网络安全深入思考

摘要：

本文根据信息网络安全内涵发生的根本变化，阐述了关于信息网络安全体系的重要性。文中还重点论述了网络安全技术的分类及其主要的技术特征。

关键词：

信息化；网络安全

随着信息化技术的不断发展，全世界信息资源的互联整合已经成为信息化发展的一个重要趋势。信息资源的互联整合必然需要一个稳定、安全的计算机网络环境作为载体，只有计算机网络自身不断的发展、完善，才能让其载体功能得到更好体现，才能更好的促进信息资源的互联整合。但由于计算机网络互联形式的多样性，就使得网络系统的硬件、软件及网络上传输的信息容易遭受到外来的攻击、破坏。人为的网络入侵和攻击行为使得网络安全面临新的挑战。因此，无论是局域网还是广域网，都存在着诸多因素的脆弱性和潜在威胁，这也使我们不得不将网络的安全措施提高到一个新的层次，以确保网络信息的保密性、完整性和可用性。

一、网络系统总体架构设计合理性分析

一个网络，能够安全正常运行的关键是整个网络系统的总体架构设计是否合理，而全面分析网络系统设计的每个环节，则是建立安全可靠的计算机网络工程的首要任务。应该在认真研究网络总体规划的基础上下大气力抓好网络运行质量的设计方案。为解除这个网络系统固有的安全隐患，可采取以下措施：

1．网络分层技术的应用从源头上杜绝了网络安全存在的隐患问题。局域网中以路由器为边界，基于中心交换机的访问控制和三层交换功能，使得网络的最底层终端汇聚接入层，再由汇入层交换机将网络汇聚接入核心层交换机，由核心层交换机进行网络控制，最终由路由器统一管理网络出口，增加了网络的安全性和冗错性。

2．采用物理与逻辑相互隔离的方法来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，防止数据被非法侦听、窃取，从而保证信息的安全畅通。

二、制定安全策略，加强计算机网络系统安全管理

1．加强网络管理员和网络硬件设施的管理，平时注意培养网络管理员风险控制意识，建立健全安全管理制度，禁止非相关网管人员进入机房控制室；注重保护计算机系统、网络服务器、网管系统、路由交换设备等硬件实体，通过安全保护系统验证用户的身份和使用权限，防止用户越权操作，确保计算机网络系统实体安全。

2．加强网络软件方面的管理，制定合理的安全访问策略。全面的访问控制策略是保障网络安全的重要保护策略，它的主要任务是保证网络资源能够被合法的授权用户通过制定的策略访问到，而不被其他的非授权用户非法使用和非法访问。各种安全控制策略必须相互配合，才能真正起到保护作用，下面我就重点介绍几种安全访问控制策略：

（1）用户访问控制策略。为了方便统一管理，我们可以将用户组分为:合法用户，非法用户和特殊用户。合法用户是我们允许访问网络资源的普通用户；非法用户是我们禁止访问网络资源的用户；特殊用户则是像系统管理员这样的用户，需要为他们分配特殊的操作权限，负责网络的安全控制与审查的用户。

（2）网络访问控制策略。我们可以将网络分为三层：接入层、汇聚层和核心层。接入层提供了第一层访问控制，在这一层允许合法授权的用户可以接入到网络，得到正确的访问接口。汇聚层则提供第二层的访问控制，将合理的网络请求送至核心层，经过核心层的路由策略，合法的用户就可以登录到网络服务器并获取相对应的网络资源。三个层次的网络策略中只要有任何一步未过，用户将被拒之门外。网管就可以对普通用户的账号使用、访问网络时间、方式进行管理，还能控制用户登录入网的站点以及限制用户入网的数量。

(3)信息加密策略。一般来说，敏感的数据信息在互联网传输过程中很容易被别有用心的人非法截获，为了保证数据的完整性和安全性，通常会对数据信息进行加密。网络加密常用的方法有端点加密、节点加密和线路加密三种。端点加密是对源端用户到目的端用户的数据提供保护；节点加密是对源节点到目的节点之间的传输线路提供保护。线路加密则是保护网络节点之间的线路信息安全。

(4)防火墙安全隔离策略。网络防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，因为它能够很好的将互联网和内部网进行安全隔离，所以就被广泛地应用于各种互联环境之中。在逻辑上，防火墙既是一个分离器，也是一个分析器，它能够有效地监控并分析Intranet和Internet之间的任何活动，从而保证内部网络的安全。

（5）监控日志策略。日志系统具有强大的综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录用户的各种操作行为，所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用，通过对日志所记录的内容进行分析，就能够获得该用户所执行操作的机器IP地址、操作类型、操作对象及操作执行时间等，以备日后审计核查之用。

三、建立完善的数据备份冗余机制

网络数据非常重要，大部分的数据都保存在存储设备中，为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。对于数据库和存储设备的备份方案，可以总结为以下两点：

1．基于数据库的备份方案：方案基本思路是建立一套备份服务器与中心服务器对等的数据库，中心数据库在产生数据库日志的同时，自动将日志文件传输到备份数据库，并将日志文件运行于该数据库,从而保证中心服务器数据库和备份服务器数据库的数据一致性。

2．基于存储设备的备份方案：方案基本思路是备份服务器配置与中心服务器完全相同的存储设备，通过相关的控制软件在两边的存储设备上实现数据的同步镜像，保证数据的一致性；此种备份方式是通过存储系统与主机系统分隔而实现的，因此可应用到多种系统平台上，是一种开放性的体系结构。要想保障内部网络的真正安全，必须要有有效安全策略的结合，落实好各种安全性的策略对于保障网络安全十分重要，只有将安全策略落实到实处，才能让网络漏洞无处遁形，才能不让别有用心的人钻到网络的空子，才能保证网络的真正安全。

作者：胡砚清 单位：连云港市检察院技术处