计算机网络大作业-浅谈计算机网络安全漏洞及防范措施1.doc

序号 2011-2012学年度第二学期大作业课程名称： Interne技术与应用 任课教师： 赵小兰 作业题目： 浅谈计算机网络安全漏洞及防范措施 姓名： 吴秀兰 学 号： 201015013153011 专 业： 电气工程及其自动化 教学中心： 河源市职业技术学院 联系电话：评审日期_成绩_评审教师(签名)_华南理工大学网络教育学院 浅谈计算机网络安全漏洞及防范措施 姓名：吴秀兰 学号：201015013153011摘 要：随着计算机信息技术的迅猛发展，计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介，并且渗透到社会生活的各个角落。因此，认清网络的脆弱性和潜在威胁的严重性，采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务，它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文结合实际情况，分析网络安全问题并提出相应对策。关键词：计算机；网络安全；防范措施在信息高速发展的21世纪，计算机作为高科技工具得到广泛的应用。从控制高科技航天器的运行到个人日常办公事务的处理，从国家安全机密信息管理到金融电子商务办理，计算机都在发挥着极其重要的作用。因此，计算机网络的安全已经成为我们必须要面对的问题。一、 什么是计算机网络安全 国际标准化组织（ISO）将“计算机安全”定义为：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露1。目前绝大多数计算机都是互联网的一部分，因此计算机安全又可分为物理安全和信息安全，是指对计算机的完整性、真实性、保密性的保护，而网络安全性的含义是信息安全的引申。计算机网络安全问题是指电脑中正常运作的程序突然中断或影响计算机系统或网络系统正常工作的事件，主要是指那些计算机被攻击、计算机内部信息被窃取及网络系统损害等事故。网络安全问题的特点在于突发性、多样性和不可预知性，往往在短时间内就会造成巨大破坏和损失。 二、 影响计算机网络安全的隐患 1、计算机安全漏洞 漏洞也叫脆弱性(Vulnerability)，是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。从计算机系统软件编写完成开始运行的那刻起，计算机系统漏洞也就伴随着就产生了，漏洞一旦被发现，就可使用这个漏洞获得计算机系统的额外权限，使攻击者能够在未经授权的情况下访问或破坏系统，从而导致危害计算机系统的安全。 计算机系统软件分为操作系统软件和应用系统软件，因此相对应也就有系统软件漏洞和应用系统软件漏洞。我们经常使用的windows操作系统主要有以下安全漏洞：允许攻击者执行任意指令的UPNP服务漏洞、可以删除用户系统的文件的帮助和支持中心漏洞、可以锁定用户账号的帐号快速切换漏洞等等。 2、 TCP/IP的脆弱性。TCP/IP协议是因特网的基础。但该协议更多的考虑使用的方便性，而忽视了对网络安全性和考虑。从TCP协议和IP协议来分析，IP数据包是不加密，没有重传机制，没有校验功能，IP数据包在传输过程中很容易被恶意者抓包分析，查看网络中的安全隐患。TCP是有校验和重传机制的，但是它连建立要经过三次握手，这也是协议的缺陷，服务器端必须等客户端给第三次确认才能建立一个完整的TCP连接，不然该连接一直会在缓存中，占用TCP的连接缓存，造成其他客户不能访问服务器。 TCP/IP模型没有清楚地区分哪些是规范、哪些是实现，它的主机网络层定义了网络层与数据链路层的接口，并不是常规意义上的一层，接口和层的区别是非常重要的，没有将它们区分开来。这就给一些非法者提供了可乘之机，就可以利用它的安全缺陷来实施网络攻击。 3、计算机网络通信的不安全性。 在计算机网络中，网络攻击者通过非法的手段获得用户权限，并通过使用这些非法的权限对主机进行非授权的操作，我们知道因特网是由无数个局域网所连成的一个巨大网络，当处于不同局域网的两台主机进行通信时，它们之间互相传送的数据流要经过许多机器的重重转发，如果网络攻击者利用数据流传输路径上的一台主机，他就可以劫持用户的数据包，从而造成一些重要数据的泄露。 4、网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。5、网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的信息。6、恶意攻击。恶意攻击就是人们常见的黑客攻击及网络病毒是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也越来越多，影响越来越大。无论是DOS 攻击还是DDOS 攻击，简单的看，都只是一种破坏网络服务的黑客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。具体表现方式有以下几种：（1）制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。（2）利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。（3）利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误而分配大量系统资源，使主机处于挂起状态甚至死机。DOS 攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是，要找DOS 的工具一点不难，黑客网络社区都有共享黑客软件的传统，并会在一起交流攻击的心得经验，你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。7、用户安全意识不强。 在计算机网络中，我们设置了许多安全的保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。许多应用服务系统在访问控制及安全通信方面考虑较少，系统设置错误，很容易造成重要数据的丢失，管理制度不健全，网络管理、维护不彻底，造成操作口令的泄漏，机密文件被人利用，临时文件未及时删除而被窃取，这些，都给网络攻击者提供了便利。例如人们为了避开代理服务器的额外认证，直接进行点对点协议的连接，从而避开了防火墙的保护。 三、 计算机网络安全的防范措施 为了减少网络安全问题造成的损失，保证广大网络用户的利益，我们必须采取网络安全对策来应对网络安全问题。但网络安全对策不是万能的，它总是相对的，为了把危害降到最低，我们必须采用多种安全措施来对网络进行全面保护。 1、漏洞补丁更新技术。一旦发现新的系统漏洞，一些系统官方网站会及时发布新的补丁程序，但是有的补丁程序要求正版认证(例如微软的Windows操作系统)，也可以通过第三方软件如：系统优化大师(Windows优化大师)，360安全卫士，瑞星杀毒软件，金山杀毒软件，迅雷软件助手等软件扫描系统漏洞并自动安装补丁程序。 2、病毒防护技术。随着计算机技术的高速发展，计算机病毒的种类也越来越多，病毒的侵入必将影响计算机系统的正常运行，特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而给用户造成极大的损失。电脑病毒的防治包括两个方面，一是预防，以病毒的原理为基础，防范已知病毒和利用相同原理设计的变种病毒，从病毒的寄生对象、内存驻留方式及传染途径等病毒行为入手进行动态监测和防范，防止外界病毒向本机传染，同时抑制本机病毒向外扩散。二是治毒，发现病毒后，对其进行剖析，选取特征串，从而设计出该病毒的杀毒软件，对病毒进行处理。目前最常用的杀毒软件有瑞星、金山、卡巴斯基、NOD32等。 3、防火墙技术。防火墙是一种计算机硬件和软件的结合，是在内部网络和外部网络之间、专用网与公共网之间的界面上构造的保护屏障，用来加强网络之间的访问控制，防止外部网络用户以非法手段进入内部网络，从而保护内部网免受非法用户的侵入，它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，同时监视网络运行状态，提供网络使用情况的统计数据，并写入日志记录，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 4、数据加密技术。数据加密技术是对介入信息的传送、存取、处理人的身份和相关数据内容进行验证，从而达到保密的要求。将一个信息或数据包经过加密钥匙及加密函数转换，对信息进行重新编码，从而隐藏信息的真实内容，变成无意义的密文，使非法用户无法获取信息，即使被非法用户获取，也因为不知到解密钥匙而无法将期破译，而接收方则通过解密函数、解密钥匙将此密文还原。加密技术是计算机网络安全技术的基石，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手段之一。 5、操作系统安全内核技术。操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性，尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去，从而使系统更安全。操作系统平台的安全措施包括：采用安全性较高的操作系统；对操作系统的安全配置；利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级，其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括：用户必须通过用户注册名和口令让系统识别；系统可以根据用户注册名决定用户访问资源的权限；系统可以对系统中发生的每一件事进行审核和记录；可以创建其他具有系统管理权限的用户。6、身份验证技术身份验证技术。身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否为合法的用户，如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其身份验证是建立在对称加密的基础上的。除了加强计算机软硬件的技术外，还应加强结物理网络安全的保护措施，如：为主机和网络设备配备备用电源和电源保护，主服务器要加屏幕密码保护及键盘锁，对重要资料进行及时备份且保存到主机房外的安全地方，网络管理人员有专业人员专人担任等。 四、 结束语 随着信息技术的飞速发展，影响通信网络安全的各种因素也会不断强化，因此计算机网络的安全问题也越来越受到人们的重视，以上我们简要的分析了计算机网络存在的几种安全隐患，并探讨了计算机网络的几种安全防范措施。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题。我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。参考文献： 【1】 陶阳.计算机与网络安全 重庆：重庆大学出版社， 2005.【2】 田园.网络安全教程 北京：人民邮电出版社，2009.【3】 冯登国.计算机通信网络安全，清华大学出版社， 2001 【4