计算机网络安全面临的问题及应对措施

何远纲，赵鹏飞，夏志平

(1.重庆电力高等专科学校，重庆400053;2.四川大学职业技能学院，四川成都610200;3.四川省长赤中学，四川巴中636630)

0 引言

随着计算机技术与网络技术的高速发展，计算机网络已经渗透到各行各业，成了现代人工作与生活中不可分离的帮手，有效地提升了工作效率与生活水平。但是由于计算机网络自身是一个开放系统，每时每刻都面临着病毒及黑客的攻击，因此计算机网络的安全问题一直是一个相当严峻的问题。

1 网络安全概述

网络安全不是一门单一知识，而是一门综合性学科，其中包括信息安全技术、计算机科学、通信技术、信息论及数论等多种学科的综合。主要是保护网络系统中的软硬件及其他使用到的系统数据，保障这些数据不受到恶意攻击，确保这些系统数据能够正常运行，网络服务不被中断。

随着网络使用越来越普及，人们对网络安全的认识有了新发展。例如站在个人以及企业各个角度来分析，使用者肯定不希望自己个人隐私或者商业信息被泄露出去，都希望网络安全具备真实性、完整性以及机密性，担心出现窃听、抵赖以及冒充等各种不安全手段泄露隐私。因此，网络安全的内容在日益扩大。

2 影响网络安全的主要因素

2.1 常见的问题

2.1.1 软件漏洞

任何操作系统或者网络软件都可能存在这样那样的缺陷及漏洞，就是这些缺陷与漏洞为病毒及黑客打开了一扇大门，让计算机在网络中处于危险之地，成为众矢之的。从实际情况的分析发现，如果安全问题源自于网络系统自身，问题大都是该系统中存在漏洞造成。这些漏洞源自于软硬件以及各种协议，或者系统自身安全措施上存在缺陷。一旦计算机网络的安全控制出现可趁之机，攻击者就会通过网络系统漏洞获取管理员权限，进而对网络系统设置进行修改，为用户造成许多不良影响，并且通常在日志记录中不会有相应日志，而且也查不出什么证据。事实上，编写软件的人员为了便于维护，都会在软件中设置“后门”。但是使用者毕竟不是专业人员，很多人不会想到网络系统后门的存在，因此，一旦黑客通过后门恶意进入网络系统，极易穿过防火墙限制，用户也不易发现，因而，后门成为了网络系统安全隐患之一。

2.1.2 TCP/IP具备脆弱性

TCP/IP协议是国际互联网络的基础，但是协议并没有考虑到网络安全性的问题。而且该协议的大多数内容都是公开的，假如有人想当熟悉TCP/IP协议，就能够采用一定技术，利用其安全缺陷，通过网络进行攻击。比如黑客要攻击某人的电脑，就会通过相应软件跟踪查询其联网的TCP/IP地址，进而实现入侵目的。

2.1.3 网络结构具备不安全性

如今使用的因特网属于网间网技术，这种技术是许多个局域网共同形成一个较大的网络。当一台主机与其他局域网主机实施通信之时，彼此之间的数据必须经过许多个机器进行重重转发。如果黑客掌控了传输数据流的某台主机，就能够劫持传输的各个数据包。

2.1.4 极易被窃听

在网络中大多数的数据流并没有经过加密，可以说这种数据几乎就裸露在人们面前，采用网上的免费工具就能够窃听网上口令、电子邮件及传输文件。

2.1.5 木马

这种木马是由黑客将某种特定动作程序粘附到某合法用户使用的程序中，将该程序代码改变。该合法用户一旦再次使用该程序，必然将黑客所粘附的指令程序同时激活，被激活的代码就会按照黑客意愿去完成任务。这种木马需要较高编程水平，编写的代码具备较高水准，要进行改码都需要一定的权限，这是一种比较高级的攻击手段，一般的网络管理人员极难发现。

2.1.6 病毒

事实上病毒也是一种程序，能够通过计算机间进行传播，每经过一个地方都要感染，并经过复制粘附于到文件之中。病毒具备较强感染性、潜伏性及触发性，而且其破坏性也大。

2.1.7 安全意识不高

网络设置中有很多安全保护屏障，但是很多使用者安全意识较低，根本不关注这些网络设置，导致这些保护措施和没有一样。比如认为防火墙(如图1)的服务器在认证中麻烦，直接采用PPP连接，导致防火墙起不到应有功效。

图1 防火墙的组成

2.1.8 移动存储介质

如今使用移动存储介质十分广泛，比如移动硬盘、U盘等，主要是因为这种介质存储量大、方便小巧、通用性强及易携带等多个特征，使用比较广泛，这会给网络系统信息安全埋下极大隐患。比如有一些人不知道移动硬盘、U盘等移动介质中所删除文件还能够还原，就把曾经存储秘密信息数据的移动介质借给别人，极有可能将数据泄露出去。

2.1.9 黑客攻击

黑客即是没有经过许可就采用技术登陆进别人网络服务器或连接的网络主机，并通过网络实施一些私自操作。随着网络技术的发展，黑客破坏技术也是逐渐增强，不但能够熟练操作各类软件与网络技术，尤其善于发现各种系统漏洞，依据这些漏洞对网路安全造成威胁。

2.2 ARP欺骗问题

2.2.1 ARP欺骗故障的现象

如今，计算机网络中出现的安全事故越来越多，成为了人们关注的重要问题之一，比如有时候打开网页发现IE地址被修改了，网页的页面显示出病毒超链接、网页出错信息等。这些都导致上网速度降低。有时候使用Ping或者是DNS检验其连通性，占有时间不但长，而且会逐渐变慢，有时候还会出现丢包现象。一旦出现了这种现象就要先进行杀毒与安装防火墙，如果不能够解决问题，就要检查源程序是不是被挂木马。如果一切正常，有可能是遇到了ARP欺骗问题。

2.2.2 存在的问题

ARP欺骗大都是在局域网各个硬件上出现的，比如交换机、计算机及路由器等。为了探析ARP欺骗问题，本文就从如下几个角度来分析。

①计算机;对于网络来说，计算机与计算机之间除了连接的硬件之外，都是依靠IP地址实现彼此之间的通信。首先就要把数据封装为IP的数据包，这里面包含了目标IP地址与源IP地址。路由器将数据包通过网络转发到各个不同网络里去。到结点间还应该将数据包封装成数据帧，其中包含了源与目标的MAC地址，并将IP数据包完全封装进去。而ARP且是将IP地址改为MAC地址，源主机主动发出ARP请求，目标主机接受到请求后做出ARP应答，进而做完一个地址解析过程。事实上，计算机里都有ARP缓存表，主要显示着MAC与IP地址之间的对应关系。而且这些表都要通过ARP地址解析所产生出来的协议体现对应关系，在这个过程中就有可能产生了ARP病毒。

②交换机;当每个数据帧传送出去之后，交换机就能够接受到其中的MAC地址，而且还能够将这种地址转发出去。在传送过程中，交换机就能够对地址映射表进行维护，同时对交换机和MAC地址之间端口记录下来。通过所接受的数据帧交换机就能够了解到源MAC地址所在机器处于哪个端口之上，进而对地址映射表进行更新。之后交换机依据该目标MAC地址在映射表中去查找相应端口，查找出来之后，将这个端口复制下来，如果没有查到这个端口，就将该数据帧广播出到所有端口之上。但是在运行中，交换机仅仅使用了地址映射表，而且MAC地址和交换机上的端口也是一对一关系，由此可见交换机上大都不会出现ARP病毒。

③网关;将信息数据包在不同的网段之间进行通信，还需要网关实施转发。对于计算机来说，主机里配置出来的网关就是网段与路由器之接口。网关也就是网络代理服务器，就功能而言，各个局域网基本上都是相同的。主要是依靠ARP缓存表来维护网关，因此要把MAC与IP地址所对应的关系解析出来，就必须要经过ARP协议，运行中极有可能发生ARP病毒。

3 计算机网络安全应对措施

3.1 常见技术措施

3.1.1 身份认证

控制访问的基础就是身份认证，也是防御主动攻击的重要措施。对于身份认证一定要准确无误辨别对方，还要提供双向认证，就是相互证明自己身份。在网络环境下验证身份十分复杂，许多验证方式都已经不再适用了，现在安全性比较高的为USBKEY认证方法，即将软硬件结合起来，极大处理好了易用性与安全性间的矛盾。而且USBKEY属于USB接口硬件设备，用户需要的数字证书或者密钥不需要放进内存，也不用传播在网络上，这样就极大地增加了使用信息的安全性。

3.1.2 控制访问

访问网络之时，不同的访问用户具有不同的信息权限，必须要对这些权限实施控制，进而有效提防出现越权使用现象。普遍采用实时监控，如图2所示。

3.1.3 数据保密

这种措施主要是针对泄露信息的防御措施，也是一种常用确保通信安全手段。但是随着计算机网络技术快速发展，导致传统加密算法不断被破译，只有更高强度加密算法才能够适应需要，比如如今的公开密钥算法、DES算法等。

3.1.4 数据完整性

图2 实时监控

要防范非法篡改文件、信息等最有效措施就是确保数据的完整性。只有这样才不留下缝隙，才不被病毒及黑客等入侵。

3.1.5 加密机制

对于网络上传播的数据最好采用加密，这种方式是如今比较特殊的电子交易模式。现在最为普及的加密方式分为对称加密与非对称加密这两种技术模式。

3.1.6 PKI技术

这种技术采用了公钥的理论与技术结合起来共同构建的安全服务基础。PKI技术中最为核心的部分是信息安全，这也是电子商务中之基础以及关键的技术。采用这种技术对电子商务、电子事务以及电子政务等等活动起到安全保护作用，进一步促进了电子交易的安全。PKI技术正是电子政务、电子商务等使用的密码技术，它有效解决了电子商务使用中的真实性、机密性及完整性等各种安全问题。

3.1.7 入侵检测技术

为了进一步提升网络安全技术，对防火墙可做有效补充(见图3)，那就是增加了入侵检测技术(IDS)(见图4)。采用这种技术能在短时间发现是否存在安全问题，网路是否被攻击，有效地提升了管理人员对网络管理能力，进而增强了信息安全的完整性。

图3 防火墙结合IDS

3.1.8 备份系统

这种方式就是对计算机中使用的数据与系统信息进行备份，能够对发生硬件故障或者人为失误起保护作用。

图4 入侵检测的拓扑图

3.2 防范ARP欺骗

3.2.1 搞好网关防范

在防范ARP欺骗中最为有效的防范之一是网关防范，即，使用绑定IP-MAC地址。将每个计算机IP地址绑定在路由器中，就能够有效阻止路由器再接受其他的IP数据，也就阻止了更新ARP缓存表，起到了对ARP欺骗的防范作用。

3.2.2 搞好计算机防范

对局域网外部做好了防范工作，还必须要严格防范计算机自身。最主要做法就是确保计算机中ARP缓存的数据时时刻刻在正确状态。如今很多管理者都是采用收费或免费ARP防火墙，比如使用60ARP防火墙、金山ARP防火墙等，都可以对ARP病毒有效防范。对于一些难度大的病毒，还能够采用dos指令“ARPd”，清除掉ARP缓存，再采用一些指令对网关静态IP进行绑定，进而防止ARP病毒对计算机网络安全造成影响。

4 结束语

计算机网络的安全运行，是确保其开放性与共享性的基础条件。要从计算机网络安全的技术手段着手，有针对性地对网络存在的潜在威胁进行防范，要提高相关人员的计算机安全意识，尽量减少网络安全技术中存在的问题，保障网络正常运行。

［1］ 王华.浅谈计算机网络安全技术应用［J］.科技经济市场，2010，(9):181-183.

［2］ 全丰菽.计算机网络安全的防范策略分析［J］.信息与电脑，2010，(8):39-42.

［3］ 陈兵，黄继涛，刘超，等.高校计算机病毒的防御与查杀［J］.西南军医，2009，(1):83-85.

［4］ 曹淑芬.网络机房计算机病毒的故障排除及预防［J］.中国新技术新产品，2009，(12):19.

［5］ 曾志军.网络机房对ARP病毒的防范［J］.计算机时代，2008，(6):39-42.

［6］ 杜红霞.网络机房对 ARP病毒的防范［J］.新课程，2009，(5):5-6.