计算机网络安全威胁及防范策略初探

罗云霄

四川省通信产业服务有限公司科技分公司



计算机网络安全威胁及防范策略初探

罗云霄

四川省通信产业服务有限公司科技分公司

摘要：本文分析了影响计算机网络安全的主要因素，从管理和技术两方面就加强计算机网络安全提出了防范策略的建议。

计算机网络大大增强信息服务灵活性，但具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性，对企业、政府乃至整个国家，显得尤其重要。

本文通过分析网络安全面临的主要威胁，从管理和技术两方面就加强计算机网络安全提出针对性建议。

1　影响网络安全的主要因素

1.1网络系统本身的缺陷

(1)TCP／IP协议

目前网络环境中广泛采用的TCP／IP协议，因为其开放性，大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。

(2)网络结构

互联网是由无数个局域网连成的巨大网络组成。当一台主机和另一局域网的主机进行通信时，它们之间互相传送的数据流要经过很多设备的重重转发；任何两个节点之间的通信数据包，既被这两个节点的网卡所接收，也同时被处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦测，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。互联网上大多数数据流都没有进行加密，因此黑客利用工具很容易对网上的电子邮件、口令和传输的文件进行破解。

(3)安全策略

许多局域网在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用；访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机；有些小型网络基于成本考虑，直接以路由器代替防火墙。

1.2来自网内用户的安全威胁

来自网络内部用户的安全威胁远大于外部网用户的安全威胁。如操作口令的泄漏，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，内部用户下载安装带有木马的软件，这些给黑客带来可乘之机，都可能使网络安全机制形同虚设。

2　加强计算机网络安全的主要策略

计算机网络安全的实现，可以从两方面入手，一是建立科学的管理制度，二是运用先进的各种网络安全技术。从技术上来说，目前成熟的网络安全技术主要有：防火墙技术、数据加密技术、入侵检测技术、防病毒技术等。

2.1加强网络安全管理和教育

据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》，建立健全各种安全机制、各种网络安全制度，加强网络安全教育和培训。

2.2运用先进的网络安全技术

(1)防火墙技术。

在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。一方面阻止外界对内部网络资源的非法访问，另一方面也可以防止系统内部对外部系统的不安全访问。实现防火墙的主要技术有：数据包过滤、应用级网关、代理服务和地址转换。防火墙的应用可最大限度地保障网络的正常运行，可以提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。

(2)网络加密技术。

网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密数据传输主要有三种：

①链接加密。在网络节点间加密，在节点间传输加密的信息，传送到节点后解密，不同节点间用不同的密码。

②节点加密。与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加密硬件进行解密和重加密，这种专用硬件通常放置在安全保险箱中。

③首尾加密。对进入网络的数据加密，然后待数据从网络传送出后再进行解密。网络的加密技术很多，在实际应用中，人们通常根据各种加密算法结合在一起使用，这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击，又可以防止非授权用户的访问。

(3)入侵检测技术。

入侵检测系统可以分为两类，分别基于网络和基于主机。基于网络的入侵检测系统主要采用被动方法收集网络上的数据。目前，在实际环境中应用较多的是基于主机的入侵检测系统，它把监测器以软件模块的形式直接安插在了受管服务器的内部，它除了继续保持基于网络的入侵检测系统的功能和优点外，可以不受网络协议、速率和加密的影响，直接针对主机和内部的信息系统，同时还具有基于网络的入侵检测系统所不具备的检查特洛伊木马、监视特定用户、监视与误操作相关的行为变化等功能。有的入侵检测设备可以同防火强进行联动设置。

(4)防病毒技术。

随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，扩散速度也越来越快，对计算机网络构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，它们主要注重于所谓的“单机防病毒”，即对本地和本工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源感染，网络防病毒软件会立刻检测到并加以删除。

总之，网络安全是一个综合性的系统工程，涉及技术、管理、使用等诸多方面，既包括信息系统本身的安全问题，也有物理和逻辑的技术措施，也应注重树立人的计算机安全意识，才可能防微杜渐。因此，只有综合采取多种防范措施，制定严格的保密政策和明晰的安全策略，才能为网络提供强大的安全保证。

关键字：上网方式 共享上网 网卡 路由嚣