羅云霄

四川省通信產(chǎn)業(yè)服務有限公司科技分公司

?

計算機網(wǎng)絡安全威脅及防范策略初探

羅云霄

四川省通信產(chǎn)業(yè)服務有限公司科技分公司

摘要：本文分析了影響計算機網(wǎng)絡安全的主要因素，從管理和技術兩方面就加強計算機網(wǎng)絡安全提出了防范策略的建議。

計算機網(wǎng)絡大大增強信息服務靈活性，但具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、惡意軟件和其他不軌的攻擊。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡系統(tǒng)的安全性，對企業(yè)、政府乃至整個國家，顯得尤其重要。

本文通過分析網(wǎng)絡安全面臨的主要威脅，從管理和技術兩方面就加強計算機網(wǎng)絡安全提出針對性建議。

1　影響網(wǎng)絡安全的主要因素

1.1網(wǎng)絡系統(tǒng)本身的缺陷

(1)TCP／IP協(xié)議

目前網(wǎng)絡環(huán)境中廣泛采用的TCP／IP協(xié)議，因為其開放性，大量重要的應用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡帶來嚴重的后果。

(2)網(wǎng)絡結(jié)構(gòu)

互聯(lián)網(wǎng)是由無數(shù)個局域網(wǎng)連成的巨大網(wǎng)絡組成。當一臺主機和另一局域網(wǎng)的主機進行通信時，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多設備的重重轉(zhuǎn)發(fā)；任何兩個節(jié)點之間的通信數(shù)據(jù)包，既被這兩個節(jié)點的網(wǎng)卡所接收，也同時被處在同一以太網(wǎng)上的任何一個節(jié)點的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵測，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關鍵信息?；ヂ?lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進行加密，因此黑客利用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行破解。

(3)安全策略

許多局域網(wǎng)在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用；訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機；有些小型網(wǎng)絡基于成本考慮，直接以路由器代替防火墻。

1.2來自網(wǎng)內(nèi)用戶的安全威脅

來自網(wǎng)絡內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅。如操作口令的泄漏，磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部用戶下載安裝帶有木馬的軟件，這些給黑客帶來可乘之機，都可能使網(wǎng)絡安全機制形同虛設。

2　加強計算機網(wǎng)絡安全的主要策略

計算機網(wǎng)絡安全的實現(xiàn)，可以從兩方面入手，一是建立科學的管理制度，二是運用先進的各種網(wǎng)絡安全技術。從技術上來說，目前成熟的網(wǎng)絡安全技術主要有：防火墻技術、數(shù)據(jù)加密技術、入侵檢測技術、防病毒技術等。

2.1加強網(wǎng)絡安全管理和教育

據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》，建立健全各種安全機制、各種網(wǎng)絡安全制度，加強網(wǎng)絡安全教育和培訓。

2.2運用先進的網(wǎng)絡安全技術

(1)防火墻技術。

在被保護網(wǎng)絡周邊建立的用于分隔被保護網(wǎng)絡與外部網(wǎng)絡的系統(tǒng)。一方面阻止外界對內(nèi)部網(wǎng)絡資源的非法訪問，另一方面也可以防止系統(tǒng)內(nèi)部對外部系統(tǒng)的不安全訪問。實現(xiàn)防火墻的主要技術有：數(shù)據(jù)包過濾、應用級網(wǎng)關、代理服務和地址轉(zhuǎn)換。防火墻的應用可最大限度地保障網(wǎng)絡的正常運行，可以提高內(nèi)部網(wǎng)絡的安全性、強化網(wǎng)絡安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡防毒、信息加密、存儲通信、授權(quán)、認證等重要作用。

(2)網(wǎng)絡加密技術。

網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：

①鏈接加密。在網(wǎng)絡節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。

②節(jié)點加密。與鏈接加密類似，不同的只是當數(shù)據(jù)在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。

③首尾加密。對進入網(wǎng)絡的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡傳送出后再進行解密。網(wǎng)絡的加密技術很多，在實際應用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強網(wǎng)絡的完全性。網(wǎng)絡加密技術也是網(wǎng)絡安全最有效的技術之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

(3)入侵檢測技術。

入侵檢測系統(tǒng)可以分為兩類，分別基于網(wǎng)絡和基于主機?；诰W(wǎng)絡的入侵檢測系統(tǒng)主要采用被動方法收集網(wǎng)絡上的數(shù)據(jù)。目前，在實際環(huán)境中應用較多的是基于主機的入侵檢測系統(tǒng)，它把監(jiān)測器以軟件模塊的形式直接安插在了受管服務器的內(nèi)部，它除了繼續(xù)保持基于網(wǎng)絡的入侵檢測系統(tǒng)的功能和優(yōu)點外，可以不受網(wǎng)絡協(xié)議、速率和加密的影響，直接針對主機和內(nèi)部的信息系統(tǒng)，同時還具有基于網(wǎng)絡的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬、監(jiān)視特定用戶、監(jiān)視與誤操作相關的行為變化等功能。有的入侵檢測設備可以同防火強進行聯(lián)動設置。

(4)防病毒技術。

隨著計算機技術的不斷發(fā)展，計算機病毒變得越來越復雜和高級，擴散速度也越來越快，對計算機網(wǎng)絡構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件，從功能上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上，它們主要注重于所謂的“單機防病毒”，即對本地和本工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者從網(wǎng)絡向其它資源感染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。

總之，網(wǎng)絡安全是一個綜合性的系統(tǒng)工程，涉及技術、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理和邏輯的技術措施，也應注重樹立人的計算機安全意識，才可能防微杜漸。因此，只有綜合采取多種防范措施，制定嚴格的保密政策和明晰的安全策略，才能為網(wǎng)絡提供強大的安全保證。

關鍵字：上網(wǎng)方式 共享上網(wǎng) 網(wǎng)卡 路由囂