摘 要:随着计算机科学技术的发展,计算机网络已广泛用于经济、军事、教育等各个领域。因此,计算机的网络安全便成为涉及个人、单位、社会、国家信息安全的重大问题。如何保障网络信息的安全已成为当前人们迫在眉睫需要解决的问题。本文就计算机网络安全技术及相关策略提出了一点粗浅的看法。
关键词:网络安全;互联网;防范
引言
随着互联网技术的快速普及和各种网络应用的不断出现,网络安全已成为国家安全的重要内容,各种网络安全事件不断发生,网络安全威胁从单一的病毒威胁逐渐发展为间谍软件、恶意软件、勒索软件等新的趋势,人员的误操作、自然灾害等危害不断加大,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。为此,现代计算机网络维护已经成为一个重要的课题,必须给予充分的重视。
1 影响计算机网络安全的因素
1.1 软件漏洞
软件漏洞包括以下几个方面:数据库、操作系统及应用软件、TCP/IP协议、网络软件和服务、密码设置等的安全漏洞。这些漏洞一旦遭受电脑病毒攻击,就会带来灾难性的后果。
1.2 人为因素
(1)线路窃听:指利用通信介质的电磁泄露、搭线窃听等手段非法获取网络信息;(2)破坏数据的完整性:指人为删除、修改某些重要数据。(3)干扰系统正常运行:指故意改变系统的正常运行方式。如,减慢系统响应时间,使系统无法得到正常响应等;(4)病毒传播:指通过网络传播病毒。计算机病毒的危害往往令人措手不及,也是企业计算机网络出现问题的主要原因。
1.3 特洛伊木马
提供了用户所不希望的功能,而且这些额外的功能往往是有害的。通常这些程序包含在一段正常的程序中,借以隐藏自己。因为在特洛伊木马程序中包含了一些用户不知道的代码,使得正常程序提供了未授权的功能,可以获取用户口令、读写未授权文件、获取目标机器的所有控制权等。
2 网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。
3网络安全防范措施
3.1 认证
网络认证技术是网络安全技术的重要组成部分之一。认证指的是证实被认证对象是否属实和是否有效的一个过程。其基本思想是通过验证认证对象的属性来达到确认被认证对象是否真实有效的目的。被认证对象的属性可以是口令、数字签名或者象指纹、声音、视网膜这样的生理特征。认证常常被用于通信双方相互确认身份,以保证通信的安全。
3.2 数据加密
密码技术通过加密算法将明文加密为密文进行通信,密文即使被黑客截取也很难破译,然后通过对应解码技术解码密文还原明文。目前已经有几个国际通用的加密技术,在要求高安全性的网络应用中得到了普遍采用,例如电子商务、邮件传输等方面。
3.3 防火墙技术
防火墙的主要作用是有选择地允许外部用户访问防火墙后面的信息,防火墙一般安装在信息系统或内部网络与外部网络之间。内部用户可以通过防火墙访问外部网络。除了能实现网络访问控制外,一个配置合理、管理良好的防火墙还可以防止网络入侵。防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制集成使用;另外,防火墙难于管理和配置,由多个系统组成的防火墙,管理上难免有所疏忽。
3.4 扫描技术
(1)端口扫描技术:一种自动探测本地或远程系统端口开放情况及策略的扫描技术,通过端口扫描可以获取目标系统的开放端口、运行服务等信息。(2)主机扫描技术:通过发送不同类型的ICMP或者TCP、UDP请求,从多方面检测目标主机是否存活的扫描技术。(3)操作系统探测技术:用于探测目标系统所采用的操作系统,它的方法主要有三类:利用系统旗标信息、TCP/IP堆栈指纹、根据开放的端口。
3.5 安全监测系统
如果一个主机的IP与MAC地址与注册表中的记录不相符,系统认为被探测主机属非法接入,将会产生报警信号,并对该主机实施通信干扰。在开始进行探测时,首先确定需要进行探测的IP地址段,以该IP地址为目的地址发送一个探测报文。通过检查是否接收到了回应报文来判断所探测的IP是否处于在线状态。如果收到回应报文,说明存在一个使用该IP的主机处于在线状态,交回应报文中的IP及MAC地址提出并与数据库中合法主机的数据进行对比,如果这些数据不匹配,则认为该主机属于非法接入。
4 结语
总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,才能生成一个高效、通用、安全的网络系统。
参考文献:
[1]戴红,王海泉,黄坚.计算机网络安全[M].电子工业出版社,2004
[2]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001
[3]邵波,王其和.计算机网络安全技术及应用[M].北京:电子工业出版社,2005