1、1刍议计算机网络安全摘 要:作者根据多年工作经验对计算机网络安全问题进行了阐述,并提出相关对策,仅供同行参考。 关键词:计算机网络;网络安全;网络攻击;对策 1 计算机网络安全问题 网络安全的威胁主要有三个方面: 人员的失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 人为的恶意攻击,这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获
2、、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。 2 常见的网络攻击 2.1 病毒的攻击 计算机病毒是指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒具有一些共性,如传播性、隐蔽性、破坏性和潜伏性等,同时具有2自己的一些个性。 2.2 系统漏洞攻击 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 网络的基石是 TCP/IP 协议簇,该协议簇在实现上力求效率,没有考虑安全因素,因为那样无疑增大代码量,从而降低 TCP
3、/IP 的运行效率,所以说 TCP/IP 本身在设计上就是不安全的。计算机网络缺乏安全策略,配置复杂(访问控制的配置一般十分复杂,很容易被错误配置,从而给黑客以可乘之机) ,因为这些先天的不足,所以容易被窃听和欺骗。 2.3 欺骗类攻击 欺骗类攻击主要是利用 TCP/IP 协议自身的缺陷发动攻击。在网络中,如果使用伪装的身份与被攻击的主机进行通信,向其发送报文,往往会导致主机出现错误操作,甚至对攻击主机做出信任判断。这时,攻击者可冒充被信任的主机进入系统,而有机会预留后门供以后使用。根据假冒方式的不同,这种攻击可分为:IP 欺骗,DNS 欺骗,电子邮件欺骗,源路由欺骗等。 3 网络安全问题应对
4、策略 3.1 访问控制策略 3.1.1 入网访问控制 入网访问控制为网络访问提供了第一层访问控制网。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 33.1.2 网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作。 3.1.3 目录级安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
5、 3.1.4 属性安全控制 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。 3.1.5 网络服务器安全控制 网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。 3.1.6 网络监测和锁定控制 网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。 3.2 信息加密策略 4信息加密的目的是保护网内的数据、文
6、件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施。 3.3 病毒攻击的应对策略 在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软
7、件,加强上网计算机的安全。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。以下是几个具体的反病毒措施: (1)杜绝传染渠道。 (2)防止电磁辐射和电磁泄露。不仅可以达到防止计算机信息泄露的目的,而且也可防止“电磁辐射式“病毒的攻击。 (3)定期备份。 (4)设置传染对象的属性。 (5)不要非法复制别人的软件。 5(6)开启反病毒软件“实时监控”功能。 (7)从网络下载的各种免费和共享软件要先进行病毒的查杀后再使用。 (8)中毒后应先备份后修复。 3.4 系统漏洞攻击的应对
8、策略 由于漏洞是系统本身所固有的,因此通过“打补丁”可以修正存在漏洞的服务器软件,更需要经常留意系统升级的网站。系统的服务有很多,但是针对于某个特定的系统来说,并不是所有的服务都是需要的,而系统开放的服务越多,存在漏洞的几率也就越大。应该根据实际情况关闭不需要的服务,这样不但可以减少隐患,还可以减少系统的资源占用从而提高运行速度。同时,利用防火墙,可以阻隔大多数端口的外部访问,在这些端口上的服务即便是存在漏洞,也不会受到攻击。 3.5 黑客攻击的应对策略 3.5.1 防火墙 利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒
9、之门外,最大限度地阻止网络中的黑客来访问自己的网络。 3.5.2 入侵检测 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,6以保护系统的安全。采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。 3.6 网络安全管理策略 在多数情况下,信息加密是保证信息机密性的惟一方法。如果按照收发双方密钥是否相同来分类,可以将这些加密算
10、法分为常规密码算法和公钥密码算法。 3.6.1 常规密码算法 收信方和发信方使用相同的密钥,其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。 4 结 语 总之,网络安全是一个很大的系统工程。由于网络的共享性和通信的安全缺陷,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立更加有效的网络安全防范体系就更为迫切。 参 考 文 献 1林涛.网络安全与管理M.北京:电子工业出版社,2005. 2王文寿,王珂.网管员必备宝典M.北京:清华大学出版社,2007. 3杨华杰,张尧学,王晓辉,等.一种基于透明计算的远程启动协议 MRBP2 J.小型微型计算机系统,2006,27(9):1 657-1 660.