論述計算機網絡安全技術要點

李 方

天津市南開區住房保障中心

1 訪問控制策略

(1)入網訪問控制

入網訪問控制為網絡訪問提供了第一層訪問控制。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡，這樣一些非法用戶就不能輕易進入系統。

對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。如果驗證合法，才繼續驗證用戶輸入的口令。用戶的口令是用戶入網的關鍵所在，為保證口令的安全性，用戶口令不能顯示在顯示屏上，必須以一種特別的字符表示。口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合。用戶口令必須經過加密，加密的方法很多。經過上述方法加密的口令，即使是系統管理員也難以得到它。

網絡管理員應該可以控制和限制普通用戶的賬號使用、訪問網絡的時間、方式。用戶名或用戶賬號是所有計算機系統中最基本的安全形式。用戶賬號應只有系統管理員才能建立。用戶口令應是用戶訪問網絡所必須提交的“證件”。用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面：最小口令長度、強制修改口令的時間間隔、口令的惟一性、口令過期失效后允許入網的寬限次數。

用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的“資費”用盡時，網絡還應能對用戶的賬號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

(2)網絡的權限控制

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。

(3)目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有8種：系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(File Scan)、存取控制權限(Access Control)。用戶對文件或目標的有效權限取決于以下幾個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。

(4)屬性安全控制

當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。

2 計算機網絡安全保護技術

(1)防火墻技術

防火墻是指一個由軟件或和硬件設備組合而成，處于企業或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻是網絡安全的屏障，配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。當一個網絡接上Intemet之后，系統的安全除了考慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。

(2)數據加密技術

數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密鑰的管理技術。這樣做能夠防止在存儲環節上的數據丟失，能夠對傳輸中的數據流加密，能夠對介入信息的傳送，存取，處理人的身份和相關數據內容進行驗證，達到保密的要求，系統通過對比驗證對向輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。

(3) PKI技術

PKI(Publie Key Infrastucture)技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而PKI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。

(4)入侵檢測技術

入侵檢測技術是為保證計算機系統的安全設計與配置的一種及時發現并報告系統中被受權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

結語

計算機網絡在全球范圍內得到了迅速發展，其應用幾乎包括了人類生活工作的全部領域，它在帶給我們前所未有的方便的同時，也給我們制造了大量的難題。計算機網絡的安全是一個綜合性的課題，涉及到技術、管理、使用和維護等多方面。既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為保證計算機網絡系統的安全，應混合使用多種安全防護策略，同時也會發展出越來越多的安全解決技術，從而使得網絡安全防范及管理水平不斷提高。

[1]解子明.淺談計算機網絡安全防范技術[J].黑龍江科技信息，2012，33：86.

[2]殷偉，計算機安全與病毒防治[M]合肥：安徽科學技術出版社，2004