計算機網絡安全概述

摘要:Internet網絡資源共享，是一種開放和標準的面向所有用戶的技術。資源共享和信息安全是一對矛盾體，該文就網絡安全進行了簡要闡述，并介紹了防御網絡攻擊的措施。

關鍵詞:網絡安全;網絡攻擊;防護技術

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3621-02

The Summary of Security of Internet

LIU Jian-shuang

(Pingdingshan Industrial College of Technology， Pingdingshan 467000， China)

Abstract: The sharing resources of network on the Internet is a technology which is open and standard for all users.The sharing resources and security of information is a contradiction， and this article describes briefly on the network security， and introduces the the defense to network attack.

Key words: network security; network attack; defense technology

1 計算機網絡安全的含義

隨著使用者的變化，計算機網絡安全的含義會隨之變化。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造;而網絡提供商除了關心網絡信息安全外，還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。

從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。

2 計算機網絡攻擊的特點

① 損失巨大。由于攻擊和入侵的對象是網絡上的計算機，所以一旦成功，就會使網絡中成千上萬臺計算機處于癱瘓狀態，從而給計算機用戶造成巨大的經濟損失。② 威脅社會和國家安全。一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。③ 手段多樣，手法隱蔽。計算機攻擊的手段五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息;也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統;還可以通過一些特殊的方法繞過人們精心設計好的防火墻等等。這些過程都可以在很短的時間內通過任何一臺聯網的計算機完成。因而犯罪不留痕跡，隱蔽性很強。④ 以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的，導致了計算機犯罪的隱蔽性。

3 計算機網絡中的安全缺陷及產生的原因

第一、TCP/IP的脆弱性。因特網的基石是TCP/IP協議。該協議對于網絡的安全性考慮得并不多，并且，由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

第二、網絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

第三、易被竊聽。由于因特網上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。

第四、缺乏安全意識。雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

4 網絡攻擊及其防護技術

網絡的安全主要來自黑客和病毒攻擊，各類攻擊給網絡造成的損失已越來越大了，有的損失對一些企業、單位已是致命的，下面就攻擊和防御作簡要介紹。

4.1 常見的攻擊有以下幾類

4.1.1 入侵系統攻擊

侵入用戶系統，系統上的資源被對方一覽無遺，對方可以直接控制你的機器。

4.1.2 對防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設計和實現上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術、認證的攻擊技術等。

4.1.3 欺騙類攻擊

網絡協議本身的一些缺陷可以被利用，使黑客可以對網絡進行攻擊，主要方式有:IP欺騙、ARP欺騙、Web欺騙、電子郵件欺騙等。

4.1.4 后門程序

由于程序員設計一些功能復雜的程序時，一般采用模塊化的程序設計思想，將整個項目分割為多個功能模塊，分別進行設計、調試，這時的后門就是一個模塊的秘密入口。在程序開發階段，后門便于測試、更改和增強模塊功能。正常情況下，完成設計之后需要去掉后門，不過有時由于疏忽或者其他原因沒有去掉，一些別有用心的人會利用這些后門，進入系統并發動攻擊。

4.1.5信息炸彈

信息炸彈是指使用一些特殊工具軟件，短時間內向目標服務器發送大量超出系統負荷的信息，造成目標服務器超負荷、網絡堵塞、系統崩潰的攻擊手段。

4.1.6 拒絕服務攻擊

使用超出被攻擊目標處理能力的大量數據包消耗系統可用系統、帶寬資源，最后致使網絡服務癱瘓的一種攻擊手段。作為攻擊者，首先需要通過常規的黑客手段侵入并控制某個網站，然后在服務器上安裝并啟動一個可由攻擊者發出的特殊指令來控制進程，攻擊者把攻擊對象的IP地址作為指令下達給進程的時候，這些進程就開始對目標主機發起攻擊。

4.1.7 緩沖區溢出攻擊

程序員在編程時會用到一些不進行有效位檢查的函數，可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，從而破壞程序的堆棧，使程序轉而執行其它的指令。

4.1.8 利用病毒攻擊

病毒是黑客實施網絡攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、潛伏性、不可預見性和破壞性等特性，目前可通過網絡進行傳播的病毒已有數萬種，可通過注入技術進行破壞和攻擊。

4.1.9 木馬程序攻擊

特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統。

4.1.10 網絡偵聽

網絡監聽是一種監視網絡狀態、數據流以及網絡上傳輸信息的管理工具，它可以將網絡接口設置在監聽模式，并且可以截獲網上傳輸的信息，也就是說，當黑客登錄網絡主機并取得超級用戶權限后，若要登錄其他主機，使用網絡監聽可以有效地截獲網上的數據，這是黑客使用最多的方法。

現在的網絡攻擊手段日新月異，隨著計算機網絡的發展，其開放性、共享性、互連程度擴大，網絡的重要性和對社會的影響也越來越大。計算機和網絡安全技術正變得越來越先進，操作系統對本身漏洞的更新補救越來越及時。

4.2 防御措施主要有以下幾種

4.2.1 防火墻

網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。作為內部網絡與外部公共網絡之間的第一道屏障，防火墻是最先受到人們重視的網絡安全產品之一。

4.2.2 虛擬專用網

虛擬專用網(VPN)的實現技術和方式有很多，但是所有的VPN產品都應該保證通過公用網絡平臺傳輸數據的專用性和安全性。如在非面向連接的公用IP網絡上建立一個隧道，利用加密技術對經過隧道傳輸的數據進行加密，以保證數據的私有性和安全性。

4.2.3 虛擬局域網

選擇虛擬局域網(VLAN)技術可從鏈路層實施網絡安全。VLAN是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。該技術能有效地控制網絡流量、防止廣播風暴，還可利用MAC層的數據包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網，也無法得到整個網絡的信息，但VLAN技術的局限在新的VLAN機制較好的解決了，這一新的VLAN就是專用虛擬局域網(PVLAN)技術。

4.2.4 漏洞檢測

漏洞檢測就是對重要計算機系統或網絡系統進行檢查，發現其中存在的薄弱環節和所具有的攻擊性特征。通常采用兩種策略，即被動式策略和主動式策略。漏洞檢測的結果實際上就是系統安全性的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。

4.2.5 入侵檢測

入侵檢測系統將網絡上傳輸的數據實時捕獲下來，檢查是否有黑客入侵或可疑活動的發生，一旦發現有黑客入侵或可疑活動的發生，系統將做出實時報警響應。

4.2.6 密碼保護

加密措施是保護信息的最后防線，被公認為是保護信息傳輸唯一實用的方法。但隨著計算機性能的飛速發展，破解部分公開算法的加密方法已變得越來越可能。因此，現在對加密算法的保密越來越重要，幾個加密方法的協同應用會使信息保密性大大加強。

4.2.7 安全策略

安全策略可以認為是一系列政策的集合，用來規范對組織資源的管理、保護以及分配，已達到最終安全的目的。安全策略的制定需要基于一些安全模型。

4.2.8 網絡管理員

網絡管理員在防御網絡攻擊方面也是非常重要的，雖然在構建系統時一些防御措施已經通過各種測試，但上面無論哪一條防御措施都有其局限性，只有高素質的網絡管理員和整個網絡安全系統協同防御，才能起到最好的效果。

5 結論

網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有完備的系統開發過程、嚴密的網絡安全風險分析、嚴謹的系統測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網絡提供強大的安全服務——這也是網絡安全領域的迫切需要。

參考文獻:

[1] 張仕斌， 等. 網絡安全技術[M]. 清華大學出版社，2006.

[2] 梁亞聲. 計算機網絡安全教程[M]. 機械工業出版社，2008.

[3] 蔣建春， 等. 計算機網絡信息安全理論與實踐教程[M]. 西安電子科技大學出版社，2005.