浅谈对计算机网络安全的认识

浅谈对计算机网络安全的认识

摘要

计算机网络的发展，特别是互联网的普及，使人们的学习、工作和生活方式发生了很大的变化，与计算机网络的联系也越来越密切。计算机网络系统提供了丰富的资源以便用户共享，提高了系统的灵活性和便捷性，但也正是这些特点，增加了网络系统的脆弱性、网络受威胁和攻击的可能性以及网络安全的复杂性。

关键字：计算机 网络安全 安全模型 安全措施

1.引言

近年来，随着计算机网络的普及与发展，我们的生活和工作都越来越依赖于网络。国家政府机构、各企事业单位不仅建立了自己的局域网系统，而且通过各种方式与互联网相连。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。所以，我们在利用网络的同时，也应该关注网络安全问题，加强网络安全防范，防止网络的侵害，让网络更好的为人们服务。

2.网络安全概述

2.1网络安全简介

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

2.2网络安全的主要目标

网络安全的目标主要表现在系统的可靠性、可用性、保密性、完整性、不可抵赖性和可控性等方面。

（1）可靠性

可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠

性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。可靠性用于保证在人为或者随机性破坏下系统的安全程度。

（2）可用性

可用性是网络信息可被授权实体访问并按需求使用的特性。可用性是网络信息系统面向用户的安全性能。可用性应满足身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪等要求。

（3）保密性

保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特性。保密性主要通过信息加密、身份认证、访问控制、安全通信协议等技术实现，它是在可靠性和可用性的基础之上，保障网络信息安全的重要手段。

（4）完整性

完整性是网络信息未经授权不能进行改变的特性，即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

（5）不可抵赖性

不可抵赖性是指在网络信息系统的信息交互过程中，确信参与者的真实同一性，利用信息源证据防止发信方不真实地否认已发送信息，利用递交接收证据防止收信方事后否认已经接收的信息。

（6）可控性

可控性是对网络信息的传播及内容具有控制能力的特性。

2.3网络安全的类别

（1）物理安全

物理安全指网络系统中相关设备的物理保护，以免予破坏、丢失等。通常的物理网络安全措施是使用物理隔离设备，物理隔离设备的作用是使网络之间无连接的物理途径，这样，内网的信息不可能外泄。

（2）逻辑安全

逻辑安全指的是通过软操作方式来实现网络安全的措施，通常指的是用户通过安装杀毒软件、系统补丁，关闭服务、端口，加密等多种方式实现网络安全的过程。逻辑安全包括信息保密性、完整性和可用性。

（3）操作系统安全

每一种网络操作系统都采用了一些安全策略，并使用了一些常用的安全技术，但是目前很难找到一款安全的网络操作系统。对操作系统安全而言，应该注意以下几个方面：

（1）为操作系统选择优秀的杀毒软件和防火墙系统。

（2）设置操作系统管理员账号和密码，并且要保证密码足够强壮。

（3）对系统进行分角色管理，严格控制系统用户。

（4）定期进行系统扫描，及时安装系统补丁程序。

（5）对系统进行备份，定期进行磁盘扫描，检测系统是否出现异常。

（6）可以安装外壳软件或蜜罐系统进行反跟踪。

（4）联网安全

网络按照其工作方式划分为两级体系结构，即把由发送端和接收端组织的网络称

为资源子网，把由中间的链路机构成的网络称为通信子网，所以联网的安全性就体现在内部网络安全和外部网络安全两个方面。

内部网络的安全性表现在不向外部网络发送非安全数据，如病毒等，对来自外部

网络的攻击有一定的防御能力，保护联网资源不被非授权使用。外部网络安全指的是通过数字加密等方式认证数据机密性与完整性，保证数据通信的可靠性。

2.4网络安全模型

（1）PDRR安全模型 PDRR是美国国防部提出的常见安全模型。它概括了网络安全的整个环节，即防护（Protect）、检测（Detect）、响应（React）、恢复（Restore）。这4个部分构成了一个动态的信息安全周期，如下图所示。

（2）PPDR安全模型

PPDR是美国国际互联网安全系统公司提出的可适应网络安全模型，它包括策略

（Policy）、保护（Protection）、检测（Detection）、响应（Response）4个部分。PPDR模型如下图所示。

2.5安全层次设计

网络安全贯穿于整个OSI网络模型。针对TCP/IP协议，网络安全应贯穿于信息系

统的4个层次。网络安全体系层次模型如下所示。

2.6安全设计原则

在进行计算机网络安全设计、规划时，应遵循以下原则：

（1）需求、风险、代价平衡分析的原则。

（2）综合性、整体性原则。

（3）一致性原则。

（4）易操作性原则。

（5）适应性、灵活性原则。

3.网络安全威胁分类

3.1物理威胁

物理威胁在网络中实际上是最难控制的，它可能来源于外界的有意或无意的破坏。物理威胁有时可以造成致命的系统破坏，例如系统的硬件措施遭受严重的破坏。

物理威胁的防治虽然很重要，然而在网络维护中很多物理威胁往往被忽略，如网络设备被盗等。另外，在更换设备的时候，进行系统信息的销毁也十分重要。如在更换磁盘时，必须经过格式化处理过程，因为反删除软件很容易获取仅从磁盘上删除的文件。

3.2系统漏洞威胁

（1）端口威胁

端口威胁是系统漏洞威胁的重要方面，一般的操作系统都有很多端口开放，在用户上网的时候，网络病毒和黑客可以通过这些端口连接到用户的计算机上。潜在的端口开放相当于给系统开了一个后门，病毒和网络攻击者可以通过开放的端口入侵系统。

（2）不安全服务

操作系统的部分服务程序不需要进行安全认证服务就可以登录，这些程序一般都是基于UDP协议的，它的无认证服务导致系统很有可能被病毒和网络攻击者控制。此类服务在使用完毕后应该立即停止，否则将造成系统不可挽回的损失。例如，基于UDP协议的TFTP服务就是一种不安全的机制，它是不经过认证的网络服务方式，一旦安装在计算机上并开启服务，就相当于提供了一个和FTP类似的服务功能，与FTP惟一不同的是，它访问网络根本就不需要认证。

（3）配置和初始化

有些系统提供认证和匿名两种方式，所以如何区分服务方式和如何进行系统服务的初始化配置非常关键。例如，FTP服务器默认就提供了匿名访问方式，到底是否提供用户认证访问方式，在系统的配置中非常关键。一些不同的服务系统本身对服务方式的提供有不同的方式，比如IIS服务器中默认是禁止目录浏览的，而Apache系统中默认就可以实现目录浏览，所以必须根据网络需求选择。

3.3身份鉴别威胁

（1）假冒

假冒的身份鉴别通常是用一个模仿的程序代替真正的程序登录界面，设置口令圈套，以窃取口令。

（2）密码暴力破解

按照密码学的观点，任何密码都可以被破解出来，任何密码都只能在一段时间内保持

系统的安全性。这就提示用户，账号和密码必须足够强壮才能保持系统的安全性。

3.4病毒和黑客威胁

病毒是一段可执行的恶意程序,它可以对计算机的软件和硬件资源进行破坏。计算机病毒寄生在系统内部，不易被发现，具有很强的传染性，一旦病毒被激活，就可能对系统造成巨大的危害。

黑客威胁是目前网络的又一大威胁，黑客是指非法入侵别人计算机系统的人，他们通常带有某种目的，通过系统漏洞非法入侵。

4.计算机网络安全的防范措施

针对网络系统现实情况，处理好网络的安全问题是当务之急。为了保证网络安全采用如下方法：

（一）配置防火墙。防火墙将内部网和公开网分开，实质上是一种隔离技术。它是网络安全的屏障，是保护网络安全最主要的手段之一。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客随意访问自己的网络。防火墙是一种行之有效且应用广泛的网络安全机制，防止网络上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。

（二）安装防病毒网关软件。防病毒网关放置在内部网络和互联网连接处。当在内部网络发现病毒时，可能已经感染了很多计算机，防病毒网关可以将大部分病毒隔离在外部，它同时具有反垃圾邮件和反间谍软件的能力。当出现新的病毒时，管理员只要将防病毒网关升级就可以抵御新病毒的攻击。

（三）应用入侵检测系统。入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。它能够检测那些来自网络的攻击，检测到超过授权的非法访问。一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务的性能。它从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

（四）利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，可以采用对各个子网做一有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序，该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中

各个服务器的审计文件提供备份。

（五）应用数据加密技术。数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。

（六）常做数据备份。由于数据备份所占有的重要地位，它已经成为计算机领域里相对独立的分支机构。时至今日，各种操作系统都附带有功能较强的备份程序，但同时也还存在这样或那样的缺陷;各类数据库管理系统也都有一定的数据复制的机理和功能，但对整个系统的数据备份来说仍有不够完备之处。所以，如想从根本上解决整个系统数据的可靠备份问题，选择专门的备份软、硬件，建立专用的数据备份系统是不可缺少的。

结束语

网络安全是一门涉及计算机科学、通信技术、网络技术、密码技术、信息安全技术、数论、信息论等 多种学科的综合性学科。网络安全设计的内容既有技术方面的问题又有管理方面的问题，两方面互相补充 缺一不可。现在我们个人最常使用的网络安全防范措施就是杀毒软件、备份自己的重要东西内容、通过杀毒软件的功能设置防火墙和添加黑名单。本文只是就自己所学的最简单最基本的网络安全知识进行一个简单的总结，希望自己能将所学的理论知识应用于日后生活与工作中。

参考文献：

1.《网络安全与管理》 西北工业大学出版社 2009年2月第1版 王建平 主编

2.谢希仁.计算机网络（第5 版）[M].北京：电子工业出版社,2008

3. 王达.网管员必读——网络安全[M].北京：电子工业出版社,2007.

本文来源：https://www.bwwdw.com/article/9jue.html