刍议计算机网络安全及建设.docVIP

刍议计算机网络安全及建设 　　摘要：本文简要介绍了计算机网络安全的体系结构，分析了网络安全的设计原则，讨论了计算机网络的安全策略、管理原则以及网络各层的安全设计，最后提出了网络安全产品的选型原则。 　　关键词：网络　安全　建设 　　社会对信息的依赖程度越来越高。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性，但竞争已迫使各机构打破原有的界限，在企业内部或企业之间共享更多的信息。因此，网络安全成为一个重要的问题。 　　一、网络安全 　　通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标，具体的安全控制系统可以分为：物理安全、系统安全、网络安全、应用安全、管理安全等几个方面。 　　网络安全是整个安全解决方案的关键，通过访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别进行。　隔离与访问控制可通过严格的管理制度　、划分虚拟子网、配备防火墙来进行。内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网　，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问。 　　防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。它通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制；并且可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。通信保密是使得在网上传送的数据是密文形式，而不是明文。可以选择链路层加密和网络层加密等方式。入侵检测是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应　，从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器　。探测器用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包。因此，入侵检测系统的应用不会对网络系统性能造成多大影响。网络扫描系统可以对网络中所有部件进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。病毒防护也是网络安全建设中应该考虑的重要的环节之一，反病毒技术包括预防病毒、检测病毒和杀毒三种技术。 　　二、网络安全体系的建设 　　1.安全体系设计原则 　　A.需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 　　B.综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节，它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 　　C.一致性原则：这主要是指网络安全问题应与整个网络的工作周期同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑要容易，而且花费也少得多。 　　D.易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 　　E.多重保护原则　：　任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其他层保护仍可保护信息的安全。 　　2.网络安全风险分析 　　网络安全风险分析是制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。安全保障不能完全基于思想教育或信任，而应基于最低权限和相互监督法则。 　　第一，网络安全策略 　　安全策略分安全管理策略和安全技术实施策略两个方面：一是管理策略。安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。二是技术策略。技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。 　　第二，安全管理原则 　　计算机信息系统的安全管理主要基于三个原则，即多人负责原则、任期有限原则、职责分离原则　。制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。 　　第三，网络安全设计 　　物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。 　　在链路层，通过桥这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不