計算機網絡安全威脅及防范策略初探

【摘要】本文分析了影響計算機網絡安全的主要因素，從管理和技術兩方面就加強計算機網絡安全提出了防范策略的建議。

【關鍵詞】計算機網絡 安全 管理 技術

中圖分類號：TP9 文獻標識碼：A 文章編號：1006-6675（2013）15-

計算機網絡大大增強信息服務靈活性，但具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、惡意軟件和其他不軌的攻擊。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性，對企業、政府乃至整個國家，顯得尤其重要。本文通過分析網絡安全面臨的主要威脅，從管理和技術兩方面就加強計算機網絡安全提出針對性建議。

一、影響網絡安全的主要因素

1、網絡系統本身的缺陷

（1）TCP/IP 協議

目前網絡環境中廣泛采用的TCP/IP協議，因為其開放性，大量重要的應用程序都以TCP作為它們的傳輸層協議，因此TCP的安全性問題會給網絡帶來嚴重的后果。

（2）網絡結構

互聯網是由無數個局域網連成的巨大網絡組成。當一臺主機和另一局域網的主機進行通信時，它們之間互相傳送的數據流要經過很多設備的重重轉發；任何兩個節點之間的通信數據包，既被這兩個節點的網卡所接收，也同時被處在同一以太網上的任何一個節點的網卡所截取。因此，黑客只要接入以太網上的任一節點進行偵測，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息。互聯網上大多數數據流都沒有進行加密，因此黑客利用工具很容易對網上的電子郵件、口令和傳輸的文件進行破解。

（3）安全策略

許多局域網在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用；訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機；有些小型網絡基于成本考慮，直接以路由器代替防火墻。

2、來自網內用戶的安全威脅

來自網絡內部用戶的安全威脅遠大于外部網用戶的安全威脅。如操作口令的泄漏，磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內部用戶下載安裝帶有木馬的軟件，這些給黑客帶來可乘之機，都可能使網絡安全機制形同虛設。

二、加強計算機網絡安全的主要策略

計算機網絡安全的實現，可以從兩方面入手，一是建立科學的管理制度，二是運用先進的各種網絡安全技術。從技術上來說，目前成熟的網絡安全技術主要有：防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等。

1、加強網絡安全管理和教育

據《互聯網信息服務管理辦法》、《互聯網站從事登載新聞業務管理暫行規定》和《中國互聯網絡域名注冊暫行管理辦法》，建立健全各種安全機制、各種網絡安全制度，加強網絡安全教育和培訓。

2、運用先進的網絡安全技術

（1）防火墻技術。在被保護網絡周邊建立的用于分隔被保護網絡與外部網絡的系統。一方面阻止外界對內部網絡資源的非法訪問，另一方面也可以防止系統內部對外部系統的不安全訪問。實現防火墻的主要技術有：數據包過濾、應用級網關、代理服務和地址轉換。防火墻的應用可最大限度地保障網絡的正常運行，可以提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。

（2）網絡加密技術。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。加密數據傳輸主要有三種：①鏈接加密。在網絡節點間加密，在節點間傳輸加密的信息，傳送到節點后解密，不同節點間用不同的密碼。②節點加密。與鏈接加密類似，不同的只是當數據在節點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密，然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多，在實際應用中，人們通常根據各種加密算法結合在一起使用，這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一。既可以對付惡意軟件攻擊，又可以防止非授權用戶的訪問。

（3）入侵檢測技術。入侵檢測系統可以分為兩類，分別基于網絡和基于主機。基于網絡的入侵檢測系統主要采用被動方法收集網絡上的數據。目前，在實際環境中應用較多的是基于主機的入侵檢測系統，它把監測器以軟件模塊的形式直接安插在了受管服務器的內部，它除了繼續保持基于網絡的入侵檢測系統的功能和優點外，可以不受網絡協議、速率和加密的影響，直接針對主機和內部的信息系統，同時還具有基于網絡的入侵檢測系統所不具備的檢查特洛伊木馬、監視特定用戶、監視與誤操作相關的行為變化等功能。有的入侵檢測設備可以同防火強進行聯動設置。

（4）防病毒技術。隨著計算機技術的不斷發展，計算機病毒變得越來越復雜和高級，擴散速度也越來越快，對計算機網絡構成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上，它們主要注重于所謂的“單機防病毒”，即對本地和本工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒，一旦病毒入侵網絡或者從網絡向其它資源感染，網絡防病毒軟件會立刻檢測到并加以刪除。

總之，網絡安全是一個綜合性的系統工程，涉及技術、管理、使用等諸多方面，既包括信息系統本身的安全問題，也有物理和邏輯的技術措施，也應注重樹立人的計算機安全意識，才可能防微杜漸。因此，只有綜合采取多種防范措施，制定嚴格的保密政策和明晰的安全策略，才能為網絡提供強大的安全保證。

參考文獻

[1]《計算機網絡—原理、技術與應用》，王相林 編著/ 2010-07-01/機械工業出版社.

[2]《計算機網絡安全》，王文斌，王黎玲 等編著/ 2010-06-01/清華大學出版社.

作者簡介

羅云霄（1971-），女，四川成都，工程師。