劉彩梅

云南麗江師范高等?？茖W校

計算機網絡協(xié)議中風險防范的思考

劉彩梅

云南麗江師范高等?？茖W校

網絡安全協(xié)議是今天互聯網世界構成的基石，但是由于操作系統(tǒng)本身漏洞和鏈路的連接漏洞和tcp/ip協(xié)議漏洞和安全策略方面的漏洞，使得計算機網絡協(xié)議中存在風險。可以通過構建防火墻，隨時更新桌面防病毒系統(tǒng)，強化服務器，補丁策略有有效降低這樣的風險。

網絡安全協(xié)議；風險；成因；策略

網絡協(xié)議為計算機網絡中進行數據交換而建立的規(guī)則、標準或約定的集合。例如，網絡中一個微機用戶和一個大型主機的操作員進行通信，由于這兩個數據終端所用字符集不同，因此操作員所輸入的命令彼此不認識。為了能進行通信，規(guī)定每個終端都要將各自字符集中的字符先變換為標準字符集的字符后，才進入網絡傳送，到達目的終端之后，再變換為該終端字符集的字符。

一、網絡協(xié)議構成原理

就像我們說話用某種語言一樣，在網絡上的各臺計算機之間也有一種語言，這就是網絡協(xié)議，不同的計算機之間必須使用相同的網絡協(xié)議才能進行通信。網絡協(xié)議是網絡上所有設備（網絡服務器、計算機及交換機、路由器、防火墻等）之間通信規(guī)則的集合，它規(guī)定了通信時信息必須采用的格式和這些格式的意義。大多數網絡都采用分層的體系結構，每一層都建立在它的下層之上，向它的上一層提供一定的服務，而把如何實現這一服務的細節(jié)對上一層加以屏蔽。一臺設備上的第n層與另一臺設備上的第n層進行通信的規(guī)則就是第n層協(xié)議。在網絡的各層中存在著許多協(xié)議，接收方和發(fā)送方同層的協(xié)議必須一致，否則一方將無法識別另一方發(fā)出的信息。網絡協(xié)議使網絡上各種設備能夠相互交換信息。常見的協(xié)議有：TCP/IP協(xié)議、IPX/ SPX協(xié)議、NetBEUI協(xié)議等。當然了，網絡協(xié)議也有很多種，具體選擇哪一種協(xié)議則要看情況而定。Internet上的計算機使用的是TCP/IP協(xié)議。ARPANET成功的主要原因是因為它使用了TCP/IP標準網絡協(xié)議，TCP/IP（TransmissionControlProtocol/InternetProtocol）——傳輸控制協(xié)議/互聯網協(xié)議是Internet采用的一種標準網絡協(xié)議。它是由ARPA于1977年到1979年推出的一種網絡體系結構和協(xié)議規(guī)范。隨著Internet網的發(fā)展，TCP/IP也得到進一步的研究開發(fā)和推廣應用，成為Internet網上的“通用語言”。

二、計算機網絡協(xié)議中安全漏洞成因

1、操作系統(tǒng)本身漏洞和鏈路的連接漏洞

計算機網絡由于需要給用戶提供各種便利，那么就需要它在操作系統(tǒng)上擁有一個統(tǒng)一的用戶交互平臺，能夠全方位多角度的支持各種所需功用。而計算機網絡的功能越強大，就表明它交互平臺的網就撒得更大，那么它存在的漏洞也就越多，所以會更有可能受到攻擊。一個平臺的建立不可能是暫時性的，也不可能是永遠都固定不變的，那么它在這種長久的存在與優(yōu)化升級的過程中就會遭受更多的暴露與攻擊。在計算機的服務運行過程中，網絡互通的功能需要由鏈路連接來實現。那么有了連接，就仿佛給攻擊搭了一座橋。而這些攻擊包括對鏈路連接本身的攻擊、對物理層表述的攻擊以及對互通協(xié)議的攻擊等等。

2、tcp/ip協(xié)議漏洞和安全策略方面的漏洞

應用協(xié)議可以高效支持網絡通信順暢，但是tcp/ip固有缺陷決定了源地址無法得到相應控制機制的科學鑒別。一旦ip地址無從確認，黑客就可以從中截取數據，以篡改原有的路由地址。在計算機系統(tǒng)中，響應端口開放支持了各項服務正常運轉，但是這種開放依然給各種網絡的攻擊制造了便利?；蛟S有人說防火墻可以阻止其的進攻，但是如今防火墻對于開放的流入數據攻擊依然束手無策。

三、網絡安全協(xié)議安全措施

1、構建防火墻

現在許多組織（最典型就是大學）都在運行著沒有防火墻保護的公共網絡。讓我們姑且忽略有關“硬件防火墻好，還是軟件防火墻好”的爭論，無論采用哪一種防火墻，總比沒有防火墻好。這里的重點在于，連接到Internet的每一個人都需要在其網絡入口處采取一定的措施來阻止和丟棄惡意的網絡通信。當你讀到本文的時候，說明已經有了一個企業(yè)防火墻。但是，不要忘了遠程辦公人員和移動用戶。最低限度也應該為他們每個人配備一個個人防火墻。雖然Windows XP SP2自帶的防火墻也勉強可用，但為了滿足特殊需要，市場上還存在著大量產品可供挑選。最主要的事情就是去使用它們。

2、隨時更新桌面防病毒系統(tǒng)

良好的安全性要求你在每個桌面都配備防病毒功能，并隨時更新它。雖然在一個網絡的網關那里建立防病毒機制能解決一部分問題，但在整個防病毒戰(zhàn)線中，只能把網關防病毒視為一道附加的防線，而不能把它視為桌面防病毒的一個替代品。

3、強化服務器

“強化”（Hardening）涉及兩個簡單的實踐法則：購買商業(yè)軟件時，刪除不需要的所有東西；如果不能刪除，就把它禁用?？梢酝ㄟ^強化來刪除的典型對象包括示例文件、使用向導演示、先用后付費的捆綁軟件以及在可以預見的將來不準備使用的高級特性。安裝越復雜，越有可能留下安全隱患，所以將安裝精簡到不能再精簡的程度。除此之外，設備和軟件通常配置了默認用戶名/密碼訪問、來賓（guest）和匿名帳戶以及默認共享。刪除你不需要的，并修改所有身份驗證憑據的默認值（由于有像這樣的列表，所以黑客也知道它們）。在這個充斥著大量“臃腫件”（bloatware）的年代，這個實踐法則與5年前相比更重要了。

4、補丁策略

當“紅色代碼”（Code Red）浮現的時候，它攻擊的一個漏洞，是Microsoft在9個月前就提供了免費補丁以便用戶修補的。但是，這個蠕蟲仍然快速和大面積地蔓延，原因是管理員們沒有下載和安裝這個補丁。今天，從一個新的漏洞被發(fā)現開始，到新的大規(guī)模攻擊工具問世為止，兩者間隔時間已經縮短了許多。在廠商發(fā)布安全補丁的時候，IT管理員需要做出快速響應。補丁管理目前是最熱門的IT主題之一，但是和許多事情一樣，80/20規(guī)則在這里仍然適用。如果沒有商業(yè)評估工具以及較多的預算，可以用已經淘汰掉的“太慢”的機器來組建一個小的測試網絡。這樣一來，只需使用企業(yè)級工具來建立一個專業(yè)實驗室所需的20%的付出，就能獲得一個80%有用的測試環(huán)境。Microsoft，Apple以及其他許多組織都基本上每個月提供一次安全補丁。訪問和安裝那些補丁應該成為工作內容和計劃任務的一部分。

［1］王娟.淺談VPN技術及在中國的發(fā)展現狀［J］.網絡與信息.2008（08）

［2］王輝.計算機網絡信息安全面臨的問題和對策［J］.網絡與信息.2008 （06）

［3］劉玉香，蘇穎.入侵檢測系統(tǒng)（IDS）應用分析［J］.網絡與信息.2008 （05）

［4］魯慧，張衛(wèi).基于C/S模式的內網應用系統(tǒng)安全構架的分析與設計［J］.計算機應用與軟件.2008（01）