計算機網絡安全威脅及對策

◆張偉健 曾世強 李培瑜

（31638部隊 云南 650000）

網絡安全綜述與趨勢

計算機網絡安全威脅及對策

◆張偉健 曾世強 李培瑜

（31638部隊 云南 650000）

隨著信息技術的發展，計算機網絡被廣泛應用，隨之而來的網絡安全問題日益加劇，網絡安全形勢非常嚴峻。本文著重從技術角度梳理計算機網絡安全威脅，并從網絡安全機制和網絡安全技術等方面分析可用的網絡安全防護對策，旨在引起計算機網絡用戶對網絡安全的重視，使其了解網絡安全威脅的一般樣式，掌握常見的防護手段。

計算機網絡安全；安全威脅；安全機制；安全技術

0 前言

計算機網絡安全，就是計算機網絡上信息的安全[1]。具體來說，計算機網絡安全是指計算機及其網絡系統資源和信息資源不被未授權的用戶訪問，即計算機、網絡系統的軟硬件以及系統中的數據應受到保護，不因偶然或者惡意的原因而遭到破壞、更改或者泄露，系統能連續、可靠、正常地運行，確保網絡服務不中斷。保障計算機網絡的安全，就是要確保網絡信息在存儲和傳輸過程中的可用性、機密性、完整性、可靠性和不可抵賴性。

1 計算機網絡面臨的安全威脅

計算機網絡安全是保障整個系統正常工作，提供多樣化應用服務的基礎，面臨著來自不同層次的各種威脅和挑戰：一是人為的無意失誤，如用戶口令選擇不慎、賬號密碼的轉借或者丟失、安全策略配置不當等；二是他人的惡意攻擊，如黑客攻擊和計算機網絡犯罪等；三是系統本身存在的“后門”和漏洞[2]。

從技術角度分析，計算機網絡面臨的安全威脅主要包括病毒、木馬、蠕蟲、邏輯炸彈、拒絕服務攻擊、SQL注入、電子欺騙、僵尸網絡等[3]。

1.1 病毒

病毒（Computer Virus）是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒的典型特征是能夠自動運行，同時能夠自我復制并感染傳播，可以說是當前計算機網絡安全最嚴重的威脅因素之一。

1.2 木馬

木馬全稱為特洛伊木馬（Trojan Horse），是一種通過端口進行通信的程序，類似計算機遠程控制。木馬由客戶端和服務端組成（C/S），目標計算機被安裝服務端后，隨著計算機啟動而自動運行并在特定端口監聽，控制計算機運行客戶端并與之建立連接后就可以對目標計算機進行完全控制，危害極大。

1.3 蠕蟲

蠕蟲（Worm）是通過網絡傳播的惡性病毒，具有病毒的傳播性、隱蔽性、破壞性等共性特征，同時還有多種超越一般病毒的獨有特點。蠕蟲可以只存在于內存中而不用文件寄生，能夠自動傳播感染網絡內的其他計算機，也可以和其他黑客技術結合實施更大的破壞。蠕蟲傳播途徑更多，傳播速度更快，危害更大，短時間內蔓延全球的WannaCry勒索病毒就是其中的一種。

1.4 邏輯炸彈

邏輯炸彈（Logic Bomb）是指在滿足特定邏輯條件時，實施破壞的計算機程序，觸發后能夠造成計算機不能啟動、數據丟失、系統癱瘓，甚至出現物理損壞的假象。邏輯炸彈需要特定條件觸發，比如一個日期。和病毒相比，它通常不具有感染性，但更強調破壞作用本身。

1.5 拒絕服務攻擊

拒絕服務（Denial of Service，DoS）攻擊是導致合法用戶不能正常訪問網絡資源的行為。DoS攻擊通過對目標主機特定漏洞的攻擊導致其網絡癱瘓、系統崩潰從而“拒絕”提供網絡服務，被攻擊的目標主機通常是各類網絡服務器。分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊是拒絕服務攻擊的“升級版”，攻擊者通過控制很多“傀儡主機”向目標主機發送大量看似合法的數據包，造成網絡堵塞或者服務器資源耗盡，從而實現“拒絕服務”。當前常見的DDoS攻擊有SYN/ACK Flood攻擊、TCP全連接攻擊和Script腳本攻擊等。

1.6 SQL注入

SQL注入（SQL Injection）就是攻擊者通過構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過執行這些SQL語句進而執行攻擊者的惡意代碼。通過SQL注入，攻擊者可以獲取一些敏感的信息，甚至上傳木馬進而控制整個服務器。

1.7 電子欺騙

電子欺騙是利用目標網絡或計算機之間的信任關系來進行非授權訪問的一種攻擊手段。攻擊者通過多種手段冒充合法用戶，從而實現非授權的訪問。常見的電子欺騙方式有Web欺騙、IP欺騙、ARP欺騙、DNS欺騙、電子郵件欺騙等。

1.8 僵尸網絡

僵尸網絡（Botnet）是指攻擊者通過傳播僵尸程序以控制大量計算機，并通過控制服務器間接并集中控制這些被感染的計算機組成的網絡。僵尸程序通常是攻擊者專門編寫的類似木馬的控制程序，通過病毒、木馬、蠕蟲等多種方式進行傳播，使攻擊者能夠控制受感染的計算機。利用僵尸網絡，攻擊者可以遙控網絡中的大量計算機進行攻擊活動，可以實現信息竊取、分布式拒絕服務、海量垃圾郵件等攻擊行為。

2 保障計算機網絡安全的對策

針對復雜多變的網絡安全威脅，可以從技術、應用、法律和管理等不同角度研究保障計算機網絡安全的對策，本文主要從技術角度對網絡安全機制和網絡安全技術兩個方面進行討論。

2.1 網絡安全機制

針對不同層次的安全需求，可以通過設計安全協議、身份認證、訪問控制、構建攻擊防護和隱私保護等安全機制來實現網絡環境下信息的安全采集、傳輸、存儲和服務[4]。

2.1.1 安全協議

安全協議（Security Protocol）是建立在密碼體制基礎上的交互通信協議，運用密碼算法和協議邏輯來實現認證和密鑰分配等目標。網絡依托協議構建起來，安全協議貫穿于網絡的各層，是網絡安全的基礎。

2.1.2 身份認證

身份認證（Identity Authentication）是系統確認用戶身份的過程，通過認證確定用戶是否具有對某種資源的訪問和使用權限，進而使計算機網絡的訪問策略能夠可靠、有效地執行，保障授權用戶的合法權益。身份認證可以通過數字簽名、靜動態口令、智能卡、USB Key、生物識別、短信密碼、多因素認證等手段實現。

2.1.3 訪問控制

訪問控制（Access Control）是系統根據用戶身份及其所屬的某項定義組來限制用戶對某些信息項的訪問或某些功能的使用。訪問控制識別和確認訪問系統的用戶，決定該用戶可以對哪些系統資源進行何種類型的訪問，從而保障數據資源在合法范圍內得到有效的管理和使用。訪問控制的核心是安全策略的設計，常見的訪問控制模型包括自主（DAC）、強制（MAC）、基于角色（RBAC）、基于任務（TABC）、基于屬性（ABAC）等。

2.1.4 攻擊防護

攻擊防護（Attack Defense）是指為防止網絡攻擊而采取的各種防護措施。網絡攻擊者通常利用網絡存在的漏洞和安全缺陷對網絡系統的硬件、軟件以及其中的數據進行攻擊，包括竊聽、流量分析等被動攻擊方式和篡改、偽造、拒絕服務、破壞軟硬件等主動攻擊方式。常見的攻擊防護技術包括防火墻、防病毒、入侵檢測、網絡隔離、安全審計等。

2.1.5 隱私保護

隱私保護（Privacy Preservation）就是對個人、機構等實體的隱私信息進行保護。隱私即為數據所有者不愿意披露的敏感信息，包括敏感數據以及數據所表征的特性。在網絡環境下，隱私保護需求包括針對網絡鏈路信息的保護和針對網絡中的敏感數據的保護。常見的保護方法包括使用安全協議、修改或隱藏原始信息及敏感數據、使用加密技術、使用信息流控制技術等。

2.2 網絡安全技術

網絡安全機制需要運用相應的網絡安全技術實現，當前常用的網絡安全技術包括：信息加密、防火墻、防病毒、入侵檢測、網絡隔離、虛擬專用網、安全審計、容災備份等[5]。針對不用的網絡安全需求，網絡用戶在設計網絡安全方案和制定網絡安全策略時，可以靈活采用多種網絡安全技術。

2.2.1 信息加密

信息加密（Information Encryption）是利用數學或物理手段，對數據的存儲或傳輸過程進行保護，以防止信息泄露。信息加密通常需要選擇某種加密算法和密鑰，把明文信息加密為不可讀的密文信息，進而實現保密通信。實際應用過程中，信息加密和信息隱藏結合使用，能夠更好地提高信息的機密性和可靠性。

2.2.2 防火墻

防火墻（Fire Wall）是通過在網絡邊界上建立相應網絡通信監控系統來隔離內部和外部網絡，以阻擋來自外部的網絡攻擊。防火墻技術綜合采用了包過濾、內容過濾、代理、訪問策略等多種手段，阻止外部未授權訪問者對內部網絡的非法訪問。

2.2.3 防病毒

防病毒（Anti-Virus）是指通過一定的技術手段防止計算機病毒感染和破壞系統，主要關注計算機病毒的結構、破壞機理和傳播過程，除病毒預防以外，還包括病毒的檢測和清除等。防病毒是網絡安全措施的重要組成部分，各類殺毒軟件就是防病毒技術的典型代表。

2.2.4 入侵檢測

入侵檢測（Intrusion Detection）是為了保證計算機系統的安全而設計和配置的，能夠及時發現并報告系統中的未授權訪問或者異常現象，用于檢測計算機網絡中違反安全策略的行為。入侵檢測通過對行為、安全日志、審計數據或者其他可獲得的信息進行分析，檢測網絡攻擊和入侵行為，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持起訴等。

2.2.5 網絡隔離

網絡隔離（Network Isolation）是指兩個或兩個以上計算機或網絡在非直接物理連接的基礎上實現信息交換和資源共享。網絡隔離的主要目標是將不同的網絡安全威脅區域隔開，以保障數據信息在可信網絡內進行安全交換。網絡隔離通常以訪問控制為策略、物理隔離為基礎，并定義相關約束和規則來保障網絡的安全強度。

2.2.6 虛擬專用網

虛擬專用網（Virtual Private Network，簡稱VPN）是在公用網絡上建立安全的專用網絡。VPN并沒有傳統專用網所需的端到端的物理鏈路，而是架構在公用網絡上的邏輯網絡，用戶數據在邏輯鏈路中傳輸，通常采用加密、簽名、認證等安全手段保障通信的安全性，實現數據在非可信公用網絡上的安全傳輸。

2.2.7 安全審計

安全審計（Security Audit）是指依據安全法規和安全策略，對網絡設備、系統和軟件的安全規則設置和操作使用記錄進行分析和審查。安全審計的對象包括各類網絡設備配置規則、各種系統的日志和歷史記錄，其作用的是分析網絡上發生了哪些與安全有關的活動，誰對這些活動負責，它可以有效地發現和還原網絡入侵行為。

2.2.8 容災備份

容災備份（Anti-Disaster Backup）是指通過特定的容災機制，使計算機網絡系統在各種災難損害發生后，仍然能夠最大限度地提供正常的系統服務。通常是在異地建立兩套或多套相同功能的系統，互相之間可以進行狀態監視和功能切換，一處系統意外停止工作時，整個應用系統可以切換到另一處，該系統仍然可以正常工作。

3 結束語

計算機網絡安全是一項巨大的社會工程，涉及政治、經濟、軍事、科技等各個領域，影響著人們學習、工作、生活的方方面面。當前，急需提高全民的網絡安全防范意識，增強網絡安全法律觀念，并且建立綜合法律措施、物理措施、技術措施、管理措施等在內的計算機網絡安全長效機制。本文著重從技術角度分析了計算機網絡安全威脅及對策，在實際應用過程中，網絡用戶需要結合不同的網絡環境，靈活采用多種手段，綜合考慮、制定計算機網絡的安全方案和安全策略。

[1]張煥國，韓文報，來學嘉等.網絡空間安全綜述[J].中國科學：信息科學，2016.

[2]倪澎濤.計算機網絡安全現狀及對策研究[J].數字技術與應用，2012.

[3]章原發.計算機網絡信息安全及應對策略分析[J].網絡安全技術與應用，2015.

[4]杜常青.計算機網絡信息技術安全及其防范對策[J].信息安全與技術，2011.

[5]常燕.網絡環境下計算機信息安全技術及對策研究[J].信息與電腦(理論版)，2012.