摘要：本文简述计算机网络面临的威胁，从计算机网络对抗作战模型的4个层次，深入分析了计算机网络存在的安全隐患，全面阐述计算机网络防御对策。

1、引言

现代计算机系统功能日渐复杂，网络体系日渐强大，正在对社会产生巨大深远的影响，但同时由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击，所以使得安全问题越来越突出。对于军用的自动化指挥网络、C3I系统而言，其网上信息的安全和保密尤为重要。因此，要提高计算机网络的防御能力，加强网络的安全措施，否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。

2、计算机网络安全面临的威胁

影响计算机网络安全的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的。归结起来，针对网络安全的威胁主要有4个方面：

（1）实体摧毁

实体摧毁是计算机网络安全面对的“硬杀伤”威胁。主要有电磁攻击、兵力破坏和火力打击3种。

（2）无意失误

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

（3）黑客攻击

这是计算机网络所面临的最大威胁。此类攻击又可以分为2种：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，他是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息。这2种攻击均可对计算机网络造成极大的危害。

（4）网络软件的漏洞和“后门”　

网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。1999，2000年初发生了许多黑客攻击事件，其中allaire（http：／／www．allaire．com／）的关于Cold fus的漏洞被广泛宣传和利用，许多的服务器都因未及时的打上补丁而遭到攻击。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”被洞开，其造成的后果将不堪设想。

3、计算机防御对策

根据网络作战的目标范围，网络作战模型包含4个层次：第1层次，实体层次的计算机网络对抗；第2层次，能量层次的计算机网络对抗；第3层次，信息层次（逻辑层次）的计算机网络对抗；第4层次，感知层次（超技术层次）的计算机网络对抗。针对不同层次对抗，计算机网络防御应采取相应的对策。

3.1　实体层次防御对策

实体层次的计算机网络对抗以常规物理方式直接破坏、摧毁计算机网络系统的实体，完成目标打击和摧毁任务。在平时，主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动；在战时，通过运用高技术明显提高传统武器的威力，直接摧毁敌方的指挥控制中心、网络节点以及通信信道。这一层次计算机防御的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

在组建网络的时候，要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择，加固重要的网络设施，增强其抗摧毁能力。与外部网络相连时，采用防火墙屏蔽内部网络结构，对外界访问进行身份验证、数据过滤，在内部网中进行安全域划分、分级权限分配。对外部网络的访问，将一些不安全的站点过滤掉，对一些经常访问的站点做成镜像，可大大提高效率，减轻线路负担。网络中的各个节点要相对固定，严禁随意连接，一些重要的部件安排专门的场地人员维护、看管，防止自然或人为的破坏，加强场地安全管理，做好供电、接地、灭火的管理，与传统意义上的安全保卫工作的目标相吻合。

3.2　能量层次防御对策

能量层次的计算机网络对抗是敌对双方围绕着制电磁权而展开的物理能量的对抗。敌对方通过运用强大的物理能量干扰、压制或嵌入对方的信息网络、乃至像热武器（如高功率微波武器、强脉冲武器等）一样直接摧毁敌方的信息系统；另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析，获取秘密信息。这一层次计算机防御的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰，在重要部位安装干扰器、建设屏蔽机房等。

目前主要防护措施有2类：

一类是对外围辐射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；给网络加装电磁屏蔽网，防止敌方电磁武器的攻击。

另一类是对自身辐射的防护，这类防护措施又可分为2种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.3　信息层次防御对策

信息层次的计算机网络对抗是运用逻辑手段破坏敌方的网络系统，保护己方的网络系统的对抗。这个概念接近于美国人讲的Cyberspace Warfare，主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗，芯片陷阱等多种形式。他与计算机网络在物理能量领域对抗的主要区别表现在：信息层次的对抗中获得制信息权的决定因素是逻辑的，而不是物理能量的，取决于对信息系统本身的技术掌握水平，是知识和智力的较量，而不是电磁能量强弱的较量。信息层次的计算机网络对抗是网络对抗的关键层次，是网络防御的主要环节。信息层次的防御对策主要是防御黑客攻击和计算机病毒。

3.3.1　防御黑客攻击

黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞，并对这些缺陷实施攻击。

在计算机网络飞速发展的同时，黑客技术也日益高超，目前黑客能运用的攻击软件已有1 000多种。从网络防御的角度讲，计算机黑客是一个挥之不去的梦魇。借助黑客工具软件，黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪，多名黑客甚至可以借助同样的软件在不同的地点“集中火力”对一个或者多个网络发起攻击。而且，黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上，然后在电脑主人根本不知道的情况下“借刀杀人”，以别人的电脑为平台对敌方网站发起攻击！美军认为，在未来计算机网络进攻战中，“黑客战”将是其基本战法之一。

理论上开放系统都会有漏洞的，正是这些漏洞被一些拥有很高技术水平和超强耐性的黑客所利用。黑客们最常用的手段是获得超级用户口令，他们总是先分析目标系统正在运行哪些应用程序，目前可以获得哪些权限，有哪些漏洞可加以利用，并最终利用这些漏洞获取超级用户权限，再达到他们的目的。因此，对黑客攻击的防御，主要从访问控制技术、防火墙技术和信息加密技术入手。

（1）访问控制

访问控制是网络安全防范和保护的主要策略，他的主要任务是保证网络资源不被非法使用和非常访问。他也是维护网络系统安全、保护网络资源的重要手段。可以说是保证网络安全最重要的核心策略之一。访问控制技术主要包括7种：

　　①入网访问控制；
　　②网络的权限控制；
　　③目录级安全控制；
　　④属性安全控制；
　　⑤网络服务器安全控制；
　　⑥网络监测和锁定控制；
　　⑦网络端口和节点的安全控制。

根据网络安全的等级，网络空间的环境不同，可灵活地设置访问控制的种类和数量。

（2）防火墙技术

古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，他能够防止火势蔓延到别的寓所，这种墙因此而得名“防火墙”。现在，如果一个网络接到了Internet上，他的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的惟一关卡。这种中介系统也叫做“防火墙”，或“防火墙系统”。

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，他是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进／出2个方向通信的门槛。一个防火墙系统通常由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器，他通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。代理服务器是防火墙系统中的一个服务器进程，他能够代替网络用户完成特定的TCP／IP功能。一个代理服务器本质上是一个应用层的网关，一个为特定网络应用而连接2个网络的网关。

目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙3种类型，并在计算机网络得到了广泛的应用。防火墙的确是一种重要的新型安全措施。但是，防火墙也不能解决进入防火墙的数据带来的所有安全问题。如果用户抓来一个程序在本地运行，那个程序很可能就包含一段恶意的代码，或泄露敏感信息，或对之进行破坏。防火墙的另一个缺点是很少有 防火墙制造商推出简便易用的“监狱看守”型的防火墙，大多数的产品还停留在需要网络管理员手工建立的水平上。

（3）信息加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密3种。

　　（1）链路加密的目的是保护网络节点之间的链路信息安全；
　　（2）端－端加密的目的是对源端用户到目的端用户的数据提供保护；
　　（3）节点加密的目的是对源节点到目的节点之间的传输链路提供保护。

用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施，他以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的惟一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

3.3.2　防御计算机病毒

如果说，黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。目前计算机病毒已经搅得世界不得安宁，并且他将继续逞凶在未来的信息战场之上，成为各国军队不得不认真对付的一种高技术武器。

由于计算机病毒的传染性、潜伏性和巨大的破坏性。计算机病毒作为信息战的武器，其攻防对抗的焦点和关键技术是病毒的制作技术、注入技术、激活技术和隔离技术，其中实施病毒战难度最大的是注入、激活和隔离技术。防御计算机病毒，首先要进行计算机病毒的种类、性能、干扰机理的研究，加强计算机病毒注入、激活、耦合技术的研究和计算机病毒的防御82技术的研究。但是要从根本上解决问题，就必须要用我国自己的安全设备加强信息与网络的安全性，大力发展基于自主技术的信息安全产业。这样才能从根本上摆脱引进国外的关键信息系统难以安全利用、有效监控的被动局面。

3.4　感知层次（超技术层次）防御对策

感知层次（超技术层次）的计算机网络对抗是网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式，如国内外敌对势力利用计算机网络进行反动宣传，传播谣言，蛊惑人心，进行情报窃取和情报欺骗，针对对方军民进行心理战等，就已经超出了网络的技术设计的范畴，属于对网络的管理、监察和控制的问题。利用黑客技术篡改股市数据以及对股市数据的完整性保护属于逻辑的对抗，而直接发表虚假信息欺骗大众则属于超逻辑的对抗。后一种意义上的网络对抗瞄准了人性的弱点，运用政治的、经济的、人文的、法制的、舆论的、攻心的等各种手段，打击对方的意志、意念和认知系统，往往以伪装、欺诈、谣言、诽谤、恐吓等形式出现。

因此，感知层次的计算机网络防御，一是依靠实体层次和信息层次的防御，二是依靠网络进攻和其他渠道。如通过网络进攻，攻击敌方的网站、服务器，阻塞敌方的网络通道，可以防止敌恶意信息和欺骗信息在己方网络中的存在；通过加强政治思想教育，心理素质培养，正面的舆论引导，科技知识的宣传，可以消除或减弱敌方在感知层次的计算机网络进攻对我民众和部队官兵不良影响。

4、结束语

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。同时，计算机网络技术目前正处于蓬勃发展的阶段，新技术层出不穷，其中也不可避免的存在一些漏洞，因此，进行网络防范要不断追踪新技术的应用情况，及时升级、完善自身的防御措施。