畢業(yè)論文即需要在學(xué)業(yè)完成前寫作并提交的論文，是教學(xué)或科研活動的重要組成部分之一。

　　隨著計算機網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，但由于計算機網(wǎng)絡(luò)聯(lián)結(jié)形式的多樣性，致使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及網(wǎng)絡(luò)上傳輸?shù)男畔⒁自馐芘既坏幕驉阂獾墓�擊、破壞。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。因此，無論是局域網(wǎng)還是廣域網(wǎng)，都存在著自然和人為等諸多因素的脆弱性和潛在威脅，這也使我們不得不將網(wǎng)絡(luò)的安全措施提高到一個新的層次，以確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

　　一、網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計合理與否是網(wǎng)絡(luò)安全運行的關(guān)鍵

　　全面分析網(wǎng)絡(luò)系統(tǒng)設(shè)計的每個環(huán)節(jié)是建立安全可靠的計算機網(wǎng)絡(luò)工程的首要任務(wù)。應(yīng)在認真研究的基礎(chǔ)上下大氣力抓好網(wǎng)絡(luò)運行質(zhì)量的設(shè)計方案。為解除這個網(wǎng)絡(luò)系統(tǒng)固有的安全隱患，可采取以下措施。

　　1、網(wǎng)絡(luò)分段技術(shù)的應(yīng)用將從源頭上杜絕網(wǎng)絡(luò)的安全隱患問題。因為局域網(wǎng)采用以交換機為中心、以路由器為邊界的網(wǎng)絡(luò)傳輸格局，再加上基于中心交換機的訪問控制功能和三層交換功能，所以采取物理分段與邏輯分段兩種方法來實現(xiàn)對局域網(wǎng)的安全控制，其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止非法偵聽，保證信息的安全暢通。

　　2、以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

　　二、強化計算機管理是網(wǎng)絡(luò)系統(tǒng)安全的保證

　　1、加強設(shè)施管理，建立健全安全管理制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生;注重在保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信線路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作，確保計算機網(wǎng)絡(luò)系統(tǒng)實體安全。

　　2、強化訪問控制策略。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

　　(1)訪問控制策略。它提供了第一層訪問控制。在這一層允許哪些用戶可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。入網(wǎng)訪問控制可分三步實現(xiàn)：用戶名的識別與驗證;用戶口令的識別驗證;用戶帳號的檢查。三步操作中只要有任何一步未過，用戶將被拒之門外。網(wǎng)絡(luò)管理員將對普通用戶的帳號使用、訪問網(wǎng)絡(luò)時間、方式進行管理，還能控制用戶登錄入網(wǎng)的站點以及限制用戶入網(wǎng)的工作站數(shù)量。

　　(2)網(wǎng)絡(luò)權(quán)限控制策略。它是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。

　　共分三種類型：特殊用戶(如系統(tǒng)管理員);一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限;審計用戶，負責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。

　　(3)建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺;設(shè)置服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔;安裝非法訪問設(shè)備等。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入INTERNET網(wǎng)絡(luò)為甚。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和INTERNET之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

　　(4)信息加密策略。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有線路加密、端點加密和節(jié)點加密三種。線路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的線路信息安全;端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護;節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸線路提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

　　(5)屬性安全控制策略。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪、執(zhí)行修改、顯示等。

　　(6)建立網(wǎng)絡(luò)智能型日志系統(tǒng)。日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能和自動分類檢索能力。在該系統(tǒng)中，日志將記錄自某用戶登錄時起，到其退出系統(tǒng)時止，所執(zhí)行的所有操作，包括登錄失敗操作，對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶所執(zhí)行操作的機器IP地址、操作類型、操作對象及操作執(zhí)行時間等，以備日后審計核查之用。

　　三、建立完善的備份及恢復(fù)機制

　　為了防止存儲設(shè)備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進行系統(tǒng)的實時熱備份。同時，建立強大的數(shù)據(jù)庫觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

　　四、建立安全管理機構(gòu)

　　安全管理機構(gòu)的健全與否，直接關(guān)系到一個計算機系統(tǒng)的安全。其管理機構(gòu)由安全、審計、系統(tǒng)分析、軟硬件、通信、保安等有關(guān)人員組成。

　　以上強有力的安全策略的結(jié)合，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。