網絡安全深入思考

前言：尋找寫作靈感？中文期刊網用心挑選的網絡安全深入思考，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：

本文根據信息網絡安全內涵發生的根本變化，闡述了關于信息網絡安全體系的重要性。文中還重點論述了網絡安全技術的分類及其主要的技術特征。

關鍵詞：

信息化；網絡安全

隨著信息化技術的不斷發展，全世界信息資源的互聯整合已經成為信息化發展的一個重要趨勢。信息資源的互聯整合必然需要一個穩定、安全的計算機網絡環境作為載體，只有計算機網絡自身不斷的發展、完善，才能讓其載體功能得到更好體現，才能更好的促進信息資源的互聯整合。但由于計算機網絡互聯形式的多樣性，就使得網絡系統的硬件、軟件及網絡上傳輸的信息容易遭受到外來的攻擊、破壞。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。因此，無論是局域網還是廣域網，都存在著諸多因素的脆弱性和潛在威脅，這也使我們不得不將網絡的安全措施提高到一個新的層次，以確保網絡信息的保密性、完整性和可用性。

一、網絡系統總體架構設計合理性分析

一個網絡，能夠安全正常運行的關鍵是整個網絡系統的總體架構設計是否合理，而全面分析網絡系統設計的每個環節，則是建立安全可靠的計算機網絡工程的首要任務。應該在認真研究網絡總體規劃的基礎上下大氣力抓好網絡運行質量的設計方案。為解除這個網絡系統固有的安全隱患，可采取以下措施：

1．網絡分層技術的應用從源頭上杜絕了網絡安全存在的隱患問題。局域網中以路由器為邊界，基于中心交換機的訪問控制和三層交換功能，使得網絡的最底層終端匯聚接入層，再由匯入層交換機將網絡匯聚接入核心層交換機，由核心層交換機進行網絡控制，最終由路由器統一管理網絡出口，增加了網絡的安全性和冗錯性。

2．采用物理與邏輯相互隔離的方法來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，防止數據被非法偵聽、竊取，從而保證信息的安全暢通。

二、制定安全策略，加強計算機網絡系統安全管理

1．加強網絡管理員和網絡硬件設施的管理，平時注意培養網絡管理員風險控制意識，建立健全安全管理制度，禁止非相關網管人員進入機房控制室；注重保護計算機系統、網絡服務器、網管系統、路由交換設備等硬件實體，通過安全保護系統驗證用戶的身份和使用權限，防止用戶越權操作，確保計算機網絡系統實體安全。

2．加強網絡軟件方面的管理，制定合理的安全訪問策略。全面的訪問控制策略是保障網絡安全的重要保護策略，它的主要任務是保證網絡資源能夠被合法的授權用戶通過制定的策略訪問到，而不被其他的非授權用戶非法使用和非法訪問。各種安全控制策略必須相互配合，才能真正起到保護作用，下面我就重點介紹幾種安全訪問控制策略：

（1）用戶訪問控制策略。為了方便統一管理，我們可以將用戶組分為:合法用戶，非法用戶和特殊用戶。合法用戶是我們允許訪問網絡資源的普通用戶；非法用戶是我們禁止訪問網絡資源的用戶；特殊用戶則是像系統管理員這樣的用戶，需要為他們分配特殊的操作權限，負責網絡的安全控制與審查的用戶。

（2）網絡訪問控制策略。我們可以將網絡分為三層：接入層、匯聚層和核心層。接入層提供了第一層訪問控制，在這一層允許合法授權的用戶可以接入到網絡，得到正確的訪問接口。匯聚層則提供第二層的訪問控制，將合理的網絡請求送至核心層，經過核心層的路由策略，合法的用戶就可以登錄到網絡服務器并獲取相對應的網絡資源。三個層次的網絡策略中只要有任何一步未過，用戶將被拒之門外。網管就可以對普通用戶的賬號使用、訪問網絡時間、方式進行管理，還能控制用戶登錄入網的站點以及限制用戶入網的數量。

(3)信息加密策略。一般來說，敏感的數據信息在互聯網傳輸過程中很容易被別有用心的人非法截獲，為了保證數據的完整性和安全性，通常會對數據信息進行加密。網絡加密常用的方法有端點加密、節點加密和線路加密三種。端點加密是對源端用戶到目的端用戶的數據提供保護；節點加密是對源節點到目的節點之間的傳輸線路提供保護。線路加密則是保護網絡節點之間的線路信息安全。

(4)防火墻安全隔離策略。網絡防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，因為它能夠很好的將互聯網和內部網進行安全隔離，所以就被廣泛地應用于各種互聯環境之中。在邏輯上，防火墻既是一個分離器，也是一個分析器，它能夠有效地監控并分析Intranet和Internet之間的任何活動，從而保證內部網絡的安全。

（5）監控日志策略。日志系統具有強大的綜合性數據記錄功能和自動分類檢索能力。在該系統中，日志將記錄用戶的各種操作行為，所執行的所有操作，包括登錄失敗操作，對數據庫的操作及系統功能的使用，通過對日志所記錄的內容進行分析，就能夠獲得該用戶所執行操作的機器IP地址、操作類型、操作對象及操作執行時間等，以備日后審計核查之用。

三、建立完善的數據備份冗余機制

網絡數據非常重要，大部分的數據都保存在存儲設備中，為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。對于數據庫和存儲設備的備份方案，可以總結為以下兩點：

1．基于數據庫的備份方案：方案基本思路是建立一套備份服務器與中心服務器對等的數據庫，中心數據庫在產生數據庫日志的同時，自動將日志文件傳輸到備份數據庫，并將日志文件運行于該數據庫,從而保證中心服務器數據庫和備份服務器數據庫的數據一致性。

2．基于存儲設備的備份方案：方案基本思路是備份服務器配置與中心服務器完全相同的存儲設備，通過相關的控制軟件在兩邊的存儲設備上實現數據的同步鏡像，保證數據的一致性；此種備份方式是通過存儲系統與主機系統分隔而實現的，因此可應用到多種系統平臺上，是一種開放性的體系結構。要想保障內部網絡的真正安全，必須要有有效安全策略的結合，落實好各種安全性的策略對于保障網絡安全十分重要，只有將安全策略落實到實處，才能讓網絡漏洞無處遁形，才能不讓別有用心的人鉆到網絡的空子，才能保證網絡的真正安全。

作者：胡硯清 單位：連云港市檢察院技術處