浅谈计算机网络系统安全
摘要:本文主要阐述了计算机网络系统安全维护策略,作者认为应该主要做好计算机病毒的防御和加强对黑客攻击的防御。
关键词:计算机网络;安全维护
abstract:this article mainly elaborated the computer network system safety maintenance strategy,the author thought should mainly complete the computer virus the defense and strengthens to the hacker attack defense.
keyword:computer network; security maintenance
一、计算机网络安全概述
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境中,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的安全性、保密性、完整性。参照iso给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”
二、计算机网络系统安全维护策略
(一)计算机病毒的防御
防御计算机病毒应该从两个方面着手,首先应该加强内部管理人员及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防病毒工具等。具体做法如下。
1.权限分级设置,口令控制
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。
2.简易安装,集中管理
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个nt服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
3实时杀毒,报警隔离
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,lan服务器,服务器上的网关,internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。
(二)对黑客攻击的防御
对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略,方法如下:
1.包过滤技术
包过滤是最早使用的一种防火墙技术,它的第一代模型是静态包过滤,使用包过滤技术的防火墙通常工作在osi模型的网络层上,后来发展更新的动态包过滤增加了传输层,包过滤技术工作的地方为各种基于tcp/ip协议的数据报文进出的通道,它把这两层作为数据监控的对象,对每个数据包的头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的防火墙过滤规则进行核对,一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为阻止的时候,这个包就会被丢弃。动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上,对已经成功与计算机连接的报文传输进行跟踪,并且判断该连接发送的数据包是否会对系统构成威胁,一旦触发其判断机制,防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改,从而阻止该有害数据的继续传输。
2.应用代理技术
应用协议分析技术工作在osi模型的最高层—应用层上,在这一层里能接触到的所有数据都是最终形式,可以实现更高级的数据检测过程。整个代理防火墙把自身映射为一条透明线路,当外界数据进行代理防火墙的客户端时,应用协议分析模块便根据应用层协议处理这个数据,通过预置的处理规则查询这个数据是否带有危害,由于这一层面对的已经不再是组合有限的报文协议,所以防火墙不仅能根据数据层提供的信息判断数据,更能像管理员分析服务器日志那样分辨危害。由于代理型防火墙基于代理技术,以牺牲速度为代价换取了比包过滤防火墙更高的安全性能,在数据交换频繁的时刻,代理防火墙就成了整个网络的瓶颈,所以代理防火墙的应用范围还远远不及包过滤防火墙。
3.状态监视技术
这是继包过滤技术和应用代理技术后发展的防火墙技术,这种防火墙通过被称为状态监视的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据各种过滤规则做出安全决策。
状态监视可以对包内容进行分析,摆脱了传统防火墙仅局限于几个包头部信息的检测弱点,而且这种防火墙不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
上一篇:企业建站的CMS选型
下一篇:浅谈基于校园网络下教学网站的建设