計算機網絡安全問題及其防范措施

摘要：本文闡述了計算機網絡的安全現狀以及目前計算機網絡存在的主要安全問題，并就這些安全隱患進行了分析，最后探討了針對計算機網絡安全隱患的主動防范策略。

關鍵詞：網絡安全;安全防范;問題;防范措施

當前，隨著信息化技術以及網絡應用在全球的日益普及和發展，社會對計算機網絡信息系統的依賴越來越大，安全可靠的網絡空間已經成為支撐國民經濟、關鍵性基礎設施以及國防的支柱。但隨著全球網絡安全事件的逐年增多，網絡安全逐漸成為一個潛在的巨大問題，自1988年Morris蠕蟲事件發生以來，有關網絡安全事件的報道便不絕于耳，計算機應急反應小組協調中心（CERT/CC）處理的安全事故逐年呈爆炸性增長。據美國FBI統計，全球平均每20秒就發生一起計算機系統被入侵事件，美國每年因網絡安全造成的損失高達170億美元。網絡安全問題已成為世人矚目的社會問題，人們呼吁著網絡安全。

一、計算機網絡安全中存在的問題。

隨著網絡時代的來臨，人們在享受著網絡帶來的無盡的快樂的同時，也面臨著越來越嚴重和復雜的網絡安全威脅和難以規避的風險。原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機，

從而引起大范圍的癱瘓和損失，另外加上缺乏安全控制機制和對網絡安全政策及防護意識的認識不足，這些風險正日益加重。常見的威脅主要來自以下幾個方面：

1、自然威脅。自然威脅可能來自與各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的的事件有時也會直接或間接地威脅網絡的安全，影響信息的存儲和交換。

2、非授權訪問。指具有熟練編寫和調試計算機程序的技巧并使用這些技巧來獲得非法或未授法的網絡或文件訪問，侵入到他方內部網的行為。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限，或者是作為進一步進入其他系統的跳板，或者惡意破壞這個系統，使其毀壞而喪失服務能力。

3、后門和木馬程序。從最早計算機被入侵開始，黑客們就已經發展了“后門”這門技術，利用這門技術，他們可以再次進入系統。后門的功能主要有：使管理員無法阻止種植者再次進入系統;使種植者在系統中不易被發現;使種植者進入系統花費最少時間。木馬，又稱為特洛伊木馬，是一類特殊的后門程序，英文叫做“trojian horse”，其名稱取自希臘神話的“特洛伊木馬記”，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。木馬里一般有兩個程序，一個是服務器程序，一個是控制器程序。如果一臺電腦被安裝了木馬服務器程序，那么，黑客就可以使用木馬控制器程序進入這臺電腦，通過命令服務器程序達到控制你的電腦的目的。

4、計算機病毒。計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。如常見的蠕蟲病毒，就是以計算機為載體，利用操作系統和應用程序的漏洞主動進行攻擊，是一種通過網絡傳統的惡性病毒。它具有病毒的一些共性，如傳播性、隱蔽性、破壞性和潛伏性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合等。其他常見的破壞性比較強的病毒有宏病毒、意大利香腸等。

二、計算機網絡安全的防范措施。

1、加強網絡安全教育和管理。對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題，進行安全教育，提高工作人員的保密觀念和責任心。同時，要保護傳輸線路安全。對于傳輸線路，應有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻射引起的數據錯誤;電纜鋪設應當使用金屬導管，以減少各種輻射引起的電磁泄漏和對發送線路的干擾。

2、硬件防火墻。防火墻是介于兩個網絡之間的設備，用來控制兩個網絡之間的通信。例如：在 A 網絡與 B 網絡之間安裝一臺防火墻，B 網絡要訪問 A 網絡時，會根據防火墻的規則表使用相應的訪問策略，策略包括允許、阻止或報告。在默認的情況下，A 網絡訪問 B 網絡是無需遵守任何訪問策略的，也就是說，如果攻擊者在 A 網絡中，將會對 A 網絡的安全產生巨大的威脅。通過防火策略，可以有效地阻擋外來的網絡攻擊和一些病毒的入侵，這就是主動防御技術的最初應用。

3、IDS（入侵檢測系統）。IDS 是為監測內網的非法訪問而開發的設備，根據入侵檢測識別庫的規則，判斷網絡中是否存在非法的訪問。管理員通過分析這些事件，來對網絡的安全狀況進行評估，再采取對應的防護策略。相對硬件防火墻而言，IDS 是基于主動防御技術的更高一級應用。

4、IPS（入侵防護系統）。一般來說，IPS 系統都依靠對數據包的檢測。IPS 將檢查入網的數據包，確定這種數據包的真正用途，然后決定是否允許這種數據包進入你的網絡。與 IDS 和硬件防火墻相比，IPS 更智能可以通過分析來決定是否允許數據包通行，這也是主動防御技術的最典型應用。

5、殺毒軟件。在病毒越來越猖狂，破壞力越來越強大的不利形勢下，過于陳舊的模式讓傳統的殺毒軟件已經無法承擔保護計算機安全的重任。正因為此，殺毒軟件廠商才推出了集成了主動防御技術的殺毒軟件，不過他們的主動防御技術只是對網頁、注冊表、惡意腳本增加了監測功能而已，只能說是最初級的主動防御技術應用，距離真正的主動防御還有一定的距離。

6、訪問與控制。授權控制不同用戶對信息資源的訪問權限，即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。對網絡的訪問與控制進行技術處理是維護系統運行安全、保護系統資源的一項重要技術，也是對付黑客的關鍵手段。主要技術手段有加密、鍵盤入口控制、卡片入口控制、生物特征入口、邏輯安全控制。

7、重視備份和恢復。備份系統應該是全方位的、多層次的。首先，要使用硬件設備來防止硬件故障;如果由于軟件故障或人為誤操作造成了數據的邏輯損壞，則使用軟件方式和手工方式相結合的方法恢復系統。這種結合方式構成了對系統的多級防護，不僅能夠有效地防止物理損壞，還能夠徹底防止邏輯損壞。

總而言之，網絡安全與網絡的發展戚戚相關。網絡安全是一個系統的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設備的防護，還要意識到計算機網絡系統是一個人機系統，安全保護的對象是計算機，而安全保護的主體則是人，應重視對計算機網絡安全的硬件產品開發及軟件研制，建立一個好的計算機網絡安全系統，也應注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現的損失降低到最低點，才能生成一個高效、通用、安全的網絡系統。

參考文獻：

[1]雷震甲.網絡工程師教程（第三版）[M].清華大學出版社，2009.

[2]杜煜.計算機網絡基礎（第二版）[M].人民郵電出版社，2006.

[3]張志祥.大學計算機應用基礎[M].電子科技大學出版社，2010.

[4]顧巧論.計算機網絡安全[M].科技出版社，2003.

[5]殷偉.計算機安全與病毒防治[M].合肥：安徽科學技術出版社，2004.

[6]袁德明，喬月圓.計算機網絡安全[M].北京：電子工業出版社，2007.

[7]王志海，童新海，沈寒輝.OpenSSL 與網絡信息安全———基礎、結構和指令[M].北京：清華大學出版社，2007.

[8]楊青.無線網絡安全[M].北京：科學出版社，2009.