计算机网络安全及防范技术探讨.doc

计算机网络安全及防范技术探讨摘要：随着计算机的普及和网络技术的飞速发展, 共享信息与网上交流不断增加, 伴随而来的网络攻击和风险日益严重和复杂。本文就计算机网络安全内容、特点、面临的主要威胁及网络安全的基本防范技术进行探讨。关键词：计算机; 网络安全; 防范技术1 引言随着计算机的普及和网络技术的飞速发展, 计算机网络已成为全球信息基础设施的主要组成部分, 网络的强大功能给人们的工作、学习和生活带来了无尽的便利。但随着网络应用的不断扩大, 在共享强大的网络资源的同时, 网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击。例如信息泄露、信息窃取、数据篡改、数据增删、计算机病毒感染等, 信息安全必须从一般性的防卫变成了一种非常普通的防范。当网络规模越来越大和越来越开放时, 网络面临的安全威胁和风险也变得更加严重和复杂。因此,网络安全已成为一个至关重要的、不可回避的问题。2 计算机网络安全概述2.1 计算机网络安全的定义国际标准化组织(iso)对计算机系统安全的定义是: 为数据处理系统建立和采用的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络安全理解为: 通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以, 建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全是随着网络的建设和应用的丰富而构建起来的一种需求。2.2 计算机网络安全的内容和特点网络安全的内容包括运行系统的安全、网络上系统信息的安全、信息传播的安全和信息内容的安全。网络安全实际上是应用于网络的,网络发展了, 网络安全自然要发展。网络安全的特点有:网络安全来源于安全策略与技术的多样化, 如果采用一种统一的技术和策略也就不安全了; 网络的安全机制与技术要不断地变化; 随着网络在社会各个方面的延伸, 连接网络的方法越来越多, 因此, 网络安全技术是一个十分复杂的系统工程。安全与反安全就像矛盾的两个方面, 总是不断地向上攀升, 所以网络安全也是一个随着新技术的发展而不断发展的产业。2.3 计算机网络安全面临的主要威胁计算机网络安全所面临的威胁大体可分为两种:一是对网络设备的威胁;二是对网络信息的威胁。具体地将影响计算机网络安全的因素归结起来, 对网络安全的威胁主要表现在以下四个方面:(1)自然威胁。自然威胁可能来自于各种自然灾害, 恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等,这些无目的的事件, 有时会直接威胁网络的安全, 影响存储信息的媒体。(2)人为的无意失误。如用户系统配置不当造成的安全漏洞、用户安全意识不强、用户口令选择不慎、用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(3)人为的恶意攻击。人为的恶意攻击手段都是通过寻找系统的弱点, 以便达到破坏、欺骗、窃取数据等目的, 造成经济上和政治上不可估量的损失。这是计算机网络所面临的最大威胁, 敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击, 它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击, 它是在不影响网络正常工作的前提下, 进行截获、窃取、破译,以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害, 并导致机密数据的泄漏。(4)网络软件的漏洞。漏洞(bug) 指由于技术和设计上的不完善而出现的程序缺陷或错误, 这种缺陷或错误允许非法用户未经授权去访问系统或提高其访问系统的层次。系统漏洞主要存在于计算机操作系统和网络服务程序之中, 例如unix 和linux 上的sendmail 、windows 上iis 等漏洞, 往往会被黑客利用, 对网络和系统进行恶意的攻击。2.4 对网络安全构成威胁的常见破坏方法(1) 利用tcp/ip 直接破坏:利用tcp 连接时提供的服务器序列号来非法入侵, 捕获网络传输时的ip 数据包, 进行恶意篡改后重新发送,达到破坏的目的。(2) 利用操作系统间接登陆入侵: 利用主机上操作系统的漏洞, 取得非法管理的特权, 从而登陆到远程计算机上进行数据的破坏。如利用unix 中开放的telent 服务器进行非法远程登陆。(3) 更改系统内置文件: 对计算机中的系统内置文件进行有目的的更改, 通过黑客软件非法获取用户的有用数据。如“特洛伊木马”程序。(4) 利用路径可选实施欺骗: 网络中的源计算机发送信息时, 利用ip 源路径的选项,通过特定的路径, 强制把非法数据传送到远程计算机,进行恶意破坏。(5) 非法检测和监听: 使用窃听装置或监视工具对所传播的信息进行非法检测和监听。3 计算机网络安全防范的几种关键技术(1) 防火墙技术。防火墙是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 目的是保护网络不被他人侵扰。它是一种被动的防卫控制安全技术, 其工作方式是在公共网络和专用网络之间设立一道隔离墙, 以检查进出专用网络的信息是否被准许, 或用户的服务请求是否被授权, 从而阻止对信息资源的非法访问和非授权用户的进入。防火墙大致分为过滤路由器防火墙、双层网关防火墙、过滤式主机网关防火墙、过滤式子网防火和吊带式结构防火墙等。(2) 数据加密技术。数据加密技术是为了提高信息系统与数据的安全性和保密性, 防止机密数据被外部破译而采用的主要技术手段之一。它的基本思想是伪装明文以隐藏真实内容。目前常用的加密技术分为对称加密技术和非对称加密技术。信息加密过程是由加密算法来实现的, 两种加密技术所对应的算法分别是常规密码算法和公钥密码算法。(3) 虚拟局域网(vlan) 技术。vlan (virtual local area network) 又称虚拟局域网, 是采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个vlan 组成一个逻辑子网, 即一个逻辑广播域,它可以覆盖多个网络设备, 允许处于不同地理位置的网络用户加入到一个逻辑子网中。vlan 技术把传统的基于广播的局域网技术发展为面向连接的技术, 从而赋予了网管系统限制虚拟网外的网络节点与网内的通信, 防止了基于网络的监听入侵。例如可以把企业内联网的数据服务器、电子邮件服务器等单独划分为一个vlan, 把企业的外联网划分为另一个vlan,并且控制两个vlan 之间的单向信息流向。这就保证了企业内部重要数据不被非法访问和利用。(4) 虚拟专用网(vpn)。vpn(virtual private network)技术是指在公共网络中建立专用网络。vpn 不是一个独立的物理网络,它只是逻辑上的专用网, 属于公网的一部分, 是在一定的通信协议基础上, 通过internet 在远程客户机与企业内网之间, 建立一条秘密的、多协议的虚拟专线, 所以称之为虚拟专用网。例如利用internet, 基于ip 协议, 可以建立ipvpn 。vpn 保证了远程客户机与企业内联网之间通过专用网来进行机密通信。(5) 入侵检测技术(ids) 。入侵检测技术又称为ids (intrusion detection system), 是近几年出现的新型网络安全技术, 目的是提供实时的入侵检测以及采取相应的防护手段。它是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后, 立即采取有效措施来阻断攻击,并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术两种。(6) 安全审计技术。安全审计技术记录了用户使用网络系统时所进行的所有活动过程。可以跟踪记录中的有关信息,对用户进行安全控制。它分诱捕与反击两个阶段: 诱捕是通过故意安排漏洞, 接受入侵者的入侵,并诱使其不断深入, 以获得更多的入侵证据和入侵特征; 反击是当系统掌握了充分证据和准备后, 对入侵行为采取的有效措施, 包括跟踪入侵者的来源和查询其真实身份,切断入侵者与系统的连接等。(7) 安全扫描技术。安全扫描技术是一种重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合, 能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞, 客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段, 那么安全扫描就是一种主动的防范措施, 可以有效避免黑客攻击行为, 做到防患于未然。包括基于服务器的安全扫描技术和基于网络的安全扫描技术。例如可以实时扫描网络中的服务器、路由器、交换机、防火墙等设备的安全漏洞。(8) 防病毒技术。网络防病毒技术是网络应用系统设计中必须解决的问题之一。病毒在网上的传播极其迅速, 且危害极大。并且在多任务、多用户、多线程的网络系统工作环境下, 病毒的传播具有相当的随机性,从而大大增加了网络防杀病毒的难度。目前最为有效的防治办法是购买商业化的病毒防御解决方案及其服务, 采用技术上和管理上的措施。要求做到对整个网络集中进行病毒防范、统一管理,防病毒产品的升级要做到无需人工干预, 在预定时间自动从网站下载最新的升级文件, 并自动分发到局域网中所有安装防病毒软件的机器上。以上是目前最基本的网络安全技术, 当然还有其它的安全协议和安全技术, 均是对这些技术的不同应用和扩展。4 结语计算机网络安全是一个涉及多方面的系统工程, 既需要采取必要的安全技术来抵御各种攻击, 又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此,网络安全不是一个单纯的技术问题,它涉及整个网络安全系统, 包括