算机网络安全体系构建.docVIP

算机网络安全体系构建 　　摘 要:随着计算机网络的发展和广泛普及，网络信息已经成为现代社会生活的核心。各企事业单位不仅建立了自己的局域网系统，而且通过各种方式与互联网相连。计算机网络已经成为企业发展的重要手段，然而计算机网络病毒和黑客攻击一直威胁着互联网用户的安全体系。本文就计算机网络安全体系的构建谈几点粗浅认识。 　　关键词:计算机网络 安全 体系 构建 　　中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2010）08-0137-02 　　 　　1、前言 　　随着计算机网络的发展和广泛普及，网络信息已经成为现代社会生活的核心。各企事业单位不仅建立了自己的局域网系统，而且通过各种方式与互联网相连。计算机网络已经成为企业发展的重要手段，然而计算机网络病毒和黑客攻击一直威胁着互联网用户的安全体系。本文就计算机网络安全体系的构建谈几点粗浅认识。 　　 　　2、影响计算机网络安全的因素 　　2.1安全漏洞 　　目前许多操作系统均存在网络安全漏洞，黑客就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体表现为由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响；网络硬件的配置不协调，文件服务器是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视，设计和选型考虑欠周密，从而使网络功能发挥受阻，影响网络的可靠性、扩充性和升级换代。许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用；访问控制配置的复杂性，容易导致配置错误，从而引发安全隐患。 　　2.2使用者缺乏安全意识 　　由于计算机使用者安全意识不强，系统设置错误，很容易造成损失，管理制度不健全，网络管理、维护任在一个安全设计充分的网络中，人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，都可能使网络安全机制形同虚设。 　　2.3缺乏有效的手段监视 　　完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查，查找其中是否有可被黑客利用的漏洞，对系统安全状况进行评估、分析，并对发现的问题提出建议从而提高网络系统安全性能的过程。 　　2.4黑客攻击 　　安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击。 　　 　　3、计算机网络安全体系的构建 　　3.1防火墙 　　防火墙具有简单实用的特点，并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包，尽可能地对外部网络屏蔽被保护网络或节点的信息、结构，另一方面对内屏蔽外部某些危险地址，实现对内部网络的保护。 　　3.2数据加密 　　与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对于主动攻击，虽无法避免，但却可以有效的检测；而对于被动攻击，虽无法检测，但却可以避免，而实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法。这种变换是受密钥的符号串控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为对称密钥算法。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息。有了信息加密的手段，我们就可以对动态信息采取保护措施了。为了防止信息内容泄露，我们可以将被传送的信息加密，使信息以密文的形式在网络上传输。这样，攻击者即使截获了信息，也只是密文，而无法知道信息的内容。为了检测出攻击者篡改了消息内容，可以采用认证的方法，即或是对整个信息加密，或是由一些消息认证函数生成消息认证码，再对消息认证码加密，随信息一同发送。攻击者对信息的修改将导致信息与消息认证码的不一致，从而达到检测消息完整性的目的。为了检测出攻击者伪造信息，可以在信息中加入加密的消息认证码，这样，若是攻击者发送自己生成的信息，将无法生成对应的消息认证码，从而确保了计算机信息的安全传送。 　　3.3