淺談計算機網絡安全

人類正進入信息化社會，計算機網絡已成為一項促進社會發展的重要“基礎設施”。它的迅速發展和廣泛應用，正深刻地改變人類的思想觀念、工作方式和生活方式。但是由于internet的開放性和超越組織與國界等特點，使它在安全性上存在一些隱患。因此，加強網絡的安全措施、提高計算機網絡的防御能力勢在必行。因而，有關于計算機網絡安全方面的知識也應運而生了。

一、計算機網絡安全的定義

國際標準化組織（ISO）對計算機系統安全的定義是：為數據處理系統建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡安全理解為：通過采用各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完整性和保密性。所以，建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。下面，我們就介紹一下網絡安全所面臨的安全隱患。

二、計算機網絡安全面臨的威脅

計算機系統所面臨的威脅無非有兩種：一是威脅計算機系統中的信息；二是威脅計算機系統中的設備。影響計算機網絡安全的因素有很多，他們可能是有意或無意的，也有可能是人為或非人為的。通過大量的研究，這些威脅歸結起來主要有以下幾個方面：

1.安全缺陷。包括網絡硬件的安全缺陷，如可靠性、計算機許多核心關鍵技術的安全性問題、其參數是否正確設置等等，都需經過檢驗。

2.結構隱患。包括網絡拓撲結構和網絡設備。實際的網絡拓撲結構是集中總線型、星型等的混合結構，存在著相應的安全隱患。網絡設備如大量用于廣域網的路由器，受路由器目前技術及性能方面的限制，其本身的安全性較差。

3.電磁輻射。電磁輻射物能夠破壞網絡中傳輸的數據，甚至可以將這些數據接收下來，并且能夠重新恢復，造成泄密。

4.軟件漏洞。沒有一個操作系統或網絡軟件是無漏洞和無缺陷的，這恰恰就給黑客留下了可乘之機，軟件的“后門”是開發為了自便以及以后的更新或升級而設置的，一般不為他人所知，但是一旦打開，非法入侵者就可以隨心所欲，如入無人之境，后果將無法估量。

5.黑客。其原意是能熟練地使用電腦或進行電腦編程的人或電腦愛好者，近來被人們錯誤的理解成“只是為了顯示自己對計算機高超的操作能力或是懷有惡意的破壞計算機系統而編制計算機病毒，或者利用非法手段接近或進入別人的計算機系統去獲取秘密信息的人士”。

這是計算機網絡所面臨的最大威脅。此類攻擊又可以分為兩種：一種是網絡攻擊，以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網絡偵察，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害。

6.人為因素。用戶安全意識不強，用戶口令密碼選擇不慎，或將自己的賬號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。

7.病毒。病毒是被編制的或者在計算機程序中插入的可以破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。它具有傳染性、寄生性、隱蔽性、觸發性、破壞性等幾大特點。鑒于以上幾種對網絡安全產生的威脅，下面我們將介紹幾種加強網絡安全、提高計算機網絡的防御能力的技術及措施。

三、計算機網絡安全的基本技術

1.防火墻技術。防火墻（firewall）是由軟件和硬件同時構成的系統，用來在兩個網絡之間實施接入控制策略。它的作用是限制外界用戶內部網絡訪問及管理內部用戶訪問外界網絡的權限，是設置在被保護網絡和外部網絡之間的一道屏障。根據防火墻的結構，它可以干預不同網絡的任何消息傳送。

任何關鍵性的服務器，都建議放在防火墻之后。防火墻由過濾器、安全策略以及必要的網關構成。通過它可以隔離網絡的風險區域及安全區域而不妨礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據，使安全的信息進入，同時又限制外人進入內部網絡，限制一般人員訪問內網及特殊站點。防火墻的主要技術包括包過濾及應用級網關兩種，包過濾封鎖外部網上的用戶和內部網上的重要站點的連接或某些端口的連接，也可以對內封鎖與外部某些IP地址的連接，以便在網絡層中對數據實施有選擇的通過。

2.訪問控制技術。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括7種：入網訪問控制；網絡的權限控制；目錄級安全控制；屬性安全控制；網絡服務器安全控制；網絡監測和鎖定控制；網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同，可靈活地設置訪問控制的種類和數量。

3.數據加密技術。與防火墻配合使用的數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所采用的主要技術手段之一，它的思想核心就是既然網絡本身并不安全可靠，那么所有重要信息就全部通過加密處理。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種：第一，鏈路加密。鏈路加密對網絡中相鄰節點之間在線路上傳送的數據進行加密保護。加解密由線路上的密碼設備來完成。密碼設備放置在接點與調制解調器之間，并使用相同的密碼。第二，端對端加密。端對端加密對用戶間的傳送數據提供連續保護。數據在源端被加密，在中間節點永不以明文形式出現，只在目的端才被解密。第三，節點對節點加密。采用鏈路加密，數據在通過中間節點時是明的形式，而采用節點對節點加密，數據在通過中間節點時卻仍是加密的形式。

4.智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣由授權用戶所持并由該用戶賦予一個口令密碼字。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。

5.入侵檢測技術。入侵檢測（IDS），是通過從計算機網絡或系統中若干關鍵點收集信息，并對其進行分析，從中發現網絡或系統中是否有違反安全策略行為和入侵跡象的一種安全措施。入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防范技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應的入侵。

防病毒技術。計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。計算機病毒具有不可估量的威脅性和破壞性。

隨著計算機和通信技術的發展，計算機網絡滲透到社會生活的各個領域，日益成為社會、國家乃至全世界信息傳遞的重要手段。因此，認清網絡的脆弱性和潛在的威脅，采取有效的安全防預措施對保障網絡的安全及暢通具有十分重要的意義。