計算機網絡安全分析研究

王 金

（中國人民銀行邯鄲市中心支行 河北 056002）

1 計算機網絡與計算機網絡安全

計算機網絡是計算機技術與通信技術相結合的產物，它通過數據通信系統和功能完善的網絡軟件來實現不同地理區域的，具有獨立功能的計算機之間的數據通信、資源共享和協同工作。自 20 世紀 50 年代初，面向終端的第一代計算機網絡產生以來，計算機網絡隨著信息技術的發展而得到了高速的發展。計算機網絡改變著人們賴以行動的社會信息結構，改變著人們獲取利用信息的方式，從而引起人類生活方式的全面改觀。

國際標準化組織(IS0)定義計算機系統安全為數據處理系統采用的網絡管理控制和技術措施，以使計算機軟件、硬件及其數據的可使用性和完整性受到保護，不會因為一些惡意的原因或偶然的原因遭到更改、泄露和破壞。網絡安全為一個具有實踐性的涉及到多種技術領域的技術領域，網絡信息安全與保密指的是保護網絡信息系統，即保護其不出事故、不受威脅、沒有危險。網絡信息安全與保密的目標從技術角度來說主要體現為系統的完整性、保密性、可用性、不可抵賴性、真實性等方面。網絡信息安全的意義即是保護信賴關系、資料、端系統的處理能力、網絡的傳輸能力這三個要素，保證這三者為且僅只為所適合的用戶服務。計算機網絡自身信息系統的脆弱性和其存在的局限性，使得計算機網絡系統上的通信資源、硬件資源、信息及軟件資源等因一些可或不可預測的原因甚至惡意的原因而使這些資源遭到更改、破壞、功能失效或泄露，而導致網絡信息系統狀態異常，嚴重時甚至導致整個網絡信息系統完全癱瘓，而導致損失巨大。因此，保護網絡信息系統的網絡安全尤為重要。

2 網絡安全面臨的威脅及原因

計算機網絡安全面臨的威脅有很多，常見的有自然災害、網絡結構的缺陷、人為的惡意攻擊、計算機病毒、垃圾郵件和間諜軟件、計算機犯罪等。

(1)自然災害。計算機網絡系統僅僅是一個智能的機器，容易受到自然災害及環境（溫度、濕度、振動、沖擊、污染）的影響。目前，我們不少使用計算機空間都沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施，接地系統考慮欠周，抵御自然災害和意外事故的能力較差。

(2)網絡結構的缺陷。計算機網絡系統是建立在各種通信協議的基礎之上的，但是因特網設計的初衷是為了計算機之間交換信息和數據共享，缺乏對安全性整體的構想和設計，協議的開放性、共享性以及協議的設計時缺乏認證機制和加密機制這些使得網絡安全存在著先天性的不足。因特網特有的開放性和互聯性從安全角度反而變成了易受攻擊的弱點，成為了網絡安全隱患的便利渠道。

(3)人為的惡意攻擊。人為的惡意攻擊是目前威脅計算機網絡安全的最大隱患。惡意攻擊方式主要為主動攻擊和被動攻擊兩種方式。主動攻擊是利用某些技術選擇性的破壞信息的完整性和有效性；被動攻擊即在網絡正常工作不受影響的情況下，進行信息的竊聽、獲取、截獲、破譯以得到其中重要的機密信息。這兩種攻擊方式都可導致計算機網絡的巨大損傷及一些重要數據的泄漏。目前市場上出現的網絡軟件都存在一定的漏洞和缺陷，網絡黑客們常使用非法手段侵入包含重要信息的系統，竊取、侵入級攻擊這些重要的敏感性信息，使信息網絡得到破壞或修改，而無法正常使用，造成數據部分或全部丟失甚至可能導致計算機網絡系統完全癱瘓，給國家和人民帶來重大經濟損失和政治影響。

(4)計算機病毒。計算機病毒是可執行、可存儲、可隱藏在數據文件或可執行程序中而不被人發現，經觸發后可執行一些程序來控制部分或全部系統，有潛伏性、傳染性、破壞性和可觸發性等特點。計算機病毒常常通過復制、傳送、運行程序文件等操作傳播。硬盤、軟盤、網絡和光盤是計算機病毒傳播的主要方式和途徑。計算機病毒一旦運行可能會降低計算機網絡系統的工作效率，也有可能損壞系統或程序文件甚至刪除文件而導致數據的丟失，最嚴重的是它有可能破壞計算機系統的硬件而造成各種難以想象的后果。

(5)垃圾郵件和間諜軟件。電子郵件具有地址公開性和系統可廣播性的特點，一些不法分子卻利用電子郵件這一特點，進行商業、政治、宗教等活動，把一些垃圾郵件強行推入別人的電子郵箱。間諜軟件不同于計算機病毒，其主要目的不在于對系統造成破壞，而是竊取計算機信息或是用戶隱私，威脅用戶隱私和計算機系統安全，甚至可能小范圍的影響系統性能。

(6)計算機犯罪。計算機犯罪通常是利用竊取口令等手段非法侵入計算機信息系統，傳播有害信息，惡意破壞計算機系統，實施貪污、盜竊、詐騙和金融犯罪等活動。

3 網絡安全的防護措施

針對上述網絡安全的威脅，我們應制定一套完整的防范措施，以利于用戶安全使用計算機，維護廣大用戶的利益。計算機網絡安全的防護措施主要有：

(1)防火墻技術。防火墻是一種由計算機硬件和軟件組成的一個或一組系統，用于增強內部網絡和因特網之間的訪問控制，它可通過檢測、限制、更改跨越防火墻的數據流來實現網絡的安全保護。防火墻的主要組成部分應包括一個不允許訪問的IP地址表、一個不允許通過的用戶地址表、IP地址匹配算法、過濾某類具體應用或信息包的過濾算法。常見的防火墻類型有包過濾型、應用代理型、網絡地址轉換的NAT和監測型防火墻。

(2)數據加密技術。數據加密是在信息傳輸過程中，將信息通過一系列復雜的方式重新編碼，進行信息加密解密，在隱藏信息的同時提供對信息來源的鑒別，從而保證信息的完整性和不可否認性。數據加密技術包括數據存儲、數據傳輸、數據完整性鑒別和密鑰管理等。在目前的數據加密系統中，對信息安全性的保護主要取決于對密鑰的保護而不是對系統和硬件本身的保護，所以密鑰的保密和安全管理在數據系統中是極其重要的。

(3)入侵檢測技術。入侵檢測是繼防火墻之后發展起來的新一代網絡安全保障技術，是一種集檢測、記錄、報警、響應技術于一體，能主動保護自己免受攻擊的動態網絡安全策略。入侵檢測系統是一種積極主動的網絡安全防護工具，提供了對內部、外部攻擊和誤操作的實時防護，在網絡系統受到危害之前攔截相應入侵。入侵檢測技術的研究主要面向以下幾個方面：分布式入侵檢測與通用式入侵檢測架構；開發研制具有自學習、自適應能力的智能入侵檢測系統；設置應用層的入侵檢測保護；研制硬件入侵檢測系統等。

(4)物理隔離網閘。物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接， 使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

“三分技術七分管理”，一直都是安全界的名言，網絡安全管理也不例外，即使有了再好的技術，沒有妥善的管理措施和立法保護措施，網絡安全同樣也會受到不小的威脅。要采取切實可行的方法，加強管理，立章建制，提高內部管理人員整體素質，增強內部人員的安全防范意識。在宏觀方面，要快速加強法制建議，進一步完善關于網絡安全的法律，以便更有利地打擊不法分子。

4 總結

計算機網絡安全是對付威脅、保護網絡資源的所有措施的總和，涉及政策、法律、管理、教育和技術等方面的內容。計算機網絡安全是一項系統工程，單純運用某一種防護措施是無法保證網絡信息安全的，我們必須綜合運用各種防護策略，集眾家之所長，互相配合，從而建立起網絡信息安全的防護體系。因此，我們對網絡信息安全的防護必須非常謹慎，最大程度地降低黑客入侵的可能，從而保護網絡信息的安全。

[1]張曉杰,姜同敏等.提高計算機網絡可靠性的方法研究[J].計算機工程與設計.2010.31(5):990-994.

[2]王秀和,楊明.計算機網絡安全技術淺析[J].中國教育技術裝備.2007.5:49-53.

[3]彭珺,高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程.2011.1:121-124.