計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全維護(hù)策略初探

1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)平安維護(hù)策略初探Keyrds：puternetrkSystesafeaintenaneanageent一個(gè)平安的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有可靠性、可用性、完好性、保密性等特點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)平安保護(hù)的重點(diǎn)應(yīng)在以下兩個(gè)方面:一是計(jì)算機(jī)病毒，二是黑客的入侵。1.計(jì)算機(jī)病毒的防御防御計(jì)算機(jī)病毒應(yīng)該從兩個(gè)方面著手，首先應(yīng)該加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理人員以及使用人員的平安意識(shí)，使他們能養(yǎng)成正確上網(wǎng)、平安上網(wǎng)的好習(xí)慣。再者，應(yīng)該加強(qiáng)技術(shù)上的防范措施，比方使用高技術(shù)防火墻、使用防毒殺毒工具等。詳細(xì)做法如下：1.1權(quán)限設(shè)置，口令控制。很多計(jì)算機(jī)系統(tǒng)常用口令來(lái)控制對(duì)系統(tǒng)資源的訪問(wèn)，這是防病毒進(jìn)程中，最容易和最經(jīng)濟(jì)的方法

2、之一。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責(zé)權(quán)限，選擇不同的口令，對(duì)應(yīng)用程序數(shù)據(jù)進(jìn)展合法操作，防止用戶越權(quán)訪問(wèn)數(shù)據(jù)和使用網(wǎng)絡(luò)資源。在選擇口令應(yīng)往意，必須選擇超過(guò)6個(gè)字符并且由字母和數(shù)字共同組成的口令；操作員應(yīng)定期變一次口令；不得寫下口令或在電子郵件中傳送口令。通常簡(jiǎn)單的口令就能獲得很好的控制效果，因?yàn)橄到y(tǒng)本身不會(huì)把口令泄露出去。但在網(wǎng)絡(luò)系統(tǒng)中，由于認(rèn)證信息要通過(guò)網(wǎng)遞，口令很容易被攻擊者從網(wǎng)絡(luò)傳輸線路上竊取，所以網(wǎng)絡(luò)環(huán)境中，使用口令控制并不是很平安的方法。1.2簡(jiǎn)易安裝，集中管理。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是非常關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的平安性。好的殺毒軟件

3、能在幾分鐘內(nèi)輕松地安裝到組織里的每一個(gè)NT效勞器上，并可下載和分布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其它平安措施嚴(yán)密地結(jié)合在一起，成為網(wǎng)絡(luò)平安管理的一部分，并且自動(dòng)提供最正確的網(wǎng)絡(luò)病毒防御措施。1.3實(shí)時(shí)殺毒，報(bào)警隔離。當(dāng)計(jì)算機(jī)病毒對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)展攻擊時(shí)，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因此就要在網(wǎng)關(guān)上設(shè)防，在網(wǎng)絡(luò)前端進(jìn)展殺毒。基于網(wǎng)絡(luò)的病毒特點(diǎn)，應(yīng)該著眼于網(wǎng)絡(luò)整體來(lái)設(shè)計(jì)防范手段。在計(jì)算機(jī)硬件和軟件，LAN效勞器，效勞器上的網(wǎng)關(guān)，Internet層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過(guò)濾，而且完全在后臺(tái)操作。例如:某一終端機(jī)假設(shè)通過(guò)軟盤感染了計(jì)算機(jī)病毒，勢(shì)

4、必會(huì)在LAN上蔓延，而效勞器具有了防毒功能，病毒在由終端機(jī)向效勞器轉(zhuǎn)移的進(jìn)程中就會(huì)被殺掉。為了引起普覺(jué)，當(dāng)在網(wǎng)絡(luò)中任何一臺(tái)工作站或效勞器上發(fā)現(xiàn)病毒時(shí)，它都會(huì)立即報(bào)警通知網(wǎng)絡(luò)管理員。1.4以網(wǎng)為本，多層防御。網(wǎng)絡(luò)防毒不同于單機(jī)防毒。計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開(kāi)放的系統(tǒng)，它是同時(shí)運(yùn)行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務(wù)的效勞。單機(jī)版的殺毒軟件雖然可以暫時(shí)查殺終端機(jī)上的病毒，一旦上網(wǎng)仍會(huì)被病毒感染，它是不能在網(wǎng)絡(luò)上徹底有效地查殺病毒，確保系統(tǒng)平安的。所以網(wǎng)絡(luò)防毒一定要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)和角度重新設(shè)計(jì)防毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病毒。2.對(duì)黑客攻擊的防御對(duì)黑客的防御策略應(yīng)該是對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)施

5、行的分層次、多級(jí)別的包括檢測(cè)、告警和修復(fù)等應(yīng)急功能的實(shí)時(shí)系統(tǒng)策略，方法如下：防火墻構(gòu)成了系統(tǒng)對(duì)外防御的第一道防線。在這里，防火墻是一個(gè)小型的防御系統(tǒng)，用來(lái)隔離被保護(hù)的內(nèi)部網(wǎng)絡(luò)，明確定義網(wǎng)絡(luò)的邊界和效勞，同時(shí)完成授權(quán)、訪問(wèn)控制以及平安審計(jì)的功能。根本的防火墻技術(shù)有以下幾種：1.包過(guò)濾路由器路由器的一個(gè)主要功能足轉(zhuǎn)發(fā)分組，使之離目的更近。為了轉(zhuǎn)發(fā)分組，路由器從IP報(bào)頭讀取目的地址，應(yīng)用基于表格的路由算法安排分組的出口。過(guò)濾路由器在一般路由器的根底上增加了一些新的平安控制功能。絕人多數(shù)防火墻系統(tǒng)在它們的體系構(gòu)造中含了這些路由器，但只足以一種相當(dāng)隨意的方式來(lái)允許或制止通過(guò)它的分組，因此它并不能做成一個(gè)

6、完好的解決方案。2.雙宿網(wǎng)關(guān)一個(gè)雙宿網(wǎng)關(guān)足一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī)，每個(gè)網(wǎng)絡(luò)界面與它所對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)展了通信。它具有路由器的作用。通常情況下，應(yīng)用層網(wǎng)關(guān)或代理雙宿網(wǎng)關(guān)下，他們傳遞的信息經(jīng)常是對(duì)一特定效勞的懇求或者對(duì)一特定效勞的響應(yīng)。假設(shè)認(rèn)為消息是平安的，那么代理會(huì)將消息轉(zhuǎn)發(fā)相應(yīng)的主機(jī)上。用戶只可以使用代理效勞器支持的效勞。3.過(guò)濾主機(jī)網(wǎng)關(guān)一個(gè)過(guò)濾主機(jī)網(wǎng)關(guān)是由一個(gè)雙宿網(wǎng)關(guān)和一個(gè)過(guò)濾路由器組成的。防火墻的配置包括一個(gè)位于內(nèi)部網(wǎng)絡(luò)下的堡壘主機(jī)和一個(gè)位于堡壘主機(jī)和INTERNET之間的過(guò)濾路由器。這個(gè)系統(tǒng)構(gòu)造的第一個(gè)平安設(shè)施是過(guò)濾路由器，它阻塞外部網(wǎng)絡(luò)進(jìn)來(lái)的除了通向堡壘主機(jī)的所有其他信息流。對(duì)到來(lái)的信

7、息流而言，由于先要經(jīng)過(guò)過(guò)濾路由器的過(guò)濾，過(guò)濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后由堡壘主機(jī)下的應(yīng)用效勞代理對(duì)這此信息流進(jìn)展了分析并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機(jī)上;外出的信息首先經(jīng)過(guò)堡壘主機(jī)下的應(yīng)用效勞代理的檢查，然后被轉(zhuǎn)發(fā)到過(guò)濾路由器，然后有過(guò)濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。4.過(guò)濾子網(wǎng)網(wǎng)關(guān)一個(gè)平安的過(guò)濾子網(wǎng)建立在內(nèi)部網(wǎng)絡(luò)與INTERNET之間，這個(gè)子網(wǎng)的入口通常是一個(gè)堡壘主機(jī)，分組過(guò)濾器通常位于子網(wǎng)與INTERNET之間以及內(nèi)部網(wǎng)絡(luò)與子網(wǎng)之間。分組過(guò)濾器通過(guò)出入信息流的過(guò)濾起到了子網(wǎng)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖作用。堡壘主機(jī)上的代理提供了對(duì)外網(wǎng)絡(luò)的交互訪問(wèn)。在過(guò)濾路由器過(guò)濾掉所有不能識(shí)別或制

8、止通過(guò)的信息流后，將其他信息流轉(zhuǎn)發(fā)到堡壘主機(jī)上，由其上的代理仔細(xì)進(jìn)展檢查。所以，可以根據(jù)實(shí)際情況，單獨(dú)或者結(jié)合使用以上防火墻技術(shù)來(lái)構(gòu)筑第一道防線。但是防火墻并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能進(jìn)步系統(tǒng)的平安程度。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)平安和物理平安措施。按照級(jí)別從低到高，分別是主機(jī)系統(tǒng)的物理平安、操作系統(tǒng)的內(nèi)核平安、系統(tǒng)效勞平安、應(yīng)用效勞平安和文件系統(tǒng)平安;同時(shí)主機(jī)平安檢查和破綻修補(bǔ)以及系統(tǒng)備份平安作為輔助平安措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道平安防線，主要防范部分打破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來(lái)遭受攻擊之后進(jìn)展系統(tǒng)恢復(fù)。在防火墻和主機(jī)平安措施之后，是全局性的由系統(tǒng)平安審計(jì)、入侵檢測(cè)和應(yīng)急處理機(jī)構(gòu)成的整體平安檢查和反響措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機(jī)甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測(cè)子系統(tǒng)。入侵檢測(cè)子系統(tǒng)根據(jù)一定的規(guī)那么判斷是否有入侵事件發(fā)生，假設(shè)有入侵發(fā)生，那么啟動(dòng)應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的平安審計(jì)還可以作為以后對(duì)攻擊行為和后果進(jìn)展處理、對(duì)系統(tǒng)平安策略進(jìn)展改進(jìn)的信息來(lái)源。計(jì)算機(jī)網(wǎng)絡(luò)的平