网络安全现状分析

摘要：计算机网络技术进入21世纪得到了快速发展。在政治、军事、商业等许多领域运用广泛，随之而来的是计算机网络安全问题日益突出。因此， 如何确保信息的安全就成为了一个重要课题， 网络的安全性也成为了人们重点研究的领域。该文探讨了网络安全存在的主要威胁以及几种目前主要网络安全技术， 并提出了实现网络安全的相应对策。

关键词：网络安全； 防火墙； 入侵检测； VPN

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）30-0042-03

Network Security Situation Analysis

ZHENG zhao-peng；ZHANG Xiang-fu；YANG Jia-yue；LIU Jian-hui；HUANG Qing-lu

（The Chinese People"s Liberation Army Military Region of Fujian Province，Fuzhou 350001， China）

Abstract： The computer network technology has enjoyed a rapid development in the 21st century. With the extensive application of this technology in the politics， military， commerce and other fields， the security issues of computer network information have become increasingly prominent. Therefore， how to guarantee the security of the network has become an important issue to talk. And also， the security of the network has become a significant domain for people to research. In this thesis， some main threats of network security and some security technologies will be discussed. Besides， several solutions will be proposed as well.

Key words：network security； firewall； intrusion detection； VPN

1 引言

網络设计最初只考虑信息交流的开放性与便捷性，并未对信息的安全问题进行规划，随着通信技术和计算机技术的快速发展，网络安全技术与网络攻击手段两者在“攻防”过程中交替提升。随着网络信息安全问题的日益加剧，网络安全成为了网络中的一项棘手问题，连接到互联网中的计算机随时都有可能遭受到各种网络攻击，从而引发各类安全问题[1]。

2 网络安全现状

2.1 网络安全的概念

ISO（国家标准化组织）将“网络安全”定义为： “网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断”。网络安全包括逻辑安全和物理安全两方面，逻辑安全是指我们在日常生活中所提到的信息安全问题，在具体处理过程中需要做好相应的保护，确保信息的完整性、保密性、可靠性。物理安全是指计算机的软件、硬件、数据都能够得到全面保护，不会因为蓄意或者偶然情况而遭到外界因素的破坏、泄漏、篡改，从而确保计算机系统持续稳定运行。

2.2 网络安全面临的威胁

（1）黑客攻击

计算机的快速发展，“培养”了大批的黑客，并且出现了大量的黑客网站，据不完全统计，目前世界上的黑客网站已经超过20万个，这些网站主要介绍系统存在的一些漏洞，以及一些攻击软件的使用方法，这使站点和系统在运行过程中容易遭受攻击。尤其是在现阶段，还缺少有效的跟踪手段对网络犯罪进行抓捕，致使部分黑客在对网络进行攻击后还能“全身而退”，黑客攻击是目前对网络安全的最大威胁。报统计，从2015年1月到12月，共有各类网站安全漏洞37943个，涉及网站26370个。其中高危漏洞占比就达70%[2]。

（2）管理欠缺

用户、企业、机构在应用网络系统过程中，要想少受攻击，不受攻击，就必要加强对网络系统的严格管理。而从实际情况来看，许多用户、企业、机构都疏忽了对系统或网站的管理。相关统计结果显示，在美国超过90%以上的IT企业在正常运营过程中都没有针对有可能遭受的黑客攻击进行的准备工作，而且超过75%的网站在运行过程中一旦遭遇黑客攻击，将会处于瘫痪状态，企业网上的各种信息都会在黑客的攻击下丢失，这将会导致企业遭受巨大的经济损失。

（3）网络缺陷

互联网信息开放性和共享性导致网上信息的安全性较差，而在TCP / IP协议族中缺少安全机制，在最初设计互联网时，不会因为局部出现故障，而终止信息传递，对安全问题的考虑基本为零，因此，设计TCP / IP协议族最初就存在安全隐患。

2.3 软件漏洞或“后门”[3][4]

计算机技术的快速发展，使软件系统规模得到了进一步扩大，这必然导致系统中存在漏洞或“后门”的情况。例如，我们常用的UNIX或者Windows操作系统，虽然系统已经比较成熟，但是还是会存在安全漏洞，众多的软件、浏览器、服务器等在长期的使用过程中都被发现了存在漏洞。因此利用软件的漏洞攻击也是网络安全的主要威胁之一。

3 网络安全的主要技术

3.1 认证服务

目前常用的认证方式有以下两种：第一种单方认证，对一方的标识进行检查。第二种相互认证，通信双方对对方的身份进行相互检查。从认证情形上划分，又可将认证分为数据起源认证和实体认证。在具体认证过程中，通过对合法用户的认证，可以有效避免非法用户对内部信息的访问与盗取，同时通过对认证机制的应用，还可以有效的避免合法用户查看其无权访问的信息，主要包括以下几种方式：

（1）身份认证

用户请求对系统资源提出访问请求时，需要对用户的合法身份进行访问，这也就是人们常说的身份认证。目前，在身份认证上常用的方式为用户名和密码，该方式是一种较为简单的认证识别，但可以有效地阻止不具有权限的人对系统资源的非法访问。

（2）报文认证

报文认证主要通过验证通信内容，从而确保报文能够依据正确的方式进行发送，报文通过正确的方式传递给接收方，并且在传递过程中不会被非法修改。

（3）访问授权

根据在各种预定义的组中用户的身份标识及其成员身份来限制访问某些信息项或某些控制的机制，并且通常通过向用户和组授予访问特定对象的权限来实现。

（4）数字签名

数字签名是一种使用加密认证信息的方法， 其安全性和有用性主要取决于用户私匙的保护和安全的函数。数字签名技术是基于加密技术的基础上发展而来的， 主要有ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。

3.2 数据加密

加密就是通过一种方式使信息转化成伪代码， 从而使未被授权的人理解不了其中的信息。主要存在两种主要的加密类型： 私匙加密和公匙加密。

（1）私匙加密

私匙加密又称对称密匙加密， 因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性， 它不提供认证。这种加密方法的优点是速度很快， 很容易在硬件和软件中实现。

（2）公匙加密

公匙加密使用两个密匙， 一个用于加密信息， 另一个用于解密信息。公匙加密系统存在计算密集的缺点， 因而比私匙加密系统的速度慢得多， 不过若将两者结合起来， 就可以得到一个更复杂的系统。

以非对称加密为例，其加密过程如下：明文——加密（公开钥匙）——密文——解密（秘密钥匙）——明文。非对称加密的代表性算法有：背包算法：D-H、RSA算法等。

3.3 防火墙技术[5][6]

防火墙是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入的一项技术手段。主要包括以下几种类型的防火墙技术：

（1）包过滤型

该类型的产品是防火墙中最初级的一种，包过滤技术在具体应用中体现出的主要优点就是简单实用，并且具有不错的经济效益。如果将该技术应用简单的环境中，可以通过较小的代价，确保系统运行的安全性和可靠性。

（2）网络地址转化—— NAT

该方式是对IP地址进行处理，使IP地址发生转变，这一转变过程对于用户来说是透明的，自动的，用户不需要自行设置，只需要通过常规操作便可实现。

（3）代理型

代理型防火墙位于客户和服务器两者之间，可以有效地阻挡客户与服务器发生的交流。该类型的防火墙在具体应用中的主要优点是其安全性较高，并且能够对不同的应用层进行扫面与侦测，对防止病毒的入侵起到的效果十分明显，但是其也存在明显的缺点，即会影响系统的整体性，并且会使系统管理变得复杂。

3.4 入侵检测系统[7][8]

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。入侵检测技术未来的发展趋势主要有分布式入侵检测、智能化入侵检测和全面的安全防御三个方向。

3.5 虚拟专用网技术（VPN）

VPN是解决信息安全问题的一项成功技术课题，VPN技术就是将专用网络搭建在公共网络上，通过“加密通道”使数据能够在公共网络中传播。VPN的构建目前有两种机制，这两种机制分别为隧道技术和路由过滤技术。现阶段，VPN在保障安全上主要通过隧道技术（Tunneling）、加解密技术（Encrypt ion & Decryption）、密匙管理技术（KeyManagement） 和使用者与设备身份认证技术（Authentication）实现。通过大量的实际使用经验可以发现，VPN隧道机制能够合理应对不同层次的安全服务，这些安全服务主要包括对不同强度的源进行鉴别，确保数据的完整性以及数据加密等。

3.6 其他网络安全技术[9]

（1）智能卡技术和加密技术两者十分相近，智能卡实际就是一种在密钥中应用的媒体，其由授权用户持有，并且用戶赋予其一个密码，该密码的内容与网络服务器上所注册的密码内容完全一致。需要注意的是，智能卡技术需要与身份验证联合使用。

（2）安全脆弱性扫描技术， 针对网络分析目前系统采用的防御手段和系统设置，准确指出系统存在或者隐藏的漏洞，对系统进行合理改进，提升系统预防网络入侵的一种技术。

（3）网络数据存储、备份及容灾规划技术， 针对系统在运行过程中一旦遭遇入侵或破坏，系统中的资料可能会发生丢失，此时通过合理的规划快速恢复丢失的数据，在短时间内使系统能够得以恢复，重新运行。

4 提高网络安全的措施[10][11]

4.1 物理安全层面

从安全的物理环境入手，确保计算机网络系统的可靠性和安全性，主要包括机房以及其他设施的合理选择与重点防护。在选择机房场地环境上，需要考虑外部环境的安全性和可靠性，抗电磁干扰等多项内容，并且需要加强对入口的管理。在保护机房安全方面，需要确保区域的安全性，在具体操作过程中，主要通过控制物理访问的方式对用户是否具有使用权限进行验证，对其活动范围进行合理限定，同时需要在计算机系统中心设备外，设置多层安全防护圈。

4.2 技术安全层面

近几年，计算机技术得到了快速发展，安全技术也变得更加成熟，确保了网络安全技术在保证整个网络安全上起到良好作用。在技术层面对计算机网络安全进行保护主要包括数据加密技术、数据冗余备份技术、防火墙技术、入侵检测技术等（具体内容在本文第三部分已详述，此处略）。

4.3 管理安全层面

在有物理安全和技术安全保证的基础下，还必须加强对计算机网络安全的科学管理，不断提升计算机安全保护相关法律的执行力度，只有将物理安全、技术安全、管理安全三方面合理的结合在一起，才能确保计算机网络安全能够达到一个理想的状态。管理安全层面的主要内容包括加强对计算机用户的安全教育、构建安全管理机构、提高立法与执行力度等。目前，我国计算机网络安全的法律法规主要有计算机犯罪法、计算机安全法、数据保护法、保密法等多项内容，各项法律对计算机用户和系统管理人员的义务和权利进行了明确规定。与计算机使用相关的人员，自觉抵制一切与网络安全相关的违法行为。

参考文献：

[1] 王宝会， 王大印， 范开菊. 计算机信息安全[M]. 北京： 电子工业出版社， 2011（2）.

[2] http：//j.news.163.com/docs/10/2015122408/BBJ9MB17042400 J9.html？101

[3] 张继山， 房丙午. 计算机网络技术[M]. 北京： 中国铁道出版社. 2015： 199-200.

[4] 刘敏. 网络安全技术综述[J]. 科技创新导报， 2014， 20（25）.

[5] 曾勍炜， 付爱英. 防火墙技术标准教材程[M]. 北京： 北京理工大学出版社， 2013.

[6] 孙厚钊. 网络信息资源的信息安全[J]. 计算机与网络， 2012（9）.

[7] 胡朝清. 计算机网络安全存在的问题及对策[J]. 德宏师范高等专科学校学报，2011，20（2）：95-96.

[8] 刘从军， 马骏. 入侵检测系统研究与探讨[D]. 微计算机信息， 2009（24）.

[9] 徐小梅. 基于马尔可夫链模型的异常入侵检测方法研究[D]. 蘭州交通大学， 2013.

[10] 穆杨. 浅谈计算机网络安全的影响因素与应对措施[J].黑龙江科技信息，2011，30：98.

[11] 朱彤. 计算机网络安全的现状及对策[J].硅谷，2011，24：184.

推荐访问： 网络安全 现状分析