计算机网络系统安全维护

计算机网络系统安全维护计算机网络系统安全维护摘要学习目的一、理解计算机网络系统安全的涵义二、掌握影响计算机网络系统安全的因素三、掌握计算机网络系统安全维护策略四、掌握常见问题的原因及解决办法五、了解计算机系统安全保护常识学习任务一、计算机网络系统安全的涵义是什么，包括哪些内容？二、影响计算机网络系统安全的因素有哪些？三、计算机网络系统安全维护策略有哪些？四、常见问题的原因是什么及如何解决？五、计算机系统安全保护常识有哪些？意义：随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。本专题介绍了计算机系统安全的内容及其维护措施，并总结归纳出常见的问题，分析其原因并给出解决办法，并使用户了解计算机系统安全保护常识，给计算机网络工作人员及普通用户一定的帮助。学习内容一、计算机网络系统安全概述二、影响计算机网络系统安全的因素三、计算机网络系统安全维护策略四、常见问题的原因及解决办法五、11个计算机系统安全保护常识案例一名“黑客”入侵到某大公司的电脑网络，对其重要财务资料进行修改，将该公司董事长到中、高层管理人员共19人的某月份工资盗走。深圳某公司天津分公司负责人肖某的太太到银行取丈夫当月的工资，但银行显示钱并没有到账。肖太太于是打电话回公司查询，财务人员到银行查询后得知该公司从董事长到中、高层管根目录下运行，攻击者利用这一漏洞攻击IMAP破坏系统的根目录，从而获得超级用户的特权。1.1.2缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下，就接受任何长度的数据输入，把溢出部分放在堆栈内，系统仍照常执行命令。攻击者就利用这一漏洞发出超出缓冲区所能处理的长度的指令，来造成系统的不稳定状态。1.1.3口令攻击。例如，Unix系统软件通常把加密的口令保存在一个文件中，而该文件可通过拷贝或口令破译方法受到入侵。因此，任何不及时更新的系统，都是容易被攻击的。1.2病毒攻击因为企业网络同样也是连接在互联网上的一个网络，所以它不可避免的要遭到这样或那样的病毒的攻击。这些病毒有些是普通没有太大破坏的，而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器，造成机器“罢工”并成为感染源，另一方面会大量占用网络带宽，阻塞正常流量，形成拒绝服务攻击。2.人为因素：2.1操作失误操作员安全设置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见，随着网络管理制度的建立和对使用人员的培训，此种情况逐渐减少，对网络安全已不构成主要威胁。2.2恶意攻击这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。三、计算机网络系统安全维护策略一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性等特点。计算机网络安全保护的重点应在以下两个方面:一是计算机病毒，二是黑客的入侵。1.杀毒软件和防火墙的区别在计算机的安全防护中，我们经常要用到杀毒软件和防火墙，而这两者在计算机安全防护中所起到的作用也是不同的。（1）防火墙是位于计算机和它所连接的网络之间的软件，安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。（2）因为杀毒软件和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。（3）杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。（4）病毒为可执行代码，黑客攻击为数据包形式。（5）病毒通常自动执行，黑客攻击是被动的。（6）病毒主要利用系统功能，黑客更注重系统漏洞。（7）当遇到黑客攻击时反病毒软件无法对系统进行保护。（8）对于初级用户，可以选择使用防火墙软件配置好的安全级别。（9）防火墙软件需要对具体应用进行规格配置。（10）防火墙不处理病毒。不管是Funlove病毒也好，还是CIH也好,在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。所以，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”。

2.计算机病毒的防御

防御计算机病毒应该从两个方面着手，首先应该加强内部网络管理人员以及使用人员的安全意识，使他们能养成正确上网、安全上网的好习惯。再者，应该加强技术上的防范措施，比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下：

2.1权限设置，口令控制。很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。在选择口令应往意，必须选择超过6个字符并且由字母和数字共同组成的口令；操作员应定期变一次口令；不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果，因为系统本身不会把口令泄露出去。但在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很安全的方法。

2.2简易安装，集中管理。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。

2.3实时杀毒，报警隔离。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒，势必会在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。2.4以网为本，多层防御。网络防毒不同于单机防毒。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统安全的。所以网络防毒一定要以网为本，从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。

3.对黑客攻击的防御

对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、告警和修复等应急功能的实时系统策略，3.1防御方法

防火墙构成了系统对外防御的第一道防线。在这里，防火墙是一个小型的防御系统，用来隔离被保护的内部网络，明确定义网络的边界和服务，同时完成授权、访问控制以及安全审计的功能。基本的防火墙技术有以下几种：

（1）包过滤路由器

路由器的一个主要功能足转发分组，使之离目的更近。为了转发分组，路由器从IP报头读取目的地址，应用基于表格的路由算法安排分组的出口。过滤路由器在一般路由器的基础上增加了一些新的安全控制功能。绝人多数防火墙系统在它们的体系结构中含了这些路由器，但只足以一种相当随意的方式来允许或禁止通过它的分组，因此它并不能做成一个完整的解决方案。

（2）双宿网关

一个双宿网关足一个具有两个网络界面的主机，每个网络界面与它所对应的网络进行了通信。它具有路由器的作用。

通常情况下，应用层网关或代理双宿网关下，他们传递的信息经常是对一特定服务的请求或者对一特定服务的响应。如果认为消息是安全的，那么代理会将消息转发相应的主机上。用户只能够使用代理服务器支持的服务。

（3）过滤主机网关

一个过滤主机网关是由一个双宿网关和一个过滤路由器组成的。防火墙的配置包括一个位于内部网络下的堡垒主机和一个位于堡垒主机和INTERNET之间的过滤路由器。这个系统结构的第一个安全设施是过滤路由器，它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。对到来的信息流而言，由于先要经过过滤路由器的过滤，过滤后的信息流被转发到堡垒主机上，然后由堡垒主机下的应用服务代理对这此信息流进行了分析并将合法的信息流转发到内部网络的主机上;外出的信息首先经过堡垒主机下的应用服务代理的检查，然后被转发到过滤路由器，然后有过滤路由器将其转发到外部网络上。

（4）过滤子网网关

一个安全的过滤子网建立在内部网络与INTERNET之间，这个子网的入口通常是一个堡垒主机，分组过滤器通常位于子网与INTERNET之间以及内部网络与子网之间。

分组过滤器通过出入信息流的过滤起到了子网与内部网络和外部网络的缓冲作用。堡垒主机上的代理提供了对外网络的交互访问。在过滤路由器过滤掉所有不能识别或禁止通过的信息流后，将其他信息流转发到堡垒主机上，由其上的代理仔细进行检查。所以，可以根据实际情况，单独或者结合使用以上防火墙技术来构筑第一道防线。

但是防火墙并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

计算机网络的安全与我们自己的利益息息相关，一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关，而且和每个使用者的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增，网络管理人员要掌握最先进的技术，把握住计算机网络安全的大门。3.2防御措施3.2.1（1）关闭一般不用的端口，如139端口、3389端口等端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到我们主机的安全，对于那些普通用户根本用不着的功能，建议将其关闭掉。关闭139端口的方法:在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进人“高级TCP/IP设置”“wins设置”里面有一项，禁用“TCP/IP的NETBIOS”，打勾就关闭了139端口。关闭3389端口的方法:对于WindowsXP操作系统，在“我的电脑”图标上点右键选“属性”一>“远程”，将里面的”远程协助和远程桌面”两个选项框里的勾去掉。对于Windows2000server操作系统，在开始一>程序一>管理工具一>“服务”里找到“TerminalServices”服务项，选中属性选项将“启动类型”改成“手动”，并停止该服务。(该方法在XP同样适用)（2）停用一些不必要的Windows服务禁用服务的方法:进人控制面板的“管理工具”，运行“服务”，进人服务界面，双击右侧列表中需要禁用的服务，在打开的服务属性的常规标签页“启动类型”一栏，点击小三角形按钮选择“已禁用”，再点击〔停止〕按钮，最后确定即可。禁用服务不但可以让您的系统更加安全，也可以让电脑速度运行得更加快，一举两得。WindowsXP系统建议禁用服务，例如:Messenger，俗称信使服务，这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，建议用户禁用该服务。3.2.（1）及时为操作系统安装最新的系统漏洞补丁程序;（2）安装可升级的杀毒软件和防火墙，将病毒库及时更新，并做个GHOST备份以防日后需要;（3）对系统合理配置①建立、配置配系统用户的权限在WindowsXP系统下所做的一切动作均基于用户，系统安装完成后就拥有了一个管理员权限的用户Administrator，如果是公共场所(如网吧、学校的机房、学生宿舍等)的机器，不必要给每个人都拥有管理员权限，因此，在WindowsXP里至少要有两个以上的用户，除了默认的Administrator用户外，我们还需要建立一个普通用户:以管理员的身份登录您的系统，单击“开始一>设置一>控制面板”，打开“控制面板”窗口，单击“用户账户”图标，接着单击“创建一个新用户”选项，输人用户名，单击“下一步”，为其选择用户类型，应选择“受限”，再点击“创建用户”即可完成用户的创建工作。用户创建好后，由于你是管理员，可以更改普通用户的设置，比如设置(删除)访问密码、更改图片、更改用户名称(类型)等，也可以将其由普通身份的用户提升为管理员身份的用户。只要在“用户账户”窗口中单击用户的名称便可打开更改设置的窗口，您可以选择任意的一项来做修改。这样你就拥有了一个普通用户，用于限制人员对系统操作的权限。平时不要经常以Administrator身份登录系统，因为以管理员权限登录系统，如果碰上像特洛伊木马等恶作剧程序的话，就会出现格式化硬盘、删除所有文件等危险。所以平时最好用普通用户身份登录系统，但是普通用户在运行某些程序的时候会提示没有管理员的权限，我们该怎么办呢?不用担心，WindowsXP为我们提供了在普通用户下以管理员身份运行程序的功能，具体方法:右键单击要运行的程序图标，选择“运行方式”，打开“运行身份”对话框，将目标定位在“一下列用户”栏里，在下拉列表中选择合适的管理员组的用户名，输人密码，点击“确定”。这样，在普通用户下也能以管理员身份运行任何程序了。②启用Internet连接防火墙WindowsXP自带“Internet连接防火墙”软件，可用于限制Internet与家庭或小型办公室之间进行通讯的信息，还可以保护通过电缆调制解调器、ADSL调制解调器或拨号调制解调器连接Internet的单台计算机的安全，你可以根据需要来关闭或启用它:单击“开始一>设置一>控制面板”，然后点击“网络和Internet连接”，再点击“网络连接”。单击所要保护的拨号、局域网或高速Internet连接，然后在窗口左边的“网络任务”下，单击”更改此连接的设置”，弹出该连接的”属性”对话框。在“高级”选项卡上的“Internet连接防火墙”下:若要启用Internet连接防火墙，选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选框;如果您有专业的防火墙软件，可以清除“通过限制或阻止来自1llternet的对此计算机的访问来保护我的计算机和网络”复选框，禁止Internet连接防火墙的使用。③更改VBS文件的打开方式目前，脚本病毒流行成风，你如果担心不知不觉就运行了用脚本写成的病毒文件(这些文件一般都是以VBS为扩展名)，你可以设置成默认用“记事本”打开这类文件，这样蠕虫病毒就永远也感染不了电脑了。其方法是:打开“我的电脑”(或者”资源管理器”)，在“工具”菜单下选择“文件夹选项”，在弹出的“文件夹选项”对话框中选中“文件类型”标签，在“已经注册的文件类型”框中找到“VBScriptScriptFile”和“JscriptScriptFile”项，然后点击“更改”按钮，在弹出的“打开方式”对话框中选择“记事本”应用程序即可，这样设置以后，凡是以VBS为后缀名的文件都被注册为用“记事本”程序来打开了。电脑是不可能没有漏洞的，管理防范远胜于事后补救，所以如果做到了以上几步，相信你的电脑是不容易被人攻击的。常见问题的原因及解决办法1.系统变慢或使用时报错(1)安装软件过多,占满了硬盘上的空间,造成系统或程序缺少足够的运行空间而变慢;可定期检查系统盘所在的硬盘空间,并确保其有足够的空间,同时需要定期清理安装的软件,没有必要的软件可以卸载以释放出空间。(2)由于安装的软件较多,造成启动的时候异常缓慢;由于很多软件需要在系统中写入软件的相关设置,甚至在电脑启动的时候就需要启动软件的很多服务,故造成启动时间变长;遇到这种情况,也是需要定时进行软件清理的,同时请关注“开始\所有程序\启动”中的项目,不必要的软件,就不要启动加载了,从启动项目中删除就可以了。(3)频繁地安装、删除软件或程序,造成文件碎片或系统垃圾,将严重地妨碍系统的运行速度,尤其是不按照软件的卸载要求进行卸载的,更容易造成问题,建议卸载软件或程序时,一定要遵照相应的说明进行。(4)定期对系统进行碎片整理,以提高系统的运行速度;需要定期经常做些磁盘维护工作,清除垃圾、整理硬盘碎片,这样可以帮助提高硬盘的读写效率,提高运行速度。(5)另外一个很重要的原因是病毒;病毒会造成系统使用缓慢或出现异常报错,定期查杀病毒,慎重安装软件,都是有效避免的方法。2.病毒防护,安心使用病毒危害会造成计算机使用的异常,常见故障现象有:不能够启动、死机、蓝屏、使用一段时间后变得异常缓慢、频繁报错,严重的甚至丢失数据,破坏硬件等。目前网络是病毒传播的主要途径,只要做到如下几点,就应该能够有效地防止网上病毒的攻击,确保您的安全使用。(1)确保您的机器安装了正版的杀毒软件,并确保杀毒软件处于自动更新状态,并每周检查一下杀毒软件是否确实更新了;如果您没有相应软件,可以在电脑市场购买或询问我们的专业服务机构。(2)注意及时安装系统安全补丁,如果您使用的是XP系统,请关注您的安全中心中，防火墙和自动更新都处于开启状态。(3)下载和安装软件请慎重,对于您下载下来的软件,最好先用杀毒软件进行一次查杀,再进行安装;有些压缩的软件是可以自动执行的,最好不要直接打开,可以先解压缩后,用杀毒软件查杀,再决定是否安装。(4)邮件也是传播病毒的重要方式,如果您收到带有附件的邮件,请一定当心,慎重打开邮件中的附件,可以先将其下载到本地,用杀毒软件检测,再决定是否打开或安装;如果遇到无主题邮件或主题是乱码的邮件,请提高警惕。(5)最好每月对您的电脑进行一次全面查杀,以确保您的机器处于最干净的运行状态;同时注意平时留心杀毒软件厂商提供的病毒预警新闻,留心是否出现新的病毒。3.避免“流氓软件”带来的困扰目前网上流行一些被称为“流氓软件”的程序,这些软件包括广告程序、间谍软件、IE插件等;其软件的表现为:有时在电脑的使用过程中,会经常跳出很多广告,在IE的地址栏及收藏夹中出现很多无关的链接等等。(1)必须注意在安装某些软件的过程中,不要一味地点击“下一步”,而是要看清楚,是否在安装的时候会“顺便安装”某些插件;一般软件会有提示,让您是否选择安装某些插件,如果这些不是您所需要用的,最好是不要选中安装。(2)在浏览一些网站的时候,有时会跳出“您是否要安装XXXX”之类的对话框,在不能确定这个即将安装的软件是什么来路之前,最好点击“否”。(3)有些软件和网站不留相关提示就安装了某些插件或广告程序,或者您目前正受到这些“流氓软件”的困扰,建议您可以在网络上搜索一些清除这些软件的方法或者工具。4．网络交易注意安全目前网上支付是一个很流行的网络交易方式,但这种交易支付方式也存在很多的隐患和较大的风险;从发生问题的案例来看,由于个人对安全方面的忽视,预防措施做的不到位是造成网上交易损失最大的原因。建议:(1)确保您安装并启用了正版杀毒软件和微软INTERNET防火墙;上述软件能够有效地阻止黑客软件对您的计算机的入侵,您需要注意的是定期检查上述软件是否已经更新为最新版本,同时软件处于开启状态;目前很多杀毒软件也集成了防火墙功能,也请一并开启。(2)更新windows操作系统,安装补丁程序,防止系统漏洞;系统存在漏洞就像衣服存在破洞一样,需要及时修补,才能够确保安心。(3)安装正版杀毒软件,并确保定期升级;正版的杀毒软件有软件厂商保证的各项权益,尤其是定期升级,对您的系统安全防护至关重要;使用正版杀毒软件,并定期升级,定期杀毒(至少一个月做一次)能够有效地降低被木马病毒感染,降低重要信息,尤其是密码等被泄漏的风险。(4)登录正规网站,避免留下和银行密码相同的密码;很多非法或不正规网站,诱骗客户注册,并取得用户密码,如果您一旦泄漏了您的相关银行账号,密码相同的话,就会给您带来严重威胁和风险;所以注册网站是一定要留意和谨慎的。(5)登录网上银行,留意网址,避免登录克隆网站的威胁;相关克隆网站的辨别,请留意您开户的银行上发布的相关信息,并注意留意相关识别信息的宣传。(6)安装认证证书,设定长字位密码,建议使用银行提供的各种安全认证工具(如USB密匙、证书)等;详细情况可联系您开户银行取得相关建议。五、11个计算机系统安全保护常识1、预防第一保持获取信息。你是否知晓几乎每天都有病毒和安全警告出现？通过把我们的安全与修复主页加入收藏夹来获取最新爆发的病毒。2、得到保护如果你的机器上没有安装病毒防护软件，你最好还是安装一个。如果你是一个家庭或者个人用户，下载任何一个排名最佳的程序都相当容易，而且可以按照安装向导进行操作。如果你在一个网络中，首先咨询你的网络管理员。3、定期扫描你的系统如果你刚好是第一次启动防病毒软件，最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常，防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒，最好成为你的习惯。4、更新你的防病毒软件既然你安装了病毒防护软件，就应该确保它是最新的。一些防