淺析計算機網(wǎng)絡安全問題及對策修改

1、淺談計算機網(wǎng)絡安全問題與對策摘 要 近年來,我國的計算機網(wǎng)絡應用發(fā)展迅速，已經(jīng)遍布經(jīng)濟、文化、科研、軍事、教育和社會生活等各個領域，由此網(wǎng)絡的安全問題成了新的熱點。針對計算機網(wǎng)絡系統(tǒng)存在的安全性和可靠性問題，從網(wǎng)絡安全的現(xiàn)狀、網(wǎng)絡安全面臨的威脅、解決網(wǎng)絡安全問題的對策等方面提出一些見解，并且進行詳細闡述，以使廣大用戶在計算機網(wǎng)絡方面增強安全防范意識。關鍵詞 網(wǎng)絡安全 防火墻 病毒 黑客 技術一、前言目前，計算機技術已經(jīng)深入到經(jīng)濟、文化、科研、教育和社會生活等各領域，并帶來了巨大的推動和沖擊。特別是近20年來，網(wǎng)絡逐漸進入到我們的日常生活之中，極大的改變了我們的生存模式，成為我們生活中不可或缺的

2、部分。通過計算機網(wǎng)絡，我們可以跨越時空獲取信息，方便地實現(xiàn)與他人的交流，也可以及時了解時事新聞，獲取各種最新的知識，實現(xiàn)信息共享資源。然而，由于網(wǎng)絡系統(tǒng)的開放性、信息資源的共享性、通信信道的公用性、連接形式的多樣性等，使網(wǎng)絡存在很多嚴重的脆弱點。隨著網(wǎng)絡經(jīng)濟的發(fā)展和網(wǎng)絡技術的普及，不僅計算機病毒在不斷的產(chǎn)生和傳播，計算機網(wǎng)絡也不斷地遭受黑客的襲擊，重要的情報資料被竊取，甚至造成網(wǎng)絡系統(tǒng)的癱瘓，給許多公司造成了巨大的經(jīng)濟損失，甚至危害國家和地區(qū)的安全。如果有網(wǎng)絡但是不安全，還不如沒有網(wǎng)絡。針對來自不同方面的安全威脅，需要采取不同的安全對策，而且必須互相補充，才可以達到較好的效果。因此，既要使網(wǎng)絡

3、開放又要使網(wǎng)絡安全，已成為當前網(wǎng)絡建設需要考慮的一個重大問題。二、計算機網(wǎng)絡安全及其現(xiàn)狀1、計算機網(wǎng)絡安全概述從學科性質(zhì)上講，網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。 計算機網(wǎng)絡安全是指利用網(wǎng)絡管理控制和技術措施，保證在一個網(wǎng)絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。參照ISO給出的計算機安全定義，認為計算機網(wǎng)絡安全是指：“保護計算機網(wǎng)絡系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡服務正常有序?！彼裕嬎銠C網(wǎng)絡的安全問題其實包括兩個方面的內(nèi)容

4、：一是網(wǎng)絡的系統(tǒng)安全，二是網(wǎng)絡的信息安全。而保護網(wǎng)絡信息安全則是我們的最終目的。網(wǎng)絡安全的特征。保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段。2、計算機網(wǎng)絡安全的現(xiàn)狀計算機網(wǎng)絡以飛快的速度不斷發(fā)展，網(wǎng)絡應用日益普及并更加復雜，網(wǎng)絡安全問題是計算機網(wǎng)絡應

5、用發(fā)展中面臨的重要問題。網(wǎng)絡攻擊行為日趨復雜，各種方法相互融合，使網(wǎng)絡安全防御更加困難。黑客攻擊行為組織性更強，攻擊目標從單純的追求“榮耀感”向獲取多方面實際利益的方向轉(zhuǎn)移，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡仿冒等的出現(xiàn)和日趨泛濫；手機、掌上電腦等無線終端的處理能力和功能通用性提高，使其日趨接近個人計算機，針對這些無線終端的網(wǎng)絡攻擊已經(jīng)開始出現(xiàn)，并將進一步發(fā)展?？傊?，網(wǎng)絡安全問題變得更加錯綜復雜，影響將不斷擴大，很難在短期內(nèi)得到全面解決。目前，歐州各國的小型企業(yè)每年因計算機病毒導致的經(jīng)濟損失高達幾百億歐元，而這些病毒主要是通過電子郵件進行傳播的。據(jù)某反病毒廠商稱，像Sobig、Slammer等

6、網(wǎng)絡病毒和蠕蟲造成的網(wǎng)絡大塞車，曾經(jīng)就給企業(yè)造成了幾百億美元的損失。而包括從身份竊賊到間諜在內(nèi)的其他網(wǎng)絡危險造成的損失則很難量化，網(wǎng)絡安全問題帶來的損失由此可見一斑。三、計算機網(wǎng)絡安全面臨的威脅1、環(huán)境計算機網(wǎng)絡通過有線鏈路或無線電波連接不同地域的計算機或終端，線路中經(jīng)常有信息傳送，因此自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡都會產(chǎn)生巨大的不良影響。對于自然界，例如惡劣的溫度、濕度、防塵條件、地震、風災、火災等以及事故都會對網(wǎng)絡造成嚴重的損害和影響；強電、磁場會毀壞傳輸中的數(shù)據(jù)信息。計算機網(wǎng)絡還極易遭雷擊, 雷電能輕而易舉地穿過電纜，損壞計算機，使計算機網(wǎng)絡癱瘓。2、計算機病毒計算機網(wǎng)絡可以從多個結(jié)點接

7、收信息， 因而極易感染計算機病毒，病毒一旦侵入，在網(wǎng)絡內(nèi)按指數(shù)增長進行再生與傳染，很快就會遍及網(wǎng)絡各結(jié)點, 短時間內(nèi)可以造成網(wǎng)絡的癱瘓。計算機病毒是一個程序，一段可執(zhí)行碼，破壞計算機的正常運行，使之無法正常使用甚至使整個操作系統(tǒng)或者硬盤損壞。就像生物病毒一樣，計算機病毒有獨特的復制能力，可以很快地蔓延，常常難以根除。它們能把自身附著在各種類型的文件上。當文件被復制和傳送時，它們就隨之一起蔓延開來。病毒程序不是獨立存在的，它隱蔽在其它可執(zhí)行的程序之中，既有破壞性又有傳染性和潛伏性。輕則影響機器運行速度，重則使機器處于癱瘓，會給用戶帶來不可估量的損失。3、黑客的威脅和攻擊這種人為的惡意攻擊是計算機

8、網(wǎng)絡所面臨的最大威脅，也是網(wǎng)絡安全防范策略的首要對象。黑客一旦非法入侵資源共享廣泛的政治、軍事、經(jīng)濟和科學等領域，盜用、暴露和篡改大量在網(wǎng)絡中存儲和傳輸?shù)臄?shù)據(jù)，其造成的損失是無法估量的。黑客問題的出現(xiàn)，并非是黑客能夠制造入侵的機會，而是他們善于發(fā)現(xiàn)漏洞，即信息網(wǎng)絡本身的不完善性和缺陷，成為被攻擊的目標或利用為攻擊的途徑，并構(gòu)成了自然或人為的破壞。4、內(nèi)部用戶非惡意或惡意的非法操作由于網(wǎng)絡設計的不嚴密性和脆弱性，加之內(nèi)部網(wǎng)絡使用者安全意識不強，操作不當，出于無知或好奇修改了其中的數(shù)據(jù)。還有一些內(nèi)部用戶則是利用自身的合法身份有意對數(shù)據(jù)進行破壞。據(jù)一項調(diào)查統(tǒng)計，有70左右的網(wǎng)絡安全問題來源于網(wǎng)絡內(nèi)部

9、用戶。5、垃圾郵件和間諜軟件一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，問諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。6、操作系統(tǒng)計算機系統(tǒng)的脆弱性主要來自計算機操作系統(tǒng)的不安全性。計算機系統(tǒng)有其自身的安全級別，有的計算機操作系統(tǒng)屬于D級，這一級別的操作系統(tǒng)根本就沒有安全防護措施，它就像一個門窗大開的屋子。它們只能用于一般的桌面計算機系統(tǒng)，而不能用于安全性要求高的服務器的操作系統(tǒng)。世界上沒有能長久運行的計算機系統(tǒng)，計算機系統(tǒng)可能因硬件故障或軟件原因而停止

10、運行或運作失誤，或被入侵者利用并造成損失。目前在操作系統(tǒng)方面主要的安全問題集中在：端口設置、IIS 配置、系統(tǒng)賬戶管理、系統(tǒng)安全策略設置、系統(tǒng)服務的開設、系統(tǒng)訪問控制策略、系統(tǒng)安全日志設置等。7、應用軟件部分網(wǎng)絡應用程序由于在設計上的缺陷有可能會引起網(wǎng)絡安全隱患。最典型的惡意攻擊例如緩沖區(qū)溢出攻擊，它利用應用程序在接收參數(shù)緩沖區(qū)的設置沒有進行周密的限制和檢查，通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)入預先植入的攻擊代碼，被植入的攻擊代碼以一定的權(quán)限運行有緩沖區(qū)溢出漏洞的程序， 從而得到攻擊主機的控制權(quán)，進而達到攻擊系統(tǒng)的目的。據(jù)統(tǒng)計， 通過緩沖區(qū)溢出進

11、行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上。四、解決計算機網(wǎng)絡安全問題的對策1、明確網(wǎng)絡安全目標要解決網(wǎng)絡安全，首先要明確實現(xiàn)目標：身份真實性：對通信實體身份的真實性進行識別。信息機密性：保證機密信息不會泄露給非授權(quán)的人或?qū)嶓w。信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進行任何破壞。服務可用性：防止合法擁護對信息和資源的使用被不當?shù)木芙^。不可否認性：建立有效的責任機智，防止實體否認其行為。系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應該操作簡單、維護方便?？蓪彶樾裕簩Τ霈F(xiàn)問題的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。2、采用相應網(wǎng)絡安全技術加強

12、安全防范認證對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的專題研究信息。身份認證。當系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶，這就是身份認證。常采用用戶名和口令等最簡易的方法進行用戶身份的認證識別。報文認證。主要是通信雙方對通信的內(nèi)容進行驗證，以保證報文由確認的發(fā)送方產(chǎn)生，報文傳到了要發(fā)給的接受方，傳送中報文沒被修改過。訪問授權(quán)。主要是確認用戶對某資源的訪問權(quán)限。數(shù)字簽名。數(shù)字簽名是一種使用加密認證電子信息的方法，其安全性和有用性主要取決于用戶私鑰的保護和安全的哈希函數(shù)。數(shù)字簽名技術是基于加密技術的，可用對稱加密算法、非對

13、稱加密算法或混合加密算法來實現(xiàn)數(shù)據(jù)加密加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私鑰加密和公鑰加密。私鑰加密。私鑰加密又稱對稱密鑰加密，因為用來加密信息的密鑰就是解密信息所使用的密鑰。這種方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現(xiàn)。公鑰加密。公鑰加密比私鑰加密出現(xiàn)得晚，私鑰加密使用同一個密鑰加密和解密，而公鑰加密使用兩個密鑰，一個用于加密信息，另一個用于解密信息。公鑰加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私鑰加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復雜的系統(tǒng)。加密是提供數(shù)據(jù)保密的最常用方法。加密技術的要點是加密算法

14、，加密算法可以分為對稱加密、不對稱加密和不可逆加密三類算法。對稱加密算法；對稱加密算法是應用較早的加密算法，技術成熟。不對稱加密算法；不對稱加密算法使用兩把完全不同但又是完全匹配的一對鑰匙：公鑰和私鑰。在使用不對稱加密算法加密文件時，只有使用匹配的一對公鑰和私鑰，才能完成對明文的加密和解密過程。加密明文時采用公鑰加密，解密密文時使用私鑰才能完成，而且發(fā)信方知道收信方的公鑰，只有收信方才是唯一知道自己私鑰的人。不可逆加密算法；不可逆加密算法的特征是加密過程中不需要使用密鑰， 輸入明文后由系統(tǒng)直接經(jīng)過加密算法處理成密文，這種加密后的數(shù)據(jù)是無法被解密的，只有重新輸入明文，并再次經(jīng)過同樣不可逆的加密算

15、法處理，得到相同的加密密文并被系統(tǒng)重新識別后，才能真正解密。防火墻技術是建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術，越來越多的應用于專用網(wǎng)絡與公用網(wǎng)絡的互連環(huán)境中。大型網(wǎng)絡系統(tǒng)與因特網(wǎng)互連的第一道屏障就是防火墻。通常防火墻服務主要有以下幾個目的：限制人們進入內(nèi)部網(wǎng)絡；過濾掉不安全服務和非法用戶；限制人們訪問特殊站點；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡攻擊進行監(jiān)測和告警；為監(jiān)視Internet安全提供方便。防火墻作為網(wǎng)絡安全的一種防護手段，有多種實現(xiàn)方式，但是，正確選用、合理配置防火墻是不容易的。建立合理的防護系統(tǒng)，配置有效的防火墻應遵循這樣四個基本步驟：風險分析、需求分析、

16、確立安全政策和選擇準確的防護手段，并使之與安全政策保持一致。還要正確的評價防火墻的失效狀態(tài)，看它能否阻擋或捕捉到惡意的攻擊和非法訪問的蛛絲馬跡，而且要能對其失效狀態(tài)進行測試或驗證，否則網(wǎng)絡必然存在很大的隱患。防火墻投入使用后，必須對它進行跟蹤和維護，要與上家保持密切聯(lián)系，時刻注視商家的動態(tài)，因為商家一旦發(fā)現(xiàn)漏洞，就會盡快發(fā)布補救產(chǎn)品，并對防火墻進行定期更新。3、入侵檢測系統(tǒng)入侵檢測技術是網(wǎng)絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截相應入侵。隨著時代的發(fā)展，入侵檢測技術將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵

17、檢測和全面的安全防御方案。入侵檢測系統(tǒng)是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵：網(wǎng)絡遭受威脅程度的評估和入侵事件的恢復等功能。入侵檢測的目的在于發(fā)現(xiàn)惡意和可疑的活動，保證網(wǎng)絡的正常運行。檢測到網(wǎng)絡被入侵之后，一定要立即采取有效措施，例如修改防火墻、路由器、主機、應用系統(tǒng)等的配置來阻斷攻擊，并追蹤定位攻擊源。4、虛擬專用網(wǎng)技術VPN是目前解決信息安全問題的一個最新、最成功的技術課題之一，所謂虛擬專用網(wǎng)(VPN)技術就是在公共網(wǎng)絡上建立專用網(wǎng)絡，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡中傳播。用以在公共通信網(wǎng)絡上構(gòu)建VPN，有兩種主流的機制，這兩種機制為

18、路由過濾技術和隧道技術。目前VPN主要采用了如下四項技術來保障安全：隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。5、防病毒技術隨著計算機技術的不斷發(fā)展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡以及它們之間相互關系和接口的綜合系統(tǒng)。病毒防范包括針對單個計算機系統(tǒng)和整個網(wǎng)絡病毒的防范。對于一個大的網(wǎng)絡，可集中進行病毒防范、統(tǒng)一管理。1）網(wǎng)絡防病毒軟件必須能對網(wǎng)絡中的病毒進行正確識別；2）對整個網(wǎng)絡進行防、殺毒處理；3）徹底、完全地清除病毒；此外，防病毒產(chǎn)品升級工作無需人工干預，可以在預定時間自動從網(wǎng)站下載最新的升級文件，并自動分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機器上。五、制定網(wǎng)絡安全政策法規(guī)，普及計算機