简析计算机网络的安全威胁与防治对策

简析计算机网络的安全威胁与防治对策

摘要：文章主要对计算机网络的安全威胁与防治对策进行了论述，以供同仁参考。

关键词：计算机网络；安全威胁；防治对策

一、前言

近年来，随着全球信息化的发展，世界各国人民对计算机网络的依赖性越来越大。在因特网络上，互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在很短时间内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。因此，计算机网络的安全与管理越来越受到人们的关注。文章主要对计算机网络的安全威胁与防治对策进行了论述，以供同仁参考。

二、计算机网络安全威胁分析

（1）计算机网络面临的安全性威胁

1）非法授权访问。威胁源成功地破坏访问控制服务，如修改访问控制文件的内容, 实现了越权访问。

2）非法连接。威胁源以非法手段形成合法的身份，在网络实体与网络源之间建立非法连接。

3）拒绝服务。阻止合法的网络用户或其他合法权限的执行者使用某项服务。

4）信息泄露。未经授权的实体获取到传输中或存放着的信息，造成泄密。

5）无效的信息流。对正确的通信信息序列进行非法修改、删除或重复，使之变成无效信息。

6）伪装。威胁源泉成功地假扮成另一个实体，随后滥用这个实体的权利。

（2）计算机网络面临的安全攻击

1）中断。中断是指破坏采取物理或逻辑方法中断通信双方的正常通信，如切断通信线路、禁用文件管理系统等。

2）截取。截取是指未授权者非法获得访问权，截获通信双方的通信内容。

3）修改。修改是指未授权者非法截获通信双方的通信内容后，进行恶意篡改。如病毒可能会感染大量的计算机系统，占用网络带宽，阻塞正常流量，发送垃圾邮件，从而影响计算机网络的正常运行。

4）捏造。捏造是指未授权者向系统中插入仿造的对象, 传输欺骗性消息。

计算机网络安全威胁的防治对策

（1）技术方面的对策

1）身份认证。身份认证是访问控制的基础，是针对主动攻击的重要防御措施。身份认证必须做到准确无误地将对方辨别出来，同时还应该提供双向认证，即互相证明自己的身份。网络环境下的身份认证更加复杂，因为验证身份一般通过网络进行而非直接参交互，常规验证身份的方式(如指纹)在网络上已不适用；再有，大量黑客随时随地都可能尝试向网络渗透，截获合法用户口令,并冒名顶替以合法身份入网，所以需要采用高强度的密码技术来进行身份认证。

2）漏洞扫描技术。漏洞扫描技术就是利用网络系统或者其他网络设备进行网络安全检测，以查找出安全隐患和系统漏洞，然后进行排除。由于漏洞是系统本身不可避免的，因此各种软件常通过“打补丁”的方式修补漏洞。系统开放的服务越多。存在漏洞的几率也就越大。因此不要同时运行太多的软件，不但可以减少漏洞隐患，还可以提高计算机的运行速度。漏洞扫描的结果实际就是对系统安全性能的评估，定时运行漏洞扫描技术，是保证网络安全不可缺少的手段。3）防火墙技术。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。代理服务器是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。4）防病毒技术。在网络环境下，病毒传播的速度非常快，计算机病毒不断升级，极大威胁到网络的安全。现在我们普遍使用防病毒软件进行病毒的防范，常用的防病毒软件包括单机防病毒软件和网络防病毒软件两大类。网络防病毒软件注重网络防病毒，一旦病毒入侵网络或者从网络向其它资源传染，此软件会立刻检测到并予以清除。单机防病毒软件采用分析、扫描的方式对本地和本地工作站连接的远程资源进行检测并清除病毒。此外，我们还可以采取如下具体的防病毒措施，如定期对文件进行备份、不随意打开陌生网站链接、不

随意打开陌生邮件附件、开启反病毒软件实时监控和杀毒功能、网络下载的文件或软件要先杀毒再使用等。

5）网络安全加密技术。网络系统的安全保障除了通过以防火墙为代表的被动防卫型技术，还可以通过数据加密、用户授权确认机制上的开放型网络安全保障系统来实现，技术特征是采取现代化的数据加密技术来保护网络系统中的所有数据。除非是指定的用户或网络设备，其他人和设备都不能解译该加密数据。这类技术主要体现在软件的开发和系统运行维护等方面，能真正实现网络通信过程的端到端的安全保障，并有望成为网络安全问题的最终解决途径。6）网络信息加密技术。现在人们常采用网络信息加密技术，用以保护网内的各种信息。常用的网络信息加密技术有节点加密、端点加密和链路加密三种。节点加密能够对源节点到目的节点之间的传输链路提供保护；端点加密能够对源端用户到目的端用户的数据提供保护；链路加密能够保护网络节点之间的链路信息安全。用户可根据自己的情况选择相应的加密技术。7)入侵检测技术。随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS（入侵检测系统）能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统，该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析，通过集中控制台来管理和检测。

8)备份系统。备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。

（2）管理方面的对策

1）加强管理人员的网络安全意识培养。对于计算机个人用户，要强化自己的网络安全意识，根据自己的职责权限，防止其他用户确权访问数据。对于其他社会组织而言，应加强对内部网络管理人员安全意识、职业道德和责任心的培养，通过建立相应的规章制度，建立健全网络安全管理体制。

2）大力培养网络人才。计算机网络安全的维护需要要靠先进的软件，但是，更为重要的还是要依靠专业的网络监控人员。因此，国家应大力培养网络人才，建设网络精英团队，对网络中出现的不法攻击进行观察和研究、进而评估，最后提出解决方案，以此来完善网络运行机制。

3）加强信息网络安全立法。依靠法律手段打击网络犯罪，在国外较早地实现了。因此我国应不断加强和完善信息网络安全立法。对非法进入计算机系统，非法窃取数据等犯罪活动给予法律的惩处。