計算機網(wǎng)絡安全及防范技術探析

【摘要】目計算機技術和網(wǎng)絡技術已深入到我們工作和生活的方方面面，在給人們帶來便利的同時，也使網(wǎng)絡安全受到了較大的影響。網(wǎng)絡安全不僅包括網(wǎng)絡系統(tǒng)的硬件和軟件的安全，還包括網(wǎng)絡信息傳輸?shù)陌踩矣捎谑褂谜叩牟煌瑢W(wǎng)絡安全的認識和要求也具有較大的差異。加強對網(wǎng)絡安全的防范，則需要從技術方向和管理方面的問題入手，對計算機網(wǎng)絡安全缺陷的產生原因進行了分析，并進一步對網(wǎng)絡攻擊和入侵的途徑、常見網(wǎng)絡攻擊及防范措施進行了具體的闡述。

【關鍵詞】計算機網(wǎng)絡安全；攻擊；入侵；防范

隨著全球經濟一體的發(fā)展，計算機網(wǎng)絡技術已成為當前全球信息基礎設施的重要組成部分，在計算機網(wǎng)絡快速的發(fā)展下，使人們的生活方式、工作方式和信息的傳遞、處理和利用都發(fā)生了較大的變化，使人們的生活和工作更加便利。但由于互聯(lián)網(wǎng)具有開放性，這就給信息的保密性和系統(tǒng)的安全性帶來了較大的影響。一旦有病毒侵入、黑客攻擊和網(wǎng)絡癱瘓等問題發(fā)生時，則會給計算機網(wǎng)絡安全帶來極大的威脅，而網(wǎng)絡系統(tǒng)一旦崩潰，所帶來的損失是無法估量的，提高計算機網(wǎng)絡安全已成為當前業(yè)界人士急需解決的重要問題。

1.計算機網(wǎng)絡安全的概念

對于計算機網(wǎng)絡安全并沒有一個統(tǒng)一的定義，因為在對計算機網(wǎng)絡技術應用過程中，使用者不同，對網(wǎng)絡安全的要求也有所不同。對于大多數(shù)普通用戶來講，網(wǎng)絡安全即是其希望個人隱私或是機密信息在網(wǎng)絡傳遞過程中受到破壞，以免被竊聽、篡改和偽造，對信息的保密性的安全需求較高；而對于網(wǎng)絡提供商來講，其除了對信息保密性的安全有一定的要求外，還要對各種突發(fā)的自然災難、軍事打擊等網(wǎng)絡硬件的破壞及網(wǎng)絡出現(xiàn)異常時網(wǎng)絡通信的恢復、網(wǎng)絡通信的連續(xù)性等安全問題進行充分的考慮，所以通常情況下可以將網(wǎng)絡安全分為系統(tǒng)安全、網(wǎng)絡運行安全和內部網(wǎng)絡安全等三個方面。

2.計算機網(wǎng)絡安全缺陷產生的原因

2.1 TCP/IP的脆弱性

因特網(wǎng)是以TCP/IP協(xié)議為其運行的基礎，但由于該協(xié)議是公開性的，而且對網(wǎng)絡的安全性缺乏必要的考慮，所以對于熟知TCP/IP協(xié)議的人，就可以利用該協(xié)調的缺陷來實施對網(wǎng)絡的攻擊。

2.2 網(wǎng)絡結構的不安全

因特網(wǎng)是一個巨大的網(wǎng)絡，其利用網(wǎng)間網(wǎng)技術來將無數(shù)個局域網(wǎng)連接在一起，所以當一臺主機與另一局域網(wǎng)內的主機進行通信時，攻擊者則可以利用處于同一數(shù)據(jù)傳輸路徑上的主機采取攻擊，從而實現(xiàn)劫取用戶數(shù)據(jù)包的目的。

2.3 數(shù)據(jù)容易被竊取

英特網(wǎng)具有開放性，而且大多數(shù)的數(shù)據(jù)流都沒有進行加密，而且目前網(wǎng)上還會提供一些免費的工具，竊取者利用這些工具則會實現(xiàn)對網(wǎng)上的電子郵件、口令和傳輸文件進行竊聽，從而導致數(shù)據(jù)被竊取。

2.4 缺乏安全意識

網(wǎng)絡中設置了許多安全保護屏障，但由于人們普遍缺乏安全意識，所以這些保護措施許多時候等同于虛設。

3.網(wǎng)絡攻擊和入侵的主要途徑

網(wǎng)絡攻擊和入侵是指網(wǎng)絡攻擊者通過非法的手段來獲取被攻擊主機上的非法權限，通過對這些非法權限的利用來對被攻擊主機進行操作，從而實現(xiàn)獲取數(shù)據(jù)和信息的目的。目前在進行網(wǎng)絡入侵時其主要途徑有破譯口令、IP欺騙和DNS欺騙。

目前在計算機系統(tǒng)安全防控中，利用口令是抵御入侵者的重要手段，所以當入侵者利用口令來進行入侵時，其首先需要取得某些合法用戶的賬戶和口令，再對其進行破譯，利用這些合法的賬戶和口令來登錄于目的主機展開攻擊活動。

IP欺騙是指攻擊者利用一臺計算機來假冒另一臺計算機，從而達到蒙混過關的目的，這種入侵方式充分的利用了TCP/IP網(wǎng)絡協(xié)議的脆弱性，使假冒被入侵的主機取得信任，主機與被入侵主機實現(xiàn)連接，對被入侵主機所信任的主機發(fā)起攻擊，從而導致被信任的主機處于癱瘓狀態(tài)。

域名系統(tǒng)（DNS）是一種用于TCP/IP應用程序的分布式數(shù)據(jù)庫，它提供主機名字和IP地址之間的轉換信息。通常網(wǎng)絡用戶通過UDP協(xié)議和DNS服務器進行通訊，而服務器在特定端進行監(jiān)聽，并返回用戶所需的相關信息。DNS協(xié)議轉換或信息性的更新進行身份認證，這使得該協(xié)議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確的更改主機名——IP地址映射表時，DNS欺騙就會發(fā)生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器IP地址。。

4.常見的網(wǎng)絡攻擊及其防范對策

4.1 特洛伊木馬

特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個會在windows啟動時運行的程序.采用服務器/客戶機的運行方式，從而達到在上網(wǎng)是控制你電腦的目的。特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個部分。即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中轉播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中.從而使它們受到感染。防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時.對每一個文件進行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。

4.2 郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷地大量的向同一地址發(fā)送電子郵件。攻擊者能夠耗盡接收者網(wǎng)絡的帶寬，占據(jù)郵箱空間。使用戶儲存空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機的正常工作。防止郵件炸彈的方法主要有通過配置路由器，有選擇的接受電子郵件。對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的SMTP連接只能達到指定的服務器，從而免受外界郵件的侵襲。

4.3 過載攻擊

過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用請求。使被攻擊的服務器一直處于繁忙的狀態(tài)。從而無法滿足其他用戶的請求。防止過載攻擊的方法有限制單個用戶所擁有的最大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除.會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現(xiàn)類是拒絕服務的現(xiàn)象。

4.4 淹沒攻擊

正常情況下，TCP連接建立要經歷3次握手的過程及客戶機向主機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN消息。由于此時主機的IP不存在或當時沒有被使用，所以無法向主機發(fā)送RST，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于SYN—REECEIVED狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些鏈接。

5.結束語

計算機網(wǎng)絡安全的防范并不是單一的，這是一個系統(tǒng)工程，涉及多方面的因素，所以需要從管理和技術等方面來制定整體的管理策略，并對其進行認真實施，從而確保計算機網(wǎng)絡的安全。

參考文獻

[1]趙偉霞.淺析計算機網(wǎng)絡安全與防范策略[J].中國科技縱橫，2010（7）.

[2]馬國泰.新形勢下網(wǎng)絡信息安全防護體系的構建.黑龍江科技信息，2012（11）.

[3]李焱伶.醫(yī)院網(wǎng)絡安全狀況及其防范措施[J].醫(yī)療裝備，2010（7）.