芻議計算機網(wǎng)絡安全

1、<p><b>　　芻議計算機網(wǎng)絡安全</b></p><p>　　摘 要：作者根據(jù)多年工作經(jīng)驗對計算機網(wǎng)絡安全問題進行了闡述，并提出相關對策，僅供同行參考。 </p><p>　　關鍵詞：計算機網(wǎng)絡；網(wǎng)絡安全；網(wǎng)絡攻擊；對策 </p><p>　　1 計算機網(wǎng)絡安全問題 </p><p>　　網(wǎng)絡安全的威脅主

2、要有三個方面： </p><p>　　人員的失誤 如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。 </p><p>　　人為的惡意攻擊，這是計算機網(wǎng)絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類

3、是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。 </p><p>　　2 常見的網(wǎng)絡攻擊 </p><p>　　2.1 病毒的攻擊 </p><p>　　計算機病毒是指編制或在計算機程序中插入的破壞計算機功能和數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或

4、者程序代碼。病毒具有一些共性，如傳播性、隱蔽性、破壞性和潛伏性等，同時具有自己的一些個性。 </p><p>　　2.2 系統(tǒng)漏洞攻擊 </p><p>　　漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。 </p><p>　　網(wǎng)絡的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，沒有考慮安全因

5、素，因為那樣無疑增大代碼量，從而降低TCP/IP的運行效率，所以說TCP/IP本身在設計上就是不安全的。計算機網(wǎng)絡缺乏安全策略，配置復雜（訪問控制的配置一般十分復雜，很容易被錯誤配置，從而給黑客以可乘之機），因為這些先天的不足，所以容易被竊聽和欺騙。 </p><p>　　2.3 欺騙類攻擊 </p><p>　　欺騙類攻擊主要是利用TCP/IP協(xié)議自身的缺陷發(fā)動攻擊。在網(wǎng)絡中，如果使用偽

6、裝的身份與被攻擊的主機進行通信，向其發(fā)送報文，往往會導致主機出現(xiàn)錯誤操作，甚至對攻擊主機做出信任判斷。這時，攻擊者可冒充被信任的主機進入系統(tǒng)，而有機會預留后門供以后使用。根據(jù)假冒方式的不同，這種攻擊可分為：IP欺騙，DNS欺騙，電子郵件欺騙，源路由欺騙等。 </p><p>　　3 網(wǎng)絡安全問題應對策略 </p><p>　　3.1 訪問控制策略 </p><p>

7、　　3.1.1 入網(wǎng)訪問控制 </p><p>　　入網(wǎng)訪問控制為網(wǎng)絡訪問提供了第一層訪問控制網(wǎng)。它控制哪些用戶能夠登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。 </p><p>　　3.1.2 網(wǎng)絡的權(quán)限控制 </p><p>　　網(wǎng)絡的權(quán)限控制是針對網(wǎng)絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡控制用戶

8、和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設備能夠執(zhí)行哪些操作。 </p><p>　　3.1.3 目錄級安全控制 </p><p>　　網(wǎng)絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。 </p><p>　　3.1.4 屬性安全控制 &

9、lt;/p><p>　　當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。 </p><p>　　3.1.5 網(wǎng)絡服務器安全控制 </p><p>　　網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、

10、非法訪問者檢測和關閉的時間間隔。 </p><p>　　3.1.6 網(wǎng)絡監(jiān)測和鎖定控制 </p><p>　　網(wǎng)絡管理員應對網(wǎng)絡實施監(jiān)控，服務器應記錄用戶對網(wǎng)絡資源的訪問，對非法的網(wǎng)絡訪問，服務器應以圖形、文字或聲音等形式報警，以引起網(wǎng)絡管理員的注意。 </p><p>　　3.2 信息加密策略 </p><p>　　信息加密的目的是保護網(wǎng)內(nèi)

11、的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施。 </p><p>　　3.3 病毒攻擊的應對策略 </p

12、><p>　　在網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品，需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關的防病毒軟件，加強上網(wǎng)計算機的安全。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使

13、網(wǎng)絡免受病毒的侵襲。以下是幾個具體的反病毒措施： </p><p>　?。?）杜絕傳染渠道。 </p><p>　　（2）防止電磁輻射和電磁泄露。不僅可以達到防止計算機信息泄露的目的，而且也可防止“電磁輻射式“病毒的攻擊。 </p><p><b>　?。?）定期備份。 </b></p><p>　?。?）設置傳染對象的

14、屬性。 </p><p>　?。?）不要非法復制別人的軟件。 </p><p>　?。?）開啟反病毒軟件“實時監(jiān)控”功能。 </p><p>　?。?）從網(wǎng)絡下載的各種免費和共享軟件要先進行病毒的查殺后再使用。 </p><p>　?。?）中毒后應先備份后修復。 </p><p>　　3.4 系統(tǒng)漏洞攻擊的應對策略 &

15、lt;/p><p>　　由于漏洞是系統(tǒng)本身所固有的，因此通過“打補丁”可以修正存在漏洞的服務器軟件，更需要經(jīng)常留意系統(tǒng)升級的網(wǎng)站。系統(tǒng)的服務有很多，但是針對于某個特定的系統(tǒng)來說，并不是所有的服務都是需要的，而系統(tǒng)開放的服務越多，存在漏洞的幾率也就越大。應該根據(jù)實際情況關閉不需要的服務，這樣不但可以減少隱患，還可以減少系統(tǒng)的資源占用從而提高運行速度。同時，利用防火墻，可以阻隔大多數(shù)端口的外部訪問，在這些端口上的服務即便

16、是存在漏洞，也不會受到攻擊。 </p><p>　　3.5 黑客攻擊的應對策略 </p><p>　　3.5.1 防火墻 </p><p>　　利用防火墻，在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡。 </p><p>　　3.

17、5.2 入侵檢測 </p><p>　　入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。采用入侵檢測技術，最好采用混合入侵檢測，在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體

18、的主動防御體系。 </p><p>　　3.6 網(wǎng)絡安全管理策略 </p><p>　　在多數(shù)情況下，信息加密是保證信息機密性的惟一方法。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。 </p><p>　　3.6.1 常規(guī)密碼算法 </p><p>　　收信方和發(fā)信方使用相同的密鑰，其優(yōu)點是有很強的保

19、密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。 </p><p><b>　　4 結(jié) 語 </b></p><p>　　總之，網(wǎng)絡安全是一個很大的系統(tǒng)工程。由于網(wǎng)絡的共享性和通信的安全缺陷，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡受到的安全攻擊非常嚴重，因此建立更加有效的網(wǎng)絡安全防范體系就更為迫切。 <

20、;/p><p><b>　　參 考 文 獻 </b></p><p>　　[1]林濤.網(wǎng)絡安全與管理[M].北京：電子工業(yè)出版社，2005. </p><p>　　[2]王文壽，王珂.網(wǎng)管員必備寶典[M].北京：清華大學出版社，2007. </p><p>　　[3]楊華杰，張堯?qū)W，王曉輝，等.一種基于透明計算的遠程啟動協(xié)議