计算机网络与信息安全实践

2023-10-18 理论教育版权反馈

【摘要】：（一）计算机网络信息安全体系应用的一般策略1.实体安全策略要采取一些保护计算机设备、设施以及其他媒体免受水灾、火灾、有害气体和其他环境事故破坏的措施、过程。形成一支自觉性高、遵纪守法的技术人员队伍，是计算机网络安全工作的又一重要环节。尤其是用户授权管理机制，其严密性将影响整个信息系统的安全性。因此，必须采取必要的手段，使得在广域网上的信息传输是安全的。

（一）计算机网络信息安全体系应用的一般策略

1.实体安全策略

要采取一些保护计算机设备、设施（含网络、通信设备）以及其他媒体免受水灾、火灾、有害气体和其他环境事故（如电磁污染）破坏的措施、过程。这是整个信息系统安全运行的基本要素。

尤其是机房的安全措施，计算机机房建设应遵循国标GB2887-89《计算机场地技术条例》和GB9361-88《计算机场地安全要求》，满足防火、防磁、防水、防盗、防电击、防虫害等要求，配备相应的设备。

2.运行安全策略

为保障整个系统功能的安全实现，需要一套行之有效的安全措施，来保护信息处理过程的安全，其中包括：风险分析、审计跟踪、备份恢复、应急等。制定必要的、具有良好可操作性的规章制度，去进行制约，是非常必要和重要的，而且是非常紧迫的。

形成一支自觉性高、遵纪守法的技术人员队伍，是计算机网络安全工作的又一重要环节。要强化计算机系统的安全管理，加强人员教育，来严格有效地制约用户对计算机的非法访问，防范非法用户的侵入。只有严格的管理，才能把各种危害遏止最低限度。

3.信息安全措施

数据是信息的基础，是企业的宝贵财富。信息管理的任务和目的是通过对数据采集、录入、存储、加工，传递等数据流动的各个环节进行精心组织和严格控制，确保数据的准确性、完整性、及时性、安全性、适用性和共享性。

制定良好的信息安全规章制度，是最有效的技术手段。而且不仅仅是数据，还应把技术资料、业务应用数据和应用软件包括进去。

（二）内部网络安全策略

1.针对局域网采取的安全策略

由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。这就是局域网固有的安全隐患。

为了解决这个问题，采取了以下措施：

（1）网络分段

由于局域网采用以交换机为中心、路由器为边界的网络格局，又基于中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，这是一重要的措施。

（2）以交换式集线器代替共享式集线器

由于部分网络最终用户的接入是通过集线器而不是交换机，而使用最广泛的集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所侦听。如一种危险的情况是用户TELNET到一台主机上，由于TELNET程序本身缺少加密功能，用户所键入的每一个字符（包括用户名、密码、关键配置等重要信息），都将被明文发送，这就是一个很大的安全隐患。

因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。

（3）VLAN（虚拟局域网）的划分

采取划分VLAN的方法，进一步可以克服以太网的广播问题。

目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLANO基于交换机端口的VLAN虽然稍欠灵活，但却比较成熟，在实际使用中较多，且效果显著。

在集中式网络环境下，可以将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。(www.chuimin.cn)

2.服务器端的安全策略

在客户/服务器结构中，客户端的重要性是显而易见的。虽然客户/服务器系统的安全已比较成熟，然而这种安全体系统中还有其潜在问题，尤其是在一个复杂系统中，由于存在着大量的数据库实体及拥有不同操作权限的用户，存在多个用户对数据库实体的操作可以是增、删、改、查的任意组合。因此，即使用角色或工作组的方式为其授权，也会显得相当复杂，甚至存在着严重的安全漏洞。

针对这些情况，可以采取以下措施：

（1）内核级透明代理

与传统的客户/服务器安全模式不同，该方案所采取的解决措施是每个数据库应用只建立一个真正的数据库账号，他具有对系统应用所涉及的所有数据实体进行操作的全部权限。与此同时，为每一位系统操作人员分别创建了一个“应用系统账号”，用户账号的创建通过执行编写的程序实现。

这种安全体系使得应用系统成为数据库的用户，而应用系统的所有操作人员包括系统管理员则是数据库的间接用户；换言之，应用系统除了完成其应用逻辑之外，还将系统用户和数据库彻底隔离开来，成为数据库的一道坚固的“防火墙”由于在这种安全体系中，真正的数据库账号泄露及扩散的可能性几乎为零，所有的用户必须通过应用系统这一“单点”访问数据库，所以可以得出结论只要应用程序是安全、可靠的，则整个系统是安全可靠的。

（2）增强用户授权机制

由于在这种安全体系中，应用系统成为隔离用户和数据库的防火墙，其本身就必须具备相当的安全特性。尤其是用户授权管理机制，其严密性将影响整个信息系统的安全性。软件实现上可根据实际需求选择不同的安全粒度，如记录级、文件级、信息级达到安全性。

（3）智能型日志

日志系统具有综合性数据记录的功能和自动分类检索能力。日志所记录的内容有用户名、登录的IP地址、登录时间等，以备日后审计核查用。

（4）完善的备份及恢复机制

日志能记录非法操作，然而要真正使系统从灾难中恢复出来，还需要一套完善的备份方案及恢复机制。对于防止存储设备的破坏，服务器可采用可热插拔的SCSI硬盘，以RAID5的方式进行系统的实时热备份。在需要跟踪追溯数据丢失或破坏事件的全部信息时，则将系统日志与备份数据有机地结合在一起真正实现系统的安全性。

（三）广义网络的安全策略

由于广域网采用公网来进行数据传输，信息在广域网上传输时被截取和利用就比局域网要大得多。因此，必须采取必要的手段，使得在广域网上的信息传输是安全的。

1.加密技术的运用

加密技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络的数据加密来保障网络的安全可靠性。数据加密技术分为对称密钥加密技术和非对称密钥加密技术。

2.VPN（虚拟专网）技术的运用

VPN技术的核心是采用隧道技术，将企业专用网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃取。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低。

（四）针对外网采取的安全策略

这里所指的外网，是指信息系统中与Internet的互联和外部一些企业用户部分。

因为采用的是基于TCP/IP协议族，Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是由于在早期网络协议设计上对安全性的忽视，致使Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁。

外网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

计算机网络与信息安全实践

相关推荐