计算机网络的脆弱性及其安全防范问题浅析

钱孝娣　马童

摘 要： 本文在分析计算机网络脆弱性及其安全问题的基础上，针对存在的问题从防范策略与使用技术两个方面探讨了计算机网络安全问题，以期对促进计算机网络安全管理工作水平的提高有所帮助。

关键词： 计算机网络 脆弱性 安全防范

网络信息时代的到来，使社会信息传递发生日新月异的变化；计算机网络应用水平，已经成为一个国家、地区政治、经济、文化、军事等实力水平的重要标志之一。计算机网络在广泛应用使综合国力大幅提高的同时，给国家安全带来更多威胁，特别是无处不在的“黑客”网络攻击、遍布各地的计算机病毒木马入侵、别有用心的计算机网络经济犯罪等，都直接威胁国家、企业及个人的财产安全，体现了计算机网络的脆弱性，有必要就其脆弱性及安全防范问题作深入探讨。

一、计算机网络的脆弱性及安全问题

就计算机网络的脆弱性来说，通过最大广域网因特网就可以表现出来：第一，因特网几乎处于一种无政府、无组织、无管理状态，任一用户、任一组织都可以通过基本的Web浏览，访问其他企业、单位及个人的信息，特别是在我国个人信息保护法律法规还不健全的情况下，随意浏览很易导致对他人侵害的发生，也为进一步的个人信息保密造成困难。第二，网络通信线路等硬件基础设施缺乏必要的保护，很容易被人恶意搭线窃听、非法访问企业内部网络及个人计算机中的重要数据信息。第三，因特网通信基本全部基于TCP/IP协议连接，由于TCP/IP协议的明码传输设计缺陷，导致无法对信息传输过程的安全进行有效控制，为他人截取、更换信息提供机会；特别是TCP/IP协议的IP地址网络节点唯一标志特性，特定IP地址登录不需要身份认证，这就使攻击者可能通过修改或者冒充某个IP地址进行信息重传、窃听等恶意攻击。总之，因特网、互联网本身的脆弱性给网络安全造成巨大的潜在威胁，需要进一步探讨其脆弱性问题。

计算机网络安全的实质，就在于保障计算机网络系统中人、硬件基础设施、软件程序、数据信息等要素的安全，主要是避免发生各种偶然的或者人为的破坏、攻击，旨在保证计算机网系统的安全、正常、可靠工作。当前，对计算机网络来说，其存在的较普遍的威胁如：病毒侵入、数据完整性遭破坏、信息泄密、信息篡改、非法信息流传输、非法获取使用网络资源，以及利用计算机网络从事违法犯罪活动等，严重者可能导致计算机网络系统瘫痪。其中威胁最大的莫过于“黑客”攻击，其常用的方式是利用操作系统、网络协议的安全漏洞攻击特定计算机或者服务器。如：针对TCP/IP协议进行的Smurt攻击、SYN洪水攻击，以及基于源路由的篡改攻击等，都会导致计算机网络“拒绝服务”的发生。

二、计算机网络安全防范策略与技术

就计算机网络安全防范策略来说，计算机网络安全管理是一项涉及诸多方面因素的系统工程，需要进行被动性防御，更需要主动性防御；需要使用必要的安全技术，也需要进一步规范相关网络安全管理模式、管理规章制约束网络用户的行为，目的只有一个，即保证计算机网络的安全性。其安全策略的制定应该遵循以下基本原则：最小特权原则、最薄弱连接原则、失效保护原则、阻塞点原则、纵深防御及多样化原则及普遍参与的原则；计算机网络安全防范策略只有建立在上述原则基础之上，才有可能真正改进乃至解决计算机网络安全问题，是一种根本的从设计思想上考虑解决计算机网络安全问题的分级管理结构体系，是必要的，也是有效的。

就计算机网络安全防范技术来说，最有效的莫过于防火墙技术的应用。目前，市场提供的防火墙产品众多，如为解决防火墙“单失效点”、“流量瓶颈”等问题，开发的桌面化个人防火墙，对上述问题起到一定的保护作用；但个人防火墙的保护功能只限于个人计算机，对于整个网络安全的防护作用有限。基于个人防火墙的分布式防火墙，在个人防火墙基础做了重大改进，其虽然有效增强了现有个人防火墙的部分功能，但是在内部网络全局策略上还是难以实现，最重要的是不能完全保证内部网不被外部主机探测到。

结合了个人防火墙和分布式防火墙优点的分级防火墙体系结构，是当前计算机网络安全应用的主流。对于分级防火墙来说，其分为内部网和外部网两部分，内外网之间通过路由器连接，外部主机经过路由器后不是直接进入内网，而是需要经过主级防火墙，在主级防火墙处执行身份认证、访问控制等安全处理，然后由内部路由器转接至内网络；即使是在内网也可以依据资源地理位置的不同或者网络安全需要再次进行部门子网的划分，同时由次级防火墙提供二次防护。

总之，从分级防火墙系统结构可以看出，主级防火墙的使用更有利于内部网络全局策略的执行，其有效隐藏了内部网络拓扑结构及相关设备信息，而次级防火墙的使用则可以进一步细化安全策略，旨在满足不同用户的安全需求；由于二级或者低级防火墙是一个功能相对独立的模块，其在子网之间的应用一定程度上防止了内部子网主机之间攻击的发生，进而有效缓解防火墙单失效点问题，将网络攻击限制在更小的范围内，计算机网络安全防范作用重大。分级体系结构的防火墙设计思想可以有效整合包过滤、代理网关和状态检测等多种防火墙技术，实现多种安全技术的综合应用，保证计算机网络安全防护的灵活、可靠。

参考文献：

[1]梁树杰.浅析计算机网络安全问题及其防范措施[J].信息安全与技术，2014（03）.

[2]陈虹，王飞，肖振久，孙丽娜.一种融合多源数据的网络安全态势评估模型[J].计算机工程与应用，2014（03）.