计算机网络安全管理实施与对策.docx

《计算机网络安全管理实施与对策.docx》由会员分享，可在线阅读，更多相关《计算机网络安全管理实施与对策.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络安全管理实施与对策 摘要 在信息化快速推动的今日，网络技术发展日新月异，网络应用越来越广泛，日益受到人们的重视。政府、军队的核心机密和重要数据、企业的商业机密、个人重要信息都存储在网络计算机中，保证网络正常运行，爱护数据的平安性，成为人们关注的重点。网络平安问题已成为当今计算机领域中最重要的探讨课题之一。本文主要针对目前网络存在的平安问题，探讨计算机网络平安管理实施对策。 关键词 网络； 平安； 防火墙； 包过滤； 密钥； 平安套接字 doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2022 . 19. 051 中图分类号 TP311.5 文献标

2、识码 A 文章编号 1673 - 019419- 0092- 03 1 概 述 在人类进入信息时代的今日，计算机技术与通信技术已趋于成熟，人们对计算机网络已不生疏。作为信息社会的基础设施的计算机网络渗透到了社会的各个方面，如政府部门、商业、军事、教化和科研等领域都离不开网络技术的支持1-2。随着信息社会对计算机网络的依靠程度越来越高，对网络的平安管理也提出了更高的要求3。 随着时代的进步和科技的发展，不同国家和地区的人们在网络上开展多种多样的应用与服务；同时出于各种目的盗用资源、窃取机密、破坏网络的人也越来越多，商业、政府、军事部门的很多重要信息在传输、存储的过程中，有可能被窃听、篡改和破坏4

3、。另外，计算机网络系统本身存在的平安漏洞，使它常常成为被攻击的对象，导致整个网络的瘫痪。平安问题已经成为影响网络应用发展的主要问题之一，并干脆威逼着国家和社会的平安5。 计算机网络平安问题从技术上涉及网络系统的各个层次；从管理上涉及用户、管理员及整个网络平安策略的制定；从用户需求上主要是数据传输和存储过程中的通信平安问题；从网络运营者的角度还包括网络资源的运用授权、抵挡攻击等6。详细地说，网络面临的平安威逼包括窃听、篡改与重发、假冒、抵赖以及其他恶意攻击，如计算机病毒、计算机蠕虫和特洛伊木马等7。 为解决各种网络平安问题，应供应肯定的平安服务以保证数据通信的平安和网络自身的牢靠运行。因此，网络

4、平安管理有两层含义，即网络平安管理和平安的网络管理。网络平安管理要确保各被管资源，包括路由器等互连设备和主机、服务器等端系统及网络服务本身的平安和它们之间的数据通信平安。另一方面，网络的信息存储和传输的管理与限制对网络运行和管理至关重要，一旦出现信息泄露、篡改和被伪造，会给网络造成灾难性的破坏，这要求网络管理采纳相应的措施和技术确保自身的平安。 本文首先说明白实施网络平安管理的过程，然后从保证网络平安和网络管理系统平安的角度论述计算机网络平安管理的实施及所采纳的对策。 2 网络平安管理过程 要实现网络平安管理，须要4个管理过程：首先，应确定所要爱护的敏感信息；然后，找出敏感信息的网络访问点；采

5、纳各种平安策略对网络访问点进行爱护；最终，定期对网络访问点进行检查，以维护网络平安。 2.1 确定所要爱护的敏感信息 实现网络平安管理的第一步就是要确定网络中哪些主机上有敏感信息。对于多数网络用户来说，敏感信息一般包括账户、财政、顾客、市场、工程和雇员信息等。对于网络管理部门来说，网络的运行状态信息、供应的网络服务、网络传输协议运用的服务端口是要爱护的敏感信息。在应用中，每个特定的网络环境都会有其特定的敏感信息。 另外，网络地址、名字、操作系统版本、运行时间等看似无关紧要的信息，也会存在着影响平安管理的漏洞。大多数公司的网络管理者都不希望外部人员了解其内部网络有关信息，如拓扑结构、子网划分、I

6、P地址安排等，都采纳网络防火墙技术来解决这一问题。 2.2 网络访问点 网络管理中，不但知道了要爱护的数据信息、网络服务和存放主机的位置，还要知道其他网络用户如何访问信息和如何访问相应主机。在网络平安管理中，需常对网络设备和主机的全部网络服务进行检查，尤其是用户远程登录服务和文件传输服务。主机向用户供应远程登录服务，用户可在主机上进行权限范围内的操作。假如系统不能识别用户，或不能将用户的操作权限限制，就会对网络平安带来担心全因素，可能导致主机上的敏感信息被破坏，严峻的可能让恶意用户攻击整个网络上的主机。 网络中还有的主机供应文件传输服务，由于存在匿名登录用户选项，允许网络用户以用户名“anon

7、ymous”登录和操作，从而不须要密码，这种登录方式会给文件系统带来毁灭性的灾难。对于供应文件传输服务的主机，网络管理者要当心限制可以访问书目应包括什么信息和“anonymous”用户的操作权限。 另外，对于WWW访问服务、电子邮件、远程过程调用、域名服务等可以供应进入主机和进入网络的服务访问点，都须要供应有效的平安爱护。 2.3 网络访问点爱护方法 要实现网络平安管理，需采纳各种平安技术对网络访问点进行牢靠的爱护。常用的网络平安爱护措施主要有以下几种： 2.3.1 数据加密技术 数据加密其最常用、最有效的平安爱护机制。数据在网络中传输时对其进行加密，即由明码改为密码，接收方要通过解密才能看到

8、原始信息，这样可阻挡对敏感信息的非法访问8。 网络中，具有固定密钥的加密机制有被破译的可能性，在一个既定规则的基础上，常常变更加密密钥和解密密钥可进一步提高数据的平安性。 2.3.2 包过滤技术 在网络中，路由器、交换机、网桥等设备担负着转发网络数据的重要任务。包过滤就是在转发功能的基础上依据发送或接收数据包的网络设备的网络地址或媒体访问限制地址对数据包进行检查并过滤来自担心全主机的数据，从而有效地爱护网络的平安。 由于包过滤机制是通过网络设备的网络地址或MAC地址来完成的，网络设备地址或MAC地址发生变更，相应的过滤机制也要发生变更。假如主机的地址变更了而用户并不知道，那么过滤机制就不再有效

9、。在网络中，若要爱护的主机许多，过滤规则会过于困难，那么设备的转发效率和速度就会大大降低，影响网络的性能。 2.3.3 主机认证 主机认证方法就是检查发起恳求的源主机的标识符，以确定是否允许源主机访问本地的某一网络服务。标识符通常是网络地址，即IP地址或MAC地址。 主机认证对授权的主机或某一地址范围内的计算机供应相应的网络服务，没有授权的主机则拒绝。但主机认证不能有效地应付恶意用户的“源地址欺瞒”，即用非法主机借用经过授权的网络地址来访问网络。因此，对一台供应敏感信息访问服务的计算机来说，仅知道源主机的标记符并不意味着就可以平安地进行通信。 2.3.4 用户认证 用户认证是一种网络访问点平安

10、爱护的方式，它使设备能在用户登录之前验明用户的身份，具有合法身份的网络用户才能运用网络，具有比主机认证更高平安程度的登录限制。 网络中用来验证运用者常见的方法是用户名/口令，虽说对平安有效，但通常密码会被人通过技术手段和重复尝试而获得，造成系统的担心全。 2.3.5 密钥认证 密钥认证就是给合法用户分发密钥，其要依靠网络上的密钥服务器来实现。网络中某一项服务被恳求时，源计算机向密钥服务器恳求密钥，则服务器要求用户输入用于认证合法性的密钥，这样密钥服务器既能识别源计算机，又能识别要求服务的用户。只有在访问恳求时伴有合法密钥，目的计算机才会允许服务。 在密钥认证服务中，密钥服务器是关键。密钥服务器

11、的正确配置和管理也是极其重要的，在网络中并不是简洁地安装一个密钥服务器就可以运用密钥认证了，要对全部的应用和服务进行修改，以容纳运用密钥服务器。 2.4 定期检查 维护网络平安，除了采纳技术防护措施外，还要定期检查全部的平安访问点。 网络管理者可利用平安管理工具来监视全部对网络服务的访问，并记录下可能的平安问题。另外，网络管理者也可用有关的网络平安攻击程序来检查自己网络的平安问题，用于确定可能或实际存在的平安漏洞。 还有，对网络运行状态进行监视，通过对网络服务访问来判定是否有用户攻击，若存在攻击要刚好实行措施。做好数据传输的保密工作，对网络中敏感信息的传输，特殊是密码信息的传输，要尽可能实行加

12、密机制。 3 网络管理系统平安 网络系统的正常运行离不开网络管理系统自身的平安，对该系统的管理措施不当，会造成设备的损坏和保密信息的泄露。因此，加强网络管理系统的平安性非常重要，管理中主要从以下几个方面来考虑。 3.1 管理员身份认证方法 对管理员的认证均采纳公开密钥的证书认证机制，这样在很大程度上削减平安事故。对于信任级别低的用户，可用简洁的口令认证方法，这样可确保用户有更好的可用性。 3.2 数据平安性 对全部信息的存储、传输均通过加密散列，以保证其平安性与完整性。通过Web阅读器访问的信息，Web阅读器与网络服务器之间采纳平安套接字层传输协议，并对传输的数据和内部存储的机密信息加密以保证

13、其完整性。 3.3 用户管理 对网络管理用户进行分组管理和访问限制，要对管理员按任务的不同分成若干用户组，授予相应的权限范围，并对用户的操作进行访问限制检查，保证用户不能越权运用网络管理操作。目前网络中通常采纳公开密钥的证书认证机制来认证用户，并用用户的私有密钥对网络管理信息进行加密和数字签名，在网络中要有证书颁发机构服务器，特地负责为用户签发证书。用户的个人证书信息要做到具体完整，并由证书的签发者用自己的私有密钥进行数字签名，没有CA的私有密钥，任何人无法伪造和篡改信息。 证书认证时，首先要求CA服务器建立自签名的CA证书和私人密钥，用于签发证书。在服务器和客户端各自产生一个证书，服务器端的

14、证书用于向客户认证服务器，客户端的证书认证用于向服务器认证客户，这样可使客户与服务器之间通过交换证书实现相互认证，使服务器防止假冒的用户访问，客户也可识别访问的是一个真正的服务器还是一个陷阱。 在认证通过后，用户和服务器之间的通信就可以运用平安套接字层传输协议进行，保证在网络上传输的数据不被窃听和篡改，实现平安快捷的通信。 3.4 日志分析 记录用户全部的操作，并对用户访问日志进行分析，使系统的操作和对网络对象的操作有据可查，同时也有助于故障的跟踪与复原。 4 网络平安管理 网络平安管理就是通过网络平安防护和管理，使网络传输的数据平安保密；使网络中全部信息、数据及系统中各种程序完整和精确；使合

15、法访问者接受正常的服务；使网络中各方面的工作符合法律、规则、许可证、合同等规定。 4.1 网络平安防护 网络要运用平安，需对网络进行有效的平安防护，网络平安防护主要包括：物理平安防护、周界平安防护、信息加密与验证3个方面。 4.1.1 物理平安防护 主要是爱护路由器、交换机、工作站、服务器及打印机等硬件设备和通信设备链路免受自然灾难、人为破坏和搭线窃听等攻击，确保网络设备有一个良好的工作环境，使网络线路和访问点不被非法运用。 一般采纳的措施是对电源线和信号线加装性能良好的滤波器，削减导线间的交叉耦合，采纳各种电磁屏蔽措施防止和抑制外界对系统的电磁干扰；安装防静电地板防静电干扰；安装电磁干扰装置

16、掩盖系统的电磁泄漏；健全管理体系，规范行为。 4.1.2 周界平安防护 周界平安防护就是依据平安等级要求的差异将网络进行分段隔离，把对网络攻击和入侵造成的威逼限制在较小的范围之内，提高网络整体的平安水平。周界平安防护一般运用虚拟网技术和防火墙技术。 虚拟网技术是通过交换机，依据平安策略，把位于同一交换机的工作站划分到不同的虚拟网络中，或者把位于不同交换机的工作站划分到同一虚拟网络中。虚拟网技术是目前局域网采纳的主要隔离措施，但不能有效防止来自内部的攻击。 防火墙技术是网络间的一道平安之墙，它依据网络平安等级和信任关系，将网络划分成一些相对独立的子网，使网络对外通信和对内通信都受到防火墙的检查限

17、制。防火墙允许符合平安策略的数据包通过，而把不符合平安策略的数据包隔离开来。 防火墙分为网络层防火墙和应用层防火墙。网络层防火墙主要获得数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者干脆获得包头的一段数据。而应用层防火墙则对整个信息流进行分析。网络中常用的防火墙技术有：应用网关、电路网关、包过滤、网关代理和网络地址转换等技术。 4.1.3 信息加密与验证 信息加密主要是爱护网络中的数据、文件、密码和限制信息，爱护网络会话的完整性。信息加密可在网络的链路级、网络级、应用级上进行，加密技术是网络平安最有效的技术之一。 信息加密依据算法方式分为对称密码算法和非对称密码算法两大类。在对

18、称密码算法中，加密和解密运用相同的密钥，即加密密钥和解密密钥是相同的或是等价的，具有很强的保密性，但其密钥须通过平安的途径传送。而非对称算法中，加密和解密运用的密钥不相同，加密和解密都依靠一个公钥和对应的私钥来完成，不要求通信双方事先传递密钥或有任何约定就能完成保密通信，密钥管理便利，可实现防止假冒和抵赖。因此，更适合网络通信中的保密通信要求。 认证是指对网络用户的用户名和密码进行验证，防止非法访问的一道防线。用户注册时首先输入用户名和密码，服务器校验证所输入的用户名是否合法，假如验证合法，则又验证用户输入的密码是否合法。二者不合法，用户将被拒于网络之外。 用于认证的密码是用户运用网络的关键，

19、不能显示在显示屏上，通常是经过加密后存储在主机系统中。对于远程通信，则首先要通过身份验证和授权，信息才能以明文或加密的形式在客户机和服务器之间进行传送。 4.2 网络的平安管理 要实现网络的平安管理，除了进行有效的平安防护外，还要仔细做好以下几个方面的工作。 4.2.1 配置好网络资源的访问限制 通过管理路由表的访问限制列表，完成防火墙的管理功能，从网络层和传输层限制对网络资源的访问，爱护网络内部的设备和应用服务，防止外来攻击。 4.2.2 仔细对待告警事务分析 对网络对象所发出的告警事务，管理员要仔细分析与平安相关的信息，并从历史平安事务中进行检索和分析，刚好发觉正在进行的攻击或可疑的攻击迹

20、象。 4.2.3 加强对主机系统平安漏洞的检测 实时地监测主机系统重要服务的状态。利用平安监测工具，常常搜寻系统可能存在的平安漏洞或平安隐患，并设计好弥补的方案或措施。 4.2.4 做好数据的备份 主要是对网络中的重要数据或敏感信息要常常备份，当数据或信息不幸遭遇病毒或是黑客破坏时，可以用备份来复原丢失的数据。 总之，对于网络平安，只要网络用户树立平安意识，明确网络管理的步骤，做好各种防护措施，运用新的平安技术手段，就能降低网络平安风险，使网络能供应平安牢靠的通信服务。 主要参考文献 1 赵悦红，王栋，邹立坤. 计算机网络平安防范技术浅析J. 煤炭技术，2022，32：224-225. 2 桑

21、书娟. 计算机网络平安与防护探析J. 计算机光盘软件与应用，2022. 3 王大鹏. 计算机网络平安与防范策略探讨J. 科技视界，2022：226-227. 4 李思维. 浅谈计算机网络平安影响因素及防范措施J. 科技创新与应用，2022. 5 彭沙沙，张红梅，卞东亮. 计算机网络平安分析探讨J. 现代电子技术，2022，35：109-112，116. 6 唐明双. 论对计算机网络平安及建设的探讨J. 数字技术与应用，2022. 7 黄培. 浅议计算机网络平安与预防J. 电脑学问与技术，2022，8：6000-6001. 8 朱闻亚. 数据加密技术在计算机网络平安中的应用价值探讨J. 制造业自动化，2022，34：35-36. 第14页 共14页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页第 14 页 共 14 页