网络安全技术探讨

网络安全技术探讨

曹伟

武警辽宁省边防总队丹东边防检查站曹伟

摘要:改革开放以来，我国公民法律意识正逐步由传统型向现代型演变，公民现代法律意识正逐步形成。我国经济、政治、社会、法制和文化等方面的转变，促进了我国公民现代法律意识的形成。然而，传统法律观念和司法执法不公，正阻碍着公民法律意识的现代转变。

关键词:中国公民、法律意识、变化、影响因素

图分类号：G623.38文献标识码：A文章编号：1009-5608（2011）01-083-02

如今，Internet遍布世界任何一个角落，通过互联网获得信息，共享资源成为人们日常获取信息的重要手段。但随着网络的延伸，利用各种网络和系统的漏洞，非法获得未授权的访问信息，恶意传播计算机病毒和利用现成的攻击软件等情况的网络攻击频率和密度显著增长，给网络安全带来越来越多的安全隐患。在网络日益复杂化，多样化的今天，如何保护各类网络和应用的安全，如何保护信息安全，成为了本文探讨的重点。

一、计算机病毒的防范。计算机病毒很象感染人类的病毒一样可以传播，在网络环境下传播速度极快。在您从Internet下载感染了病毒的文件或从软盘、U盘、活动硬盘、光盘等中复制了感染病毒的文件时，计算机就染上病毒。如果病毒嵌入计算机的文件中，它可以立即开始损坏或破坏信息，或等到某一特定日期或事件触发它活动。不仅自己的计算机不正常，还会通过网络传染到其他计算机。要防范计算机病毒第一要使用正版软件，包括操作系统和应用软件。因为，各类软件系统都可能存在漏洞，需要不断更新，而只有正版系统才能得到可靠更新。因此经常更新您的计算机系统,安装补丁模块，堵住各种系统漏洞。其次要安装性能可靠有效、更新及时的正版防病毒软件，并正确设置，启动实时监测功能；新安装后首先要立即更新，同时还必须每天通过网络实时更新。因为，新病毒会不断出现，防病毒软件就必须不断更新。

二、配置防火墙。防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，并记下来通讯发生的时间和操作。简单的概括就是，对网络进行访问控制。绝大部分的防火墙都是放置在可信任网络（Internal）和不可信任网络（Internet）之间。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙从技术上通常分为“包过滤型”、“代理型”和“监测型”等类型。配置防火墙首先要建立防火墙的安全策略，它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：

1、除非明确不允许，否则允许某种服务;

2、除非明确允许，否则将禁止某项服务。

为了确定防火墙安全设计策略，进而构建实现预期安全策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。

三、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。入侵检测系统按照检测对象划分可分为：

1、基于主机：系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理（agent）来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台（console）通信。

2、基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器（sensor）组成，传感器是一台将以太网卡置于混杂模式的计算机，用于嗅探网络上的数据包。

3、混合型：基于网络和基于主机的入侵检测系统都有，综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

在内部网络中采用入侵检测技术，最好采用混合入侵检测，构架成一套完整立体的主动防御体系。

四、在VPN客户端安装个人防火墙。我们在上面讨论的防火墙主要是部署在网络的边界（NetworkPerimeter），这个概念主要是指一个本地网络的整个边界，表面看起来，似乎边界的定义很简单，但是随着虚拟专用网络（VPN）的出现，边界这个概念在通过VPN拓展的网络中变的非常模糊了。在这种情况下，我们需要考虑的不仅仅是来自外部网络和内部网络的威胁，也包含了远程VPN客户端的安全。因为远程VPN客户端的安全将直接影响到整个防御体系的安全。通过探测IP地址，黑客可以轻易地入侵远程VPN客户端,一旦黑客侵入了远程计算机，就能够借助VPN客户端软件合法进入内部网络。在远程计算机上安装个人防火墙是堵住VPN客户端漏洞的最有效的途径。个人防火墙能够监视网络连接并且阻断可疑通信量，防止黑客利用特洛伊木马、病毒以及其他后门程序窃取资源，并且提供基于规则的自定义防御和自动安全保护功能，同时实现内部网络与远程客户端的安全通信。

五、建立安全管理制度。网络安全并非是购买和安装了安全产品就可以一劳永逸的事。新的安全漏洞不断涌现，新型病毒也不断产生，对于这些不断出现的安全威胁，安全集成解决方案只能起到一定作用，“三分技术、七分管理”对于网络安全来说是一个千真万确的真理。一方面内部网络需要充分建立物理上的安全解决方案，另一方面还需要制订一套行之有效的安全管理制度。这些制度分为针对服务器端和针对客户端两种。服务器端的安全管理制度主要从事件管理、漏洞管理、补丁管理和口令管理等方面入手，客户端的安全制度则主要是从约束内部用户的操作行为入手。内部用户必须遵守相关客户端应用条例，在自己的权限内共享网络信息，不窃取、不盗用、不破解内部的重要机密外，同时还要学会防范黑客的恶意攻击，掌握互联网上的防攻击策略，提高自我保护意识，以下是内部用户需要注意的操作事项。

1、不要随意在网站填写真实信息，网站的“保密”承诺并不可靠，如果不是十分必要，尽量少让网站知道自己的“底细”；

2、不要相信电子邮件，正规网站不会“索要”用户的资料，而会让用户登录它的网站做相关操作；

3、不要在个人电脑里输入个人信息，黑客在技术上可以在电脑中安装能记录用户一切操作的软件，让人们深受其害；

4、不要打开不明来历邮件的附件，这些附件也许看上去只是一个普通的txt文件或图片文件，但危险也许就隐藏在其中；

5、不要打开陌生人发送的文件和链接，因为不仅文件中可能隐藏各种危险，许多恶意代码也会巧妙地隐藏在一些网页之中；

6、不要随意访问陌生网站，对于自己不了解的网站，随意访问是一种很危险的举动，这些网站会强制修改用户的浏览器设置；

7、不要轻易安装软件；

8、重要邮件要加密，因为采用先进技术加密的邮件，往往使黑客束手无策。

内部网络的客户端安全一直都是网络安全的一个盲区，内部网络系统在加强网络安全建设时，一定要加强对这块盲区的管理，从客户端建立起一道全面、立体的安全防线。

总之，单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的，提高内部网络安全意识，加大整体防范网络入侵和攻击的能力，并在此基础上形成一支高素质的网络安全管理专业队伍，及时准确地应对各式各样的网络安全事件，才能从根本上解决我们面临的网络安全的威胁和困扰。