浅谈计算机网络安全建设方法及安全技术

浅谈计算机网络安全建设方法及安全技术

　　随着计算机技术和通信技术的发展,计算机网络正变得日益重要,已经渗透到各行业的生产管理、经营管理等各个领域。因此,认清网络的脆弱性和存在的潜在威胁,并采取强有力的防范措施,对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。本文分析了对网络安全建设造成威胁的诸多原因,并在技术及管理方面提出了相应的防范对策。

　　摘要：随着计算机技术和通信技术的发展，计算机网络正变得日益重要，已经渗透到各行业的生产管理、经营管理等各个领域。因此，认清网络的脆弱性和存在的潜在威胁，并采取强有力的防范措施，对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。本文分析了对网络安全建设造成威胁的诸多原因，并在技术及管理方面提出了相应的防范对策。

　　关键词：计算机 网络安全 网络建设 安全技术

　　随着计算机网络的不断发展，信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点，致使网络易受攻击。具体的攻击是多方面的，有来自黑客的攻击，也有其他诸如计算机病毒等形式的攻击。因此，网络的安全措施就显得尤为重要，只有针对各种不同的威胁或攻击采取必要的措施，才能确保网络信息的保密性、安全性和可靠性。

　　1威胁计算机网络安全的因素

　　计算机网络安全所面临的威胁是多方面的，一般认为，目前网络存在的威胁主要表现在：

　　1.1非授权访问

　　没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

　　1.2信息泄漏或丢失

　　指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线监听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。

　　1.3破坏数据完整性

　　以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应;恶意添加、修改数据，以干扰用户的正常使用。

　　1.4拒绝服务攻击

　　它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

　　1.5利用网络传播病毒

　　通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

　　2网络安全建设方法与技术

　　网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略，并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全，需要从多个方面采取对策。攻击随时可能发生，系统随时可能被攻破，对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。

　　2.1计算机病毒防治

　　大多数计算机都装有杀毒软件，如果该软件被及时更新并正确维护，它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时，对于病毒库中已知的病毒或可疑程序、可疑代码，杀毒软件可以及时地发现，并向系统发出警报，准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有，对于不明来历的软件、程序及陌生邮件，不要轻易打开或执行。感染病毒后要及时修补系统漏洞，并进行病毒检测和清除。

　　2.2防火墙技术

　　防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合，能在内部网络与外部网络之间构造起一个"保护层"，网络内外的所有通信都必须经过此保护层进行检查与连接，只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问，也可以控制内部对外部特殊站点的访问，提供监视Internet安全和预警的方便端点。当然，防火墙并不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙，尽量少开端口，采用过滤严格的WEB程序以及加密的HTTP协议，管理好内部网络用户，经常升级，这样可以更好地利用防火墙保护网络的安全。

　　2.3入侵检测

　　攻击者进行网络攻击和入侵的原因，在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，比如操作系统、网络服务、TCP/IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制，那么即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。

　　基于网络的IDS，即入侵检测系统，可以提供全天候的网络监控，帮助网络系统快速发现网络攻击事件，提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流，当检测到未经授权的活动时，IDS可以向管理控制台发送警告，其中含有详细的活动信息，还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

　　2.4安全漏洞扫描技术

　　安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点，让网络管理人员能在入侵者发现安全漏洞之前，找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描，网络漏洞扫描，以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新，操作系统的漏洞随时都在发布，只有及时更新才能完全的扫描出系统的漏洞，阻止黑客的入侵。

　　2.5数据加密技术

　　数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。