网络安全问题与解决方案

余芝轩

(黄冈职业技术学院，湖北 黄冈 438002)



网络安全问题与解决方案

余芝轩

(黄冈职业技术学院，湖北 黄冈 438002)

摘要：计算机技术的快速发展，网络安全成为人们研究的重点，探讨了网络安全的现状及问题由来以及几种主要网络安全技术。

关键词：网络;安全；问题;

1网络安全存在的问题

网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”，上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。

1.1数据库管理系统

数据库管理系统是基于分级管理的理念而建立，本身就存在缺陷。因此，由于数据库的不安全因素的存在就会将用户上网浏览的痕迹泄漏，用户在网上存储和浏览的信息，通过这些用户的账号，密码都会被泄漏，这样就会大大威胁到用户的财产隐私安全。

1.2网络中存在的不安全

用户可以通过网络自由发布和获取各类信息，因此，网络的威胁也来自方方面面。这些威胁包括传输线的攻击及网络协议的攻击以及对计算机软件或硬件的攻击。在这些威胁中最主要的是在计算机协议中存在的不安全性因素，计算机协议主要包括：FTP、IP/TCP协议、NFS等协议，这些协议中如果存在漏洞网络入侵者就能够根据这些漏洞搜索用户名，可以猜测到机器密码口令，攻击计算机防火墙。

1.3计算机操作系统

计算机的整个支撑软件是它的操作系统，电脑中的所有程序运行都靠支撑软件为其提供环境。一旦网络入侵者控制了操作系统，那么用户口令就会被泄露，用户在各个程序中残留的信息就会被入侵者截取。另外，如果计算机的系统掌管了内存，CPU的程序存在漏洞，在这种情况下通过这些漏洞入侵者就可以使得服务器或计算机瘫痪。如果在安装程序的过程中出现漏洞，那么用户加载、上传的文件就会被网络入侵者通过间谍程序监视。这是因为这些不安全的程序，才让入侵者有机可趁，所以用户应该尽量避免使用这些不了解的软件。除此之外，系统还能够对守护进程进行远程调用，这些都是网络入侵者可以利用的薄弱环节。

2网络安全技术保障措施

2.1防火墙技术

防火墙系统是一种保护计算机网络安全的技术手段，它是一个用来阻止网络中的黑客或未经授权访问某个机构的屏障，它处于被保护网络和其它网络的边界，通过建立起相应的网络通信监控系统来隔离内部和外部网络，阻挡外部网络的入侵。

2.1.1包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先需建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型(TCP、UDP、ICMP等)、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可用于禁止外部不合法用户对内部网络的访问，也可以用来禁止访问某些服务类型，如一些办公网系统、计费帐务系统等就是采用这类防火墙。

2.1.2代理防火墙：代理防火墙又称应用级网关防火墙，它一般由代理服务器和过滤路由器组成，也是目前电信企业普遍采用的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后根据服务器类型、服务内容、被服务的对象、服务者申请的时间、申请的域名范围等来决定是否接受该项服务，如果接受，它就向内部网络转发这项请求。

2.2数据加密技术

数据加密技术和密码保护措施是电信企业采用较多的一种网络安全保障措施，由于互联网应用的蓬勃发展、网上购物、电子政务等的日益普及，通信行业竞争的日益激烈，保证网上信息的安全性和用户业务使用的安全性就成为影响电信企业生存发展和提供优质服务必须重点关注的问题。

信息加密的目的是为了保护网内的数据、文件、口令和控制信息，保护网上传输的数据和信息不被窃取、修改和伪造。信息加密主要有网络链路加密方法、网络端点加密方法、网络节点加密方法三种。电信企业局端网络设备均有多重加密措施，一是传输的数据均通过加密，加密的方式主要有常规密码算法和公匙密码算法，在常规密码中，收信方和发信方使用相同的密匙，即加密密匙和解密密匙是相同的或等价的。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击。在公匙密码中，收信方和发信方使用的密匙互不相同，而且几乎不可能从加密密匙推导出解密密匙，公匙密码的优点是可以适应网络的开放性要求，可方便的实现数字签名和验证。在电信业的网络管理系统中，一般实行利用令牌加三级密码保护的方式，令牌完成硬件认证，没有该部件无法进入认证程序，三级密码保护对网管系统的操作进行权限控制，保证网络的安全，使得采用词典攻击或非法攻击基本不可能。

2.3网络安全扫描技术

网络安全扫描技术是系统管理员为了及时了解系统中存在的安全漏洞，采用一定的软件技术，定期对系统中的关键设备按照事先编制的程序进行循环检测的安全技术。电信企业已经建立了一套完善的网络安全扫描体系，电信数据网管中心会定期对管核范围内的核心路由器、交换机、BRAS等设备和本地网的网络管理控制终端通过远程网管进行扫描，发现系统存在的软件缺陷、操作系统漏洞、不健全的管理口令、机房核心设备不必要打开的端口等，以互联网安全信息通报的形式下发各地市，并提出整改技术措施，保证数据通信网络安全。

2.4访问控制技术

各种网络安全措施必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全的核心措施之一。主要包括入网访问控制、网络的权限控制、网络服务器安全控制、网络监测和锁定控制等。

入网访问控制为网络访问提供了第一层访问控制。他控制哪些用户能够登陆到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中任何一道未过，该用户便不能进入该网络。对网络用户的用户名和口令验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法，如果验证合法，才继续验证用户输入的口令，否则用户将被拒绝之网络之外。

2.5VPN(虚拟专用网)技术措施

在电信企业提供的各种网络服务中，象银行、证券业等涉及重要商业机密、经济安全和公安网络涉及国家安全等网络服务，就不能采用常规的联网提供网络服务，必须采取特别的网络安全保护措施。物理隔离和组建专网是最直接的解决办法，但它们实施困难、成本高，不便于资源共享，而具有高品质、高QOS保证的企业虚拟专用网VPN技术就为这类电信企业大客户的通信需求提出了最好的解决手段。

2.6VLAN技术措施

虚拟局域网技术主要是基于局域网技术发展起来的。由于以太网本质上是基于广播技术的，组建一个个的局域网就要采用大量的路由器，且网络结构复杂，时延大。采用交换技术和VLAN技术后，就将传统的基于广播的局域网发展为了面向连接的技术，实现点到点的通信。采用VLAN技术后信息只到达应该到达的地点，防止了大部分基于网络监听的入侵手段，通过虚拟网设置的访问控制，使在虚拟网外的网络结点不能直接访问网内的结点。

参考文献：

[1]张咏梅.计算机通信网络安全概述.中国科技信息，2006.

[2]郑宇.农村信息服务网络结点建设探讨.

作者简介：余芝轩(1967.3-)，女，湖北英山人，黄冈职业技术学院副教授，硕士，研究方向:高职教育，计算机。

中图分类号：G420

文献标志码：A

文章编号：1671-1602(2016)14-0023-02