1、淺析計算機網絡問題與對策摘 要：隨著計算機信息技術的迅猛發展，計算機網絡已經越發成為農業、工業、第三產業和國防工業的重要信息交換媒介，并且滲透到社會生活的各個角落。因此，認清網絡的脆弱性和潛在威脅的嚴重性，采取強有力安全策略勢在必行。計算機網絡安全工作是一項長期而艱巨的任務，它應該貫徹于整個信息網絡的籌劃、組成、測試的全過程。本文結合實際情況，分析網絡安全問題并提出相應對策。關鍵詞： 計算機；網絡安全；網絡威脅；一、 前言隨著計算機技術的迅速發展，在計算機上完成的工作已由基于單機的文件處理、自動化辦公，發展到今天的企業內部網、企業外部網和國際互聯網的世界范圍內的信息共享和業務處理，也就是我們常

2、說的局域網、城域網和廣域網。計算機網絡的應用領域已從傳統的小型業務系統逐漸向大型業務系統擴展。計算機網絡在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰。組織和單位的計算機網絡是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網絡防御系統，他就有訪問成千上萬計算機的可能性。據統計，近年來因網絡安全事故造成的損失每年高達上千億美元。計算機系統的脆弱性已為各國政府與機構所認識。二、計算機通信網絡安全概述所謂計算機通信網絡安全，是指根據計算機通信網絡特性，通過相應的安全技術和措施，對計算機通信網絡的硬件、操作系統、應用軟件和數據等加以保護，防止遭到破壞或竊取，其實質就是要保

3、護計算機通訊系統和通信網絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網絡的安全是指揮、控制信息安全的重要保證。根據國家計算機網絡應急技術處理協調中心的權威統計，通過分布式密網捕獲的新的漏洞攻擊惡意代碼數量平均每天112 次，每天捕獲最多的次數高達4369 次。因此，隨著網絡一體化和互聯互通，我們必須加強計算機通信網絡安全防范意思，提高防范手段。三、影響計算機通信網絡安全的因素分析計算機通信網絡的安全涉及到多種學科，包括計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等十數種，這些技術各司其職，保護網絡系統的硬件、軟件以及系統中的數據免遭各種因素的破

4、壞、更改、泄露，保證系 統連續可靠正常運行。3.1 影響計算機通信網絡安全的客觀因素。3.1.1 網絡資源的共享性。計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網絡，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。3.1.2 網絡操作系統的漏洞。操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性，決定了操作系統必然存在各種的缺陷和漏洞。3.1.3 網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統

5、等都會直接帶來安全隱患。3.1.4 網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源，從而很容易獲取到一個企業、單位以及個人的信息。3.1.5 惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網絡病毒是最難防范的網絡安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是 DOS攻擊還是DDOSfc擊，簡單的看，都只是一種破壞網絡服務的黑客方式，雖然具體的實現方式千變萬化，但都有一個共同點，就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。具體表現方式有以下幾種：（ 1）制造大流量無用數據，造成通往被攻擊主機的網絡擁塞，使被攻擊主機無法正

6、常和外界通信。（ 2） 利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷，反復高頻的發出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。（ 3）利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷，反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源，使主機處于掛起狀態甚至死機。DOS攻擊幾乎是從互聯網絡的誕生以來，就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是，要找 DOS的工具一點不難，黑客網絡社區都有共享黑客軟件的傳統，并會在一起交流攻擊的心得經驗，你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS攻

7、擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。3.2 影響計算機網絡通信安全的主觀因素。主要是計算機系統網絡管理人員缺乏安全觀念和必備技術，如安全意識、防范意思等。四、計算機網絡的安全策略4.1 物理安全策略。物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理，制

8、定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施等。4.2 常用的網絡安全技術。由于網絡所帶來的諸多不安全因素，使得網絡使用者必須采取相應的網絡安全技術來堵塞安全漏洞和提供安全的通信服務。如今，快速發展的網絡安全技術能從不同角度來保證網絡信息不受侵犯，網絡安全的基本技術主要包括網絡加密技術、防火墻技術、操作系統安全內核技術、身份驗證技術、網絡防病毒技術。4.2.1 網絡加密技術。網絡加密技術是網絡安全最有效的技術之一。一個加密網絡，不但可以

9、防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、 口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密，端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很牢靠的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密算法多達

10、數百種。如果按照收發雙方的密鑰是否相同來分類，可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中，人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。4.2.2 防火墻技術。防火墻技術是設置在被保護網絡和外界之間的一道屏障，是通過計算機硬件和軟件的組合來建立起一個安全網關，從而保護內部網絡免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數據流，來實何保證通信網絡的安全對今后計算機通信網絡的發展尤為重要?，F對網

11、絡的安全保護。防火墻的組成可以表示為： 防火墻 = 過濾器 + 安全策略+ 網關， 它是一種非常有效的網絡安全技術。在 Internet上，通過它來隔離風險區域與安全區域的連接，但不防礙人們對風險區域的訪問。防火墻可以監控進出網絡的通信數據，從而完成僅讓安全、核準的信息進入，同時又抵制對企業構成威脅的數據進入的任務。根據防火墻所采用的技術不同, 我們可以將它分為四種基本類型: 包過濾型、網絡地址轉換一NAT代理型和狀態監測型。包過濾型產品是防火墻的初級產品, 其技術依據是網絡中的分包傳輸技術，工作在網絡層。 網絡上的數據都是以 “包” 為單位進行傳輸的, 數據被分割成為一定大小的數據包,每一個

12、數據包中都會包含一些特定信息, 如數據的源地址、目標地址、源端口和目標端口等。 防火墻通過讀取數據包中的地址信息來判斷這些 “包” 是否來自可信任的安全站點,一旦發現來自危險站點的數據包, 防火墻便會將這些數據拒之門外。但包過濾防火墻的缺點有三：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數據包的源地址、目的地址以及IP 的端口號都在數據包的頭部，很有可能被竊聽或假冒；三是無法執行某些安全策略。網絡地址轉化NAT。 “你不能攻擊你看不見的東西”是網絡地址轉換的理論基礎。網絡地址轉換是一種用于把IP 地址轉換成臨時的、外部的、 注冊的 IP 地址標準。它允許具有私有IP

13、 地址的內部網絡訪問因特網。當數據包流經網絡時，NAT 將從發送端的數據包中移去專用的IP 地址，并用一個偽IP 地址代替。NAT 軟件保留專用IP 地址和偽 IP 地址的一張地址映射表。當一個數據包返回到NAT 系統，這一過程將被逆轉。當符合規則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網上捕獲到這個數據包，他們也不能確定發送端的真實IP 地址，從而無法攻擊內部網絡中的計算機。NAT 技術也存在一些缺點，例如：木馬程序可以通過NAT 進行外部連接，穿透防

14、火墻。代理型防火墻也可以被稱為代理服務器, 它的安全性要高于包過濾型產品, 它分為應用層網關和電路層網關。代理服務器位于客戶機與服務器之間, 完全阻擋了二者間的數據交流。 從客戶機來看, 代理服務器相當于一臺真正的服務器; 而從服務器來看, 代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時, 首先將數據請求發給代理服務器, 代理服務器再根據這一請求向服務器索取數據, 然后再由代理服務器將數據傳輸給客戶機。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部結構的作用，這種防火墻是網絡專家公的最安全的防火墻。缺點是速度相對較慢。監測型防火

15、墻是新一代的產品, 這一技術實際已經超越了最初的防火墻定義。它是由Check Point 軟件技術有限公司率先提出的，也稱為動態包過濾防火墻?？偟膩碚f，具有： 高安全性，高效性， 可伸縮性和易擴展性。實際上 , 作為當前防火墻產品的主流趨勢,大多數代理服務器也集成了包過濾技術, 這兩種技術的混合顯然比單獨使用具有更大的優勢?？偟膩碚f，網絡的安全性通常是以網絡服務的開放性和靈活性為代價的，防火墻只是整個網絡安全防護體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術，我們還使用了其他技術來加強安全保護，數據加密技術是保障信息安全的基石。所謂數據加密技術就是使用數字方法來重新組織數據，使得

16、除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密技術就是加密和解密所用的密鑰不一樣。4.2.3 操作系統安全內核技術。操作系統安全內核技術除了在傳統網絡安全技術上著手，人們開始在操作系統的層次上考慮網絡安全性，嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去，從而使系統更安全。操作系統平臺的安全措施包括：采用安全性較高的操作系統；對操作系統的安全配置；利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、 C1、 C2、 B1、

17、B2、 B3、A 級，其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級 , 其特征包括：用戶必須通過用戶注冊名和口令讓系統識別；系統可以根據用戶注冊名決定用戶訪 問資源的權限；系統可以對系統中發生的每一件事進行審核和記錄；可以創建其他 具有系統管理權限的用戶。4.2.5 身份驗證技術身份驗證技術。身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節，人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證，確認其是否為合法的用戶，如是合法用戶，再審核該用戶是否

18、有權對他所請求的服務或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎上的。為了使網絡具有是否允許用戶存取數據的判別能力，避免出現非法傳送、復制或篡改數據等不安全現象，網絡需要采用的識別技術。常用的識別方法有口令、唯一標識符、標記識別等?？诹钍亲畛Ｓ玫淖R別用戶的方法，通常是由計算機系統隨機產生，不易猜測、保密性強，必要時，還可以隨時更改，實行固定或不固定使用有效期制度，進一步提高網絡使用的安全性；唯一標識符一般用于高度安全的網絡系統，采用對存取控制和網絡管理實行精確而唯一的標識用戶的方法，每個用戶的唯一標識符是由網絡系統在用戶建立時生成的一個數字，且該數字在系統周期內不會被別的

19、用戶再度使用；標記識別是一種包括一個隨機精確碼卡片（如磁卡等）的識別方式，一個標記是一個口令的物理實現， 用它來代替系統打入一個口令。一個用戶必須具有一個卡片，但為了提高安全性，可以用于多個口令的使用。4.2.6 網絡防病毒技術。在網絡環境下，計算機病毒具有不可估量的威脅性和破壞力。 CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒，那可能給社會造成災難性的后果，因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測，工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮，從方便管理人員的能，在夜間對全網的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網絡上每一臺機器出現故障、病毒侵入時，網絡管理人員都能及時知道，從而從管理中心處予以解決。訪問控制也是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段，可以說是保證網絡安全最重要的核心策略之一。它主要包括：身份驗證、存取控制、入網訪問控制、網絡的權限