计算机网络系统安全维护策略初探

1、计算机网络系统平安维护策略初探Keyrds：puternetrkSystesafeaintenaneanageent一个平安的计算机网络应该具有可靠性、可用性、完好性、保密性等特点。计算机网络平安保护的重点应在以下两个方面:一是计算机病毒，二是黑客的入侵。1.计算机病毒的防御防御计算机病毒应该从两个方面着手，首先应该加强内部网络管理人员以及使用人员的平安意识，使他们能养成正确上网、平安上网的好习惯。再者，应该加强技术上的防范措施，比方使用高技术防火墙、使用防毒杀毒工具等。详细做法如下：1.1权限设置，口令控制。很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法

2、之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进展合法操作，防止用户越权访问数据和使用网络资源。在选择口令应往意，必须选择超过6个字符并且由字母和数字共同组成的口令；操作员应定期变一次口令；不得写下口令或在电子邮件中传送口令。通常简单的口令就能获得很好的控制效果，因为系统本身不会把口令泄露出去。但在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很平安的方法。1.2简易安装，集中管理。在网络上，软件的安装和管理方式是非常关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的平安性。好的杀毒软件

3、能在几分钟内轻松地安装到组织里的每一个NT效劳器上，并可下载和分布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它平安措施严密地结合在一起，成为网络平安管理的一部分，并且自动提供最正确的网络病毒防御措施。1.3实时杀毒，报警隔离。当计算机病毒对网上资源的应用程序进展攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进展杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN效劳器，效劳器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如:某一终端机假设通过软盘感染了计算机病毒，势

4、必会在LAN上蔓延，而效劳器具有了防毒功能，病毒在由终端机向效劳器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或效劳器上发现病毒时，它都会立即报警通知网络管理员。1.4以网为本，多层防御。网络防毒不同于单机防毒。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的效劳。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统平安的。所以网络防毒一定要以网为本，从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。2.对黑客攻击的防御对黑客的防御策略应该是对整个网络系统施

5、行的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略，方法如下：防火墙构成了系统对外防御的第一道防线。在这里，防火墙是一个小型的防御系统，用来隔离被保护的内部网络，明确定义网络的边界和效劳，同时完成授权、访问控制以及平安审计的功能。根本的防火墙技术有以下几种：1.包过滤路由器路由器的一个主要功能足转发分组，使之离目的更近。为了转发分组，路由器从IP报头读取目的地址，应用基于表格的路由算法安排分组的出口。过滤路由器在一般路由器的根底上增加了一些新的平安控制功能。绝人多数防火墙系统在它们的体系构造中含了这些路由器，但只足以一种相当随意的方式来允许或制止通过它的分组，因此它并不能做成一个

6、完好的解决方案。2.双宿网关一个双宿网关足一个具有两个网络界面的主机，每个网络界面与它所对应的网络进展了通信。它具有路由器的作用。通常情况下，应用层网关或代理双宿网关下，他们传递的信息经常是对一特定效劳的恳求或者对一特定效劳的响应。假设认为消息是平安的，那么代理会将消息转发相应的主机上。用户只可以使用代理效劳器支持的效劳。3.过滤主机网关一个过滤主机网关是由一个双宿网关和一个过滤路由器组成的。防火墙的配置包括一个位于内部网络下的堡垒主机和一个位于堡垒主机和INTERNET之间的过滤路由器。这个系统构造的第一个平安设施是过滤路由器，它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。对到来的信

7、息流而言，由于先要经过过滤路由器的过滤，过滤后的信息流被转发到堡垒主机上，然后由堡垒主机下的应用效劳代理对这此信息流进展了分析并将合法的信息流转发到内部网络的主机上;外出的信息首先经过堡垒主机下的应用效劳代理的检查，然后被转发到过滤路由器，然后有过滤路由器将其转发到外部网络上。4.过滤子网网关一个平安的过滤子网建立在内部网络与INTERNET之间，这个子网的入口通常是一个堡垒主机，分组过滤器通常位于子网与INTERNET之间以及内部网络与子网之间。分组过滤器通过出入信息流的过滤起到了子网与内部网络和外部网络的缓冲作用。堡垒主机上的代理提供了对外网络的交互访问。在过滤路由器过滤掉所有不能识别或制

8、止通过的信息流后，将其他信息流转发到堡垒主机上，由其上的代理仔细进展检查。所以，可以根据实际情况，单独或者结合使用以上防火墙技术来构筑第一道防线。但是防火墙并不能完全保护内部网络，必须结合其他措施才能进步系统的平安程度。在防火墙之后是基于网络主机的操作系统平安和物理平安措施。按照级别从低到高，分别是主机系统的物理平安、操作系统的内核平安、系统效劳平安、应用效劳平安和文件系统平安;同时主机平安检查和破绽修补以及系统备份平安作为辅助平安措施。这些构成整个网络系统的第二道平安防线，主要防范部分打破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进展系统恢复。在防火墙和主机平安措施之后，是全局性的由系统平安审计、入侵检测和应急处理机构成的整体平安检查和反响措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规那么判断是否有入侵事件发生，假设有入侵发生，那么启动应急处理措施，并产生警告信息。而且，系统的平安审计还可以作为以后对攻击行为和后果进展处理、对系统平安策略进展改进的信息来源。计算机网络的平