摘要：隨著計算機技術和通信技術的發展，計算機網絡將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。

　　1.引言

　　隨著計算機網絡的不斷發展，全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網絡、C3I系統和銀行等傳輸敏感數據的計算機網絡系統而言，其網上信息的安全和保密尤為重要。因此，上述的網絡必須有足夠強的安全措施，否則該網絡將是個無用、甚至會危及國家安全的網絡。無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。

　　2.計算網絡面臨的威脅

　　計算機網絡所面臨的威脅大體可分為兩種：一是對網絡中信息的威脅;二是對網絡中設備的威脅。影響計算機網絡的因素很多，有些因素可能是有意的，也可能是無意的;可能是人為的，也可能是非人為的;可能是外來黑客對網絡系統資源的非法使有，歸結起來，針對網絡安全的威脅主要有三：

　　2.1人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。

　　2.2人為的惡意攻擊：這是計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

　　3.計算機網絡的安全策略

　　3.1物理安全策略

　　物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽噪聲向空間輻射來掩蓋計算機系統的工作頻率和信息特征。

　　3.2訪問控制策略

　　訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網絡安全最重要的核心策略之一。

　　3.2.1入網訪問控制

　　入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網絡之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基于單向函數的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器(如智能卡)來驗證用戶的身份。

　　3.3防火墻控制

　　防火墻是近期發展起來的一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。目前的防火墻主要有以下兩種類型;

　　3.3.1包過濾防火墻：包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源端口號、協議目的端口號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

　　3.3.2代理防火墻：代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術結合在一起。過濾路由器負責網絡互連，并對數據進行嚴格選擇，然后將篩選過的數據傳送給代理服務器。