網絡安全問題與解決方案

余芝軒

(黃岡職業技術學院，湖北 黃岡 438002)

?

網絡安全問題與解決方案

余芝軒

(黃岡職業技術學院，湖北 黃岡 438002)

摘要：計算機技術的快速發展，網絡安全成為人們研究的重點，探討了網絡安全的現狀及問題由來以及幾種主要網絡安全技術。

關鍵詞：網絡;安全；問題;

1網絡安全存在的問題

網絡安全問題顯得越來越重要了。國際標準化組織(ISO)將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。

1.1數據庫管理系統

數據庫管理系統是基于分級管理的理念而建立，本身就存在缺陷。因此，由于數據庫的不安全因素的存在就會將用戶上網瀏覽的痕跡泄漏，用戶在網上存儲和瀏覽的信息，通過這些用戶的賬號，密碼都會被泄漏，這樣就會大大威脅到用戶的財產隱私安全。

1.2網絡中存在的不安全

用戶可以通過網絡自由發布和獲取各類信息，因此，網絡的威脅也來自方方面面。這些威脅包括傳輸線的攻擊及網絡協議的攻擊以及對計算機軟件或硬件的攻擊。在這些威脅中最主要的是在計算機協議中存在的不安全性因素，計算機協議主要包括：FTP、IP/TCP協議、NFS等協議，這些協議中如果存在漏洞網絡入侵者就能夠根據這些漏洞搜索用戶名，可以猜測到機器密碼口令，攻擊計算機防火墻。

1.3計算機操作系統

計算機的整個支撐軟件是它的操作系統，電腦中的所有程序運行都靠支撐軟件為其提供環境。一旦網絡入侵者控制了操作系統，那么用戶口令就會被泄露，用戶在各個程序中殘留的信息就會被入侵者截取。另外，如果計算機的系統掌管了內存，CPU的程序存在漏洞，在這種情況下通過這些漏洞入侵者就可以使得服務器或計算機癱瘓。如果在安裝程序的過程中出現漏洞，那么用戶加載、上傳的文件就會被網絡入侵者通過間諜程序監視。這是因為這些不安全的程序，才讓入侵者有機可趁，所以用戶應該盡量避免使用這些不了解的軟件。除此之外，系統還能夠對守護進程進行遠程調用，這些都是網絡入侵者可以利用的薄弱環節。

2網絡安全技術保障措施

2.1防火墻技術

防火墻系統是一種保護計算機網絡安全的技術手段，它是一個用來阻止網絡中的黑客或未經授權訪問某個機構的屏障，它處于被保護網絡和其它網絡的邊界，通過建立起相應的網絡通信監控系統來隔離內部和外部網絡，阻擋外部網絡的入侵。

2.1.1包過濾防火墻：包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先需建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可用于禁止外部不合法用戶對內部網絡的訪問，也可以用來禁止訪問某些服務類型，如一些辦公網系統、計費帳務系統等就是采用這類防火墻。

2.1.2代理防火墻：代理防火墻又稱應用級網關防火墻，它一般由代理服務器和過濾路由器組成，也是目前電信企業普遍采用的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互聯，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。代理服務器起到外部網絡申請訪問內部網絡的中間轉接作用，其功能類似于一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時，代理服務器接受申請，然后根據服務器類型、服務內容、被服務的對象、服務者申請的時間、申請的域名范圍等來決定是否接受該項服務，如果接受，它就向內部網絡轉發這項請求。

2.2數據加密技術

數據加密技術和密碼保護措施是電信企業采用較多的一種網絡安全保障措施，由于互聯網應用的蓬勃發展、網上購物、電子政務等的日益普及，通信行業競爭的日益激烈，保證網上信息的安全性和用戶業務使用的安全性就成為影響電信企業生存發展和提供優質服務必須重點關注的問題。

信息加密的目的是為了保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據和信息不被竊取、修改和偽造。信息加密主要有網絡鏈路加密方法、網絡端點加密方法、網絡節點加密方法三種。電信企業局端網絡設備均有多重加密措施，一是傳輸的數據均通過加密，加密的方式主要有常規密碼算法和公匙密碼算法，在常規密碼中，收信方和發信方使用相同的密匙，即加密密匙和解密密匙是相同的或等價的。常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊。在公匙密碼中，收信方和發信方使用的密匙互不相同，而且幾乎不可能從加密密匙推導出解密密匙，公匙密碼的優點是可以適應網絡的開放性要求，可方便的實現數字簽名和驗證。在電信業的網絡管理系統中，一般實行利用令牌加三級密碼保護的方式，令牌完成硬件認證，沒有該部件無法進入認證程序，三級密碼保護對網管系統的操作進行權限控制，保證網絡的安全，使得采用詞典攻擊或非法攻擊基本不可能。

2.3網絡安全掃描技術

網絡安全掃描技術是系統管理員為了及時了解系統中存在的安全漏洞，采用一定的軟件技術，定期對系統中的關鍵設備按照事先編制的程序進行循環檢測的安全技術。電信企業已經建立了一套完善的網絡安全掃描體系，電信數據網管中心會定期對管核范圍內的核心路由器、交換機、BRAS等設備和本地網的網絡管理控制終端通過遠程網管進行掃描，發現系統存在的軟件缺陷、操作系統漏洞、不健全的管理口令、機房核心設備不必要打開的端口等，以互聯網安全信息通報的形式下發各地市，并提出整改技術措施，保證數據通信網絡安全。

2.4訪問控制技術

各種網絡安全措施必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全的核心措施之一。主要包括入網訪問控制、網絡的權限控制、網絡服務器安全控制、網絡監測和鎖定控制等。

入網訪問控制為網絡訪問提供了第一層訪問控制。他控制哪些用戶能夠登陸到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中任何一道未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法，如果驗證合法，才繼續驗證用戶輸入的口令，否則用戶將被拒絕之網絡之外。

2.5VPN(虛擬專用網)技術措施

在電信企業提供的各種網絡服務中，象銀行、證券業等涉及重要商業機密、經濟安全和公安網絡涉及國家安全等網絡服務，就不能采用常規的聯網提供網絡服務，必須采取特別的網絡安全保護措施。物理隔離和組建專網是最直接的解決辦法，但它們實施困難、成本高，不便于資源共享，而具有高品質、高QOS保證的企業虛擬專用網VPN技術就為這類電信企業大客戶的通信需求提出了最好的解決手段。

2.6VLAN技術措施

虛擬局域網技術主要是基于局域網技術發展起來的。由于以太網本質上是基于廣播技術的，組建一個個的局域網就要采用大量的路由器，且網絡結構復雜，時延大。采用交換技術和VLAN技術后，就將傳統的基于廣播的局域網發展為了面向連接的技術，實現點到點的通信。采用VLAN技術后信息只到達應該到達的地點，防止了大部分基于網絡監聽的入侵手段，通過虛擬網設置的訪問控制，使在虛擬網外的網絡結點不能直接訪問網內的結點。

參考文獻：

[1]張詠梅.計算機通信網絡安全概述.中國科技信息，2006.

[2]鄭宇.農村信息服務網絡結點建設探討.

作者簡介：余芝軒(1967.3-)，女，湖北英山人，黃岡職業技術學院副教授，碩士，研究方向:高職教育，計算機。

中圖分類號：G420

文獻標志碼：A

文章編號：1671-1602(2016)14-0023-02