計算機網絡安全威脅和防范技術探討

黃石泉

摘要：本文介紹了網絡安全的主要危險，闡述了一些基本的防范技術以及安全策略，供大家參考。

關鍵詞：計算機；網絡安全；防范技術；安全策略

1 前言

計算機網絡的迅速發展，特別是Intemet在全球的普及．計算機網絡的安全問題已引起人們的極大重視。由于計算機網絡的自身特點——聯結形式多樣性、終端分布不均勻以及網絡的開放性、互聯性，致使網絡易受到非法入侵，而計算機網絡的安全直接影響到政治、經濟、軍事、科學以及日常生活等各個領域。網絡的安全措施應能全方位地針對各種不同的威脅，確保網絡信息的保密性、完整性和可用性。

2 網絡信息安全的主要威脅

網絡安全所面臨的威脅來自很多方面，并且隨著時間的變化而變化。這些威脅可以宏觀地分為人為威脅和自然威脅。

2．1 自然威脅

自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些無目的的事件，有時會直接威脅網絡的安全，影響信息的存儲媒體。

2．2 人為威脅——一黑客攻擊與計算機病毒

人為威脅就是說對網絡的人為攻擊。這些攻擊手段都是通過尋找系統的弱點，以便達到破壞、欺騙、竊取數據等目的，造成經濟上和政治上不可估量的損失。

網絡安全的人為威脅主要來自用戶和惡意軟件即計算機病毒的非法侵入，計算機病毒是利用程序干擾或破壞系統正常工作的一種手段，它的產生和蔓延給信息系統的可靠性和安全性帶來嚴重的威脅和巨大的損失。

3 網絡安全的幾項關鍵防范技術

3．1 防火墻技術

防火墻(firewal1)是指一個由軟件內部或和硬件設備組合而成，用在專用網(如企業網、校園網)和Internet之間設置的安全系統。它的作用是限制外界用戶內部網絡訪問及管理內部用戶訪問外界網絡的權限，是設置在被保護網絡和外部網絡之間的一道屏障。根據防火墻的結構，它可以干預不同網絡的任何消息傳送。

防火墻可以決定一個數據組或一種連接是否通過，這種結構能夠保護網絡的安全性。

3．1．1 防火墻的優點。① 防火墻充當一個安全策略的檢查站；②防火墻能記錄互聯網上的活動；③防火墻能保護暴露的用戶點；④ 防火墻加強了安全策略。

3．1．2 防火墻的組成。防火墻主要有安全操作系統、過濾器、域名服務、網關和E—mail處理5部分組成，防火墻各組成部分的功能如下：①過濾器執行由防火墻管理機構制定的一組規則，對各數據進行檢驗。這些規則按IP地址、端口號碼和各類應用等參數確定。②域名服務使內域中主機的內部地址不會暴露給Internet中的用戶，使內域網的域名與Internet相隔離。③網關的功能往往由代理服務器提供，它可以在TCP／IP應用級上控制信息流和認證用戶。由于代理服務器在應用級上運行，因此，每一種應用有一個分離的代理服務器。網內外代理服務器要彼此相互認證，以防止非法用戶進出專用網。Socks服務器也通過防火墻提供網關支持，它可以修正客戶機的軟件，而不改動用戶的程序。④安全的e—mail保護不同網絡用戶之間的通信，安全的web保護兩個web用戶之間的數據傳遞與交換。

3．2 數據加密技術

與防火墻配合使用的數據加密技術是為提高信息系統及數據的安全性和保密性。防止秘密數據被外部破壞所采用的主要技術手段之一，它的思想核心就是既然網絡本身并不安全可靠，那么所有重要信息就全部通過加密處理。按作用不同。數據加密技術主要分為數據傳輸、數據存貯、數據完整性的鑒別密鑰管理技術4種。加密技術是一種效率高而又靈活的安全手段，值得在企業網絡中加以推廣。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。

3．3 智能卡技術

與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密匙的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字，該密碼與網絡服務器上注冊的密碼一致，當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。

4計算機網絡的安全策略

4．1 物理安全策略

物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權限、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏，是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率信息特征。

4．2 訪問控制策略

入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證，用戶口令的識別與驗證。用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的首道防線和入網的關鍵所在。為保證口令的安全性?？诹畋仨毥浖用?，加密的方法最常見的有：基于單向函數的口令加密，基于測試模式的加令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令。也可用便攜式驗證器(如智能卡)來驗證用戶的身份。網絡管理員應該可以控制和限制普通用戶的賬號使用，訪問網絡的時間、方式。用戶名或用戶賬號是所有計算機系統中最基本的安全形式。用戶賬號應只有系統管理員才能建立。用戶可以修改自己的口令。但系統管理員應控制口令的最小長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。用戶名和口令驗證有效之后。再進一步執行用戶賬號的缺省限制檢查。網絡應該能控制用戶登錄入網的站點。限制用戶入網的時間和工作站數量。當用戶對交費網絡的訪問“資費”用盡時，網絡應對甩戶賬號加以限制。使其無法訪問網絡資源。網絡應對所有用戶的訪問進行審計。

4．3 目錄級安全控制

網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限制對所有文件和子目錄有效。用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。用戶對文件或目標的有效權限取決于以下幾個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡系統管理員應當為用戶指定適當的訪問權限以控制用戶對服務器的訪問。八種訪問權限的有效組合能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

5 結束語

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。

網絡安全的目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法。