計算機網絡安全防范措施

韓立民

摘 要： 本文在闡述計算機網絡的基礎上分析了當前計算機系統安全及網絡安全問題，提出了一些防范措施，以及計算機網絡信息安全方面必須注重研究的問題。

關鍵詞： 計算機 網絡安全 防范措施

一、計算機病毒

計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用，并自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、隱蔽性、潛伏性和破壞性。

二、計算機系統安全問題

計算機信息系統的安全保護包括計算機的物理組成部分、信息和功能的安全保護。

1.執行安全。計算機主機及外設的電磁干擾輻射必須符合國家標準或軍隊標準。系統軟件操作系統應有較完善的存取控制功能，以防止用戶越權存取信息；應有良好的存貯保護功能；還應具備較完善的管理能力，以記錄系統的運行情況，監測數據文件的存取。

2.輸入輸出控制。數據處理部門的輸出控制應有專人負責，數據輸出文件在發到用戶之前，應由數據處理部門進行審核，輸出文件的發放應有完備手續，計算機識別用戶的最常用的方法是口令，所以需對口令的產生、登記、更換期限實行嚴格管理。系統應能跟蹤各種非法請求并記錄某些文件的使用情況，識別非法用戶的終端。計算機系統必須有完整的日志記錄，記錄節點名、用戶名、口令、終端名、上下機時間操作的數據或程序名、操作的類型、修改前后的數據值。

三、網絡安全問題

計算機網絡安全的目標是在安全性和通信方便性之間建立平衡。計算機的安全程度應當有一個由低到高的多層次安全系統，分別對不同重要性的信息資料給予不同級別的保護。

1.計算機網絡安全現狀。計算機網絡安全具有三個特性：一是保密性，網絡資源只能由授權實體存取。二是完整性，信息在存儲或傳輸時不被修改、信息包完整；不能被未授權的第二方修改。三是可用性，包括對靜態信息的可操作性及對動態信息內容的可見性。

2.計算機網絡安全缺陷。第一，操作系統的漏洞。操作系統是一個復雜的軟件包，操作系統最大的漏洞是I/O處理——I/O命令通常駐留在用戶內存空間，任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。第二，TCP/IP協議的漏洞。TCP/IP協議由于采用明文傳輸，在傳輸過程中，攻擊者可以截取電子郵件進行攻擊，通過在網頁中輸入口令或填寫個人資料也很容易攻擊。第三，應用系統安全漏洞。WEB服務器和瀏覽器難以保障安全，很多人在編CGI程序時不是新編程序，而是對程序加以適當修改。這樣一來，很多CGI程序就難免具有相同安全漏洞。第四，安全管理的漏洞。信息系統管理不規范，不能定期進行安全測試、檢查，缺少網絡安全監控等，對網絡安全都會產生威脅。

四、計算機網絡安全策略

1.計算機病毒的防御。一是強化內部管理人員及使用人員的安全意識，使他們能養成正確上網、安全上網的好習慣。二是加強技術上的防范措施，比如使用防火墻、防病毒工具等。（1）權限分級設置，口令控制。很多計算機系統常用口令來控制對系統資源的訪問，這是最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。（2）集中管理。在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網絡維護管理的效率和質量，而且涉及網絡的安全性。好的殺毒軟件能在幾分鐘內輕松地安裝到每一臺NT服務器上，并可下載和散布到所有的目的機器上，由網絡管理員集中設置和管理，它會與操作系統及其他安全措施緊密地結合在一起，成為網絡安全管理的一部分，并且自動提供最佳的網絡病毒防御措施。（3）實時殺毒，報警隔離。當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。基于網絡的病毒特點，應該著眼于網絡整體設計防范手段。在計算機硬件和軟件，LAN服務器，服務器上的網關，Internet層層設防，對每種病毒都實行隔離、過濾，而且完全在后臺操作。

2.雙宿網關。一個雙宿網關是一個具有兩個網絡界面的主機，每個網絡界面都與它所對應的網絡進行通信。它具有路由器的作用。

3.過濾主機網關。一個過濾主機網關是由一個雙宿網關和一個過濾路由器組成的。防火墻的配置包括一個位于內部網絡下的堡壘主機和一個位于堡壘主機的Internet之間的過濾路由器。這個系統結構的第一個安全設施是過濾路由器，它阻塞外部網絡進來的除了通向堡壘主機的所有其他信息流。對到來的信息流而言，由于先要經過過濾路由器的過濾，過濾后的信息流被轉發到堡壘主機上，然后由堡壘主機下的應用服務代理對這些信息流進行分析并將合法的信息流轉發到內部網絡的主機上；外出的信息首先經過堡壘主機下的應用服務代理的檢查，然后被轉發到過濾路由器，然后由過濾路由器將其轉發到外部網絡上。

4.對黑客攻擊的防御。黑客攻擊等威脅行為為什么能經常得逞呢？主要原因在于計算機網絡系統內在安全的脆弱性；其次是人們思想麻痹，沒有正視黑客入侵所造成的嚴重后果，因而舍不得投入必要的人力、財力和物力來加強計算機網絡的安全性，沒有采取有效的安全策略和安全機制。首先要加強系統本身的防御能力，完善防護設備，如防火墻構成了系統對外防御的第一道防線。防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提升系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全；同時主機安全檢查和漏洞修補及系統備份安全作為輔助安全措施。堵住系統漏洞要比與安全相關的其他任何策略更有助于確保網絡安全。及時地做好安全措施，堵住系統漏洞要比與安全相關的其他任何策略更有助于確保網絡安全。及時地安裝補丁程序是很好的維護網絡安全的方法。對于系統本身的漏洞，可以安裝軟件補丁；另外網絡管理員還需要做好漏洞防護工作，保護好管理員賬戶，只有做到這兩個基本點才能讓網絡更安全。

參考文獻：

[1]陳立新.計算機：病毒防治百事通[M].北京：清華大學出版社，2001.

[2]程煜.計算機維護技術[M].北京：清華大學出版社，2006.