计算机网络安全问题和对策研究

摘　要： 由于计算机网络系统的开放性, 以及现有网络协议和软件系统固有的安全缺陷, 使任何一种网络系统都不可避免地、或多或少地存在一定的安全隐患和风险。特别是 Internet 在使用和管理上的无政府状态, 使人们在享受网络所带来的方便快捷和效益的同时, 也面临着网络和信息安全方面的巨大威胁。针对这些网络威胁, 有必要对网络的各种安全隐患进行归纳分析, 并针对各种不安全因素提出相应的防范措施。

关键词：计算机 网络安全 防范策略
　　前言：随着计算机科学技术和网络技术的高速发展，计算机系统功能日渐复杂，网络体系也日渐强大，对社会及人们的生活产生了巨大的影响，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁，病毒扩散、黑客攻击、网络犯罪等违法事件的数量迅速增长，网络的安全问题越来越严峻。如何提高计算机网络的防御能力，增强网络的安全措施，已成为当前急需解决的问题。否则网络不仅不能发挥其有利的作用，甚至会危及国家、企业及个人的安全。
　　一、校园网内网络安全实施的必要性
　　由于各种条件限制和观念因素，校园网络相对于企业网存在着更多的安全隐患，这些隐患严重威胁着整个校园网络系统的正常运行。威胁校园网的安全的因素有很多，主要包括计算机病毒、黑客攻击、不良信息传播以及应用服务体系的安全隐患等等。
　　（1）黑客攻击
　　目前，黑客行动几乎硕盖了所有的操作系统，包括UNIX与window XP等。黑客在网上的攻击活动正以每年10倍的速度在增长。黑客利用网上的任何漏洞和缺陷修改网页、非法进人主机、进人银行盗取和转移金额、窃取信息、发送假冒的电子邮件等。黑客主要手段有:窃取口令、强行闯人、窃取额外特权、植入“特洛伊木马”、植人非法命令过程或程序“儒虫”、清理磁盘等。随着因特网的发展，现代黑客从系统攻击为主转为网络攻击为主，主要手法有:通过网络监听获么网上用户账号和密码后对其进行攻击;监听密钥分配过程，得到密钥或认证码，盗取合法资格;利用文件传送协议(F即)，采用匿名用户访问进人攻击;利用UNIX操作系统提供的守护过程的缺省帐户进行攻击;突破防火墙等。
　　（2）计葬机病毒
　　计算机病毒，简单来讲，其实就是一种可执行的计算机程序。和生物界的病毒类似，会寻找寄主将自身附着到寄主身上。除了自我复制外，某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中，病毒对计算机的安全构成极大威胁:与网络黑客内外配合，窃取用户口令及帐号等变化多端的方式，使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。病毒最成功之处在于其传播能力，传播能力越强，生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后，就会传播给临近的项目。
　　（3）不良信息传播
　　校园网通过接人玩Internet网，实现教学、管理信息的发布和获取。师生参预教学活动信息大量利用Internet网上来传播，学校的所有计算机都可能通过校园网络进人Internet，在大大方便了教师、学生、管理人员在校内校外的工作、学习和交流的同时，也使Internet上各种不良信息，如色情、暴力、邪教内容进人校园网。这些不良信息，违反人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大。
　　（4）应用服务体系的安全隆息
　　校园网一个显著特点即提供了多种网络服务，多种应用服务的开放造成了不同程度的安全隐患。而且往往出于维护和费用的角度出发，在校园网中常常是一台服务器承担提供几项服务的任务，如同时作为WWW服务器JTP服务器等。这在很大程度上增加了由应用服务造成的安全隐患。同时协议本身也具有一定安全隐患，如f了P服务通常只采用简单的身份认证和口令检验，信息也以明文方式在网间传送;远程登陆服务同样采用明文传输数据，一旦人侵者从终端登陆并获得一定权限将对整个网络安全造成严重后果等等。
　　二、当今网络攻击的手段及发展趋势
　　1.拒绝服务攻击。攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的硬件设备，破坏计算机网络的各种配置，消耗计算机及网络中不可再生的资源等。
　　2.欺骗攻击。黑客会利用TCP/IP协议本身的缺陷进行攻击，或者进行DNS欺骗和Web欺骗。
　　3.通过协同工具进行攻击。各种协同工具使用的增长，可能导致泄漏机密商业数据。
　　4.对移动设备的攻击。2005年以来，手机、PDA及其他无线设备感染恶意软件的数量在激增，但因为其不能靠自身传播，所以还没有大规模爆发。但今后仍需要关注它的发展趋势。
　　5.电子邮件攻击。2005年，英国电子邮件安全公司Message Labs每周拦截大约2至3次有目标的电子邮件攻击，而2004年这一数字还小得几乎可以忽略，这标志着网络攻击的性质和目的都发生了转变。这些攻击常常针对政府部门、军事机构及其他大型组织。总而言之，根据攻击能力的组织结构程度和使用的手段，可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。
　　三、校园网络安全防护措施
　　（1）安装防火墙与入侵检测系统（IDS）
　　防火墙是架设在校园网与外网之间的一道安全屏障，主要是对两个网络之间的通信进行控制，防止对重要信息资源的非法存取和访问，只允许合法通过，以达到保障网络安全的目的。入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。目前校园网普遍采用的防火墙是属于静态安全技术范畴的外围保护，其缺点是需要人工实施和维护，不能主动跟踪入侵者。而入侵检测则属于动态安全技术，它能够主动检测网络的易受攻击点和安全漏洞，对防范网络的恶意攻击提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵。为了确保校园网络的安全，将入侵检测技术与防火墙技术相结合，互动运行，防火墙可通过 IDS 及时发现其策略之外的攻击行为，IDS 也可以通过防火墙对来自外部网络的攻击行为进行阻断，这样就可以大大提高整体防护性能。
　　（2）定期安装补丁程序和升级网络杀毒软件
　

[1] [2]  下一页

　大多数恶意攻击者入侵都是利用操作系统的一些错误漏洞，在用户不知情的情况下，进行入侵攻击。随着计算机技术的不断发展，发现安全漏洞增加速度越来越快，覆盖面越来越广。新发现的安全漏洞每年都要增加一倍，所以无论是服务器端还是用户终端，都需要配备网络漏洞扫描系统，以检测网络中存在的安全漏洞，一旦有新发布的补丁程序应及时到相关网站下载和安装，可以有效减少恶意攻击现象的发生。在互联网安全形势日益严峻的今天，电脑病毒爆炸式增长，据金山毒霸安全报告，仅 2008 年上半年，较 07 年全年病毒，木马总数增长了338%，其总数已经超过了近五年的病毒数量的总和。对于病毒的防范我们主要依赖于杀毒软件，并对病毒库及时升级，定期杀毒，保证杀毒的有效性。
　　（3）运用 VLAN 技术
　　VLAN（虚拟局域网）是对连接到局域网中的网络用户逻辑分段来实现虚拟工作组的技术，不受网络用户的物理位置限制而根据用户需求进行网络分段，可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组，这种基于工作流的分组模式很适合校园网的部门划分。由于交换机只能在同一 VLAN 内的端口之间交换数据，不同 VLAN 的端口不能直接访问，因此，通过划分VLAN 可以提高校园网络的安全性。
　　（4）关闭不需要的服务和端口，建立监测系统日志电脑已经安装了杀毒软件和防火墙，但还频频受到来自网络和病毒的攻击。其中一个重要原因就是系统打开了许多不常用的端口，病毒特别是一些木马正是从这些看不见的“口”中长驱直入，在系统中安家落户。所以我们必须保护好自己的端口，要做到：①查看：经常用命令或软件查看本地所开放的端口，看是否有可疑端口；②判断：如果开放端口中有不熟悉的，应该马上查找端口大全或木马常见端口等资料，判断该端口是否可疑；③关闭：如果真是木马端口，那么采用一些功能强大的反黑软件和防火墙来限制此端口，防止非法入侵。日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，用户可以通过建立监测系统日志来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹，采取相应的措施保护系统安全。
　　（5）加强网络安全管理、定期培训网络用户
　　学校要高度重视校园网的安全管理工作，首先建立和完善专门的网络管理机构，配备专职的技术人员，明确岗位，强化责任；其次加强日常运维工作，加强网络故障管理；再次是做好病毒实时观测工作，注意对网络内计算机进行病毒查杀，及时升级杀毒软件，确保网络运行安全。定期培训网络用户，增强其网络安全意识，提高安全技术水平。介绍如何设置安全口令，如何安全方便的共享文件，如何扫描和安装系统漏洞，如何检测系统中存在的恶意软件、插件等。
　　参考文献:
　　1．齐德显，胡铮.网络与信息资源管理[M].北京:北京兵器工业出版社，北京:北京希望电子出版社，2005.
　　2．邵波，王其和.计算机网络安全技术及应用[M].北京:电子工业出版社，2005.
　　3．黄中伟.计算机网络管理与安全技术[M]北京:人民邮电出版社，2005.

上一页  [1] [2]