计算机网络安全与防御

　　目前，全世界军事、经济、社会、文化各方面都越来越依赖于计算机网络，人类社会对计算机网络的依赖度达到空前的记录。由于计算机网络极易受到攻击，这种高度依赖性使国家经济和国防安全变得十分“脆弱”。一旦计算机网络受到攻击，不能正常工作，甚至全部瘫痪时，整个社会就会陷人危机。

　　计算机网络安全的现状据美国联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。据美国金融时报报道，世界上平均每20分钟就发生一次人侵国际互联网络的计算机安全事件,1/3的防火墙被突破。美国联邦调査局计算机犯罪组负责人吉姆•塞特尔称:给我精选10名“黑客”，组成小组,90天内，我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一条电话线和一个调节器，就可以令某个地区的网络运行失常。

　　据了解，从1997年底至今，我国的政府部门、证券公司、银行、ISP、1CP等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应当攻击者B对图像Iwl2进行解释攻击时，有两种情况：伪造原始图像Ib=Iwl2-Wb，伪造水印Wb进行攻击。当发生版权纠纷,A向仲裁者J提供lwl和，攻击者提供lb和水印Wb,仲裁者得出如下结论：①对A来说，用Iwl和Iwl2检测U得知其上嵌有W&，对U检测得嵌有Wla(无需原图检测)，对lb检测，其上嵌有水印Wh-Wb和②对B来说，用lb和Iwl2检测Iwl2得知其上嵌有Wb,对lb检测用依赖于外国的产品和技术，在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段，以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，间时一些负责M络安全的工程技术人员对许多潜在风险认识不足，缺乏必要的技术设施和相关处理经验，面对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。可见，加强计算机网络安全意识和相关的技术是非常必要的。

　　网络安全隐患网络具有互连性，导致网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的通用性，使得计算机网络存在很多的隐患。它们是网络安全的致命之处。这些隐患有人为的因素，也有其他的因素，有有意的，也有无意的。有来自网络内部的，也有来自外部的影响。这些隐患对网络安全产生直接或间接威胁。

　　计算机网络安全隐患主要来自Web服务器的漏洞，其次是计算机病毒传播，究其原因主要表现在以下方面：得kwwb-Wh和偸Wwla，蚣iwliin•上嵌Wwla,没¥Wb，所以lb是伪造的，B不是原作者，解释攻击失败。攻击者B伪造原始图像Ib=IwI2-Whl,伪造水印Wbl，再对lb伪造鲁棒性水印进行攻击。当发生版权纠纷，A向仲裁者J提供。和双18，攻击者提供lb和水印，仲裁者得出如下结论:①对A来说，用Iwl和Iwl2检测Iwl2得知其上嵌有W&，对Iwl检测得嵌有Wia(无需原图检测)，对lb检测，其上嵌有水印和Wa;②对B来说，用lb和Iwl2检测Iwl2得知其上嵌有WIb，对lb检测得嵌有和嵌有Wla，对IW|检测上嵌有Wla，没有，所以lb是伪造的，B不是原作者，解释攻击失败。

　　从上述分析可见，双水印技术能有效地抵抗解释攻击。因为当攻击者B多次伪造图像，并多次插人伪造水印，势必造成图像在一定程度上的失真，令图像数据不能被非法利用。通过研究攻击方法可以找出现有水印方案中的大量不足之处。应该指出的是，对于一个水印系统，核心问题是如何检测水印而不是如何嵌入水印。同时，攻击往往形式多样，并不局限于对水印算法本身，常常一些简单的攻击就可以使水印系统失败。了解这些攻击以及可能还会有的新的攻击方法将帮助我们设计出更好的水印方案。

　　Web服务器存在的主要漏洞包括:物理路径泄露、CGI源代码泄露、S录遍历、执行任意命令、缓冲IX:溢出、拒绝服务、条件竞争和跨站脚本执行漏洞等，网络病毒传播：随着计算机技术的不断发展，病毒也变得越来越复杂和高级。新一代的计算机病毒充分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐，通过网络传播，将含病毒文件附加在邮件中的情况不断增多，使得病毒的扩散速度也急剧提高，受感染的范围越来越广，这种病毒，我们称为网络病毒。原先常见的计算机病毒的破坏性无非就是格式化硬盘，删除系统与用户文件、破坏数据库等等，而传播途径也无非是通过遭病毒感染的软件的互相拷贝，携带病毒的盗版光盘的使用等,如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒，而网络病毒除了具有普通病毒的这些特性外,还具有远端窃取用户数据、远端控制对方计算机等破坏特性，比如特洛伊木马病毒和消耗网络计算机的运行资源，拖垮网络服务器的蠕虫病毒。

　　网络安全的防御面对各种网络威胁,不能坐以待毙，要采取积极的应对措施，措施得当，损失就能减到最小。计算机网络安全技术分析计算机网络安全从技术上来说，主要由防病毒、防火墙、人侵检测、网络监控、信息审计、通信加密等多个安全组件组成，一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有：防火墙技术、数据加密技术、人侵检测技术、防病毒技术等，以下就此几项技术分别进行分析。

　　防火墙。防火墙的主要功能。首先防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。

　　数据加密技术。数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段前，数据加密主要使用的有对称密钥加密和非对称密钥(也称公幵密钥)加密两种技术数据加密的功能：首先通过对网络数据的加密来保障网络的安全可靠性，能够有效地防止机密信息的泄漏。其次广泛地被应用于信息鉴别、数字签名等技术中，用来防止电子欺骗，这对信息处理系统的安全起到极其重要的作用。

　　入侵检测技术。入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯人或闯人的企图”。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻志预测和起诉支持。人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

　　人侵检测技术的功能主要体现在以下方面：监视分析用户及系统活动，查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞;识别反映已知进攻的活动模式并向相关人士报警;对异常行为模式的统计分析;能够实时地对检测到的入侵行为进行反应;评估重要系统和数据文件的完整性;可以发现新的攻击模式:，

　　防病毒技术。随着计算机技术的不断发展，计算机病毒变得越来越复杂和高级，对计算机网络系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件，从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上，即对本地和本丁作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒，一旦病毒人侵网络或者从网络向其它资源传染，网络防病毒软件会立刻检测到并加以删除。当然，网络防病毒软件本身必然需要增加额外的服务器系统资源消耗，此类软件对网络性能的影响还是较为明显的，因此在使用过程中必须慎重选择。

　　网络安全的防护物理层的安全防护：在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。链路层的安全保护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后解密。网络层的安全防护:网络层的安全防护是面向IP包的，网络层主要采用防火墙作为安全防护手段，实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的人侵检测。传输层的安全防护:传输层处于通信子网和资源子网之间，起着承上启下的作用。传输层也支持多种安全服务:①对等实体认证服务;②访问控制服务;③数据保密服务;④数据完整性服务;⑤数据源点认证服务。应用层的安全防护:原则上讲所有安全服务均可在应用层提供。应用层可以实施强大的基于用户的身份认证;也是实施数据加密、访问控制的理想位置;还可加强数据的备份和恢复措施。应用层可以对资源的有效性进行控制，资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。

　　计算机网络的安全问题越来越受到人们的重视。总的来说，网络安全不仅仅是技术问题，同时也是一个安全管理问题:我们必须综合考虑安全因素，制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统，随着计算机网络技术的进一步发展，网络安全防护技术也必然随着网络应用的发展而不断发展。