網絡安全與防御

摘要：隨著網絡技術的發展，我們的生活已經與網絡密不可分。我們在享受網絡給我們帶來的便利與快樂的同時也感受到了不安全的網絡會給我們帶來的極大的不愉快和難以彌補的經濟損失。所以我們要對網絡安全有所了解。要知道網絡隱患存在于哪里。有哪些行之有效的防御手段。

關鍵詞：網絡 安全 防御

1 計算機網絡安全的概念

國際標準化組織將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。

2 計算機網絡攻擊的特點

計算機網絡攻擊具有以下特點：

2.1 損失巨大 由于攻擊和入侵的對象是網絡上的計算機，所以一旦他們取得成功，就會使網絡中成千上萬臺計算機處于癱瘓狀態，從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。

2.2 威脅社會和國家安全 一些計算機網絡攻擊者出于各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。

2.3 手段多樣，手法隱蔽 計算機攻擊的手段可以說五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統；還可以通過一些特殊的方法繞過人們精心設計好的防火墻等等。這些過程都可以在很短的時間內通過任何一臺聯網的計算機完成。因而犯罪不留痕跡，隱蔽性很強。

3 計算機網絡中的安全缺陷

3.1 TCP/IP TCP/IP是一種開放式的標準，在Internet上被廣泛使用，但是存在很多安全漏洞。例如HTTP、FTP和ICMP，其本質上就是不安全的；ICMP對于消息不作驗證就可以發出，當收到后，可以繼續重定向發送到下一個設備上；而對于SNMP而言，它是網絡管理中用得最多的消息，但是版本1和版本2中的身分驗證和訪問控制等功能相當的薄弱，而且不具有保密性；對于TCP/IP協議而言，容易受到SYN flood攻擊，也是該協議不完善的地方。所以需要一系列安全處理方式對這些漏洞進行彌補。通常對于遠程節點的訪問采用基于安全的IP協議IP Sec來實現。而對于其他關鍵數據在發送的時候已經做好了相應的處理。

3.2 系統安全漏洞 對于操作系統而言，也存在很多安全漏洞，許多Web服務器及其他關鍵數據受到攻擊都來自于這些漏洞，通常Windows XP/2003/Vista以及Linux、UNIX、MacOSX都存在安全漏洞，特別應值得注意的是，這些安全漏洞通常是在發布后幾個小時，就有主機因這些漏洞而被攻破。

4 網絡攻擊和入侵的手段

網絡入侵是指網絡攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

4.1 口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。

4.2 IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。

4.3 域名系統（DNS）是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽，并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。

5 防御措施

5.1 加強內部網絡管理人員以及使用人員的安全意識 很多計算機系統常用口令來控制對系統資源的訪問，這是防病毒進程中，最容易和最經濟的方法之一。網絡管理員和終端操作員根據自己的職責權限，選擇不同的口令，對應用程序數據進行合法操作，防止用戶越權訪問數據和使用網絡資源。自動提供最佳的網絡病毒防御措施。當計算機病毒對網上資源的應用程序進行攻擊時，這樣的病毒存在于信息共享的網絡介質上，因此就要在網關上設防，在網絡前端進行殺毒。

5.2 網絡防火墻技術 是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

5.3 安全加密技術 加密技術的出現為全球電子商務提供了保證，從而使基于Internet上的電子交易系統成為了可能，因此完善的對稱加密和非對稱加密技術仍是21世紀的主流。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道。

5.4 網絡主機的操作系統安全和物理安全措施 防火墻作為網絡的第一道防線并不能完全保護內部網絡，必須結合其他措施才能提高系統的安全水平。在防火墻之后是基于網絡主機的操作系統安全和物理安全措施。按照級別從低到高，分別是主機系統的物理安全、操作系統的內核安全、系統服務安全、應用服務安全和文件系統安全；同時主機安全檢查和漏洞修補以及系統備份安全作為輔助安全措施。這些構成整個網絡系統的第二道安全防線，主要防范部分突破防火墻以及從內部發起的攻擊。系統備份是網絡系統的最后防線，用來遭受攻擊之后進行系統恢復。

總之，我們要提高網絡安全意識，認清網絡的不安全性。采取必要的安全策略來保障信息的安全，進而降低風險，減少不必要的損失。

參考文獻：

[1]胡道元.計算機局域網［Ｍ］.北京：清華大學出版社.2001.

[2]朱理森，張守連.計算機網絡應用技術［Ｍ］.北京：專利文獻出版社.2001.

[3]劉占全.網絡管理與防火墻［M］.北京：人民郵電出版社.1999.

[4]胡文啟，敘軍，張伍榮.網管實戰寶典.北京：清華大學出版社.2008.