對計算機網(wǎng)絡(luò)安全策略及安全技術(shù)的若干思考

對計算機網(wǎng)絡(luò)安全策略及安全技術(shù)的若干思考

　　摘要：隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。本文結(jié)合工作中常常遇到的一些實際情況，分析了網(wǎng)絡(luò)安全受到的一些威脅，并論述了常用的網(wǎng)絡(luò)安全技術(shù)。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全 威脅 技術(shù)

　　0 引言

　　網(wǎng)絡(luò)安全技術(shù)指致力于解決諸如如何有效進行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩�性的技術(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略。一影響計算機網(wǎng)絡(luò)安全的因素很多，有人為因素，也有自然因素，其中人為因素的危害最大。

　　1 計算機網(wǎng)絡(luò)的安全策略

　　1.1 物理安全策略 物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

　　1.2 訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

　　1.3 信息加密策略 信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

　　信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

　　1.4 網(wǎng)絡(luò)安全管理策略 在網(wǎng)絡(luò)安全中，除了采用上述技術(shù)措施之外，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。

　　網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。

　　2 常用的網(wǎng)絡(luò)安全技術(shù)

　　由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來堵塞安全漏洞和提供安全的通信服務(wù)。如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。

　　2.1 網(wǎng)絡(luò)加密技術(shù) 網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。

　　信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很牢靠的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

　　在實際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。

　　網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線偷聽和入網(wǎng)，而且也是對付惡意軟件（或病毒）的有效方法之一。

　　2.2 防火墻技術(shù) 防火墻（Firewall）是用一個或一組網(wǎng)絡(luò)設(shè)備（計算機系統(tǒng)或路由器等），在兩個或多個網(wǎng)絡(luò)間加強訪問控制，以保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)攻擊的安全技術(shù)。防火墻的組成可以表示為：防火墻=過濾器+安全策略（+網(wǎng)關(guān)），它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。在Internet上，通過它來隔離風險區(qū)域（即Internet或有一定風險的網(wǎng)絡(luò)）與安全區(qū)域（內(nèi)部網(wǎng)，如Intranet）的連接，但不防礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信數(shù)據(jù)，從而完成僅讓安全、核準的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入的任務(wù)。

　　2.3 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT） 網(wǎng)絡(luò)地址轉(zhuǎn)換器也稱為地址共享器（Address Sharer）或地址映射器，設(shè)計它的初衷是為了解決IP地址不足，現(xiàn)多用于網(wǎng)絡(luò)安全。內(nèi)部主機向外部主機連接時，使用同一個IP地址；相反地，外部主機要向內(nèi)部主機連接時，必須通過網(wǎng)關(guān)映射到內(nèi)部主機上。它使外部網(wǎng)絡(luò)看不到內(nèi)部網(wǎng)絡(luò)，從而隱藏內(nèi)部網(wǎng)絡(luò)，達到保密作用，使系統(tǒng)的安全性提高，并且節(jié)約從ISP得到的外部IP地址。

　　2.4 操作系統(tǒng)安全內(nèi)核技術(shù) 除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。

　　美國國防部（DOD）技術(shù)標準把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A級，其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2級（例如，Unix、Windows NT），其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

　　2.5 身份驗證技術(shù) 身份驗證（Identification）是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證（或身份鑒別）。

　　它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否是合法的用戶，如是合法的用戶，再審核該用戶是否有權(quán)對他所請求的服務(wù)或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎(chǔ)上的。

　　2.6 網(wǎng)絡(luò)防病毒技術(shù) 在網(wǎng)絡(luò)環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡(luò)防病毒，那可能給社會造成災(zāi)難性的后果，因此計算機病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。

　　網(wǎng)絡(luò)防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的工作著手，通過網(wǎng)絡(luò)環(huán)境管理網(wǎng)絡(luò)上的所有機器，如利用網(wǎng)絡(luò)喚醒功能，在夜間對全網(wǎng)的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡(luò)上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡(luò)管理人員都能及時知道，從而從管理中心處予以解決。

【對計算機網(wǎng)絡(luò)安全策略及安全技術(shù)的若干思考】相關(guān)文章：

EPON下的配網(wǎng)通信技術(shù)思考06-10

了中藥安全性的思考05-03

淺談計算機網(wǎng)絡(luò)的防御技術(shù)04-29

計算機網(wǎng)絡(luò)技術(shù)對測控技術(shù)發(fā)展的作用08-15

關(guān)于計算機網(wǎng)絡(luò)技術(shù)的論文02-17

民事督促起訴若干題目研究04-29

電子信息工程與計算機網(wǎng)絡(luò)技術(shù)的結(jié)合04-26

SCI論文發(fā)表的若干注意事項07-26

計算機網(wǎng)絡(luò)安全問題的原因09-23

校企共建通信技術(shù)專業(yè)實踐與思考論文（通用6篇）07-26