計算機網絡安全問題分析

劉彥戎

（陜西國際商貿學院 712046）

0 引言

隨著全球信息高速公路的建設，特別是Internet和Internet的發展，網絡在各種信息系統中的作用變得越來越重要。網絡對整個社會的科技、文化和經濟帶來了巨大的推動與沖擊，同時也帶來了許多挑戰。隨著網絡應用的進一步加強，信息共享與信息安全的矛盾日益突出，人們也越來越關心網絡安全問題。如何有效地維護好網絡系統的安全成為計算機研究與應用中的一個重要課題。

1 計算機網絡安全定義

計算機網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統能連續、可靠、正常地運行，網絡服務不中斷。

2 網絡面臨的威脅

2.1 黑客的攻擊

對于大家來說，黑客已經不再是一個高深莫測的人物，黑客技術逐漸被越來越多的人掌握和發展。目前，世界上有20多萬個黑客網站，這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統的一些漏洞。因此，系統、站點遭受攻擊的可能性就變大了。尤其是現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段，使黑客攻擊的隱蔽性好、“殺傷力”強。

2.2 管理的欠缺

網絡系統的嚴格管理是企業、機構及用戶免受攻擊的重要措施。事實上，很多企業、機構及用戶的網站或系統都疏于這方面的管理。據IT界企業團體ITAA的調查顯示，美國90%的IT企業對黑客攻擊準備不足。

2.3 網絡的缺陷

Internet的共享性和開放性使網上信息安全存在先天不足，因為其賴以生存的TCPIP簇缺乏響應的安全機制，而且Internet最初的設計考慮是該網不會因局域故障而影響信息的傳輸，基本沒有考慮安全問題，因此在安全可靠、服務質量、帶寬和方便性等方面存在著不適應。

2.4 軟件的漏洞或“后門”

隨著軟件系統規模的不斷增大，系統中的安全漏洞或“后門”也不可避免，比如常用的操作系統，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務器、瀏覽器、桌面軟件等都被發現過存在安全隱患。

2.5 企業網絡內部

網絡內部用戶的誤操作、資源濫用和惡意行為令再完善的防火墻也無法抵御。防火墻無法防止來自網絡內部的攻擊，也無法多網絡內部的濫用做出反應。

3 常見的計算機網絡攻擊方法

3.1 郵件炸彈

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對于正常的工作反映緩慢，甚至癱瘓。

3.2 特洛伊木馬

特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執行了這些程序之后，它會在計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時，這個程序就會通知攻擊者，來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

3.3 WWW的欺騙技術

在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問，然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網頁已經被黑客篡改過。例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用戶瀏覽目標網頁的時候，實際上是向黑客服務器發出請求，那么黑客就可以達到欺騙的目的。

3.4 安全漏洞攻擊

許多系統都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統或應用軟件本身具有的。如緩沖區溢出攻擊。由于很多系統在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧里，系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令，系統便進入不穩定狀態。

4 計算機網絡安全的防范措施

4.1 網絡加密技術

信息安全主要包括系統安全及數據安全兩方面的內容。系統安全一般采用防火墻、病毒查殺等被動措施，而數據安全則主要是指采用現代密碼技術對數據進行主動保護，如數據保密、數據完整性、數據不可否認與抵賴、雙向身份認證等。密碼技術是網絡安全最有效的技術之一。一個加密網絡不但可以防止授權用戶的搭線竊聽和入網，保護網內的數據、文件、口令和控制信息，而且也是對付惡意軟件的有效方法之一。目前對網絡加密主要有3種方式：鏈路加密、節點加密和端點加密。鏈路加密的目的是保護網絡節點之間的鏈路信息安全；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護。

網絡信息的加密過程是由形形色色的加密算法具體實施的，以很小的代價就能提供很牢靠的安全保護。據不完全統計，到目前為止，已經公開發表的各種算法有將近300種。依照國際上的慣例，對加密算法有常見的以下兩種分類標準。①私鑰加密算法與DES。②公鑰加密算法與RSA。

4.2 防火墻技術

在網絡中，防火墻是指兩個網絡之間實現控制策略的系統，用來保護內部的網絡不易受帶來自Internet的侵害。如果內部網絡的用戶要上Internet，必須首先連接到防火墻上，從那兒使用Internet。因此，防火墻是一種安全策略的體現。

目前的防火墻技術一般都可以起到以下一些安全作用：集中的網絡安全、安全報警、從新部署網絡地址轉換、監視Internet的使用和向外發布信息。但是，防火墻也有其自身的局限性，無法防范來自防火墻以外的其他途徑所進行的攻擊；另外，由于防火墻依賴于口令，所以防火墻不能防范黑客對口令的攻擊；再次，防火墻也不能防止來自內部用戶帶來的威脅，也不能解決進入防火墻的數據帶來的所有安全問題，如果用戶在本地運行了一個包含惡意代碼的程序，那么就很可能導致敏感信息的泄漏和破壞。因此，要使防火墻發揮作用，防火墻的策略必須現實，能夠反映出整個網絡安全的水平。

典型的防火墻系統通常由一個或多個構件組成，相應地，實現防火墻的技術包括4大類：包過濾型防火墻、應用級網關、電路級網關和代理服務器防火墻。這些技術各有所長，具體使用哪一種或是否混合使用，要根據具體情況而定。

4.3 防病毒技術。

①網絡防病毒軟件的使用；目前，用于網絡的防病毒軟件很多，這些防病毒軟件可以同時用來檢查服務器和工作站的病毒。其中，大多數網絡防病毒軟件是運行在文件服務器上的。由于局域網中的文件服務器往往不止一個，因此為了方便對服務器上病毒的檢查，通?？梢詫⒍鄠€文件服務器組織在一個域中，網絡管理員只需在域中主服務器上設置掃描方式與掃描選項，就可以檢查域中多個文件服務器或工作站是否帶有病毒。網絡防病毒軟件的基本功能是：對文件服務器和工作站進行查毒掃描，發現病毒后立即報警并隔離帶毒文件，由網絡管理員負責清除病毒。②網絡工作站防病毒的方法。網絡工作站防病毒可以從以下幾個方面入手：一是采用無盤工作站，無盤工作站很容易地控制用戶端的病毒入侵問題，但用戶在軟件上會受到一些限制。二是使用帶防病毒芯片的網卡，防病毒芯片的網卡一般是在網卡的遠程引導芯片位置插入一塊帶防病毒軟件的EPROM。三是使用單機防病毒卡，單機防病毒卡的核心實際上是一個軟件，事先固化在ROM中。單機防病毒卡通過動態駐留內存來監視計算機的運行情況，根據總結出來的病毒行為規則和經驗來判斷是否有病毒活動，并可以通過截獲中斷控制權來使用內存中的病毒癱瘓，使其失去傳染其他文件和破壞信息資料的能力。

4.4 入侵檢測技術

防范網絡入侵最常用的方法就是防火墻，防火墻具有簡單的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。但是，防火墻只是一種被動防御性的網路安全工具，僅僅使用防火墻是不夠的。于是產生了入侵檢測技術。入侵被檢測出來的過程包括監測在計算機系統或者網路中發生的事件，再分析處理這些事件。入侵檢測系統（IDS）就是使這種監控和分析過程自動化的獨立系統，既可以是一種安全軟件，也可以是硬件。IDS能夠檢測未授權對象針對系統的入侵企圖或行為，同時監控授權對象對系統資源的非法操作。IDS對入侵的檢測通常包括以下幾個部分。對系統的不同環節收集信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為做出響應；記錄并報告檢測過程結果。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。

5 總結

總之，計算機網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大，增強社會安全意識教育，普及計算機網絡安全教育，提高計算機網絡安全技術水平，改善其安全現狀，成為當務之急。

[1]謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社。

[2]張仕斌.網絡安全技術[M].清華大學出版社。

[3]周舸.計算機網絡應用技術.人民郵電出版社。