1、.計算機網絡安全問題隨著計算機網絡技術的發展，網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。人們都希望自己的網絡系統能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網絡的安全性和可靠性問題，是保證網絡正常運行的前提和保障。在信息化飛速發展的今天，計算機網絡得到了廣泛應用，但隨著網絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。

2、這致使數據的安全性和自身的利益受到了嚴重的威脅。根據美國FBI（美國聯邦調查局）的調查，美國每年因為網絡安全造成的經濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統的安全問題造成的。超過50%的安全威脅來自內部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領域的計算機系統的安全問題所造成的經濟損失金額已高達數億元，針對其他行業的網絡安全威脅也時有發生。由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。所以，計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確

3、保網絡信息的保密性、完整性和可用性。國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統要保護其硬件、數據不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區分和解決計算機網絡安全問題，美國國防部公布了“桔皮書”（orange book，正式名稱為“可信計算機系統標準評估準則” ），對多用戶計算機系統安全級別的劃分進行了規定。桔皮書將計算機安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。在網絡的具體設計過程中，應根據網絡總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等，綜合考慮來確定一個比較合理、性能較高的網絡安全級別，從而實現網

4、絡的安全性和可靠性。為了能更好地適應信息技術的發展，計算機網絡應用系統必須具備以下功能：（1）訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。（3）攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取響應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，

5、盡快地恢復數據和系統服務。（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。（8） 設立安全監控中心：為信息系統提供安全體系管理、監控、保護及緊急情況服務。要想實現網絡安全功能，應對網絡系統進行全方位防范，從而制定出比較合理的網絡安全體系結構。下面就網絡系統的安全問題，提出一些防范措施。訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍之內。網絡的訪問控制安全可以從以下幾個方面考慮。（1）口令網絡安全系統的最外層防線就是網絡用戶的登錄，在注冊過程中，系統會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統。（2）網絡資源屬主、屬性和訪問權限網絡資源

6、主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現了不同用戶對資源的從屬關系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執行等。訪問權限主要體現在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統的安全性。（3）網絡安全監視網絡監視通稱為“網管”，它的作用主要是對整個網絡的運行進行動態地監視并及時處理各種事件。通過網絡監視可以簡單明了地找出并解決網絡上的安全問題，如定位網絡故障點、捉住IP盜用者、控制網絡訪問范圍等。（4）審計和跟蹤網絡的審計和跟蹤包括對網絡資源的使用、網絡故障

7、、系統記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統統記錄到文件中；二是對記錄進行分析和統計，從而找出問題所在。傳輸安全要求保護網絡上被傳輸的信息，以防止被動地和主動地侵犯。對數據傳輸安全可以采取如下措施：（1） 加密與數字簽名任何良好的安全系統必須包括加密！這已成為既定的事實。網絡上的加密可以分為三層：第一層為數據鏈路層加密，即將數據在線路傳輸前后分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數據在網絡傳輸期間保持加密狀態；第三層是應用層上的加密，讓網絡應用程序對數據進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全

8、性和可靠性。數字簽名是數據的接收者用來證實數據的發送者確實無誤的一種方法，它主要通過加密算法和證實協議而實現。（2） 防火墻防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監測、限制、更改跨越防火墻的數據流，盡可能地檢測網絡內外信息、結構和運行狀況，以此來實現網絡的安全保護。（3） User Name/Password認證該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監聽和解密。（4） 使用摘要算法的認證Radius（遠程撥號認證協議）、OSPF（開放路由協議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進行認證，但摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。（5） 基于PKI的認證使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將