淺談網絡安全機制

李永思　于曉冉

摘 要：網絡安全機制是網絡安全策略的實施手段。安全機制的種類繁多，本文簡單的講述了一些常用的安全機制。要實現某個安全策略或模型，通常要結合一種或多種安全機制。

關鍵詞：訪問控制；加密技術；防火墻技術；Windows安全機制

1 訪問控制

訪問控制是網絡安全防范和保護的主要策略之一，其主要內容是保證網絡資源不被非法使用和訪問。訪問控制涉及到技術比較廣，主要包括：第一，入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。能控制那些用戶能登陸到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認限制檢查。三道關卡中只要任何一關不過，用戶便不能進入網絡。第二，網絡權限控制。網絡權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限，控制用戶可以訪問那些目錄、子目錄、文件和其他資源。例如，可以根據訪問權限將用戶分為幾類：特殊用戶、一般用戶、審計用戶等，對不同的用戶分配不同的資源訪問權限。第三，目錄級安全控制。網絡允許合法用戶對相關目錄，文件和設備的訪問。例如，對目錄和文件的訪問權限一般有八中：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限和訪問控制權限。網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶的訪問和操作，八種訪問權限的有效組合可以讓用戶有效的完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強網絡與服務器的安全性。第四，屬性安全控制。當使用文件，目錄和網絡設備等資源時，系統管理員應給文件、目錄等指定訪問屬性。屬性安全是在權限安全的基礎上提供進一步的安全性。網絡上的資源都應預先標出一組安全屬性，用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享等。

2 數據加密技術

通常由加密和解密兩個過程組成，通過加密密鑰將明文轉變成不可讀的密文，通過解密算法和解密密鑰將密文恢復為可讀的明文。加密的目的是防止有價值的信息在網絡上別攔截和竊取。根據加密方和解密方使用的密鑰是否相同，可將加密技術分為對稱加密算法和非對稱加密算法。前者算法簡單，算法效率高，但是密鑰管理非常麻煩，因為任意一對通信之間都需要分配一個密鑰。它在一些特殊的應用場合非常有效，如銀行系統中應用等。而后者算法復雜，算法效率低，但是密鑰管理簡單，因為其中有一方的密鑰是公開的。下面通過ATM取款來說明加密算法的應用。如何保證客戶在ATM機上輸入的銀行賬號數據不泄露呢？用數據加密使客戶的銀行數據在ATM端通過加密后，將數據傳送到銀行的服務器端，服務器完成數據解密和處理后，再將處理結果傳送給ATM端。

3 防火墻

一個實施訪問控制策略的系統，它位于內部網與公共網絡之間，將內部網與公共網絡分隔開來，用于控制進出內部網的通信數據，加強網間訪問控制。防火墻軟件可以運行在一臺路由器或者主機之上，也可以運行在由這些設備構成的小規模網絡上。運行防火墻軟件的硬件設備可以是專門的路由器或者主機，也可以是兼有傳輸功能的路由器或計算機功能的主機。兩種類型的防火墻可以相互補充，相互配合。實現防火墻的技術包括分組過濾技術、代理服務器技術和狀態檢測技術。防火墻不能保證網絡上數據的完整性。它本身不是完整的安全解決方案，需要與其他安全措施相結合，如加密技術、認證技術和入侵檢測技術。

4 Windows XP的基本安全防范手段

主要包括用戶管理、密碼設置、共享管理、系統信息備份與恢復以及硬盤安全操作等。這些針對身份認證、基本訪問控制、災難恢復方面的基本設置可以提高系統的安全性，提供對病毒和惡意代碼攻擊的防御能力。

要進一步提高系統的安全保障，可以使用更高級的安全措施，如Windows XP提供的更高級安全防范手段包括關閉不必要的端口和服務、Office辦公軟件的保密性設置、壓縮文件的加密方法、電子郵件和IE瀏覽器的安全使用等。

下面以關閉端口為例說明Windows XP的高級安全防范手段：端口是計算機與外界通信的渠道，它們就像一道道門一樣控制著數據與指令的傳輸。各類數據包在最終封包時都會加入端口信息，以標識不同的協議和應用。許多蠕蟲病毒就是利用端口信息實現惡意騷擾的。因此，有必要把一些危險而又不常用的端口關閉掉，以保證系統安全。

在TCP/IP中關閉端口的步驟如下：⑴進入配置IP地址的“Internet協議（TCP/IP）屬性”對話框后，單機“高級”按鈕，打開“高級TCP/IP設置”對話框；⑵選擇“選項”選項卡；⑶選中“TCP/IP篩選”，單擊“屬性”按鈕，打開“TCP/IP篩選”對話框。選中“只允許”單選按鈕，單擊“確定”按鈕后，就關閉了除指定的三個端口以外的其他端口。這樣，計算機安全得多。還可以對其他選項卡設置。例如，要禁NetBIOS（Network Basic Input/Output System，網絡基本輸入輸出系統），只需選擇“WINS”選項卡，然后選中“禁用TCP/IP上的NetBIOS”單選按鈕即可。禁用NetBIOS后，可避免黑客利用NetBIOS漏洞入侵計算機系統。

[參考文獻]

[1]吳基傳.信息技術與信息產業[M].北京：新華出版社，2000.

[2]吳功宜，等.計算機網絡技術教程——自頂向下分析與設計方法[M].北京：機械工業出版社，2010.