隨著計算機網絡技術的迅猛發展，信息化的程度越來越高，網絡安全已經成為計算機領域所關注的焦點。本文分析計算機網絡面臨的威脅和存在的安全隱患，并提出安全防范措施，維護計算機網絡安全。

　　《信息網絡》宣傳中國電信的業務發展和經營管理成就，同時緊跟產業發展趨勢，報道通信新技術、新業務的發展與應用，探討現代通信業的管理理念，把握行業市場脈絡，提供通信行業的新信息。

　　一、計算機網絡面臨的威脅

　　1.軟件編寫存在bug:無論是服務器程序、客戶端軟件還是操作系統，只要是用代碼編寫的程序，都會存在不同程度的bug。bug主要分為以下幾類:(1)緩沖區溢出:指入侵者在程序的有關輸入項目中了輸入了超過規定長度的字符串，超過的部分通常就是入侵者想要執行的攻擊代碼，而程序編寫者又沒有進行輸入長度的檢查，最終導致多出的攻擊代碼占據了輸入緩沖區后的內存而執行。(2)意料外的聯合使用問題:一個程序經常由功能不同的多層代碼組成，甚至會涉及到最底層的操作系統級別。入侵者通常會利用這個特點為不同的層輸入不同的內容，以達到竊取信息的目的。(3)不對輸入內容進行預期檢查:有些編程人員怕麻煩，對輸入內容不進行預期的匹配檢查，使入侵者輸送炸彈的工作輕松簡單。(4)Raceconditions:多任務多線程的程序越來越多，在提高運行效率的同時，也要注意Raceconditions的問題。例如:程序A和程序B都按照“讀/改/寫”的順序操作一個文件，當A進行完讀和改的工作時，B啟動立即執行完“讀/改/寫”的全部工作，這時A繼續執行寫工作，結果是A的操作沒有了表現，入侵者就可能利用這個處理順序上的漏洞改寫某些重要文件從而達到闖入系統的目的，所以，編程人員要注意文件操作的順序以及鎖定等問題。

　　2.TCP/IP初始設計存在缺陷:即使軟件編寫不出現bug,程序執行時也按照正確的步驟進行，但初始設計存在缺陷仍會導致入侵者的攻擊。TCP/IP協議現在已經廣泛應用，但是它卻是在入侵者猖狂的今天之前設計出來的，因此存在許多不足，造成安全漏洞在所難免。例如ICMPUnreachable數據包斷開,IP地址欺騙以及SY'N湮沒。然而，最大的問題在于IP協議是非常容易“輕信”的，就是說入侵者可以隨意地偽造及修改IP數據包而不被發現。

　　3.系統配置不當:(1)默認配置的不足:許多系統安裝后都有默認的安全配置信息，通常被稱為easytouse。但遺憾的是，easytouse還意味著easytobreakin。所以，一定對默認配置進行揚棄的工作。(2)管理員懶散:懶散的表現之一就是系統安裝后保持管理員口令的空置，而且隨后不進行添加和修改。(3)臨時端口:有時候為了測試之用，答理員會在機器上打開一個臨時端口,但測試完后卻忘記了關閉，這樣就會給入侵者有空可鉆。(4)信任關系:網絡間的系統經常建立信任關系以方便資源共享，只要攻破信任群中的一個機器，就有可能進一步攻擊其他的機器。所以，要對信任關系嚴格審核、確保真正的安全聯盟。

　　4.安全意識不強:用戶口令選擇不慎，或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

　　5.病毒:目前數據安全的頭號大敵是計算機病毒。新型病毒正向著更具破壞性、更加隱秘、感染率更高、傳播速度更快、適應平臺更廣泛的方向發展。病毒給人類造成的經濟損失逐年上升，因此，提高對病毒的防范刻不容緩。

　　6.黑客:從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。形勢的日益嚴峻使得反病毒行業，防毒、防黑客產品的研究和開發已成為一種趨勢。

　　二、計算機網絡中存在的隱患

　　1.廣播風暴的風險:由于NETBEUI等非路由協議的數據包以廣播方式在整個網上傳播，造成了網絡資源的浪費，并可能產生“廣播風暴”，造成整個網絡系統的癱瘓。

　　2.資源共享所產生的安全隱患:一些用戶喜歡利用網絡鄰居實現資源的共享，這樣是很方便，但同時也帶來不安全的隱患。首先，易造成網上計算機病毒的傳播。第二，會造成非法用戶的非法訪問，竊取用戶保密資料或破壞用戶的資源。

　　3.共享式網絡設備的安全隱患:系統的內部網都是采用的以廣播為技術基礎的以太網，任何兩個節點之間的通信數據包，不僅為這兩個節點的網卡所接收，也可以被處在同一以太網上的任何一個節點的網卡所截取，只要接入以太網上的任一節點的用戶現在很容易從Internet上得到的許多免費的黑客工具，如SATAN,ISS,NETCAT等幫助下進行偵聽，就可以捕獲發生在這個以太網上的所有數據包，對其進行解包分析，從而可能竊取關鍵信息，這就是以太網所固有的安全隱患。以交換式網絡設備代替共享式網絡設備對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶是通過分支集線器而不一定都是通過中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據交換時，還是有可能被同一臺集線器上的其他用戶偵聽到。因此，在內部網中最好要以交換式集線器代替共享式集線器，使數據包僅在兩個節點之間傳送，從而有效地防止可能的非法偵聽。

　　4.應用系統的安全隱患:非法用戶可通過SATAN等掃描工具對網絡上主機進行掃描，找出漏洞，進行攻擊。

　　5.文件服務器、郵件服務器及WEB服務器的安全隱患:如果這些服務器沒有采取相應的安全保護措施，則可能遭受“黑客”的攻擊和病毒的侵害。如:涂改Web頁面、發送垃圾郵件、使用“特洛伊木馬”程序攻擊用戶。

　　6.路由協議存在的安全隱患:在許多計算機網絡中，路由器之間采用的協議有OSPF和RIP兩種;因為版本較低，其中有的路由器協議的版本為RIP.它不支持加密功能.因而當某一非法用戶啟用V1.0協議，將路由指向某一不存在的地址時，可能造成網絡故障。

　　三、計算機網絡安全防范技術

　　1.物理隔離網絡的安全技術:建立一個內網節點保護體系，并將整個網絡的所有情況通過節點的實時反饋，集中到一個系統安全信息管理中心，然后通過該管理中心對全網進行統一管理。節點設備安全并不只是單點安全技術，不僅僅關注節點，同時還要考慮全網安全體系架構。所有節點都要服從安全體系架構的統一的框架，接受統一的管理。

　　2.訪問控制技術:訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。訪問控制措施有以下幾個方面:

　　(1)入網訪問控制。入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。

　　(2)網絡的權限控制。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽(IRM)可作為其兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。

　　(3)目錄安全控制。網絡允許控制用戶對目錄、文件、設備的訪問。對目錄和文件的訪問權限一般有八種:系統管理員權限(Supervisor),讀權限(Read),寫權限(Write),創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限(AccessControl)。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問，從而加強了網絡和服務器的安全性。

　　(4)屬性安全控制。當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性往往能控制以下幾個方面的權限:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執行修改、顯示等。

　　(5)網絡服務器安全控制。網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括設置口令鎖定服務器控制臺.以防止非法用戶修改、刪除重要信息或破壞數據;可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

　　(6)網絡監測和訪問控制。網絡管理員應對網絡實施監控服務器記錄用戶對網絡資源的訪問，對非法的網絡訪問，服務器應以圖形或文字或聲音等形式報警，以引起網絡管理員的注意。如果不法之徒試圖進入網絡，網絡服務器應會自動記錄企圖嘗試進入網絡的次數，如果非法訪問的次數達到設定數值，那么該帳戶將被自動鎖定。

　　(7)網絡端口和節點的安全控制。網絡中服務器的端口往往使用自動回呼設備、靜默調制解調器加以保護，并以加密的形式來識別節點身份。自動回呼設備用于防止假冒合法用戶，靜默調制解調器用于防范黑客的自動撥號程序對計算機進行攻擊。網絡還常對服務器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后用戶端和服務端再進行相互驗證。

　　(8)防火墻控制。它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。