计算机网络的安全管理与维护.docVIP

计算机网络的安全管理与维护 　　摘要:随着互联网技术在社会的各个领域的广泛应用,计算机网络的安全问题已变得非常严峻。因此,能否保证计算机网络系统的安全和正常运行便成为网络管理所面临的一个重要的问题。该文从网络安全体系设计原则出发,提出了当前网络安全管理与维护的策略。 　　关键词:计算机;网络;安全管理;维护 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6667-02 　　 　　现代计算机系统功能日渐复杂,网络功能日渐强大,正在对社会的各行各业产生巨大深远的影响,但同时由于其开放性特点,使得安全问题越来越突出。然而,随着人们对计算机网络依赖程度的日渐加深,网络安全也表现得越来越重要。网络面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。网络安全是事关社会健康发展的基础,是构建和谐网络的重要保障。因此,解决局域网络安全问题刻不容缓。 　　 　　1 计算机网络安全体系设计原则 　　 　　根据网络安全性设计的要求,设计网络安全体系时应遵循以下原则: 　　1) 安全性 　　设计局域网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。 　　2) 可行性 　　设计网络安全体系不能纯粹地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。 　　3) 高效性 　　构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。网络安全体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。 　　4) 可承担性 　　局域网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由单位来支持,要为此付出一定的代价和开销。如果付出的代价比安全体系中获得的利益还要多,那么就不该采用这个方案。所以,在设计网络安全体系时,必须考虑使用单位本身特点和实际承受能力,没有必要按电信级、银行级标准设计。 　　这四个原则可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。 　　 　　2 计算机网络安全体系构建与维护 　　 　　使用单位的安全威胁可能来自外部,也可能来自内部。因此,在进行网络安全策略设计时,既要在局域网的边界处采取安全防范措施,抵御外部入侵和攻击,又要对单位网内部的各种设备安全访问控制,避免局域网内部的合法或非法用户,因失误或故意造成对局域网的破坏。下面分别讨论各个安全策略的详细内容。 　　1) 物理安全策略 　　制定该策略的目的在于保护局域网络中的计算机系统、网络服务器、物理链路等基础设施免受自然灾害、人为破坏和搭线攻击,并建立完善的安全管理制度,防止非法人员进入计算机控制室和各种偷窃,破坏活动的发生,同时要确保计算机网络系统有一个良好的电磁兼容工作环境 。 　　2) 访问控制策略 　　访问控制是使用局域网安全防范和保护的主要策略,其主要任务是保证网络资源不被非法用户使用和访问,它是保证网络安全最重要的核心策略之一,包括网络访问控制、网络的权限控制、目录安全控制、文件属性控制、网络服务器访问控制、网络监测和锁定控制、网络端口和节点的安全控制、网络安全基础设施控制等。对于使用单位网络而言,上要应做好网络访问控制,网络服务器访问控制及网络监测和锁定控制。 　　(1) 网络访问控制策略 　　网络访问控制是网络安全和实现访问控制策略的第一层控制,主要通过一定的技术手段识别网络用户的身份,并依据不同用户身份,给予不同的网络访问权限或阻止其进入使用单位网络系统。网络访问控制策略不仅能阻止网络用户的非法访问,而且能够在很大程度上减少病毒及恶意代码的危害。网络访问控制主要包括以下技术: 　　① 防火墙:防火墙放置于信任度不同的网络之间,对这些网络通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的存取和访问,达到保护网络安全的目的。通常,防火墙位于外部Internet网络,内部使用单位网络和使用单位网服务器DMZ区之间,每当数据包通过时,把数据包的信息与防火墙的规则表进行匹配,如果有匹配的规则,则直接按规则执行,否则使用默认规则执行。 　　② 访问控制列表:访问控制列表(Access Control List,简称ACL)是一组包含允许(permit)和拒绝(deny)语句组成的有序语句集,它将数据包的源地址,目的地址,源端口,目的端口,MAC地址等信息与ACL