计算机网络安全及防范措施的思考

摘要：计算机网络普遍存在安全问题。国际互联网存在信息管理失控，网络犯罪防不胜防。我国网络安全形势严峻。我们需要一个正确的安全策略，需要有效并且经济的网络安全技术防范措施，包括局域网安全技术防范措施和广域网安全技术防范措施。

关键词：计算机；恶意攻击；安全策略

1.网络安全环境的现状

据统计，现在全球平均每20秒钟就发生一次网上入侵事件，一旦黑客找到系统的薄弱环节，所有用户均会遭殃。从国内情况来看，目前我国95％的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。当前由于这样或那样的原因，对网络的攻击很难完全遏制。或许，任何硬件和软件都不可能真正成为“金刚身”，网络安全是网络时代永恒的任务。

2.影响网络安全的原因

2.1 网络资源的共享性

计算机应用的主要表现便是网络资源共享。当e-mail(电子邮件)、FTP(文件下载)和telnet(远程登录)的命令都规定为标准化时，学习和使用网络对于非工程技术人员变的非常容易。很多时候，在将自己的重要资料共享给局域网中的其他用户访问时，我们往往有很大的随意性，这种做法带来了安全隐患。美国情报部门认为，现在很多极有价值的情报都可以在互联网上找到，网络搜寻几乎能够取代费尽人力物力且风险极大的传统间谍手段。美国军方研究中国军情的权威文件——《中国军事与安全态势发展报告》中，有相当一部分信息取自中国军迷们的网络信息。为了满足互联网情报资源开发的需要，2005年11月，美国中央情报局组建了“开源情报中心”，专门负责搜集全球各个网站、论坛、博客里的军事信息。通过网上信息，结合已掌握的情况，美军不仅能够了解他国基本军事动态，还能够获取武器装备数据、军事人员信息等核心机密。

2.2 网络的开放性

开放性是因特网最根本的特性，整个因特网就是建立在自由开放的基础之上的。互联网的开放性不仅仅是技术层面上的，它还有更深的底蕴。开放性意味着任何人都能够得到发表在网络上的任何事物，意味着任何个人、任何组织包括国家和政府，都不能完全控制互联网。这实质上意味着个体权利和能力的扩张及其对传统的金字塔模式的社会政治经济结构和体制的消解。任何一个国家都是一个封闭程度不一的实体，它垄断着信息，孤立的个人在强大的垄断组织面前是弱小无依的，根本没有力量同国家对抗。而开放网络的出现在很大程度上削弱了国家对信息的控制，为个体对国家和社会的基于实力平等的挑战提供了可能。

2.3 网络操纵系统的漏洞

一个较为通俗的网络漏洞的描述性定义是：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在IntelPentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

2.4 恶意攻击

目前，网络恶意攻击呈现出以下新特点：一是过去电脑用户只有在登录色情、等不良网站时或使用盗版软件时才容易遭到恶意攻击，但现在不少旅游、购物和游戏等网站也成为黑客用来发动恶意攻击的平台。二是过去的恶意攻击没有组织性，大多由不谙世事的年轻人所为，但现在的网络攻击不仅组织性高，而且专业性强，由不同的软件开发小组操控。三是过去网络黑客往往通过传递邮件的方式发动恶意攻击，这种方式比较容易识别，但目前黑客是趁用户下载某些软件之际悄悄发动攻击，令用户难以识别。四是黑客利用第三方的广告将恶意软件侵入用户系统，比如黑客会利用某个广告提醒用户，其系统已感染病毒，当用户根据广告提示去链接某个据说能杀病毒的网站时，这时“潜伏”在这个网站的恶意软件便会侵入用户系统。五是黑客会设计用户信任的银行等网站的标识，当用户放松警惕登录这一网站时，便会遭到恶意软件的攻击。

3.网络安全的防范措施

常用的计算机网络安全技术有五种：防火墙(Fire Wall)技术，数据加密技术，系统容灾技术，漏洞扫描技术和物理安全技术。

3.1 防火墙技术。是指网络之间通过预定义的安全策略，对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前，市场上防火墙产品很多，一些厂商还把防火墙技术并入其硬件产品中，即在其硬件产品中采取功能更加先进的安全防范机制。可以预见防火墙技术作为一种简单实用的网络信息安全技术将得到进一步发展。然而，防火墙也并非人们想象的那样不可渗透。在过去的统计中曾遭受过黑客入侵的网络用户有三分之一是有防火墙保护的，也就是说要保证网络信息的安全还必须有其他一系列措施，例如对数据进行加密处理。

3.2 数据加密技术。就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储、数据传输、数据完整性的鉴别以及密匙管理技术4种。数据存储加密技术是以防止在存储环节上的数据失密为目的，可分为密文存储和存取控制两种;数据传输加密技术的目的是对传输中的数据加密，常用的有线路加密和端口加密两种方法;数据完整性鉴别技术的目的是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。数据加密在许多场合集中表现为密匙的应用，密匙管理技术事实上是为了数据使用方便。密匙的管理技术包括密匙的产生、分配保存、更换与销毁等各环节上的保密措施。

3.3 系统容灾技术。一个完整的网络安全体系，只有防范和检测措施是不够的，还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失，一旦发生漏防漏检事件，其后果将是灾难性的。此外，天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难，也能快速地恢复系统和数据，才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据备份是数据保护的最后屏障，不允许有任何闪失。但离线介质不能保证安全。数据容灾通过IP容灾技术来保证数据的安全。数据容灾使用两个存储器，在两者之间建立复制关系，一个放在本地，另一个放在异地。本地存储器供本地备份系统使用，异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连，构成完整的数据容灾系统，也能提供数据库容灾功能。