摘要：隨著計算機網絡網絡技術的發展和網絡應用的迅速增長，人們對計算機網絡安全也越來越重視，網絡的系統的全性和可靠性開始成為世界各國政府、各行業關心的問題。網絡安全不僅影響網絡穩定運行和用戶的正常使用，還有可能威脅到國家安全、造成重大的經濟損失。本文對當前計算機網絡存在的安全隱患進行了分析，并探討了一些針對計算機網絡安全隱患的防范策略。
　　關鍵詞：網絡安全；計算機網絡；入侵檢測；防火墻；
　　
　　引言
　　在當今這個計算機網絡技術日新月異,飛速發展的時代里,計算機網絡遍及世界各個角落,在計算機網絡已經廣泛應用于商業、金融、科研等各個領域的今天，我們的生活和工作都越來越依賴于網絡。但開放的信息系統必然存在眾多潛在的安全隱患，安全技術作為一個獨特的領域越來越受到關注，并逐漸成為計算機網絡應用所面臨的主要問題。
　　
　　1、 計算機網絡安全概念
　　國際標準化組織將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。計算機網絡安全可以從狹義和廣義來定義，從狹義的保護角度來看是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計算機、網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統能連續可靠正常地運行，使網絡服務不中斷。從其本質上來講就是系統上的信息安全。從廣義來說，凡是涉及到計算機網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的研究領域。所以，廣義的計算機網絡安全還包括信息設備的物理安全性，諸如場地環境保護、防火措施、防水措施、靜電防護、電源保護、空調設備、計算機輻射和計算機病毒等。網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。
　　
　　2、 計算機網絡安全現狀
　　據美國聯邦調查局統計，美國每年因為網絡安全造成的經濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統的安全問題造成的。我國的政府部門、證券公司、銀行等機構的計算機網絡相繼遭到多次攻擊。在我國，公安機關受理各類信息網絡違法犯罪案件逐年劇增。此外，隨著信息和秘密越來越集中于計算機，利用網絡竊取或泄露國家政治、經濟、軍事、科技等機密將成為間諜活動的主要手段，網上秘密爭奪戰將愈演愈烈。計算機網絡與信息安全已成為互聯網健康發展必須面對的嚴重問題。
　　
　　3、常見的網絡安全問題
　　3.1計算機病毒和特洛伊木馬
　　計算機病毒是一個程序，一段可執行碼。它具有傳播性、隱蔽性、破壞性等等，網絡的發展使得病毒可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。特洛伊木馬（以下簡稱木馬），英文叫做"Trojanhouse"，其名稱取自希臘神話的特洛伊木馬記。它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。一旦被木馬控制，您的電腦將毫無秘密可言，同時還會被作為黑客攻擊的跳板。
　　3.2網絡監聽
　　網絡監聽工具原來是提供給網絡管理員的管理工具，用來監視網絡的狀態，數據流情況，現在也被網絡入侵者廣泛使用，入侵者可以捕獲被入侵計算機的敏感信息，其中包括一些明文密碼，并對數據包進行詳細的分析，就有可能對被入侵計算機所在網絡的其他計算機產生安全威脅，所以說網絡監聽造成的安全風險級別很高。
　　3.3網絡欺騙和網絡釣魚
　　“網絡釣魚”是攻擊者利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務數據，如信用卡號、賬戶用和口令、社保編號等內容。"網絡釣魚"攻擊者常采用具有迷惑性的網站地址和網站頁面進行欺騙，輕易就讓很多人落入圈套。
　　3.4其它安全問題
　　其中包括賬號秘密竊取、拒絕服務攻擊和分布式拒絕服務攻擊、通過網絡下載傳播各種非法信息，利用系統自身安全漏洞等。
　　
　　4、網絡安全的主要技術
　　網絡安全技術隨著網絡實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、防火墻技術、數據加密及入侵檢測等是網絡安全的重要防線。
　　4.1認證
　　對合法用戶進行認證，使用認證機制可以防止合法用戶訪問他們無權查看的信息。例如:身份認證，當系統的用戶要訪問系統資源時要求確認是否是合法的用戶。采用用戶名和口令是最簡易的用戶身份的認證識別。報文認證，通信雙方對通信的內容進行驗證，以保證報文由確認的發送方產生、到了要發給的接受方、傳送中報文沒被修改過。
　　4.2防火墻技術
　　防火墻是是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，是保護內部網絡操作環境的特殊網絡互聯設備，它是網絡安全的第一道防線，因此，對網絡防火墻要精心配置，反復核查，嚴格把關。防火墻是不同網絡或網絡安全域之間信息的惟一出入口，通過預定義的訪問控制策略，對內外網通信強制實施訪問控制，其本身具有較強的抗攻擊能力。常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術等
　　4.3數據加密技術
　　數據加密技術是為了提高信息系統與數據的安全性和保密性，防止機密數據被外部破譯而采用的主要技術手段之一。加密技術通常分為三大類："對稱式"、"非對稱式"和"單項式"。對稱式加密就是加密和解密使用同一個密鑰，通常稱之為"SessionKey"。非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為"公鑰"和"私鑰"，它們兩個必需配對使用，否則不能打開加密文件。"公鑰"是指可以對外公布的，"私鑰"則不能。單項加密也叫做哈希加密，使用hash算法把一些不同長度的信息轉化成雜亂的確定128位的編碼里，叫做hash值。Hash加密用于不想對信息解密或讀取。使用這種方法解密在理論上是不可能根據密明文，所以叫做單向加密。但可以通過比較兩個實體的hash值是否一樣而確定數據是否可靠。
　　4.4反病毒技術
　　計算機病毒是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序，具有極強的破壞性和傳染性，它可以將自身納入其它程序中，以此來進行隱蔽、復制和傳播，從而破壞用戶的文件、數據甚至硬件。一方面，計算機病毒的種類和數量以難以想象的速度增加，并四處蔓延，破壞性越來越大，另一方面，病毒技術也迅速發展，新病毒層出不窮，正向著種類多樣化、技術完善化、病毒制作自動化、傳播快速化等方向發展。目前網絡反病毒技術主要包括檢測病毒和清除病毒。
　　4.5入侵檢測技術(IDS)
　　入侵檢測系統是從多種計算機系統及網絡系統中收集信息，再通過這此信息分析入侵特征的網絡安全系統。入侵檢測系統是根據入侵檢測識別庫的規則，判斷網絡中是否存在非法的訪問。它能使在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入策略集中，增強系統的防范能力，避免系統再次受到同類型的入侵。
　　4.6入侵防御系統
　　入侵防御系統(IPS)是一種主動的、積極的入侵防范、阻止系統遭受攻擊。不僅能實現檢測攻擊，還能有效阻斷攻擊，提供深層防護，注重主動防御。IPS部署在網絡的進出口處，當檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS通過一個網絡端口接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將它傳送到內部系統中，這樣，有問題的數據包以及所有來自同一數據流的后續數據包，都能在IPS設備中被清除掉。IPS在網絡邊界檢查到攻擊包的同時將其直接拋棄，則攻擊包將無法到達目標，從而可以從根本上避免黑客的攻擊。
　　4.7訪問控制
　　訪問控制決定了用戶可以訪問的網絡范圍、使用的協議、端口；能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表，它是應用在路由器接口的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至于數據包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協議等特定指示條件來決定。
　　
　　5．網絡安全策略
　　
　　5.1制定安全策略時應遵循的原則
　　適應性原則:必須是和網絡的實際應用環境相結合。
　　動態性原則:安全策略又是在一定時期采取的安全措施。由于用戶增加,網絡規模擴大,網絡技術發展,所以制定的安全措施必須不斷適應網絡發展和環境的變化。
　　簡單性原則:網絡用戶越多,網絡管理人員越多,網絡拓撲越復雜,采用網絡設備種類和軟件種類越多,網絡提供的服務和捆綁的協議越多,出現安全漏洞的可能性就越大,安全的網絡是相對簡單的網絡。
　　系統性原則:網絡的安全管理是一個系統化的工作,必須考慮到整個網絡的方方面面,也就是在制定安全策略時,應全面考慮網絡上各類用戶、各種設備、各種情況,有計劃、有準備地采取相應的策略。任何一點疏漏都會造成整個網絡安全性的降低。
　　5.2網絡規劃時的安全策略
　　明確網絡安全的責任人和安全策略的實施者。對于小型網絡來說,網絡管理員可以是網絡安全責任人。對網絡上所有的服務器和網絡設備,設置物理上的安全措施(防火、防盜)和環境上的安全措施(單獨供電、溫度)。對小型的局域網最好將網絡上的公用服務器和主交換設備安置在一間中心機房內集中放置。網絡規劃應考慮容錯和備份。安全策略不可能保證網絡絕對安全和硬件不出故障。我們的網絡應允許出現一些故障,并且可以很快恢復。網絡的主備份系統應在中心機房。如果與Internet有固定連接(靜態的IP地址),必須安裝防火墻。網絡使用代理服務器訪問Internet。不僅可以降低訪問成本,而且隱藏了網絡規模和特性,加強了網絡的安全性。
　　5.4網絡管理員的安全策略
　　最重要的是保證服務器的安全和分配好各類用戶的權限，修改默認“Administrator”用戶名,加上“強口令”(多于10個字符且必須包括數字和符號),使網絡管理員賬號不易被攻破，并且管理員賬號僅用于網絡管理,不要在客戶機上使用管理員賬號。網絡管理員必須了解整個網絡中的重要公共數據(限制寫)和機密數據(限制讀),定期對各類用戶進行安全培訓。使用最新的ServicePack升級你的系統。設置服務器的BIOS,不允許從可移動的存儲設備(軟驅、光驅)啟動。取消服務器上不用的服務和協議種類。網絡上的服務和協議越多安全性越差。不要將服務器的Windows設置為自動登錄，系統文件和用戶數據文件分別存儲在不同的卷上。鼓勵用戶將數據保存到服務器上。DOS和Windows9x客戶機沒有NT提供的安全性,所以不建議用戶在本地硬盤上共享文件。不允許一般用戶在服務器上擁有除讀ö執行以外的權限。一般不直接給用戶賦權,而通過用戶組分配用戶權限。
　　5.4網絡用戶的安全策略
　　首先用一個長且難猜的口令，不要將自己的口令告訴任何人，清楚自己私有數據存儲的位置,知道如何備份和恢復，了解網絡安全知識,養成注意安全的工作習慣，不要在本地硬盤上共享文件。其次設置屏幕保護,并且加上口令保護，當你較長時間離開機器時一定要退出網絡。最后一定要安裝啟動病毒掃描軟件。雖然絕大多數病毒對服務器不構成威脅,但會通過網絡在客戶端很快傳播開來。
　　5.5遠程訪問用戶安全策略
　　用戶在局域網和遠程登錄分別使用不同的用戶賬號和口令,因有些方式的遠程登錄、賬號和口令沒有加密,有可能被截獲。不用任何未經網絡安全管理員確認的遠程訪問軟件。最好將撥入時間、連接時間和電話號碼告知網絡安全管理員,不要遠程撥入其他未經網絡安全管理員確認的機器,尤其是該機器連接在Internet上。
　　網絡安全策略很多，這里只是列出了一部分，網絡管理員可以自己總結。總之保證網絡安全有五條措施:防火墻、安全檢查(身份認證)、加密、數字簽名、內容檢查。而所有的策略總結起來主要是兩條:(1)保護服務器;(2)保護口令。
　　
　　結束語
　　計算機網絡安全是一個涉及多方面的系統工程，需要仔細考慮系統的安全需求，并將各種安全技術結合在一起，才能有效地維護自己的網絡及信息的安全，生成一個高效、通用、安全的網絡系統。有了以上網絡安全方面的認識和手段,針對網絡的實際情況(被保護信息價值、被攻擊危險性、可投入的資金)，在網絡管理的整個過程中,具體對各種網絡安全措施進行取舍。網絡的安全策略可以說是在一定條件下的成本和效率的平衡，如何正確運用這些技術方案，應根據自身的實際情況來確定，而不要去追求所謂的設備檔次最高、技術最先進、功能無所不包的全能網絡。
　
　　參考文獻：
　　1.梁亞聲.計算機網絡安全技術教程網.北京:機械工業出版社，2004
　　2.郭麗蓉等.網絡安全技術[J].現代教育技術，2007,(1):88-89
　　3.戴軍，李鵬.計算機網絡安全技術淺析[J].中國水運，2006,(6):104-105
　　4.馮沖.網絡安全中的入侵防御系統[J].中國信息導報，2007,(I):48-51
　　5.李淑芳.網絡安個淺析.維普資訊.2006.2
　　6.梅云紅.計算機網絡安全隱患與防范策略的探討[J].計算機與信息技術.2007.
　　7.汪海慧.淺議網絡安全問題及防范對策[J].信息技術.2007.
　　8.孫曉南.防火墻技術與網絡安全[J].科技信息.2008.
　　
　　搜論文知識網致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發表、寫作指導等服務。具體發表流程為：客戶咨詢→確定合作，客戶支付定金→文章發送并發表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網系學術網站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！