计算机网络安全威胁和防范技术探讨

摘要：本文介绍了网络安全的主要危险，阐述了一些基本的防范技术以及安全策略，供大家参考。

关键词：计算机；网络安全；防范技术；安全策略

1 前言

计算机网络的迅速发展，特别是Intemet在全球的普及．计算机网络的安全问题已引起人们的极大重视。由于计算机网络的自身特点――联结形式多样性、终端分布不均匀以及网络的开放性、互联性，致使网络易受到非法入侵，而计算机网络的安全直接影响到政治、经济、军事、科学以及日常生活等各个领域。网络的安全措施应能全方位地针对各种不同的威胁，确保网络信息的保密性、完整性和可用性。

2 网络信息安全的主要威胁

网络安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。

2．1 自然威胁

自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。

2．2 人为威胁――一黑客攻击与计算机病毒

人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。

网络安全的人为威胁主要来自用户和恶意软件即计算机病毒的非法侵入，计算机病毒是利用程序干扰或破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。

3 网络安全的几项关键防范技术

3．1 防火墙技术

防火墙(firewal1)是指一个由软件内部或和硬件设备组合而成，用在专用网(如企业网、校园网)和Internet之间设置的安全系统。它的作用是限制外界用户内部网络访问及管理内部用户访问外界网络的权限，是设置在被保护网络和外部网络之间的一道屏障。根据防火墙的结构，它可以干预不同网络的任何消息传送。

防火墙可以决定一个数据组或一种连接是否通过，这种结构能够保护网络的安全性。

3．1．1 防火墙的优点。① 防火墙充当一个安全策略的检查站；②防火墙能记录互联网上的活动；③防火墙能保护暴露的用户点；④ 防火墙加强了安全策略。

3．1．2 防火墙的组成。防火墙主要有安全操作系统、过滤器、域名服务、网关和E―mail处理5部分组成，防火墙各组成部分的功能如下：①过滤器执行由防火墙管理机构制定的一组规则，对各数据进行检验。这些规则按IP地址、端口号码和各类应用等参数确定。②域名服务使内域中主机的内部地址不会暴露给Internet中的用户，使内域网的域名与Internet相隔离。③网关的功能往往由服务器提供，它可以在TCP／IP应用级上控制信息流和认证用户。由于服务器在应用级上运行，因此，每一种应用有一个分离的服务器。网内外服务器要彼此相互认证，以防止非法用户进出专用网。Socks服务器也通过防火墙提供网关支持，它可以修正客户机的软件，而不改动用户的程序。④安全的e―mail保护不同网络用户之间的通信，安全的web保护两个web用户之间的数据传递与交换。

3．2 数据加密技术

与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性。防止秘密数据被外部破坏所采用的主要技术手段之一，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。按作用不同。数据加密技术主要分为数据传输、数据存贮、数据完整性的鉴别密钥管理技术4种。加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

3．3 智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密匙的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字，该密码与网络服务器上注册的密码一致，当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。

4计算机网络的安全策略

4．1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏，是物理安全策略的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率信息特征。

4．2 访问控制策略

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证，用户口令的识别与验证。用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的首道防线和入网的关键所在。为保证口令的安全性。口令必须经加密，加密的方法最常见的有：基于单向函数的口令加密，基于测试模式的加令加密，基于公钥加密方案的口令加密，基于平方剩余的口令加密，基于多项式共享的口令加密，基于数字签名方案的口令加密等。经过上述方法加密的口令，即使是系统管理员也难以得到它。用户还可采用一次性用户口令。也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的账号使用，访问网络的时间、方式。用户名或用户账号是所有计算机系统中最基本的安全形式。用户账号应只有系统管理员才能建立。用户可以修改自己的口令。但系统管理员应控制口令的最小长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和口令验证有效之后。再进一步执行用户账号的缺省限制检查。网络应该能控制用户登录入网的站点。限制用户入网的时间和工作站数量。当用户对交费网络的访问“资费”用尽时，网络应对甩户账号加以限制。使其无法访问网络资源。网络应对所有用户的访问进行审计。

4．3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限制对所有文件和子目录有效。用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、存取控制权限。用户对文件或目标的有效权限取决于以下几个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限以控制用户对服务器的访问。八种访问权限的有效组合能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。

5 结束语

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

网络安全的目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法。