計算機網絡安全問題淺析

張瓏耀

摘要：隨著互聯(lián)網技術的廣泛應用，計算機應用滲透到人們日常生活的方方面面，人們隨時隨地可以通過任意終端接入到互聯(lián)網中，因此一旦應用系統(tǒng)或者網絡遭到入侵，往往會給個人造成比較嚴重的損失，甚至危害國家的利益。該文主要從影響網絡安全的隱私及防護策略方面對網絡安全問題進行了探討和分析。

關鍵詞：網絡安全；網絡攻擊

網絡安全是隨著網絡和信息技術的產生和發(fā)展，人類社會進入信息社會后出現的關于安全的一個新議題，網絡安全的內涵是指在一個網絡環(huán)境中，確保設備、數據的完整性、可使用性及保密性，不因偶然的因素、惡意的攻擊而遭到破壞、更改、泄露。網絡安全產生的影響，不僅侵害個人的權益，甚至危害國家安全、社會穩(wěn)定，因此，網絡安全問題受到越來越多的重視。

1.網絡攻擊形式

傳統(tǒng)的網絡攻擊形式主要有截獲、偽造、中斷三種。截獲主要是以破壞數據的保密性為目標，入侵者通過一些非法的手段獲取對系統(tǒng)資源的訪問權限；偽造指的是入侵者將帶病毒的、偽造的數據插入到正常傳輸的數據中，它不僅獲得對資源的訪問權限，而且能夠對數據進行修改；中斷以直接攻擊網絡可用性為目標。

隨著網絡在各領域的廣泛應用和信息技術的快速發(fā)展，網絡安全攻擊的形式也不斷的翻新變化，主要表現為：攻擊范圍從互聯(lián)網向物聯(lián)網拓展，攻擊目標從個體機構向公共基礎設施轉移，攻擊造成數據泄露的規(guī)模和范圍越來越大；網絡威脅從非傳統(tǒng)威脅逐步轉變?yōu)槌Ｒ?guī)威脅，網絡安全防御從技術層面逐步上升到國家層面。

2.影響網絡安全的主要因素

2.1黑客攻擊

黑客攻擊是一種比較常見的網絡安全威脅，入侵者通過各種網絡監(jiān)聽工具、木馬程序，利用攔截、竊取等多種方式，向目標主機實施攻擊，以達到獲取數據、獲取權限、非法訪問、阻塞網絡等目的。非破壞性黑客攻擊一般采用拒絕服務攻擊或信息炸彈的方式，擾亂系統(tǒng)的運行；破壞性攻擊以破壞入侵系統(tǒng)的數據，竊取重要數據為目的，危害極大。

隨著網絡開放性的進一步擴大，黑客攻擊的手段及方法越來越先進，近年來，國家部委、企業(yè)、院校在內的一大批組織機構都曾遭到境外網絡入侵。2011年12月21日，國內知名程序員網站CSDN遭到黑客攻擊，大量用戶數據庫被公布在互聯(lián)網上，600多萬個明文的注冊郵箱被迫裸奔。面對復雜多變的網絡環(huán)境，我們唯有不斷提高個人的安全意識，再加上必要的防護手段。

2.2軟件漏洞

由于編程語言的局限性，軟件漏洞是一種不可避免的現象，比較常見的軟件漏洞有操作系統(tǒng)、數據庫以及應用軟件、網絡協(xié)議等；軟件漏洞容易成為黑客以及計算機病毒的攻擊點，造成數據泄露，系統(tǒng)癱瘓，給設備及用戶帶來嚴重的后果。

2.3計算機病毒

計算機病毒是一種極具破壞性、隱藏性和潛伏性的小程序，通常借助計算機上面其他程序的運行進行擴散，并感染其他的程序文件，特別是在網絡傳輸的過程中，攜帶計算機病毒的文件會造成終端用戶的文件受損，導致計算機系統(tǒng)的崩潰，信息泄露。

2.4人為因素

除了上述所說的技術層面上的因素外，人為因素也是造成網絡安全事件的一個重要的因素。例如人員安全意識薄弱，可能泄露關鍵信息；不嚴格按照操作指引執(zhí)行，可能引起誤操作，導致關鍵信息丟失；管理措施不完善，可能出現操作漏洞（應用系統(tǒng)存在弱口令等）。

3.網絡安全的防護對策

3.1防火墻

防火墻作為將內部網和公眾訪問網分開的一道屏障，是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻在網絡通訊時實現訪問控制，對于經過配置允許的應用、協(xié)議，方能訪問內網資源，將不安全的服務、請求拒之門外，從而極大提高內部網絡的安全性。

隨著防火墻功能及應用的進一步強化，用戶可以實現以防火墻為中心的安全方案配置，將身份認證、審計等安全軟件配置在防火墻上，強化網絡安全策略；同時，通過部署防火墻系統(tǒng)，可以提供網絡訪問日志及使用情況的統(tǒng)計數據，在發(fā)現可疑的網絡訪問動作時，進行適當的報警。

防火墻技術作為一種基本的應用，在過濾網絡安全攻擊方面起到了非常積極的作用，但是由于技術本身的局限性，防火墻的使用，不僅給網絡帶來一些不便，例如限制一些有用的網絡服務，在并發(fā)請求多、流量大的情況下容易造成網絡擁堵，成為網絡的瓶頸。同時，防火墻也存在著一些功能上的不足，例如防火墻只能起阻隔、警示作用，但是不能對病毒、攻擊源做任何處理；對內部發(fā)起的攻擊行為無能為力；不能抵抗最新的漏洞攻擊等等。因此，必須有其他的防護手段互相彌補，協(xié)同工作。

3.2堡壘機

堡壘機是近幾年新興的一種網絡安全技術，核心理念是阻斷用戶對服務器、網絡資源的直接訪問，以協(xié)議代理的方式接管終端用戶的訪問需求，實現核心系統(tǒng)的運維及安全審計兩大主要功能。通過一些技術手段監(jiān)控、收集網絡狀態(tài)，阻斷惡意攻擊及非法訪問，審計監(jiān)控對非法操作，實現遠程運維操作管理實現按用戶授權、事中監(jiān)控、事后直觀審計。

3.3虛擬專用網絡（VPN）

VPN是指通過在公用網絡上建立專用網絡，進行加密通訊的技術，VPN是當前解決網絡安全的一個有效方法之一，主要通過隧道技術、認證技術、加密解密以及密匙管理來保障數據傳輸的安全。

此外，我們還可以通過數字加密技術提高信息的保密性，通過安裝殺毒軟件、漏洞補丁提高操作系統(tǒng)、應用系統(tǒng)的安全性；制定良好的備份和恢復機制，在攻擊造成損失時，能夠恢復數據，降低損失。通過多層防御，層層狙擊，在攻擊者突破第一道防線后，延緩或阻斷其到達攻擊目標。

3.4重視立法，提供安全防范意識

近幾年，國家以立法的形式完善建立網絡安全體制機制，法律法規(guī)及政策制度日趨完善；大力推進信息系統(tǒng)安全等級保護工作，啟動信息安全監(jiān)測預警，逐步開展信息系統(tǒng)的測評整改工作，從根本上強化網絡安全體系。

在完善的監(jiān)督管理體制下，要求網絡管理人員提高安全的意識，主動作為，重視各項制度的落實實施；同時強化自身的網絡安全素養(yǎng)，提升應急響應和處理能力。（上接第41頁）ARP請求進行應答。在采用虛MAC地址方式時，由于網段中主機上的ARP緩存中保存的是虛擬IP地址與虛擬MA C地址之間的映射，因此即使備份組中進行了重新選舉使Master路由器易主，也不需要更新其映射關系。但是，當備份組中存在IP地址擁有者時，如果采用虛MAC地址方式，會造成一個IP地址對應兩個MAC地址的問題，此時就需要采用實MAc地址方式。在實MAC地址方式中，網段中主機發(fā)送的報文將按照實際的MAC地址轉發(fā)給IP地址擁有者。默認情況下VRRP的運行方式為虛MAC地址方式。

當前存在1個虛擬路由器，即備份組。

接口Ethernet 0/0隸屬于備份組1；在該備份組中路由器RTA是Master路由器；其運行優(yōu)先級為150；Master路由器發(fā)送VRRP通告報文的時間間隔為1秒；在當前備份組中沒有啟用～XiiE；備份組的虛擬IP地址是192.168.1.1。

如果在路由器RTB上執(zhí)行display vrrp命令，可以看到路由器RTB在備份組中是Backup路由器，如果此時人為的斷開路由器RTA的接口Ethernet 0/0上的連接，會發(fā)現路由器RTB將成為Master路由器，從而保障了網關設備的可靠性。

5.結論

通過將兩臺或多臺網關設備在邏輯上虛擬成一臺設備，VRRP技術能夠在即使一臺網關設備出現故障時，依然可以在不改變終端主機網關配置的情況下保障網絡的連通性，從而極大地提高了邊緣網絡的可靠性。