计算机网络安全

河南油田通信公司 李海燕 魏明超

计算机网络安全

河南油田通信公司 李海燕 魏明超

在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏。网络安全既有技术方面的问题，也有治理方面的问题，两方面相互补充，缺一不可。

一、计算机网络安全的概念

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。

二、计算机网络安全威胁的特点

1. 隐蔽性和潜伏性。计算机网络攻击正是由于其隐蔽性，且其过程所需的时间很短，让使用者疏于防范、防不胜防。计算机攻击产生效果需要一定的时间，攻击往往潜伏在计算机程序中，直到程序满足攻击效果产生的条件，被攻击对象才会产生问题。

2. 破坏性和危害性。网络攻击往往会对计算机系统造成严重的破坏，使计算机处于瘫痪状态。而且一旦攻击成功，会给计算机用户带来惨重的经济损失，更甚者将威胁社会和国家安全。

3. 突发性和扩散性。计算机网络破坏通常是毫无征兆的，而且其影响会迅速扩散。无论计算机网络攻击的对象是个体还是群体，都会因为网络的互联性形成扩散的连环破坏，其影响规模若不干涉将会是无限的。

三、计算机网络安全的影响因素

1. 网络系统本身存在的问题。首先，Internet 处于无政府、无组织、无主管状态，所以也就无安全可言，任一用户可以通过Web上网浏览，方便的可访问性使企业、单位以及个人的敏感性信息极易受到侵害，也为保密造成困难。其次，目前流行的操作系统均存在漏洞，漏洞是可以在攻击过程中利用的弱点，它可以是软件、硬件、程序缺点，功能设计或者配置不当等造成的。黑客或入侵者会研究分析这些漏洞，加以利用而获得侵入和破坏的机会。最后，TCP／IP 协议存在安全隐患。一方面，该协议数据流采用明码传输，且传输过程无法控制，这就为他人截取、窃听信息提供了机会；另一方面，该协议在设计时采用簇的基本体系结构，IP 地址作为网络节点的唯一标志，不是固定的，且不需要身份认证，因此攻击者就有了可乘之机，他们可以通过修改或冒充他人的IP 地址进行信息的拦截、窃取和篡改。

2. 来自外界的威胁因素。

（1）自然威胁。计算机网络安全需要一定适宜的自然条件作为支撑，各种不可抗拒的自然灾害、恶劣的外部环境、机器设备的故障等都会直接或间接地威胁网络安全。

（2）黑客攻击。计算机技术发展速度快于计算机安全技术的发展速度，黑客利用两者之间的空白期，研究发现系统的漏洞，进行突击网络系统安全的预谋。这种人为的恶意攻击是计算机网络安全最大的威胁。

（3）非法访问。非法访问指的是未经同意就越过权限，利用工具或通过编写计算机程序突破计算机网络的访问权限，侵入他人电脑进行操作。

3. 计算机用户带来的威胁因素。在计算机使用过程中，使用者缺乏安全意识通常是网络安全的一个重大隐患。隐秘性文件未设密、操作口令泄露、重要文件的丢失等都会给黑客提供攻击的机会。对系统漏洞的不及时修补以及不及时防病毒都可能会给网络安全带来破坏。

4. 有效评估和监控手段的缺乏。全面准确的安全评估是防范黑客入侵体系的基础，它可以对将要构建的整个网络的安全防护性做出科学、准确的分析评估， 并保障将要实施的安全策略在经济上、技术上的可行性。但在现实中，计算机网络安全的维护更多注重的是事前预防与事后弥补，在事中评估和监控方面有所欠缺，这直接造成网络安全的不稳定。

四、计算机网络安全现状

近年来随着Internet的飞速发展、计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据有关数据统计，全球平均每20秒钟就发生一起Internet计算机侵入事件。在Internet/Intranet的大量应用中，Internet/Intranet安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。他们利用不同的攻击手段，获得访问或修改在网中流动的敏感信息，闯入用户或政府部门的计算机系统窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗，其“低成本和高收益”又在一定程度上刺激了犯罪的增长，使得针对计算机信息系统的犯罪活动日益增多。

五、计算机网络安全的防范措施

计算机网络安全从技术上来说，主要由防病毒、防火墙、入侵检测等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。早期的网络防护技术的出发点是首先划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，只有符合规定的信息才可以通过网络边界，从而达到阻止对网络攻击、入侵的目的。目前广泛运用和比较成熟的网络安全技术主要有防火墙技术、数据加密技术、防病毒技术等，主要的网络防护措施包括以下几点。

1. 防火墙。防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及包所使用的端口确定是否允许该类数据包通过；状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别，与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性；应用网关技术在应用层实现，它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

2. 数据加密与用户授权访问控制技术。与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免。实现这一切的基础就是数据加密。

3. 安全管理队伍的建设。在计算机网络系统中，绝对的安全是不存在的，构建健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减少一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设，强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略，为了更好地进行安全管理工作，应该对本网内的IP地址资源统一管理、统一分配。只有共同努力，才能使计算机网络的安全性得到保障，从而使广大网络用户的利益得到保障。

五、结论与建议

随着网络时代的到来，社会信息传递的方式和速度有了极大的发展，社会沟通进一步加强。随着互联网规模的不断扩大，网络在给人们带来丰富的信息资源的同时，也存在安全隐患，计算机网络安全成为亟待解决的问题。

计算机网络安全涉及方方面面，是一个复杂的系统。它的维护需要多主体的共同参与，而且要从事前预防、事中监控、事后弥补三个方面入手，不断加强安全意识，完善安全技术，制定安全策略，从而提高计算机网络的安全性。

总之，网络安全是一个综合性的课题，涉及技术、治理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。为此建立网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。