計算機網絡的安全管理與維護

摘要:隨著互聯網技術在社會的各個領域的廣泛應用，計算機網絡的安全問題已變得非常嚴峻。因此，能否保證計算機網絡系統的安全和正常運行便成為網絡管理所面臨的一個重要的問題。該文從網絡安全體系設計原則出發，提出了當前網絡安全管理與維護的策略。

關鍵詞:計算機;網絡;安全管理;維護

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6667-02

現代計算機系統功能日漸復雜，網絡功能日漸強大，正在對社會的各行各業產生巨大深遠的影響，但同時由于其開放性特點，使得安全問題越來越突出。然而，隨著人們對計算機網絡依賴程度的日漸加深，網絡安全也表現得越來越重要。網絡面臨的威脅大體可分為對網絡中數據信息的危害和對網絡設備的危害。網絡安全是事關社會健康發展的基礎，是構建和諧網絡的重要保障。因此，解決局域網絡安全問題刻不容緩。

1 計算機網絡安全體系設計原則

根據網絡安全性設計的要求，設計網絡安全體系時應遵循以下原則:

1) 安全性

設計局域網絡安全體系的最終目的是為保護信息與網絡系統的安全，所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

2) 可行性

設計網絡安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設計網絡安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網絡安全體系本身也就沒有了實際價值。

3) 高效性

構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。網絡安全體系包含一些軟件和硬件，它們也會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

4) 可承擔性

局域網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由單位來支持，要為此付出一定的代價和開銷。如果付出的代價比安全體系中獲得的利益還要多，那么就不該采用這個方案。所以，在設計網絡安全體系時，必須考慮使用單位本身特點和實際承受能力，沒有必要按電信級、銀行級標準設計。

這四個原則可以簡單的歸納為:安全第一、保障性能、投入合理、考慮發展。

2 計算機網絡安全體系構建與維護

使用單位的安全威脅可能來自外部，也可能來自內部。因此，在進行網絡安全策略設計時，既要在局域網的邊界處采取安全防范措施，抵御外部入侵和攻擊，又要對單位網內部的各種設備安全訪問控制，避免局域網內部的合法或非法用戶，因失誤或故意造成對局域網的破壞。下面分別討論各個安全策略的詳細內容。

1) 物理安全策略

制定該策略的目的在于保護局域網絡中的計算機系統、網絡服務器、物理鏈路等基礎設施免受自然災害、人為破壞和搭線攻擊，并建立完善的安全管理制度，防止非法人員進入計算機控制室和各種偷竊，破壞活動的發生，同時要確保計算機網絡系統有一個良好的電磁兼容工作環境 。

2) 訪問控制策略

訪問控制是使用局域網安全防范和保護的主要策略，其主要任務是保證網絡資源不被非法用戶使用和訪問，它是保證網絡安全最重要的核心策略之一，包括網絡訪問控制、網絡的權限控制、目錄安全控制、文件屬性控制、網絡服務器訪問控制、網絡監測和鎖定控制、網絡端口和節點的安全控制、網絡安全基礎設施控制等。對于使用單位網絡而言，上要應做好網絡訪問控制，網絡服務器訪問控制及網絡監測和鎖定控制。

(1) 網絡訪問控制策略

網絡訪問控制是網絡安全和實現訪問控制策略的第一層控制，主要通過一定的技術手段識別網絡用戶的身份，并依據不同用戶身份，給予不同的網絡訪問權限或阻止其進入使用單位網絡系統。網絡訪問控制策略不僅能阻止網絡用戶的非法訪問，而且能夠在很大程度上減少病毒及惡意代碼的危害。網絡訪問控制主要包括以下技術:

① 防火墻:防火墻放置于信任度不同的網絡之間，對這些網絡通信進行控制，通過強制實施統一的安全策略，防止對重要信息資源的存取和訪問，達到保護網絡安全的目的。通常，防火墻位于外部Internet網絡，內部使用單位網絡和使用單位網服務器DMZ區之間，每當數據包通過時，把數據包的信息與防火墻的規則表進行匹配，如果有匹配的規則，則直接按規則執行，否則使用默認規則執行。

② 訪問控制列表:訪問控制列表(Access Control List，簡稱ACL)是一組包含允許(permit)和拒絕(deny)語句組成的有序語句集，它將數據包的源地址，目的地址，源端口，目的端口，MAC地址等信息與ACL列表中的語句進行匹配，并根據匹配的結果來決定數據包的通過與否，從而實現數據包的過濾。

③ 劃分VLAN:VLAN將整個局域網絡劃分為若干個不同的廣播域，實現局域網內部的一個網段與其它網段的物理隔離。這樣，不僅能夠抑制網絡廣播風暴，而且能防止一個網段的安全問題傳播到其他網段。針對某些局域網絡，在一定的情況下，它的某個網段比另一個網段更受信任，或者某個網段比其它網段更敏感(如教務處和財務處)，通過把信任網段與不信任網段劃分成不同的VLAN，從而限制了局部網絡安全問題對全局網絡造成的影響。

④ IP從AC端口綁定:在交換機上或者在應用網關上將用戶IP地址、MAC地址和交換機的端口進行綁定，從而限制一個IP地址只能在一臺交換機上的指定端口上網。這樣，可以有效防止用戶盜用IP地址進行非法訪問和網絡攻擊，同時也便于網絡管理員追蹤、查找網絡攻擊源和日志審計。

(2) 服務器訪問控制

服務器的訪問控制主要是控制用戶對服務器的非法訪問，防止服務器的數據被修改、刪除或破壞。服務器訪問控制主要包括制定相應的管理措施，防止非法用戶直接操作服務器的控制臺;及時給服務賬戶鎖定策略;停止服務器上不必要的服務軟件的運行;減少服務器上安裝應用軟件的數量;對服務器的各種操作進行日志記錄，并定期審查日志，以及時發現攻擊跡象;限制服務器登錄時間;對服務器數據進行定期的備份等措施。

3) 網絡病毒防治策略

在網絡環境中，病毒具有更多的傳播途徑和更大的破壞能力。病毒可通過電子郵件，網頁腳本，局域網，操作系統漏洞進行傳播，讓人防不甚防;病毒不僅危害單臺計算機上的軟、硬件資源，而且危害網絡，甚至可使整個網絡因過載而癱瘓，造成難以估量的損失。要實現網絡環境下的病毒防治，僅靠單機版的殺毒軟件是不可能的，必須安裝網絡版的殺毒軟件，這樣才能實現殺毒軟件的遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒的功能。僅有網絡版的殺毒軟件，還不能達到防治病毒的目的，還必須加強管理，提高使用人員的防毒意識和相應知識。

4) 數據加密策略

數據加密的目的是保護網上傳輸的數據、文件、口令和控制信息等數據不被竊聽、不被篡改后再傳輸給對方，造成數據被竊取，數據的真實性、完整性得不到保證。數據在網上傳輸前，利用加密技術將數據明文變成密文，再進行傳輸，這樣，即使在傳輸過程中被截獲，也無法獲取真實信息，同時由于加密機制可對數據傳輸過程中的完整性、真實性進行鑒別，從而保證數據的完整性和可靠性。因此，局域網上傳輸的涉密數據必須經過加密后再進行傳輸。

5) 網絡系統備份與恢復

網絡系統的備份是指對網絡中的核心設備和數據信息進行備份，以便在網絡遭到破壞時，快速、全面地恢復網絡系統的運行。核心設備的備份主要包括核心交換機、核心路由器、重要服務器等。數據信息包括對網絡設備的配置信息、服務器數據等的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用。

參考文獻:

[1] 蔡永泉.計算機網絡安全理論技術教程[M].北京:北京航空航天大學出版社，2003.

[2] Eric Maiwald.網絡安全實用技術[M].北京:清華大學出版社，2003.

[3] 黎連業.防火墻及其實用技術[M].北京:機械工業出版社，2004

[4] 劉洪霞，趙保華.基于協議實現的網絡安全測試[J].小型微型計算機系統，2007，(4).