文丨張海波 張軍儒 劉 江

隨著計算機的發(fā)展和普及，越來越多的人意識到網(wǎng)絡對于生產和生活的重要性，網(wǎng)絡把分散在各處的眾多的計算機聯(lián)系在一起，組成一個局域網(wǎng)，在這個局域網(wǎng)中，計算機之間可以共享程序、文檔、圖片等各種資源；還可以通過網(wǎng)絡使多臺計算機共享同一硬件，與此同時我們也可以通過網(wǎng)絡使用計算機發(fā)送和接收傳真，方便快捷而且經(jīng)濟實惠。

計算機安全的定義

國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而 遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可以理解為我們常說的信息安全，是對于信息的保密性、 完整性和可用性的保護，而網(wǎng)絡安全性的含義則是對于信息安全的一種引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。

計算機網(wǎng)絡安全的現(xiàn)狀

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術所具有的復雜性和多樣性，使得計算機的網(wǎng)絡安全成為一個需要持續(xù)關注和提高的領域?，F(xiàn)如今黑客的攻擊方法已然超過了計算機病毒的種類，而且許多攻擊對于計算機來說都是致命的。在Internet網(wǎng)絡上，因其本身沒有時空和地域的限制，所以每當有一種新的攻擊手段產生，就能在一周內傳遍全世界，它們利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。像蠕蟲、后門、Rootkits、DOS和Sniffer是大家耳熟能詳?shù)膸追N黑客攻擊手段。這些攻擊手段都體現(xiàn)了它們驚人的威力，而且時至今日有愈演愈烈之勢。與以前出現(xiàn)的攻擊方法相比，這幾類攻擊手段的新變種，更加的智能化，攻擊目標直指互聯(lián)網(wǎng)基礎協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內核級Rootlets，黑客的攻擊手法不斷的升級翻新，對用戶的信息安全防范能力不斷的發(fā)起挑戰(zhàn)。

影響計算機網(wǎng)絡安全的主要因素

1.關于網(wǎng)絡系統(tǒng)本身

目前使用較為廣泛的操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX,MS NT 和Windows。然而黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。其內容具體包括以下幾個方面：（1）穩(wěn)定性和可擴充性方面，由于設計系統(tǒng)的不規(guī)范、不合理以及缺乏對于安全的考慮，因而使其受到影響；（2）網(wǎng)絡硬件配置的不協(xié)調，首先是文件服務器。它是網(wǎng)絡的中樞，其運行的穩(wěn)定性、功能的完善性直接影響到網(wǎng)絡系統(tǒng)的質量。網(wǎng)絡應用的需求沒有引起操作者足夠的重視，設計和選型考慮不夠周密，使網(wǎng)絡功能發(fā)揮受阻，從而影響網(wǎng)絡的可靠性、擴充性和升級換代。其次是網(wǎng)卡所用工作站選配不當，導致網(wǎng)絡的不穩(wěn)定；缺乏相關的安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，但是卻忽視了這些權限有可能被其他人員濫用。

2.關于來自內部的網(wǎng)絡用戶

其實相對于網(wǎng)絡安全的問題來說，其內部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，由于使用者缺乏基本的安全意識，導致許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮欠佳，一旦系統(tǒng)設置錯誤，極容易造成損失。管理制度的不健全，網(wǎng)絡管理、維護不在一個設計充分且安全的網(wǎng)絡中，以及人為因素造成的安全漏洞無疑是整個網(wǎng)絡安全的最大隱患。即使網(wǎng)絡管理員或網(wǎng)絡用戶都擁有相應的權限 ,利用這些權限破壞網(wǎng)絡安全的隱患也是存在的。例如操作口令的泄漏 ,磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，其內部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網(wǎng)絡安全機制形同虛設。

3.關于有效的手段監(jiān)視、硬件設備的正確使用

黑客入侵防范體系的基礎——完整準確的安全評估。它對現(xiàn)有或即將構建的整個網(wǎng)絡的安全防護性可以作出科學、準確的分析評估，而且可以保障將要實施的安全策略技術上的可實現(xiàn)性、經(jīng)濟上的可行性以及組織上的可執(zhí)行性。網(wǎng)絡安全評估分析就是對整個網(wǎng)絡進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全現(xiàn)狀進行相對的評估、分析，對發(fā)現(xiàn)的問題提出建議，從而提高網(wǎng)絡系統(tǒng)安全性能的一個過程。因此評估分析技術是一種相對行之有效的安全技術。

4.關于黑客的攻擊

隨著黑客的攻擊手段不斷更新，幾乎每天都會有不同的系統(tǒng)安全問題出現(xiàn)。然而與之相反的是，安全工具的更新速度太慢，而且絕大多數(shù)情況下需要人為的參與進來才能發(fā)現(xiàn)以前未知的安全問題，使得它們對于新出現(xiàn)的安全問題總是反應不及。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全漏洞時，其他方面的安全問題又出現(xiàn)了。無法做到未雨綢繆，這是網(wǎng)絡安全的致命弱點。

確保計算機網(wǎng)絡安全的防范措施

到底如何才能使我們的網(wǎng)絡百分之百的安全呢？答案是：不可能。之所以不可能是因為迄今為止還沒有一種技術可以完全消除網(wǎng)絡安全漏洞。網(wǎng)絡的安全實際上只是實際的執(zhí)行和理想中的安全策略之間的一個平衡。從廣泛的網(wǎng)絡安全意義范圍來看，網(wǎng)絡安全不僅僅是技術問題，更是一個管理問題，它包含管理機構、法律、技術、經(jīng)濟等方面。我們可以從提高網(wǎng)絡安全技術和提升操作人員的素質入手，從以下幾個方面進一步落實網(wǎng)絡安全的可行性管理：

1.管理制度和法律法規(guī)建設。依據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡安全制度，加強網(wǎng)絡安全教育和人員的培訓。

2.嚴防網(wǎng)絡病毒的傳播。在當前網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產品已經(jīng)很難徹底清除網(wǎng)絡病毒，因此必須研發(fā)適合于局域網(wǎng)的全方位防病毒產品。學校、政府機關、企事業(yè)單位等網(wǎng)絡一般是內部局域網(wǎng)，亟需一個針對各種桌面操作系統(tǒng)的防病毒軟件和基于服務器操作系統(tǒng)平臺的防病毒軟件。如果在網(wǎng)絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，來識別隱藏在電子郵件和附件中的病毒。如果計算機要與互聯(lián)網(wǎng)相連，就需要網(wǎng)關的防病毒軟件，從而加強上網(wǎng)計算機的安全。所以最好使用全方位的防病毒產品，針對互聯(lián)網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡免受病毒的侵襲?，F(xiàn)在網(wǎng)絡版殺毒軟件比較多，如卡巴斯基、瑞星、諾頓、360等。

3.配置相對的硬件防火墻。我們可以利用硬件防火墻，在網(wǎng)絡傳輸時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內部網(wǎng)絡，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地防止黑客隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。硬件防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，根據(jù)不同網(wǎng)絡的安裝需求，做好防火墻內服務器及客戶端的各種規(guī)則配置，更加有效的利用好防火墻。

4.采用入侵檢測系統(tǒng)。入侵檢測技術是為保證系統(tǒng)的安全而設計的一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術，是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術。在入侵檢測系統(tǒng)中利用審計記錄，識別出任何不希望有的活動，從而達到限制這些活動，保護系統(tǒng)安全的目的。在學校、政府機關、企事業(yè)網(wǎng)絡中采用入侵檢測技術，最好采用混合入侵檢測的方法。在網(wǎng)絡中同時采用基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng)，構架出一套完整立體的主動防御體系，同防火強進行聯(lián)動設置。

5.Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www、Email等服務器中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡， 截獲互聯(lián)網(wǎng)上傳輸?shù)膬热?，并將其還原成完整的www、Email、FTP、Telnet等應用內容 ，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋热?，及時向上級安全網(wǎng)管中心報告，并采取措施整改。

6.IP盜用問題的解決方案。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問互聯(lián)網(wǎng)時，路由器要檢查發(fā)出這個IP廣播包的工作站的 MAC是否與路由器上的MAC地址表相符，如果相符就放行，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

7.數(shù)據(jù)備份。數(shù)據(jù)備份解決網(wǎng)絡安全重要的一關，數(shù)據(jù)由于硬件故障、人為因素或破壞性病毒等原因造成數(shù)據(jù)丟失，數(shù)據(jù)備份則把損失減少到最少或者可以接受的范圍之內，為計算機網(wǎng)絡安全守好最重要的一關。

結束語

網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠殺毒軟件、防火墻、漏洞檢測等硬件設備的防護，必須要意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng)，雖然安全保護的對象是計算機 ,但是安全保護的主體卻是人，因此重視對計算機網(wǎng)絡安全的硬件產品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡安全系統(tǒng)，同時注重樹立人的計算機安全意識，防微杜漸，將有可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。