計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及防范策略

黃學(xué)華

南京信息工程大學(xué)計(jì)算機(jī)與軟件學(xué)院，江蘇南京 210044

1 概述

隨著計(jì)算機(jī)技術(shù)的日益普及，各行各業(yè)都在試圖通過(guò)計(jì)算機(jī)來(lái)提高其生產(chǎn)、經(jīng)營(yíng)、學(xué)習(xí)等方面的效率。計(jì)算機(jī)網(wǎng)絡(luò)作為計(jì)算機(jī)技術(shù)和現(xiàn)代化數(shù)字通信技術(shù)相互融合的產(chǎn)物，不但是人們?nèi)粘Ｉ钏仨毜墓ぞ撸且粋€(gè)國(guó)家在政治、經(jīng)濟(jì)、軍事等國(guó)家實(shí)力的象征?；诖?，網(wǎng)絡(luò)安全問(wèn)題就成了人們備受關(guān)注的重要課題。從其本質(zhì)上來(lái)看，計(jì)算機(jī)網(wǎng)絡(luò)安全也即是確保網(wǎng)上的各信息資源的安全，網(wǎng)絡(luò)安全從某種意義上來(lái)說(shuō)就是指網(wǎng)絡(luò)信息安全，也即是指網(wǎng)絡(luò)系統(tǒng)中流動(dòng)及保存的各種數(shù)據(jù)資源信息不被惡意的泄漏和破壞。網(wǎng)絡(luò)上各種數(shù)據(jù)資源信息時(shí)網(wǎng)絡(luò)中最寶貴的資源，然而很多不法分子就是通過(guò)各種網(wǎng)絡(luò)途徑竊取相應(yīng)的網(wǎng)絡(luò)信息資源、泄漏信息、進(jìn)行一些有害信息的傳播等違法行為。而計(jì)算機(jī)網(wǎng)絡(luò)安全也即是指通過(guò)一定的控制手段和管理方法，對(duì)網(wǎng)絡(luò)上的信息及網(wǎng)絡(luò)自身進(jìn)行保護(hù)措施，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全級(jí)網(wǎng)絡(luò)各服務(wù)的正常運(yùn)行；安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)必須具備可靠性、保密性、完整性和可用性4個(gè)基本特點(diǎn)。

2 常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患

2.1 使用操作系統(tǒng)不直接登陸侵入

操作系統(tǒng)自身存在的漏洞，很容易通過(guò)一些不正當(dāng)手段獲取計(jì)算機(jī)的管理權(quán)限，并通過(guò)遠(yuǎn)程登陸的方式，實(shí)現(xiàn)對(duì)計(jì)算機(jī)數(shù)據(jù)的破壞和更改，如通過(guò)Unix系統(tǒng)中Telent服務(wù)器很容易實(shí)現(xiàn)對(duì)其他計(jì)算機(jī)的遠(yuǎn)程非法訪問(wèn)。

2.2 利用TCP/IP協(xié)議實(shí)現(xiàn)破壞

TCP/IP協(xié)議組（又稱為網(wǎng)絡(luò)通訊協(xié)議），是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)協(xié)議中最重要的協(xié)議之一。設(shè)計(jì)的目的是為了使網(wǎng)絡(luò)環(huán)境設(shè)置為相對(duì)可信安全的環(huán)境之下。該網(wǎng)絡(luò)協(xié)議首要考慮的因素也即是網(wǎng)絡(luò)的開(kāi)放性和互聯(lián)性，但其安全性卻很少考慮在內(nèi)。給TCP/IP協(xié)議組本身造成很大的不安全性，導(dǎo)致一系列基于此協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的不安全性?；诖耍恍┓欠ǚ肿泳蜁?huì)通過(guò)TCP連接時(shí)所提供的服務(wù)器序列號(hào)，侵入到網(wǎng)絡(luò)中同時(shí)非法獲取傳輸?shù)腎P數(shù)據(jù)包，然后通過(guò)將信息破壞或篡改后重新發(fā)送，以此來(lái)影響網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)恼_性和安全性。

2.3 利用IP源路徑實(shí)現(xiàn)破壞

由于IP源路徑的不確定，使得計(jì)算機(jī)網(wǎng)路中的用戶在向其他用戶發(fā)送信息時(shí)，一些非法分子通過(guò)修改IP路徑，將發(fā)送信息發(fā)送至非法分子指定的IP目標(biāo)中，以此來(lái)非法獲取一些用戶信息。

2.4 更改計(jì)算機(jī)系統(tǒng)內(nèi)置文件

計(jì)算機(jī)網(wǎng)絡(luò)中潛存的病毒程序或木馬程序等，可以有企圖的對(duì)計(jì)算機(jī)相關(guān)系統(tǒng)文件實(shí)現(xiàn)破壞和更改，同時(shí)非法的獲取計(jì)算機(jī)用戶的一些價(jià)值文件和數(shù)據(jù)，如當(dāng)前影響較大的“特洛伊木馬”等。

2.5 通過(guò)非法軟件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)用戶監(jiān)聽(tīng)或掃描

通過(guò)安裝一些監(jiān)控裝置或竊聽(tīng)裝置到計(jì)算機(jī)用戶上，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)的非法監(jiān)聽(tīng)或掃描，以此來(lái)獲取網(wǎng)絡(luò)用戶的信息資源。

3 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略分析

基于以上存在的問(wèn)題而言，筆者以為要想防范用戶計(jì)算機(jī)免受網(wǎng)絡(luò)中木馬或病毒的攻擊，可通過(guò)采用分層控制的方案，實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的分層控制，如內(nèi)部我拿了過(guò)訪問(wèn)控制層、內(nèi)外網(wǎng)訪問(wèn)控制層等，結(jié)合不同層次的計(jì)算機(jī)，采取相應(yīng)的防范措施。

3.1 內(nèi)外網(wǎng)間的訪問(wèn)控制層

局域網(wǎng)和互聯(lián)網(wǎng)之間，用戶可通過(guò)以下防范實(shí)現(xiàn)安全管理：

1）安全掃描?；ヂ?lián)網(wǎng)互動(dòng)過(guò)程中，及時(shí)的對(duì)計(jì)算機(jī)安全衛(wèi)士和殺毒軟件等進(jìn)行升級(jí)，以便及時(shí)的對(duì)流動(dòng)數(shù)據(jù)包進(jìn)行檢測(cè)，以便及時(shí)有效的對(duì)網(wǎng)絡(luò)中發(fā)現(xiàn)的木馬和病毒采取有效的防護(hù)措施；

圖1 防火墻系統(tǒng)的基本配置

2）防火墻系統(tǒng)。防火墻作為計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)的第一道屏障，是一種加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，它主要用來(lái)預(yù)防一些非法用戶以非法手段使用網(wǎng)絡(luò)中不公開(kāi)的信息資源，它可以完成兩個(gè)或多個(gè)數(shù)據(jù)包之間的傳輸?shù)臋z查工作，以此來(lái)決定網(wǎng)絡(luò)之間傳輸信息的準(zhǔn)確性、真實(shí)性及安全性。用于隔離安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)、隔離安全網(wǎng)與不安全網(wǎng)絡(luò)，同時(shí)對(duì)它們之間的相互訪問(wèn)加以控制。它可以對(duì)所有進(jìn)出它的數(shù)據(jù)實(shí)現(xiàn)過(guò)濾和檢查，真正發(fā)揮應(yīng)有的安全防護(hù)作用。從當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息安全多種保護(hù)手段來(lái)看，防火墻系統(tǒng)是當(dāng)前最行之有效的方法之一。以下以某學(xué)校的校園網(wǎng)為例，簡(jiǎn)單闡述防火墻系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的建設(shè)方案。

結(jié)合校園網(wǎng)的特點(diǎn)，首先在路由器和中心交換機(jī)間放置阿姆瑞特防火墻（阿姆瑞特F300防火墻擁有5個(gè)接口），同時(shí)將學(xué)校對(duì)外服務(wù)器放置于防火強(qiáng)的其它接口上，以此在保障各服務(wù)器安全的同時(shí)保，還保障了網(wǎng)絡(luò)的帶寬。通過(guò)在防火墻上設(shè)置不允許Internet 用戶訪問(wèn)該校內(nèi)部網(wǎng)，使得該校園網(wǎng)絡(luò)更加安全合理。其具體配置可參照?qǐng)D1所示；

3）入侵檢測(cè)。計(jì)算機(jī)實(shí)現(xiàn)互聯(lián)網(wǎng)互動(dòng)時(shí)，及時(shí)有效的進(jìn)行安全衛(wèi)士和殺毒軟件系統(tǒng)的升級(jí)，對(duì)于網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)包及時(shí)有效的進(jìn)行檢測(cè)，以便對(duì)網(wǎng)絡(luò)互動(dòng)中發(fā)現(xiàn)的木馬或病毒程序采取及時(shí)的防護(hù)措施，必要時(shí)禁止登陸對(duì)該網(wǎng)站的訪問(wèn)。

3.2 內(nèi)部網(wǎng)的訪問(wèn)控制層

一般情況下，我們可采取以下方法來(lái)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)的訪問(wèn)保護(hù)：

1）用戶身份認(rèn)證。用戶入網(wǎng)需要經(jīng)過(guò)用戶名驗(yàn)證，用戶口令驗(yàn)證以及用戶賬號(hào)驗(yàn)證三個(gè)步驟。其關(guān)鍵也即是用戶口令，同時(shí)需要進(jìn)行加密實(shí)現(xiàn)保護(hù)。還應(yīng)盡量避免多個(gè)計(jì)算機(jī)使用同一賬戶進(jìn)行登錄；

2）權(quán)限控制。權(quán)限的原則也即是管理員、用戶等需履行的某一任務(wù)而特別具有的權(quán)限，這是有效限制其他非法用戶訪問(wèn)網(wǎng)絡(luò)資源的有效途徑。權(quán)限設(shè)置過(guò)程中，首先應(yīng)確保網(wǎng)絡(luò)權(quán)限設(shè)置的合理性，不能因權(quán)限的設(shè)置影響網(wǎng)絡(luò)的正常運(yùn)行，同時(shí)為減少病毒的入侵，還應(yīng)增加相應(yīng)的加密技術(shù)來(lái)確保網(wǎng)絡(luò)的安全，以此來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)信息數(shù)據(jù)的系統(tǒng)性加密，以此來(lái)確保網(wǎng)絡(luò)的安全性和可靠性，另外還可適當(dāng)通過(guò)對(duì)節(jié)點(diǎn)的加密，來(lái)實(shí)現(xiàn)對(duì)計(jì)算機(jī)節(jié)點(diǎn)信息的實(shí)時(shí)保護(hù)，以便最大限度的保障期安全性能；

3）加密技術(shù)。數(shù)據(jù)加密也即是通過(guò)適當(dāng)數(shù)學(xué)函數(shù)轉(zhuǎn)換方法來(lái)以密文的形式代替明文，并只有特定接受者才能對(duì)其進(jìn)行解密。將其分為對(duì)稱加密和不對(duì)稱加密兩種方法；

4）定時(shí)的安全掃描。一般情況下，計(jì)算機(jī)網(wǎng)路用戶會(huì)以出現(xiàn)問(wèn)題解決問(wèn)題的態(tài)度來(lái)對(duì)待計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題，這是一個(gè)極為不好的習(xí)慣，計(jì)算機(jī)網(wǎng)絡(luò)用戶應(yīng)養(yǎng)成定期的系統(tǒng)掃描和全盤掃描的習(xí)慣，定期檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)各部分的運(yùn)行狀況，以便及早發(fā)現(xiàn)問(wèn)題，及早給予處理；

5）入侵檢測(cè)；

6）設(shè)置網(wǎng)絡(luò)病毒防范技術(shù)。病毒作為計(jì)算機(jī)網(wǎng)絡(luò)中最常見(jiàn)的安全威脅，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)就必須適當(dāng)增加網(wǎng)路殺毒軟件，通過(guò)安裝各種殺毒軟件實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)時(shí)保護(hù)，以此來(lái)將網(wǎng)絡(luò)威脅降低到最小程度。部分用戶會(huì)因?yàn)橛X(jué)得麻煩而不選擇安裝殺毒軟件，這樣一來(lái)很容易給病毒營(yíng)造一種暢通無(wú)阻的環(huán)境，病毒會(huì)隨著瀏覽網(wǎng)頁(yè)或下載資料資源等入侵到本地計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，進(jìn)而給正常的網(wǎng)絡(luò)訪問(wèn)帶來(lái)影響。因此，筆者以為無(wú)論是單位計(jì)算機(jī)網(wǎng)絡(luò)還是小型的家用計(jì)算機(jī)網(wǎng)絡(luò)中的計(jì)算機(jī)均應(yīng)安裝一定的殺毒軟件，以此來(lái)啟動(dòng)本地計(jì)算機(jī)的防護(hù)功能。

3.3 數(shù)據(jù)存儲(chǔ)層

數(shù)據(jù)存儲(chǔ)層的安全對(duì)整個(gè)系統(tǒng)安全來(lái)說(shuō)同樣非常重要。通常我們可通過(guò)如下措施，實(shí)現(xiàn)對(duì)數(shù)據(jù)存儲(chǔ)層的安全防護(hù)。

1）加密技術(shù)?？赏ㄟ^(guò)一些保密軟件來(lái)實(shí)現(xiàn)對(duì)安全性要求較高的數(shù)據(jù)進(jìn)行保護(hù)，以此來(lái)預(yù)防病毒和木馬的入侵；

2）選擇安全系數(shù)較高的數(shù)據(jù)庫(kù)系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的安全防護(hù)；

3）確保存儲(chǔ)介質(zhì)的安全性；

4）及時(shí)對(duì)數(shù)據(jù)庫(kù)進(jìn)行系統(tǒng)掃描，定時(shí)進(jìn)行系統(tǒng)升級(jí)，以此來(lái)及時(shí)發(fā)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)中存在的漏洞，以便及時(shí)有效的進(jìn)行實(shí)時(shí)修復(fù)。

3.4 網(wǎng)絡(luò)安全法律規(guī)范的實(shí)施

網(wǎng)絡(luò)安全法律法規(guī)作為網(wǎng)絡(luò)信息防護(hù)的重要放線之一，如果龐大的網(wǎng)絡(luò)系統(tǒng)沒(méi)有同意的法律法規(guī)進(jìn)行保障，同樣得不到有效的運(yùn)行，網(wǎng)絡(luò)也便成為無(wú)序的網(wǎng)絡(luò)，也便沒(méi)有網(wǎng)絡(luò)之說(shuō)。目前國(guó)家相關(guān)權(quán)利機(jī)關(guān)針對(duì)網(wǎng)路信息安全問(wèn)題專門制定了一系列相關(guān)的法律法規(guī)，以此來(lái)確保網(wǎng)絡(luò)正常安全運(yùn)行。

總之，計(jì)算機(jī)網(wǎng)絡(luò)安全作為一項(xiàng)長(zhǎng)期復(fù)雜的系統(tǒng)工程，需要我們不斷健全和強(qiáng)化其各項(xiàng)安全保障措施，以此來(lái)提高網(wǎng)絡(luò)安全的正常運(yùn)行。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)第5版[M].電子工業(yè)出版社，2008：284-285.

[2]李明革，楊亞洲，姜占華.園區(qū)網(wǎng)絡(luò)故障分析及解決措施[J].吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2008(4)：102-103.

[3]盧建華，蔣明，陳淑芳.網(wǎng)絡(luò)數(shù)據(jù)包捕獲及分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009(2)：23-25.

[4]孫全尚，孫書(shū)雙.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].科技創(chuàng)新導(dǎo)報(bào)，2008(28)：56-58.

[5]邊云生.計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)探究[J].電腦知識(shí)與技術(shù)，2011，7(31)：45-46.