1、計算機網絡安全技術研究劉月（河北金融學院 信息管理與工程系 ）【摘要】計算機的廣泛應用把人類帶入了一個全新的時代,特別是計算機網絡的社會化,已經成為了信息時代的主要推動力。隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要起來,已被信息社會的各個領域所重視。【關鍵詞】防火墻;入侵檢測;加密一、引言計算機的廣泛應用把人類帶入了一個全新的時代，特別是計算機網絡的社會化，已經成為了信息時代的主要推動力。隨著計算機網絡技術的飛速發展，尤其是互聯網的應用變得越來越廣

2、泛，在帶來了前所未有的海量信息的同時，網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性，網絡信息的安全性變得日益重要起來，已被信息社會的各個領域所重視。目前，全世界的軍事、經濟、社會、文化各個方面都越來越依賴于計算機網絡，人類社會對計算機的依賴程度達到了空前的記錄。由于計算機網絡的脆弱性，這種高度的依賴性是國家的經濟和國防安全變得十分脆弱，一旦計算機網絡受到攻擊而不能正常工作，甚至癱瘓，整個社會就會陷入危機。二、計算機網絡安全概述據美國聯邦調查局統計,美國每年因網絡安全造成的損失高達75億美元。據美國金融時報報道,世界上平均每20分鐘就發生一次人侵國際互聯網絡的計算機安全事件,

3、1/3的防火墻被突破。美國聯邦調查局計算機犯罪組負責人吉姆塞特爾稱:給我精選10名“黑客”,組成小組, 90天內,我將使美國趴下。一位計算機專家毫不夸張地說:如果給我一臺普通計算機、一條電話線和一個調制解調器,就可以令某個地區的網絡運行失常。據了解,從1997年底至今,我國的政府部門、證券公司、銀行等機構的計算機網絡相繼遭到多次攻擊。公安機關受理各類信息網絡違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網絡基礎設施和網絡應用依賴于外國的產品和技術,在電子政務、電子商務和各行業的計算機網絡應用尚處于發展階段,以上這些領域的大型計算機網絡

4、工程都由國內一些較大的系統集成商負責。有些集成商仍缺乏足夠專業的安全支撐技術力量,同時一些負責網絡安全的工程技術人員對許多潛在風險認識不足。缺乏必要的技術設施和相關處理經驗,面對形勢日益嚴峻的現狀,很多時候都顯得有些力不從心。也正是由于受技術條件的限制,很多人對網絡安全的意識僅停留在如何防范病毒階段,對網絡安全缺乏整體意識。當今網絡在安全攻擊面前顯得如此脆弱源于以下幾個方面的原因:(一)Internet所用底層TCP/IP網絡協議本身易受到攻擊,該協議本身的安全問題極大地影響到上層應用的安全。(二)Internet上廣為傳插的易用黑客和解密工具使很多網絡用戶輕易地獲得了攻擊網絡的方法和手段。(

5、三)快速的軟件升級周期,會造成問題軟件的出現,經常會出現操作系統和應用程序存在新的攻擊漏洞。(四)現行法規政策和管理方面存在不足。目前我國針對計算機及網絡信息保護的條款不細致,網上保密的法規制度可操作性不強,執行不力。同時,不少單位沒有從管理制度、人員和技術上建立相應的安全防范機制。缺乏行之有效的安全檢查保護措施,甚至有一些網絡管理員利用職務之便從事網上違法行為。三、計算機網絡面臨的威脅信息安全是一個非常關鍵而又復雜的問題。計算機信息系統安全指計算機信息系統資產(包括網絡)的安全,即計算機信息系統資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計算機信息系統之所以存在著脆弱性,主要

6、是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等;計算機信息系統受到的威脅和攻擊除自然災害外,主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰爭和計算機系統故障等。由于計算機信息系統已經成為信息社會另一種形式的“金庫”和“保密室”,因而,成為一些人窺視的目標。再者,由于計算機信息系統自身所固有的脆弱性,使計算機信息系統面臨威脅和攻擊的考驗。計算機信息系統的安全威脅主要來自于以下幾個方面:(一)自然災害計算機信息系統僅僅是一個智能的機器易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統也疏于周

7、到考慮,抵御自然災害和意外事故的能力較差。日常工作中因斷電而設備損壞、數據丟失的現象時有發生。由于噪音和電磁輻射,導致網絡信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。(二)黑客的威脅和攻擊計算機信息網絡上的黑客攻擊事件越演越烈,已經成為具有一定經濟條件和技術專長的形形色色攻擊者活動的舞臺。他們具有計算機系統和網絡脆弱性的知識,能使用各種計算機工具。境內外黑客攻擊破壞網絡的問題十分嚴重,他們通常采用非法侵人重要信息系統,竊聽獲取、攻擊侵人網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。黑客問題的出現,并非黑客能

8、夠制造入侵的機會,從沒有路的地方走出一條路,只是他們善于發現漏洞。即信息網絡本身的不完善性和缺陷,成為被攻擊的目標或利用為攻擊的途徑,其信息網絡脆弱性引發了信息社會脆弱性和安全問題,并構成了自然或人為破壞的威脅。(三)計算機病毒90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進人到系統中進行擴散。計算機感染上病毒后,輕則使系統上作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。(四)垃圾郵件和間諜軟件一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行

9、商業、宗教、政治等活動把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。事實上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點認為間諜軟件是指那些在用戶小知情的情況下進行非法安裝發裝后很難找到其蹤影,并悄悄把截獲的一些機密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監視用戶行為,或是發布廣告,修改系統設置,威脅用戶隱私和計算機安全,并可能小同程度的影響系統性能。(五)信息戰的嚴重威脅信息戰,即為了國家的軍事戰略而采取行動,取得信息優勢,干擾敵方的信息和信息系統,同時保衛自己的信息

10、和信息系統。這種對抗形式的目標,不是集中打擊敵方的人員或戰斗技術裝備,而是集中打擊敵方的計算機信息系統,使其神經中樞的指揮系統癱瘓。信息技術從根本上改變了進行戰爭的方法,其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網絡系統,信息武器已經成為了繼原子武器、生物武器、化學武器之后的第四類戰略武器。可以說,未來國與國之間的對抗首先將是信息技術的較量。網絡信息安全應該成為國家安全的前提。(六)計算機犯罪計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網絡環境中,大量信息在網上流動,這為不

11、法分子提供了攻擊目標。他們利用不同的攻擊手段,獲得訪問或修改在網中流動的敏感信息,闖入用戶或政府部門的計算機系統,進行窺視、竊取、篡改數據。不受時間、地點、條件限制的網絡詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息系統的犯罪活動日益增多。四、計算機網絡安全技術探討計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。(一)防火墻技術防火墻是網絡安全的屏障,配置防火墻是實現網

12、絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么

13、,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。(二)數據加密與用戶授權訪問控制技術與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可

14、以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是受“密鑰”控制的。在傳統的加密算法中,加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰,構成加密/解密的密鑰對,則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”,相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中

15、,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。(三)入侵檢測技術入侵檢測系統( Intrusion DetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增

16、強系統的防范能力,避免系統再次受到同類型的入侵。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現在以下方面:監視分析用戶及系統活動,查找非法用戶和合法用戶的越權操作。檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;識別反映已知進攻的活動模式并向相關人士報警;對異常行為模式的統計分析;能夠實時地對檢測到的入侵行為進行反應;評估重要系統和數據文件的完整性;可以發現新的攻擊模式。(四)防病毒技術隨

17、著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。(五)安全管理隊伍的建設在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制

18、、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。五、結束語計算機網絡的安全問題越來越受到人們的重視，本文簡要的分析了計算機網絡存在的幾種安全隱患，并探討了計算機網絡的幾種安全防范措施。總的來說，網絡安全不僅僅是技

19、術問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統，隨著計算機網絡技術的進一步發展，網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。參考文獻:陳斌.計算機網絡安全于防御J.信息技術與網絡服務,2006(4).林建平.計算機網絡安全防控策略的若干分析J.山西廣播電視大學學報,2006(11).王宏偉.網絡安全威脅與對策J.應用技術,2006(5).夏丹丹，李剛，程夢夢，于亮.入侵檢測系統綜述J.網絡安全技術與應用,2007(1).孫健，王韜，李東強.病毒防護技術的研究J.科學技術與工程,2005(11).The Safe Technology of Computer Network StudiesLiu Yue（Department of Informaion Management and Engineering ,Hebei Finance University ）AbstractThe computer extensive use has taken human being to entera brand-new times, the comp