浅析计算机网络工程安全问题及其解决方法

马调调 颜骁

摘 要：随着计算机技术的普及，计算机网络已经遍布现代人类生活的各个角落，无时无刻不在影响着人们的生活。计算机网络的发展丰富了人们的生活，提高了人们的生活质量。但计算机网络工程的安全问题对人们的隐私信息构成了严重的威胁，只有有效解决这些潜在的风险，才能促进计算机网络的健康发展。本文对计算机网络工程安全的发展现状进行了分析，并提出了几点解决方法和策略。

当代信息时代的发展，计算机网络逐渐渗透到人民生活的各个角落，每时每刻都在影响着人们的生活，同时也为改善和丰富人们的生活起到了至关重要的作用，但是计算机网络工程安全的问题也对人们的生活构成了威胁。本文章浅谈网络工程安全现状，提出了几点建议与对策。

关键词：计算机；网络信息工程；安全问题；解决方法

近些年网络工程安全的攻击手段越来越厉害，而随着自动化程度和速度的提高，工具也变得越来越复杂，系统安全漏洞越来越多，攻击网络基础设施的威胁也越来越大。所以网络工程安全的建设迫在眉睫。

1 国内近几年网络工程安全现状

1.1 计算机病毒泛滥

现在编程工具软件的人性化设计使得人们学习编程变得越来越简单，而那些网络黑客的手段更是一流，几乎每一秒钟世界上就产生一种计算机病毒。那些病毒加载在网页插件上，让人们无形中就把病毒程序下载到自己的电脑中。而那些病毒在潜伏时期会隐藏自己，让人们根本无法发现它的存在，就像定时炸弹一样，到了它预先设计好的时间，就会一下子发作，人们根本无法控制。

1.2 木马程序带来安全保密方面的隐患

木马病毒也是计算机病毒的一种，但它不像一般病毒一样自我复制繁殖，它只是向种植木马病毒者提供一个门户，能让种植木马病毒的人自由复制而破坏被感染木马病毒的计算机内的任意文件，甚至远程操控该计算机。那么该计算机存储的个人信息、保密文件等任何隐私情况都会被窃取，而它所带来的危害是无法估计的。

1.3 洪流攻击

在黑客攻击的手段分类中，易受黑客攻击的属于洪流攻击。遭受洪流攻击的大多数是服 务器，黑客通过木马病毒控制几十、几百甚至几千台计算机，然后远程控制被控机向同一台服务器同时发出连接请求，占用公共端口，使得其他真正有需要的用户不能访问该服务器，从而使得该服务器不能正常的工作。比较普遍的洪流攻击像 TCPSYN 洪流攻击、ARP 洪流攻击、ICMP 洪流攻击等。

1.4 垃圾邮件阻塞网络

当我们打开个人邮箱时，总会发现邮箱内填满了各式各样的莫名其妙的邮件，占用内存和网络带宽，严重影响网络质量。而邮件地址的获得途径多种多样，比如人工收集、各类信箱自动收集机、垃圾信制造者之间的交易、邮件列表等，让人们防不胜防，只能不随便打开这些来历不明的邮件来避免受到侵害。

2 计算机网络工程安全防护策略的手段

2.1 数据存储时的防护策略

当数据存储在用户主机或系统服务器时，为了保证数据不受到外部不明入侵者的窃取和损害，我们必须在系统和外部网络的接口处安装某种机制，检测外部用户的安全性，解决请求是否合法、内部用户是否向外部非法用户传递机密不可共享性文件等问题。并在此同时保证内外部用户之间正常合法的通信质量。

2.1.1 入侵检测系统（IDS）

入侵检测系统是一种实时监测网络通信的网络安全设备，根据设备安装位置可分为基于主机的 IDS 和基于网络的 IDS。基于主机的 IDS 安装在主机与网络接口处，该设备一般只是保护单一用户，配置简单。但在用户数量较大的时候，网络设备升级较为麻烦。基于网络的 IDS 一般配置在内部可信任网络与外部不可信任网络的接口处，它可以保护整个内部网络。但配置比较复杂。而当病毒变异事件数据库需要更新时，只需更新该 IDS 就可以保护整个内部用户主机，十分方便。

从技术上来分，入侵检测技术可分为基于异常检测和基于行为检测。基于异常检测系统会给出用户正常操作所具有的轮廓用来构建事件数据库，当用户操作与正常行为有重大偏差时，则认为入侵。而基于行为检测系统则由专家分析用户非正常操作的行为特征，并建立相应特征库，当发现用户行为与特征库的记录相匹配时，则认为入侵。

2.1.2 入侵保护系统（IPS）

IPS 与 IDS 相似，但 IDS 在发现入侵时只是发出警报不采取措施，而 IPS 在发现入侵时，发出警报的同时采取相应措施，能更全面地保护网络信息安全。

（1）防火墙技术（firewall）

防火墙技术是一种软硬件结合的技术，使得 intranet 与internet 之间形成一个保护级网关，从而保护内部网络免受外部非法用户的入侵。从实现原理上划分可分为简单包过滤防火墙、状态监测包过滤防火墙和应用代理防火墙。简单包过滤防火墙是配置最简单的防火墙，它只检查 IP 数据包的包头、原地址、目的地址和端口号，通过定义 TCP 或UDP 的端口号来决定是否允许该连接的建立。状态监测包过滤防火墙是配置最复杂的防火墙，它需要检查每一个数据包的内容，包括具体通信内容，形成较严谨的访问控制，但是在现实中较为复杂，不具有透明性。应用代理防火墙处于简单包过滤与状态检测包过滤之间，它主要检测受信用户与不受信用户之间的 TCP 握手连接。

（2）身份认证

通过口令密码或用户生物特征来认证操作者身份，避免非法人员窃取隐私信息。

2.2 数据传播时的防护策略

由于网络链路的不可靠传输，数据在传播过程中容易被拦截，为了避免机密数据的泄露，需要对发送的数据加密，根据加密技术可分为对称与非对称加密。对称加密发送方与接收方的密鑰相同，由同一机构 PKI 为每对连接发放临时密钥，著名的有 DES、3DES、AES 等算法。非对称加密不需要统一密钥，提高了安全性，CA 机构为每个用户发放各自的公钥，发送方用接收方的公钥加密信息，而接收方用自己的私钥就可以解密数据，著名的有 RAS 算法。

3 结语

综上所诉，在发展计算机网络工程的过程中要注重对网络工程安全防护系统的建设，同时加强计算机网络安全的教育与宣传，提高我国公民的素质，从而双向结合最大化的提高信息的安全性，维护我国网络系统的健康发展。

参考文献

[1] 黄丹.关于计算机网络安全问题分析及对策研究 [J].信息与电脑（理论版），2013，12（15）：245-246.

[2] 严有日.论计算机网络安全问题及防范措施 [J].赤峰学院学报

（作者单位：辽东学院）