試論計算機網絡安全技術在網絡安全維護中的應用效果

摘 要：計算機和網絡的迅速發展促進了人類社會的進步，同時也給信息安全帶來了嚴峻威脅和挑戰，必須采取相應的技術措施進行防范。計算機網絡安全借助多種手段，保證網絡系統的正常運行，確保數據在網絡傳輸過程中的可用性、保密性和完整性，主要包括信息安全和硬件實體安全。

關鍵詞：計算機；網絡安全；網絡安全維護

1 計算機網絡安全問題

計算機網絡安全問題主要涉及兩個方面，一是攻擊計算機網絡中的硬件設備，導致系統癱瘓，甚至損壞；二是威脅信息數據，包括對其非法竊取、修改刪除等。

1.1 網絡結構和設備自身的安全隱患

網絡拓撲結構是涉及總線型和星型多種拓撲結構的混合型結構，其中節點不同，使用的網絡設施也不同，路由器、集線器和交換機等都屬于此。不同的拓撲結構都有相應的安全隱患，而各種設備因為自身技術有限，也存在著不同的安全威脅。

1.2 操作系統安全

操作系統通過計算機硬件直接為用戶提供編程接口，應用軟件要想可靠地運行并保證信息的保密性、完整性，必須以操作系統提供的軟件為基礎。同樣，網絡系統的安全性依賴于各主機系統的安全性。所以說，操作系統安全在很大程度上決定著計算機網絡的安全。

1.3 病毒和黑客

病毒經常通過計算機自身的資源進行復制傳播，破壞計算機的數據信息，致使其不能正常運轉。黑客主要是對網絡進行攻擊或者截取、盜竊甚至修改網絡數據信息。當前計算機網絡面臨的最大威脅就是病毒和黑客。

2 計算機網絡安全防護技術

2.1 加密技術

數據加密是指依據某種算法將原有的明文或數據轉換成加密的密文，并進行儲存和傳輸工作，接收者通過相應的密匙才能解密原文，實現數據的保密性。加密算法和密匙管理是加密技術的關鍵。

加密算法一般有兩種：對稱加密算法以及非對稱加密算法。前者是指加密解密使用的密匙一致，后者是指加密解密使用的密匙不一樣，非對稱加密法的密匙不易破譯，安全性較高。

2.2 防火墻技術

防火墻技術運用廣泛，主要用于網絡訪問控制、阻止外部人員非法進入，能夠有效地對內網資源進行保護。防火墻對數據包中的源地址和目標地址以及源端口和目標端口等信息進行檢測，再與提前設置的訪問控制規則進行匹配，若成功，就允許數據包通過；若不成功，就丟棄數據包。狀態檢測防火墻（即深度包過濾防火墻）是當下市場上最常見的。防火墻一般只能防止外部，對內部網絡起不了作用。

2.3 入侵檢測技術

網絡入侵技術通過對操作系統、應用程序和網絡數據包等信息的收集，尋找可能出現的入侵行為，而后自動報警并將入侵的線路切斷，以阻止入侵行為。它是一種相對來說較主動的安全防護技術，只負責監聽數據信息，不對其進行過濾，因此不影響網絡的正常運行。

入侵檢測通常有兩種方法：誤用檢測和異常檢測。前者是基于模型的知識檢測，即在已知入侵模式的基礎上，對入侵行為進行檢測。響應速度快且誤警率較低，不過需要耗費大量的時間和工作，依照入侵的行為提前建立相應的數據模型。后者是針對計算機資源出現的非正常情況或用戶、系統的非正常行為進行入侵行為檢測，但全面掃描整個系統用戶的難度極大，因此誤警率較高。

入侵檢測系統也可分兩種：一是基于主機系統的入侵檢測系統，二是基于網絡的入侵檢測系統。前者監測的對象主要有：主機系統、當地用戶的系統日志和歷史審計數據。其檢測的準確性很高，但容易漏檢。后者是依據某特定的規則，從網絡中搜集相關的數據包，然后將其發送到入侵分析模塊并進行安全判斷，最后通知管理員。它具備良好的抗攻擊能力，并且能夠實時檢測相應，但在發現網絡數據包的異常方面，其數據加密相往往成了一種限制。

（1）防病毒技術。網絡病毒技術一般有三種，一是病毒預防技術，利用固有的常駐系統內存，優先獲得系統控制權，判定病毒是否存在，做好病毒擴散的預防工作；二是病毒檢測技術，對文件自身特征和病毒特征對計算機進行偵測，判斷系統是否感染病毒；三是病毒消除技術，是并對感染計算機程序的一種逆過程，針對不同的病毒，安裝網絡版查殺病毒軟件，清除病毒。

（2）物理隔離網閘。物理隔離網閘是一種信息安全設備，利用具備多種控制功能的固態開關對兩個相連接的獨立主機系統進行讀寫分析。其連接的兩個主機系統之間，沒有物理連接、邏輯連接、信息的傳輸命令和協議，也不存在依據協議的信息包轉發，因此，它從物理上對可能潛在的攻擊威脅做了隔離阻斷，使“黑客”無法進入實施攻擊。

3 入侵檢測技術在計算機網絡安全維護中的應用

3.1 信息收集

數據是入侵檢測的首要因素，數據源可大致分為四類：一是系統和網絡日志文件；二是文件和目錄中不期望的改變；三是程序執行中不期望的行為；四是物理形式的入侵信息。在進行信息收集的過程中，需要部署至少一個IDS代理在每一個網段，由于網絡結構的不同，數據采集部分有不同的連接形式，如果網段連接用的是交換式的集線器，用戶可將IDS系統連接到交換機核心芯片上用于調試的端口。然后將入侵檢測系統置于數據流關鍵入口和出口，獲取關鍵數據。同時，在收集系統內幾個關鍵點的信息時，除了擴大檢測范圍、實施網絡包截取設置，還應針對源于多個對象信息的不一致性做重點分析。可將入侵的異常數據孤立起來，待形成一個數據群后對其集中處理，所以，孤立挖掘是收集信息的重要途徑。

3.2 信息分析

可以借助模式匹配或者利用異常發現分析模式對收集到的數據進行分析，將發現的不利于安全的行為報給管理器。設計者需要熟悉各種網絡協議和系統漏洞，并制定相應的有效的策略，再分別建立濫用監測模型和異常檢測模型，最終把形成報警信息的分析結果發給控管中心。

3.3 信息響應

IDS最根本的職責是對入侵行為要做出適當的反應。以分析數據為基礎，檢測本地各網段，查出在數據包中隱藏的惡意入侵，并作出及時的反應。其過程主要包括網絡引擎告警、發送數據給管理員、查看實時會話并通報其他控制臺；記錄現場；采取安全相應的行動等。

4 結束語

網絡安全技術極有可能帶來巨大的損失，所以如何做好計算機網絡安全維護工作就顯得十分必要。而網絡規模在不斷擴大，我國的信息網絡安全由通信保密發展到如今的數據保護階段，正處于網絡信息安全研究的高峰期，目前常見的網絡安全解決方法主要是入侵檢測技術、防火墻技術和網絡防病毒技術等，但是網絡安全不單單是技術的問題，還是社會的問題，所以還應加強安全防范意識，加大這方面的宣傳教育，把安全隱患降到最低。

參考文獻

[1]宋巖松，羅維.論如何做好計算機網絡安全維護[J].消費導刊，2010，34（8）：198-200.

[2]王秀和，楊明.計算機網絡安全技術淺析[J].中國教育技術裝備，2007，31（5）：120-121.

[3]程鳳.淺談計算機網絡安全維護[J].石油儀器，2009，45（1）：143-145.

[4]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術，2010，19（36）：210-212.

[5]王光瓊.試論計算機網絡安全[J].四川輕化工學院學報，2003，17（3）：176-177.

[6]邱本旺.淺談網絡安全及維護[J].科技咨詢導報，2007，23（7）：109-110.