论述计算机网络安全技术要点

李 方

天津市南开区住房保障中心

1 访问控制策略

(1)入网访问控制

入网访问控制为网络访问提供了第一层访问控制。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络，这样一些非法用户就不能轻易进入系统。

对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。如果验证合法，才继续验证用户输入的口令。用户的口令是用户入网的关键所在，为保证口令的安全性，用户口令不能显示在显示屏上，必须以一种特别的字符表示。口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合。用户口令必须经过加密，加密的方法很多。经过上述方法加密的口令，即使是系统管理员也难以得到它。

网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户口令应是用户访问网络所必须提交的“证件”。用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面：最小口令长度、强制修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数。

用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的“资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

(2)网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。

(3)目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有8种：系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下几个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。

(4)属性安全控制

当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。

2 计算机网络安全保护技术

(1)防火墙技术

防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Intemet之后，系统的安全除了考虑计算机病毒、系统的健壮性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

(2)数据加密技术

数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密钥的管理技术。这样做能够防止在存储环节上的数据丢失，能够对传输中的数据流加密，能够对介入信息的传送，存取，处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对向输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

(3) PKI技术

PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。

(4)入侵检测技术

入侵检测技术是为保证计算机系统的安全设计与配置的一种及时发现并报告系统中被受权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

结语

计算机网络在全球范围内得到了迅速发展，其应用几乎包括了人类生活工作的全部领域，它在带给我们前所未有的方便的同时，也给我们制造了大量的难题。计算机网络的安全是一个综合性的课题，涉及到技术、管理、使用和维护等多方面。既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。为保证计算机网络系统的安全，应混合使用多种安全防护策略，同时也会发展出越来越多的安全解决技术，从而使得网络安全防范及管理水平不断提高。

[1]解子明.浅谈计算机网络安全防范技术[J].黑龙江科技信息，2012，33：86.

[2]殷伟，计算机安全与病毒防治[M]合肥：安徽科学技术出版社，2004