隨著計算機網路的不斷髮展,全球資訊化已成為人類發展的大趨勢,但由於計算機網路聯結形式的多樣性,致使網路系統的硬體、軟體及網路上傳輸的資訊易遭受偶然的或惡意的攻擊、破壞。人為的網路入侵和攻擊行為使得網路安全面臨新的挑戰。因此,無論是區域網還是廣域網,都存在著自然和人為等諸多因素的脆弱性和潛在威脅,這也使我們不得不將網路的安全措施提高到一個新的層次,以確保網路資訊的保密性、完整性和可用性。
一、網路系統結構設計合理與否是網路安全執行的關鍵
全面分析網路系統設計的每個環節是建立安全可靠的計算機網路工程的首要任務。應在認真研究的基礎上下大氣力抓好網路執行質量的設計方案。為解除這個網路系統固有的安全隱患,可採取以下措施。
1、網路分段技術的應用將從源頭上杜絕網路的安全隱患問題。因為區域網採用以交換機為中心、以路由器為邊界的網路傳輸格局,再加上基於中心交換機的訪問控制功能和三層交換功能,所以採取物理分段與邏輯分段兩種方法來實現對區域網的安全控制,其目的就是將非法使用者與敏感的網路資源相互隔離,從而防止非法偵聽,保證資訊的安全暢通。
2、以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。
二、強化計算機管理是網路系統安全的保證
1、加強設施管理,建立健全安全管理制度,防止非法使用者進入計算機控制室和各種非法行為的發生;注重在保護計算機系統、網路伺服器、印表機等硬體實體和通訊線路免受自然災害、人為破壞和搭線攻擊;驗證使用者的身份和使用許可權,防止使用者越權操作,確保計算機網路系統實體安全。
2、強化訪問控制策略。訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非法訪問。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制是保證網路安全最重要的核心策略之一。
(1)訪問控制策略。它提供了第一層訪問控制。在這一層允許哪些使用者可以登入到網路伺服器並獲取網路資源,控制准許使用者入網的時間和准許他們在哪臺工作站入網。入網訪問控制可分三步實現:使用者名稱的識別與驗證;使用者口令的識別驗證;使用者帳號的檢查。三步操作中只要有任何一步未過,使用者將被拒之門外。網路管理員將對普通使用者的帳號使用、訪問網路時間、方式進行管理,還能控制使用者登入入網的站點以及限制使用者入網的工作站數量。
(2)網路許可權控制策略。它是針對網路非法操作所提出的一種安全保護措施。使用者和使用者組被賦予一定的許可權。
共分三種類型:特殊使用者(如系統管理員);一般使用者,系統管理員根據他們的實際需要為他們分配操作許可權;審計使用者,負責網路的安全控制與資源使用情況的審計。
(3)建立網路伺服器安全設定。網路伺服器的安全控制包括設定口令鎖定伺服器控制檯;設定伺服器登入時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法訪問裝置等。防火牆技術是建立在現代通訊網路技術和資訊保安技術基礎上的應用性安全技術,越來越多地應用於專用網路與公用網路的互聯環境之中,尤其以接入INTERNET網路為甚。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和INTERNET之間的任何活動,保證了內部網路的安全。
(4)資訊加密策略。資訊加密的目的是保護網內的資料、檔案、口令和控制資訊,保護網上傳輸的資料。網路加密常用的方法有線路加密、端點加密和節點加密三種。線路加密的目的是保護網路節點之間的線路資訊保安;端點加密的目的是對源端使用者到目的端使用者的資料提供保護;節點加密的目的是對源節點到目的節點之間的傳輸線路提供保護。使用者可根據網路情況酌情選擇上述加密方式。
(5)屬性安全控制策略。當用檔案、目錄和網路裝置時,網路系統管理員應給檔案、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的檔案、目錄和網路裝置聯絡起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的'資源都應預先標出一組安全屬性。使用者對網路資源的訪問許可權對應一張訪問控制表,用以表明使用者對網路資源的訪問能力。屬性設定可以覆蓋已經指定的任何受託者指派和有效許可權。網路的屬性可以保護重要的目錄和檔案,防止使用者對目錄和檔案的誤刪、執行修改、顯示等。
(6)建立網路智慧型日誌系統。日誌系統具有綜合性資料記錄功能和自動分類檢索能力。在該系統中,日誌將記錄自某使用者登入時起,到其退出系統時止,所執行的所有操作,包括登入失敗操作,對資料庫的操作及系統功能的使用。日誌所記錄的內容有執行某操作的使用者所執行操作的機器IP地址、操作型別、操作物件及操作執行時間等,以備日後審計核查之用。
三、建立完善的備份及恢復機制
為了防止儲存裝置的異常損壞,可採用由熱插拔SCSI硬碟所組成的磁碟容錯陣列,以RAID5的方式進行系統的實時熱備份。同時,建立強大的資料庫觸發器和恢復重要資料的操作以及更新任務,確保在任何情況下使重要資料均能最大限度地得到恢復。
四、建立安全管理機構
安全管理機構的健全與否,直接關係到一個計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬體、通訊、保安等有關人員組成。
以上強有力的安全策略的結合,對於保障網路的安全性將變得十分重要。