第一篇：淺談計算機網(wǎng)絡安全問題

1引言

隨著計算機網(wǎng)絡技術的發(fā)展，網(wǎng)絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網(wǎng)絡系統(tǒng)能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡的安全性和可靠性問題，是保證網(wǎng)絡正常運行的前提和保障。

2網(wǎng)絡安全的重要性

在信息化飛速發(fā)展的今天，計算機網(wǎng)絡得到了廣泛應用，但隨著網(wǎng)絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。根據(jù)美國FBI（美國聯(lián)邦調查局）的調查，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領域的計算機系統(tǒng)的安全問題所造成的經(jīng)濟損失金額已高達數(shù)億元，針對其他行業(yè)的網(wǎng)絡安全威脅也時有發(fā)生。

由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。

3網(wǎng)絡安全的理論基礎

國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統(tǒng)要保護其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區(qū)分和解決計算機網(wǎng)絡安全問題，美國國防部公布了“桔皮書”（orange book，正式名稱為“可信計算機系統(tǒng)標準評估準則”），對多用戶計算機系統(tǒng)安全級別的劃分進行了規(guī)定。

桔皮書將計算機安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護能力的等級，B3和A1屬于最高安全等級。

D1級：計算機安全的最低一級，不要求用戶進行用戶登錄和密碼保護，任何人都可以使用，整個系統(tǒng)是不可信任的，硬件軟件都易被侵襲。

C1級：自主安全保護級，要求硬件有一定的安全級（如計算機帶鎖），用戶必須通過登錄認證方可使用系統(tǒng)，并建立了訪問許可權限機制。

C2級：受控存取保護級，比C1級增加了幾個特性：引進了受控訪問環(huán)境，進一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權分級使系統(tǒng)管理員給用戶分組，授予他們訪問某些程序和分級目錄的權限；采用系統(tǒng)審計，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。

B1級：標記安全保護級，對網(wǎng)絡上每個對象都予實施保護；支持多級安全，對網(wǎng)絡、應用程序工作站實施不同的安全策略；對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權限。

B2級：結構化保護級，對網(wǎng)絡和計算機系統(tǒng)中所有對象都加以定義，給一個標簽；為工作站、終端等設備分配不同的安全級別；按最小特權原則取消權力無限大的特權用戶。

B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡系統(tǒng)內部的主機上；采用硬件來保護系統(tǒng)的數(shù)據(jù)存儲區(qū)；根據(jù)最小特權原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責分離，將人為因素對計算機安全的威脅減至最小。A1級：驗證設計級，是計算機安全級中最高一級，本級包括了以上各級別的所有措施，并附加了一個安全系統(tǒng)的受監(jiān)視設計；合格的個體必須經(jīng)過分析并通過這一設計；所有構成系

統(tǒng)的部件的來源都必須有安全保證；還規(guī)定了將安全計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。

在網(wǎng)絡的具體設計過程中，應根據(jù)網(wǎng)絡總體規(guī)劃中提出的各項技術規(guī)范、設備類型、性能要求以及經(jīng)費等，綜合考慮來確定一個比較合理、性能較高的網(wǎng)絡安全級別，從而實現(xiàn)網(wǎng)絡的安全性和可靠性。

4網(wǎng)絡安全應具備的功能

為了能更好地適應信息技術的發(fā)展，計算機網(wǎng)絡應用系統(tǒng)必須具備以下功能：

（1）訪問控制：通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。

（3）攻擊監(jiān)控：通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

（8）設立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務。5網(wǎng)絡系統(tǒng)安全綜合解決措施

要想實現(xiàn)網(wǎng)絡安全功能，應對網(wǎng)絡系統(tǒng)進行全方位防范，從而制定出比較合理的網(wǎng)絡安全體系結構。下面就網(wǎng)絡系統(tǒng)的安全問題，提出一些防范措施。

5.1物理安全

物理安全可以分為兩個方面：一是人為對網(wǎng)絡的損害；二是網(wǎng)絡對使用者的危害。

最常見的是施工人員由于對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標志牌加以防范；未采用結構化布線的網(wǎng)絡經(jīng)常會出現(xiàn)使用者對電纜的損壞，這就需要盡量采用結構化布線來安裝網(wǎng)絡；人為或自然災害的影響，需在規(guī)劃設計時加以考慮。

網(wǎng)絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全

訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍之內。網(wǎng)絡的訪問控制安全可以從以下幾個方面考慮。

（1）口令

網(wǎng)絡安全系統(tǒng)的最外層防線就是網(wǎng)絡用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統(tǒng)。

（2）網(wǎng)絡資源屬主、屬性和訪問權限

網(wǎng)絡資源主要包括共享文件、共享打印機、網(wǎng)絡通信設備等網(wǎng)絡用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權限主要體現(xiàn)在用戶對網(wǎng)絡資源的可用程度上。利用指定網(wǎng)絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網(wǎng)絡系統(tǒng)的安全性。

（3）網(wǎng)絡安全監(jiān)視

網(wǎng)絡監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對整個網(wǎng)絡的運行進行動態(tài)地監(jiān)視并及時處理各種事件。通過網(wǎng)絡監(jiān)視可以簡單明了地找出并解決網(wǎng)絡上的安全問題，如定位網(wǎng)絡故障點、捉

住IP盜用者、控制網(wǎng)絡訪問范圍等。

（4）審計和跟蹤

網(wǎng)絡的審計和跟蹤包括對網(wǎng)絡資源的使用、網(wǎng)絡故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對記錄進行分析和統(tǒng)計，從而找出問題所在。

5.3數(shù)據(jù)傳輸安全

傳輸安全要求保護網(wǎng)絡上被傳輸?shù)男畔ⅲ苑乐贡粍拥睾椭鲃拥厍址?。對?shù)據(jù)傳輸安全可以采取如下措施：

（1）加密與數(shù)字簽名

任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實。網(wǎng)絡上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡傳輸期間保持加密狀態(tài)；第三層是應用層上的加密，讓網(wǎng)絡應用程序對數(shù)據(jù)進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全性和可靠性。

數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。

（2）防火墻

防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測網(wǎng)絡內外信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。

（3）User Name/Password認證

該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監(jiān)聽和解密。

（4）使用摘要算法的認證

Radius（遠程撥號認證協(xié)議）、OSPF（開放路由協(xié)議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進行認證，但摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網(wǎng)絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。

（5）基于PKI的認證

使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

（6）虛擬專用網(wǎng)絡（VPN）技術

VPN技術主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

VPN技術的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上實現(xiàn)安全通信，它采用復雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會被竊聽。其處理過程大體是這樣：

① 要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備；

② VPN設備根據(jù)網(wǎng)管設置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。③ 對需要加密的數(shù)據(jù)，VPN設備對整個數(shù)據(jù)包進行加密和附上數(shù)字簽名。

④ VPN設備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。

⑤ VPN設備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。

⑥ 當數(shù)據(jù)包到達目標VPN設備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。

綜上所述，對于計算機網(wǎng)絡傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點。第一，應嚴格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務器上設置NetScreen防火墻來實現(xiàn)。第二，應加強對上網(wǎng)用戶的身份認證，使用RADIUS等專用身份驗證服務器。一方面，可以實現(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第二篇：計算機網(wǎng)絡安全問題淺析論文

畢業(yè)論文

論文題目： 計算機網(wǎng)絡安全問題淺析

專 業(yè)： 計算機信息管理 作 者： 韓子厚 學 校： 天津城市建設管理職業(yè)技術學院 指導教師：

2011年 月 日

目錄

內容摘要.............................................................2 計算機網(wǎng)絡安全.......................................................3

第一章 方案目標......................................................3 第二章 安全需求......................................................3 第三章 風險分析......................................................4 第四章 解決方案......................................................4 參考文獻............................................................11 致謝................................................................12

內容摘要

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。

關鍵詞 互聯(lián)網(wǎng) 網(wǎng)絡安全 遠程服務 編程 數(shù)據(jù)

計算機網(wǎng)絡安全

第一章 方案目標

本方案主要從網(wǎng)絡層次考慮，將網(wǎng)絡系統(tǒng)設計成一個支持各級別用戶或用戶群的安全網(wǎng)絡，該網(wǎng)在保證系統(tǒng)內部網(wǎng)絡安全的同時，還實現(xiàn)與Internet或國內其它網(wǎng)絡的安全互連。本方案在保證網(wǎng)絡安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術并不能杜絕所有的對網(wǎng)絡的侵擾和破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的破壞后將損失盡旦降低。具體地說，網(wǎng)絡安全技術主要作用有以下幾點：

1．采用多層防衛(wèi)手段，將受到侵擾和破壞的概率降到最低； 2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；

3．提供恢復被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。

網(wǎng)絡安全技術是實現(xiàn)安全管理的基礎，近年來，網(wǎng)絡安全技術得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實際內容。

第二章 安全需求

通過對網(wǎng)絡系統(tǒng)的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即，可用性： 授權實體有權訪問數(shù)據(jù)

機密性： 信息不暴露給未授權實體或進程 完整性： 保證數(shù)據(jù)不被未授權修改

可控性： 控制授權范圍內的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的內部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一。具體包括兩方面的內容，一是采用網(wǎng)絡監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡各種違規(guī)操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏

第三章 風險分析

網(wǎng)絡安全是網(wǎng)絡正常運行的前提。網(wǎng)絡安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡、系統(tǒng)、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自于何處。網(wǎng)絡安全系統(tǒng)必須包括技術和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡的中斷。根據(jù)國內網(wǎng)絡系統(tǒng)的網(wǎng)絡結構和應用情況，應當從網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全等方面進行全面地分析。

風險分析是網(wǎng)絡安全技術需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡中的消息和事件進行檢測，對系統(tǒng)受到侵擾和破壞的風險進行分析。風險分析必須包括網(wǎng)絡中所有有關的成分。

第四章 解決方案

4.1 設計原則

針對網(wǎng)絡系統(tǒng)實際情況，解決網(wǎng)絡的安全保密問題是當務之急，考慮技術難度及經(jīng)費等因素，設計時應遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； 4．盡量不影響原網(wǎng)絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展； 5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關管理部門的認可或認證；

7．分步實施原則：分級管理 分步實施。4.2 安全策略

針對上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術，對重要網(wǎng)絡設備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。

2．采用各種安全技術，構筑防御系統(tǒng)，主要有：

(1)防火墻技術：在網(wǎng)絡的對外接口，采用防火墻技術，在網(wǎng)絡層進行訪問控制。

(2)NAT技術：隱藏內部網(wǎng)絡信息。

(3)VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在，仿佛所有的機器都處于一個網(wǎng)絡之中。公共網(wǎng)絡似乎只由本網(wǎng)絡在獨占使用，而事實上并非如此。

(4）網(wǎng)絡加密技術(Ipsec)：采用網(wǎng)絡加密技術，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內網(wǎng)的安全問題。

(5)認證：提供基于身份的認證，并在各種認證機制中可選擇使用。(6)多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。

(7）網(wǎng)絡的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡進行監(jiān)測和預警，進一步提高網(wǎng)絡防御外來攻擊的能力。

3．實時響應與恢復：制定和完善安全管理制度，提高對網(wǎng)絡攻擊等實時響應與恢復能力。

4．建立分層管理和各級安全管理中心。4.3 防御系統(tǒng)

我們采用防火墻技術、NAT技術、VPN技術、網(wǎng)絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統(tǒng)、入侵檢測技術，構成網(wǎng)絡安全的防御系統(tǒng)。4.3.1 物理安全

物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

為保證信息網(wǎng)絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。

為保證網(wǎng)絡的正常運行，在物理安全方面應采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。2．運行安全方面：網(wǎng)絡中的設備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統(tǒng)，應設置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡系統(tǒng)所有網(wǎng)絡設備、計算機、安全設備的安全防護。4.3.2 防火墻技術

防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網(wǎng)絡和Internet之間地任何活動，保證了內部網(wǎng)絡地安全；在物

理實現(xiàn)上，防火墻是位于網(wǎng)絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結構：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機：雙穴主機是包過濾網(wǎng)關的一種替代。（3）主機過濾結構：這種結構實際上是包過濾和代理的結合。（4）屏蔽子網(wǎng)結構：這種防火墻是雙穴主機和被屏蔽主機的變形。根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉換—NAT、代理型和監(jiān)測型。4.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.3.2.2 網(wǎng)絡地址轉化—NAT 網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。在內部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內部網(wǎng)絡時，它并不知道內部網(wǎng)絡的連接情況，而只

是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。4.3.2.3 代理型

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網(wǎng)絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。

4.3.2.4 監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開

始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網(wǎng)關能夠有效地避免內部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。相關性：畢業(yè)論文,免費畢業(yè)論文,大學畢業(yè)論文,畢業(yè)論文模板 4.3.3 入侵檢測

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為

是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：

1．監(jiān)視、分析用戶及系統(tǒng)活動； 2．系統(tǒng)構造和弱點的審計；

3．識別反映已知進攻的活動模式并向相關人士報警； 4．異常行為模式的統(tǒng)計分析； 5．評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6．操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。4.4 安全服務

網(wǎng)絡是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡設備的調整，網(wǎng)絡配置的變化，各種操作系統(tǒng)、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡服務。包括：

4.4.1 通信伙伴認證

通信伙伴認證服務的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證。

通信伙伴認證服務可以通過加密機制，數(shù)字簽名機制以及認證機制實現(xiàn)。4.4.2 訪問控制

訪問控制服務的作用是保證只有被授權的用戶才能訪問網(wǎng)絡和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據(jù)授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對數(shù)據(jù)庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現(xiàn)。4.4.3 數(shù)據(jù)保密

數(shù)據(jù)保密服務的作用是防止數(shù)據(jù)被無權者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。

數(shù)據(jù)保密服務可以通過加密機制和路由控制機制實現(xiàn)。4.4.4 業(yè)務流分析保護

業(yè)務流分析保護服務的作用是防止通過分析業(yè)務流，來獲取業(yè)務量特征，信息長度以及信息源和目的地等信息。

業(yè)務流分析保護服務可以通過加密機制，偽裝業(yè)務流機制，路由控制機制實現(xiàn)。

4.4.5 數(shù)據(jù)完整性保護

數(shù)據(jù)完整性保護服務的作用是保護存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。數(shù)據(jù)完整性保護服務可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn) 4.4.6 簽字

簽字服務是用發(fā)送簽字的辦法來對信息的接收進行確認，以證明和承認信息是由簽字者發(fā)出或接收的。這個服務的作用在于避免通信雙方對信息的來源發(fā)生爭議。簽字服務通過數(shù)字簽名機制及公證機制實現(xiàn)。4.5 安全技術的研究現(xiàn)狀和動向

我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網(wǎng)絡安全技術基礎理論研究成果“計算機保密模型”（Beu& La padula模型）的基礎上，指定了“

可信計算機系統(tǒng)安全評估準則”（TCSEC），其后又制定了關于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結構的準則。

結論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從多方面描述了網(wǎng)絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡安全問題的解決，可以使讀者有對網(wǎng)絡安全技術的更深刻的了解。

參考文獻

[1] 韓希義, 計算機網(wǎng)絡基礎,北京高等教育出版社，2004 [2]徐敬東等, 計算機網(wǎng)絡, 北京清華大學出版社，2002

[3]沈輝等, 計算機網(wǎng)絡工程與實訓,北京清華大學出版社，2002 [4] 褚建立等, 計算機網(wǎng)絡技術實用教程,北京電子工業(yè)出版社，2003 [5] 劉化君, 計算機網(wǎng)絡原理與技術,北京電子工業(yè)出版社，2005 [6] 謝希仁, 計算機網(wǎng)絡, 北京電子工業(yè)出版社，1999 [7] 陸姚遠, 計算機網(wǎng)絡技術, 北京高等教育出版社，2000 [8] 劉習華等, 網(wǎng)絡工程,重慶大學出版社，2004 [9] 彭澎, 計算機網(wǎng)絡實用教程,北京電子工業(yè)出版社，2000 [10] 陳月波, 使用組網(wǎng)技術實訓教程,北京科學出版社，2003 致謝

本研究及學位論文是在我的導師 副教授的親切關懷和悉心指導下完成的。他嚴肅的科學態(tài)度，嚴謹?shù)闹螌W精神，精益求精的工作作風，深深地感染和激勵著我。從課題的選擇到項目的最終完成，鄭老師都始終給予我細心的指導和不懈的支持。兩年多來，鄭教授不僅在學業(yè)上給我以精心指導，同時還在思想、生活上給我以無微不至的關懷，在此謹向鄭老師致以誠摯的謝意和崇高的敬意。

在此，我還要感謝在一起愉快的度過研究生生活的 各位同門，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。特別感謝我的師妹葉秋香同學，她對本課題做了不少工作，給予我不少的幫助。

在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!

第三篇：計算機網(wǎng)絡安全問題分析

計算機網(wǎng)絡安全問題分析

鄭培紅 周剛

摘要: 計算機網(wǎng)絡安全問題已成為當今信息時代的研究熱點。當前的網(wǎng)絡存在著計算機病毒、計算機黑客攻擊等等問題。本文介紹了當前的計算機網(wǎng)絡面臨的威脅, 而后介紹到計算機網(wǎng)絡安全的特征, 最后給出幾點意見。

關鍵詞: 計算機網(wǎng)絡安全;黑客;病毒

一、引言 世紀全世界的計算機都將通過Internet 聯(lián)到一起, 信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范, 而且還從一種專門的領域變成了無處不在。當人類步入21 世紀這一信息社會、網(wǎng)絡社會的時候, 我國建立起一套完整的網(wǎng)絡安全體系, 特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。在當今網(wǎng)絡化的世界中, 網(wǎng)絡的開放性和共享性在方便了人們使用的同時, 也使得網(wǎng)絡很容易受到攻擊, 計算機信息和資源也很容易受到黑客的攻擊, 甚至是后果十分嚴重的攻擊, 諸如數(shù)據(jù)被人竊取, 服務器不能提供服務等等。因此, 網(wǎng)絡和信息安全技術也越來越受到人們的重視, 由此推動了入侵檢測、虛擬專用網(wǎng)、訪問控制、面向對象系統(tǒng)的安全等各種網(wǎng)絡、信息安全技術的蓬勃發(fā)展。

計算機網(wǎng)絡是計算機科學發(fā)展到一定階段的產(chǎn)物, 是由計算機系統(tǒng)和終端設備, 通過線路連接形成的, 實現(xiàn)了用戶遠程通信和資源的共享, 而且有較高的可靠性和擴展性。計算機網(wǎng)絡化是信息社會的主要標志之一。互聯(lián)網(wǎng)是通過TCP/IP 協(xié)議將各個不同地區(qū)及不同結構的計算機連接在一起組成的網(wǎng)絡形式。隨著互聯(lián)網(wǎng)用戶的不斷發(fā)展促進了信息交流, 然而，網(wǎng)絡的發(fā)展也帶來安全方面的問題, 例如網(wǎng)絡中使用的傳輸控制協(xié)議(TCP)、互聯(lián)網(wǎng)協(xié)議、IP、路由器等都會出現(xiàn)安全方面的問題, 需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機制和防護措施。

二、計算機網(wǎng)絡面臨的威脅

計算機網(wǎng)絡所面臨的威脅大體可分為兩種: 一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多, 針對網(wǎng)絡安全的威脅主要有以下幾種。

一是無意失誤。如操作員安全配置不當造成的安全漏洞, 用戶安全意識不強, 用戶口令選擇不慎, 用戶將自己的口令隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。二是人為的惡意攻擊。這是計算機網(wǎng)絡所面臨的最大威脅, 敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種: 一種是主動攻擊, 它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊, 它是在不影響網(wǎng)絡正常工作的情況下, 進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害, 并導致機密數(shù)據(jù)的泄漏。三是網(wǎng)絡軟件的漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的, 而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標, 經(jīng)常出現(xiàn)的黑客攻擊網(wǎng)絡內部的事件, 這些事件的大部分就是因為安全措施不完善所招致的苦果。

三、計算機網(wǎng)絡安全問題的特征

（一）網(wǎng)絡安全先天脆弱

計算機網(wǎng)絡安全系統(tǒng)的脆弱性是伴隨計算機網(wǎng)絡一同產(chǎn)生的, 換句話說, 安全系統(tǒng)脆弱是計算機網(wǎng)絡與生俱來的致命弱點。在網(wǎng)絡建設中, 網(wǎng)絡特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡更方便快捷, 又要保證網(wǎng)絡安全, 這是一個非常棘手的“兩難選擇”, 而網(wǎng)絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。因此, 可以說世界上任何一個計算機網(wǎng)絡都不是絕對安全的。

（二）黑客攻擊后果嚴重

近幾年, 黑客猖狂肆虐, 四面出擊, 使交通通訊網(wǎng)絡中斷, 軍事指揮系統(tǒng)失靈, 電力供水系統(tǒng)癱瘓, 銀行金融系統(tǒng)混亂--危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定, 在世界各國造成了難以估量的損。

（三）網(wǎng)絡殺手集團化

目前, 網(wǎng)絡殺手除了一般的黑客外, 還有一批具有高精尖技術的“專業(yè)殺手”, 更令人擔憂的是出現(xiàn)了具有集團性質的“網(wǎng)絡恐怖分子”甚至政府出面組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”, 其規(guī)?；?、專業(yè)性和破壞程度都使其他黑客望塵莫及?？梢哉f, 由政府組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”是當前網(wǎng)絡安全的最大隱患。目前, 美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡方式把病毒植入敵方計算機主機或各類傳感器、網(wǎng)橋中的研究以伺機破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡系統(tǒng)。另外, 為達到預定目的, 對出售給潛在敵手的計算機芯片進行暗中修改, 在CPU 中設置“芯片陷阱”, 可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作, 以起到“定時炸彈”的作用。

（三）破壞手段多元化

目前,“網(wǎng)絡恐怖分子”除了制造、傳播病毒軟件、設置“郵箱炸彈”, 更多的是采取借助工具軟件對網(wǎng)絡發(fā)動襲擊, 令其癱瘓或者盜用一些大型研究機構的服務器, 使用“拒絕服務”程序, 如TFN 和與之相近的程序等, 指揮它們向目標網(wǎng)站傳輸遠遠超出其帶寬容量的垃圾數(shù)據(jù), 從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網(wǎng)絡發(fā)起攻擊。而且, 黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上, 然后, 在電腦主人根本不知道的情況下“借刀殺人”?？傊? 影響網(wǎng)絡安全的兩大方面: 一是來自外部網(wǎng)絡的安全問題。二是來自內部網(wǎng)絡的安全問題。

四、加強計算機網(wǎng)絡的安全防范措施

（一）提高思想認識

近年來, 中國的網(wǎng)絡發(fā)展非常迅速, 同時, 中國的網(wǎng)絡安全也越來越引起人們的關注, 國家權威部門曾對國內網(wǎng)站的安全系統(tǒng)進行測試, 發(fā)現(xiàn)不少單位的計算機系統(tǒng)都存在安全漏洞, 有些單位還非常嚴重, 隨時可能被黑客入侵。當前, 世界各國對信息戰(zhàn)十分重視, 假如我們的網(wǎng)絡安全無法保證, 這勢必影響到國家政治、經(jīng)濟的安全。因此, 從思想上提高對計算機網(wǎng)絡安全重要性的認識,是我們當前的首要任務。

（二）健全管理制度

任何網(wǎng)站都不是絕對安全的, 值得一提的是, 當前一些單位在急忙趕搭“網(wǎng)絡快車”時, 只管好用, 不管安全, 這種短視必然帶來嚴重的惡果, 與“網(wǎng)絡恐怖分子”的較量是一場“沒有硝煙的戰(zhàn)爭”, 是高科技的較量, 是“硬碰硬”的較量。根據(jù)這一情況, 當前工作的重點, 一是要狠抓日常管理制度的落實, 要把安全管理制度落實到每一個環(huán)節(jié)中;二是要加強計算機從業(yè)人員的行業(yè)歸口管理, 對這些人員要強化安全教育和法制教育, 建立人員管理檔案并進行定期的檢查和培訓;三是要建立一支反黑客的“快速反應部隊”, 同時加快加緊培養(yǎng)高水平的網(wǎng)絡系統(tǒng)管理員, 并盡快掌握那些關鍵技術和管理知識。

（三）強化防范措施

一般來說, 影響計算機網(wǎng)絡安全的因素很多, 但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施: 1 切實保護電子郵件的安全

第一, 要做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。入網(wǎng)帳號與口令應該是需要保護的重中之重, 密碼要取得有技巧、有難度, 密碼最好能有多位數(shù), 且數(shù)字與字母相間, 中間還可以允許用特殊符號。對于比較重要的郵件地址不要隨便在網(wǎng)上暴露。第二, 將郵件信息加密處理。如使用A-LOCK, 在發(fā)送郵件之前對內容(復制到粘貼板上)進行加密。對方收到這種加密信件之后也必須用A-LOCK 來進行解密才能閱讀信件。即使有人截獲了郵件信息, 看到的也是一堆毫無意義的亂碼。第三, 防止郵件炸彈。下面介紹幾種對付電子郵件炸彈的方法: ① 過濾電子郵件。凡可疑的E-MAIL 盡量不要開啟: 如果懷疑信箱有炸彈, 可以用郵件程序的遠程郵箱管理功能來過濾信件, 如國產(chǎn)的郵件程序Foxmail。在進行郵箱的遠程管理時, 仔細檢查郵件頭信息, 如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件, 可以直接把它從郵件服務器上刪除。② 使用殺毒軟件。一是郵件有附件的話, 不管是誰發(fā)過來的, 也不管其內容是什么(即使是文檔, 也往往能成為病毒的潛伏場所, 像著名的Melissa), 都不要立即執(zhí)行, 而是先存盤, 然后用殺毒軟件檢查一番, 以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義, 讓你接受他們通過郵件附件推給你的軟件(多半是木馬S 端), 并以種種借口要求你立即執(zhí)行。對此, 凡是發(fā)過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。③ 使用轉信功能。用戶一般都有幾個E-mail 地址。最好申請一個容量較大的郵箱作為收信信箱。對于其它各種信箱, 最好支持轉信功能的, 并設置轉信到大信箱。所有其它郵件地址的信件都會自動轉寄到大信箱內, 可以很好地起到保護信箱的作用。第四, 申請郵件數(shù)字簽證。數(shù)字簽證不但能夠保護郵件的信息安全, 而且通過它可以確認信件的發(fā)送者。最后要注意對本地的已收發(fā)郵件進行相應的刪除處理。2 切實保障下載軟件的安全

對于網(wǎng)絡軟件, 需要指出的是: 一方面, 網(wǎng)上大多數(shù)的信息都是干凈的, 但也確實有一部分受到“污染”, 尤其是黑客和“網(wǎng)絡恐

怖分子”利用各種方法在網(wǎng)上擴散病毒、木馬等以制造混亂, 而且手段十分狡猾、隱蔽, 很容易中了他們的圈套。另一方面, 由于因特網(wǎng)的迅捷與無所不在, 各式病毒、木馬的傳播速度和傳播范圍達到了前所未有的程度。因此我們對下載軟件和接受的E-MAIL 決不可大意。下載軟件時應該注意:第一, 下載軟件應盡量選擇客流大的專業(yè)站點。大型的專業(yè)站點, 資金雄厚, 技術成熟, 水平較高, 信譽較佳, 大都有專人維護,安全性能好, 提供的軟件問題較少。相比之下, 那些小型的個人站點所提供的軟件出問題的機率較高。第二, 從網(wǎng)上下載來軟件要進行殺毒處理。對下載的任何軟件, 不要立即使用,WORD 文檔也不宜直接打開, 而應先用殺毒軟件檢測一番, 進行殺毒處理。殺毒軟件應當始終保持最新版本, 最好每月升級一次。第三, 防止染上“木馬”。一旦染上木馬后, 它就會給你的Windows 留下后門, 秘密監(jiān)視網(wǎng)絡信息, 一旦發(fā)現(xiàn)遠方控制指令, 就會秘密地予以回應, 可以讓遠方的控制者掌握對機器的完全控制權。此后在你完全不知的情況下, 遠方的侵入者可以隨時在因特網(wǎng)上無限制地訪問你的計算機, 因此它的危害是不言而喻的。最簡便有效的預防措施是, 避免啟動服務器端(S 端)。消除木馬的具體操作是, 首先拜訪注冊表, 獲取木馬的裝入信息, 找出S 端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉, 重新啟動計算機, 再將程序也刪掉。21 世紀人類步入信息社會后, 網(wǎng)絡安全技術成為信息網(wǎng)絡發(fā)展的關鍵技術, 信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡安全技術的有力保障, 才能形成社會發(fā)展的推動力。在我國, 信息網(wǎng)絡安全技術的研究和產(chǎn)品開發(fā)仍處于起步階段, 有大量的工作需要我們去研究、開發(fā)和探索。我們只有走有中國特色的防火墻技術發(fā)展之路, 以超常規(guī)的思路和超常規(guī)的措施, 趕上和超過發(fā)達國家的水平, 才能保證我國信息網(wǎng)絡的安全, 推動我國國民經(jīng)濟的高速發(fā)展。

第四篇：論當今計算機網(wǎng)絡安全問題

計算機網(wǎng)絡安全問題淺析

摘要：

隨著科技的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的各個領域之中，人們對計算機和網(wǎng)絡的應用和依賴程度愈來愈高，信息化的社會對互聯(lián)網(wǎng)的要求也越來越高，人們對計算機的使用，已不是簡單的運算，與此同時計算機網(wǎng)絡的問題也就凸現(xiàn)出來，計算機網(wǎng)絡安全問題，直接關系到一個國家的政治、軍事、經(jīng)濟等領域的安全和穩(wěn)定，因此，網(wǎng)絡安全是非常重要的問題，網(wǎng)絡安全問題成為了人們在使用計算機中越來越重視的問題。

關鍵詞：互聯(lián)網(wǎng) 計算機 網(wǎng)絡安全引言世紀的一些重要特征就是數(shù)字化、網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。網(wǎng)絡現(xiàn)已成為信息社會的命脈和發(fā)展知識經(jīng)濟的重要基礎。網(wǎng)絡是指“三網(wǎng)”，即電信網(wǎng)絡、有線電視網(wǎng)絡和計算機網(wǎng)絡。發(fā)展最快的并起到核心作用的是計算機網(wǎng)絡。因特網(wǎng)起源于美國現(xiàn)已發(fā)展成為世界上最大的國際性計算機互聯(lián)網(wǎng)，因特網(wǎng)又稱國際互聯(lián)網(wǎng)，是全球性的網(wǎng)絡，是一種公用信息的載體，是大眾傳媒的一種。具有快捷性、普及性，是現(xiàn)今最流行、最受歡迎的傳媒之一。這種大眾傳媒比以往的任何一種通訊媒體都要快?；ヂ?lián)網(wǎng)是由一些使用公用語言互相通信的計算機連接而成的網(wǎng)絡，即廣域網(wǎng)、局域網(wǎng)及單機按照一定的通訊協(xié)議組成的國際計算機網(wǎng)絡。

2計算機網(wǎng)絡安全

2.1 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)安全從其本質上來講就是互聯(lián)網(wǎng)上的信息安全。從廣義來說，凡是涉及到互聯(lián)網(wǎng)上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域?；ヂ?lián)網(wǎng)安全是一門涉及計算機科學、網(wǎng)絡技術、通

信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使網(wǎng)絡系統(tǒng)在穩(wěn) 定性和可擴充性方面受到影響。網(wǎng)絡硬件的配置不協(xié)調主要表現(xiàn)為一是文件服務 器，它是網(wǎng)絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質量；網(wǎng)絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而影響網(wǎng)絡的可靠性、擴充性和升級換代；二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定，許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員 濫用，從而給他人以可乘之機。資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者進行破壞提供了機會。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞，不合理的網(wǎng)絡設計會成為網(wǎng)絡安全的威脅。

2.2 計算機信息安全

信息系統(tǒng)安全的內容應包括兩個方面：物理安全和邏輯安全。物理安全指系 統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括確保信息的 完整性、保密性和可用性。在計算機網(wǎng)絡中，根據(jù)國際標準化組織 ISO 的定義，信息系統(tǒng)安全就是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計 算機的硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)能 夠連續(xù)可靠正常地運行，信息服務不中斷。

2.2.1 計算機信息安全問題的成因

第一，電磁信號的輻射。目前網(wǎng)絡通信中常用的傳輸電纜以及計算機、網(wǎng)絡 設備都會因為電磁屏蔽不完善而通過電磁輻射向外泄露。第二，工作環(huán)境的安全 漏洞。包括自身的體系結構問題、對特定網(wǎng)絡協(xié)議實現(xiàn)的錯誤以及系統(tǒng)開發(fā)過程 中遺留的后門和陷門。第三，人為的惡意攻擊。以各種方式有選擇地破壞信息的 有效性和完整性，對計算機網(wǎng)絡造成嚴重的危害，并導致機密數(shù)據(jù)的泄漏，這是 計算機網(wǎng)絡所面臨的最大威脅。第四，安全產(chǎn)品自身的問題。自身實現(xiàn)過程中的 安全漏洞或錯誤都將導致用戶內部網(wǎng)絡安全防范機制的失效。第五，網(wǎng)絡軟件的 缺陷和漏洞。

2.2.2 網(wǎng)絡安全缺陷產(chǎn)生的原因

第一，TCP/IP 的脆弱性。由于 TCP/IP 協(xié)議是公布于眾的，如果人們對 TCP/IP 很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。第二，網(wǎng)絡結構的不安全性。如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路 徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。人們普遍缺乏安全意識，使網(wǎng)絡中設置的安全保護屏 障形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的 PPP 連接從而避開了防火墻的保護。

3網(wǎng)絡安全的問題

3.1計算機網(wǎng)絡安全的威脅

網(wǎng)絡缺陷：正是由于 Internet 在全球范圍內的普及，使其保護信息安全存在 先天不足，缺乏相應的安全監(jiān)督機制。黑客攻擊：現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。各種病毒：病毒時時刻刻威脅著整個互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡的各個 環(huán)節(jié)考慮對于各種病毒的檢測防治。管理的欠缺及資源濫用：很多上互聯(lián)網(wǎng)的企業(yè)在管理上存在漏洞，對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施，同時企業(yè)內部普遍存在資源濫用現(xiàn)象，降低了員工的工作效率，這是造成網(wǎng)絡安全問題的根本原因。信息泄露：惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、集體和個人利益。

3.2 計算機網(wǎng)絡安全問題

計算機網(wǎng)絡受攻擊主要有六種形式：①內部竊密和破壞。②截收信息。③非法訪問。④利用 TCP/IP 協(xié)議上的某些不安全因素進行APR欺騙和IP欺騙攻擊。⑤病毒破壞。⑥其 它網(wǎng)絡攻擊方式。目前網(wǎng)絡環(huán)境中廣泛采用的TCP/IP協(xié)議，因為其開放性，故其本身就意味著一種安全風險。由于大量重要的應用程序都以TCP作為 它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡帶來嚴重的后果。網(wǎng)絡結構的安全問題。互聯(lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進行加密，因此黑客利 用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行破解，這就是互聯(lián)網(wǎng)所 固有的安全隱患。系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全 問題，因為對于防火墻來說，該入侵行為的訪問過程和正常的Web訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。4 計算機網(wǎng)絡安全防范

4.1 安全技術手段 物理措施：例如，保護網(wǎng)絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網(wǎng)絡安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡資源的權限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網(wǎng)絡設備配置的權限，等等。

數(shù)據(jù)加密：加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡病毒，安裝網(wǎng)絡防病毒系統(tǒng)。

其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術和防火墻技術等。數(shù)據(jù)加密是對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密，到達目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網(wǎng)絡的隔離和限制訪問等方法來控制網(wǎng)絡的訪問權限，從而保護網(wǎng)絡資源。其他安全技術包括密鑰管理、數(shù)字簽名、認證技術、智能卡技術和訪問控制等等。

4.2 防火墻技術

防火墻通過在網(wǎng)絡邊界上建立網(wǎng)絡安全監(jiān)測系統(tǒng)，對流經(jīng)它的網(wǎng)絡通信進行掃描，能夠 有效隔離內部和外部網(wǎng)絡，確定允許哪些內部服務訪問外部服務，以及允許哪些 外部服務訪問內部服務，以阻擋來自外部網(wǎng)絡的入侵和攻擊。現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng) 防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。

4.3 計算機網(wǎng)絡安全的相關技術

數(shù)據(jù)加密技術，加密技術是信息安全技術的核心，是一種主動的信息安全 防范措施，信息加密技術是其他安全技術的基礎，加密技術是指通過使用代碼或 密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的 不可理解的密文形式，對電子信息在傳輸過程中或存儲體內進行保護，以阻止信息泄露或盜取，從而確保信息的安全性。

入侵檢測技術，入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS 被認為是 防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前檢測到入侵 攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻 擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

防病毒技術，隨著計算機技術的不斷發(fā)展，計算機病毒變得越來越復雜和高級，對計算機 信息系統(tǒng)構成的威脅也越來越大。在病毒防范中普遍使用的防病毒軟件，從功能 上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝 在單臺 PC 機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢 測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者 從網(wǎng)絡向其它資源傳染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。

網(wǎng)絡安全掃描技術，網(wǎng)絡安全掃描技術是網(wǎng)絡安全領域的重要技術之一。利用安全掃描技術，可以對局域網(wǎng)絡、Web 站點、主機操作系統(tǒng)、系統(tǒng)服務以及防火墻系統(tǒng)的安全漏洞進行服務，檢測在操作系統(tǒng)上存在的可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務 攻擊的安全漏洞，還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是 否存在安全漏洞和配置錯誤。安全建議

采用防火墻與防病毒技術以提高網(wǎng)絡安全性，通過防火墻在網(wǎng)絡邊界上建立起來的通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡，可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)、內網(wǎng)與外網(wǎng)有效地分隔，以阻擋外部網(wǎng)絡的侵入，從而實施安全訪問控制，提高檢察信息網(wǎng)的安全性。安裝網(wǎng)絡版防病毒軟件，加強 病毒檢測，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡上蔓延和破壞。

運用網(wǎng)絡加密技術，網(wǎng)絡信息加密的目的是保護網(wǎng)內的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種： ①鏈接加密。②節(jié)點加密。③首尾加密。網(wǎng)絡加密技術是網(wǎng)絡安全最有效的技術之一，既可以對付惡意軟件攻擊，又可以防止非授權用戶的訪問。

加強計算機網(wǎng)絡訪問控制，訪問控制是網(wǎng)絡安全防范的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非正常訪問，也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制技術主要包括入網(wǎng)訪問控制、網(wǎng)絡的權限控制、目錄級安全控制、屬性安全 控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制。

加強設備的安全監(jiān)管，對入網(wǎng)的硬件設備和軟件，統(tǒng)一由網(wǎng)絡安全技術部門嚴格把關，對涉及網(wǎng)絡安全的核心設備可列入政府專項，由專業(yè)人員把關統(tǒng)一購買安裝。建立健全管理 制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生，并定期的對運行環(huán)境條件進行檢查、測試和維護。對于傳輸線路，要定期檢查連接情況，以檢測 是否有搭線竊聽、非法外連或破壞行為。

加強網(wǎng)絡安全教育，加強網(wǎng)絡安全教育對工作人員結合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業(yè)務、技術的培訓，提高操 作技能； 教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。

設置網(wǎng)絡權限，將檢察機關內部計算機維護權限與操作權限、數(shù)據(jù)權限分開，根據(jù)檢察機關 業(yè)務的不同，程序將自動分配其使用權限。設置訪問權限可以讓用戶有效地完成工作，同時又能控制用戶對服務器資源的訪問，從而加強網(wǎng)絡和服務器的安全性。

參考文獻

[1]陳愛民．計算機的安全與保密［Ｍ］．北京：電子工業(yè)出版社，2002

[2]黎連業(yè),張維.防火墻及其應用技術[M].北京:清華大學,2004.[3]楊義先.網(wǎng)絡安全理論與技術[M].北京:人民郵電出版社,2003.[4]王達.網(wǎng)管員必讀——網(wǎng)絡安全[M].北京:電子工業(yè)出版社,2007.[5]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(第二版),北京人民郵電出版社,2012.[6] 于峰.計算機網(wǎng)絡與數(shù)據(jù)通信.北京.中國水利水電出版社，2003

[7]謝希仁.計算機網(wǎng)絡（第 5 版）[M].北京:電子工業(yè)出版社,2008.[8] 張水平.計算機網(wǎng)絡及應用.西安.西安交通大學出版社，2002

[9] 陳浩．Internet上的網(wǎng)絡攻擊與防范[J] ．電信技術．1998.[10] 雷震甲.網(wǎng)絡工程師教程.[M].北京：清華大學出版社，2004

[11]王其良,高敬瑜.計算機網(wǎng)絡安全技術[M].北京大學出版社,2006.11.[12] 宋乃平、文樺．Internet網(wǎng)絡安全管理[J] ．天中學刊．2002.

第五篇：軍隊計算機網(wǎng)絡信息安全問題及對策

軍隊計算機網(wǎng)絡信息安全問題及對策

摘 要 :隨著我軍信息化建設步伐的不斷加快，計算機網(wǎng)絡技術在部隊的應用口趨廣泛。但從整體情況看，我軍的網(wǎng)絡信息安全還存在很多問題，網(wǎng)絡安全工作明滯后于網(wǎng)絡建設。針對現(xiàn)階段軍隊網(wǎng)絡安全存在的問題，從網(wǎng)絡安全技術及網(wǎng)絡安全管理兩方面提出了相應的解決對策。

關鍵詞 :軍隊信息化建設;計算機網(wǎng)絡;信息安全

隨著個球信息化建設的高速發(fā)展，網(wǎng)絡中接入信息基礎設施的數(shù)量不斷增加，信息系統(tǒng)軟件建設水平日益提高和完善，計算機網(wǎng)絡信息的安個問題變得日益突出和重要根據(jù)US-CERT(United States ComputerEmergency Readiness Teat組織的統(tǒng)計，從1998午到2002午期IRl，該組織登記網(wǎng)絡安個事故的數(shù)量午增長率超過50%。根據(jù)由國家信息安個報告”課題組編《國家信息安個報告》書，如果將信息安個分為9個等級，我國的安個等級為5.5，安個形勢分嚴峻我軍網(wǎng)絡信息安個形勢也同樣小容樂觀,兵的信息安個意識淡薄、信息安個技術落后、信息安個管理制度小完善、計算機網(wǎng)絡安個防護能力較弱。這此存在于軍隊計算機網(wǎng)絡中的安個隱患問題如果小能很好解決，小但會引起軍隊人量泄密事件和網(wǎng)絡被攻擊事件的發(fā)生，更會嚴重影響到作為高科技作戰(zhàn)輔助手段的計算機網(wǎng)絡技術在軍隊信息化建設中的推廣和應用，甚至會成為我軍未來信息化戰(zhàn)爭中的死穴”，直接影響戰(zhàn)爭的結果。此分析現(xiàn)階段我軍的網(wǎng)絡安個存在的問題，并找出相應的對策，對當前我軍計算機網(wǎng)絡安個的建設和發(fā)展及把握未來戰(zhàn)爭形態(tài)具有分重要的意義。1現(xiàn)階段軍隊計算機網(wǎng)絡信息安全存在的問題 1.1計算機網(wǎng)絡安個技術問題

(1)缺乏自主的計算機網(wǎng)絡軟、硬件核心技術。我國信息化建設缺乏自主的核心技術支撐，計算機網(wǎng)絡的主要軟、硬件，如CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關軟件人多依賴進口。信息設備的核心部分CPU山美國和我國臺灣制造;我軍計算機網(wǎng)絡中普遍使用的操作系統(tǒng)來自國外，這此系統(tǒng)都存在人量的安個漏洞，極易留下嵌入式病毒、隱性通道和可恢復密鑰的密碼等隱患;計算機網(wǎng)絡中所使用的網(wǎng)管設備和軟件絕人多數(shù)是舶來品，在網(wǎng)絡上運行時，存在著很人的安個隱患。這素使軍隊計算機網(wǎng)絡的安個性能人人降低，網(wǎng)絡處于被竊聽、十擾、監(jiān)視和欺詐等多種安個威脅中，網(wǎng)絡安個處于極脆弱的狀態(tài)。

(2)長期存在被病毒感染的風險?，F(xiàn)代病毒可以借助文件、由日件、網(wǎng)貞等諸多力式在網(wǎng)絡中進行傳播和蔓延，它們具有自啟動功能，‘?！撊胂到y(tǒng)核心與內存，為所欲為。軍用計算機日_受感染，它們就會利用被控制的計算機為平臺，破壞數(shù)據(jù)信息，毀損硬件設備，阻塞整個網(wǎng)絡的正常信息傳輸，甚至造成整個軍隊計算機網(wǎng)絡數(shù)據(jù)傳輸中斷和系統(tǒng)癱瘓。

(3)軍事涉密信息在網(wǎng)絡中傳輸?shù)陌矀€可靠性低。隱私及軍事涉密信息存儲在網(wǎng)絡系統(tǒng)內，很容易被搜集而造成泄密。這此涉密資料在傳輸過程中，山于要經(jīng)過許多外節(jié)點，且難以查證，在任何中介節(jié)點均可能被讀取或惡意修改，包括數(shù)據(jù)修改、重發(fā)和假冒。網(wǎng)絡中可能存在某節(jié)點在非授權和小能監(jiān)測力式下的數(shù)據(jù)修改，這此修改進入網(wǎng)中的幀并傳送修改版本，即使采用某此級別的認證機制，此種攻擊也能危及可信節(jié)點間的通信。重發(fā)就是重復份或部分報文，以便產(chǎn)生個被授權效果。當節(jié)點拷貝發(fā)到其他節(jié)點的報文并又重發(fā)他們時，若小能監(jiān)測重發(fā)，日的節(jié)點會執(zhí)行報文內容命令的操作，例如報文的內容是關閉網(wǎng)絡的命令，則將會出現(xiàn)嚴重的后果。假冒是網(wǎng)絡中個實體假扮成另個實體收發(fā)信息，很多網(wǎng)絡適配器都允許網(wǎng)幀的源地址山節(jié)點自己來選取或改變，這就使冒充變得較為容易。

(4)存在來自網(wǎng)絡外部、內部攻擊的潛在威脅。網(wǎng)絡中臺無防備的電腦很容易受到局域網(wǎng)外部的入侵，修改硬盤數(shù)據(jù)，種下木馬等。入侵者會有選擇地破壞網(wǎng)絡信息的有效性和完整性，或偽裝為合法用戶進入網(wǎng)絡并占用人量資源，修改網(wǎng)絡數(shù)據(jù)、竊取、破譯機密信息、破壞軟件執(zhí)行，在中間站點攔截和讀取絕密信息等。在網(wǎng)絡內部，則會有此非法用戶冒用合法用戶的口令以合法身份登錄網(wǎng)站后，查看機密信息，修改信息內容及破壞應用系統(tǒng)的運行。有非法用戶還會修改自己的IP和人IAC地址，使其和合法用戶IP和MAC地址樣，繞過網(wǎng)絡管理員的安個設置。1.2信息安個管理問題

在軍隊網(wǎng)絡建設中，高投入地進行網(wǎng)絡基礎設施建設，而相應的管理措施卻沒有跟上，在網(wǎng)絡安個上的投資也是微乎其微。有此領導錯誤地認為，網(wǎng)絡安個投資只有投入?yún)s小見直觀效果，對軍隊教育訓練影響小大。因此，對安個領域的投入和管理遠遠小能滿足安個防范的要求。而旦安個上出了問題，又沒有行之有效的措施補救，有的甚至是采取關閉網(wǎng)絡、禁比使用的消極手段，根本問題依然得小到實質性的解決。

國家和軍隊出臺了系列信息網(wǎng)絡安個保密的法規(guī)，女匡中華人民共和國計算機信息系統(tǒng)安個保護條例計算機信息網(wǎng)絡國際聯(lián)網(wǎng)保密管理規(guī)定)X(中國人民解放軍計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》等，這此法規(guī)的出臺從定程度上規(guī)范了軍事信息網(wǎng)絡安個的管理，但還小能滿足軍事信息網(wǎng)絡安個管理的發(fā)展需求。網(wǎng)絡運行管理機制存在缺陷，軍隊網(wǎng)絡安個管理人才匾乏，安個措施小到位，出現(xiàn)安個問題后缺乏綜合性的解決力案，整個信息安個系統(tǒng)在迅速反應、快速行動和預防范等主要力而，缺少力向感、敏感度和應對能力。在整個網(wǎng)絡運行過程中，缺乏行之有效的安個檢查和應對保護制度。

網(wǎng)絡管理和使用人員素質小高、安個意識淡薄。據(jù)調查，目前國內90%的網(wǎng)站存在安個問題，其主要原因是管理者缺少或沒有安個意識。軍事計算機網(wǎng)絡用戶飛速增長，然而大多數(shù)人員網(wǎng)絡知識掌握很少，安個意識小強，經(jīng)常是在沒有任何防范措施的前提下，隨便把電腦接入網(wǎng)絡;在小知情的情況下將帶有保密信息的計算機連入因特網(wǎng)，或使用因特網(wǎng)傳遞保密信息;對數(shù)據(jù)小能進行及時備份，經(jīng)常造成數(shù)據(jù)的破壞或丟失;對系統(tǒng)小采取有效的防病毒、防攻擊措施，殺毒軟件小能及時升級。2加強軍隊計算機網(wǎng)絡安全的對策

解決軍隊計算機網(wǎng)絡中的安個問題，關鍵在于建立和完善軍隊計算機網(wǎng)絡信息安個防護體系?？傮w對策是在技術層而上建立完整的網(wǎng)絡安個解決力案，在管理層而上制定和落實套嚴格的網(wǎng)絡安個管理制度。

2.1網(wǎng)絡安個技術對策

(1)采用安個性較高的系統(tǒng)和使用數(shù)據(jù)加密技術。美國國防部技術標準把操作系統(tǒng)安個等級分為Dl, Cl, C2, B1, B2, B3, A級，安個等級由低到高。目前主要的操作系統(tǒng)等級為C2級，在使用C2級系統(tǒng)時，應盡量使用C2級的安個措施及功能，對操作系統(tǒng)進行安個配置。在極端重要的系統(tǒng)中，應采用B級操作系統(tǒng)。對軍事涉密信息在網(wǎng)絡中的存儲和傳輸可以使用傳統(tǒng)的信息加密技術和新興的信息隱藏技術來提供安個保證。在傳發(fā)保存軍事涉密信息的過程中，小但要用加密技術隱藏信息內容，還要用信息隱藏技術來隱藏信息的發(fā)送者、接收者甚至信息本身。通過隱藏術、數(shù)字水印、數(shù)據(jù)隱藏和數(shù)據(jù)嵌入、指紋和標竿等技術手段可以將秘密資料先隱藏到般的文件中，然后再通過網(wǎng)絡來傳遞，提高信息保密的可靠性。

(2)安裝防病毒軟件和防火墻。在主機上安裝防病毒軟件，能對病毒進行定時或實時的病毒掃描及漏洞檢測，變被動清毒為主動截殺，既能查殺未知病毒，又可對文件、郵件、內存、網(wǎng)頁進行個而實時監(jiān)控，發(fā)現(xiàn)異常情況及時處理。防火墻是硬件和軟件的組合，它在內部網(wǎng)和外部網(wǎng)間建立起個安個網(wǎng)關，過濾數(shù)據(jù)包，決定是否轉發(fā)到目的地。它能夠控制網(wǎng)絡進出的信息流向，提供網(wǎng)絡使用狀況和流量的審計、隱藏內部IP地址及網(wǎng)絡結構的細節(jié)l勻。它還可以幫助軍隊系統(tǒng)進行有效的網(wǎng)絡安個隔離，通過安個過濾規(guī)則嚴格控制外網(wǎng)用戶非法訪問，并只打開必須的服務，防范外部來的拓絕服務攻擊。同時，防火墻可以進行時間安個規(guī)則變化策略，控制內網(wǎng)用戶訪問外網(wǎng)時間，并通過設置IP地址與MAC地址綁定，防比目的IP地址欺騙。更重要的是，防火墻小但將大量的惡意攻擊直接阻擋在外而，同時也屏蔽來自網(wǎng)絡內部的小良行為，讓其小能把某此保密的信息散播到外部的公共網(wǎng)絡上去。

(3)使用安個路由器和虛擬專用網(wǎng)技術。安個路由器采用了密碼算法和加/解密專用芯片，通過在路由器主板上增加安個加密模件來實現(xiàn)路由器信息和IP包的加密、身份鑒別和數(shù)據(jù)完整性驗證、分布式密鑰管理等功能。使用安個路由器可以實現(xiàn)軍隊各單位內部網(wǎng)絡與外部網(wǎng)絡的互聯(lián)、隔離、流量控制、網(wǎng)絡和信息安個維護，也可以阻塞廣播信息和小知名地址的傳輸，達到保護內部信息化與網(wǎng)絡建設安個的目的。目前我國自主獨立開發(fā)的安個路由器，能為軍隊計算機網(wǎng)絡提供安個可靠的保障。建設軍隊虛擬專用網(wǎng)是在軍隊廣域網(wǎng)中將若十個區(qū)域網(wǎng)絡實體利用隧道技術連接成個虛擬的獨立網(wǎng)絡，網(wǎng)絡中的數(shù)據(jù)利用加/解密算法進行加密封裝后，通過虛擬的公網(wǎng)隧道在各網(wǎng)絡實體間傳輸，從而防}卜未授權用戶竊取、篡改信息。

(4)安裝入侵檢測系統(tǒng)和網(wǎng)絡誘騙系統(tǒng)。入侵檢測能力是衡量個防御體系是否完整有效的重要因素。入侵檢測的軟件和硬件共同組成了入侵檢測系統(tǒng)。強大的、完整的入侵檢測系統(tǒng)可以彌補軍隊網(wǎng)絡防火墻相對靜態(tài)防御的小足，可以對內部攻擊、外部攻擊和誤操作進行實時防護，當軍隊計算機網(wǎng)絡和系統(tǒng)受到危害之前進行報攔截和響應，為系統(tǒng)及時消除威脅。網(wǎng)絡誘騙系統(tǒng)是通過構建個欺騙環(huán)境真實的網(wǎng)絡、主機，或用軟件模擬的網(wǎng)絡和主機)，誘騙入侵者對其進行攻擊或在檢測出對實際系統(tǒng)的攻擊行為后，將攻擊重定向到該嚴格控制的環(huán)境中，從而保護實際運行的系統(tǒng);同時收集入侵信息，借以觀察入侵者的行為，記錄其活動，以便分析入侵者的水平、目的、所用上具、入侵手段等，并對入侵者的破壞行為提供證據(jù)。

2.2網(wǎng)絡安個管理對策

(1)強化思想教育、加強制度落實是網(wǎng)絡安個管理上作的基礎。搞好軍隊網(wǎng)絡安個管理上作，首要的是做好人的上作。個軍官兵要認真學習軍委、總部先后下發(fā)的有關法規(guī)文件和安個教材，更新軍事通信安個保密觀念，增強網(wǎng)絡安個保密意識，增長網(wǎng)絡安個保密知識，提高網(wǎng)絡保密素質，改善網(wǎng)絡安個保密環(huán)境。還可以通過舉辦信息安個技術培訓、組織專家到基層部隊宣講網(wǎng)絡信息安個保密知識、舉辦網(wǎng)上信息戰(zhàn)知識竟賽”等系列活動，使廣大官兵牢固樹立信息安個領域沒有和平期”的觀念，在4個人的大腦中筑起軍隊網(wǎng)絡信息安個的防火墻”

(2)制定嚴格的信息安個管理制度。設立專門的信息安個管理機構，人員應包括領導和專業(yè)人員。按照小同任務進行分上以確立各自的職責。類人員負責確定安個措施，包括力針、政策、策略的制定，并協(xié)調、監(jiān)督、檢查安個措施的實施;另類人員負責分上具體管理系統(tǒng)的安個上作，包括信息安個管理員、信息保密員和系統(tǒng)管理員等。在分上的基礎上，應有具體的負責人負責整個網(wǎng)絡系統(tǒng)的安個。確立安個管理的原則: 是多人負責原則，即在從事4項安個相關的活動時，必須有兩人以上在場;一是任期有限原則，即任何人小得長期擔任與安個相關的職務，應小定期地循環(huán)任職;三是職責分離原則，如計算機的編程與操作、機密資料的傳送和接收、操作與存儲介質保密、系統(tǒng)管理與安個管理等上作職責應當由小同人員負責。另外，各單位還可以根據(jù)自身的特點制定系列的規(guī)章制度。如要求用戶必須定期升級殺毒軟件、定期備份重要資料，規(guī)定軍用計算機小得隨意安裝來路小明的軟件、小得打開陌生郵件，對違反規(guī)定的進行處理等等。

(3)重視網(wǎng)絡信息安個人才的培養(yǎng)。加強計算機網(wǎng)絡指揮人員的培訓，使網(wǎng)絡指揮人員熟練通過計算機網(wǎng)絡實施正確的指揮和對信息進行有效的安個管理，保證部隊的網(wǎng)絡信息安個。加強操作人員和管理人員的安個培訓，主要是在平時訓練過程中提高能力，通過小間斷的培訓，提高保密觀念和責任心，加強業(yè)務、技術的培訓，提高操作技能;對內部涉密人員更要加強人事管理，定期組織思想教育和安個業(yè)務培訓，小斷提高人員的思想素質、技術素質和職業(yè)道德。積極鼓勵廣大官兵研究軍隊計算機網(wǎng)絡攻防戰(zhàn)的特點規(guī)律，尋找進入和破壞敵力網(wǎng)絡系統(tǒng)的力法，探索竭力阻比敵力網(wǎng)絡入侵，保護己力網(wǎng)絡系統(tǒng)安個的手段。只有擁有支訓練有素、善于信息安個管理的隊伍，才能保證軍隊在未來的信息化戰(zhàn)爭中占據(jù)主動權