作者簡(jiǎn)介：閆可新（1992.10-），女，漢族，黑龍江佳木斯人。學(xué)歷：本科，單位：齊齊哈爾工程學(xué)院，研究方向：計(jì)算機(jī)。

摘要：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全包括兩個(gè)方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。網(wǎng)絡(luò)上的敏感信息和保密數(shù)據(jù)經(jīng)常受到各種各樣的攻擊，如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)增刪及計(jì)算機(jī)病毒感染等。隨著計(jì)算機(jī)資源共享的進(jìn)一步加強(qiáng)，隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益突出。

關(guān)鍵詞：計(jì)算機(jī)安全概念；網(wǎng)絡(luò)安全策略；網(wǎng)絡(luò)安全措施

一、計(jì)算機(jī)安全概念

安全，通常是指這樣一種機(jī)制：只有被授權(quán)的人才能使用其相應(yīng)的資源。當(dāng)前，國(guó)際上對(duì)于計(jì)算機(jī)安全的定義并沒(méi)有形成一個(gè)統(tǒng)一的說(shuō)法。在我國(guó)，計(jì)算機(jī)安全指的是計(jì)算機(jī)系統(tǒng)的硬件、軟件數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常工作。

1.實(shí)體安全。實(shí)體安全又稱物理安全，主要是指構(gòu)成計(jì)算機(jī)的物理實(shí)體出現(xiàn)問(wèn)題導(dǎo)致的信息泄露，如主機(jī)、信息存儲(chǔ)設(shè)備等的損壞。所以為了保護(hù)計(jì)算機(jī)信息的安全，要特別注重對(duì)物理實(shí)體的安全保護(hù)，做好各方面的防范措施，如機(jī)體維護(hù)、機(jī)房安全管理等。

2.系統(tǒng)安全。指系統(tǒng)本身安全不足、未授權(quán)的存取、越權(quán)使用、保證文件系統(tǒng)的完整性。

3.信息安全。信息安全是指保障信息不會(huì)被非法閱讀、修改和泄露，它包含了軟件安全和數(shù)據(jù)安全兩個(gè)方面。信息泄露和信息破壞信息安全面臨的兩種威脅。

二、網(wǎng)絡(luò)安全策略

隨著網(wǎng)絡(luò)技術(shù)和應(yīng)用的迅速發(fā)展，人們對(duì)系統(tǒng)安全也提出了新的要求。主要有以下幾個(gè)方面。

1.保密性、完整性、可用性、身份認(rèn)證、不可抵賴性、安全協(xié)議的設(shè)計(jì)、存取控制。要保證計(jì)算機(jī)系統(tǒng)的安全，首先要確立保證安全的策略，做到以預(yù)防為主，消除隱患。網(wǎng)絡(luò)安全策略的一般性原則：綜合分析網(wǎng)絡(luò)風(fēng)險(xiǎn)任何網(wǎng)絡(luò)都難以達(dá)到絕對(duì)安全。對(duì)一個(gè)網(wǎng)絡(luò)的各種風(fēng)險(xiǎn)、潛在的危害、威脅、系統(tǒng)易受到攻擊的脆弱性等進(jìn)行定性與定量分析，在此基礎(chǔ)上制定有關(guān)規(guī)范和措施，確定系統(tǒng)的安全策略。系統(tǒng)性原則一個(gè)好的安全措施應(yīng)該是多種方法綜合應(yīng)用的結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)包括用戶、硬件、軟件、數(shù)據(jù)等多個(gè)環(huán)節(jié)，要用系統(tǒng)工程的觀點(diǎn)和方法綜合分析這些環(huán)節(jié)在網(wǎng)絡(luò)安全中的地位、影響及作用，才可能獲得有效、可行的措施。易操作性原則制定的各項(xiàng)網(wǎng)絡(luò)安全措施應(yīng)該易于操作。如果措施過(guò)于復(fù)雜，對(duì)具體操作人員要求過(guò)高，反而會(huì)降低安全性。而且，使用的各種安全措施也不能影響系統(tǒng)的正常運(yùn)行。靈活性原則任何一個(gè)網(wǎng)絡(luò)都不會(huì)是一成不變的。各項(xiàng)網(wǎng)絡(luò)安全措施應(yīng)該能夠隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要具有一定的適應(yīng)性，易于修改。技術(shù)與制度在采用各種技術(shù)手段保護(hù)網(wǎng)絡(luò)安全的同時(shí)，還要制定網(wǎng)絡(luò)用戶應(yīng)遵守的網(wǎng)絡(luò)使用制度與方法。只有將兩方面相結(jié)合才能有效地保護(hù)網(wǎng)絡(luò)資源的安全。

2.制定網(wǎng)絡(luò)安全策略的方法。在制定網(wǎng)絡(luò)安全策略時(shí)有兩種不同的邏輯方式：

1）凡是沒(méi)有明確表示允許的就要被禁止。

2）凡是沒(méi)有明確表示禁止的就要被允許。

3.網(wǎng)絡(luò)安全策略的層次結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)的安全策略是對(duì)局部網(wǎng)絡(luò)實(shí)施的分層次、多級(jí)別的，包括入侵檢測(cè)、實(shí)時(shí)告警和修復(fù)等應(yīng)急反應(yīng)功能的實(shí)時(shí)系統(tǒng)策略。

三、網(wǎng)絡(luò)安全措施

網(wǎng)絡(luò)的主要安全措施包括：物理訪問(wèn)控制、邏輯訪問(wèn)控制、組織控制、人員控制、操作控制、應(yīng)用程序開發(fā)控制、服務(wù)控制、工作站控制、數(shù)據(jù)傳輸保護(hù)等。

1.網(wǎng)絡(luò)服務(wù)器的安全措施：口令管理、用戶權(quán)限、文件/目錄的訪問(wèn)控制、系統(tǒng)配置。

2.網(wǎng)絡(luò)通信安全措施。有兩種方式可以提供安全通信：

（1）建立物理安全的傳輸介質(zhì)。例如在網(wǎng)絡(luò)中使用光線傳送數(shù)據(jù)可以防止信息被竊取，因?yàn)槿魏螌?duì)光纖的直接插入都可以被檢測(cè)出來(lái)，而且因?yàn)闆](méi)有電磁輻射而不能通過(guò)電磁感應(yīng)竊取數(shù)據(jù)。

（2）對(duì)傳輸數(shù)據(jù)進(jìn)行加密。保密數(shù)據(jù)在進(jìn)行數(shù)據(jù)通信是應(yīng)加密，包括鏈路加密和端到端加密。對(duì)傳輸數(shù)據(jù)進(jìn)行加密的算法，例如RSA公用密鑰算法。加密文件和公用密鑰一起構(gòu)成“數(shù)據(jù)信封”，只有接受方的專用密鑰才能打開。

3.設(shè)置防火墻

防火墻是是互聯(lián)網(wǎng)上的首要安全技術(shù)，也是目前防范非法入侵互聯(lián)網(wǎng)的有效方式。防火墻在開放與封閉的界面上構(gòu)造了一個(gè)保護(hù)層，以防止不可預(yù)料的、潛在的破壞侵入網(wǎng)絡(luò)，很好的保障了網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)的邊界設(shè)置防火墻，還可減輕網(wǎng)絡(luò)中其他主機(jī)安全防范的負(fù)擔(dān)。當(dāng)然防火墻并不能完全保障網(wǎng)絡(luò)安全不會(huì)受到外部威脅，但它可以起到保護(hù)隔離的作用。

4.撥號(hào)網(wǎng)絡(luò)安全管理

撥號(hào)網(wǎng)絡(luò)的用戶存在著不確定性和廣泛性的特點(diǎn)，因此，撥號(hào)功能的加入會(huì)影響并降低網(wǎng)絡(luò)的安全性?？梢酝ㄟ^(guò)以下措施進(jìn)行網(wǎng)絡(luò)安全性的管理：（1）授權(quán)用戶的身份確認(rèn)，可在路由器或登錄服務(wù)器上采用用戶及口令驗(yàn)證對(duì)用戶的合法身份加以確認(rèn)。（2）反向撥號(hào)。采用反向撥號(hào)等方法來(lái)檢驗(yàn)用戶的真是身份。

5.安全審計(jì)

審計(jì)是網(wǎng)絡(luò)安全的一項(xiàng)重要內(nèi)容，應(yīng)該在網(wǎng)絡(luò)服務(wù)器中為網(wǎng)絡(luò)系統(tǒng)中為網(wǎng)絡(luò)系統(tǒng)中的各種服務(wù)項(xiàng)目設(shè)置審計(jì)日志。經(jīng)常整理日志的內(nèi)容可以發(fā)現(xiàn)異常，這是防范網(wǎng)絡(luò)被非法侵入的基本手段之一。要根據(jù)網(wǎng)絡(luò)的規(guī)模和安全的需要來(lái)確定審計(jì)日志的檢查方式、檢查時(shí)間等。在檢查中要特別注意那些違反安全性和一致性的內(nèi)容，例如不成功的登錄、未授權(quán)的訪問(wèn)或操作、網(wǎng)絡(luò)掛起、長(zhǎng)期不登錄的用戶、具有相同的用戶名和用戶密碼的用戶、脫離連接及其他規(guī)定的動(dòng)作等。

對(duì)于大型網(wǎng)絡(luò)設(shè)備或服務(wù)器，如果審計(jì)日志的信息量很大，還應(yīng)該制定審計(jì)日志數(shù)據(jù)的維護(hù)和備份方法。

6.檢查系統(tǒng)進(jìn)程。對(duì)系統(tǒng)進(jìn)程不定時(shí)地做檢查，可以對(duì)服務(wù)失敗的情況做到及時(shí)發(fā)現(xiàn)和掌握，而且還有助于發(fā)現(xiàn)攻擊者是值得“特洛伊木馬”等。

7.物理設(shè)備安全與人員安全措施

物理安全性包括機(jī)房的安全、網(wǎng)絡(luò)設(shè)備（包括服務(wù)器、工作站、通信線路、路由器、網(wǎng)橋、磁盤、打印機(jī)等）的安全性以及防火、防水、防盜、防雷等。網(wǎng)絡(luò)物理安全性除了在系統(tǒng)設(shè)計(jì)中需要考慮之外，還要在網(wǎng)絡(luò)管理制度中分析物理安全性可能出現(xiàn)的問(wèn)題及相應(yīng)的保護(hù)措施。加強(qiáng)網(wǎng)絡(luò)管理人員的自身管理，限制特權(quán)用戶的人數(shù)，明確管理人員各自的職能和級(jí)別權(quán)限。加強(qiáng)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識(shí)教育，使用戶在使用網(wǎng)絡(luò)時(shí)能夠主動(dòng)參與到網(wǎng)絡(luò)安全管理當(dāng)中。

8.設(shè)置陷阱和誘餌

防范網(wǎng)絡(luò)非法侵入可分為主動(dòng)方式和被動(dòng)方式。在被動(dòng)方式下，當(dāng)系統(tǒng)安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全遭到破壞時(shí)，應(yīng)立即制止非法侵入活動(dòng)并將入侵者驅(qū)逐出去，即使恢復(fù)網(wǎng)絡(luò)的正常工作狀態(tài)，盡量減少網(wǎng)絡(luò)可能遭受的危害。

當(dāng)系統(tǒng)的安全防范能力較強(qiáng)時(shí)可采用主動(dòng)方式：在保證網(wǎng)絡(luò)資源及各項(xiàng)網(wǎng)絡(luò)服務(wù)不受損害的基礎(chǔ)上，讓非法入侵者繼續(xù)活動(dòng)，追蹤入侵者并檢測(cè)入侵者的來(lái)源、目的、非法訪問(wèn)的網(wǎng)絡(luò)資源等，以取得可追究其責(zé)任的證據(jù)，減少今后的威脅。但要注意的是，只有當(dāng)具備有較強(qiáng)的技術(shù)力量和經(jīng)濟(jì)力量時(shí)，才可以從事安全追蹤工作。（作者單位：齊齊哈爾工程學(xué)院）

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)教程[M].北京：人民郵電出版社，2006.

[2]黃海軍，蘆芝萍.三層交換的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)的實(shí)現(xiàn)[J].實(shí)驗(yàn)研究與探索，2003（3）.

[3]宋西軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京大學(xué)出版社.

[4]王健.網(wǎng)絡(luò)互聯(lián)與系統(tǒng)集成[M].電子工業(yè)出版社.