安全管理中的問題與對策

　　摘 要： 網絡的產生方便了人們的工作和學習，同時也產生了一系列安全問題。如何保障網絡應用中的安全問題，特別是網絡中信息的安全，是網絡管理者必須正視的非常緊迫的問題。本文從管理者的角度對當前信息網絡安全管理中可能出現的問題作了分析，并就解決對策作了一定的研究。
　　關鍵詞： 信息安全 網絡安全管理 問題與對策
　　
　　談到“安全管理”，很多人首先想到的可能是“網絡安全”。其實安全管理不僅僅只是網絡安全，網絡安全只是其中的一部分，我們必須要把“網絡安全”上升到“信息安全”的高度，只有有效地實現了信息的安全，才能算做好了安全管理工作。原因很明顯，如果只是網絡被破壞，那只要花一定金額的錢就可以重建網絡，最多只是需要時間而已，其損失可以被估量。而如果關鍵信息或重要信息被丟失、破壞，那后果是及其嚴重的，因為很多重要信息無法被重構，花再多錢也無用，并且其產生的負面影響非常重大。
　　所以，我就安全管理中的幾個重要的問題展開討論，并就解決該問題的對策進行更深一步的研究。
　　1.首要問題：人的因素
　　1.1安全管理中的兩類人員
　　可能會有很多人有疑問，人怎么會成為安全管理中的首要問題呢？當然，這里的“人”包括兩類：一類是內部的管理人員或合法接入內網的外部人員；另一類是外部的攻擊人員。其中最重要的，也是“人”之所以成為“首要問題”的原因的是第一類人員；而第二類人員可以歸結為網絡安全技術問題之一。
　　其實只要設想一下就可以明白：對某個網絡，不管其結構、大小，假如說通過一定的技術手段，它已經成為“銅墻鐵壁”，這時它夠安全嗎？記得有這樣一句話：堡壘最容易從內部被攻破。也就是說，如果網絡的內部工作人員甚至管理人員出了問題，再堅固的銅墻鐵壁也只是薄紙一張。對于網絡管理員，可能他有意制造了網絡安全問題——嚴重的可能成為計算機犯罪；也許他是無意的——由于技術水平的問題，可能他在無意之中將網絡的后門洞開。同樣對于合法接入內網的外部人員，由于他“混”入了“信任域”，也可能會因此而使大量IT設備癱瘓。
　　上面所述就是信息安全管理工作成敗的關鍵因素之一，人的因素——來自內部職工或其它合法使用信息者的內部濫用。
　　1.2一個非典型例子
　　2002年10月29日，蘇州市滄浪區人民法院對一起破壞計算機信息系統的案件依法作出了判決。這是江蘇省首例破壞計算機信息系統案件。
　　5月18日，被告人羅露利用其事先從客戶端SQL Server企業管理器中獲取的江蘇省普通高中會考辦公室FTP站點服務器的IP地址、帳號用戶名，以及密碼，先后兩次使用Leapftp軟件非法登錄至江蘇省中小學信息技術等級考試網站（江蘇省普通高中會考辦公室專用服務器），執行刪除文件命令，共刪除了100個數據文件，這些文件均系江蘇省中小學生信息技術等級考試考生成績文件，造成85所學校9991名考生的成績被刪除。后經江蘇省普通高中會考辦公室組織各考點將備份文件重新上傳，方將數據恢復。
　　此例中的事主盡管并非服務器的直接管理者，但他也是管理者之一，否則一般是不可能接觸到用戶名和密碼的。可以看出，此類事件一旦發生，后果不堪設想。
　　1.3解決對策
　　對于解決這個問題的對策，說簡單也簡單，說有難度也是有難度的，關鍵在于制度的健全及管理的到位。制度的制訂可能是比較容易的，但要考慮它是否真的用于了管理，是否真的適合于管理（是否切實可行）。管理說起來也是簡單的，但要看它是否真的嚴格執行了制度，有沒有敷衍了事。非常重要的一點，就是對網絡以及網絡管理者的監控機制（也屬于管理范疇），特別對于網絡管理者也要有相應的約束機制。
　　在輿論宣傳方面也可以下點功夫。網絡發生安全危機，多數因為內部人員本身沒有具備基本的網絡安全常識，導致黑客們有機會入侵計算機，達到破壞的目的。因此，我們有必要提高上網人員的網絡安全管理意識，強化網絡道德、網絡心理、網絡“國家安全”和網絡法制教育，使大家都能意識到自覺維護網絡安全的重要性和緊迫感，并且自覺遵守有關網絡安全的法律法規，從而自覺地維護網絡安全。
　　2.相應軟硬件以及安全技術
　　2.1選擇符合當前網絡管理要求的硬件設備
　　多年前橫行網絡的ARP攻擊應該都還是記憶猶新的。
　　計算機軟硬件的發展日新月異，網絡的發展也是一樣。所以較早建立的網絡設備可能跟不上網絡的發展，在應付新的網絡突發事件的時候往往顯得力不從心。早期的局域網建設一般比較簡單，網絡設備一般是集線器，最多也是一些沒有管理功能的二層交換機，局域網的規模一般也較小，一般局域網內的機器都放在同一個C類網絡中。在這種情況下，發生ARP攻擊是在所難免的。并且由于發生ARP攻擊時往往只要一臺機器中招，都會引發局域網癱瘓。解決ARP攻擊的方法有軟件的也有硬件的，但根本的解決方案還是需要相應網絡設備的支持，要對那些不符合當前網絡管理要求的設備進行升級改造，然后再輔以適當的網絡配置管理方案。
　　2.2網絡配置管理技術
　　對于局域網，網絡的拓撲結構很重要。網絡中所必需的接入交換機、匯聚交換機、核心交換機、防火墻設備、上網認證設備等所處的位置，以及相互關系，還有局域網內IP地址的分配，VLAN的劃分等一整套配置信息與信息網絡安全是息息相關的。
　　所以，在相關網絡硬件設備的支持下，我們更應從技術應用層面考慮，通過各種安全技術手段來監督、組織和控制網絡通信服務，以及信息處理，確保計算機網絡的持續正常運行，并在計算機網絡運行異常時能及時響應和排除故障。
　　2.2.1運用VLAN（虛擬局域網）技術
　　VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的技術。VLAN技術的核心是網絡分段，根據不同的應用業務和安全級別，將網絡分段并隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。對于TCP/IP網絡，可把網絡分成若干IP子網，各子網間必須通過路由器、交換機、網關或防火墻等設備進行連接，利用這些中間設備的安全機制來控制各子網間的訪問。
　　除此之外，有些子網，如財務網絡、人事網絡等，如果管理者覺得有必要的話，干脆就把它和主干網絡從物理上斷開。因為VLAN之間通過一定的安全策略還是可以互訪的，而采用物理斷開的方式實際就是做了兩個互不交叉的網絡，理論上更安全。
　　2.2.2使用防火墻技術
　　防火墻是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于內部網絡與外部網絡的中間，保障著內部網絡的安全。防火墻是實現校園網絡的安全保護最有效的一種方法。目前，比較成熟的防火墻技術主要有兩種：包過濾技術和代理服務器技術。采用防火墻技術最主要的是安全規則的設置。我們應通過防火墻規則設置對網絡數據包的協議、端口、源/目的地址、流向進行審核；只打開必須的服務（如：HTTP、FTP、SMTP、POP3等）以及所需其他服務；OOgP+mMBQ+95PP7MLLBUXw==對辦公網用戶進行流量控制；進行時間安全規則變化策略，控制內網用戶訪問外網時間；設置IP地址MAC地址綁定，防止IP地址欺騙；定期查看防火墻訪問日志。
　　端口映射其實就是NAT地址轉換的一種，這里特指靜態端口映射。就是在防火墻（或其它相應設備如路由器）上開放一個固定的端口，然后設定此端口收到的數據要轉發給內網哪個IP和端口，不管有沒有連接，這個映射關系都會一直存在。例如，將內網192.168.1.2的80端口和外網221.224.80.254的80端口進行映射，則訪問http://221.224.80.254就是直接訪問http://192.168.1.2。這里除了可以實現“一址（一個公網IP地址）多用”外，更重要的是把不需要對外的端口封閉了，提高了安全性。例如，“遠程桌面”默認的端口是3389，攻擊軟件如果掃描到3389端口開著，那這臺計算機就懸了，但如果端口映射時映射成另一個端口會怎么樣呢？
　　2.2.3使用反病毒技術
　　計算機病毒、惡意代碼、特洛伊木馬等是影響網絡安全的另一個重要因素。面對泛濫的計算機病毒，為保證計算機、計算機網絡的安全，應該采取的措施是：一是要制定反病毒策略，部署多層防御戰略，所有計算機（服務器）都安裝殺病毒軟件，最好是統一的網絡版殺毒軟件。二是要定期更新反病毒軟件，及時更新病毒庫，使用專業正版殺毒軟件對網絡服務器中的文件進行掃描和監測。
　　2.2.4采用入侵檢測系統
　　入侵檢測系統（IDS）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備，是一種不同于防火墻的主動保護網絡資源的網絡安全系統，是防火墻合理和必要的補充。IDS能夠實時分析內部網和外部網的數據通訊信息，分辨入侵企圖，在網絡系統受到危害前以各種方式發出警報，并且及時對網絡入侵采取相應對策最大限度地保護網絡的安全。
　　3.信息網絡安全中的“木桶效應”
　　所謂“水桶效應”是指一只水桶想盛滿水，必須每塊木板都一樣平齊且無破損，如果這只桶的木板中有一塊不齊或者某塊木板下面有破洞，這只桶就無法盛滿水。一只水桶能盛多少水，并不取決于最長的那塊木板，而是取決于最短的那塊木板?！八靶币部煞Q為短板效應。一個水桶無論有多高，它盛水的高度取決于其中最低的那塊木板。
　　在信息網絡安全管理中也是這個道理，組成木桶（網絡安全）的各塊木板（管理制度、安全策略、安全架構等）都不能出現問題，各塊木板之間也不能出現縫隙，任何一方面出了問題，則這個網絡就可能是不安全的。
　　事實上，到目前為止，也沒有哪一種技術、哪一款產品能夠滿足產生這樣一個“完美”的木桶的要求。
　　校園網絡安全問題是一個復雜的系統工程，信息對抗與安全永無止境，信息網絡安全也不可能絕對一勞永逸。因此，加強信息網絡的安全管理是當前非常迫切、充滿挑戰性的任務。網絡的安全威脅既有來自內網的，也有來自外網的，只有將技術和管理都重視起來，才能構筑一個相對更加安全的網絡，使網絡朝著健康的方向發展。
　　
　　參考文獻：
　　［1］付忠勇.網絡安全管理與維護.清華大學出版社，2009.6.
　?。?］覃國銳.高校校園網絡安全管理存在的問題及對策［J］.柳州師專學報，2009.2.
　　［3］石淑華，池瑞楠.計算機網絡安全技術，2008.12.