浅议如何做好计算机网络安全工作

浅议如何做好计算机网络安全工作摘要：文中主要阐述了计算机网络安全的含义和计算机网络攻击的特点、途径以及安全防范技术关键词：网络安全攻击防范技术中图分类号：TN711文献标识码：A文章编号：随着网络技术的不断发展，网络安全成为当今网络社会的焦点，几乎所有人都在谈论网络的安全问题，因为它直接关系到一个国家的政治、军事、经济等领域的安全和稳定。目前黑客猖獗，让人胆战心惊，平均每20秒钟世界上就有一次黑客事件发生，时刻威胁着网络的安全。因此，提高对网络安全重要性的认识，增强防范意识，强化防范措施，是保证信息产业持续稳定发展的重要保证和前提条件。计算机网络安全的含义计算机网络安全的具体含义随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。对普通使用者来说，仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。计算机网络攻击的特点以软件攻击为主。几乎所有的网络攻击都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件（包括计算机通信过程中的信息流）进行严格的保护。手段多样，手法隐蔽。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令进入他人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙来攻击等等。因而犯罪的手段多种多样，五花八门，隐蔽性很强。威胁社会和国家安全。一些黑客出于各种目的经常攻击政府要害部门和军事部门的计算机系统，对社会和国家安全造成威胁。损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，给计算机用户造成巨大的经济损失。网络攻击的主要途径网络攻击是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络攻击的主要途径有：破译口令、IP欺骗和DNS欺骗。口令是计算机系统抵御入侵者的一种重要手段，口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。转域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信。当攻击者危害DNS服务器并明确地更改主机名IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。当一个客户机请求查询时,用户只能得到这个伪造的地址。所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。四、计算机网络安全的防范技术1、防火墙技术网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。理论上，防火墙就是指设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合。在逻辑上它是一个限制器，也是一个分析器，能有效地监控内部网和Internet之间的活动，保证内部网络的安全。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全，五者综合应用。目前，全球连入Internet的计算机中约有1/3是处于防火墙保护之下，而在二十一世纪这个比率会大幅提升。2、生物识别技术生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案，由于人体特征具有不可复制的特性，这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等，而其中指纹凭借其无可比拟的唯一性、稳定性、再生性倍受关注。3、加密及数字签名技术加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。如密码的传输。计算机密码极为重要，许多安全防护体系是基于密码的，密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。用户通过网络进行登录时，所键入的密码以明文的形式被传输到服务器，很有可能黑客会窃取得用户的密码。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。数字签名就是基于加密技术的，它的作用就是用来确定用户是否是真实的。应用最多的是电子邮件，如当用户收到一封电子邮件时，邮件上面标有发信人的姓名和信箱地址，很多人可能认为发信人就是信上说明的那个人，实际上伪造一封电子邮件是极为容易的事。在这种情况下，就要用到数字签名，用它来确认发信人身份的真实性。加密技术通常分为两大类：“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥，通常称之为“SessionKey”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的SessionKey长度为56Bits。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。这是它的优越性，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥，其中的“公钥”是公开的，收件人解密时用自己的私钥就可以，这样很好地解决了密钥的传输安全性问题。在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术，这种数字签名的实现过程非常简单：首先，发送者用其秘密密钥对邮件进行加密，建立了一个“数字签名”，然后通过公开的通信途径将签名和邮件一起发给接收者，接收者在收到邮件后使用发送者的另一个密匙公开密钥对签名进行解密，如果计算的结果相同他就通