計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全集成研究

前言：本站為你精心整理了計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全集成研究范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1網(wǎng)絡(luò)安全中最常見的威脅

1.1計算機(jī)病毒

計算機(jī)病毒是在正常的程序中穿插一些干擾計算機(jī)的數(shù)據(jù)、影響計算機(jī)正常工作的像病毒一樣自我復(fù)制的計算機(jī)命令代碼、程序代碼等。這種病毒有強(qiáng)大的寄生性、快速的傳播性、私自的藏匿性等顯著特征。對電腦干擾后的具體后果是：屏幕變?yōu)樯钏{(lán)色，死機(jī)，CPU、非法關(guān)機(jī)次數(shù)多，無法使用殺毒軟件等等。還有就是病毒會在非常短的時間內(nèi)快速復(fù)制粘貼在各種代碼里全面侵蝕電腦系統(tǒng)，這將給公司、個體經(jīng)營者帶來嚴(yán)重的經(jīng)濟(jì)問題。

1.2非授權(quán)訪問

非授權(quán)訪問是在編寫代碼、調(diào)試電腦系統(tǒng)的時候闖到對方的局部網(wǎng)絡(luò)里或者是廣域網(wǎng)里，進(jìn)行不受法律保護(hù)、不被允許的地區(qū)網(wǎng)絡(luò)或重要文件內(nèi)容的行為。如，特意躲藏系統(tǒng)來正常訪問，不用常規(guī)方式使用網(wǎng)絡(luò)的相關(guān)機(jī)器，私下開展網(wǎng)絡(luò)的范圍，跨級進(jìn)行追尋訊息等。它的表現(xiàn)方式有：造假信息，對個人的身份進(jìn)行破壞，不受法律保護(hù)的使用者對電腦違規(guī)工作，受法律保護(hù)的使用者在無權(quán)的情況下訪問網(wǎng)頁等。

1.3木馬程序與后門

木馬程序與后門是指利用電腦的遠(yuǎn)程協(xié)助功能對對方電腦的一種非法控制手段，其藏身性、無權(quán)訪問性尤為凸顯。如果公司的任意一臺電腦里有木馬程序或后門，那么可利用此臺電腦的某些程序盜走使用者的訊息，不僅有使用者注冊的多種密碼，而且會通過某個渠道把這些內(nèi)容全部發(fā)散出去，還有可能讓黑客有機(jī)可乘潛入這個電腦盜走更多的使用者的訊息與稿件，甚至利用它來控制整個公司的網(wǎng)絡(luò)，使公司機(jī)密毫無保留地呈現(xiàn)在黑客的眼前。

2網(wǎng)絡(luò)的安全策略

2.1更換系統(tǒng)管理員的賬戶名

把電腦預(yù)設(shè)的系統(tǒng)管理員的名稱Administrator換成毫無代表性的英文。一旦有不合法用戶入侵，不僅要知道密碼，而且需要用戶名。更換名字的特殊職能沒有在域用戶管理器的UserProperties對話框中體現(xiàn)出來，而是將這一功能放在User-*-Rename菜單選項(xiàng)中。使用NT4.0.的用戶方可通過ResourceKit里的工具菜單下的封鎖聯(lián)機(jī)聯(lián)機(jī)系統(tǒng)賬號來實(shí)現(xiàn)。電腦中的這個封鎖方式只適用于通過網(wǎng)絡(luò)來非法獲取信息。

2.2關(guān)閉不必要的向內(nèi)TCP／IP端口

不受法律保護(hù)的使用者在取得管理權(quán)限之后訪問系統(tǒng)。第一步就是找到管理員故意停止不用的TCP/IP上的NetBIOS裝訂。第二部是將其重新啟動。路由器也可作為保護(hù)電腦安全的一道防線。路由器是提供web和FTP之類公共服務(wù)的NT服務(wù)裝置。如果電腦管理員運(yùn)用了路由這一防線，一定要保證有兩條路由器到服務(wù)器的向內(nèi)路徑：端口80的H1vrP和端口2l的FTP。

2.3防火墻配置

防火墻這一功能主要是在兩個網(wǎng)絡(luò)訪問同一個或是同一個軟、硬件系統(tǒng)時起作用。防火墻可作為外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的防范的首個安全屏障。在構(gòu)造防火墻的策劃中關(guān)鍵是對硬件實(shí)施防火墻管理，它最突出的功能是不同意和同意用戶規(guī)定的數(shù)據(jù)進(jìn)出。當(dāng)然這個功能完全依賴于訪問控制方法，訪問控制方法規(guī)定了信息交流的安全性，這個方法主要是公司網(wǎng)絡(luò)的安全方面的管理人員與系統(tǒng)方面的管理人員一起研究討論的結(jié)果。防火墻安全的方法總結(jié)如下：凡是由內(nèi)到外的或者是由外到內(nèi)的全部數(shù)據(jù)都要通過防火墻的檢查；特定的數(shù)據(jù)疊加包可通過防火墻；單獨(dú)的服務(wù)器是不可以訪問互聯(lián)網(wǎng)的；防火墻自己也要能夠預(yù)防侵略；對全部服務(wù)都進(jìn)行檢查，只有必要的服務(wù)才會通過。如果要打開特殊的、有用的端口，讓管理員手動操作，保證其安全性。

（1）VLAN的劃分。由于以太網(wǎng)的廣播缺乏安全性，從業(yè)人員將VLAN作為改善問題的條件。它把以太網(wǎng)作為初級階段，再此上添一個VLAN端口，通過不同的VLANID將使用者分為不同職能的小組，規(guī)定不一樣的VLAN的使用者不可直接進(jìn)行溝通，因?yàn)楦鱾€VLAN是非現(xiàn)實(shí)的部分地區(qū)網(wǎng)絡(luò)。非現(xiàn)實(shí)的部分地區(qū)網(wǎng)絡(luò)的優(yōu)勢是控制廣播的播放覆蓋面，可以組成非現(xiàn)實(shí)的工作小組，非靜態(tài)的方式監(jiān)督管理網(wǎng)絡(luò)。VLAN相互間的訪問是由電腦系統(tǒng)的授權(quán)來完成數(shù)據(jù)交換的。以防稀少資源遭到破壞和爆發(fā)廣播問題，讓網(wǎng)絡(luò)的全部使用者的主機(jī)和服務(wù)器在三層路由轉(zhuǎn)換下集中在各個VLAN中運(yùn)行，但是不同的VLAN不能容忍使用者設(shè)定IP、使用者的主機(jī)和服務(wù)器的PING，也不能容忍使用者把服務(wù)器里的程序代碼自己重新改寫，可以進(jìn)行訪問數(shù)據(jù)，這樣做可以讓稀少短缺的主機(jī)資源和服務(wù)器的原始數(shù)據(jù)免遭侵害。利用三層交換器，將VLAN分為不同的區(qū)域，從而完成了一個工作室在一個VLAN的對應(yīng)，不僅為同一工作事間互相交換數(shù)據(jù)提供了便利，而且對其他工作室的工作人員的訪問進(jìn)行了有效地控制。

（2）身份認(rèn)證。改善網(wǎng)絡(luò)安全也可采用認(rèn)證用戶的身份的方式。通過查看要確認(rèn)對象的真假，來確定交流間的安全性。在一般的網(wǎng)絡(luò)里對身份驗(yàn)證可以用非動態(tài)密碼、USBKey與非靜態(tài)口令、智能卡等方法。使用范圍最廣的就是使用者的賬戶名和非動態(tài)密碼一起的形式。但是在這次策劃中將使用USBKey的方法。由于USBKey的身份驗(yàn)證是將軟件和硬件放在一起的方式，可以更好地緩解安全性與易用性間的諸多問題，通過USBKey內(nèi)部的密碼計算方法完成對使用者的身份驗(yàn)證。USBKey有兩個使用策略：第一是基于沖擊、響應(yīng)的認(rèn)證策略；第二是基于PKI體系的認(rèn)證策略。

2.4制訂網(wǎng)絡(luò)系統(tǒng)的應(yīng)急策略

大多數(shù)公司以防因意外事故而造成網(wǎng)絡(luò)系統(tǒng)癱瘓，將損失最小化而制定了應(yīng)急策略。面對意外帶來的網(wǎng)絡(luò)災(zāi)害，本應(yīng)急策略有多個方面的補(bǔ)救措施，緊急行動策略和電腦軟件、硬件的快速補(bǔ)救策略等等。任何事情都不能絕對化，安全也是如此，對于所謂的標(biāo)準(zhǔn)基本上以金錢和便利作為代價。對于網(wǎng)絡(luò)的安全性我們可以按照網(wǎng)絡(luò)的工作情況按時查看，利用電腦的網(wǎng)絡(luò)系統(tǒng)用安全方面的知識技能來改善問題、解決問題。后序怎樣確定電腦網(wǎng)絡(luò)訊息的安全性是網(wǎng)絡(luò)系統(tǒng)設(shè)計者與監(jiān)督管理者最為關(guān)注的問題，同時是所有公司關(guān)注的焦點(diǎn)。從目前網(wǎng)絡(luò)安全的發(fā)展情況來看，用360度的視角來全面保證網(wǎng)絡(luò)的安全是不容易做到的。對于公司來說，網(wǎng)絡(luò)安全的實(shí)施要在公司領(lǐng)導(dǎo)者的全力推崇下讓專業(yè)的人員考慮自身的實(shí)際后作出完美的解決方案方可。該文對電腦的病毒性侵害，提供了解決的措施。

作者：段秀紅單位：吉林工商學(xué)院