淺談計算機網絡中的安全問題

摘要:闡明了加強計算機網絡安全的重要意義，分析了計算機網絡中的安全隱患，并對分析出的安全隱患提出了解決方法。

關鍵詞:計算機網絡;網絡安全;安全性分析;安全策略;解決方法

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2009)15-3890-02

On the Computer Network Security Issues

SHI Yang

(Nanjing Communications Vocational Technology College，Nanjing 211188，China)

Abstract: Sets out to strengthen the security of computer networks， the importance of an analysis of computer network security， and security analysis of the proposed solution.

Key words: computer network; network security; safety analysis; security policy; resolvent

計算機網絡的迅速發展，使它成為現今人類活動中不可或缺的一個重要組成部分。計算機網絡具備分布廣域性、體系結構開放性、資源共享性和信道共用性的特點，因此我們在享受網絡服務帶來的方便和便捷的同時，也必須面對由此引入的巨大安全保密風險。廣泛應用的TCP/IP 協議是在可信環境下為網絡互聯專門設計的，加上黑客的攻擊及病毒的干擾， 使得網絡存在很多不安全因素，如口令猜測與破譯、DDOS攻擊、TCP端口盜用、ARP地址欺騙、郵件炸彈、業務否決、對域名系統和基礎設施的破壞、利用WEB破壞數據庫、病毒攜帶等。因此，針對計算機網絡在實際運行過程中可能遇到的各種安全威脅， 必須采用防護、檢測、響應、恢復等行之， 建立一個全方位并易于管理的安全體系，保障計算機有效的安全措施網絡運行的安全、穩定、可靠。

1 計算機網絡安全體系的結構

圖1為計算機網絡安全體系的結構圖。

2 計算機網絡安全體系的分析

2.1 網絡層的安全性分析

網絡層安全是網絡中最重要的內容，涉及3個方面。

1) IP協議本身的安全性，IP協議本身沒有加密使得非法盜竊信息成為可能。

2) 網管協議安全性，如SNMP協議的認證機制非常簡單，并且使用未加保密的明碼傳輸。

3) 網絡交換傳輸設備的安全性，交換傳輸設備包括路由器、ATM和傳輸介質。由于Intemet普遍采用路由器的無連接存儲轉發技術，并且路由協議是動態更新的OSPF和RIP協議，更新裝有這些協議的路由表，一旦某一個路由器或路由器相應線路發生故障或出現問題，將迅速波及與該路由器聯系的網絡區域。例如:2006年12月27日由于臺灣地震影響，所有經過太平洋的海底光纜都受到不同程度的損壞，以至于內地訪問國外的網站會特別慢，甚至會出現打不開的情況。

2.2 系統的安全性分析

在系統安全性問題中，主要考慮兩個問題:

1) 病毒、木馬對于網絡的威脅。

病毒和木馬一直是計算機系統安全最直接的威脅， 網絡更是為病毒和木馬提供了迅速傳播的途徑，它們很容易地通過代理服務器以軟件下載、郵件接收等方式進入網絡，然后對網絡進行攻擊， 造成很大的損失。

2) 系統的漏洞及“后門”， 操作系統及網絡軟件不可能是百分之百的無缺陷、無漏洞的。另外，編程人員為自便而在軟件中留有“后門”，一旦“漏洞”及“后門”為外人所知，就會成為整個網絡系統受攻擊的首選目標和薄弱環節。大部分的黑客入侵網絡事件就是由系統的“漏洞”和“后門”所造成的。

2.3 應用程序的安全性分析

需要考慮的問題是:是否只有合法的用戶才能夠對特定的數據進行合法的操作。涉及兩個方面的問題:一是應用程序對數據的合法權限，二是應用程序對用戶的合法權限。例如在公司內部，上級部門的應用程序應該能夠存取下級部門的數據，而下級部門的應用程序一般應該不允許存取上級部門的數據。同級部門的應用程序的存取權限也應有所限制，同一部門不同業務的應用程序也應該不允許訪問對方的數據。這樣可以避免數據的意外損壞，也是從安全方面的考慮。

2.4 數據的安全性分析

在系統信息安令領域，安全保護的根本對象應當是那些存儲在磁盤系統上的有效數據，設置防火墻、使用密碼、數據加密等做法都是有效的手段。有效數據存儲的任何設備、系統，數據流通的任何線路、連接都是網絡安全所要考慮到的，而對于數據的安全性所要考慮的問題是:機密數據是否還處于機密狀態。

3 計算機網絡安全體系的分析的解決方法

3.1 網絡層的安全性的解決方法

1) 網絡的物理安全性主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設計、機房環境及報警系統、安全意識等。它是整個網絡層的安全性的前提，制定健全的安全管理制度，做好異地冗余備份，并且加強網絡設備的更新與管理，加強路由協議的動態更新，建立多線的路由選擇，如地震后中國電信、中國網通、中國聯通等六大電信運營商已經達成協議，共同建立一條連接中美的首個兆兆級海底光纜系統——跨太平洋直達光纜系統(簡稱TPE)，通過這些措施風險是可以避免的。

2) 網絡層安全性的另一個核心問題在于網絡是否受到控制，即:是不是任何一個IP地址來源的用戶都能夠進人網絡。如果將整個網絡比作車站，對于網絡層的安全考慮就如同為車站設置檢票員一樣。檢票員會仔細察看每一位進站人的車票和行李，一旦發現無票或危險的來訪者，便會將其拒之站外。最主要的防護措施包括:防火墻、VPN ，其中，防火墻技術是網絡安全采用最早也是目前使用最為廣泛的技術，它將網絡威脅阻擋在網絡入口處，保證了內網的安全。而以 VPN為代表的加密認證技術則將非法用戶拒之門外，并將發送的數據加密，避免在途中被監聽、修改或破壞。通過網絡通道對網絡系統進行訪問的時候，每一個用戶都會擁有一個獨立的IP地址。這一IP地址能夠大致表明用戶的來源所在地和來源系統。防火墻會通過對來源IP進行分析，便能夠初步判斷來自這一IP的數據是否安全，是否會對本網絡系統造成危害，VPN為代表的加密認證技術通過解密判斷來自這一IP的用戶是否有權使用本網絡的數據。一旦發現某些數據來自于不可信任的IP地址，系統便會自動將這些數據阻擋在系統之外。并且能夠自動記錄那些曾經造成過危害的IP地址，使得它們的數據將無法第二次造成危害。

3.2 系統安全性的解決方法

針對目前日益增多的計算機病毒和惡意代碼，應采取的病毒防范策略如下:

1) 選擇經公安部認證的病毒防治產品，如瑞星、金山毒霸、Norton 、McAfee 、卡巴斯基等。

2) 保證病毒庫處與最新狀態并定期進行查殺病毒和木馬。

3) 制定嚴格的防病毒制度，不允許使用來歷不明、未經殺毒的軟件不閱讀和下載的來歷不明的網上郵件或文件，嚴格控制，阻斷病毒的來源。

4) 對服務器及主機系統進行安全評估;要彌補這些漏洞，就需要使用專門的系統風險評估工具幫助系統管理員找出哪些指令是不應該安裝的，哪些指令是應該縮小其用戶使用權限的。在完成了這些工作之后，操作系統自身的安全性問題將在一定程度上得到保障。

5) 正確配置系統，減少病毒侵害事件，確保系統恢復以減少損失。在具體實施時，由于計算機網絡用戶數量龐大，如所有用戶都購買網絡殺毒軟件則投資太大，可以優先對服務器進行網絡防病毒保護，而對個人主機可用單機防病毒軟件進行防護。另外，需調動各級系統管理員和用戶的積極性，定期對操作系統進行打包、升級，及時發現感染病毒的主機，清除病毒。

在完成了這些工作之后，操作系統自身的安全性問題將在一定程度上得到保障。

3.3 應用系統安全性解決方法

計算機網絡主要是通過各種應用系統來體現的，因此應用系統的安全可靠性就顯得非常重要。應用系統的安全主要包括授權、認證和加密傳輸。由于涉及的應用系統非常多，總體上應掌握以下一些原則:

1) 應用系統之間或應用系統各模塊之間的通信必須經過授權或認證，如對辦公自動化(OA) 等系統傳輸數據必須進行加密。

2) 限制用戶的權限，使用戶無法獲得系統管理員的口令，防止非法用戶對系統進行破壞。對新用戶開放滿足要求的權限即可，不必開放所有權限。

3) 利用防火墻或TCPWRAPPER等限制應用服務可被訪問的客戶地址段，關閉不必要開放的端口，降低被攻擊的可能性。

4) 經常留意用戶從哪里登錄主機系統，要檢查其合法性。

5) 加強計算機網絡信息中心各主機的安全管理，嚴禁用戶以各種途徑執行系統級指令，以避免黑客通過SNIFFER等工具軟件偵聽密碼或其他信息。

6) 加強密碼管理，提醒或強制應用系統中各人員定期修改密碼，禁止使用安性不高的密碼。

3.4 數據的安全性分析的解決方法

1) 在數據的保存過程中，機密的數據即使處于安全的空間，也要對其進行加密處理，以保證即使數據失竊，偷盜者(如網絡黑客)也讀不懂其中的內容。這是一種比較被動的安全手段，但往往能夠收到最好的效果。

2) 在數據的傳輸過程中，機密的數據使用信息加密手段。目前市場上成熟的商業加密設備很多，如發給用戶的電子口令卡、使用USB接口的USBKEY 這些較為簡單實用，他不僅可以對指定的網絡傳輸機密數據進行數字簽名和身份認證，而且具有系統電子密碼功能，可以作為操作系統登錄的物理電子密碼，從而將單因子認證機制升級為雙因子認證機制，更大程度上確保了監控管理軟件。

3) 傳輸中所用的加密算法根據不同情況選用公開密鑰或私有密鑰算法。為保證傳輸信息不被篡改，還可采用MD5等算法。如計算機網絡內部的一些基于WWW的應用( 如OA系統)，其加密協議可選用SSL SHTTP，或COOKIE機制及DES，MD5 算法。

4 結束語

上述的計算機網絡安全體系中的四方面是相輔相成的，通過以上對它們的分析及解決方法基本上可以建立一套相對完整的網絡安全系統。現有的安全技術包括數據加密技術、數字簽名技術、防火墻技術只是提供了一種靜態的防護措施 但這種措施又是必不可少的，它可以和入侵檢測系統結合起來取長補短。總之網絡安全是一個系統工程不能僅僅依靠防火墻等單個的系統而需要仔細考慮整個系統的安全需求，并將各種安全技術和管理手段結合在一起才能生成一個高效統一通用的網絡安全體系。

參考文獻:

[1] 王相林.組網技術與配置[M].北京:清華大學出版社，2007.

[2] 陳龍.安全防范系統工程[M].北京:清華大學出版社，1998.

[3] 秦超.網絡與系統安全實用指南[M].北京:北京航空航天大學出版社，2002.

[4] 李海泉.計算機網絡安全與加密技術[M].北京:科學出版社，2001.

[5] 趙小林.網絡通信技術教程[M].北京:國防工業出版社，2003.

[6] 魏大新.Cisco網絡技術教程 [M].北京:電子工業出版社，2004.

[7] 馮博琴.計算機網絡與通信[M].北京:經濟科學出版社，2000.

[8] 德昱，胡錚.網絡與信息資源管理[M].北京:北京希望電子出版社，2005.