網絡安全技術探究

摘要:近年來，Internet網上直接或者是間接危害到IP網絡資源安全的攻擊事件越來越多。一方面，網絡業務節點自身的安全性下降;另一方面，黑客攻擊技術有了很大的發展，從最初主要是基于單機安全漏洞以滲透入侵為主，到近年來發展到基于Internet網上的主機集群進行以拒絕服務為目的的分布式拒絕服務攻擊。該文介紹了計算機網絡安全的存在的一些主要問題。并提出一些相應的防范措施。

關鍵詞:Internet;黑客攻擊;網絡安全;防范措施

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)35-9932-02

Network Security Technology Explore

SHEN Zhi-xiang

(Nantong， Tongzhou District， The Comprehensive Agricultural Technical Schools， Nantong 226363， China)

Abstract: In recent years， Internet Web， either directly or indirectly endanger the security of IP network resources more and more attacks. On the one hand， the network service nodes decrease the security of their own; the other hand， hacking technology has been greatly developed， from the initial stand-alone security vulnerability is mainly based on in order to penetrate the invasion mainly to the recent development of Internet-based web hosts clusters with a distributed denial of service for the purpose of denial of service attacks. This paper describes the existence of computer network security， some of the main issues. And put forward some corresponding preventive measures.

Key words: internet; hacker attacks; network security; preventive measures

隨著互聯網的廣泛使用，全球經濟發展正步入信息經濟時代，知識經濟初見端倪。在信息處理能力提高的同時，系統的連結能力也在不斷的提高。基于網絡連接的安全問題也日益突出。網絡安全越來越受到重視。下面從網絡安全概念入手，針對網絡安全需要注意的方面，簡單概括網絡系統可能存在的安全漏洞，并提出一些相應的防范措施。

1 網絡安全的概念

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行。它主要包括系統安全和信息安全兩方面的內容。

1.1 系統安全

是指如何保護系統正常運行。一個網絡是由許多部件組成，包括交換機、集線器、路由器、防火墻、主機和調制解調器等等。系統安全要求保證所有部件和網絡整體能夠正常、正確地運行。在常見的網絡攻擊中，例如拒絕服務等攻擊是針對系統的正常運行的，這些攻擊使網絡中的設備死機，或者使服務器提供的某項服務停止，或者用大量數據包充塞服務器或其他網絡部件，使系統不能正常運行。系統安全主要依靠網絡設備自身的保護機制和網絡結構、防火墻等措施予以保證。

1.2 信息安全

主要面對在網絡中傳輸的數據的保密性、完整性和可用性。信息安全主要依靠加密和認證技術來保證，運用加密技術，我們可以保證在網絡中傳遞的數據不被非法獲得、不被篡改，認證技術可以保證人與人之間的信任、防止抵賴等。

2 存在網絡安全隱患的主要問題

2.1 思想認識不夠

大家對網絡安全重視不夠，安全意識不強，還存在模糊認識。有人認為，只有寫著密級字樣的文件才是秘密文件，自己辦公上網所涉及到的辦公內容和一些數字談不上秘密，不屬于保密信息;還有人認為，信息化社會，敵特分子竊密技術新、手段高，還存在無密可保，有密難保的畏難情緒;更有個別人每天上一些不健康的網站，和一些黑客估計設下陷阱的網站，認為偶爾上一會不會中上病毒，僥幸心理十分嚴重。如果這時病毒稍微偽裝下自己，那么很多人就會被迷糊了，電腦一但受到病毒的入侵，后果就不堪設想了。

例如:近幾年相繼發生無數起網上銀行、股票的賬號、密碼被盜案例，多數是由于用戶的電腦在上網的過程中中盜號木馬病毒(網銀大盜，證券大盜)。如:2004年12月1日，江民科技反病毒中心發布病毒緊急通報，一名為“證券大盜”的病毒被加載在一地址為www.shoufan.com網站上，該網址與北京首放公司網站相似。股民只要點擊或誤入該網站就會中毒，病毒運行后，修改注冊表自啟動項，以使自己隨系統同時運行，隨后潛伏在系統中，不對系統產生任何破壞，系統亦無任何異常癥狀。一旦病毒自動監測到包含多家券商名稱的標題窗口，就開始使用鍵盤鉤子程序自動記錄用戶登陸信息，包括用戶名和密碼，同時，病毒還通過屏幕快照將用戶登陸時窗口畫面保存為圖片，在記錄達到一定次數后，將記錄的信息和圖片通過電子郵件發送給病毒作者。隨后病毒開始“自殺”，刪除自己在電腦中留下的所有文件，讓受害者找不到任何線索。

2.2 防范措施不嚴

目前，大多數計算機網絡系統大多采用軟硬件“防火墻”、殺毒軟件等一般性物理隔離技術，缺乏非授權用戶進入、采用口令破解程序等高技術破壞、竊取手段的特殊防范措施。所以非常不嚴密，根本沒有發揮全面防護的作用。仍然存在比較嚴重的信息安全隱患。

2.3 防腐能力不強

網絡被西方敵對勢力稱作“虛擬空間的政治生力軍”，它們不斷通過網絡對我國進行快速傳播、滲透資產階級腐朽思想和反動言論，加快西化和分化，不斷沖擊我國人員的理想信念，這也是西方敵對勢力對我國進行政治瓦解的新手段和新策略，同時負面網絡信息也沖擊和影響著大家的思想行為。

3 計算機網絡安全的防護策略

3.1 安裝防火墻

防火墻是在內部網和外部網之間實施安全防范的系統，用于加強止外部用戶非法使用內部網的資源，保護內部網的設備不被破壞，防止內部網絡敏感數據被盜取。

實現防火墻的主要技術有:包過濾技術、應用網關和代理技術等，這些技術可以單獨使用，也可以結合起來使用包過濾技術是基于網絡層的，作用于IP層，通常由過濾路由器構建，其實現原理是:對每一個到達過濾路由器的IP包，根據已制定好的安全策略進行檢查，決定IP包的通過或阻塞，從而實現對IP包的過濾，其核心是安全策略，即過濾算法的設計。包過濾技術的優點是簡單，對用戶透明，速度快，對網絡性能影響不大;缺點是正確建立和管理包過濾規則比較困難，同時缺乏審計、跟蹤及驗證功能。代理技術(Proxy)是作用于應用層的。其核心是運行于防火墻主機上的代理服務器進程，它代替網絡用戶完成特定的TCP/IP功能，每一個特定應用都有一個相應的程序。代理技術的優點是具有較強的數據流監控、過濾、記錄和報告功能，可以將網絡內部結構屏蔽起來，增加了網絡的安全性。缺點是需要為每一個網絡服務專門設計、開發代理服務軟件及提供相應的監控、過濾功能，并且由于代理服務具有相當的工作量，因此通常需要用專用的工作站來承擔。

3.2 對信息數據加密

與防火墻配合使用的數據加密技術是為提高信息系統及數據的安全性和保密性，防止絕密信息被外部破壞所采用的主要技術手段之一。計算機網絡的傳輸加密與通信加密類似，加密方式分為鏈路層加密、網絡層加密、傳輸層加密和應用層加密等。

鏈路層加密通常采用硬件在網絡層以下的物理層或數據鏈路層上實現。鏈路加密對報文的每一個比特進行加密，不但對報文正文加密，而且對報文中的路由信息、校驗和控制信息等全部加密。它使用專用的鏈路加密設備，或通過使用一些鏈路層VPN技術如L2F， PPTP，L2TP，起到點對點加密通信的效果。網絡層加密通過網絡層VPN技術來實現，最典型的就是IPSec。網絡層VPN也需要對原始數據包進行多層包裝，但最終形成的數據包是依靠第三層協議來進行傳輸的，本質上是端到端的數據通信。傳輸層加密通道通常采用SSL技術，它介于應用協議和TCP/IP之間，為傳輸層提供安全性保證。應用層加密與具體的應用類型結合緊密，典型的有SHTTP， SMIME等。SHTTP是面向消息的安全通信協議，可以為Web頁面提供加密措施。SMIME則是一種電子郵件加密和數字簽名技術。

3.2.1 單密鑰加密體系

是指在加密和解密過程中都必須用到同一個密鑰的加密體系，此加密體系的局限性在于發送和接收方傳輸數據時必須先通過安全渠道交流密鑰，保證在他們發送或接收加密信息之前有可供使用的密鑰。但是，如果你能通過一條安全渠道傳遞密碼，你也能夠用這條安全渠道傳遞郵件。

3.2.2 公用密鑰體系

它需要使用一對密鑰來分別完成加密和解密操作，一個公開發布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。

公用密鑰需要兩個相關的密碼，一個密碼作為公鑰，一個密碼作為私鑰，在公用密鑰體系中，你的伙伴可以把他的公用密鑰放到Internet的任意地方，或者用非加密的郵件發給你，你用他的公鑰加密信息然后發給他，他則用他自己的私鑰解密信息。

3.3 加強病毒防護

由于在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力，因此計算機病毒的防范也是網絡安全性建設中重要的一環。網絡反病毒技術也得到了相應的發展。

網絡反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。

1) 預防病毒技術:它通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進人計算機系統和對系統進行破壞。這類技術是:加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒卡)等。

2) 檢測病毒技術:它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。

3) 消毒技術:它通過對計算機病毒的分析開發出具有刪除病毒程序并恢復原文件的軟件。 網絡反病毒技術的實施對象包括文件型病毒、引導型病毒和網絡病毒。 網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測;在工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。隨著網絡技術不斷應用，網絡不安全因素將會不斷產生，但互為依存的，網絡安全技術也會迅速的發展新的安全技術將會層出不窮，計算機網絡將會越來越安全!

4 結束語

盡管現在用于網絡安全的產品有很多，比如有防火墻、殺毒軟件、入侵檢測系統，但是仍然有很多黑客的非法入侵。根本原因是網絡自身的安全隱患無法根除，這就使得黑客進行入侵有機可乘。雖然如此，安全防護仍然必須是慎之又慎，盡最大可能降低黑客入侵的可能，從而保護我們的網絡信息安全。

參考文獻:

[1] 李冬梅.計算機網絡安全技術[C]//第六屆工業儀表與自動化學術會議論文集，2000.

[2] 王建軍，李世英.計算機網絡安全問題的分析與探討[J].赤峰學院學報:自然科學版，2009(1).

[3] 陳致明.計算機網絡的安全性[J].計算機安全，2003(4).