探讨计算机网络系统安全集成.docVIP

探讨计算机网络系统安全集成 　　【摘要】网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 　　【关键词】计算机；网络系统；安全集成 　　引言 　　国务院1994年颁布的《中华人民共和国计算机信息系统安全保护条例》指出：计算机信息系统的安全保护.应当保障计算机及其相关的和配套的设备的安全，运行环境的安全，保障信息的安全.保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。也就是说。我们应在计算机硬件、软件及运行环境等网络的各个环节上，考虑来自网络系统内部和外部两方面的因素.从管理和技术上着手，制订比较完善的网络系统安全保护策略。 　　一、企业的网络安全现状 　　据统计，我国现有企业的网络安全现状是不容乐观的，其主要表现在以下几个方面：信息和网络的安全防护能力差；网络安全人才缺乏；企业员工对网络的安全保密意识淡薄，企业领导对网络安全方面不够重视等。一部分企业认为添加了各种安全产品之后，该网络就已经安全了，企业领导基本上就是只注重直接的经济利益回报的投资项目，对网络安全这个看不见实际回馈的资金投入大部分都采取不积极的态度，其中起主导作用的因素还有就是企业缺少专门的技术人员和专业指导，导致我国目前企业的网络安全建设普遍处于不容乐观的状况。 　　二、网络安全常见威胁 　　1、计算机病毒 　　计算机病毒指在计算机程序中插入的破坏计算机功能和数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有寄生性、传染性、隐蔽性等特点。常见的破坏性比较强的病毒经常表现为：蓝屏、机卡、CPU、自动重启使用率高、打不开杀毒软件等，并且在短时间内传播从而导致大量的计算机系统瘫痪，对企业或者个人造成重大的经济损失。 　　2、非授权访问 　　指利用编写和调试计算机程序侵入到他方内部网或专用网，获得非法或未授权的网络或文件访问的行为。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 　　3、木马程序和后门 　　木马程序和后门是一种可以通过远程控制别人计算机的程序，具有隐蔽性和非授权性的特点。企业的某台计算机被安装了木马程序或后门后，该程序可能会窃取用户信息，包括用户输入的各种密码，并将这些信息发送出去，或者使得黑客可以通过网络远程操控这台计算机，窃取计算机中的用户信息和文件，更为严重的是通过该台计算机操控整个企业的网络系统，使整个网络系统都暴露在黑客间谍的眼前。 　　三、网络的安全策略 　　1、更改系统管理员的账户名 　　应将系统管理员的账户名由原先的Administrator改为一个无意义的字符串.这样要叠录的非法用户不但要猜准口令。还必须猜出用户名.这种更名功能在域用户管理器的User Properties对话框中并没有设置.用它的User-*-Rename菜单选项就可以实现这一功能.如果用的是NT4.0.可以用Resource Kit中提供的工具封锁联机系统管理员账号.这种封锁仅仅对由网络过来的非法叠录起作用. 　　2、VLAN 的划分 　　VLAN 是为解决以太网的广播问题和安全性而提出的一种协议。它在以太网的基础上增加了VLAN 头，用VLAN ID 把用户划分为更小的工作组，限制不同VLAN 之间的用户不能直接互访，每个VLAN 就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN 之间的访问需要通过应用系统的授权来进行数据交互。为保护敏感资源和控制广播风暴，在3 层路由交换机的集中式网络环境下，将网络中的所有客户主机和服务器系统分别集中到不同的VLAN 里，在每个VLAN 里不允许任何用户设置IP、用户主机和服务器之间相互PING，不允许用户主机对服务器的数据进行编辑，只允许数据访问，从而较好地保护敏感的主机资源和服务器系统的数据。采用3 层交换机，通过VLAN 划分，来实现