計(jì)算機(jī)網(wǎng)絡(luò)管理及安全技術(shù)探析

林強(qiáng) 張志強(qiáng)

如今計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為了人們生活中不可或缺的一部分，如：在家網(wǎng)上購物、通過支付寶和微信快捷支付、電子金融以及專業(yè)大型網(wǎng)絡(luò)等。這些應(yīng)用的發(fā)展都依賴計(jì)算機(jī)網(wǎng)絡(luò)，因此網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、可靠性就顯得至關(guān)重要，因此網(wǎng)絡(luò)管理應(yīng)運(yùn)而生?，F(xiàn)代信息技術(shù)發(fā)展迅速，信息化水平不斷加快，網(wǎng)絡(luò)犯罪活動(dòng)也日益增長(zhǎng)，網(wǎng)絡(luò)安全隱患日益突出，網(wǎng)絡(luò)安全問題需要引起人們的高度重視。本文從當(dāng)今社會(huì)人們?nèi)粘?yīng)用的互聯(lián)網(wǎng)系統(tǒng)安全出發(fā)，分析了一些常見的系統(tǒng)安全維護(hù)措施。

互聯(lián)網(wǎng)的快速發(fā)展帶來了很大便利，同時(shí)也帶來了很多網(wǎng)絡(luò)安全方面的問題，如網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬、黑客和病毒攻擊等網(wǎng)絡(luò)安全隱患。為確保計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性，特別是計(jì)算機(jī)數(shù)據(jù)安全，人們采用了諸如代理服務(wù)器、防火墻技術(shù)以及入侵檢測(cè)技術(shù)等來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全，但即使這樣，計(jì)算機(jī)網(wǎng)絡(luò)信息的管理還是面臨著巨大的挑戰(zhàn)性。計(jì)算機(jī)網(wǎng)絡(luò)管理中，影響網(wǎng)絡(luò)安全的因素包括：①計(jì)算機(jī)網(wǎng)絡(luò)方面，做好對(duì)網(wǎng)絡(luò)服務(wù)器的管理工作，就不會(huì)給企業(yè)帶來損失，網(wǎng)絡(luò)管理環(huán)節(jié)至關(guān)重要;②軟件方面，軟件本身不可避免地存在一定漏洞，會(huì)給黑客留下攻擊的機(jī)會(huì)，需要管理員及時(shí)對(duì)網(wǎng)絡(luò)存在的漏洞進(jìn)行修復(fù)，避免不必要的損失;③網(wǎng)絡(luò)安全維護(hù)人員意識(shí)差，有些網(wǎng)絡(luò)的安全管理人員意識(shí)不到高，這也容易導(dǎo)致網(wǎng)絡(luò)受到攻擊甚至癱瘓，影響了企業(yè)的正常辦公。

常用網(wǎng)絡(luò)安全技術(shù)

防火墻技術(shù)

防火墻可以有效控制網(wǎng)絡(luò)的訪問，在不同網(wǎng)絡(luò)之間建立起一個(gè)安全屏障，保護(hù)內(nèi)部的局域網(wǎng)不受外界網(wǎng)絡(luò)環(huán)境的影響。防火墻的設(shè)置至關(guān)重要，可將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)切斷、限制網(wǎng)絡(luò)之間的訪問，達(dá)到保護(hù)局域網(wǎng)的目的。

防火墻的主要目的是對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)，以防止其他網(wǎng)絡(luò)的影響，符合安全策略的數(shù)據(jù)流才允許穿過防火墻。防火墻具有以下基本功能：控制對(duì)網(wǎng)點(diǎn)的訪問和封鎖網(wǎng)點(diǎn)信息的泄漏;限制被保護(hù)子網(wǎng)的暴露;具有審計(jì)作用;強(qiáng)制安全策略。

從防火墻的工作模式來說，可分為3種類型：包過濾防火墻、狀態(tài)檢測(cè)防火墻和應(yīng)用代理防火墻。防火墻網(wǎng)絡(luò)結(jié)構(gòu)大致分為4種：屏蔽路由器結(jié)構(gòu)、屏蔽路由器+堡壘主機(jī)結(jié)構(gòu)、屏蔽路由器+雙宿主堡壘主機(jī)結(jié)構(gòu)、雙DMZ網(wǎng)絡(luò)。防火墻網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

數(shù)據(jù)加密技術(shù)

信息加密技術(shù)是指利用數(shù)學(xué)手段對(duì)信息進(jìn)行保護(hù)，防止信息泄露。網(wǎng)絡(luò)傳輸過程中，信息可能會(huì)受到非法竊聽，存在風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)信息進(jìn)行加密處理十分重要，傳統(tǒng)加密方法包括：①替換密碼，在替換密碼中，每個(gè)字母被另一個(gè)字母所取代，在密文中將明文偽裝起來。②置換密碼，它不更改明文中的字母，而是對(duì)字母進(jìn)行重新排序，形成新的密文。

高級(jí)加密標(biāo)準(zhǔn)

高級(jí)加密標(biāo)準(zhǔn)（AES）是20世紀(jì)90年代采用的一種標(biāo)準(zhǔn)化區(qū)塊加密標(biāo)準(zhǔn)，被用來替代原有的DES加密標(biāo)準(zhǔn)。AES是一種對(duì)稱密鑰標(biāo)準(zhǔn)，采用Rijndael分組加密算法實(shí)現(xiàn)，分組長(zhǎng)度必須是128位，支持128、192或者256位密鑰。

入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)由探測(cè)器和控制臺(tái)兩部分組成。探測(cè)器主要功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)其進(jìn)行分析，發(fā)現(xiàn)可疑事件時(shí)向控制臺(tái)發(fā)送報(bào)警信息，通過控制臺(tái)的圖形界面可進(jìn)行數(shù)據(jù)查詢、查看報(bào)警及配置傳感器等操作。部署方法如下：

探測(cè)器在網(wǎng)絡(luò)中有3種部署方式：①將探測(cè)器直接連接到交換機(jī)的某個(gè)端口（監(jiān)控端口上），然后通過交換機(jī)mirror功能，將所有流經(jīng)交換機(jī)端口的數(shù)據(jù)包復(fù)制到監(jiān)控端口，檢測(cè)探測(cè)器在監(jiān)控端口進(jìn)行分析處理流經(jīng)交換機(jī)的數(shù)據(jù)包。②探測(cè)器通過一個(gè)TAP設(shè)備獲取、分析和處理交換機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)包。分路器可以插入到半/全雙工的10/100/1 000 Mbit/s網(wǎng)絡(luò)鏈路中，將這條鏈路的全部數(shù)據(jù)信息復(fù)制給探測(cè)器。③在網(wǎng)絡(luò)中增加一臺(tái)集線器改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過集線器獲取數(shù)據(jù)包。

常見部署方法有如下4種方式：①部署在內(nèi)部。通過查看入侵檢測(cè)系統(tǒng)報(bào)警信息，管理員可以分析和判斷哪些攻擊對(duì)系統(tǒng)安全威脅最大。同時(shí)，根據(jù)攻擊報(bào)警信息，調(diào)整防火墻的安全策略，對(duì)已知的攻擊行為進(jìn)行阻斷。②部署在外部。管理員可以了解來自外部網(wǎng)絡(luò)的攻擊行為，當(dāng)入侵檢測(cè)系統(tǒng)與防火墻實(shí)施聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。③在防火墻內(nèi)外都部署入侵檢測(cè)系統(tǒng)探測(cè)器。這種部署可以同時(shí)檢測(cè)到來自內(nèi)、外網(wǎng)的攻擊，管理員能夠全面了解網(wǎng)絡(luò)面臨的威脅。④將入侵檢測(cè)系統(tǒng)探測(cè)器部署在其他位置。如安裝在內(nèi)部網(wǎng)絡(luò)中的重要網(wǎng)段上，對(duì)該網(wǎng)段中的所有連接進(jìn)行監(jiān)控;或安裝在不同安全與域的2個(gè)子網(wǎng)之間，監(jiān)控、分析2個(gè)子網(wǎng)之間的所有連接。構(gòu)如圖2所示。

網(wǎng)絡(luò)安全掃描技術(shù)

網(wǎng)絡(luò)安全掃描技術(shù)分為主機(jī)安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)中的端口掃描技術(shù)和漏洞掃描技術(shù)使用最為廣泛;主機(jī)安全掃描技術(shù)利用一些腳本文件模擬來記錄系統(tǒng)的反應(yīng)，進(jìn)而發(fā)現(xiàn)其存在的漏洞。

網(wǎng)絡(luò)安全掃描技術(shù)可以通過互聯(lián)網(wǎng)檢測(cè)目標(biāo)主機(jī)的安全性，遠(yuǎn)程知道服務(wù)器的端口分配情況、存在的安全漏洞隱患以及各類的協(xié)議，及時(shí)評(píng)測(cè)出目標(biāo)主機(jī)所在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，數(shù)據(jù)的安全性得到了保障，并可以及時(shí)修復(fù)網(wǎng)絡(luò)安全漏洞，避免不必要的數(shù)據(jù)泄漏。

網(wǎng)絡(luò)安全策略

如果計(jì)算機(jī)網(wǎng)絡(luò)存在安全隱患，不法分子會(huì)利用不同的攻擊手段，竊取或修改目標(biāo)主機(jī)中的信息，也可以通過網(wǎng)絡(luò)監(jiān)聽手段獲取用戶的賬號(hào)和密碼，因此人們應(yīng)該逐漸重視網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全策略主要包含物理安全策略和虛擬專用網(wǎng)技術(shù)策略，現(xiàn)代網(wǎng)絡(luò)安全策略注重安全的時(shí)代性，所以，安全策略的設(shè)計(jì)也應(yīng)該與時(shí)俱進(jìn)。

物理安全策略

物理安全策略是在物理介質(zhì)層面上把網(wǎng)絡(luò)信息進(jìn)行安全保護(hù)，使得主機(jī)系統(tǒng)、網(wǎng)絡(luò)后臺(tái)服務(wù)器等不受破壞，增加用戶訪問權(quán)限的驗(yàn)證，可以有效保障主機(jī)系統(tǒng)良好工作，避免數(shù)據(jù)的泄露。

可通過設(shè)置主機(jī)本地安全策略中的安全選項(xiàng)來增加安全級(jí)別，設(shè)置密碼有效期、及時(shí)更改密碼來增加安全性。網(wǎng)絡(luò)安全管理員應(yīng)及時(shí)關(guān)注主機(jī)網(wǎng)絡(luò)的運(yùn)行環(huán)境，做到對(duì)所有安全策略指標(biāo)有全面詳細(xì)地了解，做好安全策略定期數(shù)據(jù)備份，控制好用戶訪問權(quán)限，禁止非授權(quán)用戶訪問目標(biāo)主機(jī)。

虛擬專用網(wǎng)技術(shù)策略

虛擬專用網(wǎng)（VPN）技術(shù)可利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)建立安全方便的專業(yè)通信網(wǎng)絡(luò)，就是在公共數(shù)據(jù)網(wǎng)上建立屬于自己的專屬網(wǎng)絡(luò)。VPN在公用的網(wǎng)絡(luò)之間建立虛擬的專用通道，初始化隧道后，VPN數(shù)據(jù)的安全性通過加密技術(shù)得到保護(hù)，其主要是采用tunneling，encrypt ion&decryption，keymanagement等技術(shù)。由于VPN技術(shù)可擴(kuò)展性強(qiáng)、建立方便、安全性高、成本低且易于管理，已經(jīng)逐漸成為普遍的技術(shù)。VPN拓?fù)浣Y(jié)構(gòu)如圖3所示。

網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

目前，網(wǎng)絡(luò)安全技術(shù)發(fā)展還不是很成熟，安全防護(hù)手段有其特定的防護(hù)范圍，有的防護(hù)技術(shù)在疊加過程中還會(huì)起到相反的作用，合理地建設(shè)網(wǎng)絡(luò)安全防護(hù)體系成為了關(guān)鍵。網(wǎng)絡(luò)安全技術(shù)未來的發(fā)展，無論在防火墻、數(shù)據(jù)加密，還是在入侵檢測(cè)、網(wǎng)絡(luò)安全掃描等技術(shù)方面，都會(huì)逐漸完善，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)會(huì)變得越來越成熟。

就目前我國(guó)網(wǎng)絡(luò)安全技術(shù)的發(fā)展來看，雖然已經(jīng)形成了一定的安全體系，但是此體系還不能滿足網(wǎng)絡(luò)安全的需要，只有不斷做好網(wǎng)絡(luò)的安全管理工作，與時(shí)俱進(jìn)、未雨綢繆，才能不讓病毒、木馬等有可乘之機(jī)?，F(xiàn)在是信息化的時(shí)代，網(wǎng)絡(luò)的應(yīng)用對(duì)生活的影響越來越大，人們很多事情都要通過網(wǎng)絡(luò)平臺(tái)來進(jìn)行，網(wǎng)絡(luò)給生活帶來便利的同時(shí)，也給帶來很多風(fēng)險(xiǎn)，我們必須加強(qiáng)網(wǎng)絡(luò)安全管理，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，保護(hù)好自己的信息安全。