摘 要：网络安全不仅影响网络稳定运行和用户的正常使用，还有可能威胁到国家安全、造成重大的经济损失。本文对当前计算机网络存在的安全隐患进行了分析，并探讨了针对计算机网络安全隐患的防范策略。

关键词：网络安全；计算机网络；入侵检测；防火墙

引 言

计算机的广泛应用把人类带入了一个全新的时代，尤其是网络应用的迅速普及，正在以惊人的速度渗透到各个领域。在为全球信息的交换与获取提供了最便捷的手段的同时，也使信息安全受到严重威胁。所以，在计算机网络系统飞速发展的今天，我们要更加重视计算机网络安全。

1、计算机网络安全的含义

国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。计算机网络安全可以理解为计算机安全在网络环境下的扩展，即网络安全是对网络信息保密性、完整性和可用性的保护。网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

2、计算机网络安全现状

据美国联邦调查局统计，美国每年因为网络安全造成的经济损失超过170 亿美元。75% 的公司报告财政损失是由于计算机系统的安全问题造成的。我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增。此外，随着信息和秘密越来越集中于计算机，利用网络窃取或泄露国家政治、经济、军事、科技等机密将成为间谍活动的主要手段，网上秘密争夺战将愈演愈烈。计算机网络与信息安全已成为互联网健康发展必须面对的严重问题。

3、网络的安全策略分析

3.1 防火墙技术的作用是对网络访问实施访问控制策略

防火墙是不同网络或网络安全域之间信息的惟一出入口，通过预定义的访问控制策略，对内外网通信强制实施访问控制，且本身具有较强的抗攻击能力。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。

3.2 VPN

VPN(Virtual Private Network)即虚拟专用网络，是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却能够实现专用网络的功能。 在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。目前VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(KeyManagement)、身份认证技术(Authentication)。

3.3 加强网络的安全管理

加强网络的安全管理包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员出入机房管理制度。制定网络系统的维护制度和应急措施，加强计算机人员安全防范意识，提高人员的安全素质。2004年9月7日中共中央办公厅、国务院办公厅以中办发[2004]27号文件转发了《关于加强国家信息安全保障工作的意见》，文件对中央各个直属机关、各级政府以及各行各业的信息安全保障工作作出了原则性的规定，对今后我国信息安全领域的工作具有战略意义。

4、计算机网络安全的防范措施

计算机网络安全从技术上来说，分为主动防范技术和被动防范技术，一个单独的技术无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：身份认证、防火墙技术、访问控制、数据加密技术、入侵检测技术、入侵防护系统的建设等，以下就此几项技术分别进行分析。

4.1 身份认证

网络安全身份认证是指登录计算机网络时系统对用户身份的确认技术。是网络安全的重要的一道防线。用户在访问安全系统之前，首先经过身份认证系统识别身份，然后访问监控器根据用户的身份和授权数据库决定用户是否能够访问某个资源。

4.2 访问控制

访问控制决定了用户可以访问的网络范围、使用的协议、端口；能访问系统的何种资源以及如何使用这些资源。 在路由器上可以建立访问控制列表，它是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。

4.3 数据加密与用户授权访问控制技术

数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。

4.4 防火墙

防火墙是网络规划中很重要的一部分，是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，是网络安全的第一道防线，是保护内部网络操作环境的特殊网络互联设备。因此，对网络防火墙要精心配置，反复核查，严格把关。

4.5 入侵检测技术

入侵检测系统是从多种计算机系统及网络系统中收集信息，再通过这此信息分析入侵特征的网络安全系统。入侵检测系统是根据入侵检测识别库的规则，判断网络中是否存在非法的访问。它能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵。

4.6 入侵防护技术

从工作原理上来看，入侵检测技术(IDS)属于被动式的反应式技术，这种技术在安全威胁传播速度较慢时并没有显现出太大问题，随着威胁传播速度的加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应。而入侵防护系统(IPS)则提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在 IPS 设备中被清除掉。

参考文献

[1]汪海慧.浅议网络安全问题及防范对策[J].信息技术.2007.

[2]孙晓南.防火墙技术与网络安全[J].科技信息.2008.