浅谈计算机网络系统安全技术及防护 摘 要 随着计算机网络技术的迅速发展,计算机网络安全日益突显, 计算机网络安 全面临的主要威胁有黑客侵袭、计算机病毒、拒绝服务攻击三个方面，导致网 络不安全的因素主要有资源共享、数据通信、计算机病毒、TCP/IP 协议的安全 缺陷等。提出一个安全的网络体系至少应包括三类措施:法律措施、技术措施、 审议和管理措施。本文对计算机网络安全技术发展现状、网络安全技术进行了 探讨与分析。关键词: 计算机网络;安全技术;加密；计算机 网络安全 计算机病毒 防火墙 黑客软件 随着 Internet 技术发展,计算机网络正在逐步改变人们的生产、生活及工 作方式。在计算机网络迅速普及的过程中,计算机安全隐患日益变得突出。这就 要求我们必须采取强有力的措施来保证计算机网络的安全,本文对计算机网络安 全技术进行了初步探讨与分析。计算机网络安全是指利用网络管理控制和技术 措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。但 是由于计算机网络具有开放性、共享性、国际性的特点,使其比较脆弱。为了解 决这个问题,现在人们主要针对数据加密技术、身份认证、防火墙、管理等方面 进行了研究。 一、网络的安全定义：安全包括五个基本要素：机密性、完整性、可用性、可 控性与可审查性。机密性：确保信息不暴露给未授权的实体或进程。完整性： 只有得到允许的人才能修改数据，并且能够判别出数据是否可用性。可控性： 可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问 题提供调查的依据和手段。 二、现在计算机面临威胁主要表现在以下几个方面。 1. 内部窃密和破坏。 内部人员可能对网络系统形成下列威胁：内部涉密人员有意或无意泄密、更改 记录信息；内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息； 内部人员破坏网络系统。 2非法访问。非法访问指的是未经授使用网络资源或以未授权的方式使用网络 资源，它包括非法用户如黑客进入网络或系统进行违法操作，合法用户以未授 权的方式进行操作。 3破坏信息的完整性。攻击可能从三个方面破坏信息的完整性：改变信息流的 次序、时序，更改信息的内容、形式；删除某个消息或消息的某些部分；在消 息中插入一些信息，让收方读不懂或接收错误的信息。 4截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式， 截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出 有用信息。它不破坏传输信息的内容，不易被查觉。 5冒充。攻击者可能进行下列冒充：冒充领导发布命令、调阅文件；冒充主机 欺骗合法主机及合法用户；冒充网络控制程序套取或修改使用权限、口令、密 钥等信息，越权使用网络设备和资源；接管合法用户、欺骗系统、占用合法用 户的资源。 6破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性：使合法用户不能正常访问网络资源；使有严格时间要求的服务不能及时得到响应； 摧毁系统。 7重演。重演指的是攻击者截获并录制信息，然后在必要的时候重发或反复发 送这些信息。8抵赖。可能出现下列抵赖行为：发信者事后否认曾经发送过某 条消息；发信者事后否认曾经发送过某条消息的内容；发信者事后否认曾经接 收过某条消息；发信者事后否认曾经接收过某条消息的内容。 9其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操 作失误等。 三、网络安全分析 网络与信息安全指的是按照网络的结构特点，通过从不同的网络层次、不同的 系统应用，采取不同的措施，进行完善和防御，是一个立体的体系结构，涉及 多个方面内容。通过对网络体系结构的全面了解，按照安全风险、需求分析结 果、安全策略以及网络的安全目标。具体的安全控制系统从以下几个方面分述: 物理安全、网络安全、应用安全、安全管理。 (1)物理安全。网络的物理安全是整个网络系统安全的保障和前提。由于网络系 统属于弱电工程,耐压值很低。因此,在网络工程的设计中,必须优先考虑网络设 备不受电、火灾、雷击等自然灾害的侵蚀。总体来说物理安全风险主要有地震、 水灾、火灾、雷电等环境事故,因此要尽量避免网络的物理安全风险对计算机造 成伤害。(2)网络结构安全。网络拓扑结构设计是否合理也是影响网络系统的安 全性的因素。假如进行外部和内部网络通信时,内部网络计算机安全就会受到威 胁,同时对同一网络上的其他系统也有影响。影响所及还可能涉及法律、金融、 政府等安全敏感领域。因此,在网络设计时有必要将公开服务器 (WEB、DNS、EMAIL 等)和外网进行必要的隔离,避免网络结构信息外泄。还要对 外网的服务器加以过滤,只允许正常通信的数据包到达相应主机。 (3)系统安全。系统安全是指整个网络操作系统和网络硬件平台的构建是否可靠 且值得信任。然而目前没有绝对安全的操作系统,无论是 WindowsNT、VISTA、XP 或者其它任何商用 UNIX 操作系统,用户在不同的使用途 径下都会使其产生系统漏洞。因此不同的用户应从不同的方面对其网络作详尽 的分析,在选择操作系统时要周密的对其进行安全设置。不但要选用尽可能可靠 的操作系统和硬件,并对操作系统进行安全配置,且必须加强登录过程的用户认 证以确保用户的合法性。 (4)网络安全。网络安全主要指网络中通信基础协议、操作系统和应用系统等可 用性以及使用合法性的保证。例如网络阻塞防护、非法入侵防护、计算机病毒 防护等。系统安全保障的核心技术包括身份认证、授权管理、日志审计、系统 漏洞检测、防病毒、入侵防护等一系列技术，其中完整的入侵防护技术主要包 括入侵防范、入侵检测、事件响应、系统恢复等过程。网络安全主要指网络信 息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与 完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。 (5)应用安全 内部资源共享安全严格控制内部员工对网络共享资源的使用。 在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间 交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加 上必要的口令认证机制，即只有通过口令的认证才允许访问数据。信息存储 对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放 一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。(6)管理安全风险。管理也是网络中安全系统的重要部分。责权不明和安全管理 制度不健全等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其 它安全威胁行为时,计算机就无法进行实时检测、监控和保护。当安全事故发生 后,也无法提供黑客攻击行为的追踪线索及破案依据,即对网络的可控性出现缺 失。这就要求相关人员必须对站点的访问活动进行多次、详尽的记录,以及时发 现威胁行为。 (7)安全管理。仅有安全技术防范，而无严格的安全管理体系相配套，难以保障 网络系统安全。必须制定一系列安全管理制度，对安全技术和安全设施进行管 理。实现安全管理应遵循以下几个原则：可操作性、全局性、动态性、管理与 技术的有机结合、责权分明、分权制约、安全管理的制度化。具体工作是： 制定健全的安全管理体制制定健全的安全管理体制将是网络安全得以实现的重 要保证，可以根据自身的实际情况，制定如安全操作流程、安全事故的奖罚制 度以及对任命安全管理人员的考查等。制订和完善安全管理制度根据从事工 作的重要程度，确定安全管理的范围，制定安全管理制度，对操作人员进行约 束和管理。对于安全等级要求较高的系统，要实行分区控制，限制工作人员出 入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统，采用 磁卡、身份卡等手段，对人员进行识别、登记管理。制订和完善系统维护制 度对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经 主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的 情况要详细记录。制订应急措施当网络安全事故发生时，启动应急措施，尽 快恢复系统运行，使损失减至最小。增强人员的安全防范意识应该经常对单 位员工进行网络安全防范意识的培训，全面提高员工的整体网络安全防范意识。(8)构建 CA 体系。针对信息的安全性、完整性、正确性和不可否认性等问题。 目前国际上先进的方法是采用信息加密技术、数字签名技术，具体实现的办法 是使用数字证书，通过数字证书把证书持有者的公开密钥（Public Key）与用 户的身份信息紧密安全地结合起来，以实现身份确认和不可否认性。四、结束语 随着计算机技术和通信技术的发展，计算机网络将日益成为工业、 农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此， 认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全 性将变得十分重要。参考文献 1梁亚声,等.计算机网络安全技术教程M.机械工业出版社,2007. 2Eric Cole 著，黑客攻击透析与防范，电子工业出版社. 3陈爱民,于康友,管海明.计算机的安全与保密M.电子工业出版社,1992. 4王哲.计算机信息系统安全技术.北京:群众出版社,2008. 5李娟爱.计算机网络安全教程.国防工业出版社,2007. 6王锡林,郭庆平,程胜利.计算机安全M.人民邮电出版社,1995. 7聂元铭、邱平编， 网络信息安全技术 ，科学出版社. 8刘宝旭.网络安全之防黑揭密。北京:机械工业出版社,2008.