計算機網絡系統(tǒng)安全維護策略初探

1、計算機網絡系統(tǒng)安全維護策略初探摘要：隨著時代的發(fā)展，internet日益普及，網絡已經成為信息資源的海洋，給人們帶來了 極大的方便。但由于internet是一個開放的，無控制機構的網絡，經常會受到計算機病毒、 黑客的侵襲。它可使計算機和計算機網絡數(shù)據(jù)和文件丟失，系統(tǒng)癱瘓。因此，計算機網絡系 統(tǒng)安全問題必須放在首位。本文介紹了計算機系統(tǒng)安全的維護措施。給計算機網絡工作人員 有一定的幫助。關鍵字：計算機網絡系統(tǒng)安全維護管理abstract：along with the time development, internet popularizes day by day, the network al

2、ready became the sea of the information resourceo it has brought enormous convenient to the peopleo but because intemet is open, does not have the control mechanism o so the network may receive the computer virus and hackefs attack frequently. it may cause the computer and the computer network data

3、and the document loses, system paralysis therefore, the computer network system security problem must place the first place this article introduced the computer system security content and its maintenance measure the computer network staff may get something from it.keywords：computer network system s

4、afe maintenance management一個安全的計算機網絡應該具有可靠性、可用性、完整性、保密性等特點。計算機網絡安全 保護的重點應在以下兩個方面:一是計算機病毒，二是黑客的入侵。1. 計算機病毒的防御防御計算機病毒應該從兩個方面看手，首先應該加強內部網絡管理人員以及使用人員的安全 意識，使他們能養(yǎng)成正確上網、安全上網的好習慣。再者，應該加強技術上的防范措施，比 如使用高技術防火墻、使用防毒殺毒工具等。具體做法如下：1權限設置，口令控制。很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒 進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據(jù)自己的職責權限，選擇 不同

5、的口令，對應用程序數(shù)據(jù)進行合法操作，防止用戶越權訪問數(shù)據(jù)和使用網絡資源。在選 擇口令應往意，必須選擇超過6個字符并且由字母和數(shù)字共同組成的口令；操作員應定期變 一次口令；不得寫下口令或在電了郵件中傳送口令。通常簡單的口令就能取得很好的控制效 果，因為系統(tǒng)本身不會把口令泄露出去。但在網絡系統(tǒng)中，由于認證信息要通過網遞，口令 很容易被攻擊者從網絡傳輸線路上竊取，所以網絡環(huán)境中，使用口令控制并不是很安全的方 法。1.2簡易安裝，集中管理。在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到 網絡維護管理的效率和質量，而且涉及到網絡的安全性。好的殺毒軟件能在兒分鐘內輕松地 安裝到組織里的每一個nt

6、服務器上，并可下載和散布到所有的目的機器上，由網絡管理員 集中設置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結合在一起，成為網絡安全管理的 一部分，并且白動提供最佳的網絡病毒防御措施。1.3實時殺毒，報警隔離。當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存 在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。基于網絡的病 毒特點，應該著眼于網絡整體來設計防范手段。在計算機硬件和軟件，lan服務器，服務 器上的網關internet層層設防，對每種病毒都實行隔離、過濾，而且完全在后臺操作。例 如:某一終端機如果通過軟盤感染了計算機病毒，勢必會在lan上蔓延，而服務器具有了

7、防 毒功能，病毒在由終端機向服務器轉移的進程中就會被殺掉。為了引起普覺，當在網絡中任 何一臺工作站或服務器上發(fā)現(xiàn)病毒時，它都會立即報警通知網絡管理員。1.4以網為本，多層防御。網絡防毒不同于單機防毒。計算機網絡是一個開放的系統(tǒng)，它是 同時運行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務的服務。單機版的殺毒軟件雖然可以暫時查殺 終端機上的病毒，一旦上網仍會被病毒感染，它是不能在網絡上徹底有效地查殺病毒，確保 系統(tǒng)安全的。所以網絡防毒一定耍以網為本，從網絡系統(tǒng)和角度重新設計防毒解決方案，只 有這樣才能有效地查殺網絡上的計算機病毒。2. 對黑客攻擊的防御對黑客的防御策略應該是對整個網絡系統(tǒng)實施的分層次、多級別的

8、包括檢測、告警和修復等 應急功能的實時系統(tǒng)策略，方法如下：防火墻構成了系統(tǒng)對外防御的第一道防線。在這里，防火墻是一個小型的防御系統(tǒng)，用來隔 離被保護的內部網絡，明確定義網絡的邊界和服務，同時完成授權、訪問控制以及安全審計 的功能?；镜姆阑饓夹g有以下幾種：1. 包過濾路由器路由器的一個主要功能足轉發(fā)分組，使之離目的更近。為了轉發(fā)分組，路由器從1p報頭讀 取目的地址，應用基于表格的路rh算法安排分組的出口。過濾路rh器在一般路rh器的基礎上 增加了一些新的安全控制功能。絕人多數(shù)防火墻系統(tǒng)在它們的體系結構中含了這些路由器, 但只足以一種相當隨意的方式來允許或禁止通過它的分組，因此它并不能做成一個

9、完整的解 決方案。2. 雙宿網關一個雙宿網關足一個具有兩個網絡界面的主機，每個網絡界面與它所對應的網絡進行了 通信。它具有路由器的作用。通常情況下，應用層網關或代理雙宿網關下，他們傳遞的信息經常是對一特定服務的請求或 者對一特定服務的響應。如果認為消息是安全的，那么代理會將消息轉發(fā)相應的主機匕用 戶只能夠使用代理服務器支持的服務。3. 過濾主機網關一個過濾主機網關是由一個雙宿網關和一個過濾路rti器組成的。防火墻的配置包括一個位于 內部網絡下的堡壘主機和一個位于堡壘主機和internet之間的過濾路由器。這個系統(tǒng)結 構的第一個安全設施是過濾路由器，它阻塞外部網絡進來的除了通向堡壘主機的所有其他

10、信 息流。對到來的信息流而言，由丁先要經過過濾路rh器的過濾，過濾后的信息流被轉發(fā)到堡 壘主機上，然后由堡壘主機下的應用服務代理對這此信息流進行了分析并將合法的信息流轉 發(fā)到內部網絡的主機上;外出的信息首先經過堡壘主機下的應用服務代理的檢查，然后被轉 發(fā)到過濾路由器，然后有過濾路由器將其轉發(fā)到外部網絡上。4. 過濾子網網關一個安全的過濾子網建立在內部網絡與internet之間，這個子網的入口通常是一個堡 壘主機，分組過濾器通常位于子網與internet之間以及內部網絡與子網之間。分組過濾器通過岀入信息流的過濾起到了子網與內部網絡和外部網絡的緩沖作用。堡壘 主機上的代理提供了對外網絡的交互訪問&

11、#176;在過濾路市器過濾掉所有不能識別或禁止通過的 信息流后，將其他信息流轉發(fā)到堡壘主機上，由其上的代理仔細進行檢查。所以，可以根據(jù)實際情況，單獨或者結合使用以上防火墻技術來構筑第一道防線。但是防火墻并不能完全保護內部網絡，必須結合其他措施才能提高系統(tǒng)的安全水平。在防火 墻之后是基于網絡主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系 統(tǒng)的物理安全、操作系統(tǒng)的內核安全、系統(tǒng)服務安全、應用服務安全和文件系統(tǒng)安全;同時 主機安全檢查和漏洞修補以及系統(tǒng)備份安全作為輔助安全措施。這些構成整個網絡系統(tǒng)的第 二道安全防線，主要防范部分突破防火墻以及從內部發(fā)起的攻擊。系統(tǒng)備份是網絡系統(tǒng)的最 后防線，用來遭受攻擊之后進行系統(tǒng)恢復。在防火墻和主機安全措施之后，是全局性的rh系 統(tǒng)安全審計、入侵檢測和應急處理機構成的整體安全檢查和反應措施。它從網絡系統(tǒng)中的防 火墻、網絡主機其至直接從網絡鏈路層上提取網絡狀態(tài)信息，作為輸人提供給入侵檢測子系 統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應 急處理措施，并產生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進 行處理、對系統(tǒng)安全策略進行改進的信息來源。計算機網絡的安全與我們口己的利益息息相關