高淑麗

【摘 要】Internet是一個開放的,無控制機構(gòu)的網(wǎng)絡(luò),經(jīng)常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網(wǎng)絡(luò)數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計算機網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。本文介紹了計算機系統(tǒng)安全的內(nèi)容及其維護措施。

【關(guān)鍵詞】計算機網(wǎng)絡(luò) 系統(tǒng)安全 維護 管理

一、計算機網(wǎng)絡(luò)系統(tǒng)安全概述

計算機網(wǎng)絡(luò)系統(tǒng)安全主要包括三個方面的內(nèi)容:安全性、保密性、完整性。從系統(tǒng)安全的內(nèi)容出發(fā),計算機網(wǎng)絡(luò)系統(tǒng)中安全機制基本的任務(wù)是訪問控制:即授權(quán)、確定訪問權(quán)限、實施訪問權(quán)限、計算機網(wǎng)絡(luò)審計跟蹤。

1.計算機網(wǎng)絡(luò)系統(tǒng)的安全性。它主要是指內(nèi)部與外部安全。內(nèi)部安全是在系統(tǒng)的軟件、硬件及周圍的設(shè)施中實現(xiàn)的。外部安全主要是人事安全,是對某人參與計算機網(wǎng)絡(luò)系統(tǒng)工作和這位工作人員接觸到的敏感信息是否值得信賴的一種審查過程。

2.計算機網(wǎng)絡(luò)系統(tǒng)的保密性。加密是對傳輸過程中的數(shù)據(jù)進行保護的重要方法,又是對存儲在各種媒體上的數(shù)據(jù)加以保護的一種有效的手段。系統(tǒng)安全是我們的最終目標(biāo),而加密是實現(xiàn)這一目標(biāo)的有效的手段。

3.計算機網(wǎng)絡(luò)系統(tǒng)的完整性。完整性技術(shù)是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)軟件(程序)與數(shù)據(jù)不被非法刪改的一種技術(shù)手段,它可分為數(shù)據(jù)完整性和軟件完整性。

二、計算機網(wǎng)絡(luò)系統(tǒng)安全維護策略

1.計算機病毒的防御

防御計算機病毒應(yīng)該從兩個方面著手,首先應(yīng)該加強內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的安全意識,使他們能養(yǎng)成正確上網(wǎng)、安全上網(wǎng)的好習(xí)慣。再者,應(yīng)該加強技術(shù)上的防范措施,比如使用高技術(shù)防火墻、使用防毒殺毒工具等。具體做法如下。

(1)權(quán)限設(shè)置,口令控制

很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問,這是防病毒進程中,最容易和最經(jīng)濟的方法之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限,選擇不同的口令,對應(yīng)用程序數(shù)據(jù)進行合法操作,防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在選擇口令應(yīng)往意,必須選擇超過6個字符并且由字母和數(shù)字共同組成的口令;操作員應(yīng)定期變一次口令;不得寫下口令或在電子郵件中傳送口令。通常簡單的口令就能取得很好的控制效果,因為系統(tǒng)本身不會把口令泄露出去。但在網(wǎng)絡(luò)系統(tǒng)中,由于認(rèn)證信息要通過網(wǎng)遞,口令很容易被攻擊者從網(wǎng)絡(luò)傳輸線路上竊取,所以網(wǎng)絡(luò)環(huán)境中,使用口令控制并不是很安全的方法。

(2)簡易安裝,集中管理

在網(wǎng)絡(luò)上,軟件的安裝和管理方式是十分關(guān)鍵的,它不僅關(guān)系到網(wǎng)絡(luò)維護管理的效率和質(zhì)量,而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個NT服務(wù)器上,并可下載和散布到所有的目的機器上,由網(wǎng)絡(luò)管理員集中設(shè)置和管理,它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起,成為網(wǎng)絡(luò)安全管理的一部分,并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。

(3)實時殺毒,報警隔離

當(dāng)計算機病毒對網(wǎng)上資源的應(yīng)用程序進行攻擊時,這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上,因此就要在網(wǎng)關(guān)上設(shè)防,在網(wǎng)絡(luò)前端進行殺毒?；诰W(wǎng)絡(luò)的病毒特點,應(yīng)該著眼于網(wǎng)絡(luò)整體來設(shè)計防范手段。在計算機硬件和軟件,LAN服務(wù)器,服務(wù)器上的網(wǎng)關(guān),Internet層層設(shè)防,對每種病毒都實行隔離、過濾,而且完全在后臺操作。例如:某一終端機如果通過軟盤感染了計算機病毒,勢必會在LAN上蔓延,而服務(wù)器具有了防毒功能,病毒在由終端機向服務(wù)器轉(zhuǎn)移的進程中就會被殺掉。為了引起普覺,當(dāng)在網(wǎng)絡(luò)中任何一臺工作站或服務(wù)器上發(fā)現(xiàn)病毒時,它都會立即報警通知網(wǎng)絡(luò)管理員。

(4)以網(wǎng)為本,多層防御

網(wǎng)絡(luò)防毒不同于單機防毒。計算機網(wǎng)絡(luò)是一個開放的系統(tǒng),它是同時運行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務(wù)的服務(wù)。單機版的殺毒軟件雖然可以暫時查殺終端機上的病毒,一旦上網(wǎng)仍會被病毒感染,它是不能在網(wǎng)絡(luò)上徹底有效地查殺病毒,確保系統(tǒng)安全的。所以網(wǎng)絡(luò)防毒一定要以網(wǎng)為本,從網(wǎng)絡(luò)系統(tǒng)和角度重新設(shè)計防毒解決方案,只有這樣才能有效地查殺網(wǎng)絡(luò)上的計算機病毒。

2.對黑客攻擊的防御

對黑客的防御策略應(yīng)該是對整個網(wǎng)絡(luò)系統(tǒng)實施的分層次、多級別的包括檢測、告警和修復(fù)等應(yīng)急功能的實時系統(tǒng)策略,方法如下:

防火墻構(gòu)成了系統(tǒng)對外防御的第一道防線。在這里,防火墻是一個小型的防御系統(tǒng),用來隔離被保護的內(nèi)部網(wǎng)絡(luò),明確定義網(wǎng)絡(luò)的邊界和服務(wù),同時完成授權(quán)、訪問控制以及安全審計的功能?；镜姆阑饓夹g(shù)有以下幾種。

(1)包過濾路由器

路由器的一個主要功能足轉(zhuǎn)發(fā)分組,使之離目的更近。為了轉(zhuǎn)發(fā)分組,路由器從IP報頭讀取目的地址,應(yīng)用基于表格的路由算法安排分組的出口。過濾路由器在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能。絕人多數(shù)防火墻系統(tǒng)在它們的體系結(jié)構(gòu)中含了這些路由器,但只足以一種相當(dāng)隨意的方式來允許或禁止通過它的分組,因此它并不能做成一個完整的解決方案。

(2)雙宿網(wǎng)關(guān)

一個雙宿網(wǎng)關(guān)足一個具有兩個網(wǎng)絡(luò)界面的主機,每個網(wǎng)絡(luò)界面與它所對應(yīng)的網(wǎng)絡(luò)進行了通信。它具有路由器的作用。通常情況下,應(yīng)用層網(wǎng)關(guān)或代理雙宿網(wǎng)關(guān)下,他們傳遞的信息經(jīng)常是對一特定服務(wù)的請求或者對一特定服務(wù)的響應(yīng)。如果認(rèn)為消息是安全的,那么代理會將消息轉(zhuǎn)發(fā)相應(yīng)的主機上。

(3)過濾主機網(wǎng)關(guān)

一個過濾主機網(wǎng)關(guān)是由一個雙宿網(wǎng)關(guān)和一個過濾路由器組成的。防火墻的配置包括一個位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機和一個位于堡壘主機和INTERNET之間的過濾路由器。這個系統(tǒng)結(jié)構(gòu)的第一個安全設(shè)施是過濾路由器,它阻塞外部網(wǎng)絡(luò)進來的除了通向堡壘主機的所有其他信息流。對到來的信息流而言,由于先要經(jīng)過過濾路由器的過濾,過濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機上,然后由堡壘主機下的應(yīng)用服務(wù)代理對這此信息流進行了分析并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機上;外出的信息首先經(jīng)過堡壘主機下的應(yīng)用服務(wù)代理的檢查,然后被轉(zhuǎn)發(fā)到過濾路由器,然后有過濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。

三、結(jié)語

計算機網(wǎng)絡(luò)的安全與我們自己的利益息息相關(guān),一個安全的計算機網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān),而且和每個使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的,新的Internet黑客站點、病毒與安全技術(shù)每日劇增,網(wǎng)絡(luò)管理人員要掌握最先進的技術(shù),把握住計算機網(wǎng)絡(luò)安全的大門。

參考文獻:

[1]宋培義.廣播電視網(wǎng)絡(luò)技術(shù).

[2]蔣錯.最新電腦故津排除.

[3]錢蓉.黑客行為與網(wǎng)絡(luò)安全.電力機車技術(shù),2002. 1. 25.