計算機網絡安全與防范策略淺析

劉云婧

（上海大屯能源股份有限公司選煤廠，江蘇 徐州 221611）

計算機網絡安全與防范策略淺析

劉云婧

（上海大屯能源股份有限公司選煤廠，江蘇 徐州 221611）

文章對目前計算機網絡存在的安全隱患進行了分析，并探討了隱患的防范策略。

計算機；網絡安全；隱患；策略

互聯(lián)網絡正以驚人的速度改變著人民的生活方式和工作效率。從商業(yè)機構到個人都將越來越多地通過互聯(lián)網處理銀行實務、購物、炒股和辦公等，從而給社會、企業(yè)乃至個人帶來了前所未有的便利，所有這一切都得益于互聯(lián)網的開放性和匿名特征。然而，正是這些特征也決定了互聯(lián)網不可避免地存在著信息安全隱患。因此如何更有效地保護重要信息數(shù)據(jù),提高計算機網絡系統(tǒng)的安全性已經成為所有計算機網絡應用必須考慮和解決的一個重要問題。

（一）計算機網絡安全的概念及特征

1.計算機網絡安全概念

ISO將計算機安全定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。

2.計算機網絡安全的特征

網絡安全根據(jù)其本質的界定，具有以下基本特征：（1）保密性。是指信息不泄露給非授權的個人、實體和過程，或供其使用的特性。在網絡系統(tǒng)的每一個層次都存在著不同的機密性，因此也需要有相應的網絡安全防范措施。（2）完整性。是指網絡中的信息在存儲或傳輸?shù)倪^程中保持不被修改、不被破壞、不延遲、不亂序和不丟失，且不能被未經授權的用戶進行修改的特性。（3）可用性。可被授權實體訪問并按需求使用的特性。（4）可控性。對信息的傳播及內容具有控制能力。

（二）危害網絡安全的因素

由于計算機信息系統(tǒng)已經成為信息社會另一種形式的“金庫”和“保密室”，從而成為一些人窺視的目標。影響計算機網絡安全的因素很多，并隨著時間的變化而變化。歸結起來，網絡安全的威脅主要來自以下幾個方面。

1.人為和自然因素

人為和自然因素主要包括以下兩個方面：（1）人為因素的威脅主要是來自于黑客，黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，還有一些專業(yè)的商業(yè)間諜，利用間諜軟件竊取系統(tǒng)或用戶信息。（2）自然因素的威脅包括網絡中的軟、硬件故障、水災及火災等。自然因素具有很高的突發(fā)性，一般很難防止這些因素的出現(xiàn)，最好的方法是經常進行數(shù)據(jù)的備份和冗余設置。

2.計算機犯罪

計算機犯罪，通常是指利用竊取口令等手段非法侵入計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環(huán)境中，大量信息在網上流動，這為不法分子提供了攻擊目標。他們利用不同的攻擊手段，獲得訪問或修改在網中流動的敏感信息，闖入用戶或政府部門的計算機系統(tǒng)，進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網絡詐騙，其“低成本和高收益”又在一定程度上刺激了犯罪的增長，使得針對計算機信息系統(tǒng)的犯罪活動日益增多。

3.計算機病毒

當今網絡安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。病毒通常附在其他程序上，在這些程序運行時進入到系統(tǒng)中進行擴散。計算機感染病毒后，輕則使系統(tǒng)工作效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。

4.網絡軟件的漏洞和“后門”

網絡軟件存在一些缺陷和漏洞，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦“后門”洞開，其造成的后果將不堪設想。

5.信息戰(zhàn)的威脅

信息戰(zhàn)，即為了國家的軍事戰(zhàn)略而采取行動，取得信息優(yōu)勢，干擾敵方的信息和信息系統(tǒng)，同時保衛(wèi)自己的信息和信息系統(tǒng)。信息技術從根本上改變了進行戰(zhàn)爭的方法，其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網絡系統(tǒng)，信息武器已經成為繼原子武器、生物武器、化學武器之后的第四類戰(zhàn)爭武器。可以說未來國與國之間的對抗首先是信息技術的較量，網絡信息安全成為國家安全的首要前提。

6.計算機網絡本身存在的安全缺陷

網絡本身存在的安全缺陷主要包含以下幾個方面。

（1）TCP/IP協(xié)議為了獲取高的運行效率，并沒有充分考慮安全因素，而且該協(xié)議是公開的，了解的人越多，受破壞的可能性就越大。

（2）網絡上數(shù)據(jù)的傳送方式大多數(shù)是網絡路由方式，且被傳輸?shù)男畔⒋蠖鄶?shù)沒有加密，很容易被竅聽和盜取。

（3）大多數(shù)站點在設置防火墻訪問權限時，都將其權限設置得較大，這很有可能被內部人員濫用，甚至破壞。

（4）網絡中的訪問控制很復雜，且很容易導致配置錯誤，這就給他人提供了可乘之機。

（三）計算機網絡安全防范策略

計算機網絡安全從技術上來說,主要由防火墻、防病毒、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有防火墻技術、數(shù)據(jù)加密技術、防御病毒技術、訪問與控制、物理安全策略等。

1.防火墻技術

防火墻，也可稱之為控制進／出兩個方向通信的門檻，是網絡安全的屏障，配置防火墻是實現(xiàn)網絡安全最基本、最經濟、最有效的安全措施之一。狹義上防火墻是指安裝了防火墻軟件的主機或路由器系統(tǒng)；廣義上防火墻還包括整個網絡的安全策略和安全行為。總之，防火墻是一種網絡安全保障手段，是網絡通信時執(zhí)行的一種訪問控制尺度，其主要目標是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭受外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網絡和Internet之間的任何活動，保證了內部網絡的安全；在物理實現(xiàn)上，防火墻是位于網絡特殊位置的一組硬件設備——路由器、計算機或其他特制的硬件設備。防火墻可以是一個獨立的系統(tǒng)，也可以在一個進行網絡互聯(lián)的路由器上實現(xiàn)防火墻。

2.數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是指對數(shù)據(jù)及信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容，只有收發(fā)雙方才能解碼并還原信息的一種技術手段。其原理是利用密鑰函數(shù)對原來可讀信息進行翻譯，輸出不易讀的信息，從而使未被授權的人看不懂它。在需要讀取時使用密碼進行解密即可。

數(shù)據(jù)加密技術主要有兩種類型：私匙加密和公匙加密 。

（1）私匙加密

私匙加密又稱對稱密匙加密，用來加密信息和解密信息使用的是同一個密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建加密一條有效的消息。這種加密方法的優(yōu)點是速度快，容易在硬件和軟件中實現(xiàn)。

（2）公匙加密

公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統(tǒng)。

3.防御病毒技術

在病毒防范中普遍使用防病毒軟件，從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其他資源傳染，網絡防病毒軟件會立刻檢測到并加以刪除。病毒的侵入必將對系統(tǒng)資源構成威脅，因此用戶要做到“先防后除”。同時應該養(yǎng)成定期查殺病毒的習慣，并及時更新windows操作系統(tǒng)的安裝補丁，做到不登錄不明網站等等。

4.訪問控制

訪問控制是授權控制不同用戶對信息資源的訪問權限，即誰能夠訪問系統(tǒng),能訪問系統(tǒng)的何種資源以及如何使用這些資源。它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制能夠阻止未經允許的用戶獲取數(shù)據(jù)，是維護系統(tǒng)運行安全、保護系統(tǒng)資源的一項重要技術，也是對付黑客的關鍵手段。

5.物理安全策略

物理安全策略的目的是保護路由器、交換機、工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權限，防止用戶越權操作；確保網絡設備有一個良好的電磁兼容工作環(huán)境；建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動。

為保證信息網絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。為保證網絡的正常運行，在物理安全方面通常采取如下措施：①產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。②運行安全方面：網絡中的設備，特別是安全類產品在使用過程中，必須能夠從生產廠家或供貨單位得到迅速的技術支持。對一些關鍵設備和系統(tǒng)，應設置備份系統(tǒng)。③防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。④保安方面：主要是防盜、防火等，還包括網絡系統(tǒng)所有網絡設備、計算機、安全設備的安全防護。

（四）結束語

網絡安全是一項動態(tài)工程，新的Internet黑客站點、病毒與安全技術每日劇增。因此網絡安全程度會隨著時間的變化而變化。在信息技術日新月異的今天，要永遠保持在知識曲線的最高點，需要隨著時間和網絡環(huán)境的變化或技術的發(fā)展而不斷調整自身的安全策略。網絡安全問題不僅僅是技術問題，同時也是一個安全管理問題。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。

[1] 謝希仁.計算機網絡(第四版)[M].北京:電子工業(yè)出版社,2003.

[2] 雷震亞.網絡工程師教程(第二版)[M].北京:清華大學出版社,2006.

[3] 葛秀慧.計算機網絡安全管理[M].北京:清華大學出版社,2008.

TP393.08

A

1008-1151(2011)05-0043-02

2011-01-28

劉云婧（1984－），女，江蘇徐州人，上海大屯能源股份有限公司選煤廠助理工程師。