浅谈计算机网络安全策略
【摘要】 网络 信息的飞速 发展 给人类社会带来巨大的推动与冲击,同时也产生了网络
系统安全问题。 计算 机网络的安全问题越来越受到人们的重视,本文简要的分析了计算
机网络存在的安全隐患,并探讨了计算机网络的几种安全防范措施。总的来说,网络安全
不仅仅是技术问题,同时也是一个安全管理问题。 现今高速发展的社会已经进入了
21 世纪,而 21 世纪的重要特征就是数字化、网络化和信息化,这是一个以网络为核心的
信息时代。In-ternet 的飞速发展给人类社会的 科学 与技术带来了巨大的推动与冲击,同
时也产生了网络信息与安全的问题。而作为计算机网络安全的具体含义会随着使用者的变
化而变化,使用者不同,对网络安全的认识和要求也就不同。因此,计算机的安全性成了人
们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在
计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治
病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,
避免在传输途中遭受非法窃取。下面就计算机网络存在的安全隐患及相关策略进行探讨分
析。 一 计算机网络存在的安全隐患分析 近年来随着 Internet 的飞速发展,
计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。据美国 FBI 统计
,美国每年网络安全问题所造成的 经济 损失高达 75 亿美元。而全球平均每 20 秒钟就发
生一起 Internet 计算机侵入事件。在 Internet/Intranet 的大量应用中,Internet/Intranet 安
全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。在一个开放的网络环境
中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获
得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃
取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程
度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。 一般认为
,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。
目前,人们也开始重视来自网络内部的安全威胁。黑客攻击早在主机终端时代就已经出现
,随着 Internet 的发展, 现代 黑客则从以系统为主的攻击转变到以网络为主的攻击。新
的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程,攻击密钥管
理服务器,得到密钥或认证码,从而取得合法资格;利用 UNIX 操作系统提供的守护进程
的缺省帐户进行攻击,如 Telnet Daemon、FTP Daemon 和 RPC Daemon 等;利用 Finger
等命令收集信息,提高自己的攻击能力;利用 SendMail,采用 debug、wizard 和 pipe 等
进行攻击;利用 FTP,采用匿名用户访问进行攻击;利用 NFS 进行攻击;通过隐藏通道进
行非法活动;突破防火墙等等。目前,已知的黑客攻击手段多达 500 余种。拒绝服务攻
击是一种破坏性攻击,最早的拒绝服务攻击是“ 电子 邮件炸弹”。它的表现形式是用户在很
短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机、
网络瘫痪。 总而言之,对 Internet/Intranet 安全构成的威胁可以分为以下若干类型
:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数
据等,这些都可以造成 Internet 瘫痪或引起 Internet 商业的经济损失等等。人们面临的计
算机网络系统的安全威胁日益严重。 二 计算机网络的安全策略分析 计算机
网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单
独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的
网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规
定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。目前广泛运用和
比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、防病毒技术等,主要的网
络防护措施包括: 1、防火墙 防火墙是一种隔离控制技术,通过预定义的安
全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技
术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先
设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以
及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的
状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,
通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防
火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现
,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络
,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2、数据加密与用户授权访问控制技术。 与防火墙相比,数据加密与用户授
权访问控制技术比较灵活,更加适用于开放的 网络 。用户授权访问控制主要用于对静态
信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信
息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但
却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就
是数据加密。 数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法
,这种变换是受“密钥”控制的。在传统的加密算法中,加密密钥与解密密钥是相同的,或
者可以由其中一个推知另一个,称为“对称密钥算法”。这样的密钥必须秘密保管,只能为
授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES 是对
称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥,构成加密/解密
的密钥对,则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”,相应的加密/解
密密钥分别称为“公钥”和“私钥”。在公钥加密算法中,公钥是公开的,任何人可以用公钥
加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的
信息。典型的公钥加密算法如 RSA 是目前使用比较广泛的加密算法。 3、安全管理
队伍的建设。 在 计算 机网络系统中,绝对的安全是不存在的,制定健全的安全管
理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运
用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不
安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力
加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的 IP 地址作
为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网
内的 IP 地址资源统一管理、统一分配。对于盗用 IP 资源的用户必须依据管理制度严肃处
理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益
得到保障。 总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方
面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决
一方面的问题,而不是万能的。为此建立有 中国 特色的网络安全体系,需要国家政策和
法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀
升,所以安全产业将来也是一个随着新技术 发展 而不断发展的产业。 参 考 文 献 [1]严
明:多媒体技术应用基础[M].华中科技大学出版社,2004. [2]朱理森,张守连.计算机网
络应用技术[M].北京:专利 文献 出版社,2001. [3]谢希仁.计算机网络(第 4 版)[M].北京:
电子 工业 出版社,2003.
