導(dǎo)語：試議網(wǎng)絡(luò)安全管理問題及路徑一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、網(wǎng)絡(luò)安全管理過程

要實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，需要4個(gè)管理過程：首先，應(yīng)確定所要保護(hù)的敏感信息；然后，找出敏感信息的網(wǎng)絡(luò)訪問點(diǎn)；采用各種安全策略對(duì)網(wǎng)絡(luò)訪問點(diǎn)進(jìn)行保護(hù)；最后，定期對(duì)網(wǎng)絡(luò)訪問點(diǎn)進(jìn)行檢查，以維護(hù)網(wǎng)絡(luò)安全。

1.確定所要保護(hù)的敏感信息實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的第一步就是要確定網(wǎng)絡(luò)中哪些主機(jī)上有敏感信息。對(duì)于多數(shù)網(wǎng)絡(luò)用戶來說，敏感信息一般包括賬戶、財(cái)政、顧客、市場、工程和雇員信息等。對(duì)于網(wǎng)絡(luò)管理部門來說，網(wǎng)絡(luò)的運(yùn)行狀態(tài)信息、提供的網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)傳輸協(xié)議使用的服務(wù)端口是要保護(hù)的敏感信息。在應(yīng)用中，每個(gè)特定的網(wǎng)絡(luò)環(huán)境都會(huì)有其特定的敏感信息。另外，網(wǎng)絡(luò)地址、名字、操作系統(tǒng)版本、運(yùn)行時(shí)間等看似無關(guān)緊要的信息，也會(huì)存在著影響安全管理的漏洞。大多數(shù)公司的網(wǎng)絡(luò)管理者都不希望外部人員了解其內(nèi)部網(wǎng)絡(luò)有關(guān)信息，如拓?fù)浣Y(jié)構(gòu)、子網(wǎng)劃分、IP地址分配等，都采用網(wǎng)絡(luò)防火墻技術(shù)來解決這一問題。

2.網(wǎng)絡(luò)訪問點(diǎn)網(wǎng)絡(luò)管理中，不但知道了要保護(hù)的數(shù)據(jù)信息、網(wǎng)絡(luò)服務(wù)和存放主機(jī)的位置，還要知道其他網(wǎng)絡(luò)用戶如何訪問信息和如何訪問相應(yīng)主機(jī)。在網(wǎng)絡(luò)安全管理中，需常對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)的所有網(wǎng)絡(luò)服務(wù)進(jìn)行檢查，尤其是用戶遠(yuǎn)程登錄服務(wù)和文件傳輸服務(wù)。主機(jī)向用戶提供遠(yuǎn)程登錄服務(wù)，用戶可在主機(jī)上進(jìn)行權(quán)限范圍內(nèi)的操作。如果系統(tǒng)不能識(shí)別用戶，或不能將用戶的操作權(quán)限限制，就會(huì)對(duì)網(wǎng)絡(luò)安全帶來不安全因素，可能導(dǎo)致主機(jī)上的敏感信息被破壞，嚴(yán)重的可能讓惡意用戶攻擊整個(gè)網(wǎng)絡(luò)上的主機(jī)。網(wǎng)絡(luò)中還有的主機(jī)提供文件傳輸服務(wù)，由于存在匿名登錄用戶選項(xiàng)，允許網(wǎng)絡(luò)用戶以用戶名“anonymous”登錄和操作，從而不需要密碼，這種登錄方式會(huì)給文件系統(tǒng)帶來毀滅性的災(zāi)難。對(duì)于提供文件傳輸服務(wù)的主機(jī)，網(wǎng)絡(luò)管理者要小心控制可以訪問目錄應(yīng)包括什么信息和“anonymous”用戶的操作權(quán)限。另外，對(duì)于WWW訪問服務(wù)、電子郵件、遠(yuǎn)程過程調(diào)用、域名服務(wù)等可以提供進(jìn)入主機(jī)和進(jìn)入網(wǎng)絡(luò)的服務(wù)訪問點(diǎn)，都需要提供有效的安全保護(hù)。

3.網(wǎng)絡(luò)訪問點(diǎn)保護(hù)方法要實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，需采用各種安全技術(shù)對(duì)網(wǎng)絡(luò)訪問點(diǎn)進(jìn)行可靠的保護(hù)。常用的網(wǎng)絡(luò)安全保護(hù)措施主要有以下幾種：

（1.數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密其最常用、最有效的安全保護(hù)機(jī)制。數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)對(duì)其進(jìn)行加密，即由明碼改為密碼，接收方要通過解密才能看到原始信息，這樣可阻止對(duì)敏感信息的非法訪問［8］。網(wǎng)絡(luò)中，具有固定密鑰的加密機(jī)制有被破譯的可能性，在一個(gè)既定規(guī)則的基礎(chǔ)上，經(jīng)常改變加密密鑰和解密密鑰可進(jìn)一步提高數(shù)據(jù)的安全性。

（2.包過濾技術(shù)在網(wǎng)絡(luò)中，路由器、交換機(jī)、網(wǎng)橋等設(shè)備擔(dān)負(fù)著轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)的重要任務(wù)。包過濾就是在轉(zhuǎn)發(fā)功能的基礎(chǔ)上根據(jù)發(fā)送或接收數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址或媒體訪問控制（MAC）地址對(duì)數(shù)據(jù)包進(jìn)行檢查并過濾來自不安全主機(jī)的數(shù)據(jù)，從而有效地保護(hù)網(wǎng)絡(luò)的安全。由于包過濾機(jī)制是通過網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址或MAC地址來完成的，網(wǎng)絡(luò)設(shè)備地址或MAC地址發(fā)生改變，相應(yīng)的過濾機(jī)制也要發(fā)生改變。如果主機(jī)的地址改變了而用戶并不知道，那么過濾機(jī)制就不再有效。在網(wǎng)絡(luò)中，若要保護(hù)的主機(jī)很多，過濾規(guī)則會(huì)過于復(fù)雜，那么設(shè)備的轉(zhuǎn)發(fā)效率和速度就會(huì)大大降低，影響網(wǎng)絡(luò)的性能。

（3.主機(jī)認(rèn)證主機(jī)認(rèn)證方法就是檢查發(fā)起請(qǐng)求的源主機(jī)的標(biāo)識(shí)符，以確定是否允許源主機(jī)訪問本地的某一網(wǎng)絡(luò)服務(wù)。標(biāo)識(shí)符通常是網(wǎng)絡(luò)地址，即IP地址或MAC地址。主機(jī)認(rèn)證對(duì)授權(quán)的主機(jī)或某一地址范圍內(nèi)的計(jì)算機(jī)提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，沒有授權(quán)的主機(jī)則拒絕。但主機(jī)認(rèn)證不能有效地對(duì)付惡意用戶的“源地址欺騙”，即用非法主機(jī)借用經(jīng)過授權(quán)的網(wǎng)絡(luò)地址來訪問網(wǎng)絡(luò)。因此，對(duì)一臺(tái)提供敏感信息訪問服務(wù)的計(jì)算機(jī)來說，僅知道源主機(jī)的標(biāo)志符并不意味著就可以安全地進(jìn)行通信。

（4.用戶認(rèn)證用戶認(rèn)證是一種網(wǎng)絡(luò)訪問點(diǎn)安全保護(hù)的方式，它使設(shè)備能在用戶登錄之前驗(yàn)明用戶的身份，具有合法身份的網(wǎng)絡(luò)用戶才能使用網(wǎng)絡(luò)，具有比主機(jī)認(rèn)證更高安全程度的登錄控制。網(wǎng)絡(luò)中用來驗(yàn)證使用者常見的方法是用戶名／口令（密碼），雖說對(duì)安全有效，但通常密碼會(huì)被人通過技術(shù)手段和重復(fù)嘗試而獲取，造成系統(tǒng)的不安全。

（5.密鑰認(rèn)證密鑰認(rèn)證就是給合法用戶分發(fā)密鑰，其要依賴網(wǎng)絡(luò)上的密鑰服務(wù)器來實(shí)現(xiàn)。網(wǎng)絡(luò)中某一項(xiàng)服務(wù)被請(qǐng)求時(shí)，源計(jì)算機(jī)向密鑰服務(wù)器請(qǐng)求密鑰，則服務(wù)器要求用戶輸入用于認(rèn)證合法性的密鑰，這樣密鑰服務(wù)器既能識(shí)別源計(jì)算機(jī)，又能識(shí)別要求服務(wù)的用戶。只有在訪問請(qǐng)求時(shí)伴有合法密鑰，目的計(jì)算機(jī)才會(huì)允許服務(wù)。在密鑰認(rèn)證服務(wù)中，密鑰服務(wù)器是關(guān)鍵。密鑰服務(wù)器的正確配置和管理也是極其重要的，在網(wǎng)絡(luò)中并不是簡單地安裝一個(gè)密鑰服務(wù)器就可以使用密鑰認(rèn)證了，要對(duì)所有的應(yīng)用和服務(wù)進(jìn)行修改，以容納使用密鑰服務(wù)器。

4.定期檢查維護(hù)網(wǎng)絡(luò)安全，除了采用技術(shù)防護(hù)措施外，還要定期檢查所有的安全訪問點(diǎn)。網(wǎng)絡(luò)管理者可利用安全管理工具來監(jiān)視所有對(duì)網(wǎng)絡(luò)服務(wù)的訪問，并記錄下可能的安全問題。另外，網(wǎng)絡(luò)管理者也可用有關(guān)的網(wǎng)絡(luò)安全攻擊程序來檢查自己網(wǎng)絡(luò)的安全問題，用于確定可能或?qū)嶋H存在的安全漏洞。還有，對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)視，通過對(duì)網(wǎng)絡(luò)服務(wù)訪問來判定是否有用戶攻擊，若存在攻擊要及時(shí)采取措施。做好數(shù)據(jù)傳輸?shù)谋Ｃ芄ぷ鳎瑢?duì)網(wǎng)絡(luò)中敏感信息的傳輸，特別是密碼信息的傳輸，要盡可能采取加密機(jī)制。

二、網(wǎng)絡(luò)管理系統(tǒng)

安全網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行離不開網(wǎng)絡(luò)管理系統(tǒng)自身的安全，對(duì)該系統(tǒng)的管理措施不當(dāng)，會(huì)造成設(shè)備的損壞和保密信息的泄露。因此，加強(qiáng)網(wǎng)絡(luò)管理系統(tǒng)的安全性十分重要，管理中主要從以下幾個(gè)方面來考慮。

1.管理員身份認(rèn)證方法對(duì)管理員的認(rèn)證均采用公開密鑰的證書認(rèn)證機(jī)制，這樣在很大程度上減少安全事故。對(duì)于信任級(jí)別低的用戶，可用簡單的口令認(rèn)證方法，這樣可確保用戶有更好的可用性。

2.數(shù)據(jù)安全性對(duì)所有信息的存儲(chǔ)、傳輸均通過加密散列，以保證其安全性與完整性。通過Web瀏覽器訪問的信息，Web瀏覽器與網(wǎng)絡(luò)服務(wù)器之間采用安全套接字層（SSL）傳輸協(xié)議，并對(duì)傳輸?shù)臄?shù)據(jù)和內(nèi)部存儲(chǔ)的機(jī)密信息加密以保證其完整性。

3.用戶管理對(duì)網(wǎng)絡(luò)管理用戶進(jìn)行分組管理和訪問控制，要對(duì)管理員按任務(wù)的不同分成若干用戶組，授予相應(yīng)的權(quán)限范圍，并對(duì)用戶的操作進(jìn)行訪問控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理操作。目前網(wǎng)絡(luò)中通常采用公開密鑰的證書認(rèn)證機(jī)制來認(rèn)證用戶，并用用戶的私有密鑰對(duì)網(wǎng)絡(luò)管理信息進(jìn)行加密和數(shù)字簽名，在網(wǎng)絡(luò)中要有證書頒發(fā)機(jī)構(gòu)（CA）服務(wù)器，專門負(fù)責(zé)為用戶簽發(fā)證書。用戶的個(gè)人證書信息要做到詳細(xì)完整，并由證書的簽發(fā)者（CA）用自己的私有密鑰進(jìn)行數(shù)字簽名，沒有CA的私有密鑰，任何人無法偽造和篡改信息。信息管理證書認(rèn)證時(shí)，首先要求CA服務(wù)器建立自簽名的CA證書和私人密鑰，用于簽發(fā)證書。在服務(wù)器和客戶端各自產(chǎn)生一個(gè)證書，服務(wù)器端的證書用于向客戶認(rèn)證服務(wù)器，客戶端的證書認(rèn)證用于向服務(wù)器認(rèn)證客戶，這樣可使客戶與服務(wù)器之間通過交換證書實(shí)現(xiàn)相互認(rèn)證，使服務(wù)器防止假冒的用戶訪問，客戶也可識(shí)別訪問的是一個(gè)真正的服務(wù)器還是一個(gè)陷阱。在認(rèn)證通過后，用戶和服務(wù)器之間的通信就可以使用安全套接字層（SSL）傳輸協(xié)議進(jìn)行，保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊聽和篡改，實(shí)現(xiàn)安全快捷的通信。

4.日志分析記錄用戶所有的操作，并對(duì)用戶訪問日志進(jìn)行分析，使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的操作有據(jù)可查，同時(shí)也有助于故障的跟蹤與恢復(fù)。

三、網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理就是通過網(wǎng)絡(luò)安全防護(hù)和管理，使網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全保密；使網(wǎng)絡(luò)中所有信息、數(shù)據(jù)及系統(tǒng)中各種程序完整和準(zhǔn)確；使合法訪問者接受正常的服務(wù)；使網(wǎng)絡(luò)中各方面的工作符合法律、規(guī)則、許可證、合同等規(guī)定。

1.網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)要使用安全，需對(duì)網(wǎng)絡(luò)進(jìn)行有效的安全防護(hù)，網(wǎng)絡(luò)安全防護(hù)主要包括：物理安全防護(hù)、周界安全防護(hù)、信息加密與驗(yàn)證3個(gè)方面。

(1.物理安全防護(hù)主要是保護(hù)路由器、交換機(jī)、工作站、服務(wù)器及打印機(jī)等硬件設(shè)備和通信設(shè)備鏈路免受自然災(zāi)害、人為破壞和搭線竊聽等攻擊，確保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的工作環(huán)境，使網(wǎng)絡(luò)線路和訪問點(diǎn)不被非法使用。一般采用的措施是對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減少導(dǎo)線間的交叉耦合，采用各種電磁屏蔽措施防止和抑制外界對(duì)系統(tǒng)的電磁干擾；安裝防靜電地板防靜電干擾；安裝電磁干擾裝置掩蓋系統(tǒng)的電磁泄漏；健全管理體系，規(guī)范行為。

(2.周界安全防護(hù)周界安全防護(hù)就是根據(jù)安全等級(jí)要求的差異將網(wǎng)絡(luò)進(jìn)行分段隔離，把對(duì)網(wǎng)絡(luò)攻擊和入侵造成的威脅限制在較小的范圍之內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。周界安全防護(hù)一般使用虛擬網(wǎng)技術(shù)和防火墻技術(shù)。虛擬網(wǎng)技術(shù)是通過交換機(jī)，根據(jù)安全策略，把位于同一交換機(jī)的工作站劃分到不同的虛擬網(wǎng)絡(luò)中，或者把位于不同交換機(jī)的工作站劃分到同一虛擬網(wǎng)絡(luò)中。虛擬網(wǎng)技術(shù)是目前局域網(wǎng)采用的主要隔離措施，但不能有效防止來自內(nèi)部的攻擊。防火墻技術(shù)是網(wǎng)絡(luò)間的一道安全之墻，它根據(jù)網(wǎng)絡(luò)安全等級(jí)和信任關(guān)系，將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)，使網(wǎng)絡(luò)對(duì)外通信和對(duì)內(nèi)通信都受到防火墻的檢查控制。防火墻允許符合安全策略的數(shù)據(jù)包通過，而把不符合安全策略的數(shù)據(jù)包隔離開來。防火墻分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻。網(wǎng)絡(luò)層防火墻主要獲取數(shù)據(jù)包的包頭信息，如協(xié)議號(hào)、源地址、目的地址和目的端口等，或者直接獲取包頭的一段數(shù)據(jù)。而應(yīng)用層防火墻則對(duì)整個(gè)信息流進(jìn)行分析。網(wǎng)絡(luò)中常用的防火墻技術(shù)有：應(yīng)用網(wǎng)關(guān)、電路網(wǎng)關(guān)、包過濾、網(wǎng)關(guān)和網(wǎng)絡(luò)地址轉(zhuǎn)換等技術(shù)。

(3.信息加密與驗(yàn)證信息加密主要是保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)、文件、密碼和控制信息，保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。信息加密可在網(wǎng)絡(luò)的鏈路級(jí)、網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)上進(jìn)行，加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。信息加密根據(jù)算法方式分為對(duì)稱密碼算法和非對(duì)稱密碼算法兩大類。在對(duì)稱密碼算法中，加密和解密使用相同的密鑰，即加密密鑰和解密密鑰是相同的或是等價(jià)的，具有很強(qiáng)的保密性，但其密鑰須通過安全的途徑傳送。而非對(duì)稱算法中，加密和解密使用的密鑰不相同，加密和解密都依靠一個(gè)公鑰（公開的密鑰）和對(duì)應(yīng)的私鑰來完成，不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信，密鑰管理方便，可實(shí)現(xiàn)防止假冒和抵賴。因此，更適合網(wǎng)絡(luò)通信中的保密通信要求。認(rèn)證是指對(duì)網(wǎng)絡(luò)用戶的用戶名和密碼進(jìn)行驗(yàn)證，防止非法訪問的一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和密碼，服務(wù)器校驗(yàn)證所輸入的用戶名是否合法，如果驗(yàn)證合法，則又驗(yàn)證用戶輸入的密碼是否合法。二者不合法，用戶將被拒于網(wǎng)絡(luò)之外。用于認(rèn)證的密碼是用戶使用網(wǎng)絡(luò)的關(guān)鍵，不能顯示在顯示屏上，通常是經(jīng)過加密后存儲(chǔ)在主機(jī)系統(tǒng)中。對(duì)于遠(yuǎn)程通信，則首先要通過身份驗(yàn)證和授權(quán)，信息才能以明文或加密的形式在客戶機(jī)和服務(wù)器之間進(jìn)行傳送。

2.網(wǎng)絡(luò)的安全管理要實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，除了進(jìn)行有效的安全防護(hù)外，還要認(rèn)真做好以下幾個(gè)方面的工作。

(1.配置好網(wǎng)絡(luò)資源的訪問控制通過管理路由表的訪問控制列表，完成防火墻的管理功能，從網(wǎng)絡(luò)層和傳輸層控制對(duì)網(wǎng)絡(luò)資源的訪問，保護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來攻擊。

(2.認(rèn)真對(duì)待告警事件分析對(duì)網(wǎng)絡(luò)對(duì)象所發(fā)出的告警事件，管理員要認(rèn)真分析與安全相關(guān)的信息（如路由器登錄信息、認(rèn)證失敗信息），并從歷史安全事件中進(jìn)行檢索和分析，及時(shí)發(fā)現(xiàn)正在進(jìn)行的攻擊或可疑的攻擊跡象。

(3.加強(qiáng)對(duì)主機(jī)系統(tǒng)安全漏洞的檢測實(shí)時(shí)地監(jiān)測主機(jī)系統(tǒng)重要服務(wù)的狀態(tài)。利用安全監(jiān)測工具，經(jīng)常搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并設(shè)計(jì)好彌補(bǔ)的方案或措施。

(4.做好數(shù)據(jù)的備份主要是對(duì)網(wǎng)絡(luò)中的重要數(shù)據(jù)或敏感信息要經(jīng)常備份，當(dāng)數(shù)據(jù)或信息不幸遭受病毒或是黑客破壞時(shí)，可以用備份來恢復(fù)丟失的數(shù)據(jù)。總之，對(duì)于網(wǎng)絡(luò)安全，只要網(wǎng)絡(luò)用戶樹立安全意識(shí)，明確網(wǎng)絡(luò)管理的步驟，做好各種防護(hù)措施，使用新的安全技術(shù)手段，就能降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，使網(wǎng)絡(luò)能提供安全可靠的通信服務(wù)。

作者：梁興祥單位：玉溪市第二職業(yè)中學(xué)