計算機網絡安全問題分析

王先義

摘 要 網絡信息的飛速發(fā)展給人類社會帶來巨大的推動與沖擊，同時也產生了網絡系統(tǒng)安全問題。計算機網絡的安全問題越來越受到人們的重視，由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征，致使網絡信息容易受到黑客的竊取、計算機系統(tǒng)容易受惡意軟件攻擊，因此，計算機網絡信息資源的安全成為一個重要的話題。

關鍵詞 計算機 網絡安全性 防火墻

中圖分類號：TP393.08 文獻標識碼：A

隨著信息技術的飛速發(fā)展，網絡及網絡信息安全技術已經影響到社會的政治、經濟、文化和軍事等各個領域。以網絡方式獲取和傳播信息已成為現代信息社會的重要特征之一。但隨之而來的是，計算機網絡安全也受到全所未有的威脅，計算機病毒無處不在，黑客的猖獗，都防不勝防。因此，網絡安全必須有足夠強的安全保護措施，確保網絡信息的安全，完整和可用。

1 計算機網絡安全定義

計算機網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網絡服務不中斷。

2 常見的計算機網絡攻擊方法

（1） 郵件炸彈。電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。

（2）特洛伊木馬。特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它會在計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當您連接到因特網上時，這個程序就會通知攻擊者，來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的。

（3）WWW的欺騙技術。在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問，然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網頁已經被黑客篡改過。例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用戶瀏覽目標網頁的時候，實際上是向黑客服務器發(fā)出請求，那么黑客就可以達到欺騙的目的。

（4） 安全漏洞攻擊。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應用軟件本身具有的，如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進入不穩(wěn)定狀態(tài)。

（5）過載攻擊。過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

（6）網絡監(jiān)聽。網絡監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而攻擊者就能在兩端之間進行數據監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網絡監(jiān)聽工具（如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等）就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網絡監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網段的所有用戶帳號及口令。

3 計算機網絡安全的防范措施

（1）網絡加密技術。密碼技術是網絡安全最有效的技術之一。一個加密網絡不但可以防止授權用戶的搭線竊聽和入網，保護網內的數據、文件、口令和控制信息，而且也是對付惡意軟件的有效方法之一。目前對網絡加密主要有3種方式：鏈路加密、節(jié)點加密和端點加密。鏈路加密的目的是保護網絡節(jié)點之間的鏈路信息安全；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護；端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護。

網絡信息的加密過程是由形形色色的加密算法具體實施的，以很小的代價就能提供很牢靠的安全保護。據不完全統(tǒng)計，到目前為止，已經公開發(fā)表的各種算法有將近300種。依照國際上的慣例，對加密算法有常見的以下兩種分類標準：①私鑰加密算法與DES。②公鑰加密算法與RSA。

（2）防火墻技術。在網絡中，防火墻是指兩個網絡之間實現控制策略的系統(tǒng)，用來保護內部的網絡不易受帶來自Internet的侵害。因此，防火墻是一種安全策略的體現。目前的防火墻技術一般都可以起到以下一些安全作用：集中的網絡安全、安全報警、從新部署網絡地址轉換、監(jiān)視Internet的使用和向外發(fā)布信息。典型的防火墻系統(tǒng)通常由一個或多個構件組成，相應地，實現防火墻的技術包括4大類：包過濾型防火墻、應用級網關、電路級網關和代理服務器防火墻。這些技術各有所長，具體使用哪一種或是否混合使用，要根據具體情況而定。

（3）防病毒技術。網絡中的系統(tǒng)可能會受到多種病毒威脅，對于此可以采用多層的病毒防衛(wèi)體系。即在每臺計算機，每臺服務器以及網關上安裝相關的防病毒軟件。由于病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，故相應地在構建網絡防病毒系統(tǒng)時，應用全方位的企業(yè)防毒產品，實施層層設防、集中控制、以防為主、防殺結合的策略。

（4）數據庫的備份與恢復。數據庫的備份與恢復是數據庫管理員維護數據安全性和完整性的重要操作。備份是恢復數據庫最容易和最能防止意外的保證方法?；謴褪窃谝馔獍l(fā)生后利用備份來恢復數據的操作。有三種主要備份策略：只備份數據庫、備份數據庫和事務日志、增量備份。

（5）入侵檢測技術。防范網絡入侵最常用的方法就是防火墻，防火墻具有簡單的特點，并且透明度高，可以在不修改原有網絡應用系統(tǒng)的情況下達到一定的安全要求。但是，防火墻只是一種被動防御性的網路安全工具，僅僅使用防火墻是不夠的。于是產生了入侵檢測技術。入侵被檢測出來的過程包括監(jiān)測在計算機系統(tǒng)或者網路中發(fā)生的事件，再分析處理這些事件。入侵檢測系統(tǒng)（IDS）就是使這種監(jiān)控和分析過程自動化的獨立系統(tǒng)，既可以是一種安全軟件，也可以是硬件。IDS能夠檢測未授權對象針對系統(tǒng)的入侵企圖或行為，同時監(jiān)控授權對象對系統(tǒng)資源的非法操作。IDS對入侵的檢測通常包括以下幾個部分：對系統(tǒng)的不同環(huán)節(jié)收集信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為做出響應；記錄并報告檢測過程結果。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。

（6）智能卡技術。數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼與內部網絡服務器處注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密性能還是相當有效的。

總之，計算機網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大。增強社會安全意識教育，普及計算機網絡安全教育，提高計算機網絡安全技術水平，改善其安全現狀，成為當務之急。

參考文獻

[1] 謝希仁.計算機網絡（第4版）[M].北京：電子工業(yè)出版社.

[2] 張仕斌.網絡安全技術[M].清華大學出版社.

[3] 朱理森，張守連.計算機網絡應用技術[M].北京：專利文獻出版社.