网络安全整体解决方案

广播电视厅办公大楼计算机网络

网络安全整体解决方案

计算机网络的安全概述

一、概述•

计算机安全事业始于本世纪60年代。当时，计算机系统的脆弱性已日益为美国政府和私营的一些机构所认识。但是，由于当时计算机的速度和性能较落后，使用的范围也不广，再加上美国政府把它当作敏感问题而施加控制，因此，有关计算机安全的研究一直局限在比较小的范围内。

进入80年代后，计算机的性能得到了成百上千倍的提高，应用的范围也在不断扩大，计算机已遍及世界各个角落。并且，人们利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但是，随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方面所做的研究与计算机性能和应用的飞速发展不相适应，因此，它已成为未来信息技术中的主要问题之一。

由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。

根据美国F B I的调查，美国每年因为网络安全造成的经济损失超过1.70亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部；入侵的来源首先是内部心怀不满的员工，其次为黑客，另外是竞争者等。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。黑客威胁的报到如今已经屡见不鲜了，国内外甚至美国国防部的计算机网络也都常被黑客们光顾。

国内由于计算机及网络的普及较低，加知黑客们的攻击技术和手段都相应较为落后，因此，前几年计算机安全问题暴露得不是太明显，但随着计算机的飞速发展、普及、攻击技术和手段的不断提高，对我们本就十分脆弱的系统带来了严重的威胁。据调查，国内考虑并实施完整安

全措施的机构寥寥无几，很多机构仅仅简陋的用了一点点安全策略或根本无任何安全防范。我们不能总是亡羊补牢。

在计算机网络和系统安全问题中，常有的攻击手段和方式有：利用系统管理的漏洞直接进入系统；利用操作系统和应用系统的漏洞进行攻击；进行网络窃听，获取用户信息及更改网络数据；伪造用户身份、否认自己的签名；传输释放病毒和如J a v a/A c t i v e X控件来对系统进行有效控制；I P欺骗；摧毁网络节点；消耗主机资源致使主机瘫痪和死机等等。

二、计算机网络系统安全问题•

由于大型网络系统内运行多种网络协议（T C P/I P、I P X/S P X、N E T B E U A 等），而这些网络协议并非专为安全通讯设计。因此，网络系统可能存在的安全威胁主要来自以下方面：

操作系统的安全性：目前流行的许多操作系统均存在网络安全漏洞，如：U N I X服务器、N T服务器及W i n d o w s桌面P C等。

来自内部网用户的安全威胁。

缺乏有效的手段监视和评估网络系统的安全性。

采用T C P/I P协议族软件，本身缺乏安全性。

未能对来自外部的电子邮件挟带的病毒及W e b浏览可能存在的恶意J a v a/A c t i v e控件等进行有效控制。

应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过检验。

从网络协议体系来看，网络系统安全则可从物理层、链路层、网络层、操作系统、应用平台、应用系统几方面来分别讨论。

物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击如干扰等。

链路层的网络安全需要保证通过网络链路的数据不被窃听。

网络层的安全需要保证网络只给授权的用户使用授权的服务，保证网络路由正确，避免被拦截或监听。

操作系统安全要求保证用户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、W e b服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如S S L等）来增强应用平台的安全性。

应用系统完成网络系统的最终目的—为用户服务，应用系统的安全与系统设计和实现关系密切。

因此，对于网络系统安全问题需解决好如下问题：

在中心的局域网中如何在网络层实现安全性？如何控制远程用户访问的安全性？

在广域网上的数据传输实现安全加密传输和用户的认证？

在连接外部网络时，如何保证系统的安全性？

如何在整个网络中防止病毒的入侵，包括I n t e r n e t、服务器、工作站和电子邮件等各个部分？

如何防止黑客的入侵？即使黑客入侵，如何降低系统的损失？

系统软件如何保证其系统安全？

应用系统如何保证其系统安全？

如何保证电子邮件系统的安全性？

如何主动的检查和查找网络系统的安全漏洞，并及时的防范和解决？

如何评估系统的整体安全性？

如何规划整个网络的安全系统方案？

三、解决网络安全问题的一些技术和方法•

划分网段、局域网交换技术和V L A N实现：

划分网段、局域网交换技术和V L A N实现主要解决局域网络的安全问题。

由于局域网是广播型网络，因此，若在广播域中进行监听，就可以对信息包进行分析，那么本广播域的信息传递都会暴露无遗。

划分网段，其本质就是限制广播域，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。其方式可分为物理分段和逻辑分段两种。物理分段通常是将网络从物理层和数据链路层上分开网段，各网段相互间无法进行直接通讯；逻辑分段是指将整个系统在网络层上进行分段。

局域网交换和V L A N技术将传统的基于广播的局域网技术发展为面向

连接的技术，从广播网络转变为点到点的通讯，除非设置监听口，信息交换也不会存在监听和篡改等问题。

但是，用了局域网交换和V L A N技术仍然有一定的安全问题：如局域网设备成为了新的攻击对象、基于网络广播原理的入侵监测技术在交换网络中的运用问题、基于M A C的V L A N不能防止M A C欺骗攻击等。

加密技术、数字签名和认证、V P N技术：

加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性，因而这一类安全保障技术的基石是适用的数据加密技术极其在分布式系统中的应用。

防火墙

防火墙通常是网络互连中的第一道屏障。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。如今的防火墙功能越来越强大，从应用上分为包过滤和代理服务器两类；从实现上分为软件防火墙和硬件防火墙两类，通过防火墙能解决如下问题：保护脆弱服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。如，防火墙可以禁止N I S、N F S、T E L N E T服务通过，同时可以拒绝源路由和I C M P重定向封包。

控制对系统的访问：防火墙可以提供对系统的访问控制。如允许从外部访问某些主机同时禁止访问某些主机。

集中的安全管理：防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设定安全策略。

增强的保密性：使用防火墙可以阻止攻击者攻击网络系统的有用信息，如F i n g e r、D N S等。

记录和统计网络利用数据以及非法使用数据：防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且，防火墙可以提供统计数据来判断可能的攻击和探测。

策略执行：防火墙提供了制定和执行网络安全策略的手段，未设置防火墙时，网络安全仅取决于每台主机的用户。