計算機網絡安全技術探究

天津工業大學計算機科學與軟件學院 江劍林

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行。計算機網絡安全技術的問題涉及到物理環境、硬件、軟件、數據、傳輸、體系結構等各個方面。

1.網絡安全問題的原因

影響計算機網絡安全的因素有很多，概括起來主要有：

1.1 設計思想導致自身缺陷

計算機網絡最初的設計思想是當軍事指揮系統中某些部分被摧毀后，其剩余部分仍能正常工作，保證信息的傳輸。在這樣的思想指導下，網絡的可靠性、可用性是優于安全性的。Internet早期是作為研究人員使用的網絡，是完全非盈利的信息共享載體，所以幾乎所有的Internet協議都沒有充分考慮安全機制。TCP/IP協議是一個建立在可信環境下的網絡互連模型，安全設計欠缺，存在著先天不足。這就直接導致了掃描、監聽、欺騙、拒絕服務等多種網絡攻擊。系統通信協議和應用服務協議存在缺陷，可被惡意利用用來攻擊網絡。

1.2 硬件安全缺陷和軟件漏洞

包括網絡硬件的安全缺陷，如可靠性差、計算機的許多核心技術關鍵安全性問題，其參數是否設置錯誤還需經過檢驗，如防火墻產品自身是否安全，是否設置錯誤，需要經過檢驗。每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的，目前流行的許多操作系統均存在網絡安全漏洞，如Unix服務器、NT服務器及Windows桌面PC。若防火墻軟件的配置不正確，它根本不起作用，而且還可能成為安全缺口。所以一旦連接入網，就會成為眾矢之的。

1.3 結構隱患

包括網絡拓撲結構和網絡設備。實際的網絡拓撲結構是集中總線型、星型等的混合結構，存在著相應的安全隱患。各大廠商競相推出的各類網絡產品，或多或少存在有隱患，而網絡關聯性導致只需攻擊鏈條中最薄弱的一個環節就可以使整個安全體系崩潰。網絡設備、主機、操作系統的多樣性，再加上拓撲結構的復雜性也使得網絡安全管理工作變得異常艱難。攻擊者可以利用這些復雜因素來隱藏自己，發起致命有效的攻擊。網絡規模的不斷膨脹，也給網絡安全帶來了越來越大的壓力，如果配置不當，也會產生安全漏洞。

1.4 人為因素和電磁輻射

用戶安全意識不強，特別是那些對計算機和網絡技術不太了解的人，他們對網絡攻擊和防范知之甚少，導致安全管理意識缺乏，疏于防范，往往在遭到入侵后仍然毫無察覺，直到造成重大損失后才追悔莫及。用戶口令密碼選擇不慎，或將自己的賬號隨意轉接他人或與別人共享等都會給網絡安全帶來威脅。電磁輻射物能夠破壞網絡中傳輸的數據，甚至可以將這些數據接收下來，并且能夠重新恢復，造成泄密。

1.5 病毒

病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等幾大特點。現在的網絡技術未能完全對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。而且計算機病毒可以破壞計算機網絡安全系統并通過網絡破壞更多的計算機。

2.常用計算機網絡安全技術

2.1 防火墻技術

防火墻能夠確保護諸如電子郵件、文件傳輸、遠程登錄以及特定系統間信息交換的安全。防火墻的工作原理是按照事先規定的配置和規則，監控所有通過防火墻的數據流，只許授權的數據通過，同時記錄有關的聯接來源、服務器提供的通信量和試圖入侵的任何企圖，以方便網絡管理員的檢測和跟蹤。防火墻可以強化安全策略，保護易受攻擊的服務，防火墻執行網絡的安全策略，能過濾那些不安全的服務，拒絕可疑的訪問大大降低非法攻擊的風險，提高網絡安全系數；還可以監視Internet的使用，防火墻也是審查和記錄內部對Internet使用的一個最佳地方，可以在此對內部訪問Internet的進行記錄。防火墻可以很好地防止外部用戶獲得敏感數據，但是它沒法防止內部用戶偷竊數據、拷貝數據、破壞硬件和軟件等。

2.2 網絡入侵檢測技術

入侵檢測是通過對系統數據的分析，發現非授權的網絡訪問和攻擊行為，然后采取報警、切斷入侵線路等對抗措施。通過檢測和記錄網絡中的安全違規行為，懲罰網絡犯罪，防止網絡入侵事件的發生，減少入侵攻擊所造成的損失；檢測黑客在攻擊前的探測行為，檢測到入侵攻擊時，預先給管理員發出警報，報告計算機系統或網絡中存在的安全威脅，并利用報警與防護系統驅逐入侵攻擊；提供有關攻擊的信息，幫助管理員診斷網絡中存在的安全弱點，以便于對其進行修補。入侵檢測系統僅僅集中分析己知的攻擊方法和系統漏洞，所以系統無法檢測未知的攻擊，需要時間去學習新的攻擊方法，因此，對新攻擊的檢測延時太大。此外，入侵檢測系統的誤報漏報率較高。這給網絡管理員帶來許多不便，相對于防火墻良好的實時性來說，IDS的效率要低得多。

2.3 虛擬專用網（VPN）

虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP（Internet服務提供商）和其它NSP（網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。事實上，VPN的效果相當于在Internet上形成一條專用線路（隧道），從作用的效果看，VPN與IP電話類似，但VPN對于數據加密的要求更高。VPN由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送。數據加密和用戶認證則包含安全性的兩個方面：數據加密保證敏感數據不會被盜取，用戶認證則保證未獲認證的用戶無法訪問內部網絡。

2.4 數據加密技術

數據加密是對以符號為基礎的數據進行移位和置換的變換算法，這種變換是受稱為密鑰的符號串控制的，加密和解密算法通常是在密鑰控制下進行的。加密技術是網絡安全最有效的技術之一，一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。

2.5 訪問控制

訪問控制是信息安全保障機制的核心內容，它是實現數據保密性和完整性機制的主要手段。訪問控制是為了限制訪問主體對訪問客體(需要保護的資源)的訪問權限，從而使計算機系統在合法范圍內使用：訪問控制機制決定用戶及代表一定用戶利益的程序能做什么及做到什么程度。利用訪問控制技術可以使系統管理員跟蹤用戶在網絡中的活動，及時發現并拒絕“黑客”的入侵。所以說訪問控制技術是維護網絡系統安全、保護網絡資源的重要手段之一。

3.結束語

當前網絡安全己成為一個備受關注的問題，而網絡安全方面的研究事關國民經濟的正常運轉和國家安全，處于信息科學和技術的研究前沿，具有理論和應用價值，如何保護好自己的信息不受侵犯及如何有效地預防他人非法入侵等一系列信息安全課題已經引起國內外有關人士的熱切關注。

[1]莫雁林.網絡安全與防火墻技術[J].信息與電腦(理論版),2010(10).

[2]周莉,張紅禎.計算機網絡安全技術淺析[J].今日科苑,2008(17).