計算機網絡安全及防護策略

【摘要】計算機網絡信息安全在國民生活中受到越來越多的關注，原因在于：許多重要的信息存儲在網絡上，一旦這些信息泄露出去將造成無法估量的損失？之所以網絡信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關心的數據或者信息；另一方面網絡自身存在安全隱患才使得入侵者得逞？針對這些問題，該文歸納并提出了一些網絡信息安全防護的方法和策略？

【關鍵詞】計算機網絡信息安全黑客網絡入侵

1引言

近年來，伴隨著互聯網技術在全球迅猛發展，為人們提供了極大的方便，然而，信息化在給人們帶來種種物質和文化享受的同時，我們也正受到日益嚴重的來自網絡的安全威脅，諸如網絡的數據竊賊、黑客的侵襲、病毒發布者，甚至系統內部的泄密者。盡管我們正在廣泛地使用各種復雜的軟件技術，如防火墻、代理服務器、侵襲探測器、通道控制機制，但是，無論在發達國家，還是在發展中國家（包括我國），黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。與此同時，更讓人不安的是，互聯網上黑客網站還在不斷增加，學習黑客技術、獲得黑客攻擊工具變得輕而易舉。這樣，使原本就十分脆弱的互聯網越發顯得不安全。針對各種來自網上的安全威脅，怎樣才能確保網絡信息的安全性，尤其是網絡上重要的數據的安全性。

2計算機網絡安全的主要影響因素

（1）TCP/IP協議未考慮安全性。目前Internet上存在的許多安全問題，其主要原因之一就在于TCP/IP協議簇的基本體系結構，TCP/IP從一開始設計的時候就沒有考慮到安全設計，這一特點給“黑客”們攻擊網絡以可乘之機，造成在網上傳送的信息很容易被攔截、偷窺和篡改。

（2）操作系統本身存在安全性。目前流行的許多操作系統均存在網絡安全的漏洞，尤其是目前占有廣大市場的微軟Windows操作系統，安全漏洞一個接著一個，黑客、病毒、木馬往往就是利用這些操作系統本身所存在的安全漏洞侵入和破壞系統、盜取用戶信息。

（3）信息網絡安全技術的發展滯后于信息網絡技術。網絡技術的發展可以說是日新月異，新技術、新產品層出不窮，可在產品本身的安全性方面進展卻不大。在我國，許多大的應用系統也是建立在國外大型的操作系統的基礎之上。如果我們的網絡安全產品也從國外引進，會使我們的計算機信息系統安全暴露在外，后果令人擔憂。

（4）來自內部網用戶的安全威脅。來自內部用戶的安全威脅遠大于外部用戶的安全威脅，即使網絡安裝了防火墻，但對內部網用戶來說一點也不起作用。

（5）缺乏有效的手段監視、評估網絡系統的安全性。網絡安全評估分析就是對網絡進行檢查，查找其中是否有可被黑客利用的漏洞，對系統安全狀況進行評估、分析，并對發現的問題提出建議從而提高網絡系統安全性能的過程。評估分析技術是一種非常有效的安全技術。

（6）使用者缺乏安全意識，在一個安全設計充分的網絡中，人為因素造成的安全漏洞無疑使整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限，利用這些權限破壞網絡安全的隱患也是存在的。操作口令的泄漏，臨時文件未及時刪除而被竊取，內部人員有意無意的泄漏，給黑客帶來了可乘之機等，都可能使網絡安全機制大打折扣。

（7）缺乏安全策略。由于訪問控制配置的復雜性，容易導致配置錯誤，尤其是在防火墻配置上無意識的擴大了訪問權限，這些都會被有些人所利用，對網絡進行惡意攻擊或破壞。

（8）管理制度不健全。網絡管理維護任其自然。

3計算機網絡安全的防范措施

（1）加強內部網絡管理人員以及使用人員的安全意識。

很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網絡維護管理的效率和質量，而且設計到網絡的安全性。檔計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。

（2）防火墻技術。

它是目前網絡間訪問控制、防止外部人員非法進入內部網絡，保護內網資源最廣泛使用的一種技術。防火墻部署在不同網絡安全級別的網絡之間，防火墻通過檢測數據包中的源地址、目標地址、源端口、目標端口等信息來匹配預先設定的訪問控制規則，當匹配成功。數據包被允許通過，否則就被丟棄。防火墻大致可分為三種：包過濾防火墻，根據數據包的源地址、目標地址、源端口、目標端口進行匹配。應用代理防護墻，客戶端所有訪問都通過SOCKS封裝發送到代理服務器，代理服務器解包匹配，根據匹配結果，判斷是否代替客戶端向服務器發起請示，轉發服務器返回數據包，還是丟棄客戶端數據包。狀態檢測防火墻，是在包過濾防火墻基礎上發展起來的，它比包過濾防火墻增加了狀態檢測表的檢測。目前市場上常見的防護墻多為次種類型。防火墻雖然能夠有效的阻止外部人員的非法訪問，但無法防止內部網絡用戶帶來的威脅，也不能完全防止傳送已感染的程序和文件。

（3）加密技術。

數據加密就是對原有的明文或數據按照某種算法，置換成一種不可讀的密文，然后在進行信息的存儲和傳輸。密文獲得者用相應的密鑰才能讀出原文，實現數據的保密性。加密技術的關鍵在于加密的算法和密鑰的管理。加密算法通常分為對稱加密算法和非對稱加密算法。對稱加密算法就是加密和解密使用同一密鑰，DES加密標準就是典型的對稱加密算法。對稱加密算法加密、解密速度快，加密強度高，算法公開。非對稱加密算法加密和解密使用不同的密鑰，用加密密鑰加密的數據只有相應的解密密鑰才能打開。非對稱加密算法加密數據安全可靠性高，密鑰不易被破解，RSA算法就是典型的一種。密鑰在管理過程中要注意防止密鑰泄漏。密鑰使用要注意時效和次數，最好不要重復使用同一密鑰，僅將一個對話密鑰用于一條信息或一次對話中，降低泄密的可能性。

（4）防病毒技術。

網絡病毒技術主要包括病毒預防技術、病毒檢測技術和病毒消除技術。其中，病毒預防技術通過自身常駐系統內存，有限獲得系統控制權，監視、判斷病毒是否存在，防止病毒的擴散和破壞。病毒檢測技術通過偵測計算機病毒特征和文件自身特征兩種方式，判斷系統是否感染病毒。病毒消除技術是極端及病毒感染程序的逆過程，根據對病毒的分析，開發病毒消除程序、軟件，殺滅病毒。

（5）網絡主機的操作系統安全和物理安全措施。

防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防護墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全；同時注意安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道防線，主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線，用來系統遭受攻擊之后進行系統的恢復。在防火墻和主機安全措施之后，四全局性的由系統安全審計、入侵檢測和應急處理機構的整體安全檢查和反應措施。它從網絡系統中的防火墻、網絡主機甚至直接湊夠網絡鏈路層上提供網絡狀態信息，作為輸入提供給入侵檢測子系統。入侵檢測子系統根據一定得規則判斷是否有入侵事件發生，如果有入侵發生，則啟動應急處理措施，并產生警告信息。而且，系統的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統安全策略進行改進的信息來源。

4結束語

21世紀全世界的計算機都通過Internet聯到一起，人類對信息資源共享的依賴性也越來越強，來自計算機網絡的威脅也日益嚴重，網絡安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。人類在分享網絡帶來的方便、高效的同時，也要進一步著手建立有效的安全防護體系。網絡安全是國家發展所面臨的一個重要問題。對于這個問題，我們必須從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它，以此保障計算機網絡的安全運轉。

參考文獻

[1]戴紅，王海泉，黃堅.計算機網絡安全.北京：電子工業出版社，2004

[2]范素菊.淺談計算機網絡安全防護技術.商場現代化，2010（14）