淺談計算機網絡安全及防范

宋玉艷

民航東北空管局通信網絡中心（110034）

1 網絡安全現狀分析

網絡攻擊行為日趨復雜，各種方法相互融合，使網絡安全防御更加困難。黑客攻擊行為組織性更強，攻擊目標從單純的追求“榮耀感”向獲取多方面實際利益的方向轉移，網上木馬、間諜程序、惡意網站、網絡仿冒等的出現和日趨泛濫；手機、掌上電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機，針對這些無線終端的網絡攻擊已經開始出現，并將進一步發展。總之，網絡安全問題變得更加錯綜復雜，影響將不斷擴大，很難在短期內得到全面解決?？傊?，安全問題已經擺在了非常重要的位置上，網絡安全如果不加以防范，會嚴重地影響到網絡的應用。

2 網絡安全面臨的威脅

計算機網絡所面臨的威脅是多方面的，既包括對網絡中信息的威脅，也包括對網絡中設備的威脅，歸結起來，主要有三點：①人為的無意失誤。②人為的惡意攻擊。這也是目前計算機網絡所面臨的最大威脅。③網絡軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。絕大部分網絡入侵事件都是因為安全措施不完善，沒有及時補上系統漏洞造成的。

3 網絡系統結構設計合理與否是網絡安全運行的關鍵

全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真研究的基礎上抓好網絡運行質量的設計方案。

網絡分段技術的應用將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局，再加上基于中心交換機的訪問控制功能和三層交換功能，所以采取物理分段與邏輯分段兩種方法來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止非法偵聽，保證信息的安全暢通。VLAN（virtual local area network）的一個好處就是提高了網絡安全性。由于交換機只能在同一VLAN內的 端口之間交換數據，不同 VLAN的端口不能直接訪問，因此通過劃分 VLAN就可以在物理上防止某些非授權用戶訪問敏感數據。

4 強化計算機管理是網絡系統安全的保證

(1)加強設施管理，建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發生；注重在保護計算機系統、網絡服務器、打印機等硬件實體和通信線路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限，防止用戶越權操作，確保計算機網絡系統實體安全。

(2)強化訪問控制策略。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非法訪問。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制是保證網絡安全最重要的核心策略之一。

①訪問控制策略。它提供了第一層訪問控制。在這一層允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。入網訪問控制可分三步實現：用戶名的識別與驗證；用戶口令的識別驗證；用戶帳號的檢查。

②網絡權限控制策略。它是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。

共分三種類型：特殊用戶（如系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。

③建立網絡服務器安全設置。網絡服務器的安全控制包括設置口令鎖定服務器控制臺；設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔；安裝非法訪問設備等。網絡防火墻（FIRE WALL）是指設置在計算機網絡之間的一道隔離裝置，可以隔離兩個或多個網絡，限制網絡互訪，以保護網絡用戶和數據的安全。

④信息加密策略。信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有線路加密、端點加密和節點加密三種。

⑤屬性安全控制策略。當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。

⑥建立網絡智能型日志系統。日志系統具有綜合性數據記錄功能和自動分類檢索能力。

5 建立完善的備份及恢復機制

系統備份是網絡系統的最后防線，用來遭受攻擊之后進行系統恢復。建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能得到恢復。

6 建立安全管理機構

網絡安全是一項動態、整體的系統工程。網絡安全有安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網絡的安全性。

7 結語

網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施。隨著計算機技術和網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大。普及計算機網絡安全教育，提高計算機網絡安全技術水平，是很必要的。

[1]劉曉輝.交換機路由器防火墻.北京:電子工業出版社,2008.

[2]胡道元.計算機局域網.北京:清華大學出版社,2006.