淺談計算機網絡環境下的安全問題

摘要：隨著科學技術的發展、計算機網絡的普及，網絡安全問題已經引起廣大計算機用戶的高度關注。本文從計算機網絡安全的定義、功能入手，主要闡述計算機網絡攻擊的類型與特點、以及安全防范技術。

關鍵詞：網絡安全；防火墻；防范技術

中圖分類號：TP393 文獻標識碼：A文章編號：1009-3044(2008)15-20000-00

A Brief Study of the Network Security in the Computer Network Environment

GUO Chang-shan1，SHEN Li2，MA Xian-fu2

(1.Rizhao Vocational Technical College，Rizhao，China;2.Shandong Foreign Languanges Vocational College，Rizhao 276826，China)

Abstract:With the development of science and technology and popularization of computer network， the network security has caused the high attention of computer users. Started from the definition and function of network security， this paper mainly presents the type and characteristic of network attack and security and protection technology.

Key words: network security;firewall;security and protection technology

互聯網絡(Internet)起源于1969年的ARPANet，最初用于軍事目的，1993年開始用于商業應用，進入快速發展階段。

到目前為止，互連網已經覆蓋了175個國家和地區的數千萬臺計算機，用戶數量超過一億。隨著計算機網絡的普及，計算機網絡的應用向深度和廣度不斷發展。企業上網，政府上網，網上學校，網上購物……，一個網絡化社會的雛形已經展現在我們面前。在網絡給人們帶來巨大的便利的同時，也帶來了一些不容忽視的問題，網絡信息的安全保密問題就是其中之一。

1 計算機網絡安全的定義

計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。對于普通使用者來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。

從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。

2計算機網絡安全的功能

(1)身份識別:身份識別是安全系統應具備的最基本功能。這是驗證通信雙方身份的有效手段，用戶向其系統請求服務時，要出示自己的身份證明，例如輸入User ID和Password。而系統應具備查驗用戶的身份證明的能力，對于用戶的輸入，能夠明確判別該輸入是否來自合法用戶。

(2)存取權限控制:其基本任務是防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。在開放系統中，網上資源的使用應制訂一些規定:一是定義哪些用戶可以訪問哪些資源，二是定義可以訪問的用戶各自具備的讀，寫，操作等權限。

(3)數字簽名:即通過一定的機制如RSA公鑰加密算法等，使信息接收方能夠做出“該信息是來自某一數據源且只可能來自該數據源”的判斷。

(4)保護數據完整性:既通過一定的機制如加入消息摘要等，以發現信息是否被非法修改，避免用戶或主機被偽信息欺騙。

(5)審計追蹤:既通過記錄日志，對一些有關信息統計等手段，使系統在出現安全問題時能夠追查原因。

(6)密鑰管理:信息加密是保障信息安全的重要途徑，以密文方式在相對安全的信道上傳遞信息，可以讓用戶比較放心地使用網絡，如果密鑰泄露或居心不良者通過積累大量密文而增加密文的破譯機會，都會對通信安全造成威脅。因此，對密鑰的產生，存儲，傳遞和定期更換進行有效地控制而引入密鑰管理機制，對增加網絡的安全性和抗攻擊性也是非常重要的。

3 計算機網絡攻擊的類型與特點

3.1 計算機網絡攻擊的類型

(1)特洛伊木馬

特洛伊木馬程序技術是黑客常用的攻擊手段。特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。它通過在你的電腦系統隱藏一個會在Windows啟動時運行的程序，采用服務器／客戶機的運行方式，從而達到在上網時控制你電腦的目的。

(2)郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網絡的帶寬，占據郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機的正常工作。此種攻擊經常出現在網絡黑客通過計算機網絡對某一目標的報復活動中。

(3)過載攻擊

過載攻擊是攻擊者通過服務器長時間發出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態。

(4)淹沒攻擊

正常情況下，TCP連接建立要經歷3次握手的過程，即客戶機向主機發送SYN請求信號；目標主機收到請求信號后向客戶機發送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發送RST，因此，造成被攻擊的主機一直處于等待狀態，直至超時。如果攻擊者不斷地向被攻擊的主機發送SYN請求，被攻擊主機就會一直處于等待狀態，從而無法響應其他用戶的請求。

3.2 計算機網絡攻擊的特點：

(1)損失巨大。由于攻擊和入侵的對象是網絡上的計算機，所以一旦他們取得成功，就會使網絡中成千上萬臺計算機處于癱瘓狀態，從而給計算機用戶造成巨大的損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。

(2)威脅和國家安全。一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。

(3)手段多樣，手法隱蔽。計算機攻擊的手段可以說五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統；還可以通過一些特殊的方法繞過人們精心設計好的防火墻等等。這些過程都可以在很短的時間內通過任何一臺聯網的計算機完成。因而犯罪不留痕跡，隱蔽性很強。

(4)以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的。它完全不同于人們在生活中所見到的對某些機器設備進行物理上的摧毀。因此，這一方面導致了計算機犯罪的隱蔽性，另一方面又要求人們對計算機的各種軟件（包括計算機通信過程中的信息流）進行嚴格的保護。

4 計算機網絡安全常用防范技術

通常保障網絡信息安全的方法有兩大類:以\"防火墻\"技術為代表的被動防衛型和建立在數據加密，用戶授權確認機制上的開放型網絡安全保障技術。

(1)防火墻技術: 網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

(2)數據加密與用戶授權訪問控制技術:與防火墻相比，數據加密與用戶授權訪問控制技術比較靈活，更加適用于開放網絡。用戶授權訪問控制主要用于對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。數據加密主要用于對動態信息的保護。有了信息加密的手段，我們就可以對動態信息采取保護措施了。為了防止信息內容泄露，我們可以將被傳送的信息加密，使信息以密文的形式在網絡上傳輸。這樣，攻擊者即使截獲了信息，也只是密文，而無法知道信息的內容。為了檢測出攻擊者篡改了消息內容，可以采用認證的方法，即或是對整個信息加密，或是由一些消息認證函數(MAC函數)生成消息認證碼(Message Authentication Code)，再對消息認證碼加密，隨信息一同發送。攻擊者對信息的修改將導致信息與消息認證碼的不一致，從而達到檢測消息完整性的目的。為了檢測出攻擊者偽造信息，可以在信息中加入加密的消息認證碼和時間戳，這樣，若是攻擊者發送自己生成的信息，將無法生成對應的消息認證碼，若是攻擊者重放以前的合法信息，接收方可以通過檢驗時間戳的方式加以識別。

信息安全是國家發展所面臨的一個重要問題。對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來化、信息化的發展將起到非常重要的作用。

因此網絡安全技術在21世紀將成為信息網絡發展的關鍵技術，21世紀人類步入信息社會后，信息這一社會發展的重要戰略資源需要網絡安全技術的有力保障，才能形成社會發展的推動力。在我國信息網絡安全技術的研究和產品開發仍處于起步階段，仍有大量的工作需要我們去研究、開發和探索，以走出有中國特色的產學研聯合發展之路，趕上或超過發達國家的水平，以此保證我國信息網絡的安全，推動我國國民經濟的高速發展。

參考文獻：

[1]朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.

[2]劉占全.網絡管理與防火墻[M].北京:人民郵電出版社，1999.

[3]胡道元.計算機局域網[M].北京:清華大學出版社，2001.

收稿日期：2008-02-09

作者簡介：郭常山（1977-），男(漢族)，山東日照人，日照職業技術學院教師，講師；沈莉（1981-），女(漢族)，山東日照人，山東外國語職業學院教師，助教；馬先福（1981-），男(漢族)，山東日照人，山東外國語職業學院教師，助教。