计算机网络系统的安全集成研究

摘　要：

摘　要：计算机网络系统安全是当前社会议论的热点，它对于政府部门未来的发展有着非常大的影响。目前形势来看，我国政府部门数据信息安全很不乐观，特别是在信息网络安全方面、网络安全技术人才方面、政府部门内部员工网络安全防护意识方面均存在着较大问题。基于此，本文从网络安全现状与常见威胁出发，重点分析了网络安全结构，以期能够对政府部门信息安全建言献策。

关键词：

关键词：计算机网络　安全　VLAN

1　网络安全现状

1.1　政府部门网络安全现状

　　就目前形势来看，我国政府部门数据信息安全很不乐观，特别是在信息网络安全方面、网络安全技术人才方面、政府部门内部员工网络安全防护意识方面均存在着较大问题。更有甚者，一些政府部门领导认为像防火墙此类的安全防护软件可有可无。还有一些政府部门虽然设置了部分防火墙软件，但在后期的维护方面，政府部门领导只看到眼前利益，不愿意进行过多的投资。殊不知，网络安全体系的构建是一项长期的工作，只有在关键时刻才能够显示其最大的价值。

1.2　政府部门网络面临的安全威胁

　　第一，非授权访问。所谓非授权访问是指通过编写各种木马病毒或者通过调整计算机程序入侵其他用户的网络，或者以非法未授权的方式访问其他用户系统文件。有些黑客会通过一些非法手段，肆意扩大访问权限或者以虚假身份进入他人计算机网络进行各种数据信息的读取。

　　第二，木马程序及后门。这种威胁主要是指利用远程控制手段，对他人计算机程序进行非常隐蔽或者未授权方式的读取。如果政府部门的某台计算机被非法安装了木马程序或者后门，那么该计算机上的各种机密信息就极有可能被黑客窃取。譬如该计算机上输入的各种密码，相互交换的各种数据信息，均会通过非法程序向黑客直接发送。现阶段这种远程控制方式非常普遍，也是黑客窃取他人信息的主要手段之一。

　　第三，计算机病毒。这种网络威胁方式通常情况下均是由不法分子直接在计算机程序中安装破坏计算机功能，窃取计算机数据而安装的。一般情况下，计算机一旦被病毒感染之后，均会出现蓝屏、自动重启、卡机等问题，而且会在非常短的时间之内致使整个计算机系统瘫痪，给政府部门带来非常惨重的损失。

2　网络安全体系研究

  2.1　互操作性

　　对于各个服务都必须遵循的基本安全策略工作时，就是为了解决系统互操作性的关键要素。也就是说系统安全策略必须保证其各个服务都遵循一致。此外，对于某些服务的活动范围其依据并不是直接来源于系统安全策略，而是出于服务间的联动规则。所以说针对此类系统控制中心必须能够及时的实现这种联动规则。

　　2.2　可管理性

　　对于一个设计良好的可靠地信息安全集成管理平台来说，其应该能够从管理技术和管理策略上保证系统的安全策略能够得到更好更整准确地实现，进而促使对安全需求方面能够更加全面准确地得到满足。这即包括了确定必需的安全服务也包含了对安全机制与技术管理方面的要求，从而实现网络安全体系在系统中的合理部署与配置。

　　2.3　可扩展性

　　关于网络安全体系集成可扩展性的要求是：对于每种新投入的安全服务或安全设备，或者新型的网络安全技术的使用，系统可接纳其无缝集成运行到系统中无需对操作本身作修改，或只作较少配置改动。

3　网络安全设计结构

    依据网络安全的相关法律法规，安全防御策略应是全方位和动态纵深的，对网络实行分层、分级以及实时防护，对于网络中的特定的安全漏洞能够及时评估和发现，对于各种网络的侵入行为实时监测并能依据监测结果预警，甚至是遭受攻击时，自发地发出报警信号、处理措施；这样就使得在恶意入侵某一层安全防御措施后，能被后续的应急措施阻拦，确保系统的最大程度安全。

　　3.1　VLAN的网络分割

    在以太网发展的过程中，出现了广播相关的技术问题以及安全性问题，为了解决这个问题，人们提出了VLAN协议。这个协议的原理是，在传统以太网帧上增加了VLAN头，通过这样的VLAN ID将网络上的计算机分为相对独立的工作组，而不同组之间的计算机不能进行直接互相访问，每个VLAN就是一个虚拟局域网，这样使得技能限制广播的范围，并能够组成虚拟的工作组，VLAN之间的互相访问则需要有协议中的授权进行信息交换。为了防止敏感资源的泄露以及广播信息的泛滥，在0层交换机的集中式网络环境中，将网络中的所有客户计算机和服务器分别分配到不同的VLAN中，而在相对独立的VLAN中，用户通过设置IP来进行与服务器之间的互相ping是被禁止的，同样也需要禁止用户计算机对服务器相关数据资源的写入，只允许相关数据的读出，通过这样的协议机制，能够更好地保护主机资源和服务器中的敏感信息。而在实际应用中，政府部门的部门位置有些分散，有些交叉重叠、不易分离，我们通过三层交换机网络，经过VLAN的相关划分，实现部门都有各自独有的VLAN，既方便了互相访问，有保证了信息的安全。

    3.2　MAC地址绑定

    这样的绑定是通过0层交换机，在其安全控制列表中，使得计算机的MAC地址和交换机上的端口进行捆绑，由于MAC地址是网络适配卡的网络身份标识，通过这样的绑定，可以有效防止未注册的非法计算机访问网络，这也就是物理层面的安全防御。同样，我们也可以使用内部网络的安全管理系统，统筹分配网络中的硬件资源。

    3.3　防火墙配置

    上述我们讲述了VLAN将网络划分为独立的VLAN网络，而在这些网络之间，需要我们使用特定的软件或硬件系统，来保证外部网络与内部网络的相对隔离防护，也即防火墙的配置。本文则是采用硬件防火墙方式，是通过控制特定的数据通讯的是否与许出入来实现的，这是通过访问控制策略来决定一个数据的出入是否被允许的。

    对于一个网络，在保证安全性的同时，也要考虑信息通信的运行速度以及经济性等问题，因此在防火墙配置的软硬件选型中，要选用符合相关保密要求的国产防火墙，从而有效防止外部用户的非法访问，而为了充分的保证网络安全，可以配置1套备份防火墙，，在其中一台出现问题时，另一台迅速启动，以达到无缝保护网络安全。

    3.4　入侵检测系统的部署

    相对于防火墙的部署位置，入侵监测是部署在网络的旁路中，不必像防火墙那样对所有出入网络的信息进行访问控制，不会影响整个网络的整体性能；在对全部网络的内容进行入侵检测和判断，并对分析历史进行记录，以利于事故追忆和系统恢复，并断开特定的网络链接等。网络通信的最终目的是为了提供网络上计算机之间的数据通信和数据交换，而身份认证正是基于对通信双方进行身份的确认，保证每次通信双方的信息安全。本文中我们使用USB Key方法，这种方法是基于软硬件认证技术，在保证安全性的同时，也保证了易用性。

   3.5　内网安全管理

    传统的安全防御理念，重点集中在常规的漏洞扫描、入网检测等方面，重要的安全设备虽然集中在机房中，处在层层的保卫中，来自网络外部的安全威胁大大的缩小了，来自网络内部的安全威胁却相对比较突出，这也是由于内网频频出现的违规安装软件，私自拨号上网以及私自接入其他非法计算机等情况使得内网网络问题频频出现，危及网络的安全，网络管理员相应的需要从准入控制管理以及信息访问控制等六大功能体系出发，来有效地解决出现的问题。

　　4　结论

　　政府部门计算机网络安全系统的构建是一个非常复杂的系统工程，它涉及到多个学科的内容，同时也需要政府部门各个部门的相互协调配合。实际上，绝对的数据安全是不可能实现的，只有政府部门自身重视数据信息保护，制定相对完善的数据信息安全保护制度，才能够从根本上实现政府部门机密信息的绝对安全。