1.序言 隨著信息全球化的加劇和計算機網絡的不斷發展，加上計算機網絡的多樣性、開放性、互連性和廣泛性等特點，致使現在的電腦和網絡越來越弱不禁風，全球的黑客、間諜、病毒爆炸式的增長，所以網絡系統中的信息的安全和保密是一個至關重要的問題。對于一些特殊的政府、銀行和軍事網絡等傳輸敏感數據的計算機網絡系統而言，網上信息的安全和保密工作更為重要。不管是在局域網還是在廣域網中，網絡安全工作都要全面、細致，要充分考慮到來自網內網外的各種不同的威脅，并積極采取相應措施，這樣才能有力地確保網絡信息系統的安全和保密。 2.網絡系統的不安全因素 計算機網絡系統的不安全因素按威脅的對象可以分為三種:一是對網絡硬件的威脅，這主要指那些惡意破壞網絡設施的行為，如偷竊、無意或惡意毀損等等;二是對網絡軟件的威脅，如病毒、木馬入侵，流量攻擊等等;三是對網絡上傳輸或存儲的數據進行的攻擊，比如修改數據，解密數據，刪除破壞數據等等。這些威脅有很多很多，可能是無意的，也可能是有意的，可能是系統本來就存在的，也可能是我們安裝、配置不當造成的，有些威脅甚至會同時破壞我們的軟硬件和存儲的寶貴數據。如CIH病毒在破壞數據和軟件的同時還會破壞系統BIOS，使整個系統癱瘓。針對威脅的來源主要有以下幾方面: 2.1無意過失 如管理員安全配置不當造成的安全漏洞，有些不需要開放的端口沒有即時用戶帳戶密碼設置過于簡單，用戶將自己的帳號密碼輕意泄漏或轉告他人，或幾人共享帳號密碼等，都會對網絡安全帶來威脅。 2.2惡意攻擊 這是我們賴以生存的網絡所面臨的最大威脅。此類攻擊又可以分為以下兩種:一種是顯在攻擊，它有選擇地破壞信息的有效性和完整性，破壞網絡的軟硬件系統，或制造信息流量使我們的網絡系統癱瘓;另一類是隱藏攻擊，它是在不影響用戶和系統日常工作的前提下，采取竊取、截獲、破譯和方式獲得機密信息。這兩種攻擊均可對計算機網絡系統造成極大的危害，并導致機密數據的外泄或系統癱瘓。 2.3漏洞后門 網絡操作系統和其他工具、應用軟件不可能是百分之百的無缺陷和無漏洞的，尤其是我們既愛又恨的“Windows”系統，這些漏洞和缺陷就是病毒和黑客進行攻擊的首選通道，無數次出現過的病毒(如近期的沖擊波和震蕩波就是采用了Windows系統的漏洞)造成的重大損失和慘痛教訓，就是由我們的漏洞所造成的。黑客浸入網絡的事件，大部分也是利用漏洞進行的。“后門”是軟件開發人員為了自己的方便，在軟件開發時故意為自己設置的，這在一般情況下沒有什么問題，但是一旦該開發人員有一天想不通要利用利用該“后門”，那么后果就嚴重了，就算他自己安分守己，但一旦“后門”洞開和泄露，其造成的后果將更不堪設想。 　　3.計算機網絡的安全策略 3.1 物理安全策略 物理安全策略的目的是保護計算機系統、服務器、網絡設備、打印機等硬件實體和通信鏈路的物理安全，如采取措施防止自然災害、化學品腐蝕、人為盜竊和破壞、搭線竊取和攻擊等等;由于很多計算機系統都有較強的電磁泄漏和輻射，確保計算機系統有一個良好的電磁兼容工作環境就是我們需要考慮的;另外建立完備的安全管理制度，服務器應該放在安裝了監視器的隔離房間內，并且要保留10天以上的監視記錄，另外機箱、鍵盤、電腦桌抽屜要上鎖，鑰匙要放在另外的安全位置，防止未經授權而進入計算機控制室，防止各種偷竊、竊取和破壞活動的發生。 3.2 訪問控制策略 網絡中所能采用的各種安全策略必須相互配合、相互協調才能起到有效的保護作用，但訪問控制策略可以說是保證網絡安全最重要的核心策略之一。它的主要目的是保證網絡信息不被非法訪問和保證網絡資源不被非法使用。它也是維護網絡系統安全、保護網絡資源的重要手段。下面我們分述各種訪問控制策略。 3.2.1 登陸訪問控制 登陸訪問控制為網絡訪問提供了第一層訪問控制。通過設置帳號，可以控制哪些用戶能夠登錄到服務器并獲取網絡信息和使用資源;通過設置帳號屬性，可以設置密碼需求條件，控制用戶在哪些時段能夠登陸到指定域，控制用戶從哪臺工作站登陸到指定域，設置用戶帳號的失效日期。 注:當用戶的登錄時段失效時，到域中網絡資源的鏈接不會被終止。然而，該用戶不能再創建到域中其他計算機的新鏈接。 用戶的登陸過程為:首先是用戶名和密碼的識別與驗證、然后是用戶帳號的登陸限制的檢查。兩個過程只要有一個不成功就不能登陸。 由于用戶名和密碼是對網絡用戶的進行驗證的第一道防線。所以作為網絡安全工作人員在些就可以采取一系列的措施防止非法訪問。 a. 基本的設置 應該限制普通用戶的帳號使用時間、方式和權限。只有系統管理員才能建立用戶帳號。用戶密碼方面應該考慮以下情況:密碼的復雜情況、最小密碼長度、密碼的有效期等。應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。應對所有用戶的訪問進行審計，如果多次輸入口令不正確，則應該認為是非法入侵，應給出報警信息，并立即停用該帳戶。 　　b. 認真考慮和處理系統內置帳號 建議采取以下措施:i.停用Guest帳號，搞不懂Microsoft為何不允許刪除Guest帳號，但不刪除我們也有辦法:在計算機管理的用戶和組里面，把Guest帳號禁用，任何時候都不允許Guest帳號登陸系統。如果還不放心，可以給Guest帳號設置一個長而復雜的密碼。這里為對Windows 2000有深入了解的同行提供一個刪除Guest帳號的方法:Windows 2000系統的帳號信息，是存放在注冊表HKEY_LOCAL_MacHINESAM里的，但即使我們的系統管理員也無法打開看到這個主鍵，這主要也是基于安全的原因，但是“System”帳號卻有這個權限，聰明的讀者應該知道怎么辦了吧，對了，以“SYSTEM”權限啟動注冊表就可以了，具體方法為:以“AT”命令來添加一個計劃任務來啟動Regedit.exe程序，然后檢查注冊表項，把帳號Guest清除掉。首先，看一下時間 00:30,在“運行”對話框中或“cmd”中運行命令:at 0:31 /interactive regedit.exe。這樣啟動regedit.exe的身份就是“SYSTEM”了，/interactive的目的是讓運行的程序以交互式界面的方式運行。一分鐘后regedit.exe程序運行了，依次來到以下位置: HKEY_LOCAL_MACHINESAMDomainsAccountUsers，將以下兩個相關鍵全部刪掉:一個是000001F5，一個是Names下面的Guest。完成后我們可是用以下命令證實Guest帳號確實被刪掉了“net user guest”。ii.系統管理員要擁有兩個帳號，一個帳號是具有管理員權限，用于系統管理，另一個帳號只有一般權限，用于日常操作。這樣只有在維護系統或安裝軟件時才用管理員身份登陸，有利于保障安全。iii.將administrator帳號改名。Microsoft不允許將administrator帳號刪除和停用，這樣Microsoft就給Hacker們提供了特別大的幫助，但我們也可將之改名，如改為everyones等看視普通的名字。千萬不要改為Admin、Admins等改了等于白改的名字。 c. 設置欺騙帳號 這是一個自我感覺非常有用的方法:創建一個名為Administrator的權限最低的欺騙帳號，密碼設置相當復雜，既長又含特殊字符，讓Hacker們使勁破解，也許他破解還沒有成功我們就已經發現了他的入侵企圖，退一步，即使他破解成功了最后還是會大失所望的發現白忙半天。 　　d. 限制用戶數量 因為用戶數量越多，用戶權限、密碼等設置的缺陷就會越多，Hacker們的機會和突破口也就越多，刪除臨時帳號、測試帳號、共享帳號、普通帳號、已離職員工帳號和不再使用的其他帳號能有效地降低系統缺陷。 　　e. 禁止系統顯示上次登陸的用戶名 Win9X以上的操作系統對以前用戶登陸的信息具有記憶功能，下次重啟時，會在用戶名欄中提示上次用戶的登陸名，這個信息可能被別有用心的人利用，給系統和用戶造成隱患，我們可以通過修改注冊表來隱藏上次用戶的登陸名。修改方法如下:打開注冊表，展開到以下分支: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 在此分支下新建字符串命名為:DontDisplayLastUserName，并把該字符串值設為:“1”，完成后重新啟動計算機就不會顯示上次登錄用戶的名字了。