浅谈计算机网络安全问题及其对策

绪论网络安全根据角度的不同具体内容也不同，用户在网络上传输涉及个人隐私或商业利益的信息时受到机密性、完整性、真实性的保护，他人或对方不通过窃听、冒充、篡改等手段在网络上传递用户利益或隐私保护读写等操作，防止病毒、后门、非法访问、拒绝服务攻击、非法占用、非法控制威胁。防御和制止网络黑客的攻击。安全保密部门希望对非法的、有害的、涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免泄露机密信息，危害社会，给国家带来巨大损失。从意识形态和社会教育的角度来说，网络上不健康的内容危害和控制着社会的稳定和人类的发展。2网络安全技术概述2.1网络安全的定义国际标准化组织（ISO）对计算机系统安全的规定是：为数据处理系统所设置和使用的技术和管理的安全，保护计算机硬件、软件和数据不受意外和恶意的影响，不受破坏、更改和泄露的影响。在《计算机信息系统安全保护条例》的第三条中，关于信息系统的安全的一般要求是：对计算机的安全，包括对与其有关的设备、设施（包括网络）的安全，对工作环境的安全，对信息的安全，对电脑的正常工作，对电脑的安全。现在，对网络安全还没有形成一个统一的定义，将各个方面的观点结合起来，认为网络安全应当是指通过各种网络管理、控制、和技术措施，来保证网络系统的硬件、软件及其系统中的数据资源得到保护，不会因为某些不利因素而导致这些资源遭到破坏、更改、泄露，从而保证网络系统连续、可靠、安全地运行。网络安全是一门综合的科学，它涉及到计算机、网络、通信、密码、信息安全、应用数学、数论、信息论等多个领域。网络安全的本质是网络上的信息的安全，也就是要保证在网络环境下，信息系统的安全运行，以及在信息系统中存储、处理和传输的数据受到安全的保护，也就是说，网络系统工作的可靠性（Reliability)，信息的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。2.2网络信息安全框架网络信息安全框架反映了信息系统安全需求和体系结构的共性，其构成要素是安全特性、系统单元及TCP/IP参考模型的结构层次。如图2-1所示，为三维信息系统安全结构框架。图2-1网络信息安全框架2.2.1安全特性信息的安全性特征包含保密性，完整性，可用性和验证安全性。保密：在信息的存储和传送中，保证只有被授权的人能够获得。完整性：是指在数据的存储与传递中，数据的内容不发生变化，数据的内容也不发生变化。它具有双重含义：一是信息在使用、传递和存储过程中的不可篡改、不可丢失和不可缺失等；二是对信息的处理方式是否正确。错误的行为，例如错误地删除档案，会导致档案遗失。可用性：当系统遭到攻击时，不会造成使用者不能正常使用的情况。资料和阶段当被授权人有需求时，该关区的信息资产可以被即时获取。认证安全性：为了阻止没有权限的实体对特定资源进行访问而采用某种确认方法和技术。用了一些特殊的方法，才能登上网络。2.2.2系统单元物理单元：指硬件设备、网络设备等，解决物理环境的安全问题。网络单元：指网络传输，解决网络协议的安全缺陷。系统单元：指操作系统，解决终端和中间网络设备使用操作系统的安全问题。应用单元：指应用程序，解决应用程序的安全问题。管理单元：指网络的管理环境，建立完善的管理机制对网络资源进行安全管理。3计算机网络安全问题分析网络给人们的生活、工作和学习带来了巨大的方便，但同时，网络的安全问题也越来越受到人们的重视，并在不断地受到新的挑战。网络的安全性体现在许多方面，比如电脑系统被破坏，文件数据被窃取，机密信息被泄露等等，这些都会给用户带来不同程度的损失。对网络的恶意攻击和破坏，会给国家经济建设、社会稳定、国家安全、经济建设带来很大的危害，给人民的生活带来了很大的影响。自从上个世纪八十年代，莫里斯蠕虫被发现之后，关于这方面的消息就传遍了整个世界，而中国也经常发生这样的事情，对整个国家都造成了很大的冲击。3.1网络硬件方面存在的安全问题研究开发阶段的设计缺陷，网络化的基本原理是：在核心系统发生故障，无法正常运行的情况下，其他部件仍然可以正常运行，以确保各类信息的正确传递。在此基础上，对网络系统的要求越来越高，对其安全性的要求也越来越低。互联网一开始仅仅是一个由计算机研究人员进行开发的环境，而不是一种以利益为导向的信息传递手段，通常情况下，这个时候的互联网都没有考虑到网络安全等方面。因此，本文提出一种基于“完全可信”的联接方式安全机制，并将其应用于联接方式安全机制的研究。这就不可避免地会遭受到诸如扫描、窃听、欺骗、拒绝等多种形式的攻击。目前，无论是网络通讯还是应用通讯，都有一些设计上的漏洞，可以随意利用这些漏洞来攻击网络。在网络系统中，硬件经常会出现不同程度的安全设计漏洞。比如，网络应用的可信性差，网络技术的许多重要部件都存在着安全隐患。因此，对于系统参数的设置，还需要对其进行进一步的验证。比如，防火墙等商品的应用，能否实现其期望的效果，其本身的运行是否完整，设置参数是否存在漏洞等。在Windows桌面、

Unix操作系统、

NT操作系统和网络软件的在应用的本身，都有不同程度的缺点和缺点。当前，使用较为广泛的操作系统自身都不能充分地保证网络的安全运行。如果防火墙的设定不符合规范，则不仅无法发挥应有的功能，而且还会给网络带来其它的危险，一旦防火墙与网络相连，就有可能成为攻击的突破口。由于其具有“母线”和“星”两种类型的拓扑结构，因而在安全性方面也存在着较大的挑战。在各大商场中，一个接一个地出现了各种各样的网络产品，而在买卖的过程中，也会产生一些安全隐患。互联网的交互特性，让系统在整个链条中都会有一个脆弱的环节，而破坏了这个环节，就等于是破坏了整个系统。由于存在着各种各样的设备和操作系统，因此，网络的拓扑结构十分复杂，这就使得网络系统自身的复杂性大大提高，从而使得网络的安全管理变得更为困难和复杂。而那些入侵者，通常都可以在比较复杂的情况下，隐藏自己的真正意图，等到时机成熟时，就会全力出击，将整个体系彻底摧毁。随着互联网的发展，对互联网的安全性要求越来越高，如果互联网的配置不当，就会出现安全漏洞。除了上述的主要因素之外，自然环境也会导致网络中存在着各种各样的隐患，比如火灾、地震、水灾等自然现象，还有频繁的停电和人为断电等事件，也会对网络的安全造成很大的影响。3.2网络软件方面存在的问题3.2.1网络入侵这种入侵方式需要电脑操作员具有优秀的编程与调试能力，能熟练地掌握有关网络程序的使用方法，并利用有关技能获得合法的资格，并对未经授法的数据和文件进行存取，从而违法地进入到各个机关的内部网络的行为。通过网络攻击可以获取访问权限，写入权限，存储权限等；也可以为以后的深入和深入的研究做准备；一种破坏电脑网路的攻击，使得电脑网路的运作完全停止，无法正常运作。3.2.2后门和木马程序互联网兴起后，计算机网络的黑客们开发出一种“后门”技术，这门技术能够使他们一次又一次地闯入到其他网络系统中。木马技术就是一种特殊的后门技术，该程序主要采用远程控制等手段对互联网实施隐蔽性的进攻，因此也成为黑客们经常使用的一种网络入侵工具。3.2.3计算机病毒和蠕虫电脑病毒是指在电脑编程的时候，在电脑中注入一种可以损害电脑功能，并使对应的电脑程式失效的电脑病毒。电脑病毒不但可以让电脑不能正常工作，而且还可以自动的拷贝相关的电脑执行程式及程式。蠕虫是一类新的电脑病毒，它可以在电脑运行时，发现电脑的操作系统和软件的缺陷，然后自发地对电脑进行攻击，从而使电脑在电脑上快速、广泛地传播。电脑病毒一般都有相似之处，例如：传播迅速，危害大，隐蔽等。同时，各种计算机病毒也都有自己独特的特征，比如不需要寄生在文件上，可以在网络中制造中断的幻象，可以和其他黑客技术一起攻击计算机系统。它的破坏力，比一般的病毒要大上十倍，甚至百倍。而随着网络的发展，这些蠕虫将会迅速蔓延到整个网络，让整个网络都陷入瘫痪。3.2.4拒绝服务攻击针对DOS的袭击很简单，但是在同一时间内，袭击的结果是很明显的，因此很难找到对付此类袭击的办法。拒绝服务攻击是利用对服务的接入请求，来扰乱网络的正常运作，进而将网络与局部网络的连接部件给摧毁，进而导致整个网络失去了其服务功能。服务的入侵有很多种，比如基于WEB的服务，基于TFTP的服务，基于FTP的服务。由于其具有简单操作性、攻击隐蔽性、攻击能力强等显著优点，所以它得到了快速的发展，并得到了大量的使用。随后，一种基于分布的拒绝服务攻击（DDOS）的诞生，更是大大提高了攻击自身的层次和能力。3.2.5对加密方法的攻击这个攻击手段，是一种专门用来攻击有加密功能的文档，攻击者可以选择攻击已经加密的文档，攻击明文，攻击有选择性的加密，攻击明文，攻击手段多种多样。对于某些程序，还可以采取对应的攻击手段，比如使用DES来破解更叠的数据包，也可以使用差分攻击法、能量改变破解法等。3.2.6端口扫描在此基础上，提出了一种以用户为中心的用户获取信息为中心的策略。使用了一种可以用来对网络的数据进行搜索的方法，这样不但可以从主体中猜测出了港口的数目，还可以算出各个港口所相应的编号，从而可以根据这些数据来推断出主体系统的运作模式和操作方法，再与其他的搜索结果结合起来，最后可以得出整体的互联网的构成。3.3网络管理者存在的安全问题在网络的管理过程中，人们常常忽略了网络的安全，特别是在管理人员的配置上，似乎非常的缺乏。例如，在各高校的校园网中，通常情况下，每一所高校都会有一批专门的网络维护人员，他们的人数都很少，而且，他们还需要负责维护网络的日常运营，他们没有足够的时间和精力来对所有的计算机进行管理，因此，在学校中，对于网络安全，他们也需要采取相应的措施。目前大部分的网路都只注重网路的总体规模，而忽视网路的安全性。许多网络管理者把注意力都放在了网络的能力和规模上，对网络的安全意识不强，没有构建起网络的安全防护体系。二是缺少与网络安全有关的技术人才。目前，国内大部分的网管都缺乏对网络安全的认识，缺乏对网络安全的认识，无法应对越来越复杂、变化越来越快的网络环境。只有少数的网管没有足够的关注，没有投入足够的精力在网管上进行防护技术的研究，才能保证网管的安全。二是没有很好的保密观念，或者对保密原理不甚理解，导致网络秘密被任意泄漏；不受任何约束地印刷和拷贝保密文件；印刷体系中的保密文档太随便了，把秘密的资料泄露给了非员工。工作技能较低，因操作不当而造成文档的输出或传递给不相干的人，因未按操作规程工作而造成机密泄露。因制度不完善，导致了人为泄露。因为在网络中，人们忽略了对保密文件的管理制度，从而造成了保密文件不能妥善地保存，各个级别的文件随意堆积，以及错误操作等，从而造成了财产的损失。工作质量差，不负责任，工作态度不端正，蓄意破坏网络系统及有关设备。3.4网络用户存在的安全问题目前，国内大部分的互联网用户都没有充分地认识到网络安全的重要性。除了少数的电脑专业人士，对网络的安全有一定的了解之外，大部分的人都没有充分地认识到网络的安全防护，他们一般都会觉得，网络的维护是有关的管理者的事情，跟自己没有任何关系，这就导致了网络安全的风险。不管是企业或大学的网络，在重新构建体系结构时，一般采用的是IP技术，因此存在着被入侵的危险。当前，我国的网管技术存在着防护措施简单、主动、缺少早期报警、缺少弹性等缺陷，无法真正做到对信息资源进行有效的集中管控，无法满足信息技术飞速发展、信息资源日趋复杂化的需求。除此之外，我们的网络伦理教育还比较落后，有些人对网络数据资源的利用，浏览不健康的网站，发送和发送不健康的信息，这些问题越来越严重，根据统计，网络犯罪也在不断增加。究其原因，主要是由于我国大部分的互联网管理体制不健全，监管体系不健全，监管漏洞较多。此外，由于各个网络管理者对国家相关政策、法规和制度的宣传力度不够，导致许多人对此一无所知。4计算机网络安全防护措施研究本文中，以福建师范大学闽南科技学校园网络安全防护为例，来研究校园网络安全的防范措施。4.1加强对于硬件系统的管理在一所大学，校园网络的运营水平与学校的教学和管理质量有着密切的联系，它是一所大学发展最重要的部分。而网络管理中心，也就是校园网的核心部分，它是否能够安全、可靠地运转，与整个校园网的整体运营水平有很大的关联，因此，网络中心的安全、稳定运行是非常重要的。首先就是消防器材。电脑产品的成本比较高，一旦出现火灾，不但会给公司带来巨大的经济损失，而且还会有大量的资料遗失和损毁。为了预防火灾，应做好下列工作：（1）对安全消防设施进行经常性的检查，对损坏或过期的设施进行及时的维护和更换。(2)网络室的空调应与消防警报相连，通风管道应采用难燃材质，并设有消防阀门，温度应低于25℃，通风设备应与电热设备联接。(3)设置消防报警器和扑救装置，并设置消防控制间，以避免电磁装置的影响。设置消防专用动力装置，并安装人工开关，以确保发生意外火情时的动力供应。(4)所有的网管机房都必须使用抗静电的地面。(5)电力、信号等电缆管线应分层布线，并应采取防鼠、防潮等措施。各条电线的连接点必须坚固。电器设备的电线应满足消防要求，并应进行定期检查，查找潜在的安全隐患。各设备必须强化通风、防潮、防爆。(6)严禁在网路中央放置可燃、、、及各类腐蚀物质。其次，就是如何做好防雷工作。(1)对接地进行避雷处理的规定。网络机房所在的楼梯要遵守等压同电位的原则，所有设备的地线与保护接地，也就是屏蔽、防雷接地，使用同样的接地体接地。(2)进行雷电防护。对电网的外围设备和配电网都要做好防雷工作。通信装置的信号先经过避雷器，然后经过电缆，转接到接收器，最终由信号避雷器在终端对其进行保护。最后是监控设施。（1）前端监控：高校网络中心的重要设施应设置摄像机进行监控。（2）显示、记录：计算机中心管理办公室安装监控显示器，显示并保存摄像机拍摄的图像，以作为资料留存。（3）控制设备：在计算机中心管理办公室通过相关设备与程序完成对前段摄像机的控制工作。4.2加强系统安全漏洞防范防火墙技术：在网络安全防护中，防火墙是十分常用的防护手段，在高校的校园网中防火墙技术的应用也十分广泛。在校园网中根据需求，管理员可以通过防火墙，限制网络数据的出入，并进行数据的实时监控，保护校园网络的安全，免受黑客的恶意攻击。在大学校园网络中，通过对主机网关或子网进行屏蔽，从而增强防火墙的抵抗能力是大学校园网络的关键，在以上方案中，屏蔽子网的设计是最具优越性的，其设计思路是：在因特网、局域网之间，通过两个可过滤的路由器将子网与局域网隔离开来。这两个路由器被布置在子网的末端，因此，子网形成缓冲区，一个路由器控制

Internet数据流，另一个则负责Intranet数据流，这两个路由器都可以与子网进行访问，当不能进行数据传输时。也可以根据需要在子网中设置一个堡垒主机，可以为内网和外网之间的连接提供代理支持，在这个过程中要经过过滤路由器的分析检查。这样内部与外部用户可以通过Internet服务器也可以访问Internet对外公开的服务器。网络入侵检测技术：网络入侵检测技术可以用来检测网络内部与外部的攻击行为，它主要是采用主动监测的手段，可以检测用户的越权行为，还可以检测出非法入侵者对网络的侵入，通过网络入侵技术可以有效地弥补防火墙技术的漏洞。为防止网络内部与外部攻击，在要提供保护的网络中安装网络入侵检测系统，具体地说，网络入侵技术通过对内网与外网两个监测点的设立，实时进行入侵检测，当遇到内部攻击时，系统会及时检测出攻击者并提醒管理员做出反应；当检测到外部入侵时，防火墙将与入侵检测系统联合防止侵入者的破坏行为，从而大大的减低网络安全隐患。数据加密技术：数据加密技术是一种常用的网络安全技术，通过对数据的重新构建，确保接收方接受信息安全。这种技术提高了网络的安全保密性，是保护信息安全的重要技术方式。数据加密是一种主动地保护信息的手段，经过数据加密后的信息能够保证传输与接收时的安全，保证其不被他人截取。由于数据加密技术安全实用，所以在高校校园网络应采取其保证信息的安全传输。防病毒技术：防病毒技术的内容包括了病毒检测、扫描、分析、防护、查杀、修复等技术，它是一种对网络系统起到保护作用的一种关键的安全技术手段。电脑病毒对网络的危害是最大的威胁。当今社会，各种各样的计算机病毒不断涌现，对网络的安全性构成了极大的威胁。病毒通过电邮、ftp、即时聊天等方式，肆无忌惮地肆虐，快速地蔓延，大部分的大学校园都受到了严重的影响。由于病毒的多样性和复杂性，因此，要想在校园网络中进行病毒的预防工作，就需要建立一个立体化、分层的预防系统。具体地说，必须在互联网网关安装防毒软件，在服务器上安装防毒软件，并且要对相关的管理人员进行防病毒知识的培训，提升其防毒水平。4.3加强对应用软件的安全管理提高校园应用软件的安全性，首先要提高软件安全意识，要在软件的各个环节中，突出软件需求的提出者，软件设计的参与者，软件系统的用户，软件安全的维护者等。基于上述的理由，要从根本上来对软件安全意识与信息化建设速度相去甚远、安全措施监管不到位等问题展开全面的安全意识训练，加强对安全系统的管理，提高员工的责任感。二是要加强对系统的监控与维护。尤其要注意三个问题：（1）要严格确保软件开发与软件维护的相互隔离，软件开发者不能对软件系统的相关参数进行访问，比如数据库、日志以及配置参数等；(2)按照信息所规定的安全等级和管理原则，对系统软件进行定期的安全风险维护和分类管理，并按照相应的安全等级，选择最合适的防护方法和措施；(3)必须对软件的版本进行严格的挑选与控制，并对有关的配置进行修改与管理，以防止因系统版本的更新与配置的改变而导致的系统的操作失误。4.4提高网络管理者的网络安全意识在校园中出现的网络安全问题，大多是由于内部技术工作者不具备相关的网络维护技术和网络安全常识，使入侵者有机会攻击计算机，实现破坏计算机系统的目的。由此看出，各高校要有意识地增强管理者的责任意识和网络安全意识，进行全员的网络道德宣传、普及网络法制常识、树立正确的网络价值观及网络安全观，从人员思想上设立一道“防火墙”，从根本上防范对于校园网络的攻击。校园网络的安全关系到每个人的切身利益，因此维护校园网络的安全也是每个人应尽的义务和责任，高校要发挥校园网络系统的作用，充分利用其便利性对用户进行安全知识的普及和教育，以积极的态度宣传网络安全的重要性，向网络的使用者普及国家的法律法规以及学校制定的相关规定，并以多种方式进行宣传，如：在校园网络首页以公告形式发布、通过校园广播进行宣传、利用校园宣传栏进行宣传等等，以此来提高全校师生的责任意识和危机意识，并能够严格地按照国家网络安全的法律法规和相关约束自己的行为，自觉加入到维护校园网络安全的阵营中来，为维护校园网络安全贡献一份力量。各高校还应以多种形式培养师生的网络道德理念，加快建立高校的网络道德教育、信息安全培训，在课堂中设立相关课程，防止高校网络道德丧失的行为、学生网络犯罪的现象发生。各高校要将网络道德的规范纳入教学体系，配合使用知识讲座、校报、广播以及课堂教学等方式，使学生的上网行为更加规范，如在《大学生思想道德修养与法律基础》课程中增加“遵守社会公德、建设良好的网络环境”和“依法使用网络、做合格守法网民”等方面的内容，避免因不了解法