加强计算机网络安全的对策

　　解决计算机网络中的安全问题，关键在于建立和完善计算机网络信息安全防护体系。总体对策是在技术层面上建立完整的网络安全解决方案，在管理层面上制定和落实严格的网络安全管理制度。

　　（1）采用安全性较高的系统和使用数据加密技术。美国国防部技术标准把操作系统安全等级分为Dl,　Cl,　C2,　B1,　B2,　B3,　A级，安全等级由低到高。目前主要的操作系统等级为C2级，在使用C2级系统时，应尽量使用C2级的安全措施及功能，对操作系统进行安全配置。在极端重要的系统中，应采用B级操作系统。

　　（2）安装防病毒软件和防火墙。在主机上安装防病毒软件，能对病毒进行定时或实时的病毒扫描及漏洞检测，变被动清毒为主动截杀，既能查杀未知病毒，又可对文件、邮件、内存、网页进行实时监控，发现异常情况及时处理。防火墙是硬件和软件的组合，它在内部网和外部网间建立起安全网关，过滤数据包，决定是否转发到目的地。它能够控制网络进出的信息流向，提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节。它还可以帮助系统进行有效的网络安全隔离，通过安全过滤规则严格控制外网用户非法访问，并只打开必须的服务，防范外部来的拒绝服务攻击。

　　（3）使用安全路由器和虚拟专用网技术。使用安全路由器可以实现各单位内部网络与外部网络的互联、隔离、流量控制、网络和信息安全维护，也可以阻塞广播信息和小知名地址的传输，达到保护内部信息化与网络建设安全的目的。目前我国自主独立开发的安全路由器，能为计算机网络提供安全可靠的保障。建设虚拟专用网是在区域网中将若干个区域网络实体利用隧道技术连接成各虚拟的独立网络，网络中的数据利用加/解密算法进行加密封装后，通过虚拟的公网隧道在各网络实体间传输，从而防止未授权用户窃取、篡改信息。

　　（4）安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量安全防御体系是否完整有效的重要因素。入侵检测的软件和硬件共同组成了入侵检测系统。强大的、完整的入侵检测系统可以弥补网络防火墙相对静态防御的不足，可以对内部攻击、外部攻击和误操作进行实时防护，当计算机网络和系统受到危害之前进行报拦截和响应，为系统及时消除威胁。网络诱骗系统是通过构建全欺骗环境真实的网络、主机，或用软件模拟的网络和主机，诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后，将攻击重定向到该严格控制的环境中，从而保护实际运行的系统；同时收集入侵信息，借以观察入侵者的行为，记录其活动，以便分析入侵者的水平、目的、所用工具、入侵手段等，并对入侵者的破坏行为提供证据。