薛永獻 王冬梅

【摘要】隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，間諜黑客、網(wǎng)絡(luò)病毒等屢屢被曝光，國家相關(guān)部門也一再要求，實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。本文主要探討了計算機網(wǎng)絡(luò)在安全建設(shè)實施方面的相關(guān)基本設(shè)施以及采取的措施。

【關(guān)鍵詞】計算機；網(wǎng)絡(luò)系統(tǒng)；安全集成

中圖分類號：TP39 文獻標識碼A： 文章編號：1006-0278（2014）05-160-02

國務(wù)院1994年頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》指出：計算機信息系統(tǒng)的安全保護.應(yīng)當(dāng)保障計算機及其相關(guān)的和配套的設(shè)備的安全，運行環(huán)境的安全，保障信息的安全.保障計算機功能的正常發(fā)揮，以維護計算機信息系統(tǒng)的安全運行。也就是說。我們應(yīng)在計算機硬件、軟件及運行環(huán)境等網(wǎng)絡(luò)的各個環(huán)節(jié)上，考慮來自網(wǎng)絡(luò)系統(tǒng)內(nèi)部和外部兩方面的因素.從管理和技術(shù)上著手，制訂比較完善的網(wǎng)絡(luò)系統(tǒng)安全保護策略。

一、企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀

據(jù)統(tǒng)計，我國現(xiàn)有企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀是不容樂觀的，其主要表現(xiàn)在以下幾個方面：信息和網(wǎng)絡(luò)的安全防護能力差；網(wǎng)絡(luò)安全人才缺乏；企業(yè)員工對網(wǎng)絡(luò)的安全保密意識淡薄，企業(yè)領(lǐng)導(dǎo)對網(wǎng)絡(luò)安全方面不夠重視等。一部分企業(yè)認為添加了各種安全產(chǎn)品之后，該網(wǎng)絡(luò)就已經(jīng)安全了，企業(yè)領(lǐng)導(dǎo)基本上就是只注重直接的經(jīng)濟利益回報的投資項目，對網(wǎng)絡(luò)安全這個看不見實際回饋的資金投入大部分都采取不積極的態(tài)度，其中起主導(dǎo)作用的因素還有就是企業(yè)缺少專門的技術(shù)人員和專業(yè)指導(dǎo)，導(dǎo)致我國目前企業(yè)的網(wǎng)絡(luò)安全建設(shè)普遍處于不容樂觀的狀況。

二、網(wǎng)絡(luò)安全常見威脅

（一）計算機病毒

計算機病毒指在計算機程序中插入的破壞計算機功能和數(shù)據(jù)、影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經(jīng)常表現(xiàn)為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟件等，并且在短時間內(nèi)傳播從而導(dǎo)致大量的計算機系統(tǒng)癱瘓，對企業(yè)或者個人造成重大的經(jīng)濟損失。

（二）非授權(quán)訪問

指利用編寫和調(diào)試計算機程序侵入到他方內(nèi)部網(wǎng)或?qū)Ｓ镁W(wǎng)，獲得非法或未授權(quán)的網(wǎng)絡(luò)或文件訪問的行為。如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

（三）木馬程序和后門

木馬程序和后門是一種可以通過遠程控制別人計算機的程序，具有隱蔽性和非授權(quán)性的特點。企業(yè)的某臺計算機被安裝了木馬程序或后門后，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，并將這些信息發(fā)送出去，或者使得黑客可以通過網(wǎng)絡(luò)遠程操控這臺計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該臺計算機操控整個企業(yè)的網(wǎng)絡(luò)系統(tǒng)，使整個網(wǎng)絡(luò)系統(tǒng)都暴露在黑客間諜的眼前。

三、網(wǎng)絡(luò)的安全策略

（一）更改系統(tǒng)管理員的賬戶名

應(yīng)將系統(tǒng)管理員的賬戶名由原先的Administrator改為一個無意義的字符串。這樣要疊錄的非法用戶不但要猜準口令。還必須猜出用戶名。這種更名功能在域用戶管理器的User Properties對話框中并沒有設(shè)置.用它的User-*-Rename菜單選項就可以實現(xiàn)這一功能。如果用的是NT4.0.可以用Resource Kit中提供的工具封鎖聯(lián)機系統(tǒng)管理員賬號。這種封鎖僅僅對由網(wǎng)絡(luò)過來的非法疊錄起作用。

（二）關(guān)閉不必要的向內(nèi)TCP/IP端口

非法用戶進入系統(tǒng)并得到管理員權(quán)限之后。首先要做的，必定設(shè)法恢復(fù)管理員刻意廢止的TCP/IP上的NetBIOS裝訂。管理員應(yīng)該使用路由器作為另一道防線。即提供web和FTP之類公共服務(wù)的NT服務(wù)器。這種情況下，只須保留兩條路由器到服務(wù)器的向內(nèi)路徑：端日80的H1vrP和端日2l的FTP。

（三）防火墻配置

防火墻是在2個網(wǎng)絡(luò)間實現(xiàn)訪問控制的1個或1組軟件或硬件系統(tǒng)，它是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的第1道安全屏障。本建設(shè)方案主要采用硬件防火墻，其主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而這個功能的實現(xiàn)又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內(nèi)容由企業(yè)的安全管理員和系統(tǒng)管理員共同來制定。

制定的防火墻安全策略主要有：所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻；只有被安全策略允許的數(shù)據(jù)包才能通過防火墻；服務(wù)器本身不能直接訪問互聯(lián)網(wǎng)；防火墻本身要有預(yù)防入侵的功能；默認禁止所有服務(wù)，除非是必須的服務(wù)才允許。而其他一些應(yīng)用系統(tǒng)需要開放特殊的端口由系統(tǒng)管理員來執(zhí)行。

（四）VLAN的劃分

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議。它在以太網(wǎng)的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同VLAN之間的用戶不能直接互訪，每個VLAN就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。VLAN之間的訪問需要通過應(yīng)用系統(tǒng)的授權(quán)來進行數(shù)據(jù)交互。為保護敏感資源和控制廣播風(fēng)暴，在3層路由交換機的集中式網(wǎng)絡(luò)環(huán)境下，將網(wǎng)絡(luò)中的所有客戶主機和服務(wù)器系統(tǒng)分別集中到不同的VLAN里，在每個VLAN里不允許任何用戶設(shè)置IP、用戶主機和服務(wù)器之間相互PING，不允許用戶主機對服務(wù)器的數(shù)據(jù)進行編輯，只允許數(shù)據(jù)訪問，從而較好地保護敏感的主機資源和服務(wù)器系統(tǒng)的數(shù)據(jù)。采用3層交換機，通過VLAN劃分，來實現(xiàn)同一部門在同一個VLAN中，這樣既方便同部門的數(shù)據(jù)交換，又限制了不同部門之間用戶的直接訪問。

（五）身份認證

身份認證是提高網(wǎng)絡(luò)安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用于通信雙方相互確認身份，以保證通信的安全。常用的網(wǎng)絡(luò)身份認證技術(shù)有：靜態(tài)密碼、USBKey和動態(tài)口令、智能卡牌等。其中，最常見的使用是用戶名加靜態(tài)密碼的方式。而在本方案中主要采用USB Key的方式?；赨SB Key的身份認證方式采用軟硬件相結(jié)合，很好地解決了安全性與易用性之間的矛盾，利用USB Key內(nèi)置的密碼算法實現(xiàn)對用戶身份的認證。USB Key身份認證系統(tǒng)主要有2種應(yīng)用模式：一是基于沖擊、響應(yīng)的認證模式；二是基于PKI體系的認證模式。

（六）制訂網(wǎng)絡(luò)系統(tǒng)的應(yīng)急計劃

為了將由意外事故引起的網(wǎng)絡(luò)系統(tǒng)損害降低到最小程度，企業(yè)應(yīng)制訂應(yīng)急計劃.以防意外事故使網(wǎng)絡(luò)系統(tǒng)遭受破壞.該應(yīng)急計劃應(yīng)包括緊急行動方案及軟、硬件系統(tǒng)恢復(fù)方案等.絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的.我們應(yīng)隨時根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行環(huán)境而采用相應(yīng)的安全保護策略.通過對計算機網(wǎng)絡(luò)系統(tǒng)安全問題的充分認識.以及行政、技術(shù)和物質(zhì)手段的保證。網(wǎng)絡(luò)系統(tǒng)就能夠有足夠的安全性來對付各種不安全問題.

四、結(jié)語

如何確保計算機網(wǎng)絡(luò)信息的安全是每一個網(wǎng)絡(luò)系統(tǒng)的設(shè)計者和管理者都極為關(guān)心的熱點，當(dāng)然，也是企業(yè)關(guān)心的重點。一個全方位的安全方案是非常難以實現(xiàn)的，只有在企業(yè)領(lǐng)導(dǎo)的支持下，在技術(shù)人員和管理人員的努力下，結(jié)合企業(yè)的實際情況，制定出相應(yīng)的解決措施，才是符合本企業(yè)的安全方案。本文主要討論了計算機網(wǎng)絡(luò)的安全的幾種不同的威脅，給出了相應(yīng)安全策略以及相應(yīng)的安全產(chǎn)品，提出了計算機網(wǎng)絡(luò)系統(tǒng)實施建設(shè)的基本方案。

參考文獻：

[1]殷偉.計算機安全與病毒防治[M].合肥：安徽科學(xué)技術(shù)出版社， 2004.

[2]陳豪然.計算機網(wǎng)絡(luò)安全與防范技術(shù)研究[J].科技風(fēng)，2009（22）：35-36.

[3]汪洋，鄭連清.基于網(wǎng)絡(luò)的校區(qū)視頻監(jiān)控設(shè)計與實現(xiàn)[J].重慶理工大學(xué)學(xué)報（自然科學(xué)版），2011（10）：82.

[4]李鋼.改進的BP網(wǎng)絡(luò)在入侵檢測中的應(yīng)用[J].重慶科技學(xué)院學(xué)報（自然科學(xué)版），2010（1）：157-159.