浅析计算机网络安全技术

摘要:随着计算机应用的深入,计算机信息系统逐步从单机向局域网、广域网发展,特别是Internet的迅速发展,计算机信息系统安全面临新的、更严峻的挑战。本文从计算机网络安全的基本知识入手,着重阐述了计算机网络安全及简单的计算机安全防御。

关键词:计算机网络安全计算机安全防御 策略

1 计算机网络安全的定义

计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”

2 计算机网络攻击的特点

计算机网络攻击具有下述特点: ①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。②威胁社会和国家安全。一些计算机网络攻击者出于种种目的经常把政府要害部门和国家机密部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息; 也可以通过截取别人的账号和口令堂而皇之地进入别人的计算机系统; 还可以通过一些特殊的方法绕过人们精心设计好的防火墙从而破坏计算机系统等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件( 包括计算机通信过程中的信息流)进行严格的保护。

3 网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。

3.1 口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。获得普通用户账号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的账号;查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。

3.2 IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。

3.3 域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

4 计算机网络安全策略

计算机网络安全策略,主要包括:物理安全策略、访问权限控制、信息加密策略、防火墙安全策略、管理策略、电子邮件管理、跟踪研究。

4.1 物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

4.2 访问权限控制安装在Windows XP操作系统中的许多程序,都要求用户具有一定的管理权限才能让用户使用程序,因此为了能够使用好程序,我们有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限时,我们可以先普通用户身份登录到Windows XP的系统中,然后用鼠标右键单击程序安装文件,同时按住键盘上的Shif键,从随后出现的快捷菜单中点击“运行方式”,最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。

4.3 信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端- 端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

4.4 防火墙安全策略防火墙是一个控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:①包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。②代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。③双穴主机防火墙:该防火墙是用主机来执行安全控制功能。

4.5 管理策略在网络安全中,除了采用上述技术措施之外,加

强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

4.6 电子邮件管理①不要轻易执行附件中的EXE和COM等可执行程序。对于朋友和陌生人发来的电子邮件中的程序附件都必须检查,确定无异后才可使用。②不要轻易打开附件中的文档文件。收到的电子邮件及相关附件的文档,首先要用“另存为…”命令保存到本地硬盘,待用查病毒软件检查无毒后才可打开使用。如果点击DOC、XLS等附件文档,自动启用Word或Excel时有“是否启用宏”的提示,那绝对不要轻易打开,否则极有可能传染上电子邮件病毒。③对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开,一般可以删除这些电子邮件。④使用Outlook作为收发电子邮件软件时,应作一些必要的设置。选择“工具”-“选项”-“安全”中设置“附件的安全性”为“高”;在“其他”__“高级选项”-“加载项管理器”,不选中“服务器脚本运行”。最后按“确定”按钮保存设置。⑤如使用O utlook Express 作为收发电子邮件软件,也应作一些必要的设置。选择“工具”-“选项”-“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。这样可以防止有些电子邮件病毒利用O utlook Express的缺省设置自动运行,破坏系统。⑥对于自己往外传送的附件,也一定要仔细检查,确定无毒后,才可发送。

4.7 跟踪研究计算机病毒攻击与防御手段是不断发展的,要在

计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:一是计算机病毒的数学模型。二是计算机病毒的注入方式,重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。

5 结束语

计算机网络安全是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护安全的防护策略。

参考文献:

[1]程连生.计算机网络安全技术探讨.科技创新导报.IT技术[J].2009.NO.07.

[2]杨松,吴昊,陈姝.局域网安全控制与病毒防治.《中小企业管理与科技》.[J].2009.6.

[3]杜颖.浅析计算机病毒与网络安全策略.《中小企业管理与科技》.[J].2009.4.

[4]郭勇.网络安全与防御.《中小企业管理与科技》.[J].2009.9.

[5]计算机网络安全知识./wl/wlaq/n-510374.html.

[6]计算机网络安全.http://baike.baidu.com/view/305635.htm?fr=ala0_1_1.

推荐访问:网络安全 浅析 计算机 技术

---