淺析計算機網絡安全

摘要：進入21世紀以后，人們對于計算機網絡的使用越來越頻繁，網絡資源的多樣化給使用者帶來了很多的益處。伴隨著計算機和網絡技術的復雜性和多樣性，網絡安全問題屢見不鮮。作為計算機網絡的受益者，我們有責任找到良好的網絡安全解決方案，使計算機在一個相對安全、穩(wěn)定的網絡環(huán)境中高效地運行。

關鍵詞：網絡安全；防火墻；入侵檢測；數據加密

一、緒論

1 計算機網絡安全的概念

計算機網絡安全是指保護計算機網絡系統(tǒng)中的硬件，軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統(tǒng)連續(xù)可靠性地正常運行，網絡服務正常有序。學術上，將計算機網絡安全定義為：通過各種計算機、網絡、密碼技術和信息安全技術，保護在公用通信網絡中傳輸、交換和存儲的信息的機密性、完整性和真實性，并對信息的傳播及內容有控制能力。

2 計算機網絡安全現狀

伴隨著經濟、科技以及文化等的飛速發(fā)展，對Internet的使用和計算機網絡資源的需求逐漸增加，由于計算機和網絡技術所具有的復雜性和多樣性，隨之而來的網絡安全問題層出不窮。網絡安全問題已經成為信息時代人類共同面臨的挑戰(zhàn)，網絡安全問題具體表現為：計算機系統(tǒng)受病毒感染和破壞的情況相當嚴重；各企業(yè)網絡安全意識薄弱；電腦黑客活動已形成重要威脅，信息基礎設施面臨網絡安全的挑戰(zhàn)，信息系統(tǒng)在預測、反應、防范和恢復能力方面存在許多薄弱環(huán)節(jié)。

3 計算機網絡安全研究意義

網絡安全問題現已受到人們的廣泛關注，因為站在不同的角度對網絡安全都有一定層次的要求。從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，控制和防御網絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。對于企事業(yè)單位而言，加強網絡安全建設，是關系到單位整體形象和利益的大問題，目前在各單位的網絡中都存儲著大量的信息資料，許多方面的工作也越來越依賴網絡，一旦網絡安全方面出現問題，造成信息的丟失或不能及時流通，或者被篡改、增刪、破壞或竊用，都將帶來難以彌補的巨大損失。從社會教育和意識形態(tài)角度來講，網絡上不健康的內容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進行控制。

可見，網絡安全是一個關系國家安全和主權、社會的穩(wěn)定、民族文化的繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加決而變得越來越嚴重。因此，我們要高度重視計算機網絡安全問題，找到針對性的解決方案，使計算機網絡最大化的造福于民。

二、威脅網絡安全的因素

當今計算機網絡中的不安全因素很多，從根本上說，網絡的安全問題都是利用了網絡系統(tǒng)本身存在的安全弱點，主要可以分為三個方面的因素：

1 管理因素

現如今，各大企業(yè)在日常生產經營過程中或多或少都會使用計算機網絡技術，因為它能為管理者提供高效快捷的管理服務，甚至從一個企業(yè)所具備的計算機軟、硬件水平可以估計出該企業(yè)的發(fā)展狀況和發(fā)展?jié)摿?。但由于管理人員素質低、管理措施不完善、用戶安全意識淡薄等問題的出現，給企業(yè)的經濟效益帶來了一定程度的負影響。

2 技術因素

任伺事物都有一個發(fā)生、發(fā)展到消亡的過程。計算機網絡本身也是這個道理。由于軟件本身存在漏洞、加密解密、入侵檢測等技術產品不完善、病毒層出不窮、黑客程序在網絡上的肆意傳播等技術層面的問題，也給計算機網絡的管理工作帶來了很大的難度。

3 人為因素

人為因素是指一些不法之徒利用計算機網絡存在的漏洞，或者潛入機房，盜用計算機系統(tǒng)資源，非法獲取重要數據、篡改系統(tǒng)數據、破壞硬件設備、編制計算機病毒。因此，人為因素是對計算機網絡安全威脅最大的因素。人為因素主要分為三個方面：

(1)人為的無意失誤。如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人與別人共享等都會對網絡帶來威脅。

(2)人為的惡意攻擊。人為的惡意攻擊是計算機網絡所面臨的最大威脅，它主要有兩個方面，一個是來自于黑客的攻擊，另一個是來自計算機病毒。

黑客攻擊是指電腦入侵者利用通訊軟件、通過網絡非法進入公共和他人的計算機系統(tǒng)，截獲或篡改計算機中的信息，從而危害信息系統(tǒng)安全。黑客攻擊所使用的方法不同。產生的危害程度也不同，可分為：郵件炸彈攻擊、簡單拒絕服務、本地用戶獲得非授權的讀訪問、本地用戶獲得他們非授權的文件寫權限、遠程用戶獲得了非授權的賬號、遠程用戶獲得了特權文件的讀權限、遠程用戶獲得了特權文件的寫權限以及遠程用戶擁有了根權限八個層次。

計算機病毒是指利用計算機軟件與硬件的缺陷，由被感染機內部發(fā)出的破壞計算機數據并影響計算機正常工作的一組指令集或程序代碼。

4 軟件的漏洞和“后門”

軟件不可能是百分之百的無缺陷和無漏洞，這些漏洞和缺陷常常是黑客進行攻擊的首選目標。

三 現有計算機網絡安全技術

出于對計算機網絡安全現狀的考慮，當務之急必須要采取有效的技術手段來防止或檢測對網絡的攻擊，以下便是當前廣泛使用的計算機網絡安全技術。

1 防火墻技術

防火墻技術，最初是針對Internet網絡不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。目前，防火墻采取的技術，主要是包過濾、應用網關等。

(1)包過濾防火墻。包過濾防火墻一般在路由器上實現，用以過濾用戶定義的內容，如IP地址，包過濾防火墻的工作原理是：系統(tǒng)在網絡層檢查數據包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。

(2)應用網關防火墻。應用網關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機／服務器模式實現的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。

(3)狀態(tài)檢測防火墻，狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全陸有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。可以這樣說，狀態(tài)檢測防火墻規(guī)范了網絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。

(4)復合型防火墻。復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。

2 身份認證技術

身份認證技術是在計算機網絡中確認操作者身份的過程而產生的解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者，也就是說保證操作者的物理身份與數字身份相對應，身份認證就是為了解決這個問題，作為防護網絡資產的第一道關口，身份認證有著舉足輕重的作用。

3 數據加密技術

所謂數據加密技術是指將一個信息經過加密鑰匙及加密函數轉換，變成無意義的密文，而接收方則將此密文經過解密函數、解密鑰匙還原成明文。加密技術是網絡安全技術的基石。

數據加密技術要求只有在指定的用戶或網絡下，才能解除密碼而獲得原來的數據，這就需要給數據發(fā)送方和接收方一些特殊的信息用于加解密，這就是所謂的密鑰。其密鑰的值是從大量的隨機數中選取的。按加密算法分為專用密鑰和公開密鑰兩種。

(1)專用密鑰，專用密鑰，又稱為對稱密鑰或單密鑰，加密和解密時使用同一密鑰，即同一個算法，如DES和MIT的Kerberos算法。

(2)公開密鑰。公開密鑰，又稱非對稱密鑰，加密和解密時使用不同的密鑰，即不同的算法，雖然兩者之間存在一定的關系，但不可能輕易地從一個推導出另一個。有一把公用的加密密鑰，有多把解密密鑰，如RSA算法。

4 入侵檢測技術

入侵檢測技術可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內部用戶的非授權行為，是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異?，F象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

入侵檢測方法很多，如基于專家系統(tǒng)入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應用層入侵檢測中已有實現。

四、現有計算機網絡安全技術存在的缺陷

任何事物都不是完美的，可以說都有其缺點或是不足之處?，F有的計算機網絡安全技術也是如此，每種不同的安全技術都是針對網絡安全問題的某一個或幾個方面來設計的，它只能相應地在一定程度上解決一個或幾個方面的網絡安全問題，無法防范和解決其他的問題，更不可能提供對整個網絡的系統(tǒng)、有效的保護。

對于防火墻技術最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全，同時防火墻還不能防止來自內部的攻擊，不能防御繞過防火墻的攻擊行為，不能防御完全新的威脅而且不能防御數據驅動的攻擊。

對于身份認證技術只能解決確認網絡用戶身份的問題，但卻無法防止確認的用戶之間傳遞的信息是否安全的問題。

對于數據加密技術，文件加密技術和磁盤加密技術作為目前內網安全產品的主流加密技術，各有不足。文件加密技術的缺點是不能適應復雜的應用環(huán)境、存在無法彌補的安全漏洞和系統(tǒng)效率下降明顯的特點；磁盤加密技術的缺點是需要調整用戶應用環(huán)境。

入侵檢測技術也存在著局限性，其最大的局限陸就是漏報和誤報嚴重，它不能稱之為一個可以信賴的安全工具，而只是一個參考工具。

五、計算機網絡安全解決方案

針對網絡不安全因素給全社會帶來的巨大影響，我們可以從威脅網絡安全的三個因素中尋找解決方案。該解決方案的建立要以計算機網絡安全技術為支撐，以計算機網絡安全管理為手段，以實現計算機網絡安全最終目標。

雖然網絡安全技術存在不足，但可以通過不斷地改進、完善來彌補其中的不足，也可以將其中的兩種或多種網絡安全技術進行綜合使用，以此來取長補短，提高網絡的安全性。計算機網絡安全管理是計算機網絡安全的重要環(huán)節(jié)，也是計算機網絡安全體系結構的基礎性組成部分。通過恰當的管理活動，規(guī)范組織的各項業(yè)務活動，使網絡有序地進行，是獲取安全的重要條件。

六、總結

計算機網絡安全關系到整個社會發(fā)展的方方面面，建立健全一套行之有效的解決方案是十分必要的。作為我們每一個網絡時代的受益者，在享受到網絡資源帶給我們的便捷的同時還要考慮到網絡運行過程中受到的威脅，因此，我們要提高自身及周圍人們的網絡安全意識，從小事做起，在確保網絡安全的前提下，使網絡更有利于加快社會的信息化建設。