试论计算机网络安全及其防范策略研究

试论计算机网络安全及其防范策略研究

李彦

关键词：计算机；网络安全；防范策略

引言

当今社会是一个信息化社会，计算机网络在社会各个领域的作用目益增大，成为信息传输中不可缺少的基础设施和承担传输以及交换信息的公用平台。然而，计算机系统及通信线路的脆弱性致使计算机网络的安全受到潜在威胁。一方面，计算机系统硬件和通信线路易受自然灾害和人为的破坏；另一方面，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击，软件资源和数据信息受到非法的复制、篡改和毁坏。可见，无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁，计算机网络的安全问题及防范措施已迫在眉睫。

一、计算机网络安全概述

（一）计算机网络安全的概念

计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

（二）计算机网络攻击的特点

1、损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元，平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。

2、威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

二、计算机网络的安全缺陷产生的原因

（一）TCP／IP的脆弱性。因特网的基石是TCP／IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP／IP协议是公布于众的，如果人们对TCP／IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

（二）网络结构的不安全性。因特网是一种网间网的技术，它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。

（三）网络硬件的配置不协调。一是文件服务器。它是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视，设计和选型考虑欠周密，从而使网络功能发挥受阻，影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。

（四）易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

（五）缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

三、计算机网络安全的防范策略

（一）设计合理的网络系统结构策略

全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真研究的基础上下大气力抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题：由于局域网采用的是以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅被两个节点的网卡所接收，同时也被处在同一以太网上的任何一个节点的网卡所截取。因此，只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。因此，网络分段技术的应用将从源头上杜绝网络的安全隐患问题。因为局域网采用以交换机为中心、以路由器为边界的网络传输格局，再加上基于中心交换机的访问控制功能和三层交换功能，所以采取物理分段与逻辑分段两种方法来实现对局域网的安全控制，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止非法侦听，保证信息的安全畅通。

（二）强化计算机管理策略

1、加强设施管理，确保计算机网络系统实体安全。建立健全安全管理制度，防止非法用户进入计算机控制室和各种非法行为的发生；注重在保护计算机系统、网络服务器、打印机等外部设备和能信链路上狠下功夫，并不定期的对运行环境条件(温度、湿度、清洁度、三防措施、供电接头、志线及设备)进行检查、测试和维护；着力改善抑制和防止电磁泄漏的能力，确保计算机系统有一个良好的电磁兼容的工作环境。

2、强化访问控制，力促计算机网络系统运行正常。访问控制是网络安全防范和保护的主要措施，它的任务是保证网络资源不被非法用户使用和非常访问，是网络安全最重要的核心策略之一。网络管理员应该可以控制和限制普通用户的账号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式，用户账号应只有系统管理员才能建立。用户口令应是用户访问网络所必须提交的“证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。

（三）信息加密策略

网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由各种类型的加密算法来具体实施．它以很小的代价提供很大的安全保护，在多数情况下，信息加密是保证信息机密性的唯一方法。

（四）网络安全管理策略

在网络安全中除了技术措施之外，还应加强网络的安全管理，制定有关规章制度。如：网络操作使用规程、人员出入机房管理制度、网络系统维护制度等。对于确保网络安全、可靠地运行，将起到十分有效的作用。

参考文献

[1]程喆.计算机网络安全的现状及防范对策[J].湘潭师范学院学报，2007.12，29（4）；

[2]孔令伟.计算机网络安全与防护措施解析[J].科技创新导报，2008，（14）；

[3]王曼维.新形势下计算机网络安全及策略[J].长春大学学报，2008.2，18（1）；

[4]徐坚.计算机网络安全及防范技术[J].中国高新技术企业，2008，（12）；

[5]常萍.计算机网络安全的现状及对策思考[J].职业技术，2008，（6）.