計算機網絡的安全管理探究

摘要：隨著計算機技術和網絡技術的不斷發展，加強網絡的安全問題顯得越來越重要，本文論述了有關計算機網絡安全的問題。

關鍵字：計算機 網絡 安全管理

隨著計算機技術和網絡技術的不斷發展，計算機網絡在各行業的應用越來越廣。在網絡帶來經濟效益的同時，卻潛伏著嚴重的不安全性、危險性和脆弱性。

1、計算機網絡概述

計算機網絡技術是信息傳輸的基礎。所謂計算機網絡是指將分布在不同地理位置上具有獨立性能的多臺計算機、終端及附屬設備用通信設備和通信線路連起來，再配有相應的網絡軟件，以實現計算機資源共享的系統。由于資源共享、操作系統的復雜性等，網絡存在著不安全因素。

2、計算機網絡安全現狀

2.1 網絡安全涵義

計算機網絡安全具有三個特性：保密性、完整性、可用性。保密性是指網絡資源只能由授權實體存取。完整性是指信息在存儲或傳輸時不被修改，保持完整；不能被未授權的第二方修改。可用性包括對靜態信息的可操作性及對動態信息內容的可見性。

2.2 計算機網絡安全的缺陷

2.2.1 操作系統的漏洞。操作系統是一個復雜的軟件包，盡管研究人員考慮得比較周密，但近幾年來，發現在許多操作系統中仍存在著漏洞。操作系統最大的漏洞是I／O處理。I／O命令通常駐留在用戶內存空間，任何用戶在I／O操作開始之后都可以改變命令的源地址或目的地址。由于系統已進行過一次存取檢查，所以在每次每塊數據傳輸時并不再檢查，僅只改變傳輸地址。這種漏洞為黑客打開了方便之門。

2.2.2 TCP／IP協議的漏洞。TCP／IP協議應用的目的是為了在Internet上的應用。雖然TCP／IP是標準的通信協議。但設計時對網絡的安全性考慮得不夠完全，仍存在著漏洞。由于采用明文傳輸，在傳輸過程中攻擊者可以截取電子郵件進行攻擊，通過網頁中輸入的口令或填寫的個人資料也很容易被劫持。

2.2.3 應用系統安全漏洞。Web服務器和瀏覽器難以保障安全，最初人們引入CGI程序的目的是讓主頁活起來，然而很多人在編CGI程序時對軟件包并不十分了解，多數人不是新編程序，而是對程序加以適當的修改，這樣一來。很多CGI程序就難免具有相同的安全漏洞。

2.2.4 安全管理的漏洞。由于缺少網絡管理員。信息系統管理不規范，不能定期進行安全測試、檢查，缺少網絡安全監控等對網絡安全都產生威脅。

2.3 計算機網絡安全的主要威脅

2.3.1 計算機病毒。所謂計算機病毒實際是一段可以復制的特殊程序，主要對計算機進行破壞，病毒所造成的破壞非常巨大。可以使系統癱瘓。

2.3.2 黑客。黑客主要以發現和攻擊網絡操作系統的漏洞和缺陷為目的，利用網絡安全的脆弱性進行非法活動，如，修改網頁，非法進入主機破壞程序，竊取網上信息。采用特洛伊木馬盜取網絡計算機系統的密碼，竊取商業或軍事機密，以達到個人目的。

2.3.3 內部入侵者。內部入侵者往往是利用偶然發現的系統的弱點，預謀突破網絡系統安全進行攻擊。由于內部入侵者更了解網絡結構，所以他們的非法行為將對網絡系統造成更大的威脅。

2.3.4 拒絕服務。拒絕服務是指導致系統難以或不可能繼續執行任務的所有問題。它具有很強的破壞性，最常見的是“電子郵件炸彈”，用戶受到它的攻擊時，在很短的時間內收到大量的電子郵件，從而使用戶的系統喪失功能，無法開展正常業務，甚至導致網絡系統癱瘓。

3、網絡安全機制應具有的功能

3.1 身份識別。身份識別是安全系統應具備的基本功能，身份識別主要是通過標識和鑒別用戶的身份，防止攻擊者假冒合法用戶獲取訪問權限。對于一般的計算機網絡而言，主要考慮主機和節點的身份認證，至于用戶的身份認證可以由應用系統來實現。

3，2存取權限控制。訪問控制是根據網絡中主體和客體之間的訪問授權關系，對訪問過程做出限制，可分為自主訪問控制和強制訪問控制。自主訪問控制主要基于主體及其身份來控制主體的活動，能夠實施用戶權限管理、訪問屬性(讀、寫、執行)管理等。強制訪問控制則強調對每一主、客體進行密級劃分。并采用敏感標識來標識主、客體的密級。

3.3 數字簽名。即通過一定的機制如RSA公鑰加密算法等，使信息接收方能夠做出“該信息是來自某一數據源且只可能來自該數據源的判斷。”

3.4 保護數據完整性。即通過一定的機制如加入消息摘要等，以發現信息是否被非法修改，避免用戶被欺騙。

3.5 審計追蹤。通過網絡上發生的各種訪問情況記錄日志，對日志進行統計分析，從而對資源使用情況進行事后分析。審計也是發現和追蹤事件的常用措施，當系統出現安全問題時能夠追查原因。

3.6 密鑰管理。信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網絡。對密鑰的產生、存儲、傳遞和定期更換進行有效的控制而引入密鑰管理機制，對增加網絡的安全性和抗攻擊性也是非常重要的。

4、網絡安全常用的技術

4.1 加密技術。加密在網絡上的作用就是防止重要信息在網絡上被攔截和竊取。計算機密碼極為重要。許多安全防護體系是基于密碼的，密碼的泄露意味著其安全體系的全面崩潰。通過網絡進行登錄時，所鍵入的密碼以明文的形式被傳輸到服務器，而網絡上的竊聽是一件極為容易的事情，所以黑客很有可能竊取用戶的密碼。加密技術是實現保密性的主要手段，采用這種技術可以把重要信息或數據從一種可理解的明文形式變換成一種雜亂的、不可理解的密文形式，以密文形式將信息在線路上傳輸，到達目的端口后將密文還原成明文。

4.2 防火墻技術。所謂“防火墻”，是指一種將內部網和公眾訪問網如Internet分開的方法，它實際上是一種隔離技術。實現防火墻的技術包括四大類：網絡級防火墻(也叫包過濾型防火墻)、應用級網關、電路級網關和規則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用。要看具體需要。防火墻主要用于加強網絡間的訪問控制。防火墻的作用是防止外部用戶非法使用內部網絡資源，并且保護內部網絡的設備不受破壞。防止內部網絡的主要數據被竊取。一個防火墻系統通常由屏蔽路由器和代理服務器組成。屏蔽路由器是一個多端口的IP路由器。它通過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉發。屏蔽路由器從包頭取得信息，例如協議號、收發報文的IP地址和端口號、連接標志以及另外一些IP選項。對IP包進行過濾。

結論

計算機網絡安全是計算機技術快速發展過程中日益突出的問題，目前中國的科研機構正廣泛開展對這一方面的研究，主要包括：(1)反病毒研究；(2)反黑客問題研究；(3)計算機網絡防火墻技術、加密技術、安全機制，從而使計算網絡得到更安全的保障。