网络安全问题的讨论和对策

网络安全问题的讨论和对摘要随着计算机互联网技术的飞速发展，网络信息已经成为社会发展的重要组成部分。它涉及到政府、经济、文化、军事等诸多领域。由于计算机网络形式的多样性，连接功能的终端销售，网络的开放性，导致网络信息容易受到黑客攻击，计算机系统是容易受到恶意软件的攻击。因此，网络信息资源的安全已成为一个重要的课题。本文阐述了常见的计算机网络安全威胁，提出了常用的网络安全防范措施。关键词网络安全；黑客；病毒；防火墙；系统维护

AbstractWiththerapiddevelopmentofcomputerInternettechnology,networkinformationhasbecomeanimportantpartofsocialdevelopment.Itinvolvesthegovernment,economy,culture,military,andmanyotherfields.Becausethecomputernetworkdiversityofform,terminalandnetworkfeaturessuchasopenness,interconnectedness,andthenetworkisvulnerabletohackersstealinformation,computersystemsvulnerabletomalwareattacks,etc.Therefore,networksecurityandconfidentialityoftheinformationresourcesbecomesanimportantsubject.Thispaperexpoundsthecommoncomputernetworksecuritythreats,commonlyusednetworksecurityprecautionsareputforward.KeywordsNetworksecurity;Hackers;Virus;Firewall;Systemmaintenance

目录1引言 42计算机网络安全的概念与内容 42.1网络安全的概念 42.2网络安全的内容 43计算机网络安全的威胁 53.1技术方面的威胁 53.1.1计算机病毒 53.1.2黒客攻击 63.1.3数据“窃听”和拦截 73.2管理方面的威胁 73.2.1网络配置管理不当 73.2.2人为的无意失误 73.2.3人为的恶意攻击 73.2.4管理的欠缺 73.2.5网络的缺陷及软件的漏洞或“后门” 84方案设计与实现 94.1项目背景介绍 94.2项目需求 105方案的实施与测试 115.1方案实施与配置 115.2方案测试 135.2.1NAT配置测试 135.2.2安全性测试 13结论 16致谢 17参考文献 18

1引言随着网络技术的发展，人们对网络的关注程度也越来越高，如何扩展网络、提高网络的容量和性能成为人们的主要话题，但有一点是可以忽略的，就是网络的安全。网络是一个虚拟的社会，在许多方面与现实世界有惊人的相似性。在现实中，有各种冲突和矛盾，同样的网络也面临着病毒，黑客，木马攻击，这带来了巨大的损失。在网络安全的重要性出发，以提高用户的安全意识，需要了解和掌握网络安全防护技术已成为当务之急。2计算机网络安全的概念与内容2.1网络安全的概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科，它涉及的因素主要包括物理安全，系统安全，信息安全和文化安全。国际标准化组织（ISO）计算机系统安全的定义：一个数据处理系统的建立和技术的使用和管理的安全保护，保护计算机硬件，软件和数据不因偶然和恶意破坏，更改和泄漏。信息网络安全保护的对象很明显，它的本质是安全信息在网络中的流或静态存储时没有未经授权的非法访问，但经过授权的用户可以访问。网络安全既有技术方面的问题，有问题，两个方面相辅相成，缺一不可。2.2网络安全的内容网络安全包括网络系统的部件、软件、数据的安全性，它通过网络信息的存储、传输和使用过程来体现。网络安全的目的是保护网络设备、软件、数据，使其免受非授权使用或访问。网络安全主要包括两方面的内容：（1）网络设备（包括设备上运行的网络软件）的安全性，使其能够正常提供网络服务。（2）在网络中存储和传输的信息的安全性，即网络系统的信息安全。确保网络系统的信息安全是网络安全的重要目标。对网络系统而言，信息安全主要包括两个方面的内容：信息的存储安全和信息的传输安全。信息的存储安全是指信息在网络结点上静态存放状态下的安全性。威胁信息存储安全的因素主要是网络内部或外部对信息的非法访问。因而，各种访问控制技术，如设置访问权限、身份识别和局部隔离等，是解决信息存储安全的主要途径。3计算机网络安全的威胁网络的主要作用是提供信息的传输，因此信息在传输过程中的安全性显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。信息在传输过程中主要面临着下列威胁：（1）截获（interception）：攻击者从网络上窃听他人的通信内容。（2）中断（interruption）：攻击者有意中断他人在网络上的通信。（3）篡改（modification）：攻击者估计篡改网络上传送的报文，使用户无法获得准确、有用的信息或落入攻击者的陷阱。（4）伪造（fabrication）：攻占者伪造的信息在网络中传送。影响计算机网络安全的因素很多，可能是技术方面的问题，也可能是管理方面的问题。主要有以下几个方面。3.1技术方面的威胁3.1.1计算机病毒计算机病毒是最头疼的事情，也是最常见的安全威胁，几乎每一个使用一个计算机病毒的更多或更少的威胁。系统崩溃，数据丢失，小会影响系统的性能，甚至一些病毒只是在开玩笑。特别是当前邮件病毒，小到原子弹的邮箱，安装木马破坏计算机上的程序，或机密信息将用户的电脑发送所有。近几年比较著名的有：2007年的“熊猫烧香”病毒，它使所有程序图标变成熊猫烧香，并使它们不能应用；2009年的“木马下载器”病毒，中毒后会产生1000~2000不等的木马病毒，导致系统崩溃；2010年的“鬼影病毒”，该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影”病毒。计算机病毒与生物病毒几乎具有完全相同的特征，如生物病毒的传染性、流行性、繁殖性、表现性、针对性等特征，计算机病毒都具备，所不同的是：计算机病毒不是微生物，而是一段可执行的计算机程序。传染性是计算机病毒最显著的特征，威胁也最大。如没有传染性，甚至是毁灭性的病毒再大，也可以破坏计算机，但不会威胁到其他计算机。计算机病毒从一个计算机系统传播到其他计算机系统的主要途径是网络线，软盘和光盘。在单机环境下，病毒主要是通过交换带病毒的磁盘或CD感染。硬盘是固定的存储介质，而且病毒的重要繁殖地，许多病毒寄生在硬盘上，一旦与寄生病毒硬盘启动计算机，和一些的软盘和硬盘的读写操作，病毒就会传播到软盘和光盘，并通过这个软盘和光盘传播。为网络服务器，与病毒的分布中心和传播病毒，通过它的可执行文件的传输。在网络环境下，计算机病毒的传播途径，增加了很多，它可以通过访问，下载文件传播病毒，电子邮件等方式。病毒的危害主要表现为：(1)减少存储器的可用空间；(2)使用无效的指令串与正常运行程序争夺CPU时间；(3)破坏存储器中的数据信息；(4)破坏相连网络中的各项资源；(5)构成系统死循环；(6)肆意更改、破坏各类文件和数据；(7)破坏系统I/O功能；(8)彻底毁灭软件系统；(9)用借读数据更改主板上可擦写型BIOS芯片，造成系统崩溃或主板损坏；(10)造成磁头在硬盘某些点上死读，从而破坏硬盘。计算机病毒通过这几种危害形式，给计算机造成的灾害是巨大的。这方面的事例数不胜数。3.1.2黒客攻击黑客的定义：专门利用计算机犯罪人，即那些凭借自己所掌握的计算机技术，专门破坏计算机系统和网络系统，窃取政治、军事、商业秘密，或者转移资金账户，窃取金钱，以及不露声色地捉弄他人，秘密进行计算机犯罪的人。3.1.3数据“窃听”和拦截这是直接或间接地对网络数据包的拦截和分析特定的数据来获取所需要的信息。在传输和第三方网络的一些企业，必须采取有效措施防止重要数据被拦截，如用户的信用卡号码。[9]加密技术是保护从外部窃听数据传输的最佳方式，其数据可以成为唯一授权的接收者可以恢复和读取代码。3.2管理方面的威胁3.2.1网络配置管理不当网络配置管理不当会造成非授权访问。网络管理员配置网络，往往是因为用户权限设置太大，不需要打开服务器端口，或一般的用户由于疏忽，损失的账号和密码，导致未经授权的访问，对网络安全造成危害的，有时是致命的[10]。3.2.2人为的无意失误由于操作人员安全配置不当而造成的安全漏洞，以及用户安全意识不强、口令选择不慎，将自己的账号随意转借给他人或与别人分享等都会对网络安全带来威胁。3.2.3人为的恶意攻击这是计算机网络所面临的最大威胁，计算机犯罪的对手的攻击，就属于这一类。这种攻击可以分为以下两种类型：一是主动攻击的有效性和完整性，它以各种不同的方式选择性地破坏信息；另一种是被动攻击，这是不正常运行，影响网络的拦截，窃取，解密得到重要的机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。3.2.4管理的欠缺严格的网络管理系统是企业的一项重要措施，机构和攻击用户。事实上，很多企业的网站或系统，机制和用户的疏忽管理。根据IT企业集团ITAA的一项调查显示，美国90%的企业还没有准备好一个黑客攻击。目前，美国75~85%网站不能抵御黑客攻击，约有75%的企业网络信息盗窃，其中超过250000美元的亏损企业25%。此外，管理的缺陷也可能出现的内部人员系统泄露机密或外部人员，并导致机密信息的泄漏通过拦截非法手段，从而为一些不法分子制造的机会。3.2.5网络的缺陷及软件的漏洞或“后门”互联网共享和网络信息安全开放有先天不足，因为TCP/IP协议的生存，相应的安全机制的不足，设计网络首先考虑的是网格的传输并不是由于信息的局部破坏，没有考虑安全问题，所以它是安全的可靠，服务质量，带宽和方便的不适应性。此外，随着软件系统规模的增大，系统中的安全漏洞或“后门”不可避免地，如操作系统，无论是Windows或UNIX的安全漏洞，或多或少的存在，许多种类的服务器，浏览器，一些桌面软件等等都发现存在安全隐患。可以说，每一个软件系统可能是由于疏忽，在设计上的缺陷和漏洞，程序员，一个主要的威胁，网络安全。

4方案设计与实现4.1项目背景介绍本文选取了某企业作为例子，某某公司主干网络系统包括环形的千兆的核心网、千兆链路连接的分支节点和网络边界（Internet、Cernet）。其中千兆链路主要承载整个公司信息系统的跨节点的信息交换传输工作，为各种应用系统的数据流提供高速网络通讯支持。网络边界（Internet、Cernet）负责为整个公司提供互联网、接入功能，极大的扩展了公司信息系统的信息量，为检索外部的海量信息提供了通路。拓扑如图所示：公司的信息化建设，是体现XX公司国际性、时代性和开放性特征的重要环节，在当前全球经济一体化的时代大背景下通过提高信息化水平来提升公司的综合竞争力是一个有效的途径，应用信息化理念和技术实现经营、科研和管理工作的创新已成为必然的趋势。经过两年多的发展，公司信息化已经初步形成了一定的规模。目前公司的客户端数量达到了500多台，已有20多台服务器为公司提供域控、邮件、内部主页、OA、财务软件、人力软件等服务，并且外部主页服务器和邮件服务器分别对外网提供服务。因此保证公司服务器安全和内部主机安全，对公司网络稳定运行具有重要的意义。所以为了使公司网络不受Internet外来攻击，我们在核心交换机前部署了一台防火墙，用于公司内网与Internet的连接。4.2项目需求公司采用了PIX535防火墙作为出口，在众多的企业级主流防火墙中，思科PIX防火墙是所有同类产品性能最好的一种。思科PIX系列防火墙目前有5种型号PIX506，515，520，525，535。其中PIX535是PIX500系列中最新，功能也是最强大的一款。它可以提供运营商级别的处理能力，适用于大型的ISP等服务提供商。但是PIX特有的操作系统，使得大多数管理是通过命令行来实现的，不像其他同类的防火墙通过Web管理界面来进行网络管理。PIX防火墙主要实现以下两个功能：一是将内网中不同的职能部门私有网络通过防火墙做逻辑隔离，将内网IP转换为Internet公网IP，从而实现内网主机可以访问Internet。二是允许互联网用户访问公司有关部门发布的官方网站，从而实现公司多台服务器通过一条线路为Internet提供各种服务。（1）防火墙接口参数的配置：接口名称安全级别IP地址Gb-eth0Intf210Gb-eth0Inside10021Eth0Outside054Eth1Intf315（2）各个部门IP地址规划：单位名称网络IP地址网络掩码部门部门部门3部门4部门5（3）配置要求：将部门4的所有内网IP通过防火墙转换为互联网IP53，使得部门4的所有内网主机都可以访问互联网。互联网的网关IP地址为。创建内部IP地址62和互联网IP地址50之间的静态映射，使得内网服务器利用公网IP向互联网用户提供WWW服务。5方案的实施与测试5.1方案实施与配置PIXVersion6.2（2）nameifgb-ethernet0intf2security10nameifgb-ethernet1insidesecurity100nameifethernet0outsidesecurity0enablepassword4vT1Cunhss1Jf0Jhencryptedpasswd4vT1Cunhss1Jf0Jhencryptedhostnamepix535fixupprotocolftp21fixupprotocolhttp80fixupprotocolh323h2251720fixupprotocolrsh514fixupprotocolsmtp25fixupprotocolsqlnet1521fixupprotocolsip5060interfacegb-ethernet01000autointerfacegb-ethernet11000autointerfaceethernet0automtuintf21500mtuinside1500mtuoutside1500ipaddressintf255ipaddressinside2152ipaddressoutside5455ipauditinfoactionalarmipauditattackactionalarmpdmhistoryenablearptimeout14400global（outside）153nat（inside）100static（inside,outside）5062netmask5500conduitpermittcphost50eqwwwanyconduitpermiticmpanyanyrouteoutside1routeinside221timeoutxlate3：00：00timeoutconn1：00：00half-closed0：10：00udp0：02：00rpc0：10：00h3230：05：00sip0：30：00sip_media0：02：00timeoutuauth0：05：00absoluteaaa-serverTACACS+protocoltacacs+aaa-serverRADIUSprotocolradiusnosnmp-serverlocationnosnmp-servercontactsnmp-servercommunitypublicnosnmp-serverenabletrapsfloodguardenablenosysoptroutednattelnettimeout5sshtimeout5terminalwidth80Cryptochecksum:246d641f2d31ae9585d93480b4f912d2：end5.2方案测试5.2.1NAT配置测试通过配置NAT后，即使客户端是内外地址，也是可以正常上网：5.2.2安全性测试通过配置防火墙后，外网主机是无法扫描到内部主机，极大提高了网络的安全性：用4模拟外部主机地址，3模拟防火墙内一台DMZ里面具有系统漏洞的主机。在未开启防火墙之前，用x-scan进行扫描，发现漏洞：这样黑客就可以通过漏洞进行主机的攻击。开启防火墙之后：黑客根本无法发现这台主机的存在，更扫描不了漏洞，极大提高了安全性。总结通过以上的综合介绍防火墙的工作原理、工作模式，分类和结构做了简单的分析，让我们对防火墙有了初步的了解。再深入学习防火墙的功能和性能，这也是防火墙比较难理解的地方，对用户来说防火墙的功能和性能是至关重要的。还有一点就是防火墙的安全管理平台，这也是用户最关心的问题之一。防火墙针对的仅仅是内外访问外网和外网对内外的访问上安全的策略。但是当网络的内外主机出现中毒，内网网络安全出现问题是，这时防火墙是无法解决问题的。一个安全网络不仅要在出口上下功夫，企业还需要在内外安装IPS,IDS等内外安全设备，来补缺防火墙的局限性。

结论计算机网络的安全与国家、企业、