論網(wǎng)絡安全問題

塔 娜

（呼倫貝爾學院計算機科學與技術學院，內(nèi)蒙古 呼倫貝爾 021008）

隨著計算機網(wǎng)絡技術的飛躍發(fā)展，計算機網(wǎng)絡安全成為一個綜合性的課題，涉及技術、管理、使用等許多方面，如何建立比較安全的網(wǎng)絡體系，值得我們研究。下面筆者對網(wǎng)絡攻擊和入侵的主要途徑、計算機網(wǎng)絡中的安全缺陷及產(chǎn)生的原因、安全防范措施等方面談一下自己的看法。

1 計算機網(wǎng)絡安全定義

計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。常見的影響網(wǎng)絡安全的問題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等，這就需要我們建立一套完整的網(wǎng)絡安全體系來保障網(wǎng)絡安全可靠地運行。

2 網(wǎng)絡攻擊和入侵的主要途徑

網(wǎng)絡入侵是指網(wǎng)絡攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權限，并通過使用這些非法的權限使網(wǎng)絡攻擊者能對被攻擊的主機進行非授權的操作。網(wǎng)絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

2.1 破譯口令

口令是計算機系統(tǒng)抵御入侵者的一種重要手段。所謂口令入侵是指使用某些合法用戶的口令登錄到目的主機，然后再實施攻擊活動。這種攻擊的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進行合法用戶口令的破解。

2.2 IP欺騙

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網(wǎng)絡協(xié)議的脆弱性。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發(fā)起攻擊，使被信任的主機陷入癱瘓。當主機正在進行遠程服務時，網(wǎng)絡入侵者最容易獲得目標網(wǎng)絡的信任關系，從而進行IP欺騙。同一網(wǎng)絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址認證而執(zhí)行遠程操作，這就給攻擊者創(chuàng)造了機會。

2.3 DNS欺騙

域名系統(tǒng)（DNS）是一種用于TCP/IP應用程序的分布式數(shù)據(jù)庫，它提供主機名字和IP地址之間的轉(zhuǎn)換信息。通常，網(wǎng)絡用戶通過UDP協(xié)議和DNS服務器進行通信，而服務器在特定的53端口“監(jiān)聽”，并返回用戶所需的相關信息。DNS協(xié)議不對轉(zhuǎn)換或信息的更新進行身份認證，這使得該協(xié)議容易被網(wǎng)絡攻擊者利用。當攻擊者危害 DNS服務器并明確地更改主機名——IP地址映射表時，DNS欺騙就會發(fā)生。這些改變被寫入DNS服務器上的轉(zhuǎn)換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網(wǎng)絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器上。

3 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生的原因

3.1 TCP/IP的脆弱性

因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。

3.2 網(wǎng)絡結構的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

3.3 易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。

3.4 缺乏安全意識

雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

4 安全防范措施

網(wǎng)絡信息安全涉及方方面面的問題，是一個復雜的系統(tǒng)。一個完整的網(wǎng)絡信息安全體系至少應包括3類措施：一是法律政策、規(guī)章制度及安全教育等外部軟環(huán)境。二是技術方面，如信息加密存儲傳輸、身份認證、防火墻技術、網(wǎng)絡防毒等。三是管理措施，包括技術與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術是安全的保障，管理和審計是安全的防線。

4.1 完善計算機安全立法

我國先后出臺的有關網(wǎng)絡安全管理的規(guī)定和條例。但目前，在這方面的立法還遠不能適應形勢發(fā)展的需要，應該在對控制計算機犯罪的國內(nèi)外立法評價的基礎上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡健康有序的發(fā)展提供強有力的保障。

4.2 網(wǎng)絡安全的關鍵技術

（1）數(shù)據(jù)加密。數(shù)據(jù)加密又稱密碼學，它是一門歷史悠久的技術，指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是通過解密算法和解密密鑰將密文恢復為明文。數(shù)據(jù)加密目前仍是計算機系統(tǒng)對信息進行保護的一種最可靠的辦法。它利用密碼技術對信息進行加密，實現(xiàn)信息隱蔽，從而起到保護信息的安全的作用。有兩種主要的加密類型：私匙加密和公匙加密。

（2）認證。對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。

（3）防火墻技術。防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。目前，防火墻采取的技術，主要是包過濾、應用網(wǎng)關、子網(wǎng)屏蔽等。但是，防火墻技術在網(wǎng)絡安全防護方面也存在一些不足：防火墻不能防止內(nèi)部攻擊；防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。

（4）檢測系統(tǒng)。入侵檢測技術是網(wǎng)絡安全研究的一個熱點，是一種積極主動的安全防護技術，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截相應入侵。隨著時代的發(fā)展，入侵檢測技術將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

（5）防病毒技術。隨著計算機技術的發(fā)展，計算機病毒變得越來越復雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡以及它們之間相互關系和接口的綜合系統(tǒng)。

（6）文件系統(tǒng)安全。在網(wǎng)絡操作系統(tǒng)中，權限是一個關鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。建立文件權限的時候，必須在Windows 2000中首先實行新技術文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設置用戶級別的權限。你需要了解可以分配什么樣的權限，還有日?；顒悠陂g哪些規(guī)則是處理權限的。Windows 2000操作系統(tǒng)允許建立復雜的文件和文件夾權限，你可以完成必要的訪問控制。

4.3 制定合理的網(wǎng)絡管理措施

（1）加強網(wǎng)絡用戶及有關人員的安全意識、職業(yè)道德和事業(yè)心、責任心的培養(yǎng)教育以及相關技術培訓。

（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵與監(jiān)督的作用。

（3）管理措施要標準化、規(guī)范化和科學化。

5 結束語

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。它涉及技術、管理、使用等許多方面，建立網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持研究開發(fā)，重視對計算機網(wǎng)絡安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡安全系統(tǒng)。雖然病毒的種類很多，但我們只要掌握了其流通傳播方式，便不難控制和查殺。只要不斷健全網(wǎng)絡安全的相關法規(guī)，提高網(wǎng)絡安全防范的技術水平，就能有力地保障網(wǎng)絡的安全。

1 馮博琴.計算機網(wǎng)絡［M］.北京：高等教育出版社，2004

2 胡道元.計算機網(wǎng)絡［M］.北京：清華大學出版社，2005

3 李艇.計算機網(wǎng)絡管理與安全技術［M］.北京：高等教育出版社，2005