計算機通信網絡安全與防護策略的幾點思考

李治國 國網山東省電力公司成武縣供電公司

1 計算機通信網絡存在的安全問題

1.1 防范體系不完整

隨著計算機信息技術的不斷發展，網絡安全問題也隨之產生，在計算機的使用過程當中，網絡安全問題的存在是不可避免的。所以，做到防護措施的規范性非常重要，網絡的安全問題，主要體現在病毒入侵、惡意攻擊和黑客操控。很多公司與企業，甚至到國家安全體系都與網絡通訊技術的安全性有著重要的關系，不能做好計算機通信安全防范措施對國家安全和企業都會帶來一定的損失，因此加強計算機通信網絡的安全防范至關重要。

1.2 管理體制不健全

如今我國的計算機通信系統管理體制不夠健全，缺乏相應管理體制的建立。企業和單位不重視網絡安全性，只注重經濟效益的發展，忽略了推動發展的根本方式就是網絡安全。維護系統的相關人員缺乏專業性的知識儲備，技術水平達不到相應標準也是因素之一。

1.3 技術人員不專業

社會上大量培訓計算機網絡技術學校的涌現，使計算機網絡安全技術人員的技術水平參差不齊。如技術人員的素質低下，在維護企業系統安全時必然會產生安全漏洞，使整個系統混亂不堪。正式的技術人員又因為忽視企業網絡安全的重要性，對工作過程敷衍了事。這些都是威脅計算機通信系統安全的因素。

2 提高計算機通信網絡安全的防護策略

針對以上提出的影響網絡安全的因素，我們從計算機系統、人員方面、網絡安全策略和安全技術等方面提出了提高計算機通信網絡安全的防護策略。

2.1 提高系統自身性能

計算機系統在研發設計時不能只考慮實效，而應該把通信安全因素考慮進去。網絡系統在設計時應該考慮到數據的保密難度，完善通信協議和通信軟件系統，減少軟件系統漏洞。使用通信網絡的過程中，制定必要的安全等級鑒別和防護措施，防止攻擊者利用軟件的漏洞直接侵人網絡系統，破壞或竊取通信信息。

2.2 強化網絡安全教育，發揮人在網絡安全上的作用

要認識到計算機通信網安全的重要性，廣泛開展網絡安全研究，加強技術交流和研究，掌握新技術，確保在較高層次上處于主動。人員是網絡安全管理的關鍵之一，人員不可靠，再好的安全技術和管理手段也是枉然，故計算機通信網絡的安全管理必須充分考慮人的因素。加大網絡管理人才的保留，加強各部門協作，加大高級網絡技術人員的培養和選拔，使他們具有豐富的網絡技術知識，同時也具有一定的實踐經驗，從而達到有效的防護網設。

3 制定并認真貫徹實施網絡安全策略

安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。應該從法規政策、管理、技術三個層次制定相應的策略，實現以下目的：

(1)使用訪問控制機制如身份鑒別，利用用戶口令和密碼等鑒別式達到網絡系統權限分級，鑒別真偽，訪問地址限制，如果對方是無權用戶或是權限被限用戶，則連接過程就會被終止或是部分訪問地址被屏蔽，達到網絡分級機制的效果。阻止非授權用戶進人網絡，即“進不來”，從而保證網絡系統的可用性。

(2)使用授權機制，利用網絡管理方式向終端或是終端用戶發放訪問許可證書，防止非授權用戶使用網絡和網絡資源。實現對用戶的權限控制，即不該拿走的“拿不走”，同時結合內容審計機制，實現對網絡資源及信息的可控性。

(3)使用加密機制，使未授權用戶 “看不懂”，保證數據不會在設備上或傳輸過程中被非法竊取，確保信息不暴露給未授權的實體或進程，從而實現信息的保密性。

(4)使用數據完整性鑒別機制，優化數據檢查核對方式，保證只有得到允許的人才能修改數據，而其它人“改不了”，防止數據字段的篡改、刪除、插入、重復、遺漏等結果出現，從而確保信息的完整性。

(5)使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“走不脫”，并進一步對網絡出現的安全問題提供調查依據和手段，實現信息安全的可審查性。

4 提高網絡安全技術

4.1 防火墻

計算機網絡的最大特點是開放性、無邊界性、自由性，要想實現網絡的安全，最基本的方法就是把被保護的網絡從開放的、無邊界的網絡環境中獨立出來，使之成為可管理的、可控制的、安全的網絡，實現這一目標基本手段就是防火墻。防火墻是網絡安全的第一道門檻，它的主要目標是控制入、出一個網絡的權限，并迫使所有連接都經過這樣檢查，因此它具有通過鑒別、限制、更改跨越防火墻的數據流來實現對網絡的安全保護。防火墻技術一般包括數據包過濾技術，應用網關和代理技術三大類。

4.2 密碼技術

密碼技術的基本思想是偽裝信息，密碼技術由明文、密文、算法和密鑰構成。其中密鑰管理是一個非常重要的問題，是一個綜合性的技術，涉及到密鑰的產生、檢驗、分配、傳遞、保存、使用、消鑰的全過程。密碼類型基本有3種，即移位密碼、代替密碼和乘積密碼。移位密碼是一種通過改變明碼中每個字符或代碼的相對位置獲得的密碼；代替密碼是一種用其它字符或代碼代替明碼字符后獲得的密碼；乘積密碼則是一種通過混合代替方法使明碼變成難以破譯的密碼。在實際加密過程中，一般不單獨使用一種密碼，而是將上述3種密碼經過多次變換迭代生成。

4.3 用戶識別技術

為了使網絡具有是否允許用戶存取數據的判別能力，避免出現非法傳送、復制或篡改數據等不安全現象，網絡需要采用識別技術。常用的識別方法有口令、唯一標識符、標記識別等。

4.4 入侵檢測技術

入侵檢測技術又稱為IDS，作用在于：識別針對網絡的入侵行為，并及時給出報警或采取安全措施以御敵于國門之外，它在計算機網絡中是非常有效的安全技術。目前計算機網絡大都是基于單一的TCP/IP協議，其入侵行為的模式有一定規律可循，而通信網絡本身就具有不同的種類，有完全不同的內部管理和信令協議，因此通信網絡入侵檢測技術對于一般的通信網協議具有針對性，我們可以利用這一特點，設計基于節點的入侵檢測系統或設計基于網絡的入侵檢測系統，基于節點的工作日志或網管系統的狀態搜集、安全審計數據以及對網絡數據包進行過濾、解釋、分析、判斷來發現入侵行為。

4.5 信息對抗技術

信息對抗理論與技術主要包括：黑客防范體系，信息偽裝理論與技術信息分析與監控入侵檢測原理與技術反擊方法應急響應系統計算機病毒人工免疫系統在反病毒和抗入侵系統中的應用等。

4.6 通信網絡內部協議安全

通信網絡內部協議的安全性主要應通過數據的認證和完整性鑒別技術實現協議的安全變異和重構。其中公鑰密碼算法和哈希函數是設計中的基本工具，它們用來實現對協議數據的源發起點的實體認證和抗重放的協議完整性鑒別。在安全協議的設計過程中，如果能夠做到對于一個完整的信令過程一次加密，則安全性能夠得到保證。

5 結束語

計算機通信網絡的安全問題一直存在，給人們的生活帶來很大的影響，為了確保計算機的安全運行，需要不斷優化提升計算機系統本身的安全性，而且還要提升計算機網絡安全技術的等級，加強防火墻技術的使用，對用戶信息的進行嚴格的認證，從而確保計算機通信網絡安全。