沈大盛　湛礼强　沈大强

摘要：本文概要地说明了计算机网络安全的定义、影响网络安全的要素以及常用的网络安全技术对策，并提出我国应采取的措施。

关键词：网络安全；安全技术

前言

当今社会真正进入了信息化社会，伴随着计算机网络的发展，人们对计算机网络的依赖程度越来越高。然而，由于在计算机网络发展初期，人们只注意了网络的方便性和开放性，而在某种程度上忽略了网络的安全性，这种高度的依赖性将使社会变得十分"脆弱"。一旦网络受到攻击而不能正常工作，就会使整个社会陷入危机。据资料显示，当今世界上，平均每２０秒就有一起黑客事件发生，仅在美国每年造成的经济损失就达１００亿美元以上。２０００年２月７、８、９日三天，包括ｙａｈｏｏ、ＣＮＮ在内的多家著名网站先后遭到了Ｉｎｔｅｒｎｅｔ历史上最严重的黑客攻击，经济损失达１０亿美元。美国公布的一份关于国家安全的报告认为，在２１世纪对美国国家安全最有威胁的几种行为中，列在首位的就是网络恐怖主义，这也是网络安全问题第一次被以政府的口吻提出。另据统计，我国９０％以上的网站存在安全漏洞，很多网站也曾受到过黑客的攻击，给国家和企业都造成了较大的损失。所以全社会都应重视计算机信息系统的安全保护，网络安全是摆在网络工作者面前的一项重要课题。

一、网络安全的定义

网络安全的核心是信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏，必须建立网络信息系统的安全服务体系。关于计算机信息系统安全性的定义到目前为止还没有统一，国际标准化组织（ＩＳＯ）的定义为："为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。＂此概念偏重于静态信息保护。也有人将"计算机安全"定义为："计算机的硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常运行。"该定义着重于动态意义描述。

从内容看，网络安全大致包括四个方面：（１）网络实体安全：例如计算机机房的物理条件、物理设施的安全标准，计算机硬件、附属设备及传输线路及配置。（２）软件安全：例如保护网络系统不被非法侵入，系统应用软件不被非法复制、篡改，不被病毒侵害等。（３）网络中的数据安全：例如保护网络中的数据不被非法存取，使其保持完整。（４）网络安全管理：例如运行时突发事件的安全处理等。包括采取计算机安全技术，建立安全管理制度，开展安全审计，建立风险分析等内容。

从特征上看，网络安全包括六个基本要素：（１）机密性：确保信息不暴露给未授权的实体或进程。（２）完整性：只有得到允许的人才能修改数据，并且能够识别出数据是否已被篡改。要保证从信息资源生成到利用其间内容不被篡改。（３）可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。（４）可控性：可以控制授权范围内的资源信息流向及行为方式。（５）真实性：保证信息资源做成的真实性，具有认证功能。（６）可审查性：对出现的网络安全问题提供调查的依据和手段。能够追踪信息资源什么时候被使用，谁在使用及怎样操作使用。二、影响网络安全的因素

影响计算机网络安全的因素很多，有人为因素，也有自然因素，其中人为因素的危害最大。从影响因素的具体内容上来看，当前互联网用户主要面临以下安全威胁：

一是信息污染和有害信息。大致可分为以下几种情况：（１）外来文化的入侵，即国外的一些文化思潮和价值观念不可避免地侵入他国。（２）国际互联网上的色情泛滥。（３）一些敌对国的组织和个人利用互联网恣意散布攻击他国政府的言论。（４）一些境外的邪教组织和封建迷信组织利用互联网传播邪教和迷信言论，进行邪教渗透，发展邪教和封建帮会成员。（５）互联网中的个别用户违背应有的社会公共道德，在网上随意地攻击、谩骂他人。

二是对互联网网络资源的攻击。对互联网资源的攻击既可能来自内部网的用户，也可能来自整个互联网内的其他用户。具体分析起来，主要有以下几方面的攻击：（１）非法使用网络资源，包括未经授权非法访问互联网的信息资源和主机资源，超越系统正常的授权访问系统资源等。（２）通过非法窃取用户的口令以获得访问用户的账号权限，或者冒充系统合法用户从事欺诈活动。（３）非法截获在互联网上传输的用户信息，如用户的电子邮件信息，以及窃听、篡改、删除用户信息等。（４）制造电子"邮件炸弹"，通过在互联网上大量地向用户发送电子邮件，干扰用户的正常工作，严重时甚至导致系统和网络瘫痪。此外，西方发达国家已经开始信息战的研究，寻求利用信息武器攻击的战术。因此，在不远的将来，互联网还将会面临未来电子战的威胁，而这类威胁的手段将更先进，攻击的危害性也会更大。

三是计算机病毒。迄今为止，发生在互联网上的影响最为重大的一件安全事件，就是发生在１９８８年的互联网"莫斯科蠕虫"事件，该事件曾导致美国互联网上大约６０００多台主机的瘫痪。为恢复互联网的正常工作，美国政府花费了大量的人力和物力，调集了许多计算机安全专家清除这一病毒，造成了上亿元的经济损失。随着互联网用户的日益增加，计算机病毒传播的速度将更加迅速，影响范围将更大。

四是利用互联网犯罪。互联网可以为公众提供方便的信息服务，同时，形形色色的犯罪分子也在利用互联网作为传递信息的手段，为其犯罪活动服务。据报道，国际毒贩利用互联网指挥贩毒活动，一些国际色情团伙也利用互联网从事跨国的色情犯罪活动。此外，互联网还给各国的网络黑客提供了一片"广阔天地"，据报道仅美国"登记在册"的黑客就达１５万之众。这些年龄仅２０岁左右的网络黑客们使美国包括中央情报局等情报部门和军事部门在内的许多互联网的上网单位吃尽苦头。

从影响因素的产生动机上来看，针对网络安全的威胁又可分为以下三个方面：

１.人为的无意失误

安全配置不当造成的安全漏洞，不合理地设定资源访问控制，一些资源就有可能被偶然或无意地破坏，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都对网络安全带来威胁。

２.人为的恶意攻击

这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它的各种方式有选择地破坏信息的有效性和完整性，这就是纯粹的信息破坏。这样的网络侵犯者被称为积极侵犯者，积极侵犯者截取网上的信息包，并对之进行更改使之失效，或者故意添加一些有利于自己的信息，起到信息误导的作用，或者登录进入系统使用并占用大量网络资源，造成资源的消耗，损害合法用户的利益，积极侵犯者的破坏作用最大。另一类是被动攻击，它是在不影响正常工作的情况下，进行窃取、破译以获得重要的机密信息。这种仅窃听而不破坏网络中传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄露。

３.网络软件的漏洞和"后门"

网络软件不可能是百分之百无缺陷和无漏洞的，然而这些缺陷恰恰是黑客进行攻击的首选目标，曾经出现过黑客进攻网络内部的事件，大部分就是因为网络软件有漏洞，导致安全措施不完善所招致的后果。另外，软件的"后门"都是软件公司的编程人员为了自便而设置的，一般不为人所知，但一旦"后门"打开，其造成的后果不堪设想。

三、几项关键的网络安全技术

由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯。网络安全的基本技术主要有：防火墙技术、密码技术、安全检查技术、数据完整性技术、内容检查技术、ＶＰＮ技术等等。

１.防火墙技术

所谓"防火墙"，是指一种将内部网和Ｉｎｔｅｒｎｅｔ分开的方法，实际上是一种隔离技术。它是按照预定好的规则来控制数据包的进出，是系统的第一道防线，用以防止非法数据的闯入。根据防火墙所在位置，可以分为三类：网络层防火墙、应用层防火墙和虚电路防火墙。网络层防火墙使用一个过滤器来检查数据包的来源、目的地、端口和协议类型等信息，再决定拒绝或接受该数据包。代理服务器相当于应用层防火墙，网外和网内的信息不能直接通过代理服务器，只有那些符合预先设定规则的信息才能通过代理服务器进行交换。ＳＯＣＫＳ技术是一种典型的虚电路防火墙，它在ＳＯＣＫＳ服务器和ＳＯＣＫＳ客户机上建立安全的数据通路，ＳＯＣＫＳ客户机软件截取应用程序对外部网络的访问请求信息并送到ＳＯＣＫＳ服务器，由服务器从远端服务器上取得数据后，通过数据通路把数据送到客户机上的应用程序。

２.数据加密技术

与防火墙配合使用的数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一，它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息就全部通过加密处理。按作用不同，数据加密技术主要分为数据传输、数据存贮、数据完整性的鉴别、密钥管理技术４种。加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是大多受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国数据加密标准ＤＥＳ。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。

３.安全检查技术

安全检查技术用来鉴别用户的合法性，通常要求用户输入口令，但由于口令本身容易失窃或容易被猜到，因此易被黑客闯入。为了提高安全性，于是又有了ＴＯＤＥＮ、智能卡等检查方法。ＴＯＤＥＮ是如信用卡大小，可随身携带的一个装置。当用户登录进入网络时，服务器将提问一个口令，用户只需把口令键入ＴＯ-ＤＥＮ，并把它显示出的应答内容输入服务器即可。智能卡与ＴＯ-ＤＥＮ工作原理类似，只是还需要一个读卡机。同时人们正在采用更加稳妥、可靠的认证方案。如利用人体特征具有不可复制的特性的生物识别方案和基于通行证的硬件方案是目前比较理想的两种认证方案。

４.数据完整性技术

数据完整性证明在数据传输过程中，验证收到的数据和原来的数据之间保持一致，以保证用户接受到的信息没有被非法的第三方篡改。检查和是最早采用的数据完整性验证的方法，它虽不能保证数据的完整性，只起到基本的验证作用，但由于其实现简单，目前仍广泛应用于网络数据的传输和保护中。近几年研究较多的是数据摘压算法和数字签名算法，它们虽可以保证数据完整性，但由于实现起来比较复杂，系统开销比较大，一般多用于完整性要求较高的领域，特别是金融业、商业等领域。

５.内容检查技术

即使有了防火墙、身份认证和加密，人们仍然担心遭到病毒的攻击。这些病毒通过Ｅ-ｍａｉｌ或用户下载的Ｊａｖａ和Ａｃｔｉｖｅｘ小程序Ａｐｐｌｅｔ．进行传播。带病毒的Ａｐｐｌｅｔ被激活后，又可能会自动下载别的Ａｐｐｌｅｔ．。现有的反病毒软件除了可以清除Ｅ-ｍａｉｌ病毒外，对新型的Ｊａｖａ和Ａｐｐｌｅｔ．病毒也有一些办法，如通过完善防火墙，使之能够监控Ａｃｔｉｖｅｘ的运行，或者给Ａｃｔｉｖｅｘ加上标签，让用户了解它们的来路等。

６.虚拟专用网技术（ＶＰＮ）

ＶＰＮ是建立在广域网之上的专用网技术，通过安全网络协议，形成专用的虚拟链路，在网上ＩＰ传送数据包，为最终用户提供专用网络性能的网络服务技术。该专线叫做隧道，由隧道技术、用户认证、数据加密构成。由于用户认证确保未获认证的用户无法访问网络、数据加密保证敏感数据不被窃取。局域网络操作系统本身提供了管理系统资源、保证网络系统安全运行的措施。Ｎｅｔｗａｒｅ提供的多级容错措施可防止数据的丢失和系统的瘫痪。入网口令可防止非法用户的闯入。非法者检测与锁定可将非法用户所用账号封锁起来并禁止其访问系统。用户托管权限和资源属性可防止非法用户和合法用户蓄意对网络数据和文件的破坏。使得企业通过公网建立ＶＰＮ，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性。

四、网络安全的措施

除了着力加强网络安全技术的防范策略之外，我们还必须从各方面采取积极的的措施来保障网络安全体系的构建：

１.加强安全立法，建立网络安全法律体系

安全的基石是社会法律、法规与手段，通过建立与网络安全相关的法律、法规，使不法分子慑于法律，不敢轻举妄动。这一方面要制定一些适宜于网络正常运行的地方、行业性法规。因为Ｉｎｔｅｒｎｅｔ网在我国迅速发展，实践先于理论，国家有关法律尚不能覆盖网络运行中出现的新问题，因此可制定一些地方性、行业性的法规，以维护网上正常的秩序，同时也为今后进一步完善立法提供借鉴。另一方面，国家应尽快制定相应的网络法规，保障当事人的合法利益，使网络真正成为新时代生产力的保护神。

２.重视网络安全设施的基础建设

当前我国的信息网络安全研究处在忙于封堵现有实际信息系统安全漏洞的阶段。要想从根本上解决问题，应该在国家主管部门的组织下从基础研究入手，为我国信息与网络安全构筑自主、创新、完整的理论体系和基础构件，推动我国信息产业的发展。例如：建立"数字证书认证中心"、"病毒检测和防治中心"、"商业密码监管中心"、"网络犯罪监察与防范中心"、"网络安全应急处置中心"、"关键网络系统灾难恢复中心"、"信息保密监管中心"等等，为安全工作的深化做好必须的基础工作。

３.坚持独立自主原则发展我国的信息产业

据报道，我国的信息安全技术和产品约有６６％是进口的，如在Ｉｎｔｅｒｎｅｔ上的所有加密协议中，ＳＳＬ协议和ＳＥＴ协议与电子商务的关系密切。目前，美国的商家一般都可以使用１２８位的ＳＳＬ，但美国只允许出口４０位密钥加密技术，而４０位密钥只需要几分钟就可解密。因此要彻底解决网络安全问题，当务之急是要加强自主创新，大力开发自己的网络安全产品。这就要加大对信息产业的投入，重点发展和扶持信息安全产业，对关键技术应由国内自行研制开发，维护国家安全。加大中国Ｉｎｔｅｒｎｅｔ网安全保护技术、产品的科研开发力度。在研究开发安全保护技术的同时，要加强信息安全体系结构标准化的研究，特别是加强数据机密、密钥管理、访问控制数据完整性、安全审计等标准化研究。加强信息战略和信息对抗策略研究，建立相应的机构，培养该领域的优秀人才。建立网络安全灾害突发事件处理机构，提高应付紧急事变的能力。对越境数据流实施"严格控制下的合理利用"原则，积极地跟踪和吸收国外的新技术、新思想，利用我国独创的关键技术，及时安排与防火墙、监控安全密钥管理、数据／密码和安全认证协议等技术相配合，独立或合作开发出具有我国自主版权的Ｉｎｔｅｒｎｅｔ网安全产品，使网络更好地为社会主义现代化建设服务。

４.要重视网络安全的管理

网络安全的技术含量较高，但绝不是一个简单的技术问题。单纯从技术层面来解决网络安全问题是不可能的，一定要从管理方面贯彻好的网络安全策略和机制，并通过技术手段来实现。我们应该为用户建立一个更有效并易于管理的网络安全管理平台，并为用户提供战略性的统计与分析。在我国，网络安全在线审计的应用刚刚起步，还没有一套有效的统计和分析系统，但世界上可供分析的数据源很多，数据挖掘技术也比较成熟。现在国内有些公司正在着手这方面的工作。

五、结束语

网络安全问题是网络应用的保证，没有网络安全，其他的网络应用就无法开展。需要强调的一点是，网络安全不是单一的技术问题，它涉及到方方面面的问题，是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。一种技术只能解决一方面的问题，而不是万能的。多种技术的融合和相关的管理措施的实行才能构筑坚固的安全系统。互联网作为开放的信息系统，越来越成为各国信息战的战略目标。窃密与反窃密、破坏与反破坏的斗争将是全方位的，不只是个人、集团的行为，而且是国家级的行为。值得注意的是，随着网络技术的发展，新的网络安全问题会不断出现。可以说，网络安全，任重道远。

参考文献：

[１]彭杰．计算机网络安全问题的探讨[Ｊ]．现代电子技术，２００２（６）

[２]毕晓玲．网络安全技术的现状和发展[Ｊ]．山西师范大学学报，２００２（６）

[３]李静．计算机网络安全与防范措施[Ｊ]．湖南省政法管理干部学院学报，２００２（２）

[４]王龙军．浅析计算机网络安全[Ｊ]．江西行政学院学报，２００１（１２）

[５]佘路彤．信息时代网络安全概述[Ｊ]．中国资源综合利用，２００１（８）

[６]汪文娟．谈２１世纪的网络安全[Ｊ]．科技情报开发与经济，２００１（３）

[７]冯耀明．浅论网络安全[Ｊ]．中共太原市委党校学报，２００１（２）