淺析計算機網(wǎng)絡(luò)問題與對策

劉彥尚

[摘 要]隨著計算機信息技術(shù)的迅猛發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)越發(fā)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介，并且滲透到社會生活的各個角落。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅的嚴重性，采取強有力安全策略勢在必行。計算機網(wǎng)絡(luò)安全工作是一項長期而艱巨的任務(wù)，它應(yīng)該貫徹于整個信息網(wǎng)絡(luò)的籌劃、組成、測試的全過程。本文結(jié)合實際情況，分析網(wǎng)絡(luò)安全問題并提出相應(yīng)對策。

[關(guān)鍵詞]計算機；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)威脅；

組織和單位的計算機網(wǎng)絡(luò)是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網(wǎng)絡(luò)防御系統(tǒng)，他就有訪問成千上萬計算機的可能性。據(jù)統(tǒng)計，近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達上千億美元。計算機系統(tǒng)的脆弱性已為各國政府與機構(gòu)所認識。

一、計算機通信網(wǎng)絡(luò)安全概述

所謂計算機通信網(wǎng)絡(luò)安全，是指根據(jù)計算機通信網(wǎng)絡(luò)特性，通過相應(yīng)的安全技術(shù)和措施，對計算機通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護，防止遭到破壞或竊取，其實質(zhì)就是要保護計算機通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達4369 次。因此，隨著網(wǎng)絡(luò)一體化和互聯(lián)互通，我們必須加強計算機通信網(wǎng)絡(luò)安全防范意思，提高防范手段。

二、影響計算機通信網(wǎng)絡(luò)安全的因素分析

計算機通信網(wǎng)絡(luò)的安全涉及到多種學(xué)科，包括計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等十?dāng)?shù)種，這些技術(shù)各司其職，保護網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運行。

1、響計算機通信網(wǎng)絡(luò)安全的客觀因素

網(wǎng)絡(luò)資源的共享性。計算機網(wǎng)絡(luò)最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。

網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計算機操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

網(wǎng)絡(luò)系統(tǒng)設(shè)計的缺陷。網(wǎng)絡(luò)設(shè)計是指拓撲結(jié)構(gòu)的設(shè)計和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。

網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。

2、計算機網(wǎng)絡(luò)通信安全的主觀因素。

主要是計算機系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識、防范意思等。

三、計算機網(wǎng)絡(luò)的安全策略

1、安全策略

物理安全策略目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等

硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。

2、的網(wǎng)絡(luò)安全技術(shù)

由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來堵塞安全漏洞和提供安全的通信服務(wù)。如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。

網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。

網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很牢靠的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。

網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT。你不能攻擊你看不見的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是種用于把IP 地址轉(zhuǎn)換成臨時的、外部的、注冊的IP 地址標準。它允許具有私有IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時，NAT 將從發(fā)送端的數(shù)據(jù)包中移去專用的IP 地址，并用一個偽IP 地址代替。NAT 軟件保留專用IP 地址和偽IP 地址的一張地址映射表。當(dāng)一個數(shù)據(jù)包返回到NAT 系統(tǒng)，這一過程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包，他們也不能確定發(fā)送端的真實IP 地址，從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計算機。NAT 技術(shù)也存在一些缺點，例如：木馬程序可以通過NAT 進行外部連接，穿透防火墻。

代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品， 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)， 然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點是速度相對較慢。