計算機網絡安全問題及防護策略

前言：尋找寫作靈感？中文期刊網用心挑選的計算機網絡安全問題及防護策略，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要:隨著社會的快速發展以及科學技術的不斷進步，計算機網絡技術已被廣泛應用于各個領域，網絡已成為人們工作生活中必不可少的一部分，網絡安全問題也越來越成為關注的焦點。通過對計算機網絡中的安全問題進行分析和研究，提出計算機網絡安全問題的防護策略。

關鍵詞:計算機網絡；網絡安全；策略

互聯網高速發展的今天，不論工作還是生活，越來越離不開網絡，網絡無處不在，網絡給人們帶來巨大便利的同時，也帶來了嚴重的安全問題，安全事故頻繁發生，計算機網絡安全問題成為信息時代人類共同的挑戰。

1計算機網絡安全問題分析

1.1物理安全方面

計算機及其相關網絡設備，是網絡系統的硬件支撐，很容易受到外界因素的影響，如運行環境、設備老化、電磁干擾、自然災害等，這些因素會對網絡安全造成不小的威脅，在很大程度上影響著信息的正常交換及存儲。自然災害發生的概率雖然不大，但是卻會對網絡系統造成嚴重破壞，比如地震、海嘯等。運行環境也會對網絡系統的安全構成威脅，如環境溫度過高、濕度過大等都會對網絡系統的正常運行造成影響。設備被毀、被盜造成信息泄漏或丟失。電磁干擾會影響信息傳輸的速度和質量，嚴重的話有可能造成信息被竊取或偷閱。設備老化容易造成設備故障頻發，影響網絡的安全穩定運行。

1.2系統軟件方面

1.2.1操作系統

操作系統是計算機硬件和其它軟件的接口，同時也是用戶和計算機的接口，可以說操作系統是網絡安全的基石和底座。但操作系統本身就有缺陷，只是一般用戶很難發現。比如，操作系統可以創建進程、支持進程的遠程創建和激活，支持被創建的進程繼承創建的權限，這種運行機制為攻擊者在遠端服務器安裝間諜軟件提供了條件；操作系統支持遠程調用，但是現階段的遠程調用需要經過眾多的環節，遠程調用中極易被監控；操作系統中總會存在漏洞，攻擊者利用漏洞進行非法入侵，破壞計算機網絡安全。

1.2.2數據庫系統

數據共享是數據庫的突出特點，而數據共享就很容易對數據庫的安全性造成威脅。數據庫里面有海量的數據信息，對使用者來說，最重要的就是看數據是否方便存儲和管理，而對數據的邏輯安全考慮卻很少，就造成數據庫系統安全建設方面存在短板。因為數據庫管理系統基本都是和操作系統相互協作工作，攻擊者可能會通過操作系統的相關漏洞對數據庫管理系統進行攻擊，造成數據庫里數據的泄漏和破壞。

1.2.3網絡協議

網絡協議是一種特殊的軟件，是計算機網絡實現其功能的基本機制。計算機網絡能夠正常運行，實現網絡間各個節點以及終端相互間的互聯和通信，都是因為有各種網絡協議的存在。因特網最開始的設計和構想是建立在可信的網絡環境之下，雖然實現了資源共享和數據交換的功能要求，但是對計算機網絡整體的安全性卻缺乏考慮。沒有認證及加密機制的網絡協議是不安全的，況且開放性和共享性也是網絡協議的特點，這就導致計算機網絡安全存在著先天性缺陷。

1.3應用軟件方面

隨著信息技術的廣泛應用，人們對應用軟件的需求越來越多，功能要求也越來越高，這樣就導致應用軟件的設計和開發越來越復雜，使得軟件運行狀態難以預料和控制，難免會存在安全缺陷和漏洞。在應用軟件的開發階段，開發者常會在軟件內創建后門以方便測試或者修改程序中的缺陷，但在軟件正式時，后門可能由于種種原因而沒有被刪除，或者軟件本身在開發時設計不周全，也可能會存在后門，這些后門的存在對使用者的網絡系統安全也構成嚴重威脅。

1.4病毒木馬方面

計算機病毒種類繁多而且復雜，其實就是計算機程序，只不過這種程序具有傳染性、隱蔽性、潛伏性、破壞性、寄生性、可觸發性等特征，能夠影響計算機等相關設備的正常使用，具有破壞作用。免殺技術的出現和使用，使得同一種原型病毒代碼經過修改后，可以產生無數新的病毒，給殺毒軟件帶來挑戰，尤其是采用病毒特征碼技術檢測的殺毒軟件。自我更新性是病毒的新特征，病毒編制者通過部署病毒升級服務器，借助于網絡平臺，對病毒進行更新升級，升級的頻次有時比殺毒軟件的病毒庫更新頻次還高，使得病毒不能被殺毒軟件檢測出來。木馬也是計算機病毒的一種，它一般包括控制端和服務端，通過一定的方式（比如誘騙、捆綁等）將服務端程序安裝到用戶計算機中，利用控制端來遠程操控用戶計算機，木馬的產生嚴重危害計算機網絡的安全運行。

1.5網絡攻擊方面

網絡攻擊主要是利用網絡系統中存在的安全缺陷和漏洞對相關的硬件、軟件進行的攻擊。攻擊者是在信息技術條件下，通過對信息資源實施隱秘操作以實現其目的的個人或群體。網絡的全球性給攻擊者提供了很好的攻擊環境，借助網絡這個平臺，不管是有線網絡還是無線網絡，攻擊者可以很方便的對網絡上任意終端或信息系統發起遠程攻擊。網絡攻擊行為分為兩種：主動攻擊和被動攻擊。主動攻擊采用篡改、偽造信息數據和終端拒絕服務等攻擊方式，通過有選擇的破壞網絡信息的完整性和有效性，導致某些數據流的篡改和虛假數據流的產生。被動攻擊主要是在不影響網絡工作的基礎上，采用竊聽、流量分析、破解弱加密的數據流等攻擊方式，截取、竊取、破譯重要數據。網絡攻擊是影響計算機網絡安全的重要因素。

1.6安全管理方面

管理是計算機網絡安全中非常重要的部分，對計算機網絡安全認識不足，安全意識淡薄，沒有健全安全管理制度，沒有制定有效的網絡安全應急預案，對內部人員疏于防范等都可能引起網絡安全風險。如果僅僅只依靠一些網絡安全設備，而沒有正確的管理和使用，沒有配置或配置錯誤的安全控制規則，當網絡受到攻擊時，就可能無法第一時間接收到預警信息，不能及時采取有效措施來抵御攻擊，嚴重的話可能也獲取不到攻擊者的攻擊痕跡，缺乏相關的日志記錄，實現不了事先能防范和事后能取證的安全防護效果，影響到網絡安全管理的質量和效果。

2計算機網絡安全防護策略

雖然各種安全問題一直困擾著計算機網絡的正常運行，但是只要采取正確的防護措施就能夠最大限度降低計算機網絡受到的安全風險，有效提升計算機網絡的安全防護水平。從技術和管理層面主要有如下幾方面：

2.1網絡隔離技術

網絡隔離技術主要是指把兩個或兩個以上可路由的網絡通過不可路由的協議進行數據交換而達到隔離目的，分為邏輯網絡隔離技術和物理網絡隔離技術。邏輯網絡隔離技術主要包括虛擬局域網、虛擬路由和轉發、多協議標簽轉換、虛擬交換機等。物理網絡隔離技術是網絡隔離技術的核心和基礎，也是最安全的，它通過“數據擺渡”方式對物理隔離的網絡之間實現數據交換，可以有效隔離開外部網絡的各種潛在安全威脅，透明支持多種網絡應用，并定義相關約束和規則來控制網絡之間的數據交換狀態，實現各種網絡之間數據的安全交互，安全強度最高。

2.2防火墻技術

防火墻是實施訪問控制策略的系統，位于內部網絡與外部網絡之間的網絡安全系統，是計算機網絡安全中用的最多的一種技術。防火墻一般部署在不同網絡安全域之間，以隔離內部和外部網絡，通過相關的安全策略來控制進出網絡的訪問行為，以阻擋來自外部的網絡入侵，確保內部網絡不遭受惡意攻擊，防火墻技術是保證計算機網絡安全的一個重要保障。隨著計算機網絡的發展，基于二到四層進行安全防護的傳統防火墻，已無法有效防護來自應用層的網絡威脅。從最早的包過濾防火墻，到目前的下一代防火墻，防火墻安全引擎更加智能與高效，更加關注應用層控制，通過獲取外部信息作出的安全策略更加合理、有效。下一代防火墻在性能、安全性、易用性、可管理性、可視性等方面有了質的飛躍，基本滿足計算機網絡安全新的防御和管理需要。能夠建立起與入侵防御系統之間的自動化的聯動機制，當入侵防御系統引擎檢測到源自某個IP地址的攻擊后，能夠自動由防火墻引擎采用最簡單的方式直接對其進行阻斷，實現在不同信任級別的網絡之間實時執行網絡安全政策的聯機控制，最終在網絡邊界處實現各種安全控制。

2.3入侵防御系統技術

入侵防御系統是入侵檢測系統的升級產品，一般采用串行部署方式，直接嵌入到網絡流量中，部署在網絡的邊界，提供主動、實時的防護。它通過其中的一個端口接收網絡邊界外系統的數據流量，按照特定的規則對接收的數據流量進行分析檢測，檢測結果符合規則要求后再通過另外的端口將這些數據流量傳輸到網絡邊界內系統中。入侵防御系統采用協議重組分析和并行處理檢測的技術，對接收的數據流量進行深度感知，可以實時阻斷惡意流量的攻擊，并實現對非關鍵業務進行限流，以確保網絡帶寬資源的合理配置。

2.4防病毒技術

防病毒技術分為病毒的預防、檢測、清除三種技術，這三種技術貫穿了系統在抵御病毒危害應對方式的整個過程中。病毒預防技術采用特定的規則對運行的程序進行監控，如果程序運行狀態符合特定的規則，則判斷此程序為病毒，并阻止該程序對系統進行任何操作。病毒檢測技術通過兩種檢測方法進行檢測，一種是直接檢測，根據病毒的特征碼來判斷，如果被檢測程序的代碼符合病毒的特征碼，則判斷此程序為病毒；另一種是間接檢測，對某個文件按照一定的方式進行檢驗和計算，在此基礎上得到一個數據值，以后按照不同的周期對此文件進行同樣的檢驗和計算，用得到的數據值和之前的數據值進行比對，如果出現差異，則判斷該文件感染了病毒。病毒清除技術是病毒感染程序的逆過程，一般是采用一些具有殺毒功能的軟件或硬件來實現。

2.5網絡冗余技術

冗余技術是提高系統可靠性的一種方法，主要依靠系統的并聯模型設計，又稱儲備技術。網絡冗余設計包括軟件冗余設計和硬件冗余設計，它主要通過對網絡中的路由器、交換機、服務端、傳輸介質、網卡等設備及相關軟件進行重復配置，當系統某個節點出現故障時，重復配置的相應的設備或軟件自動代替出故障的節點，恢復相應的功能，保證整個系統的正常運行。網絡冗余技術實現兩套完全相同互為備份的網絡，一套網絡出故障可以快速切換至另一套網絡，從而不影響系統通信，提高了計算機網絡系統的可靠性。

2.6容災備份技術

容災備份技術一般是指在相互距離非常遠的兩個地方或兩個以上地方建設相同的兩套或兩套以上的信息系統，這些地方的信息系統可以相互偵測到對方的運行狀態，當其中一個地方的信息系統出現故障時，其它地方的信息系統可以自動替代其運行，保證了信息系統的正常工作，系統服務不會中斷，最大限度降低了嚴重災難對信息系統造成的威脅，大大提高了信息系統應對各種風險的抵御能力。容災備份的最高等級為活動備援中心，這些數據中心之間采用相互備份的方式，可以實現數據不丟失。

2.7網絡安全管理

提高網絡安全意識，制定和完善相關的網絡安全管理制度，明確責任，強化監督，推進安全等級保護、安全測評及風險評估等基礎性工作。加強賬號密碼的安全管理，對所有服務器、終端、網絡設備及應用系統設置復雜密碼，并定期更換，杜絕弱口令及使用通用密碼管理所有設備。安裝殺毒軟件和終端安全管理軟件，及時更新病毒庫和安裝漏洞補丁，開啟設備的關鍵日志收集功能，并關閉一些不必要的端口。采用多種存儲技術對重要信息系統數據定期進行備份，并對備份的數據進行多介質存放。制定網絡安全應急預案，并定期組織演練。綜上所述，計算機網絡安全包含硬件防護、軟件防護及通信防護，涉及到多種學科，是一個集中展示信息技術應用的領域。雖然計算機網絡沒有絕對的安全，但僅僅依靠單一的某種防護措施肯定達不到良好的防護效果，只有把各種防護措施綜合起來使用，相互配合，自動協同運行，才能最大限度降低網絡受到的安全風險，才能建立起相對完善的計算機網絡安全防護體系。

參考文獻:

[1]華艷.計算機網絡安全威脅分析及防護體系架構研究[J].九江學院學報（自然科學版）,2017，32(4):91-93.

[2]劉煜.網絡安全態勢感知與防護體系[J].電子技術,2017，46(9):28-30.

[3]王鐵凡.計算機網絡安全風險來源及防范策略研究[J].計算機與網絡,2017,43(11):73-75.

作者:張廣玉 單位:江蘇省淮安市交通信息中心