计算机网络安全分析及其防范策略

摘要：通过对计算机网络面临威胁的分析，该文提出了网络安全方面的一些具体防范措施，提高了计算机网络的安全性。

关键词：网络安全；防火墙；防范策略；网络攻击；计算机病毒

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)35-2132-02

Analysis of the Computer Network Security and its Preventive Tactics

ZHANG Jing

(College of Information Engineering,Inner Mongolia University of Science and Technology,Baotou 014010,China)

Abstract: Through analyzing threats against the computer network,this paper puts forward.some concrete preventive measures,raising the computer network safety.

Key words: network security;firewall;preventive tactic;network attack;computer virus

1 引言

随着网络时代的来临，人们在享受着网络带来的无尽的快乐的同时，也面临着越来越严重和复杂的网络安全威胁和难以规避的风险，网上信息的安全和保密是一个至关重要的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性，计算机网络的安全以及防范措施已迫在眉睫。

2 网络安全面临的威胁

由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他意图不轨的攻击，常见的威胁主要来自以下几个方面：

1) 非授权访问非授权访问指具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授权的网络或文件访问，侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限，或者是作为进一步进入其他系统的跳板，或者恶意破坏这个系统，使其毁坏而丧失服务能力。

2) 自然威胁 自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全，影响信息的存储和交换。

3) 后门和木马程序 后门是一段非法的操作系统程序，其目的是为闯人者提供后门，它可以在用户主机上没有任何痕迹地运行一次即可安装后门，通过后门实现对计算机的完全控制，而用户可能莫名其妙地丢失文件、被篡改了数据等。木马，又称为特洛伊木马，是一类特殊的后门程序，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马里一般有两个程序，一个是服务器程序，一个是控制器程序。

4) 计算机病毒计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒，就是以计算机为载体，利用操作系统和应用程序的漏洞主动进行攻击，是一种通过网络传统的恶性病毒。它具有病毒的一些共性，如传播性、隐蔽性、破坏性和潜伏性等。

3 网络安全的防范策略

1) 防火墙技术的作用是对网络访问实施访问控制策略。使用防火墙(Firewall)是一种确保网络安全的方法。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

2) 建立安全实时相应和应急恢复的整体防御没有百分百安全和保密的网络信息，因此要求网络要在被攻击和破坏时能够及时发现，及时反映，尽可能快的恢复网络信息中心的服务，减少损失，网络安全系统包括安全防护机制、安全检测机制、安全反映机制和安全恢复机制。

3) 建立分层管理和各级安全管理中心建立多级安全层次和和级别，将网络安全系统分为不同的级别。包括，对信息保密程度的分级(绝密、机密、秘密、普密)；对用户操作权限分级;对网络安全程度分级；对系统实现的结构分级等。从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

4) 阻止入侵或非法访问入网访问控制为网络访问提供第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许在哪台工作站入网。控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。对所有用户的访问进行审计，如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。设定用户权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备执行哪些操作。

5) 数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端到端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护的。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将被自动重组、解密，成为可读数据。数据存储加密技术目的是防止在存储环节的数据失密。可分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

6) 密钥管理技术为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

7) 加强网络的安全管理、制定有效的规章制度，对于确保网络的安全、可靠运行，将起到十分有效的作用。加强网络的安全管理包括:确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度。制定网络系统的维护制度和应急措施包括:加强立法，及时补充和修订现有的法律法规。用法律手段打击计算机犯罪；加强计算机人员安全防范意识，提高人员的安全素质；健全的规章制度和有效的、易于操作的网络安全管理平台。

4 结束语

解决安全的措施有很多，仅靠其中的某一项或几项是很难解决好网络安全问题的。在具体工作中还需要根据网络的实际情况做出细致而全面的多级安全防范措施，尽可能提高网络系统的安全可靠性。

参考文献：

[1] 汪海慧.浅议网络安全问题及防范对策[J].信息技术,2007,31(01):117-120.

[2] 刘修峰,范志刚.网络攻击与网络安全分析[J].网络安全,2006(12):46-48.