計算機網絡安全問題初探

摘 要：網絡的迅速發展，給我們的工作和生活帶來了巨大的改變。在網絡日益復雜化，多樣化的今天，安全受到人們越來越多的關注。如何保護各類網絡和信息的安全，成為人們研究的焦點，如何對計算機網絡上的各種非法行為進行主動控制和有效防御，是計算機網絡安全亟待解決的問題。

關鍵詞：計算機網絡；網絡安全；信息安全

中圖分類號：TP393 文獻標識碼：A

Study on Computer Network Security Issues

YANG Shuqing

（Liaoning School of Administration，Shenyang 110161，China）

Abstract： The rapid development of computer network has brought dramatic changes to our work and life. Nowadays，with the network being more complex and diverse，people begin to pay more attention to network security.How to protect the security of various networks and information has become the researching focus，and how to control actively and defend effectively against the illegal actions on the computer network has become an urgent problem demanding solutions.

Keywords：computer network；network security；information security

1 引言（Introduction）

隨著計算機網絡的廣泛應用，人類面臨著信息安全的巨大挑戰。如何保證個人、企業及國家的機密信息不被黑客和間諜竊取，如何保證計算機網絡不間斷地工作，是國家和企業信息化建設必須考慮的重要問題。然而，計算機網絡的安全存在錯綜復雜的問題，涉及面非常廣，有技術因素，也有管理因素；有自然因素，也有人為因素；有外部的安全威脅，還有內部的安全隱患。如何對計算機網絡上的各種非法行為進行主動控制和有效防御，是計算機網絡安全亟待解決的問題。

2 影響計算機網絡安全的主要因素（Main factors

influencing the network safety of computer）

（1）病毒的侵襲

幾乎有計算機的地方，就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，并能夠通過網絡、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度快、影響面大，所以它的危害最能引起人們的關注。

任何類型的網絡免受病毒攻擊最保險有效的方法是對網絡中的每一臺計算機安裝防病毒軟件，并定期對軟件中的病毒定義進行更新。值得用戶信賴的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒有“憂患意識”，很容易陷入“盲從殺毒軟件”誤區。

（2）數據“竊聽”和攔截

這種方式是直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。一些企業在與第三方網絡進行傳輸時，需要采取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法，其可以將數據變成只有授權接收者才能還原并閱讀的編碼。

（3）黑客的非法闖入

“黑客”一詞由英語Hacker英譯而來，是指專門研究、發現和網絡漏洞的計算機愛好者[1]。黑客的非法闖入是指黑客利用企業網絡的安全漏洞，不經允許非法訪問企業內部網絡或數據資源，從事刪除、復制甚至毀壞數據的活動。

（4）內部網絡安全

來自內部用戶的安全威脅遠大于外部網用戶的安全威脅，使用者缺乏安全意識，許多應用服務系統在訪問控制及安全通信方面考慮較少，并且，如果系統設置錯誤，很容易造成損失，管理制度不健全，網絡管理、維護在一個安全設計充分的網絡中，人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限，利用這些權限破壞網絡安全的隱患也是存在的。如操作口令的泄漏，磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網絡安全機制形同虛設。特別是一些安裝了防火墻的網絡系統，對內部網用戶來說一點作用也不起。

（5）拒絕服務

就是要阻礙合法網絡用戶使用該服務或破壞正常的商務活動。例如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務；通過向企業的網絡發送大量信息而堵塞合法的網絡通信，最后不僅摧毀網絡架構本身，也破壞整個企業運作。這類攻擊一般能使單個計算機或整個網絡癱瘓。

（6）網絡資源的共享性

資源共享是計算機網絡應用的主要目的，但這為系統安全的攻擊者利用共享資源進行破壞提供了機會。隨著互聯網需求的日益增長，外部服務請求不可能做到完全隔離，攻擊者利用服務請求機會很容易獲取網絡數據包。

（7）網絡操作操作系統的漏洞

網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一，它不僅負責網絡硬件設備的接口封裝，同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性，決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。endprint

3 安全策略（Safety strategy）

為了抵御網上攻擊，保護網絡安全，現在幾乎所有的網絡信息系統都裝備了各式各樣的網絡安全設施，諸如：加密設備、防火墻、入侵檢測系統、漏洞掃描、防治病毒軟件、VPN、安全認證系統、安全審計系統等等。有人形象地把它們稱為網絡安全的十八般兵器，但是，搞好網絡安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網絡安全的生命，是靈魂。沒有正確安全策略的安全系統就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

（1）入侵檢測系統的安全策略

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測[2]。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；后者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。異常檢測的漏報率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都采取兩種模式相結合的策略。

（2）漏洞掃描策略

采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統盡量在最優的狀況下運行。

（3）采用各種安全技術，構筑防御系統，主要有：

a.防火墻技術：防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪間某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻[3]。在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。

b.NAT技術：隱藏內部網絡信息。

c.VPN：虛擬專用網（VPN）是企業網在因特網等公共網絡上的延伸，通過一個私有的通道在公共網絡上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司業務伙伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用，而事實上并非如此。

d.網絡加密技術（Ipsec）：采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。

e.認證：提供基于身份的認證，并在各種認證機制中可選擇使用。

f.多層次多級別的企業級的防病毒系統：采用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。

g.網絡的實時監測：采用入侵檢測系統，對主機和網絡進行監測和預警，進一步提高網絡防御外來攻擊的能力。

（4）實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。

（5）建立分層管理和各級安全管理中心。

4 結論（Conclusion）

綜上所述，網絡安全與網絡的發展密切相關。網絡安全是一個系統的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還要意識到計算機網絡系統是一個人機系統，安全保護的對象是計算機，而安全保護的主體則是人，應重視對計算機網絡安全的硬件產品開發及軟件研制，建立一個好的計算機網絡安全系統，也應注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現的損失降低到最低點，才能生成一個高效、通用、安全的網絡系統。

參考文獻（References）

[1] 劉青超. 電子商務的安全策略[J].科技情報開發與經濟，2005，

15（21）：251-252.

[2] 程柏良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統[J].

計算機工程與設計，2007，28（14）：3341-3342.

[3] 高永安. 計算機網絡安全的防范策略[J].科技信息，2006，（7）：

30-31.

作者簡介：

楊淑清（1964-），女，學士，教授.研究領域：計算機網絡.endprint