計算機網絡安全防范技術

王千里

（華東交通大學 江西南昌 330038）

伴隨著計算機技術的飛速發展，人們的工作及生活方式不斷地被數字化信息技術進行改造。網絡技術的快捷與便利對國家和企業都帶來了極大的幫助，也為人們日常的工作和生活帶來諸多便利，但與此同時，也使用戶的個人信息甚至是國家機密暴露在網絡中。例如，在2019年3月，挪威王國一家世界最大鋁生產廠商之一的Norsk Hydro 竟然遭到了勒索軟件LockerGoga 的入侵，幾乎整個互聯網都陷入了宕機之中，而該企業被勒索軟件入侵后甚至影響了所有生產系統的正常運作，這一病毒的入侵嚴重影響到公司的商業和經濟。在眾多不安全的網絡環境下，于個人而言，會使得個人信息被泄露，甚至在網購時也會存在安全隱患。在注冊軟件時，可能因為密碼強度不高而被黑客盜密碼，甚至利用用戶身份盜竊其個人的信息，因此，網絡安全防范工作是嚴肅的問題。在當代，營造良好的網絡環境是廣泛討論的話題。

1 加密技術

1.1 加密概述

電子產品信息內容加密技術是指運用數學或物理上的一些方式，對電子產品信息內容在傳送流程中和存儲器體內加以保密，并避免信息內容泄露的科學技術。通信工程的密碼系統主要是采用密碼，但在數字通信中也可利用計算機采取密碼方式。對于計算機信息保護來說，以軟件加密為主，為避免黑客破解密碼，對軟件的密碼檢查還可以通過硬件密碼或者加密軟盤的方法。于企業運營中貫徹加密技術，可確保數據安全交互，對企業收發文件進行加密解密，可利于企業安全運營［1］。

在如今這樣一個軟件發展蓬勃的時代，對軟件的不合法復制也非常普遍，盜版軟件及破解密碼的問題很常見。例如，珊瑚蟲QQ對騰訊正版QQ進行了非法的改動，并且放在互聯網上供其他人下載，從而獲取巨額利益，這就嚴重侵犯了騰訊公司的著作權，因此，2008年，騰訊公司以侵犯軟件著作權為由把珊瑚蟲QQ告上法庭。以上的被侵權問題是因為企業的加密技術不夠到位，從而導致軟件被復制。因此，加密技術對于一個企業甚至是國家都至關重要。

1.2 加密技術分析

密碼是指利用密碼算數把數據加以轉換，如果沒有正確的密鑰，是根本不能看懂報文的，而這些不能被看懂的形式出現的數據就叫作密文。當然，如果想讀懂這些密文，就一定要把它們轉化成相應的明文，也就是密文最早的樣子［2］。而含有原來的數學方法，轉化為報文中的雙重密碼也只是密鑰。按照雙方對接受和發出的密鑰有無一致的準則，劃分為對稱加密算法和非對稱加密算法，前者在接受和發出時所用的是一致的密鑰，但后者接受和發出時所用的密鑰則有所不同，而且后者不太能解密密鑰。非對稱加密的優點是適合網絡開放性的要求，對密鑰的管理更簡單。

對稱加密算法中，消息的接收與傳遞都采用的是相同的加密，并且雙方密鑰都處在秘密狀況下，這也就是私鑰的秘密性，是以密鑰的保密性為基準的。它的好處是在硬件上提高了私鑰加密算法的穩定性；主要的缺點是不太適合遠距離傳輸，而且對于私鑰的管理和分發很困難。

非對稱加密算法中，對使用公共加密而言，密鑰的管理與分配較前一個算法要簡便許多，并且安全性也很好。但是，非對稱加密算法在目前沒有完全替代對稱加密算法，因為非對稱加密算法的速度比對稱加密算法慢，不過常常會用公鑰加密算法來加密重要文件。

2 防火墻技術

2.1 防火墻概述

防火墻是由硬件、軟件組成的系統，部署在網絡邊界，保護網絡安全，連接內網和外網，保護進出網絡邊界的數據，可以對外界用戶在內部網絡進行訪問和操作進行約束和控制。它是多個網絡間的安全阻隔，可保證本網資源的安全［3］。

防火墻具有分析信息流的功能，通過分析信息流，對它進行選擇，從而限制有害信息進入內網，而安全信息流則可以被授權允許進入內網。防火墻自身還具備極強的抗穿透能力，使得防火墻能夠非常高效地保障安全，給用戶提供一個安全、可靠的網絡環境［4］。

2.2 防火墻功能綜述

2.2.1 網絡安全屏障

防火墻可以過濾那些可能危險的服務，從而降低內部環境的風險，使得網絡內環境安全、可靠。

2.2.2 監控審計

防火墻能夠實現日志記錄，而日志記錄的主要功能是它能夠記錄下任何經過防火墻瀏覽過的歷史記錄，可以匯總網絡使用情況。若訪問數據有可疑問題，防火墻會報警，也會顯示出網絡的檢測及攻擊的數據信息。

2.3 防止信息向外泄露

防火墻還需要對內在網絡系統加以區分，這樣才能確保內在系統與重點網段的完全分離，也才能將局部整體網絡系統對全局網絡系統所帶來的負面影響大大減小。而網絡中的內在信息安全也是十分關鍵的，因為黑客一般都會關注到內部網中關于信息安全的小小細部，或許會由此而暴露出內在網絡系統的信息安全滲漏，而所謂防火墻作用就是能夠隱蔽安全漏洞的內在細節，這就需要先談到DNS和Finger服務。Finger服務展示出了服務器上每個使用者的登錄名、用戶shell 類別、真名及最后登錄日期，但是，Finger 服務提供的信息比較容易被黑客掌握，黑客就能夠了解系統使用的頻繁度、該系統中是不是有用戶正在上網。防火墻還能夠阻斷國內互聯網的DNS 信息，從而使得服務器的IP地址和域名信息無法被其他人所獲得。

2.4 提高對網絡系統的訪問控制

在運用防火墻時，可以通過對各種經由外部互聯網向內部網絡進行訪問的業務進行特殊設計，實現訪問控制功能，還能夠屏蔽外部網站，從而使得關系到內部重大安全問題的業務無法正常訪問內部網絡，進而達到了對內部互聯網的有效安全防護［4］。

2.5 防火墻重要性

隨著計算機技術的發展，電腦用戶逐漸變多，安全問題也逐步顯現了出來，通過合理使用防火墻技術，可以確保電腦安全而正常地工作。用戶在利用身份驗證系統和加密技術的過程中，要科學合理地選擇訪問策略，并作好安全性設置和日志監控，以便對計算機進行安全保護［5］。

3 病毒防護技術

病毒嚴重威脅著整個電腦的安全應用，而且病毒往往會在人們一邊防范時一邊更新。但是，目前新出現的病毒在數量上已經日益增加，而且在類型上也在不斷進化，由于此類病毒已經能夠對整個計算機網絡形成巨大的安全影響，因此必須要增強殺毒的針對性。當前，雖然市面上已經涌現了不少的殺毒軟件，但是，由于此類程序仍然有著一定缺陷，并且還無法及時對新種類病毒進行檢測，因此，必須定期進行技術更新，以保證人們能夠清楚找到存在的病毒［6］。

3.1 病毒定義

病毒是一個程式或一些計算機命令，特別的是，它可以實現自我拷貝，一旦黑客向正常的某些計算機程序內插入病毒，它將能夠損害計算機中的信息甚至電腦的部分機能。病毒是人編寫的，并能夠利用某些手段潛伏于電腦的特定程式中，還能夠進一步影響其他的程式。

3.2 病毒傳播途徑

3.2.1 各種網絡傳播

（1）電子郵件。病毒在互聯網上傳播的主要通道是電子郵件，電子郵件本身不會產生病毒，郵件的附件中才可能存在病毒。用戶如果下載電子郵件的附件，那么就會感染上病毒，病毒會入侵系統，等到合適的時機就破壞數據。電子郵件被廣泛應用，因此，這也會為計算機病毒的擴散和傳播提供合適的渠道。

（2）下載文件。互聯網中共享的文檔或者程式可能存在病毒，用戶如果不小心下載了這些文件，并且沒有及時消滅病毒，那么系統就可能感染病毒。所以說，病毒可以隱藏在文件中，還可以偽裝成程式，用戶如果下載了它們，就有感染病毒的風險。

（3）瀏覽網頁。黑客往往也會利用用戶訪問網頁的時機進行木馬病毒的植入，把用戶所感染的病毒加入電腦用戶的源代碼中。許多用戶都很難判斷他們所訪問的網頁的安全性，但是，當用戶打開了含有病毒的網頁時，網頁內部的病毒會自動運行，從而導致病毒感染用戶所控制的設備，進而攻擊計算機中的各種文檔［7］。

3.2.2 軟盤傳播

計算機通常使用存在病毒的軟盤，會導致計算機感染病毒，從而出現問題，而且還會進一步傳染給沒有感染病毒的軟盤，以前有過一種只可以通過軟盤傳播的病毒，它被叫作香港病毒。香港病毒感染計算機一般只利用軟碟就可實現，感染軟盤后，要么文件無法運行，要么子目錄信息完全喪失，或者數據庫信息混亂，或者文本文件信息被截斷等；它的另一種表現是使軟盤運行不正常。因此，大量的軟盤交換，不控制地在計算機使用各種軟件，會造成病毒泛濫。

3.3 病毒防護技術

3.3.1 防火墻隔離病毒

借助防火墻，做到對病毒的有效阻隔，從而成功對抗病毒的侵襲；同時，通過防火墻，也能夠在個人電腦的程式之內、局域網之間有效識別外來信號，從而進行局域網、信息系統之間的準確劃分。在使用防火墻實現安全性隔絕的同時，為了基本保障計算機安全性，應該通過屏蔽部分可能不安全的資料、信息，以防止病毒對網絡內的資料進行損壞，以最終達到對網絡的全面安全保護［8］。

3.3.2 用正版殺毒軟件

殺毒軟件是專門用于清理惡意軟件和病毒的一種軟件，殺毒軟件有多項功能，包括監控識別、病毒掃描和病毒清理與自動更新等，有的殺毒軟件甚至還能修復數據，是現代電腦防護體系的主要部分。殺毒的任務是監視與掃描硬盤，但很多殺毒軟件還擁有防火墻功能。殺毒的工作機理并沒有特別相同，有的殺毒軟件是在存儲器中分配了一個存儲空間，把通過它的數據信息與它的病毒庫加以對比，這樣有助于確定這種數據信息中是不是存在病毒；還有部分殺毒軟件在其所分配到的內存中虛擬運行操作系統或使用者所提供的程式，并根據其動作及結果進行判定。若用戶使用盜版殺毒軟件，就很有可能沒有防護能力，甚至可能造成病毒入侵，因為一些盜版殺毒軟件很有可能是黑客破解正版殺毒軟件得到的，黑客會把病毒放進殺毒軟件的漏洞中，用戶如果使用了這些盜版殺毒軟件，就很有可能導致病毒的擴散。

3.3.3 定期對數據備份

一定的防護措施能抵御部分病毒，不過病毒仍可以找到系統的其他漏洞，病毒可能會通過這個安全漏洞入侵計算機，系統內部有很多用戶的重要信息，病毒很有可能會破壞這些信息。因此，用戶應經常做好對重要資料的備份，當病毒進入后，就算重要資料遭到了損壞或丟失，也能利用已備份的重要資料把損失的數據迅速恢復，從而降低了用戶的風險。

4 漏洞修復技術

4.1 漏洞攻擊案例

所有的計算機都會有不完善的地方，這就是漏洞，攻擊者就是利用這一點對計算機進行攻擊。黑客在網絡的構建組織中找計算機的漏洞，入侵用戶系統，獲取用戶信息，進一步對網絡安全構成嚴重威脅。OpenSSL 曾被人爆料出存在“水牢漏洞”，此漏洞導致黑客可入侵網絡，并可獲取密碼、信用卡的卡號等信息，因為全球過半的網站服務器都在使用OpenSSL 協議進行加密，因此，當時發現的安全漏洞給全球的網站都帶來了威脅。

4.2 漏洞修復技術

漏洞的修復要依靠補丁管理系統來完成，補丁將會成為安全管理的一個非常重要的環節。補丁管理工作就是對區域的系統管理，通過補丁管理，能夠讓小組有效管理在產品環境中的內部應用軟件配置與維修，補丁管理也有助于維持工作效率，填補安全漏洞。PatchLink 是自動補丁管理軟件的先驅，它是被用來在眾多操作系統中進行自動補丁偵測和解決系統安全漏洞和其他穩定性問題的重要補丁。UpdateExpert 可以有效地降低打補丁的復雜程度，因此可以很好地幫助用戶節約時間。從理論上講，在廠商發布補丁程序開始，下載和分發補丁程序可以幫用戶抵御通過漏洞發起的各種攻擊，但存在很多風險，因為補丁程序可能會對應用程序造成破壞，而UpdateExpert 可幫用戶降低破壞發生的可能性。

5 網絡訪問控制技術

5.1 網絡訪問控制概述

為避免對其他資源實施未經批準的訪問，以便使系統工作在合理的時間范圍內，一般應用計算機，系統管理員監控著用戶對重要資料的存取。訪問控制是計算機保密性、可用性、系統完整性和合法利用性能的重要基礎，訪問控制是保護網絡安全的重要技術之一。

5.2 網絡訪問控制三模式

5.2.1 強制訪問控制

在MAC中，所有用戶和文件組都會被賦予特定的安全級別，但只有系統經營者才可以設定所有用戶和組的登錄權限，因此，用戶無法更改自己或其他客體的安全級別。系統通過比較用戶和瀏覽文檔的安全級別，判斷用戶是否有資格瀏覽該文檔。

5.2.2 自主訪問控制

它是一個負責連接管理的業務，可在文檔和共享資源中設定許可，用戶才有資格自由訪問自己所創造的文檔等訪問對象，并可將此訪問權利授予給其他用戶，或取消將其許可給予其他用戶的訪問權利。

5.2.3 基于角色的訪問控制

它是指透過對角色的使用加以管理。即使權利和角色密切相關，但用戶可透過作為適當角色的成員來獲得該角色的權利，使權限管理更簡單。由于完成了某個具體的工作就產生了角色，用戶可按它的工作責任和資格分配相應的工作角色，角色也可按新的工作要求與系統合并賦予新的工作權利，但某角色也可按要求收回工作權利。

5.3 網絡訪問控制作用

訪問控制技術規定有授權的用戶可接入一個系統，但用戶需要用口令確定和證明其身份，對于哪些用戶能通過哪個系統訪問并利用這些資料以及利用到何種程度都做了細致的規范，以保證網絡資源共享給目標使用者。為保證信息儲存與應用的安全性，可把訪問管理技術和審計與監控技術整合起來，防止黑客進入計算機而影響計算機中信息的安全性［9］。

6 結語

綜上所述，在科技日新月異的今天，網絡在人們工作、生活中所處的地位越來越高。網絡安全的問題無時無刻不充斥在日常使用中，雖然各種保護網絡安全的工具在更新和發展，但黑客的技術也在提升。為了維護網民的利益和國家機密的安全，就要解決網絡安全的問題，而為了打擊黑客，就要對網絡安全防范技術進行研究和創新，以此來保護網絡中的信息安全。當然，保護信息安全不受黑客攻擊，不只是依靠高級軟件的防護技術，用戶也要有網絡安全防范的意識，這樣才能減少網絡中黑客的入侵。