王暢 王玲

摘 要： 隨著計算機網絡的發(fā)展，網絡中的安全問題也日趨嚴重。計算機網絡安全不僅包括組成網絡系統(tǒng)的硬件、軟件，而且包括在網絡上傳輸信息的安全性，很多人會認為網絡安全是純技術方面的問題，其實則不然，它還包括管理方面的問題，這兩個方面相互統(tǒng)一、相互聯系，相輔相成，缺一不可。

關鍵詞： 計算機網絡安全 攻擊 通信策略

一、引言

21世紀的一些重要特征是數字化、網絡化和信息化，可以說，21世紀是一個以網絡為核心的信息時代。隨著計算機網絡的發(fā)展，網絡中的安全問題也日趨嚴重。當網絡中的用戶來自社會的各個階層和角落時，大量存儲在網絡上或傳輸在網絡上的數據就需要被保護。本文作者將對計算機網絡安全問題進行初步的討論。

二、計算機網絡安全的含義

計算機網絡安全的具體含義可以說并不是統(tǒng)一的、一成不變的。對于使用者來講，使用者不同，對網絡安全的認識和要求也就不同。比如說，從一般使用者的角度來講，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而對于網絡提供商來講，除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)情況對網絡硬件和軟件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。

那么，到底計算機網絡安全包括哪些部分呢？其實，網絡安全不僅包括組成網絡系統(tǒng)的硬件、軟件，而且包括在網絡上傳輸信息的安全性，從而使得網絡不會因為偶然的或者惡意的攻擊遭到破壞。很多人會認為網絡安全是純技術方面的問題，其實則不然，它還包括管理方面的問題，這兩個方面相互統(tǒng)一、相互聯系，相輔相成，缺一不可。

三、計算機網絡面臨的安全性威脅

計算機網絡設計最初的目的是為了實現資源共享、分散控制和分組交換，這就要求互聯網具有大跨度、分布式、無邊界的特征。正是由于這種開放性，使得黑客偷偷潛入各級網絡，并對網絡產生破壞性的行為。此外，計算機網絡的傳輸協議及操作系統(tǒng)本身也存在設計上的缺陷和漏洞，從而有潛在的被破壞的危險性。因此，網絡安全問題面臨著嚴峻的挑戰(zhàn)。

目前，計算機網絡上的通信面臨四種威脅：截獲、中斷、篡改和偽造。這四種威脅又可劃分為主動攻擊和被動攻擊兩大類。截獲信息的攻擊稱為被動攻擊，更改信息或拒絕用戶使用資源的攻擊稱為主動攻擊。

在主動攻擊中，是指攻擊者對某個連接中的PDU進行各種處理，比如說更改、刪除這些PDU，等等。所有的主動攻擊都是各種方法的某種組合。主動攻擊一般可分為更改報文流、拒絕報文服務和偽造連接初始化三種類型，當然除此之外，還有一種特殊的主動攻擊，那就是惡意程序的攻擊。惡意程序的種類繁多，對網絡安全的威脅較大，主要包括計算機病毒、計算機蠕蟲、特洛伊木馬和邏輯炸彈。

在被動攻擊中，攻擊者只是分析某一個PDU，并不干擾信息流。攻擊者可以了解正在通信的協議地址和身份，研究PDU的長度和性質。即便是這些數據對于攻擊者來講并不是能理解的，他仍然可以觀察、了解PDU的信息部分。

四、計算機網絡安全的內容

1.保密性。計算機網絡安全最為重要的內容就是給用戶提供安全可靠的保密通信。雖然計算機網絡安全不是局限于保密性，但如果連給用戶提供安全可靠的保密通信都做不到，那說明計算機網絡絕對是不安全的。

2.安全協議。目前在安全協議的設計方面，主要是設計安全的通信協議。但設計安全的通信協議不是件容易的事，一般采用形式化方法、經驗分析協議的方法和找漏洞的分析方法來保證通信的安全。

3.接入控制。要求對接入網絡的權限進行控制，并設定相關的權限。計算機網絡是個非常龐大、復雜的系統(tǒng)，在接入控制系統(tǒng)的設計中，要用到加密技術。

五、計算機網絡安全的策略分析

剛才我們已經說過，計算機網絡的威脅可分為主動攻擊和被動攻擊，其實為了應對不斷更新變化的網絡威脅手段，網絡安全技術也包括被動防護和主動檢測兩個方面。主要的網絡安全技術包括：加密保護、防火墻技術、VPN技術、入侵檢測與防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術，入侵檢測、入侵防御和漏洞掃描屬主動檢測技術。這些技術領域的研究成果已經成為眾多信息安全產品的基礎。

1.加密保護

為了防止在網絡上傳輸的數據被攻擊者惡意截取或篡改，我們可以對數據進行加密。如果沒有密鑰，即使是數據被別人竊取也無法得到正確的數據，這在一定程度上保證了數據的安全。我們可以采用對稱加密和非對稱加密的方法來解決。對稱加密體制就是指加密密鑰和解密密鑰相同的機制，常用的算法為數據加密標準DES算法。而非對稱加密是指加密和解密使用不同的密鑰，每個用戶保存一個公開的密鑰和秘密密鑰。公開密鑰用于加密密鑰而秘密密鑰則需要用戶自己保密，用于解密密鑰。

2.防火墻技術

防火墻是一種保障計算機網絡安全的重要手段，它的主要目標就是通過控制網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網絡和Internet之間地任何活動，保證了內部網絡地安全。防火墻可以是獨立的系統(tǒng)，也可以在一個進行網絡互連的路由器上實現防火墻。常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過，依據系統(tǒng)事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址，以及包所使用的端口確定是否允許該類數據包通過；狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節(jié)，保護其中的主機及其數據。

3.VPN技術

VPN即虛擬專用網絡，它是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶、公司分支機構、商業(yè)伙伴及供應商與內部網建立可信的安全連接，并保證數據的安全傳輸。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息的泄露、篡改和復制。

4.入侵檢測與防御技術

入侵檢測技術可以看做是防火墻的有效補充，用來檢測任何想要損害網絡安全的攻擊行為。入侵檢測技術能夠幫助系統(tǒng)對付已知和未知網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性。

入侵防御系統(tǒng)則是一種主動的、積極的入侵防范和阻止系統(tǒng)，簡稱成IPS。它的防御功能類似于防火墻，IPS是置于網絡的進出口處，一旦檢測到攻擊時，就自動采取措施將其阻斷。但是它不能代替防火墻，當然，防火墻也不能代替IPS，它們在不同的過濾方面發(fā)揮著各自最大的功能。

5.漏洞掃描技術

漏洞掃描技術屬于主動防范技術，它可以通過將端口掃描的信息與系統(tǒng)提供的漏洞進行比對、匹配，以及模擬黑客攻擊的方法來保證主機系統(tǒng)的安全。

除了上述幾種策略以外，還有一些其他的技術可以有效地保證網絡安全。這里我就不一一說明了。

六、結語

計算機網絡安全是一個復雜的問題，是一個涉及范圍廣泛的問題。本文從多方面分析了計算機網絡安全問題和策略，目的在于為用戶提供信息的保密，使網絡中的服務、數據，以及系統(tǒng)減小或免受侵擾和破壞。社會，是不斷變化發(fā)展的社會，我相信計算機網絡應用安全問題也一樣會隨著各種新技術和算法的出現而不斷更新和復雜化，而解決這一問題的相關策略也將會原來越多，越來越先進。

參考文獻：

［1］葛秀慧.計算機網絡安全管理（第2版）.清華大學出版社，2008.5.

［2］謝希仁.計算機網絡（第四版）.電子工業(yè)出版社，2006.6.

［3］王群.計算機網絡安全技術.清華大學出版社，2008，7.