塔 娜

（呼倫貝爾學(xué)院計算機科學(xué)與技術(shù)學(xué)院，內(nèi)蒙古 呼倫貝爾 021008）

隨著計算機網(wǎng)絡(luò)技術(shù)的飛躍發(fā)展，計算機網(wǎng)絡(luò)安全成為一個綜合性的課題，涉及技術(shù)、管理、使用等許多方面，如何建立比較安全的網(wǎng)絡(luò)體系，值得我們研究。下面筆者對網(wǎng)絡(luò)攻擊和入侵的主要途徑、計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因、安全防范措施等方面談一下自己的看法。

1 計算機網(wǎng)絡(luò)安全定義

計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。常見的影響網(wǎng)絡(luò)安全的問題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等，這就需要我們建立一套完整的網(wǎng)絡(luò)安全體系來保障網(wǎng)絡(luò)安全可靠地運行。

2 網(wǎng)絡(luò)攻擊和入侵的主要途徑

網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對被攻擊的主機進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

2.1 破譯口令

口令是計算機系統(tǒng)抵御入侵者的一種重要手段。所謂口令入侵是指使用某些合法用戶的口令登錄到目的主機，然后再實施攻擊活動。這種攻擊的前提是必須先得到該主機上的某個合法用戶的賬號，然后再進(jìn)行合法用戶口令的破解。

2.2 IP欺騙

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達(dá)到蒙混過關(guān)的目的。它只能對某些特定的運行TCP/IP的計算機進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。入侵者假冒被入侵主機的信任主機與被入侵主機進(jìn)行連接，并對被入侵主機所信任的主機發(fā)起攻擊，使被信任的主機陷入癱瘓。當(dāng)主機正在進(jìn)行遠(yuǎn)程服務(wù)時，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。同一網(wǎng)絡(luò)的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計算機彼此可以不進(jìn)行地址認(rèn)證而執(zhí)行遠(yuǎn)程操作，這就給攻擊者創(chuàng)造了機會。

2.3 DNS欺騙

域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機名字和IP地址之間的轉(zhuǎn)換信息。通常，網(wǎng)絡(luò)用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口“監(jiān)聽”，并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議容易被網(wǎng)絡(luò)攻擊者利用。當(dāng)攻擊者危害 DNS服務(wù)器并明確地更改主機名——IP地址映射表時，DNS欺騙就會發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而，當(dāng)一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網(wǎng)絡(luò)上的主機都信任DNS服務(wù)器，所以一個被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器上。

3 計算機網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因

3.1 TCP/IP的脆弱性

因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

3.2 網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機和另一局域網(wǎng)的主機進(jìn)行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

3.3 易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。

3.4 缺乏安全意識

雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。

4 安全防范措施

網(wǎng)絡(luò)信息安全涉及方方面面的問題，是一個復(fù)雜的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括3類措施：一是法律政策、規(guī)章制度及安全教育等外部軟環(huán)境。二是技術(shù)方面，如信息加密存儲傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施，包括技術(shù)與社會措施。主要措施有：提供實時改變安全策略的能力、實時監(jiān)控企業(yè)安全狀態(tài)、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然。這三者缺一不可，其中，法律政策是安全的基石，技術(shù)是安全的保障，管理和審計是安全的防線。

4.1 完善計算機安全立法

我國先后出臺的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前，在這方面的立法還遠(yuǎn)不能適應(yīng)形勢發(fā)展的需要，應(yīng)該在對控制計算機犯罪的國內(nèi)外立法評價的基礎(chǔ)上，完善我國計算機犯罪立法，以便為確保我國計算機信息網(wǎng)絡(luò)健康有序的發(fā)展提供強有力的保障。

4.2 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)

（1）數(shù)據(jù)加密。數(shù)據(jù)加密又稱密碼學(xué)，它是一門歷史悠久的技術(shù)，指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是通過解密算法和解密密鑰將密文恢復(fù)為明文。數(shù)據(jù)加密目前仍是計算機系統(tǒng)對信息進(jìn)行保護(hù)的一種最可靠的辦法。它利用密碼技術(shù)對信息進(jìn)行加密，實現(xiàn)信息隱蔽，從而起到保護(hù)信息的安全的作用。有兩種主要的加密類型：私匙加密和公匙加密。

（2）認(rèn)證。對合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。

（3）防火墻技術(shù)。防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。目前，防火墻采取的技術(shù)，主要是包過濾、應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是，防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足：防火墻不能防止內(nèi)部攻擊；防火墻不能取代殺毒軟件；防火墻不易防止反彈端口木馬攻擊等。

（4）檢測系統(tǒng)。入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。

（5）防病毒技術(shù)。隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。

（6）文件系統(tǒng)安全。在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠(yuǎn)程。建立文件權(quán)限的時候，必須在Windows 2000中首先實行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日?；顒悠陂g哪些規(guī)則是處理權(quán)限的。Windows 2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。

4.3 制定合理的網(wǎng)絡(luò)管理措施

（1）加強網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。

（2）建立完善的安全管理體制和制度，以起到對管理人員和操作人員鼓勵與監(jiān)督的作用。

（3）管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。

5 結(jié)束語

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。它涉及技術(shù)、管理、使用等許多方面，建立網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持研究開發(fā)，重視對計算機網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機網(wǎng)絡(luò)安全系統(tǒng)。雖然病毒的種類很多，但我們只要掌握了其流通傳播方式，便不難控制和查殺。只要不斷健全網(wǎng)絡(luò)安全的相關(guān)法規(guī)，提高網(wǎng)絡(luò)安全防范的技術(shù)水平，就能有力地保障網(wǎng)絡(luò)的安全。

1 馮博琴.計算機網(wǎng)絡(luò)［M］.北京：高等教育出版社，2004

2 胡道元.計算機網(wǎng)絡(luò)［M］.北京：清華大學(xué)出版社，2005

3 李艇.計算機網(wǎng)絡(luò)管理與安全技術(shù)［M］.北京：高等教育出版社，2005