计算机网络安全探讨

广东 朱土梅

随着计算机网络的普遍应用，社会各个领域对网络的高依赖性使得人们对计算机网络的运行可靠性要求变得越来越高。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战，计算机病毒无处不在，黑客的猖獗防不胜防，重要情报、资料被窃取，甚至造成网络系统的瘫痪等等。因此，网络安全问题引起全世界的关注，也成为互联网健康发展的制约因素。

一、网络安全概念

计算机网络安全是指利用网络管理控制和技术措施，使网络系统正常运行，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。所以，网络安全是随着网络的建设和应用而构建起来的一种需求。

二、威胁网络安全因素

人为因素是威胁计算机网络安全的最大因素。它是指一些不法之徒利用计算机网络存在的漏洞或潜入机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。其主要表现为以下几方面：

1.网络操作系统的不安全性

网络操作系统是指能使网络上的各台计算机方便而有效地共享网络资源，并为用户提供所需的各种服务软件。其自身的不安全性，系统开发设计的不周，都给网络安全留下隐患。

（1）操作系统结构体系的缺陷。操作系统本身有内存管理、CPU管理、外设管理，每个管理都涉及对应的模块或程序，如果这部分程序存在问题，计算机系统就会崩溃。所以，网络黑客往往是针对网络操作系统自身的漏洞进行攻击，使计算机系统，特别是服务器系统立即瘫痪。

（2）网络操作系统支持计算机在网络上传送文件、加载或安装程序，快捷方便的功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP。安装程序经常会携带可执行文件，可执行文件都是人为编写的程序，如果某个地方出现漏洞或被加入恶意代码，那么就会造成系统崩溃。

（3）操作系统某些监控进程，总是在等待某些事件的出现。如监控病毒的监控软件，其进程可能是好的，当病毒出现时就会被防病毒程序捕捉到。但某些进程是病毒，当碰到特定的情况，它就会把用户的硬盘格式化，这些进程就是很危险的监控进程。

（4）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获得对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的缺陷。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。

2.TCP/IP协议缺陷

互联网采用TCP/IP协议，该协议具有网络技术独立、互联功能强、支持多种应用协议等特点，但是由于该协议在制定时没有考虑到安全问题，所以TCP/IP协议本身存在的先天缺陷导致了互联网的安全性差。TCP/IP协议中存在的安全问题主要有：（1）鉴别攻击；（2）源地址欺骗；（3）源路由选择欺骗；（4）路由选择信息协议攻击；（5）TCP/IP协议数据流采用明文传输，用户的帐号、密码都是以明文方式传输，因此数据信息很容易被在线窃听、篡改和伪造。

3.垃圾邮件泛滥

垃圾邮件一般是指未经用户许可就强行发送到用户邮箱中的电子邮件。垃圾邮件的泛滥已经使Internet网络不堪重负。在网络中大量垃圾邮件的传播，侵犯了收件人隐私权和个人信箱的空间，占用了网络带宽，造成服务器拥塞，严重影响网络中信息的传输能力，降低了网络的运行效率。

4.防火墙的局限性

防火墙指的是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯，它甚至不能保护电脑免受所有那些它能检测到的攻击。当今，黑客的攻击手段不断更新，每天几乎都有不同系统安全问题出现。而安全工具的更新速度慢，当它刚发现并努力更正某方面安全问题时，其他新安全问题又出现了。总之，黑客总是可以使用先进的手段进行攻击。

三、加强网络安全防范措施

1.研发高安全的操作系统

研发并完善具有高安全的操作系统，不给病毒得以滋生的温床才能更安全。

（1）建立入网访问控制功能模块。入网访问控制为网络提供了第一层保护。它规定可登录到网络服务器并获取网络资源的用户条件，并控制用户入网的时间以及他们在哪台工作站入网。用户入网访问控制可分为3个过程：用户名的识别与验证；用户口令的识别与验证；用户账号的检查。3个过程中任意一个不能通过，系统就将其视为非法用户。不能访问该网络。

（2）系统软件应具备以下安全措施：操作系统应有较完善的存取控制功能，以防止用户越权存取信息；操作系统应有良好的存储保护功能。以防止用户作业在指定范围以外的存储区域进行读写：还应有较完善的管理能力，以记录系统的运行情况，监测对数据文件的存取。

2.设置代理服务器，隐藏自己的IP地址

事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。

3.保护电子邮件的安全

第一，做好邮箱的选择。现在互联网上提供的邮箱主要都是免费的，它不提供任何有效的安全保障而且有的免费邮件服务器常常会导致邮件受损。所以，单位用户应该选用收费邮箱，做好邮件的安全防范。

①保护好邮箱的密码。不要使用IE的自动完成功能，不要使用保存密码功能以图省事，邮箱账号与口令应该要取得有技巧、有难度，密码最好能有8位数，且数字字母相间，中间还用“*”号之类的允许怪符号。

②对于比较重要的邮件地址不要随便在网上暴露，将邮件信息加密处理。如使用A-LOCK，在发送邮件之前对内容进行加密。对方收到这种加密信件之后也必须用A-LOCK来进行解密才能阅读信件。

第二，防止邮件炸弹。下面介绍几种对付电子邮件炸弹的方法：

①过滤电子邮件。凡可疑的邮件尽量不要随手打开。如果怀疑邮箱有炸弹，可以用邮件程序的远程邮箱管理功能来过滤信件。在进行邮箱的远程管理时，仔细检查邮件头信息，如果发现有来历有可疑的信件或符合邮件炸弹特征的信件，可以直接把它从邮件服务器上删除。

②使用转信功能。用户一般都有几个邮箱地址。最好申请一个容量较大的邮箱作为收信信箱。对于其他各种信箱，最好支持转信功能的，并设置转信到大信箱。所有其他邮件地址的信件都会自动转寄到大信箱内，可以很好地起到保护信箱不被邮件炸弹攻击的作用。

③使用杀毒软件。一是有附件的邮件，不要立即打开，而是先保存在本地硬盘上，然后用最新版本的杀毒软件先行查杀，确保无安全威胁后才可以打开。二是注意目前网上有一些别有用心的人以网站的名义，让你接受他们通过邮件附件推给你的软件,并以种种借口要求你立即执行。对此，凡是发过来的任何程序、甚至文档都应用最新版本杀毒软件进行查杀。

4.保障下载软件的安全

对于网络软件，网上大多数的信息都是干净的，但有的黑客和“网络恐怖分子”利用各种方法在网上扩散病毒、木马等，而且手段十分狡猾、隐蔽，因此我们对下载软件绝不可大意，下载时应注意：

①应选择在访问流量最大的专业站点中下载应用软件。大型的专业站点，资金雄厚，技术成熟，水平较高，信誉较佳，设有专人维护，安全性能好，提供的软件问题较少。

②从网上下载的软件要进行杀毒处理。对下载的任何软件，不要立即使用，而应先用杀毒软件检测并进行杀毒处理。杀毒软件的病毒特征库应始终保持最新版本，最好每周升级一次，或设置为自动升级。

③防止染上“木马”。一旦染上“木马”病毒，它就会给你的操作系统留下用户不知的后门，为黑客攻击计算打开了方便之门。最简单有效的预防措施是，避免启动服务器端。删除“木马”病毒的具体操作是，先打开注册表，获取“木马”病毒的装入信息，找出S端程序放于何处，然后在注册表中的将“木马”配置键删掉，重新启动计算机，再将该程序彻底删除掉。

5.建立反黑客的“快速反应部队”

任何网站都不是绝对安全的，所以当前工作的重点是要建立一支反黑客的“快速反应部队”，同时加紧培养高水平的网络系统管理员，使他们尽快掌握那些关键技术和管理知识，尽量使用网络侦听工具，该工具可以监视网络的状态、数据流动情况及网络上传输的信息。网络侦听可以在网络上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。在网络上，侦听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。

总之，计算机网络安全是一项复杂的系统工程，它的维护需要多主体的共同参与，而且要从事前预防、事中监控、事后弥补三方面入手，在具体工作中还需要根据网络的实际情况做出细致而全面的有效安全防范措施，建立备份和恢复机制，制定相应的安全标准，才能更有效地确保计算机网络的安全性，使网络系统更安全更高效地为大家提供便捷的网络服务。

[1]马时来.计算机网络实用技术教程.清华大学出版社,2004,2.

[2]龙冬阳.网络安全技术及应用.广州:华南理工大学出版社,2006.

[3]谢希仁.计算机网络（第 5版）[M].北京：电子工业出版社,2008.

[4]王群.计算机网络安全技术.清华大学出版社,2008,7.