摘要：本文主要對企業(yè)網(wǎng)絡(luò)安全管理進行了探討，可供同行參考。
　　關(guān)鍵詞：網(wǎng)絡(luò)安全；管理；技術(shù)
　　中圖分類號：TP2 文獻標識碼：A文章編號：1672-3791(2011)06(c)-0000-00
　　
　　在當今這個信息化社會中，網(wǎng)絡(luò)安全管理技術(shù)已經(jīng)成為網(wǎng)絡(luò)技術(shù)中人們公認的關(guān)鍵技術(shù)。由于網(wǎng)絡(luò)安全對網(wǎng)絡(luò)信息系統(tǒng)的性能、管理的關(guān)聯(lián)及影響趨于復(fù)雜嚴重，網(wǎng)絡(luò)安全管理正逐漸成為網(wǎng)絡(luò)管理技術(shù)中的一個重要分支，網(wǎng)絡(luò)安全管理系統(tǒng)呈現(xiàn)出了從通常網(wǎng)管系統(tǒng)中分離出來的趨勢。影響網(wǎng)絡(luò)安全的因素有許多，有自然因素，也有人為因素，其中人為因素的危害最大。歸納起來，對網(wǎng)絡(luò)安全造成威脅的有：硬件設(shè)備故障或突然斷電；計算機病毒的攻擊；人為的進攻。加強網(wǎng)絡(luò)安全管理，降低不安全因素的影響，就要制定一系列的安全規(guī)范、安全措施，建立安全保障體系，以消除上述的安全威脅。
　　
　　1影響網(wǎng)絡(luò)安全因素的分析
　　影響局域網(wǎng)網(wǎng)絡(luò)安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來，主要有六個方面構(gòu)成對網(wǎng)絡(luò)的威脅：
　　1.1 人為失誤
　　一些無意的行為，如：丟失口令、非法操作、資源訪問控制不合理、管理員安全配置不當以及疏忽大意允許不應(yīng)進入網(wǎng)絡(luò)的人上網(wǎng)等，都會對網(wǎng)絡(luò)系統(tǒng)造成極大的破壞。
　　1.2 病毒感染
　　從“蠕蟲”病毒開始到CIH、愛蟲病毒。病毒一直是計算機系統(tǒng)安全最直接的威脅，網(wǎng)絡(luò)更是為病毒提供了迅速傳播的途徑，病毒很容易地通過代理服務(wù)器以軟件下載、郵件接收等方式進入網(wǎng)絡(luò)，然后對網(wǎng)絡(luò)進行攻擊，造成很大的損失。
　　1.3 來自網(wǎng)絡(luò)外部的攻擊
　　這是指來自局域網(wǎng)外部的惡意攻擊，例如：有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性；偽裝為合法用戶進入網(wǎng)絡(luò)并占用大量資源；修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行；在中間站點攔截和讀取絕密信息等。
　　1.4 來自網(wǎng)絡(luò)內(nèi)部的攻擊
　　在局域網(wǎng)內(nèi)部，一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后，查看機密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運行。
　　1.5 系統(tǒng)的漏洞及“后門”
　　操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標和薄弱環(huán)節(jié)。大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”和“后門”所造成的。
　　
　　2 加強網(wǎng)絡(luò)安全管理
　　2.1 計算機設(shè)備的安全管理
　　加強設(shè)備安全管理首先要給計算機設(shè)備提供一個良好的運行環(huán)境，除嚴格的控制溫度、濕度外，還要做好防塵、防電磁泄漏和干擾、防火、防有害物質(zhì)、防水防盜等一系列防護措施，減少安全隱患。另外，為減少安全威脅，必須制定安全規(guī)范，嚴格管理制度：未經(jīng)網(wǎng)絡(luò)管理員許可，任何人不得以任何原由打開機箱，隨意拆卸或更改集成線路板(卡)；計算機及網(wǎng)絡(luò)設(shè)備的搬遷或更改有關(guān)硬件設(shè)備，必須有網(wǎng)絡(luò)管理員負責，任何人不得私自進行；計算機及網(wǎng)絡(luò)設(shè)備出現(xiàn)硬件故障時，應(yīng)及時向網(wǎng)絡(luò)管理員報告，由網(wǎng)絡(luò)管理員處理；計算機及外圍設(shè)備要定期進行維護；新的計算機接入系統(tǒng)前，應(yīng)對一些重要信息進行備份；每臺微機都必須連UPS，尤其是服務(wù)器要安裝大容量的UPS。
　　2.2 軟件的安全管理及其反病毒技術(shù)
　　這是網(wǎng)絡(luò)安全一個重要環(huán)節(jié)。計算機系統(tǒng)的不安全很多來源于計算機病毒。在單機環(huán)境下，病毒主要是通過軟盤和硬盤傳輸。軟件管理可采取以下措施：用硬盤啟動機器，如有必要用軟盤啟動，要對軟盤作仔細的檢查，確認無病毒后方可使用；若使用外來軟盤，必須事先檢查，確認無毒方可使用；設(shè)置開機及進入系統(tǒng)的口令，限制其他非工作人員使用；經(jīng)常用病毒檢測軟件進行檢查，一旦發(fā)現(xiàn)病毒，及時采取措施；對重要的計算機和硬盤信息做好備份，以便在病毒侵入受破壞后，恢復(fù)重要信息；對重要的應(yīng)用軟件做備份，加上寫保護。在網(wǎng)絡(luò)環(huán)境下，大部分的病毒以電子郵件的形式傳播，并利用黑客技術(shù)，不但刪除文件和操作系統(tǒng)，而且竊取用戶信息，具有不可估量的威脅力和破壞力，維護網(wǎng)絡(luò)安全必須采取網(wǎng)絡(luò)反病毒技術(shù)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測病毒和消除病毒三種技術(shù)。
　　網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁的掃描和監(jiān)視，工作站上采用防病毒芯片、指定口令字和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。
　　2.3 人員管理
　　人為攻擊是計算機網(wǎng)絡(luò)所面臨的最大威脅。敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊可分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性，截取網(wǎng)上的信息包，并對其進行更改使它失效，或者故意添加一些有利于自己的信息，起到信息誤導(dǎo)的作用，或者登陸進入系統(tǒng)使用并占用大量的網(wǎng)絡(luò)資源，造成資源的消耗，損害合法用戶的利益。另一種是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下進行截取、竊取、破譯以獲得更重要的機密。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄露。網(wǎng)絡(luò)管理員應(yīng)該做到以下幾點：
　　(1)網(wǎng)絡(luò)管理員應(yīng)采取層次、分區(qū)、表格各種授權(quán)方式，控制用戶對網(wǎng)絡(luò)信息存取權(quán)限。妥善保管系統(tǒng)口令，不得輕易泄露，以防未經(jīng)授權(quán)的人使用。另外，經(jīng)常去有關(guān)的安全網(wǎng)站下載系統(tǒng)補丁程序，盡可能地將系統(tǒng)的漏洞補上。
　　(2)對網(wǎng)絡(luò)數(shù)據(jù)和資料除進行常規(guī)備份(完全式、增量式、差分式)外，還要設(shè)置自動啟動和停止日志，記錄系統(tǒng)配置以供重新使用，處理備份中發(fā)生的各種情況。定期檢查備份的正確性。對重要的數(shù)據(jù)和資料必須多份拷貝異地存放。同時，對備份所用的存儲設(shè)備單獨存放，不要連在互聯(lián)網(wǎng)上。
　　(3)特別重要的網(wǎng)站要做到24h有網(wǎng)絡(luò)管理員值班，并采取技術(shù)措施循環(huán)檢查系統(tǒng)日志，以及動態(tài)IP的變化。保證網(wǎng)絡(luò)系統(tǒng)的正常工作。無人值守網(wǎng)站時，關(guān)閉一切連在互聯(lián)網(wǎng)上的供工作人員使用的電腦終端設(shè)備。
　　
　　3 網(wǎng)絡(luò)安全技術(shù)措施
　　3.1 局域網(wǎng)安全技術(shù)
　　目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個節(jié)點之間的通信數(shù)據(jù)包，不僅為這兩個節(jié)點的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何接點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。當前，局域網(wǎng)安全的解決辦法有以下幾種：
　　(1)網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種。
　　(2)以交換式集線器代替共享式集線器。對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在。這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數(shù)據(jù)通信時，兩臺機器之間的數(shù)據(jù)包 (稱為單播包Unicast Packet)還是會被同一臺集線器上其他用戶所偵聽。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。
　　(3)VLAN 的劃分。為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運用VLAN(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大部分基于網(wǎng)絡(luò)的偵聽的入侵。
　　3.2 廣域網(wǎng)安全技術(shù)
　　由于廣域網(wǎng)大多采用共用網(wǎng)進行數(shù)據(jù)傳播，信息在廣域網(wǎng)上傳輸時被載取和利用的可能性要比局域網(wǎng)大得多。如果沒有專用的軟件對數(shù)據(jù)進行控制，只要使用Internet上免費下載的“包檢測”工具軟件，就可以很容易地對通信數(shù)據(jù)進行截取和破譯。廣域網(wǎng)通常采用以下安全解決辦法：
　　(1)防火墻技術(shù)。防火墻是一種非常有效的網(wǎng)絡(luò)安全管理技術(shù)。它是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)(ScurityGateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。防火墻是立體防護體系的聯(lián)動中心，是安全決策的焦點。
　　(2)數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部剖析所采用的主要技術(shù)手段之一。信息加密過程是由各種加密算法(如常規(guī)密碼算法、公鑰密碼算法)來實現(xiàn)的。按其功能不同，數(shù)據(jù)加密技術(shù)主要分數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。
　　(3)智能卡技術(shù)。與數(shù)據(jù)加密技術(shù)密切相關(guān)的另一項技術(shù)是智能卡技術(shù)。所謂的智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦與它一個口令或密碼。該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。
　　
　　4 結(jié)束語
　　網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網(wǎng)絡(luò)提供強大的安全服務(wù)。
　　
　　參考文獻
　　[1] 李曉勇.網(wǎng)絡(luò)安全的目標[N].中國電腦