對計算機網絡安全問題的探析

董睿

摘 要：由于計算機網絡具有聯接形式多樣性、終端分布不均勻性以及網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌企圖的攻擊，所以網上信息的安全和保密是一個至關重要的問題。因此，網絡必須有足夠強的安全措施，否則網絡將是個無用、甚至會危及企業和國家安全的網絡。

關鍵詞：計算機網絡;安全;思考

一、計算機網絡面臨的威脅

計算機網絡受攻擊的對象主要有兩種：一是網絡中的信息，二是網絡中的設備。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的;可能是人為的，也可能是非人為的;還可能是外來黑客對網絡系統資源的非法使用。歸結起來，針對網絡安全的威脅主要有三。

一是人為的無意失誤。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等，都會給網絡安全帶來威脅。

二是人為的惡意攻擊。這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：首先是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性;其次是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯，以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

三是網絡軟件的漏洞和“后門”。網絡軟件不可能百分之百地無缺陷和無漏洞，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所招致的后果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，一旦“后門”洞開，其造成的后果將不堪設想。

二、計算機網絡的安全策略

一是物理安全策略。物理安全策略的目標是保護計算機系統、網絡服務器、打印機等硬件設施和通信鏈路免受自然災害、人為破壞和搭線攻擊。一般采取的方法有：驗證用戶的身份和使用權限，防止用戶越權操作，確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合;另一類是對輻射的防護，這類防護措施又可分為對電磁輻射進行屏蔽，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽、隔離和對干擾的防護，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射，來掩蓋計算機系統的工作頻率和信息特征。

二是訪問控制策略。訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問，它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。

1、入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。

2、網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施，用戶和用戶組被賦予一定的權限。主要有網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，指定用戶對這些文件、目錄、設備可以執行哪些操作等。我們可以根據訪問權限將用戶分為以下幾類：①特殊用戶（即系統管理員）;②一般用戶，系統管理員根據他們的實際需要為他們分配操作權限;③審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。

3、目錄級安全控制。網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限（Supervisor）、讀權限（Read）、寫權限（Write）、創建權限（Create）、刪除權限（Erase）、修改權限（Modify）、文件查找權限（File Scan）、存取控制權限（Access Control）。用戶對文件或目錄的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派，繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。

4、網絡服務器安全控。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以進行安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

5、防火墻控制。防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。

三、信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密算法分為常規密碼算法和公鑰密碼算法兩種。

一是常規密碼。在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。在眾多的常規密碼中影響最大的是美國的DES密碼。常規密碼的優點是有很強的保密強度，且能經受住時間的檢驗和攻擊的考驗，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

二是公鑰密碼。在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰中推導出解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明算法、橢園曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼的優點是可以適應網絡的開放性要求，且密鑰管理問題也較為簡單，尤其可方便地實現數字簽名和驗證;但其算法復雜，加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼算法將是一種很有前途的網絡安全加密體制。

四、結束語

在網絡安全中，除了采用上述技術措施之外，加強網絡的安全管理，制定有關規章制度，對于確保網絡安全、可靠地運行，將起到十分有效的作用。網絡的安全管理策略包括：確定安全管理等級和安全管理范圍，制訂有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等。

參考文獻：

[1]趙建軍;計算機網絡信息安全及防護[J];電子技術與軟件工程; 2020年第16期

[2]羅廷興;大數據背景下的計算機網絡信息安全及防護對策分析[J];信息與電腦（理論版）; 2020年第32期