摘　要：

摘　要：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全是當(dāng)前社會(huì)議論的熱點(diǎn)，它對(duì)于政府部門未來的發(fā)展有著非常大的影響。目前形勢來看，我國政府部門數(shù)據(jù)信息安全很不樂觀，特別是在信息網(wǎng)絡(luò)安全方面、網(wǎng)絡(luò)安全技術(shù)人才方面、政府部門內(nèi)部員工網(wǎng)絡(luò)安全防護(hù)意識(shí)方面均存在著較大問題�；�于此，本文從網(wǎng)絡(luò)安全現(xiàn)狀與常見威脅出發(fā)，重點(diǎn)分析了網(wǎng)絡(luò)安全結(jié)構(gòu)，以期能夠?qū)φ�府部門信息安全建言獻(xiàn)策。

關(guān)鍵詞：

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)　安全　VLAN

1　網(wǎng)絡(luò)安全現(xiàn)狀

1.1　政府部門網(wǎng)絡(luò)安全現(xiàn)狀

　　就目前形勢來看，我國政府部門數(shù)據(jù)信息安全很不樂觀，特別是在信息網(wǎng)絡(luò)安全方面、網(wǎng)絡(luò)安全技術(shù)人才方面、政府部門內(nèi)部員工網(wǎng)絡(luò)安全防護(hù)意識(shí)方面均存在著較大問題。更有甚者，一些政府部門領(lǐng)導(dǎo)認(rèn)為像防火墻此類的安全防護(hù)軟件可有可無。還有一些政府部門雖然設(shè)置了部分防火墻軟件，但在后期的維護(hù)方面，政府部門領(lǐng)導(dǎo)只看到眼前利益，不愿意進(jìn)行過多的投資。殊不知，網(wǎng)絡(luò)安全體系的構(gòu)建是一項(xiàng)長期的工作，只有在關(guān)鍵時(shí)刻才能夠顯示其最大的價(jià)值。

1.2　政府部門網(wǎng)絡(luò)面臨的安全威脅

　　第一，非授權(quán)訪問。所謂非授權(quán)訪問是指通過編寫各種木馬病毒或者通過調(diào)整計(jì)算機(jī)程序入侵其他用戶的網(wǎng)絡(luò)，或者以非法未授權(quán)的方式訪問其他用戶系統(tǒng)文件。有些黑客會(huì)通過一些非法手段，肆意擴(kuò)大訪問權(quán)限或者以虛假身份進(jìn)入他人計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行各種數(shù)據(jù)信息的讀取。

　　第二，木馬程序及后門。這種威脅主要是指利用遠(yuǎn)程控制手段，對(duì)他人計(jì)算機(jī)程序進(jìn)行非常隱蔽或者未授權(quán)方式的讀取。如果政府部門的某臺(tái)計(jì)算機(jī)被非法安裝了木馬程序或者后門，那么該計(jì)算機(jī)上的各種機(jī)密信息就極有可能被黑客竊取。譬如該計(jì)算機(jī)上輸入的各種密碼，相互交換的各種數(shù)據(jù)信息，均會(huì)通過非法程序向黑客直接發(fā)送�，F(xiàn)階段這種遠(yuǎn)程控制方式非常普遍，也是黑客竊取他人信息的主要手段之一。

　　第三，計(jì)算機(jī)病毒。這種網(wǎng)絡(luò)威脅方式通常情況下均是由不法分子直接在計(jì)算機(jī)程序中安裝破壞計(jì)算機(jī)功能，竊取計(jì)算機(jī)數(shù)據(jù)而安裝的。一般情況下，計(jì)算機(jī)一旦被病毒感染之后，均會(huì)出現(xiàn)藍(lán)屏、自動(dòng)重啟、卡機(jī)等問題，而且會(huì)在非常短的時(shí)間之內(nèi)致使整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，給政府部門帶來非常慘重的損失。

2　網(wǎng)絡(luò)安全體系研究

  2.1　互操作性

　　對(duì)于各個(gè)服務(wù)都必須遵循的基本安全策略工作時(shí)，就是為了解決系統(tǒng)互操作性的關(guān)鍵要素。也就是說系統(tǒng)安全策略必須保證其各個(gè)服務(wù)都遵循一致。此外，對(duì)于某些服務(wù)的活動(dòng)范圍其依據(jù)并不是直接來源于系統(tǒng)安全策略，而是出于服務(wù)間的聯(lián)動(dòng)規(guī)則。所以說針對(duì)此類系統(tǒng)控制中心必須能夠及時(shí)的實(shí)現(xiàn)這種聯(lián)動(dòng)規(guī)則。

　　2.2　可管理性

　　對(duì)于一個(gè)設(shè)計(jì)良好的可靠地信息安全集成管理平臺(tái)來說，其應(yīng)該能夠從管理技術(shù)和管理策略上保證系統(tǒng)的安全策略能夠得到更好更整準(zhǔn)確地實(shí)現(xiàn)，進(jìn)而促使對(duì)安全需求方面能夠更加全面準(zhǔn)確地得到滿足。這即包括了確定必需的安全服務(wù)也包含了對(duì)安全機(jī)制與技術(shù)管理方面的要求，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全體系在系統(tǒng)中的合理部署與配置。

　　2.3　可擴(kuò)展性

　　關(guān)于網(wǎng)絡(luò)安全體系集成可擴(kuò)展性的要求是：對(duì)于每種新投入的安全服務(wù)或安全設(shè)備，或者新型的網(wǎng)絡(luò)安全技術(shù)的使用，系統(tǒng)可接納其無縫集成運(yùn)行到系統(tǒng)中無需對(duì)操作本身作修改，或只作較少配置改動(dòng)。

3　網(wǎng)絡(luò)安全設(shè)計(jì)結(jié)構(gòu)

    依據(jù)網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)，安全防御策略應(yīng)是全方位和動(dòng)態(tài)縱深的，對(duì)網(wǎng)絡(luò)實(shí)行分層、分級(jí)以及實(shí)時(shí)防護(hù)，對(duì)于網(wǎng)絡(luò)中的特定的安全漏洞能夠及時(shí)評(píng)估和發(fā)現(xiàn)，對(duì)于各種網(wǎng)絡(luò)的侵入行為實(shí)時(shí)監(jiān)測并能依據(jù)監(jiān)測結(jié)果預(yù)警，甚至是遭受攻擊時(shí)，自發(fā)地發(fā)出報(bào)警信號(hào)、處理措施；這樣就使得在惡意入侵某一層安全防御措施后，能被后續(xù)的應(yīng)急措施阻攔，確保系統(tǒng)的最大程度安全。

　　3.1　VLAN的網(wǎng)絡(luò)分割

    在以太網(wǎng)發(fā)展的過程中，出現(xiàn)了廣播相關(guān)的技術(shù)問題以及安全性問題，為了解決這個(gè)問題，人們提出了VLAN協(xié)議。這個(gè)協(xié)議的原理是，在傳統(tǒng)以太網(wǎng)幀上增加了VLAN頭，通過這樣的VLAN ID將網(wǎng)絡(luò)上的計(jì)算機(jī)分為相對(duì)獨(dú)立的工作組，而不同組之間的計(jì)算機(jī)不能進(jìn)行直接互相訪問，每個(gè)VLAN就是一個(gè)虛擬局域網(wǎng)，這樣使得技能限制廣播的范圍，并能夠組成虛擬的工作組，VLAN之間的互相訪問則需要有協(xié)議中的授權(quán)進(jìn)行信息交換。為了防止敏感資源的泄露以及廣播信息的泛濫，在0層交換機(jī)的集中式網(wǎng)絡(luò)環(huán)境中，將網(wǎng)絡(luò)中的所有客戶計(jì)算機(jī)和服務(wù)器分別分配到不同的VLAN中，而在相對(duì)獨(dú)立的VLAN中，用戶通過設(shè)置IP來進(jìn)行與服務(wù)器之間的互相ping是被禁止的，同樣也需要禁止用戶計(jì)算機(jī)對(duì)服務(wù)器相關(guān)數(shù)據(jù)資源的寫入，只允許相關(guān)數(shù)據(jù)的讀出，通過這樣的協(xié)議機(jī)制，能夠更好地保護(hù)主機(jī)資源和服務(wù)器中的敏感信息。而在實(shí)際應(yīng)用中，政府部門的部門位置有些分散，有些交叉重疊、不易分離，我們通過三層交換機(jī)網(wǎng)絡(luò)，經(jīng)過VLAN的相關(guān)劃分，實(shí)現(xiàn)部門都有各自獨(dú)有的VLAN，既方便了互相訪問，有保證了信息的安全。

    3.2　MAC地址綁定

    這樣的綁定是通過0層交換機(jī)，在其安全控制列表中，使得計(jì)算機(jī)的MAC地址和交換機(jī)上的端口進(jìn)行捆綁，由于MAC地址是網(wǎng)絡(luò)適配卡的網(wǎng)絡(luò)身份標(biāo)識(shí)，通過這樣的綁定，可以有效防止未注冊的非法計(jì)算機(jī)訪問網(wǎng)絡(luò)，這也就是物理層面的安全防御。同樣，我們也可以使用內(nèi)部網(wǎng)絡(luò)的安全管理系統(tǒng)，統(tǒng)籌分配網(wǎng)絡(luò)中的硬件資源。

    3.3　防火墻配置

    上述我們講述了VLAN將網(wǎng)絡(luò)劃分為獨(dú)立的VLAN網(wǎng)絡(luò)，而在這些網(wǎng)絡(luò)之間，需要我們使用特定的軟件或硬件系統(tǒng)，來保證外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的相對(duì)隔離防護(hù)，也即防火墻的配置。本文則是采用硬件防火墻方式，是通過控制特定的數(shù)據(jù)通訊的是否與許出入來實(shí)現(xiàn)的，這是通過訪問控制策略來決定一個(gè)數(shù)據(jù)的出入是否被允許的。

    對(duì)于一個(gè)網(wǎng)絡(luò)，在保證安全性的同時(shí)，也要考慮信息通信的運(yùn)行速度以及經(jīng)濟(jì)性等問題，因此在防火墻配置的軟硬件選型中，要選用符合相關(guān)保密要求的國產(chǎn)防火墻，從而有效防止外部用戶的非法訪問，而為了充分的保證網(wǎng)絡(luò)安全，可以配置1套備份防火墻，，在其中一臺(tái)出現(xiàn)問題時(shí)，另一臺(tái)迅速啟動(dòng)，以達(dá)到無縫保護(hù)網(wǎng)絡(luò)安全。

    3.4　入侵檢測系統(tǒng)的部署

    相對(duì)于防火墻的部署位置，入侵監(jiān)測是部署在網(wǎng)絡(luò)的旁路中，不必像防火墻那樣對(duì)所有出入網(wǎng)絡(luò)的信息進(jìn)行訪問控制，不會(huì)影響整個(gè)網(wǎng)絡(luò)的整體性能；在對(duì)全部網(wǎng)絡(luò)的內(nèi)容進(jìn)行入侵檢測和判斷，并對(duì)分析歷史進(jìn)行記錄，以利于事故追憶和系統(tǒng)恢復(fù)，并斷開特定的網(wǎng)絡(luò)鏈接等。網(wǎng)絡(luò)通信的最終目的是為了提供網(wǎng)絡(luò)上計(jì)算機(jī)之間的數(shù)據(jù)通信和數(shù)據(jù)交換，而身份認(rèn)證正是基于對(duì)通信雙方進(jìn)行身份的確認(rèn)，保證每次通信雙方的信息安全。本文中我們使用USB Key方法，這種方法是基于軟硬件認(rèn)證技術(shù)，在保證安全性的同時(shí)，也保證了易用性。

   3.5　內(nèi)網(wǎng)安全管理

    傳統(tǒng)的安全防御理念，重點(diǎn)集中在常規(guī)的漏洞掃描、入網(wǎng)檢測等方面，重要的安全設(shè)備雖然集中在機(jī)房中，處在層層的保衛(wèi)中，來自網(wǎng)絡(luò)外部的安全威脅大大的縮小了，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻相對(duì)比較突出，這也是由于內(nèi)網(wǎng)頻頻出現(xiàn)的違規(guī)安裝軟件，私自撥號(hào)上網(wǎng)以及私自接入其他非法計(jì)算機(jī)等情況使得內(nèi)網(wǎng)網(wǎng)絡(luò)問題頻頻出現(xiàn)，危及網(wǎng)絡(luò)的安全，網(wǎng)絡(luò)管理員相應(yīng)的需要從準(zhǔn)入控制管理以及信息訪問控制等六大功能體系出發(fā)，來有效地解決出現(xiàn)的問題。

　　4　結(jié)論

　　政府部門計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建是一個(gè)非常復(fù)雜的系統(tǒng)工程，它涉及到多個(gè)學(xué)科的內(nèi)容，同時(shí)也需要政府部門各個(gè)部門的相互協(xié)調(diào)配合。實(shí)際上，絕對(duì)的數(shù)據(jù)安全是不可能實(shí)現(xiàn)的，只有政府部門自身重視數(shù)據(jù)信息保護(hù)，制定相對(duì)完善的數(shù)據(jù)信息安全保護(hù)制度，才能夠從根本上實(shí)現(xiàn)政府部門機(jī)密信息的絕對(duì)安全。