计算机网络安全问题和对策研究
作者:宋庆大 徐天野
来源:《现代电子技术》2009年第21
        :计算机网络给人们工作生活带来极大便利的同时,也给广大用户带来潜在的隐患和巨大的伤害。如何防范和处理计算机网络的安全问题已成为当前的重要课题。从计算机网络的安全问题入手,初步探讨计算机网络的安全对策。分析了常见的病毒攻击、系统漏洞攻击、欺骗类攻击、黑客攻击等网络攻击方法,探讨访问控制策略、信息加密策略、病毒攻击的应对策略、系统漏洞攻击的应对策略、黑客攻击的应对策略等,并对常规密码算法和公钥密码算法进行了分析。
        关键词:计算机网络;网络安全;网络攻击;对策
        中图分类号:TP309 文献标识码:A
        文章编号:1004-373X(2009)21-093-03
        Security Problems and Countermeasure Research of Computer Network
        SONG Qingda1,LI Dong2,XU Tianye2
        (1.Unit 63898 of PLA,Jiyuan,454650,China;2.Unit 63880 of PLA,Luoyang,471003,China)
        Abstract:The computer network not only brings great conveniences of life,but also to the vast number of potential users of the dangers and enormous harm.How to prevent and deal with the security of computer networks has become an important issue at present.From the computer network security problems,to explore the initial response of computer network security.Analysis of the common viruses,system vulnerability attack,deception attack,hacker attack,such as network attack methods of access control policy,information encryption strategy,virus attacks,reply strategies,the system exploits the reply strategies,hacker attack reply strategies to deal with issues,conventional cryptographic algorithm and public key cryptography algorithm are analyzed.
        Keywords:computer network;network security;network attack;countermeasure
        随着信息技术的发展,计算机网络应用日益广泛,随之而来的安全问题也越来越受到重视。无论是政府、学校还是公司企业,都有系统内部的敏感数据需要保护[1]。而计算机网络具有的联结形式多样性、终端分布不均匀性和网络的互连性、开放性等特征,使网络容易受到黑客、恶意软件等的攻击,所以网络信息的安全和保密是一个非常重要的课题。因此,要确保网络信息的完整性、可用性和保密性,网络的安全措施必须能全方位地应对自身的脆弱性和各种网络威胁。
        1 计算机网络安全问题
        网络安全的威胁主要有三个方面:
        人员的失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
        人为的恶意攻击 这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破
译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
tcp ip协议的安全隐患        网络软件的漏洞和后门各种网络软件都有不同的缺陷和漏洞,正是这些漏洞和缺陷给黑客的攻击提供了方便。软件的后门是软件公司的编程人员为了方便维护而设置的,一旦后门被黑客利用,就会给用户带来不可估量的损失[2]
        2 常见的网络攻击
        2.1 病毒的攻击
        计算机病毒是指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒具有一些共性,如传播性、隐蔽性、破坏性和潜伏性等,同时具有自己的一些个性。
        2.2 系统漏洞攻击
        漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
        网络的基石是TCP/IP协议簇,该协议簇在实现上力求效率,没有考虑安全因素,因为那样无疑增大代码量,从而降低TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。计算机网络缺乏安全策略,配置复杂(访问控制的配置一般十分复杂,很容易被错误配置,从而给黑客以可乘之机),因为这些先天的不足,所以容易被窃听和欺骗[3]
        2.3 欺骗类攻击
        欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中,如果使用伪装的身份与被攻击的主机进行通信,向其发送报文,往往会导致主机出现错误操作,甚至对攻击主机做出信任判断。这时,攻击者可冒充被信任的主机进入系统,而有机会预留后门供以后使用[4]。根据假冒方式的不同,这种攻击可分为:IP欺骗,DNS欺骗,欺骗,源路由欺骗等。
        2.4 黑客攻击
        黑客(hacker)是未经许可的情况下通过技术登录到他人的网络服务器甚至是连接在网络上的主机,并对网络进行一些未经授权的操作的人员。黑客攻击网络的手段是多种多样的,其中包括在Cookie中夹杂黑客代码、隐藏指令、取得网站的控制权、制造缓冲区溢出和种植病毒等,其中特洛伊木马程序技术是最常用的黑客攻击手段。
        3 网络安全问题应对策略
        3.1 访问控制策略
        3.1.1 入网访问控制
        入网访问控制为网络访问提供了第一层访问控制网。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
        3.1.2 网络的权限控制
        网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作[5]
        3.1.3 目录级安全控制
        网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
        3.1.4 属性安全控制
        当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
        3.1.5 网络服务器安全控制
        网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔[6]
        3.1.6 网络监测和锁定控制
        网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。
        3.1.7 网络端口和节点的安全控制
        网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形
式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端,然后用户端和服务器端再进行相互验证。
        3.2 信息加密策略
        信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形的加密算法来具体实施。
        3.3 病毒攻击的应对策略
        在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,需要一个基于服务器操作系统平台的防病毒软件和针对各
种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭[7]。以下是几个具体的反病毒措施:
        (1) 杜绝传染渠道。
        (2) 防止电磁辐射和电磁泄露。不仅可以达到防止计算机信息泄露的目的,而且也可防止电磁辐射式病毒的攻击。
        (3) 定期备份。
        (4) 设置传染对象的属性。
        (5) 不要非法复制别人的软件。
        (6) 开启反病毒软件实时监控功能。
        (7) 从网络下载的各种免费和共享软件要先进行病毒的查杀后再使用。
        (8) 中毒后应先备份后修复。
        3.4 系统漏洞攻击的应对策略
        由于漏洞是系统本身所固有的,因此通过打补丁可以修正存在漏洞的服务器软件,更需要经常留意系统升级的网站。系统的服务有很多,但是针对于某个特定的系统来说,并不是所有的服务都是需要的,而系统开放的服务越多,存在漏洞的几率也就越大。应该根据实际情况关闭不需要的服务,这样不但可以减少隐患,还可以减少系统的资源占用从而提高运行速度。同时,利用防火墙,可以阻隔大多数端口的外部访问,在这些端口上的服务即便是存在漏洞,也不会受到攻击。
        3.5 黑客攻击的应对策略
        3.5.1 防火墙
        利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。