淺談計算機網絡安全及防范技術

羅　龍

[摘要]隨著計算機技術的發展，網絡大家已不再陌生，它改變了人們的日常生活、工作的方式，給大家帶來很大的方便。但同時基于網絡的安全問題也日益突出。不論是外部網還是內部網的網絡都會受到安全的問題。

[關鍵詞]網絡安全 認證加密 訪問權限 入侵檢測系統

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720057－01

當今社會，網絡已經成為信息交流便利和開放的代名詞，然而伴隨計算機與通信技術的迅猛發展，網絡攻擊與防御技術也在循環遞升，原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁，網絡安全已變成越來越棘手的問題。在此，筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。

一、影響網絡安全的主要因素

隨著計算機網絡的普及，網絡安全問題成了人們關心的焦點，影響計算機網絡安全的主要因素有：

1．TCP/IP的脆弱性。作為所有網絡安全協議基石的TCP/IP協議，其本身對于網絡安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實施網絡攻擊。

2．軟件系統的不完善性造成了網絡安全漏洞，給攻擊者打開方便之門。

3．網絡結構的不安全性。由于因特網采用了網間網技術，因此當兩臺主機進行通信時，攻擊者利用一臺處于用戶數據流傳輸路徑上的主機，就可以劫持用戶的數據包。

4．缺乏安全意識和策略。由于人們普遍缺乏安全意識，網絡中許多安全屏障形同虛設。如為了避開防火墻的額外認證，直接進行PPP連接，給他人留下可乘之機等。

5．管理制度不健全，網絡管理、維護任其自然。

二、網絡攻擊的特點

1．損失巨大。網絡計算機一旦被攻擊和入侵，就會處于癱瘓狀態，給計算機用戶造成巨大的經濟損失。如據美國FBI統計，美國每年因網絡安全造成的損失高達75億美元。

2．威脅社會和國家安全。一些攻擊者出于各種目的，經常把政府、軍事等部門作為攻擊目標，對社會和國家安全造成極大的威脅。

3．手段多樣，手法隱蔽。網絡攻擊的手段五花八門，既可以通過監視網上數據獲取別人的保密信息；也可以通過截取帳號和口令，進入別人的計算機系統；還可以通過特殊方法繞過防火墻等等。這些都可以在很短時間內通過一臺聯網的計算機不留痕跡地完成。

4．以軟件攻擊為主。大部分網絡攻擊都是通過對軟件的截取和攻擊，破壞整個計算機系統。因此，要求人們對計算機各種軟件進行嚴格的保護。

三、網絡攻擊的主要途徑

網絡攻擊是指攻擊者通過非法手段獲得非法權限，并通過這些非法權限對被攻擊的主機進行非授權操作。網絡攻擊的主要途徑有破譯口令、IP欺騙和DNS欺騙。

1．口令是計算機系統抵御入侵者的一種重要手段，口令入侵是指破譯合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。

2．IP欺騙是指利用TCP/IP協議的脆弱性和對目標網絡的信任，偽造IP地址，假冒被信任主機與被入侵主機進行連接，并對被信任主機發起淹沒攻擊，使其處于癱瘓狀態。

3．域名系統（DNS）是一種用于TCP/IP應用程序的分布式數據庫，采用客戶機/服務器機制，提供主機名字和IP地址之間的轉換信息。通常，在網絡用戶與DNS服務器進行通信時，UDP協議不對轉換或更新的信息進行身份認證，當攻擊者危害DNS服務器并明確更改主機名IP地址映射表時，DNS欺騙就會發生，也就是說用戶只能得到一個完全處于攻擊者控制下的IP地址。

四、網絡安全的主要技術

網絡安全技術隨著網絡實踐的發展而發展，涉及的技術面非常廣，其中認證、加密、防火墻及入侵檢測等都是網絡安全的重要防線。

1．認證。對合法用戶進行認證，限制合法用戶的訪問權，防止非法用戶獲得信息訪問權。如：（1）身份認證，當系統的用戶要訪問系統資源時，確認是否是合法用戶。（2）報文認證，通信雙方對通信的內容進行驗證。（3）訪問授權，確認用戶對某資源的訪問權限。（4）數字簽名，一種使用加密認證電子信息的方法。

2．數據加密。通過一種方式使信息變得混亂，讓未被授權的人看不懂它。主要包括：（1）私鑰加密，加密信息和解密信息使用同一個密鑰。（2）公鑰加密，加密信息和解密信息使用兩個不同的密鑰。

3．配置防火墻。防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據。利用防火墻，在網絡通訊時執行一種訪問控制尺度，允許防火墻同意訪問的人與數據進入自己的內部網絡，同時將不允許的用戶與數據拒之門外，最大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。大多數防火墻都采用幾種功能相結合的形式來保護網絡不受攻擊，其中最流行的有靜態分組過濾、動態分組過濾、狀態過濾和代理服務器技術，它們的安全級別依次升高。

4．采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?，F象的技術，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。在入侵檢測系統中利用審計記錄，入侵檢測系統能夠識別出任何不希望有的活動，從而限制這些活動，以保護系統的安全。在校園網絡中采用入侵檢測技術，最好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統，則會構架成一套完整立體的主動防御體系。

5．其他網絡安全技術。（1）智能卡技術。智能卡就是密鑰的一種媒體，由授權用戶持有并被賦予口令或密碼，該密碼與內部網絡服務器上注冊的密碼一致，一般與身份驗證聯用。（2）安全脆弱性掃描技術。針對網絡分析當前系統設置和防御手段，指出系統中潛在或存在的安全漏洞，以改進系統對網絡入侵的防御能力。（3）網絡數據存儲、備份及容災規劃。這是一種當系統遇到災難后可以迅速恢復數據，在最短時間內重新正常運行的安全技術方案。（4）還有我們較為熟悉的網絡防殺病毒技術等等。

參考文獻：

[1]朱理森、張守連，計算機網絡應用技術[M].北京：專利文獻出版社，2001.

[2]劉占全，網絡管理與防火墻[M].北京：人民郵電出版社，1999.

[3]張千里、陳光英，網絡安全新技術[M].北京：人民郵電出版社，2003.

[4]陳愛民，計算機的安全與保密[M].北京：電子工業出版社，2002.