淺析計算機網絡安全

網絡天地

作者：湯聲潮

【摘要】隨著信息技術的飛速發展，尤其是計算機網絡技術的發展，在給我們帶來了前所未有的海量信息的同時，由於網絡的開放性和自由性，這也使得個人信息和私有數據被破壞或者侵犯成為了可能。因此，為了保護個人信息和私有數據的安全，計算機網絡的安全性也被人們日益重視起來。本文分析了計算機網絡安全的現狀，並探討了如何增強計算機網絡的安全性以及其主要防範策略。

【關鍵詞】計算機網絡；網絡安全；防範策略

計算機網絡安全是指網絡係統的硬、軟件及係統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，係統連續、可靠、正常地運行，網絡服務不中斷。計算機和網絡技術具有的複雜性和多樣性，使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。在Internet網絡上，因互聯網本身沒有時空和地域的限製，每當有一種新的攻擊手段產生，就能在一周內傳遍全世界，這些攻擊手段利用網絡和係統漏洞進行攻擊從而造成計算機係統及網絡癱瘓。

當今網絡在安全攻擊麵前顯得如此脆弱源於以下幾個方麵的原因：

1.Internet所用底層TCP/IP網絡協議本身易受到攻擊，該協議本身的安全問題極大地影響到上層應用的安全。

2.Internet上廣為傳播的易用黑客和解密工具使很多網絡用戶輕易地獲得了攻擊網絡的方法和手段。

3.快速的軟件升級周期，會造成問題軟件的出現，經常會出現操作係統和應用程序存在新的攻擊漏洞。

4.現行法規政策和管理方麵存在不足。目前我國針對計算機及網絡信息保護的條款不細致，網上保密的法規製度可操作性不強，執行不力。同時，不少單位沒有從管理製度、人員和技術上建立相應的安全防範機製。缺乏行之有效的安全檢查保護措施，甚至有一些網絡管理員利用職務之便從事網上違法行為。

計算機網絡安全從技術上來說，主要由防病毒、防火牆、入侵檢測等多個安全組件組成，一個單獨的組件無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有：防火牆技術、數據加密技術、入侵檢測技術、防病毒技術等。防火牆是網絡安全的屏障，配置防火牆是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火牆是指一個由軟件和硬件設備組合而成，處於企業或網絡群體計算機與外界通道之間，限製外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。當一個網絡接上Internet之後，係統的安全除了考慮計算機病毒、係統的健壯性之外，更主要的是防止非法用戶的入侵，而目前防止的措施主要是靠防火牆技術完成。防火牆能極大地提高一個內部網絡的安全性，並通過過濾不安全的服務而降低風險。防火牆可以強化網絡安全策略。通過以防火牆為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證）配置在防火牆上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並做出日誌記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火牆對內部網絡的劃分，可實現內部網重點網段的隔離，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

與防火牆相比，數據加密與用戶授權訪問控製技術比較靈活，更加適用於開放的網絡。用戶授權訪問控製主要用於對靜態信息的保護，需要係統級別的支持，一般在操作係統中實現。數據加密主要用於對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對於主動攻擊，雖無法避免，但卻可以有效地檢測；而對於被動攻擊，雖無法檢測，但卻可以避免，實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法，這種變換是受“密鑰”控製的。在傳統的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個推知另一個，稱為“對稱密鑰算法”。這樣的密鑰必須秘密保管，隻能為授權用戶所知，授權用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對稱加密算法中最具代表性的算法。如果加密/解密過程各有不相幹的密鑰，構成加密/解密的密鑰對，則稱這種加密算法為“非對稱加密算法”或稱為“公鑰加密算法”，相應的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者。私鑰是保密的，用於解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。