1.4 計算機網絡安全的體系結構

因為網絡軟硬件都可能存在安全漏洞，不可能十全十美、無懈可擊，又有各種威脅的存在，使得網絡安全事件頻有發生，要想使網絡盡可能安全可靠，損失盡可能小，人們必須利用其他手段來維護這個網絡體系，即依據一定安全策略建立一個網絡安全防護體系。

安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。實現網絡的安全，不但要靠先進的技術，而且也要靠嚴格的管理、法律約束和安全教育。當前制定的網絡安全策略主要包括5個方面，物理安全策略、訪問控制策略、防火墻控制、信息加密策略和網絡安全管理策略。

由于網絡安全不僅僅是一個純技術問題，而是涉及法律、管理和技術等多方面的因素，因此，單憑技術因素是不可能確保網絡安全的。網絡安全體系由網絡安全法律體系、網絡安全管理體系和網絡安全技術體系組成，而且這三者是相輔相成的。

1.網絡安全技術

網絡技術安全包括物理安全、網絡安全和信息安全。

（1）物理安全

物理安全是指用裝置和應用程序來保護計算機和存儲介質的安全，主要包括環境安全、設備安全和媒體安全。

1）環境安全：對系統所在環境的安全保護，如區域保護和災難保護。要保障區域安全則應設立電子監控，而要在災難發生時使損失盡可能小，則應設立災難的預警、應急處理和恢復機制。

2）設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。

①防盜要求門窗上鎖，并可在安全等級較高的場地安裝報警器。

②防毀即要防火、防水。要求設備外殼有接地保護，以防在有電泄漏時起火對設備造成毀壞。

③防電磁信息輻射泄漏的常用方法有屏蔽、濾波、隔離、接地、選用低輻射設備和加裝干擾裝置。將計算機和輔助設備用屏蔽材料封閉起來，既可防止屏蔽體內的泄漏源產生的電磁波泄漏到外部空間，又可阻止外來電磁波進入屏蔽體；信號線上加裝合適的濾波器可以阻斷傳導泄漏的通路；把需要重點防護的設備從系統中分離出來以切斷其與其他設備間電磁泄漏的通路；良好的接地可以給雜散電磁能量一個通向大地的低阻回路，從而在一定程度上分流可能經電源線和信號線傳輸出去的雜散電磁能量。

④防止線路截獲的方法首先是預防，當然還需用檢測儀器進行探測、定位，然后實施對抗。

⑤電源保護則要求使用UPS、紋波抑制器等。

3）媒體安全：包括媒體數據的安全及媒體本身的安全。

媒體本身的安全要求媒體安全保管，比如防盜、防毀、防霉等。媒體數據安全要求防復制、防消磁、防丟失等。

（2）網絡安全

網絡安全是指主機、服務器安全，網絡運行安全，局域網安全及子網安全。要實現網絡安全，需要內外網隔離、內部網不同網絡安全域隔離，及時進行網絡安全檢測，對計算機網絡進行審計和監控，同時更重要的是網絡反病毒和網絡系統備份。

1）在內部網與外部網之間設置防火墻，用于實現內外網的隔離與訪問控制，這是保護內網安全的最主要、最有效、最經濟的措施之一。

2）內部網的不同網段之間的敏感性和受信任度不同，在它們之間設置防火墻可以限制局部網絡安全問題對全局網絡造成的影響。

3）用網絡安全檢測工具對網絡系統定期進行安全性分析，發現并修正存在的弱點和漏洞可以及時發現網絡中最薄弱的環節，最大限度地保證網絡系統的安全。

4）審計是記錄用戶使用計算機網絡系統進行所有活動的過程，在確定是否有網絡系統攻擊情況時，審計信息對于確定問題和攻擊源很重要。另外，對安全事件的不斷收集、積累和分析，可以對某些站點和用戶進行審計跟蹤。

5）在網絡環境下，由于計算機病毒的威脅和破壞是不可估量的，網絡反病毒非常重要。反病毒可通過對網絡服務器中的文件進行頻繁掃描和監控、在工作站上對網絡目錄和文件設置訪問權限等來實現。

6）備份不僅在網絡系統硬件發生故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡進行攻擊以破壞數據完整性時起到保護作用。更重要的，它是系統災難恢復的前提之一。

（3）信息安全

信息安全就是要保證數據的機密性、完整性、抗否認性和可用性。網絡上的系統信息的安全包括用戶口令鑒別，用戶存取權限控制，數據存取權限、方式控制，安全審計，安全問題跟蹤，計算機病毒防治和數據加密等。

2.網絡安全管理

從加強安全管理的角度出發，網絡安全實質上首先是個管理問題，然后才是技術問題。

（1）安全管理原則

系統的安全管理在行政安排上一般基于以下3個原則。

1）多人負責原則：每一項與系統安全有關的工作進行時都必須有兩人或多人在場。

2）任期有限原則：安全管理的職務最好不要長期由某個人擔任，這樣可以防止某些人利用長期的工作機會，從事有損他人利益的活動而不容易被發現。

3）職責分離原則：在信息處理系統工作的人員不要打聽、了解或參與本人業務范圍以外的與安全有關的事情。

遵守以上原則并不困難，而是難在要始終堅持。

（2）安全管理工作

網絡安全管理要做的具體工作如下：

1）根據工作的重要程度確定系統的安全等級；根據確定的安全等級確定安全管理范圍；根據安全管理范圍分別進行安全管理。比如對安全等級較高的系統實施分區控制等。

2）制定嚴格的安全制度，如機房出入管理制度、設備管理制度、軟件管理制度、備份制度等。

3）制定嚴格的操作規程，遵循職責分離和多人多責的原則，各司其職，各負其責，做到事事有人管，人人不越權。

4）制定完備的系統維護制度，對系統維護前應報主管部門批準，維護時要詳細記錄故障原因、維護內容、系統維護前后的狀況等。

5）制定應急恢復措施，以便在緊急情況下盡快恢復系統正常運行。

6）加強人員管理，調離人員有安全保密義務，并及時收回其相關證件和鑰匙，工作人員調離時還要及時調整相應的授權并修改相關口令。