谈网络安全的防范措施

摘要：网络安全主要是保障个人数据或企业的信息在网络中的保密性、完整性、不可否认性，防止信息的泄露和破坏，防止信息资源的非授权访问。对于网络管理者来说，网络安全的主要任务是保障合法用户正常使用网络资源，避免病毒、拒绝服务、远程控制、非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。从教育和意识形态方面，网络安全主要是保障信息内容的合法与健康，控制含不良内容的信息在网络中的传播。

关键词：网络；网络安全；防范措施；研究；病毒

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)24-1152-03

Network Security Precautions

LIU Jing-yun,CHEN Fei,ZENG Yan-jun

(China Telecom Guangdong,Zhuhai 519000,China)

Abstract:Network security is the protection of personal data or business information in the network of confidentiality, integrity, non-repudiation, to prevent the disclosure of information and destruction of non-information resources to prevent unauthorized access. For network administrators, network security the main task is to protect the legitimate users normal use of network resources, avoid viruses, denial of service, remote control, non-authorized access, and other security threats, security flaws discovered in time to stop the attacks and other acts. From education and ideology, network security is to protect the main content of the legal and health, control of undesirable elements in the network of information dissemination.

Key words: network;network security;preventive measures; research; virus

1 前言

网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。

2 网络安全的属性

1) 可用性

可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务。

2) 机密性

机密性是指网络中的信息不被非授权实体（包括用户和进程等）获取与使用。

3) 完整性

完整性是指网络信息的真实可信性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。

4) 可靠性

可靠性是指系统在规定的条件下和规定的时间内，完成规定功能的概率。

5) 不可抵赖

不可抵赖性也称为不可否认性。是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖。

3 网络安全的基本组成

从内容上看，网络安全大致包括四个方面：

1) 网络实体安全。如计算机的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等。

2) 软件安全。如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。

3) 网络中的数据安全。如保护网络信息的数据安全，不被非法存取，保护其完整、一致等。

4) 网络安全管理。如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度，开展安全审计，进行风险分析等内容。

4 主要的网络安全威胁

4.1 网络安全威胁定义及分类

所谓的网络安全威胁是指某个实体（人、事件、程序等）对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。可分为：

1) 对信息通信的威胁；2) 对信息存储的威胁；3) 对信息处理的威胁。

4.2 通信过程中的四种攻击方式

通信过程中的四种攻击方式如下图所示：

图1 通信过程中的四种攻击方式

5 影响计算机网络安全的主要因素

计算机网络安全受到的安全威胁是来自各个方面的，一般来说，影响计算机网络安全的因素主要有以下几个方面：

1) 计算机网络使信息的收集方便而且快速，信息的价值剧增，吸引了许多网上黑客前来攻击。

2) 现有的计算机系统皆有安全漏洞，使网络入侵成为可能。一般操作系统的体系结构其本身是不安全的，这也是计算机系统不安全的根本原因之一，操作系统的程序是可以动态连接的，包括I/O的驱动程序与系统服务，都可以用打“补丁”的方式进行动态连接，为黑客的侵入和病毒的产生提供了一个好环境。

3) 网络系统中数据的安全问题。网络中的信息数据是存放在计算机数据库中的，通常也指存放在服务器中的信息集，供不同的用户来共享，数据库存在着不安全性和危险性，因为在数据库系统中存放着大量重要的信息资源，在用户共享资源时可能会出现以下现象：授权用户超出了他们的访问权限进行更改活动，非法用户绕过安全内核，窃取信息资源等。

4) 系统通信协议和应用服务协议中存在缺陷，可被恶意滥用。

5) 远程访问控制使得每个主机甚至可以被国外的黑客攻击。网络黑客是计算机网络发展的产物，黑客攻击，早在主机终端时代就已出现，随着Internet的发展，现代黑客则从以系统为主的攻击转变到以网络为主的攻击，利用网络窃取重要的情报，毁坏数据和信息。

6) 目前的计算机病毒不但可以破坏计算机硬件，而且可以破坏网络安全系统并通过网络破坏更多的计算机。计算机病毒的数量和种类都在高速增长，病毒机理和变种不断演变，为检测与消除病毒带来了更大的难度，成为计算机与网络发展的一大公害，计算机病毒破坏计算机的正常工作和信息的正常存储，严重时使计算机系统或网络陷于瘫痪。

7) 计算机和网络系统的配置十分复杂而且经常变化，若配置不当，也会产生安全漏洞。

8) 有关人员对计算机网络系统的安全认识不足，未能及时采取必要的防范措施。世界上现有的计算机信息系统绝大多数都缺少安全管理员，缺少信息系统安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。

6 网络安全策略

安全策略是指在某个安全区域内，所有与安全活动相关的一套规则

网络安全策略包括对企业的各种网络服务的安全层次和用户的权限进行分类，确定管理员的安全职责，如何实施安全故障处理、网络拓扑结构、入侵和攻击的防御和检测、备份和灾难恢复等内容。在本书中我们所说的安全策略主要指系统安全策略，主要涉及四个大的方面：物理安全策略、访问控制策略、信息加密策略、安全管理策略。

7 计算机网络安全的防范措施

1) 防火墙技术

目前保护网络安全最主要的手段之一就是构筑防火墙。防火墙是一种形象的说法，其实它是一种计算机硬件和软件相结合的技术，是在受保护网与外部网之间构造一个保护层，把攻击者挡在受保护网的外面。这种技术强制所有出入内外网的数据流都必须经过此安全系统。它通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。因而防火墙可以被认为是一种访问控制机制，用来在不安全的公共网络环境下实现局部网络的安全性。

2) 身份认证

身份认证是任何一个安全的计算机所必需的组成部分。身份认证必须做到准确无误地将对方辨认出来，同时还应该提供双向的认证，即互相证明自己的身份，网络环境下的身份认证比较复杂，因为验证身份的双方都是通过网络而不是直接接触的，传统的指纹等手段已无法使用，同时大量的黑客随时随地都可能尝试向网络渗透，截获合法用户口令并冒名顶替，以合法身份入网，所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法，以及采用高科技手段的密码技术进行身份验证。

3) 访问控制

访问控制也叫接入控制，阻止非授权用户进入网络，防止任何对计算机资源和通信资源的非授权访问。即根据用户的身份赋予其相应的权限，也就是说按事先确定的规则决定主体对客体的访问是否合法。访问控制主要通过注册口令，用户分组控制，文件权限控制三个层次来实现。

4) 基于密码论的技术

密码技术是集数学、计算机科学、电子与通信等诸多学科于一体的交叉学科，是保护信息安全的主要手段之一，它不仅具有保证信息机密性的信息加密功能，而且具有数字签名、身份验证、秘密分存、系统安全等功能。

(1)密钥技术，密钥技术的任务是在一个密码系统中控制密钥的选择和分配。密钥是一段数字信息，它与加密算法相互作用，以控制信息的加密。(2)数字签名，数字签名是一种用于鉴别的重要技术。数字签名是一个数，它依赖于消息的所有位以及一个保密密钥，它的正确性可以用一个公开密钥来检验。数字签名可以用于鉴别服务，也可以用于完整和无拒绝服务。当数字签名用于无拒绝服务时，它是和公证一起使用的。公证是通过可信任的第三方来验证消息的。(3)验证技术，验证技术可分为基于共享密钥的认证和基于公钥的认证。前者实际上是执行一种查询―问答协议，发送方发送一个随机数给接收方，接收方解密后以一种特殊形式转换它并传回结果，从而实现认证。该协议的关键是如何建立共享密钥。

5) 智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就象信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性还是相当有效的。

6) 反病毒软件

即使有防火墙、身份认证和加密措施，人们仍担心遭到病毒和黑客的攻击，随着计算机网络的发展，携带病毒和黑客程序的数据包和电子邮件越来越多，打开或运行这些文件，计算机就有可能感染病毒。假如安装有反病毒软

件，就可以预防、检测一些病毒和黑客程序。

8 结束语

计算机网络安全的防范措施还有很多，诸如重视安装补丁程序、严格控制共享、不轻易下载和运行网上软件、注意安全管理等等。它们在一定程度上都能对网络安全进行加强，相信随着IT网络技术的进一步发展，我们的网络安全防范措施也会取得更大的成果。

参考文献：

[1] 胡道元.计算机局域网[M].北京:清华大学出版社,2001.

[2] 李焕洲.网络安全和入侵检测技术[J].四川师范大学学报(自然科学版),2001(04):100-102.

[3] 谢.计算机网络入侵检测技术探讨[J].科学技术与工程, 2008(01):231-234.

[4] 朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.