略论计算机网络常见安全问题及对策.doc

略论计算机网络常见安全问题及对策全 宇（湛江师范学院 信息与教育技术中心，广东 湛江524048）摘要 随着计算机网络的不断发展和普及，其安全问题越来越成为人们共同关注的焦点。计算机网络常见安全问题有：协议设计问题、防范意识问题、管理体系问题和技术操作问题。黑客对计算机网络攻击的手法有：欺骗性攻击、伪装性攻击、漏洞性攻击、隐蔽性攻击和技术性攻击。据此，宜采取相应的安全对策：加强网络安全教育，运用网络防护技术、检测技术和反病毒技术。关键词 计算机网络；安全问题；安全对策Brief theory on the common problem of computer network security and CountermeasuresQuan Yu(Information and Education Technology Center of Zhanjiang Normal College, Zhanjiang, Guangdong 524048)Abstract With the continuous development and popularization of computer network, the security problem has increasingly become the focus of common concern. Common security problem of computer network: protocol design problem, awareness of problem, problems of management system and operation problems. Hackers on the computer network attack techniques: deceptive attacks, masquerading attack, loophole attack, covert attack and technical attack. Accordingly, should take the corresponding safe countermeasures: strengthen network security education, using the network protection technology, detection technology and anti-virus technology.Key words Computer network; Security problem; Safe countermeasure随着信息化社会的不断发展，计算机网络在提高数据传输效率，实现数据集中、数据共享等方面发挥着重要作用。要确保各项工作安全而高效运行，前提条件是保证网络信息安全和网络硬件、软件系统的正常运转，因此，计算机网络常见安全问题及对策的研究就显得尤为重要。1 计算机网络常见安全问题计算机网络安全，实质是网络系统的硬、软件系统的数据受到保护，不受偶然或恶意攻击而遭到破坏更改、泄露，系统连续、可靠、正常的运行，网络服务不中断。由于计算机网络技术具有复杂性和多样性，使得计算机网络安全问题成为一个亟需研究的问题。计算机网络常见安全问题有：1.1 协议设计问题协议设计往往强调其功能性而忽视其安全性，无形中为黑客的攻击打开了方便之门；协议设计对各种可能出现的流程问题考虑不够周全，一旦发生安全问题，网络系统就处理不当；协 作者简介：全宇，男，1982年8月生，硕士研究生，实验师，从事实验室管理与理论研究。议设计错误，导致网络系统服务容易失效，容易出现安全漏洞，容易招受黑客攻击；协议设计的程序撰写习惯不良，导致出现很多安全漏洞，包括输入资料差错能力不足，未检测可能发生的错误，应用系统的假设错误、引用不当模块、未检测资料不足等。1.2 防范意识问题网络建设单位、管理人员和技术人员缺乏安全防范意识，看不到互联网具有大跨度、分布广、无边界的特点，不主动采取安全防范措施，而是处于被动挨打的局面，一旦受到黑客的攻击，就束手无策。1.3 管理体系问题组织和部门的计算机网络往往没有建立完善的管理体系，从而导致安全体系和安全控制措施未能充分有效地发挥效能。网络业务活动中存在安全漏洞，造成不必要的信息泄露，给黑客以收集敏感信息的机会。1.4 技术操作问题计算机网络操作人员未受过良好训练或不按规范操作，缺乏必要的专业安全知识，不会安全地配制和管理网络，不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能作出积极、有序和有效的反应，导致出现各种安全漏洞和安全隐患。2 黑客对计算机网络的攻击手法因互联网本身没有时空和地域限制，所以黑客可以轻而易举入侵攻击各级网络。目前，黑客对计算机网络攻击的手法有：2.1 欺骗性攻击由于计算机网络设计的初衷是资源共享，决定其具有开放性的特点，导致数据信息容易被篡改和删除，数据安全性低。如“网络钓鱼攻击”就是一种欺骗性攻击的手法，钓鱼工具是通过大量发送声称来自一些名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息，如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击手法。最常用的手法是冒充一些真正的网站来欺骗用户的敏感数据。“网络钓鱼攻击”以往多是指向大型或著名网站，但由于大型或著名网站反应迅速，而且所提供的安全功能不断增强，所以，黑客越来越多地把目光对准较小的网站。2.2 伪装性攻击黑客常常利用计算机软件来伪装IP包，把自身扮演成被信任主机的地址，与目标主机进行会话，一旦冒充成功，就可以在目标主机尚未知晓的情况下单刀直入，实行攻击；黑客也可以伪造IP地址、路由条目、DNS解析地址，使受攻击服务器无法辨别这些请求或无法正常响应这些请求，从而造成缓冲区阻塞或死机；黑客还可以通过局域网中的某台机器IP地址设置为网络地址，导致网络中数据包无法正常转发而使某一网段瘫痪。2.3 漏洞性攻击前面谈到，计算机网络所使用的协议设计问题、安全防范意识问题、管理体系问题和技术操作问题，都可能产生漏洞，如软件中边界条件、函数指针等方面设计不当或缺乏限制，造成地址空间错误；软件系统对某种特定类型的报文或请求没有处理，导致运行出现异常等。黑客正是乘这些漏洞之隙，利用操作系统某些服务开端口发动缓冲区溢出攻击。2.4 隐蔽性攻击隐蔽性攻击是借助木马病毒进行实施。木马是一种基于远程控制的黑客工具，其攻击的特点具有隐蔽性，往往用户觉察不出。一旦黑客将木马程序成功地植入到目标主机中，计算机就成了黑客控制的傀儡主机，而黑客就成了超级用户。木马程序可以被用来收集系统中的重要信息，如口令、帐号、密码等。黑客还可以远程控制主机对别的主机发动攻击，如DDOS攻击就是众多傀儡主机接到攻击命令后，同时向被攻击目标发送大量的服务请求数据包。2.5 技术性攻击技术性攻击是指黑客利用嗅探器和扫描攻击。嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据，从而非法获得用户名、口令等重要信息。它对网络安全的威胁来自其本身的被动性和非干扰性，达到网络信息泄密而不易被发现。而扫描是针对系统漏洞，对网络的遍历搜寻行为。由于漏洞的存在，所以扫描手段往往可以隐蔽地探测他人主机的有用信息，作为实施下一步攻击的前奏。3 计算机网络的安全对策针对计算机网络常见安全问题和黑客对计算机网络攻击的手法，我们必须采取相应的安全对策。3.1 加强网络安全教育计算机网络安全是一个过程，涉及到管理、技术和应用三个层面。各个层面的具体操作者是人，而人正是网络安全中最薄弱的环节，因而必须加强网络安全技术培训，强化安全防范意识，提高三个层面人员的整体素质。首先，加强网络知识培训，让有关人员掌握一定的网络知识，掌握IP地址的配置、数据的共享等网络基本知识，树立良好的计算机使用习惯。其次，加强安全技术培训，让有关人员掌握一定的安全技术，保证数据信息安全可靠。再次，加强安全意识培训，让三个层面的人员懂得数据信息安全的重要性，明确保证数据信息安全是所有工作人员的共同责任。3.2 运用网络防护技术网络防护技术的出发点，首先是划分出明确的网络边界，然后通过在网络边界处对流经的信息利用各种控制方法进行检查，阻止不符合规定的信息通过，以达到阻止黑客对网络的入侵。主要的网络防护技术有：一是防火墙。防火墙是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，以保护内部网络操作环境的特殊网络互联设备。常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过；状态检测技术是一种连接性的状态检测机制，将属于同一连接的所有包作为一个整体的数据流，构成连接状态表，通过规则表和状态表的共同配合，对表中的各个连接状态因素加以识别，它相对于包过滤技术来说，更具灵活性和安全性；应用网关技术使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络，目的在于隐蔽地保护网络的具体细节，保护主机及其数据，虽然防火墙是目前保护网络安全的有效手段，但无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户带来的威胁，不能完全防止传递已感染病毒的软件或文件，也无法防范数据驱动型的攻击。二是防毒墙。防毒墙是指位于网络入口处，用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析，而对从允许连接的电脑上发送过来的病毒数据流却无能为力，因为它无法识别合法数据包中是否存在病毒的情况。防毒墙正是克服了防火墙的缺陷，它使用签名技术在网关处进行查毒工作，阻止网络蠕虫（Word）和僵尸网络（BOT）的扩展。三是虚拟专用网络（Virtual Private Network，简称VPN）。VPN是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户与内部网建立可信的安全连接，并保证数据的安全传输。为保证信息的安全，VPN技术采用了鉴别、访问控制、保密性等措施，以防止信息的泄露、篡改和复制。3.3 采用网络检测技术网络检测技术是通过监视受保护系统的状况和活动来识别针对计算机系统和网络系统的攻击，包括检测非法入侵者恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。主要网络检测技术有：一是入侵检测。入侵检测是通过对计算机网络或计算机系统的若干关键点收集信息，并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击迹象，以及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：第一，检测并分析用户和系统的活动；第二，检查系统的配置和操作系统的日志；第三，发现漏洞和统计分析异常行为等。二是入侵防御。入侵防御系统是一种主动的积极的入侵防范系统。它是建立在入侵检测系统发现的基础上的新生网络安全技术。如果说入侵检测系统只能被动地检测网络遭到何种攻击，且阻断攻击能力有限，那么，入侵防御系统在网络的进出口处检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为入侵防御系统就是防火墙加上入侵检测系统，但并不是说入侵防御系统可以取代防火墙和入侵检测系统。三是漏洞扫描。漏洞扫描技术是一项重要的主动防范安全技术。它主要通过以下两种方法来检查目标主机是否存在漏洞。第一，在端口扫描后得知目标主机开启的端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；第二，通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。3.4 使用反病毒技术计算机病毒能引起计算机故障，破坏文件和数据，抢占系统网络资源，传染其它程序，造成网络堵塞或系统瘫痪。尤其在网络环境下，计算机病毒的威胁性和破坏力更不可估量。因此，对计算机病毒的防范是网络安全建设的一个重要环节。在反病毒技术方面主要是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。首先，要增强防毒意识，对工作人员定期培训，明确计算机病毒的危害，文件共享时尽量控制权限和增加密码，对来历不明的文件运行前进行查杀。其次，小心使用移动存储设备，使用之前进行病毒的扫描和查杀，把病毒拒绝于系统之外。再次，挑选网络版杀毒软件，如熟练使用瑞星杀毒软件，及时升级杀毒软件病毒库，是防毒杀毒的关键。网络安全问题不仅仅是技术问题，同时也是一个安全管理问题，我们必须综合考虑安全因素，制定安全技术方案和相关配套管理办法。世上无绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全技术也必然随着网络应用的发展而不断发展。参考文献1 曾志峰,杨义先.网络安全的发展与研究J.计算机工程与应用,2000,(10).2 文伟平等.网络蠕虫研究与进展J.软件学报,20