淺談計算機網(wǎng)絡(luò)的安全設(shè)計

【摘 要】計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及INTERNET的普及，為人們帶來了便利性，并提高了工作效率，但同時也出現(xiàn)了一系列的網(wǎng)絡(luò)安全問題。要減少安全問題，應該在構(gòu)建網(wǎng)絡(luò)之初就要考慮到提高網(wǎng)絡(luò)安全的設(shè)計技術(shù)。因此，無論是公司，還是校園網(wǎng)，都需要一種經(jīng)濟，實用和安全的設(shè)計方案，才能保證網(wǎng)絡(luò)的可靠運行。

【關(guān)鍵詞】網(wǎng)絡(luò)安全 操作系統(tǒng) 網(wǎng)絡(luò)防病毒軟件 防火墻 入侵檢測系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，人們的日常生活和工作已經(jīng)和網(wǎng)絡(luò)密不可分了，如電子商務(wù)，電子政務(wù)，網(wǎng)絡(luò)銀行，數(shù)字貨幣等等。在享受著便利和資源共享的同時，安全問題也慢慢浮出來，除了大型的網(wǎng)站受到攻擊，不能正常使用外，一些網(wǎng)站還泄露用戶的信息，甚至還泄露了用戶信用卡帳號及密碼，造成的危害越來越大。因此無論個人還是單位現(xiàn)在最關(guān)心的就是網(wǎng)絡(luò)的安全問題。當然，要做到網(wǎng)絡(luò)的百分百安全是完全不可能的，能做的只能是減少安全問題的發(fā)生。所以，在組建網(wǎng)絡(luò)的初期，就應考慮到提高網(wǎng)絡(luò)安全的設(shè)計技術(shù)?，F(xiàn)在一些公司大部分的安全方案都是由簡單的帶有防火墻功能的路由器和個人版的殺毒軟件所組成，布局得比較簡單，不夠系統(tǒng)，所以經(jīng)常還是出現(xiàn)中毒，資料外泄的現(xiàn)象出現(xiàn)。因此，要設(shè)計一套安全的方案是必須的。

一、網(wǎng)絡(luò)安全存在的威脅

要設(shè)計一套安全的方案，必須先了解現(xiàn)存的威脅，才能更好地對應癥下藥。

（一）硬件故障

硬件故障包括計算機，線路，以及各種網(wǎng)絡(luò)設(shè)備的故障，除了正常的老化外，還存在電磁幅射及干擾，甚至還可能由于閃電，打雷，地震，火災等自然災害所造成的，所有這些都會影響著網(wǎng)絡(luò)的安全。當然，要延長硬件的壽命，最重要的一點就是要考慮到所有這些硬件的運行環(huán)境，如溫度，濕度等等。

（二）操作系統(tǒng)和軟件的漏洞和‘后門’

無論是WINDOWS操作系統(tǒng)還是UNIX操作系統(tǒng)，都存在著系統(tǒng)漏洞，更何況大部分人使用的都是盜版的操作系統(tǒng)，而正是這些漏洞的存在，黑客才有機可乘。而”后門”一般是程序員在設(shè)計時為了方便再進入系統(tǒng)和軟件的一個快捷通道，當任務(wù)完成后，這些“后門”很多時候仍然是打開的。如果這些后門被外人所知道，后果則是不堪設(shè)想的。當然有些“后門”是入侵者為了下次能再次進入系統(tǒng)而故意留下的，同時入侵者入侵后會消除入侵痕跡，所以“后門”一般不會被發(fā)現(xiàn)。

（三）內(nèi)部的威脅

實踐證明，70%以上的攻擊都是由內(nèi)部人員所引起的。除了內(nèi)部人員的安全意識不強，導致機密的泄露外，還有些內(nèi)部人員不滿公司，故意破壞內(nèi)部的網(wǎng)絡(luò)系統(tǒng)，售賣公司的機密情報等等。

（四）計算機病毒

隨著信息技術(shù)的發(fā)展，計算機病毒的發(fā)展速度也驚人，有的時候是先有病毒的發(fā)生，才有了防這種病毒的技術(shù)，而一旦電腦中毒，輕則占用資源，系統(tǒng)運行緩慢，重則數(shù)據(jù)丟失，系統(tǒng)崩潰，后果嚴重。

（五）木馬程序和黑客攻擊

黑客利用木馬程序，可以控制服務(wù)器端的電腦，不但可以提升自己的權(quán)限，進行非法訪問，還可以安裝非法軟件，獲取用戶的私密信息，帳戶和密碼等等。

（六）網(wǎng)絡(luò)監(jiān)聽

如果傳輸?shù)男畔⑹敲魑模]有進行加密，黑客可以利用SNIFFER等各種監(jiān)聽軟件獲取用戶傳輸?shù)男畔?，同時也可以利用軟件對傳輸?shù)男畔⑦M行篡改、刪除或插入等動作。

（七）網(wǎng)絡(luò)協(xié)議的缺陷

在建網(wǎng)的初期，設(shè)計時并沒有很多考慮到網(wǎng)絡(luò)的安全性，更多考慮的是網(wǎng)絡(luò)的連通性，所以無論是IPV4，還是TCP/IP，這些重要的協(xié)議本身就存在一定的安全隱患，很容易被竊聽和欺騙。

二、安全設(shè)計方案的需求分析

（一）要保證網(wǎng)絡(luò)的路由器等重要設(shè)備不受到入侵，而即使發(fā)生了入侵，也應該可以記錄到有入侵行為的發(fā)生，以便反跟蹤攻擊者，從而知道漏洞的存在，以便做好更好的防范。同時要有及時發(fā)現(xiàn)病毒和木馬的能力，減少危險。

（二）要有監(jiān)控流量的功能，從而可以了解用戶的上網(wǎng)情況，，禁止員工在正常的上班時間玩游戲，上不良網(wǎng)站，下載電影等現(xiàn)象，防止因個人大量的占用帶寬而影響網(wǎng)絡(luò)的的可靠和穩(wěn)定的運行。

（三）方案必須要有防火墻等設(shè)備，以便更好地設(shè)定訪問控制規(guī)則，禁止沒有權(quán)限的用戶訪問內(nèi)部網(wǎng)絡(luò)，同時也禁止某些用戶進行提權(quán)訪問。

三、安全的設(shè)計方案

（一）網(wǎng)絡(luò)規(guī)劃

整個網(wǎng)絡(luò)架構(gòu)可以劃分為核心層，匯聚層和接入層。性能最好的設(shè)備應放在核心層，同時最重要的防護也要放在核心層。布局核心層時，應采用雙備份的三層交換和光纖冗余，保證網(wǎng)絡(luò)的可靠性。根據(jù)安全程度，整個網(wǎng)絡(luò)可以分為外網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)。外網(wǎng)就是連接INTERNET的區(qū)域，這個區(qū)域最重要的就是能提供正常穩(wěn)定的網(wǎng)絡(luò)。而在DMZ區(qū)則是存放的是一些可以公開的服務(wù)器系統(tǒng)，可以讓外網(wǎng)的人訪問，如關(guān)于公司主頁的WEB服務(wù)器，還有郵件服務(wù)器和電子商務(wù)系統(tǒng)等等。而內(nèi)網(wǎng)存放的則是一些重要的單位機密信息，禁止外面的人訪問，如關(guān)于公司機密的數(shù)據(jù)庫服務(wù)器，內(nèi)部員工的重要信息等等。

（二）在重要的區(qū)域間安裝防火墻

防火墻技術(shù)是抵抗黑客入侵和防止未授權(quán)訪問的最有效手段之一，也是實現(xiàn)網(wǎng)絡(luò)安全最普遍的工具之一。它是隔離內(nèi)網(wǎng)與外網(wǎng)的一道安全的防護系統(tǒng)，也是網(wǎng)絡(luò)安全最基本的基礎(chǔ)設(shè)施。

一般公司安裝的都是價格較貴，但防范能力較強的硬件防火墻，防火墻種類較多，但現(xiàn)在一般會選用狀態(tài)檢測防火墻，結(jié)合了包過濾和應用防火墻的優(yōu)點。而防火墻的體系結(jié)構(gòu)一般會使用屏蔽主機結(jié)構(gòu)，它比堡壘主機結(jié)構(gòu)更安全。為了防止非授權(quán)用戶的訪問，更重要的是進行訪問控制策略的設(shè)置，從而保證重要區(qū)域的數(shù)據(jù)。

（三）在防火墻的后面安裝入侵檢測系統(tǒng)

入侵檢測技術(shù)是指可以對計算機和網(wǎng)絡(luò)資源的惡意使用行為可以監(jiān)測到，并能進行記錄和報警的一種技術(shù)，包括了網(wǎng)絡(luò)系統(tǒng)外部的入侵和內(nèi)部用戶的非法使用等行為，而進行入檢測的軟件和硬件的組合就是入侵檢測系統(tǒng)。

防火墻并不能完全保證網(wǎng)絡(luò)的安全，而且防火墻更重要的是防止外來人的入侵，對內(nèi)部人員的作案并不會檢測出來。而入侵檢測系統(tǒng)則可以發(fā)現(xiàn)內(nèi)部人員的非法訪問，是防火墻的一個補充。

入侵檢測系統(tǒng)的實現(xiàn)分為幾個步聚，首先進行數(shù)據(jù)收集，通過監(jiān)聽端口，就可以收集到所關(guān)心的報文。接著進行數(shù)據(jù)分析，一般會通過模式匹配，統(tǒng)計分析和完整性分析三種手段，根據(jù)三種模式的特點，來發(fā)現(xiàn)是否有異?；蛘吲c平時正常活動的特征偏離多少來進行判斷用戶是否違反安全策略，最后如果被認定異?；蚺c攻擊行為的特征相匹配，則會進行記錄和報警，并采取一定的措施，如斷網(wǎng)，發(fā)報告給管理者等等。

現(xiàn)在所安裝的入侵檢測系統(tǒng)一般都是采用主機和網(wǎng)絡(luò)型相結(jié)合的入侵檢測系統(tǒng)。在一些特別重的的服務(wù)器可以安裝主機型入侵檢測系統(tǒng)，有一些重要網(wǎng)絡(luò)的區(qū)域可以在交換機上連接網(wǎng)絡(luò)型入侵檢測系統(tǒng)。

（四）采用網(wǎng)絡(luò)防病毒技術(shù)

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。

計算機的病毒的危險性是很大的，輕則只是占用系統(tǒng)資源，讓機器運行緩慢，重則是可以破壞重要的數(shù)據(jù)，甚至可以毀壞計算機的硬件，如CIH病毒，所以防范病毒是必須的。個人一般是安裝個人版的殺毒軟件，如瑞星，360等等，但對于一間家公司來說，為了方便管理和維護，應該安裝的是網(wǎng)絡(luò)版殺毒軟件，可以定期統(tǒng)一進行更新病毒庫，也可以統(tǒng)一進行殺毒，當然更重要的是用戶必須要用安全意識，不要隨便上不良網(wǎng)站，不要隨意插U盤等等。

（五）使用掃描技術(shù)

黑客之所以可以入侵系統(tǒng)，是因為他先踩點，使用掃描技術(shù)掃描出在一片區(qū)域中有哪一臺機器存在漏洞，然后攻擊它，并可以使它成為“肉雞”，然后不斷去攻擊其他機器。所以，我們也可以使用安全掃描技術(shù)來關(guān)閉某些不需要開放的端口和服務(wù)，也可以找出本系統(tǒng)的漏洞，然后根據(jù)漏洞進行打補丁和進行安全配置操作系統(tǒng)。

（六）防止SNFIFFER嗅探，對數(shù)據(jù)進行加密

如果傳輸?shù)臄?shù)據(jù)是明文，黑客可以利用SNIFFER等軟件可以獲取你傳輸?shù)男畔?，如果獲取的內(nèi)容有帳號和密碼等信息，后果不堪設(shè)想。所以了為防范嗅探，我們可以對敏感數(shù)據(jù)進行加密，如使用SSH協(xié)議或者利用PGP軟件等。

（七）安裝用戶上網(wǎng)行為的監(jiān)控系統(tǒng)

為了提高工作效率，應該禁止員工在上班時間進行網(wǎng)上看電影，炒股，下載電影，通過監(jiān)控系統(tǒng)，杜絕個人大量地占用帶寬，必要的時候還可以進行限流的設(shè)置。

四、結(jié)語

在當今時代，網(wǎng)絡(luò)安全已和我們生活息息相關(guān)，設(shè)計一個安全的網(wǎng)絡(luò)方案是必須的，本方案更注重在內(nèi)網(wǎng)的防護進行了設(shè)計，該方案不僅適合各類單位，學校，而且也有一定的擴展性，即使網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，方案也會適合未來的發(fā)展需求。但更重要的是每一位使用者都必須要有安全意識，注意數(shù)據(jù)的備份，將風險降到最低。

參考文獻：

[1]安洛生. 網(wǎng)絡(luò)安全技術(shù)[M]. 國防科技大學出版社，2010.6

[2]李俊明. 網(wǎng)絡(luò)安全與黑客攻防寶典[M]. 電子工業(yè)出版社，2010.3

[3]于九紅. 網(wǎng)絡(luò)安全設(shè)計[M].華東理工大學出版社，2012.9

[4]劉伯仁，張海波.淺析計算機網(wǎng)絡(luò)安全的威脅及維護措施[j].中小企業(yè)管理與科技，2008（29）：12