計算機網絡系統安全集成的探討

段強

【摘要】隨著計算機網絡系統得到了廣泛的普及與深入的利用，它已成為當前社會議論的熱點，它對于企業未來的發展有著非常大的影響。是人類日常生活和社會生產中不可或缺的基礎條件。本文從網絡安全現狀與常見威脅出發，簡單的闡述了計算機網絡系統安全集成措施，以期能夠對企業信息安全建言獻策。

【關鍵詞】計算機網絡;網絡安全;策略

伴隨著我國網絡普及率的不斷提高，計算機網絡安全已經不再是關乎到企業經營利益，更重要的是關乎到國家未來發展的安全與穩定。所以我們應在計算機硬件、軟件及運行環境等網絡的各個環節上，考慮來自網絡系統內部和外部兩方面的因素.從管理和技術上著手，制訂比較完善的網絡系統安全保護策略。

一、網絡安全現狀

據統計，我國現有網絡安全現狀是不容樂觀的，其主要表現在以下幾個方面：信息和網絡的安全防護能力差;網絡安全人才缺乏;員工對網絡的安全保密意識淡薄，領導對網絡安全方面不夠重視等。一部分企業認為添加了各種安全產品之后，該網絡就已經安全了，領導基本上就是只注重直接的經濟利益回報的投資項目，對網絡安全這個看不見實際回饋的資金投入大部分都采取不積極的態度，其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導，導致我國目前企業的網絡安全建設普遍處于不容樂觀的狀況。

二、網絡安全常見威脅

1、計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業預算或者個人造成重大的經濟損失。

2、非授權訪問

指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網絡或文件訪問的行為。如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

3、木馬程序和后門

木馬程序和后門是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權性的特點。企業的某臺計算機被安裝了木馬程序或后門后，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，并將這些信息發送出去，或者使得黑客可以通過網絡遠程操控這臺計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該臺計算機操控整個企業的網絡系統，使整個網絡系統都暴露在黑客間諜的眼前。

三、網絡的安全策略

1、更改系統管理員的賬戶名

應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字符串.這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中并沒有設置.用它的User-*-Rename菜單選項就可以實現這一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號.這種封鎖僅僅對由網絡過來的非法疊錄起作用.

2、關閉不必要的向內TCP/IP端口

非法用戶進入系統并得到管理員權限之后.首先要做的，必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT服務器.這種情況下，只須保留兩條路由器到服務器的向內路徑：端日80的H1vrP和端日2l的FTP.

3、防火墻配置

防火墻是在2個網絡間實現訪問控制的1個或1組軟件或硬件系統，它是外部網絡與內部網絡之間的第1道安全屏障。制定的防火墻安全策略主要有：所有從內到外和從外到內的數據包都必須經過防火墻;只有被安全策略允許的數據包才能通過防火墻;服務器本身不能直接訪問互聯網;防火墻本身要有預防入侵的功能;默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的端口由系統管理員來執行。

4、VLAN 的劃分

VLAN 是為解決以太網的廣播問題和安全性而提出的一種協議。它在以太網的基礎上增加了VLAN 頭，用VLAN ID 把用戶劃分為更小的工作組，限制不同VLAN 之間的用戶不能直接互訪，每個VLAN 就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網絡環境下，將網絡中的所有客戶主機和服務器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和服務器之間相互PING，不允許用戶主機對服務器的數據進行編輯，只允許數據訪問，從而較好地保護敏感的主機資源和服務器系統的數據。

5、身份認證

身份認證是提高網絡安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網絡身份認證技術有：靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要采用USB Key的方式。基于USB Key 的身份認證方式采用軟硬件相結合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內置的密碼算法實現對用戶身份的認證。

如何確保計算機網絡信息的安全是每一個網絡系統的設計者和管理者都極為關心的熱點，當然，也是企業關心的重點。一個全方位的安全方案是非常難以實現的，只有在企業領導的支持下，在技術人員和管理人員的努力下，結合企業的實際情況，制定出相應的解決措施，才是符合本企業的安全方案。

參考文獻：

[1]楊文貴《有關計算機網絡系統安全問題的分析與探討》，計算機光盤軟件與應用，2012年14期

[2]陳繼標《計算機網絡系統的安全集成研究》，信息技術與信息化，2014年04期

[3]周碧英《淺析計算機網絡安全技術》，甘肅科技，2008年03期