浅谈计算机网络安全设计.docVIP

浅谈计算机网络安全设计 　　【摘 要】计算机技术和网络技术的快速发展以及INTERNET的普及，为人们带来了便利性，并提高了工作效率，但同时也出现了一系列的网络安全问题。要减少安全问题，应该在构建网络之初就要考虑到提高网络安全的设计技术。因此，无论是公司，还是校园网，都需要一种经济，实用和安全的设计方案，才能保证网络的可靠运行。 　　【关键词】网络安全 操作系统 网络防病毒软件 防火墙 入侵检测系统 　　随着网络技术的高速发展，人们的日常生活和工作已经和网络密不可分了，如电子商务，电子政务，网络银行，数字货币等等。在享受着便利和资源共享的同时，安全问题也慢慢浮出来，除了大型的网站受到攻击，不能正常使用外，一些网站还泄露用户的信息，甚至还泄露了用户信用卡帐号及密码，造成的危害越来越大。因此无论个人还是单位现在最关心的就是网络的安全问题。当然，要做到网络的百分百安全是完全不可能的，能做的只能是减少安全问题的发生。所以，在组建网络的初期，就应考虑到提高网络安全的设计技术。现在一些公司大部分的安全方案都是由简单的带有防火墙功能的路由器和个人版的杀毒软件所组成，布局得比较简单，不够系统，所以经常还是出现中毒，资料外泄的现象出现。因此，要设计一套安全的方案是必须的。 　　一、网络安全存在的威胁 　　要设计一套安全的方案，必须先了解现存的威胁，才能更好地对应症下药。 　　（一）硬件故障 　　硬件故障包括计算机，线路，以及各种网络设备的故障，除了正常的老化外，还存在电磁幅射及干扰，甚至还可能由于闪电，打雷，地震，火灾等自然灾害所造成的，所有这些都会影响着网络的安全。当然，要延长硬件的寿命，最重要的一点就是要考虑到所有这些硬件的运行环境，如温度，湿度等等。 　　（二）操作系统和软件的漏洞和‘后门’ 　　无论是WINDOWS操作系统还是UNIX操作系统，都存在着系统漏洞，更何况大部分人使用的都是盗版的操作系统，而正是这些漏洞的存在，黑客才有机可乘。而”后门”一般是程序员在设计时为了方便再进入系统和软件的一个快捷通道，当任务完成后，这些“后门”很多时候仍然是打开的。如果这些后门被外人所知道，后果则是不堪设想的。当然有些“后门”是入侵者为了下次能再次进入系统而故意留下的，同时入侵者入侵后会消除入侵痕迹，所以“后门”一般不会被发现。 　　（三）内部的威胁 　　实践证明，70%以上的攻击都是由内部人员所引起的。除了内部人员的安全意识不强，导致机密的泄露外，还有些内部人员不满公司，故意破坏内部的网络系统，售卖公司的机密情报等等。 　　（四）计算机病毒 　　随着信息技术的发展，计算机病毒的发展速度也惊人，有的时候是先有病毒的发生，才有了防这种病毒的技术，而一旦电脑中毒，轻则占用资源，系统运行缓慢，重则数据丢失，系统崩溃，后果严重。 　　（五）木马程序和黑客攻击 　　黑客利用木马程序，可以控制服务器端的电脑，不但可以提升自己的权限，进行非法访问，还可以安装非法软件，获取用户的私密信息，帐户和密码等等。 　　（六）网络监听 　　如果传输的信息是明文，并没有进行加密，黑客可以利用SNIFFER等各种监听软件获取用户传输的信息，同时也可以利用软件对传输的信息进行篡改、删除或插入等动作。 　　（七）网络协议的缺陷 　　在建网的初期，设计时并没有很多考虑到网络的安全性，更多考虑的是网络的连通性，所以无论是IPV4，还是TCP/IP，这些重要的协议本身就存在一定的安全隐患，很容易被窃听和欺骗。 　　二、安全设计方案的需求分析 　　（一）要保证网络的路由器等重要设备不受到入侵，而即使发生了入侵，也应该可以记录到有入侵行为的发生，以便反跟踪攻击者，从而知道漏洞的存在，以便做好更好的防范。同时要有及时发现病毒和木马的能力，减少危险。 　　（二）要有监控流量的功能，从而可以了解用户的上网情况，，禁止员工在正常的上班时间玩游戏，上不良网站，下载电影等现象，防止因个人大量的占用带宽而影响网络的的可靠和稳定的运行。 　　（三）方案必须要有防火墙等设备，以便更好地设定访问控制规则，禁止没有权限的用户访问内部网络，同时也禁止某些用户进行提权访问。 　　三、安全的设计方案 　　（一）网络规划 　　整个网络架构可以划分为核心层，汇聚层和接入层。性能最好的设备应放在核心层，同时最重要的防护也要放在核心层。布局核心层时，应采用双备份的三层交换和光纤冗余，保证网络的可靠性。根据安全程度，整个网络可以分为外网，内网和DMZ区。外网就是连接INTERNET的区域，这个区域最重要的就是能提供正常稳定的网络。而在DMZ区则是存放的是一些可以公开的服务器系统，可以让外网的人访问，如关于公司主页的WEB服务器，还有邮件服务器和电子商务系统等等。而内网存放的则