加強計算機網絡安全管理對策探析

0 引言

在信息化飛速發展的今天，計算機網絡得到了廣泛應用，但隨著網絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。

1 網絡安全面對威脅和應具備的功能

1.1 網絡安全面臨的威脅

網絡安全威脅既有信息威脅又有設備威脅，具體有：（1）人不經意的失誤；（2）惡意的人為攻擊；（3）網絡軟件的漏洞和“后門”。基本上每款軟件多少都會存在漏洞，大多網絡入侵事件都是由于沒有完善的安全防范措施，系統漏洞修補不及時造成的。

黑客入侵通常扮演者以下角色：一是政治工具；二是戰爭的應用；三是入侵金融、商業系統，盜取商業信息；四是侵入他人的系統，獲取他人個人隱私，便于進行敲詐、勒索或損害他人的名譽。通過上述分析可以看出，網絡安全影響著國家的政治、軍事、經濟及文化的發展，同時也影響國際局勢的變化和發展。

1.2 安全網絡應具備的功能

一個安全運行的計算機網絡應用系統必須具備以下功能：（1）訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。（3）攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取響應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。（8）設立安全監控中心，為信息系統提供安全體系、監控、保護及緊急情況服務。

2 加強網絡安全管理措施

一個安全健康的網絡體系，應涵蓋網絡實體安全、軟件安全、數據安全、網絡安全管理等幾個方面安全。

網絡實體安全：如計算機的物理條件、物理環境及設施的安全標準，計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等；

軟件安全：如保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等；

數據安全：如保護網絡信息的數據安全，不被非法存取，保護其完整、一致等網絡安全管理：如運行時突發事件的安全處理等，包括采取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等內容。

因此，我們如何提高網絡安全性能，應從以上幾方面考慮。

2.1 提高計算機網絡通信的設備性能

計算機網絡系統的安全性很大程度上取決于通信的安全，而解決計算機網絡通信的安全問題，首先需要從技術層面入手。當前基于計算機網絡通信技術的發展現狀是，一些開發商和相關開發公司通常只注重實際效果，而忽略了網絡通信過程中存在的安全問題。在未來的系統設計中，需要充分考慮設計中存在的安全問題，并且針對這些問題，采取有效的防護措施，有效提高計算機網絡通信設備的安全性能，以確保在使用或數據傳輸過程中能夠保障數據信息的安全性和有效性，同時還要不斷完善相關協議，使得傳輸的信息不會受到損壞。

2.2 加強計算機網絡安全技術策略

計算機網絡安全策略主要是為了提高用戶和終端保護能力，有效的保障計算機網絡的安全，我們可以從以下兩方面來進行分析：（1）加強計算機網絡通信管理。計算機通信的管理需要從用戶方面來考慮，我們應該測試信息的傳輸過程中存在哪些安全問題，并采取進一步措施來確保計算機的通信不會受到入侵。如果是重要的文件或信息進行傳送，必須提高信息傳送的安全性，可以進行加密保護，確保網絡數據傳輸不會受到外界的干擾。（2）從技術層面分析。在計算機網絡安全領域，在進行數據傳送的時候，我們可以設定訪問權限，通過對用戶進行身份識別，有效提高計算機網絡和數據傳送的安全性，達到網絡安全的目的。對網絡地址需要進行有效限制，如果對方不在允許的范圍內，應及時進行篩選和攔截，從而確保網絡的可用性，提高網絡的安全，還可以設置防火墻，病毒查殺、入侵檢測、加密機制、網絡終端認證等技術的應用，限制不符合條件的用戶的進入，達到維護網絡安全和目的。這里重點介紹幾種安全技術。

加密與數字簽名。任何良好的安全系統必須包括加密！這已成為既定的事實。數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法，它主要通過加密算法和證實協議而實現。

防火墻。防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火墻的數據流，盡可能地檢測網絡內外信息、結構和運行狀況，以此來實現網絡的安全保護。

User Name/Password認證。該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即 password容易被監聽和解密。

使用摘要算法的認證。Radius（遠程撥號認證協議）、OSPF（開放路由協議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進行認證，但摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網絡上傳輸。目前主要采用的摘要算法主要有MD5和SHA-1。

基于PKI的認證。使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書任務。

虛擬專用網絡（VPN）技術。VPN技術主要提供在公網上的安全的雙向通訊，采用透明的加密方案以保證數據的完整性和保密性。

VPN技術的工作原理：VPN系統可使分布在不同地方的專用網絡在不可信任的網絡上實現安全，它采用復雜的算法來加密傳輸的信息，使得敏感的數據不會被竊聽。

2.3 加強網絡人員的安全教育和管理

計算機網絡的安全管理，需要建立相應的安全管理機構，實施網絡系統的安全標準，如建立定期補丁治理制度，可以對系統軟件進行修補從而最大限度減少漏洞，降低了病毒利用漏洞的可能。單位要重視網絡安全，加強宣傳，以增強信息管理人員的網絡安全意識，盡量減少由于人為因素造成的一些安全隱患。同時也需要對他們進行硬件、軟件和網絡數據等安全問題開展定期教育，提高其業務和技能方面的能力，使能夠采取有效的措施應對網絡安全問題。

3 結語

總之，網絡安全是一個系統化的工程，不能單獨的依靠防火墻等單個系統，而需要仔細且全面的考慮系統的安全需求，并將各種安全技術結合在一起，才能形成一個高效、通用、安全的網絡系統。