计算机网络安全概述

来源:用户上传      作者:

　　摘要:Internet网络资源共享,是一种开放和标准的面向所有用户的技术。资源共享和信息安全是一对矛盾体,该文就网络安全进行了简要阐述,并介绍了防御网络攻击的措施。
　　关键词:网络安全;网络攻击;防护技术
　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)14-3621-02
　　The Summary of Security of Internet
　　LIU Jian-shuang
　　(Pingdingshan Industrial College of Technology, Pingdingshan 467000, China)
　　Abstract: The sharing resources of network on the Internet is a technology which is open and standard for all users.The sharing resources and security of information is a contradiction, and this article describes briefly on the network security, and introduces the the defense to network attack.
　　Key words: network security; network attack; defense technology
　　1 计算机网络安全的含义
　　随着使用者的变化,计算机网络安全的含义会随之变化。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
　　从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
　　2 计算机网络攻击的特点
　　① 损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。② 威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③ 手段多样,手法隐蔽。计算机攻击的手段五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。④ 以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的,导致了计算机犯罪的隐蔽性。
　　3 计算机网络中的安全缺陷及产生的原因
　　第一、TCP/IP的脆弱性。因特网的基石是TCP/IP协议。该协议对于网络的安全性考虑得并不多,并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
　　第二、网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
　　第三、易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
　　第四、缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
　　4 网络攻击及其防护技术
　　网络的安全主要来自黑客和病毒攻击,各类攻击给网络造成的损失已越来越大了,有的损失对一些企业、单位已是致命的,下面就攻击和防御作简要介绍。
　　4.1 常见的攻击有以下几类
　　4.1.1 入侵系统攻击
　　侵入用户系统,系统上的资源被对方一览无遗,对方可以直接控制你的机器。
　　4.1.2 对防火墙的攻击
　　防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷,对防火墙的攻击方法也是多种多样的,如探测攻击技术、认证的攻击技术等。
　　4.1.3 欺骗类攻击
　　网络协议本身的一些缺陷可以被利用,使黑客可以对网络进行攻击,主要方式有:IP欺骗、ARP欺骗、Web欺骗、电子邮件欺骗等。
　　4.1.4 后门程序
　　由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉后门,不过有时由于疏忽或者其他原因没有去掉,一些别有用心的人会利用这些后门,进入系统并发动攻击。
　　4.1.5信息炸弹
　　信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。
　　4.1.6 拒绝服务攻击
　　使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。
　　4.1.7 缓冲区溢出攻击
　　程序员在编程时会用到一些不进行有效位检查的函数,可能导致黑客利用自编写程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,从而破坏程序的堆栈,使程序转而执行其它的指令。
　　4.1.8 利用病毒攻击
　　病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、潜伏性、不可预见性和破坏性等特性,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
　　4.1.9 木马程序攻击
　　特洛伊木马是一种直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
　　4.1.10 网络侦听
　　网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法。
　　现在的网络攻击手段日新月异,随着计算机网络的发展,其开放性、共享性、互连程度扩大,网络的重要性和对社会的影响也越来越大。计算机和网络安全技术正变得越来越先进,操作系统对本身漏洞的更新补救越来越及时。
　　4.2 防御措施主要有以下几种
　　4.2.1 防火墙
　　网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。
　　4.2.2 虚拟专用网
　　虚拟专用网(VPN)的实现技术和方式有很多,但是所有的VPN产品都应该保证通过公用网络平台传输数据的专用性和安全性。如在非面向连接的公用IP网络上建立一个隧道,利用加密技术对经过隧道传输的数据进行加密,以保证数据的私有性和安全性。
　　4.2.3 虚拟局域网
　　选择虚拟局域网(VLAN)技术可从链路层实施网络安全。VLAN是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息,但VLAN技术的局限在新的VLAN机制较好的解决了,这一新的VLAN就是专用虚拟局域网(PVLAN)技术。
　　4.2.4 漏洞检测
　　漏洞检测就是对重要计算机系统或网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略,即被动式策略和主动式策略。漏洞检测的结果实际上就是系统安全性的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
　　4.2.5 入侵检测
　　入侵检测系统将网络上传输的数据实时捕获下来,检查是否有黑客入侵或可疑活动的发生,一旦发现有黑客入侵或可疑活动的发生,系统将做出实时报警响应。
　　4.2.6 密码保护
　　加密措施是保护信息的最后防线,被公认为是保护信息传输唯一实用的方法。但随着计算机性能的飞速发展,破解部分公开算法的加密方法已变得越来越可能。因此,现在对加密算法的保密越来越重要,几个加密方法的协同应用会使信息保密性大大加强。
　　4.2.7 安全策略
　　安全策略可以认为是一系列政策的集合,用来规范对组织资源的管理、保护以及分配,已达到最终安全的目的。安全策略的制定需要基于一些安全模型。
　　4.2.8 网络管理员
　　网络管理员在防御网络攻击方面也是非常重要的,虽然在构建系统时一些防御措施已经通过各种测试,但上面无论哪一条防御措施都有其局限性,只有高素质的网络管理员和整个网络安全系统协同防御,才能起到最好的效果。
　　5 结论
　　网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用才能完好、实时地保证信息的完整性和正确性,为网络提供强大的安全服务――这也是网络安全领域的迫切需要。
　　参考文献:
　　[1] 张仕斌, 等. 网络安全技术[M]. 清华大学出版社,2006.
　　[2] 梁亚声. 计算机网络安全教程[M]. 机械工业出版社,2008.
　　[3] 蒋建春, 等. 计算机网络信息安全理论与实践教程[M]. 西安电子科技大学出版社,2005.

转载注明来源:https://www.xzbu.com/8/view-8704773.htm