計算機網絡安全技術淺析

摘要本文在介紹計算機網絡安全概述的基礎上，分析了計算機網絡安全威脅產生的原因及方式，提出了計算機網絡安全的防范措施。

關鍵詞網絡；網絡安全；措施

中圖分類號：G482文件標識碼：A 文章編號：1671-489X（2007）05－0049-03

網絡深刻地影響著我們的生活和娛樂方式。但網絡在給我們便利的同時，也給我們帶來了煩惱：各種病毒的入侵，網絡設備、操作系統、應用軟件的安全漏洞，黑客們不擇手段的侵入，都給正常使用網絡的用戶帶來不可估計的損失。這就需要人們采取有力的方法與措施，維護網絡安全。

1計算機網絡安全概述

計算機網絡安全主要指硬件實體安全和信息安全。數據信息已經成為網絡中最寶貴的資源。網上失密、泄密、竊密及傳播有害信息的事件屢有發生。信息安全關注信息及信息系統的保密性、完整性、可用性和信息保障。所謂計算機網絡信息安全是指利用網絡管理控制技術防止網絡本身及網上傳輸的信息被故意的或偶然的非授權泄漏、更改、破壞，或使信息被非法系統辨認、控制。

計算機網絡作為重要的基礎資源向客戶提供信息，而建立安全的網絡系統所要解決的根本問題是：在保證網絡連通的同時，對網絡服務、客戶應用進行管理，以保證網絡信息資源的正確性不受影響。網絡信息安全有如下特點[1]：（1）完整性：信息在存儲和傳輸過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的數據特征。（2）可用性：信息可被合法用戶訪問并能按照要求順序使用的特征，即在需要時就可以使用所需信息。（3）保密性：信息僅允許授權個人和實體使用的特征。（4）可控性：授權機構可以隨時控制信息的機密性。（5）抗抵賴性：即使數據的發送方否認發送過某些數據，數據接受方也能證明這些數據是該發送方發送的。

2計算機網絡安全威脅產生的原因及方式

2.1計算機網絡安全威脅產生原因

有威脅才會有安全問題，計算機網絡安全是針對威脅制定的對策。網絡威脅的產生是社會發展到一定階段的產物，其產生的根本原因是不法分子的私欲。當然還有其它直接間接的原因，主要有以下幾種[2]：

(1)來源威脅：現在幾乎所有的 CPU、操作系統、外設、網絡系統甚至一些加密解密工具都來源于國外。這就相當于自己的秘密掌握在別人手里一樣，不可能不受制于人。

（2）傳輸渠道威脅：網絡的傳輸要經過有線或無線的通道來進行。信息在傳輸的過程中就可能被竊聽、篡改、偽造。信息的安全受到了威脅，合法用戶的權益也受到了侵害。網絡的傳輸還要經過有形和無形的介質，由于外界環境的因素會使信號減弱、失真、丟失，導致傳輸的信號被嚴重破壞。

（3）設備故障威脅：設備的故障會導致通信中斷。在整個網絡系統中，硬件設備非常多，因而故障率也非常高。

（4）網絡人員威脅：這主要體現在兩個方面。一方面，軟件開發者在開發的軟件中還有殘留錯誤，往往這些埋藏很深的錯誤會導致不可挽回的損失；另一方面，網絡管理員的文化素質和人品素質影響著網絡安全。網絡管理員是最直接接觸網絡機密的人，他們有機會竊取用戶的密碼以及其它的秘密資料，并且他們的行為可能會破壞網絡的完整性，是對網絡安全最直接的威脅。

（5）所處環境威脅：網絡安全立法滯后的特點為黑客們的違法犯罪行為提供了可乘之機，而且由于存在各自的國家利益，在聯合打擊國際黑客犯罪方面的合作力度不夠。網絡安全技術本身的發展過程中還有很多不成熟的地方，這些地方經常被不法分子所利用。

（6）病毒威脅：計算機病毒成為嚴重危害。近來通過網絡傳播的計算機病毒越來越多，產生的危害性也越來越大。防毒軟件具有一定的滯后性，不能產生防患于未然的效果。

2.2計算機網絡安全威脅產生的方式

網絡安全威脅產生的方式主要有：身份竊取、假冒、數據竊取、否認、錯誤路由、拒絕服務、業務量分析、非授權存取等[3]。具體形式有如下6個方面：

（1）利用系統缺陷或后門進行攻擊，即利用主機系統的一些漏洞可以獲得對系統或某些用戶信息的控制權。

（2）防火墻的安全隱患。很多防火墻不能實現與外部網的隔離，如有些防火墻的IP很容易得到，甚至是公開的，使黑客輕而易舉得知網絡系統結構，從而研究攻擊方法。

（3）內部用戶的竊密、泄密和破壞。內部人員對信息的存取位置、信息的重要性非常了解，使得內部攻擊更容易奏效。

（4）網絡監督和系統安全性評估手段缺乏。 有些公眾信息網上的“共享軟件” 很可能是邏輯炸彈或“黑客程序”。

（5）口令攻擊和拒絕服務。用戶口令有時非常簡單，且與登錄用戶本身特點有很大相關性。黑客常常以破譯普通用戶口令作為攻擊的開始，然后采用字典窮舉法破譯口令，因此用戶口令的選擇對系統安全很重要。

(6)來自應用服務方面的安全探測和網絡協議分析，被用于窺視和破譯網絡管理員的口令，并非法侵入網絡。

3計算機網絡安全防范措施

針對上述網絡安全的威脅，我們應制定一套完整的防范措施，以利于用戶安全使用計算機，維護廣大用戶的利益。計算機網絡安全防范措施主要是從技術和管理兩個方面來制定，具體措施如下：

3.1技術方面措施

3.1.1防火墻技術

它是一種由計算機硬件和軟件組成的一個或一組系統，用于增強內部網絡和 Internet 之間的訪問控制。防火墻在被保護內部網和外部網絡之間形成一道屏障，使互聯網與內部網之間建立起一個安全網關，從而防止發生不可預測的、潛在破壞性的侵入。它可通過檢測、限制、更改跨越防火墻的數據流來實現網絡的安全保護。防火墻的主要組成部分應包括一個不允許訪問的 IP 地址表、一個不允許通過的用戶地址表、IP 地址匹配算法、過濾某類具體應用或信息包的過濾算法。到目前為止，已出現了三種類型的防火墻：數據包過濾器、電路層網關和應用層網關（即代理服務器）。

3.1.2數據加密

加密技術是提供信息的加密解密，提供對信息來源的鑒別，保證信息的完整性和不可否認性的一種技術。加密是通過一種復雜的方式將信息變成不規則的加密信息，其主要目的是防止信息的非授權泄密。數據加密技術可以分為對稱型加密、不對稱型加密和不可逆加密。以數據加密和用戶確認為基礎的開放型安全保障技術是普遍適用的、對網絡服務影響較小的一種途徑，并可望成為網絡安全問題最終的一體化解決途徑。 這是針對來源威脅與傳輸渠道威脅所采用的防范措施，雖然不一定能夠百分之百地防止威脅，但是采用數據加密在很大程度上減少了網絡安全的威脅。

3.1.3入侵檢測

入侵檢測是主機網絡安全的一個重要組成部分。目前普遍采用的入侵檢測系統是靜態異常模型和規則濫用模型，基本是基于服務器操作系統或網絡故障的入侵檢測，但隨著入侵攻擊網絡的多樣性，其隱蔽和破壞性也越來越強。未來對入侵檢測技術的研究主要面向以下幾個方面：分布式入侵檢測與通用式入侵檢測架構；開發研制具有自學習、自適應能力的智能入侵檢測系統；設置應用層的入侵檢測保護；研制硬件入侵檢測系統等。

3.1.4物理隔離網閘

物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令，所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

3.1.5反病毒技術的發展

為了解決病毒的善后問題，反病毒產品融合了硬盤備份恢復系統，在用戶硬盤受到攻擊后仍能恢復關鍵數據。后來，郵件病毒產生了，為了對付這種病毒，郵件系統會在人們收郵件的時候直接對郵件進行掃描，只要發現病毒就會直接刪除病毒郵件。網絡的發展使得黑客攻擊變得普遍，于是，反病毒產品中又融合了能夠防止黑客的個人防火墻功能。隨著互聯網的飛速發展和計算機的日益普及，人們越來越多地接觸到計算機病毒，在進行一般計算機操作時都會感染計算機病毒。例如我們進行文件拷貝、下載、傳遞、運行等操作時，傳統的查殺病毒方式不能滿足對病毒隨時隨地、每時每刻地進行查殺的要求。

3.2管理方面防范措施

在強調技術解決信息網絡安全的同時，還必須花大力氣加強對使用網絡的人員的管理，注意管理方式和實現方法。因為諸多的不安全因素恰恰反映在組織管理或人員工作時錄入、使用等方面，而這又是計算機網絡安全所必須考慮的基本問題。所以，要采取切實可行的方法，加強管理，立章建制，提高內部管理人員整體素質，增強內部人員的安全防范意識。在宏觀方面，要快速加強法制建議，進一步完善關于網絡安全的法律，以便更有利地打擊不法分子。

4結束語

計算機網絡安全是對付威脅、保護網絡資源的所有措施的總和，涉及政策、法律、管理、教育和技術等方面的內容。計算機網絡安全是一項系統工程，針對來自不同方面的安全威脅，需要采取不同的安全對策．