摘 要：網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，安全受到人們越來越多的關(guān)注。如何保護各類網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點，如何對計算機網(wǎng)絡(luò)上的各種非法行為進行主動控制和有效防御，是計算機網(wǎng)絡(luò)安全亟待解決的問題。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；信息安全

中圖分類號：TP393 文獻標識碼：A

Study on Computer Network Security Issues

YANG Shuqing

（Liaoning School of Administration，Shenyang 110161，China）

Abstract： The rapid development of computer network has brought dramatic changes to our work and life. Nowadays，with the network being more complex and diverse，people begin to pay more attention to network security.How to protect the security of various networks and information has become the researching focus，and how to control actively and defend effectively against the illegal actions on the computer network has become an urgent problem demanding solutions.

Keywords：computer network；network security；information security

1 引言（Introduction）

隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，人類面臨著信息安全的巨大挑戰(zhàn)。如何保證個人、企業(yè)及國家的機密信息不被黑客和間諜竊取，如何保證計算機網(wǎng)絡(luò)不間斷地工作，是國家和企業(yè)信息化建設(shè)必須考慮的重要問題。然而，計算機網(wǎng)絡(luò)的安全存在錯綜復(fù)雜的問題，涉及面非常廣，有技術(shù)因素，也有管理因素；有自然因素，也有人為因素；有外部的安全威脅，還有內(nèi)部的安全隱患。如何對計算機網(wǎng)絡(luò)上的各種非法行為進行主動控制和有效防御，是計算機網(wǎng)絡(luò)安全亟待解決的問題。

2 影響計算機網(wǎng)絡(luò)安全的主要因素（Main factors

influencing the network safety of computer）

（1）病毒的侵襲

幾乎有計算機的地方，就有出現(xiàn)計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)，伺機進行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進行傳播。正因為計算機病毒傳播速度快、影響面大，所以它的危害最能引起人們的關(guān)注。

任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險有效的方法是對網(wǎng)絡(luò)中的每一臺計算機安裝防病毒軟件，并定期對軟件中的病毒定義進行更新。值得用戶信賴的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒有“憂患意識”，很容易陷入“盲從殺毒軟件”誤區(qū)。

（2）數(shù)據(jù)“竊聽”和攔截

這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。加密技術(shù)是保護傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。

（3）黑客的非法闖入

“黑客”一詞由英語Hacker英譯而來，是指專門研究、發(fā)現(xiàn)和網(wǎng)絡(luò)漏洞的計算機愛好者[1]。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動。

（4）內(nèi)部網(wǎng)絡(luò)安全

來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失，管理制度不健全，網(wǎng)絡(luò)管理、維護在一個安全設(shè)計充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏，磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網(wǎng)絡(luò)安全機制形同虛設(shè)。特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。

（5）拒絕服務(wù)

就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動。例如，通過破壞兩臺計算機之間的連接而阻止用戶訪問服務(wù)；通過向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個企業(yè)運作。這類攻擊一般能使單個計算機或整個網(wǎng)絡(luò)癱瘓。

（6）網(wǎng)絡(luò)資源的共享性

資源共享是計算機網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享資源進行破壞提供了機會。隨著互聯(lián)網(wǎng)需求的日益增長，外部服務(wù)請求不可能做到完全隔離，攻擊者利用服務(wù)請求機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

（7）網(wǎng)絡(luò)操作操作系統(tǒng)的漏洞

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實現(xiàn)的最終載體之一，它不僅負責網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞。endprint

3 安全策略（Safety strategy）

為了抵御網(wǎng)上攻擊，保護網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認證系統(tǒng)、安全審計系統(tǒng)等等。有人形象地把它們稱為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒有正確安全策略的安全系統(tǒng)就像沒有靈魂的軀殼，是不能夠完成保障安全的使命的。

（1）入侵檢測系統(tǒng)的安全策略

入侵檢測系統(tǒng)根據(jù)入侵檢測的行為分為兩種模式：異常檢測和誤用檢測[2]。前者先要建立一個系統(tǒng)訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。異常檢測的漏報率很低，但是不符合正常行為模式的行為并不見得就是惡意攻擊，因此這種策略誤報率較高；誤用檢測由于直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變?nèi)f化，可能沒有被收集在行為模式庫中，因此漏報率就很高。這就要求用戶必須根據(jù)本系統(tǒng)的特點和安全要求來制定策略，選擇行為檢測模式?，F(xiàn)在用戶都采取兩種模式相結(jié)合的策略。

（2）漏洞掃描策略

采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。

（3）采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

a.防火墻技術(shù)：防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪間某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進/出兩個方向通信的門檻[3]。在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進行訪問控制。

b.NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

c.VPN：虛擬專用網(wǎng)（VPN）是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。

d.網(wǎng)絡(luò)加密技術(shù)（Ipsec）：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。

e.認證：提供基于身份的認證，并在各種認證機制中可選擇使用。

f.多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。

g.網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進行監(jiān)測和預(yù)警，進一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

（4）實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。

（5）建立分層管理和各級安全管理中心。

4 結(jié)論（Conclusion）

綜上所述，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展密切相關(guān)。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護，還要意識到計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，安全保護的對象是計算機，而安全保護的主體則是人，應(yīng)重視對計算機網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計算機安全意識，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻（References）

[1] 劉青超. 電子商務(wù)的安全策略[J].科技情報開發(fā)與經(jīng)濟，2005，

15（21）：251-252.

[2] 程柏良，周洪波，鐘林輝.基于異常與誤用的入侵檢測系統(tǒng)[J].

計算機工程與設(shè)計，2007，28（14）：3341-3342.

[3] 高永安. 計算機網(wǎng)絡(luò)安全的防范策略[J].科技信息，2006，（7）：

30-31.

作者簡介：

楊淑清（1964-），女，學(xué)士，教授.研究領(lǐng)域：計算機網(wǎng)絡(luò).endprint