构建安全、高效地网络安全系统.docVIP

构建安全、高效的网络安全系统 王春雷 白晔 抚顺电业局计算机中心113008 摘要 本文主要论述安全性在网络设计中的重要因素，尤其是企业把敏感数据移交给内部职工使用，当使用和访问新的Internet技术时，在职工生产力、客户支持和在线商务运作等进行技术和方案的选择上，安全性以何种方式得以实现。针对实际情况一一解决多网合一后可能会出现的一系列安全问题。 关键词 网络安全；多网合一；访问控制 1 网络现状 目前，抚顺供电公司网络基础设施的建设已颇具规模，网上业务的开展也已达到了相当水平，网络环境和网络应用已经成为各级机构行使职能、处理业务、开展工作的重要基础和必要手段。 1．网络环境 抚顺供电公司网络系统组成从应用的角度来看：主要包括办公自动化系统和营业办公系统两部分。 从网络结构的角度来看，主要包括办公自动化系统局域网、营业部局域网及下属各分供电局局域网三部分。 2．网络安全现状 1）各局域网间的通信基本没有安全防护措施，只有少部分单位采用了路由器设置访问控制。 2）服务器操作系统以Unit、WinNT为主，桌面操作系统以Win95/98为主，基本没有安全保护措施。 3）部分应用环境具备防病毒能力。 4）内、外部攻击缺少基本的监控保护手段。 5）缺乏对系统的安全评估手段。 3．网络系统存在的隐患、威胁 当前，随着多网合一的开放，办公网与营业网互连的机构越来越多，网络安全隐患也越来越严重，威胁主要来自：操作系统的安全性；来自内部网用户的安全威胁；缺乏有效手段监视和评估网络系统的安全性；采用TCP/IP协议族软件，本身缺乏安全性；应用服务的安全性：许多应用服务系统在访问控制及安全通讯方面考虑较少；用户误操作带来的安全威胁。 2 影响网络信息安全的主要因素 1、网络体系结构 网络的基本拓扑结构包括星型、总线和环型。互联网络则包括以上三种网络结构，网络主干是环型或总线，而连接主干的众多子网则异构纷呈，子网往下还可能连接着多层子网。结构的复杂无疑给网络系统管理、拓扑设计带来许多问题。为了满足网络开放性要求，实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现。开放性与安全性是一对相生相克的矛盾。 2、网络协议 国际互联网络协议的主要优势一是采用主流的TCP/IP网络协议，二是普遍兼容其它网络协议。这种协议机制使众多厂商的协议能互联、互通。它在给厂商与用户带来方便和利益的同时，也带来了安全方面的问题，即在一种协议下运行的有害程序能很快传播到整个互联网。 3、地理环境 互联网络往往连遍全国，甚至连遍全世界，其地理环境错综复杂，通信信道千差万别，这一方面容易给传输信息造成损坏、丢失，另一方面也给那些“搭线窃听”的黑客以可乘之机，增加更多的安全隐患。 4、使用人员 开发维护计算机系统，可以说是形形色色的人员都有，其中难免有政治上不可靠的，也不乏以攻击网络，搜寻、破坏信息为乐事的黑客。正是由于这些人的存在，合法用户都可靠的传统假设已不能成立，计算机网络安全必须既防外又防内，这给网络安全提出了更高的要求。 5、不同机种 联入互联网络的主机品种繁多，有大型计算机、小型计算机、工作站、服务器、微机等。这些机器厂商众多，使用的操作系统和网络软件也不尽相同，解决了一种机器的安全问题不一定就适应别的机型。 除了上述诸因素以外，涉及信息系统安全的因素还有用户单位的安全政策、使用人员的安全素质、安全设备投资和自然灾害等。 3 计算机网络信息安全的主要内容 计算机网络信息安全在学术研究上是一门综合性学科，在工程实践上是一项系统工程。按照比较通行的说法，计算机网络安全包括实体安全、运行安全和信息安全三个方面的内容。 1. 实体安全 实体安全是指保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故破坏的措施和过程。它包括以下三个方面： 环境安全 设备安全 媒体安全 实体安全所涉及的技术问题，早在八十年代就有了一套较为切实可行的解决方案。 2. 运行安全 为保障系统安全功能的实现，采取一套安全措施（如风险分析，审计跟踪，备份与恢复，应急等）来保护信息处理过程的安全。 1．风险分析 2．审计跟踪 3．备份与恢复 4．应急安全手段 运行安全中风险分析主要是普及网络安全知识，培训网络安全管理人员，充分发挥信息安全专家的作用；审计跟踪需要与信息安全结合起来考虑；其它方面则主要是在实际安全策略基础上加强管理、严格制度的问题。 3. 信息安全 防止信息资源被截取、被更改、被破坏而采取的安全措施，以确保信息的完整性、保密性、可用性和可控性。信息安全包括以下七个方面： 1．操作系统安全 指对计算机信息系统的硬件和软件资源进行有效控制，能为所管理的资源提供相应的安全保护。它们或是以底层操作系统所提供的安全机制为基础构造安全模