【計算機網(wǎng)絡安全的漏洞及防范措施5300字】

計算機網(wǎng)絡安全的漏洞及防范措施目錄TOC\o"1-3"\h\u11606一、引言 一、引言隨著計算機信息技術、通信技術、互聯(lián)網(wǎng)技術的發(fā)展,隨著時間的推移，各種信息網(wǎng)絡安全技術隨之而來，為人們提供了現(xiàn)代化辦公和娛樂的便利，生活的各個領域開始向數(shù)字化和信息化發(fā)展。但是電腦的使用更加普遍，給生活帶來了舒適,與此同時也會帶來一定的安全隱患,比如信息數(shù)據(jù)有可能被竊取或者盜用,個人隱私可能會暴露在公眾的視線范圍內(nèi),從而使得用戶帶來一定的財產(chǎn)損失等,甚至會威脅著個人、企業(yè)及國家的信息安全。鑒于目前學術界關于計算機信息數(shù)據(jù)安全漏洞及加密技術的研究較多,但是缺乏對二者的綜合分析,大部分研究多是關于某一方面的研究,研究有待進一步深入和細化,本文將對二者進行綜合分析,具有一定的理論意義。二、相關理論綜述（一）計算機網(wǎng)絡安全漏洞及風險1.自然災害威脅計算機網(wǎng)絡的數(shù)據(jù)是依靠電纜或者光纖等媒介傳播的，但是，類似電纜或者光纖等媒介時非常脆弱的，他們要一個相對穩(wěn)定的環(huán)境才能保證良好的數(shù)據(jù)傳播而不是出現(xiàn)數(shù)據(jù)損壞或者丟失。同樣的，電子計算機在當今社會也極其脆弱，因此如果計算機遇到地震、火災或漏電等災難，其硬件對不可修復的損壞高度敏感，存儲在硬件中的數(shù)據(jù)也可能丟失。2.軟件漏洞攻擊軟件漏洞現(xiàn)在社會中非常容易被黑客攻擊和利用，原本軟件漏洞是程序員在進行程序編譯的時候，考慮的不那么完善周全的一種程序漏洞，有的甚至程序員為了后期修改或者調(diào)整程序方便而留下的一道“后門”，這種漏洞其實非常容易被黑客利用和攻擊。當黑客設法攻擊你的電腦時，他們可以輕而易舉地竊取你留在電腦上的個人信息。其實，所有的軟件都是有著漏洞的，因為技術的不斷發(fā)展，可能在過去沒有發(fā)現(xiàn)漏洞的軟件，在過了一段時間后，就被人找到存在的漏洞而加以利用。（二）計算機網(wǎng)絡漏洞防范的必要性培養(yǎng)專業(yè)人才并開發(fā)網(wǎng)絡先進技術。加強人才培養(yǎng)和加大技術的開發(fā)投資，在現(xiàn)今社會是非常有必要的，在培養(yǎng)高技術人才時，也要做好對其正確的引導，使之能夠正確的為公眾網(wǎng)絡的安全作出貢獻，并有針對性的對新技術開發(fā)投資，因此，技術力量的強弱是保證網(wǎng)絡和諧的基礎。強化互聯(lián)網(wǎng)安全意識，加強治理。常言道：“網(wǎng)絡安全七分靠管理三分靠技術”，這恰恰說明管理對于互聯(lián)網(wǎng)安全漏洞的重要性，我們可以從以下幾個方面入手，首先，在新手剛剛接觸網(wǎng)絡的時候，就要對其的安全意識進行強化培訓，同時對一些私密的資料和密碼加強管理，并且最好定期更換密碼，以保證個人的計算機網(wǎng)絡安全。三、P企業(yè)網(wǎng)絡安全規(guī)劃與設計（一）拓撲結構設計圖1中小型企業(yè)網(wǎng)絡拓撲圖中小型企業(yè)網(wǎng)絡拓撲設計如圖1所示，總部和各個分工公司的各個部門獨立在不同的網(wǎng)段，不同部門間隔離辦公，避免了企業(yè)局域網(wǎng)廣播風暴帶來的安全隱患?？偛康暮诵脑谟?臺三層交換機上，采用STP+HSRP的雙核心解決方案，打破環(huán)路，提高網(wǎng)絡冗余性。同時服務器也部署在總部，并在服務器前面放置防火墻為服務器做防護，保護企業(yè)核心數(shù)據(jù)的安全。分公司1區(qū)域、分公司2區(qū)域和分公司3區(qū)域采用二層交換機和路由器做單臂路由連接到總部和和各個分公司匯聚的三層交換機上進而與總部連接?？紤]到將來的擴容問題，匯聚交換機采用具有多個萬兆上聯(lián)端口的設備。企業(yè)網(wǎng)絡出口ISP分為中國電信和中國聯(lián)通網(wǎng)。今后企業(yè)網(wǎng)的規(guī)模還會擴大，因此，本次建設的企業(yè)網(wǎng)絡需兼顧可擴展性和投資保護，避免在將來網(wǎng)絡擴展的時候造成前期設備投入的浪費，同時具有自主運營能力，網(wǎng)絡能夠提供收費認證的上網(wǎng)模式。出口路由器連到ISP，運用安全策略過濾可疑的數(shù)據(jù)。（二）拓撲結構分析1.核心層核心層是整個網(wǎng)絡結構中最重要的一層，內(nèi)部用戶的流量都需要經(jīng)過核心層交換機進行轉(zhuǎn)發(fā)，是網(wǎng)絡三層架構中的核心部分，是不可缺少的一層。企業(yè)網(wǎng)絡設計中，考慮到資金的問題，核心層部署2臺核心三層交換機，負責轉(zhuǎn)發(fā)企業(yè)內(nèi)部用戶的流量，并充當內(nèi)部用戶網(wǎng)關，能夠?qū)崿F(xiàn)內(nèi)部不同網(wǎng)段的用戶之間的連通性。兩臺核心交換機間運行HSRP網(wǎng)關備份協(xié)議，一臺核心交換機作為用戶的主網(wǎng)關，另一臺核心交換機充當用戶備份網(wǎng)關，主核心交換機負責轉(zhuǎn)發(fā)流量。只有當核心主網(wǎng)關出現(xiàn)故障、死機的情況的下，備份核心交換機才會轉(zhuǎn)發(fā)流量。核心交換機之間通過兩條線路進行互聯(lián)，通過配置端口聚合，來增加鏈路帶寬。上聯(lián)出口路由器，核心層和出口路由器之間都配置動態(tài)路由協(xié)議，通過OSPF動態(tài)協(xié)議保證網(wǎng)絡了連通性和可擴展性。服務器區(qū)域交換機也通過防火墻連接在核心交三層換機上。2.接入層與服務器（1）接入層接入層一般下聯(lián)用戶終端，如PC機、打印機、無線接入點和服務器等，最大的特點就是基數(shù)大，所以在選擇購買設備的時候我們可以選擇中低端、端口密度大的設備，既可以節(jié)省資金又可以節(jié)省機柜的空間。接入層交換機默認端口類型為access，如果內(nèi)部需要劃分多個vlan，需要將與用戶終端連接的端口劃分到相應的某個VLAN，而和交換機互聯(lián)接口的話，企業(yè)有多個部門，需要規(guī)劃和創(chuàng)建多個VLAN。不同部門的終端與接入層交換機相連接的端口必須劃分到相應的VLAN，上聯(lián)核心層交換機的端口需要配置為trunk，并配置相應的VLAN通過。企業(yè)總部接入交換機開啟STP協(xié)議，因為接入層交換機上是雙連接的，起到防止環(huán)路的作用。（2）服務器企業(yè)部署3臺服務器，OA服務器支持日常辦公需求，財務服務器存儲備份各財務部業(yè)務數(shù)據(jù)，人事服務器存儲備份各人事部業(yè)務數(shù)據(jù)。服務器前部署防火墻做訪問控制限制各部門對各服務器的訪問，再接入核心層，實現(xiàn)數(shù)據(jù)高速轉(zhuǎn)發(fā)。（三）VLAN劃分及IP地址分配IP地址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由協(xié)議有非常密切的關系，將對企業(yè)網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應充分考慮本地網(wǎng)對IP地址的需求，以滿足未來業(yè)務發(fā)展對IP地址的需求。除此之外，中小型企業(yè)的規(guī)模隨著發(fā)展不斷擴大，企業(yè)員工自然也就會增多，屆時，網(wǎng)絡用戶增多，管理難度加大，網(wǎng)絡安全性降低。而合理的VLAN劃分方案不僅有利于提高網(wǎng)絡效率和網(wǎng)絡安全性，而且可以方便網(wǎng)絡的管理。該中小型企業(yè)總部各部門依次劃分到VLAN10-15的虛擬局域網(wǎng)中，分公司的的各部門也劃分到不同的網(wǎng)段里，即VLAN16-24?？偛亢头止镜母鱾€部門劃分到不同的虛擬局域網(wǎng)后，再為各個部門所在的虛擬局域網(wǎng)分配一個C類地址空間來供現(xiàn)在及以后使用。（四）設備配置1.VLAN配置分別將企業(yè)總部和各分公司的各個部門劃分到不同的VLAN中，讓每個部門單獨在一個虛擬局域網(wǎng)中，實現(xiàn)業(yè)務數(shù)據(jù)的隔離，同時也避免了廣播風暴，提高企業(yè)網(wǎng)絡安全性。依據(jù)前面表4.1的VLAN劃分方案實施配置，將總部和3個分公司的各部門與交換機連接的端口指定到相應的VLAN，就實現(xiàn)了VLAN的劃分，以總部人事部VLAN配置為例，配置實現(xiàn)如圖2所示，實施VLAN配置前先在全局模式下采用noipdomainlookup命令關閉域名查詢，啟用禁止DNS服務器，減少輸入錯誤命令的等待時間。圖2交換機上實施總部人事部VLAN配置2.端口聚合與HSRP配置（1）端口聚合配置核心層的2臺三層交換機間容易產(chǎn)生環(huán)路，而環(huán)路會帶來一些問題，如MAC地址表不穩(wěn)定、廣播風暴、多次幀復制，這3種情況都致使網(wǎng)絡鏈路崩盤給企業(yè)的數(shù)據(jù)資源造成威脅，降低企業(yè)的網(wǎng)絡安全性。因此配置端口聚合來解決環(huán)路問題，以CORE-SW-1配置為例，先創(chuàng)建一個10號聚合端口，然后進入相應接口將接口加入到10號邏輯端口組。（2）HSRP配置核心層部署2臺核心三層交換機進行雙機熱備份，2臺三層交換機組成一個HSRP組，配置CORE-SW-1做活動路由器，CORE-SW-2做備份路由器。網(wǎng)絡設備或者用戶主機的數(shù)據(jù)都是經(jīng)CORE-SW-1轉(zhuǎn)發(fā)，但處在網(wǎng)絡中的用戶主機和網(wǎng)絡設備的網(wǎng)關地址是虛擬路由器的IP地址，這樣就算活動路由器CORE-SW-1宕機，切換備份路由器CORE-SW-2時也不需要重新配置網(wǎng)關，不會對通信造成影響，保證網(wǎng)絡的安全性和穩(wěn)定性。以在CORE-SW-1配置總部人事部的虛擬網(wǎng)關IP地址為例，配置實現(xiàn)如圖3所示。圖3CORE-SW-1HSRP配置3.DHCP配置對于中小型企業(yè)來說，企業(yè)員工并不是都會給電腦配置靜態(tài)IP地址，有時候在配置過程中還會出現(xiàn)IP地址沖突的問題，給企業(yè)員工不好的網(wǎng)絡體驗感，而DHCP動態(tài)主機配置協(xié)議的作用是為內(nèi)部網(wǎng)絡設備、終端設備動態(tài)地分配地址，恰好解決了以上問題，并且降低了企業(yè)員工誤操作導致的安全事件發(fā)生機率。實施DHCP的配置都是先創(chuàng)建DHCP地址池，然后設置地址池可分配的地址的范圍，最后設置地址池的默認網(wǎng)關地址和默認DNS地址。以總部的人事部、財務部和監(jiān)控部配置為例，人事部的DHCP配置實現(xiàn)如圖4所示,財務部的DHCP配置如圖5所示，監(jiān)控部的DHCP配置如圖6所示。圖4總部人事部DHCP配置圖5總部財務部DHCP配置圖6總部監(jiān)控部DHCP配置（五）安全策略1.內(nèi)部網(wǎng)絡安全策略（1）物理安全策略部署中心機房，并做好防雷、防水、防火等自然災害的規(guī)避措施。中心機房的進出實行認證機制，只有企業(yè)網(wǎng)絡安全管理人員才可以隨意出入中心機房。對此，可以對中心機房設置門禁，進出進行刷臉或指紋認證，不推薦使用智能卡認證，因為智能卡容易丟失，如果被別有用心的人撿到，將會對企業(yè)網(wǎng)絡造成威脅。同時，在中心機房設置報警器，發(fā)現(xiàn)可疑人員入侵及時報警。中心機房放置網(wǎng)絡安全設備和存放重要數(shù)據(jù)的服務器，合理的劃分設備的占用空間，并將核心設備置于安全柜中，防止損壞。（2）存儲備份策略針對中小型企業(yè)園區(qū)內(nèi)各企業(yè)數(shù)據(jù)備份工作不足的現(xiàn)狀，可以號召各企業(yè)實施輪換備份策略，以防止特殊情況下，硬件損毀帶來的信息丟失問題，并在此過程中，企業(yè)最好采用存儲介質(zhì)，如磁帶、硬盤等，進行數(shù)據(jù)備份，然后將其轉(zhuǎn)移到異地存放，一旦硬件出現(xiàn)意外損毀問題，即可及時通過調(diào)取對應的儲蓄介質(zhì)來正常應用信息數(shù)據(jù)，在具體操作過程中，網(wǎng)絡管理者可以采用GFS輪換循環(huán)、漢諾塔輪換備份策略、增量介質(zhì)等備份建設方法，確保增量信息文件能夠被穩(wěn)定地備份儲存；此外，在備份存儲工作中，企業(yè)需要注意的是，盡量將存儲地點設在園區(qū)周邊且交通暢通的位置，實現(xiàn)數(shù)據(jù)的災備，而且還要注意做好存儲管理，合理調(diào)整存儲區(qū)域的溫度、濕度等環(huán)境參數(shù)，且應委派專人負責日常的存儲管理，并為各項備份、運輸、存儲工序設置配套的工作制度和標準，增強基礎備份工作的可靠性，提高企業(yè)信息安全防護工作效果。2.外部網(wǎng)絡安全策略（1）防病毒策略中小型企業(yè)防范病毒的手段主要是安裝殺毒軟件，現(xiàn)在的殺毒軟件大都有電腦體檢、漏洞修復、救援電腦、查殺木馬和清理插件等功能，如騰訊安全管家、360安全衛(wèi)士、金山毒霸等，它們可以對電腦定期體檢來發(fā)現(xiàn)電腦存在的安全問題并提供解決措施，可以在電腦出現(xiàn)漏洞時及時修復，可以對木馬進行查殺。除此之外，殺毒軟件對U盤、光盤、移動硬盤等外部設施插入電腦時進行病毒查殺，阻斷病毒入侵。安裝殺毒軟件簡單實用易操作，對中小型企業(yè)來說不失為一個很好的選擇。當然了，也不要隨便打開陌生的電子郵件、文件、網(wǎng)址等，里面可能會攜帶病毒。（2）防黑客入侵策略大企業(yè)難攻陷，所以黑客將注意力轉(zhuǎn)移到了中小型企業(yè)上。針對黑客的入侵，中小型企業(yè)可以通過在網(wǎng)絡的邊界合理的使用防火墻做訪問控制或者是在邊界路由器上做訪問控制來阻止源于外部網(wǎng)絡的黑客入侵行為。圖7分公司2銷售部自動獲取IP地址成功結論網(wǎng)絡的普及，給中小型企業(yè)帶來了諸多便利，與此同時也使中小型企業(yè)的網(wǎng)路安全問題日益凸顯，一旦網(wǎng)絡安全出現(xiàn)問題，企業(yè)都將面臨或多或少的損失。目前中小型企業(yè)網(wǎng)絡安全建設不足，對網(wǎng)絡安全缺乏合理的規(guī)劃，本文通過研究分析一些網(wǎng)絡安全相關的技術，并以某一中小型企業(yè)為對象進行研究，針對其存在的網(wǎng)絡安全問題、網(wǎng)絡安全需求進行分析，設計規(guī)劃一個合理的安全網(wǎng)絡和提供一些安全策略，讓企業(yè)的業(yè)務處理擁有安全可靠的網(wǎng)絡環(huán)境，促進企業(yè)的健康發(fā)展，提高企業(yè)的核心競爭力。網(wǎng)絡在變化，網(wǎng)絡安全問題也在變化，所以中小型企業(yè)的網(wǎng)絡安全策略也應該順應網(wǎng)絡動態(tài)變化，要逐漸從被動防御向主動檢測防御轉(zhuǎn)變，這可以通過入侵檢測技術來實現(xiàn)，入侵檢測技術可以主動的檢測網(wǎng)絡中違反安全策略的可疑行為和攻擊入侵，并做出響應，發(fā)出警報，采取相應的安全措施來預防阻止網(wǎng)絡安全事件的發(fā)生，保障了網(wǎng)絡實時安全。

參考文獻[1]馮燕雯.計算機網(wǎng)絡安全及防火墻技術的研究[J].農(nóng)家參謀，2018，No.585(11):239.[2]孫家樂.計算機網(wǎng)絡安全與防火墻技術研究[J].電腦知識與技術：經(jīng)驗技巧，:75-78.[3]徐唯耀,秦浩.電力信息化中數(shù)據(jù)加密技術的應用[J].電工技術,2020(04):121-122.[4]宋煜,劉艷超.大數(shù)據(jù)背景下的計算機網(wǎng)絡安全現(xiàn)狀及優(yōu)化策略[J].通訊世界,2019,026(008):78-79.[5]余皓,王犇,彭新兵.計算機網(wǎng)絡管理及相關安全技術探析[J].數(shù)字化用戶,2019,025(035):38.[6]滑衛(wèi).計算機網(wǎng)絡安全技術問題及優(yōu)化措施[J].數(shù)字化用戶,2018,024(004):109.[7]付保兵.計算機網(wǎng)絡工程全面信息