計算機網絡防護安全與策略分析

張銘鐸

（湛江師范學院，廣東 湛江 524048；重慶大學，重慶 400030）

計算機網絡防護安全與策略分析

張銘鐸

（湛江師范學院，廣東 湛江 524048；重慶大學，重慶 400030）

計算機應用伴隨著Internet技術的發展變得越來越廣泛，人們在享受網絡開放性與自由性的同時，網絡安全在社會各個領域中的作用日益重要.本文從計算機網絡安全管理角度闡述存在的安全隱患，并對安全策略進行深入探討，確保人們能夠更加有效管理計算機網絡系統.

網絡安全；安全防護；計算機網絡

計算機應用技術伴隨著計算機網絡技術的進步而逐漸發展起來，計算機網絡在社會生活中的作用日益顯著，計算機網絡對人類社會起到了極其重要的作用，人們的日常辦公、人與人的溝通與交流更多的依賴計算機網絡，在汲取更多有用資訊的同時，產生的數據與信息遭到竊取的可能性也會增大，在這個所謂“虛擬社會”中，其安全防護也就變得越來越重要，信息社會時代的到來對網絡安全就是一個極大的挑戰.

1 計算機網絡安全的定義

計算機網絡安全指信息與數據不受外部非法用戶使用.首先確保數據存儲設備的硬件完整性，這在安全防護中非常重要.其次，計算機網絡中的信息具有完整性、保密性以及可用性等特點.完整性指信息不被惡意破壞、修改等操作.保密性指信息不被泄露.可用性指防止拒絕訪問和授權操作.從另一個角度來講，用戶在計算機網絡安全中有用信息的“含金量”也作為一個重要的考量依據.

2 計算機網絡安全防護現狀

隨著百度、谷歌等國內知名網站遭受黑客攻擊，再次對網絡安全環境敲響了警鐘.對涉及國家機密信息的攻擊事件也屢見不鮮.在美國因網絡安全造成的經濟損失高達幾十億美金，近年來這一數字仍有上升的趨勢.世界平均每天都發生著計算機安全事件.接近半數的防火墻曾遭遇過攻擊或崩潰過.中國金融、政府、軍隊等部門也曾不同程度遭遇過網絡安全問題.近年來，通過電子郵件、木馬病毒、文件共享后門等途徑傳播的病毒也越來越頻繁，由此公安機關受理的各類信息犯罪也呈逐年上升的趨勢.我國的網絡建設的軟硬件更多是從國外引進，電子商務也處于發展的初級階段，由于某些大的網絡建設方缺乏有效的風險管控機制以及技術水平的限制，致使我們對安全防護僅僅停留在較膚淺的水平，例如病毒防范.對安全防護缺乏更深層次的認識.

3 計算機網絡存在的安全問題

計算機網絡安全威脅主要來自以下幾個方面：

3.1 自然災害

計算機本身的硬件配置很容易受環境以及自然災害（震動、溫度、濕度、輻射污染）的影響.有不少計算機機房在三方一避（防水、防火、防電磁、避雷）上缺少有效的措施，致使在抵御自然災害和遭遇意外事故的能力大大降低.因此在網絡運行中常發生設備損毀、數據丟失等現象.當電磁輻射增強時會導致網絡信噪比下降，信息的誤碼率也會增加，從而破壞信息的完整性、可用性.

3.2 黑客攻擊

計算機網絡的黑客攻擊伴隨著谷歌、百度事件而變得愈演愈烈.在近年來隨著黑客工具的不斷的推陳出新使不懂計算機的形形色色的人也能成為“黑客”，而對于專業的黑客而言，大部分人采用非法入侵來達到信息的監聽、竊取、破壞等目的，網絡正常的信號運行不正常，嚴重會致使整個網絡系統癱瘓，給國家造成經濟損失和政治負面影響.黑客攻擊從側面反映了他們善于捕捉漏洞制造入侵機會，當然網絡本身的不完善和自身的缺陷也會成為攻擊的“靶子”.

3.3 計算機病毒

20世紀末計算機病毒的蔓延曾引起世界性恐慌，其破壞造成的損失難以估量.病毒將自身附著在各種應用程序上，當觸發這些應用程序時，就會擴散到計算機系統中.當計算機中毒后就會產生系統運行慢、占用CPU使用率等現象，嚴重時會破壞計算機主板、硬盤等硬件系統.

3.4 間諜軟件和垃圾郵件

某些人經常利用公開性的郵件系統將自己的郵件內容強行發送給別人的電子郵箱，使人們接受了所謂的垃圾郵件，目前很多電子郵箱提供商提供了垃圾郵件的智能截取，一定程度上緩解了垃圾郵件的蔓延傳播.而間諜軟件主要利用計算機網絡竊取用戶信息，廣義的觀點認為間諜軟件實際上是被惡意非法安裝并隱藏起來，被監控者很難發現它的存在，而被監控者的操作以及相關信息便會被泄露出來并造成不同程度的用戶隱私和安全影響.

4 計算機網絡安全防護策略

目前主流的安全防護策略主要有數據加密技術、防火墻技術、防病毒技術以及入侵檢測技術等幾種，在國內這幾種防護策略在應用和部署上都比較成熟.

4.1 數據加密技術

數據加密技術指將網絡傳輸中的信息進行二次加密，其目的主要是保證數據在傳輸過程中不被“破譯”，相對來講安全等級也就相應的提高了.具體來講是將數據符號按照某種規則進行變換.加密技術分為對稱密鑰算法和非對稱加密算法兩類.對稱加密中，密鑰數據是最重要的，一旦丟失其加密的信息也就失去了防護功能，密文也將泄露.由于密鑰本身的安全性就是一個問題，致使進行多方通信時，這種加密技術就會變得相當的復雜.其特點是對稱密鑰運算量小、安全性高、速度快等優點而被廣泛應用.DES加密算法就是“對稱密鑰算法”的典型.與之相對應的非對稱加密算法中，公鑰是公開的，人們可以將公鑰加密的信息發給私鑰所有者.私鑰是保密的，將公鑰加密的信息進行解密.典型代表是RSA（非對稱加密技術）.它將明文轉換成一個值得到核實簽名.接收者利用公鑰對簽名進行解密運算，當結果計算為明文時，則簽名有效.簽名的形式多種多樣，主要應用于銀行和電子商貿中.

4.2 防火墻技術

防火墻技術是網絡環境中最基本的防護措施之一.簡單來講，防火墻就是將內部網與外部網絡環境隔離開來，形成一個內部網絡屏障阻斷外來的不安全因素.其目的是阻止外部網絡的非法用戶的非授權訪問.現在防火墻技術主要包括包過濾、應用網關、子網屏障等，管理內部網絡用戶訪問外網和限制外部網絡用戶對內部網絡的訪問權限.當一個局域網連接入Internet之后，計算機系統的安全因素除了防病毒外，更主要從防止非法入侵角度來考量計算機系統是否在安全范圍內，而防火墻技術在這一環節中起了至關重要的作用.防火墻通過添加配置方案，將口令和身份驗證等信息配置級別大大提升，將不安全服務過濾掉，以保證內部網絡環境的安全，并實時監控網絡數據流的狀態，每日進行數據日志的操作記錄，并統計網絡的使用情況，自動檢索并報警，將內部網絡重要的信息和隱私進行隔離.

4.3 入侵檢測技術

入侵檢測(Intrusion Detection System)廣義上的定義為“對計算機或網絡資源的惡意企圖和動作進行識別，并對識別結果做出相應反應的過程”.IDS是完成上述指令的一個獨立系統.IDS能夠對未授權對象（程序或人）針對系統入侵的行為或企圖進行識別檢測，同時監控非法操作的“執行者”，入侵檢測功能主要包括：（1）搜集系統中不同環節的信息.（2）將該信息進行分析識別，尋找該入侵活動的特征.（3）對檢測到的行為做出自動響應.（4）報告檢測結果.IDS通過多種渠道對計算機系統和網絡環境上的信息進行搜集整理，據此檢測系統或網絡環境中是否有違反安全策略規則和被攻擊的現象，一旦發現攻擊便會自動發出報警信號并采取有效措施，同時將被攻擊的過程記錄下來，為系統或網絡環境的恢復和追蹤攻擊的源頭提供基本的數據依據.網絡入侵檢測大致可分為基于主機型、基于網絡型、基于主機和網絡型等三大類.網絡系統在受到危害前執行攔截和響應入侵.入侵檢測會做出如下響應：（1）控制臺報警.（2）記錄攻擊日志.（3）即時將網絡連接阻斷.（4）入侵檢測實時對網絡數據量不加任何延時地監控，它本身采用的是透明的工作模式.（5）網絡中的TCP和IP協議也會被入侵檢測監視和過濾，我們將入侵檢測進行添加配置后，可以按照源IP或目的IP地址、源端口或目的端口、協議（TCP/ICMP）等進行過濾.入侵檢測還能監控諸如遠程登陸、文件傳輸等網絡服務，并且它會隨著這些服務的發展而不斷擴展.（6）用戶自定義支持的網絡安全事件也會被納入入侵檢測的監視范圍.（7）入侵檢測自動生成安全日志以便對系統安全審計，由于采用的是開放式數據庫，其支持的安全分析決策系統對網絡環境安全奠定了堅實的基礎.

4.5 防病毒技術

計算機軟件技術的發展也促進了病毒技術的不斷演變，計算機病毒的“變異”使其具有復雜的特性，伴隨的破壞力對計算機系統的安全構成了極大威脅.在計算機病毒防護中，大多采用防病毒軟件.防病毒軟件按照功能分為單機版防病毒軟件和網絡版防病毒軟件兩種.單機版防病毒軟件主要應用于本地工作站和該工作站連接的遠程資源構成的局域網，一般采用掃描的方式來檢測并清除病毒.網絡版防病毒軟件注重網絡上病毒的防護，當病毒入侵網絡資源時，它會做出檢測響應并加以刪除、隔離等操作.目前很多網絡安全產品琳瑯滿目，但仍會被黑客非法入侵，其根本原因是網絡環境自身的缺陷.所以安全防護必須盡最大力量做好，從而保證網絡信息的安全.

5 結束語

網絡實現了信息交流、資源共享等目標，大大提高了人們生活的效率，而安全防護問題便成為了計算機網絡中的重中之重.因此對網絡防護策略的深入研究對造福人類社會具有重要的意義.

[1〕陳斌.計算機網絡安全于防御.信息技術與網絡服務，2006（04）.

〔2〕王宏偉.網絡安全威脅與對策.應用技術，2006（05）.

〔3〕夏丹丹，李剛，程夢夢，于亮.入侵檢測系統綜述.網絡安全技術與應用，2007（01）.

〔4〕姚華，肖琳.網絡安全基礎教程[M].北京理工大學出版社，2007.

〔5〕梁亞聲，汪永益.計算機網絡安全基礎教程[M].北京：機械工業出版社，2005.

〔6〕劉占全.網絡管理與防火墻[M].北京：人民郵電出版社，1999.

TP393.08

A

1673-260X（2010）06-0034-02