淺談計算機網(wǎng)絡安全防范措施

耿金秀 包頭輕工職業(yè)技術學院

淺談計算機網(wǎng)絡安全防范措施

耿金秀 包頭輕工職業(yè)技術學院

網(wǎng)絡安全是網(wǎng)絡正常運行的前提，網(wǎng)絡安全不僅僅是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡、系統(tǒng)、應用和管理方面進行防護。要知道如何防護，首先了解安全風險來自于何處，根據(jù)網(wǎng)絡系統(tǒng)的網(wǎng)絡結構和應用情況，從網(wǎng)絡安全、系統(tǒng)安全、應用安全等方面進行全面分析，同時提出解決網(wǎng)絡安全隱患的對策、措施。

網(wǎng)絡安全；防范措施；系統(tǒng)

Internet的飛速發(fā)展，正在引發(fā)人類文明的變革，網(wǎng)絡的發(fā)展在不斷地改變人們的工作，生活方式，使信息的獲取、傳遞、處理和利用更加高效。計算機網(wǎng)絡資源的共享給人們帶來了巨大的便利。隨之而來的網(wǎng)絡信息安全問題日益突出，事實上，資源共享和安全歷來是一對矛盾。在計算機網(wǎng)絡日益擴展和普及的今天，計算機安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統(tǒng)抵抗外來非法黑客入侵能力，還要提高對遠程數(shù)據(jù)傳輸?shù)谋Ｃ苄裕苊庠趥鬏斖局性馐芊欠ǜ`取。下面就計算機網(wǎng)絡安全隱患及相關策略進行探討分析。

一、計算機網(wǎng)絡安全存在的問題

人為因素是對計算機信息網(wǎng)絡安全威脅最大的因素。計算機網(wǎng)絡不安全因素主要表現(xiàn)在以下幾個方面:

（一）互聯(lián)網(wǎng)絡的不安全性

1. 網(wǎng)絡的開放性, 在一個開放的網(wǎng)絡環(huán)境中，大量信息在網(wǎng)上流動，網(wǎng)絡的技術是全開放的,使得網(wǎng)絡所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊,或是來自對網(wǎng)絡通信協(xié)議的攻擊,以及對計算機軟件、硬件的漏洞實施攻擊。

2.網(wǎng)絡的國際性,意味著對網(wǎng)絡的攻擊不僅是來自于本地網(wǎng)絡的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客,所以,網(wǎng)絡的安全面臨著國際化的挑戰(zhàn)。

3. 網(wǎng)絡的自由性,大多數(shù)的網(wǎng)絡對用戶的使用沒有技術上的約束,用戶可以自由的上網(wǎng),發(fā)布和獲取各類信息。

（二）操作系統(tǒng)存在的安全問題

操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的運用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設計的不周而留下的破綻,都給網(wǎng)絡安全留下隱患。

1.操作系統(tǒng)結構體系的缺陷。操作系統(tǒng)本身有內存管理、CPU管理、外設的管理,每個管理都涉及一些模塊或程序,如果在這些程序里面存在問題,比如內存管理的問題,外部網(wǎng)絡的一個連接過來,剛好連接一個有缺陷的模塊,可能出現(xiàn)的情況是,計算機系統(tǒng)會因此崩潰。所以,有些黑客往往是針對操作系統(tǒng)的不完善進行攻擊,使計算機系統(tǒng),特別是服務器系統(tǒng)立刻癱瘓。

2. 操作系統(tǒng)支持在網(wǎng)絡上傳送文件、加載或安裝程序,包括可執(zhí)行文件,這些功能也會帶來不安全因素。網(wǎng)絡很重要的一個功能就是文件傳輸功能,比如FTP,這些安裝程序經(jīng)常會帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫的程序,如果某個地方出現(xiàn)漏洞,那么系統(tǒng)可能就會造成崩潰。

3. 操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進程,支持進程的遠程創(chuàng)建和激活,支持被創(chuàng)建的進程繼承創(chuàng)建的權利,這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權用戶上,黑客或間諜軟件就可以使系統(tǒng)進程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在。

4. 操作系統(tǒng)會提供一些遠程調用功能,所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序,可以提交程序給遠程的服務器執(zhí)行,如telnet。遠程調用要經(jīng)過很多的環(huán)節(jié),中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全的問題。

（三） 防火墻的局限性

防火墻指的是一個由軟件和硬件設備組合而成、在內部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.它是一種計算機硬件和軟件的結合,使內部網(wǎng)與外部網(wǎng)之間建立起一個安全網(wǎng)關(Security Gateway),從而保護內部網(wǎng)免受非法用戶的侵入。

二、計算機網(wǎng)絡安全的對策

（一） 技術層面對策

1. 建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內的人員的技術素質和職業(yè)道德修養(yǎng)。對重要部門和信息,嚴格做好開機查毒,及時備份數(shù)據(jù),這是一種簡單有效的方法。

2. 網(wǎng)絡訪問控制。訪問控制是網(wǎng)絡安全防范和保護的主要策略。它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問。它是保證網(wǎng)絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以及屬性控制等多種手段。

3. 數(shù)據(jù)庫的備份與恢復。數(shù)據(jù)庫的備份與恢復是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復數(shù)據(jù)庫最容易和最能防止意外的保證方法。恢復是在意外發(fā)生后利用備份來恢復數(shù)據(jù)的操作。

4. 應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。

5. 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網(wǎng)絡可疑信息。

6. 提高網(wǎng)絡反病毒技術能力。

（1）防火墻技術

通過安裝病毒防火墻,進行實時過濾。防火墻是指一個由軟件或和硬件設備組合而成,網(wǎng)絡群體計算機與外界通道之間,限制外界用戶對內部網(wǎng)絡訪問及管理內部用戶訪問外界網(wǎng)絡的權限。常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網(wǎng)關技術。包過濾技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾邏輯，檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應用網(wǎng)關技術在應用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡和其他網(wǎng)絡，其目的在于隱蔽被保護網(wǎng)絡的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。

（2）數(shù)據(jù)加密與用戶授權訪問控制技術。

與防火墻相比，數(shù)據(jù)加密與用戶授權訪問控制技術比較靈活，更加適用于開放的網(wǎng)絡。用戶授權訪問控制主要用于對靜態(tài)信息的保護，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊，雖無法避免，但卻可以有效地檢測；而對于被動攻擊，雖無法檢測，但卻可以避免，實現(xiàn)這一切的基礎就是數(shù)據(jù)加密。

數(shù)據(jù)加密實質上是對以符號為基礎的數(shù)據(jù)進行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構成加密/解密的密鑰對，則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”，相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

（二） 物理安全層面對策

要保證計算機網(wǎng)絡系統(tǒng)的安全、可靠,必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設施,主要包括以下內容:

1. 計算機系統(tǒng)的環(huán)境條件。計算機系統(tǒng)的安全環(huán)境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。

2. 機房場地環(huán)境的選擇。計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地,要注意其外部環(huán)境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。

3.機房的安全防護。機房的安全防護是針對環(huán)境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網(wǎng)絡設施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,并對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統(tǒng)中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建筑物應具有抵御各種自然災害的設施。

總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有嚴格的保密政策、明晰的安全策略才能完好、實時地保證信息的完整性和確證性,為網(wǎng)絡提供強大的安全服務。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

[1]孟祥初.網(wǎng)絡安全重在流程[N].通信產(chǎn)業(yè)報. 2007

[2]陳欣.安全網(wǎng)絡體系[N].中國計算機報.2004

[3]劉德三,劉瑞琦.網(wǎng)絡安全事故防范[N].中國商報.2003

[4]嚴明.多媒體技術應用基礎[M].華中科技大學出版社.2004

[5]謝希仁.計算機網(wǎng)絡(第4版)[M].北京:電子工業(yè)出版社.2003

10.3969/j.issn.1001-8972.2011.08.065