论如何加强计算机网络安全防范-精品文档

1、论如何加强计算机网络安全防范一、计算机安全的含义从本质上来讲， 网络安全包括组成网络系统的硬件、 软件及 其在网络上传输信息的安全性， 使其不致因偶然的或者恶意的攻 击遭到破坏， 网络安全既有技术方面的问题， 也有管理方面的问 题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使 得网络安全面临新的挑战。二、影响计算机网络安全的主要因素1. 网络系统在稳定性和可扩充性方面存在 问题 。由于设 计的系统不规范、 不合理以及缺乏安全性考虑， 因而使其受到影 响。2. 网络硬件的配置不协调。一是文件服务器。它是网络的 中枢，其运行稳定性、功能完善性直接影响网络系统的质量。二 是网卡用工作站选配不

2、当导致网络不稳定。3. 缺乏安全策略。许多站点在防火墙配置上无意识地扩大 了访问权限，忽视了这些权限可能会被其他人员滥用。4. 访问控制配置的复杂性，容易导致配置错误，从而给他 人以可乘之机。5. 管理制度不健全，网络管理、维护任其 自然 。三、网络攻击和入侵的主要途径网络入侵是指网络攻击者通过非法的手段 （如破译口令、 电 子欺骗等） 获得非法的权限， 并通过使用这些非法的权限使网络 攻击者能对被攻击的主机进行非授权的操作。 网络入侵的主要途 径有：破译口令、IP欺骗和DNS欺骗。口令是计算机系统抵御入侵者的一种重要手段， 所谓口令入 侵是指使用某些合法用户的帐号和口令登录到目的主机， 然后

3、再 实施攻击活动。 这种方法的前提是必须先得到该主机上的某个合 法用户的帐号，然后再进行合法用户口令的破译。IP 欺骗是指攻击者伪造别人的 IP 地址，让一台计算机假冒 另一台计算机以达到蒙混过关的目的。 它只能对某些特定的运行 TCP/IP 的计算机进行入侵。 IP 欺骗利用了 TCP/IP 网络协议的脆 弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任 主机与被入侵主机进行连接， 并对被入侵主机所信任的主机发起 淹没攻击， 使被信任的主机处于瘫痪状态。 当主机正在进行远程 服务时， 网络入侵者最容易获得目标网络的信任关系， 从而进行 IP 欺骗。 IP 欺骗是建立在对目标网络的信

4、任关系基础之上的。 同一网络的计算机彼此都知道对方的地址，它们之间互相信任。 由于这种信任关系， 这些计算机彼此可以不进行地址的认证而执 行远程操作。域名系统（DNS是一种用于TCP/IP应用程序的分布式数 据库，它提供主机名字和 IP 地址之间的转换信息。通常， 网络 用户通过UDPW议和DNS服务器进行通信，而服务器在特定的 53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证， 这使得该协议被人以一些不同的方 式加以利用。当攻击者危害DNS服务器并明确地更改主机名一IP 地址映射表时，DNS欺骗就会发生。这些改变被写入 DNS服务器 上的转换表。因而，当一

5、个客户机请求查询时，用户只能得到这 个伪造的地址，该地址是一个完全处于攻击者控制下的机器的 IP地址。因为网络上的主机都信任 DNS服务器，所以一个被破 坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个 IP 地址确实属于一个被信任客户。四、计算机网络安全的防范措施4.1 网络系统结构设计合理与否是网络安全运行的关键 全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。 应在认真研究的基础上下大气力抓好网 络运行质量的设计方案。 在总体设计时要注意以下几个问题： 由 于局域网采用的是以广播为技术基础的以太网， 任何两个节点之 间的通信数据包， 不仅被两

6、个节点的网卡所接收， 同时也被处在 同一以太网上的任何一个节点的网卡所截取。 因此，只要接入以 太网上的任一节点进行侦听， 就可以捕获发生在这个以太网上的 所有数据包，对其进行解包分析，从而窃取关键信息。4.2 强化计算机管理是网络系统安全的保证1、加强设施管理，确保计算机网络系统实体安全。建立健 全安全管理制度， 防止非法用户进入计算机控制室和各种非法行 为的发生；注重在保护计算机系统、网络服务器、打印机等外部 设备和能信链路上狠下功夫， 并不定期的对运行环境条件 （温度、 湿度、清洁度、三防措施、供电接头、志线及设备）进行检查、 测试和维护； 着力改善抑制和防止电磁泄漏的能力， 确保计算机

7、 系统有一个良好的电磁兼容的工作环境。2、强化访问控制，力促计算机网络系统运行正常。访问控 制是网络安全防范和保护的主要措施， 它的任务是保证网络资源 不被非法用户使用和非常访问， 是网络安全最重要的核心策略之 一。第一，建立入网访问功能模块。 入网访问控制为网络提供了 第一层访问控制。 它允许哪些用户可以登录到网络服务器并获取 网络资源，控制准许用户入网的时间和准许他们在哪台工作站入 网。第二，建立网络的权限控制模块。 网络的权限控制是针对网 络非法操作所提出的一种安全保护措施。 用户和用户组被赋予一 定的权限。可以根据访问权限将用户分为 3 种类型：特殊用户（系 统管理员）；一般用户，系统

8、管理员根据他们的实际需要为他们 分配操作权限； 审计用户， 负责网络的安全控制与资源使用情况 的审计。第三，建立属性安全服务模块。 属性安全控制可以将给定的 属性与网络服务器的文件、 目录和网络设备联系起来。 属性安全 在权限安全的基础上提供更进一步的安全性。 网络属性可以控制 以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除 目录或文件的查看、执行、隐含、共享及系统属性等，还可以保 护重要的目录和文件， 防止用户对目录和文件的误删除、 执行修 改、显示等。第四，建立网络服务器安全设置模块。 网络服务器的安全控 制包括设置口令锁定服务器控制台；设置服务器登录时间限制、 非法访问者检测和

9、关闭的时间间隔； 安装非法防问设备等。 安装 非法防问装置最有效的设施是安装防火墙。 它是一个用以阻止网 络中非法用户访问某个网络的屏障， 也是控制进、 出两个方向通 信的门槛。 目前的防火墙有 3种类型： 一是双重宿主主机体系结 构的防火墙； 二是被屏蔽主机体系结构的防火墙； 三是被屏蔽主 机体系结构的防火墙。第五，建立档案信息加密制度。 保密性是计算机系统安全的 一个重要方面， 主要是利用密码信息对加密数据进行处理， 防止 数据非法泄漏。利用计算机进行数据处理可大大提高工作效率， 但在保密信息的收集、处理、使用、传输同时，也增加了泄密的 可能性。因此对要传输的信息和存储在各种介质上的数据按密级 进行加密是行之有效的保护措施之一。第六，建立网络智能型日志系统。 日志系统具有综合性数据 记录功能和自动分类检索能力。 在该系统中， 日志将记录自某用 户登录时起，到其退出系统时止，这所执行的所有操作，包括登 录失败操作， 对数据库的操作及系统功能的使用。 日志所记录的 内容有执行某操作的用户保执行操作的机器 IP 地址 操作类型操作对象及操作执行时