計算機網絡安全問題及防范措施

王然 河南省駐馬店技師學院

近年來,隨著互聯網和網絡應用的飛速發展,網絡應用日益普及并且日趨復雜,在帶來了前所未有的海量信息的同時,計算機網絡的安全問題成為了互聯網和網絡應用發展中的重要問題。由于計算機網絡本身構建的松散結構問題、網絡本身的高度開放與共享問題、操作系統與應用軟件本身的漏洞問題、安全配置不當的問題、個人安全意識不高等問題,導致病毒、黑客、惡意軟件和其它不軌攻擊行為相互融合,防御難度極具增加。

1 計算機網絡安全存在的問題

1.1 計算機病毒威脅

計算機病毒是指人為編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼,就像生物病毒一樣,計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性和復制能力。它是網絡安全的頭號大敵,可以破壞硬盤、主板、顯示器、光驅等。計算機病毒在網絡上傳播后,會造成網絡癱瘓,嚴重影響網絡的正常運行。

計算機病毒的特點：（1）感染速度快：通過各種可能的渠道,如U盤、計算機網絡去傳染其它的計算機。（2）徹底清除困難：單機上的計算機病毒可徹底清除,而網絡中只要有一臺計算機未能徹底清除,可能整個網絡病毒肆虐。針對整個網絡同時進行查殺,由予客觀原因限制達不到預期效果。（3）傳播形式復雜：服務器之間、終端用戶之間、服務器和終端用戶之間、內網間接入互聯網上的節點用戶。（4）破壞性大：網絡病毒(如ARP廣播)將直接影響網絡的正常運行,輕則降低速度,影響工作效率,重則造成網絡核心設備癱瘓,導致整個校園網崩潰。（5）邏輯設計缺陷或bug：應用軟件或操作系統軟件因設計或編寫不足產生系統漏洞,不法者或者黑客通過此不足,植人木馬、病毒等方式來攻擊或控制整個電腦或竊取重要資料和信息。

1.2 黑客攻擊問題

黑客攻擊問題黑客是對網絡安全威脅的最主要因素之一。隨著計算機技術的進步,出現了一些利用計算機技術來實施網絡的犯罪的人,我們將其稱之為“黑客”。他們利用所掌握的計算機技術,非法入侵其他的計算設備,破壞計算機系統和網絡系統。他們通過非法手段,利用現有的或自己編寫的工具來尋找網絡系統的漏洞,然后發動攻擊,對網絡的正常使用造成影響。這種防范是非常困難的,因為黑客善于發現問題,利用網絡本身存在的缺陷來發動攻擊,從而引起信息安全問題。這有三種方法：一是通過網絡監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對局域網安全威脅巨大；二是在知道用戶的賬號后(如電子郵件@前面的部分)利用一些專門軟件強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間；三是在獲得一個服務器上的用戶口令文件(此文件成為Shadow文件)后,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。

1.3 安全漏洞問題

（1）操作系統安全漏洞。操作系統是一個平臺,要支持各種各樣應用,各種操作系統都存在著先天缺陷和由于不斷增加新功能而帶來漏洞。操作系統安全漏洞主要有四種：一是輸入輸出非法訪問；二是訪問控制混亂；三是操作系統陷門；四是不完全中介。(2)網絡協議安全漏洞。TCP/IP是冷戰時期產物,目標是要保證通達、保證傳輸正確性,通過來回確認來證數據完整性。而TCP/IP沒有內在控制機制來支持源地址鑒別,來證實IP從哪兒來,這就是TCP/IP漏洞根本所在。黑客通過偵聽方式來截獲數據,對數據進行檢查,推測TCP系列號,修改傳輸路由,從而破壞數據。(3)數據庫安全漏洞。盲目信任用戶輸入是保障Web應用安全第一敵人。用戶輸入主要來源是HTML表單中提交參數,如果不能嚴格地驗證這些參數合法性,計算機病毒、人為操作失誤對數據庫產生破壞以及未經授權而非法進入數據庫就有可能危及服務器安全。(4)網絡軟件安全漏洞。網絡軟件安全漏洞主要表現在：①匿名FTP。②電子郵件：電子郵件存在安全漏洞使得電腦黑客很容易將經過編碼電腦病毒加入該系統中,以便對上網用戶進行隨心所欲控制。③域名服務：域名是連接自己和用戶生命線,只有建立整個“生命網”注冊并擁有全部相關甚至相似域名,才可以保護自己。但不幸是,這個“生命網”上漏洞多得讓人防不勝防。④Web編程人員編寫CGI、ASP、PHP等程序存在問題,會暴露系統結構或服務目錄可讀寫,從而擴大了黑客入侵空間。

1.4 針對計算機網絡的法律法規不完善

我國針對計算機網絡的法律法規還不完善,在管理上還有很多不足之處,而且網絡上的一些保密協議沒有較強的可操作性,執行力度不夠。另外,很多公司在管理、人員和技術上都沒有完善的安全管理制度,缺乏保護措施,甚至一些管理員在利益的驅使下利用職務之便在網絡上從事違法行為。因此,不管是無意的誤操作,還是有意的攻擊行為,都會對網絡的安全造成極大的威脅,進而導致不可估量的損失。所以,必須制定強有力的計算機網絡安全保護措施,只有這樣才能保證網絡信息的完整性、保密性、可用性。

2 計算機網絡安全防范措施

計算機網絡安全的防范措施有：防病毒、防火墻、入侵檢測等,多個組件共同發揮作用才能保證網絡信息的可靠性、安全性。從技術上來說,主要涉及：防火墻技術、數據加密技術、入侵檢測技術、防病毒技術、漏洞掃描技術等。

2.1 防火墻技術

作為網絡安全的屏障,防火墻技術是保證安全最有效、最經濟、最基本的措施。防火墻位于局域網與外界通道之間,通常由軟件和硬件組合而成,可對用戶的訪問進行權限限制,它不僅限制外界用戶對內網的訪問,還負責管理內部用戶對外網的訪問。目前,防止非法用戶入侵最主要的措施就是防火墻技術。它可以通過過濾不安全因素來降低風險,提高內部網絡的安全性。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。

2.2 數據加密技術

運用數據加密技術是保障網絡安全的非常關鍵的技術手段。對數據加密可提高信息系統及數據的安全性和保密性。目前,計算機的數據加密技術主要有兩種形式：一是對信息加密,利用相應的算法對數據、文件等進行加密鎖定,從而防止信息泄漏；另一種是對互聯網的信息傳輸協議進行加密,大多采用復雜的算法來對此類信息加密從而保障信息安全,保證計算機網絡的安全與暢通。因此,為了保證計算機的網絡安全,必須要大力發展、應用加密技術,加密技術也是保護網絡安全技術的重點方法之一。

2.3 入侵檢測技術。

入侵檢測系統(Intrusion Detection System簡稱IDS)是防火墻之后的第二道安全閘門,它能在攻擊行為產生危害前檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊,在入侵攻擊過程中減少損失；在被攻擊后,收集相關信息,并針對攻擊做出策略備份,避免同類型的攻擊行為再次發生,增強系統的防范能力。入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。

2.4 防病毒技術

病毒防范為了加強抵御病毒的能力,可以在各個主要環節都引入病毒防御體系。比如說,在網關上運用基于服務器反病毒軟件的同時也在PC機上運用單機版反病毒軟件。由于病毒在網絡中存儲、感染、傳播的途徑五花八門,因此,相關人員在建造網絡病毒系統時,應該使用全方位企業防毒產品,對病毒從“防范”和“殺死”兩方面著手,這樣才能有效的強化計算機抵御病毒的能力。

計算機防病毒軟件從功能上可以分為兩類：網絡防病毒軟件、單機防病毒軟件。個人計算機上通常安裝單機防病毒軟件,可通過其對本地連接和遠程資源進行檢測、清除病毒等。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。

2.5 漏洞掃描技術

利用掃描技術分析網絡漏洞網絡系統漏洞掃描原理主要依據網絡環境錯誤注入手段進行,用模擬攻擊行為方式,通過探測系統中合法數據及不合法信息回應達到發現漏洞目。因此我們可以利用信息獲取及模擬攻擊方式分析網絡漏洞,從而達到檢測入侵攻擊目。首先可通過在主機端口建立連接方式對服務展開請求申請,同時觀察主機應答方式,并實時收集主機信息系統變化,從而依據不同信息反映結果達到檢測漏洞目。模擬攻擊檢測方式則是通過模擬攻擊者攻擊行為,對檢測系統可能隱含現實漏洞進行逐項、逐條檢查,從而使網絡漏洞暴漏無疑,主要方法包括緩沖區溢出、DOS攻擊等。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞程序。漏洞掃描器能夠自動檢測遠程或本地主機安全性弱點,網絡管理員可以從中及時發現所維護Web服務器各種TCP端口分配、提供服務,Web服務軟件版本和這些服務及軟件呈現在Internet上安全漏洞,并更正網絡安全漏洞和系統中錯誤配置,及時修補漏洞,構筑堅固安全長城。

3 總結

計算機網絡給大家帶來方便的同時也給大家帶來了安全隱患。要想利用好計算機網絡技術來為人們更好的服務,就必須解決好網絡安全問題。我們必須綜合考慮各種安全因素,制定合理的技術方案和管理措施,才能保證計算機網絡的安全、可靠, 要使網絡更好、更健康的發展,要從多個方面加大網絡安全的防范力度,提高安全意識,運用安全策略,建設一個安全可靠的網絡環境。只有這樣,才能抑制網絡安全隱患,計算機網絡技術才能在安全、穩定的環境中發展。