現代網絡技術安全分析

許明霞

（中國建材國際工程集團有限公司，蚌埠233018）

現代網絡技術安全分析

許明霞

（中國建材國際工程集團有限公司，蚌埠233018）

隨著各企業的不斷發展壯大，企業之間和企業內部的聯絡都離不開互聯網，設計專業的資料搜索也離不開互聯網，網絡已成為現代企業運作和發展不可或缺的一部分。互聯網的快速普及以及應用越來越廣泛，必然引發一系列的網絡安全問題。該文主要分析了網絡安全的重要性并針對影響網絡安全的一系列問題提出了解決方法。

網絡安全； 重要性； 技術分析

1 網絡安全

網絡安全是指通過采用各種管理措施和技術手段，使計算機網絡系統正常運行，防范信息盜竊和商業競爭攻擊，從而確保網絡數據的可用性、完整性和保密性。

網絡安全包括網絡設備安全、網絡信息安全、網絡軟件安全。

1.1 網絡安全的特點

1）機密性：保障信息的機密性。即不泄露給未被授權的用戶、實體，并且不被其使用的特性。

2）完整性：不能改變未經授權的數據的特性。也就是說，在存儲或傳輸過程中，保持信息不被修改、破壞和丟失的特性。

3）使用性：被授權的實體可以訪問，并可以按需求來使用。也就是說，需要的時候能夠存取自己所需要的信息。

4）控制性：能夠控制互聯網信息和內容的傳播。

1.2 威脅網絡安全的因素

威脅網絡安全的因素主要有兩大類：植入威脅和滲入威脅。植入威脅主要有：特洛伊木馬、陷門；滲入威脅主要有：假冒、旁路控制、授權侵犯。

2 網絡安全的風險分析

網絡安全是保障網絡正常運行和使用的必要前提。網絡安全不僅僅是某一點的安全，而是整個網絡的安全，需要從物理方面、網絡方面、系統方面、應用方面和管理方面等等進行立體的防護。網絡安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網絡層、應用層和管理層各個層面上的諸多風險類。根據國內的應用情況以及網絡系統的網絡結構，可以從物理風險、結構風險、系統風險、應用風險以及管理風險等方面進行全面地分析。

2.1 物理安全的風險分析

物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。網絡的物理安全是整個網絡系統安全的前提，因此要盡量避免網絡的物理安全風險。

2.2 網絡結構的安全風險分析

影響網絡系統安全性的重要因素是網絡的拓撲結構設計。在進行網絡外部和內部通信時，網絡內部的機器就會受到安全威脅，而且也會影響到在同一網絡上的其他許多系統，通過網絡的傳播，也會影響到其他連上互聯網的網絡，更甚者還有可能會影響到法律、金融等對安全十分敏感的領域。所以，在設計時，我們必須隔離公開服務器和外網及內部其它業務網絡，避免因網絡結構而引起的信息外泄；同時還要過濾外網的服務請求，只允許無安全威脅的正常的通信數據包到達相應的主機，其它的請求服務將會在到達主機之前就被拒絕。

2.3 系統安全風險分析

所謂的系統安全是指存在于整個網絡中的所有操作系統和網絡硬件平臺是否可信且無安全隱患。到目前為止，還沒有任何操作系統是絕對安全的，不同的用戶應該從自身的需求出發，從各方面對網絡作詳細的分析，盡可能選擇安全性高的操作系統。用戶不但要選擇盡可能安全的操作系統和硬件平臺，而且還要對操作系統進行必要的安全配置。首先必須確保用戶的合法性，加強登錄過程的認證；其次要將其進行的操作限制在最小的范圍內，嚴格限制登錄者的操作權限。

2.4 應用系統的安全風險分析

應用系統的安全性涉及到信息的安全性，是不斷發展變化的，而且應用類型也是不斷增加的。建立安全的系統平臺是保障應用系統安全性的主要措施，并且可以利用專業的安全工具不斷的找出漏洞，并對漏洞進行修補，提高應用系統的安全性。

保障信息的安全性，即保障機密信息不被泄露、攔截未經授權的訪問、保障信息的完整性、打擊假冒、破壞系統的行為等等。在網絡系統中，很多機密信息在網絡中流轉，一旦黑客竊取或者破壞某些重要信息，將會引發嚴重的經濟、社會以及政治問題。所以，用戶在使用計算機的時候，身份認證是至關重要的，而且對于某些重要信息的通訊必須通過授權，傳輸信息一定要加密。為了實現對數據的安全保護，必須采用多層次的訪問控制與權限控制手段，而且必須采用加密技術，保證網上傳輸的信息不被竊取和破壞。

2.5 管理的安全風險分析

網絡安全中，最關鍵的部分就是管理。管理責任不明確，不健全的安全管理制度以及可操作性不足等都是可能引發管理安全風險的。一旦在網絡中出現了某些攻擊行為或者安全威脅時，網管人員將無法及時發現，也不能進行實時的檢測、監控，以及向相關部門報告并發出預警信息。當然，在黑客進行攻擊行為以后，也沒有辦法向公安機關提供相關的追蹤線索，協助破案。也就是說，缺乏對網絡的控制和審查。因此，管理人員必須對站點的任何訪問活動都進行相關的多層次的記錄，以便于及時發現某些非法入侵行為。

制定健全的管理制度和嚴格的管理手段，并且深刻理解網絡并能提供直接的解決方案，是建立全新的網絡安全機制的必備條件，也是保障信息網絡的安全性、可擴充性以及可管理性的關鍵因素。

3 影響網絡安全的主要因素

由于企業網絡是由內部網絡、外部網絡和企業廣域網組成，網絡結構復雜，影響網絡安全的主要因素有：病毒入侵、黑客攻擊、數據被“竊聽”和攔截、拒絕服務、內部網絡安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。下面來分析幾個典型的網絡攻擊方式：

3.1 病毒入侵

幾乎有計算機的地方，就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，并能夠通過網絡、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大，所以它的危害最能引起人們的關注。病毒的“毒性”不同，輕者只會在機器上顯示幾個警告信息，重者則有可能破壞或危及個人計算機乃至整個企業網絡的安全。任何類型的網絡免受病毒攻擊最保險和最有效的方法是對網絡中的每一臺計算機安裝防病毒軟件，并定期更新升級，值得用戶信賴的防病毒軟件包括360殺毒、騰訊電腦管家和金山毒霸等。然而，只有殺毒軟件不行，還必須在意識上加強防范，不隨意打開來歷不明的郵件，不上陌生網站，不下載有安全隱患的文件等。

3.2 黑客攻擊

隨著越來越多黑客案件的報道，企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網絡的安全漏洞，不經允許非法訪問企業內部網絡或數據資源，從事刪除、復制甚至毀壞數據的活動。一般來說，黑客常用的入侵動機和形式可以分為兩種。黑客通過尋找未設防的路徑進入網絡或個人計算機，一旦進入，他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網絡，所有這些都會對企業造成危害。黑客非法闖入將具備企業殺手的潛力，企業不得不加以謹慎預防。防火墻是防御黑客攻擊的最好手段，位于企業內部網與外部之間的防火墻產品能夠對所有企圖進入內部網絡的流量進行監控。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞任何有非法入侵企圖的可疑的網絡活動。

3.3 數據“竊聽”和攔截

這種方式是直接或間接截獲網絡上的特定數據包并進行分析來獲取所需信息。一些企業在與第三方網絡進行傳輸時，需要采取有效措施來防止重要數據被中途截獲，如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法，其可以將數據變成只有授權接收者才能還原并閱讀的編碼。進行加密的最好辦法是采用虛擬專用網（VPN）技術。一條VPN鏈路是一條采用加密隧道（tunnel）構成的遠程安全鏈路，它能夠將數據從企業網絡中安全地輸送出去。兩家企業可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業局域網的VPN鏈路來安全地訪問企業內部數據。

3.4 拒絕服務

這類攻擊一般能使單個計算機或整個網絡癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網絡用戶使用該服務或破壞正常的商務活動。例如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務；通過向企業的網絡發送大量信息而堵塞合法的網絡通信，最后不僅摧毀網絡架構本身，也破壞整個企業運作。

3.5 內部網絡安全

為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。例如，銷售人員不能夠瀏覽企業人事信息等。但是，大多數小型企業無法按照這一安全要求操作，企業規模越小，每個人所要求承擔的工作就越多。如果一家企業在近期內會迅速成長，內部網絡的安全性將是需要認真考慮的問題。

3.6 電子商務攻擊

從技術層次分析，試圖非法入侵的黑客，或者通過猜測程序對截獲的用戶賬號和口令進行破譯，以便進入系統后做更進一步的操作；或者利用服務器對外提供的某些服務進程的漏洞，獲取有用信息從而進入系統；或者利用網絡和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘，以獲取進一步的有用信息；或者通過系統應用程序的漏洞獲得用戶口令，侵入系統。

4 網絡安全的防范措施

互聯網在給人們帶來方便的同時，它的開放性和共享性，也讓網絡里通訊的內容和數據充分暴露，極其容易遭受到各種攻擊，而每一種攻擊帶來的后果都是很嚴重的，比如數據被人竊取、篡改，服務器被攻擊癱瘓等等。伴隨著信息技術的進步和科技的快速發展，網絡安全技術也越來越不容忽視，各種網絡安全技術也迎來了黃金發展期，諸如防火墻技術、入侵檢測技術、虛擬局域網技術、訪問控制技術等等。系統結構本身的安全決定了企業的網絡安全，因此企業網絡安全系統必須利用結構化的觀點和方法來看待。

4.1 虛擬局域網技術

虛擬局域網技術是指通過交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡，可以很好地從鏈路層保障網絡的安全。虛擬局域網技術，是根據用戶的邏輯設定將原來物理上互連的一個局域網劃分為多個虛擬子網，劃分的依據可以是設備所連端口、用戶節點的MAC地址等。這一技術的實現，能夠有效地控制網絡流量以及防止廣播風暴風險，并且也可以利用MAC層的數據包過濾技術，對安全性要求較高的虛擬局域網端口實施MAC幀過濾。這種技術還有一個很大的優點：即便某一虛擬子網被黑客攻破，他們也無法竊取到整個網絡的信息。

4.2 網絡分段

網絡分段就是將非法用戶與網絡資源隔離開，阻止非法用戶訪問網絡的行為發生。以廣播為基礎的以太網是大多數企業網絡所采用的，這種網絡結構的弊端就是任何兩個節點之間的通信數據包，都有可能被處在同一以太網上的另外任何一個節點的網卡所截取。所以，只要以太網上的任何一個節點被黑客接入并進行偵聽，這個以太網上的所有數據包就有可能被其捕獲和竊取，通過對數據包進行解包分析，竊取關鍵信息就易如反掌了。因此，網絡分段是企業網絡必須采取的網絡安全防范措施之一，通過隔離手段，才能更好的保護網絡上的信息安全。

4.3 硬件防火墻技術

硬件防火墻通常位于企業網絡的邊緣，它能很好的將企業內部網絡與Internet之間或者與其他外部網絡互相隔離，通過隔離來限制網絡互訪來達到保護企業內部網絡的目的。實現和維護防火墻是任何一個企業安全策略的重要組成部分，因此，硬件防火墻也是防范網絡安全的一個極其重要的因素。同時，通過設置防火墻，可以實現在內部網與外部網之間建立一條唯一的通道，從而大大地簡化了網絡的安全管理。

4.4 入侵檢測技術

入侵檢測技術是對防火墻技術的重要補充，此技術的實施不僅可以幫助系統對付網絡攻擊，而且也擴展了系統管理員的安全管理能力，從而提高了信息安全基礎結構的完整性。入侵檢測技術是收集計算機網絡系統中的若干關鍵點的信息，并對這些信息進行分析，從中尋找網絡中的違反安全策略的行為和遭到襲擊的跡象。入侵檢測技術是在不影響網絡性能的基礎上對網絡進行監測，從而實現對網絡內部信息的實時保護，打擊外部攻擊以及非法操作。

5 結 論

網絡安全與企業發展息息相關，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性已變得十分重要，企業網絡安全已被提到重要的議事日程。網絡的安全必須依靠不斷創新的技術進步與應用、自身管理制度的不斷完善和加強、網絡工作人員素質的不斷提高等措施來保障。同時，要加快網絡信息安全技術手段的研究和創新，從而使網絡的信息能安全可靠地為廣大用戶服務。

［1］ 高永強，等.網絡安全技術與應用［M］.北京：人民郵電出版社，2003.

［2］ 馮 元.計算機網絡安全基礎［M］.北京：科學出版社，2003.

［3］ 石志國.計算機網絡安全教程［M］.北京：清華大學出版社，2004.

［4］ 顧巧論.計算機網絡安全［M］.北京：科學出版社，2003.

Analysis of Network Security

XU Ming－xia
（China Triumph International Engineering Co，Ltd，Bengbu 233018，China）

With the constant development of various enterprises，between enterprise and enterprise internal contact cannot leave the Internet，the design professional information search is also inseparable from the Internet.Network has become an indispensable part of modern enterprise operation and development.The rapid popularization of the Internet and more and more widely applied，inevitably cause a series of network security problems.This paper mainly analyzed the importance of network security，and the solutions were put forward for a series of problems in network security.

network security；importance； technology analysis

2014－01－10.

許明霞（1981－），工程師.E－mail：xmx＠ctiec.net

10.3963/j.issn.1674－6066.2014.02.038