浅谈计算机网络安全及防范

浅谈计算机网络安全及防范

肖从毅

肖从毅

（胜利油田地质科学研究院，山东东营257000）

摘要：随着计算机技术以及网络信息技术的高速发展，各部门都利用互联网建立自己的信息系统，以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出。

关键词：计算机；安全；防火墙

分类号：TP393文献标识码：A文章编号：1007-9599(2010)05-0000-01

ComputerNetworkSecurityandPrevention

XiaoCongyi

(ShengliOilfieldGeologicalSciencesInstitute,Dongying257000,China)

Abstract:Withthecomputertechnologyandtherapiddevelopmentofinformationtechnologynetwork,alldepartmentsareusingtheInternettobuildtheirowninformationsystemstomakefulluseofvariousinformationresources.However,theconnectioninformationcapacity,abilitytoimprovecirculationwhilethesafety-basednetworkconnectionsareincreasinglyprominent.

Keywords:Computer;Security;Firewall

计算机网络的广泛应用给计算机的安全提出了更高的要求，也使网络安全问题日渐突出。如果不很好地解决这个问题，必将阻碍计算机网络化发展的进程。

一、网络安全的基本内涵释义

网络安全从本质上来讲就是网络上的信息安全，指网络系统中流动和保存的数据，不受到偶然的或者恶意的破坏、泄露、更改，系统能连续正常的工作，网络服务不中断。从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。

二、当前计算机信息系统的网络安全存在的主要威胁

一是人为的无意失误。如操作员安全配置不当造成的安全漏洞，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。例如防火墙，它是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度，其主要目的就是通过控制入、出一个网络的权限，并迫使所有的连接都经过这样的检查，防止一个需要保护的网络遭受外界因素的干扰和破坏。如有人为了避开防火墙代理服务器的额外认证，进行直接的PPP连接，就会使防火墙失去保护作用。

二是网络协议的局限性。Internet的基石是TCP/IP协议簇，该协议簇在实现上力求效率，而没有考虑安全因素，因为那样无疑增大代码量，从而降低了TCP/IP的运行效率，所以说TCP/IP本身在设计上就是不安全的。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP协议很熟悉，就可以利用它的安全缺陷来实施网络攻击。

三是黑客的威胁和攻击。这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为两种：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，它是在不影响网络正常工作的情况下，进行截获、窃取、破译，以获得对方重要的机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。黑客入侵的例子枚不胜举，从某种意义上讲，黑客对信息安全的危害甚至比一般的电脑病毒更为严重。

三、当前维护计算机网络安全的主要防范措施

针对网络系统现实情况，处理好网络的安全问题是当务之急。为了保证网络安全采用如下方法：

（一）配置防火墙。防火墙将内部网和公开网分开，实质上是一种隔离技术。它是网络安全的屏障，是保护网络安全最主要的手段之一。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客随意访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。

（二）安装防病毒网关软件。防病毒网关放置在内部网络和互联网连__接处。当在内部网络发现病毒时，可能已经感染了很多计算机，防病毒网关可以将大部分病毒隔离在外部，它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时，管理员只要将防病毒网关升级就可以抵御新病毒的攻击。

（三）应用入侵检测系统。入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。它能够检测那些来自网络的攻击，检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务的性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

（四）利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，可以采用对各个子网做一有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序，该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。

（五）应用数据加密技术。数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。

（六）常做数据备份。由于数据备份所占有的重要地位，它已经成为计算机领域里相对独立的分支机构。时至今日，各种操作系统都附带有功能较强的备份程序，但同时也还存在这样或那样的缺陷;各类数据库管理系统也都有一定的数据复制的机理和功能，但对整个系统的数据备份来说仍有不够完备之处。所以，如想从根本上解决整个系统数据的可靠备份问题，选择专门的备份软、硬件，建立专用的数据备份系统是不可缺少的。