白守元，张 红，许素敏

(西北矿冶研究院，甘肃 白银 730900）

随着计算机软硬件技术、网络信息技术特别是移动通讯技术的飞速发展，互联网正以十分惊人的速度改变着人们的生活方式和工作方式。大到国防、工农业生产、文化教育、商业往来事务处理，小到个人信息交流游戏娱乐等，时时刻刻都在通过互联网处理，收发送邮件、个税申报、证券交易、移动支付以及日常办公等，深刻影响着国家建设和人们的生活方式。所有这一切都得益于互联网的资源共享性、实时性、交互性、开放性以及匿名性等特点。从而决定了计算机网络时刻受到来自各种各样的安全威胁。网络安全涉及面极广，无论国防、工农业生产、文化教育，还是个人的银行账号、移动按支付账号信息等等。信息泄漏、数据被篡改、网站被黑、账号密码被盗等都属于网络安全研究的范畴。

1 网络安全的基本概念

1.1 网络安全及网络安全威胁类型

所谓网络安全，可以理解为：一，联接在网络上的服务器、计算机、打印机等硬件资源不因自然灾害、人为或非人为因素受到损坏；二，网络操作系统、个人计算机操作系统不受病毒、木马、恶意或非恶意攻击的干扰和破坏，保证网络系统可靠运行；三，防止国家、企业、组织的机密信息和重要数据及个人信息因意外或者恶意等原因遭到破坏、窃取、篡改。网络安全也就要是既保证网络系统连续可靠运行，又要保护网络信息免受威胁。

威胁网络信息安全主要体现在：一，利用计算机网络设备设计本身的缺陷和操作系统应用软件的设计缺陷和漏洞，植入病毒破坏系统或用户程序，植入木马盗取机密信息、破坏或篡改用户数据等；二、管理人员因操作不当或失误，意外删除系统文件、用户文件或者意外格式化硬盘等非恶意行为，黑客有目的性地攻击，比如恶意破坏系统、窃取信息、篡改主页等；三，网络管理人员或使用人员安全意识淡薄疏于防范或随意操作；四，网络安全设备陈旧技术落后，管理制度不健全。

1.2 网络安全必须具有的功能

我们必须通过管理制度与网络安全技术对网络信息实施保护，最大可能地防范各种安全威胁与攻击。网络安全系统需具备身份识别、存取权限、数字签名、审计追踪、密钥管理等功能。

2 影响网络安全因素分析

2.1 影响网络安全的客观因素。

影响网络安全的客观因素主要是：网络资源的共享性，网络的开放性，系统漏洞和恶意攻击。

“资源共享”意味着网络上的每一个用户都可以部分或全部使用网络硬件（如打印机）、软件（如设计软件）、数据信息（如视频图片），既为国家个人节约了成本，也为国家建设个人工作生活提供了极大的便利，同样也为网络攻击都开启了方便之门，为违法犯罪活动创造了可剩之机。

网络的开放性是网络最突出的特性，整个互联网就是建立在自由开放的基础之上的，主要体现在技术层面与应用层面。开放性意味着任何组织、个人都可以获取网络上的诸如视频、音乐、文字以及其它各类数据信息；意味着任何组织、个人包括国家和政府，都无法绝对监控制网络。网络的开放性是一把双刃剑，为我们的工作生活提供便利的同时，也为不法分子非法获取信息、恶意攻击提供了可剩之机，因为网络的开放性在一定的程度上削弱了我们对信息的监控。

系统漏洞是指计算机、网络设备软硬件设计本身存在的缺陷或者网络安全方案不尽合理。

恶意攻击是以故意破坏为目的，通常通过删除、篡改关键程序和数据，造成网络瘫痪或造成主机无法响应外界请求，利用系统漏洞或疏于防范通过植入病毒木马等手段窃取用户数据破坏数据等的恶意行为。

2.2 影响网络安全的主观因素

主要体现在网络安全管理制度不够健全或者执行不力，安全人员安全意识淡薄疏于防范，网络安全软硬件技术落后。

3 网络的安全策略

3.1 物理安全策略

物理安全是指在在硬件上对计算机网络加以保护，也就是尽可能减少网络设备因自然灾害、人为或非人为原因受到物理损坏；防止电磁辐射与干扰；严格操作规程，不发生或少发生操作不当或失误；制定完善的网络安全规章制度，系统维护和应急措施，确保网络体系在硬件实体层面具备安全良好的运行环境。

3.2 主要的网络安全技术

网络信息安全技术可分为被动型防御和主动型防御，且可实现的技术很多。本文主要以主流的：“防火墙”技术、入侵检测技术（IDS）、安全隔离与信息交换技术、防病毒技术等方面加以阐述。

3.2.1 防火墙技术

防火墙（Firewall）做为被动型防御的代表，是软硬件组合构建于两个不同网络之的防护“墙”既保护屏障，采用简单实用的安全技术阻挡外部网络的非法入侵。下面简要介绍防火墙技术的几种类型。

（1）网络级防火墙。网络级防火墙一种用来控制网络间访问的网络连接设备。安装于两个网络的交界点。通过设定的规则筛选和屏蔽非法访问和信息传递，保护内部网络数据安全。它既具有分析的功能又具有限制功能，根据安全规则与相应授权决定是否放行出入内部网络的数据流，实现内部与外部网络的分离，保证内网安全。

（2）应用级网关。应用级网关可工作在OSI七层模型（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层）的任一层，主要防止网络问直接连接。它既能很好地应用层上的协议，又做到较复杂的访问控制。通常需要在服务器上安装相应软件来实现。

（3）电路级网关。电路级网关用来检查网络间的TCP握手信息的合法性。实际上电路级网关与其它的应用级网关结合在一起，并不是一个独立的产品存在。

（4）规则检查防火墙。规则检查防火墙结合了上述三种防火墙的特点，在OSI网络层上，过滤检查数据包，是否符合预设网络安全规则，能够检查SYN和ACK标记和序列数字是否逻辑有序。

3.2.2 入侵检测技术（IDS）

入侵检测系统（IntrusionDetectionSystem 简称IDS）是一种先进的访问控制设备，是位于不同网络之间的各种软硬的组合，它是不同网络之间数据流的唯一通道。

入侵检测技术种类方法有很多，按以采用技术、工作方式分类或检测对象分类，比如以系统对入侵的反应方式分为主动入侵检测与被动入侵检测，以工作方式分为离线检测和在线检测。

主要通过①监视主机的操作系统或者用户文件，系统服务或应用程序生成的日志文件；发现入侵踪迹；②监视检查网络数据包，并从中截获原始数据包为数据源，搜索异常行为；③依据用户行为构建用户特征表，分析比较当前用户与用户特征表中的用户特征，从而判断行为是否异常；④校验系统文件和数据文件的完整性；⑤识别已知攻击的活动及方法手段；⑥跟踪监视操作系统，判断用户是否违反安全策略等等，并根据预设规则做出相应的响应，如根据对系统的危害程度做出直接阻止入侵行为、阻止非法安装、隔离或删除可疑数据、自动恢复文件、发出报警等响应，从而最大程度地保护计算机及网络系统，为计算机网络安全提供保障。

3.2.3 安全隔离与信息交换技术

“隔离”就里在物理或逻辑上阻止两个网络间的直接联系；“交换”就里在两个网络间保持合法的通信信息交换。安全隔离与信息交换技术的主导思想是在切断内外网络间的直接联接的同时，既要安全隔离，又要保障信息可靠交换，实现可控的信息交换，在实际应用中体现为两种形式，一是用于内部网络访问外部网络时避免信息泄漏，二是保护内部网中的服务不受攻击破坏。

3.2.4 防病毒技术

随着计算机软硬件技术、网络信息技术、通讯技术以及智能技术的飞速发展，业务数字化转型的深入推进，病毒的发展也更加复杂，经常通过邮件、恶意网页、各类文档下载等途径加大扩散速度和危害范围，对计算机系统、网络、移动终端的潜在威胁问题日益突出。防病毒软件是常用的网络安全的技术，主要有软件防病毒软件和软硬件相结合的防病毒技术。可以在服务器和客户端同时部署，共同完成对整个网络或单机的病毒防范。软硬件相结合的防病毒技术，Intel的EDB（Execute Disable Bit）和AMD的EVP（Ehanced Virus Protection）是CPU内嵌的硬件技术与软件技术相配合的防病毒技术。

3.3 建设网络安全管理队伍

计算机网络系统安全队伍的建设首先是人才的吸纳和培养。人才建设与培养首先要做到，最大可能地吸收具有安全意识强、责任心强，掌握现代计算机技术、信息技术、网络安全技术、信息安全管理的高素质技术人才；其次，对现从事网络安全管理的人员或有潜力的网络安全人才进行再培训，以适应现代网络安全管理；第三，要知人善任，人尽其才，要充分发现个体的专长和技能，最大限度地发挥他们的专业技能和工作热忱；第四，制定相应的薪酬制度、奖惩制度，确保网络安全队伍的工作热情和稳定性。

另外，在做好网络安全队伍建设的同时，不能忽视使用人员的安全教育和技术培训。通过各种方式强化使用人员的安全防范意识，做到使用人员掌握必要的网络安全技术，规范化使用网络资源与网络数据的获取，只有网络管理人员和使用人员的共同努力，尽最大可能控制、减少危害网络安全的行为，把不安全因素降到最低。只有共同努力，才能保障计算机网络的安全运行，从而保障网络用户的利益。

4 结语

伴随着计算机软硬件技术、并行技术、通讯终端智能化日新月异的发展，计算能力的极大提高，网络应用已深入到的各个领域，已成为各行各业或不可缺的工具和媒介，因此，网络安全问题不仅对一个国家一个政府面临着巨大地挑战，对个人同样面临着巨大地挑战。本文简要的阐述了网络信息存在的主要安全隐患，并探讨了计算机网络的各种安全防范措施。

总之，计算机网络信息安全涉及到国家建设各领域及个人生活的方方面面，因此，首先需要每个人加强学习增强网络安全意识，提高安全风险防范技能；其次要建立建全安全管理制度，从制度上最大限度地把安全风险降到最小；再次尽可能采用先进设备，应用先进的网络安全技术，从技术层面最大限度地把安全风险控制到最小。只有这样才能保证网络系统安全运行，减少损失或不受损失。