计算机网络安全问题分析

刘彦戎

（陕西国际商贸学院 712046）

0 引言

随着全球信息高速公路的建设，特别是Internet和Internet的发展，网络在各种信息系统中的作用变得越来越重要。网络对整个社会的科技、文化和经济带来了巨大的推动与冲击，同时也带来了许多挑战。随着网络应用的进一步加强，信息共享与信息安全的矛盾日益突出，人们也越来越关心网络安全问题。如何有效地维护好网络系统的安全成为计算机研究与应用中的一个重要课题。

1 计算机网络安全定义

计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏，确保系统能连续、可靠、正常地运行，网络服务不中断。

2 网络面临的威胁

2.1 黑客的攻击

对于大家来说，黑客已经不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展。目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞。因此，系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使黑客攻击的隐蔽性好、“杀伤力”强。

2.2 管理的欠缺

网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90%的IT企业对黑客攻击准备不足。

2.3 网络的缺陷

Internet的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCPIP簇缺乏响应的安全机制，而且Internet最初的设计考虑是该网不会因局域故障而影响信息的传输，基本没有考虑安全问题，因此在安全可靠、服务质量、带宽和方便性等方面存在着不适应。

2.4 软件的漏洞或“后门”

随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免，比如常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、桌面软件等都被发现过存在安全隐患。

2.5 企业网络内部

网络内部用户的误操作、资源滥用和恶意行为令再完善的防火墙也无法抵御。防火墙无法防止来自网络内部的攻击，也无法多网络内部的滥用做出反应。

3 常见的计算机网络攻击方法

3.1 邮件炸弹

电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。

3.2 特洛伊木马

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它会在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3.3 WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过。例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的。

3.4 安全漏洞攻击

许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。

4 计算机网络安全的防范措施

4.1 网络加密技术

信息安全主要包括系统安全及数据安全两方面的内容。系统安全一般采用防火墙、病毒查杀等被动措施，而数据安全则主要是指采用现代密码技术对数据进行主动保护，如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。密码技术是网络安全最有效的技术之一。一个加密网络不但可以防止授权用户的搭线窃听和入网，保护网内的数据、文件、口令和控制信息，而且也是对付恶意软件的有效方法之一。目前对网络加密主要有3种方式：链路加密、节点加密和端点加密。链路加密的目的是保护网络节点之间的链路信息安全；节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护；端点加密的目的是对源端用户到目的端用户的数据提供加密保护。

网络信息的加密过程是由形形色色的加密算法具体实施的，以很小的代价就能提供很牢靠的安全保护。据不完全统计，到目前为止，已经公开发表的各种算法有将近300种。依照国际上的惯例，对加密算法有常见的以下两种分类标准。①私钥加密算法与DES。②公钥加密算法与RSA。

4.2 防火墙技术

在网络中，防火墙是指两个网络之间实现控制策略的系统，用来保护内部的网络不易受带来自Internet的侵害。如果内部网络的用户要上Internet，必须首先连接到防火墙上，从那儿使用Internet。因此，防火墙是一种安全策略的体现。

目前的防火墙技术一般都可以起到以下一些安全作用：集中的网络安全、安全报警、从新部署网络地址转换、监视Internet的使用和向外发布信息。但是，防火墙也有其自身的局限性，无法防范来自防火墙以外的其他途径所进行的攻击；另外，由于防火墙依赖于口令，所以防火墙不能防范黑客对口令的攻击；再次，防火墙也不能防止来自内部用户带来的威胁，也不能解决进入防火墙的数据带来的所有安全问题，如果用户在本地运行了一个包含恶意代码的程序，那么就很可能导致敏感信息的泄漏和破坏。因此，要使防火墙发挥作用，防火墙的策略必须现实，能够反映出整个网络安全的水平。

典型的防火墙系统通常由一个或多个构件组成，相应地，实现防火墙的技术包括4大类：包过滤型防火墙、应用级网关、电路级网关和代理服务器防火墙。这些技术各有所长，具体使用哪一种或是否混合使用，要根据具体情况而定。

4.3 防病毒技术。

①网络防病毒软件的使用；目前，用于网络的防病毒软件很多，这些防病毒软件可以同时用来检查服务器和工作站的病毒。其中，大多数网络防病毒软件是运行在文件服务器上的。由于局域网中的文件服务器往往不止一个，因此为了方便对服务器上病毒的检查，通常可以将多个文件服务器组织在一个域中，网络管理员只需在域中主服务器上设置扫描方式与扫描选项，就可以检查域中多个文件服务器或工作站是否带有病毒。网络防病毒软件的基本功能是：对文件服务器和工作站进行查毒扫描，发现病毒后立即报警并隔离带毒文件，由网络管理员负责清除病毒。②网络工作站防病毒的方法。网络工作站防病毒可以从以下几个方面入手：一是采用无盘工作站，无盘工作站很容易地控制用户端的病毒入侵问题，但用户在软件上会受到一些限制。二是使用带防病毒芯片的网卡，防病毒芯片的网卡一般是在网卡的远程引导芯片位置插入一块带防病毒软件的EPROM。三是使用单机防病毒卡，单机防病毒卡的核心实际上是一个软件，事先固化在ROM中。单机防病毒卡通过动态驻留内存来监视计算机的运行情况，根据总结出来的病毒行为规则和经验来判断是否有病毒活动，并可以通过截获中断控制权来使用内存中的病毒瘫痪，使其失去传染其他文件和破坏信息资料的能力。

4.4 入侵检测技术

防范网络入侵最常用的方法就是防火墙，防火墙具有简单的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是，防火墙只是一种被动防御性的网路安全工具，仅仅使用防火墙是不够的。于是产生了入侵检测技术。入侵被检测出来的过程包括监测在计算机系统或者网路中发生的事件，再分析处理这些事件。入侵检测系统（IDS）就是使这种监控和分析过程自动化的独立系统，既可以是一种安全软件，也可以是硬件。IDS能够检测未授权对象针对系统的入侵企图或行为，同时监控授权对象对系统资源的非法操作。IDS对入侵的检测通常包括以下几个部分。对系统的不同环节收集信息；分析该信息，试图寻找入侵活动的特征；自动对检测到的行为做出响应；记录并报告检测过程结果。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足，从某种意义上说是防火墙的补充。

5 总结

总之，计算机网络技术已深入到社会各个领域，人类社会各种活动对计算机网络的依赖程度已经越来越大，增强社会安全意识教育，普及计算机网络安全教育，提高计算机网络安全技术水平，改善其安全现状，成为当务之急。

[1]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社。

[2]张仕斌.网络安全技术[M].清华大学出版社。

[3]周舸.计算机网络应用技术.人民邮电出版社。