网络安全与防护

摘要：随着计算机网络的发展，其开放性、共享性、互连程度扩大，网络的重要性和对社会的影响也越来越大，而网络安全问题显得越来越重要了。本文从计算机网络的特点出发，提出了网络安全分析及防护方法。

关键词：防火墙；网络安全；因素；影响；加密；识别；密码；数字；系统

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21532-01

Network Security and Protection

DU Yu-feng

(Lightning Center of Guangdong Province,Guangzhou 510080,Chian)

Abstract:With the development of computer networks, their openness and sharing, expand the degree of interconnection, Network and the importance of the social impact is also growing, and the issue of network security are becoming increasingly important. In this paper the characteristics of computer network, the network security analysis and protection methods.

Key words:Firewall;Network Security;Factors;Impact;Encryption;Recognition;Password;Digital;System

1 引言

随着互联网的兴起，有线、无线等各种接入方式不断推出，企业网、ISP、ICP、个人电脑等都以不同的方式与互联网等网络相联。这样,虽然用户使用方便了,但网络安全问题的威胁也增加了,往往一个点或一个地方的问题会影响到其他地方、其他网络,甚至多个网络。 网络的安全威胁与网络的安全防护措施是交互出现的。不适当的网络安全防护，不仅可能不能减少网络的安全风险，浪费大量的资金，而且可能招致更大的安全威胁。

2 网络安全的分析

2.1密码的安全

众所周知，用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题，是由于密码管理不严，使 "入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的，也是非常重要的。

在密码的设置安全上，首先绝对杜绝不设口令的帐号存在，尤其是超级用户帐号。一些网络管理人员，为了图方便，认为服务服务器只由自己一个人管理使用，常常对系统不设置密码。这样，"入侵者"就能通过网络轻而易举的进入系统。另外，对于系统的一些权限，如果设置不当，对用户不进行密码验证，也可能为"入侵者"留下后门。其次，在密码口令的设置上要避免使用弱密码，就是容易被人猜出字符作为密码。

密码的长度也是设置者所要考虑的一个问题。在Windows系统中，有一个sam文件，它是Windows的用户帐户数据库，所有用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件，就能通过一定的程序（如L0phtCrack）对它进行解码分析。在用L0phtCrack破解时，如果使用"暴力破解" 方式对所有字符组合进行破解，那么对于5位以下的密码它最多只要用十几分钟就完成，对于6位字符的密码它也只要用十几小时，但是对于7位或以上它至少耗时一个月左右，所以说，在密码设置时一定要有足够的长度。总之在密码设置上，最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外，适当的交叉使用大小写字母也是增加被破解难度的好办法。

2.2系统的安全

网络上病毒大都利用系统的漏洞进行传播。从目前来看，各种系统或多或少都存在着各种的漏洞，系统漏洞的存在就成网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。

2.3目录共享的安全

在对等网中，利用计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中，要充分认识到当一个目录共享后，就不光是对等网内的用户可以访问到，而是连在互联网络上的各台计算机都有可能对它进行访问。这也成了数据资料安全的一个隐患。所以，为了防止资料的外泄，在设置共享时一定要设定访问密码。只有这样，才能保证共享目录资料的安全。

2.4木马病毒的防范

木马病毒对于大多数人来说不算陌生。它是一种远程控制工具，以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马，它就变成了一台傀儡机，对方可以在你的电脑上上传下载文件，偷窥你的私人文件，偷取你的各种密码及口令信息……！木马，应该说是网络安全的大敌，并且在进行的各种入侵攻击行为中，木马都起到了开路先锋的作用。

木马感染通常是执行了一些带毒的程序，而驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、资料向外传递，

木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马，我们的防治可以通过端口的扫描来进行，端口是计算机和外部网络相连的逻辑接口，我们平时多注意一下服务器中开放的端口，如果有一些新端口的出现，就必须查看一下正在运行的程序，以及注册表中自动加载运行的程序，来监测是否有木马存在。

3 网络安全的防范与管理

网络按全的防范从技术层次上看，主要有防火墙技术，入侵监测(IDS/IPS,IPS可以做到一手检测，一手阻击)技术，数据加密技术和数据恢复技术，此外还有安全协议，安全审计，身份认证,数字签名，拒绝服务等多种技术手段。

网络管理在网络内部安全方面具有先天的优势，它可以通过对网络流量发生异常的分析及深度检测,对IP数据进行截获，发现已知及未知的新型侵入者。通过网络管理中增加的安全手段还可对多数安全设备顾及不到的4-7 层的内容安全与网络行为的法律取证等采取有效措施。

这里特别需要指出的是防火墙,防病毒和安全协议的技术。防火墙守住网络门户,防病毒是网络的第一把保护伞,安全协议提供了身份鉴别,密钥分配,数据加密,防信息重传,以及通信双方的不可否认性等重要功能。

3.1 防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常，防火墙的安全性问题来自两个方面：其一是防火墙本身的设计是否合理，这类问题一般用户根本无从入手，只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当，一般来说,防火墙的许多配置需要系统管理员手工修改，如果系统管理员对防火墙不十分熟悉，就有可能在配置过程中遗留大量的安全漏洞。

3.2 建立专门的数据容灾系统。

其内容主要是数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统,该系统是本地关键应用的一个实时复制,当本地数据及整个应用系统发生灾难时,系统至少在异地保存一份可用的关键业务的数据。应用容灾是在数据容灾的基础上在异地建立一套完整的,与本地相当的备份应用系统(可以互为备用)，在遇到灾难时,远程系统迅速接管业务运行。

3.3 安全管理机制

网络安全防护，除了安装必要的防火墙之外及数据容灾系统外，还需要建立安全管理机制。例如，口令管理；各种密钥的生成；分发与管理;全网统一的管理员身份鉴别与授权；建立全系统的安全评估体系;建立安全审计制度；建立系统及数据的备份制度；建立安全事件/安全报警反应机制和处理预案;建立专门的安全问题小组和快速响应体系的运作等。为了增强系统的防灾救灾能力，应制定灾难性事故的应急计划，如紧急行动方案，资源(硬件，软件，数据等)备份及操作计划，系统恢复和检测方法等。也就是说，无论用户在任何特定的时间，用户的安全性都能得到保障。

4 结束语

总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。在我国信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性，为网络提供强大的安全服务――这也是21世纪网络安全领域的迫切需要。

参考文献：

[1]陈平平. 网络设备与组网技术[M].北京:冶金工业出版社,2004.

[2]钟小平. 网络服务器配置完全手册[M].人民邮电出版社,2006.

[3]王斌,孔璐. 防火墙与网络安全[M].清华大学出版社,2004.

[4]阎慧.防火墙原理与技术[M].机械工业出版社,2004.

[5]马宜兴.网络安全与病毒防范[M].上海交通大学出版社,2007.

[6]刘文涛.网络安全开发包详解[M].电子工业出版社,2005.

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”