齐晓芬

引言：自上世纪发明计算机以来，近几十年，随着计算机技术和因特网网络技术的迅猛发展，计算机网络已成为大部分现代人生活所必需的部分。随之而来的是计算机网络攻击在各国间频频出现，现今，计算机网络安全问题已成为关系到现代人社会生活安全的问题。中

以21世纪以来所显示的数据来看，网络世界频频爆发各种电脑病毒，以最广泛的蠕虫类、木马类病毒为代表的大规模网络安全攻击事件给全球的互联网和商业、军事情报网带来了严重的冲击，网络病毒传播速度之快及其破坏力之大和影响范围之广都远远超过以往没有计算机网络的时代。可以说随着计算机网络技术的发展，打破了传统意义上的信息传递概念，是一种跨时代的飞跃。相对的，计算机网络的安全性也至关重要，所以，各种保密手段和防黑客技术也在新的世纪得到突飞猛进的进展。

一、计算机网络安全现状

（一）计算机网络攻击和安全隐患

计算机网络攻击原则上可分为以下几类：第一，利用网络攻击中常见的技术术语、社会术语等来对攻击进行描述；第二，利用多属性法对攻击进行描述；第三，对特定类型应用、特定系统而发起的网络攻击；第四，利用单一属性描述的和仅从攻击某个特定的属性的网络攻击。

（二）计算机网络攻击防护实现的目标

上世纪六十年代对于信息保护处于通信保密时代；七十年代是计算机安全时代；八十年代是信息安全时代；就是年代以后是信息保障时代。所谓信息保障是通过保护、检测、反应、恢复这四种手段实现的，即所谓的PDRR。

计算机网络攻击防护是为了保护信息的机密性、身份真实性、完整性、服务可用性、系统可控性、可靠性、访问控制、抗抵赖性和可审查性。

二、计算机网络安全防护技术

（一）密码技术

计算机网络安全防护中的密码技术是基于密码学的原理上发展起来的，密码体制是密码技术中最为核心的一个概念。一个密码体制被定义为一对数据变换。对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。对称密码体制又分为两种，即序列密码和分组密码。前者将明文消息按字符逐位地加密；后者将明文消息分组，逐组地进行加密，其典型代表是DES。

（二）入侵检测技术

对计算机终端和客户计算机连接系统异常行为模式分析统计；对计算机操作系统的跟踪管理。根据入侵检测技术应用的范围，入侵检测可分为基于主机型、网络型和代理型这三种；根据入侵检测技术检测方法的区别，入侵检测分为基于行为的异常入侵检测和基于知识的误用入侵检测。至今开发出比较有代表性的产品有Realsecure、Cybercop和NetRanger。

入侵检测技术主要操作步骤分为收集信息和分析信息两步。收集信息主要指收集系统、网络、数据及用户活动的状态和行为的信息，在扩大检测范围的同时通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为；分析应用模式匹配、统计分析、完整性分析等分析方法。

（三）防火墙技术

防火墙技术不仅有对外部网络发出的通信连接进行过滤的作用，其对内部网络用户的请求和数据包也有过滤的功能，防火墙技术之所以能成为网络安全防护的重要技术组成部分，是因为防火墙技术只允许符合安全策略的通信通过，这大大提高了网络范围内反入侵技术的成功率。综上所述，可以看出防火墙技术是一种隔离内部网络和外部网络之间的有效的网络防御系统。

必须使内部网络和外部网络之间的所有数据流都经过防火墙技术才能达到防火墙技术的安全防御的功能；在此基础上，能通过防火墙技术的数据流能是符合防火墙技术规则设置的。防火墙技术本身具有非常强的抗攻击能力。

防火墙技术有包过滤型和应用代理型两种。其中，包过滤型防火墙技术是指用一台过滤路由器实现，对所接受的每一个数据包作出允许通过或拒绝通过的决定的一类防火墙技术。在包过滤型防火墙技术的作用下，只有与进出口包所匹配的符合防火墙技术规则的数据才能被通过和传递，即只有数据包头源地址、目的地址、端口号和协议类型等都符合防火墙技术规则时才能被传递；缺少上述两个条件任何一个条件的数据都不被允许通过。包过滤类型的防火墙技术要遵循的规则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。包过滤型防火墙技术又包括静态包过滤型防火墙技术和动态包过滤型防火墙技术。前者是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。后者则是后来的包状态监测技术，监控每一个连接，自动临时增加适当的规则。应用代理型防火墙技术工作在OSI应用层的防火墙技术，其完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

防火墙技术还有其他分类依据，如根据防火墙技术的应用位置来分可以把防火墙技术分为边界防火墙技术、个人防火墙技术和混合防火墙技术。根据防火墙技术的性能来分有可以把防火墙技术分为百兆级防火墙技术和千兆级防火墙技术。

不可否认的是防火墙技术还是有一定的缺点：如防火墙技术不能彻底地防止地址欺骗的网络欺诈行为；防火墙技术的正常数据包过滤路由器由于不能执行默写安全策略，从而对于防反黑客攻击的作用很弱；防火墙技术的一些协议不能适用于数据包的过滤并且也不支持应用层协议；防火墙技术不能做到实时更新所以在遇到新的安全威胁时不能及时处理。

（四）陷阱网路

以上所述的密码技术、入侵检测技术和防火墙技术都是网络安全防护方面比较成熟的技术，但是，随着网络攻击技术的飞速发展，网络安全防护技术总体上说还是处于被动的防护地位，为了针对这一不利形势，又有人开发出一种主动型网络安全防护措施，即陷阱构网络技术。

陷阱网络是基于网络的开放性而设计的，即假设网络上的每台主机都有可能被攻击，而且对于那些带有某种特定资源的系统遭到攻击的概率越大，那么网络陷阱的布置，就有可能成功地将入侵者引入一个受控环境中，从而降低正常系统被攻击的概率。

当前常见的陷阱网络系统主要有：蜜罐系统，它能模拟某些常见的漏洞或者模拟其它操作系统或者在某个系统上做一些设置使其成为一台类似于牢笼的主机，来诱骗入侵者使攻击者劳而无功；陷阱网络，它建立的是一个真实的网络和主机环境，并非某台单一主机，这个陷阱网络系统隐藏在防火墙后面，使得所有进出的数据都受到关注、捕获及控制。陷阱网路主要用来学习了解攻击者的思路、工具和目的，并为特定组织提供关于他们自己得出的网络安全风险和脆弱性的一些经验，同时帮助一个组织发展事件响应能力。

三、结语

随着计算机网络攻击技术的发展，计算机网络安全防护技术的更新和改善要由原来的被动型向未来的主动型转变，同时，传统的技术要进一步的更新的稳固，新的技术如陷阱网路的研发和应用要由现在的主干网络系统普及至全民网络体系中。这个过程还需要科技人员的努力。

参考文献

[1]曹建文,柴世红.防火墙技术在计算机网络安全中的应用[J].信息技术,2005,34:39-40

[2]周琰.骨干网络安全防护技术探讨[J].气象科技,2006,9:65-68.