计算机网络安全问题及防范策略

黄学华

南京信息工程大学计算机与软件学院，江苏南京 210044

1 概述

随着计算机技术的日益普及，各行各业都在试图通过计算机来提高其生产、经营、学习等方面的效率。计算机网络作为计算机技术和现代化数字通信技术相互融合的产物，不但是人们日常生活所必须的工具，更是一个国家在政治、经济、军事等国家实力的象征。基于此，网络安全问题就成了人们备受关注的重要课题。从其本质上来看，计算机网络安全也即是确保网上的各信息资源的安全，网络安全从某种意义上来说就是指网络信息安全，也即是指网络系统中流动及保存的各种数据资源信息不被恶意的泄漏和破坏。网络上各种数据资源信息时网络中最宝贵的资源，然而很多不法分子就是通过各种网络途径窃取相应的网络信息资源、泄漏信息、进行一些有害信息的传播等违法行为。而计算机网络安全也即是指通过一定的控制手段和管理方法，对网络上的信息及网络自身进行保护措施，以此来实现网络信息的安全级网络各服务的正常运行；安全可靠的计算机网络必须具备可靠性、保密性、完整性和可用性4个基本特点。

2 常见的计算机网络安全隐患

2.1 使用操作系统不直接登陆侵入

操作系统自身存在的漏洞，很容易通过一些不正当手段获取计算机的管理权限，并通过远程登陆的方式，实现对计算机数据的破坏和更改，如通过Unix系统中Telent服务器很容易实现对其他计算机的远程非法访问。

2.2 利用TCP/IP协议实现破坏

TCP/IP协议组（又称为网络通讯协议），是当前计算机网络互联协议中最重要的协议之一。设计的目的是为了使网络环境设置为相对可信安全的环境之下。该网络协议首要考虑的因素也即是网络的开放性和互联性，但其安全性却很少考虑在内。给TCP/IP协议组本身造成很大的不安全性，导致一系列基于此协议的计算机网络服务的不安全性。基于此，一些非法分子就会通过TCP连接时所提供的服务器序列号，侵入到网络中同时非法获取传输的IP数据包，然后通过将信息破坏或篡改后重新发送，以此来影响网络数据传输的正确性和安全性。

2.3 利用IP源路径实现破坏

由于IP源路径的不确定，使得计算机网路中的用户在向其他用户发送信息时，一些非法分子通过修改IP路径，将发送信息发送至非法分子指定的IP目标中，以此来非法获取一些用户信息。

2.4 更改计算机系统内置文件

计算机网络中潜存的病毒程序或木马程序等，可以有企图的对计算机相关系统文件实现破坏和更改，同时非法的获取计算机用户的一些价值文件和数据，如当前影响较大的“特洛伊木马”等。

2.5 通过非法软件实现对网络中的计算机用户监听或扫描

通过安装一些监控装置或窃听装置到计算机用户上，来实现对网络中的计算机的非法监听或扫描，以此来获取网络用户的信息资源。

3 计算机网络安全的防范策略分析

基于以上存在的问题而言，笔者以为要想防范用户计算机免受网络中木马或病毒的攻击，可通过采用分层控制的方案，实现对计算机网络的分层控制，如内部我拿了过访问控制层、内外网访问控制层等，结合不同层次的计算机，采取相应的防范措施。

3.1 内外网间的访问控制层

局域网和互联网之间，用户可通过以下防范实现安全管理：

1）安全扫描。互联网互动过程中，及时的对计算机安全卫士和杀毒软件等进行升级，以便及时的对流动数据包进行检测，以便及时有效的对网络中发现的木马和病毒采取有效的防护措施；

图1 防火墙系统的基本配置

2）防火墙系统。防火墙作为计算机网络信息安全防护的第一道屏障，是一种加强网络之间访问控制，它主要用来预防一些非法用户以非法手段使用网络中不公开的信息资源，它可以完成两个或多个数据包之间的传输的检查工作，以此来决定网络之间传输信息的准确性、真实性及安全性。用于隔离安全网络与不信任网络、隔离安全网与不安全网络，同时对它们之间的相互访问加以控制。它可以对所有进出它的数据实现过滤和检查，真正发挥应有的安全防护作用。从当前计算机网络信息安全多种保护手段来看，防火墙系统是当前最行之有效的方法之一。以下以某学校的校园网为例，简单阐述防火墙系统在计算机网络安全中的建设方案。

结合校园网的特点，首先在路由器和中心交换机间放置阿姆瑞特防火墙（阿姆瑞特F300防火墙拥有5个接口），同时将学校对外服务器放置于防火强的其它接口上，以此在保障各服务器安全的同时保，还保障了网络的带宽。通过在防火墙上设置不允许Internet 用户访问该校内部网，使得该校园网络更加安全合理。其具体配置可参照图1所示；

3）入侵检测。计算机实现互联网互动时，及时有效的进行安全卫士和杀毒软件系统的升级，对于网络中流动的数据包及时有效的进行检测，以便对网络互动中发现的木马或病毒程序采取及时的防护措施，必要时禁止登陆对该网站的访问。

3.2 内部网的访问控制层

一般情况下，我们可采取以下方法来实现对内部网的访问保护：

1）用户身份认证。用户入网需要经过用户名验证，用户口令验证以及用户账号验证三个步骤。其关键也即是用户口令，同时需要进行加密实现保护。还应尽量避免多个计算机使用同一账户进行登录；

2）权限控制。权限的原则也即是管理员、用户等需履行的某一任务而特别具有的权限，这是有效限制其他非法用户访问网络资源的有效途径。权限设置过程中，首先应确保网络权限设置的合理性，不能因权限的设置影响网络的正常运行，同时为减少病毒的入侵，还应增加相应的加密技术来确保网络的安全，以此来实现对整个网络信息数据的系统性加密，以此来确保网络的安全性和可靠性，另外还可适当通过对节点的加密，来实现对计算机节点信息的实时保护，以便最大限度的保障期安全性能；

3）加密技术。数据加密也即是通过适当数学函数转换方法来以密文的形式代替明文，并只有特定接受者才能对其进行解密。将其分为对称加密和不对称加密两种方法；

4）定时的安全扫描。一般情况下，计算机网路用户会以出现问题解决问题的态度来对待计算机网络出现的安全问题，这是一个极为不好的习惯，计算机网络用户应养成定期的系统扫描和全盘扫描的习惯，定期检测计算机网络各部分的运行状况，以便及早发现问题，及早给予处理；

5）入侵检测；

6）设置网络病毒防范技术。病毒作为计算机网络中最常见的安全威胁，对计算机网络进行保护就必须适当增加网路杀毒软件，通过安装各种杀毒软件实现对计算机网络的实时保护，以此来将网络威胁降低到最小程度。部分用户会因为觉得麻烦而不选择安装杀毒软件，这样一来很容易给病毒营造一种畅通无阻的环境，病毒会随着浏览网页或下载资料资源等入侵到本地计算机网络系统，进而给正常的网络访问带来影响。因此，笔者以为无论是单位计算机网络还是小型的家用计算机网络中的计算机均应安装一定的杀毒软件，以此来启动本地计算机的防护功能。

3.3 数据存储层

数据存储层的安全对整个系统安全来说同样非常重要。通常我们可通过如下措施，实现对数据存储层的安全防护。

1）加密技术。可通过一些保密软件来实现对安全性要求较高的数据进行保护，以此来预防病毒和木马的入侵；

2）选择安全系数较高的数据库系统，实现对数据库系统的安全防护；

3）确保存储介质的安全性；

4）及时对数据库进行系统扫描，定时进行系统升级，以此来及时发现数据库系统中存在的漏洞，以便及时有效的进行实时修复。

3.4 网络安全法律规范的实施

网络安全法律法规作为网络信息防护的重要放线之一，如果庞大的网络系统没有同意的法律法规进行保障，同样得不到有效的运行，网络也便成为无序的网络，也便没有网络之说。目前国家相关权利机关针对网路信息安全问题专门制定了一系列相关的法律法规，以此来确保网络正常安全运行。

总之，计算机网络安全作为一项长期复杂的系统工程，需要我们不断健全和强化其各项安全保障措施，以此来提高网络安全的正常运行。

[1]谢希仁.计算机网络第5版[M].电子工业出版社，2008：284-285.

[2]李明革，杨亚洲，姜占华.园区网络故障分析及解决措施[J].吉林大学学报：信息科学版，2008(4)：102-103.

[3]卢建华，蒋明，陈淑芳.网络数据包捕获及分析[J].网络安全技术与应用，2009(2)：23-25.

[4]孙全尚，孙书双.浅析计算机网络安全及防范技术[J].科技创新导报，2008(28)：56-58.

[5]边云生.计算机网络安全防护技术探究[J].电脑知识与技术，2011，7(31)：45-46.