随着网络规模的不断扩大，在企业中连接部门的不断增多，网络中关键应用的不断增加，网络安全已不再是几条规章制度所能保证的了，它已成为一个在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从5个方面来讨论保障网络安全的若干措施。

一、网络设计

在内部网络设计中主要考虑的是网络的可靠性和性能，而如何确保网络安全也是一个不容忽视的问题。

1.尽量避免使用电话拨号线路

如果使用X.25来组建网络，由于拨入方具有电信局分配的唯一的X.121地址，被拨入方的路由器将识别这一地址，非法用户难以入侵。而使用电话拨号线路来组建计算机网络时，被拨入方难以确认拨号方的身份，容易形成安全漏洞。

2.采用网段分离技术

把网络上相互间没有直接关系的系统分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。以前，网段分离是物理概念，组网单位要为各网段单独购置集线器等网络设备。现在有了虚拟网技术，网段分离成为逻辑概念，网络管理员可以在网络控制台上对网段做任意划分。

3.采用通信服务器

在安全方面有一个最基本的原则：系统的安全性与它被暴露的程度成反比。因此，建议引入通信服务器，各系统将要输出的数据放置在通信服务器中，由它向外输出，输入的数据经由通信服务器进入内部的业务系统。由于将数据库和业务系统封闭在系统内部，增加了系统的安全性。

二、业务软件

在网上运行的网络软件需要通过网络收发数据，要确保安全就必须采用一些安全保障方式。

1.用户口令加密存储和传输

目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施将会失效。

2.分设操作员

分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加网络通信员和密押员等操作员类型，以便对用户的网络行为进行限制。

3.日志记录和分析

完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对日志的分析还可用于预防入侵，提高网络安全。例如，如果分析结果表明某用户某日失败注册次数高达20次，就可能是入侵者正在尝试该用户的口令。

三、网络配置

网段分离和通信服务器要想起作用，还需要由网络配置来具体实施和保证，如用于实现网段分离的虚网配置。为进一步保证系统安全，还要在网络配置中对防火墙和路由等方面做特殊考虑。

1.路由

为了避免入侵者绕过通信服务器而直接访问数据库等内部资源，还应仔细进行路由配置。

路由技术虽然能阻止对内部网段的访问，但不能约束外界公开网段的访问。为了确保通信服务器的安全运转，避免让人侵者借助公开网段对内部网构成威胁，我们有必要使用防火墙技术对此进行限定。

2.防火墙

Cisco、Bay等公司的路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包，把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号，通过对端口号的限制，可以限定网络中运行的应用。

(责任编辑：闫小琪)