綜述計算機網絡安全技術措施

王亨桂

（四川省電力公司廣安電業局，四川 廣安 638000）

1、網絡安全的現狀

現今互聯網環境正在發生著一系列的變化,安全問題也出現了相應的變化。主要反映在以下幾個方面:

1.1．網絡犯罪成為集團化、產業化的趨勢。從灰鴿子病毒案例可以看出,木馬從制作到最終盜取用戶信息甚至財物,漸漸成為了一條產業鏈。

1.2．無線網絡、移動手機成為新的攻擊區域,新的攻擊重點。隨著無線網絡的大力推廣,3G網絡使用人群的增多,使用的用戶群體也在不斷的增加。

1.3．垃圾郵件依然比較嚴重。雖然經過這么多年的垃圾郵件整治,垃圾郵件現象得到明顯的改善,例如在美國有相應的立法來處理垃圾郵件。但是在利益的驅動下,垃圾郵件仍然影響著每個人郵箱的使用。1.4．漏洞攻擊的爆發時間變短。從這幾年的攻擊來看,不難發現漏洞攻擊的時間越來越短,系統漏洞、網絡漏洞、軟件漏洞被攻擊者發現并利用的時間間隔在不斷的縮短。很多攻擊者都通過這些漏洞來攻擊網絡。

1.5．攻擊方的技術水平要求越來越低。

1.6．DOS攻擊更加頻繁。對于DoS攻擊更加隱蔽,難以追蹤到攻擊者。大多數攻擊者采用分布式的攻擊方式,以及跳板攻擊方法。這種攻擊更具有威脅性,攻擊更加難以防治。

1.7．針對瀏覽器插件的攻擊。插件的性能不是由瀏覽器來決定的,瀏覽器的漏洞升級并不能解決插件可能存在的漏洞。

1.8．網站攻擊,特別是網頁被掛馬。大多數用戶在打開一個熟悉的網站,比如自己信任的網站,但是這個網站已被掛馬,這在不經意之間木馬將會安裝在自己的電腦內。這是現在網站攻擊的主要模式。

1.9．內部用戶的攻擊。現今企事業單位的內部網與外部網聯系的越來越緊密,來自內部用戶的威脅也不斷地表現出來。來自內部攻擊的比例在不斷上升,變成內部網絡的一個防災重點。

2、計算機網絡存在的安全隱患

隨著Internet的飛速發展，計算機網絡的資源共享進一步加強，隨之而來的信息安全問題日益突出。據美國FBI統計，美國每年網絡安全問題所造成的經濟損失高達75億美元。而全球平均每20秒鐘就發生一起Internet計算機侵入事件。在Internet/Intranet的大量應用中，Internet/Intranet安全面臨著重大的挑戰。在一個開放的網絡環境中，大量信息在網上流動，這為不法分子提供了攻擊目標。他們利用不同的攻擊手段，獲得訪問或修改在網中流動的敏感信息，闖入用戶或政府部門的計算機系統，進行窺視、竊取、篡改數據。使得針對計算機信息系統的犯罪活動日益增多。

一般認為，計算機網絡系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。黑客攻擊早在主機終端時代就已經出現，隨著Internet的發展，現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊。新的手法包括：通過網絡監聽獲取網上用戶的帳號和密碼；監聽密鑰分配過程，攻擊密鑰管理服務器，得到密鑰或認證碼，從而取得合法資格；利用UNIX操作系統提供的守護進程的缺省帳戶進行攻擊；利用Finger等命令收集信息，提高自己的攻擊能力；利用SendMail，采用debug、wizard和pipe等進行攻擊；利用FTP，采用匿名用戶訪問進行攻擊；利用NFS進行攻擊；通過隱藏通道進行非法活動；突破防火墻等等。目前，已知的黑客攻擊手段多達500余種。拒絕服務攻擊是一種破壞性攻擊，最早的拒絕服務攻擊是“電子郵件炸彈”。它的表現形式是用戶在很短的時間內收到大量無用的電子郵件，從而影響正常業務的運行，嚴重時會使系統關機、網絡癱瘓。

3、計算機網絡安全技術措施

計算機網絡安全從技術上來說，主要由防病毒、防火墻、入侵檢測等多個安全組件組成，一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火墻技術、數據加密技術、防病毒技術等，主要的網絡防護措施包括：

3.1．物理安全技術

物理安全是指通過物理隔離實現網絡安全，是指內部網絡間接地連接在Internet網絡。物理安全的目的是保護路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。只有使內部網和公共網物理隔離，才能真正保證內部信息網絡不受來自互聯網的黑客攻擊。此外，物理隔離也為用戶內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于內部管理。

3.2．病毒防范技術

在現代化的辦公環境中，幾乎所有的計算機用戶都不同程度地受到過計算機病毒危害。計算機病毒其實也是一種可執行程序，除了自我復制的特征外，很多病毒還被設計為具有毀壞應用程序、刪除文件甚至重新格式化硬盤的能力。由于在網絡環境下，計算機病毒有不可估量的威脅性和破壞力，因此，計算機網絡病毒的防范是網絡安全性建設中重要的一環。在網絡中，計算機病毒的爆發對用戶的安全構成了極大的威脅。因此，網絡配置病毒防護系統必不可少。常見的網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術。

3.3．防火墻

防火墻是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址、以及包所使用的端口確定是否允許該類數據包通過；狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節，保護其中的主機及其數據。

3.4．數據加密與用戶授權訪問控制技術

與防火墻相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構成加密/解密的密鑰對，則稱這種加密算法為“非對稱加密算法”或(稱為“公鑰加密算法”，相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

3.5 入侵檢測技術

入侵檢測技術是為保證計算機系統的安全而設計與配置的，一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術是一種主動保護自己免受黑客攻擊的網絡安全技術，它提供了對網絡內部攻擊和外部攻擊的實時保護，在網絡系統受到危害之前攔截和入侵。

3.6 漏洞掃描技術

漏洞掃描是指對電腦進行全方位的掃描，檢查當前的系統是否有漏洞，如果有漏洞則需要馬上進行修復，否則電腦很容易受到網絡的傷害，甚至被黑客借助于電腦的漏洞進行遠程控制。所以，漏洞掃描技術對于保護電腦和網絡安全必不可少，而且需要定時進行一次掃描，一旦發現有漏洞就要馬上修復。有的漏洞系統自身就可以修復，而有些則需要手動修復。

3.7 安全管理隊伍的建設

在計算機網絡系統中，絕對的安全是不存在的，制定健全的安全管理體制是計算機網絡安全的重要保證。同時，要不斷地加強計算機信息網絡的安全規范化管理力度，大力加強安全技術建設，強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進行安全管理工作，應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力，才能使計算機網絡的安全可靠得到保障，從而使廣大網絡用戶的利益得到保障。

小結

計算機網絡安全與我們的利益息息相關,而計算機網絡安全的問題，仍有大量的工作需要我們去研究和探索。因此,完善計算機網絡安全防范措施就顯得十分重要。

［1］李濤.網絡安全概論[M].北京:電子工業出版社,2006

［2］何莉,許林英,姚鵬海.計算機網絡概論[M].北京:高等教育出版社,2006

[3]王健.計算機網絡的安全技術[J].寧夏機械,2009.

[4]王選宏,肖云.基于信息融合的網絡安全態勢感知模型[J].科學技術與工程，2010.