浅析计算机网络安全的现状及对策

科技天地71INTELLIGENCE浅析计算机网络安全的现状及对策吉林省统计局数据管理中心张楠摘要：随着计算机技术和网络技术的发展，网络安全问题，在今天已经成为网络世界里最为人关注的问题之一。文章分析了几种常见的网络入侵方法以及防火墙技术，并结合实际工作探讨了的几点对策。关键词：网络安全现状防火墙防范技术一、计算机网络安全的含义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的机密性、完整性及可使用性受到保护。网络的安全问题实际上包括两方面的内容，一是网络的系统安全，二是网络的信息安全，而保护网络的信息安全是昀终目的。从广义来说，凡是涉及网络上信息的保密性、完整性、可用性、不可否认性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义随观察者角度不同而不同。从网络运行和管理者角度说，希望其网络的访问、读写等操作受到保护和控制，避免出现“后门”、病毒、非法存取、拒绝服务，网络资源非法占用和非法控制等威胁，制止和防御黑客的攻击。对安全保密部门来说，希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，避免给国家造成损失。二、计算机网络安全的现状计算机网络的广泛应用是当今信息社会的一场革命。电子商务和电子政务等网络应用的发展和普及不仅给我们的生活带来了很大的便利，而且正在创造着巨大的财富，以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次也不断深入。与此同时，计算机网络也正面临着日益剧增的安全威胁。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。而每年因计算机病毒导致的经济损失高达220亿欧元，网络安全问题带来的损失由此可见一斑。三、计算机网络中安全产生的原因看看目前互联网的网络安全现状，实在有点让人触目惊心。造成这种局面的原因很多，网络遭受恶意攻击和非法入侵的手段也很多，但是从这些问题产生的根本原因来讲，都与网络的信息传输方式和运行机制密切相关。首先，在网络中，信息是从一台计算机的存储系统流向另一台计算机的存储系统。在整个传输过程中，信息的发送者和接收者只能对发送和接收过程加以控制，而对中间传输过程则无权进行有效的控制。如果信息传输路由中存在不可信或具有攻击者的中继结点机，信息的安全性就会受到严重的威胁。信息可能会被篡改、窃取或伪造，因此计算机网络的信息传输机制本身就存在着一定的安全隐患。其次，计算机网络的运行机制是一种协议机制，不同的节点之间的信息交换是按照事先定义好的协议，通过交换协议数据单元完成的。对于每个节点来说通信即意味着对一系列从网络上到达的协议数据单元进行响应。而按照目前运行的网络协议，协议数据单元并不能保证自身的真实性和完整性。同时，由于协议本身固有的安全漏洞或协议实现中也会产生的安全漏洞，所有这些都会造成网络安全问题。因此，网络协议本身也存在着一定的安全隐患。四、网络攻击和入侵的主要途径及防范对策4.1用户名与口令的破解与防范用户名与口令往往是黑客们昀感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。防范技巧：涉及用户名与口令的程序昀好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予昀小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。4.2　特洛伊木马攻击与防范特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是科技天地72INTELLIGENCE否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。4.3　邮件炸弹攻击与防范电子邮件炸弹是昀古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。4.4　淹没攻击攻击与防范正常情况下，TCP连接建立要经历3次握手的过程，即客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。对付淹没攻击的昀好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。五、防火墙技术5.1防火墙的概述防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，是网络之间执行控制策略的系统，它包括硬件和软件。它是不同网络或网络安全域之间信息的唯一出入口，能根据服务器的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。如果没有防火墙隔离内部与外部网络，内部网络中的结点都会直接暴露给外部网络的所有主机，这样它们就会很容易遭受到外部非法用户的攻击。5.2实现防火墙的主要技术根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、代理型、监测型和双学主机型。5.2.1包过滤型包过滤型防火墙,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。5.2.2代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。5.2.3监测型监测型防火墙技术实际已经超越了昀初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。5.2.4双穴主机防火墙双穴主机防火墙是用服务器主机来实现安全控制功能。网络服务器双穴主机安装多个网卡，分别连接在不同的网络上，从一个网络上收集数据，并且有选择地把收集到的数据传送到另一个网络上，起到中间隔离墙的作用。外部网络和内部网络的用户通过网络服务器双穴主机的共享数据区传输数据，这样保护内部网络不被网络黑客非法攻击和破坏。六、网络检测技术分析人们意识到仅仅依靠防护技术是无法挡住所有攻击，于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击。主要的网络安全检测技术有：6.1入侵检测入侵检测系统（IntrusionDetectionSystem,IDS）是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充，入侵检测技术能够帮助系统对付已知和未知网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。6.2入侵防御入侵防御系统（IntrusionPreventionSystem,IPS）则是一种主动的、积极的入侵防范、阻止系统。IPS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术，IPS的检测功能类似于IDS，防御功能类似于防火墙。IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限；而IPS部署在网络的进出口处，当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IPS就是防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。6.3漏洞扫描漏洞扫描技术是一项重要的主动防范安全技术，它主要通过以下两种方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；通过模拟黑客的攻击手教育战线73INTELLIGENCE物理课教学过程对人才培养的重要作用西安思源学院基础部樊志新摘要：物理学的研究方法和学习过程对人才培养中正确思维习惯的塑造、适应能力的提高、探索和创新能力的培养，以及实际动手能力的锻炼都有着切实有效的推动作用。这种正确的思维习惯会对学生日后的学习和工作会产生深远的影响。研究内容对其它相关学科专业课起着前期铺垫性的知识积淀作用。关键词：研究方法思维习惯人才培养综合素质提高1.引言物理学是一门重要的基础学科，又是当今技术发展的昀主要源泉，物理学的发展对整个人类社会文化都产生了深刻的影响。具体地说：物理学特别是基础物理学，涉及到人们生活的方方法，对目标主机系统进行攻击性的安全漏洞扫描，若模拟攻击成功，则表明目标主机系统存在安全漏洞。七、实际工作中面临的网络安全问题及防范对策7.1实际工作中面临的问题7.1.1网络建设单位、管理人员和技术人员缺乏安全防范意识，从而就不可能采取主动的安全措施加以防范，完全处于被动挨打的位置。7.1.2组织和部门的有关人员对网络的安全现状不明确，不知道或不清楚网络存在的安全隐患，从而失去了防御攻击的先机。7.1.3组织和部门的计算机网络安全防范没有形成完整的、组织化的体系结构，其缺陷给攻击者以可乘之机。7.1.4组织和部门的计算机网络没有建立完善的管理体系，从而导致安全体系和安全控制措施不能充分有效地发挥效能。业务活动中存在安全疏漏，造成不必要的信息泄露，给攻击者以收集敏感信息的机会。7.1.5网络安全管理人员和技术有员缺乏必要的专业安全知识，不能安全地配置和管理网络，不能及时发现已经存在的和随时可能出现的安全问题，对突发的安全事件不能作出积极、有序和有效的反应。7.2实际工作中的防