计算机网络安全问题和对策研究

宋庆大 李 冬 徐天野

摘 要:计算机网络给人们工作生活带来极大便利的同时,也给广大用户带来潜在的隐患和巨大的伤害。如何防范和处理计算机网络的安全问题已成为当前的重要课题。从计算机网络的安全问题入手,初步探讨计算机网络的安全对策。分析了常见的病毒攻击、系统漏洞攻击、欺骗类攻击、黑客攻击等网络攻击方法,探讨访问控制策略、信息加密策略、病毒攻击的应对策略、系统漏洞攻击的应对策略、黑客攻击的应对策略等,并对常规密码算法和公钥密码算法进行了分析。

关键词:计算机网络;网络安全;网络攻击;对策

中图分类号:TP309 文献标识码:A

文章编号:1004-373X(2009)21-093-03

Security Problems and Countermeasure Research of Computer Network

SONG Qingda1,LI Dong2,XU Tianye2

(1.Unit 63898 of PLA,Jiyuan,454650,China;2.Unit 63880 of PLA,Luoyang,471003,China)

Abstract:The computer network not only brings great conveniences of life,but also to the vast number of potential users of the dangers and enormous harm.How to prevent and deal with the security of computer networks has become an important issue at present.From the computer network security problems,to explore the initial response of computer network security.Analysis of the common viruses,system vulnerability attack,deception attack,hacker attack,such as network attack methods of access control policy,information encryption strategy,virus attacks,reply strategies,the system exploits the reply strategies,hacker attack reply strategies to deal with issues,conventional cryptographic algorithm and public key cryptography algorithm are analyzed.

Keywords:computer network;network security;network attack;countermeasure

随着信息技术的发展,计算机网络应用日益广泛,随之而来的安全问题也越来越受到重视。无论是政府、学校还是公司企业,都有系统内部的敏感数据需要保护[1]。而计算机网络具有的联结形式多样性、终端分布不均匀性和网络的互连性、开放性等特征,使网络容易受到黑客、恶意软件等的攻击,所以网络信息的安全和保密是一个非常重要的课题。因此,要确保网络信息的完整性、可用性和保密性,网络的安全措施必须能全方位地应对自身的脆弱性和各种网络威胁。

1 计算机网络安全问题

网络安全的威胁主要有三个方面:

人员的失误 如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

人为的恶意攻击 这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。

网络软件的漏洞和“后门” 各种网络软件都有不同的缺陷和漏洞,正是这些漏洞和缺陷给黑客的攻击提供了方便。软件的“后门”是软件公司的编程人员为了方便维护而设置的,一旦“后门”被黑客利用,就会给用户带来不可估量的损失[2]。

2 常见的网络攻击

2.1 病毒的攻击

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能和数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒具有一些共性,如传播性、隐蔽性、破坏性和潜伏性等,同时具有自己的一些个性。

2.2 系统漏洞攻击

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。

网络的基石是TCP/IP协议簇,该协议簇在实现上力求效率,没有考虑安全因素,因为那样无疑增大代码量,从而降低TCP/IP的运行效率,所以说TCP/IP本身在设计上就是不安全的。计算机网络缺乏安全策略,配置复杂(访问控制的配置一般十分复杂,很容易被错误配置,从而给黑客以可乘之机),因为这些先天的不足,所以容易被窃听和欺骗[3]。

2.3 欺骗类攻击

欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中,如果使用伪装的身份与被攻击的主机进行通信,向其发送报文,往往会导致主机出现错误操作,甚至对攻击主机做出信任判断。这时,攻击者可冒充被信任的主机进入系统,而有机会预留后门供以后使用[4]。根据假冒方式的不同,这种攻击可分为:IP欺骗,DNS欺骗,电子邮件欺骗,源路由欺骗等。

2.4 黑客攻击

黑客(hacker)是未经许可的情况下通过技术登录到他人的网络服务器甚至是连接在网络上的主机,并对网络进行一些未经授权的操作的人员。黑客攻击网络的手段是多种多样的,其中包括在Cookie中夹杂黑客代码、隐藏指令、取得网站的控制权、制造缓冲区溢出和种植病毒等,其中特洛伊木马程序技术是最常用的黑客攻击手段。

3 网络安全问题应对策略

3.1 访问控制策略

3.1.1 入网访问控制

入网访问控制为网络访问提供了第一层访问控制网。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。

3.1.2 网络的权限控制

网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行哪些操作[5]。

3.1.3 目录级安全控制

网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。

3.1.4 属性安全控制

当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。

3.1.5 网络服务器安全控制

网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔[6]。

3.1.6 网络监测和锁定控制

网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。

3.1.7 网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端,然后用户端和服务器端再进行相互验证。

3.2 信息加密策略

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施。

3.3 病毒攻击的应对策略

在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭[7]。以下是几个具体的反病毒措施:

(1) 杜绝传染渠道。

(2) 防止电磁辐射和电磁泄露。不仅可以达到防止计算机信息泄露的目的,而且也可防止“电磁辐射式”病毒的攻击。

(3) 定期备份。

(4) 设置传染对象的属性。

(5) 不要非法复制别人的软件。

(6) 开启反病毒软件“实时监控”功能。

(7) 从网络下载的各种免费和共享软件要先进行病毒的查杀后再使用。

(8) 中毒后应先备份后修复。

3.4 系统漏洞攻击的应对策略

由于漏洞是系统本身所固有的,因此通过“打补丁”可以修正存在漏洞的服务器软件,更需要经常留意系统升级的网站。系统的服务有很多,但是针对于某个特定的系统来说,并不是所有的服务都是需要的,而系统开放的服务越多,存在漏洞的几率也就越大。应该根据实际情况关闭不需要的服务,这样不但可以减少隐患,还可以减少系统的资源占用从而提高运行速度。同时,利用防火墙,可以阻隔大多数端口的外部访问,在这些端口上的服务即便是存在漏洞,也不会受到攻击。

3.5 黑客攻击的应对策略

3.5.1 防火墙

利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络。

3.5.2 入侵检测

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全[8]。采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。

3.5.3 加密型网络安全技术

通常网络系统安全保障的实现方法可以分为两大类:以防火墙技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障系统。以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的,是对网络服务影响较小的一种途径,并可望成为网络安全问题最终的一体化解决途径。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流[9]。只有指定的用户或网络设备才能够解译加密数据,从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构的支持,因而实施代价主要体现在软件的开发和系统运行维护等方面。这类方法在数据传输过程中不对所经过的网络路径的安全程度作要求,从而真正实现网络通信过程的端到端的安全保障。

3.6 网络安全管理策略

在多数情况下,信息加密是保证信息机密性的惟一方法。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。

3.6.1 常规密码算法

收信方和发信方使用相同的密钥,其优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。

3.6.2 公钥密码

收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。其优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便地实现数字签名和验证,但其算法复杂、加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,以确保信息安全[10]。

在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

4 结 语

总之,网络安全是一个很大的系统工程。由于网络的共享性和通信的安全缺陷,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立更加有效的网络安全防范体系就更为迫切。

参考文献

[1]林涛.网络安全与管理[M].北京:电子工业出版社,2005.

[2]王文寿,王珂.网管员必备宝典[M].北京:清华大学出版社,2007.

[3]王群.非常网管——网络安全[M].北京:人民邮电出版社,2007.

[4]杨华杰,张尧学,王晓辉,等.一种基于透明计算的远程启动协议MRBP2 [J].小型微型计算机系统,2006,27(9):1 657-1 660.

[5]谢希仁.计算机网络[M].北京:电子工业出版社,2006.

[6]许治坤,王伟,郭添森,等.网络渗透技术[M].北京:电子工业出版社,2005.

[7]司天歌,刘铎,戴一奇.安全的基于网络的计算机系统[J].清华大学学报:自然科学版,2007,47(7):1 220-1 223.

[8]王钧,张庆伟.网络银行的安全与管理[J].焦作大学学报,2007(4):86-87.

[9]吴渊.计算机网络[M].北京:清华大学出版社,2006.

[10]郑坚,谢忠东.计算机网络及安全[M].北京:机械工业出版社,2005.

作者简介 宋庆大 男,1981年出生,江苏睢宁人,工程师。研究方向为信息对抗技术。

李 冬 男,1976年出生,河南南阳人,硕士,高工。研究方向为指挥控制。

徐天野 男,1985年出生,辽宁锦州人,工程师。研究方向为通信技术。