淺析網絡安全技術及防護策略

摘要:隨著信息技術的高速發(fā)展和互聯網的廣泛應用，計算機網絡安全問題愈發(fā)突出。該文介紹了計算機網絡安全的重要性及威脅計算機網絡的幾種安全性因素。并從防火墻技術、數據加密技術等方面對計算機網絡安全的防護提出了相應策略。

關鍵詞:信息技術;網絡安全;防護

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)36-10441-02

Analysis of Computer Network Security and Protection Strategy

YU Miao-miao

(Water Conservancy Survey and Design Institute of Shandong Province， Jinan 250013， China)

Abstract: With the rapid development of information technology and internet applications， computer network security issues become more prominent. This paper describes the importance of computer network security and threats to security of computer networks of several factors. And from the firewall technology， data encryption technology and other aspects of computer network security， on the protection of the corresponding strategy.

Key words: information technology; network security; protection

近年來，計算機的廣泛應用把人類帶入了一個全新的時代，隨著互連網的飛速發(fā)展，網絡技術全面地影響和改造著人們的生活。與此同時，也正受到日益嚴重的來自網絡的安全威脅，諸如網絡的數據竊賊、黑客的侵襲、病毒的攻擊，甚至系統(tǒng)內部的泄密。給國家或個人都帶來了巨大的損失。下面我們就從網絡安全概念入手，針對網絡安全需要注意的方面，簡單概括網絡系統(tǒng)可能存在的安全漏洞，并提出一些相應的防護網絡安全的具體策略。

1 網絡安全概念

國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統(tǒng)建立和采取的技術及其管理的安全保護，保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露。”也有人將“計算機安全”定義為:“計算機的硬件、軟件和數據受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常運行?！辈还苋绾味x，可以認為計算機安全應包括兩方面的內容:物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息保密性、完整性和可用性，這里的保密性指高級別信息僅在授權情況下流向低級別的客體與主體;完整性指信息不會被非授權修改及信息保持一致性等;可用性指合法用戶的正常請求能及時、正確、安全地得到服務或回應。物理安全和邏輯安全是相輔助相成的。

網絡安全是計算機安全的延伸，主體由計算機擴展到了網絡系統(tǒng)。它主要包括系統(tǒng)安全和信息安全兩方面的內容，系統(tǒng)安全是指如何保護系統(tǒng)正常運行。一個網絡是由許多部件組成，包括交換機，集線器，路由器，防火墻，主機，調制解調器等等。系統(tǒng)安全要求保證所有部件和網絡整體能夠正常、正確地運行。在常見的網絡攻擊中，例如拒絕服務等攻擊是針對系統(tǒng)的正常運行的，這些攻擊使網絡中的設備死機，或者使服務器提供的某項服務停止，或者用大量數據包充塞服務器或其他網絡部件，使系統(tǒng)不能正常運行。系統(tǒng)安全主要依靠網絡設備自身的保護機制和網絡結構、防火墻等措施予以保證。

2 計算機網絡存在的安全問題

導致計算機網絡信息安全受到威脅的根本原因在于網絡存在安全問題，歸納為以下幾點:

2.1 固有的安全漏洞

現在，新的操作系統(tǒng)或應用軟件剛一上市，漏洞就已被找出，另一個消息的來源就是諸如BugNet或NTBug traq一類的新聞組。

1) 緩沖區(qū)溢出。這是攻擊中最容易被利用的系統(tǒng)漏洞。很多系統(tǒng)在不檢查程序與緩沖區(qū)間的變化的情況下，就接收任何長度的數據輸入，把溢出部分放在堆棧內，系統(tǒng)還照常執(zhí)行命令。這樣破壞者便有機可乘。他只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進入不穩(wěn)定狀態(tài)。假如破壞者特別配置一串他準備用作攻擊的字符，他甚至可以訪問系統(tǒng)根目錄。

2) 拒絕服務。拒絕服務 (DenialofService，DoS) 攻擊的原理是攪亂 TCP/IP 連接的次序。典型的 DoS 攻擊會耗盡或是損壞一個或多個系統(tǒng)的資源( CPU 周期、內存和磁盤空間)，直至系統(tǒng)無法處理合法的程序。這類攻擊的例子是 Synflood 攻擊。發(fā)動 Synflood 攻擊的破壞者發(fā)送大量的不合法請求要求連接，目的是使系統(tǒng)不勝負荷。其結果是系統(tǒng)拒絕所有合法的請求，直至等待回答的請求超時。

2.2 合法工具的濫用

大部分系統(tǒng)都配備了用以改進系統(tǒng)管理及服務質量的工具軟件，但遺憾的是，這些工具同時也會被破壞者利用去收集非法信息及加強攻擊力度，例如區(qū)域控制軟件的身份信息、NetBIOS的名字、IIS名甚至是用戶名。這些信息足以被黑客用來破譯口令。

另一個最常被利用的工具是網包嗅探器(PacketSniffer)。系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網包，以便找出網絡的潛在問題。黑客如要攻擊網絡，則先把網卡變成功能混雜的設備，截取經過網絡的包(包括所有未加密的口令和其他敏感信息)，然后短時間運行網包嗅探器就可以有足夠的信息去攻擊網絡。

2.3 不正確的系統(tǒng)維護措施

系統(tǒng)固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊，但無效的安全管理也是造成安全隱患的一個重要因素。當發(fā)現新的漏洞時，管理人員應仔細分析危險程度，并馬上采取補救措施。

有時候，雖然我們已經對系統(tǒng)進行了維護，對軟件進行了更新或升級，但由于路由器及防火墻的過濾規(guī)則過于復雜，系統(tǒng)又可能會出現新的漏洞。所以，及時、有效地改變管理可以大大降低系統(tǒng)所承受的風險。

2.4 低效的系統(tǒng)設計和檢測能力

在不重視信息保護的情況下設計出來的安全系統(tǒng)會非常“不安全”，而且不能抵御復雜的攻擊。建立安全的架構一定要從底層著手。這個架構應能提供實效性的安全服務，并且需要妥善的管理。

服務器的代碼設計及執(zhí)行也要進行有效管理，黑客可以利用這一漏洞發(fā)動拒絕服務攻擊，非法訪問敏感信息或是篡改Web服務器的內容。低效的設計最后會產生漏洞百出的入侵檢測系統(tǒng)。這樣的系統(tǒng)非常危險，它不能提供足夠的信息，就連已提供的信息都可能是不真實、不準確的。

3 計算機網絡安全的防護策略

3.1 安裝防火墻

防火墻是在內部網和外部網之間實施安全防范的系統(tǒng)，用于加強止外部用戶非法使用內部網的資源，保護內部網的設備不被破壞，防止內部網絡敏感數據被盜取。

實現防火墻的主要技術有:包過濾技術、應用網關和代理技術等，這些技術可以單獨使用，也可以結合起來使用包過濾技術是基于網絡層的，作用于IP層，通常由過濾路由器構建，其實現原理是:對每一個到達過濾路由器的IP包，根據已制定好的安全策略進行檢查，決定IP包的通過或阻塞，從而實現對IP包的過濾，其核心是安全策略，即過濾算法的設計。包過濾技術的優(yōu)點是簡單，對用戶透明，速度快，對網絡性能影響不大;缺點是正確建立和管理包過濾規(guī)則比較困難，同時缺乏審計、跟蹤及驗證功能。代理技術(Proxy)是作用于應用層的。其核心是運行于防火墻主機上的代理服務器進程，它代替網絡用戶完成特定的TCP/IP功能，每一個特定應用都有一個相應的程序。代理技術的優(yōu)點是具有較強的數據流監(jiān)控、過濾、記錄和報告功能，可以將網絡內部結構屏蔽起來，增加了網絡的安全性。缺點是需要為每一個網絡服務專門設計、開發(fā)代理服務軟件及提供相應的監(jiān)控、過濾功能，并且由于代理服務具有相當的工作量，因此通常需要用專用的工作站來承擔。

3.2 對信息數據加密

與防火墻配合使用的數據加密技術是為了提高信息系統(tǒng)及數據的安全性和保密性，防止絕密信息被外部破壞所采用的主要技術手段之一。計算機網絡的傳輸加密與通信加密類似，加密方式分為鏈路層加密、網絡層加密、傳輸層加密和應用層加密等。

3.2.1 單密鑰加密體系

是指在加密和解密過程中都必須用到同一個密鑰的加密體系，此加密體系的局限性在于發(fā)送和接收方傳輸數據時必須先通過安全渠道交流密鑰，保證在他們發(fā)送或接收加密信息之前有可供使用的密鑰。但是，如果你能通過一條安全渠道傳遞密碼，你也能夠用這條安全渠道傳遞郵件。

3.2.2 公用密鑰體系

公用密鑰需要兩個相關的密碼，一個密碼作為公鑰，一個密碼作為私鑰，在公用密鑰體系中，你的伙伴可以把他的公用密鑰放到Internet的任意地方，或者用非加密的郵件發(fā)給你，你用他的公鑰加密信息然后發(fā)給他，他則用他自己的私鑰解密信息。

3.3 加強病毒防護

由于在網絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力，因此計算機病毒的防范也是網絡安全性建設中重要的一環(huán)。網絡反病毒技術也得到了相應的發(fā)展。

網絡反病毒技術包括預防病毒、檢測病毒和消毒等3種技術。

1) 預防病毒技術:它通過自身常駐系統(tǒng)內存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進人計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術是:加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制(如防病毒卡)等。

2) 檢測病毒技術:它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。

3) 消毒技術:它通過對計算機病毒的分析開發(fā)出具有刪除病毒程序并恢復原文件的軟件。 網絡反病毒技術的實施對象包括文件型病毒、引導型病毒和網絡病毒。 網絡反病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監(jiān)測;在工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。隨著網絡技術不斷應用，網絡不安全因素將會不斷產生，但互為依存的，網絡安全技術也會迅速的發(fā)展新的安全技術將會層出不窮，計算機網絡將會越來越安全!

4 結束語

總之，網絡安全不僅僅是技術問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規(guī)等，對計算機網絡安全進行防護。世界上不存在絕對安全的網絡系統(tǒng)，隨著計算機網絡技術的進一步發(fā)展，網絡安全防護技術也必然隨著網絡應用的發(fā)展而不斷發(fā)展。

參考文獻:

[1] 王建軍，李世英.計算機網絡安全問題的分析與探討[J].赤峰學院學報:自然科學版，2009(1).

[2] 李樹忠.計算機網絡安全出探[J].計算機安全，2003(4).

[3] 吳勝光.計算機網絡信息安全及防范技術[J].電腦編程技巧與維護，2009(8).