電腦網路安全的現狀及對策

     電腦網路安全的現狀及對 策 　以 影響 計算 機 網路 安全的主要因素為突破口，重點 分析 防範各種不利於電腦網路正常啟動並執行措施，從不同角度全面瞭解影響電腦網路安全的情況，做到心中有數，將不利因素解決在萌芽狀態，確保電腦網路的安全管理與有效運行。

 1 　影響電腦網路安全的主要因素 　　

（１）網路系統在穩定性和可擴充性方面存在 問題 。由於設計的系統不規範、不合理以及缺乏安全性考慮，因而使其受到影響。　 　

　（２）網路硬體的配置不協調。一是檔案伺服器。它是網路的中樞，其運行穩定性、功能完善性直接影響網路系統的品質。網路 應用 的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網路功能發揮受阻，影響網路的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網路不穩定。 　　

（３）缺乏安全性原則。許多網站在防火牆配置上無意識地擴大了存取權限，忽視了這些許可權可能會被其他人員濫用。 　　

（４）存取控制配置的複雜性，容易導致配置錯誤，從而給他人以可乘之機。 　　（５）管理制度不健全，網路管理、維護任其 自然 。

 2　確保電腦網路安全的防範措施 2.1　網路系統結構設計合理與否是網路安全啟動並執行關鍵 　　全面分析網路系統設計的每個環節是建立安全可靠的電腦網路工程的首要任務。應在認真 研究 的基礎上下大氣力抓好網路運行品質的設計方案。在總體設計時要注意以下幾個問題：由於區域網路採用的是以廣播為技術基礎的乙太網路，任何兩個節點之間的通訊資料包，不僅被兩個節點的網卡所接收，同時也被處在同一乙太網路上的任何一個節點的網卡所截取。因此，只要接入乙太網路上的任一節點進行偵聽，就可以捕獲發生在這個乙太網路上的所有資料包，對其進行解包分析，從而竊取關鍵資訊。為解除這個網路系統固有的安全隱患，可採取以下措施： 　

　（１）網路分段技術的應用將從源頭上杜絕網路的安全隱患問題。因為區域網路採用以交換器為中心、以路由器為邊界的網路傳輸格局，再加上基於中心交換器的存取控制功能和三層交換功能 ，所以採取物理分段與邏輯分段兩種 方法 ，來實現對區域網路的安全控制，其目的就是將非法使用者與敏感的網路資源相互隔離，從而防止非法偵聽，保證資訊的安全暢通。 　　

（２）以交換式集線器代替共用式集線器的方式將不失為解除隱患的又一方法。

2.2　強化電腦管理是網路系統安全的保證 　　

（１）加強設施管理，確保電腦網路系統實體安全。建立健全安全管理制度，防止非法使用者進入電腦控制室和各種非法行為的發生；注重在保護電腦系統、網路伺服器、印表機等外部裝置和能信鏈路上狠下功夫，並不週期性對運行環境條件（溫度、濕度、清潔度、三防措施、供電接頭、志線及裝置）進行檢查、測試和維護；著力改善抑制和防止電磁泄漏的能力，確保電腦系統有一個良好的電磁相容的工作環境。 　　

（２）強化存取控制，力促電腦網路系統運行正常。存取控制是網路安全防範和保護的主要措施，它的任務是保證網路資源不被非法使用者使用和非常訪問，是網路安全最重要的核心策略之一。 　　第一，建立入網訪問功能模組。入網存取控制為網路提供了第一層存取控制。它允許哪些使用者可以登入到網路伺服器並擷取網路資源，控制准許使用者入網的時間和准許他們在哪台工作站入網。 轉貼於 中國論文下載中 http://www.studa.net   　　使用者的入網存取控制可分為3個過程：使用者名稱的識別與驗證；使用者口令的識別與驗證；使用者帳號的檢查。在3個過程中如果其中一個不能成立，系統就視為非法使用者，則不能訪問該 網路 。網路使用者的使用者名稱與口令進行驗證是防止非法訪問的第一道防線。網路使用者註冊時首先輸入使用者名稱與口令，遠程伺服器將驗證所輸入的使用者名稱是否合法，如果驗證合法，才能進一步驗證口令，否則，使用者將被拒之門外。 網路系統管理員將對普通使用者的帳號使用、訪問網路時間、方式進行管理，還能控制使用者登入入網的網站以及限制使用者入網的工作站數量。 　　第二建立網路的許可權控制模組。網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。使用者和使用者組被賦予一定的許可權。可以根據存取權限將使用者分為3種類型：特殊使用者（系統管理員）；一般使用者，系統管理員根據他們的實際需要為他們分配操作許可權；審計使用者，負責網路的安全控制與資源使用方式的審計。 　　第三，建立屬性安全服務模組。屬性安全控制可以將給定的屬性與網路伺服器的檔案、目錄和網路裝置聯絡起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路屬性可以控制以下幾個方面的許可權：向某個檔案寫資料、拷貝一個檔案、刪除目錄或檔案的查看、執行、隱含、共用及系統屬性等，還可以保護重要的目錄和檔案，防止使用者對目錄和檔案的誤刪除、執行修改、顯示等。 　　第四，建立網路伺服器安全設定模組。網路伺服器的安全控制包括設定口令鎖定伺服器控制台；設定伺服器登入時間限制、非法訪問者檢測和關閉的時間間隔；安裝非法防問裝置等。安裝非法防問裝置最有效設施是安裝防火牆。它是一個用以阻止網路中非法使用者訪問某個網路的屏障，也是控制進、出兩個方向通訊的門檻。 目前 的防火牆有3種類型：一是雙重宿主主機體繫結構的防火牆；二是被屏蔽主機體繫結構的防火牆；三是被屏蔽主機體繫結構的防火牆。流行的軟體有：金山毒霸、KV3000+、瑞星、KILL等。 　　第五，建立檔案資訊加密制度。保密性是 計算 機系統安全的一個重要方面，主要是利用密碼資訊對加密資料進行處理，防止資料非法泄漏。利用電腦進行資料處理可大大提高工作效率，但在保密資訊的收集、處理、使用、傳輸同時，也增加了泄密的可能性。因此對要傳輸的資訊和儲存在各種介質上的資料按密級進行加密是行之有效保護措施之一。 　　第六，建立網路智能型日誌系統。日誌系統具有綜合性資料記錄功能和自動分類檢索能力。在該系統中，日誌將記錄自某使用者登入時起，到其退出系統時止，這所執行的所有操作，包括登入失敗操作，對資料庫的操作及系統功能的使用。日誌所記錄的 內容 有執行某操作的使用者保執行操作的機器IP地址 操作類型 操作對象及操作執行時間等，以備日後審計核查之用。 　　第七，建立完善的備份及恢複機制。為了防止存放裝置的異常損壞，可採用由熱插拔SCSI硬碟所組成的磁碟容錯陣列，以RAID5的方式進行系統的即時熱備份。同時，建立強大的資料庫觸發器和恢複重要資料的操作以及更新任務，確保在任何情況下使重要資料均能最大限度地得到恢複。第八建立安全管理機構。安全管理機構的健全與否，直接關係到一個電腦系統的安全。其管理機構由安全、審計、系統 分析 、軟硬體、通訊、保安等有關人員組成。