基于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全集成研究

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全是當(dāng)前社會(huì)議論的熱點(diǎn)，它對(duì)于企業(yè)未來(lái)的發(fā)展有著非常大的影響?；诖?，本文從網(wǎng)絡(luò)安全現(xiàn)狀與常見(jiàn)威脅出發(fā)，重點(diǎn)分析了網(wǎng)絡(luò)安全結(jié)構(gòu)，以期能夠?qū)ζ髽I(yè)信息安全建言獻(xiàn)策。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；安全；VLAN

中圖分類(lèi)號(hào)：TP393.08

伴隨著我國(guó)網(wǎng)絡(luò)普及率的不斷提高，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為當(dāng)前社會(huì)議論的熱點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)不再是關(guān)乎到企業(yè)經(jīng)營(yíng)利益，更重要的是關(guān)乎到國(guó)家未來(lái)發(fā)展的安全與穩(wěn)定。所以現(xiàn)代社會(huì)網(wǎng)絡(luò)安全問(wèn)題將是未來(lái)最重要的安全性問(wèn)題，必須要整個(gè)社會(huì)共同努力，全面提高安全防護(hù)措施。

1 網(wǎng)絡(luò)安全現(xiàn)狀與常見(jiàn)威脅分析

（1）企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析。就目前形勢(shì)來(lái)看，國(guó)內(nèi)企業(yè)數(shù)據(jù)信息安全很多樂(lè)觀，特別是在信息網(wǎng)絡(luò)安全方面、網(wǎng)絡(luò)安全技術(shù)人才方面、企業(yè)內(nèi)部員工網(wǎng)絡(luò)安全防護(hù)意識(shí)方面均存在著較大問(wèn)題。更有甚者，一些企業(yè)領(lǐng)導(dǎo)認(rèn)為像防火墻此類(lèi)的安全防護(hù)軟件可有可無(wú)。殊不知，網(wǎng)絡(luò)安全體系的構(gòu)建是一項(xiàng)長(zhǎng)期的工作，只有在關(guān)鍵時(shí)刻才能夠顯示其最大的價(jià)值。

（2）企業(yè)網(wǎng)絡(luò)面臨的安全威脅。第一，自然威脅與無(wú)意失誤。所謂自然威脅即是指因自然災(zāi)害所導(dǎo)致的企業(yè)數(shù)據(jù)丟失，這種網(wǎng)絡(luò)威脅是不可避免的。無(wú)意失誤顧名思義就是指由于企業(yè)內(nèi)部安全管理人員的誤操作所導(dǎo)致的企業(yè)機(jī)密信息丟失或者泄露。企業(yè)網(wǎng)絡(luò)管理員在進(jìn)行網(wǎng)絡(luò)安全配置時(shí)，由于網(wǎng)絡(luò)安全設(shè)置不當(dāng)，導(dǎo)致用戶(hù)口令較為容易破解。第二，非授權(quán)訪問(wèn)。所謂非授權(quán)訪問(wèn)是指通過(guò)編寫(xiě)各種木馬病毒或者通過(guò)調(diào)整計(jì)算機(jī)程序入侵其他用戶(hù)的網(wǎng)絡(luò)，或者以非法未授權(quán)的方式訪問(wèn)其他用戶(hù)系統(tǒng)文件。有些黑客會(huì)通過(guò)一些非法手段，肆意擴(kuò)大訪問(wèn)權(quán)限或者以虛假身份進(jìn)入他人計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行各種數(shù)據(jù)信息的讀取。第三，木馬程序及后門(mén)。這種威脅主要是指利用遠(yuǎn)程控制手段，對(duì)他人計(jì)算機(jī)程序進(jìn)行非常隱蔽或者未授權(quán)方式的讀取。如果企業(yè)的某臺(tái)計(jì)算機(jī)被非法安裝了木馬程序或者后門(mén)，那么該計(jì)算機(jī)上的各種機(jī)密信息就極有可能被黑客竊取。譬如該計(jì)算機(jī)上輸入的各種密碼，相互交換的各種數(shù)據(jù)信息，均會(huì)通過(guò)非法程序向黑客直接發(fā)送?，F(xiàn)階段這種遠(yuǎn)程控制方式非常普遍，也是黑客竊取他人信息的主要手段之一。第四，計(jì)算機(jī)病毒。這種網(wǎng)絡(luò)威脅方式通常情況下均是由不法分子直接在計(jì)算機(jī)程序中安裝破壞計(jì)算機(jī)功能，竊取計(jì)算機(jī)數(shù)據(jù)而安裝的。計(jì)算機(jī)病毒的出現(xiàn)肯定會(huì)對(duì)該計(jì)算機(jī)系統(tǒng)的運(yùn)行產(chǎn)生一定的影響，它既能夠自我復(fù)制計(jì)算機(jī)指令來(lái)控制計(jì)算機(jī)，同時(shí)也能夠在該系統(tǒng)中寄生更多的病毒。一般情況下，計(jì)算機(jī)一旦被病毒感染之后，均會(huì)出現(xiàn)藍(lán)屏、自動(dòng)重啟、卡機(jī)等問(wèn)題，而且會(huì)在非常短的時(shí)間之內(nèi)致使整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，給企業(yè)帶來(lái)非常慘重的損失。

2 網(wǎng)絡(luò)安全體系研究

關(guān)于網(wǎng)絡(luò)安全體系的實(shí)施過(guò)程，其實(shí)施前提是系統(tǒng)已經(jīng)部署了較為完善的安全產(chǎn)品，如計(jì)算機(jī)防入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防火墻系統(tǒng)、計(jì)算機(jī)防病毒軟件、VPN以及相關(guān)的安全認(rèn)證等。對(duì)于各種類(lèi)型的安全產(chǎn)品集成的有機(jī)體系與系統(tǒng)動(dòng)態(tài)的安全策略是一致性的，其維護(hù)是對(duì)網(wǎng)絡(luò)安全體系進(jìn)行構(gòu)架的關(guān)鍵因素。系統(tǒng)安全的策略拓展的時(shí)效性，則是為了實(shí)現(xiàn)系統(tǒng)安全目標(biāo)的必要條件。

（1）互操作性。對(duì)于各個(gè)服務(wù)都必須遵循的基本安全策略工作時(shí)，就是為了解決系統(tǒng)互操作性的關(guān)鍵要素。也就是說(shuō)系統(tǒng)安全策略必須保證其各個(gè)服務(wù)都遵循一致。此外，對(duì)于某些服務(wù)的活動(dòng)范圍其依據(jù)并不是直接來(lái)源于系統(tǒng)安全策略，而是出于服務(wù)間的聯(lián)動(dòng)規(guī)則。所以說(shuō)針對(duì)此類(lèi)系統(tǒng)控制中心必須能夠及時(shí)的實(shí)現(xiàn)這種聯(lián)動(dòng)規(guī)則。

（2）可管理性。對(duì)于一個(gè)設(shè)計(jì)良好的可靠地信息安全集成管理平臺(tái)來(lái)說(shuō)，其應(yīng)該能夠從管理技術(shù)和管理策略上保證系統(tǒng)的安全策略能夠得到更好更整準(zhǔn)確地實(shí)現(xiàn)，進(jìn)而促使對(duì)安全需求方面能夠更加全面準(zhǔn)確地得到滿(mǎn)足。這即包括了確定必需的安全服務(wù)也包含了對(duì)安全機(jī)制與技術(shù)管理方面的要求，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全體系在系統(tǒng)中的合理部署與配置。

（3）可擴(kuò)展性。關(guān)于網(wǎng)絡(luò)安全體系集成可擴(kuò)展性的要求是：對(duì)于每種新投入的安全服務(wù)或安全設(shè)備，或者新型的網(wǎng)絡(luò)安全技術(shù)的使用，系統(tǒng)可接納其無(wú)縫集成運(yùn)行到系統(tǒng)中無(wú)需對(duì)操作本身作修改，或只作較少配置改動(dòng)。

3 網(wǎng)絡(luò)安全設(shè)計(jì)結(jié)構(gòu)

依據(jù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)，安全防御策略應(yīng)是全方位和動(dòng)態(tài)縱深的，對(duì)網(wǎng)絡(luò)實(shí)行分層、分級(jí)以及實(shí)時(shí)防護(hù)，對(duì)于網(wǎng)絡(luò)中的特定的安全漏洞能夠及時(shí)評(píng)估和發(fā)現(xiàn)，對(duì)于各種網(wǎng)絡(luò)的侵入行為實(shí)時(shí)監(jiān)測(cè)并能依據(jù)監(jiān)測(cè)結(jié)果預(yù)警，甚至是遭受攻擊時(shí)，自發(fā)地發(fā)出報(bào)警信號(hào)、處理措施；這樣就使得在惡意入侵某一層安全防御措施后，能被后續(xù)的應(yīng)急措施阻攔，確保系統(tǒng)的最大程度安全。

（1）VLAN的網(wǎng)絡(luò)分割。在以太網(wǎng)發(fā)展的過(guò)程中，出現(xiàn)了廣播相關(guān)的技術(shù)問(wèn)題以及安全性問(wèn)題，為了解決這個(gè)問(wèn)題，人們提出了VLAN協(xié)議。這個(gè)協(xié)議的原理是，在傳統(tǒng)以太網(wǎng)幀上增加了VLAN頭，通過(guò)這樣的VLAN ID將網(wǎng)絡(luò)上的計(jì)算機(jī)分為相對(duì)獨(dú)立的工作組，而不同組之間的計(jì)算機(jī)不能進(jìn)行直接互相訪問(wèn)，每個(gè)VLAN就是一個(gè)虛擬局域網(wǎng)，這樣使得技能限制廣播的范圍，并能夠組成虛擬的工作組，VLAN之間的互相訪問(wèn)則需要有協(xié)議中的授權(quán)進(jìn)行信息交換。為了防止敏感資源的泄露以及廣播信息的泛濫，在0層交換機(jī)的集中式網(wǎng)絡(luò)環(huán)境中，將網(wǎng)絡(luò)中的所有客戶(hù)計(jì)算機(jī)和服務(wù)器分別分配到不同的VLAN中，而在相對(duì)獨(dú)立的VLAN中，用戶(hù)通過(guò)設(shè)置IP來(lái)進(jìn)行與服務(wù)器之間的互相ping是被禁止的，同樣也需要禁止用戶(hù)計(jì)算機(jī)對(duì)服務(wù)器相關(guān)數(shù)據(jù)資源的寫(xiě)入，只允許相關(guān)數(shù)據(jù)的讀出，通過(guò)這樣的協(xié)議機(jī)制，能夠更好地保護(hù)主機(jī)資源和服務(wù)器中的敏感信息。而在實(shí)際應(yīng)用中，企業(yè)的部門(mén)位置有些分散，有些交叉重疊、不易分離，我們通過(guò)三層交換機(jī)網(wǎng)絡(luò)，經(jīng)過(guò)VLAN的相關(guān)劃分，實(shí)現(xiàn)部門(mén)都有各自獨(dú)有的VLAN，既方便了互相訪問(wèn)，有保證了信息的安全。

（2）MAC地址綁定。這樣的綁定是通過(guò)0層交換機(jī)，在其安全控制列表中，使得計(jì)算機(jī)的MAC地址和交換機(jī)上的端口進(jìn)行捆綁，由于MAC地址是網(wǎng)絡(luò)適配卡的網(wǎng)絡(luò)身份標(biāo)識(shí)，通過(guò)這樣的綁定，可以有效防止未注冊(cè)的非法計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)，這也就是物理層面的安全防御。同樣，我們也可以使用內(nèi)部網(wǎng)絡(luò)的安全管理系統(tǒng)，統(tǒng)籌分配網(wǎng)絡(luò)中的硬件資源。

（3）防火墻配置。上述我們講述了VLAN將網(wǎng)絡(luò)劃分為獨(dú)立的VLAN網(wǎng)絡(luò)，而在這些網(wǎng)絡(luò)之間，需要我們使用特定的軟件或硬件系統(tǒng)，來(lái)保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的相對(duì)隔離防護(hù)，也即防火墻的配置。本文則是采用硬件防火墻方式，是通過(guò)控制特定的數(shù)據(jù)通訊的是否與許出入來(lái)實(shí)現(xiàn)的，這是通過(guò)訪問(wèn)控制策略來(lái)決定一個(gè)數(shù)據(jù)的出入是否被允許的。

對(duì)于一個(gè)網(wǎng)絡(luò)，在保證安全性的同時(shí)，也要考慮信息通信的運(yùn)行速度以及經(jīng)濟(jì)性等問(wèn)題，因此在防火墻配置的軟硬件選型中，要選用符合相關(guān)保密要求的國(guó)產(chǎn)防火墻，從而有效防止外部用戶(hù)的非法訪問(wèn)，而為了充分的保證網(wǎng)絡(luò)安全，可以配置1套備份防火墻，在其中一臺(tái)出現(xiàn)問(wèn)題時(shí)，另一臺(tái)迅速啟動(dòng)，以達(dá)到無(wú)縫保護(hù)網(wǎng)絡(luò)安全。而當(dāng)今的防火墻訪問(wèn)控制策略有如下幾種所示：所有往復(fù)數(shù)據(jù)均需經(jīng)過(guò)防火墻的過(guò)濾與監(jiān)測(cè)；符合安全策略的數(shù)據(jù)包才能經(jīng)防火墻過(guò)濾而通過(guò)；服務(wù)器訪問(wèn)互聯(lián)網(wǎng)不能直接通行；防火墻本身作為一個(gè)系統(tǒng)，也要有抵御非法訪問(wèn)以及攻擊的功能；在沒(méi)經(jīng)設(shè)置的情況下，默認(rèn)禁止各種網(wǎng)絡(luò)服務(wù)，除非是客戶(hù)計(jì)算機(jī)等發(fā)起的或者必須服務(wù)，而需要網(wǎng)絡(luò)開(kāi)放特殊端口的特定服務(wù)要經(jīng)過(guò)系統(tǒng)管理員的允許。

（4）入侵檢測(cè)系統(tǒng)的部署。傳統(tǒng)的網(wǎng)絡(luò)安全防御方法還不足以滿(mǎn)足當(dāng)今的網(wǎng)絡(luò)安全要求，新的防御技術(shù)應(yīng)運(yùn)而生，入侵檢測(cè)技術(shù)就是其中一種，它能夠很好的彌補(bǔ)防火墻的不足，有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對(duì)網(wǎng)絡(luò)安全能夠進(jìn)行全方位的保護(hù)，并且具有了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)所不具備的主動(dòng)性，在提供實(shí)時(shí)監(jiān)測(cè)的同時(shí)，并根據(jù)特定的網(wǎng)絡(luò)安全情況來(lái)采取相應(yīng)的手段。相對(duì)于防火墻的部署位置，入侵監(jiān)測(cè)是部署在網(wǎng)絡(luò)的旁路中，不必像防火墻那樣對(duì)所有出入網(wǎng)絡(luò)的信息進(jìn)行訪問(wèn)控制，不會(huì)影響整個(gè)網(wǎng)絡(luò)的整體性能；在對(duì)全部網(wǎng)絡(luò)的內(nèi)容進(jìn)行入侵檢測(cè)和判斷，并對(duì)分析歷史進(jìn)行記錄，以利于事故追憶和系統(tǒng)恢復(fù)，并斷開(kāi)特定的網(wǎng)絡(luò)鏈接等。

（5）身份認(rèn)證。網(wǎng)絡(luò)通信的最終目的是為了提供網(wǎng)絡(luò)上計(jì)算機(jī)之間的數(shù)據(jù)通信和數(shù)據(jù)交換，而身份認(rèn)證正是基于對(duì)通信雙方進(jìn)行身份的確認(rèn)，保證每次通信雙方的信息安全。當(dāng)前比較常用的通信身份認(rèn)證技術(shù)有：靜態(tài)密碼、智能卡、USB Key和動(dòng)態(tài)口令等，得到普遍應(yīng)用的是用戶(hù)名和靜態(tài)密碼的方式；本文中我們使用USB Key方法，這種方法是基于軟硬件認(rèn)證技術(shù)，在保證安全性的同時(shí)，也保證了易用性。這種該設(shè)備內(nèi)部有微機(jī)芯片，存放有用戶(hù)特定的密鑰或者數(shù)字證書(shū)，通過(guò)其內(nèi)置的密碼算法來(lái)達(dá)到用戶(hù)的身份認(rèn)證的目的，這樣的身份認(rèn)證系統(tǒng)有兩種認(rèn)證方法：一是基于沖擊響應(yīng)的模式，二是基于PKI體系的認(rèn)證模式。

（6）內(nèi)網(wǎng)安全管理。傳統(tǒng)的安全防御理念，重點(diǎn)集中在常規(guī)的漏洞掃描、入網(wǎng)檢測(cè)等方面，重要的安全設(shè)備雖然集中在機(jī)房中，處在層層的保衛(wèi)中，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大的縮小了，來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅卻相對(duì)比較突出，這也是由于內(nèi)網(wǎng)頻頻出現(xiàn)的違規(guī)安裝軟件，私自撥號(hào)上網(wǎng)以及私自接入其他非法計(jì)算機(jī)等情況使得內(nèi)網(wǎng)網(wǎng)絡(luò)問(wèn)題頻頻出現(xiàn)，危及網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)管理員相應(yīng)的需要從準(zhǔn)入控制管理以及信息訪問(wèn)控制等六大功能體系出發(fā)，來(lái)有效地解決出現(xiàn)的問(wèn)題。

（7）數(shù)據(jù)備份與恢復(fù)。為了防止數(shù)據(jù)丟失，造成重要數(shù)據(jù)的無(wú)法挽回，網(wǎng)絡(luò)系統(tǒng)需要經(jīng)常性的進(jìn)行數(shù)據(jù)備份，把特定的數(shù)據(jù)轉(zhuǎn)存到目的介質(zhì)中。這樣，即使整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰，數(shù)據(jù)部分或全部丟失，數(shù)據(jù)也能恢復(fù)到備份時(shí)的狀態(tài)。

本文中的網(wǎng)絡(luò)體系的構(gòu)建，在集中式網(wǎng)絡(luò)管理工具對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份，通過(guò)內(nèi)部網(wǎng)路管理系統(tǒng)對(duì)其進(jìn)行統(tǒng)一管理，用專(zhuān)門(mén)管理備份數(shù)據(jù)的服務(wù)器監(jiān)控相應(yīng)的備份作業(yè)，這樣使得系統(tǒng)的備份數(shù)據(jù)能夠統(tǒng)一集中的備份到統(tǒng)一磁盤(pán)陣列上。而對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的備份，實(shí)現(xiàn)的方式主要有以下幾種：采用自動(dòng)增量備份，使得系統(tǒng)管理員的工作量得到相應(yīng)的降低；制定數(shù)據(jù)備份日程，按照計(jì)劃進(jìn)行備份；全面地備份存儲(chǔ)介質(zhì)的物理管理，一定程度上避免讀寫(xiě)時(shí)的誤操作；對(duì)備份后的數(shù)據(jù)所在的存儲(chǔ)介質(zhì)，通過(guò)合理的分類(lèi)存放，使得保存科學(xué)可靠；在備份服務(wù)器為核心的備份系統(tǒng)中，對(duì)各種備份數(shù)據(jù)統(tǒng)籌管理，合理分配資源，實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)分布式存放，集中式管理，既提高了存儲(chǔ)的可靠性，又保證了存取的快速性。

4 結(jié)束語(yǔ)

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個(gè)非常復(fù)雜的系統(tǒng)工程，它涉及到多個(gè)學(xué)科的內(nèi)容，同時(shí)也需要企業(yè)各個(gè)部門(mén)的相互協(xié)調(diào)配合。只有企業(yè)自身重視數(shù)據(jù)信息保護(hù)，制定相對(duì)完善的數(shù)據(jù)信息安全保護(hù)制度，才能夠從根本上實(shí)現(xiàn)企業(yè)機(jī)密信息的絕對(duì)安全。在今后的工作中，筆者將繼續(xù)致力于該領(lǐng)域的研究工作，以期能夠獲得更多有價(jià)值的研究成果。

參考文獻(xiàn)：

[1]魏昱曈.如何解決計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題[J].電子制作，2013（07）：134-135.

[2]趙健.淺析計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全[J].青春歲月，2011（12）：362.

作者簡(jiǎn)介：周俊峰（1972.09-），男，碩士研究生，講師，研究方向：計(jì)算機(jī)、電子商務(wù)。

作者單位：蘭州職業(yè)技術(shù)學(xué)院，蘭州 730070