計算機網絡系統的安全集成分析

李志超 崔聰聰

摘要：計算機網絡已得到廣泛的普及與應用，成為社會生產和人們生活中不可或缺的重要基礎條件。同時，網絡的安全問題日益突出，近年來，間諜黑客、網絡病毒等屢屢被曝光，計算機網絡系統的安全問題也越來越受到人們的關注，成為了當前亟待解決的信息技術問題。

關鍵詞：計算機；網絡系統；安全集成；

一、網絡安全現狀

目前，我國的網絡使用安全情況不容樂觀，主要表現為：信息和網絡的安全防護能力差，網絡安全人才缺乏，單位員工對網絡的安全保密意識淡薄，一些領導對網絡安全方面不夠重視。部分人員認為添加了各種安全產品之后，該網絡就已經安全了，對網絡安全認識不到位，態度不積極。因缺少專門的技術人員和專業指導，造成了網絡安全性發展受阻，導致我國目前網絡安全建設普遍處于不容樂觀的狀況。

二、網絡安全常見威脅

1、自然威脅和失誤威脅。所謂自然威脅主要是指一些自然因素對網絡造成的威脅，如遭遇雷電等自然災害、各種電磁波干擾、計算機網絡硬件老化或遭受損壞等。失誤威脅指由于人為的因素對計算機網絡造成的威脅，如因操作失誤將文件刪除或將磁盤格式化，又比如網絡使用者自身安全意識較為薄弱，將自己的用戶口令隨意告訴他人或與他人共享等。

2、非授權訪問。這種安全威脅就是一種蓄意的破壞行為，即用戶并未取得訪問授權，但其通過編寫或調試計算機程序來試圖侵入其他用戶的網絡領域，以此來竊取對方的文件與資料，這種非法的安全侵入行為隨著計算機技術的普及而越來越嚴重。一般有假冒、身份攻擊、非法用戶侵入以及合法用戶未授權進入等幾種形式。

3、木馬程序、計算機病毒。木馬程序是能夠以遠程操控受害者計算機的一種特殊程序，也是最為普遍的一種計算機安全威脅因素，木馬程序具有一定隱蔽性，并且是未經授權的非法侵入。在計算機網絡系統的使用過程中，若某個用戶的計算機被惡意安裝了木馬程序以后，這個程序就會在該計算機運行的同時竊取用戶資料信息，甚至用戶所輸入的密碼也可以通過木馬程序發送到遠程遙控的黑客計算機中，這樣以來，原計算機就毫無安全可言，整個計算機網絡系統都完全被黑客操縱，破壞性極大。

計算機病毒其實就是指一組指令或代碼，但這類指令和代碼并不是幫助用戶更好的操作計算機，而是以阻止計算機正常運行，破壞計算機數據，并不斷自我復制擴大破壞范圍為目標的非常態指令代碼。病毒的破壞具有寄生性、隱蔽性與傳染性，如藍屏、自動重啟等，其能夠快速傳染，使計算機系統癱瘓無法使用，危害性也是非常大的。

三、計算機網絡集成技術的數據聯接

ARP全稱為Address Resolution Protocol，譯為地址解析協議，顧名思義它的主要功能就是網絡地址解析，具體表現為在數據鏈路層，根據目標計算機的IP地址，將本層與目標設備的硬件接口搭接，進而找到其所對應的MAC地址，如此將這兩個地址相對應起來，同時對上層提供服務。換句話說，就是把網絡IP地址與物理實體地址聯系起來，完成它們之間的轉化，便于利用目標設備的資料更實現了計算機之間的通訊。

在以太網的環境中，設備與設備之間的聯系是通過IP地址建立的，源設備若想將訊息傳遞給目標設備必須先獲得目標設備的IP地址，但是我們現在的傳輸工具只能獲取目標設備的物理實體MAC地址，它不能識別主機的IP地址。什么是MAC地址呢？其實他就是每個計算機設備的序列號，每一臺計算機設備都有自己的序列號，它由12到16位進制數組成，并且這個序列號不會與其他任意一臺計算機的相重復，可以表示代表每一臺計算機的特有屬性。那么若想將此MAC地址轉換成IP地址使其能夠在網絡工作中發揮作用，就需要對物理實體地址進行解析，解析網絡層的地址，這樣就能實現數據的連接。其實CPU之間的聯系是通過網卡與網卡之間的聯系實現的，網卡只能識別計算機的MAC地址，ARP協議就是這樣一種網絡協議，它通過建立ARP表格將一個數據包中的IP地址與MAC地址聯系起來，由于每一個層級都有相應的地址，ARP則將IP地址與MAC地址的對應關系記錄在ARP表格中。

四、計算機網絡系統的安全策略

1 更換系統管理員的賬戶名。把電腦預設的系統管理員的名稱Administrator換成毫無代表性的英文。一旦有不合法用戶入侵，不僅要知道密碼，而且需要用戶名。更換名字的特殊職能沒有在域用戶管理器的User Properties對話框中體現出來，而是將這一功能放在User-*-Rename菜單選項中。使用NT4.0.的用戶方可通過Resource Kit里的工具菜單下的封鎖聯機聯機系統賬號來實現。電腦中的這個封鎖方式只適用于通過網絡來非法獲取信息。

2 關閉不必要的向內TCP/IP端口。不受法律保護的使用者在取得管理權限之后訪問系統。第一步就是找到管理員故意停止不用的TCP/IP上的NetBIOS裝訂。第二部是將其重新啟動。路由器也可作為保護電腦安全的一道防線。路由器是提供web和FTP之類公共服務的NT服務裝置。如果電腦管理員運用了路由這一防線，一定要保證有兩條路由器到服務器的向內路徑：端日80的H1vrP和端日2l的FTP。

3、防火墻配置。制定的防火墻安全策略主要有：所有從內到外和從外到內的數據包都必須經過防火墻；只有被安全策略允許的數據包才能通過防火墻；服務器本身不能直接訪問互聯網；防火墻本身要有預防入侵的功能；默認禁止所有服務，除非是必須的服務才允許。其他一些應用系統需要開放特殊的端口由系統管理員來執行。

4、VLAN 的劃分。VLAN是為解決以太網的廣播問題和安全性而提出的一種協議。它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同VLAN之間的用戶不能直接互訪，每個VLAN就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。

5、身份認證。身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實和是否有效，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網絡身份認證技術有：靜態密碼、智能卡、USB Key和動態口令牌等。

6、制訂網絡系統的應急策略。大多數單位以防因意外事故而造成網絡系統癱瘓，將損失最小化而制定了應急策略。面對意外帶來的網絡災害，本應急策略有多個方面的補救措施，緊急行動策略和電腦軟件、硬件的快速補救策略等等。

【參考文獻】

[1] 陳豪然.計算機網絡安全與防范技術研究[J].科技風. 2009（22）.

[2] 鄧春.計算機網絡安全防范措施淺析[J].硅谷. 2010（22）.

[3] 汪洋，鄭連清.基于網絡的校區視頻監控設計與實現[J].重慶理工大學學報：自然科學版，2011（10）

[4] 李鋼.改進的BP網絡在入侵檢測中的應用[J].重慶科技學院學報：自然科學版，2010（1）