惠小倩 中國人民解放軍91918部隊

淺論計算機網(wǎng)絡安全

惠小倩 中國人民解放軍91918部隊

如今社會效率極高之重要原因是使用了計算機網(wǎng)絡，而享受高效率的同時也越發(fā)對網(wǎng)絡存在著依賴性。因此，在技術(shù)進步，網(wǎng)民數(shù)量急劇增長的今天，研究計算機網(wǎng)絡安全問題十分必要，意義重大。

計算機 網(wǎng)絡安全 策略 技術(shù)

計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術(shù)措施，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡安全包括兩個方面，即物理安全和羅輯安全。物理安全指系統(tǒng)設備及相關(guān)設施受到物理保護，免于破壞、丟失等。羅輯安全包括信息的完整性、保密性和可用性。

籠統(tǒng)來講，計算機安全隱患分為人為和非人為兩大類。例如操作系統(tǒng)自身具有的安全隱患即屬于非人為因素。雖然非人為因素的安全隱患我們避免不了，可人為因素有時候可能會給我們帶來更大的威脅?！昂诳汀本褪顷U述由于人為因素造成網(wǎng)絡安全問題的最典型的名詞。

下面就幾種常見的網(wǎng)絡安全問題及應對策略和相關(guān)技術(shù)做以簡單討論：

1 網(wǎng)絡安全問題方面

1.1 病毒安全問題

計算機病毒是人為（通常是網(wǎng)絡黑客）編制的，能自我復制的一組計算機指令或程序代碼，能對計算機功能或者數(shù)據(jù)造成毀壞。在網(wǎng)絡環(huán)境中，病毒具有更多的傳播途徑和更大的破壞能力，給計算機網(wǎng)絡安全造成巨大威脅，導致感染病毒的計算機運行越來越慢，甚至癱瘓，嚴重影響用戶正常使用。

1.2 TCP/IP協(xié)議的安全問題

在廣泛采用TCP/IP協(xié)議的網(wǎng)絡環(huán)境中異種網(wǎng)絡之間的相互通信造就了其開放性。這也意味著TCP/IP協(xié)議本身存在著安全風險。由于TCP作為大量重要應用程序的傳輸層協(xié)議，因此它的安全性問題會給網(wǎng)絡帶來嚴重的后果。

1.3 路由器等網(wǎng)絡設備的安全問題

網(wǎng)絡內(nèi)外部之間的通信必須依賴路由器這個關(guān)鍵設備，因為所有的網(wǎng)絡攻擊也都經(jīng)過此設備。有時攻擊是利用路由器本身的設計缺陷進行的，而有時就通過對路由器設置的篡改直接展開了。

1.4 網(wǎng)絡結(jié)構(gòu)的安全問題

一般用戶在進行網(wǎng)絡通信時采用的是網(wǎng)間網(wǎng)技術(shù)支持，而屬于不同網(wǎng)絡之間的主機進行通信時都有網(wǎng)絡風暴的問題，相互傳送的數(shù)據(jù)都會經(jīng)過多臺機器的重重轉(zhuǎn)發(fā)。在這種“開放性”的環(huán)境中，“黑客”可對通信網(wǎng)絡中任意節(jié)點進行偵測，截取相應未加密的數(shù)據(jù)包。例如常見的有對網(wǎng)絡電子郵件的破解等。

2 網(wǎng)絡安全應對策略問題

①建立入網(wǎng)訪問模塊和網(wǎng)絡的權(quán)限控制模塊，為網(wǎng)絡提供第一層訪問控制并針對網(wǎng)絡非法操作提出安全保護措施。

②實行檔案信息加密制度并建立網(wǎng)絡智能型日志系統(tǒng)，做好數(shù)據(jù)的保密工作，使日志系統(tǒng)具備綜合性數(shù)據(jù)記錄功能和自動份類檢索能力。

③建立備份和恢復機制，避免因一些硬件設備的損壞或操作系統(tǒng)出現(xiàn)異常等原因而引起麻煩或損失。

④建立網(wǎng)絡安全管理制度，加強網(wǎng)絡的安全管理，指定有關(guān)規(guī)章制度。

1.4 統(tǒng)計學方法 所有數(shù)據(jù)采用SPSS 21.0軟件包進行統(tǒng)計分析，計數(shù)資料采用χ2檢驗，計量資料采用表示，組間整體比較采用重復測量方差分析，各時間點組間比較采用獨立t檢驗，組內(nèi)前后比較采用配對t檢驗。P<0.05表示差異有統(tǒng)計學意義。

⑤對網(wǎng)絡進行分段并劃分VLAN，使非法用戶和敏感的網(wǎng)絡資源相互隔離，并克服以太網(wǎng)廣播問題。

3 網(wǎng)絡安全相關(guān)技術(shù)

網(wǎng)絡安全技術(shù)是一個十分復雜的系統(tǒng)工程。網(wǎng)絡安全的保障來源于安全策略和技術(shù)的多樣化及其快速的更新。從技術(shù)上來說，網(wǎng)絡安全由安全的操作系統(tǒng)、安全的應用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡監(jiān)控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件無法確保信息網(wǎng)絡的安全性。目前成熟的網(wǎng)絡安全技術(shù)主要有：防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等。

3.1 防火墻技術(shù)

防火墻是一個或一組在兩個網(wǎng)絡之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡不被可疑人侵擾。防火墻能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻可以強化網(wǎng)絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上，其次對網(wǎng)絡存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作是，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到檢測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可以實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而降低了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。

在選擇防火墻時，雖然無法考量其設計的合理性，但我們可以選擇一個通過多加權(quán)威認證機構(gòu)測試的產(chǎn)品來保證其安全性。目前的防火墻產(chǎn)品有包過濾路由器、應用層網(wǎng)關(guān)(代理服務器)、屏蔽主機防火墻等。最常用的要數(shù)代理服務器了。

3.2 防病毒技術(shù)

目前數(shù)據(jù)安全的頭號大敵就是計算機病毒。它具有傳播性、隱蔽性、破壞性和潛伏性等共性。我們常用的殺毒軟件有驅(qū)逐艦網(wǎng)絡版殺毒軟件、趨勢網(wǎng)絡版殺毒軟件、卡巴斯基網(wǎng)絡版殺毒軟件等。網(wǎng)絡防病毒軟件主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者從網(wǎng)絡向其它資源感染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。

3.3 數(shù)據(jù)加密技術(shù)

（1）對稱加密技術(shù)

對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密密鑰與解密密鑰是相同的或者可以由其中一個推知另一個，這種加密方法可以簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機密性和報文完整性就可以得以保證。

（2）非對稱加密/公開密鑰加密

在非加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開，而另一把作為私有密鑰加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可以廣泛公布，但它只對應生成密鑰的交換方。

加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數(shù)字簽名等信息交換領(lǐng)域。

除此之外，我們也要自我建立網(wǎng)上行為管理系統(tǒng)，控制P2P，BT等下載，防范惡意代碼，間諜軟件；控制管理及時通訊工具的使用及其附件管理；防范網(wǎng)站或品牌被釣魚或惡意代碼攻擊并發(fā)出警告；提供網(wǎng)頁服務器的安全漏洞和風險分析，提供數(shù)據(jù)庫及時的更新等。

計算機網(wǎng)絡安全不是僅有很好的網(wǎng)絡安全設計方案就能解決一切問題，還必須由很好的網(wǎng)絡安全的組織機構(gòu)和管理制度來保證。我們只有依靠殺毒軟件、防火墻和漏洞檢測等設備保護的同時注重樹立人的安全意識，并在安全管理人員的幫助下才能真正享受到網(wǎng)絡帶來的便利。

[1]Mandy Andress.計算機安全原理[M].機械工業(yè)出版社,2002

[2]陳愛民,等.計算機安全與保密[M].北京：電子工業(yè)出版社,1992

[3]時炳艷,楊建軍.計算機網(wǎng)絡安全技術(shù)——防火墻.鄭州工業(yè)高等專科學校學報2002.3

[4]魏利華.網(wǎng)絡安全：防火墻技術(shù)研究淮陰工業(yè)學院學報2003.10

[5]郝玉潔,常征.網(wǎng)絡安全與防火墻技術(shù)電子科技大學學報社科版2002.1

[6]葉丹.網(wǎng)絡安全實用技術(shù)清華大學出版社.2002.10