計算機網絡安全隱患與防范研究

摘要：本文簡要地分析計算機網絡中存在的幾種安全隱患：不可抗拒的災害、網絡安全漏洞、軟件漏洞和后門、計算機病毒。并對共安全防范措施進行探討。

關鍵詞：網絡安全 認證 防火墻 數據加密

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1002-2422(2010)02-0027-03

1 計算機安全問題

1，1不可抗拒的災害

當環境的溫度濕度發生變化時，計算機受到強烈的振動和沖擊時，計算機就會受到損害，就不可避免的造成信息數據的丟失。此外計算機硬件如磁盤、內存、網卡、電源、主板等；網絡設備如路由器、交換機、傳輸設備等發生故障時，都可能造成信息丟失，甚至導致整個系統的癱瘓。

1，2軟件漏洞和后門

無論是編程設計人員有意留出的惡意漏洞一為了調試程序或某種目的而精心設置的程序入口，一般不為外人所知，但一旦開了“后門”，就可成為非法用戶越過系統正常的安全檢查，以非授權方式訪問系統的秘密通道一還是編程設計人員無意出現的漏洞，都對信息安全構成很大的威脅。黑客可以利用這些漏洞對消息進行監聽，竊取和獲得信息，也可以通過漏洞對系統進行破壞。如今流行的操作系統就存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，網絡的迅速發展也給這類威脅提供了高速繁殖的媒介。

1，3計算機病毒

編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒的傳播通常有兩種途徑：一是用戶從公共計算機下載帶有病毒的程序，二是交換已感染的磁盤，目前使用優盤感染病毒最為常見。

2 網絡安全防范措施

2，1防火墻技術

防火墻是一種保護本地系統免受網絡攻擊如黑客襲擊的有效防御工具，由一個軟件和硬件設備組合的一種隔離技術。處于網絡安全的最底層，通過限制網絡上各個方向的數據必須經過防火墻所設立的關卡才能到達本地計算機，來實現對網絡間的安全認證與通信。根據防火墻所采用的技術不同，可以將它分為三種基本類型：封包過濾型、封包檢驗型和應用層閘通道型。

2，1，1封包過濾型

封包過濾型的控制方式會檢查所有進出防火墻的封包標頭內容，如對來源及地IP、使用協定、TCP或UDP的Port等信息進行控制管理。現存的路由器、Switch Router以及某些操作系統已經具有用Packet Filter控制的能力。

2，1，2封包檢驗型

封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。

封包檢驗型防火墻在檢查不完全的情況下，可能會造成問題。被公布的有關Firewall-1的Fast Mode TCP Frag-ment的安全弱點就是其中一例。

2，2數據加密

數據加密是一種可以減少對網絡可靠性依賴的方法。發送者主要通過使用對稱加密算法和非對稱加密算法對數據加密，使得只有持有特定鑰匙的接受者才能破解該消息，獲得明文。通過此種方法可以有效的限制消息的潛在接受者，防止信息被其他用戶竊取、監聽和篡改，保證發送者信息的安全。

2，2，1鏈路加密

鏈路加密是傳輸數據僅在物理層前的數據鏈路層進行加密。對網絡中兩個相鄰節點之間傳輸的數據進行加密保護，所有傳輸數據均以密碼的形式在鏈路中傳送。任意一對節點之間的鏈路上的加密是獨立實現的，可以采用不同的密碼。鏈路加密的算法一般采用序列密碼，可以對報文和報頭同時進行加密，所以鏈路加密掩蓋了被傳輸數據源節點和目標節點的信息。

2，2，2端端加密

端端加密是在應用層上完成，將所要發送的數據在發送端被加密，中間節點處不以明文的形式出現，在到達最終目的地后再進行解密。在端端加密方式下，每對用戶之間都存在一條虛擬的保密信道，每對用戶應共享密鑰，這就有效的保護了信息的安全性。但對于報文傳輸，由于通道上的每一個中間節點雖不對報文解密，但為將報文傳送到目的地，必須檢查路由選擇信息，因此，只能加密報文，而不能對報頭加密。

2，2，3節點加密

對源節點到目標節點的鏈路提供保護，節點加密在加密方式上與鏈路加密類似，區別是在節點加密方式中，網絡節點先把收到的數據進行解密，然后采用另一種不同的密鑰進行加密：節點加密要求報頭和路由信息用明文的形式傳輸，因此這種方式很難防止攻擊者分析通信業務。

2，2，4混合加密

是對稱加密與非對稱加密技術結合工作的過程，利用兩種加密技術的優點，避免缺點，進而獲得更高的安全性。

2，3認證

2，3，1消息認證

消息認證是用來驗證消息完整性的一種機制或服務。消息認證確保收到的數據確實和發送時一樣，且發送方聲稱的身份是真實有效的。

2，3，2數字簽名

數據簽名目前是基于公鑰密碼體制不對稱密碼技術的典型應用。消息的發送者通過使用自己的私鑰加密散列值和計算消息的散列值對消息進行簽名。消息的數據接收方則利用發送方的公鑰來破解收到的“數字簽名”，并將解讀結果用于對數據完整性的檢驗，以此來確認發送方，確認消息的來源。目前數字簽名技術被較為廣泛的使用在電子商務、個人安全郵件證書中。

2，3，3存取權限控制

基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中，網上資源的使用應制訂一些規定：一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的讀、寫、操作等權限Ⅲ。

2，3，4報文認證

主要是通信雙方對通信的內容進行驗證，以保證報文確認的發送方產生，報文傳到了要發給的接受方，傳送中報文沒有被修改過。

2，4病毒防范技術

監測與消除計算機病毒最常用的方法是使用專門的殺毒軟件，能自動檢測及消除內存、主板BIOs和磁盤中的病毒。由于病毒的變種速度很迅速，一定要保證病毒數據庫進行時時的更新。目前使用優盤的頻率大大增加，在打開使用優盤之前進行殺毒必不可少，或是盡量避免在自己的計算機上插入之前接觸過公共計算機的優盤。

3 結束語

對網絡攻擊行為進行進一步的研究分析，進而有針對性的健全網絡安全防御系統，又要培養高素質的網絡管理人才，對網絡安全防御手段進行深入的研究和開發探索。