姚為彭

摘 要：隨著計算機網(wǎng)絡技術(shù)的快速發(fā)展，網(wǎng)絡安全日益成為人們關(guān)注的焦點。本文將著重對計算機信息網(wǎng)絡安全存在的問題提出相應的安全防范措施。

關(guān)鍵詞：網(wǎng)絡安全，信息加密，訪問控制，防火墻

計算機網(wǎng)絡是一個開放和自由的空間，它在大大增強信息服務靈活性的同時，也帶來了眾多安全隱患。如何有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡系統(tǒng)的安全性已經(jīng)成為影響人民生活的重大關(guān)鍵問題。因此，計算機網(wǎng)絡安全問題成為當今最為熱門的焦點之一，隨著網(wǎng)絡技術(shù)的發(fā)展，安全防范措施也在不斷更新。

1 物理安全

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊，驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作，確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境，建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為采用各種電磁屏蔽和干擾的防護措施。

2 訪問控制

訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段，可以說是保證網(wǎng)絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。（1）入網(wǎng)訪問控制。入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡。（2）網(wǎng)絡的權(quán)限控制。網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM、）可作為其兩種實現(xiàn)方式。（3）網(wǎng)絡監(jiān)測和鎖定控制。網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。如果不法之徒試圖進入網(wǎng)絡，網(wǎng)絡服務器應會自動記錄企圖嘗試進入網(wǎng)絡的次數(shù)，如果非法訪問的次數(shù)達到設定數(shù)值，那么該賬戶將被自動鎖定。（4）網(wǎng)絡端口和節(jié)點的安全控制。網(wǎng)絡中服務器的端口往往使用自動回呼設備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務器端再進行相互驗證。（5）防火墻控制。防火墻是網(wǎng)絡安全的屏障，配置防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道之間，限制外界用戶對內(nèi)部網(wǎng)絡訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡的權(quán)限。當一個網(wǎng)絡接上Internet之后，系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火墻上。其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

3 信息加密

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安

全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。（1）常規(guī)密碼。收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。其優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。（2）公鑰密碼。收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰。其優(yōu)點是可以適應網(wǎng)絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復雜。加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一種很有前途的網(wǎng)絡安全加密體制。當然在實際應用中人們通常將常規(guī)密碼和公鑰匙密碼結(jié)合在一起使用，以確保信息安全。當然在實際應用中人們通常將常規(guī)密碼和公鑰匙密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。密碼技術(shù)是網(wǎng)絡安全最有效的技術(shù)之一。一個加密網(wǎng)絡，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對惡意軟件的有效方法之一。

4 網(wǎng)絡安全管理

安全管理隊伍的建設。在計算機網(wǎng)絡系統(tǒng)中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網(wǎng)絡安全的重要保證，只有通過網(wǎng)絡管理人員與使用人員的共同努力，運用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時，要不斷地加強計算機信息網(wǎng)絡的安全規(guī)范化管理力度，大力加強安全技術(shù)建設，強化使用人員和管理人員的安全防范意識。網(wǎng)絡內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴肅處理。只有共同努力，才能使計算機網(wǎng)絡的安全可靠得到保障，從而使廣大網(wǎng)絡用戶的利益得到保障。在網(wǎng)絡安全中，除了采用上述技術(shù)措施之外，加強網(wǎng)絡的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。

總之計算機網(wǎng)絡的安全問題越來越受到人們的重視?？偟膩碚f，網(wǎng)絡安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng)，隨著計算機網(wǎng)絡技術(shù)的進一步發(fā)展，網(wǎng)絡安全防護技術(shù)也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

[參考文獻]

[1]朱雁輝.防火墻與網(wǎng)絡封包截獲技術(shù)[M].電子工業(yè)出版社，2002.

[2]信息管理系列編委會. 網(wǎng)絡安全管理.中國人民大學出版社，2003.

[3]張紅旗.信息網(wǎng)絡安全[M].清華大學出版社，2002.