摘 要：網(wǎng)絡(luò)的迅速發(fā)展，給我們的工作和生活帶來(lái)了巨大的改變。在網(wǎng)絡(luò)日益復(fù)雜化，多樣化的今天，安全受到人們?cè)絹?lái)越多的關(guān)注。如何保護(hù)各類(lèi)網(wǎng)絡(luò)和信息的安全，成為人們研究的焦點(diǎn)，如何對(duì)計(jì)算機(jī)網(wǎng)絡(luò)上的各種非法行為進(jìn)行主動(dòng)控制和有效防御，是計(jì)算機(jī)網(wǎng)絡(luò)安全亟待解決的問(wèn)題。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；信息安全

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Study on Computer Network Security Issues

YANG Shuqing

（Liaoning School of Administration，Shenyang 110161，China）

Abstract： The rapid development of computer network has brought dramatic changes to our work and life. Nowadays，with the network being more complex and diverse，people begin to pay more attention to network security.How to protect the security of various networks and information has become the researching focus，and how to control actively and defend effectively against the illegal actions on the computer network has become an urgent problem demanding solutions.

Keywords：computer network；network security；information security

1 引言（Introduction）

隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用，人類(lèi)面臨著信息安全的巨大挑戰(zhàn)。如何保證個(gè)人、企業(yè)及國(guó)家的機(jī)密信息不被黑客和間諜竊取，如何保證計(jì)算機(jī)網(wǎng)絡(luò)不間斷地工作，是國(guó)家和企業(yè)信息化建設(shè)必須考慮的重要問(wèn)題。然而，計(jì)算機(jī)網(wǎng)絡(luò)的安全存在錯(cuò)綜復(fù)雜的問(wèn)題，涉及面非常廣，有技術(shù)因素，也有管理因素；有自然因素，也有人為因素；有外部的安全威脅，還有內(nèi)部的安全隱患。如何對(duì)計(jì)算機(jī)網(wǎng)絡(luò)上的各種非法行為進(jìn)行主動(dòng)控制和有效防御，是計(jì)算機(jī)網(wǎng)絡(luò)安全亟待解決的問(wèn)題。

2 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素（Main factors

influencing the network safety of computer）

（1）病毒的侵襲

幾乎有計(jì)算機(jī)的地方，就有出現(xiàn)計(jì)算機(jī)病毒的可能性。計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，并能夠通過(guò)網(wǎng)絡(luò)、磁盤(pán)、光盤(pán)等諸多手段進(jìn)行傳播。正因?yàn)橛?jì)算機(jī)病毒傳播速度快、影響面大，所以它的危害最能引起人們的關(guān)注。

任何類(lèi)型的網(wǎng)絡(luò)免受病毒攻擊最保險(xiǎn)有效的方法是對(duì)網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)安裝防病毒軟件，并定期對(duì)軟件中的病毒定義進(jìn)行更新。值得用戶(hù)信賴(lài)的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒(méi)有“憂患意識(shí)”，很容易陷入“盲從殺毒軟件”誤區(qū)。

（2）數(shù)據(jù)“竊聽(tīng)”和攔截

這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進(jìn)行分析來(lái)獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，需要采取有效措施來(lái)防止重要數(shù)據(jù)被中途截獲，如用戶(hù)信用卡號(hào)碼等。加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽(tīng)的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。

（3）黑客的非法闖入

“黑客”一詞由英語(yǔ)Hacker英譯而來(lái)，是指專(zhuān)門(mén)研究、發(fā)現(xiàn)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛(ài)好者[1]。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。

（4）內(nèi)部網(wǎng)絡(luò)安全

來(lái)自?xún)?nèi)部用戶(hù)的安全威脅遠(yuǎn)大于外部網(wǎng)用戶(hù)的安全威脅，使用者缺乏安全意識(shí)，許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失，管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)在一個(gè)安全設(shè)計(jì)充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無(wú)疑是整個(gè)網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶(hù)都擁有相應(yīng)的權(quán)限，利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏，磁盤(pán)上的機(jī)密文件被人利用，臨時(shí)文件未及時(shí)刪除而被竊取，內(nèi)部人員有意無(wú)意的泄漏給黑客帶來(lái)可乘之機(jī)等，都可能使網(wǎng)絡(luò)安全機(jī)制形同虛設(shè)。特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對(duì)內(nèi)部網(wǎng)用戶(hù)來(lái)說(shuō)一點(diǎn)作用也不起。

（5）拒絕服務(wù)

就是要阻礙合法網(wǎng)絡(luò)用戶(hù)使用該服務(wù)或破壞正常的商務(wù)活動(dòng)。例如，通過(guò)破壞兩臺(tái)計(jì)算機(jī)之間的連接而阻止用戶(hù)訪問(wèn)服務(wù)；通過(guò)向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個(gè)企業(yè)運(yùn)作。這類(lèi)攻擊一般能使單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)癱瘓。

（6）網(wǎng)絡(luò)資源的共享性

資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

（7）網(wǎng)絡(luò)操作操作系統(tǒng)的漏洞

網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。endprint

3 安全策略（Safety strategy）

為了抵御網(wǎng)上攻擊，保護(hù)網(wǎng)絡(luò)安全，現(xiàn)在幾乎所有的網(wǎng)絡(luò)信息系統(tǒng)都裝備了各式各樣的網(wǎng)絡(luò)安全設(shè)施，諸如：加密設(shè)備、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描、防治病毒軟件、VPN、安全認(rèn)證系統(tǒng)、安全審計(jì)系統(tǒng)等等。有人形象地把它們稱(chēng)為網(wǎng)絡(luò)安全的十八般兵器，但是，搞好網(wǎng)絡(luò)安全光擁有這些兵器是不夠的，必須重視安全策略。安全策略是網(wǎng)絡(luò)安全的生命，是靈魂。沒(méi)有正確安全策略的安全系統(tǒng)就像沒(méi)有靈魂的軀殼，是不能夠完成保障安全的使命的。

（1）入侵檢測(cè)系統(tǒng)的安全策略

入侵檢測(cè)系統(tǒng)根據(jù)入侵檢測(cè)的行為分為兩種模式：異常檢測(cè)和誤用檢測(cè)[2]。前者先要建立一個(gè)系統(tǒng)訪問(wèn)正常行為的模型，凡是訪問(wèn)者不符合這個(gè)模型的行為將被斷定為入侵；后者則相反，先要將所有可能發(fā)生的不利的不可接受的行為歸納建立一個(gè)模型，凡是訪問(wèn)者符合這個(gè)模型的行為將被斷定為入侵。異常檢測(cè)的漏報(bào)率很低，但是不符合正常行為模式的行為并不見(jiàn)得就是惡意攻擊，因此這種策略誤報(bào)率較高；誤用檢測(cè)由于直接匹配比對(duì)異常的不可接受的行為模式，因此誤報(bào)率較低。但惡意行為千變?nèi)f化，可能沒(méi)有被收集在行為模式庫(kù)中，因此漏報(bào)率就很高。這就要求用戶(hù)必須根據(jù)本系統(tǒng)的特點(diǎn)和安全要求來(lái)制定策略，選擇行為檢測(cè)模式?，F(xiàn)在用戶(hù)都采取兩種模式相結(jié)合的策略。

（2）漏洞掃描策略

采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

（3）采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

a.防火墻技術(shù)：防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪間某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻[3]。在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問(wèn)控制。

b.NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

c.VPN：虛擬專(zhuān)用網(wǎng)（VPN）是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶(hù)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。

d.網(wǎng)絡(luò)加密技術(shù)（Ipsec）：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題，也可解決遠(yuǎn)程用戶(hù)訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。

e.認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。

f.多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。

g.網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。

（4）實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。

（5）建立分層管理和各級(jí)安全管理中心。

4 結(jié)論（Conclusion）

綜上所述，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展密切相關(guān)。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測(cè)等等硬件設(shè)備的防護(hù)，還要意識(shí)到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，安全保護(hù)的對(duì)象是計(jì)算機(jī)，而安全保護(hù)的主體則是人，應(yīng)重視對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開(kāi)發(fā)及軟件研制，建立一個(gè)好的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹(shù)立人的計(jì)算機(jī)安全意識(shí)，才可能防微杜漸。把可能出現(xiàn)的損失降低到最低點(diǎn)，才能生成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

參考文獻(xiàn)（References）

[1] 劉青超. 電子商務(wù)的安全策略[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2005，

15（21）：251-252.

[2] 程柏良，周洪波，鐘林輝.基于異常與誤用的入侵檢測(cè)系統(tǒng)[J].

計(jì)算機(jī)工程與設(shè)計(jì)，2007，28（14）：3341-3342.

[3] 高永安. 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略[J].科技信息，2006，（7）：

30-31.

作者簡(jiǎn)介：

楊淑清（1964-），女，學(xué)士，教授.研究領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò).endprint