淺議計算機網絡安全技術

摘 要 計算機網絡的應用日益成為人們生活中不可缺少的組成部分。建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據，不會發生增加、修改、丟失和泄露等。本文首先闡述了計算機網絡安全的主要威脅，接著分析了計算機網絡安全的特性。同時，從建立網絡管理平臺；使用高安全級別的操作系統；限制系統功能；身份認證；認證：CA 等方面就如何完善計算機網絡安全技術提出了自己的建議和看法，具有一定的參考價值。

關鍵詞 網絡安全技術 限制系統功能 網絡管理平臺

中圖分類號： TP393 文獻標識碼：A

1 計算機網絡安全的主要威脅

如果對比分析PSTN、ATM 和FR 等網絡技術，就會發現IP 網絡在設計上存在的不足或缺陷。TCP/IP 通信協議自20 世紀60 年代末誕生以來， 已經歷了30 多年的實踐檢驗，并成為Internet 的基礎。TCP/IP 通信協議的不斷發展和完善促進了Internet 的發展，同時Internet 的發展又進一步擴大了TCP/IP 通信協議的影響。目前，幾乎所有廠商的網絡產品都支持TCP/IP，雖然TCP/IP 取得了巨大的成功，但其存在的設計缺陷不可回避。

一方面，網絡提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統效率和可靠性，并且還具有了擴充性。另一方面，正是這些特點增加了網絡受攻擊的可能性。計算機網絡所面臨的威脅包括對網絡中信息的威脅和對網絡中設備的威脅。網絡軟件的漏洞和“后門”，網絡軟件不可能是百分之百無缺陷和無漏洞的。然而，這些漏洞和缺陷恰恰是黑客經常攻擊的首選目標。曾經出現過的黑客攻入網絡內部的事件大部分就是因為安全措施不完善所招致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了方便而設置的，一般不為外人所知，但一旦“后門”打開，其造成的后果將不堪設想。總的說來，網絡安全的主要威脅來自以下幾個方面：自然災害、意外事故；計算機犯罪；內部泄密；外部泄密；信息丟失；電子諜報；信息戰等。

2 計算機網絡安全的特性

保密性——保證只有授權用戶可以訪問數據，而限制其他用戶對數據的訪問。 數據的保密性分為網絡傳輸的保密性和數據存儲保密性兩個方面。網絡傳輸保密性通過對傳輸數據進行加密處理來實現；數據存取保密性主要通過訪問控制來實現。

完整性——數據未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。一般通過訪問控制、數據備份和冗余設置來實現數據的完整性。

可用性——可被授權實體訪問并按需求使用的特性，即當需要時能否存取和訪問所需的信息。網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。

不可否認性——在信息交互過程中確信參與者的真實同一性，所有參與者都不能否認和抵賴曾經完成的操作和承諾。數字簽名技術是解決不可否認性的重要手段之一。

可控性——人們對信息的傳播途徑、范圍及其內容所具有的控制能力。

3 如何完善計算機網絡安全技術

（1）建立網絡管理平臺

現在的網絡系統日益龐大，網絡安全應用中也有很多成熟的技術，如防火墻、入侵檢測、防病毒軟件等；但這些系統往往都是獨立工作，處于“各自為政”的狀態，要保證網絡安全以及網絡資源能夠充分被利用，需要為其提供一個經濟安全、可靠高效、方便易用、性能優良、功能完善、易于擴展、易于升級維護的網絡管理平臺來管理這些網絡安全設備。

（2）使用高安全級別的操作系統

在建設網絡選擇網絡操作系統時，要注意其提供的安全等級，應盡量選用安全等級高的操作系統。美國國防部1985 年提出的計算機系統評價準則，是一個計算機系統的安全性評估的標準，它使用了可信計算基TCB 這一概念，即計算機硬件與支持不可信應用及不可信用戶的操作系統的組合體。網絡操作系統的安全等級是網絡安全的根基，如根基不好則網絡安全先天不良，在此之上的很多努力將無從談起。

（3）限制系統功能

可通過一些措施來限制系統可提供的服務功能和用戶對系統的操作權限，以減少黑客利用這些服務功能和權限攻擊系統的可能性。例如，通過增加軟硬件，或者對系統進行配置如增強日志、記賬等審計功能來保護系統的安全；限制用戶對一些資源的訪問權限，同時也要限制控制臺的登陸。可以通過使用網絡安全檢測儀發現那些隱藏著安全漏洞的網絡服務，或者采用數據加密的方式。加密指改變數據的表現形式。加密的目的是只讓特定的人能解讀密文，對一般人而言，其即使獲得了密文，也不解其義。Internet 是一個開放的系統，穿梭于其中的數據可能被任何人隨意攔截，因此，將數據加密后再傳送是進行秘密通信的最有效的方法。

（4）會談鑰匙

認證的目的在于識別身份，認證環節雖然可保證雙方的通信資格，但不會保護雙方后續通信內容的安全。如果在彼此確認身份之后，進行明碼通信，則通信內容難保不被竊聽或竄改。為了讓后續會話仍可秘密進行，在認證之后，同樣需要利用密碼學技術對會話數據進行加密。對于大量數據，由于采用公用鑰匙加密成本較高，所以大多用秘密鑰匙進行加密。雙方若需采用秘密鑰匙進行通信，必須首先商定用于加密通信內容的秘密鑰匙，此鑰匙即所謂的會談鑰匙。

參考文獻

[1] 王艷柏，譚璐.網絡安全的探討[J].長春大學學報，2005（2）：136-140.

[2] 富強.東軟網絡安全十年發展之路[J].計算機安全，2006（7）：130-132.