淺論計算機網絡安全

惠小倩 中國人民解放軍91918部隊

淺論計算機網絡安全

惠小倩 中國人民解放軍91918部隊

如今社會效率極高之重要原因是使用了計算機網絡，而享受高效率的同時也越發對網絡存在著依賴性。因此，在技術進步，網民數量急劇增長的今天，研究計算機網絡安全問題十分必要，意義重大。

計算機 網絡安全 策略 技術

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和羅輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。

籠統來講，計算機安全隱患分為人為和非人為兩大類。例如操作系統自身具有的安全隱患即屬于非人為因素。雖然非人為因素的安全隱患我們避免不了，可人為因素有時候可能會給我們帶來更大的威脅。“黑客”就是闡述由于人為因素造成網絡安全問題的最典型的名詞。

下面就幾種常見的網絡安全問題及應對策略和相關技術做以簡單討論：

1 網絡安全問題方面

1.1 病毒安全問題

計算機病毒是人為（通常是網絡黑客）編制的，能自我復制的一組計算機指令或程序代碼，能對計算機功能或者數據造成毀壞。在網絡環境中，病毒具有更多的傳播途徑和更大的破壞能力，給計算機網絡安全造成巨大威脅，導致感染病毒的計算機運行越來越慢，甚至癱瘓，嚴重影響用戶正常使用。

1.2 TCP/IP協議的安全問題

在廣泛采用TCP/IP協議的網絡環境中異種網絡之間的相互通信造就了其開放性。這也意味著TCP/IP協議本身存在著安全風險。由于TCP作為大量重要應用程序的傳輸層協議，因此它的安全性問題會給網絡帶來嚴重的后果。

1.3 路由器等網絡設備的安全問題

網絡內外部之間的通信必須依賴路由器這個關鍵設備，因為所有的網絡攻擊也都經過此設備。有時攻擊是利用路由器本身的設計缺陷進行的，而有時就通過對路由器設置的篡改直接展開了。

1.4 網絡結構的安全問題

一般用戶在進行網絡通信時采用的是網間網技術支持，而屬于不同網絡之間的主機進行通信時都有網絡風暴的問題，相互傳送的數據都會經過多臺機器的重重轉發。在這種“開放性”的環境中，“黑客”可對通信網絡中任意節點進行偵測，截取相應未加密的數據包。例如常見的有對網絡電子郵件的破解等。

2 網絡安全應對策略問題

①建立入網訪問模塊和網絡的權限控制模塊，為網絡提供第一層訪問控制并針對網絡非法操作提出安全保護措施。

②實行檔案信息加密制度并建立網絡智能型日志系統，做好數據的保密工作，使日志系統具備綜合性數據記錄功能和自動份類檢索能力。

③建立備份和恢復機制，避免因一些硬件設備的損壞或操作系統出現異常等原因而引起麻煩或損失。

④建立網絡安全管理制度，加強網絡的安全管理，指定有關規章制度。

1.4 統計學方法 所有數據采用SPSS 21.0軟件包進行統計分析，計數資料采用χ2檢驗，計量資料采用表示，組間整體比較采用重復測量方差分析，各時間點組間比較采用獨立t檢驗，組內前后比較采用配對t檢驗。P<0.05表示差異有統計學意義。

⑤對網絡進行分段并劃分VLAN，使非法用戶和敏感的網絡資源相互隔離，并克服以太網廣播問題。

3 網絡安全相關技術

網絡安全技術是一個十分復雜的系統工程。網絡安全的保障來源于安全策略和技術的多樣化及其快速的更新。從技術上來說，網絡安全由安全的操作系統、安全的應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件無法確保信息網絡的安全性。目前成熟的網絡安全技術主要有：防火墻技術、防病毒技術、數據加密技術等。

3.1 防火墻技術

防火墻是一個或一組在兩個網絡之間執行訪問控制策略的系統，包括硬件和軟件，目的是保護網絡不被可疑人侵擾。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上，其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作是，防火墻能進行適當的報警，并提供網絡是否受到檢測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分，可以實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

在選擇防火墻時，雖然無法考量其設計的合理性，但我們可以選擇一個通過多加權威認證機構測試的產品來保證其安全性。目前的防火墻產品有包過濾路由器、應用層網關(代理服務器)、屏蔽主機防火墻等。最常用的要數代理服務器了。

3.2 防病毒技術

目前數據安全的頭號大敵就是計算機病毒。它具有傳播性、隱蔽性、破壞性和潛伏性等共性。我們常用的殺毒軟件有驅逐艦網絡版殺毒軟件、趨勢網絡版殺毒軟件、卡巴斯基網絡版殺毒軟件等。網絡防病毒軟件主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其它資源感染，網絡防病毒軟件會立刻檢測到并加以刪除。

3.3 數據加密技術

（1）對稱加密技術

對稱加密是常規的以口令為基礎的技術，加密密鑰與解密密鑰是相同的或者可以由其中一個推知另一個，這種加密方法可以簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。

（2）非對稱加密/公開密鑰加密

在非加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開，而另一把作為私有密鑰加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可以廣泛公布，但它只對應生成密鑰的交換方。

加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數字簽名等信息交換領域。

除此之外，我們也要自我建立網上行為管理系統，控制P2P，BT等下載，防范惡意代碼，間諜軟件；控制管理及時通訊工具的使用及其附件管理；防范網站或品牌被釣魚或惡意代碼攻擊并發出警告；提供網頁服務器的安全漏洞和風險分析，提供數據庫及時的更新等。

計算機網絡安全不是僅有很好的網絡安全設計方案就能解決一切問題，還必須由很好的網絡安全的組織機構和管理制度來保證。我們只有依靠殺毒軟件、防火墻和漏洞檢測等設備保護的同時注重樹立人的安全意識，并在安全管理人員的幫助下才能真正享受到網絡帶來的便利。

[1]Mandy Andress.計算機安全原理[M].機械工業出版社,2002

[2]陳愛民,等.計算機安全與保密[M].北京：電子工業出版社,1992

[3]時炳艷,楊建軍.計算機網絡安全技術——防火墻.鄭州工業高等專科學校學報2002.3

[4]魏利華.網絡安全：防火墻技術研究淮陰工業學院學報2003.10

[5]郝玉潔,常征.網絡安全與防火墻技術電子科技大學學報社科版2002.1

[6]葉丹.網絡安全實用技術清華大學出版社.2002.10