計算機網絡安全分析研究

摘要：計算機網絡安全是促進網絡事業健康發展的前提，在分析網絡安全產生的原因及目前網絡所面臨威脅的基礎上，以安全防御作為出發點，從技術及管理兩大方面，提出了防護計算機網絡安全的具體措施與有效方案。技術上介紹了防火墻、訪問控制技術、網絡防病毒技術、數據加密技術、容災技術等，重點從入侵檢測系統技術（ＩＤＳ）、虛擬專用網（VPN）技術、云安全等新型技術的原理、實施手段及應用領域等方面做了論述。

關鍵詞：計算機網絡安全； 網絡安全威脅； 網絡安全防范措施； 網絡安全技術； 網絡安全管理

中圖分類號：TN91934文獻標識碼：A文章編號：1004373X(2012)04010904

Analysis of computer network security

PENG Shasha， ZHANG hongmei， BIAN Dongliang

(Science College， Air Force Engineering University， Xi’an 710051， China)

Abstract： Computer network security (CNS) is a prerequisite to promote the development of network healthily. Based on the analysis of causes against CNS and threats that confront the network security， the specific methods and measures to protect computer network are proposed in two aspects of technology and management. The technologies of firewalls， access control， network antivirus， data encryption， disaster recovery are introduced. The security principles， implementation methods and application fields of the new technologies such as intrusion detection system technology (IDS)， virtual private network (VPN) technology and cloud security are elaborated emphatically.

Keywords： computer network security; network security threat; network security measures; network security technology; network security managemen

收稿日期：20110909

基金項目：軍內武器系統科研項目(KJ2010182)；陜西省電子信息系統綜合集成重點實驗室基金資助項目(201107Y16)0引言

隨著計算機網絡的普及和發展，網絡的運用已經滲透到各個領域。信息社會，人們對網絡的依賴程度也日益加深，但隨著網絡迅速的發展，網絡安全儼然已經成為一個潛在的巨大問題。在網絡發展的大好前景下，網絡信息安全為其籠罩上了一片烏云。雖然我國的計算機制造業有了很大進步，但是其核心部件的制造技術仍然是很薄弱的。計算機軟件的開發和研制也同樣受到國外市場的壟斷，尤其是操作系統，所以我國目前運用著大量來自境外的計算機軟、硬件，這就使得我國的網絡安全問題不得不警鐘長鳴。

1計算機網絡安全

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科 。國際標準化組織（ISO）定義是指網絡系統的硬件、軟件及其系統的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常的運行，網絡服務不中斷。主要涉及了機密性、完整性、可用性、可審性、真實性、可控性、抗否認性等屬性造成網絡安全問題的原因。

1.1網絡最初設計的理念

網絡發展的早期，人們更加看重、強調的是網絡的方便性和可用性，卻忽略了網絡的安全性。那時，網絡的使用僅限于一個很小的范圍，因此網絡安全并沒有被重視。但是隨著科學技術的發展，以及人類需求的更新，網絡克服了地理上的限制，把分布在一個個小范圍內的網絡分支，成功地聯系起來，直至遍布全世界。由于網絡的關聯性導致此時在傳送敏感性信息時，信息的安全就受到了極大的威脅。同時，各類網絡產品都是在基礎網絡協議上發展起來的，或多或少都存在有安全隱患。

1.2網絡的開放性

因特網最根本的特征就是開放性，整個因特網就是建立在自由開放的基礎上的。當今網絡的資源日益廣泛應用，同時也為黑客的傾入提供了可乘之機。資源共享與網絡安全之間的矛盾也日尖銳化。

1.3網絡的控制管理性變差

隨著網絡遍布全世界，私有網絡也因需求不可避免地與外部公眾網直接或者間接地聯系起來。由于網絡的關聯性，導致只需攻擊網絡鏈條中最薄弱的一個環節就可以使整個安全體系崩潰。從而使網絡的運行環境更加復雜化，可控性急劇降低，網絡安全性也變差。

2網絡安全面臨的威脅

現如今，網絡所面臨的威脅是多方面的，不僅僅是對網絡信息的威脅，同樣也包括網絡設施。總結起來可分為3點：一是人為的疏忽大意，如操作員因配置不當造成安全漏洞，例如，防火墻的配置不當，就會給外來的攻擊創造機會，用戶安全意識不強，口令選擇不慎，或者不及時地更新防護系統，都會造成網絡安全的威脅；二是人為惡意攻擊，可分為主動攻擊與被動攻擊，主動攻擊是指攻擊者通過修改、刪除、延遲、復制、插入一些數據流，有目的財破壞信息，可以歸納為中斷、篡改、偽造、拒絕服務4種。被動攻擊則是對信息進行截獲，偷聽或者監視，主動攻擊時比較容易被發現，但是被動攻擊則很難被發現；三是網絡軟件的漏洞和“后門”，軟件在設計和編程時，難免都會有漏洞，這就成了黑客下手攻擊的對象，同時，軟件開發人員為了便于維護而設置的軟件“后門”，也可能成為網絡安全的很大隱患；四是管理不當，造成網絡設施無意或惡意的損壞。

3網絡安全的防御措施

網絡安全是一項復雜的工程，它涉及了技術、設備、管理使用及立法制度等各個方面的因素。想要很好地實現信息安全，就必須形成一套完備的網絡信息安全體系，使得技術、設備、管理使用及立法制度等方面因素協同發展，缺一不可。

3.1傳統技術

3.1.1防火墻

防火強是一種專屬的硬件，也可以是架設在一般硬件上的一套軟件。在邏輯上，防火墻是一個分離器、限制器和分析器，主要作用是當2個或多個網絡之間通信時，防火墻能起到控制訪問的尺度，過濾信息。常見的防火墻類型有包過濾型、應用代理型、網絡地址轉換的NAT和監測型。 防火墻的運用可最大限度地提高內外網絡的正常運行，但是不能防止從LAN內部的攻擊，這也就成了防火墻最大的局限性。同時，隨著技術的發展，一些破譯的方法也使得防火墻存在一定的隱患，所以在防火墻的技術上還有待更好的開發。常用的防火墻有天網、瑞星，還有360防火墻等。

3.1.2訪問控制技術

提及訪問控制技術，就必須提到訪問控制技術設計到的3個基本概念及主體、客體和訪問授權。主體：可以對其他實體施加動作的主動實體，有時也可稱為用戶或者訪問者，包括用戶本身、用戶組、終端、卡機，甚至應用服務程序等。客體：接受其他實體訪問的被動實體，它可以是信息、文件、記錄，也可以是一個處理器、存儲器、網絡接點等。訪問授權：主體對客體訪問的允許權，訪問授權對每一對的主題和客體是給定的。

訪問控制技術是通過設置訪問權限來限制訪問主體對訪問客體的訪問，阻止未經允許的用戶有意或無意地獲取數據的技術。這項技術是網絡安全防范和保護的主要策略之一，它的主要任務是保證網絡資源不被非法使用和訪問。訪問控制技術涉及的范圍比較廣，包括：入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

3.1.3網絡防病毒技術

計算機病毒可以是一個程序，也可以一段可執行碼，能破壞計算機的正常運行，使之無法正常使用，甚至使整個操作系統或者硬盤損壞，它們就像生物病毒一樣，同樣可以大量自我復制并傳播，造成大面積的計算機網絡安全問題。

防病毒技術根據計算機網絡病毒的作用來講，可分為病毒防御技術、病毒檢測技術、病毒清除技術等。網絡大都采用ClientServer的工作模式，需要從服務器和工作站2個結合方面解決防范病毒的問題。隨著計算機網絡技術的發展，網絡防病毒技術的發展也將日新月異，其發展方向可大致以下述幾種為主：網絡操作系統和應用程序集成防病毒技術、集成化網絡防病毒技術、網絡開放式防病毒技術等。建立起一套全方位、多層次的防病毒系統，并及時進行系統升級，以確保網絡免于病毒的侵襲。

3.1.4數據加密技術

數據加密技術是指在數據傳輸時，對信息進行一些形形色色的加法運算，將其重新編碼，從而達到隱藏信息的作用，使非法用戶無法讀取信息內容，有效保護了信息系統和數據的安全性，是網絡安全核心技術之一。數據加密技術可在網絡ＯＳＩ7層協議的多層實現，從加密技術應用的邏輯位置看，常用的數據加密方式有：鏈路加密（網絡層以下的加密）、節點加密（協議傳輸層上的加密）、端對端加密（網絡層以上的加密）等。按照不同的作用，數據加密技術可以分為：數據存儲、數據傳輸、數據完整性的鑒別以及密鑰管理技術等。

信息的加密算法或是解密算法都是在一組密鑰控制下進行的。根據加密密鑰和解密密鑰是否相同，可將目前的加密體制分為2種：一種是當加密密鑰與解密密鑰對應相同時，稱之為私鑰加密或者對稱加密體制，典型代表是美國的數據加密標志（ＤＥＳ）；另一種是加密密鑰與解密密鑰不相同，通稱其為公鑰或者非對稱加密。這種加密方式，加密密鑰是可以公開的，但是解密密鑰則是由用戶自己持有的，典型代表為ＲＳＡ體制。

在目前的數據加密系統中，對信息的安全性保護，主要取決于對密鑰的保護，而不是對系統和硬件本身的保護，所以密鑰的保密和安全管理在數據系統中是極其重要的。

3.1.5容災技術

信息時代，數據越來越突出，數據的安全性更是影響一個機構發展的生存關鍵。如何使數據在災難發生時不丟失，保障服務系統盡快正常運行，容災技術將成為解決這一問題的能手。

提及容災技術就必須提出災難，即一切影響計算機正常工作的事件都稱為災難，包括：自然災害、設備故障、人為破壞等。容災就是在上訴災難發生時，在保證生產系統的數據盡量少丟失的情況下，保持生產系統的業務不間斷運行。

容災的評價指標公認為：RPO（針對數據丟失）、RTO（針對服務丟失）。從其對系統的保護分類來說，可將容災分為數據容災和應用容災。數據容災就是建立一個異地的數據系統，該系統是本地關鍵應用數據的一個實時恢復；應用容災是在數據容災的基礎上，在異地建立一套完整的與本地生產系統相當的備份應用系統。在災難發生后，將應用迅速切換到備用系統，使生產系統的業務正常運行。

3.2新型技術

3.2.1入侵檢測系統技術（ＩＤＳ）

入侵檢測技術是繼“防火墻”之后，近10年來新一代網絡安全保障技術，在很大程度上它彌補了防火墻的不足。它是通過對網絡或者計算機系統中若干關鍵點收集信息并分析，檢測其中是否有違反安全策略的行為，是否受到攻擊，能夠有效地發現入侵行為合法用戶濫用特權的行為，是一種集檢測、記錄、報警、響應技術，能主動保護自己免受攻擊的動態網絡安全策略，也是Ｐ２ＤＲ的核心部分。

雖然目前很多“防火墻”都集成有入侵檢測的模塊，但是由于技術和性能上的限制，與專業的入侵檢測系統還是無法相比的。專業的入侵檢測系統是一種積極主動的網絡安全防護工具，提供了對內部、外部攻擊和誤操作的實時防護，在網絡系統受到危害之前攔截相應入侵。目前入侵檢測系統常用的入侵檢測方法包括：特征檢測、異常檢測、狀態檢測、協議分析等。

同時入侵檢測系統也存在著一些問題，比如誤報；再比如，當受到精巧及有組織的攻擊時，要找出這樣復雜的攻擊是有難度的。從總體上來講，入侵檢測系統的發展趨勢可以概括為分布式入侵檢測與CIDF、應用層入侵檢測、智能層入侵檢測、與網絡安全其他相結合的入侵檢測、建立入侵檢測系統評價體系。由于入侵檢測系統存在的弊端，已經不能滿足網絡的發展需求，今后的入侵檢測技術主要朝著以下幾個方面發展：智能化入侵檢測、大規模分布式入侵檢測、應用層入侵檢測、分布式入侵檢測與通用入侵檢測等。

3.2.2虛擬專用網（VPN）技術

虛擬專用網（Virtual Private Network，VPN）是一種基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務。VPN技術是依靠Internet服務提供商（ISP）和其他網絡服務提供商（NSP），在公用網絡中建立專用的數據通信網絡技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。按照實現技術不同，VPN可分為PPTP(PointtoPoint Tunneling Protocol)，L2TP(Layer 2 Tunneling Protocol)，MPLS(MultiProtocol Label Switch)，IPSec(Internet Protocol Security)及SSL(Secure Sockets Layer) 等。

虛擬專用網的作用很多，比如：實現網絡安全，簡化網絡設計，降低成本，容易擴展，連接靈活，完全控制主動權等等。在此主要探討它的安全性，虛擬專用網大多傳輸的是私有信息，所以用戶數據的安全性就更為關注。目前，VPN主要采用四項技術來保證信息安全，分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。通過這些技術能有力地抵制不法分子篡改、偷聽、攔截信息的能力，保證數據的機密性。

3.2.3云安全

云安全是網絡時代信息安全的最新體現，隨著云計算成為了網絡發展的熱門話題，相繼提出了“云安全”的概念。

云計算是一個新興的商業計算模型，是分布式處理、并行處理和網絡計算的發展，是一種基于互聯網的超級計算模式。它利用高速互聯網的傳輸能力，將數據的處理過程從個人計算機或服務器移到互聯網上的超級計算機集群中。云計算是一個虛擬的計算資源池，它通過互聯網為用戶提供資源池內的計算資源。對用戶而言，云計算具有隨時獲取、按需使用、隨時擴展、按使用付費等優點。同時，云計算具有效益好、經營集約化、設備利用率高、節能降耗、服務后臺化、貨幣化、即時化、彈性化等等諸多特點。

隨著云計算的日漸推廣和普及，云計算安全的問題也逐漸浮出水面。和傳統的安全風險不同，在云計算中惡意用戶和黑客都是云端互動環節攻擊數據中心的，其具體變現有信息體的偽造、編造、假冒以及病毒攻擊等等，并且這些危害不僅僅是發生在服務定制和交付這2個出入口，還貫穿于服務的組織、加工、整理、包裝過程中。

與之相對應的，提出了云安全概念。云安全通過網絡的大量客服端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，推送到服務端進行自動分析和處理，再把病毒和木馬的解決方案分發到每一個客服端。云安全技術應用后，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網絡服務，實時即時采集、分析以及處理。

云安全的概念提出后，曾引發了廣泛的爭議，許多人認為它是偽命題，但是隨著各大公司運用云安全技術實現了新一代的查殺概念，云安全技術成為了不爭的事實。但同時，由于云安全仍然是門較新的技術，所以還存在許多問題需要深入的探究、解決并且依靠時間來證實。

3.3管理使用及立法

“三分技術七分管理”，一直都是安全界的名言，網絡安全管理也不例外，即使有了再好的技術，沒有妥善的管理措施和立法保護措施，網絡安全同樣也會受到不小的威脅。只有當安全技術和計算力安全管理措施緊密結合，才能使計算機網絡安全達到最好成效。

3.3.1對設備的管理

計算機機房應設在適宜的環境下，以保證計算機系統的安全性和可靠性。同時要注意機房的溫度、濕度、空氣清潔度、蟲害、震動、沖擊以及電氣干擾等方面，都要有相應的標準。機房不但能抵制自然災害的侵略，同時也要能防范人為地破壞。定期對機房周邊，機房和計算機設備進行檢查，確保外在安全無隱患。

3.3.2開展網絡安全教育和網絡道德教育，增強網絡安全防范意識僅僅通過技術來解決網絡安全問題，是不夠的，只有增強了網絡安全防范意識，才能使網絡安全發揮到最大效能。

培養網絡安全意識，就是通過對網民及網絡管理人員開展網絡安全普及教育，使人們意識到網絡安全的重要性，了解并掌握一定的網絡安全防范措施。經過定期的網絡自查和安全更新，就能排除一些不良的網絡安全威脅。比如，及時打好系統補丁、使用殺毒軟件進行計算機病毒查殺、不得使用各類移動存儲設備在互聯網和內網之間傳播不安全程序、文件等。

在網絡道德教育方面，目前儼然已成為網絡安全管理一個很重要的環節。由于計算機技術的大力發展，網絡犯罪已日趨惡劣化、低齡化、復雜化、廣泛化、損失嚴重化。所以通過教育宣傳等手段來增強人們網絡道德觀，提高他們對網絡不良文化和違法行為的免疫力、抵制力。尤其是在中學生中，一定要重視這一問題的教育，提早讓學生對網絡信息有著正確的判斷分析能力。

3.3.3嚴格制定并遵守網絡安全規章制度

遵照國家和本部門相關信息安全的技術標準和管理規范，針對本部門專項應用，對信息管理和對系統流程的各個環節進行安全評估，設定安全應用等級，明確人員職責，制定安全規章制度的分步實施方案，要求相關人員嚴格遵守操作，達到安全和應用的科學平衡。

3.3.4完善網絡安全立法，加強網絡法律監管

我國目前已經出臺了多項有關網絡安全的法律，但是與網絡發展的速度相比還是相對滯后的，而且現有的法律大多過于龐雜，其間的協調性和相通性也不夠，缺乏系統規范性和權威性。因此加快制定和完善網絡安全的相關法律是迫在眉睫的。在制定網絡安全相關法律時，可以借鑒國外成功的經驗，與國際有關的法律法規相接軌，并結合我國的實際情況，趨利避害，最終既定出一套適用于我國的網絡安全法律。

僅僅有了網絡法是不夠的，還必須加強網絡法律的監管力度。建立一支高素質的網絡執法隊，使其熟練掌握網絡信息技術、安全技術，能夠在第一時間內發現不法的網絡犯罪行為，提高執法效率。加大網絡違法犯罪的處罰力度，查封和大力打擊網絡有毒、有害的信息，定時整頓網絡的秩序。讓網絡安全相關法律也真正做到“有法可依，有法必依，執法必嚴，違法必究”的原則。

4結語

眾所周知不管是要想更好更快實現以上的技術，還是管理及立法，都需要資金的輔助，所以應在網絡安全工程事業投入足夠的資金，以確保我國網絡安全工程事業的穩步發展。相信，通過國家高度的重視，技術人員不懈的努力，管理人員認真的態度，廣大網民不斷提高的網絡安全意識，網絡安全發展前景定會一片光明。現今時代，網絡是否安全，已經影響到各行各業的生死存亡以及發展狀況，也是未來社會發展好壞的一個重要的影響因素。總之，只有把好了網絡安全的關卡，網絡時代的網絡空間才會為人類最大限度發揮其保障、服務的作用。