網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。本文是一篇計算機論文發表范文，主要論述了如何加強計算機網絡安全防范。
　　[摘 要]本文以影響計算機網絡安全的主要因素為突破口，從不同角度全面了解影響計算機網絡安全的情況，確保計算機網絡的安全管理與有效運行。

　　[關鍵詞]計算機,網絡安全,防范技術

　　一、計算機安全的含義

　　從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。

　　二、影響計算機網絡安全的主要因素

　　1. 網絡系統在穩定性和可擴充性方面存在 問題 。由于設計的系統不規范、不合理以及缺乏安全性考慮，因而使其受到影響。

　　2. 網絡硬件的配置不協調。一是文件服務器。它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。二是網卡用工作站選配不當導致網絡不穩定。

　　3. 缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。

　　4. 訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。

　　5. 管理制度不健全，網絡管理、維護任其 自然 。

　　三、網絡攻擊和入侵的主要途徑

　　網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

　　口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。

　　IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執行遠程操作。

　　域名系統(DNS)是一種用于TCP/IP 應用 程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常， 網絡 用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽，并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器，也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。

　　四、計算機網絡安全的防范措施

　　4.1 網絡系統結構設計合理與否是網絡安全運行的關鍵

　　全面分析網絡系統設計的每個環節是建立安全可靠的計算機網絡工程的首要任務。應在認真研究的基礎上下大氣力抓好網絡運行質量的設計方案。在總體設計時要注意以下幾個問題：由于局域網采用的是以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅被兩個節點的網卡所接收，同時也被處在同一以太網上的任何一個節點的網卡所截取。因此，只要接入以太網上的任一節點進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。

　　4.2 強化計算機管理是網絡系統安全的保證

　　1、加強設施管理，確保計算機網絡系統實體安全。建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發生;注重在保護計算機系統、網絡服務器、打印機等外部設備和能信鏈路上狠下功夫，并不定期的對運行環境條件(溫度、濕度、清潔度、三防措施、供電接頭、志線及設備)進行檢查、測試和維護;著力改善抑制和防止電磁泄漏的能力，確保計算機系統有一個良好的電磁兼容的工作環境。

　　2、強化訪問控制，力促計算機網絡系統運行正常。訪問控制是網絡安全防范和保護的主要措施，它的任務是保證網絡資源不被非法用戶使用和非常訪問，是網絡安全最重要的核心策略之一。

　　第一，建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

　　第二，建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據訪問權限將用戶分為3種類型：特殊用戶(系統管理員);一般用戶，系統管理員根據他們的實際需要為他們分配操作權限;審計用戶，負責網絡的安全控制與資源使用情況的審計。

　　第三，建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡屬性可以控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件的查看、執行、隱含、共享及系統屬性等，還可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

　　第四，建立網絡服務器安全設置模塊。網絡服務器的安全控制包括設置口令鎖定服務器控制臺;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝非法防問設備等。安裝非法防問裝置最有效的設施是安裝防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障，也是控制進、出兩個方向通信的門檻。目前的防火墻有3種類型：一是雙重宿主主機體系結構的防火墻;二是被屏蔽主機體系結構的防火墻;三是被屏蔽主機體系結構的防火墻。

　　第五，建立檔案信息加密制度。保密性是計算機系統安全的一個重要方面，主要是利用密碼信息對加密數據進行處理，防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率，但在保密信息的收集、處理、使用、傳輸同時，也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。

　　第六，建立網絡智能型日志系統。日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中，日志將記錄自某用戶登錄時起，到其退出系統時止，這所執行的所有操作，包括登錄失敗操作，對數據庫的操作及系統功能的使用。日志所記錄的內容有執行某操作的用戶保執行操作的機器IP地址 操作類型 操作對象及操作執行時間等，以備日后審計核查之用。

　　第七，建立完善的備份及恢復機制。為了防止存儲設備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統的實時熱備份。同時，建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務，確保在任何情況下使重要數據均能最大限度地得到恢復。

　　參考文獻

　　[1] 陳愛民.計算機的安全與保密[M].北京：電子工業出版社，1992年。

　　[2] 劉占全.網絡管理與防火墻[M].北京：人民郵電出版社，1999年。
　　計算機論文發表期刊推薦《信息網絡安全》是公安部主管，公安部第三研究所主辦的綜合性專業月刊，是公安部公共信息網絡安全監察局及其各級網絡安全監察部門對外宣傳的窗口。雜志為部級B類刊物，是中國計算機學會唯一指定信息安全類會刊。