淺析計算機網絡信息安全

白穎妹

（西安歐亞學院信息工程學院，陜西 西安 710065）

引言

計算機技術的普及和應用給人們的生活帶來了方便，互聯(lián)網技術的不斷發(fā)展，使世界成為一個整體，人們通過網絡學習、購物、交流，可以說，互聯(lián)網的迅猛發(fā)展是人們享受到了前所未有的便利。然而，網絡也不是完美無缺的，網絡給人們帶來驚喜的同時，也帶來了威脅。計算機犯罪、黑客、有害程序和后門等問題使網絡用戶的切身利益受到了嚴重的威脅和損害，網絡安全問題日益受到關注。

1 網絡安全的概述

網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄密，確保系統(tǒng)能連續(xù)可靠正常的運行。從其本質上講網絡安全就是網絡上的信息安全。

2 威脅網絡安全因素分析

影響計算機網絡安全的因素很多，包括人為因素、自然因素和偶發(fā)因素。其主要因素表現在以下幾個方面：

2.1 系統(tǒng)本身存在漏洞

網絡軟件不可能是百分之百無缺陷和無漏洞的，而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。目前，不論是軟件還是硬件，不論是操作系統(tǒng)還是應用軟件，都存在不同程度的漏洞，這些都是招致網絡不安全的重要因素。另外，軟件的“后門”是軟件設計人員為了自便而設置的，一般不為外人所知，但是攻擊者可以通過被病毒打開的軟件“后門”傳輸代碼，被感染的計算機或多或少地起了路由器的作用，因此，一旦“后門”洞開，其造成的后果將不堪設想。

2.2 計算機網絡的脆弱性

網絡自身的TCP/IP協(xié)議缺乏相應的安全措施，在共享和開放的機制下其安全存在先天不足，在大規(guī)模攻擊面前幾乎無能為力。

2.3 計算機病毒

計算機病毒是人為編制的程序代碼。它能破壞計算機系統(tǒng)和數據，影響計算機軟、硬件的正常運行。由于計算機病毒具有傳染性、寄生性、隱蔽性、破壞性等特點，一直是計算機系統(tǒng)安全最直接的威脅，而網絡更為病毒提供了迅速傳播的途徑，大量涌現的病毒在網上傳播極快，給全球范圍的網絡安全帶來了巨大的災難。

2.4 黑客攻擊

黑客攻擊是計算機面臨的最大威脅。這類攻擊分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的完整性和有效性；另一種是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均能對計算機網絡造成極大的危害。

2.5 缺乏安全意識

雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證,進行直接的IP連接從而避開了防火墻的保護。

2.6 制度管理

管理制度不健全，網絡管理、維護不力。

3 網絡出現安全威脅的原因

由于網絡的各種操作系統(tǒng)和網絡通信的基本協(xié)議TCP/IP都存在一定的漏洞，因此，網絡的安全隱患早已是一個不爭的事實，引起網絡安全隱患的原因有以下幾種。

3.1 認證環(huán)節(jié)薄弱

網絡上的認證通常是使用口令來實現的。由于口令是靜態(tài)的，因次很容易被破解。常用破解口令的方法有把加密的口令破解和通過信道獲取口令，一旦口令文件被闖入者得到，就可以利用它獲取對系統(tǒng)的訪問權。

3.2 系統(tǒng)易被監(jiān)視

使用Telnet或FTP連接到遠程主機上的賬戶，在網上傳輸的口令是沒有加密的。入侵者可以通過監(jiān)視攜帶用戶名和口令的IP包獲取他們，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權訪問就變得更容易了。成千上萬的系統(tǒng)就是被這種方式侵入的。

同樣電子郵件也帶有許多系統(tǒng)和自身的信息，因此也作為被監(jiān)視的對象成為安全的隱患。

3.3 系統(tǒng)易被欺騙

TCP或UDP服務只能對主機的地址進行認證，不能對指定的用戶進行認證，那么攻擊者的主機就可以很容易的冒充一個被信任的主機和客戶。

3.4 局域網服務有缺陷

主機的安全管理既困難又費時。為了降低管理要求并增強局域網，一些站點使用了諸如NIS和NFS之類的服務。這些服務通過允許一些數據庫以分布式方法管理以及允許系統(tǒng)共享文件和數據，在很大程度上減輕了過多的管理工作量。但這些服務帶來了不安全因素，可以被有經驗闖入者利用以獲得訪問權。如果一個中央服務器遭受到損失，那么其他信任該系統(tǒng)的系統(tǒng)會更容易遭受損害。

3.5 設置和控制的復雜

主機系統(tǒng)的訪問控制配置復雜且難于驗證。許多網上的安全事故原因是由于入侵者發(fā)現弱點造成的。目前大部分的UNIX系統(tǒng)都是從BSD獲得網絡部分代碼，而BSD的原代碼又可以輕易獲得，所以闖入者可以通過研究其中的缺陷侵入系統(tǒng)。

4 網絡安全策略

安全是網絡賴以生存的基礎，只有安全得到保障，網絡的各種功能才能得到不斷的發(fā)展和進步。要實現網絡的安全，應對網絡系統(tǒng)進行全方位的防范。

4.1 信息加密策略

信息加密策略主要是保護計算機網絡系統(tǒng)內的數據、文件、口令和控制信息等網絡資源的安全。加密類型主要有私匙加密和公匙加密兩種。

4.2 訪問控制策略

訪問控制策略可以防止未經授權的用戶非法使用系統(tǒng)的資源，這種服務不僅僅可以提供給單個用戶，也可以提供給用戶組的所有用戶。訪問控制是通過對訪問者的有關信息進行檢查來限制或禁止訪問者使用資源的技術，分為高層訪問控制和低層訪問控制。它是維護網絡系統(tǒng)安全、保護網絡資源的重要手段，也是保證網絡安全最重要的核心策略之一。

4.3 數字簽名策略

數字簽名策略是一種采用非對稱加密技術驗證發(fā)送者身份和消息完整性的機制，普遍應用于銀行、電子貿易等。利用數字簽名機制主要解決以下安全問題：否認。事后發(fā)送者不承認文件是他發(fā)送的；偽造。有人自已偽造了一份文件，卻聲稱是他人發(fā)送的；冒充。冒充別人的身份在網上發(fā)送文件；篡改。接受者私自篡改文件的內容。

4.4 防火墻策略

防火墻技術是內部網絡與外部網絡之間的一道安全屏障，是一種具有防范免疫功能的系統(tǒng)或系統(tǒng)組保護技術。它通過預定義的安全策略，使用分組過濾技術、應用層網關技術和代理服務技術對內外網通信強制實施訪問控制，監(jiān)視網絡運行狀態(tài)。它還可以通過檢查服務類型、地址、數據甚至與數據流相關的用戶，來決定是否將連接傳送到其他網絡、或者直接丟棄。

4.5 入侵檢測技術

入侵檢測技術是檢測計算機網絡中違反安全策略行為的技術，提供了對內部入侵、外部入侵和誤操作的實時保護，可以在網絡系統(tǒng)受到危害之前攔截相應入侵。

5 結束語

隨著計算機網絡技術的不斷發(fā)展，網絡環(huán)境變得越來越復雜，無論是局域網還是廣域網，都存在著自然的、人為的、技術和管理等諸多因素的潛在威脅。為了切實確保網絡安全，我們應該做到以下三個方面：（1）技術上，要嚴格限制上網用戶所訪問的信息和資源，加強對上網用戶的身份驗證，在數據傳輸過程中采用加密技術，防止數據被非法竊取。（2）管理上，要明確網絡規(guī)范，加強管理，加大對網絡犯罪的監(jiān)控、偵查和打擊力度。（3）網絡使用者，要及時增補系統(tǒng)漏洞，不斷追蹤新技術的應用情況，及時升級、完善自身的防御措施。

[1]顧巧論，高鐵柱，賈春香.計算機網絡技術[M].北京：清華大學出版社，2004.

[2]羅清斌.淺論網絡信息安全與防御.2007.

[3]戴英俠.計算機網絡安全[M],清華大學出版社.2005.

[4]鄭成興.網絡入侵防范的理論與實踐[M].機械工業(yè)出版社.