计算机网络安全威胁及防御技术

计算机网络技术发展迅速，计算机网络在社会的众多领域都扮演着日益重要的角色。然而，计算机网络也面临着多种安全威胁。在应用计算机网络时，须要重视安全问题。

1网络安全的基本要求

安全的网络环境有以下基本要求：（1）机密性及保密性：机密性是指网络信息不能被非授权访问；保密性是指网络信息不会泄露给非授权用户。（2）完整性：完整性是指网络信息不能被非授权改写，即网络信息在存储或传输时不会发生被偶然或蓄意地修改、删除、伪造、插入等破坏。（3）可用性：可用性是指网络信息资源随时可以提供服务，即授权用户可以根据需要随时访问网络信息资源。（4）可靠性：可靠性是指网络信息系统能够在规定的时间里和规定的条件下完成规定功能的特性。可靠性又包括硬件可靠性、软件可靠性、环境可靠性及人员可靠性等。（5）不可否认性：不可否认性是指在网络系统的信息交互过程中，参与者的真实与同一是肯定的，即所有参与者都无法否认或抵赖曾做过的操作和承诺。（6）可控性：可控性是指对网络信息的内容和传播都具有控制能力的特性。

2网络安全的威胁

安全威胁的源头有很多，系统漏洞、线缆连接、身份鉴别等许多方面都带有安全隐患。安全威胁可以分为故意的和偶然的两类，故意的如系统入侵，偶然的如自然灾害。自然灾害和意外事故会对计算机网络设备造成破坏，并会使计算机网络中信息的安全性、完整性及可用性受到威胁。说到故意威胁，故意威胁主要来自于两大类攻击，分别是主动攻击和被动攻击。被动攻击不对网络信息进行修改和破坏，只对信息进行监听，而主动攻击会对信息进行篡改和破坏。若从攻击对象的角度对网络攻击行为进行分类，可以分为对通信本身的攻击和利用网络对计算机系统的攻击。攻击者对网络通信的攻击有四种基本的攻击形式：（1）截获：攻击者通过网络窃听他人通信的内容；（2）中断：攻击者恶意中断他人的网络通信；（3）篡改：攻击者恶意篡改通过网络传送的信息；（4）伪造：攻击者伪造虚假信息并通过网络传送。攻击者通过网络可进行的对计算机系统的攻击则有更多的形式，例如拒绝服务攻击和恶意程序攻击等等。仅仅恶意代码攻击就有很多种形式，举几个例子：（1）计算机病毒：计算机病毒是可自我复制的、可传染的破坏计算机功能及数据的代码；（2）网络蠕虫：网络蠕虫是通过网络传播的可以扫描和攻击网络上存在系统漏洞的结点主机的恶意程序或代码；（3）特洛伊木马：特洛伊木马是具有隐蔽性的由远端控制的执行非授权功能的恶意程序。

3防御技术

3.1操作系统的安全配置。操作系统的安全是计算机网络安全的关键。尽管目前的几大操作系统的安全级别都是比较高的，但是仍然存在着漏洞。全面地考虑操作系统中有隙可乘的薄弱环节并对操作系统进行安全配置，可以成功防御很多的安全威胁。3.2数字加密技术。在计算机网络通信中，先采用密码技术对将要发送的信息进行数据加密，再将加密后的信息传输出去，接受者在接到密文后，用解密密钥将密文解密即可获取原本的信息。通过使用密码技术，使得信息在传输过程中即便被窃取或截获，截取者也无法获取信息的内容。数字加密技术保证了计算机网络信息的机密性、报文完整性与不可否认性，并使通信者可鉴别对方的身份。具体的加密技术有DES对称加密技术、RSA公钥加密技术、PGP加密技术、数字信封、数字签名等。3.3防火墙技术防火墙是一个由硬件设备和软件组合而成的介于内部网与外部网或专用网与公用网之间的保护屏障，防火墙技术是一种访问控制技术，它把控着内外网络数据的流入流出，防火墙就像是一个门卫，它允许“同意”的数据通过，禁止“不同意”的数据通过，因而它为计算机或内部网减少了潜在入侵的发生。防火墙主要由四个部分组成：服务访问规则、验证工具、包过滤、应用网关。有三种常见的防火墙类型，分别是分组过滤防火墙、应用防火墙及状态检测防火墙。防火墙是计算机网络系统防御的第一道防线。3.4入侵检测系统。入侵检测系统（IDS）是网络系统防御的第二道防线，位于防火墙之后。当外部攻击或违反安全策略的行为成功通过防火墙进入到系统，入侵检测系统将检测到该行为并发出报警或执行阻断操作。入侵检测系统是一种硬件或软件系统，它是实时监控系统的，它能够对非授权使用系统资源的行为及时地做出判断并记录，继而向网络管理员报警。IDS的具体功能有：（1）识别黑客常用的入侵与攻击手段；（2）监控网络异常通信；（3）鉴别对系统漏洞及后门的利用；（4）完善网络安全管理。

4防御技术的挑战

操作系统若存在着一些未知的漏洞，且入侵者先于网络管理者发现这些漏洞并借以利用，可能会使整个操作系统都处于危险状态。数据加密技术也有其挑战，随着各种加密技术的应用，对应的密码破解机制一直紧随其后，因而必须不断地更新密码技术。目前，防火墙技术也是有局限性的。防火墙仍然难以防范一些利用系统漏洞或者网络协议漏洞发起的攻击。另外，防火墙对恶意代码的防御能力也是有限的，它不能有效地防止病毒、木马等的攻击。不同的防火墙技术自身也存在不足之处，例如分组过滤防火墙并不能防止IP地址欺骗，应用防火墙可能自身存在软件漏洞。难以避免的，入侵检测系统常常发生对入侵及异常的漏报或误报，只有更佳地完善入侵检测技术，IDS才能更准确、更全面地发挥其防御作用。

参考文献

[1]马丽梅,王方伟等.计算机网络安全与实验教程(第二版)[M].北京:清华大学出版社,2016.

[2]谢希仁,谢钧.计算机网络教程(第四版)[M].北京:人民邮电出版社,2014.

作者:乔加强 单位:太原学院