計算機網絡安全的防范措施

周孟彤

【摘要】本文分析了影響計算機網絡安全的主要因素和計算機網絡安全的缺陷及產生的原因，提出了計算機網絡安全的防范措施，確保網絡信息的安全、完整和可用。

【關鍵詞】計算機；網絡安全；防范措施

文章編號:ISSN1006—656X(2013)06?-00094-01

隨著信息技術的飛速發展，以網絡方式獲取和傳播信息已成為現代信息社會的重要特征之一。網絡技術的成熟使得網絡連接更加容易，人們在享受網絡帶來的便利的同時，網絡的安全也日益受到威脅。安全的需求不斷向社會的各個領域擴展，人們需要保護信息，使其在存儲、處理或傳輸過程中不被非法訪問或刪改，以確保自己的利益不受損害。因此，網絡安全必須有足夠強的安全保護措施，確保網絡信息的安全、完整和可用。

一、影響計算機網絡安全的主要因素

（一）網絡系統在穩定性和可擴充性方面存在問題

由于設計的系統不規范、不合理以及缺乏安全性考慮，因而使其受到影響。

（二）網絡硬件的配置不協調

一是文件服務器。它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網絡功能發揮受阻，影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。

（三）缺乏安全策略

許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

（四）訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。

（五）管理制度不健全，網絡管理、維護任其自然

二、計算機網絡中的安全缺陷及產生的原因

（一）TCP/IP的脆弱性

因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且，由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

（二）網絡結構的不安全性

因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

（三）易被竊聽

由于因特網上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。

（四）缺乏安全意識

雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

三、計算機網絡安全的防范措施

（一）網絡系統結構設計要合理

全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真研究的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題：由于局域網采用的是以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅被兩個節點的網卡所接收，同時也被處在同一以太網上的任何一個節點的網卡所截取。因此，只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。為解除這個網絡系統固有的安全隱患，可采取以下措施：

（1）網絡分段技術的應用將從源頭上杜絕網絡的安全隱患問題。因為局域網采用以交換機為中心、以路由器為邊界的網絡傳輸格局，再加上基于中心交換機的訪問控制功能和三層交換功能 ，所以采取物理分段與邏輯分段兩種方法，來實現對局域網的安全控制，其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止非法偵聽，保證信息的安全暢通。

（2）以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

（二）強化計算機管理

（1）加強設施管理，確保計算機網絡系統實體安全。并不定期的對運行環境條件（溫度、濕度、清潔度、三防措施、供電接頭、網線及設備）進行檢查、測試和維護。建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶帳號的檢查。在3個過程中如果其中一個不能成立，系統就視為非法用戶，則不能訪問該網絡。

（2）強化訪問控制，力促計算機網絡系統運行正常。建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限?？梢愿鶕L問權限將用戶分為3種類型：特殊用戶（系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。

（3）建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

（4）建立網絡服務器安全設置模塊。網絡服務器的安全控制包括設置口令鎖定服務器控制臺；設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔；安裝非法防問設備等。安裝非法防問裝置最有效的設施是安裝防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障，也是控制進、出兩個方向通信的門檻。目前的防火墻有2種類型：一是雙重宿主主機體系結構的防火墻；二是被屏蔽主機體系結構的防火墻。流行的軟件有：金山毒霸、KV3000+、瑞星、KILL、360等。

（5）建立檔案信息加密制度。保密性是計算機系統安全的一個重要方面，主要是利用密碼信息對加密數據進行處理，防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率，但在保密信息的收集、處理、使用、傳輸同時，也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。

（6）建立網絡智能型日志系統。日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中，日志將記錄自某用戶登錄時起，到其退出系統時止，這所執行的所有操作，包括登錄失敗操作，對數據庫的操作及系統功能的使用。日志所記錄的內容有執行某操作的用戶執行操作機器的IP地址、操作類型、操作對象及操作執行時間等，以備日后審計核查之用。

（7）建立完善的備份及恢復機制。為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的時時熱備份。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。第八建立安全管理機構。安全管理機構的健全與否，直接關系到一個計算機系統的安全。其管理機構由安全、審計、系統分析、軟硬件、通信、保安等有關人員組成。

計算機網絡在全球范圍內得到了迅速發展，其應用幾乎包括了人類生活工作的全部領域，它在帶給我們前所未有的方便的同時，也給我們制造了大量的難題。計算機網絡的安全是一個綜合性的課題，涉及到技術、管理、使用和維護等多方面。為保證計算機網絡系統的安全，應混合使用多種安全防護策略，同時也會發展出越來越多的安全解決技術，從而使得網絡安全防范及管理水平不斷提高。

參考文獻：

[1]楊紹蘭.信息安全防范的現狀分析[J].四川圖書館學報，2003，（1）.

[2]李春杰 趙連鵬 《計算機網絡安全問題初探[J].錦州師范學院學報（自然科學版），2003，（2）.