城域網絡的安全探討

[摘要] 隨著我國信息化的飛速發展，城域網和局域網在不斷普及和成熟，一系列適應信息化需求的應用平臺、軟件、網絡資源也在迅速地開發與應用，但是，網絡及信息安全等問題也日益突出。已經成為城域網管理者關心的重大問題，安全技術作為一個獨特的領域也越來越受到關注。本文在這將探討城域網絡存在的安全隱患及自身安全的防范技術。并提出了一些防御措施與建議。

[關鍵詞] 城域網 網絡安全 防火墻 防病毒

一、城域網絡

1.城域網絡

城域網是在一個城市范圍內所建立的計算機通信網，是以計算機網絡技術為基礎的信息化集成應用系統。它是以計算機網絡技術為基礎、以網絡資源與網絡軟件為核心、以構建現代管理模式為目的、以提高管理效益為根本、為區域信息化提供全方位服務的網絡。

2.城域網絡的特點

可靠性:城域網的信息系統能夠在規定條件下和規定的時間內完成規定的功能的特性。可靠性是系統安全的最基于要求之一，是所有網絡信息系統的建設和運行目標。網絡信息系統的可靠性測度主要有三種：抗毀性、生存性和有效性?？煽啃灾饕憩F在硬件可靠性、軟件可靠性、人員可靠性、環境可靠性等方面。

可用性:是網絡信息可被授權實體訪問并按需求使用的特性。即網絡信息服務在需要時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。可用性是網絡信息系統面向用戶的安全性能?？捎眯赃€滿足身份識別與確認、訪問控制，防止或限制經隱蔽通道的非法訪問。

二、目前城域網絡安全面臨的威脅

影響網絡安全的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的。歸結起來，針對城域網絡安全的威脅主要有5個方面：

1.無意失誤帶來的威脅

由內部人員的疏忽和誤用所造成的損失也占了相當大的比例。 如操作員安全配置不當造成的安全漏洞，操作員安全意識不強，用戶口令選擇不慎，操作員將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

2.黑客攻擊的威脅

這是計算機網絡所面臨的最大威脅。此類攻擊又可以分為2種：一種是網絡攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網絡偵察，他是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得對方重要的機密信息。這2種攻擊均可對計算機網絡造成極大的危害。

3.網絡軟件的威脅

網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。

4.垃圾郵件的威脅

垃圾郵件可以分為良性和惡性的。良性垃圾郵件是各種宣傳廣告等對收件人影響不大的信息郵件。惡性垃圾郵件是指垃圾郵件炸彈或附帶有病毒的具有破壞性的電子郵件。垃圾郵件的發送者利用“最小的成本”可以獲得最大的利益，或者采取網絡釣魚的方式獲得入侵和控制電腦的目的，這是垃圾郵件大量產生的原因。教育市場巨大利潤以及淡薄的防護意識都使其成為了最嚴重的受害者之一。

5.不規范的程序代碼

隨著信息化的大力推進，城域信息網、資源網站、區域性的商戶網站等等大量建立起來。人們在建立網站的時候考慮最多的是內容的豐富性和宣傳效應，以及訪問量。大部分的城域網站在建立的同時都會將大量的資金和人力投入到防火墻和入侵監測系統的建設，同時采用了比較安全的訪問策略。不過有一個地方的確被管理員忽視了，那就是網站代碼的安全，這也許是一個最容易被人遺忘的角落。

三、城域網的安全防范

1.城域網安全防范的要求

對用戶的要求，主要是涉及個人隱私或資源的信息要受到機密性，完整性和真實性的保護，避免其他人竊聽，冒充，修改和非法訪問等。對網站的要求，主要是對本地資源的信息訪問，讀寫等操作受到保護和控制，避免出現病毒，非法存取，拒絕服務和網絡資源被非法占用和非法控制等威脅，制止和防御網絡“黑客”的攻擊。對主管的要求，主要是對非法的，有害或涉及國家機密的信息進行過濾和防堵，避免這類信息從網絡上泄漏。

2.網絡安全防范的措施

(1)在城域網絡各節點處構筑防御(如防火墻)，防止外網影響內網。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，并在計算機網絡得到了廣泛的應用。

(2)建立一個統一，完善的安全防護體系，該體系不僅包括防火墻，網關，防病毒及殺毒軟件等產品，通過對網絡的管理和監控，可以在第一時間發現問題，解決問題，防患于未然。

(3)需要建立安全管理機制。例如，口令管理;各種密鑰的生成，分發與管理;全網統一的管理員身份鑒別與授權;建立全系統的安全評估體系;建立安全審計制度;建立系統及數據的備份制度;建立安全事件/安全報警反應機制和處理預案;建立專門的安全問題小組和快速響應體系的運作等。為了增強系統的防災救災能力，應制定災難性事故的應急計劃，如緊急行動方案，資源(硬件，軟件，數據等)備份及操作計劃，系統恢復和檢測方法等。

3.網絡安全防御對策

(1)防火墻技術。防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，他是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進／出2個方向通信的門檻。一個防火墻系統通常由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器，他通過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉發。代理服務器是防火墻系統中的一個服務器進程，他能夠代替網絡用戶完成特定的TCP／IP功能。一個代理服務器本質上是一個應用層的網關，一個為特定網絡應用而連接2個網絡的網關。目前的防火墻主要有包過濾防火墻、代理防火墻和雙穴主機防火墻3種類型，應用著可根據自己的網絡選擇防火墻技術。

(2)信息加密技術。信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密3種。①鏈路加密的目的是保護網絡節點之間的鏈路信息安全；②端點加密的目的是對源端用戶到目的端用戶的數據提供保護；③節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，他以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的惟一方法。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。 密碼技術是網絡安全最有效的技術之一。

(3)訪問控制技術。訪問控制是網絡安全防范和保護的主要策略，他的主要任務是保證網絡資源不被非法使用和非常訪問。他也是維護網絡系統安全、保護網絡資源的重要手段?？梢哉f是保證網絡安全最重要的核心策略之一。訪問控制技術主要包括7種：①入網訪問控制；②網絡的權限控制；③目錄級安全控制；④屬性安全控制；⑤網絡服務器安全控制；⑥網絡監測和鎖定控制；⑦網絡端口和節點的安全控制。

根據網絡安全的等級，網絡空間的環境不同，可靈活地設置訪問控制的種類和數量。

我們一定要提高計算機網絡的防御能力，加強網絡的安全措施，否則教育城域網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網絡的防御措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。

(4)計算機病毒。由于計算機病毒的傳染性、潛伏性和巨大的破壞性。計算機病毒作為信息戰的武器，其攻防對抗的焦點和關鍵技術是病毒的制作技術、注入技術、激活技術和隔離技術，其中實施病毒戰難度最大的是注入、激活和隔離技術。防御計算機病毒，首先要進行計算機病毒的種類、性能、干擾機理的研究，加強計算機病毒注入、激活、耦合技術的研究和計算機病毒的防御82技術的研究。要從根本上解決問題，就必須要用我國自己的安全設備加強信息與網絡的安全性，大力發展基于自主技術的信息安全產業。這樣才能從根本上擺脫引進國外的關鍵信息系統難以安全利用、有效監控的被動局面。

網絡安全是一個系統的工程，不能僅僅依靠防火墻等單個的系統，而需要仔細考慮系統的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網絡系統。

四、結束語

隨著計算機技術和通信技術的發展，計算機網絡已成為重要的信息交換手段，并滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。同時，計算機網絡技術目前正處于蓬勃發展的階段，新技術層出不窮，其中也不可避免的存在一些漏洞，因此，進行網絡防范要不斷追蹤新技術的應用情況，及時升級、完善自身的防御措施。

參考文獻：

[1]劉全利:淺議網絡安全[J].重慶商學院學報，1999，(01)

[2]葉國建談佳芳:計算機網絡信息安全保密策略[J].公安大學學報(自然科學版)，2000，(02)

[3]李慶東張文娟:網絡安全問題研究[J].情報科學，2000，(08)