計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

韓立民

摘 要： 本文在闡述計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)上分析了當(dāng)前計(jì)算機(jī)系統(tǒng)安全及網(wǎng)絡(luò)安全問題，提出了一些防范措施，以及計(jì)算機(jī)網(wǎng)絡(luò)信息安全方面必須注重研究的問題。

關(guān)鍵詞： 計(jì)算機(jī) 網(wǎng)絡(luò)安全 防范措施

一、計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、隱蔽性、潛伏性和破壞性。

二、計(jì)算機(jī)系統(tǒng)安全問題

計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)包括計(jì)算機(jī)的物理組成部分、信息和功能的安全保護(hù)。

1.執(zhí)行安全。計(jì)算機(jī)主機(jī)及外設(shè)的電磁干擾輻射必須符合國家標(biāo)準(zhǔn)或軍隊(duì)標(biāo)準(zhǔn)。系統(tǒng)軟件操作系統(tǒng)應(yīng)有較完善的存取控制功能，以防止用戶越權(quán)存取信息；應(yīng)有良好的存貯保護(hù)功能；還應(yīng)具備較完善的管理能力，以記錄系統(tǒng)的運(yùn)行情況，監(jiān)測(cè)數(shù)據(jù)文件的存取。

2.輸入輸出控制。數(shù)據(jù)處理部門的輸出控制應(yīng)有專人負(fù)責(zé)，數(shù)據(jù)輸出文件在發(fā)到用戶之前，應(yīng)由數(shù)據(jù)處理部門進(jìn)行審核，輸出文件的發(fā)放應(yīng)有完備手續(xù)，計(jì)算機(jī)識(shí)別用戶的最常用的方法是口令，所以需對(duì)口令的產(chǎn)生、登記、更換期限實(shí)行嚴(yán)格管理。系統(tǒng)應(yīng)能跟蹤各種非法請(qǐng)求并記錄某些文件的使用情況，識(shí)別非法用戶的終端。計(jì)算機(jī)系統(tǒng)必須有完整的日志記錄，記錄節(jié)點(diǎn)名、用戶名、口令、終端名、上下機(jī)時(shí)間操作的數(shù)據(jù)或程序名、操作的類型、修改前后的數(shù)據(jù)值。

三、網(wǎng)絡(luò)安全問題

計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)是在安全性和通信方便性之間建立平衡。計(jì)算機(jī)的安全程度應(yīng)當(dāng)有一個(gè)由低到高的多層次安全系統(tǒng)，分別對(duì)不同重要性的信息資料給予不同級(jí)別的保護(hù)。

1.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀。計(jì)算機(jī)網(wǎng)絡(luò)安全具有三個(gè)特性：一是保密性，網(wǎng)絡(luò)資源只能由授權(quán)實(shí)體存取。二是完整性，信息在存儲(chǔ)或傳輸時(shí)不被修改、信息包完整；不能被未授權(quán)的第二方修改。三是可用性，包括對(duì)靜態(tài)信息的可操作性及對(duì)動(dòng)態(tài)信息內(nèi)容的可見性。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷。第一，操作系統(tǒng)的漏洞。操作系統(tǒng)是一個(gè)復(fù)雜的軟件包，操作系統(tǒng)最大的漏洞是I/O處理——I/O命令通常駐留在用戶內(nèi)存空間，任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址。第二，TCP/IP協(xié)議的漏洞。TCP/IP協(xié)議由于采用明文傳輸，在傳輸過程中，攻擊者可以截取電子郵件進(jìn)行攻擊，通過在網(wǎng)頁中輸入口令或填寫個(gè)人資料也很容易攻擊。第三，應(yīng)用系統(tǒng)安全漏洞。WEB服務(wù)器和瀏覽器難以保障安全，很多人在編CGI程序時(shí)不是新編程序，而是對(duì)程序加以適當(dāng)修改。這樣一來，很多CGI程序就難免具有相同安全漏洞。第四，安全管理的漏洞。信息系統(tǒng)管理不規(guī)范，不能定期進(jìn)行安全測(cè)試、檢查，缺少網(wǎng)絡(luò)安全監(jiān)控等，對(duì)網(wǎng)絡(luò)安全都會(huì)產(chǎn)生威脅。

四、計(jì)算機(jī)網(wǎng)絡(luò)安全策略

1.計(jì)算機(jī)病毒的防御。一是強(qiáng)化內(nèi)部管理人員及使用人員的安全意識(shí)，使他們能養(yǎng)成正確上網(wǎng)、安全上網(wǎng)的好習(xí)慣。二是加強(qiáng)技術(shù)上的防范措施，比如使用防火墻、防病毒工具等。（1）權(quán)限分級(jí)設(shè)置，口令控制。很多計(jì)算機(jī)系統(tǒng)常用口令來控制對(duì)系統(tǒng)資源的訪問，這是最容易和最經(jīng)濟(jì)的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。（2）集中管理。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到每一臺(tái)NT服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其他安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動(dòng)提供最佳的網(wǎng)絡(luò)病毒防御措施。（3）實(shí)時(shí)殺毒，報(bào)警隔離。當(dāng)計(jì)算機(jī)病毒對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)行殺毒。基于網(wǎng)絡(luò)的病毒特點(diǎn)，應(yīng)該著眼于網(wǎng)絡(luò)整體設(shè)計(jì)防范手段。在計(jì)算機(jī)硬件和軟件，LAN服務(wù)器，服務(wù)器上的網(wǎng)關(guān)，Internet層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過濾，而且完全在后臺(tái)操作。

2.雙宿網(wǎng)關(guān)。一個(gè)雙宿網(wǎng)關(guān)是一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī)，每個(gè)網(wǎng)絡(luò)界面都與它所對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)行通信。它具有路由器的作用。

3.過濾主機(jī)網(wǎng)關(guān)。一個(gè)過濾主機(jī)網(wǎng)關(guān)是由一個(gè)雙宿網(wǎng)關(guān)和一個(gè)過濾路由器組成的。防火墻的配置包括一個(gè)位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機(jī)和一個(gè)位于堡壘主機(jī)的Internet之間的過濾路由器。這個(gè)系統(tǒng)結(jié)構(gòu)的第一個(gè)安全設(shè)施是過濾路由器，它阻塞外部網(wǎng)絡(luò)進(jìn)來的除了通向堡壘主機(jī)的所有其他信息流。對(duì)到來的信息流而言，由于先要經(jīng)過過濾路由器的過濾，過濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后由堡壘主機(jī)下的應(yīng)用服務(wù)代理對(duì)這些信息流進(jìn)行分析并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機(jī)上；外出的信息首先經(jīng)過堡壘主機(jī)下的應(yīng)用服務(wù)代理的檢查，然后被轉(zhuǎn)發(fā)到過濾路由器，然后由過濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。

4.對(duì)黑客攻擊的防御。黑客攻擊等威脅行為為什么能經(jīng)常得逞呢？主要原因在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)在安全的脆弱性；其次是人們思想麻痹，沒有正視黑客入侵所造成的嚴(yán)重后果，因而舍不得投入必要的人力、財(cái)力和物力來加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全性，沒有采取有效的安全策略和安全機(jī)制。首先要加強(qiáng)系統(tǒng)本身的防御能力，完善防護(hù)設(shè)備，如防火墻構(gòu)成了系統(tǒng)對(duì)外防御的第一道防線。防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提升系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全；同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)及系統(tǒng)備份安全作為輔助安全措施。堵住系統(tǒng)漏洞要比與安全相關(guān)的其他任何策略更有助于確保網(wǎng)絡(luò)安全。及時(shí)地做好安全措施，堵住系統(tǒng)漏洞要比與安全相關(guān)的其他任何策略更有助于確保網(wǎng)絡(luò)安全。及時(shí)地安裝補(bǔ)丁程序是很好的維護(hù)網(wǎng)絡(luò)安全的方法。對(duì)于系統(tǒng)本身的漏洞，可以安裝軟件補(bǔ)?。涣硗饩W(wǎng)絡(luò)管理員還需要做好漏洞防護(hù)工作，保護(hù)好管理員賬戶，只有做到這兩個(gè)基本點(diǎn)才能讓網(wǎng)絡(luò)更安全。

參考文獻(xiàn)：

[1]陳立新.計(jì)算機(jī)：病毒防治百事通[M].北京：清華大學(xué)出版社，2001.

[2]程煜.計(jì)算機(jī)維護(hù)技術(shù)[M].北京：清華大學(xué)出版社，2006.