计算机网络安全防御体系设计与研究.docVIP

计算机网络安全防御体系设计与研究 　　摘 要：公安和国防信息共享、现代通信、电子商务等领域的服务不但需要内部信息的交流，还需要互联网的支持才能实现，但接入互联网对用户信息点额安全带来的冲击也是很多人担忧的，因此建立计算机网络安全防御体系是必要与迫切地。 　　关键词：防御；安全；信息化；互联网 　　中图分类号：TP393.08 　　1 计算机网络安全的概述 　　随着计算机技术的迅速发展，计算机上处理的业务由基于单机的数学运算、文件处理，基于简单链接的内部网络的业务处理、办公自动化，发展到基于企业内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的世界范围内的信息共享和业务处理。计算机网络的应用领域已从传统的小型业务逐渐向大型关键业务扩展。随着政府上网、企业上网、教育上网、家庭上网等，互联网在经济、军事、文教等诸多领域得到广泛应用?? 　　网络在为人们提供便利、带来效益的同时，也使信息安全面临着前所未有的巨大挑战。计算机网络存储、传输和处理着政府宏观调控决策、商业经济、银行资金转账、股票证券、资源、国防和科研等大量关系国计民生的重要信息，许多信息直接关系到国家的安全。如何保护个人、企业、国家的机密信息不受黑客和间谍的入侵；如何保证网络安全不间断的工作，是国家和单位信息化建设必须考虑的重要问题。 　　2 网络安全防御体系设计的必要性与迫切性 　　随着计算机技术的发展，TMIS和电子政务的应用与各项计算机应用系统联系越来越紧密，当然其在服务行业，公安系统、铁路系统也发挥巨大的作用。然而网络钓鱼、欺诈、病毒攻击等安全威胁使接入互联网对企业信息的安全带来了很大的挑战。因此要改变越来网络系统的结构，用以提高平面网络结构抵御攻击能力、改善对网络系统的用户信息的安全。这也可以实现对账号风险的预警，全面保护账号安全，构建安全的上网环境，让数亿网民受益。 　　3 组建计算机网络防御体系的思路 　　依照现在计算机网络的技术水平，结合各个生产领域对互联网功能的额要求和其要求能达到的安全级别及安全保密的规定，量身定做一套安全防御体系，组建时要注意以下几点： 　　（1）组建网络结构时要把外部服务网与内部服务网分开。 　　（2）把信息系统按照不同的安全等级进行划分，不同的安全等级对应不同的管理方式。 　　（3）网络安全上要充分开展网络访问控制、防火墙设置、网络动态隔离和病毒网关及日志管理。 　　（4）要对网络的流量进行监控和保护。 　　（5）要对访问机制进行升级与改善。达到用数字证书对登录用户身份的鉴别与授权。 　　（6）日志和审计系统也是防御系统所必要的。 　　在设计网络架构时，出于安全带额考虑，对重要行业的计算机网络要进行层次结构的改变，就是把传统的平面结构用层次结构来替代，外部网、办公网和生产网在不同层次结构上独立运行。把外层结构与互联网进行连接，同时，外层网络与内层网络进行屏蔽保护，进而达到外层网络对内层网络的保护。在不同的网络区域边界，通过边界保卫策略实施多点控制，使网络划分为不同级别的保护层次和区域，控制各层次之间的信息流。 　　4 构建网络防御体系所要具备的安全因素 　　在很多领域都会涉及到信息安全这个概念，他们共同特点是强调信息的存储、传输及网络审计等三方面。 　　4.1 鉴别 　　显而易见，鉴别就是对网络的使用者进行身份的识别与验证，使用最多的是对网络使用者的所熟知的秘密进行识别，比如口令、密码；二是通过网络使用者贴身物品进行识别，如磁卡和密令牌；三是利用网络使用者的独有的身体或生理特征进行辨别，如指纹、容貌、声音等。 　　（1）口令机制：口令是使用者与系统预先约定的相代码，它是经过使用者同意或选择有系统分配来完成的约定。使用前，用户把事先设置好的信息提交给系统，系统会自动把用户提交的信息与系统预先设置好的内容相同进行比对，如果相吻合，用户就可以登录系统。 　　（2）智能卡：智能卡是基于口令机制基础上建立的，使用时，不但要验证使用者的口令信息，还要对物理智能卡进行鉴别。物理智能卡就是一种与使用者进行身体接触并判别的一种方式。为保障智能卡使用的可靠性，很多系统在用户陆时，不但对智能卡进行识别，同时还验证身份识别码（PIN）。两者验证都通过，用户才能进入系统。智能卡比传统的口令机制有更高的可靠性，其缺点是不便于携带，而且开户、使用费用高。 　　（3）主体特征鉴别。通过使用者独一无二的生理或身体特的鉴别可靠性与安全性都是很高的。因此市面上视网膜扫描仪、声音鉴别等设备很受市场的欢迎与青睐。 　　4.2 数据传输安全系统 　　其是对传输中的数据流进行加密达到数据传输中的安全。达到对传输数据加密的形式有很多，可以按照层次来区分，使用较广泛的层次加密有三种分别是