計算機網絡安全建設方法及安全技術

杜　婷

摘要：隨著計算機技術和通信技術的發展，計算機網絡正變得日益重要，已經滲透到各行業的生產管理、經營管理等各個領域。因此，認清網絡的脆弱性和存在的潛在威脅，并采取強有力的防范措施，對于保障計算機網絡的安全、可靠、正常運行具有十分重要的意義。本文分析了對網絡安全建設造成威脅的諸多原因，并在技術及管理方面提出了相應的防范對策。

關鍵詞：計算機；網絡安全；網絡建設；安全技術

隨著計算機網絡的不斷發展，信息全球化已成為人類發展的現實。但由于計算機網絡具有多樣性、開放性、互連性等特點，致使網絡易受攻擊。具體的攻擊是多方面的，有來自黑客的攻擊，也有其他諸如計算機病毒等形式的攻擊。因此，網絡的安全措施就顯得尤為重要，只有針對各種不同的威脅或攻擊采取必要的措施，才能確保網絡信息的保密性、安全性和可靠性。

1威脅計算機網絡安全的因素

計算機網絡安全所面臨的威脅是多方面的，一般認為，目前網絡存在的威脅主要表現在：

1.1非授權訪問

沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

1.2信息泄漏或丟失

指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。

1.3破壞數據完整性

以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾用戶的正常使用。

1.4拒絕服務攻擊

它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

1.5利用網絡傳播病毒

通過網絡傳播計算機病毒，其破壞性大大高于單機系統，而且用戶很難防范。

2網絡安全建設方法與技術

網絡具有訪問方式多樣、用戶群龐大、網絡行為突發性較高的特點。網絡安全問題要從網絡規劃階段制定各種策略，并在實際運行中加強管理。為保障網絡系統的正常運行和網絡信息的安全，需要從多個方面采取對策。攻擊隨時可能發生，系統隨時可能被攻破，對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計算機病毒防治

大多數計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統時，對于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時地發現，并向系統發出警報，準確地查找出病毒的來源。大多數病毒能夠被清除或隔離。再有，對于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執行。感染病毒后要及時修補系統漏洞，并進行病毒檢測和清除。

2.2防火墻技術

防火墻是控制兩個網絡間互相訪問的一個系統。它通過軟件和硬件相結合，能在內部網絡與外部網絡之間構造起一個"保護層"，網絡內外的所有通信都必須經過此保護層進行檢查與連接，只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問，也可以控制內部對外部特殊站點的訪問，提供監視Internet安全和預警的方便端點。當然，防火墻并不是萬能的，即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數據下的通道程序。根據需要合理的配置防火墻，盡量少開端口，采用過濾嚴格的WEB程序以及加密的HTTP協議，管理好內部網絡用戶，經常升級，這樣可以更好地利用防火墻保護網絡的安全。

2.3入侵檢測

攻擊者進行網絡攻擊和入侵的原因，在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，比如操作系統、網絡服務、TCP／IP協議、應用程序、網絡設備等幾個方面。如果網絡系統缺少預警防護機制，那么即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

基于網絡的IDS，即入侵檢測系統，可以提供全天候的網絡監控，幫助網絡系統快速發現網絡攻擊事件，提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數據流，當檢測到未經授權的活動時，IDS可以向管理控制臺發送警告，其中含有詳細的活動信息，還可以要求其他系統(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

2.4安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點，讓網絡管理人員能在入侵者發現安全漏洞之前，找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描，網絡漏洞掃描，以及專門針對數據庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統的漏洞隨時都在發布，只有及時更新才能完全的掃描出系統的漏洞，阻止黑客的入侵。

2.5數據加密技術

數據加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.6安全隔離技術

面對新型網絡攻擊手段的不斷出現和高安全網絡的特殊需求，全新安全防護理念"安全隔離技術"應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成網絡間信息的安全交換。隔離概念的出現是為了保護高安全度網絡環境。

2.7黑客誘騙技術

黑客誘騙技術是近期發展起來的一種網絡安全技術，通過一個由網絡安全專家精心設置的特殊系統來引誘黑客，并對黑客進行跟蹤和記錄。這種黑客誘騙系統通常也稱為蜜罐(Honeypot)系統，其最重要的功能是特殊設置的對于系統中所有操作的監視和記錄，網絡安全專家通過精心的偽裝使得黑客在進入到目標系統后，仍不知曉自己所有的行為已處于系統的監視之中。為了吸引黑客，網絡安全專家通常還在蜜罐系統上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網絡攻擊者希望得到的敏感信息，當然這些信息都是虛假信息。這樣，當黑客正為攻入目標系統而沾沾自喜的時候，他在目標系統中的所有行為，包括輸入的字符、執行的操作都已經為蜜罐系統所記錄。有些蜜罐系統甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標，根據這些信息，管理人員可以提前對系統進行保護。同時在蜜罐系統中記錄下的信息還可以作為對黑客進行起訴的證據。

2.8網絡安全管理防范措施

對于安全領域存在的問題，應采取多種技術手段和措施進行防范。在多種技術手段并用的同時，管理工作同樣不容忽視。規劃網絡的安全策略、確定網絡安全工作的目標和對象、控制用戶的訪問權限、制定書面或口頭規定、落實網絡管理人員的職責、加強網絡的安全管理、制定有關規章制度等等，對于確保網絡的安全、可靠運行將起到十分有效的作用。網絡安全管理策略包括：確定安全管理等級和安全管理范圍；指定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。

參考文獻

[1]張琳，黃仙姣．淺談網絡安全技術[J]．電腦知識與技術，2006(11)

[2]盧云燕．網絡安全及其防范措施[J]，科技情報開發與經濟，2006(10)

[3]徐文，蔣廷波；淺議網絡安全[J]．蘇州大學學報，2005(6)

[4]黃文華．網絡安全技術研討[J]．企業技術開發，2006(5)