网络安全管理的六要素

【中图分类号】TP39　3.08

【文献标识码】A

【文章编号】1672—5158（2012）10-0389-02

计算机网络的现状是面临着多方面的攻击与威胁。第一种威胁的表现形式为伪装，指的就是威胁源在特定时刻装扮成另一个实体的形式，并借助这个实体的权利进行操控；第二种威胁的表现形式为非法连接，指的是威胁源利用非法的手段建立一个合法的身份，再通过将网络实体与网络源两者之间建立非法的连接一达到最终的目的；第三种威胁的表现形式为非法授权访问，指的就是威胁源采用一定的手段破坏访问并控制服务，最终实现了越权访问；第四种威胁的表现形式为拒绝服务，指的是通过一定手段的利用阻止合法的网络用户或者拥有其他合法权限的用户使用某项服务；第五种威胁的表现形式为信息泄露，指的是没有经过授权的实体通过某种特定手段获取到信息后造成的某些信息的泄露；最后一种威胁的表现形式为无效的信息流，即为对正确的信息序列进行非法修改、删除的操作，使之成为无效信息的非法手段。上述种种威胁的形成原因大多数是人为造成的，威胁源可以来自于用户，也可以来自于部分程序，也可以来自于某些潜在的威胁等。所以加强对于计算机网络安全的管理和研究的目的就是最大限度消除这些威胁。

一、是要提高硬件建设水平

加大技防投资力度；二是要提高管理人员水平，从建立领导组织体系、落实内控制度、强化日常操作管理入手，管理好网络系统，使被保护信息的价值与保护成本达到平衡。

通常，计算机网络信息系统安全包括实体安全、信息安全、运行安全和人员安全。对于有关单位网络而言，在其安全体系架构过程中，由于有关单位业务、管理体制的不断变化，加上攻击手段层出不穷，使得对于网络系统安全风险点的分析存在不确定性。如果对局域网的管理不到位，掉线、网络堵塞、无法快速上网、受攻击等问题将屡屡出现，将对网络整体安全构成巨大隐患，进一步加强网络管理十分必要。安全规划和整体策略框架的确定比较困难，因此应遵循需求、风险、代价平衡的原则。对于任何信息系统来说，不可能达到绝对安全，因此我们必须对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范并确定安全策略，使被保护信息的价值与保护成本达到平衡。

应该建立具有一个多重保护功能的安全系统，各层保护相互补充，当一层保护被攻破时，其他层保护仍可保护信息的安全。网络的安全性问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是最终目的。就网络信息安全而言，首先是信息的保密性，其次是信息的完整性。

二、提高管理人员水平

现在，一些基层单位在局域网建设中存在重建轻管现象，不同程度地存在着对信息安全的防范意识不强、管理硬件不到位、网络疏于管理等问题，这些将直接影响人行局域网的正确使用的现象应当引起高度重视。

1　建立领导组织体系。要将计算机网络管理及风险防范纳入行长的工作日程，就必须成立相应的领导组织，明确权利责任，做好对网络安全运行领导、检查和监督工作。要研究网络安全防范技术，找出易发问题的部位和环节，进行重点管理和监督，各相关职能部门要形成合力加大对计算机网络风险管理力度。

2　落实内控制度。建立健全各项计算机网络安全管理和防范制度，完善业务的操作规程；加强网络要害岗位管理，建立和不断补充完善要害岗位人员管理制度；加强内控制度的落实，严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗，做到专机专用、专人专管、各负其责。

3　强化日常操作管理。加强网管操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限，实现权限等级管理，严禁越权操作，密码强制定期修改，数据输入检查严密，尽量减少人工操作机会，防止非法使用网络系统资源。严禁在网络上放置和与业务系统无关信息，及时清除各种垃圾文件，对一切操作要有记录，以防误操作损坏网络系统或业务数据。做好数据备份，确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机备份，双机备份要求主机型号必须相同，每套系统控制外设的能力要一致；数据传输、保存过程中对涉及机密的数据信息首先要加密，然后再传输、存储。

三、完善网络安全认证体系

首先表现为安全服务系统的建立。

第一，身份认证。身份认证作为访问控制的基础，是解决主动攻击威胁的重要防御措施之一。因为验证身份的方式一般采用网络进行的模式而不是直接参与，而且常规验证身份的方式在网络上也不是十分地适用，同时大量的黑客还会随时随地以冒名顶替的身份向网络渗透，所以网络环境下的身份认证特别复杂，而“身份认证如果想要做到准确无误地对来访者进行辨别，同时还必须提供双向的认证”1，必须采用高强度的密码技术来进行身份认证的建立与完善。

第二，访问控制。进行访问控制是为了达到控制不同的用户对信息资源的访问权限的目的，实质上是针对越权使用资源的一种防御措施。而访问控制的种类亦可从方式上分为自主式访问控制和强制式访问控制两类。实现的机制可以是通过对访问属性控制的访问控制表的控制，也可以是根据安全标签、用户分类以及资源分档等三类控制实现的多级控制。

第三，数据保密。数据保密是为了防止信息泄露所采取的防御措施。数据加密是最为常见的确保通信安全的手段，但是随着计算机网络技术的迅猛发展，传统的加密方法不断地被用户以及黑客们破译，所以不得不加强对更高强度的加密算法的研究，以实现最终的数据保密的目的。

第四，数据完整性。所谓的数据完整性是针对那些非法篡改信息、文件及业务流等威胁而采取的较为有效的防范措施。实质上就是保护网上所传输的数据防以免其被修改、替换、删除、插入或重发，从而全面保护合法用户在接收和使用该数据时的真实性与完整性。

木马的危害，在于它能够远程控制你的电脑。当你成为“肉鸡”的时候，别人（控制端）就可以进入你的电脑，偷看你的文件、盗窃密码、甚至用你的QQ发一些乱七八糟的东西给你的好友。木马危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。本文就是从这一环节入手，阻止木马建立用户。这样，即便你的电脑已经感染了木马病毒，但是由于不能建立用户，木马就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。

四、加强防火墙建设

这块十多年来网络防御的基石，如今对于稳固的基础安全来说，仍然十分需要。如果没有防火墙屏蔽有害的流量，那么企业保护自己网络资产的工作就会成倍增加。防火墙必须部署在企业的外部边界上，但是它也可以安置在企业网络的内部，保护各网络段的数据安全。在企业内部部署防火墙还是一种相对新鲜但却很好的实践。之所以会出现这种实践，主要是因为可以区分可信任流量和有害流量的任何有形的、可靠的网络边界正在消失的缘故。旧有的所谓清晰的互联网边界的概念在现代网络中已不复存在。最新的变化是，防火墙正变得越来越智能，颗粒度也更细，能够在数据流中进行定义。如今，防火墙基于应用类型甚至应用的某个功能来控制数据流已很平常。举例来说，防火墙可以根据来电号码屏蔽一个SIP语音呼叫。

五、使用安全路由器

（FW、IPS、QoS、VPN）——路由器在大多数网络中几乎到处都有。按照惯例，它们只是被用来作为监控流量的交通警察而已。但是现代的路由器能够做的事情比这多多了。路由器具备了完备的安全功能，有时候甚至要比防火墙的功能还全。今天的大多数路由器都具备了健壮的防火墙功能，还有一些有用的IDS／IPS功能，健壮的QoS和流量管理工具，当然还有很强大的VPN数据加密功能。这样的功能列表还可以列出很多。现代的路由器完全有能力为你的网络增加安全性。而利用现代的VPN技术，它可以相当简单地为企业WAN上的所有数据流进行加密，却不必为此增加入手。有些人还可充分利用到它的一些非典型用途，比如防火墙功能和IPS功能。打开路由器，你就能看到安全状况改善了很多。

六、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如dos（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。

与直接连接到Interet相比，使用服务器能保护上网用户的IP地址，从而保障上网安全。服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，服务器首先截取用户的请求，然后服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用服务器后，其它用户只能探测到服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费服务器的网站有很多，你也可以自己用猎手等工具来查找。