計算機網絡安全實踐教學活動周實踐報告

西安財經學院實踐教學活動周實踐報告完成日期：2013年7月20日西安財經學院實驗實訓教學管理中心制實踐報告名稱計算機網絡安全實踐時間2013年7月6日至2013年7月19日共2周實踐地點齊齊哈爾市網絡安全維護中心指導教師職稱講師二級學院、系信息學院計算機系實踐內容（后附實踐報告）本次實踐本著安全服務于當今網絡的原則進行實踐與學習的。當今網絡不安全、不穩(wěn)定的安全因素很多。使廣大用戶在使用網絡時，面臨很大的安全問題。所以我們決定加強網絡安全建設，為廣大用戶建立一個安全上網的網絡平臺。指導教師評語及成績簽字（蓋章）：年月日院系意見簽字（蓋章）：年月日計算機網絡安全一、實習目的計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環(huán)境里，數(shù)據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。通過本次實踐我們可以對計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件，也包括共享的資源，快捷的網絡服務，所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。參照ISO給出的計算機安全定義，認為計算機網絡安全是指：“保護計算機網絡系統(tǒng)中的硬件，軟件和數(shù)據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統(tǒng)連續(xù)可靠性地正常運行，網絡服務正常有序。”二、實習內容對計算機信息構成不安全的因素很多，其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計算機網絡存在的漏洞，或者潛入計算機房，盜用計算機系統(tǒng)資源，非法獲取重要數(shù)據、篡改系統(tǒng)數(shù)據、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素。計算機網絡不安全因素主要表現(xiàn)在以下幾個方面：網絡安全的五個特征保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。完整性：數(shù)據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈鄬嶓w訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊。可控性：對信息的傳播及內容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據與手段編輯本段計算機網絡的脆弱性互聯(lián)網是對全世界都開放的網絡，任何單位或個人都可以在網上方便地傳輸和獲取各種信息，互聯(lián)網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰(zhàn)?；ヂ?lián)網的不安全性主要有以下幾項：1、網絡的開放性網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網絡通信協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。2、網絡的國際性意味著對網絡的攻擊不僅是來自于本地網絡的用戶，還可以是互聯(lián)網上其他國家的黑客，所以，網絡的安全面臨著國際化的挑戰(zhàn)。3、網絡的自由性大多數(shù)的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，發(fā)布和獲取各類信息。防范間諜軟件之危害的對策1、公開安裝的間諜軟件對于那些公開安裝的間諜軟件，你無需費多大工夫去研究他，因為你可以輕而易舉的將之卸載，除此之外，你還可以知道他們的大至功能所在。換句話說，對于這些公開安裝的間諜軟件，你有很多措施保護你的隱私不受侵犯。例如，從不在辦公室計算機里檢查私有的電子郵件。公開安裝的間諜軟件一般都是合法的，他們有特定的使用人群和用途。公司和學院：他們也許使用間諜軟件監(jiān)測他們雇員的計算機和網絡使用。父母：他們也許使用間諜軟件監(jiān)測家庭電腦和網絡使用。防止他們的孩子受到有害信息的毒害。許多父母希望間諜軟件可能幫助他們。政府:他們也許為公開安全或信息戰(zhàn)爭而使用間諜軟件監(jiān)測網絡。2、秘密侵入的間諜軟件真正的危險來自那些秘密侵入到你計算機里的間諜軟件，因為你不知道他究竟想做什么。所有間諜軟件的安裝都利用了兩種弱點。一種是PC機的應用軟件，另一種是你自己。由于現(xiàn)代計算機軟件是極端復雜的,現(xiàn)有的很多應用軟件和操作系統(tǒng)都存在各種各樣的漏洞。間諜軟件可以利用這些漏洞侵入到你的計算機。理論上你不可能防止這種侵入，當你沖浪網頁,一張小圖片可能給你帶來可怕的間諜軟件。除給你的操作系統(tǒng)打上必要的補丁，盡可能不去不安全或不熟悉的站點是減少這種侵入的有效方法。很顯然,這種利用應用軟件漏洞的侵入方式需要較高的技術水平。而絕大多數(shù)間諜軟件的侵入是采用簡單的欺詐方式。例如,他們免費給你提供一個可以清除間諜軟件的軟件，而他們真正的目的是將你計算機里原有的間諜軟件去除，用他們的取而代之。如果你習慣在網上下載免費軟件，你的計算機里可能有一大堆間諜軟件。所以我們有兩種方法對付這些秘密侵入的間諜軟件：盡量不去不熟悉或不安全的站點，盡量不從網上下載免費軟件。這種秘密的侵入也有他特定的用戶群和用途。論防范間諜軟件之危害計算機網絡本身存在一些固有的弱點(脆弱性)，非授權用戶利用這些脆弱性可對網絡系統(tǒng)進行非法訪問，這種非法訪問會使系統(tǒng)內數(shù)據的完整性受到威脅，也可能使信息遭到破壞而不能繼續(xù)使用，更為嚴重的是有價值的信息被竊取而不留任何痕跡。網絡系統(tǒng)的脆弱性主要表現(xiàn)為以下幾方面：1、操作系統(tǒng)的脆弱性網絡操作系統(tǒng)體系結構本身就是不安全的，具體表現(xiàn)為：·動態(tài)聯(lián)接。為了系統(tǒng)集成和系統(tǒng)擴充的需要，操作系統(tǒng)采用動態(tài)聯(lián)接結構，系統(tǒng)的服務和I/O操作都可以補丁方式進行升級和動態(tài)聯(lián)接。這種方式雖然為廠商和用戶提供了方便，但同時也為黑客提供了入侵的方便(漏洞),這種動態(tài)聯(lián)接也是計算機病毒產生的溫床?！?chuàng)建進程。操作系統(tǒng)可以創(chuàng)建進程，而且這些進程可在遠程節(jié)點上被創(chuàng)建與激活，更加嚴重的是被創(chuàng)建的進程又可以繼續(xù)創(chuàng)建其他進程。這樣，若黑客在遠程將“間諜”程序以補丁方式附在合法用戶，特別是超級用戶上，就能擺脫系統(tǒng)進程與作業(yè)監(jiān)視程序的檢測。·空口令和RPC。操作系統(tǒng)為維護方便而預留的無口令入口和提供的遠程過程調用(RPC)服務都是黑客進入系統(tǒng)的通道?！こ売脩簟２僮飨到y(tǒng)的另一個安全漏洞就是存在超級用戶，如果入侵者得到了超級用戶口令，整個系統(tǒng)將完全受控于入侵者。2、計算機系統(tǒng)本身的脆弱性計算機系統(tǒng)的硬件和軟件故障可影響系統(tǒng)的正常運行，嚴重時系統(tǒng)會停止工作。系統(tǒng)的硬件故障通常有硬件故障、電源故障、芯片主板故障、驅動器故障等；系統(tǒng)的軟件故障通常有操作系統(tǒng)故障、應用軟件故障和驅動程序故障等。3、電磁泄漏計算機網絡中的網絡端口、傳輸線路和各種處理機都有可能因屏蔽不嚴或未屏蔽而造成電磁信息輻射，從而造成有用信息甚至機密信息泄漏。4、數(shù)據的可訪問性進入系統(tǒng)的用戶可方便地復制系統(tǒng)數(shù)據而不留任何痕跡；網絡用戶在一定的條件下，可以訪問系統(tǒng)中的所有數(shù)據，并可將其復制、刪除或破壞掉。5、通信系統(tǒng)和通信協(xié)議的弱點網絡系統(tǒng)的通信線路面對各種威脅顯得非常脆弱，非法用戶可對線路進行物理破壞、搭線竊聽、通過未保護的外部線路訪問系統(tǒng)內部信息等。通信協(xié)議TCP/IP及FTP、E-mail、NFS、WWW等應用協(xié)議都存在安全漏洞，如FTP的匿名服務浪費系統(tǒng)資源；E-mail中潛伏著電子炸彈、病毒等威脅互聯(lián)網安全；WWW中使用的通用網關接口（CGI）程序、JavaApplet程序和SSI等都可能成為黑客的工具；黑客可采用Sock、TCP預測或遠程訪問直接掃描等攻擊防火墻。6、數(shù)據庫系統(tǒng)的脆弱性由于數(shù)據集庫管理系統(tǒng)對數(shù)據庫的管理是建立在分級管理的概念上，因此，DBMS的安全必須與操作系統(tǒng)的安全配套，這無疑是一個先天的不足之處。黑客通過探訪工具可強行登錄或越權使用數(shù)據庫數(shù)據，可能會帶來巨大損失；數(shù)據加密往往與DBMS的功能發(fā)生沖突或影響數(shù)據庫的運行效率。由于服務器/瀏覽器(B/S)結構中的應用程序直接對數(shù)據庫進行操作，所以，使用B/S結構的網絡應用程序的某些缺陷可能威脅數(shù)據庫的安全。7、網絡存儲介質的脆弱各種存儲器中存儲大量的信息，這些存儲介質很容易被盜竊或損壞，造成信息的丟失；存儲器中的信息也很容易被復制而不留痕跡。此外，網絡系統(tǒng)的脆弱性還表現(xiàn)為保密的困難性、介質的剩磁效應和信息的聚生性等。編輯本段網絡系統(tǒng)的威脅網絡系統(tǒng)面臨的威脅主要來自外部的人為影響和自然環(huán)境的影響，它們包括對網絡設備的威脅和對網絡中信息的威脅。這些威脅的主要表現(xiàn)有：非法授權訪問，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運行，修改或刪除數(shù)據等。這些威脅大致可分為無意威脅和故意威脅兩大類。1、無意威脅無意威脅是在無預謀的情況下破壞系統(tǒng)的安全性、可靠性或信息的完整性。無意威脅主要是由一些偶然因素引起，如軟、硬件的機能失常，人為誤操作，電源故障和自然災害等。人為的失誤現(xiàn)象有：人為誤操作，管理不善而造成系統(tǒng)信息丟失、設備被盜、發(fā)生火災、水災，安全設置不當而留下的安全漏洞，用戶口令不慎暴露，信息資源共享設置不當而被非法用戶訪問等。自然災害威脅如地震、風暴、泥石流、洪水、閃電雷擊、蟲鼠害及高溫、各種污染等構成的威脅。2、故意威脅故意威脅實際上就是“人為攻擊”。由于網絡本身存在脆弱性，因此總有某些人或某些組織想方設法利用網絡系統(tǒng)達到某種目的，如從事工業(yè)、商業(yè)或軍事情報搜集工作的“間諜”，對相應領域的網絡信息是最感興趣的，他們對網絡系統(tǒng)的安全構成了主要威脅。攻擊者對系統(tǒng)的攻擊范圍，可從隨便瀏覽信息到使用特殊技術對系統(tǒng)進行攻擊，以便得到有針對性的信息。這些攻擊又可分為被動攻擊和主動攻擊。被動攻擊是指攻擊者只通過監(jiān)聽網絡線路上的信息流而獲得信息內容，或獲得信息的長度、傳輸頻率等特征，以便進行信息流量分析攻擊。被動攻擊不干擾信息的正常流動，如被動地搭線竊聽或非授權地閱讀信息。被動攻擊破壞了信息的保密性。主動攻擊是指攻擊者對傳輸中的信息或存儲的信息進行各種非法處理，有選擇地更改、插入、延遲、刪除或復制這些信息。主動攻擊常用的方法有：篡改程序及數(shù)據、假冒合法用戶入侵系統(tǒng)、破壞軟件和數(shù)據、中斷系統(tǒng)正常運行、傳播計算機病毒、耗盡系統(tǒng)的服務資源而造成拒絕服務等。主動攻擊的破壞力更大，它直接威脅網絡系統(tǒng)的可靠性、信息的保密性、完整性和可用性。被動攻擊不容易被檢測到，因為它沒有影響信息的正常傳輸，發(fā)送和接受雙方均不容易覺察。但被動攻擊卻容易防止，只要采用加密技術將傳輸?shù)男畔⒓用?，即使該信息被竊取，非法接收者也不能識別信息的內容。主動攻擊較容易被檢測到，但卻難于防范。因為正常傳輸?shù)男畔⒈淮鄹幕虮粋卧?，接收方根據經驗和?guī)律能容易地覺察出來。除采用加密技術外，還要采用鑒別技術和其他保護機制和措施，才能有效地防止主動攻擊。被動攻擊和主動攻擊有以下四種具體類型：·竊取：攻擊者未經授權瀏覽了信息資源。這是對信息保密性的威脅，例如通過搭線捕獲線路上傳輸?shù)臄?shù)據等?！ぶ袛啵汗粽咧袛嗾５男畔鬏敚菇邮辗绞詹坏叫畔?，正常的信息變得無用或無法利用，這是對信息可用性的威脅，例如破壞存儲介質、切斷通信線路、侵犯文件管理系統(tǒng)等。·篡改：攻擊者未經授權而訪問了信息資源，并篡改了信息。這是對信息完整性的威脅，例如修改文件中的數(shù)據、改變程序功能、修改傳輸?shù)膱笪膬热莸??！卧欤汗粽咴谙到y(tǒng)中加入了偽造的內容。這也是對數(shù)據完整性的威脅，如向網絡用戶發(fā)送虛假信息，在文件中插入偽造的記錄等。[2]編輯本段網絡安全防范1、利用虛擬網絡技術，防止基于網絡監(jiān)聽的入侵手段。2、利用防火墻技術保護網絡免遭黑客襲擊。3、利用病毒防護技術可以防毒、查毒和殺毒。4、利用入侵檢測技術提供實時的入侵檢測及采取相應的防護手段。5、安全掃描技術為發(fā)現(xiàn)網絡安全漏洞提供了強大的支持。6、采用認證和數(shù)字簽名技術。認證技術用以解決網絡通訊過程中通訊雙方的身份認可，數(shù)字簽名技術用于通信過程中的不可抵賴要求的實現(xiàn)。7、采用VPN技術。我們將利用公共網絡實現(xiàn)的私用網絡稱為虛擬私用網VPN.8、利用應用系統(tǒng)的安全技術以保證電子郵件和操作系統(tǒng)等應用平臺的安全。編輯本段操作系統(tǒng)存在的安全問題操作系統(tǒng)是作為一個支撐軟件，使得你的程序或別的應用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設計的不周而留下的破綻，都給網絡安全留下隱患。1、操作系統(tǒng)結構體系的缺陷。操作系統(tǒng)本身有內存管理、CPU管理、外設的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接過來，剛好連接一個有缺陷的模塊，可能出現(xiàn)的情況是，計算機系統(tǒng)會因此崩潰。所以，有些黑客往往是針對操作系統(tǒng)的不完善進行攻擊，使計算機系統(tǒng)，特別是服務器系統(tǒng)立刻癱瘓。2、操作系統(tǒng)支持在網絡上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫的程序，如果某個地方出現(xiàn)漏洞，那么系統(tǒng)可能就會造成崩潰。像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那么用戶的整個傳輸過程、使用過程都會被別人監(jiān)視到，所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件，都可能給操作系統(tǒng)帶來安全的隱患。所以，建議盡量少使用一些來歷不明，或者無法證明它的安全性的軟件。3、操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進程，支持進程的遠程創(chuàng)建和激活，支持被創(chuàng)建的進程繼承創(chuàng)建的權利，這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權用戶上，黑客或間諜軟件就可以使系統(tǒng)進程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在。4、操作系統(tǒng)有些守護進程，它是系統(tǒng)的一些進程，總是在等待某些事件的出現(xiàn)。所謂守護進程，比如說用戶有沒按鍵盤或鼠標，或者別的一些處理。一些監(jiān)控病毒的監(jiān)控軟件也是守護進程，這些進程可能是好的，比如防病毒程序，一有病毒出現(xiàn)就會被撲捉到。但是有些進程是一些病毒，一碰到特定的情況，比如碰到7月1日，它就會把用戶的硬盤格式化，這些進程就是很危險的守護進程，平時它可能不起作用，可是在某些條件發(fā)生，比如7月1日，它才發(fā)生作用，如果操作系統(tǒng)有些守護進程被人破壞掉就會出現(xiàn)這種不安全的情況。5、操作系統(tǒng)會提供一些遠程調用功能，所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序，可以提交程序給遠程的服務器執(zhí)行，如telnet。遠程調用要經過很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全的問題。6、操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用，或在發(fā)布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。此外，操作系統(tǒng)的無口令的入口，也是信息安全的一大隱患。7、盡管操作系統(tǒng)的漏洞可以通過版本的不斷升級來克服，但是系統(tǒng)的某一個安全漏洞就會使得系統(tǒng)的所有安全控制毫無價值。當發(fā)現(xiàn)問題到升級這段時間，一個小小的漏洞就足以使你的整個網絡癱瘓掉。數(shù)據庫存儲的內容存在的安全問題數(shù)據庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據庫里面，包括我們上網看到的所有信息，數(shù)據庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。例如：授權用戶超出了訪問權限進行數(shù)據的更改活動；非法用戶繞過安全內核，竊取信息。對于數(shù)據庫的安全而言，就是要保證數(shù)據的安全可靠和正確有效，即確保數(shù)據的安全性、完整性。數(shù)據的安全性是防止數(shù)據庫被破壞和非法的存??；數(shù)據庫的完整性是防止數(shù)據庫中存在不符合語義的數(shù)據。編輯本段防火墻的脆弱性防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（SecurityGateway），從而保護內部網免受非法用戶的侵入。但防火墻只能提供網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅，但是卻不能防止從LAN內部的攻擊，若是內部的人和外部的人聯(lián)合起來，即使防火墻再強，也是沒有優(yōu)勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發(fā)展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。編輯本段其他方面的因素計算機系統(tǒng)硬件和通訊設施極易遭受到自然環(huán)境的影響，如：各種自然災害（如地震、泥石流、水災、風暴、建筑物破壞等）對計算機網絡構成威脅。還有一些偶發(fā)性因素，如電源故障、設備的機能失常、軟件開發(fā)過程中留下的某些漏洞等，也對計算機網絡構成嚴重威脅。此外管理不好、規(guī)章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。編輯本段相關對策技術層面對策對于技術方面，計算機網絡安全技術主要有實時掃描技術、實時監(jiān)測技術、防火墻、完整性檢驗保護技術、病毒情況分析報告技術和系統(tǒng)安全管理技術。綜合起來，技術層面可以采取以下對策：1、建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內的人員的技術素質和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據，這是一種簡單有效的方法。2、網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。3、數(shù)據庫的備份與恢復。數(shù)據庫的備份與恢復是數(shù)據庫管理員維護數(shù)據安全性和完整性的重要操作。備份是恢復數(shù)據庫最容易和最能防止意外的保證方法?；謴褪窃谝馔獍l(fā)生后利用備份來恢復數(shù)據的操作。有三種主要備份策略：只備份數(shù)據庫、備份數(shù)據庫和事務日志、增量備份。4、應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。5、切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U盤和程序,不隨意下載網絡可疑信息。6、提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執(zhí)行的文件。7、研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。管理層面對策計算機網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結合，才能使計算機網絡安全確實有效。計算機網絡的安全管理，包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據保護法等，明確計算機用戶和系統(tǒng)管理人員應履行的權利和義務，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。物理安全層面對策要保證計算機網絡系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設施，主要包括以下內容：1、計算機系統(tǒng)的環(huán)境條件。計算機系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴格的標準。2、機房場地環(huán)境的選擇。計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。3、機房的安全防護。機房的安全防護是針對環(huán)境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數(shù)據而采取的安全措施和對策。為做到區(qū)域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設備外設多層安全防護圈，以防止非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。計算機網絡安全是一項復雜的系統(tǒng)工程，涉及技術、設備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網絡安全解決方案是綜合各種計算機網絡信息系統(tǒng)安全技術，將安全操作系統(tǒng)技術、防火墻技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來，形成一套完整的、協(xié)調一致的網絡安全防護體系。我們必須做到管理和技術并重，安全技術必須結合安全措施，并加強計算機立法和執(zhí)法的力度，建立備份和恢復機制，制定相應的安全標準。此外，由于計算機病毒、計算機犯罪等技術是不分國界的，因此必須進行充分的國際合作，來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。編輯本段計算機網絡安全體系結構體系結構應用系統(tǒng)工程的觀點、方法來分析網絡的安全，根據制定的安全策略，確定合理的網絡安全體系結構。網絡劃分1、公用網2、專用網：（1）保密網（2）內部網建網的原則從原則上考慮：例如選取國家利益。從安全級別上：1，最高級為安全不用，無論如何都是不可取的。2，3，4全部要考慮。因此按保密網、內部網和公用網或按專用網和公用網來建設，采用在物理上絕對分開，各自獨立的體系結構。三、實習總結計算機網絡面臨的威脅及惡意程序傳播途徑惡意程序的在企業(yè)內的泛濫很容易讓人覺得無處著手，但是實際上也是有跡可尋的。以下我們