淺析計算機網絡安全技術

摘要:隨著計算機應用的深入，計算機信息系統逐步從單機向局域網、廣域網發展，特別是Internet的迅速發展，計算機信息系統安全面臨新的、更嚴峻的挑戰。本文從計算機網絡安全的基本知識入手，著重闡述了計算機網絡安全及簡單的計算機安全防御。

關鍵詞:計算機網絡安全計算機安全防御 策略

1 計算機網絡安全的定義

計算機網絡安全不僅包括組網的硬件、管理控制網絡的軟件，也包括共享的資源，快捷的網絡服務，所以定義網絡安全應考慮涵蓋計算機網絡所涉及的全部內容。參照ISO給出的計算機安全定義，認為計算機網絡安全是指:“保護計算機網絡系統中的硬件，軟件和數據資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網絡系統連續可靠性地正常運行，網絡服務正常有序。”

2 計算機網絡攻擊的特點

計算機網絡攻擊具有下述特點: ①損失巨大。由于攻擊和入侵的對象是網絡上的計算機，所以一旦他們取得成功，就會使網絡中成千上萬臺計算機處于癱瘓狀態，從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。②威脅社會和國家安全。一些計算機網絡攻擊者出于種種目的經常把政府要害部門和國家機密部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。③手段多樣，手法隱蔽。計算機攻擊的手段可以說五花八門。網絡攻擊者既可以通過監視網上數據來獲取別人的保密信息; 也可以通過截取別人的賬號和口令堂而皇之地進入別人的計算機系統; 還可以通過一些特殊的方法繞過人們精心設計好的防火墻從而破壞計算機系統等等。這些過程都可以在很短的時間內通過任何一臺聯網的計算機完成。因而犯罪不留痕跡，隱蔽性很強。④以軟件攻擊為主。幾乎所有的網絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統的。它完全不同于人們在生活中所見到的對某些機器設備進行物理上的摧毀。因此，這一方面導致了計算機犯罪的隱蔽性，另一方面又要求人們對計算機的各種軟件( 包括計算機通信過程中的信息流)進行嚴格的保護。

3 網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。

3.1 口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進行合法用戶口令的破譯。獲得普通用戶賬號的方法很多，如:利用目標主機的Finger功能:當用Finger命令查詢時，主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的賬號;查看主機是否有習慣性的賬號:有經驗的用戶都知道，很多系統會使用一些習慣性的賬號，造成賬號的泄露。

3.2 IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執行遠程操作。

3.3 域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽，并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名—IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器，也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。

4 計算機網絡安全策略

計算機網絡安全策略，主要包括:物理安全策略、訪問權限控制、信息加密策略、防火墻安全策略、管理策略、電子郵件管理、跟蹤研究。

4.1 物理安全策略物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

4.2 訪問權限控制安裝在Windows XP操作系統中的許多程序，都要求用戶具有一定的管理權限才能讓用戶使用程序，因此為了能夠使用好程序，我們有時需要為自己臨時分配一個訪問程序的管理權限。在分配管理權限時，我們可以先普通用戶身份登錄到Windows XP的系統中，然后用鼠標右鍵單擊程序安裝文件，同時按住鍵盤上的Shif鍵，從隨后出現的快捷菜單中點擊“運行方式”，最后在彈出的窗口中輸入具有相應管理權限的用戶名和密碼就可以了。

4.3 信息加密策略信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端- 端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。

4.4 防火墻安全策略防火墻是一個控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。目前的防火墻主要有以下三種類型:①包過濾防火墻:包過濾防火墻設置在網絡層，可以在路由器上實現包過濾。②代理防火墻:代理防火墻又稱應用層網關級防火墻，它由代理服務器和過濾路由器組成，是目前較流行的一種防火墻。③雙穴主機防火墻:該防火墻是用主機來執行安全控制功能。

4.5 管理策略在網絡安全中，除了采用上述技術措施之外，加

強網絡的安全管理，制定有關規章制度，對于確保網絡的安全、可靠地運行，將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。

4.6 電子郵件管理①不要輕易執行附件中的EXE和COM等可執行程序。對于朋友和陌生人發來的電子郵件中的程序附件都必須檢查，確定無異后才可使用。②不要輕易打開附件中的文檔文件。收到的電子郵件及相關附件的文檔，首先要用“另存為…”命令保存到本地硬盤，待用查病毒軟件檢查無毒后才可打開使用。如果點擊DOC、XLS等附件文檔，自動啟用Word或Excel時有“是否啟用宏”的提示，那絕對不要輕易打開，否則極有可能傳染上電子郵件病毒。③對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除這些電子郵件。④使用Outlook作為收發電子郵件軟件時，應作一些必要的設置。選擇“工具”-“選項”-“安全”中設置“附件的安全性”為“高”;在“其他”__“高級選項”-“加載項管理器”，不選中“服務器腳本運行”。最后按“確定”按鈕保存設置。⑤如使用O utlook Express 作為收發電子郵件軟件，也應作一些必要的設置。選擇“工具”-“選項”-“閱讀”中不選中“在預覽窗格中自動顯示新聞郵件”和“自動顯示新聞郵件中的圖片附件”。這樣可以防止有些電子郵件病毒利用O utlook Express的缺省設置自動運行，破壞系統。⑥對于自己往外傳送的附件，也一定要仔細檢查，確定無毒后，才可發送。

4.7 跟蹤研究計算機病毒攻擊與防御手段是不斷發展的，要在

計算機病毒對抗中保持領先地位，必須根據發展趨勢，在關鍵技術環節上實施跟蹤研究。實施跟蹤研究應著重圍繞以下方面進行:一是計算機病毒的數學模型。二是計算機病毒的注入方式，重點研究“固化”病毒的激發。三是計算機病毒的攻擊方式，重點研究網絡間無線傳遞數據的標準化，以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。

5 結束語

計算機網絡安全是一項長期而艱巨的任務，需要不斷的探索。隨著網絡應用的發展計算機病毒形式及傳播途徑日趨多樣化，安全問題日益復雜化，網絡安全建設已不再像單臺計算安全防護那樣簡單。計算機網絡安全需要建立多層次的、立體的防護體系，要具備完善的管理系統來設置和維護安全的防護策略。

參考文獻:

[1]程連生.計算機網絡安全技術探討.科技創新導報.IT技術[J].2009.NO.07.

[2]楊松，吳昊，陳姝.局域網安全控制與病毒防治.《中小企業管理與科技》.[J].2009.6.

[3]杜穎.淺析計算機病毒與網絡安全策略.《中小企業管理與科技》.[J].2009.4.

[4]郭勇.網絡安全與防御.《中小企業管理與科技》.[J].2009.9.

[5]計算機網絡安全知識.http://www.28.com/wl/wlaq/n-510374.html.

[6]計算機網絡安全.http://baike.baidu.com/view/305635.htm?fr=ala0_1_1.