試議網絡安全管理問題及路徑

導語：試議網絡安全管理問題及路徑一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、網絡安全管理過程

要實現網絡安全管理，需要4個管理過程：首先，應確定所要保護的敏感信息；然后，找出敏感信息的網絡訪問點；采用各種安全策略對網絡訪問點進行保護；最后，定期對網絡訪問點進行檢查，以維護網絡安全。

1.確定所要保護的敏感信息實現網絡安全管理的第一步就是要確定網絡中哪些主機上有敏感信息。對于多數網絡用戶來說，敏感信息一般包括賬戶、財政、顧客、市場、工程和雇員信息等。對于網絡管理部門來說，網絡的運行狀態信息、提供的網絡服務、網絡傳輸協議使用的服務端口是要保護的敏感信息。在應用中，每個特定的網絡環境都會有其特定的敏感信息。另外，網絡地址、名字、操作系統版本、運行時間等看似無關緊要的信息，也會存在著影響安全管理的漏洞。大多數公司的網絡管理者都不希望外部人員了解其內部網絡有關信息，如拓撲結構、子網劃分、IP地址分配等，都采用網絡防火墻技術來解決這一問題。

2.網絡訪問點網絡管理中，不但知道了要保護的數據信息、網絡服務和存放主機的位置，還要知道其他網絡用戶如何訪問信息和如何訪問相應主機。在網絡安全管理中，需常對網絡設備和主機的所有網絡服務進行檢查，尤其是用戶遠程登錄服務和文件傳輸服務。主機向用戶提供遠程登錄服務，用戶可在主機上進行權限范圍內的操作。如果系統不能識別用戶，或不能將用戶的操作權限限制，就會對網絡安全帶來不安全因素，可能導致主機上的敏感信息被破壞，嚴重的可能讓惡意用戶攻擊整個網絡上的主機。網絡中還有的主機提供文件傳輸服務，由于存在匿名登錄用戶選項，允許網絡用戶以用戶名“anonymous”登錄和操作，從而不需要密碼，這種登錄方式會給文件系統帶來毀滅性的災難。對于提供文件傳輸服務的主機，網絡管理者要小心控制可以訪問目錄應包括什么信息和“anonymous”用戶的操作權限。另外，對于WWW訪問服務、電子郵件、遠程過程調用、域名服務等可以提供進入主機和進入網絡的服務訪問點，都需要提供有效的安全保護。

3.網絡訪問點保護方法要實現網絡安全管理，需采用各種安全技術對網絡訪問點進行可靠的保護。常用的網絡安全保護措施主要有以下幾種：

（1.數據加密技術數據加密其最常用、最有效的安全保護機制。數據在網絡中傳輸時對其進行加密，即由明碼改為密碼，接收方要通過解密才能看到原始信息，這樣可阻止對敏感信息的非法訪問［8］。網絡中，具有固定密鑰的加密機制有被破譯的可能性，在一個既定規則的基礎上，經常改變加密密鑰和解密密鑰可進一步提高數據的安全性。

（2.包過濾技術在網絡中，路由器、交換機、網橋等設備擔負著轉發網絡數據的重要任務。包過濾就是在轉發功能的基礎上根據發送或接收數據包的網絡設備的網絡地址或媒體訪問控制（MAC）地址對數據包進行檢查并過濾來自不安全主機的數據，從而有效地保護網絡的安全。由于包過濾機制是通過網絡設備的網絡地址或MAC地址來完成的，網絡設備地址或MAC地址發生改變，相應的過濾機制也要發生改變。如果主機的地址改變了而用戶并不知道，那么過濾機制就不再有效。在網絡中，若要保護的主機很多，過濾規則會過于復雜，那么設備的轉發效率和速度就會大大降低，影響網絡的性能。

（3.主機認證主機認證方法就是檢查發起請求的源主機的標識符，以確定是否允許源主機訪問本地的某一網絡服務。標識符通常是網絡地址，即IP地址或MAC地址。主機認證對授權的主機或某一地址范圍內的計算機提供相應的網絡服務，沒有授權的主機則拒絕。但主機認證不能有效地對付惡意用戶的“源地址欺騙”，即用非法主機借用經過授權的網絡地址來訪問網絡。因此，對一臺提供敏感信息訪問服務的計算機來說，僅知道源主機的標志符并不意味著就可以安全地進行通信。

（4.用戶認證用戶認證是一種網絡訪問點安全保護的方式，它使設備能在用戶登錄之前驗明用戶的身份，具有合法身份的網絡用戶才能使用網絡，具有比主機認證更高安全程度的登錄控制。網絡中用來驗證使用者常見的方法是用戶名／口令（密碼），雖說對安全有效，但通常密碼會被人通過技術手段和重復嘗試而獲取，造成系統的不安全。

（5.密鑰認證密鑰認證就是給合法用戶分發密鑰，其要依賴網絡上的密鑰服務器來實現。網絡中某一項服務被請求時，源計算機向密鑰服務器請求密鑰，則服務器要求用戶輸入用于認證合法性的密鑰，這樣密鑰服務器既能識別源計算機，又能識別要求服務的用戶。只有在訪問請求時伴有合法密鑰，目的計算機才會允許服務。在密鑰認證服務中，密鑰服務器是關鍵。密鑰服務器的正確配置和管理也是極其重要的，在網絡中并不是簡單地安裝一個密鑰服務器就可以使用密鑰認證了，要對所有的應用和服務進行修改，以容納使用密鑰服務器。

4.定期檢查維護網絡安全，除了采用技術防護措施外，還要定期檢查所有的安全訪問點。網絡管理者可利用安全管理工具來監視所有對網絡服務的訪問，并記錄下可能的安全問題。另外，網絡管理者也可用有關的網絡安全攻擊程序來檢查自己網絡的安全問題，用于確定可能或實際存在的安全漏洞。還有，對網絡運行狀態進行監視，通過對網絡服務訪問來判定是否有用戶攻擊，若存在攻擊要及時采取措施。做好數據傳輸的保密工作，對網絡中敏感信息的傳輸，特別是密碼信息的傳輸，要盡可能采取加密機制。

二、網絡管理系統

安全網絡系統的正常運行離不開網絡管理系統自身的安全，對該系統的管理措施不當，會造成設備的損壞和保密信息的泄露。因此，加強網絡管理系統的安全性十分重要，管理中主要從以下幾個方面來考慮。

1.管理員身份認證方法對管理員的認證均采用公開密鑰的證書認證機制，這樣在很大程度上減少安全事故。對于信任級別低的用戶，可用簡單的口令認證方法，這樣可確保用戶有更好的可用性。

2.數據安全性對所有信息的存儲、傳輸均通過加密散列，以保證其安全性與完整性。通過Web瀏覽器訪問的信息，Web瀏覽器與網絡服務器之間采用安全套接字層（SSL）傳輸協議，并對傳輸的數據和內部存儲的機密信息加密以保證其完整性。

3.用戶管理對網絡管理用戶進行分組管理和訪問控制，要對管理員按任務的不同分成若干用戶組，授予相應的權限范圍，并對用戶的操作進行訪問控制檢查，保證用戶不能越權使用網絡管理操作。目前網絡中通常采用公開密鑰的證書認證機制來認證用戶，并用用戶的私有密鑰對網絡管理信息進行加密和數字簽名，在網絡中要有證書頒發機構（CA）服務器，專門負責為用戶簽發證書。用戶的個人證書信息要做到詳細完整，并由證書的簽發者（CA）用自己的私有密鑰進行數字簽名，沒有CA的私有密鑰，任何人無法偽造和篡改信息。信息管理證書認證時，首先要求CA服務器建立自簽名的CA證書和私人密鑰，用于簽發證書。在服務器和客戶端各自產生一個證書，服務器端的證書用于向客戶認證服務器，客戶端的證書認證用于向服務器認證客戶，這樣可使客戶與服務器之間通過交換證書實現相互認證，使服務器防止假冒的用戶訪問，客戶也可識別訪問的是一個真正的服務器還是一個陷阱。在認證通過后，用戶和服務器之間的通信就可以使用安全套接字層（SSL）傳輸協議進行，保證在網絡上傳輸的數據不被竊聽和篡改，實現安全快捷的通信。

4.日志分析記錄用戶所有的操作，并對用戶訪問日志進行分析，使系統的操作和對網絡對象的操作有據可查，同時也有助于故障的跟蹤與恢復。

三、網絡安全管理

網絡安全管理就是通過網絡安全防護和管理，使網絡傳輸的數據安全保密；使網絡中所有信息、數據及系統中各種程序完整和準確；使合法訪問者接受正常的服務；使網絡中各方面的工作符合法律、規則、許可證、合同等規定。

1.網絡安全防護網絡要使用安全，需對網絡進行有效的安全防護，網絡安全防護主要包括：物理安全防護、周界安全防護、信息加密與驗證3個方面。

(1.物理安全防護主要是保護路由器、交換機、工作站、服務器及打印機等硬件設備和通信設備鏈路免受自然災害、人為破壞和搭線竊聽等攻擊，確保網絡設備有一個良好的工作環境，使網絡線路和訪問點不被非法使用。一般采用的措施是對電源線和信號線加裝性能良好的濾波器，減少導線間的交叉耦合，采用各種電磁屏蔽措施防止和抑制外界對系統的電磁干擾；安裝防靜電地板防靜電干擾；安裝電磁干擾裝置掩蓋系統的電磁泄漏；健全管理體系，規范行為。

(2.周界安全防護周界安全防護就是根據安全等級要求的差異將網絡進行分段隔離，把對網絡攻擊和入侵造成的威脅限制在較小的范圍之內，提高網絡整體的安全水平。周界安全防護一般使用虛擬網技術和防火墻技術。虛擬網技術是通過交換機，根據安全策略，把位于同一交換機的工作站劃分到不同的虛擬網絡中，或者把位于不同交換機的工作站劃分到同一虛擬網絡中。虛擬網技術是目前局域網采用的主要隔離措施，但不能有效防止來自內部的攻擊。防火墻技術是網絡間的一道安全之墻，它根據網絡安全等級和信任關系，將網絡劃分成一些相對獨立的子網，使網絡對外通信和對內通信都受到防火墻的檢查控制。防火墻允許符合安全策略的數據包通過，而把不符合安全策略的數據包隔離開來。防火墻分為網絡層防火墻和應用層防火墻。網絡層防火墻主要獲取數據包的包頭信息，如協議號、源地址、目的地址和目的端口等，或者直接獲取包頭的一段數據。而應用層防火墻則對整個信息流進行分析。網絡中常用的防火墻技術有：應用網關、電路網關、包過濾、網關和網絡地址轉換等技術。

(3.信息加密與驗證信息加密主要是保護網絡中的數據、文件、密碼和控制信息，保護網絡會話的完整性。信息加密可在網絡的鏈路級、網絡級、應用級上進行，加密技術是網絡安全最有效的技術之一。信息加密根據算法方式分為對稱密碼算法和非對稱密碼算法兩大類。在對稱密碼算法中，加密和解密使用相同的密鑰，即加密密鑰和解密密鑰是相同的或是等價的，具有很強的保密性，但其密鑰須通過安全的途徑傳送。而非對稱算法中，加密和解密使用的密鑰不相同，加密和解密都依靠一個公鑰（公開的密鑰）和對應的私鑰來完成，不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信，密鑰管理方便，可實現防止假冒和抵賴。因此，更適合網絡通信中的保密通信要求。認證是指對網絡用戶的用戶名和密碼進行驗證，防止非法訪問的一道防線。用戶注冊時首先輸入用戶名和密碼，服務器校驗證所輸入的用戶名是否合法，如果驗證合法，則又驗證用戶輸入的密碼是否合法。二者不合法，用戶將被拒于網絡之外。用于認證的密碼是用戶使用網絡的關鍵，不能顯示在顯示屏上，通常是經過加密后存儲在主機系統中。對于遠程通信，則首先要通過身份驗證和授權，信息才能以明文或加密的形式在客戶機和服務器之間進行傳送。

2.網絡的安全管理要實現網絡的安全管理，除了進行有效的安全防護外，還要認真做好以下幾個方面的工作。

(1.配置好網絡資源的訪問控制通過管理路由表的訪問控制列表，完成防火墻的管理功能，從網絡層和傳輸層控制對網絡資源的訪問，保護網絡內部的設備和應用服務，防止外來攻擊。

(2.認真對待告警事件分析對網絡對象所發出的告警事件，管理員要認真分析與安全相關的信息（如路由器登錄信息、認證失敗信息），并從歷史安全事件中進行檢索和分析，及時發現正在進行的攻擊或可疑的攻擊跡象。

(3.加強對主機系統安全漏洞的檢測實時地監測主機系統重要服務的狀態。利用安全監測工具，經常搜索系統可能存在的安全漏洞或安全隱患，并設計好彌補的方案或措施。

(4.做好數據的備份主要是對網絡中的重要數據或敏感信息要經常備份，當數據或信息不幸遭受病毒或是黑客破壞時，可以用備份來恢復丟失的數據?？傊瑢τ诰W絡安全，只要網絡用戶樹立安全意識，明確網絡管理的步驟，做好各種防護措施，使用新的安全技術手段，就能降低網絡安全風險，使網絡能提供安全可靠的通信服務。

作者：梁興祥單位：玉溪市第二職業中學