摘要:信息技术在我国各行各业当中都有较为广泛的应用,在方便人们的工作生活的同时也带来了很多信息安全问题,从而对信息系统网络管理以及安全提出了更高要求,本文探讨了网络管理及其安全设计,旨在寻求如何更好地保护网络安全。
关键词:计算机信息系统;网络管理;安全设计
随着近些年来我国经济的高速发展以及城市化进程的不断深入,计算机信息系统也在各行各业得到了深入的发展,借助了各个行业的优势,现已形成“互联网+”模式。与此同时,这也对计算机信息系统的安全也提出了更高要求。
1当前时代存在的网络隐患
从计算机系统的运行特点可以看出其不免受到如网络环境因素、身份认证因素、人为因素等多方面因素的影响,具体的表现如下:
(1)网络环境隐患。在当前的信息时代的大背景下,网络系统当中往往都需要储存大量数据,并且其中大多数都是重要数据,但是因为互联网的开放性思维与共享性思维,这就导致网络环境安全仍然处在较低的水准,即使是部分的政府网站也无法避免受到攻击。从技术方面来看,现在的计算机信息系统使用的多种协议,都不可避免地存在一定程度上的安全漏洞,这就导致黑客可以借助这些漏洞实施盗取数据、篡改资料,甚至破坏系统基本文件等操作,不仅影响计算机信息系统的安全,更对人们的日常工作生活产生威胁。
(2)身份认证中的隐患。对于目前的计算机信息系统来说,如何正确认证用户身份是其面对的一大困境。目前,不法分子通过伪造用户账户从而实现非法入侵系统,盗取用户数据。而身份认证的隐患往往体现于以下两方面:第一,本身操作系统就存在一部分身份认证隐患,例如目前主流操作系统都是由网络下载补丁之后从而完成升级,而往往这个下载过程就会成为木马和病毒入侵的窗口;第二,身份访问当中的一些隐患同时反映了一些访问信息当中的隐患。当前多数的系统身份认证都是账户密码共同组合或者口令密码,一旦信息外泄,那么很轻松就可以进入系统当中实施破坏或者窃取数据。
(3)人为因素中的隐患。虽然随着近些年来计算机技术不断发展,在社会的各个行业领域当中都得到了广泛应用,极大方便了居民的日常生活,但是多数的网络服务与操作人员自身并不具备高技能水平,也缺乏网络管理能力,并且不注重自身素质的培养,对于网络安全操作和信息保密控制也缺乏相应认识,更缺乏安全意识,导致操作计算机时,漏洞与失误频出,既限制了网络技术的正常发挥,更是增加了数据被盗的隐患。
2如何进行网络管理
(1)配置管理。对于网络管理来说,其最基本的管理措施就是监控管理。具体来说在系统运行管理当中,相关操作人员必须要认识用户需要和环境要求,针对系统设备进行专门优化。对于部分的特殊设备,应该对其使用更高安全等级的软件,在同一站点当中的配置,必须要有充分的预测性、快捷性、操作简单等要求,避免出现主机侦听问题。(2)故障管理。故障管理主要是负责排除网络当中故障原因,并且以此为基础,从而通过网络控制来排除障碍。一旦出现网络障碍,那么首先需要检查并分析故障情况;其次就是需要对部分空余设备进行运用,从而便于系统网络服务;再次,应该及时创建日志,实现对于系统的科学管理与维护,及时发现隐患并予以解决;最后,还需要操作人员及时诊断,使用维修或更换等多个手段来尽快恢复正常服务。
3安全设计要点分析
在计算机设计系统中信息系统的安全至关重要,而设计是其最初的要点,也是最重要的要点,针对目前多个安全验证方式,分析以下几种常见安全模式的设计要点。
3.1基于身份识别的安全设计。在当前阶段当中,计算机信息系统所应用的身份识别技术主要有以下几种:第一就是依靠用户账号、密码、口令令牌、密钥、身份等方式认证身份;第二,就是以用户的指纹、瞳孔、样貌、声纹、体态特征等身体特征验证身份;第三,借助如身份证、卡片、磁卡等来验证身份;第四,结合多种方法来相互验证。在当前时代当中,第一种和第二种方法是当前时代最常用的身份认证方法,相关技术人员还应该从用户身份标识加强身份认证的准确性与科学性,在使用以上两种技术时一定要保证每位用户都有其特殊的身份认证,并且可以保证对其身份认证的快捷性与准确性。
3.2基于访问控制的安全设计分析。身份识别的安全设计主要倾向于防止非法系统入侵,保证系统安全保护,但是因为其自身的局限性,无法解决计算机系统内部合法用户的异常信息,无法起到防御作用。因此在安全设计当中更应该注重加强控制系统中用户非授权方面的控制,分为以下两种方式:第一,强制访问控制,这种方式需要对用户和文件用系统管理员权限设置固定的安全属性,避免用户擅自篡改系统文件;第二,任意访问控制,这种方式可以在系统当中随机规定访问对象,其中保护的常用方法就是更改控制表等。此外在信息系统的最初时期,应保证相关人员对于系统中尚未发现的问题未雨绸缪,通过如基于身份安全设计等方面,侧重于非法系统入侵方面的安全防护,保护信息系统内部安全,解决信息异常问题,无法发挥其安全防护作用。为此,计算机安全系统的设计必须要注意需要加强系统内部用户的非授权方面控制,具体则包括了强制访问控制与任意访问控制。前者需要对用户以及相关文件设定固定安全防护模式,通过系统管理员来设置,从而避免文件数据遭到篡改,而后者则是可以在系统中随意规定访问对象,常见形式包括了如访问矩阵、控制表、防火墙等。
3.3容错性。为了保证计算机系统当中的安全,那么就必须在安全设计中,注重提高系统容错率,有以下两种方法。第一就是系统冗余技术,在这种技术应用过程中,采取两种完全相同的且互为独立的设备,并且保证在任务过程中同时完成,并且保证有备用设施,在一套设备出现故障甚至停机时,那么另一套设备就可以作为备用设备从而接过所有职责,保证系统的正常运行。比如目前多数的云服务器普遍采取两套备用设备,保证不会出现数据缺失和安全问题,从硬件方面保证信息安全。第二就是负荷分布技术,该技术可以将信息系统的信息处理、数据存储以及其他信息管理功能分布在多个设备单元上,以防止单一设备的故障致使整个系统瘫痪,并且可以实现多通道操作,利用这项技术可以加速信息处理,降低故障对于信息系统安全运行的影响。
3.4设置防火墙体系。设置计算机网络防火墙体系,不仅可以保证系统安全,更可以保护信息安全,防御攻击。(1)包过滤防火墙。这种技术是应用最为广泛也最为简单的防火墙,这种防火墙技术在任何的路由器上面都可以实现的,甚至还可以在虚拟路由器上面实现。其配置图如图1所示:在内部网络与外部网络信息交换过程中,所有信息都必须通过过滤路由器,路由器审查每个信息,设置过滤规则,从而选择是否接受信息。其优点在于其防火墙实现方式简单,且不要求路由器安装任何多余软件或者作出设置。但是其缺点也在于太过简单,防护方式单一,一旦出现障碍那么就会将服务器陷入危机当中;缺少日志记录,一旦受到攻击,无法记录攻击方式与痕迹,无法做到对攻击者的定位,这种模式适合个人服务器或者主机。(2)双宿主主机防火墙。这种防火墙系统使用了一种拥有两个端口的主机,这种主机的两个端口分别连接外部网络与内部网络,在主机当中使用服务器。主机不使用过滤规则,而是将内部网络与外部网络分割开来,当中设置一个网关,使用服务器,保证两个服务器中直接传输,这两个网络当中的服务器不能直接进行数据交换,数据交换通过服务器才能实现。这种防火墙的优势在于可以将需要保护的内部网络与外部网络做好彻底的隔离,并且提供防护日志,有助于锁定攻击者踪迹,并且在数据交换过程当中,内部网络的网络地址不会被发现。但是其缺点就在于服务器设计的难度较大,其数据交换必须依靠服务器,而且必须专项设计,在某些场合并不适用。(3)屏蔽主机网关防火墙。这种防火墙系统是由一台内部堡垒主机和外部过滤路由器结合而成,这种配置存在着极大的优势,首先在外部网络访问的过程中,首先需要经过过滤服务器,在经过过滤服务器之后才可以进入内部网络,而内部网络当中只能访问堡垒主机,却不能直接访问在内部网络当中的其他主机。而当内部网络需要向外传输信息时,那么就必须要先通过堡垒主机,堡垒主机决定这个信息是否可以传输到外部网络,堡垒主机是内部网络与外部网络通信的唯一途径。这个防火墙有着更为安全的优势,而且过滤路由器的过滤规则设置相对简单。但是其缺点在于一旦堡垒主机被攻破,那么其内部网络就会失去最后的防护。
4结束语
随着计算机网络已经深入到了国民经济与社会生活的各个方面当中,网络的安全与稳定更是直接关系到了我国居民乃至社会的数据安全,因此,在计算机信息系统的网络管理与安全设计中,必须采取强有力的措施,严格做好网络管理,保证安全性与稳定性,结合了身份识别以及访问控制,逐步提高网络管理水平和安全设计水平。
作者:朱果平 单位:忻州职业技术学院
