计算机网络系统安全维护研究

秦波

（河南机电职业学院信息工程学院 河南省郑州市 451192）

安全隐患是当前计算机技术技术发展过程中遇到的一个核心问题，积极创新和优化计算机网络系统安全维护措施，以实现降低系统安全风险，为广大用户提供一个安全的网络环境。关于计算机网络系统安全维护策略的制定，其出发点和落脚点主要定位在两个方面，其一是有效防御计算机病毒，其二是防止黑客入侵。

1 预防计算机病毒的有效技术

目前比较常见的计算机病毒类型主要包括蠕虫病毒、木马病毒、系统病毒、脚本病毒、程序病毒以及其他病毒，而且每一种病毒的危害程度呈现出逐渐加重的趋势。其中，蠕虫病毒的主要传播方式是通过网络和系统漏洞来进行，绝大部分蠕虫病毒都是通过带毒邮件来传送的，比较具有代表性的一种蠕虫病毒便是熊猫烧香。木马病毒通常不是独立存在的，其和黑客病毒几乎是相依相伴的关系，其主要是通过系统漏洞和网络来进入用户系统当中，而且木马病毒的隐身性很强，可以很好地配合黑客完成盗取信息资源的任务。系统病毒的传播载体多集中在各种文件上面。脚本病毒集中在网页传播，其中宏病毒便是脚本病毒的一种主要类型。程序病毒有着种植传播特性，其在实际运行过程中还会自行释放出更多新的病毒。要想实现有效预防计算机病毒的目标，建议其可以从以下几个方面来着手：

1.1 杀毒软件

在计算机网络系统当中，都会安装各种各样的杀毒软件，以抵御病毒的侵扰。现在性能比较好的杀毒软件安装都非常简便，通常几分钟就可以安装到每一个NT 服务器上面，而且也可以将其下载到全部目的机器上面，杀毒软件和操作系统以及各种安全措施便可以紧密融合到一块，这样一来，便可以极大程度上缩减网络管理人员的工作量，网络管理人员只需集中进行设置和管理即可。而且对于广大普通网络用户来说，安装杀毒软件是最直接的病毒防御措施。

关于杀毒软件工作原理主要有两种类型：一种类型的杀毒软件是在内存里划分一部分空间，专门用于比较杀毒软件所自带的病毒库特征码和计算机中保存和出现过的各种数据，通过比较来做出计算机是不是中毒的情况。而另一种类型的杀毒软件，其会在被划分到的内存当中虚拟执行用户提交上来的程序或者执行系统，根据虚拟结果来判断是否中毒。

此外，杀毒软件可以生成现有主机操作系统的虚拟镜像，镜像的功能和真实操作系统的功能有着高度一致性。这一技术拥有着独立分档操作能力，借助该技术可有效降低垃圾文件的出现概率。此外，杀毒软件所生成的虚拟环境可以和主机操作系统处于隔离状态，让主机远离病毒感染，大大提高了运行系统的安全性。

1.2 口令控制

设置口令权限是有效防止病毒入侵的重要屏障，也是诸多技术中最经济和最容易的一种抵御病毒的方式。一般关于口令权限归网络管理员和终端操作人员所有，其在每一次管理和登录网络系统时都会设置不同的楼龄，确保网络系统运行的安全性，防止有不法分子或者不良用户越权访问和适用信息资源，破坏用户的个人隐私。

1.3 网关设防

通常发生计算机病毒攻击网络资源应用程序时，这些病毒基本上会出现在信息共享的网络介质当中，针对这种病毒的攻击，在网络前段进行杀毒是有效也是最直接的一种方式，在网关上进行设防，确保防范手段可以渗透到整个网络的方方面面。

1.4 信息加密

信息加密技术（如图1所示），其利用的数学手段和物理手段，保护传输过程中和存储体内的电子信息，避免出现信息泄露的情况。信息加密技术所依据的原理是借助密码算数来转化数据，任何人没有正确秘钥都没有办法读懂相关信息内容。目前，关于信息加密技术已经有几百种方式，但是按照双方收发秘钥是否相通，可以划分为常规算法和公钥加密算法两种类型，几百种具体的方式都可以归入到这两种类型当中来，无论是常规算法还是公钥加密算法，各自都有着各自的长处和短处。

图1：信息加密技术

2 抵御网络黑客攻击的有效技术措施

2.1 包过滤路由器阻断攻击

众所周知，转发分组是路由器最基本的一项功能，通过分组来进一步接近目的，实现目标。为实现转发分组的功能，在读取到目的地以后，路由器会结合路由算法来完成分组出口的安排，而包过滤路由器的优势则体现在其要比一般的路由器多了更高效的安全控制功能。包过滤路由器对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP 转发过程的包头信息。包头信息中包括IP 源地址、IP 目标端F 地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP 目标端口、ICMP 消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。

2.2 双宿网关防火墙

双宿网关防火墙也是比较有效的一种安全系统维护方式。双宿网关防火墙与常规网关防火墙的本质区别就在预期其是用双宿主机来做的，安装了两个网络适配器，分别和两个网络连接在一起。双宿主机如图2所示。

图2：双重宿主主机

双宿主机结构采用主机替代路由器执行安全控制功能，故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机，它可以用来在内部网络和外部网络之间进行寻径。如果在一台双宿主机中寻径功能被禁止了，则这个主机可以隔离与它相连的内部网络和外部网络之间的通信，而与它相连的内部和外部网络都可以执行由它所提供的网络应用，如果这个应用允许的话，它们就可以共享数据。这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络与外部网络之间却不能传递信息，从而达到保护内部网络的作用。双宿网关防火墙虽然有着自身的特色和优势，可是其有着一个非常大的弊端：对于双宿网关防火墙来说，如果有入侵者进入到了堡垒主机，并把堡垒主机设置进行了修改，设置为只限路由器功能，这样的修改就意味着所有用户都可以随便进入到内部网络进行访问，其所造成的破坏力不容小觑。

2.3 过滤主机网关

过滤主机网关是由过滤路由器和双宿网关两大核心部分组成的。其防火墙的配置通常如图3所示，即一个位于堡垒主机和INTERNET 之间的过滤路由器和一个位于内部网络下的堡垒主机。这个系统结构的第一个安全设施是过滤路由器，它阻塞外部网络进来的除了通向堡垒主机的所有其他信息流。

图3：防火墙的配置

2.4 过滤子网网关

一个安全的过滤子网建立在内部网络与INTERNET 之间，这个子网的入口通常是一个堡垒主机，分组过滤器通常位于子网与INTERNET 之间以及内部网络与子网之间。分组过滤器通过出入信息流的过滤起到了子网与内部网络和外部网络的缓冲作用。在堡垒主机上可以实现对外网络的交互访问。过滤路由器会将各种禁止的信息和不能识别的信息都完全过滤掉之后再将剩下的信息内容传送到堡垒主机上面，再交由其他代理做出进一步的检查。因此，广大使用者可以结合自身实际情况和真实需求来选择单独适用或者同时使用各种防火墙技术来构建起牢固的安全防线。

2.5 更新系统补丁

任何一个系统都不是完美无缺的，即使在发布之后还是会存在着这样或者那样的问题和漏洞，而这些问题和漏洞便为黑客和攻击者们提供给了可乘之机。因此，必须要制定出与之相对应的措施来解决这些问题，修复这些漏洞，这便是补丁程序。当这些补丁程序被顺利安装和运行之后，黑客们便失去了利用漏洞来攻击的机会。更新系统补丁是个人开展网络系统安全维护工作的一个重要途径和方式，以Win10 系统为例，用户个人进行更新系统补丁的步骤是：首先，打开开始菜单，在“所有应用”里找到“"settings”·在“settings”里找到“更新和恢复”。然后，在“更新和恢复”页面里找到“Windows更新”，并进入下载系统补丁·下载好补丁，点击“立即重新启动”，就进入安装补丁。最后重新进入Win10 后，在系统右下角会弹出一个消息“更新成功”，就代表补丁安装成功了。这在个人进行网络系统安全维护的多项措施当中算是应用频率比较高且操作比较简单的一种方式，其也有着非常强的实效性。

2.6 密码管理器

当前很多账户都需要设置用户名和密码，而其中有很多人为了方便记忆选择在多个账户当中使用相通的密码。这也就意味着如果其中一个账户的密码被泄露出去，那么黑客便可以通过此密码来攻击用户的其他账户。因此，建议用户可以考虑使用密码管理器来维护账户安全。

2.7 制定入侵应急措施

一旦发现有入侵迹象，一定要在第一时间打开进程记录功能，同时对内存中的进程列表和网络连接状态进行保存，重点保护计算机当中重要的日志文件。如果现实条件允许，需要马上打开网段上另外一台主机监听网络流量，尽可能对入侵者的位置进行精准定位。此外，在入侵应急措施中应该明确一点：如有必要可自行决定断开网络连接，同时尽可能从备份磁带中恢复服务到备份主机上。

2.8 专用主机只开专用功能

专用主机只开专用功能是预防网络黑客攻击的一个有效手段。在专用主机上面，非必要尽可能不要下载或者使用一些bug 比较多的程序，特别是在保存重要数据库或者运行网管的主机上面，一定要高度重视起这一点。除此之外，在网管网段路由器当中，访问控制需要限制在最小范围内，一定要对各个进程必须用的进程端口号进行严格控制，一些不必要的端口可选择直接关闭掉。

3 结束语

综上所述，计算机网络系统的安全维护是全社会共同关注的一个焦点内容，计算机网络系统安全与否，与我们每一个人的工作和生活都息息相关，而计算机网络系统安全保护也是我们每一个人应尽的责任和义务。只有通过不断创新和优化计算机网络系统安全维护策略，才是降低系统安全风险的最有效方式。