1、計算機網(wǎng)絡系統(tǒng)平安探析摘要：隨著計算機系統(tǒng)功能日漸復雜，網(wǎng)絡功能日漸強大，資源共享程度的日漸加強，計算機網(wǎng)絡系統(tǒng)的平安問題也變得日益突出和復雜。Internet是開放的、無控制機構的網(wǎng)絡，由于各種天災人禍因素的客觀存在，任何的網(wǎng)絡系統(tǒng)都存在著環(huán)境干擾、物理故障、人為攻擊、病毒破壞等等的平安隱患。這些都可能導致計算機和計算機網(wǎng)絡數(shù)據(jù)和文件喪失，系統(tǒng)癱瘓。論文關鍵詞：網(wǎng)絡平安,實體平安,平安威脅,平安管理隨著計算機技術、通信技術以及信息技術的開展，計算機網(wǎng)絡系統(tǒng)為廣闊用戶提供了豐富的資源以及靈活、便捷、高效的效勞，然而也增加了計算機網(wǎng)絡系統(tǒng)的平安隱患。計算機網(wǎng)絡實體是網(wǎng)絡系統(tǒng)的核心，它既是對數(shù)據(jù)進

2、行加工處理的中心，也是信息傳輸控制的中心。計算機網(wǎng)絡實體包括網(wǎng)絡系統(tǒng)的硬件實體、軟件實體和數(shù)據(jù)資源。因此，保證計算機網(wǎng)絡實體平安，就是保證網(wǎng)絡的硬件和環(huán)境、存儲介質(zhì)、軟件和數(shù)據(jù)的平安。下面從物理平安實體平安、操作系統(tǒng)平安、數(shù)據(jù)平安三個方面進行論述。1 物理平安1.1物理平安概述物理平安又叫實體平安(Physical Security)，是保護計算機設備、設施(網(wǎng)絡及通信線路)免遭地震、水災、火災、有害氣體和其他環(huán)境事故破壞的措施和過程。實體平安主要考慮的問題是環(huán)境、場地和設備的平安及實體訪問控制和應急處置方案。物理平安包括：環(huán)境平安和設備平安機房平安、電源系統(tǒng)平安、通信線路平安。1.2物理平安

3、措施計算機機房建設至少應遵循國標GB/T28872000和GB/T93611988，滿足防火、防水、防磁、防盜、防電擊、防蟲害等要求，應具備消防報警、平安照明、不間斷電源、溫濕度控制系統(tǒng)和防盜報警。計算機機房的溫度、濕度、潔凈度等環(huán)境條件保持技術可以通過加裝通風設備、排煙設備、專業(yè)空調(diào)設備來實現(xiàn)。保護局域網(wǎng)絡中的計算機系統(tǒng)、網(wǎng)絡效勞器、物理鏈路等根底設施免受自然災害、人為破壞和搭線攻擊，可采用的主要平安技術包括：防盜報警、實時監(jiān)控、平安門禁等。并建立完善的平安管理制度，防止非法人員進入計算機控制室進行偷竊破壞活動，同時要確保計算機網(wǎng)絡系統(tǒng)有一個良好的電電源是計算機網(wǎng)絡系統(tǒng)的命脈，電源系統(tǒng)的可靠

4、是計算機網(wǎng)絡系統(tǒng)正常運行的先決條件，電源系統(tǒng)的建立必須嚴格按照GB/T93611988中對機房平安供電的要求來設計和施工。為了保證給計算機系統(tǒng)提供穩(wěn)定可靠的電源，一般采用UPS電源系統(tǒng)作為計算機的重要外設，因為UPS電源系統(tǒng)一般能夠保護計算機數(shù)據(jù)、保證電網(wǎng)電壓和頻率的穩(wěn)定，改良電網(wǎng)質(zhì)量，防止瞬時停電和事故停電等事故的發(fā)生。通信線路是保證信息傳遞的通路。通信線路設備包括：架空線路、埋設線路、無線線路等。通信線路面臨的中斷故障如：被鼠咬斷、被偷盜、地埋線路被挖掘機挖斷等等。對山區(qū)或穿越樹林的光纜線路設計時可采用防鼠光纜，或者采用加壓電纜。電纜加壓技術即通信電纜密封在塑料套管中，并在線纜的兩端充氣加

5、壓，線上連接了帶有報警器的監(jiān)示器，用來測量壓力。如果壓力下降，那么意味電纜可能被破壞了，技術人員還可以進一步檢測出破壞點的位置，以便及時進行修復。另外，采用光纖等通信線路的防竊聽技術保障通信平安。物理平安在整個計算機網(wǎng)絡系統(tǒng)平安中占重要地位，也是其他平安措施得以實施并發(fā)揮正常作用的根底和前提條件。2操作系統(tǒng)平安2.1網(wǎng)絡操作系統(tǒng)平安的重要性操作系統(tǒng)的主要功能包括：進程控制和調(diào)度、信息處理、存儲器管理、文件管理、輸入/輸出管理、資源管理等。網(wǎng)絡操作系統(tǒng)是網(wǎng)絡協(xié)議和網(wǎng)絡效勞得以實現(xiàn)的最終載體之一，不僅負責網(wǎng)絡硬件設備的接口封裝，同時還提供網(wǎng)絡通信所需要的各種協(xié)議和效勞的程序實現(xiàn)。由于網(wǎng)絡協(xié)議實現(xiàn)的

6、復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。其在網(wǎng)絡應用中發(fā)揮著十分重要的作用。因此，網(wǎng)絡操作系統(tǒng)本身的平安就成為計算機網(wǎng)絡系統(tǒng)平安保護的重要內(nèi)容。2.2防范措施常用的網(wǎng)絡操作系統(tǒng)有Windows NT、Windows 2000、UNIX、Linux等，操作系統(tǒng)軟件的平安表達在對程序保護的支持和對內(nèi)存保護的支持上。在現(xiàn)代的網(wǎng)絡系統(tǒng)中，硬件對操作系統(tǒng)的支持比擬完善，然而，每一種操作系統(tǒng)都存在各自不同的平安漏洞，在創(chuàng)立網(wǎng)絡系統(tǒng)時，需根據(jù)使用目的、條件、平安級別有針對性的選擇適合自己的操作系統(tǒng)。另外，在使用過程中，網(wǎng)絡管理員要密切跟蹤最新的漏洞和攻擊技術，經(jīng)常光臨平安網(wǎng)站，及時下載

7、和更新補丁程序，對網(wǎng)絡進行加固。漏洞掃描就是對計算機系統(tǒng)或者其他網(wǎng)絡設備進行平安相關的檢測， 以找出平安隱患和可被攻擊者利用的漏洞，針對每個具體漏洞給出一個詳細的解決方案。漏洞掃描主要有兩種策略：主機漏洞掃描和網(wǎng)絡漏洞掃描。主機漏洞掃描：基于主機的漏洞掃描，通常在目標系統(tǒng)上安裝了一個代理Agent或者是效勞Services，以便能夠訪問所有的文件與進程，以此來掃描計算機中的漏洞?，F(xiàn)在流行的基于主機的漏洞掃描是在每個目標系統(tǒng)上都有個代理，以便向中央效勞器反應信息。中央效勞器通過遠程控制臺進行管理?；谥鳈C的漏洞掃描的主要優(yōu)點是：掃描的漏洞數(shù)量多、集中化管理、網(wǎng)絡流量負載小、通訊過程中的加密機制。

8、其缺乏之處主要需要的投入較高，包括價格和維護本錢。網(wǎng)絡漏洞掃描：基于網(wǎng)絡的漏洞掃描，就是通過網(wǎng)絡來掃描遠程計算機中的漏洞。一般來說，基于網(wǎng)絡的漏洞掃描可以看作為一種漏洞信息收集，他根據(jù)不同漏洞的特性，構造網(wǎng)絡數(shù)據(jù)包，發(fā)給網(wǎng)絡中的一個或多個目標效勞器，以判斷某個特定的漏洞是否存在。基于網(wǎng)絡的漏洞掃描的主要優(yōu)點是：一般價格比擬廉價；操作過程中，不需要涉及到目標系統(tǒng)的管理員，不需要在目標系統(tǒng)上安裝任何東西；維護簡便。其缺乏之處在于：有些系統(tǒng)的漏洞不能檢測到；基于網(wǎng)絡的漏洞掃描不能穿過防火墻。網(wǎng)絡系統(tǒng)的備份是指對網(wǎng)絡中的核心設備和數(shù)據(jù)信息進行備份，以便在網(wǎng)絡遭到破壞時，快速、全面地恢復網(wǎng)絡系統(tǒng)的運行。

9、核心設備的備份主要包括核心交換機、核心路由器、重要效勞器等。數(shù)據(jù)信息包括對網(wǎng)絡設備的配置信息、效勞器數(shù)據(jù)等的備份。備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用。3 數(shù)據(jù)及數(shù)據(jù)庫平安3.1數(shù)據(jù)庫系統(tǒng)平安隱患通常人們認為只要把網(wǎng)絡和操作系統(tǒng)平安搞好了，所有的應用程序也就平安了，然而他們卻無視了數(shù)據(jù)和數(shù)據(jù)庫的平安。數(shù)據(jù)庫除了物理、環(huán)境、存儲介質(zhì)的平安故障外，還有系統(tǒng)故障、人為因素破壞、病毒與黑客攻擊等威脅。數(shù)據(jù)庫受到的威脅形式有篡改、損壞和竊取三種。3.2平安措施數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保存，以便在系統(tǒng)遭受破壞或其他特定情

10、況下，重新加以利用的一個過程。隨著存儲技術的進步和開展，在SAN和NAS等新的存儲系統(tǒng)中，傳統(tǒng)的備份技術全備份、增量備份、差分備份在結構上得到了長足的開展，LAN-Free備份和Server-less備份已成為主流備份技術。所謂LAN-free，是指數(shù)據(jù)不經(jīng)過局域網(wǎng)直接進行備份，即用戶只需將磁帶機或磁帶庫等備份設備連接到SAN中，各效勞器就可把需要備份的數(shù)據(jù)直接發(fā)送到共享的備份設備上，不必再經(jīng)過局域網(wǎng)鏈路。LAN-free有多種實施方式。一種是，用戶都需要為每臺效勞器配備光纖通道適配器，適配器負責把這些效勞器連接到與一臺或多臺磁帶機(或磁帶庫)相連的SAN上。同時，還需要為效勞器配備特定的管理

11、軟件，通過它，系統(tǒng)能夠把塊格式的數(shù)據(jù)從效勞器內(nèi)存、經(jīng)SAN傳輸?shù)酱艓C或磁帶庫中。另一種常用的LAN-free實施方法是，在這種結構中，主備份效勞器上的管理軟件可以啟動其他效勞器的數(shù)據(jù)備份操作。塊格式的數(shù)據(jù)從磁盤陣列通過SAN傳輸?shù)脚R時存儲數(shù)據(jù)的備份效勞器的內(nèi)存中，之后再經(jīng)SAN傳輸?shù)酱艓C或磁帶庫中。由于效勞器到共享存儲設備的大量數(shù)據(jù)傳輸是通過SAN網(wǎng)絡進行的，局域網(wǎng)只承當各效勞器之間的通信(而不是數(shù)據(jù)傳輸)任務。SERVER-Less備份是LAN-Free的一種延伸，可使數(shù)據(jù)能夠在SAN結構中的兩個存儲設備之間直接傳輸，通常是在磁盤陣列和磁帶庫之間。這種方案的主要優(yōu)點之一是不需要在效勞器中

12、緩存數(shù)據(jù)，顯著減少了對主機CPU的占用，提高操作系統(tǒng)的工作效率。與LAN-Free一樣， SERVER-Less備份也有幾種實施方式。通常情況下，備份數(shù)據(jù)通過名為數(shù)據(jù)移動器的設備從磁盤陣列傳輸?shù)酱艓焐?。該設備可能是光纖通道交換機、存儲路由器、智能磁帶或磁盤設備或者是專門的備份效勞器。數(shù)據(jù)移動器執(zhí)行的命令其實是把數(shù)據(jù)從一個存儲設備傳輸?shù)搅硪粋€設備。另一種方法就是利用網(wǎng)絡數(shù)據(jù)管理協(xié)議(NDMP)。這種協(xié)議實際上為效勞器、備份和恢復應用及備份設備等部件之間的通信充當一種接口。在實施過程中， NDMP把命令從效勞器傳輸?shù)絺浞輵弥?，而與NDMP兼容的備份軟件開始實際的數(shù)據(jù)傳輸工作，且數(shù)據(jù)的傳輸不通過

13、效勞器內(nèi)存。NDMP的目的在于方便異構環(huán)境下的備份和恢復過程，并增強不同廠商的備份和恢復管理軟件，以及存儲硬件之間的兼容性。容災技術是通過在異地建立和維護一個備份系統(tǒng)，利用地理上分散性來保證數(shù)據(jù)對于災難性事件的抵御能力。容災系統(tǒng)在實現(xiàn)中可分為兩個層次：數(shù)據(jù)容災和應用容災。應用容災是更高層次的容災系統(tǒng)。數(shù)據(jù)容災系統(tǒng)，對于IT而言，就是為計算機信息系統(tǒng)提供的一個能應付各種災難的環(huán)境。當計算機系統(tǒng)在遭受如火災、水災、地震、戰(zhàn)爭等不可抗拒的自然災難以及計算機犯罪、計算機病毒、掉電、網(wǎng)絡/通信失敗、硬件/軟件錯誤和人為操作錯誤等人為災難時，容災系統(tǒng)將保證用戶數(shù)據(jù)的平安性數(shù)據(jù)容災，甚至，一個更加完善的容災系統(tǒng)，還能提供不間斷的應用效勞應用容災。可以說，容災系統(tǒng)是數(shù)據(jù)存儲藏份的最高層次。所謂應用容災，是在數(shù)據(jù)容災的根底上，在異地建立一套完整的與本地生產(chǎn)系統(tǒng)相當?shù)膫浞輵孟到y(tǒng)(可以是互為備份)。建立這樣一個系統(tǒng)是相比