高等專科學校計算機網絡安全的現狀及對策

[摘要] 本文以影像計算機安全的主要因素為突破口，重點防范各種不利于計算機網絡正常運行的措施，從不同角度全面了解影響計算機網絡安全的情況，將不利因素解決在萌芽狀態，確保計算機網絡的安全管理與有效運行。

[關鍵詞] 計算機網絡 系統安全 網絡權限 加密

一、影響計算機網絡安全的主要因素

1.網絡系統在穩定性和可擴充性方面存在

由于設計的系統不規范、不合理以及缺乏安全性考慮，因而使其受到影響。

2.網絡硬件的配置不協調

一是文件服務器。它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。網絡的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網絡功能發揮受阻，影響網絡的可靠性、擴充性和升級換代。二是工作站選配不當導致網絡不穩定。

3.缺乏安全策略

許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

4.訪問控制配置的復雜性

容易導致配置錯誤，從而給他人以可乘之機。

5.管理制度不健全

網絡管理、維護沒有嚴格的規章制度。

二、確保計算機網絡安全的防范措施

1.網絡系統結構設計合理與否是網絡安全運行的關鍵

全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題:由于局域網采用的是以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅被兩個節點的網卡所接收，同時也被處在同一以太網上的任何一個節點的網卡所截取。

因此，只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。為解除這個網絡系統固有的安全隱患，可采取以下措施:網絡分段技術的應用將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局，再加上基于中心交換機的訪問控制功能和三層交換功能，所以采取物理分段與邏輯分段兩種，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止非法偵聽，保證信息的安全暢通。

以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

2.強化計算機管理是網絡系統安全的保證

(1)加強設施管理，確保計算機網絡系統實體安全

建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發生;注重在保護計算機系統、網絡服務器、打印機等外部設備和能信鏈路上狠下功夫，并不定期的對運行環境條件(溫度、濕度、清潔度、三防措施、供電接頭、傳輸設備)進行檢查、測試和維護;著力改善抑制和防止電磁泄漏的能力，確保計算機系統有一個良好的電磁兼容的工作環境。

(2)強化訪問控制，力促計算機網絡系統運行正常

訪問控制是網絡安全防范和保護的主要措施，它的任務是保證網絡資源不被非法用戶使用和非常訪問，是網絡安全最重要的核心策略之一。

①建立入網訪問功能模塊

入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

用戶的入網訪問控制可分為3個過程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶帳號的檢查。在3個過程中如果其中一個不能成立，系統就視為非法用戶，則不能訪問該。網絡用戶的用戶名與口令進行驗證是防止非法訪問的第一道防線。網絡用戶注冊時首先輸入用戶名與口令，遠程服務器將驗證所輸入的用戶名是否合法，如果驗證合法，才能進一步驗證口令。否則，用戶將被拒之門外。

②建立網絡的權限控制模塊

網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據訪問權限將用戶分為3種類型:特殊用戶(系統管理員);一般用戶，系統管理員根據他們的實際需要為他們分配操作權限;審計用戶，負責網絡的安全控制與資源使用情況的審計。

③建立屬性安全服務模塊

屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

④建立網絡服務器安全設置模塊

網絡服務器的安全控制包括設置口令鎖定服務器控制臺;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法防問設備等。安裝非法防問裝置最有效的設施是安裝防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障，也是控制進、出兩個方向通信的門檻。的防火墻有3種類型:一是雙重宿主主機體系結構的防火墻;二是被屏蔽主機體系結構的防火墻;三是被屏蔽主機體系結構的防火墻。流行的軟件有:金山毒霸、KV3000+、瑞星、KILL等。

⑤建立檔案信息加密制度

保密性是機系統安全的一個重要方面，主要是利用密碼信息對加密數據進行處理，防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率，但在保密信息的收集、處理、使用、傳輸同時，也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。

⑥建立網絡智能型日志系統

日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中，日志將記錄自某用戶登錄時起，到其退出系統時止，這所執行的所有操作，包括登錄失敗操作，對數據庫的操作及系統功能的使用。日志所記錄的有執行某操作的用戶保執行操作的機器IP地址、操作類型、操作對象及操作執行時間等，以備日后審計核查之用。

⑦建立完善的備份及恢復機制

為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。

⑧建立安全管理機構

安全管理機構的健全與否，直接關系到一個計算機系統的安全。其管理機構由安全、審計、系統、軟硬件、通信、保安等有關人員組成。

參考文獻:

[1]陳愛民.計算機的安全與保密.科學出版社，2004.

[2]殷偉.計算機安全與病毒防治.安徽技術出版社，2005.

[3]王李偉.計算機網絡的安全意識.西安電子科技大學出版社，2006.

[4]高杰，徐衛國.網絡權限的解析.西安交通大學出版社，2007.

[5]杜偉國，劉宏偉.網絡安全的構建.西北工業大學，2007.