第一篇：計算機網(wǎng)絡(luò)安全與防護

計算機網(wǎng)絡(luò)安全與防護

在當今網(wǎng)絡(luò)化的世界中，網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡(luò)很容易受到攻擊，計算機信息和資源也很容易受到黑客的攻擊,甚至是后果十分嚴重的攻擊，諸如數(shù)據(jù)被人竊取，服務(wù)器不能提供服務(wù)等等。因此，網(wǎng)絡(luò)和信息安全技術(shù)也越來越受到人們的重視，由此推動了防火墻、入侵檢測、虛擬專用網(wǎng)、訪問控制、面向?qū)ο笙到y(tǒng)的安全等各種網(wǎng)絡(luò)、信息安全技術(shù)的蓬勃發(fā)展。防火墻技術(shù)作為網(wǎng)絡(luò)安全的重要組成部分，格外受到關(guān)注。本文就網(wǎng)絡(luò)安

全、防火墻的種類以及防火墻技術(shù)在現(xiàn)實中的應(yīng)用等進行簡要的介紹。

一、計算機網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)安全的概念

計算機網(wǎng)絡(luò)是計算機科學(xué)發(fā)展到一定階段的產(chǎn)物，是由計算機系統(tǒng)和終端設(shè)備，通過線路連接形成的，實現(xiàn)了用戶遠程通信和資源的共享，而且有較高的可靠性和擴展性。計算機網(wǎng)絡(luò)化是信息社會的主要標志之一。

互聯(lián)網(wǎng)是通過ＴＣＰ／ＩＰ協(xié)議將各個不同地區(qū)及不同結(jié)構(gòu)的計算機連接在一起組成的網(wǎng)絡(luò)形式。隨著互聯(lián)網(wǎng)用戶的不斷發(fā)展促進了信息交流，但正如引言中所指出的，網(wǎng)絡(luò)的發(fā)展也帶來安全方面的問題，例如網(wǎng)絡(luò)中使用的傳輸控制協(xié)議（ＴＣＰ）、互聯(lián)網(wǎng)協(xié)議、ＩＰ、路由器等都會出現(xiàn)安全方面的問題，需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機制和防護措施。計算機的安全是指計算機信息系統(tǒng)和信息資源不受自然和人為有害因素的威脅和危害。計算機安全的范圍包括實體安全、運行安全、數(shù)據(jù)安全、軟件安全和通信安全等。實體安全主要是指計算機硬件設(shè)備和通信線路的安全，其威脅來自自然和人為危害等因素。信息安全包括數(shù)據(jù)安全和軟件安全，其威脅主要來自信息被破壞和信息被泄漏。當前信息安全方面存在的主要問題是計算機病毒、計算機黑客、傳輸線路和設(shè)備的電輻射等。

二、計算機網(wǎng)絡(luò)的安全漏洞

網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時，也使得網(wǎng)絡(luò)很容易受到攻擊，而且受到攻擊后的傷害是嚴重的，諸如數(shù)據(jù)被人竊取，服務(wù)器不能正常提供服務(wù)等等。其所以會受到攻擊，是因為存在著如下漏洞。

(1)口令

計算機網(wǎng)絡(luò)的口令系統(tǒng)非常脆弱，常常會被破譯。破譯者常常通過對信道的監(jiān)測來截取口令或?qū)⒓用艿目诹罱饷?，獲得對系統(tǒng)的訪問權(quán)。特別是由于與內(nèi)部局域網(wǎng)相連的互聯(lián)網(wǎng)需要進行兩類認證，一是需要用戶進行ＴＣＰ／ＩＰ注冊認證，由用戶輸入ＩＰ地址和口令；二是對業(yè)務(wù)往來和電子郵件信息需要進行來源認證。這兩類認證常常會受到攻擊。例如當用戶通過ＴＥＬＮＥＴ或ＦＴＰ與遠程主機聯(lián)系時，由于在互聯(lián)網(wǎng)上傳輸?shù)目诹顩]有加密，因而帶有口令和用戶名的ＩＰ包就有可能被攻擊者截獲，用此口令和用戶名在系統(tǒng)上進行注冊，并根據(jù)被竊取口令所具有的權(quán)限獲得對系統(tǒng)相應(yīng)的訪問控制權(quán)，進而竊取用戶的機密信息。

(2)協(xié)議

互聯(lián)網(wǎng)的某些協(xié)議，如ＴＣＰ／ＩＰ或ＵＤＰ協(xié)議存在著許多安全方面的漏洞，例如只能對主機地址進行認證，而不能對用戶進行認證就是一個漏洞。通過這個漏洞，只授權(quán)給某個主機，而不是授權(quán)給特定的用戶，這樣攻擊者就可利用被授權(quán)的主機與服務(wù)器通信，對系統(tǒng)進行攻擊。其在通信前先設(shè)置好一臺被信任的主機，與某主機有相同的名字和ＩＰ地址，然后建立聯(lián)系，使服務(wù)器認為它是真正的用戶，而從容地進行信息竊取活動。因此，為了使信息在網(wǎng)絡(luò)傳輸中不被竊取、替換、修改等，要求采取各種硬件及軟件措施，如網(wǎng)關(guān)、傳輸協(xié)議等來保護ＦＴＰ或Ｅ－ｍａｉｌ文件。

再如，由于ＩＰ技術(shù)過多考慮的是性能，而對安全性就消弱了許多，使得黑客捕獲目標ＩＰ地址不是一件復(fù)雜的事情，其實這是很危險的。黑客可利用ＩＰ和客戶軟件的漏洞使遠程用戶瞬間死機。為了保證互聯(lián)網(wǎng)上信息往來的安全，需要采用數(shù)字簽名的措施來保證數(shù)據(jù)發(fā)送和來源的可靠。

(3)操作系統(tǒng)和應(yīng)用軟件

網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用軟件也存在著安全漏洞，特別是在傳統(tǒng)的ＵＮＩＸ操作系統(tǒng)中發(fā)現(xiàn)了不少的漏洞，例如對可執(zhí)行文件的訪問控制不嚴就成為許多黑客攻擊成功的原因之一。另外，許多應(yīng)用軟件也都有安全漏洞，容易被黑客侵入，瀏覽器中的超級鏈接也很容易被攻擊者利用而進入系統(tǒng)。為此，需要采取安全級別較高的操作系統(tǒng)并增加必要的軟、硬件防護措施。

(4)互聯(lián)網(wǎng)

互聯(lián)網(wǎng)既龐大又復(fù)雜，系統(tǒng)邊界難以確定，用戶難以監(jiān)視，系統(tǒng)受到的威脅來自各方，許多訪問控制措施配置起來十分困難也不易驗證其正確性。為此，為確保安全，內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的連接必須設(shè)立網(wǎng)關(guān)，以攔截和檢查每一條從互聯(lián)網(wǎng)來或去的信息，防止黑客、病毒之類的攻擊。此外，網(wǎng)關(guān)還需根據(jù)ＩＰ地址和端口數(shù)據(jù)對每一包進行濾波，使互聯(lián)網(wǎng)的網(wǎng)關(guān)成為防火墻的一部分。

三、防火墻技術(shù)簡介

由于計算機網(wǎng)絡(luò)存在著以上漏洞，所以受到了種類繁多的攻擊，歸納起來主要有掃描類攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、ＤｏＳ攻擊、ＤｄｏＳ攻擊和碎片攻擊等等。為了防止計算機網(wǎng)絡(luò)受到攻擊，采取的有效手段是防火墻技術(shù)。防火墻是可在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間，或者內(nèi)部網(wǎng)的各部分之間實施安全防護的系統(tǒng)，通過防火墻可以在內(nèi)部、外部兩個網(wǎng)絡(luò)之間建立起安全的控制點，來實施對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問信息的審計和控制，以允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流的方式，防止不希望、未授權(quán)的數(shù)據(jù)流進出被保護的內(nèi)部網(wǎng)絡(luò)。因此，防火墻是實現(xiàn)網(wǎng)絡(luò)安全策略的重要組成部分。

(1)防火墻要解決的安全問題

防火墻要解決的安全問題分為兩大類：

1、被保護系統(tǒng)的安全問題

在訪問控制安全方面，防火墻應(yīng)能保護內(nèi)部網(wǎng)絡(luò)的資源不被非授權(quán)使用。

在通信安全方面，防火墻應(yīng)能提供數(shù)據(jù)保密性、完整性的認證，以及各種通信端不可否認的服務(wù)。

2、自身的安全問題

在訪問控制安全方面，防火墻應(yīng)能保護防火墻自身與安全有關(guān)的數(shù)據(jù)不被非授權(quán)使用。在通信安全方面，在對防火墻進行管理時，包括遠程管理，應(yīng)能夠提供數(shù)據(jù)保密性、完整性的認證，以及各種通信端不可否認的服務(wù)。

（2）防火墻的關(guān)鍵技術(shù)

目前，防火墻有兩個關(guān)鍵技術(shù)，一是包過濾技術(shù)，二是代理服務(wù)技術(shù)。

1、包過濾技術(shù)

包過濾技術(shù)主要是基于路由的技術(shù)，即依據(jù)靜態(tài)或動態(tài)的過濾邏輯，在對數(shù)據(jù)包進行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號對數(shù)據(jù)包進行過濾。包過濾不能對數(shù)據(jù)包中的用戶信息和文件信息進行識別，只能對整個網(wǎng)絡(luò)提供保護。一般說來，包過濾必須使用兩塊網(wǎng)卡，即一塊網(wǎng)卡連到公網(wǎng)，一塊網(wǎng)卡連到內(nèi)網(wǎng)，以實現(xiàn)對網(wǎng)上通信進行實時和雙向的控制。

包過濾技術(shù)具有運行速度快和基本不依賴于應(yīng)用的優(yōu)點，但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進行操作，而無法對用戶在某些協(xié)議上進行各種不同要求服務(wù)的內(nèi)容分別處理，即只是機械地允許或拒絕某種類型的服務(wù)，而不能對服務(wù)中的某個具體操作進行控制。因此，對于有些來自不安全的服務(wù)器的服務(wù)，僅依靠包過濾就不能起到保護內(nèi)部網(wǎng)的作用了。

2、代理服務(wù)技術(shù)

代理服務(wù)又稱為應(yīng)用級防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān)，一般針對某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成，其不僅能理解數(shù)據(jù)包頭的信息，還能理解應(yīng)用信息本身的內(nèi)容。當一個遠程用戶連接到某個運行代理服務(wù)的網(wǎng)絡(luò)時，防火墻端的代理服務(wù)器即進行連接，ＩＰ報文即不再向前轉(zhuǎn)發(fā)而進入內(nèi)網(wǎng)。

代理服務(wù)通常被認為是最安全的防火墻技術(shù)，因為代理服務(wù)有能力支持可靠的用戶認證并提供詳細的注冊信息。

代理服務(wù)的代理工作在客戶機和服務(wù)器之間，具有完全控制會話和提供詳細日志、安全審計的功能，而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的ＩＰ地址，保護內(nèi)部主機免受外部的攻擊。此外，代理服務(wù)還可以過濾協(xié)議，如過濾ＦＴＰ連接，拒絕使用ＰＵＴ命令等，以保證用戶不將文件寫到匿名的服務(wù)器上去。

代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同，包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。

以上介紹了兩種防火墻技術(shù)。由于此項技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用，因而在最近十多年里得到了較大的發(fā)展，已有四類防火墻在流行，即包過濾防火墻、代理防火墻、狀態(tài)檢測防火墻和第四代防火墻。

第二篇：計算機網(wǎng)絡(luò)安全與防護

《計算機網(wǎng)絡(luò)安全與防護》

計算機網(wǎng)絡(luò)安全與防護

作者：某某君 日期：2010年6月

摘要：由于網(wǎng)絡(luò)的開放性等特征而使其容易遭受黑客攻擊、病毒侵犯，針對網(wǎng)絡(luò)安全面臨的問題，總結(jié)提出一些解決的對策。

關(guān) 鍵 詞：網(wǎng)絡(luò)安全；黑客；病毒；防火墻；訪問權(quán)限

計算機網(wǎng)絡(luò)具有連接形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其它不軌的攻擊，例如，現(xiàn)在的病毒以破壞正常的網(wǎng)絡(luò)通訊、偷竊數(shù)據(jù)為目的的越來越多，它們和木馬相配合，可以控制被感染的工作站，并將數(shù)據(jù)自動傳給發(fā)送病毒者，或者破壞工作站軟、硬件，其危害相當惡劣，因此加強計算機網(wǎng)絡(luò)的安全建設(shè)已刻不容緩，只有足夠強的安全措施，才能確保網(wǎng)絡(luò)系統(tǒng)的安全性，網(wǎng)絡(luò)信息的保密性、完整性和可用性。

1網(wǎng)絡(luò)安全面臨的主要問題

計算機網(wǎng)絡(luò)所面臨的威脅大體可分為兩類：一是對竊取或破壞網(wǎng)絡(luò)中信息資源；二是對網(wǎng)絡(luò)中計算機系統(tǒng)的攻擊。影響計算機網(wǎng)絡(luò)的因素很多，歸納起來，針對網(wǎng)絡(luò)安全的威脅主要來自于如下四個方面：

1.1網(wǎng)絡(luò)黑客：指的是熟悉特定的電腦操作系統(tǒng)，并且具有較強的技術(shù)能力，惡意非法進入他人計算機系統(tǒng)，黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，可以利用個人技術(shù)查詢或惡意破壞重要數(shù)據(jù)、修改系統(tǒng)文件導(dǎo)致計算機系統(tǒng)癱瘓，黑客的攻擊程序危害性非常大，從某種意義上講，黑客對計算機網(wǎng)絡(luò)安全的危害甚至比一般的電腦病毒更為嚴重。

1.2配置不當：安全配置不當造成了安全漏洞，例如，對網(wǎng)絡(luò)服務(wù)器的訪問權(quán)限設(shè)置不當，非法用戶對網(wǎng)絡(luò)服務(wù)器信息進行非法調(diào)用和竊取。對防火墻軟件的配置不合理，例如只是對外設(shè)置防火墻保護，那么對內(nèi)幾乎不起什么作用，然而不幸的是，一般情況下有70％的攻擊是來自局域網(wǎng)的內(nèi)部用戶，所以怎樣防止來自內(nèi)部的攻擊是當前局域網(wǎng)建設(shè)中的一個非常重要的方面。

1.3計算機病毒：目前網(wǎng)絡(luò)安全的頭號大敵是計算機病毒，它是編制或者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)，影響計算機軟件、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點，病毒的種類也不斷變化，破壞范圍也有軟件

擴大到硬件。新型病毒正向著更具破壞性、更加隱蔽、傳染率更高、傳播速度更快、適應(yīng)平臺更廣的方向發(fā)展。

1.4安全意識不強：用戶口令設(shè)置過于簡單，或用戶的訪問權(quán)限設(shè)置不當，或?qū)⒐芾韱T的帳號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。將一些處理過的機密文件隨意存放在工作站的共享文件夾內(nèi)，或在硬盤上留有備份，這就有可能使得某些重要文件在局域網(wǎng)上隨意地流傳，為網(wǎng)絡(luò)系統(tǒng)留下了安全隱患。主服務(wù)器上的數(shù)據(jù)庫存放著所有重要數(shù)據(jù)，不能及時進行數(shù)據(jù)備份，如果這個數(shù)據(jù)庫遭到破壞，將會遭到無法挽回的損失。

2網(wǎng)絡(luò)安全性的解決方法

2.1有效防護黑客攻擊：WEB、FTP、DNS這些服務(wù)器較容易引起黑客的注意，并遭受攻擊。從服務(wù)器自身安全來講，只開放其基本的服務(wù)端口，關(guān)閉所有無關(guān)的服務(wù)端口。如DNS服務(wù)器只開放TCP／UDP42端口，WEB服務(wù)器只開放TCP80端口。FTP服務(wù)器只開放TCP21端口；在每一臺服務(wù)器上都安裝系統(tǒng)監(jiān)控軟件和反黑客軟件，提供安全防護作用并識別惡意攻擊一旦發(fā)現(xiàn)攻擊，會通過中斷用戶進程和掛起用戶帳號來阻止非法攻擊；有效利用服務(wù)器自動升級功能定期對服務(wù)器進行安全漏洞掃描，管理員對及時網(wǎng)絡(luò)系統(tǒng)進行打補?。粚τ陉P(guān)鍵的服務(wù)器，如計費服務(wù)器、中心數(shù)據(jù)庫服務(wù)器等，可用專門的防火墻保護，或放在受保護的網(wǎng)管網(wǎng)段內(nèi)。

為了從物理上保證網(wǎng)絡(luò)的安全性，特別是防止外部黑客入侵，可以將內(nèi)部網(wǎng)絡(luò)中所分配的IP地址與電腦網(wǎng)卡上的MAC地址綁定起來，使網(wǎng)絡(luò)安全系統(tǒng)在偵別內(nèi)部信息節(jié)點時具有物理上的唯一性。

2.2制定有效配置方案：應(yīng)通過合理正確的授權(quán)來限制用戶的權(quán)限，這是在辦公用戶中特別容易被疏忽的，如局域網(wǎng)中的共享授權(quán)，經(jīng)常會被用戶設(shè)置成對任何人開放且完全控制，這非常不安全也是很危險的。正確的方法是針對不同的用戶設(shè)置相應(yīng)的只讀、可讀寫、可完全控制等權(quán)限，只有指定用戶才會有相應(yīng)權(quán)限，既保護了數(shù)據(jù)，又建立了合理的共享。

防火墻配置方案如下：將網(wǎng)絡(luò)劃分為三個部分，Internet(外網(wǎng))、DMZ區(qū)(非軍事區(qū))、內(nèi)網(wǎng)。Internet(外網(wǎng))和DMA區(qū)通過外部路由器隔離；DMZ區(qū)和內(nèi)部網(wǎng)絡(luò)通過內(nèi)部路由器隔離。代理服務(wù)器、E-mail服務(wù)器、各種服務(wù)器(包括Web服務(wù)器、Ftp服務(wù)器等)、以及其它需要進行訪問控制的系統(tǒng)都放在DMZ中。外部網(wǎng)絡(luò)非法入侵者要攻破此防火墻系統(tǒng)偵聽到內(nèi)部網(wǎng)上的數(shù)據(jù)，必須突破外部路由器和內(nèi)部路由器才能侵襲內(nèi)部網(wǎng)絡(luò)，這樣大大提高了內(nèi)部網(wǎng)絡(luò)的安全級別。配置防火墻的流量控制相關(guān)參數(shù)，實現(xiàn)不同時段、不同子網(wǎng)的不同帶寬流量設(shè)置，有效防止內(nèi)部用戶在網(wǎng)絡(luò)使用高峰時期大量占用帶寬而導(dǎo)致網(wǎng)絡(luò)癱瘓。

為了保證網(wǎng)絡(luò)內(nèi)部安全還應(yīng)該利用Vlan技術(shù)將內(nèi)部網(wǎng)絡(luò)分成幾個子網(wǎng)，網(wǎng)絡(luò)分段通常被認為是控制網(wǎng)絡(luò)廣播風暴的一種手段，但其實也是保護網(wǎng)絡(luò)安全的一項重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段用來實現(xiàn)對局域網(wǎng)的安全控制，也防止了內(nèi)部網(wǎng)用戶對網(wǎng)絡(luò)服務(wù)器的攻擊。

2.3建立病毒防護體系：對于一個網(wǎng)絡(luò)系統(tǒng)而言，絕不能簡單的使用單機版的病毒防治軟件，必須有針對性地選擇性能優(yōu)秀的專業(yè)級網(wǎng)絡(luò)殺毒軟件，以建立實時的、全網(wǎng)段的病毒防護體系，是網(wǎng)絡(luò)系統(tǒng)免遭病毒侵擾的重要保證，用戶可以根據(jù)本網(wǎng)絡(luò)的拓撲結(jié)構(gòu)來選擇合適的產(chǎn)品，及時升級殺毒軟件的病毒庫，并在相關(guān)的病毒防治網(wǎng)站上及時下載特定的防殺病毒工具查殺頑固性病毒，這樣才能有較好病毒防范能力。

2.4加強網(wǎng)絡(luò)安全意識：加強網(wǎng)絡(luò)中用戶名及密碼的安全：必須為系統(tǒng)建立用戶名和相應(yīng)的密碼，絕不能使用默認用戶或不加密碼；密碼的位數(shù)不要短于6位，最好使用大、小寫字母、標點和數(shù)字的混合集合，并定期更改密碼；不要所有的地方都用一個密碼，不要把自己的密碼寫在別人可以看到的地方，最好是強記在腦子里，不要在輸入密碼的時候讓別人看到，更不能把自己的密碼告訴別人；重要崗位人員調(diào)離時，應(yīng)進行注銷，并更換系統(tǒng)的用戶名和密碼，移交全部技術(shù)資料。對重要數(shù)據(jù)信息進行必要的加密和認證技術(shù)，以保證萬一數(shù)據(jù)信息泄漏也能防止信息內(nèi)容泄露。

對于網(wǎng)絡(luò)中的硬件設(shè)備、軟件、數(shù)據(jù)等都有冗余備份，并具有在較短時間內(nèi)恢復(fù)系統(tǒng)運行的能力。對于存放重要數(shù)據(jù)庫的服務(wù)器，應(yīng)選用性能穩(wěn)定的專用服務(wù)器，并且配備UPS等相關(guān)的硬件應(yīng)急保障設(shè)備，硬盤最好作Raid備份，并定時對數(shù)據(jù)作光盤備份。

總之，要想建立一個高效、穩(wěn)定、安全的計算機網(wǎng)絡(luò)系統(tǒng)，不能僅僅依靠防火墻、殺毒軟件等單個的系統(tǒng)，需要仔細考慮系統(tǒng)的安全需求，將系統(tǒng)配置、認證技術(shù)、加密技術(shù)等各個方面工作結(jié)合在一起才能夠?qū)崿F(xiàn)。當然，絕對安全可靠的網(wǎng)絡(luò)系統(tǒng)是不存在的。我們采用以上措施來保護網(wǎng)絡(luò)安全，只不過是為了讓我們的網(wǎng)絡(luò)數(shù)據(jù)在面臨威脅的時候能將所遭受到的損失降到最低。

參考文獻：

[1]孫學(xué)軍,喻梅.《計算機網(wǎng)絡(luò)》.電子工業(yè)出版社，2003

[2]鄭再欣.“淺談計算機網(wǎng)絡(luò)安全及防范”.《廣東公安科技》,2004

[3]徐翼超.“計算機網(wǎng)絡(luò)安全問題初探”.《交通企業(yè)管理》，2004

第三篇：計算機網(wǎng)絡(luò)安全及防護

摘要：

隨著信息系統(tǒng)的不斷發(fā)展，計算機網(wǎng)絡(luò)系統(tǒng)已經(jīng)擴散到了各個領(lǐng)域，且在其中扮演著重要角色，同時也對人們的日常生產(chǎn)帶來了很大影響。但在計算機網(wǎng)絡(luò)系統(tǒng)迅速發(fā)展的同時，也帶來了安全隱患，嚴重威脅到了人們的經(jīng)濟財產(chǎn)安全，所以確保計算機網(wǎng)絡(luò)系統(tǒng)正常運行，做好相應(yīng)的防護工作至關(guān)重要。本文就計算機網(wǎng)絡(luò)的安全及防護進行簡要分析，希望對計算機網(wǎng)絡(luò)系統(tǒng)的進一步發(fā)展有良好的促進作用。

關(guān)鍵字：安全防護；網(wǎng)絡(luò)病毒；計算機系統(tǒng)

0引言

隨著計算機技術(shù)的廣泛傳播，人類開始進入了信息化時代。社會各界也逐步提高了對網(wǎng)絡(luò)技術(shù)的重視，依賴性越來越大。但由于計算機網(wǎng)絡(luò)技術(shù)自身的局限性，致使網(wǎng)絡(luò)信息平臺安全性越來越低，從而給不法分子提供了機會。所以增強計算機網(wǎng)絡(luò)系統(tǒng)的安全性，已經(jīng)逐步成為了社會各界重點關(guān)注的話題。

1.威脅計算機網(wǎng)絡(luò)安全的因素

1.1黑客攻擊

網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)監(jiān)聽是兩種常見的黑客攻擊方式，其攻擊的手段很難讓人察覺，不僅僅局限于衛(wèi)星、微波、無線等幾種通訊方式。網(wǎng)絡(luò)攻擊就是黑客利用系統(tǒng)漏洞、互聯(lián)網(wǎng)協(xié)議、緩沖區(qū)溢出等各種攻擊手段，占用網(wǎng)絡(luò)系統(tǒng)的可用資源，最終造成系統(tǒng)崩潰、網(wǎng)絡(luò)崩盤的局面，致使網(wǎng)絡(luò)無法正常使用。而網(wǎng)絡(luò)監(jiān)聽則是通過冰河、灰鴿子等病毒軟件，在對方不注意的情況下，通過互聯(lián)網(wǎng)進入對方電腦，待入侵成功后便輕松截取對方信息，可以說，一旦目標電腦被入侵便沒有了秘密可言[1]。

1.2木馬程序的威脅

木馬程序與普通的計算機軟件不同，它是通過遠程操作控制目標主機。它可為攻擊者提供入侵目標主機的捷徑，可以在對方?jīng)]有察覺的情況下，肆意獲取目標主機的機密文件，甚至可以遠程操作目標主機，給使用者帶來嚴重的威脅。通常這種惡意程序是通過與其他程序捆綁、偽裝或利用網(wǎng)站掛馬的方式吸引目標下載執(zhí)行，其隱蔽性及強，很難讓人一眼看出。在當今網(wǎng)絡(luò)開放的時代，木馬程序極度泛濫，嚴重威脅網(wǎng)絡(luò)用戶的人身安全[2]。

1.3計算機病毒

所謂計算機病毒就是入侵者往計算機程序中插入了一段可以影響計算機使用，且能夠自我復(fù)制的程序代碼或者計算機指令，這種病毒具有潛伏性、傳染性、寄生性和傳染性的特點。因此這類病毒通常在數(shù)據(jù)傳輸、復(fù)制以及運行程序中傳播，在日常使用中，光盤、硬盤、U盤等都是傳播計算機病毒的主要途徑。一些計算機病毒破壞性很大，比如熊貓燒香病毒等，它給網(wǎng)絡(luò)運行帶來了極大危害，嚴重影響了計算機網(wǎng)絡(luò)的正常運行。

1.4系統(tǒng)漏洞的威脅

網(wǎng)絡(luò)軟件并不是百毒不侵的，其中存在著很多的缺陷與不足，各類軟件與操作系統(tǒng)都是通過反復(fù)調(diào)試與編寫才投入使用，即使這樣其自身的結(jié)構(gòu)與設(shè)計都會出現(xiàn)問題，不可能任何漏洞都沒有，而這些漏洞就給計算機病毒與惡意程序提供了機會，使得計算機處于一種非常危險的境地，一旦聯(lián)網(wǎng)，就有被入侵的可能[3]。

1.5內(nèi)部的威脅

內(nèi)部威脅主要來自于企業(yè)員工或離職人員，通常內(nèi)部威脅要遠遠超過外部威脅。主要是因為企業(yè)員工是重要數(shù)據(jù)直接管理者，因為他們的安全意識淡薄，在網(wǎng)絡(luò)平臺上，缺少適當?shù)陌踩婪洞胧o非法分子提供了可乘之機，致使企業(yè)機密泄露，進而給企業(yè)帶來嚴重的經(jīng)濟損失，同時也嚴重威脅到了個人信息安全。近幾年企業(yè)內(nèi)部威脅事故時有發(fā)生，已成為了企業(yè)安全管理的重要內(nèi)容。

2.增強網(wǎng)絡(luò)防護的有效措施

2.1防火墻技術(shù)

防火墻技術(shù)是當前應(yīng)用最為廣泛的一種網(wǎng)絡(luò)安全防護技術(shù)，該技術(shù)的作用是控制網(wǎng)絡(luò)訪問，阻止非法進入內(nèi)網(wǎng)，從而對內(nèi)網(wǎng)資源進行保護。防火墻會對傳輸?shù)臄?shù)據(jù)包以及數(shù)據(jù)包中的信息進行逐一檢測，確保其中的數(shù)據(jù)滿足計算機系統(tǒng)的訪問控制規(guī)則（目標端口、源端口、源地址等），如果滿足，則允許通過，若不滿足則會將數(shù)據(jù)包丟棄。當前已有的防火墻技術(shù)主要有三種包過濾防火墻、狀態(tài)監(jiān)測防火墻和應(yīng)用代理防火墻三種。包過濾防火墻是通過對數(shù)據(jù)包中的信息進行匹配，實現(xiàn)對內(nèi)網(wǎng)資源的保護；狀態(tài)監(jiān)測防火墻除了具有包過濾防火墻的功能外，還會對監(jiān)測表的狀態(tài)進行檢測；而應(yīng)用代理防火墻則是通過代理服務(wù)器先對即將訪問的客戶端進行檢測，完成數(shù)據(jù)包信息的匹配，然后再根據(jù)數(shù)據(jù)信息的匹配結(jié)果決定是否可以訪問服務(wù)器。防火墻技術(shù)的缺陷在于無法阻止內(nèi)部網(wǎng)絡(luò)用戶造成的威脅，也無法有效地阻止傳送攜帶病毒的文件和程序。
2.2入侵檢測技術(shù)

入侵檢測技術(shù)屬于一種新興的計算機安全防護技術(shù)，該技術(shù)是對數(shù)據(jù)加密和防火墻等傳統(tǒng)技術(shù)的補充。入侵檢測技術(shù)作用的發(fā)揮通常需要信息收集、分析和結(jié)果處理三個步驟。首先是對計算機網(wǎng)絡(luò)、運行系統(tǒng)等數(shù)據(jù)信息進行收集，包括正在運行的程序、文檔、網(wǎng)絡(luò)系統(tǒng)的日志文件等。其次，對所收集到的信息進行分析處理，檢測出這些信息是否存在異常情況，同時將檢測的報告?zhèn)魉徒o控制臺。最后，根據(jù)告警信息，控制臺將采取相應(yīng)的防護措施，比如改變文件屬性、切斷內(nèi)網(wǎng)與外網(wǎng)間的聯(lián)系、終止進程以及重新設(shè)置路由器和防火墻。

2.3防病毒技術(shù)

就是監(jiān)測計算機系統(tǒng)是否存在異常請求與非法操作的一項安全技術(shù)，一旦發(fā)現(xiàn)系統(tǒng)有安全隱患或病毒特征碼的資源，就會立即報警，然后通過清除或隔離的方式，來降低病毒對計算機系統(tǒng)的干擾。不管是單機型系統(tǒng)或網(wǎng)絡(luò)型防病毒軟件，都具有自動更新病毒數(shù)據(jù)庫、檢測并清除病毒等功能。安裝防病毒軟件后，可以實現(xiàn)定時查殺病毒軟件、定時更新病毒庫、實時監(jiān)測并保護計算機系統(tǒng)，從而有效降低病毒軟件的影響。

2.4漏洞掃描技術(shù)

漏洞掃描技術(shù)是通過檢測并收集目標主機請求，然后將收集的信息與數(shù)據(jù)庫逐一匹配，從而找出目標主機脆弱性的檢測技術(shù)。通過漏洞掃描技術(shù)能夠?qū)崿F(xiàn)定位、分析目標系統(tǒng)的漏洞與安全隱患，以便網(wǎng)絡(luò)管理者進行修復(fù)，同時還能定期進行安全評估，有效避免病毒入侵，實現(xiàn)防護、修復(fù)功能，形成多層安全保護體系，有效降低了系統(tǒng)被攻擊的危險，提高了網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。

2.5采用數(shù)據(jù)加密技術(shù)

通過加密技術(shù)來避免計算機數(shù)據(jù)丟失。數(shù)據(jù)加密技術(shù)主要確保計算機系統(tǒng)內(nèi)的口令、文件以及數(shù)據(jù)等的安全。數(shù)據(jù)加密的對象主要是網(wǎng)絡(luò)傳輸中的數(shù)據(jù)流。一般采用的方法有：端對端與線路加密兩種。其中端對端加密就是設(shè)置用戶權(quán)限、區(qū)分用戶資格，避免用戶非法存取數(shù)據(jù)，這一技術(shù)通常用于網(wǎng)絡(luò)操作系統(tǒng)以及NT技術(shù)中，在系統(tǒng)中可以設(shè)置用戶權(quán)限，以達到保護計算機數(shù)據(jù)，避免信息泄露的目的。線路加密則是通過加密模塊或加密法轉(zhuǎn)換等方法實現(xiàn)，側(cè)重的是對線路的加密，不考慮信源和信終，是對傳輸信息通過加密密匙來實現(xiàn)安全保護。此外還有數(shù)據(jù)存儲加密，這種加密技術(shù)側(cè)重的是存儲過程的保護，避免數(shù)據(jù)信息在存儲環(huán)節(jié)上失密，其中又分為存取控制和密文存取。

結(jié)語：

總之，計算機網(wǎng)絡(luò)系統(tǒng)安全問題是一項綜合性的課題，需要綜合考慮用戶實際需求以及網(wǎng)絡(luò)安全需求，結(jié)合實際情況合理選用網(wǎng)絡(luò)防護技術(shù)，管理者也要積極配合，進而形成一套完善的安全防護系統(tǒng)，有效避免了外來病毒的侵害，從而更好的服務(wù)于社會各個行業(yè)。

參考文獻：

[1]姚相振.2015年RSA大會網(wǎng)絡(luò)安全熱點議題[J].信息技術(shù)與標準化,2015(06):11-13.[2]王紅梅,宗慧娟,王愛民.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].價值工程,2015(01):209-210.[3]張建華.關(guān)于計算機網(wǎng)絡(luò)安全防護技術(shù)的探討[J].計算機光盤軟件與應(yīng)用，2014,12(26):5628-5629.

第四篇：淺析計算機網(wǎng)絡(luò)安全防護措施

淺析計算機網(wǎng)絡(luò)安全防護措施

摘要：計算機網(wǎng)絡(luò)由于其特有的性質(zhì)使其容易受到黑客的攻擊，這也給網(wǎng)絡(luò)安全防護提出了新的要求。本文從計算機網(wǎng)絡(luò)安全的現(xiàn)狀入手，探討了其目前存在的問題，并提出了相應(yīng)的安全技術(shù)措施以抵御黑客的攻擊，文章還針對幾個常見的網(wǎng)絡(luò)攻擊，提出了防護措施及合理化建議，希望能對加強計算機網(wǎng)絡(luò)安全起到一定的作用。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；防護措施；木馬；病毒；攻擊；安全概論

計算機網(wǎng)絡(luò)的快速迅猛發(fā)展，給人們的日常生活帶來了深遠的影響。隨著人們對計算機網(wǎng)絡(luò)的不斷使用。網(wǎng)絡(luò)的安全性已經(jīng)變得越來越重要。各種電腦病毒造成的大規(guī)模網(wǎng)絡(luò)安全攻擊事件給全球的互聯(lián)網(wǎng)和軍事情報網(wǎng)、商業(yè)帶來了重大沖擊，網(wǎng)絡(luò)病毒傳播速度之快及其破壞力之大和影響范圍之廣都遠遠超過以往沒有計算機網(wǎng)絡(luò)的時代。計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，打破了傳統(tǒng)意義上的信息傳遞概念，是一種跨時代的飛躍。相對的，計算機網(wǎng)絡(luò)的安全性也至關(guān)重要，所以，各種保密手段和防黑客技術(shù)也在新的世紀得到突飛猛進的進展。掌握一定的網(wǎng)絡(luò)安全防護技術(shù)已經(jīng)變得相當重要。網(wǎng)絡(luò)安全定義

網(wǎng)絡(luò)安全牽扯到多種學(xué)科的多個方面，采用各種技術(shù)手段，使網(wǎng)絡(luò)系統(tǒng)中的軟硬件和信息數(shù)據(jù)等受到全面監(jiān)護，從而不會被盜取，維持網(wǎng)絡(luò)數(shù)據(jù)的完整性。計算機網(wǎng)絡(luò)安全現(xiàn)狀

3.1 惡意代碼。如今惡意代碼問題主要體現(xiàn)在政治、經(jīng)濟和軍事上，已經(jīng)成為網(wǎng)絡(luò)安全面臨的當務(wù)之急。通過系統(tǒng)漏洞、電子郵件等多種手段惡意代碼在主機間大量相互傳播，給國家和社會造成巨大的經(jīng)濟損失、安全危機和利益損害。

3.2 安全漏洞。操作系統(tǒng)和各種應(yīng)用程序的漏洞花樣繁多并且層出不窮，使得黑客攻擊得得心應(yīng)手，任何系統(tǒng)都有漏洞，攻擊者們可以方便地從新聞組獲取程序漏洞進行攻擊。

3.3 黑客利用合法管理工具。用來改進系統(tǒng)管理及服務(wù)質(zhì)量的電腦上存在的一些工具軟件。本意是用來改進系統(tǒng)管理狀態(tài)，但也會被黑客們用來收集非法信息及加強攻擊力度。4 網(wǎng)絡(luò)安全相關(guān)技術(shù)

4.1 防火墻技術(shù)。防火墻網(wǎng)絡(luò)安全的重要保護依靠，是21世紀新興的網(wǎng)絡(luò)安全保護措施，為保證安全上網(wǎng)及信息不外泄，人們普遍采用為計算機配置防火墻的辦法來保證網(wǎng)絡(luò)安全。通過軟件、硬件相補充，防火墻能在內(nèi)外網(wǎng)之間搭建起一個“保護膜”，與電腦進行交互的各種通信都必須在此保護膜進行檢查過濾，木馬、病毒及可疑信息被屏蔽掉，可信信息可通過保護膜進行通信。

防火墻的作用主要有以下四點：（1）對通過它與電腦進行交互的網(wǎng)絡(luò)信息進行檢查并過濾掃描，將病毒、木馬攻擊過濾掉；（2）關(guān)閉不使用的端口，禁止特定端口的輸出信息；（3）禁止來自特殊站點的訪問，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問：（4）控制網(wǎng)絡(luò)內(nèi)部人員對網(wǎng)絡(luò)特殊站點的訪問。

4.2 計算機病毒防治技術(shù)。（1）殺毒軟件：是用于消除病毒、伊木馬和惡意軟件的一類

軟件。具有監(jiān)控識別、病毒掃描清除和自動升級等功能，是計算機防御系統(tǒng)的重要組成部分。網(wǎng)絡(luò)版殺毒軟件可以對局域網(wǎng)內(nèi)所有計算機進行病毒查殺，保證局域網(wǎng)系統(tǒng)安全。（2）防毒墻：傳統(tǒng)防火墻不能滿足企業(yè)安全防護的需要，而防毒墻作為一類高端殺毒設(shè)備，適合于大型網(wǎng)絡(luò)，在網(wǎng)關(guān)處進行查毒作業(yè)。目前比較知名的防毒墻有卡巴斯基、瑞星、驅(qū)逐艦、cp防毒墻。

4.3 入侵檢測技術(shù)。入侵檢測是指通過從計算機網(wǎng)絡(luò)或主機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，通過對網(wǎng)絡(luò)傳輸?shù)谋O(jiān)控，檢測網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭受襲擊的跡象，并對此進行日志記錄和采取相應(yīng)措施，使病毒無法進入個人用戶計算機，避免信息丟失的一種安全技術(shù)。

作為一種積極主動的安全防護技術(shù)，入侵檢測技術(shù)提供了對內(nèi)外攻擊和誤操作的實時保護，極大地方便了網(wǎng)絡(luò)管理，盡管目前在技術(shù)上仍有許多為克服的問題，但隨著科學(xué)技術(shù)的發(fā)展，入侵檢測技術(shù)也會不斷成熟更新。

4.4 漏洞掃描技術(shù)。所謂漏洞掃描技術(shù)，是利用系統(tǒng)自動檢測本地計算機或者遠程主機安全缺口的技術(shù)。它主要是通過安全掃描程序具體實現(xiàn)的，可以迅速且準確得在較大范圍內(nèi)發(fā)現(xiàn)系統(tǒng)的薄弱環(huán)節(jié)，在黑客攻擊之前發(fā)現(xiàn)并修補漏洞。

4.5 密碼技術(shù)。密碼技術(shù)是基于密碼學(xué)的原理上發(fā)展起來的，其中密碼體制是密碼技術(shù)中最為核心的一個概念。一個密碼體制被定義為一對數(shù)據(jù)變換。對稱密碼體制的特征是用于加密和解密的密鑰是一樣的或相互容易推出。常見的網(wǎng)絡(luò)攻擊及其防范對策

5.1 特洛伊木馬。特洛伊木馬程序在個人電腦中隱藏一個會在系統(tǒng)啟動時自動運行的程序，用戶在上網(wǎng)時，木馬便可以控制你的電腦。該程序是一段額外的惡意操作編碼，附加在正常程序中。含有木馬的程序在執(zhí)行時，實際上暗地執(zhí)行了用戶不希望的程序。該木馬生命力非常頑強，它能夠不斷復(fù)制并插入到未被感染的程序中，逐漸使電腦癱瘓，黑客通過特洛伊木馬讀寫沒有授權(quán)的文件，并可以獲得計算機的掌控權(quán)。

避免在程序中隱藏特洛伊木馬的主要方法是，對新生成的文件進行數(shù)字簽名，然后通過對運行文件的數(shù)字簽名的檢查來判斷文件是否被植入木馬。對發(fā)現(xiàn)的木馬通過編輯win.ini文件更改木馬文件，檢查注冊表，并在注冊表中將木馬程序刪除；若下載到可疑程序后應(yīng)該立即拒絕執(zhí)行，運用殺毒軟件查殺完以后再運行。另外，用戶不要隨便從網(wǎng)站上下載軟件，經(jīng)常檢查自己的系統(tǒng)文件、注冊表，提高自己的網(wǎng)絡(luò)安全意識。

5.2 郵件炸彈。電子郵件炸彈是發(fā)信人通過匿名的電子郵件地址，不斷重復(fù)性的將電子郵件郵寄給同一個郵箱地址，就像是戰(zhàn)爭時期用某個戰(zhàn)爭工具對同一地方進行瘋狂攻擊，因此被稱作郵件炸彈。通過電郵炸彈，黑客將被攻擊者的電子郵箱全部用垃圾郵件占滿，造成郵件服務(wù)器拒絕響應(yīng)請求或執(zhí)行任務(wù)服務(wù)，造成網(wǎng)絡(luò)連接丟失、系統(tǒng)崩潰。

避免郵件炸彈的一個簡單實現(xiàn)就是，在以太網(wǎng)中安置一個嗅探器（Sniffer），借助嗅探器管理人員可以診斷出大量單個主機需不斷不可見的問題；通過路由器的配置，選擇性獲取電子郵件。

5.3 過載攻擊。過載攻擊是黑客攻擊者通過服務(wù)器發(fā)出大量無用請求，在過載攻擊中，一個共享的資源或者服務(wù)由于需要處理大量的請求，以至于無法滿足從其他用戶到來的請求。

防止過載攻擊的措施主要有：手動殺死一些耗時的進程；限制單一用戶所使用的進程的最大數(shù)量。但是都存在負面作用，兩種方法都會使用戶的正常的請求得不到電腦系統(tǒng)的正常響應(yīng)。電腦系統(tǒng)管理人員可以使用網(wǎng)絡(luò)地址列表和監(jiān)視工具來發(fā)現(xiàn)過載攻擊，也可以通過路由器或前面介紹的防火墻來發(fā)現(xiàn)攻擊來源；在公共資源中，劃分計算機中的資源，限制單個用戶的使用量。結(jié)語

隨著計算機在人類生活中的廣泛應(yīng)用，越來越多的計算機病毒傳播、計算機網(wǎng)絡(luò)非法入侵事件、計算機信息數(shù)據(jù)丟失問題造成巨大的國民經(jīng)濟損失，甚至危害國家的安全。因此網(wǎng)絡(luò)安全問題已經(jīng)受到人們的普遍重視，由此帶來的工種問題必須給予及時的解決。網(wǎng)絡(luò)安全不能僅僅依靠殺毒防毒技術(shù)發(fā)展。在研究技術(shù)的同時，電腦使用者也要加強網(wǎng)絡(luò)安全防范措施，增加網(wǎng)絡(luò)安全教育，提高安全意識。避免因為自己的失誤，造成一些不必要的損失。

第五篇：·網(wǎng)絡(luò)安全與防護

摘要： 隨著互聯(lián)網(wǎng)技術(shù)以及信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全技術(shù)已經(jīng)影響到社會的政治、經(jīng)濟、文化和軍事等各個領(lǐng)域。網(wǎng)絡(luò)技術(shù)的成熟使得網(wǎng)絡(luò)連接更加容易，人們在享受網(wǎng)絡(luò)帶來便利的同時，網(wǎng)絡(luò)的安全也日益受到威脅。安全性是互聯(lián)網(wǎng)技術(shù)中很關(guān)鍵的也是很容易被忽略的問題。曾經(jīng)，許多的組織因為在使用網(wǎng)絡(luò)的過程中未曾意識到網(wǎng)絡(luò)安全性的問題，直到受到了資料安全的威脅，才開始重視和采取相應(yīng)的措施?？梢耘e例我們身邊的例子，如網(wǎng)上銀行。用戶可能沒有意識到網(wǎng)絡(luò)存在木馬程序的現(xiàn)象，未經(jīng)檢查軟件的安全性就放心使用，其結(jié)果自然是損失慘重了。故此，在網(wǎng)絡(luò)廣泛使用的今天，我們更應(yīng)該了解網(wǎng)絡(luò)安全，做好防范措施，做好網(wǎng)絡(luò)信息的保密性、完整性和可用性。

關(guān)鍵詞：網(wǎng)絡(luò)；安全；防范

引言

現(xiàn)今這個高速信息化的時代里，網(wǎng)絡(luò)作為計算機技術(shù)發(fā)

展到一定階段的必然產(chǎn)物，在生產(chǎn)生活中越來越發(fā)揮出主導(dǎo)和支配性作用。網(wǎng)絡(luò)的開放性和共享性在方便人們交換信息的同時，多節(jié)點的結(jié)構(gòu)使網(wǎng)絡(luò)也越來越容易受到攻擊。因此，網(wǎng)絡(luò)和信息安全技術(shù)也越來越受到人們的重視。

如何才能解決網(wǎng)絡(luò)安全問題，避免網(wǎng)絡(luò)環(huán)境遭到攻擊，使網(wǎng)絡(luò)得到良性發(fā)展，我們就要了解目前網(wǎng)絡(luò)安全可能存在的各種安全風險、網(wǎng)絡(luò)安全防范的定義和范圍以及在網(wǎng)絡(luò)環(huán)境下如何應(yīng)對這些不可控的風險。

1網(wǎng)絡(luò)安全的含義及特征

1.1 含義網(wǎng)絡(luò)安全是指：為保護網(wǎng)絡(luò)免受侵害而采取的措施的總和。當正確的采用網(wǎng)絡(luò)安全措施時，能使網(wǎng)絡(luò)得到保護，正常運行。

網(wǎng)絡(luò)安全的內(nèi)容遠不只是防范黑客和病毒，它包括著廣泛的規(guī)則和慣例。網(wǎng)絡(luò)的安全內(nèi)容由數(shù)據(jù)的安全性和通信的安全性內(nèi)容組成。數(shù)據(jù)的安全性具體內(nèi)容包括阻止對數(shù)據(jù)的非授權(quán)的訪問、轉(zhuǎn)移、修改和破壞。通信的安全性要求在通信中采用保密安全性、傳輸安全性、輻射安全性等措施，并且要求對通信安全性信息采用物理安全性措施。

1.2 特征網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：①機密性：是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個層次都存在著不同的機密性，因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層，要保護系統(tǒng)實體的信息外露，在運行層面，保證能夠為授權(quán)使用者正常的使用，并對非授權(quán)的人禁止使用，并有防范黑客，病毒等的惡行攻擊能力。②完整性：是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。③可用性：是指授權(quán)的用戶能夠正常的按照順序使用的特征，也就是能夠保證授權(quán)使用者在需要的時候可以訪問并查詢資料。在物理層，要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得發(fā)布者無法否認所發(fā)布的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名。

2網(wǎng)絡(luò)安全現(xiàn)狀分析

網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當初設(shè)計網(wǎng)絡(luò)的初衷大相徑庭，安全問題已經(jīng)擺在了非常重要的位置上，安全問題如果不能解決，會嚴重地影響到網(wǎng)絡(luò)的應(yīng)用。網(wǎng)絡(luò)信息具有很多不利于網(wǎng)絡(luò)安全的特性，例如網(wǎng)絡(luò)的互聯(lián)性，共享性，開放性等，現(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明目前網(wǎng)絡(luò)安全形勢嚴峻，不法分子的手段越來越先進，系統(tǒng)的安全漏洞往往給他們可趁之機，因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整

性和可用性。目前我國的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問題，還不夠健全不夠完善不夠安全。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。3網(wǎng)絡(luò)安全解決方案

要解決網(wǎng)絡(luò)安全，首先要明確實現(xiàn)目標：①身份真實性：對通信實體身份的真實性進行識別。②信息機密性：保證機密信息不會泄露給非授權(quán)的人或?qū)嶓w。③信息完整性：保證數(shù)據(jù)的一致性，防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進行任何破壞。④服務(wù)可用性：防止合法擁護對信息和資源的使用被不當?shù)木芙^。⑤不可否認性：建立有效的責任機智，防止實體否認其行為。⑥系統(tǒng)可控性：能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性：在滿足安全要求的條件下，系統(tǒng)應(yīng)該操作簡單、維護方便。⑧可審查性：對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

4網(wǎng)絡(luò)安全是一項動態(tài)、整體的系統(tǒng)工程。

網(wǎng)絡(luò)安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡(luò)的安全性。從實際操作的角度出發(fā)網(wǎng)絡(luò)安全應(yīng)關(guān)注以下技術(shù)：

①防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗，對計算機系統(tǒng)安全威脅也最大，做好防護至關(guān)重要。應(yīng)采取全方位的企業(yè)防毒產(chǎn)品，實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。②防火墻技術(shù)。通常是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合（包括硬件和軟件）。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。③入侵檢測技術(shù)。入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)控，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點審計；識別反映已進攻的活動規(guī)模并報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。④安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)三者相互配合，對網(wǎng)絡(luò)安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡(luò)的掃描，能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個整體的評價，并得出網(wǎng)絡(luò)安全風險級別，還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞，并自動修補。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，做到防患于未然。⑤網(wǎng)絡(luò)安全緊急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生變化。隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負責，防范安全突發(fā)事件。⑥安全加密技術(shù)。加密技術(shù)的出現(xiàn)為全球電子商務(wù)提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。⑦網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。防火墻作為網(wǎng)絡(luò)的第一道防線并不能完全保護內(nèi)部網(wǎng)絡(luò)，必須結(jié)合其他措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機的操作系統(tǒng)安全和物理安全措施。按照級別從低到高，分別是主機系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時主機安全檢查和漏洞修補以及系統(tǒng)備份安全

作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線，主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線，用來遭受攻擊之后進行系統(tǒng)恢復(fù)。在防火墻和主機安全措施之后，是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機構(gòu)成的整體安全檢查和反應(yīng)措施。它從網(wǎng)絡(luò)系統(tǒng)中的防火墻、網(wǎng)絡(luò)主機甚至直接從網(wǎng)絡(luò)鏈路層上提取網(wǎng)絡(luò)狀態(tài)信息，作為輸人提供給入侵檢測子系統(tǒng)。入侵檢測子系統(tǒng)根據(jù)一定的規(guī)則判斷是否有入侵事件發(fā)生，如果有入侵發(fā)生，則啟動應(yīng)急處理措施，并產(chǎn)生警告信息。而且，系統(tǒng)的安全審計還可以作為以后對攻擊行為和后果進行處理、對系統(tǒng)安全策略進行改進的信息來源。

5結(jié)語

總之，網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會各個領(lǐng)域，人類社會各種活動對計算機網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。增強社會安全意識教育，普及計算機網(wǎng)絡(luò)安全教育，提高計算機網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當務(wù)之急。參考文獻：

[1]黃怡強等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢,2002(01).[2]胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社,2001.[3]朱理森，張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻出版社，2001.[4]張世永．網(wǎng)絡(luò)安全原理與應(yīng)用[M]．出版社．

[5]李明之．網(wǎng)絡(luò)安全與數(shù)據(jù)完整性指南[M]．機械出版社．