1.序言

　　随着信息全球化的加剧和计算机网络的不断发展，加上计算机网络的多样性、开放性、互连性和广泛性等特点，致使现在的电脑和网络越来越弱不禁风，全球的黑客、间谍、病毒爆炸式的增长，所以网络系统中的信息的安全和保密是一个至关重要的问题。对于一些特殊的政府、银行和军事网络等传输敏感数据的计算机网络系统而言，网上信息的安全和保密工作更为重要。不管是在局域网还是在广域网中，网络安全工作都要全面、细致，要充分考虑到来自网内网外的各种不同的威胁，并积极采取相应措施，这样才能有力地确保网络信息系统的安全和保密。

　　2.网络系统的不安全因素

　　计算机网络系统的不安全因素按威胁的对象可以分为三种:一是对网络硬件的威胁，这主要指那些恶意破坏网络设施的行为，如偷窃、无意或恶意毁损等等;二是对网络软件的威胁，如病毒、木马入侵，流量攻击等等;三是对网络上传输或存储的数据进行的攻击，比如修改数据，解密数据，删除破坏数据等等。这些威胁有很多很多，可能是无意的，也可能是有意的，可能是系统本来就存在的，也可能是我们安装、配置不当造成的，有些威胁甚至会同时破坏我们的软硬件和存储的宝贵数据。如CIH病毒在破坏数据和软件的同时还会破坏系统BIOS，使整个系统瘫痪。针对威胁的来源主要有以下几方面:

　　2.1无意过失

　　如管理员安全配置不当造成的安全漏洞，有些不需要开放的端口没有即时用户帐户密码设置过于简单，用户将自己的帐号密码轻意泄漏或转告他人，或几人共享帐号密码等，都会对网络安全带来威胁。

　　2.2恶意攻击

　　这是我们赖以生存的网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是显在攻击，它有选择地破坏信息的有效性和完整性，破坏网络的软硬件系统，或制造信息流量使我们的网络系统瘫痪;另一类是隐藏攻击，它是在不影响用户和系统日常工作的前提下，采取窃取、截获、破译和方式获得机密信息。这两种攻击均可对计算机网络系统造成极大的危害，并导致机密数据的外泄或系统瘫痪。

　　2.3漏洞后门

　　网络操作系统和其他工具、应用软件不可能是百分之百的无缺陷和无漏洞的，尤其是我们既爱又恨的“Windows”系统，这些漏洞和缺陷就是病毒和黑客进行攻击的首选通道，无数次出现过的病毒(如近期的冲击波和震荡波就是采用了Windows系统的漏洞)造成的重大损失和惨痛教训，就是由我们的漏洞所造成的。黑客浸入网络的事件，大部分也是利用漏洞进行的。“后门”是软件开发人员为了自己的方便，在软件开发时故意为自己设置的，这在一般情况下没有什么问题，但是一旦该开发人员有一天想不通要利用利用该“后门”，那么后果就严重了，就算他自己安分守己，但一旦“后门”洞开和泄露，其造成的后果将更不堪设想。

　　3.计算机网络的安全策略

　　3.1 物理安全策略

　　物理安全策略的目的是保护计算机系统、服务器、网络设备、打印机等硬件实体和通信链路的物理安全，如采取措施防止自然灾害、化学品腐蚀、人为盗窃和破坏、搭线窃取和攻击等等;由于很多计算机系统都有较强的电磁泄漏和辐射，确保计算机系统有一个良好的电磁兼容工作环境就是我们需要考虑的;另外建立完备的安全管理制度，服务器应该放在安装了监视器的隔离房间内，并且要保留10天以上的监视记录，另外机箱、键盘、电脑桌抽屉要上锁，钥匙要放在另外的安全位置，防止未经授权而进入计算机控制室，防止各种偷窃、窃取和破坏活动的发生。

　　3.2 访问控制策略

　　网络中所能采用的各种安全策略必须相互配合、相互协调才能起到有效的保护作用，但访问控制策略可以说是保证网络安全最重要的核心策略之一。它的主要目的是保证网络信息不被非法访问和保证网络资源不被非法使用。它也是维护网络系统安全、保护网络资源的重要手段。下面我们分述各种访问控制策略。

　　3.2.1 登陆访问控制

　　登陆访问控制为网络访问提供了第一层访问控制。通过设置帐号，可以控制哪些用户能够登录到服务器并获取网络信息和使用资源;通过设置帐号属性，可以设置密码需求条件，控制用户在哪些时段能够登陆到指定域，控制用户从哪台工作站登陆到指定域，设置用户帐号的失效日期。

　　注:当用户的登录时段失效时，到域中网络资源的链接不会被终止。然而，该用户不能再创建到域中其他计算机的新链接。

　　用户的登陆过程为:首先是用户名和密码的识别与验证、然后是用户帐号的登陆限制的检查。两个过程只要有一个不成功就不能登陆。

　　由于用户名和密码是对网络用户的进行验证的第一道防线。所以作为网络安全工作人员在些就可以采取一系列的措施防止非法访问。

　　a. 基本的设置

　　应该限制普通用户的帐号使用时间、方式和权