計算機網絡安全面臨的問題及防護策略初探

朱 攀

（貴州電子科技職業學院（貴州省電子工業學校），貴陽 550025）

為了提高計算機網絡的安全度，減少安全事故的發生，給人們一個安全、干凈的上網環境，對計算機網絡安全采取一定的措施是很有必要的。

1 計算機網絡安全問題分析

1.1 物理安全方面

物理安全是計算機網絡相關的硬件設備安全，易受外界因素，如自然老化、自然災害、電磁干擾、運行環境等，首先會對硬件本身造成破壞，導致網絡系統失去可以依附的硬件條件，導致信息的正常交換及存儲發生中斷；其次會給網絡系統帶來漏洞，給黑客提供可乘之機，從而影響到網絡信息的保密性和安全性。對于自然災害這類無法抗拒的因素，可以構筑相應的應急處理措施；針對運行環境、設備老化等因素，可以通過加強檢查力度，保持環境要求等方式來進行相應的規避。

1.2 系統軟件方面

（1）操作系統。作系統的安全是網絡安全的基礎，因自身操作需要和特點的關系，操作系統支持建立進程、支持遠程進行進程的創建和激活、支持被創建的進程繼承創建的權限，這些功能本身就是一種缺陷，給攻擊者提供了遠程安裝相應的竊取軟件的條件。但是這種功能又是不能關閉的，因此只能依靠增加防護墻、加強監督力度、定期進行漏洞修復等方式來進行一定的防范。

（2）數據庫系統。數據庫系統最大的功能特點就是數據共享，數據庫雖然對海量的數據進行了存儲和管理，卻極少關注數據的邏輯安全，造成了攻擊者能夠通過與數據庫相連接的操作系統中的漏洞來對數據庫中的數據進行竊取和破壞。

（3）網絡協議。網絡協議是網絡系統能夠進行正常運行的基本環節，由于因特網在設計之初是建立在可行的網絡環境的假設之下的，因此對于計算機網絡的整體安全性考慮較為欠缺。雖然實現了資源共享和數據呼喚，卻很少有存在認證和加密機制的網絡協議，再加上網絡協議天生的開放性和共享性，就給網絡安全造成了先天性缺陷。

1.3 應用軟件方面

功能越復雜的應用軟件，其設計和開發就越復雜，那么軟件的運行狀態就越難被控制，在軟件運行的過程中可能發生的情況也就愈發難以預料，再加上在設計過程中程序員為了方便測試和修改軟件而留下的后門在正式發行的時候沒有刪除，軟件在運行階段就會存在很多的漏洞，給了攻擊者可乘之機，給網絡安全帶來了巨大的威脅。

1.4 病毒木馬方面

計算機木馬病毒具有強大的破壞性，會對計算機以及相關設備的正常運作造成巨大的影響，其技術也在不斷地發生著變化，免殺技術的出現使得原型病毒代碼能夠不斷地產生出新的病毒，這給殺毒軟件帶來了非常大的挑戰，而有些木馬病毒還具有一定的潛伏性，短時間內不會發作，或者殺毒軟件根本無法將其完全清除干凈。這就在計算機中埋下了安全隱患，攻擊者可以通過這些潛伏或者殘留下來的病毒對中毒的計算機進行遠程的操控和入侵，嚴重威脅到了計算機網絡系統的安全運行。

1.5 網絡攻擊方面

網絡攻擊主要有兩種，主動攻擊是通過故意假造的信息數據對終端進行入侵和攻擊，并且有選擇性的對計算機中的數據進行篡改或者竊取，計算機也會在這種攻擊下癱瘓；被動攻擊是在計算機不知情的情況下通過網絡進行信息的盜取或者數據的篡改、破譯，這種方式不影響計算機的正常工作，更難被發現。

1.6 安全管理方面

安全管理是保證網絡安全的重要環節，安全意識淡薄、安全制度不完善、沒有緊急預案、對內部人員疏于防范等等都會造成網絡安全風險。這不僅僅需要強大的軟件以及先進的硬件設施的配合，最主要的還是相關工作人員的專業水平和工作素養，完全依賴設備和技術是無法做好網絡安全管理工作的。

2 計算機網絡安全防護策略

（1）網絡隔離技術。網絡隔離技術主要是指把兩個或兩個以上可路由的網絡通過不可路由的協議進行數據交換而達到隔離目的，這種技術可以分為邏輯網絡隔離技術和物理網絡隔離技術。，其中物理網絡隔離技術是最核心、最基礎、最安全的網絡隔離技術，它通過物理方式將網絡進行隔離后，通過“數據擺渡”的方式來完成數據賈環，有效的隔離了外部網絡可能存在的各種安全威脅，并且兼容性很好，支持多種網絡應用，并定義相關約束和規則來控制網絡之間的數據交換狀態，實現各種網絡之間數據的安全交互，安全強度最高。

（2）防火墻技術。防火墻主要是在內網與外網之間建立訪問控制，來保證內網的網絡安全的，這是目前最為普及并且有效的一種技術。防火墻一般設置在安全域之間，通過相關的策略對于外網中的一些訪問行為進行有效的限制，從而阻擋來自外網的網絡威脅和攻擊，保護內網的資料安全。現在比較常用的是下一代防火墻，這種防火墻技術具有更高的智能性，在性能、安全、操作、管理等方面都有著較為優異的性能，能夠有效對外部威脅進行自動化辨認和處理，是目前必不可少的網絡安全技術。

（3）入侵防御系統技術。入侵防御系統通常采用串行部署之間嵌入到網絡流量中，在網絡的邊界提供相應的防護服務的。這種技術是通過端口接受外網的數據流量，再根據特定的規則進行數據流講的檢測，符合規定的才能進入內網中。入侵防御系統技術具有較強的實時性，能夠主動進行流量的深度感知，有利于網絡安全以及網絡資源的合理配置。

（4）防病毒技術。防病毒系統主要有預防、檢測、清除三種。這三種技術是自成一體，缺一不可的。通過三種技術的配合可以對網絡系統運行過程進行全程的監控和檢測，對于對計算機安全存在威脅的病毒進行相應的處理，一般是通過一些具有殺毒功能的軟硬件配合來完成工作的。

3 結束語

此外，還有網絡冗余技術、容災備份技術、網絡安全管理等都是不可或缺的網絡安全技術，只有做到軟件保護、硬件保護、通信保護和人為保護四位一體，才能真正解決網絡安全中存在的問題。