摘要：隨著現代科學技術的進步以及計算機信息系統的不斷發(fā)展與完善，人們在利用計算機的同時，也面對著諸多安全隱患，其中計算機網絡信息安全更是關乎人們的生產與生活。怎樣建立并完善計算機網絡信息安全機制以更好的服務于人類文明建設是亟待解決的重要問題。本文結合計算機網絡信息安全面對的主要威脅，分析主要的計算機網絡信息安全技術，并探討新一代防火墻技術的發(fā)展方向。

 

    關鍵詞：計算機；網絡信息安全；防火墻；安全技術
 

    1計算機網絡信息面臨的安全威脅

    計算機網絡存在著諸多的安全隱患，常見的安全威脅有自然災害因素、網絡安全協議漏洞、系統本身的脆弱性、操作者的認為失誤、網絡攻擊、借助網絡硬件或軟件傳播的計算機病毒程度、垃圾郵件以及計算機犯罪等。

    1.1自然災害

    計算機信息系統所借助的網絡傳輸系統、硬件設置等容易受到自然災害以及惡劣環(huán)境的影響。且目前建設的計算機網絡體系一般缺少針對性的防震、防火、防雷保護措施。所以，其地域自然災害和惡劣環(huán)境因素的能力較弱，容易受到自然因素的影響。

    1.2網絡系統本身的脆弱性

    計算機網絡信息技術具有開放性特點，這是計算機網絡能普及的原因也是其容易受到攻擊的弱點所在。其次TCP/IP協議的安全度較低，導致依靠該協議進行數據交換的網絡信息系統容易受到數據篡改、拒絕服務、數據截取等攻擊。

    1.3用戶操作失誤

    現今的計算機操作系統越來越人性化，使得不懂計算機專業(yè)知識的用戶也能進行簡單操作，但大部分用戶對計算機信息安全防護的意識不強，這對計算機病毒的入侵、用戶賬號信息的泄露敞開了“便利之門”，從而對網絡安全帶來了威脅。

    1.4人為的惡意攻擊

    人為的惡意攻擊是計算機網絡信息系統所面臨的最大威脅。人為的惡意攻擊又分為主動攻擊和被動攻擊兩種。其中主動攻擊指的是人為的有選擇性、意圖性的破壞目的數據信息；被動攻擊主要是指在不造成網絡癱瘓的情況下，對重要的有價值信息進行截取、破譯等攻擊。這種人為的惡意攻擊對計算機網絡信息安全所造成的危害是巨大的，同時對人們的隱私信息和財產安全也構成極大的威脅。

    1.5計算機病毒

    計算機病毒是可存儲、可執(zhí)行、可隱藏在可執(zhí)行程序和數據文件中而不被人發(fā)現，觸發(fā)后可獲取系統控制的一段可執(zhí)行程序，它具有傳染性、潛伏性、可觸發(fā)性和破壞性等特點。計算機病毒主要是通過復制文件、傳送文件、運行程序等操作傳播。在日常的使用中，軟盤、硬盤、光盤和網絡是傳播病毒的主要途徑。計算機病毒運行后輕則可能降低系統工作效率，重則可能損壞文件，甚至刪除文件，使數據丟失，破壞系統硬件，造成各種難以預料的后果。近年來出現的多種惡性病毒都是基于網絡進行傳播的，這些計算機網絡病毒破壞性很大。

    1.6計算機犯罪

    通常是利用竊取口令等手段非法侵入計算機信息系統，傳播有害信息，惡意破壞計算機系統，實施貪污、盜竊、詐騙和金融犯罪等活動。

    2網絡安全技術

    2.1網絡安全掃描技術

    計算機網絡系統安全掃描技術是保障網絡信息安全的重要措施之一。通過對全網或目的網絡的系統安全掃描，網絡管理員能及時的了解網絡的運行狀況，及時的發(fā)現容易受到攻擊的安全漏洞，進而進行及時的補救。利用安全掃描技術，可以對主機操作系統、局域網、Web服務站點以及防火墻系統進行安全監(jiān)控，檢測服務器以及可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。

    2.2入侵檢測技術

    計算機網絡信息系統入侵檢測技術也稱之為網絡實時監(jiān)控技術。通過對計算機網絡系統的硬件和軟件設置對網絡上的信息數據流進行實時的檢查或監(jiān)控，并與系統中的入侵特征數據庫進行數據比對，以甄別出有潛在威脅的數據流，一旦發(fā)現有攻擊行為特征，便根據用戶定于的動作做出即時反應，如切斷網絡、啟動防火墻防御措施等以將入侵的數據包進行濾除。計算機網絡入侵檢測及時是對防火墻防護措施的補充，擴大網絡安全監(jiān)控的力度，可以在保障網絡正常運行的情況下，對來自內部、外部的攻擊進行“預警”從而極大程度的提高計算機網絡信息的安全性。

    2.3數據加密技術

    計算機數據傳輸加密系統可為信息安全技術的核心，是計算機網絡系統的主動防御體系。數據加密技術通過對特定信息進行數據加密處理將信息從簡單排序變換為復雜不可理解的密文形式，對數據信息在網絡傳輸或存儲媒介中進行保護，以防止人為的竊取以及數據的泄露，從而保護數據信息的安全性。

    2.4防火墻技術

    隨著計算機網絡安全技術的不斷發(fā)展與革新，各種新型安全技術不斷涌現，

    但其中最常用的網絡安全防護技術仍然是防火墻技術。防火墻系統是計算機網絡的安全部件，它可以是特定的軟件保護模塊也可以是具有數據保護功能的硬件設置或者是芯片級的防火墻。防火墻安全部件設置于被保護網絡的“邊界區(qū)域”，相當于網絡體統的“守護者”，通過接受并分析進出網絡系統的數據流，并根據預先設定的動作處理設置對用戶訪問權限，數據傳輸協議進行規(guī)范操作，防火墻系統的保護機制是雙向的，不僅可以防止外來攻擊的入侵，也可以防止系統內部有價值信息的對外傳送。

    3新一代防火墻技術的應用和發(fā)展

    計算機網絡信息系統的安全需要新一代防火墻技術的支持，來加強數據的安全性。新一代防火墻技術除了具有傳統的數據過濾功能外，還具有可以在應用層中設置代理系統的功能。相比于傳統的防火墻，新一代防火墻技術具有更為先進的過濾處理方式以及新式的代理系統，能實現從數據鏈路層到應用層的更全面性保護，通過將代理系統與TCP/IP傳輸協議的深層配合，為系統提供了透明化的代理處理模式，從而降低了配置難度，并提供了網絡系統的防欺騙能力。

    3.1透明的訪問方式

    傳統的系統防火墻在處理訪問形式上一般采用用戶系統登錄或者通過SOCKS等庫路徑來修改客戶機的方式來實現。而新一代防火墻技術采用透明的訪問形式，采用代理系統技術，從而大大的降低了系統登錄的安全隱患和出錯率

    3.2靈活的代理系統

    新一代防火墻的代理系統是一種將數據信息實現在防火墻兩側進行傳送的軟件模塊。一般采用兩種代理模式：一種用于代理從內部網絡到外部網絡的連接；另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換技術來解決，后者采用非保密的用戶定制代理或保密的代理系統技術來解決。

    3.3多級過濾技術

    為了提高計算機網絡系統的防護能力，新一代防火墻采用了三級過濾技術。并在過濾技術中加入信息及用戶ID鑒別技術。其中三級過濾技術為分組過濾技術、應用級網關過濾技術和電路網關過濾技術。分組過濾技術負責濾除所有的源路由分組以及虛假、冒充的用戶IP地址；應用級網關過濾技術負責控制和檢測Internet所提供的各種通用級服務，借助SMTP/FTP網關進行處理；在電路網關一級，實現內部主機與外部站點的透膽連接，并對服務的通行實行嚴格控制。

    3.4網絡地址轉換技術

    新一代防火墻NAT技術能夠實現透明化的處理方式將網絡內部的地址進行有效轉換，使外部網絡難以識別內部網絡的層次結構，同時NAT處理技術可以實現網絡內部的IP地址自編寫，防火墻通過記錄每臺主機的通信配置，以確保每個分組被分配以正確的地址。
 

    參考文獻：

    [1]付衛(wèi)國,康英杰.計算機網絡信息保密工作中存在的問題與對策[J].大慶社會科學,2002(02).

    [2]曹立明.計算機網絡信息和網絡安全及其防護策略[J].三江學院學報(綜合版),2006(Z2).

    作者單位：淶源縣中醫(yī)院，河北保定074300