淺議計算機網(wǎng)絡安全與預防

琿春礦業(yè)（集團）有限責任公司安全技術培訓中心 袁 濤

淺議計算機網(wǎng)絡安全與預防

琿春礦業(yè)（集團）有限責任公司安全技術培訓中心 袁 濤

隨著信息技術尤其是網(wǎng)絡信息技術的迅猛發(fā)展，無論是政府機構、企事業(yè)單位還是軍事機構等都離不開計算機網(wǎng)絡的支持與運作，計算機網(wǎng)絡與我們的生活、學習和工作息息相關。但同時不能忽視網(wǎng)絡技術安全問題，它像“雙生體”一樣伴隨著網(wǎng)絡技術的發(fā)展也日益“猖獗”。本文著重探討關于網(wǎng)絡技術安全如何防范和控制的問題，使網(wǎng)絡信息不被泄露或盜取，建立計算機網(wǎng)絡信息技術的保護機制，以保護網(wǎng)絡信息、服務后臺和服務系統(tǒng)不被攻擊和損壞。

計算機網(wǎng)絡；安全；防護

一、計算網(wǎng)絡面臨的安全問題

網(wǎng)絡信息可能被竊取取和網(wǎng)絡設備可能被攻擊這兩方面是當前網(wǎng)絡安全方面的最主要問題。導致網(wǎng)絡技術出現(xiàn)安全問題的原因是多方面的，有故意的，也有不是故意的；有人為的因素，也有網(wǎng)絡設備自身的情況；還可能是黑客的蓄意攻擊，總而言之，對網(wǎng)絡安全造成侵擾和破壞的情況有：

1.人為的非有意而造成的網(wǎng)絡安全問題，像網(wǎng)絡設備配置不得當而釀成了網(wǎng)絡安全問題，另外計算機用戶在日常使用過程中，網(wǎng)絡安全意識淡薄，忽略了用戶口令的重要性，對賬號的保密意識不強等，都會導致計算機網(wǎng)絡被攻擊。

2.屬于人為的故意侵擾和破壞，這種情況是目前計算機網(wǎng)絡安全的“頭號公敵”。其中較常見的黑客攻擊和網(wǎng)絡犯罪都屬于人為的故意的網(wǎng)絡攻擊。對其進行細分又可分為：第一種是采用各種方式進行有目標性、有選擇性地主動攻擊，其主要是破壞網(wǎng)絡信息的完備性；第二種是通過盜取、攔截等方式謀取至關重要的網(wǎng)絡信息，這種方式一般情況下不容易被察覺，稱之為被動攻擊。無論是主動攻擊還是被動攻擊對計算機網(wǎng)絡安全都是極其致命的攻擊，會致使很多重要信息被竊取和泄密。

3.網(wǎng)絡軟件設置的紕漏和“后門”。一般意義上，網(wǎng)絡軟件的設計都或多或少存在一些“瑕疵”，但正是這些“瑕疵”和漏洞使惡意攻擊者有機可乘，不乏很多黑客入侵的案例都是源于網(wǎng)絡軟件的設計不合理和不安全而造成的。此外，軟件公司在進行軟件設計時為了方便而建立軟件的“后門”，它是保密的，除了編程人員之外，幾乎無人可知，但如果安全防范不夠，這個“后門”被打開的話，其所帶來的危險是可想而知的。

二、計算機網(wǎng)絡的安全預防

1.物理安全預防

所謂的物理安全預防是指在物理介質層次上對存儲以及傳輸?shù)木W(wǎng)絡信息進行安全保護。其主要預防措施有以下幾方面：一是對計算機用戶的身份信息及其使用權限信息進行嚴格的驗證，從而避免用戶實施超越自身所擁有權限的操作行為；二是構建完善的安全管理機制，從而有效的避免失竊、人為故意破壞以及采用不正當手段進入主控室等現(xiàn)象的發(fā)生。

2.訪問控制預防

(1)入網(wǎng)訪問控制

入網(wǎng)訪問控制為網(wǎng)絡系統(tǒng)安全防護起到了重要的作用，它為用戶訪問網(wǎng)絡設置了首層訪問控制。對于哪部分用戶能夠進入網(wǎng)絡并獲得其所需要的資源、用戶進網(wǎng)時間的長短以及用戶通過哪個工作站進入網(wǎng)絡等方面都實施了有效的控制。它通過三個步驟對用戶的進網(wǎng)行為實施有效的控制：第一是對入網(wǎng)用戶的用戶名進行甄別和確認；第二是對入網(wǎng)用戶的用戶口令進行甄別和確認；第三是對入網(wǎng)用戶的用戶賬號進行缺省限制的檢查。對于這三方面的驗證和檢查，只要入網(wǎng)用戶有其中一項未獲準通過，那么入網(wǎng)用戶就無法登錄該網(wǎng)絡。對入網(wǎng)用戶的身份以及口令進行甄別并確認是預防非法訪問的第一道防線。用戶賬號的建立必須具有唯一性，只有系統(tǒng)的管理權才擁有此權限，如果把用戶賬號看做是一個人的名字的話，那么用戶口令就是這個人的“身份證”，用戶要想進入網(wǎng)絡必須出示自己的“身份證”，只有人證合一才能進入，雖然用戶能夠自己對口令進行修改，不過系統(tǒng)管理員可以對口令實施以下幾方面的控制手段：一是控制最小口令長度；二是強制對修改口令的時間間隔；三是對口令具有的唯一性實施控制；四是對于用戶口令已超出有效使用期后進入網(wǎng)絡的次數(shù)的限制。在對用戶名以及口令驗證通過之后，在進行對用戶賬戶的缺省檢查控制。網(wǎng)絡應該具備控制以下幾點行為的能力，用戶進入網(wǎng)絡所使用的站點、用戶進入網(wǎng)絡的時間以及用戶進入網(wǎng)絡所使用的工作站的多少。同時，對于必須支付一定的費用才能夠進入網(wǎng)絡獲取資源的交費網(wǎng)絡來說，如果用戶的資費達不到其要求，那么對于這類用戶的賬號，網(wǎng)絡應該由權限對其實施限制。一旦入網(wǎng)用戶在輸入口令的過程中出現(xiàn)多次不正確的現(xiàn)象，就應視為用戶不具有合法進入的權限，應立即向管理員進行報警。

(2)網(wǎng)絡的權限控制

所謂的網(wǎng)絡權限控制是通過對用戶以不正當手段對計算機網(wǎng)絡實施操作行為進行控制而達到保護網(wǎng)絡安全目的所采用的措施。對于用戶以及用戶組能夠對網(wǎng)絡的哪些資源進行訪問以及對于這些資源可以實施哪些操作，網(wǎng)絡的權限控制都有明確的規(guī)定。網(wǎng)絡的權限控制主要通過兩種方式來實現(xiàn)其目的：一是受托者指派的方式；二是IRM。

(3)目錄級安全控制

所謂的目錄級安全控制就是指網(wǎng)絡能夠允許其所控制的用戶對目錄以及文件等方面的訪問行為。用戶一共有包括讀、寫權限在內的八種權限對目錄以及文件進行訪問。對于用戶所擁有的八種權限實施合理有效的整合即能夠使用戶更好的做完自己的工作，又能夠對用戶訪問網(wǎng)絡資源的行為加以有效控制，進一步提高網(wǎng)絡的安全防護性能。

(4)屬性安全控制

在用戶對文件以及目錄等進行訪問時，系統(tǒng)管理員應該對于網(wǎng)絡的文件以及目錄等設置一定的訪問屬性。屬性安全控制是在網(wǎng)絡權限控制基礎之上對于網(wǎng)絡安全性的進一步加強。管理員應該對于用戶的訪問權限指定一張控制表進行相對應，以此來明確用戶所擁有的權限能力的大小。在通常情況下，屬性安全控制可以對用戶的執(zhí)行文件權限、查看目錄以及文件的權限等方面進行有效控制。

(5)網(wǎng)絡服務器安全控制

所謂的網(wǎng)絡服務器安全控制指的是用戶可以通過控制臺來完成裝卸以及卸載模塊、安裝以及刪除軟件等操作行為。對于服務器進行口令設置從而達到鎖定的目的以及對用戶登錄服務器的時間的長短進行限制等手段都屬于網(wǎng)絡服務器安全控制的實現(xiàn)方式。

(6)網(wǎng)絡監(jiān)測和鎖定控制

系統(tǒng)管理員應該對網(wǎng)絡安全加強監(jiān)控力度，對于用戶采用不正當手段進入網(wǎng)絡時，服務器應該發(fā)出警報提醒管理員。同時對于非法進入網(wǎng)絡的次數(shù)服務器應有詳細記錄，一旦超過管理員對于非法進入次數(shù)的設定值，就要對該賬戶進行鎖定控制。

3.信息加密防護

信息加密也是預防網(wǎng)絡安全的重要舉措，其主要是防止計算機內的數(shù)據(jù)資料、用戶口令和網(wǎng)絡信息傳播被攔截和竊取。網(wǎng)絡加密通常有三種加密方法：鏈路加密方法、端點加密方法、節(jié)點加密方法。第一種加密方法，即鏈路加密方法，它主要是防止各個節(jié)點間的鏈路不被破壞；第二種加密方法，即端點加密方法，它主要是對數(shù)據(jù)傳輸起到“保駕護航”的作用；第三種加密方法，即節(jié)點加密法，它主要是對初始節(jié)點與終極節(jié)點間的傳播鏈路進行“安全護送”。網(wǎng)絡用戶可因時因事選取加密方法。

4.網(wǎng)絡安全管理防護

對于計算機網(wǎng)絡安全的防護措施來說，除了上面所提到的方式以外，還要強化網(wǎng)絡安全的管理力度，制定切實有效的管理制度，網(wǎng)絡安全管理防護在不同程度上保護網(wǎng)絡信息安全不被竊取和攻擊，其防護措施主要有：一是明確安全管理等級；二是規(guī)定安全管理范疇；三是規(guī)范網(wǎng)絡安全操作規(guī)程；四是制訂機房管理制度；五是規(guī)定網(wǎng)絡信息系統(tǒng)的保護措施；六是制定預防安全隱患的防范措施等。

三、結束語

網(wǎng)絡信息安全是一項龐大的、紛繁復雜的系統(tǒng)工程，一個健全完善的網(wǎng)絡安令體系能有效預防和控制網(wǎng)絡黑客的蓄意攻擊，保護網(wǎng)絡信息的有效性和完整性。但計算機網(wǎng)絡就像一把“雙刃劍”，既有方便快捷的信息傳播一面，又有網(wǎng)絡信息安全隱患的一面，安全紕漏層出不窮，攻擊技術逐漸提高，所以軟件公司要不斷更新?lián)Q代，逐步提高網(wǎng)絡的安令策略，設計出高端的防護產(chǎn)品；另一方面，對于安全操作員和網(wǎng)絡用戶來說，要提高安全防護意識，提高操作技術水平，保護計算機網(wǎng)絡安全。

[1]張曉杰,姜同敏,王曉峰.提高計算機網(wǎng)絡可靠性的方法研究[J].計算機工程與設計,2010(5).

[2]李海燕,王艷萍.計算機網(wǎng)絡安全問題與防范方法的探討[J].煤炭技術,2011(9).

[3]楊津生.計算機網(wǎng)絡防御策略探析[J].中國科技博覽,2011(31).

袁濤（1982—），男，吉林琿春人，大學本科，計算機網(wǎng)絡工程師，現(xiàn)供職于琿春礦業(yè)（集團）有限責任公司安全技術培訓中心，研究方向：計算機網(wǎng)絡。