淺談計算機網(wǎng)絡(luò)安全及防范技術(shù)

羅　龍

[摘要]隨著計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)大家已不再陌生，它改變了人們的日常生活、工作的方式，給大家?guī)砗艽蟮姆奖恪５瑫r基于網(wǎng)絡(luò)的安全問題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會受到安全的問題。

[關(guān)鍵詞]網(wǎng)絡(luò)安全 認證加密 訪問權(quán)限 入侵檢測系統(tǒng)

中圖分類號：TP3 文獻標識碼：A 文章編號：1671－7597（2009）0720057－01

當今社會，網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞，然而伴隨計算機與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升，原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁，網(wǎng)絡(luò)安全已變成越來越棘手的問題。在此，筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)。

一、影響網(wǎng)絡(luò)安全的主要因素

隨著計算機網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全問題成了人們關(guān)心的焦點，影響計算機網(wǎng)絡(luò)安全的主要因素有：

1．TCP/IP的脆弱性。作為所有網(wǎng)絡(luò)安全協(xié)議基石的TCP/IP協(xié)議，其本身對于網(wǎng)絡(luò)安全性考慮欠缺，這就使攻擊者可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

2．軟件系統(tǒng)的不完善性造成了網(wǎng)絡(luò)安全漏洞，給攻擊者打開方便之門。

3．網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。由于因特網(wǎng)采用了網(wǎng)間網(wǎng)技術(shù)，因此當兩臺主機進行通信時，攻擊者利用一臺處于用戶數(shù)據(jù)流傳輸路徑上的主機，就可以劫持用戶的數(shù)據(jù)包。

4．缺乏安全意識和策略。由于人們普遍缺乏安全意識，網(wǎng)絡(luò)中許多安全屏障形同虛設(shè)。如為了避開防火墻的額外認證，直接進行PPP連接，給他人留下可乘之機等。

5．管理制度不健全，網(wǎng)絡(luò)管理、維護任其自然。

二、網(wǎng)絡(luò)攻擊的特點

1．損失巨大。網(wǎng)絡(luò)計算機一旦被攻擊和入侵，就會處于癱瘓狀態(tài)，給計算機用戶造成巨大的經(jīng)濟損失。如據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達75億美元。

2．威脅社會和國家安全。一些攻擊者出于各種目的，經(jīng)常把政府、軍事等部門作為攻擊目標，對社會和國家安全造成極大的威脅。

3．手段多樣，手法隱蔽。網(wǎng)絡(luò)攻擊的手段五花八門，既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)獲取別人的保密信息；也可以通過截取帳號和口令，進入別人的計算機系統(tǒng)；還可以通過特殊方法繞過防火墻等等。這些都可以在很短時間內(nèi)通過一臺聯(lián)網(wǎng)的計算機不留痕跡地完成。

4．以軟件攻擊為主。大部分網(wǎng)絡(luò)攻擊都是通過對軟件的截取和攻擊，破壞整個計算機系統(tǒng)。因此，要求人們對計算機各種軟件進行嚴格的保護。

三、網(wǎng)絡(luò)攻擊的主要途徑

網(wǎng)絡(luò)攻擊是指攻擊者通過非法手段獲得非法權(quán)限，并通過這些非法權(quán)限對被攻擊的主機進行非授權(quán)操作。網(wǎng)絡(luò)攻擊的主要途徑有破譯口令、IP欺騙和DNS欺騙。

1．口令是計算機系統(tǒng)抵御入侵者的一種重要手段，口令入侵是指破譯合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。

2．IP欺騙是指利用TCP/IP協(xié)議的脆弱性和對目標網(wǎng)絡(luò)的信任，偽造IP地址，假冒被信任主機與被入侵主機進行連接，并對被信任主機發(fā)起淹沒攻擊，使其處于癱瘓狀態(tài)。

3．域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，采用客戶機/服務(wù)器機制，提供主機名字和IP地址之間的轉(zhuǎn)換信息。通常，在網(wǎng)絡(luò)用戶與DNS服務(wù)器進行通信時，UDP協(xié)議不對轉(zhuǎn)換或更新的信息進行身份認證，當攻擊者危害DNS服務(wù)器并明確更改主機名IP地址映射表時，DNS欺騙就會發(fā)生，也就是說用戶只能得到一個完全處于攻擊者控制下的IP地址。

四、網(wǎng)絡(luò)安全的主要技術(shù)

網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展，涉及的技術(shù)面非常廣，其中認證、加密、防火墻及入侵檢測等都是網(wǎng)絡(luò)安全的重要防線。

1．認證。對合法用戶進行認證，限制合法用戶的訪問權(quán)，防止非法用戶獲得信息訪問權(quán)。如：（1）身份認證，當系統(tǒng)的用戶要訪問系統(tǒng)資源時，確認是否是合法用戶。（2）報文認證，通信雙方對通信的內(nèi)容進行驗證。（3）訪問授權(quán)，確認用戶對某資源的訪問權(quán)限。（4）數(shù)字簽名，一種使用加密認證電子信息的方法。

2．數(shù)據(jù)加密。通過一種方式使信息變得混亂，讓未被授權(quán)的人看不懂它。主要包括：（1）私鑰加密，加密信息和解密信息使用同一個密鑰。（2）公鑰加密，加密信息和解密信息使用兩個不同的密鑰。

3．配置防火墻。防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)。利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護網(wǎng)絡(luò)不受攻擊，其中最流行的有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升高。

4．采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系。

5．其他網(wǎng)絡(luò)安全技術(shù)。（1）智能卡技術(shù)。智能卡就是密鑰的一種媒體，由授權(quán)用戶持有并被賦予口令或密碼，該密碼與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致，一般與身份驗證聯(lián)用。（2）安全脆弱性掃描技術(shù)。針對網(wǎng)絡(luò)分析當前系統(tǒng)設(shè)置和防御手段，指出系統(tǒng)中潛在或存在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力。（3）網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃。這是一種當系統(tǒng)遇到災(zāi)難后可以迅速恢復(fù)數(shù)據(jù)，在最短時間內(nèi)重新正常運行的安全技術(shù)方案。（4）還有我們較為熟悉的網(wǎng)絡(luò)防殺病毒技術(shù)等等。

參考文獻：

[1]朱理森、張守連，計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京：專利文獻出版社，2001.

[2]劉占全，網(wǎng)絡(luò)管理與防火墻[M].北京：人民郵電出版社，1999.

[3]張千里、陳光英，網(wǎng)絡(luò)安全新技術(shù)[M].北京：人民郵電出版社，2003.

[4]陳愛民，計算機的安全與保密[M].北京：電子工業(yè)出版社，2002.