计算机网络安全性研究

摘要：随着网络时代的飞速发展，计算机网络安全问题也日益突出。本文重点探讨了计算机网络安全的相关技术以及设备布置，在一定程度上很好地保证计算机网络的安全。

关键词：网络安全 安全技术 网络设备

1.引言

近年来，随着计算机网络在全社会的逐步推广应用，尤其是国际互联网Internet的在我国的引入，使得社会的信息化进程进一步加快，给人们带来了巨大的经济效益和社会效益。但同时我们也应看到：许多非常机密的数据都需要在网络上传输，从而使得数据在网络上中的传输的安全性也日益突出地暴露出来。因为我们赖以传输的计算机网络是一个不安全的数据传输系统和资源共享系统。也就是说，必须保证计算机网络上日益庞杂信息的安全性，这是本文研究的重点。

2.计算机网络安全的技术

2.1 身份认证系统

用户验证是计算机网络安全最常用的手段之一。随着信息技术的飞速发展，在计算机网络中，建立起统一的身份认证，供各应用系统使用，实现用户统一管理、认证和授权，既方便计算机网络安全内部用户的使用，规范管理，又增强计算机网络安全信息的安全。统一身份认证系统采用目录服务集中存储用户信息和应用系统信息，对用户实行集中管理、统一认证和授权。系统主要包括：用户认证和授权以及用户集中管理。

(1)系统的统一认证和授权控制是相结合的，常用的访问控制策略有自主访问控制(Discretionary Access Control,DAC)、强制访问控制(Mandatory Access Control,MAC)和基于角色的访问控制(Role Based Access Control, RRAC)等[1]。结合计算机网络安全的实际情况，每个用户的电子身份映射到他的实际身份，而用户的身份决定了他在高计算机网络安全中的一个角色。

授权策略的具体实现是，应用系统根据计算机网络安全用户权限不同，将合法用户分为若干组，应用系统根据用户的身份信息决定用户属于哪个用户组别。应用系统注册后其用户组信息存储在目录数据库中，应用系统要求统一身份认证系统认证用户身份信息时，统一身份认证系统根据用户身份查找该用户在应用系统中所属的用户组，并将该信息返回给应用系统，应用系统根据用户所属组决定用户权限。

(2)用户资料管理

为了保证用户的电子身份和他在计算机网络安全内真实身份的映射，用户的基本资料来自于不同的管理区域。该功能就是接收来自这些部分的用户信息，并将其保存到目录数据库中，信息的交互主要通过SOAP消息传递实现。

对于个别用户信息的维护，可以采用SOAP的远程调用机制，在统一认证系统的用户管理模块中提供相应的SOAP服务。通过数据库的触发器同步调用相应的SOAP服务，从而实现目录数据库中用户数据和各个管理系统数据库之间的数据同步。

2.2 VPN技术

VPN作为一种新兴网络技术，以其安全和低成本得到了飞速发展。VPN技术是利用公网来构建专用网络的技术，即将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网。为了保障信息在Internet上传输的安全上，VPN技术采用了认证、存储控制、机密性、数据完整性等措施，保证信息在传输中不被偷看和篡改[2]。

当VPN被配置并初始化后，应用程序把虚拟适配器和物理适配器等同对待。

操作系统内核负责管理在内核中执行的安全协议的SA有效期，当一个安全关联的生存期满时，内核发送SADB_EXPIRE消息给所有的密钥套接字监听者，以便密钥交换守护进程协商一个替代的安全关联。

2.3 包过滤技术

包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。比如：包过滤防火墙一般含有一个包检查模块，它可以安装在网关或者路由器上，处于系统的TCP层和IP层之间，以便抢在操作系统或路由器的TCP层之前对IP包进行处理。通过检查模块的处理，防火墙可以对进出站的数据进行检查，验证数据包是否符合过滤规则。对不符合规则的包进行报警处理，对需要丢弃的数据包，防火墙可根据包过滤策略，决定是否回复。

3.计算机网络安全的设备布置

3.1置防火墙

防火墙是设置在被保护计算机网络间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它是计算机网络区域之间信息的唯一出入口，能根据计算机网络的安全政策控制(允许、拒绝、监测)出入计算机网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现计算机网络和信息安全的基础设施。

通过利用防火墙对计算机内部网络的划分，可实现内部计算机网络重点网段的隔离，从而限制了计算机网络局部重点或敏感网络安全问题对计算机全局网络造成的影响。再者，隐私是一般密级网络非常关心的问题，一个计算机内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了计算机内部网络的某些安全漏洞。使用防火墙就可以隐蔽计算机网络那些透漏内部细节，如Fingers、DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关计算机内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

3.2置杀毒软件

计算机网络用机的人员对电脑知识掌握水平参差不齐。所以在整个计算机网络系统中采用一套行之有效的防杀毒软件显得格外重要。可以选择采用业界功能较强的杀毒软件。只要计算机网络内部的服务器端更新了病毒码，则计算机网络各受管理的工作站就会实时更新病毒码的功能；通过计算机网络服务器上系统中心可获知任何设置“接受管理”的工作站是否操作了带病毒的程序和文件，从而可定位于病毒的发源地；计算机网络内部的服务器及工作站也应该具有实时防护功能，能对病毒入侵进行提示及杀除，从而有效避免病毒的感染。

4.小结

总之，良好的计算机网络安全除了选择好的网络防火墙以抵御恶意的进攻，实现对内网的保护、安装并及时更新杀毒软件外，应该是基于全面的安全策略上的，如：VLAN (虚拟局域网)设计：对计算机网络的逻辑结构进行合理划分，以达到信息流量的控制，并提供良好的安全性；建立计算机管理的规章制度，利用条例约束计算机网络用户的行为，进一步确保计算机网络的安全。◆

参考文献：

[1]彭杰，计算机网络安全问题的探讨[J].现代电子技术,2007,(6):13-15.

[2]金雷，谢立.网络安全综述[J].计算机工程与设计,2005,24(2):19-22.

作者简介：吴诗豪（1985-），男，贵州铜仁人，西北民族大学计算机科学与信息工程学院（二级单位），学生，计算机科学与技术。