試論計算機網絡信息存在的安全問題及對策

摘要：在網絡信息時代，保證信息安全是所有用戶都極為關注的問題。文章將就如何解決網絡信息安全問題進行探討。

關鍵詞：計算機網絡；信息安全；技術措施

中圖分類號：TP393.08文獻標識碼：A文章編號：1006-8937（2012）08-0076-02

網絡的普及化，使得現代社會成為信息大爆炸的時代。在這樣的背景之下，如何保證網絡信息的安全，就成了所有網絡用戶所關心的話題。而關于網絡信息安全的技術發展，也一直成為社會關注的焦點。事實上，以技術對抗技術是當前計算機網絡與信息安全最主要的防范手段，技術防范措施主要有訪問控制技術、數據加密、防火墻技術、入侵檢測技術等。

1影響網絡安全的因素

造成計算機網絡信息不安全的因素很多，特別是在Internet和Intranet環境下，包括眾多的異種協議、不同的操作系統、不同廠家的硬件平臺。因而安全問題較復雜，常見的網絡安全威脅主要包括以下幾個方面。

1.1計算機病毒

從本質上看計算機病毒是一種具有自我復制能力的程序。其自身具有破壞性、傳播性、潛伏性和擴散面廣等特點。計算機病毒會把自己的代碼寫人宿主程序的代碼中，達到感染宿主程序的目的，導致程序在運行中受感染，同時，病毒還會進行自我復制，把其副本感染到計算機的其他程序。隨著Internet的發展，Java和ActiveX 的網頁技術逐漸被廣泛使用，將文件附于電子郵件的能力也不斷提高，計算機病毒的種類急劇增加，擴散速度大大加快，而且破壞性越來越大，受感染的范圍也越來越廣。

1.2計算機黑客

黑客，是英文“Hacker”的譯音，原指“技術十分高超的、有強制力的計算機程序員”，后專指利用不正當的手段竊取計算機網絡系統的口令和密碼，從而非法進入計算機網絡的人。黑客攻擊主要手段有：竊取口令、植入非法命令過程或程序“蠕蟲”、竊取額外特權、植入“特洛伊木馬”、強行闖入、清理磁盤等。

1.3技術問題導致的不安全

廣泛采用TC~IP協議的Internet，由于TCWIP協議在制定時，沒有考慮安全因素，因此協議中存在諸多安全問題，正是由于TCWIP協議本身存在的欠缺，結果導致了Internet的不安全。TC~IP協議具有的互聯能力強、網絡技術獨立、支持多種應用協議的特點，也不足以彌補網絡的不安全。

1.4制度不完善導致的不安全

信息安全政策是一個國家或國際組織在一定時期內為處理信息自由傳播與有限利用的矛盾而制定的一系列行政規范的總和，它以國家意志為后盾，以行政干預為手段，以政府行為為標志，對一定范圍內的信息安全管理具有宏觀導向作用，是網絡信息安全的行政保障。

2安全防范技術

2.1訪問控制技術

訪問控制用來識別并驗證用戶，同時將用戶限制于已授權的活動和資源。網絡的訪問控制可以從以下幾個方面來考慮規劃：口令識別、網絡資源屬主、屬性和訪問權限和網絡安全監視等。口令識別是網絡攻擊的常用于段。口令受到攻擊的途徑有在輸入口令時被偷聽、被口令破解程序破解、被網絡分析儀器或其他工具竊聽、誤入Login的特洛伊木馬陷進和使口令被竊取等。因此口令安全應遵循以下原則：采用不易猜測、無規律的口令，字符數不能少于6個；不同的系統采用不同的口令；定期更換口令，最長不超過半年；采用加密的方式保存和傳輸口令；對每次的登錄失敗作記錄并認真查找原因；系統管理員經常檢查系統的登錄文件及登錄日志。

2.2數據加密

數據加密是計算機網絡安全很重要的一個部分。由于Internet本身的不安全性，為了確保安全，不僅要對口令進行加密，也要對網上傳輸的文件進行加密。人們采用了數字簽名這樣的加密技術，同時也提供了基于加密的身份認證技術。事實上電子商務成為可能，數據加密功不可沒。我們可以把數據加密技術分為3類，即對稱型加密、不對稱型加密和不可逆加密。對稱型加密使用單個密鑰對數據進行加密或解密，其主要優點是加密效率高、計算量小。

但由于密鑰管理困難、使用成本較高、安全性能難以保證。在計算機網絡系統中廣泛使用的DES算法，是這類算法的主要代表。所謂的不對稱型加密算法，也可以叫做公開密鑰算法，其主要優點在于有公用密鑰和私有密鑰這兩個密碼，完成加密和解密的全過程，需要兩者搭配使用。其在分布式系統中的數據加密中使用很有效，而在Internet中運用廣泛。其中公用密鑰在網上公布，為數據發送方對數據加密時使用，但是解密的相應私有密鑰，必須要由數據的接收方進行嚴格保管。不對稱型加密的也可以叫做“數字簽名”（digital signature），也就是說數據源使用其私有密鑰對與數據內容有關的變量進行加密，而數據接收方則用相應的公用密鑰解讀“數字簽名”。

2.3防火墻技術

防火墻是位于內部網或Web站點與因特網之間的一個路由器或一臺計算機，又稱為堡壘主機。其目的如同一個安全門，為門內的部門提供安全，控制那些可被允許出入該受保護環境的人或物。就像工作在門外的安全衛士，控制并檢查站點的訪問者。歸納起來，防火墻的功能有：訪問控制，授權認證，內容安全（包括病毒掃描、URI。掃描、HTTP過濾），加密，路由器安全管理，地址翻譯，均衡負載，日志記賬、審計報警。防火墻技術一般分為以下幾類：

①基于IP包過濾的堡壘主機防火墻是在網絡層實現的防火墻技術。IP過濾路由器根據包的源IP地址、目的IP地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。這種技術的優點是低負載、高通過率、對用戶透明，但包過濾技術的弱點是不能在用戶端進行過濾，如不能識別不同的用戶和防止IP地址被盜用。

②代理服務器（Proxy Server）防火墻能夠提供在應用級的網絡安全訪問控制。代理防火墻代替受保護網絡的主機向外部網絡發送服務請求，并將外部服務請求響應的結果返回給受保護網絡的主機。這種技術的優點是不允許外部主機直接訪問內部主機，支持多種用戶認證方案，可以分析數據包內部的應用命令和提供詳細的審計記錄，缺點是速度比包過濾慢，對用戶不透明，與特定應用協議相關聯，并不能支持所有的網絡協議。

2.4入侵檢測技術

作為近年出現的新型網絡安全技術，入侵檢測技術的主要作用是提供實時的入侵檢測，以及相應的防護手段，比如說記錄相關的證據，以便用于跟蹤和恢復、斷開網絡的連接等。它能夠發現危險攻擊的特征，進而探測出攻擊行為并發出警報，并采取保護措施。入侵檢測技術一方面可以應付來自內部網絡的攻擊，同時，也能夠應對外部黑客的入侵。入侵檢測系統可分為兩種，即基于主機和基于網絡。基于主機的入侵檢測系統，主要是用于保護關鍵應用的服務器、實時監視可疑的連接等，同時還需要提供對典型應用的監視，例如Web服務器應用。

隨著Internet的發展和網絡應用的普及，網絡安全以不僅僅是一個技術問題，而且是一個威脅到社會發展的問題。因此除了應大力發展網絡與信息安全防范技術，還必須加快網絡與信息安全法律的制定，通過管理、法律的手段保證網絡與信息系統安全。只有這樣，網絡和信息系統才會真正安全。

2.5簽名、認證與完整性保護

數字簽名（Digital Signature）是手寫簽名的電子模擬，是通過電子信息計算處理產生的一段特殊字符串消息，該消息具有與手寫簽名一樣的特點，是可信的、不可偽造的、不可重用的、不可抵賴的以及不可修改的，可用于身份認證和數據完整性控制。認證(Authentication)就是一個實體向另一個實體證明其所具有的某種特性的過程。在認證過程中，要用到兩種基本安全技術，即標識技術和鑒別技術。常用的鑒別信息主要有：所知道的秘密，如口令、密鑰等；所擁有的實物，如鑰匙、徽標、IC卡等；生物特征信息，如指紋、聲音、視網膜等；習慣動作，如筆跡等；上下文信息，就是認證實體所處的環境信息、地理位置、時間等，如IP地址等。

歸納起來，認證的主要用途有三方面：消息接收者驗證消息的合法性、真實性、完整性；消息發送者不能否認所發消息；任何人不能偽造合法消息。所謂完整性保護，是指保證數據在存儲或傳輸過程中不被非法修改、破壞或丟失，主要手段是報文摘要技術，即輸入不定長數據，經過雜湊函數，通過各種變換，輸出定長的摘要。

3結語

網絡信息給人們的生活帶來了極大的便利，但于此同時，也可能會出現大量的安全問題，為了保證用戶的信息安全，信息安全部門需要從信息網絡出現的問題著手，制定合理有效的安全防范措施，保證網絡信息的安全。

參考文獻：

[1] 謝振剛.如何建立安全的計算機網絡系統[J].黑龍江科技信息，2011，(8).

[2] 隋禮江.淺析網絡安全與防范策略[J].內蒙古科技與經濟，2010，(23).

[3] 謝秀蘭，張艷慧，劉慧文.計算機網絡安全及防范措施[J].內蒙古科技與經濟，2011，(16).