計算機網絡安全探討

廣東 朱土梅

隨著計算機網絡的普遍應用，社會各個領域對網絡的高依賴性使得人們對計算機網絡的運行可靠性要求變得越來越高。但由于計算機網絡具有連接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征，互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰，計算機病毒無處不在，黑客的猖獗防不勝防，重要情報、資料被竊取，甚至造成網絡系統的癱瘓等等。因此，網絡安全問題引起全世界的關注，也成為互聯網健康發展的制約因素。

一、網絡安全概念

計算機網絡安全是指利用網絡管理控制和技術措施，使網絡系統正常運行，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。所以，網絡安全是隨著網絡的建設和應用而構建起來的一種需求。

二、威脅網絡安全因素

人為因素是威脅計算機網絡安全的最大因素。它是指一些不法之徒利用計算機網絡存在的漏洞或潛入機房，盜用計算機系統資源，非法獲取重要數據、篡改系統數據、破壞硬件設備、編制計算機病毒。其主要表現為以下幾方面：

1.網絡操作系統的不安全性

網絡操作系統是指能使網絡上的各臺計算機方便而有效地共享網絡資源，并為用戶提供所需的各種服務軟件。其自身的不安全性，系統開發設計的不周，都給網絡安全留下隱患。

（1）操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設管理，每個管理都涉及對應的模塊或程序，如果這部分程序存在問題，計算機系統就會崩潰。所以，網絡黑客往往是針對網絡操作系統自身的漏洞進行攻擊，使計算機系統，特別是服務器系統立即癱瘓。

（2）網絡操作系統支持計算機在網絡上傳送文件、加載或安裝程序，快捷方便的功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP。安裝程序經常會攜帶可執行文件，可執行文件都是人為編寫的程序，如果某個地方出現漏洞或被加入惡意代碼，那么就會造成系統崩潰。

（3）操作系統某些監控進程，總是在等待某些事件的出現。如監控病毒的監控軟件，其進程可能是好的，當病毒出現時就會被防病毒程序捕捉到。但某些進程是病毒，當碰到特定的情況，它就會把用戶的硬盤格式化，這些進程就是很危險的監控進程。

（4）操作系統的后門和漏洞。后門程序是指那些繞過安全控制而獲得對程序或系統訪問權的程序方法。在軟件開發階段，程序員利用軟件的后門程序得以便利修改程序設計中的缺陷。一旦后門被黑客利用，或在發布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。

2.TCP/IP協議缺陷

互聯網采用TCP/IP協議，該協議具有網絡技術獨立、互聯功能強、支持多種應用協議等特點，但是由于該協議在制定時沒有考慮到安全問題，所以TCP/IP協議本身存在的先天缺陷導致了互聯網的安全性差。TCP/IP協議中存在的安全問題主要有：（1）鑒別攻擊；（2）源地址欺騙；（3）源路由選擇欺騙；（4）路由選擇信息協議攻擊；（5）TCP/IP協議數據流采用明文傳輸，用戶的帳號、密碼都是以明文方式傳輸，因此數據信息很容易被在線竊聽、篡改和偽造。

3.垃圾郵件泛濫

垃圾郵件一般是指未經用戶許可就強行發送到用戶郵箱中的電子郵件。垃圾郵件的泛濫已經使Internet網絡不堪重負。在網絡中大量垃圾郵件的傳播，侵犯了收件人隱私權和個人信箱的空間，占用了網絡帶寬，造成服務器擁塞，嚴重影響網絡中信息的傳輸能力，降低了網絡的運行效率。

4.防火墻的局限性

防火墻指的是一個由軟件和硬件設備組合而成，在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它只能提供網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯，它甚至不能保護電腦免受所有那些它能檢測到的攻擊。當今，黑客的攻擊手段不斷更新，每天幾乎都有不同系統安全問題出現。而安全工具的更新速度慢，當它剛發現并努力更正某方面安全問題時，其他新安全問題又出現了。總之，黑客總是可以使用先進的手段進行攻擊。

三、加強網絡安全防范措施

1.研發高安全的操作系統

研發并完善具有高安全的操作系統，不給病毒得以滋生的溫床才能更安全。

（1）建立入網訪問控制功能模塊。入網訪問控制為網絡提供了第一層保護。它規定可登錄到網絡服務器并獲取網絡資源的用戶條件，并控制用戶入網的時間以及他們在哪臺工作站入網。用戶入網訪問控制可分為3個過程：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。3個過程中任意一個不能通過，系統就將其視為非法用戶。不能訪問該網絡。

（2）系統軟件應具備以下安全措施：操作系統應有較完善的存取控制功能，以防止用戶越權存取信息；操作系統應有良好的存儲保護功能。以防止用戶作業在指定范圍以外的存儲區域進行讀寫：還應有較完善的管理能力，以記錄系統的運行情況，監測對數據文件的存取。

2.設置代理服務器，隱藏自己的IP地址

事實上，即便你的機器上被安裝了木馬程序，若沒有你的IP地址，攻擊者也是沒有辦法的，而保護IP地址的最好方法就是設置代理服務器。代理服務器能起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網絡轉發這項請求。

3.保護電子郵件的安全

第一，做好郵箱的選擇?，F在互聯網上提供的郵箱主要都是免費的，它不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以，單位用戶應該選用收費郵箱，做好郵件的安全防范。

①保護好郵箱的密碼。不要使用IE的自動完成功能，不要使用保存密碼功能以圖省事，郵箱賬號與口令應該要取得有技巧、有難度，密碼最好能有8位數，且數字字母相間，中間還用“*”號之類的允許怪符號。

②對于比較重要的郵件地址不要隨便在網上暴露，將郵件信息加密處理。如使用A-LOCK，在發送郵件之前對內容進行加密。對方收到這種加密信件之后也必須用A-LOCK來進行解密才能閱讀信件。

第二，防止郵件炸彈。下面介紹幾種對付電子郵件炸彈的方法：

①過濾電子郵件。凡可疑的郵件盡量不要隨手打開。如果懷疑郵箱有炸彈，可以用郵件程序的遠程郵箱管理功能來過濾信件。在進行郵箱的遠程管理時，仔細檢查郵件頭信息，如果發現有來歷有可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務器上刪除。

②使用轉信功能。用戶一般都有幾個郵箱地址。最好申請一個容量較大的郵箱作為收信信箱。對于其他各種信箱，最好支持轉信功能的，并設置轉信到大信箱。所有其他郵件地址的信件都會自動轉寄到大信箱內，可以很好地起到保護信箱不被郵件炸彈攻擊的作用。

③使用殺毒軟件。一是有附件的郵件，不要立即打開，而是先保存在本地硬盤上，然后用最新版本的殺毒軟件先行查殺，確保無安全威脅后才可以打開。二是注意目前網上有一些別有用心的人以網站的名義，讓你接受他們通過郵件附件推給你的軟件,并以種種借口要求你立即執行。對此，凡是發過來的任何程序、甚至文檔都應用最新版本殺毒軟件進行查殺。

4.保障下載軟件的安全

對于網絡軟件，網上大多數的信息都是干凈的，但有的黑客和“網絡恐怖分子”利用各種方法在網上擴散病毒、木馬等，而且手段十分狡猾、隱蔽，因此我們對下載軟件絕不可大意，下載時應注意：

①應選擇在訪問流量最大的專業站點中下載應用軟件。大型的專業站點，資金雄厚，技術成熟，水平較高，信譽較佳，設有專人維護，安全性能好，提供的軟件問題較少。

②從網上下載的軟件要進行殺毒處理。對下載的任何軟件，不要立即使用，而應先用殺毒軟件檢測并進行殺毒處理。殺毒軟件的病毒特征庫應始終保持最新版本，最好每周升級一次，或設置為自動升級。

③防止染上“木馬”。一旦染上“木馬”病毒，它就會給你的操作系統留下用戶不知的后門，為黑客攻擊計算打開了方便之門。最簡單有效的預防措施是，避免啟動服務器端。刪除“木馬”病毒的具體操作是，先打開注冊表，獲取“木馬”病毒的裝入信息，找出S端程序放于何處，然后在注冊表中的將“木馬”配置鍵刪掉，重新啟動計算機，再將該程序徹底刪除掉。

5.建立反黑客的“快速反應部隊”

任何網站都不是絕對安全的，所以當前工作的重點是要建立一支反黑客的“快速反應部隊”，同時加緊培養高水平的網絡系統管理員，使他們盡快掌握那些關鍵技術和管理知識，盡量使用網絡偵聽工具，該工具可以監視網絡的狀態、數據流動情況及網絡上傳輸的信息。網絡偵聽可以在網絡上的任何一個位置實施，如局域網中的一臺主機、網關上或遠程網的調制解調器之間等。黑客們用得最多的是截獲用戶的口令。在網絡上，偵聽效果最好的地方是在網關、路由器、防火墻一類的設備處，通常由網絡管理員來操作。

總之，計算機網絡安全是一項復雜的系統工程，它的維護需要多主體的共同參與，而且要從事前預防、事中監控、事后彌補三方面入手，在具體工作中還需要根據網絡的實際情況做出細致而全面的有效安全防范措施，建立備份和恢復機制，制定相應的安全標準，才能更有效地確保計算機網絡的安全性，使網絡系統更安全更高效地為大家提供便捷的網絡服務。

[1]馬時來.計算機網絡實用技術教程.清華大學出版社,2004,2.

[2]龍冬陽.網絡安全技術及應用.廣州:華南理工大學出版社,2006.

[3]謝希仁.計算機網絡（第 5版）[M].北京：電子工業出版社,2008.

[4]王群.計算機網絡安全技術.清華大學出版社,2008,7.