计算机网络安全分析研究

　　o引言

　　随着计算机网络的普及和发展，网络的运用已经渗透到各个领域。信息社会，人们对网络的依赖程度也日益加深，但随着网络迅速的发展，网络安全俨然已经成为一个潜在的巨大问题。在网络发展的大好前景下，网络信息安全为其笼罩上了一片乌云。虽然我国的计算机制造业有了很大进步，但是其核心部件的制造技术仍然是很薄弱的。计算机软件的开发和研制也同样受到国外市场的垄断，尤其是操作系统，所以我国目前运用着大量来自境外的计算机软、硬件，这就使得我国的网络安全问题不得不警钟长鸣。

　　1计算机网络安全

　　网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。国际标准化组织（ISO)定义是指网络系统的硬件、软件及其系统的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常的运行，网络服务不中断。主要涉及了机密性、完整性、可用性、可审性、真实性、可控性、抗否认性等属性造成网络安全问题的原因。

　　1.1 网络最初设计的理念

　　网络发展的早期，人们更加看重、强调的是网络的方便性和可用性，却忽略了网络的安全性。那时，网络的使用仅限于一个很小的范围，因此网络安全并没有被重视。但是随着科学技术的发展，以及人类需求的更新，网络克服了地理上的限制，把分布在一个个小范围内的网络分支，成功地联系起来，直至遍布全世界。由于网络的关联性导致此时在传送敏感性信息时，信息的安全就受到了极大的威胁。同时，各类网络产品都是在基础网络协议上发展起来的，或多或少都存在有安全隐患。

　　1.2 网络的开放性

　　因特网最根本的特征就是开放性，整个因特网就是

　　建立在自由开放的基础上的。当今网络的资源日益广泛应用，同时也为黑客的倾入提供了可乘之机。资源共享与网络安全之间的矛盾也日尖锐化。

　　1.3网络的控制管理性变差

　　随着网络遍布全世界，私有网络也因需求不可避免地与外部公众网直接或者间接地联系起来。由于网络的关联性，导致只需攻击网络链条中最薄弱的一个环节就可以使整个安全体系崩溃。从而使网络的运行环境更加复杂化，可控性急剧降低，网络安全性也变差。

　　2网络安全面临的威胁

　　现如今，网络所面临的威胁是多方面的，不仅仅是对网络信息的威胁，同样也包括网络设施。总结起来可分为3点：一是人为的疏忽大意，如操作员因配置不当造成安全漏洞，例如，防火墙的配置不当，就会给外来的攻击创造机会，用户安全意识不强，口令选择不慎，或者不及时地更新防护系统，都会造成网络安全的威胁；二是人为恶意攻击，可分为主动攻击与被动攻击，主动攻击是指攻击者通过修改、删除、延迟、复制、插入一些数据流，有目的财破坏信息，可以归纳为中断、篡改、伪造、拒绝服务4种。被动攻击则是对信息进行截获，偷听或者监视，主动攻击时比较容易被发现，但是被动攻击则很难被发现；三是网络软件的漏洞和“后门”，软件在设计和编程时，难免都会有漏洞，这就成了黑客下手攻击的对象，同时，软件开发人员为了便于维护而设置的软件“后门”，也可能成为网络安全的很大隐患；四是管理不当，造成网络设施无意或恶意的损坏。

　　3网络安全的防御措施

　　网络安全是一项复杂的工程，它涉及了技术、设备、管理使用及立法制度等各个方面的因素。想要很好地实现信息安全，就必须形成一套完备的网络信息安全体系，使得技术、设备、管理使用及立法制度等方面因素协同发展，缺一不可。

　　3.1传统技术

    3．1．1防火墙

　　防火强是一种专属的硬件，也可以是架设在一般硬件上的一套软件。在逻辑上，防火墙是一个分离器、限制器和分析器，主要作用是当2个或多个网络之间通信时，防火墙能起到控制访问的尺度，过滤信息。常见的防火墙类型有包过滤型、应用代理型、网络地址转换的NAT和监测型。防火墙的运用可最大限度地提高内外网络的正常运行，但是不能防止从LAN内部的攻击，这也就成了防火墙最大的局限性。同时，随着技术的发展，一些破译的方法也使得防火墙存在一定的隐患，所以在防火墙的技术上还有待更好的开发。常用的防火墙有天网、瑞星，还有360防火墙等。

　　3.1.2访问控制技术

　　提及访问控制技术，就必须提到访问控制技术设计到的3个基本概念及主体、客体和访问授权。主体：可以对其他实体施加动作的主动实体，有时也可称为用户或者访问者，包括用户本身、用户组、终端、卡机，甚至应用服务程序等。客体：接受其他实体访问的被动实体，它可以是信息、文件、记录，也可以是一个处理器、存储器、网络接点等。访问授权：主体对客体访问的允许权，访问授权对每一对的主题和客体是给定的。

　　访问控制技术是通过设置访问权限来限制访问主体对访问客体的访问，阻止未经允许的用户有意或无意地获取数据的技术。这项技术是网络安全防范和保护的主要策略之一，它的主要任务是保证网络资源不被非法使用和访问。访问控制技术涉及的范围比较广，包括：入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

　　3.1.3网络防病毒技术

　　计算机病毒可以是一个程序，也可以一段可执行码，能破坏计算机的正常运行，使之无法正常使用，甚至使整个操作系统或者硬盘损坏，它们就像生物病毒一样，同样可以大量自我复制并传播，造成大面积的计算机网络安全问题。

　　防病毒技术根据计算机网络病毒的作用来讲，可分为病毒防御技术、病毒检测技术、病毒清除技术等。网络大都采用CUent-Server的工作模式，需要从服务器和工作站2个结合方面解决防范病毒的问题。随着计算机网络技术的发展，网络防病毒技术的发展也将日新月异，其发展方向可大致以下述几种为主：网络操作系统和应用程序集成防病毒技术、集成化网络防病毒技术、网络开放式防病毒技术等。建立起一套全方位、多层次的防病毒系统，并及时进行系统升级，以确保网络免于病毒的侵袭。

　　3.1.4数据加密技术

　　数据加密技术是指在数据传输时，对信息进行一些形形色色的加法运算，将其重新编码，从而达到隐藏信息的作用，使非法用户无法读取信息内容，有效保护了信息系统和数据的安全性，是网络安全核心技术之一。数据加密技术可在网络OSI7层协议的多层实现，从加密技术应用的逻辑位置看，常用的数据加密方式有：链路加密（网络层以下的加密）、节点加密（协议传输层上的加密）、端对端加密（网络层以上的加密）等。按照不同的作用，数据加密技术可以分为：数据存储、数据传输、数据完整性的鉴别以及密钥管理技术等。

　　信息的加密算法或是解密算法都是在一组密钥控制下进行的。根据加密密钥和解密密钥是否相同，可将目前的加密体制分为2种：一种是当加密密钥与解密密钥对应相同时，称之为私钥加密或者对称加密体制，典型代表是美国的数据加密标志（DES);另一种是加密密钥与解密密钥不相同，通称其为公钥或者非对称加密。这种加密方式，加密密钥是可以公开的，但是解密密钥则是由用户自己持有的，典型代表为RSA体制。

　　在目前的数据加密系统中，对信息的安全性保护，主要取决于对密钥的保护，而不是对系统和硬件本身的保护，所以密钥的保密和安全管理在数据系统中是极其重要的。

　　3.1.5容灾技术

　　信息时代，数据越来越突出，数据的安全性更是影响一个机构发展的生存关键。如何使数据在灾难发生时不丢失，保障服务系统尽快正常运行，容灾技术将成为解决这一问题的能手。

　　提及容灾技术就必须提出灾难，即一切影响计算机正常工作的事件都称为灾难，包括：自然灾害、设备故障、人为破坏等。容灾就是在上诉灾难发生时，在保证生产系统的数据尽量少丢失的情况下，保持生产系统的业务不间断运行。

　　容灾的评价指标公认为：RPO(针对数据丢失）、RTO(针对服务丢失）。从其对系统的保护分类来说，可将容灾分为数据容灾和应用容灾。数据容灾就是建立一个异地的数据系统，该系统是本地关键应用数据的一个实时恢复；应用容灾是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统。在灾难发生后，将应用迅速切换到备用系统，使生产系统的业务正常运行。

　　3.2 新型技术

　　3.2.1入侵检测系统技术（IDS)

　　入侵检测技术是继“防火墙”之后，近10年来新一代网络安全保障技术，在很大程度上它弥补了防火墙的不足。它是通过对网络或者计算机系统中若干关键点收集信息并分析，检测其中是否有违反安全策略的行为，是否受到攻击，能够有效地发现入侵行为合法用户滥用特权的行为，是一种集检测、记录、报警、响应技术，能主动保护自己免受攻击的动态网络安全策略，也是P2DR的核心部分。

　　虽然目前很多“防火墙”都集成有入侵检测的模块，但是由于技术和性能上的限制，与专业的入侵检测系统还是无法相比的。专业的入侵检测系统是一种积极主动的网络安全防护工具，提供了对内部、外部攻击和误操作的实时防护，在网络系统受到危害之前拦截相应入侵。目前入侵检测系统常用的入侵检测方法包括：特征检测、异常检测、状态检测、协议分析等。

　　同时入侵检测系统也存在着一些问题，比如误报；再比如，当受到精巧及有组织的攻击时，要找出这样复杂的攻击是有难度的。从总体上来讲，入侵检测系统的发展趋势可以概括为分布式入侵检测与CIDF、应用层入侵检测、智能层入侵检测、与网络安全其他相结合的入侵检测、建立入侵检测系统评价体系。由于入侵检测系统存在的弊端，已经不能满足网络的发展需求，今后的入侵检测技术主要朝着以下几个方面发展：智能化入侵检测、大规模分布式入侵检测、应用层入侵检测、分布式入侵检测与通用入侵检测等。

　　3.2.2虚拟专用网（VPN)技术

　　虚拟专用网（VirtualPrivateNetwork，VPN)是一种基于公共数据网，给用户一种直接连接到私人局域网感觉的服务。VPN技术是依靠Internet服务提供商(ISP)和其他网络服务提供商（NSP)，在公用网络中建立专用的数据通信网络技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。按照实现技术不同，VPN可分为PPTP(Point-to-PointTunnelingProtocol),L2TP(Layer2TunnelingProto?col),MPLS(Multi-ProtocolLabelSwitch),IPSec(In?ternetProtocolSecurity)及SSL(SecureSocketsLay?er)等。

　　虚拟专用网的作用很多，比如：实现网络安全，简化网络设计，降低成本，容易扩展，连接灵活，完全控制主动权等等。在此主要探讨它的安全性，虚拟专用网大多传输的是私有信息，所以用户数据的安全性就更为关注。目前，VPN主要采用四项技术来保证信息安全，分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。通过这些技术能有力地抵制不法分子篡改、偷听、拦截信息的能力，保证数据的机密性。

　　3.2.3云安全

　　云安全是网络时代信息安全的最新体现，随着云计算成为了网络发展的热门话题，相继提出了“云安全”的概念。

　　云计算是一个新兴的商业计算模型，是分布式处理、并行处理和网络计算的发展，是一种基于互联网的超级计算模式。它利用高速互联网的传输能力，将数据的处理过程从个人计算机或服务器移到互联网上的超级计算机集群中。云计算是一个虚拟的计算资源池，它通过互联网为用户提供资源池内的计算资源。对用户而言，云计算具有随时获取、按需使用、随时扩展、按使用付费等优点。同时，云计算具有效益好、经营集约化、设备利用率高、节能降耗、服务后台化、货币化、即时化、弹性化等等诸多特点。

　　随着云计算的日渐推广和普及，云计算安全的问题也逐渐浮出水面。和传统的安全风险不同，在云计算中恶意用户和黑客都是云端互动环节攻击数据中心的，其具体变现有信息体的伪造、编造、假冒以及病毒攻击等等，并且这些危害不仅仅是发生在服务定制和交付这2个出入口，还贯穿于服务的组织、加工、整理、包装过程中。

　　与之相对应的，提出了云安全概念。云安全通过网络的大量客服端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客服端。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时即时采集、分析以及处理。

　　云安全的概念提出后，曾引发了广泛的争议，许多人认为它是伪命题，但是随着各大公司运用云安全技术实现了新一代的查杀概念，云安全技术成为了不争的事实。但同时，由于云安全仍然是门较新的技术，所以还存在许多问题需要深入的探究、解决并且依靠时间来证实。

　　3.3 管理使用及立法

　　“三分技术七分管理”，一直都是安全界的名言，网络安全管理也不例外，即使有了再好的技术，没有妥善的管理措施和立法保护措施，网络安全同样也会受到不小的威胁。只有当安全技术和计算力安全管理措施紧密结合，才能使计算机网络安全达到最好成效。

　　3.3.1对设备的管理

　　计算机机房应设在适宜的环境下，以保证计算机系统的安全性和可靠性。同时要注意机房的温度、湿度、空气清洁度、虫害、震动、冲击以及电气干扰等方面，都要有相应的标准。机房不但能抵制自然灾害的侵略，同时也要能防范人为地破坏。定期对机房周边，机房和计算机设备进行检查，确保外在安全无隐患。

　　3.3.2开展网络安全教育和网络道德教育，增强网络安全防范意识仅仅通过技术来解决网络安全问题，是不够的，只有增强了网络安全防范意识，才能使网络安全发挥到最大效能。

　　培养网络安全意识，就是通过对网民及网络管理人员开展网络安全普及教育，使人们意识到网络安全的重要性，了解并掌握一定的网络安全防范措施。经过定期的网络自查和安全更新，就能排除一些不良的网络安全威胁。比如，及时打好系统补丁、使用杀毒软件进行计算机病毒查杀、不得使用各类移动存储设备在互联网和内网之间传播不安全程序、文件等。

　　在网络道德教育方面，目前俨然已成为网络安全管理一个很重要的环节。由于计算机技术的大力发展，网络犯罪已日趋恶劣化、低龄化、复杂化、广泛化、损失严重化。所以通过教育宣传等手段来增强人们网络道德观，提高他们对网络不良文化和违法行为的免疫力、抵制力。尤其是在中学生中，一定要重视这一问题的教育，提早让学生对网络信息有着正确的判断分析能力。3.3.3严格制定并遵守网络安全规章制度

　　遵照国家和本部门相关信息安全的技术标准和管理规范，针对本部门专项应用，对信息管理和对系统流程的各个环节进行安全评估，设定安全应用等级，明确人员职责，制定安全规章制度的分步实施方案，要求相关人员严格遵守操作，达到安全和应用的科学平衡。

     3.3.4完善网络安全立法，加强网络法律监管

　　我国目前已经出台了多项有关网络安全的法律，但是与网络发展的速度相比还是相对滞后的，而且现有的法律大多过于庞杂，其间的协调性和相通性也不够，缺乏系统规范性和权威性。因此加快制定和完善网络安全的相关法律是迫在眉睫的。在制定网络安全相关法律时，可以借鉴国外成功的经验，与国际有关的法律法规相接轨，并结合我国的实际情况，趋利避害，最终既定出一套适用于我国的网络安全法律。

　　仅仅有了网络法是不够的，还必须加强网络法律的监管力度。建立一支高素质的网络执法队，使其熟练掌握网络信息技术、安全技术，能够在第一时间内发现不法的网络犯罪行为，提高执法效率。加大网络违法犯罪的处罚力度，查封和大力打击网络有毒、有害的信息，定时整顿网络的秩序。让网络安全相关法律也真正做到“有法可依，有法必依，执法必严，违法必究”的原则。

　　4结语

　　众所周知不管是要想更好更快实现以上的技术，还是管理及立法，都需要资金的辅助，所以应在网络安全工程事业投入足够的资金，以确保我国网络安全工程事业的稳步发展。相信，通过国家高度的重视，技术人员不懈的努力，管理人员认真的态度，广大网民不断提高的网络安全意识，网络安全发展前景定会一片光明。现今时代，网络是否安全，已经影响到各行各业的生死存亡以及发展状况，也是未来社会发展好坏的一个重要的影响因素。总之，只有把好了网络安全的关卡，网络时代的网络空间才会为人类最大限度发挥其保障、服务的作用。