摘 要:我们生活的世界已经全面进入了网络时代。据中国互联网络信息中心(CNNIC)发布的数据显示,截止2009年上半年,我国的网名人数已逾3亿,并且依然在以很快的速度增长。与此同时,网络系统安全威胁也在与日俱增,危险系数不断增大,如网络钓鱼、病毒、木马等网络安全隐患的存在,给越来越多的网名造成了时间甚至金钱的巨大浪费与损失。本文将从计算机网络系统着手分析,讨论有关计算机网络系统的安全维护问题。
关键词:计算机网络;系统维护;网络安全
计算机网络系统是利用通信设备和线路,将地理位置不同、功能独立的多个计算机系统互联起来,以功能完善的网络软件实现网络中资源共享和信息传递的系统。这个系统是由网络硬件和网络软件组成的。这个环境中的任何一个部分出现问题或者受到攻击、病毒感染,都有可能造成计算机网络系统的安全威胁。
一、何为计算机网络系统安全
计算机网络系统安全主要包括三个方面的内容:安全性、保密性、完整性。从系统安全的内容出发,计算机网络系统中安全机制基本的任务是访问控制:即授权、确定访问权限、实施访问权限、计算机网络审计跟踪。
(一)计算机网络系统的安全性。它主要是指内部与外部安全。内部安全是在系统的软件、硬件及周围的设施中实现的。外部安全主要是人事安全,是对某人参与计算机网络系统工作和这位工作人员接触到的敏感信息是否值得信赖的一种审查过程。
(二)计算机网络系统的保密性。加密是对传输过程中的数据进行保护的重要方法,又是对存储在各种媒体上的数据加以保护的一种有效的手段。系统安全是我们的最终目标,而加密是实现这一目标的有效的手段。
(三)计算机网络系统的完整性。完整性技术是保护计算机网络系统内软件(程序)与数据不被非法删改的一种技术手段,它可分为数据完整性和软件完整性。
二、计算机网络系统安全维护的内容
(一)对计算机病毒的防、治
1、安装防毒软件:鉴于现今病毒无孔不入,安装一套防毒软件很有必要,并且定期对杀毒软件进行更新,定期对电脑进行病毒查杀。
2、注意软盘、光盘媒介:在使用软盘、光盘或活动硬盘其他媒介之前,一定要对 之进行扫描,不怕一万,就怕万一。
3、下载注意点:下载一定要从比较可靠的站点进行,对于互联网上的文档与电子 邮件,下载后也须不厌其烦做病毒扫描。
4、使用基于客户端的防火墙或过滤措施,以增强计算机对黑客和恶意代码的攻击 的免疫力。
5、警惕欺骗性或文告性的病毒。这类病毒利用了人性的弱点,以子虚乌有的说辞 来打动你,记住,天下没有免费的午餐,一旦发现,尽快删除。更有病毒伪装成杀毒软件骗人。
(二)对网络黑客的防范
首先来介绍一下网络黑客攻击的过程
1、信息收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:
(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。
(2)SNMP协议 用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。
(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。
(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。
(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后,黑客们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞,主要探测的方式如下:
(1)自编程序:对某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序,那么途涂梢宰约罕嘈匆欢纬绦蚪氲礁孟低辰衅苹怠?br /> (2)慢速扫描:由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
(3)体系结构探测:黑客利用一些特殊的数据包传送给目标主机,使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的,屠谜庵痔卣靼训玫降慕峁胱急负玫氖菘庵械淖柿舷喽哉眨又斜憧汕岫拙俚嘏卸铣瞿勘曛骰僮飨低乘玫陌姹炯捌渌喙匦畔ⅰ?br /> (4)利用公开的工具软件像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描,寻找安全方面的漏洞。
3、建立模拟环境,进行模拟攻击
根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。
4、具体实施网络攻击
入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。
为了防止拒绝服务攻击,我们可以采取以下的预防措施:
1、建议在该网段的路由器上做些配置的调整,这些调整包括限制syn半开数据包的流量和个数。
2、要防止syn数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。
3、建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
4、对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面的限制,控制其在一定的范围内。
参考文献:
[1]钱蓉.黑客行为与网络安全.电力机车技术,2002. 1. 25.
[2]张耀南、安学敏、张旭,科技网兰州网络的安全分析与实现2007.10.