喬加強

摘要 在應用計算機網(wǎng)絡的同時，必須重視計算機網(wǎng)絡的安全問題。本文圍繞著計算機網(wǎng)絡的安全問題展開論述，論述了計算機網(wǎng)絡安全的基本要求，指出了計算機網(wǎng)絡面臨的安全威脅，并介紹了四種防御技術，也指出了幾種防御技術的不足之處。

【關鍵詞】網(wǎng)絡安全 安全威脅 防御技術

計算機網(wǎng)絡技術發(fā)展迅速，計算機網(wǎng)絡在社會的眾多領域都扮演著日益重要的角色。然而，計算機網(wǎng)絡也面臨著多種安全威脅。在應用計算機網(wǎng)絡時，須要重視安全問題。

1 網(wǎng)絡安全的基本要求

安全的網(wǎng)絡環(huán)境有以下基本要求：

（1）機密性及保密性：機密性是指網(wǎng)絡信息不能被非授權訪問;保密性是指網(wǎng)絡信息不會泄露給非授權用戶。

（2）完整性：完整性是指網(wǎng)絡信息不能被非授權改寫，即網(wǎng)絡信息在存儲或傳輸時不會發(fā)生被偶然或蓄意地修改、刪除、偽造、插入等破壞。

（3）可用性：可用性是指網(wǎng)絡信息資源隨時可以提供服務，即授權用戶可以根據(jù)需要隨時訪問網(wǎng)絡信息資源。

（4）可靠性：可靠性是指網(wǎng)絡信息系統(tǒng)能夠在規(guī)定的時間里和規(guī)定的條件下完成規(guī)定功能的特性?？煽啃杂职ㄓ布煽啃浴④浖煽啃?、環(huán)境可靠性及人員可靠性等。

（5）不可否認性：不可否認性是指在網(wǎng)絡系統(tǒng)的信息交互過程中，參與者的真實與同一是肯定的，即所有參與者都無法否認或抵賴曾做過的操作和承諾。

（6）可控性：可控性是指對網(wǎng)絡信息的內容和傳播都具有控制能力的特性。

2 網(wǎng)絡安全的威脅

安全威脅的源頭有很多，系統(tǒng)漏洞、線纜連接、身份鑒別等許多方面都帶有安全隱患。安全威脅可以分為故意的和偶然的兩類，故意的如系統(tǒng)入侵，偶然的如自然災害。自然災害和意外事故會對計算機網(wǎng)絡設備造成破壞，并會使計算機網(wǎng)絡中信息的安全性、完整性及可用性受到威脅。說到故意威脅，故意威脅主要來自于兩大類攻擊，分別是主動攻擊和被動攻擊。被動攻擊不對網(wǎng)絡信息進行修改和破壞，只對信息進行監(jiān)聽，而主動攻擊會對信息進行篡改和破壞。

若從攻擊對象的角度對網(wǎng)絡攻擊行為進行分類，可以分為對通信本身的攻擊和利用網(wǎng)絡對計算機系統(tǒng)的攻擊。攻擊者對網(wǎng)絡通信的攻擊有四種基本的攻擊形式：

（1）截獲：攻擊者通過網(wǎng)絡竊聽他人通信的內容;

（2）中斷：攻擊者惡意中斷他人的網(wǎng)絡通信：

（3）篡改：攻擊者惡意篡改通過網(wǎng)絡傳送的信息;

（4）偽造：攻擊者偽造虛假信息并通過網(wǎng)絡傳送。

攻擊者通過網(wǎng)絡可進行的對計算機系統(tǒng)的攻擊則有更多的形式，例如拒絕服務攻擊和惡意程序攻擊等等。

僅僅惡意代碼攻擊就有很多種形式，舉幾個例子：

（1）計算機病毒：計算機病毒是可自我復制的、可傳染的破壞計算機功能及數(shù)據(jù)的代碼：

（2）網(wǎng)絡蠕蟲：網(wǎng)絡蠕蟲是通過網(wǎng)絡傳播的可以掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的結點主機的惡意程序或代碼;

（3）特洛伊木馬：特洛伊木馬是具有隱蔽性的由遠端控制的執(zhí)行非授權功能的惡意程序。

3 防御技術

3.1 操作系統(tǒng)的安全配置

操作系統(tǒng)的安全是計算機網(wǎng)絡安全的關鍵。盡管目前的幾大操作系統(tǒng)的安全級別都是比較高的，但是仍然存在著漏洞。全面地考慮操作系統(tǒng)中有隙可乘的薄弱環(huán)節(jié)并對操作系統(tǒng)進行安全配置，可以成功防御很多的安全威脅。

3.2 數(shù)字加密技術

在計算機網(wǎng)絡通信中，先采用密碼技術對將要發(fā)送的信息進行數(shù)據(jù)加密，再將加密后的信息傳輸出去，接受者在接到密文后，用解密密鑰將密文解密即可獲取原本的信息。通過使用密碼技術，使得信息在傳輸過程中即便被竊取或截獲，截取者也無法獲取信息的內容。數(shù)字加密技術保證了計算機網(wǎng)絡信息的機密性、報文完整性與不可否認性，并使通信者可鑒別對方的身份。具體的加密技術有DES對稱加密技術、RSA公鑰加密技術、PGP加密技術、數(shù)字信封、數(shù)字簽名等。

3.3 防火墻技術

防火墻是一個由硬件設備和軟件組合而成的介于內部網(wǎng)與外部網(wǎng)或專用網(wǎng)與公用網(wǎng)之間的保護屏障，防火墻技術是一種訪問控制技術，它把控著內外網(wǎng)絡數(shù)據(jù)的流入流出，防火墻就像是一個門衛(wèi)，它允許“同意”的數(shù)據(jù)通過，禁止“不同意”的數(shù)據(jù)通過，因而它為計算機或內部網(wǎng)減少了潛在入侵的發(fā)生。防火墻主要由四個部分組成：服務訪問規(guī)則、驗證工具、包過濾、應用網(wǎng)關。有三種常見的防火墻類型，分別是分組過濾防火墻、應用代理防火墻及狀態(tài)檢測防火墻。防火墻是計算機網(wǎng)絡系統(tǒng)防御的第一道防線。

3.4 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）是網(wǎng)絡系統(tǒng)防御的第二道防線，位于防火墻之后。當外部攻擊或違反安全策略的行為成功通過防火墻進入到系統(tǒng)，入侵檢測系統(tǒng)將檢測到該行為并發(fā)出報警或執(zhí)行阻斷操作。入侵檢測系統(tǒng)是一種硬件或軟件系統(tǒng)，它是實時監(jiān)控系統(tǒng)的，它能夠對非授權使用系統(tǒng)資源的行為及時地做出判斷并記錄，繼而向網(wǎng)絡管理員報警。IDS的具體功能有：

（1）識別黑客常用的入侵與攻擊手段;

（2）監(jiān)控網(wǎng)絡異常通信;

（3）鑒別對系統(tǒng)漏洞及后門的利用;

（4）完善網(wǎng)絡安全管理。

4 防御技術的挑戰(zhàn)

操作系統(tǒng)若存在著一些未知的漏洞，且入侵者先于網(wǎng)絡管理者發(fā)現(xiàn)這些漏洞并借以利用，可能會使整個操作系統(tǒng)都處于危險狀態(tài)。數(shù)據(jù)加密技術也有其挑戰(zhàn)，隨著各種加密技術的應用，對應的密碼破解機制一直緊隨其后，因而必須不斷地更新密碼技術。目前，防火墻技術也是有局限性的。防火墻仍然難以防范一些利用系統(tǒng)漏洞或者網(wǎng)絡協(xié)議漏洞發(fā)起的攻擊。另外，防火墻對惡意代碼的防御能力也是有限的，它不能有效地防止病毒、木馬等的攻擊。不同的防火墻技術自身也存在不足之處，例如分組過濾防火墻并不能防止IP地址欺騙，應用代理防火墻可能自身存在軟件漏洞。難以避免的，入侵檢測系統(tǒng)常常發(fā)生對入侵及異常的漏報或誤報，只有更佳地完善入侵檢測技術，IDS才能更準確、更全面地發(fā)揮其防御作用。

參考文獻

[1]馬麗梅，王方偉等，計算機網(wǎng)絡安全與實驗教程（第二版）[M].北京：清華大學出版社，2016.

[2]謝希仁，謝鈞.計算機網(wǎng)絡教程（第四版）[M].北京：人民郵電出版社，2014.