談網絡安全的防范措施

摘要：網絡安全主要是保障個人數據或企業的信息在網絡中的保密性、完整性、不可否認性，防止信息的泄露和破壞，防止信息資源的非授權訪問。對于網絡管理者來說，網絡安全的主要任務是保障合法用戶正常使用網絡資源，避免病毒、拒絕服務、遠程控制、非授權訪問等安全威脅，及時發現安全漏洞，制止攻擊行為等。從教育和意識形態方面，網絡安全主要是保障信息內容的合法與健康，控制含不良內容的信息在網絡中的傳播。

關鍵詞：網絡；網絡安全；防范措施；研究；病毒

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)24-1152-03

Network Security Precautions

LIU Jing-yun，CHEN Fei，ZENG Yan-jun

(China Telecom Guangdong，Zhuhai 519000，China)

Abstract:Network security is the protection of personal data or business information in the network of confidentiality， integrity， non-repudiation， to prevent the disclosure of information and destruction of non-information resources to prevent unauthorized access. For network administrators， network security the main task is to protect the legitimate users normal use of network resources， avoid viruses， denial of service， remote control， non-authorized access， and other security threats， security flaws discovered in time to stop the attacks and other acts. From education and ideology， network security is to protect the main content of the legal and health， control of undesirable elements in the network of information dissemination.

Key words: network;network security;preventive measures; research; virus

1 前言

網絡安全是指保護網絡系統中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞、篡改和泄露，保證網絡系統的正常運行、網絡服務不中斷。

2 網絡安全的屬性

1) 可用性

可用性是指得到授權的實體在需要時可以得到所需要的網絡資源和服務。

2) 機密性

機密性是指網絡中的信息不被非授權實體（包括用戶和進程等）獲取與使用。

3) 完整性

完整性是指網絡信息的真實可信性，即網絡中的信息不會被偶然或者蓄意地進行刪除、修改、偽造、插入等破壞，保證授權用戶得到的信息是真實的。

4) 可靠性

可靠性是指系統在規定的條件下和規定的時間內，完成規定功能的概率。

5) 不可抵賴

不可抵賴性也稱為不可否認性。是指通信的雙方在通信過程中，對于自己所發送或接收的消息不可抵賴。

3 網絡安全的基本組成

從內容上看，網絡安全大致包括四個方面：

1) 網絡實體安全。如計算機的物理條件、物理環境及設施的安全標準，計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等。

2) 軟件安全。如保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等。

3) 網絡中的數據安全。如保護網絡信息的數據安全，不被非法存取，保護其完整、一致等。

4) 網絡安全管理。如運行時突發事件的安全處理等，包括采取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等內容。

4 主要的網絡安全威脅

4.1 網絡安全威脅定義及分類

所謂的網絡安全威脅是指某個實體（人、事件、程序等）對某一網絡資源的機密性、完整性、可用性及可靠性等可能造成的危害。可分為：

1) 對信息通信的威脅；2) 對信息存儲的威脅；3) 對信息處理的威脅。

4.2 通信過程中的四種攻擊方式

通信過程中的四種攻擊方式如下圖所示：

圖1 通信過程中的四種攻擊方式

5 影響計算機網絡安全的主要因素

計算機網絡安全受到的安全威脅是來自各個方面的，一般來說，影響計算機網絡安全的因素主要有以下幾個方面：

1) 計算機網絡使信息的收集方便而且快速，信息的價值劇增，吸引了許多網上黑客前來攻擊。

2) 現有的計算機系統皆有安全漏洞，使網絡入侵成為可能。一般操作系統的體系結構其本身是不安全的，這也是計算機系統不安全的根本原因之一，操作系統的程序是可以動態連接的，包括I/O的驅動程序與系統服務，都可以用打“補丁”的方式進行動態連接，為黑客的侵入和病毒的產生提供了一個好環境。

3) 網絡系統中數據的安全問題。網絡中的信息數據是存放在計算機數據庫中的，通常也指存放在服務器中的信息集，供不同的用戶來共享，數據庫存在著不安全性和危險性，因為在數據庫系統中存放著大量重要的信息資源，在用戶共享資源時可能會出現以下現象：授權用戶超出了他們的訪問權限進行更改活動，非法用戶繞過安全內核，竊取信息資源等。

4) 系統通信協議和應用服務協議中存在缺陷，可被惡意濫用。

5) 遠程訪問控制使得每個主機甚至可以被國外的黑客攻擊。網絡黑客是計算機網絡發展的產物，黑客攻擊，早在主機終端時代就已出現，隨著Internet的發展，現代黑客則從以系統為主的攻擊轉變到以網絡為主的攻擊，利用網絡竊取重要的情報，毀壞數據和信息。

6) 目前的計算機病毒不但可以破壞計算機硬件，而且可以破壞網絡安全系統并通過網絡破壞更多的計算機。計算機病毒的數量和種類都在高速增長，病毒機理和變種不斷演變，為檢測與消除病毒帶來了更大的難度，成為計算機與網絡發展的一大公害，計算機病毒破壞計算機的正常工作和信息的正常存儲，嚴重時使計算機系統或網絡陷于癱瘓。

7) 計算機和網絡系統的配置十分復雜而且經常變化，若配置不當，也會產生安全漏洞。

8) 有關人員對計算機網絡系統的安全認識不足，未能及時采取必要的防范措施。世界上現有的計算機信息系統絕大多數都缺少安全管理員，缺少信息系統安全管理的技術規范，缺少定期的安全測試與檢查，更缺少安全監控。

6 網絡安全策略

安全策略是指在某個安全區域內，所有與安全活動相關的一套規則

網絡安全策略包括對企業的各種網絡服務的安全層次和用戶的權限進行分類，確定管理員的安全職責，如何實施安全故障處理、網絡拓撲結構、入侵和攻擊的防御和檢測、備份和災難恢復等內容。在本書中我們所說的安全策略主要指系統安全策略，主要涉及四個大的方面：物理安全策略、訪問控制策略、信息加密策略、安全管理策略。

7 計算機網絡安全的防范措施

1) 防火墻技術

目前保護網絡安全最主要的手段之一就是構筑防火墻。防火墻是一種形象的說法，其實它是一種計算機硬件和軟件相結合的技術，是在受保護網與外部網之間構造一個保護層，把攻擊者擋在受保護網的外面。這種技術強制所有出入內外網的數據流都必須經過此安全系統。它通過監測、限制或更改跨越防火墻的數據流，盡可能地對外部網絡屏蔽有關受保護網絡的信息和結構來實現對網絡的安全保護。因而防火墻可以被認為是一種訪問控制機制，用來在不安全的公共網絡環境下實現局部網絡的安全性。

2) 身份認證

身份認證是任何一個安全的計算機所必需的組成部分。身份認證必須做到準確無誤地將對方辨認出來，同時還應該提供雙向的認證，即互相證明自己的身份，網絡環境下的身份認證比較復雜，因為驗證身份的雙方都是通過網絡而不是直接接觸的，傳統的指紋等手段已無法使用，同時大量的黑客隨時隨地都可能嘗試向網絡滲透，截獲合法用戶口令并冒名頂替，以合法身份入網，所以目前通常采用的是基于對稱密鑰加密或公開密鑰加密的方法，以及采用高科技手段的密碼技術進行身份驗證。

3) 訪問控制

訪問控制也叫接入控制，阻止非授權用戶進入網絡，防止任何對計算機資源和通信資源的非授權訪問。即根據用戶的身份賦予其相應的權限，也就是說按事先確定的規則決定主體對客體的訪問是否合法。訪問控制主要通過注冊口令，用戶分組控制，文件權限控制三個層次來實現。

4) 基于密碼論的技術

密碼技術是集數學、計算機科學、電子與通信等諸多學科于一體的交叉學科，是保護信息安全的主要手段之一，它不僅具有保證信息機密性的信息加密功能，而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。

(1)密鑰技術，密鑰技術的任務是在一個密碼系統中控制密鑰的選擇和分配。密鑰是一段數字信息，它與加密算法相互作用，以控制信息的加密。(2)數字簽名，數字簽名是一種用于鑒別的重要技術。數字簽名是一個數，它依賴于消息的所有位以及一個保密密鑰，它的正確性可以用一個公開密鑰來檢驗。數字簽名可以用于鑒別服務，也可以用于完整性服務和無拒絕服務。當數字簽名用于無拒絕服務時，它是和公證一起使用的。公證是通過可信任的第三方來驗證消息的。(3)驗證技術，驗證技術可分為基于共享密鑰的認證和基于公鑰的認證。前者實際上是執行一種查詢—問答協議，發送方發送一個隨機數給接收方，接收方解密后以一種特殊形式轉換它并傳回結果，從而實現認證。該協議的關鍵是如何建立共享密鑰。

5) 智能卡技術

與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就象信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性還是相當有效的。

6) 反病毒軟件

即使有防火墻、身份認證和加密措施，人們仍擔心遭到病毒和黑客的攻擊，隨著計算機網絡的發展，攜帶病毒和黑客程序的數據包和電子郵件越來越多，打開或運行這些文件，計算機就有可能感染病毒。假如安裝有反病毒軟

件，就可以預防、檢測一些病毒和黑客程序。

8 結束語

計算機網絡安全的防范措施還有很多，諸如重視安裝補丁程序、嚴格控制共享、不輕易下載和運行網上軟件、注意安全管理等等。它們在一定程度上都能對網絡安全進行加強，相信隨著IT網絡技術的進一步發展，我們的網絡安全防范措施也會取得更大的成果。

參考文獻：

[1] 胡道元.計算機局域網[M].北京:清華大學出版社，2001.

[2] 李煥洲.網絡安全和入侵檢測技術[J].四川師范大學學報(自然科學版)，2001(04):100-102.

[3] 謝勍.計算機網絡入侵檢測技術探討[J].科學技術與工程， 2008(01):231-234.

[4] 朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.