摘要：隨著現(xiàn)代科學技術(shù)的進步以及計算機信息系統(tǒng)的不斷發(fā)展與完善，人們在利用計算機的同時，也面對著諸多安全隱患，其中計算機網(wǎng)絡信息安全更是關(guān)乎人們的生產(chǎn)與生活。怎樣建立并完善計算機網(wǎng)絡信息安全機制以更好的服務于人類文明建設是亟待解決的重要問題。本文結(jié)合計算機網(wǎng)絡信息安全面對的主要威脅，分析主要的計算機網(wǎng)絡信息安全技術(shù)，并探討新一代防火墻技術(shù)的發(fā)展方向。

 

    關(guān)鍵詞：計算機；網(wǎng)絡信息安全；防火墻；安全技術(shù)
 

    1計算機網(wǎng)絡信息面臨的安全威脅

    計算機網(wǎng)絡存在著諸多的安全隱患，常見的安全威脅有自然災害因素、網(wǎng)絡安全協(xié)議漏洞、系統(tǒng)本身的脆弱性、操作者的認為失誤、網(wǎng)絡攻擊、借助網(wǎng)絡硬件或軟件傳播的計算機病毒程度、垃圾郵件以及計算機犯罪等。

    1.1自然災害

    計算機信息系統(tǒng)所借助的網(wǎng)絡傳輸系統(tǒng)、硬件設置等容易受到自然災害以及惡劣環(huán)境的影響。且目前建設的計算機網(wǎng)絡體系一般缺少針對性的防震、防火、防雷保護措施。所以，其地域自然災害和惡劣環(huán)境因素的能力較弱，容易受到自然因素的影響。

    1.2網(wǎng)絡系統(tǒng)本身的脆弱性

    計算機網(wǎng)絡信息技術(shù)具有開放性特點，這是計算機網(wǎng)絡能普及的原因也是其容易受到攻擊的弱點所在。其次TCP/IP協(xié)議的安全度較低，導致依靠該協(xié)議進行數(shù)據(jù)交換的網(wǎng)絡信息系統(tǒng)容易受到數(shù)據(jù)篡改、拒絕服務、數(shù)據(jù)截取等攻擊。

    1.3用戶操作失誤

    現(xiàn)今的計算機操作系統(tǒng)越來越人性化，使得不懂計算機專業(yè)知識的用戶也能進行簡單操作，但大部分用戶對計算機信息安全防護的意識不強，這對計算機病毒的入侵、用戶賬號信息的泄露敞開了“便利之門”，從而對網(wǎng)絡安全帶來了威脅。

    1.4人為的惡意攻擊

    人為的惡意攻擊是計算機網(wǎng)絡信息系統(tǒng)所面臨的最大威脅。人為的惡意攻擊又分為主動攻擊和被動攻擊兩種。其中主動攻擊指的是人為的有選擇性、意圖性的破壞目的數(shù)據(jù)信息；被動攻擊主要是指在不造成網(wǎng)絡癱瘓的情況下，對重要的有價值信息進行截取、破譯等攻擊。這種人為的惡意攻擊對計算機網(wǎng)絡信息安全所造成的危害是巨大的，同時對人們的隱私信息和財產(chǎn)安全也構(gòu)成極大的威脅。

    1.5計算機病毒

    計算機病毒是可存儲、可執(zhí)行、可隱藏在可執(zhí)行程序和數(shù)據(jù)文件中而不被人發(fā)現(xiàn)，觸發(fā)后可獲取系統(tǒng)控制的一段可執(zhí)行程序，它具有傳染性、潛伏性、可觸發(fā)性和破壞性等特點。計算機病毒主要是通過復制文件、傳送文件、運行程序等操作傳播。在日常的使用中，軟盤、硬盤、光盤和網(wǎng)絡是傳播病毒的主要途徑。計算機病毒運行后輕則可能降低系統(tǒng)工作效率，重則可能損壞文件，甚至刪除文件，使數(shù)據(jù)丟失，破壞系統(tǒng)硬件，造成各種難以預料的后果。近年來出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡進行傳播的，這些計算機網(wǎng)絡病毒破壞性很大。

    1.6計算機犯罪

    通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污、盜竊、詐騙和金融犯罪等活動。

    2網(wǎng)絡安全技術(shù)

    2.1網(wǎng)絡安全掃描技術(shù)

    計算機網(wǎng)絡系統(tǒng)安全掃描技術(shù)是保障網(wǎng)絡信息安全的重要措施之一。通過對全網(wǎng)或目的網(wǎng)絡的系統(tǒng)安全掃描，網(wǎng)絡管理員能及時的了解網(wǎng)絡的運行狀況，及時的發(fā)現(xiàn)容易受到攻擊的安全漏洞，進而進行及時的補救。利用安全掃描技術(shù)，可以對主機操作系統(tǒng)、局域網(wǎng)、Web服務站點以及防火墻系統(tǒng)進行安全監(jiān)控，檢測服務器以及可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。

    2.2入侵檢測技術(shù)

    計算機網(wǎng)絡信息系統(tǒng)入侵檢測技術(shù)也稱之為網(wǎng)絡實時監(jiān)控技術(shù)。通過對計算機網(wǎng)絡系統(tǒng)的硬件和軟件設置對網(wǎng)絡上的信息數(shù)據(jù)流進行實時的檢查或監(jiān)控，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行數(shù)據(jù)比對，以甄別出有潛在威脅的數(shù)據(jù)流，一旦發(fā)現(xiàn)有攻擊行為特征，便根據(jù)用戶定于的動作做出即時反應，如切斷網(wǎng)絡、啟動防火墻防御措施等以將入侵的數(shù)據(jù)包進行濾除。計算機網(wǎng)絡入侵檢測及時是對防火墻防護措施的補充，擴大網(wǎng)絡安全監(jiān)控的力度，可以在保障網(wǎng)絡正常運行的情況下，對來自內(nèi)部、外部的攻擊進行“預警”從而極大程度的提高計算機網(wǎng)絡信息的安全性。

    2.3數(shù)據(jù)加密技術(shù)

    計算機數(shù)據(jù)傳輸加密系統(tǒng)可為信息安全技術(shù)的核心，是計算機網(wǎng)絡系統(tǒng)的主動防御體系。數(shù)據(jù)加密技術(shù)通過對特定信息進行數(shù)據(jù)加密處理將信息從簡單排序變換為復雜不可理解的密文形式，對數(shù)據(jù)信息在網(wǎng)絡傳輸或存儲媒介中進行保護，以防止人為的竊取以及數(shù)據(jù)的泄露，從而保護數(shù)據(jù)信息的安全性。

    2.4防火墻技術(shù)

    隨著計算機網(wǎng)絡安全技術(shù)的不斷發(fā)展與革新，各種新型安全技術(shù)不斷涌現(xiàn)，

    但其中最常用的網(wǎng)絡安全防護技術(shù)仍然是防火墻技術(shù)。防火墻系統(tǒng)是計算機網(wǎng)絡的安全部件，它可以是特定的軟件保護模塊也可以是具有數(shù)據(jù)保護功能的硬件設置或者是芯片級的防火墻。防火墻安全部件設置于被保護網(wǎng)絡的“邊界區(qū)域”，相當于網(wǎng)絡體統(tǒng)的“守護者”，通過接受并分析進出網(wǎng)絡系統(tǒng)的數(shù)據(jù)流，并根據(jù)預先設定的動作處理設置對用戶訪問權(quán)限，數(shù)據(jù)傳輸協(xié)議進行規(guī)范操作，防火墻系統(tǒng)的保護機制是雙向的，不僅可以防止外來攻擊的入侵，也可以防止系統(tǒng)內(nèi)部有價值信息的對外傳送。

    3新一代防火墻技術(shù)的應用和發(fā)展

    計算機網(wǎng)絡信息系統(tǒng)的安全需要新一代防火墻技術(shù)的支持，來加強數(shù)據(jù)的安全性。新一代防火墻技術(shù)除了具有傳統(tǒng)的數(shù)據(jù)過濾功能外，還具有可以在應用層中設置代理系統(tǒng)的功能。相比于傳統(tǒng)的防火墻，新一代防火墻技術(shù)具有更為先進的過濾處理方式以及新式的代理系統(tǒng)，能實現(xiàn)從數(shù)據(jù)鏈路層到應用層的更全面性保護，通過將代理系統(tǒng)與TCP/IP傳輸協(xié)議的深層配合，為系統(tǒng)提供了透明化的代理處理模式，從而降低了配置難度，并提供了網(wǎng)絡系統(tǒng)的防欺騙能力。

    3.1透明的訪問方式

    傳統(tǒng)的系統(tǒng)防火墻在處理訪問形式上一般采用用戶系統(tǒng)登錄或者通過SOCKS等庫路徑來修改客戶機的方式來實現(xiàn)。而新一代防火墻技術(shù)采用透明的訪問形式，采用代理系統(tǒng)技術(shù)，從而大大的降低了系統(tǒng)登錄的安全隱患和出錯率

    3.2靈活的代理系統(tǒng)

    新一代防火墻的代理系統(tǒng)是一種將數(shù)據(jù)信息實現(xiàn)在防火墻兩側(cè)進行傳送的軟件模塊。一般采用兩種代理模式：一種用于代理從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接；另一種用于代理從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉(zhuǎn)換技術(shù)來解決，后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。

    3.3多級過濾技術(shù)

    為了提高計算機網(wǎng)絡系統(tǒng)的防護能力，新一代防火墻采用了三級過濾技術(shù)。并在過濾技術(shù)中加入信息及用戶ID鑒別技術(shù)。其中三級過濾技術(shù)為分組過濾技術(shù)、應用級網(wǎng)關(guān)過濾技術(shù)和電路網(wǎng)關(guān)過濾技術(shù)。分組過濾技術(shù)負責濾除所有的源路由分組以及虛假、冒充的用戶IP地址；應用級網(wǎng)關(guān)過濾技術(shù)負責控制和檢測Internet所提供的各種通用級服務，借助SMTP/FTP網(wǎng)關(guān)進行處理；在電路網(wǎng)關(guān)一級，實現(xiàn)內(nèi)部主機與外部站點的透膽連接，并對服務的通行實行嚴格控制。

    3.4網(wǎng)絡地址轉(zhuǎn)換技術(shù)

    新一代防火墻NAT技術(shù)能夠?qū)崿F(xiàn)透明化的處理方式將網(wǎng)絡內(nèi)部的地址進行有效轉(zhuǎn)換，使外部網(wǎng)絡難以識別內(nèi)部網(wǎng)絡的層次結(jié)構(gòu)，同時NAT處理技術(shù)可以實現(xiàn)網(wǎng)絡內(nèi)部的IP地址自編寫，防火墻通過記錄每臺主機的通信配置，以確保每個分組被分配以正確的地址。
 

    參考文獻：

    [1]付衛(wèi)國,康英杰.計算機網(wǎng)絡信息保密工作中存在的問題與對策[J].大慶社會科學,2002(02).

    [2]曹立明.計算機網(wǎng)絡信息和網(wǎng)絡安全及其防護策略[J].三江學院學報(綜合版),2006(Z2).

    作者單位：淶源縣中醫(yī)院，河北保定074300