◆张伟健 曾世强 李培瑜

（31638部队 云南 650000）

网络安全综述与趋势

计算机网络安全威胁及对策

◆张伟健 曾世强 李培瑜

（31638部队 云南 650000）

随着信息技术的发展，计算机网络被广泛应用，随之而来的网络安全问题日益加剧，网络安全形势非常严峻。本文着重从技术角度梳理计算机网络安全威胁，并从网络安全机制和网络安全技术等方面分析可用的网络安全防护对策，旨在引起计算机网络用户对网络安全的重视，使其了解网络安全威胁的一般样式，掌握常见的防护手段。

计算机网络安全；安全威胁；安全机制；安全技术

0 前言

计算机网络安全，就是计算机网络上信息的安全[1]。具体来说，计算机网络安全是指计算机及其网络系统资源和信息资源不被未授权的用户访问，即计算机、网络系统的软硬件以及系统中的数据应受到保护，不因偶然或者恶意的原因而遭到破坏、更改或者泄露，系统能连续、可靠、正常地运行，确保网络服务不中断。保障计算机网络的安全，就是要确保网络信息在存储和传输过程中的可用性、机密性、完整性、可靠性和不可抵赖性。

1 计算机网络面临的安全威胁

计算机网络安全是保障整个系统正常工作，提供多样化应用服务的基础，面临着来自不同层次的各种威胁和挑战：一是人为的无意失误，如用户口令选择不慎、账号密码的转借或者丢失、安全策略配置不当等；二是他人的恶意攻击，如黑客攻击和计算机网络犯罪等；三是系统本身存在的“后门”和漏洞[2]。

从技术角度分析，计算机网络面临的安全威胁主要包括病毒、木马、蠕虫、逻辑炸弹、拒绝服务攻击、SQL注入、电子欺骗、僵尸网络等[3]。

1.1 病毒

病毒（Computer Virus）是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒的典型特征是能够自动运行，同时能够自我复制并感染传播，可以说是当前计算机网络安全最严重的威胁因素之一。

1.2 木马

木马全称为特洛伊木马（Trojan Horse），是一种通过端口进行通信的程序，类似计算机远程控制。木马由客户端和服务端组成（C/S），目标计算机被安装服务端后，随着计算机启动而自动运行并在特定端口监听，控制计算机运行客户端并与之建立连接后就可以对目标计算机进行完全控制，危害极大。

1.3 蠕虫

蠕虫（Worm）是通过网络传播的恶性病毒，具有病毒的传播性、隐蔽性、破坏性等共性特征，同时还有多种超越一般病毒的独有特点。蠕虫可以只存在于内存中而不用文件寄生，能够自动传播感染网络内的其他计算机，也可以和其他黑客技术结合实施更大的破坏。蠕虫传播途径更多，传播速度更快，危害更大，短时间内蔓延全球的WannaCry勒索病毒就是其中的一种。

1.4 逻辑炸弹

逻辑炸弹（Logic Bomb）是指在满足特定逻辑条件时，实施破坏的计算机程序，触发后能够造成计算机不能启动、数据丢失、系统瘫痪，甚至出现物理损坏的假象。逻辑炸弹需要特定条件触发，比如一个日期。和病毒相比，它通常不具有感染性，但更强调破坏作用本身。

1.5 拒绝服务攻击

拒绝服务（Denial of Service，DoS）攻击是导致合法用户不能正常访问网络资源的行为。DoS攻击通过对目标主机特定漏洞的攻击导致其网络瘫痪、系统崩溃从而“拒绝”提供网络服务，被攻击的目标主机通常是各类网络服务器。分布式拒绝服务（Distributed Denial of Service，DDoS）攻击是拒绝服务攻击的“升级版”，攻击者通过控制很多“傀儡主机”向目标主机发送大量看似合法的数据包，造成网络堵塞或者服务器资源耗尽，从而实现“拒绝服务”。当前常见的DDoS攻击有SYN/ACK Flood攻击、TCP全连接攻击和Script脚本攻击等。

1.6 SQL注入

SQL注入（SQL Injection）就是攻击者通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行这些SQL语句进而执行攻击者的恶意代码。通过SQL注入，攻击者可以获取一些敏感的信息，甚至上传木马进而控制整个服务器。

1.7 电子欺骗

电子欺骗是利用目标网络或计算机之间的信任关系来进行非授权访问的一种攻击手段。攻击者通过多种手段冒充合法用户，从而实现非授权的访问。常见的电子欺骗方式有Web欺骗、IP欺骗、ARP欺骗、DNS欺骗、电子邮件欺骗等。

1.8 僵尸网络

僵尸网络（Botnet）是指攻击者通过传播僵尸程序以控制大量计算机，并通过控制服务器间接并集中控制这些被感染的计算机组成的网络。僵尸程序通常是攻击者专门编写的类似木马的控制程序，通过病毒、木马、蠕虫等多种方式进行传播，使攻击者能够控制受感染的计算机。利用僵尸网络，攻击者可以遥控网络中的大量计算机进行攻击活动，可以实现信息窃取、分布式拒绝服务、海量垃圾邮件等攻击行为。

2 保障计算机网络安全的对策

针对复杂多变的网络安全威胁，可以从技术、应用、法律和管理等不同角度研究保障计算机网络安全的对策，本文主要从技术角度对网络安全机制和网络安全技术两个方面进行讨论。

2.1 网络安全机制

针对不同层次的安全需求，可以通过设计安全协议、身份认证、访问控制、构建攻击防护和隐私保护等安全机制来实现网络环境下信息的安全采集、传输、存储和服务[4]。

2.1.1 安全协议

安全协议（Security Protocol）是建立在密码体制基础上的交互通信协议，运用密码算法和协议逻辑来实现认证和密钥分配等目标。网络依托协议构建起来，安全协议贯穿于网络的各层，是网络安全的基础。

2.1.2 身份认证

身份认证（Identity Authentication）是系统确认用户身份的过程，通过认证确定用户是否具有对某种资源的访问和使用权限，进而使计算机网络的访问策略能够可靠、有效地执行，保障授权用户的合法权益。身份认证可以通过数字签名、静动态口令、智能卡、USB Key、生物识别、短信密码、多因素认证等手段实现。

2.1.3 访问控制

访问控制（Access Control）是系统根据用户身份及其所属的某项定义组来限制用户对某些信息项的访问或某些功能的使用。访问控制识别和确认访问系统的用户，决定该用户可以对哪些系统资源进行何种类型的访问，从而保障数据资源在合法范围内得到有效的管理和使用。访问控制的核心是安全策略的设计，常见的访问控制模型包括自主（DAC）、强制（MAC）、基于角色（RBAC）、基于任务（TABC）、基于属性（ABAC）等。

2.1.4 攻击防护

攻击防护（Attack Defense）是指为防止网络攻击而采取的各种防护措施。网络攻击者通常利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件以及其中的数据进行攻击，包括窃听、流量分析等被动攻击方式和篡改、伪造、拒绝服务、破坏软硬件等主动攻击方式。常见的攻击防护技术包括防火墙、防病毒、入侵检测、网络隔离、安全审计等。

2.1.5 隐私保护

隐私保护（Privacy Preservation）就是对个人、机构等实体的隐私信息进行保护。隐私即为数据所有者不愿意披露的敏感信息，包括敏感数据以及数据所表征的特性。在网络环境下，隐私保护需求包括针对网络链路信息的保护和针对网络中的敏感数据的保护。常见的保护方法包括使用安全协议、修改或隐藏原始信息及敏感数据、使用加密技术、使用信息流控制技术等。

2.2 网络安全技术

网络安全机制需要运用相应的网络安全技术实现，当前常用的网络安全技术包括：信息加密、防火墙、防病毒、入侵检测、网络隔离、虚拟专用网、安全审计、容灾备份等[5]。针对不用的网络安全需求，网络用户在设计网络安全方案和制定网络安全策略时，可以灵活采用多种网络安全技术。

2.2.1 信息加密

信息加密（Information Encryption）是利用数学或物理手段，对数据的存储或传输过程进行保护，以防止信息泄露。信息加密通常需要选择某种加密算法和密钥，把明文信息加密为不可读的密文信息，进而实现保密通信。实际应用过程中，信息加密和信息隐藏结合使用，能够更好地提高信息的机密性和可靠性。

2.2.2 防火墙

防火墙（Fire Wall）是通过在网络边界上建立相应网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络攻击。防火墙技术综合采用了包过滤、内容过滤、代理、访问策略等多种手段，阻止外部未授权访问者对内部网络的非法访问。

2.2.3 防病毒

防病毒（Anti-Virus）是指通过一定的技术手段防止计算机病毒感染和破坏系统，主要关注计算机病毒的结构、破坏机理和传播过程，除病毒预防以外，还包括病毒的检测和清除等。防病毒是网络安全措施的重要组成部分，各类杀毒软件就是防病毒技术的典型代表。

2.2.4 入侵检测

入侵检测（Intrusion Detection）是为了保证计算机系统的安全而设计和配置的，能够及时发现并报告系统中的未授权访问或者异常现象，用于检测计算机网络中违反安全策略的行为。入侵检测通过对行为、安全日志、审计数据或者其他可获得的信息进行分析，检测网络攻击和入侵行为，其作用包括威慑、检测、响应、损失情况评估、攻击预测和支持起诉等。

2.2.5 网络隔离

网络隔离（Network Isolation）是指两个或两个以上计算机或网络在非直接物理连接的基础上实现信息交换和资源共享。网络隔离的主要目标是将不同的网络安全威胁区域隔开，以保障数据信息在可信网络内进行安全交换。网络隔离通常以访问控制为策略、物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。

2.2.6 虚拟专用网

虚拟专用网（Virtual Private Network，简称VPN）是在公用网络上建立安全的专用网络。VPN并没有传统专用网所需的端到端的物理链路，而是架构在公用网络上的逻辑网络，用户数据在逻辑链路中传输，通常采用加密、签名、认证等安全手段保障通信的安全性，实现数据在非可信公用网络上的安全传输。

2.2.7 安全审计

安全审计（Security Audit）是指依据安全法规和安全策略，对网络设备、系统和软件的安全规则设置和操作使用记录进行分析和审查。安全审计的对象包括各类网络设备配置规则、各种系统的日志和历史记录，其作用的是分析网络上发生了哪些与安全有关的活动，谁对这些活动负责，它可以有效地发现和还原网络入侵行为。

2.2.8 容灾备份

容灾备份（Anti-Disaster Backup）是指通过特定的容灾机制，使计算机网络系统在各种灾难损害发生后，仍然能够最大限度地提供正常的系统服务。通常是在异地建立两套或多套相同功能的系统，互相之间可以进行状态监视和功能切换，一处系统意外停止工作时，整个应用系统可以切换到另一处，该系统仍然可以正常工作。

3 结束语

计算机网络安全是一项巨大的社会工程，涉及政治、经济、军事、科技等各个领域，影响着人们学习、工作、生活的方方面面。当前，急需提高全民的网络安全防范意识，增强网络安全法律观念，并且建立综合法律措施、物理措施、技术措施、管理措施等在内的计算机网络安全长效机制。本文着重从技术角度分析了计算机网络安全威胁及对策，在实际应用过程中，网络用户需要结合不同的网络环境，灵活采用多种手段，综合考虑、制定计算机网络的安全方案和安全策略。

[1]张焕国，韩文报，来学嘉等.网络空间安全综述[J].中国科学：信息科学，2016.

[2]倪澎涛.计算机网络安全现状及对策研究[J].数字技术与应用，2012.

[3]章原发.计算机网络信息安全及应对策略分析[J].网络安全技术与应用，2015.

[4]杜常青.计算机网络信息技术安全及其防范对策[J].信息安全与技术，2011.

[5]常燕.网络环境下计算机信息安全技术及对策研究[J].信息与电脑(理论版)，2012.