論網絡安全問題

塔 娜

（呼倫貝爾學院計算機科學與技術學院，內蒙古 呼倫貝爾 021008）

隨著計算機網絡技術的飛躍發展，計算機網絡安全成為一個綜合性的課題，涉及技術、管理、使用等許多方面，如何建立比較安全的網絡體系，值得我們研究。下面筆者對網絡攻擊和入侵的主要途徑、計算機網絡中的安全缺陷及產生的原因、安全防范措施等方面談一下自己的看法。

1 計算機網絡安全定義

計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統能連續、可靠、正常地運行，網絡服務不中斷。常見的影響網絡安全的問題主要有病毒、黑客攻擊、系統漏洞、資料篡改等，這就需要我們建立一套完整的網絡安全體系來保障網絡安全可靠地運行。

2 網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

2.1 破譯口令

口令是計算機系統抵御入侵者的一種重要手段。所謂口令入侵是指使用某些合法用戶的口令登錄到目的主機，然后再實施攻擊活動。這種攻擊的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進行合法用戶口令的破解。

2.2 IP欺騙

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起攻擊，使被信任的主機陷入癱瘓。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址認證而執行遠程操作，這就給攻擊者創造了機會。

2.3 DNS欺騙

域名系統（DNS）是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口“監聽”，并返回用戶所需的相關信息。DNS協議不對轉換或信息的更新進行身份認證，這使得該協議容易被網絡攻擊者利用。當攻擊者危害 DNS服務器并明確地更改主機名——IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器上。

3 計算機網絡中的安全缺陷及產生的原因

3.1 TCP/IP的脆弱性

因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且，由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

3.2 網絡結構的不安全性

因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

3.3 易被竊聽

由于因特網上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。

3.4 缺乏安全意識

雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

4 安全防范措施

網絡信息安全涉及方方面面的問題，是一個復雜的系統。一個完整的網絡信息安全體系至少應包括3類措施：一是法律政策、規章制度及安全教育等外部軟環境。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網絡防毒等。三是管理措施，包括技術與社會措施。主要措施有：提供實時改變安全策略的能力、實時監控企業安全狀態、對現有的安全系統實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。

4.1 完善計算機安全立法

我國先后出臺的有關網絡安全管理的規定和條例。但目前，在這方面的立法還遠不能適應形勢發展的需要，應該在對控制計算機犯罪的國內外立法評價的基礎上，完善我國計算機犯罪立法，以便為確保我國計算機信息網絡健康有序的發展提供強有力的保障。

4.2 網絡安全的關鍵技術

（1）數據加密。數據加密又稱密碼學，它是一門歷史悠久的技術，指通過加密算法和加密密鑰將明文轉變為密文，而解密則是通過解密算法和解密密鑰將密文恢復為明文。數據加密目前仍是計算機系統對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行加密，實現信息隱蔽，從而起到保護信息的安全的作用。有兩種主要的加密類型：私匙加密和公匙加密。

（2）認證。對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（3）防火墻技術。防火墻就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。目前，防火墻采取的技術，主要是包過濾、應用網關、子網屏蔽等。但是，防火墻技術在網絡安全防護方面也存在一些不足：防火墻不能防止內部攻擊；防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。

（4）檢測系統。入侵檢測技術是網絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網絡系統受到危害之前攔截相應入侵。隨著時代的發展，入侵檢測技術將朝著三個方向發展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

（5）防病毒技術。隨著計算機技術的發展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產品、一個策略或一個制度，它是一個匯集了硬件、軟件、網絡以及它們之間相互關系和接口的綜合系統。

（6）文件系統安全。在網絡操作系統中，權限是一個關鍵性的概念，因為訪問控制實現在兩個方面：本地和遠程。建立文件權限的時候，必須在Windows 2000中首先實行新技術文件系統（New Technology File System，NTFS）。一旦實現了NTFS，你可以使用Windows資源管理器在文件和文件夾上設置用戶級別的權限。你需要了解可以分配什么樣的權限，還有日常活動期間哪些規則是處理權限的。Windows 2000操作系統允許建立復雜的文件和文件夾權限，你可以完成必要的訪問控制。

4.3 制定合理的網絡管理措施

（1）加強網絡用戶及有關人員的安全意識、職業道德和事業心、責任心的培養教育以及相關技術培訓。

（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵與監督的作用。

（3）管理措施要標準化、規范化和科學化。

5 結束語

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。它涉及技術、管理、使用等許多方面，建立網絡安全體系，需要國家政策和法規的支持研究開發，重視對計算機網絡安全的硬件產品開發及軟件研制，建立一個好的計算機網絡安全系統。雖然病毒的種類很多，但我們只要掌握了其流通傳播方式，便不難控制和查殺。只要不斷健全網絡安全的相關法規，提高網絡安全防范的技術水平，就能有力地保障網絡的安全。

1 馮博琴.計算機網絡［M］.北京：高等教育出版社，2004

2 胡道元.計算機網絡［M］.北京：清華大學出版社，2005

3 李艇.計算機網絡管理與安全技術［M］.北京：高等教育出版社，2005