導語：試議網(wǎng)絡(luò)安全管理問題及路徑一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、網(wǎng)絡(luò)安全管理過程

要實現(xiàn)網(wǎng)絡(luò)安全管理，需要4個管理過程：首先，應(yīng)確定所要保護的敏感信息；然后，找出敏感信息的網(wǎng)絡(luò)訪問點；采用各種安全策略對網(wǎng)絡(luò)訪問點進行保護；最后，定期對網(wǎng)絡(luò)訪問點進行檢查，以維護網(wǎng)絡(luò)安全。

1.確定所要保護的敏感信息實現(xiàn)網(wǎng)絡(luò)安全管理的第一步就是要確定網(wǎng)絡(luò)中哪些主機上有敏感信息。對于多數(shù)網(wǎng)絡(luò)用戶來說，敏感信息一般包括賬戶、財政、顧客、市場、工程和雇員信息等。對于網(wǎng)絡(luò)管理部門來說，網(wǎng)絡(luò)的運行狀態(tài)信息、提供的網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)傳輸協(xié)議使用的服務(wù)端口是要保護的敏感信息。在應(yīng)用中，每個特定的網(wǎng)絡(luò)環(huán)境都會有其特定的敏感信息。另外，網(wǎng)絡(luò)地址、名字、操作系統(tǒng)版本、運行時間等看似無關(guān)緊要的信息，也會存在著影響安全管理的漏洞。大多數(shù)公司的網(wǎng)絡(luò)管理者都不希望外部人員了解其內(nèi)部網(wǎng)絡(luò)有關(guān)信息，如拓撲結(jié)構(gòu)、子網(wǎng)劃分、IP地址分配等，都采用網(wǎng)絡(luò)防火墻技術(shù)來解決這一問題。

2.網(wǎng)絡(luò)訪問點網(wǎng)絡(luò)管理中，不但知道了要保護的數(shù)據(jù)信息、網(wǎng)絡(luò)服務(wù)和存放主機的位置，還要知道其他網(wǎng)絡(luò)用戶如何訪問信息和如何訪問相應(yīng)主機。在網(wǎng)絡(luò)安全管理中，需常對網(wǎng)絡(luò)設(shè)備和主機的所有網(wǎng)絡(luò)服務(wù)進行檢查，尤其是用戶遠程登錄服務(wù)和文件傳輸服務(wù)。主機向用戶提供遠程登錄服務(wù)，用戶可在主機上進行權(quán)限范圍內(nèi)的操作。如果系統(tǒng)不能識別用戶，或不能將用戶的操作權(quán)限限制，就會對網(wǎng)絡(luò)安全帶來不安全因素，可能導致主機上的敏感信息被破壞，嚴重的可能讓惡意用戶攻擊整個網(wǎng)絡(luò)上的主機。網(wǎng)絡(luò)中還有的主機提供文件傳輸服務(wù)，由于存在匿名登錄用戶選項，允許網(wǎng)絡(luò)用戶以用戶名“anonymous”登錄和操作，從而不需要密碼，這種登錄方式會給文件系統(tǒng)帶來毀滅性的災(zāi)難。對于提供文件傳輸服務(wù)的主機，網(wǎng)絡(luò)管理者要小心控制可以訪問目錄應(yīng)包括什么信息和“anonymous”用戶的操作權(quán)限。另外，對于WWW訪問服務(wù)、電子郵件、遠程過程調(diào)用、域名服務(wù)等可以提供進入主機和進入網(wǎng)絡(luò)的服務(wù)訪問點，都需要提供有效的安全保護。

3.網(wǎng)絡(luò)訪問點保護方法要實現(xiàn)網(wǎng)絡(luò)安全管理，需采用各種安全技術(shù)對網(wǎng)絡(luò)訪問點進行可靠的保護。常用的網(wǎng)絡(luò)安全保護措施主要有以下幾種：

（1.數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密其最常用、最有效的安全保護機制。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時對其進行加密，即由明碼改為密碼，接收方要通過解密才能看到原始信息，這樣可阻止對敏感信息的非法訪問［8］。網(wǎng)絡(luò)中，具有固定密鑰的加密機制有被破譯的可能性，在一個既定規(guī)則的基礎(chǔ)上，經(jīng)常改變加密密鑰和解密密鑰可進一步提高數(shù)據(jù)的安全性。

（2.包過濾技術(shù)在網(wǎng)絡(luò)中，路由器、交換機、網(wǎng)橋等設(shè)備擔負著轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)的重要任務(wù)。包過濾就是在轉(zhuǎn)發(fā)功能的基礎(chǔ)上根據(jù)發(fā)送或接收數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址或媒體訪問控制（MAC）地址對數(shù)據(jù)包進行檢查并過濾來自不安全主機的數(shù)據(jù)，從而有效地保護網(wǎng)絡(luò)的安全。由于包過濾機制是通過網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址或MAC地址來完成的，網(wǎng)絡(luò)設(shè)備地址或MAC地址發(fā)生改變，相應(yīng)的過濾機制也要發(fā)生改變。如果主機的地址改變了而用戶并不知道，那么過濾機制就不再有效。在網(wǎng)絡(luò)中，若要保護的主機很多，過濾規(guī)則會過于復雜，那么設(shè)備的轉(zhuǎn)發(fā)效率和速度就會大大降低，影響網(wǎng)絡(luò)的性能。

（3.主機認證主機認證方法就是檢查發(fā)起請求的源主機的標識符，以確定是否允許源主機訪問本地的某一網(wǎng)絡(luò)服務(wù)。標識符通常是網(wǎng)絡(luò)地址，即IP地址或MAC地址。主機認證對授權(quán)的主機或某一地址范圍內(nèi)的計算機提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，沒有授權(quán)的主機則拒絕。但主機認證不能有效地對付惡意用戶的“源地址欺騙”，即用非法主機借用經(jīng)過授權(quán)的網(wǎng)絡(luò)地址來訪問網(wǎng)絡(luò)。因此，對一臺提供敏感信息訪問服務(wù)的計算機來說，僅知道源主機的標志符并不意味著就可以安全地進行通信。

（4.用戶認證用戶認證是一種網(wǎng)絡(luò)訪問點安全保護的方式，它使設(shè)備能在用戶登錄之前驗明用戶的身份，具有合法身份的網(wǎng)絡(luò)用戶才能使用網(wǎng)絡(luò)，具有比主機認證更高安全程度的登錄控制。網(wǎng)絡(luò)中用來驗證使用者常見的方法是用戶名／口令（密碼），雖說對安全有效，但通常密碼會被人通過技術(shù)手段和重復嘗試而獲取，造成系統(tǒng)的不安全。

（5.密鑰認證密鑰認證就是給合法用戶分發(fā)密鑰，其要依賴網(wǎng)絡(luò)上的密鑰服務(wù)器來實現(xiàn)。網(wǎng)絡(luò)中某一項服務(wù)被請求時，源計算機向密鑰服務(wù)器請求密鑰，則服務(wù)器要求用戶輸入用于認證合法性的密鑰，這樣密鑰服務(wù)器既能識別源計算機，又能識別要求服務(wù)的用戶。只有在訪問請求時伴有合法密鑰，目的計算機才會允許服務(wù)。在密鑰認證服務(wù)中，密鑰服務(wù)器是關(guān)鍵。密鑰服務(wù)器的正確配置和管理也是極其重要的，在網(wǎng)絡(luò)中并不是簡單地安裝一個密鑰服務(wù)器就可以使用密鑰認證了，要對所有的應(yīng)用和服務(wù)進行修改，以容納使用密鑰服務(wù)器。

4.定期檢查維護網(wǎng)絡(luò)安全，除了采用技術(shù)防護措施外，還要定期檢查所有的安全訪問點。網(wǎng)絡(luò)管理者可利用安全管理工具來監(jiān)視所有對網(wǎng)絡(luò)服務(wù)的訪問，并記錄下可能的安全問題。另外，網(wǎng)絡(luò)管理者也可用有關(guān)的網(wǎng)絡(luò)安全攻擊程序來檢查自己網(wǎng)絡(luò)的安全問題，用于確定可能或?qū)嶋H存在的安全漏洞。還有，對網(wǎng)絡(luò)運行狀態(tài)進行監(jiān)視，通過對網(wǎng)絡(luò)服務(wù)訪問來判定是否有用戶攻擊，若存在攻擊要及時采取措施。做好數(shù)據(jù)傳輸?shù)谋Ｃ芄ぷ?，對網(wǎng)絡(luò)中敏感信息的傳輸，特別是密碼信息的傳輸，要盡可能采取加密機制。

二、網(wǎng)絡(luò)管理系統(tǒng)

安全網(wǎng)絡(luò)系統(tǒng)的正常運行離不開網(wǎng)絡(luò)管理系統(tǒng)自身的安全，對該系統(tǒng)的管理措施不當，會造成設(shè)備的損壞和保密信息的泄露。因此，加強網(wǎng)絡(luò)管理系統(tǒng)的安全性十分重要，管理中主要從以下幾個方面來考慮。

1.管理員身份認證方法對管理員的認證均采用公開密鑰的證書認證機制，這樣在很大程度上減少安全事故。對于信任級別低的用戶，可用簡單的口令認證方法，這樣可確保用戶有更好的可用性。

2.數(shù)據(jù)安全性對所有信息的存儲、傳輸均通過加密散列，以保證其安全性與完整性。通過Web瀏覽器訪問的信息，Web瀏覽器與網(wǎng)絡(luò)服務(wù)器之間采用安全套接字層（SSL）傳輸協(xié)議，并對傳輸?shù)臄?shù)據(jù)和內(nèi)部存儲的機密信息加密以保證其完整性。

3.用戶管理對網(wǎng)絡(luò)管理用戶進行分組管理和訪問控制，要對管理員按任務(wù)的不同分成若干用戶組，授予相應(yīng)的權(quán)限范圍，并對用戶的操作進行訪問控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理操作。目前網(wǎng)絡(luò)中通常采用公開密鑰的證書認證機制來認證用戶，并用用戶的私有密鑰對網(wǎng)絡(luò)管理信息進行加密和數(shù)字簽名，在網(wǎng)絡(luò)中要有證書頒發(fā)機構(gòu)（CA）服務(wù)器，專門負責為用戶簽發(fā)證書。用戶的個人證書信息要做到詳細完整，并由證書的簽發(fā)者（CA）用自己的私有密鑰進行數(shù)字簽名，沒有CA的私有密鑰，任何人無法偽造和篡改信息。信息管理證書認證時，首先要求CA服務(wù)器建立自簽名的CA證書和私人密鑰，用于簽發(fā)證書。在服務(wù)器和客戶端各自產(chǎn)生一個證書，服務(wù)器端的證書用于向客戶認證服務(wù)器，客戶端的證書認證用于向服務(wù)器認證客戶，這樣可使客戶與服務(wù)器之間通過交換證書實現(xiàn)相互認證，使服務(wù)器防止假冒的用戶訪問，客戶也可識別訪問的是一個真正的服務(wù)器還是一個陷阱。在認證通過后，用戶和服務(wù)器之間的通信就可以使用安全套接字層（SSL）傳輸協(xié)議進行，保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊聽和篡改，實現(xiàn)安全快捷的通信。

4.日志分析記錄用戶所有的操作，并對用戶訪問日志進行分析，使系統(tǒng)的操作和對網(wǎng)絡(luò)對象的操作有據(jù)可查，同時也有助于故障的跟蹤與恢復。

三、網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理就是通過網(wǎng)絡(luò)安全防護和管理，使網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全保密；使網(wǎng)絡(luò)中所有信息、數(shù)據(jù)及系統(tǒng)中各種程序完整和準確；使合法訪問者接受正常的服務(wù)；使網(wǎng)絡(luò)中各方面的工作符合法律、規(guī)則、許可證、合同等規(guī)定。

1.網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)要使用安全，需對網(wǎng)絡(luò)進行有效的安全防護，網(wǎng)絡(luò)安全防護主要包括：物理安全防護、周界安全防護、信息加密與驗證3個方面。

(1.物理安全防護主要是保護路由器、交換機、工作站、服務(wù)器及打印機等硬件設(shè)備和通信設(shè)備鏈路免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊，確保網(wǎng)絡(luò)設(shè)備有一個良好的工作環(huán)境，使網(wǎng)絡(luò)線路和訪問點不被非法使用。一般采用的措施是對電源線和信號線加裝性能良好的濾波器，減少導線間的交叉耦合，采用各種電磁屏蔽措施防止和抑制外界對系統(tǒng)的電磁干擾；安裝防靜電地板防靜電干擾；安裝電磁干擾裝置掩蓋系統(tǒng)的電磁泄漏；健全管理體系，規(guī)范行為。

(2.周界安全防護周界安全防護就是根據(jù)安全等級要求的差異將網(wǎng)絡(luò)進行分段隔離，把對網(wǎng)絡(luò)攻擊和入侵造成的威脅限制在較小的范圍之內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。周界安全防護一般使用虛擬網(wǎng)技術(shù)和防火墻技術(shù)。虛擬網(wǎng)技術(shù)是通過交換機，根據(jù)安全策略，把位于同一交換機的工作站劃分到不同的虛擬網(wǎng)絡(luò)中，或者把位于不同交換機的工作站劃分到同一虛擬網(wǎng)絡(luò)中。虛擬網(wǎng)技術(shù)是目前局域網(wǎng)采用的主要隔離措施，但不能有效防止來自內(nèi)部的攻擊。防火墻技術(shù)是網(wǎng)絡(luò)間的一道安全之墻，它根據(jù)網(wǎng)絡(luò)安全等級和信任關(guān)系，將網(wǎng)絡(luò)劃分成一些相對獨立的子網(wǎng)，使網(wǎng)絡(luò)對外通信和對內(nèi)通信都受到防火墻的檢查控制。防火墻允許符合安全策略的數(shù)據(jù)包通過，而把不符合安全策略的數(shù)據(jù)包隔離開來。防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。網(wǎng)絡(luò)層防火墻主要獲取數(shù)據(jù)包的包頭信息，如協(xié)議號、源地址、目的地址和目的端口等，或者直接獲取包頭的一段數(shù)據(jù)。而應(yīng)用層防火墻則對整個信息流進行分析。網(wǎng)絡(luò)中常用的防火墻技術(shù)有：應(yīng)用網(wǎng)關(guān)、電路網(wǎng)關(guān)、包過濾、網(wǎng)關(guān)和網(wǎng)絡(luò)地址轉(zhuǎn)換等技術(shù)。

(3.信息加密與驗證信息加密主要是保護網(wǎng)絡(luò)中的數(shù)據(jù)、文件、密碼和控制信息，保護網(wǎng)絡(luò)會話的完整性。信息加密可在網(wǎng)絡(luò)的鏈路級、網(wǎng)絡(luò)級、應(yīng)用級上進行，加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。信息加密根據(jù)算法方式分為對稱密碼算法和非對稱密碼算法兩大類。在對稱密碼算法中，加密和解密使用相同的密鑰，即加密密鑰和解密密鑰是相同的或是等價的，具有很強的保密性，但其密鑰須通過安全的途徑傳送。而非對稱算法中，加密和解密使用的密鑰不相同，加密和解密都依靠一個公鑰（公開的密鑰）和對應(yīng)的私鑰來完成，不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信，密鑰管理方便，可實現(xiàn)防止假冒和抵賴。因此，更適合網(wǎng)絡(luò)通信中的保密通信要求。認證是指對網(wǎng)絡(luò)用戶的用戶名和密碼進行驗證，防止非法訪問的一道防線。用戶注冊時首先輸入用戶名和密碼，服務(wù)器校驗證所輸入的用戶名是否合法，如果驗證合法，則又驗證用戶輸入的密碼是否合法。二者不合法，用戶將被拒于網(wǎng)絡(luò)之外。用于認證的密碼是用戶使用網(wǎng)絡(luò)的關(guān)鍵，不能顯示在顯示屏上，通常是經(jīng)過加密后存儲在主機系統(tǒng)中。對于遠程通信，則首先要通過身份驗證和授權(quán)，信息才能以明文或加密的形式在客戶機和服務(wù)器之間進行傳送。

2.網(wǎng)絡(luò)的安全管理要實現(xiàn)網(wǎng)絡(luò)的安全管理，除了進行有效的安全防護外，還要認真做好以下幾個方面的工作。

(1.配置好網(wǎng)絡(luò)資源的訪問控制通過管理路由表的訪問控制列表，完成防火墻的管理功能，從網(wǎng)絡(luò)層和傳輸層控制對網(wǎng)絡(luò)資源的訪問，保護網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來攻擊。

(2.認真對待告警事件分析對網(wǎng)絡(luò)對象所發(fā)出的告警事件，管理員要認真分析與安全相關(guān)的信息（如路由器登錄信息、認證失敗信息），并從歷史安全事件中進行檢索和分析，及時發(fā)現(xiàn)正在進行的攻擊或可疑的攻擊跡象。

(3.加強對主機系統(tǒng)安全漏洞的檢測實時地監(jiān)測主機系統(tǒng)重要服務(wù)的狀態(tài)。利用安全監(jiān)測工具，經(jīng)常搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并設(shè)計好彌補的方案或措施。

(4.做好數(shù)據(jù)的備份主要是對網(wǎng)絡(luò)中的重要數(shù)據(jù)或敏感信息要經(jīng)常備份，當數(shù)據(jù)或信息不幸遭受病毒或是黑客破壞時，可以用備份來恢復丟失的數(shù)據(jù)?？傊?，對于網(wǎng)絡(luò)安全，只要網(wǎng)絡(luò)用戶樹立安全意識，明確網(wǎng)絡(luò)管理的步驟，做好各種防護措施，使用新的安全技術(shù)手段，就能降低網(wǎng)絡(luò)安全風險，使網(wǎng)絡(luò)能提供安全可靠的通信服務(wù)。

作者：梁興祥單位：玉溪市第二職業(yè)中學