计算机网络防护安全与策略分析

2010-08-15张铭铎

赤峰学院学报·自然科学版 2010年6期

关键词：防病毒加密技术防火墙

张铭铎

（湛江师范学院，广东湛江 524048；重庆大学，重庆 400030）

计算机网络防护安全与策略分析

张铭铎

（湛江师范学院，广东湛江 524048；重庆大学，重庆 400030）

计算机应用伴随着Internet技术的发展变得越来越广泛，人们在享受网络开放性与自由性的同时，网络安全在社会各个领域中的作用日益重要.本文从计算机网络安全管理角度阐述存在的安全隐患，并对安全策略进行深入探讨，确保人们能够更加有效管理计算机网络系统.

网络安全；安全防护；计算机网络

计算机应用技术伴随着计算机网络技术的进步而逐渐发展起来，计算机网络在社会生活中的作用日益显著，计算机网络对人类社会起到了极其重要的作用，人们的日常办公、人与人的沟通与交流更多的依赖计算机网络，在汲取更多有用资讯的同时，产生的数据与信息遭到窃取的可能性也会增大，在这个所谓“虚拟社会”中，其安全防护也就变得越来越重要，信息社会时代的到来对网络安全就是一个极大的挑战.

1 计算机网络安全的定义

计算机网络安全指信息与数据不受外部非法用户使用.首先确保数据存储设备的硬件完整性，这在安全防护中非常重要.其次，计算机网络中的信息具有完整性、保密性以及可用性等特点.完整性指信息不被恶意破坏、修改等操作.保密性指信息不被泄露.可用性指防止拒绝访问和授权操作.从另一个角度来讲，用户在计算机网络安全中有用信息的“含金量”也作为一个重要的考量依据.

2 计算机网络安全防护现状

随着百度、谷歌等国内知名网站遭受黑客攻击，再次对网络安全环境敲响了警钟.对涉及国家机密信息的攻击事件也屡见不鲜.在美国因网络安全造成的经济损失高达几十亿美金，近年来这一数字仍有上升的趋势.世界平均每天都发生着计算机安全事件.接近半数的防火墙曾遭遇过攻击或崩溃过.中国金融、政府、军队等部门也曾不同程度遭遇过网络安全问题.近年来，通过电子邮件、木马病毒、文件共享后门等途径传播的病毒也越来越频繁，由此公安机关受理的各类信息犯罪也呈逐年上升的趋势.我国的网络建设的软硬件更多是从国外引进，电子商务也处于发展的初级阶段，由于某些大的网络建设方缺乏有效的风险管控机制以及技术水平的限制，致使我们对安全防护仅仅停留在较肤浅的水平，例如病毒防范.对安全防护缺乏更深层次的认识.

3 计算机网络存在的安全问题

计算机网络安全威胁主要来自以下几个方面：

3.1 自然灾害

计算机本身的硬件配置很容易受环境以及自然灾害（震动、温度、湿度、辐射污染）的影响.有不少计算机机房在三方一避（防水、防火、防电磁、避雷）上缺少有效的措施，致使在抵御自然灾害和遭遇意外事故的能力大大降低.因此在网络运行中常发生设备损毁、数据丢失等现象.当电磁辐射增强时会导致网络信噪比下降，信息的误码率也会增加，从而破坏信息的完整性、可用性.

3.2 黑客攻击

计算机网络的黑客攻击伴随着谷歌、百度事件而变得愈演愈烈.在近年来随着黑客工具的不断的推陈出新使不懂计算机的形形色色的人也能成为“黑客”，而对于专业的黑客而言，大部分人采用非法入侵来达到信息的监听、窃取、破坏等目的，网络正常的信号运行不正常，严重会致使整个网络系统瘫痪，给国家造成经济损失和政治负面影响.黑客攻击从侧面反映了他们善于捕捉漏洞制造入侵机会，当然网络本身的不完善和自身的缺陷也会成为攻击的“靶子”.

3.3 计算机病毒

20世纪末计算机病毒的蔓延曾引起世界性恐慌，其破坏造成的损失难以估量.病毒将自身附着在各种应用程序上，当触发这些应用程序时，就会扩散到计算机系统中.当计算机中毒后就会产生系统运行慢、占用CPU使用率等现象，严重时会破坏计算机主板、硬盘等硬件系统.

3.4 间谍软件和垃圾邮件

某些人经常利用公开性的邮件系统将自己的邮件内容强行发送给别人的电子邮箱，使人们接受了所谓的垃圾邮件，目前很多电子邮箱提供商提供了垃圾邮件的智能截取，一定程度上缓解了垃圾邮件的蔓延传播.而间谍软件主要利用计算机网络窃取用户信息，广义的观点认为间谍软件实际上是被恶意非法安装并隐藏起来，被监控者很难发现它的存在，而被监控者的操作以及相关信息便会被泄露出来并造成不同程度的用户隐私和安全影响.

4 计算机网络安全防护策略

目前主流的安全防护策略主要有数据加密技术、防火墙技术、防病毒技术以及入侵检测技术等几种，在国内这几种防护策略在应用和部署上都比较成熟.

4.1 数据加密技术

数据加密技术指将网络传输中的信息进行二次加密，其目的主要是保证数据在传输过程中不被“破译”，相对来讲安全等级也就相应的提高了.具体来讲是将数据符号按照某种规则进行变换.加密技术分为对称密钥算法和非对称加密算法两类.对称加密中，密钥数据是最重要的，一旦丢失其加密的信息也就失去了防护功能，密文也将泄露.由于密钥本身的安全性就是一个问题，致使进行多方通信时，这种加密技术就会变得相当的复杂.其特点是对称密钥运算量小、安全性高、速度快等优点而被广泛应用.DES加密算法就是“对称密钥算法”的典型.与之相对应的非对称加密算法中，公钥是公开的，人们可以将公钥加密的信息发给私钥所有者.私钥是保密的，将公钥加密的信息进行解密.典型代表是RSA（非对称加密技术）.它将明文转换成一个值得到核实签名.接收者利用公钥对签名进行解密运算，当结果计算为明文时，则签名有效.签名的形式多种多样，主要应用于银行和电子商贸中.

4.2 防火墙技术

防火墙技术是网络环境中最基本的防护措施之一.简单来讲，防火墙就是将内部网与外部网络环境隔离开来，形成一个内部网络屏障阻断外来的不安全因素.其目的是阻止外部网络的非法用户的非授权访问.现在防火墙技术主要包括包过滤、应用网关、子网屏障等，管理内部网络用户访问外网和限制外部网络用户对内部网络的访问权限.当一个局域网连接入Internet之后，计算机系统的安全因素除了防病毒外，更主要从防止非法入侵角度来考量计算机系统是否在安全范围内，而防火墙技术在这一环节中起了至关重要的作用.防火墙通过添加配置方案，将口令和身份验证等信息配置级别大大提升，将不安全服务过滤掉，以保证内部网络环境的安全，并实时监控网络数据流的状态，每日进行数据日志的操作记录，并统计网络的使用情况，自动检索并报警，将内部网络重要的信息和隐私进行隔离.

4.3 入侵检测技术

入侵检测(Intrusion Detection System)广义上的定义为“对计算机或网络资源的恶意企图和动作进行识别，并对识别结果做出相应反应的过程”.IDS是完成上述指令的一个独立系统.IDS能够对未授权对象（程序或人）针对系统入侵的行为或企图进行识别检测，同时监控非法操作的“执行者”，入侵检测功能主要包括：（1）搜集系统中不同环节的信息.（2）将该信息进行分析识别，寻找该入侵活动的特征.（3）对检测到的行为做出自动响应.（4）报告检测结果.IDS通过多种渠道对计算机系统和网络环境上的信息进行搜集整理，据此检测系统或网络环境中是否有违反安全策略规则和被攻击的现象，一旦发现攻击便会自动发出报警信号并采取有效措施，同时将被攻击的过程记录下来，为系统或网络环境的恢复和追踪攻击的源头提供基本的数据依据.网络入侵检测大致可分为基于主机型、基于网络型、基于主机和网络型等三大类.网络系统在受到危害前执行拦截和响应入侵.入侵检测会做出如下响应：（1）控制台报警.（2）记录攻击日志.（3）即时将网络连接阻断.（4）入侵检测实时对网络数据量不加任何延时地监控，它本身采用的是透明的工作模式.（5）网络中的TCP和IP协议也会被入侵检测监视和过滤，我们将入侵检测进行添加配置后，可以按照源IP或目的IP地址、源端口或目的端口、协议（TCP/ICMP）等进行过滤.入侵检测还能监控诸如远程登陆、文件传输等网络服务，并且它会随着这些服务的发展而不断扩展.（6）用户自定义支持的网络安全事件也会被纳入入侵检测的监视范围.（7）入侵检测自动生成安全日志以便对系统安全审计，由于采用的是开放式数据库，其支持的安全分析决策系统对网络环境安全奠定了坚实的基础.

4.5 防病毒技术

计算机软件技术的发展也促进了病毒技术的不断演变，计算机病毒的“变异”使其具有复杂的特性，伴随的破坏力对计算机系统的安全构成了极大威胁.在计算机病毒防护中，大多采用防病毒软件.防病毒软件按照功能分为单机版防病毒软件和网络版防病毒软件两种.单机版防病毒软件主要应用于本地工作站和该工作站连接的远程资源构成的局域网，一般采用扫描的方式来检测并清除病毒.网络版防病毒软件注重网络上病毒的防护，当病毒入侵网络资源时，它会做出检测响应并加以删除、隔离等操作.目前很多网络安全产品琳琅满目，但仍会被黑客非法入侵，其根本原因是网络环境自身的缺陷.所以安全防护必须尽最大力量做好，从而保证网络信息的安全.