網(wǎng)絡(luò)的內(nèi)部工作人員甚至管理人員出了問題，再堅固的銅墻鐵壁也只是薄紙一張。對于網(wǎng)絡(luò)管理員，可能他有意制造了網(wǎng)絡(luò)安全問題——嚴(yán)重的可能成為計算機(jī)犯罪；也許他是無意的——由于技術(shù)水平的問題，可能他在無意之中將網(wǎng)絡(luò)的后門洞開。同樣對于合法接入內(nèi)網(wǎng)的外部人員，由于他“混”入了“信任域”，也可能會因此而使大量IT設(shè)備癱瘓。
　　上面所述就是信息安全管理工作成敗的關(guān)鍵因素之一，人的因素——來自內(nèi)部職工或其它合法使用信息者的內(nèi)部濫用。
　　1.2一個非典型例子
　　2002年10月29日，蘇州市滄浪區(qū)人民法院對一起破壞計算機(jī)信息系統(tǒng)的案件依法作出了判決。這是江蘇省首例破壞計算機(jī)信息系統(tǒng)案件。
　　5月18日，被告人羅露利用其事先從客戶端SQL Server企業(yè)管理器中獲取的江蘇省普通高中會考辦公室FTP站點服務(wù)器的IP地址、帳號用戶名，以及密碼，先后兩次使用Leapftp軟件非法登錄至江蘇省中小學(xué)信息技術(shù)等級考試網(wǎng)站（江蘇省普通高中會考辦公室專用服務(wù)器），執(zhí)行刪除文件命令，共刪除了100個數(shù)據(jù)文件，這些文件均系江蘇省中小學(xué)生信息技術(shù)等級考試考生成績文件，造成85所學(xué)校9991名考生的成績被刪除。后經(jīng)江蘇省普通高中會考辦公室組織各考點將備份文件重新上傳，方將數(shù)據(jù)恢復(fù)。
　　此例中的事主盡管并非服務(wù)器的直接管理者，但他也是管理者之一，否則一般是不可能接觸到用戶名和密碼的?？梢钥闯?，此類事件一旦發(fā)生，后果不堪設(shè)想。
　　1.3解決對策
　　對于解決這個問題的對策，說簡單也簡單，說有難度也是有難度的，關(guān)鍵在于制度的健全及管理的到位。制度的制訂可能是比較容易的，但要考慮它是否真的用于了管理，是否真的適合于管理（是否切實可行）。管理說起來也是簡單的，但要看它是否真的嚴(yán)格執(zhí)行了制度，有沒有敷衍了事。非常重要的一點，就是對網(wǎng)絡(luò)以及網(wǎng)絡(luò)管理者的監(jiān)控機(jī)制（也屬于管理范疇），特別對于網(wǎng)絡(luò)管理者也要有相應(yīng)的約束機(jī)制。
　　在輿論宣傳方面也可以下點功夫。網(wǎng)絡(luò)發(fā)生安全危機(jī)，多數(shù)因為內(nèi)部人員本身沒有具備基本的網(wǎng)絡(luò)安全常識，導(dǎo)致黑客們有機(jī)會入侵計算機(jī)，達(dá)到破壞的目的。因此，我們有必要提高上網(wǎng)人員的網(wǎng)絡(luò)安全管理意識，強(qiáng)化網(wǎng)絡(luò)道德、網(wǎng)絡(luò)心理、網(wǎng)絡(luò)“國家安全”和網(wǎng)絡(luò)法制教育，使大家都能意識到自覺維護(hù)網(wǎng)絡(luò)安全的重要性和緊迫感，并且自覺遵守有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)，從而自覺地維護(hù)網(wǎng)絡(luò)安全。
　　2.相應(yīng)軟硬件以及安全技術(shù)
　　2.1選擇符合當(dāng)前網(wǎng)絡(luò)管理要求的硬件設(shè)備
　　多年前橫行網(wǎng)絡(luò)的ARP攻擊應(yīng)該都還是記憶猶新的。
　　計算機(jī)軟硬件的發(fā)展日新月異，網(wǎng)絡(luò)的發(fā)展也是一樣。所以較早建立的網(wǎng)絡(luò)設(shè)備可能跟不上網(wǎng)絡(luò)的發(fā)展，在應(yīng)付新的網(wǎng)絡(luò)突發(fā)事件的時候往往顯得力不從心。早期的局域網(wǎng)建設(shè)一般比較簡單，網(wǎng)絡(luò)設(shè)備一般是集線器，最多也是一些沒有管理功能的二層交換機(jī)，局域網(wǎng)的規(guī)模一般也較小，一般局域網(wǎng)內(nèi)的機(jī)器都放在同一個C類網(wǎng)絡(luò)中。在這種情況下，發(fā)生ARP攻擊是在所難免的。并且由于發(fā)生ARP攻擊時往往只要一臺機(jī)器中招，都會引發(fā)局域網(wǎng)癱瘓。解決ARP攻擊的方法有軟件的也有硬件的，但根本的解決方案還是需要相應(yīng)網(wǎng)絡(luò)設(shè)備的支持，要對那些不符合當(dāng)前網(wǎng)絡(luò)管理要求的設(shè)備進(jìn)行升級改造，然后再輔以適當(dāng)?shù)木W(wǎng)絡(luò)配置管理方案。
　　2.2網(wǎng)絡(luò)配置管理技術(shù)
　　對于局域網(wǎng)，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)很重要。網(wǎng)絡(luò)中所必需的接入交換機(jī)、匯聚交換機(jī)、核心交換機(jī)、防火墻設(shè)備、上網(wǎng)認(rèn)證設(shè)備等所處的位置，以及相互關(guān)系，還有局域網(wǎng)內(nèi)IP地址的分配，VLAN的劃分等一整套配置信息與信息網(wǎng)絡(luò)安全是息息相關(guān)的。
　　所以，在相關(guān)網(wǎng)絡(luò)硬件設(shè)備的支持下，我們更應(yīng)從技術(shù)應(yīng)用層面考慮，通過各種安全技術(shù)手段來監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)，以及信息處理，確保計算機(jī)網(wǎng)絡(luò)的持續(xù)正常運行，并在計算機(jī)網(wǎng)絡(luò)運行異常時能及時響應(yīng)和排除故障。
　　2.2.1運用VLAN（虛擬局域網(wǎng)）技術(shù)
　　VLAN是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)和安全級別，將網(wǎng)絡(luò)分段并隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。對于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備的安全機(jī)制來控制各子網(wǎng)間的訪問。
　　除此之外，有些子網(wǎng)，如財務(wù)網(wǎng)絡(luò)、人事網(wǎng)絡(luò)等，如果管理者覺得有必要的話，干脆就把它和主干網(wǎng)絡(luò)從物理上斷開。因為VLAN之間通過一定的安全策略還是可以互訪的，而采用物理斷開的方式實際就是做了兩個互不交叉的網(wǎng)絡(luò)，理論上更安全。
　　2.2.2使用防火墻技術(shù)
　　防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的中間，保障著內(nèi)部網(wǎng)絡(luò)的安全。防火墻是實現(xiàn)校園網(wǎng)絡(luò)的安全保護(hù)最有效的一種方法。目前，比較成熟的防火墻技術(shù)主要有兩種：包過濾技術(shù)和代理服務(wù)器技術(shù)。采用防火墻技術(shù)最主要的是安全規(guī)則的設(shè)置。我們應(yīng)通過防火墻規(guī)則設(shè)置對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核；只打開必須的服務(wù)（如：HTTP、FTP、SMTP、POP3等）以及所需其他服務(wù)；OOgP+mMBQ+95PP7MLLBUXw==對辦公網(wǎng)用戶進(jìn)行流量控制；進(jìn)行時間安全規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間；設(shè)置IP地址MAC地址綁定，防止IP地址欺騙；定期查看防火墻訪問日志。
　　端口映射其實就是NAT地址轉(zhuǎn)換的一種，這里特指靜態(tài)端口映射。就是在防火墻（或其它相應(yīng)設(shè)備如路由器）上開放一個固定的端口，然后設(shè)定此端口收到的數(shù)據(jù)要轉(zhuǎn)發(fā)給內(nèi)網(wǎng)哪個IP和端口，不管有沒有連接，這個映射關(guān)系都會一直存在。例如，將內(nèi)網(wǎng)192.168.1.2的80端口和外網(wǎng)221.224.80.254的80端口進(jìn)行映射，則訪問http://221.224.80.254就是直接訪問http://192.168.1.2。這里除了可以實現(xiàn)“一址（一個公網(wǎng)IP地址）多用”外，更重要的是把不需要對外的端口封閉了，提高了安全性。例如，“遠(yuǎn)程桌面”默認(rèn)的端口是3389，攻擊軟件如果掃描到3389端口開著，那這臺計算機(jī)就懸了，但如果端口映射時映射成另一個端口會怎么樣呢？
　　2.2.3使用反病毒技術(shù)
　　計算機(jī)病毒、惡意代碼、特洛伊木馬等是影響網(wǎng)絡(luò)安全的另一個重要因素。面對泛濫的計算機(jī)病毒，為保證計算機(jī)、計算機(jī)網(wǎng)絡(luò)的安全，應(yīng)該采取的措施是：一是要制定反病毒策略，部署多層防御戰(zhàn)略，所有計算機(jī)（服務(wù)器）都安裝殺病毒軟件，最好是統(tǒng)一的網(wǎng)絡(luò)版殺毒軟件。二是要定期更新反病毒軟件，及時更新病毒庫，使用專業(yè)正版殺毒軟件對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行掃描和監(jiān)測。
　　2.2.4采用入侵檢測系統(tǒng)
　　入侵檢測系統(tǒng)（IDS）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，是一種不同于防火墻的主動保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，是防火墻合理和必要的補(bǔ)充。IDS能夠?qū)崟r分析內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)通訊信息，分辨入侵企圖，在網(wǎng)絡(luò)系統(tǒng)受到危害前以各種方式發(fā)出警報，并且及時對網(wǎng)絡(luò)入侵采取相應(yīng)對策最大限度地保護(hù)網(wǎng)絡(luò)的安全。
　　3.信息網(wǎng)絡(luò)安全中的“木桶效應(yīng)”
　　所謂“水桶效應(yīng)”是指一只水桶想盛滿水，必須每塊木板都一樣平齊且無破損，如果這只桶的木板中有一塊不齊或者某塊木板下面有破洞，這只桶就無法盛滿水。一只水桶能盛多少水，并不取決于最長的那塊木板，而是取決于最短的那塊木板?！八靶?yīng)”也可稱為短板效應(yīng)。一個水桶無論有多高，它盛水的高度取決于其中最低的那塊木板。
　　在信息網(wǎng)絡(luò)安全管理中也是這個道理，組成木桶（網(wǎng)絡(luò)安全）的各塊木板（管理制度、安全策略、安全架構(gòu)等）都不能出現(xiàn)問題，各塊木板之間也不能出現(xiàn)縫隙，任何一方面出了問題，則這個網(wǎng)絡(luò)就可能是不安全的。
　　事實上，到目前為止，也沒有哪一種技術(shù)、哪一款產(chǎn)品能夠滿足產(chǎn)生這樣一個“完美”的木桶的要求。
　　校園網(wǎng)絡(luò)安全問題是一個復(fù)雜的系統(tǒng)工程，信息對抗與安全永無止境，信息網(wǎng)絡(luò)安全也不可能絕對一勞永逸。因此，加強(qiáng)信息網(wǎng)絡(luò)的安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)性的任務(wù)。網(wǎng)絡(luò)的安全威脅既有來自內(nèi)網(wǎng)的，也有來自外網(wǎng)的，只有將技術(shù)和管理都重視起來，才能構(gòu)筑一個相對更加安全的網(wǎng)絡(luò)，使網(wǎng)絡(luò)朝著健康的方向發(fā)展。
　　
　　參考文獻(xiàn)：
　?。?］付忠勇.網(wǎng)絡(luò)安全管理與維護(hù).清華大學(xué)出版社，2009.6.
　?。?］覃國銳.高校校園網(wǎng)絡(luò)安全管理存在的問題及對策［J］.柳州師專學(xué)報，2009.2.
　?。?］石淑華，池瑞楠.計算機(jī)網(wǎng)絡(luò)安全技術(shù)，2008.12.