1、计算机网络安全与防护计算机网络安全与防护作者:某某君 日期:2010年6月摘 要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。关 键 词:网络安全;黑客;病毒;防火墙;访问权限 计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确
2、保网络系统的安全性,网络信息的保密性、完整性和可用性。1 网络安全面临的主要问题 计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面:1.1 网络黑客:指的是熟悉特定的电脑操作系统, 并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。1.2 配置不当:
3、安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。1.3 计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件
4、扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。1.4 安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。2 网络安全性的解决方法2.1 有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受
5、攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCPUDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址
6、与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。2.2 制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。 防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理
7、服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。 为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而
8、防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。2.3 建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。2.4 加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短
9、于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。 对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。 总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。参考文献:1孙学军,喻梅.计算机网络.电子工业出版社,20032郑再欣.“浅谈计算机网络安全及防范”.广东公安科技,20043徐翼超. “计算机网络安全问题初探”.交通企业管理,2004
