計算機網絡安全與防護

于 濤 河南省平頂山市衛生學校 467001

計算機網絡安全與防護

于 濤 河南省平頂山市衛生學校 467001

當今信息技術發展迅速，計算機網絡作為資源共享和通信聯絡得到了普及。隨著網絡技術的發展，網絡越來越龐大及復雜，接觸網絡的人也越來越多，保護網絡資源免受侵犯就變得越來越重要。在這樣的背景之下，計算機網絡的安全問題逐漸成為了整個社會關注的一個熱點。說起網絡安全，首先自然要說到網絡攻擊。本文從網絡攻擊的類型和范圍入手，對計算機網絡安全防護進行相關的分析。

計算機網絡；網絡安全；網絡攻擊；防御方式

目前，人類社會已經邁入了網絡時代，計算機和互聯網已經與老百姓的日常工作、學習和生活息息相關。可以說，計算機網絡的出現徹底地顛覆了傳統的人類生活方式，軍事、旅行、購物、金融、商業等等越來越多的行業也開始將網絡作為自身發展的利器，計算機網絡給整個人類社會帶來了一場史無前例的變革。

另一方面，計算機網絡也帶來了另一日漸嚴重的社會問題——網絡安全。由于計算機的基礎技術支撐環境具有開放性和跨時空性的特點，其面臨的技術風險更加突出。這些風險如果不加以嚴格防范和管理，極有可能引發嚴重的網絡安全問題，甚至會對經濟、金融安全造成較大的威脅。近年來，網絡犯罪率不斷攀升，通過網絡攻擊盜取密碼、獲取機密信息、破壞數據庫、實施詐騙等行為屢有發生。中國的互聯網安全官員日前指出，中國已成為網絡攻擊最大的受害國之一，中國的計算機網絡幾乎每時每刻都在遭受各種攻擊。如何防御網絡攻擊，提高我們計算機網絡的安全防護水平就變得日益重要。

1.計算機網絡安全的概念

計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

2.網絡攻擊的概念

網絡攻擊是利用信息系統自身存在的安全漏洞，進入對方網絡系統或者是摧毀其硬件設施。其目的就是破壞網絡安全的各項指標，破壞擾亂對方信息系統的正常運行，致使對方計算機網絡和系統崩潰、實效或錯誤工作。

3.網絡攻擊的主要類型

網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面。或是來自物理傳輸線路的攻擊，或是來自對網絡通信協議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。

3.1 借助系統命令進行攻擊

很多攻擊我們在日常都有接觸，最為簡單的，比如早期通過“Ping”命令來執行攻擊，方法利用了早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP的實現在ICMP包上都是規定64KB，并且在對包的標題頭進行讀取之后，要根據該標題頭里包含的信息來為有效載荷生成緩沖區的情況，利用內存分配錯誤的漏洞點，來發動攻擊。不過這一攻擊方法，現在已很少有人使用，因為目前最為簡單的防火墻軟件，也都可以對這類攻擊做出攔截。

3.2 通過“IP欺騙”發起攻擊

IP欺騙攻擊發生在這樣一種情況下。網絡外部的攻擊者假冒受信主機，通過偽裝成當前內外范圍內的IP地址信息，或是遠程中，看似為信任區域的主機，比如從IP地址來看，甚至你會認為那只是你鄰居、對門、室友的計算機、或者是你在公司、學校的服務器等等。而一旦騙取用戶的信任，黑客就會把數據或命令注入客戶服務應用之間或對等網絡連接傳送中已存在的數據流中，而當防火墻也無法辨別或無法做出判斷時，那么此時攻擊就會自動發起。一旦黑客成功侵入系統會立即創建管理賬戶并植入木馬程序。

3.3 “破解密碼”來實施攻擊

破解密碼，如同破解電報信息一樣，并不容易但或有技巧。黑客們利用一些所謂的“密碼詞典”等程序，來試圖強行計算出原創計算機登錄密碼，特別是當反復試探，甚至上千、上萬次試驗后，真的出現破解到密碼的情況，那么便會在用戶尚未察覺，防火墻又無法發揮效果的情況下，立即登錄計算機，并創建管理員賬戶，同時快速植入木馬程序，而即使用戶發現了這一情況，程序已然植入到系統當中。

3.4 “拒絕服務”欺騙式攻擊

和其他的攻擊方式不同，拒絕服務攻擊是因為他們不是以獲得網絡或網絡上信息的訪問權為目的。攻擊主要是使服務不能為正常的使用提供服務。通常可以用耗盡網絡、操作系統或應用程序有限的資源來實現。特別是當其涉及特殊的網絡服務應用，像HTTP或FTP服務，攻擊者能夠獲得并保持所有服務器支持的有用連接，有效地把服務器或服務的真正使用者關在外面。拒絕訪問攻擊也能用普通的Internet協議實現，像TCP和ICMP漏洞等，通過系統的缺陷發起攻擊。

3.5 通過系統“應用層”攻擊

應用層攻擊能夠使用多種不同的方法實現。如使用服務器上通常可找到軟件的已知缺陷，通過使用這些缺陷，攻擊者能夠獲得計算機的訪問權，該計算機上有運行應用程序所需賬戶的許可權，一旦獲取，同樣會立即創建管理員賬戶，并快速植入木馬程序。而盡管現在包括微軟等對軟件程序、硬件驅動程序都進行了認證處理，但由于目前技術方面仍然存在弱點，導致仍會有大量黑客通過此方法對系統進行攻擊，而且大多會取得成功。

4.網絡攻擊的防御方式

4.1 建立完整的保護系統

這方面主要是要求我們從網絡使用的各個環節入手，在每一個環節都考慮并建立相關的安全措施，使得網絡成為一個有機的安全整體，不容易從某一薄弱環節或忽略環節被攻破。

（1）在保護措施方面，計算機網絡系統的邊界需要建立防火墻體系，該體系包括路由器和硬件防火墻，在保證計算機網絡系統吞吐性能的同時關閉F I P、TELNET等易被用來攻擊系統的網絡服務，采用高安全級別的主要系統的核心保護功能。

（2）在監測方面，要在計算機網絡的各個關鍵位置和關鍵服務器中布置入侵監控系統，隨時監控對計算機網絡系統的非法訪問和攻擊企圖。

（3）在信息傳輸方面，結合身份認證技術、數字加密技術、數字簽名等技術，確保數字信息在傳遞過程中的真實性、機密性、有效性、完整性。

4.2 廣泛應用數據加密技術

應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證。加密技術的基本原理是通過加密算法，把數據明文轉變為一組失去真實意義的密文，在使用數據時通過對應的解密算法把密文轉變為代表其真實意思的數據明文。密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。

4.3 安全檢測技術

常見的計算機網絡檢測技術主要有以下幾種：

（1）網絡安全檢測。網絡安全檢測主要用來對訪問者進行監督控制，一旦發現有異常情況，馬上采取應對措施，防止非法入侵進一步攻擊。

（2）端口安全檢測。通過端口的安全檢測可以發現被非法利用的端口，采取必要措施禁止這些可能被入侵的端口。

（3）漏洞掃描。漏洞掃描技術利用專業軟件對網絡系統進行漏洞排查，通過模擬攻擊測試和評價系統的安全性和防御能力，及時發現漏洞，并采取必要措施修補漏洞。

（4）建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息，嚴格做好開機查毒，及時備份數據，這是一種簡單有效的方法。

（5）研發并完善高安全的操作系統。研發具有高安全的操作系統，不給病毒得以滋生的溫床才能更安全。

5.結論

網絡安全是一個綜合的、復雜的工程，任何網絡安全措施都不能保證萬無一失。只有更全面的了解網絡攻擊的方式方法，才能更加清楚地知道如何進行網絡安全防御，從整體上提高我們計算機網絡的安全防護水平。

[1]鄭顯舉.D D O S攻擊分析和防御方法.成都電子科技大學.2007

[2]張瑋.網絡攻擊防范技術研究與實現.重慶大學.2007

[3]俞承杭.計算機網絡與信息安全技術[M].北京：機械工業出版社.2008

10.3969/j.issn.1001-8972.2011.19.041