网络安全及防范技术分析

梁少刚

（宝鸡职业技术学院，陕西宝鸡721000）

1 网络安全概述

计算机网络安全是一个系统性概念，不仅包括计算机上信息存储的安全性，还要考虑信息传输过程的安全性。 具体说来就是计算机网络中各网络设备的安全，以及从应用层角度分析的操作系统安全和应用程序安全，如图1 所示。

图1 网络系统安全

计算机网络安全是指利用网络管理控制和技术措施，保证在网络环境里信息数据的机密性、完整性及可使用性受到保护。 网络安全的主要目标是要确保经网络传送的信息在到达目的站时没有任何增加、改变、丢失和非法读取。 网络安全涉及计算机科学、通信技术、应用数学等多个领域，既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面侧重于内部人为因素的协调。

2 影响计算机网络安全的主要因素

2.1 操作系统的脆弱性

无论哪一种操作系统， 其体系结构本身就是不安全的一种因素。由于操作系统的程序是可以动态连接的，而这种动态连接也正是计算机病毒产生的温床。另外，操作系统可以创建进程，即使在网络的节点上同样也可以进行远程进程的创建与激活。

2.2 计算机系统的脆弱性

计算机系统的脆弱性主要来自于操作系统的不安全性。在网络环境下，还来源于通信协议的不安全性。

2.3 协议安全的脆弱性

当前计算机系统都使用的TCP/IP 协议以及FTP、E-MAIL、NFS等都包含着许多影响网络安全的因素，存在着许多漏洞。

2.4 数据库管理系统安全的脆弱性

数据库主要应用于客户/服务器(Cliend/Server)平台，由于Cliend/Server 结构允许服务器有多个客户端，这就涉及到数据库的安全性与可靠性问题，对数据库构成的威胁主要有篡改、损坏和窃取。

2.5 人为的因素

不管是什么样的网络系统都离不开人的管理。目前多数单位缺少安全管理员，缺少网络安全管理的技术规范，缺少定期的安全测试与检查，更缺少安全监控。

3 网络安全策略

网络安全不但要保证网络中各节点、通信链路的安全，还要保障网络中传输的信息的安全。 因此从影响网络安全的这些因素出发，我们应该主要做好以下几个方面：

3.1 加强用户安全意识

由于大多数用户安全意识淡薄使得计算机网络极易受到攻击，这种高度依赖性和安全意识的淡薄性使网络安全变得十分“脆弱”。解决信息网络安全仅依靠技术是不够的，应该首先从思想上认识到安全问题的严重性，结合管理、法制、政策及教育等手段提高网络安全的水平，将信息网络风险降低至最小程度。

健全适当的法律法规，加大对非法分子的严惩力度。 增强管理人员的素质，加强设备的保护。对系统的主要设备，如服务器、交换机、路由器等，应放在由专人主管的安全地方：要配置防火、防水、防盗、防雷电等设备。所有的系统都要及时备份并将备份保存在主机房以外的安全地方。 主服务器要加带口令的屏幕保护及键盘锁。

3.2 建立访问控制手段

访问控制识别与验证用户，并将用户限制在已授权的活动和资源范围内。 主要包括：

（1）口令，是网络安全系统的最外层防线，通过网络用户的登录，合法者才能进入系统；

（2）网络资源及其属性权限控制，访问权限主要体现了用户对共享文件、打印机、网络通信设备等网络资源的可用程度；

（3）网管即网络安全监视，通过专用的软件系统，对整个网络的运行进行动态地监视并及时处理各种事件；

（4）审计与跟踪，对网络资源的使用、网络故障、系统日志等信息进行记录与分析，从而找出问题所在。

3.3 合理应用安全技术

计算机网络安全技术就是如何从技术上来解决网络的安全问题。网络安全的关键技术从广义上讲要有：主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理术。本文主要介绍以下几种技术：

3.3.1 防火墙技术

防火墙技术经过多年的发展目前已经比较成熟，主要包括：包过滤(packet filter)，应用级网关(application level gateways)等，相应地分别工作在OSI 模型的网络层和应用层。 另外还有一种新型的防火墙，称为状态检测防火墙(statefulinspection)。

未来防火墙技术的发展趋势是朝高速、多功能化、更安全的方向发展。一方面，防火墙技术和产品已经相对成熟，但还存在一定的技术局限性，仍不能完全满足用户的需求。 用户需求激发技术创新，因此，防火墙技术将持续快速发展，在关键处理技术上实现创新。 对防火墙在各种网络环境中的实际应用、稳定性与易用性，以及整体网络安全解决方案进行研究，将一直会是防火墙技术的重要内容。另一方面，防火墙必须在基于芯片加速的深度内容过滤技术上实现真正的突破，并推出实用化的产品以解决当前的网络安全难题。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析、芯片解决计算加速、软件解决过滤精确等技术中， 用多种方案为用户的应用提供更安全的保障，而VPN、IDS/IPS、防病毒等功能可能以各类加速芯片的形式与防火墙协同工作，形成以芯片技术为主导的全系列硬件型安全网关。 各系列的划分将针对用户群的不同需求，并在价格、功能、性能上为各个群体的用户贴身定制。

3.3.2 入侵检测技术

入侵检测(Intrusion Detection，ID)，顾名思义是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

（1）分布式入侵检测，其第1 层含义为针对分布式网络攻击的检测方法，第2 层含义为使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

（2）智能化入侵检测，即使用智能化的方法与手段来进行入侵检测。 所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。

（3）全面的安全防御方案，即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理，从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

3.3.3 防病毒技术

从目前病毒的演化趋势来看，网络防病毒产品的发展趋势主要体现在以下几个方面。

（1）从入口拦截病毒。 配置网络网关，过滤不良网站，限制内部浏览。系统管理者也可以设定个人或部门下载文件的大小。此外，邮件管理技术能够防止邮件经由Internet 网关进入内部网络，并可以过滤由内部寄出的内容不当的邮件，避免造成网络带宽的不当占用。

（2）全面解决方案。 用户网络中的每一点，无论是服务器、邮件服务器，还是客户端都应该得到保护。这就意味着防火墙、入侵检测等安全产品要与网络防病毒产品进一步整合，这种整合需要解决不同安全产品之间的兼容性问题。

（3）客户化定制。 客户化定制模式是指网络防病毒产品的最终定型，是根据企业网络的特点而专门制订的。 对于用户来讲，这种定制的网络防病毒产品带有专用性和针对性，既是一种个性化、跟踪性产品，又是一种服务产品。

4 小结

网络给我们带来便利的同时也带来了安全问题，因此我们要采取网络管理控制和技术措施， 保证在网络环境里信息数据的机密性、完整性及可使用性受到保护。 当前保证网络安全的主要方法和途径有：采用防火墙技术、加密技术、身份认证、数字签名、内容检查、加强对因特网管理人员的管理等方法。

［1］罗明宇,卢锡城.计算机网络安全技术[J].计算机科学,2000,27(10):63-65.

［2］李四福.网络安全与我国的安全策略[J].科技进步与对策,2000(9).

［3］袁津生,吴砚农.计算机网络安全基础[M].北京:人民邮电出版社,2002.

［4］金雷,谢立.网络安全综述[J].计算机工程与设计,2003,24(2).