摘要：進(jìn)入21世紀(jì)以后，人們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的使用越來越頻繁，網(wǎng)絡(luò)資源的多樣化給使用者帶來了很多的益處。伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的復(fù)雜性和多樣性，網(wǎng)絡(luò)安全問題屢見不鮮。作為計(jì)算機(jī)網(wǎng)絡(luò)的受益者，我們有責(zé)任找到良好的網(wǎng)絡(luò)安全解決方案，使計(jì)算機(jī)在一個(gè)相對(duì)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境中高效地運(yùn)行。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；入侵檢測(cè)；數(shù)據(jù)加密

一、緒論

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序。學(xué)術(shù)上，將計(jì)算機(jī)網(wǎng)絡(luò)安全定義為：通過各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性，并對(duì)信息的傳播及內(nèi)容有控制能力。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

伴隨著經(jīng)濟(jì)、科技以及文化等的飛速發(fā)展，對(duì)Internet的使用和計(jì)算機(jī)網(wǎng)絡(luò)資源的需求逐漸增加，由于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)所具有的復(fù)雜性和多樣性，隨之而來的網(wǎng)絡(luò)安全問題層出不窮。網(wǎng)絡(luò)安全問題已經(jīng)成為信息時(shí)代人類共同面臨的挑戰(zhàn)，網(wǎng)絡(luò)安全問題具體表現(xiàn)為：計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；各企業(yè)網(wǎng)絡(luò)安全意識(shí)薄弱；電腦黑客活動(dòng)已形成重要威脅，信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)，信息系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全研究意義

網(wǎng)絡(luò)安全問題現(xiàn)已受到人們的廣泛關(guān)注，因?yàn)檎驹诓煌慕嵌葘?duì)網(wǎng)絡(luò)安全都有一定層次的要求。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，控制和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。對(duì)于企事業(yè)單位而言，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，是關(guān)系到單位整體形象和利益的大問題，目前在各單位的網(wǎng)絡(luò)中都存儲(chǔ)著大量的信息資料，許多方面的工作也越來越依賴網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，造成信息的丟失或不能及時(shí)流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補(bǔ)的巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。

可見，網(wǎng)絡(luò)安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)的穩(wěn)定、民族文化的繼承和發(fā)揚(yáng)的重要問題。其重要性，正隨著全球信息化步伐的加決而變得越來越嚴(yán)重。因此，我們要高度重視計(jì)算機(jī)網(wǎng)絡(luò)安全問題，找到針對(duì)性的解決方案，使計(jì)算機(jī)網(wǎng)絡(luò)最大化的造福于民。

二、威脅網(wǎng)絡(luò)安全的因素

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)中的不安全因素很多，從根本上說，網(wǎng)絡(luò)的安全問題都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn)，主要可以分為三個(gè)方面的因素：

1 管理因素

現(xiàn)如今，各大企業(yè)在日常生產(chǎn)經(jīng)營(yíng)過程中或多或少都會(huì)使用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，因?yàn)樗転楣芾碚咛峁└咝Э旖莸墓芾矸?wù)，甚至從一個(gè)企業(yè)所具備的計(jì)算機(jī)軟、硬件水平可以估計(jì)出該企業(yè)的發(fā)展?fàn)顩r和發(fā)展?jié)摿?。但由于管理人員素質(zhì)低、管理措施不完善、用戶安全意識(shí)淡薄等問題的出現(xiàn)，給企業(yè)的經(jīng)濟(jì)效益帶來了一定程度的負(fù)影響。

2 技術(shù)因素

任伺事物都有一個(gè)發(fā)生、發(fā)展到消亡的過程。計(jì)算機(jī)網(wǎng)絡(luò)本身也是這個(gè)道理。由于軟件本身存在漏洞、加密解密、入侵檢測(cè)等技術(shù)產(chǎn)品不完善、病毒層出不窮、黑客程序在網(wǎng)絡(luò)上的肆意傳播等技術(shù)層面的問題，也給計(jì)算機(jī)網(wǎng)絡(luò)的管理工作帶來了很大的難度。

3 人為因素

人為因素是指一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。因此，人為因素是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全威脅最大的因素。人為因素主要分為三個(gè)方面：

(1)人為的無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)帶來威脅。

(2)人為的惡意攻擊。人為的惡意攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，它主要有兩個(gè)方面，一個(gè)是來自于黑客的攻擊，另一個(gè)是來自計(jì)算機(jī)病毒。

黑客攻擊是指電腦入侵者利用通訊軟件、通過網(wǎng)絡(luò)非法進(jìn)入公共和他人的計(jì)算機(jī)系統(tǒng)，截獲或篡改計(jì)算機(jī)中的信息，從而危害信息系統(tǒng)安全。黑客攻擊所使用的方法不同。產(chǎn)生的危害程度也不同，可分為：郵件炸彈攻擊、簡(jiǎn)單拒絕服務(wù)、本地用戶獲得非授權(quán)的讀訪問、本地用戶獲得他們非授權(quán)的文件寫權(quán)限、遠(yuǎn)程用戶獲得了非授權(quán)的賬號(hào)、遠(yuǎn)程用戶獲得了特權(quán)文件的讀權(quán)限、遠(yuǎn)程用戶獲得了特權(quán)文件的寫權(quán)限以及遠(yuǎn)程用戶擁有了根權(quán)限八個(gè)層次。

計(jì)算機(jī)病毒是指利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼。

4 軟件的漏洞和“后門”

軟件不可能是百分之百的無缺陷和無漏洞，這些漏洞和缺陷常常是黑客進(jìn)行攻擊的首選目標(biāo)。

三 現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

出于對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀的考慮，當(dāng)務(wù)之急必須要采取有效的技術(shù)手段來防止或檢測(cè)對(duì)網(wǎng)絡(luò)的攻擊，以下便是當(dāng)前廣泛使用的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)。

1 防火墻技術(shù)

防火墻技術(shù)，最初是針對(duì)Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)等。

(1)包過濾防火墻。包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址，包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。

(2)應(yīng)用網(wǎng)關(guān)防火墻。應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。

(3)狀態(tài)檢測(cè)防火墻，狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全陸有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來處理?？梢赃@樣說，狀態(tài)檢測(cè)防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

(4)復(fù)合型防火墻。復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。

2 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的解決方法。計(jì)算機(jī)網(wǎng)絡(luò)世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，身份認(rèn)證就是為了解決這個(gè)問題，作為防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口，身份認(rèn)證有著舉足輕重的作用。

3 數(shù)據(jù)加密技術(shù)

所謂數(shù)據(jù)加密技術(shù)是指將一個(gè)信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。加密技術(shù)是網(wǎng)絡(luò)安全技術(shù)的基石。

數(shù)據(jù)加密技術(shù)要求只有在指定的用戶或網(wǎng)絡(luò)下，才能解除密碼而獲得原來的數(shù)據(jù)，這就需要給數(shù)據(jù)發(fā)送方和接收方一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機(jī)數(shù)中選取的。按加密算法分為專用密鑰和公開密鑰兩種。

(1)專用密鑰，專用密鑰，又稱為對(duì)稱密鑰或單密鑰，加密和解密時(shí)使用同一密鑰，即同一個(gè)算法，如DES和MIT的Kerberos算法。

(2)公開密鑰。公開密鑰，又稱非對(duì)稱密鑰，加密和解密時(shí)使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關(guān)系，但不可能輕易地從一個(gè)推導(dǎo)出另一個(gè)。有一把公用的加密密鑰，有多把解密密鑰，如RSA算法。

4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)可以被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

入侵檢測(cè)方法很多，如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)。

四、現(xiàn)有計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)存在的缺陷

任何事物都不是完美的，可以說都有其缺點(diǎn)或是不足之處?，F(xiàn)有的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也是如此，每種不同的安全技術(shù)都是針對(duì)網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的，它只能相應(yīng)地在一定程度上解決一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題，無法防范和解決其他的問題，更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。

對(duì)于防火墻技術(shù)最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全，同時(shí)防火墻還不能防止來自內(nèi)部的攻擊，不能防御繞過防火墻的攻擊行為，不能防御完全新的威脅而且不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊。

對(duì)于身份認(rèn)證技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題，但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題。

對(duì)于數(shù)據(jù)加密技術(shù)，文件加密技術(shù)和磁盤加密技術(shù)作為目前內(nèi)網(wǎng)安全產(chǎn)品的主流加密技術(shù)，各有不足。文件加密技術(shù)的缺點(diǎn)是不能適應(yīng)復(fù)雜的應(yīng)用環(huán)境、存在無法彌補(bǔ)的安全漏洞和系統(tǒng)效率下降明顯的特點(diǎn)；磁盤加密技術(shù)的缺點(diǎn)是需要調(diào)整用戶應(yīng)用環(huán)境。

入侵檢測(cè)技術(shù)也存在著局限性，其最大的局限陸就是漏報(bào)和誤報(bào)嚴(yán)重，它不能稱之為一個(gè)可以信賴的安全工具，而只是一個(gè)參考工具。

五、計(jì)算機(jī)網(wǎng)絡(luò)安全解決方案

針對(duì)網(wǎng)絡(luò)不安全因素給全社會(huì)帶來的巨大影響，我們可以從威脅網(wǎng)絡(luò)安全的三個(gè)因素中尋找解決方案。該解決方案的建立要以計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)為支撐，以計(jì)算機(jī)網(wǎng)絡(luò)安全管理為手段，以實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全最終目標(biāo)。

雖然網(wǎng)絡(luò)安全技術(shù)存在不足，但可以通過不斷地改進(jìn)、完善來彌補(bǔ)其中的不足，也可以將其中的兩種或多種網(wǎng)絡(luò)安全技術(shù)進(jìn)行綜合使用，以此來取長(zhǎng)補(bǔ)短，提高網(wǎng)絡(luò)的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié)，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件。

六、總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全關(guān)系到整個(gè)社會(huì)發(fā)展的方方面面，建立健全一套行之有效的解決方案是十分必要的。作為我們每一個(gè)網(wǎng)絡(luò)時(shí)代的受益者，在享受到網(wǎng)絡(luò)資源帶給我們的便捷的同時(shí)還要考慮到網(wǎng)絡(luò)運(yùn)行過程中受到的威脅，因此，我們要提高自身及周圍人們的網(wǎng)絡(luò)安全意識(shí)，從小事做起，在確保網(wǎng)絡(luò)安全的前提下，使網(wǎng)絡(luò)更有利于加快社會(huì)的信息化建設(shè)。