構(gòu)建計(jì)算機(jī)及網(wǎng)絡(luò)正常使用的安全屏障

摘要：該文依據(jù)多年工作實(shí)踐，為不設(shè)置專職網(wǎng)管的單位提出了一套保障計(jì)算機(jī)及網(wǎng)絡(luò)正常使用的非專業(yè)方法。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)；保障；安全；非專業(yè)方法

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)36-2590-01

Build the Safeguard of the Normal Use of the Computer and Network

JIANG Jian

(Jiangsu Provincial Tendering Center，Nanjing 210024，China)

Abstract: According to many years of work experience， the author has provided a set of unprofessional methods of safeguard of the computer and network for those companies without special network administrators.

Key words: computer; network; safeguard; safety; unprofessional

1 引言

我中心的計(jì)算機(jī)網(wǎng)絡(luò)由80余臺(tái)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備組成，主要用于文字編輯、文件拷貝、打印共享、網(wǎng)頁(yè)瀏覽、網(wǎng)上項(xiàng)目操作和項(xiàng)目管理等。作為中心（本單位不設(shè)專職網(wǎng)管）計(jì)算機(jī)及網(wǎng)絡(luò)的“代管”者，本人依據(jù)多年工作實(shí)踐，試圖探索出一套實(shí)用、簡(jiǎn)便、非專業(yè)的方法，即：構(gòu)建六道安全屏障，保障計(jì)算機(jī)及網(wǎng)絡(luò)的正常使用。

2 構(gòu)建六道安全屏障

所謂六道安全屏障就是：樹(shù)立安全意識(shí)，普及安全常識(shí)；制定規(guī)范，監(jiān)督執(zhí)行；構(gòu)架計(jì)算機(jī)網(wǎng)絡(luò)的安全平臺(tái)；采用技術(shù)措施；更新并升級(jí)系統(tǒng)；拷貝文件，備份系統(tǒng)。現(xiàn)分別敘述如下：

2.1 樹(shù)立安全意識(shí)，普及安全常識(shí)

所有計(jì)算機(jī)的使用者都要樹(shù)立并增強(qiáng)安全意識(shí)。安全使用計(jì)算機(jī)及網(wǎng)絡(luò)不僅僅保護(hù)了自己，避免了文件“失蹤”、“死機(jī)”、“卡網(wǎng)”諸多麻煩，而且在計(jì)算機(jī)互聯(lián)成網(wǎng)的情況下，每一臺(tái)計(jì)算機(jī)都已成為網(wǎng)絡(luò)安全的命運(yùn)共同體，真可謂“城門失火，殃及池魚(yú)”。

“網(wǎng)絡(luò)安全，人人有責(zé)”，倡導(dǎo)良好的網(wǎng)絡(luò)公德，形成“從我做起，從現(xiàn)在做起”的氛圍，自覺(jué)維護(hù)網(wǎng)絡(luò)安全。

可以組織“安全使用計(jì)算機(jī)及網(wǎng)絡(luò)”的講座或培訓(xùn)。通過(guò)宣傳，普及計(jì)算機(jī)及網(wǎng)絡(luò)的安全常識(shí)；通過(guò)學(xué)習(xí)，掌握安全使用計(jì)算機(jī)及網(wǎng)絡(luò)的基本要點(diǎn)。

2.2 制定規(guī)范，監(jiān)督執(zhí)行

制定計(jì)算機(jī)及網(wǎng)絡(luò)的使用規(guī)范。對(duì)計(jì)算機(jī)使用的各個(gè)環(huán)節(jié)制定出符合實(shí)際、操作性強(qiáng)的規(guī)章制度，如：網(wǎng)上操作、電子郵件接收、文件下載、軟件安裝、外來(lái)文件（U盤、可移動(dòng)硬盤）的拷入和計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)置、用戶標(biāo)識(shí)、防病毒設(shè)置、局域網(wǎng)接入等。

全員遵守規(guī)章制度并明確專人督促、檢查執(zhí)行狀況，嚴(yán)格責(zé)任追究制度。對(duì)經(jīng)常感染病毒而影響公司網(wǎng)絡(luò)的計(jì)算機(jī)要分析原因，如系人為使用不當(dāng)，則給予警示，屢犯者給予通報(bào)批評(píng)，責(zé)令整改。將規(guī)范使用計(jì)算機(jī)作為員工的考核指標(biāo)之一。

2.3 構(gòu)架計(jì)算機(jī)網(wǎng)絡(luò)的安全平臺(tái)

構(gòu)架科學(xué)合理、經(jīng)濟(jì)實(shí)用的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)，充分利用系統(tǒng)本身提供的安全措施來(lái)保障計(jì)算機(jī)的正常使用。

一般硬件結(jié)構(gòu)為：廣域網(wǎng)端接入-路由器-防火墻-交換機(jī)-計(jì)算機(jī)。其中，可選用帶有路由功能的防火墻（即廣域網(wǎng)端接入-防火墻-交換機(jī)-計(jì)算機(jī)）或采用多WAN口路由器。

對(duì)局域網(wǎng)中的計(jì)算機(jī)，一般可采用固定IP地址，甚至將IP地址和網(wǎng)卡“綁定”。這樣做可以直接“監(jiān)視”每一臺(tái)計(jì)算機(jī)的“一舉一動(dòng)”、禁止外來(lái)非法計(jì)算機(jī)接入公司局域網(wǎng)。

2.4 采用技術(shù)措施

在構(gòu)架計(jì)算機(jī)網(wǎng)絡(luò)安全平臺(tái)的同時(shí)，還應(yīng)采用適當(dāng)?shù)募夹g(shù)手段。常用的技術(shù)手段有：防火墻及入侵檢測(cè)、防病毒、網(wǎng)絡(luò)監(jiān)控等。

2.4.1 配置防火墻

所謂“防火墻”，就是在內(nèi)部網(wǎng)和外部網(wǎng)之間加上一個(gè)“隔離”，允許你“同意”的人和數(shù)據(jù)進(jìn)入，其實(shí)質(zhì)就是監(jiān)測(cè)、過(guò)濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息。

無(wú)論是硬件防火墻，還是軟件防火墻，或是芯片級(jí)防火墻，正確配置防火墻都十分重要，主要有：

設(shè)置安全策略。根據(jù)不同應(yīng)用的執(zhí)行頻繁程度在規(guī)則表中合理排序；針對(duì)使用狀況制定科學(xué)的安全策略。如，限制“BT”等耗費(fèi)帶寬的使用，阻止“拒絕服務(wù)（DoS）”攻擊等。

設(shè)置端口。搜集病毒特征信息，針對(duì)不同的入侵途徑調(diào)整禁用端口。如，蠕蟲(chóng)、木馬及聊天、游戲等。

在需要時(shí)，還可劃分內(nèi)部網(wǎng)絡(luò)、啟用虛擬專用網(wǎng)（VPN）功能。

經(jīng)驗(yàn)表明，內(nèi)網(wǎng)使用不當(dāng)而導(dǎo)致的網(wǎng)絡(luò)事故占了全部事故的一半以上，而防火墻對(duì)內(nèi)部攻擊無(wú)能為力。因此，入侵檢測(cè)作為防火墻的合理補(bǔ)充，在保障網(wǎng)絡(luò)安全中起著不可替代的作用。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息、分析信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。對(duì)于內(nèi)網(wǎng)要求高的地方可考慮配置入侵檢測(cè)產(chǎn)品。

2.4.2 安裝網(wǎng)絡(luò)版防病毒軟件

在計(jì)算機(jī)病毒日新月異的今天，安裝防病毒軟件，最大限度地降低病毒侵襲的風(fēng)險(xiǎn)是完全必須的。對(duì)于數(shù)十臺(tái)以上計(jì)算機(jī)組成的網(wǎng)絡(luò)應(yīng)安裝網(wǎng)絡(luò)版防病毒軟件。

選擇網(wǎng)絡(luò)版防病毒軟件要綜合考慮以下因素：

防病毒能力強(qiáng)。對(duì)U盤、光盤等介質(zhì)；對(duì)電子郵件、服務(wù)器；對(duì)外部網(wǎng)絡(luò)、網(wǎng)關(guān)均有較強(qiáng)的防病毒能力并有較強(qiáng)的實(shí)時(shí)防范能力。

控制臺(tái)功能完善。支持客戶機(jī)的最大數(shù)目、自動(dòng)升級(jí)和自動(dòng)分發(fā)、可按照IP地址、計(jì)算機(jī)名稱、子網(wǎng)等進(jìn)行安全策略的分別實(shí)施和系統(tǒng)資源占用少、病毒特征碼升級(jí)及時(shí)、性價(jià)比高等。

市場(chǎng)上一般的網(wǎng)絡(luò)版防病毒軟件都具有上述功能，只是各有側(cè)重而已。要在“防病毒能力強(qiáng)”和“系統(tǒng)資源占用少”中選擇適合本單位的平衡點(diǎn)。

2.4.3 監(jiān)控計(jì)算機(jī)及網(wǎng)絡(luò)

常用的方法有：

方法一，利用已使用的防火墻、路由器或交換機(jī)的流量檢測(cè)功能。先用“ping”命令測(cè)試內(nèi)網(wǎng)中任意一臺(tái)計(jì)算機(jī)與外網(wǎng)的通信狀況，情況異常時(shí)，再打開(kāi)防火墻、路由器或交換機(jī)相應(yīng)的監(jiān)控屏幕，顯示端口流量，如端口流量和持續(xù)時(shí)間超出正常范圍即可查出對(duì)應(yīng)的計(jì)算機(jī)。在確定有問(wèn)題的計(jì)算機(jī)后可人工干預(yù)或啟用相應(yīng)“處置”功能。這種方法簡(jiǎn)單、實(shí)用、經(jīng)濟(jì)。

方法二，使用網(wǎng)絡(luò)監(jiān)控軟件。網(wǎng)絡(luò)監(jiān)控軟件具有十分強(qiáng)大的功能，如：上網(wǎng)行為監(jiān)視和控制，包括上網(wǎng)瀏覽、郵件收發(fā)、聊天、游戲、FTP等；流量監(jiān)控；用戶管理；管理配置及審計(jì)等。對(duì)于內(nèi)部網(wǎng)可實(shí)現(xiàn)：限制硬件使用，包括常用的USB設(shè)備、光驅(qū)、打印機(jī)；聊天記錄監(jiān)視；文件及目錄操作記錄；日志；報(bào)警等。這些功能對(duì)于維護(hù)網(wǎng)絡(luò)秩序是非常實(shí)用的。

2.5 更新并升級(jí)系統(tǒng)

及時(shí)更新系統(tǒng)軟件。包括：路由器、防火墻、交換機(jī)及操作系統(tǒng)、辦公軟件、數(shù)據(jù)庫(kù)、防病毒軟件等。條件允許時(shí)升級(jí)系統(tǒng)。

及時(shí)下載、安裝“補(bǔ)丁”，堵塞系統(tǒng)“漏洞”應(yīng)該成為計(jì)算機(jī)管理的計(jì)劃任務(wù)和工作內(nèi)容的一部分，盡可能防患于未然。

自動(dòng)更新防病毒系統(tǒng)并啟用病毒監(jiān)控功能。

2.6 拷貝文件，備份系統(tǒng)

盡管我們可以采取各種措施來(lái)保障計(jì)算機(jī)及網(wǎng)絡(luò)的正常使用，但很難做到完全阻止病毒、黑客的進(jìn)攻和系統(tǒng)故障、意外事件的突發(fā)。因此，必須采取預(yù)防性措施，做事前“諸葛亮”：

2.6.1 拷貝文件

一般文件拷貝到本機(jī)的數(shù)據(jù)盤上；重要文件在本機(jī)拷貝的同時(shí)還可拷貝到另一計(jì)算機(jī)上或刻錄成光盤；每年整理一次文件并刻錄至光盤保存。要求使用者不在系統(tǒng)盤上存放個(gè)人文件。

2.6.2 備份系統(tǒng)

將計(jì)算機(jī)系統(tǒng)做一備份并存在本機(jī)的數(shù)據(jù)盤上（為保險(xiǎn)起見(jiàn)，可將系統(tǒng)備份另存于移動(dòng)式硬盤中），一旦該機(jī)“癱瘓”即可迅速恢復(fù)系統(tǒng)。如，用“GHOST”或類似的“一鍵還原”軟件可以非常便捷地系統(tǒng)備份和還原。

2.6.3 建立計(jì)算機(jī)及網(wǎng)絡(luò)檔案

至少要將網(wǎng)絡(luò)端口、IP地址、計(jì)算機(jī)用戶名及對(duì)應(yīng)的辦公室房間號(hào)、面板標(biāo)號(hào)等制成一覽表以便分析故障、恢復(fù)系統(tǒng)之用。

3 結(jié)論

綜上所述，構(gòu)建計(jì)算機(jī)及網(wǎng)絡(luò)的六道安全屏障，從本質(zhì)上來(lái)說(shuō)，就是人、制度和技術(shù)。其中人是關(guān)鍵，制度是保障，技術(shù)是基礎(chǔ)。

我中心多年的實(shí)踐證明：只要認(rèn)認(rèn)真真做到“六管齊下”，即使不設(shè)專職網(wǎng)管，也能保障計(jì)算機(jī)及網(wǎng)絡(luò)的正常使用，使計(jì)算機(jī)及網(wǎng)絡(luò)管理“事半功倍”，使計(jì)算機(jī)及網(wǎng)絡(luò)“長(zhǎng)治久安”。