试议网络安全管理问题及路径

一、网络安全管理过程

要实现网络安全管理，需要4个管理过程：首先，应确定所要保护的敏感信息；然后，找出敏感信息的网络访问点；采用各种安全策略对网络访问点进行保护；最后，定期对网络访问点进行检查，以维护网络安全。

1.确定所要保护的敏感信息实现网络安全管理的第一步就是要确定网络中哪些主机上有敏感信息。对于多数网络用户来说，敏感信息一般包括账户、财政、顾客、市场、工程和雇员信息等。对于网络管理部门来说，网络的运行状态信息、提供的网络服务、网络传输协议使用的服务端口是要保护的敏感信息。在应用中，每个特定的网络环境都会有其特定的敏感信息。另外，网络地址、名字、操作系统版本、运行时间等看似无关紧要的信息，也会存在着影响安全管理的漏洞。大多数公司的网络管理者都不希望外部人员了解其内部网络有关信息，如拓扑结构、子网划分、IP地址分配等，都采用网络防火墙技术来解决这一问题。

2.网络访问点网络管理中，不但知道了要保护的数据信息、网络服务和存放主机的位置，还要知道其他网络用户如何访问信息和如何访问相应主机。在网络安全管理中，需常对网络设备和主机的所有网络服务进行检查，尤其是用户远程登录服务和文件传输服务。主机向用户提供远程登录服务，用户可在主机上进行权限范围内的操作。如果系统不能识别用户，或不能将用户的操作权限限制，就会对网络安全带来不安全因素，可能导致主机上的敏感信息被破坏，严重的可能让恶意用户攻击整个网络上的主机。网络中还有的主机提供文件传输服务，由于存在匿名登录用户选项，允许网络用户以用户名“anonymous”登录和操作，从而不需要密码，这种登录方式会给文件系统带来毁灭性的灾难。对于提供文件传输服务的主机，网络管理者要小心控制可以访问目录应包括什么信息和“anonymous”用户的操作权限。另外，对于WWW访问服务、电子邮件、远程过程调用、域名服务等可以提供进入主机和进入网络的服务访问点，都需要提供有效的安全保护。

3.网络访问点保护方法要实现网络安全管理，需采用各种安全技术对网络访问点进行可靠的保护。常用的网络安全保护措施主要有以下几种：

（1.数据加密技术数据加密其最常用、最有效的安全保护机制。数据在网络中传输时对其进行加密，即由明码改为密码，接收方要通过解密才能看到原始信息，这样可阻止对敏感信息的非法访问［8］。网络中，具有固定密钥的加密机制有被破译的可能性，在一个既定规则的基础上，经常改变加密密钥和解密密钥可进一步提高数据的安全性。

（2.包过滤技术在网络中，路由器、交换机、网桥等设备担负着转发网络数据的重要任务。包过滤就是在转发功能的基础上根据发送或接收数据包的网络设备的网络地址或媒体访问控制（MAC）地址对数据包进行检查并过滤来自不安全主机的数据，从而有效地保护网络的安全。由于包过滤机制是通过网络设备的网络地址或MAC地址来完成的，网络设备地址或MAC地址发生改变，相应的过滤机制也要发生改变。如果主机的地址改变了而用户并不知道，那么过滤机制就不再有效。在网络中，若要保护的主机很多，过滤规则会过于复杂，那么设备的转发效率和速度就会大大降低，影响网络的性能。

（3.主机认证主机认证方法就是检查发起请求的源主机的标识符，以确定是否允许源主机访问本地的某一网络服务。标识符通常是网络地址，即IP地址或MAC地址。主机认证对授权的主机或某一地址范围内的计算机提供相应的网络服务，没有授权的主机则拒绝。但主机认证不能有效地对付恶意用户的“源地址欺骗”，即用非法主机借用经过授权的网络地址来访问网络。因此，对一台提供敏感信息访问服务的计算机来说，仅知道源主机的标志符并不意味着就可以安全地进行通信。

（4.用户认证用户认证是一种网络访问点安全保护的方式，它使设备能在用户登录之前验明用户的身份，具有合法身份的网络用户才能使用网络，具有比主机认证更高安全程度的登录控制。网络中用来验证使用者常见的方法是用户名／口令（密码），虽说对安全有效，但通常密码会被人通过技术手段和重复尝试而获取，造成系统的不安全。

（5.密钥认证密钥认证就是给合法用户分发密钥，其要依赖网络上的密钥服务器来实现。网络中某一项服务被请求时，源计算机向密钥服务器请求密钥，则服务器要求用户输入用于认证合法性的密钥，这样密钥服务器既能识别源计算机，又能识别要求服务的用户。只有在访问请求时伴有合法密钥，目的计算机才会允许服务。在密钥认证服务中，密钥服务器是关键。密钥服务器的正确配置和管理也是极其重要的，在网络中并不是简单地安装一个密钥服务器就可以使用密钥认证了，要对所有的应用和服务进行修改，以容纳使用密钥服务器。

4.定期检查维护网络安全，除了采用技术防护措施外，还要定期检查所有的安全访问点。网络管理者可利用安全管理工具来监视所有对网络服务的访问，并记录下可能的安全问题。另外，网络管理者也可用有关的网络安全攻击程序来检查自己网络的安全问题，用于确定可能或实际存在的安全漏洞。还有，对网络运行状态进行监视，通过对网络服务访问来判定是否有用户攻击，若存在攻击要及时采取措施。做好数据传输的保密工作，对网络中敏感信息的传输，特别是密码信息的传输，要尽可能采取加密机制。

二、网络管理系统

安全网络系统的正常运行离不开网络管理系统自身的安全，对该系统的管理措施不当，会造成设备的损坏和保密信息的泄露。因此，加强网络管理系统的安全性十分重要，管理中主要从以下几个方面来考虑。

1.管理员身份认证方法对管理员的认证均采用公开密钥的证书认证机制，这样在很大程度上减少安全事故。对于信任级别低的用户，可用简单的口令认证方法，这样可确保用户有更好的可用性。

2.数据安全性对所有信息的存储、传输均通过加密散列，以保证其安全性与完整性。通过Web浏览器访问的信息，Web浏览器与网络服务器之间采用安全套接字层（SSL）传输协议，并对传输的数据和内部存储的机密信息加密以保证其完整性。

3.用户管理对网络管理用户进行分组管理和访问控制，要对管理员按任务的不同分成若干用户组，授予相应的权限范围，并对用户的操作进行访问控制检查，保证用户不能越权使用网络管理操作。目前网络中通常采用公开密钥的证书认证机制来认证用户，并用用户的私有密钥对网络管理信息进行加密和数字签名，在网络中要有证书颁发机构（CA）服务器，专门负责为用户签发证书。用户的个人证书信息要做到详细完整，并由证书的签发者（CA）用自己的私有密钥进行数字签名，没有CA的私有密钥，任何人无法伪造和篡改信息。信息管理证书认证时，首先要求CA服务器建立自签名的CA证书和私人密钥，用于签发证书。在服务器和客户端各自产生一个证书，服务器端的证书用于向客户认证服务器，客户端的证书认证用于向服务器认证客户，这样可使客户与服务器之间通过交换证书实现相互认证，使服务器防止假冒的用户访问，客户也可识别访问的是一个真正的服务器还是一个陷阱。在认证通过后，用户和服务器之间的通信就可以使用安全套接字层（SSL）传输协议进行，保证在网络上传输的数据不被窃听和篡改，实现安全快捷的通信。

4.日志分析记录用户所有的操作，并对用户访问日志进行分析，使系统的操作和对网络对象的操作有据可查，同时也有助于故障的跟踪与恢复。

三、网络安全管理

网络安全管理就是通过网络安全防护和管理，使网络传输的数据安全保密；使网络中所有信息、数据及系统中各种程序完整和准确；使合法访问者接受正常的服务；使网络中各方面的工作符合法律、规则、许可证、合同等规定。

1.网络安全防护网络要使用安全，需对网络进行有效的安全防护，网络安全防护主要包括：物理安全防护、周界安全防护、信息加密与验证3个方面。

(1.物理安全防护主要是保护路由器、交换机、工作站、服务器及打印机等硬件设备和通信设备链路免受自然灾害、人为破坏和搭线窃听等攻击，确保网络设备有一个良好的工作环境，使网络线路和访问点不被非法使用。一般采用的措施是对电源线和信号线加装性能良好的滤波器，减少导线间的交叉耦合，采用各种电磁屏蔽措施防止和抑制外界对系统的电磁干扰；安装防静电地板防静电干扰；安装电磁干扰装置掩盖系统的电磁泄漏；健全管理体系，规范行为。

(2.周界安全防护周界安全防护就是根据安全等级要求的差异将网络进行分段隔离，把对网络攻击和入侵造成的威胁限制在较小的范围之内，提高网络整体的安全水平。周界安全防护一般使用虚拟网技术和防火墙技术。虚拟网技术是通过交换机，根据安全策略，把位于同一交换机的工作站划分到不同的虚拟网络中，或者把位于不同交换机的工作站划分到同一虚拟网络中。虚拟网技术是目前局域网采用的主要隔离措施，但不能有效防止来自内部的攻击。防火墙技术是网络间的一道安全之墙，它根据网络安全等级和信任关系，将网络划分成一些相对独立的子网，使网络对外通信和对内通信都受到防火墙的检查控制。防火墙允许符合安全策略的数据包通过，而把不符合安全策略的数据包隔离开来。防火墙分为网络层防火墙和应用层防火墙。网络层防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据。而应用层防火墙则对整个信息流进行分析。网络中常用的防火墙技术有：应用网关、电路网关、包过滤、网关和网络地址转换等技术。

(3.信息加密与验证信息加密主要是保护网络中的数据、文件、密码和控制信息，保护网络会话的完整性。信息加密可在网络的链路级、网络级、应用级上进行，加密技术是网络安全最有效的技术之一。信息加密根据算法方式分为对称密码算法和非对称密码算法两大类。在对称密码算法中，加密和解密使用相同的密钥，即加密密钥和解密密钥是相同的或是等价的，具有很强的保密性，但其密钥须通过安全的途径传送。而非对称算法中，加密和解密使用的密钥不相同，加密和解密都依靠一个公钥（公开的密钥）和对应的私钥来完成，不要求通信双方事先传递密钥或有任何约定就能完成保密通信，密钥管理方便，可实现防止假冒和抵赖。因此，更适合网络通信中的保密通信要求。认证是指对网络用户的用户名和密码进行验证，防止非法访问的一道防线。用户注册时首先输入用户名和密码，服务器校验证所输入的用户名是否合法，如果验证合法，则又验证用户输入的密码是否合法。二者不合法，用户将被拒于网络之外。用于认证的密码是用户使用网络的关键，不能显示在显示屏上，通常是经过加密后存储在主机系统中。对于远程通信，则首先要通过身份验证和授权，信息才能以明文或加密的形式在客户机和服务器之间进行传送。

2.网络的安全管理要实现网络的安全管理，除了进行有效的安全防护外，还要认真做好以下几个方面的工作。

(1.配置好网络资源的访问控制通过管理路由表的访问控制列表，完成防火墙的管理功能，从网络层和传输层控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来攻击。

(2.认真对待告警事件分析对网络对象所发出的告警事件，管理员要认真分析与安全相关的信息（如路由器登录信息、认证失败信息），并从历史安全事件中进行检索和分析，及时发现正在进行的攻击或可疑的攻击迹象。

(3.加强对主机系统安全漏洞的检测实时地监测主机系统重要服务的状态。利用安全监测工具，经常搜索系统可能存在的安全漏洞或安全隐患，并设计好弥补的方案或措施。

(4.做好数据的备份主要是对网络中的重要数据或敏感信息要经常备份，当数据或信息不幸遭受病毒或是黑客破坏时，可以用备份来恢复丢失的数据。总之，对于网络安全，只要网络用户树立安全意识，明确网络管理的步骤，做好各种防护措施，使用新的安全技术手段，就能降低网络安全风险，使网络能提供安全可靠的通信服务。

作者：梁兴祥单位：玉溪市第二职业中学