計算機網(wǎng)絡(luò)安全與防范

前言

隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用和網(wǎng)絡(luò)之間的信息傳輸量的急劇增長，一些大型企業(yè)公司和機構(gòu)在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞——或被刪除或被復制盜竊，數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅，使得網(wǎng)絡(luò)安全成為個公司企業(yè)關(guān)注的一大問題，也是校園網(wǎng)實際運作過程中必須首先解決的問題。

1 計算機網(wǎng)絡(luò)安全含義

計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2 計算機網(wǎng)絡(luò)中的安全威脅

①身份竊取，是指用戶身份在通信時被非法截取。

②假冒，是指非法用戶假冒合法用戶身份獲敏感信息的行為 。

③數(shù)據(jù)竊取，是指非法用戶通信網(wǎng)絡(luò)的數(shù)據(jù)。

④否認，是指通信方事后否認曾經(jīng)參與某次活動的行為。

⑤非授權(quán)訪問。

⑥拒絕服務(wù)，是指合法用戶的正當申請被拒絕、延遲、更改等。

⑦錯誤路徑。

3 常見的網(wǎng)絡(luò)攻擊及其防范對策

3.1特洛伊木馬

特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個會在Windows啟動時運行的程序，采用服務(wù)器／客戶機的運行方式，從而達到在上網(wǎng)時控制你電腦的目的。

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，所以含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡(luò)中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對計算機的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機的控制權(quán)。

防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務(wù)。

3.2郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機器不斷大量地向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機網(wǎng)絡(luò)對某一目標的報復活動中。

防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的SMTP連接只能達成指定的服務(wù)器，從而免受外界郵件的侵襲。

3.3過載攻擊

過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進程數(shù)，殺死一些耗時的進程。然而不幸的是這兩種方法都存在一定的負面效應(yīng)。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列表和網(wǎng)絡(luò)地址列表來分析問題的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。

4 防火墻

所謂防火墻，是指一個或一組網(wǎng)絡(luò)設(shè)備（計算機或路由器等，它包括硬件和軟件），可用來在多個網(wǎng)絡(luò)間加強相互間的訪問控制，是一種將內(nèi)部網(wǎng)和公共訪問網(wǎng)分開的方法，實際上是一種隔離技術(shù)。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

4.1包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以\"包\"為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些\"包\"是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾技術(shù)的缺陷也是明顯的。

4.2網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。

4.3代理型

代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機。當客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響。

4.4監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品，這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。

網(wǎng)絡(luò)安全技術(shù)在21世紀將成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)，21世紀人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。在我國信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段，仍有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索，以走出有中國特色的產(chǎn)學研聯(lián)合發(fā)展之路，趕上或超過發(fā)達國家的水平，以此保證我國信息網(wǎng)絡(luò)的安全，推動我國國民經(jīng)濟的高速發(fā)展。

參考文獻：

［１］劉羿.電子商務(wù)網(wǎng)絡(luò)技術(shù)基礎(chǔ).北京：高等教育出版社，2001.

［２］劉占全.網(wǎng)絡(luò)管理與防火墻［M］.北京：人民郵電出版社，1999.

［３］易丹.我在美國信息高速公路上.北京：兵器工業(yè)出版社，1997.