網(wǎng)絡(luò)安全技術(shù)研究

【摘 要】計算機逐步進入生活各個方面，隨著計算機技術(shù)的高速發(fā)展，計算機應(yīng)用日益普及，計算機技術(shù)尤其是網(wǎng)絡(luò)技術(shù)正在對人類經(jīng)濟生活、社會生活等各方面產(chǎn)生巨大的影響。電子商務(wù)、網(wǎng)上銀行、遠程教育等與人們的聯(lián)系越來越緊密。有理由相信，在不遠的將來，人們將過上真正意義上的數(shù)字化生活。掌握計算機及網(wǎng)絡(luò)的基礎(chǔ)知識，已經(jīng)成為人們通向成功所必備的基本素質(zhì)。計算機網(wǎng)絡(luò)技術(shù)發(fā)展相當迅速，攻擊手段層出不窮，網(wǎng)絡(luò)攻擊一旦攻擊成功，網(wǎng)絡(luò)上成千上萬的遠程計算機處于癱瘓狀態(tài)，從而給計算機用戶帶來很大損失，因此，計算機網(wǎng)絡(luò)完全問題是當今很重要的問題，提高計算機網(wǎng)絡(luò)安全防范意識是非常必要和緊迫的，焦點分析了計算機網(wǎng)絡(luò)安全的主要防患和攻擊方式，從管理和技術(shù)的角度就加強計算機網(wǎng)絡(luò)安全提出針對性的建議。

【關(guān)鍵詞】開放性；防火墻

引言

計算機逐步進入生活各個方面，隨著計算機技術(shù)的高速發(fā)展，計算機應(yīng)用日益普及，計算機技術(shù)尤其是網(wǎng)絡(luò)技術(shù)正在對人類經(jīng)濟生活、社會生活等各方面產(chǎn)生巨大的影響。電子商務(wù)、網(wǎng)上銀行、遠程教育等與人們的聯(lián)系越來越緊密。有理由相信，在不遠的將來，人們將過上真正意義上的數(shù)字化生活。掌握計算機及網(wǎng)絡(luò)的基礎(chǔ)知識，已經(jīng)成為人們通向成功所必備的基本素質(zhì)。計算機網(wǎng)絡(luò)技術(shù)發(fā)展相當迅速，攻擊手段層出不窮，網(wǎng)絡(luò)攻擊一旦攻擊成功，網(wǎng)絡(luò)上成千上萬的遠程計算機處于癱瘓狀態(tài)，從而給計算機用戶帶來很大損失，因此，計算機網(wǎng)絡(luò)完全問題是當今很重要的問題，提高計算機網(wǎng)絡(luò)安全防范意識是非常必要和緊迫的，焦點分析了計算機網(wǎng)絡(luò)安全的主要防患和攻擊方式，從管理和技術(shù)的角度就加強計算機網(wǎng)絡(luò)安全提出針對性的建議。

人類生活領(lǐng)域的廣泛應(yīng)用，針對計算機網(wǎng)絡(luò)攻擊事件也隨之增加，比如網(wǎng)絡(luò)購物中，攻擊者根據(jù)顧客要求發(fā)送商品圖片（網(wǎng)頁鏈接），在顧客交易付款時，用其攻擊手段獲得支付寶或網(wǎng)上銀行的賬號和密碼，獲取支付寶或網(wǎng)上銀行上所有現(xiàn)金，所以提醒所有喜歡網(wǎng)購的消費者也提高警惕。網(wǎng)絡(luò)影響著社會的政治、經(jīng)濟、文化和軍事，意識形態(tài)和社會的各個方面，計算機網(wǎng)絡(luò)不斷地非法入侵，重要情報，重要資料被竊取，甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓等等，諸如此類的事件以給政府及企業(yè)造成很大的損失，甚至危害到國家的安全，因此，網(wǎng)絡(luò)安全已經(jīng)成為全世界各國當今共同關(guān)注的焦點。

第一章論述安全技術(shù)

雖然計算機網(wǎng)絡(luò)給人們帶來很大的便利，但由于計算機網(wǎng)絡(luò)的連接有各種各樣，是網(wǎng)絡(luò)結(jié)點之間的層次和對介質(zhì)的訪問方式不同，也就是網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，不同的拓撲結(jié)構(gòu)對網(wǎng)絡(luò)的影響非常大，一般網(wǎng)絡(luò)拓撲結(jié)構(gòu)分為總線型、星型、環(huán)型、樹型和網(wǎng)狀五種。網(wǎng)絡(luò)的終端分布的不均勻、網(wǎng)絡(luò)的開放性和互聯(lián)性，導(dǎo)致黑客進行一些不良的攻擊行為，所以要加強網(wǎng)絡(luò)安全維護，維護國家和企業(yè)的財產(chǎn)。目前許多大型企業(yè)的網(wǎng)絡(luò)中都儲存著大量的重要的信息，許多方面的工作也越來越依賴網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，那是不堪設(shè)想的，如重要資料丟失補能及時溝通，或者被篡改，增刪，破壞或竊取等等，都會帶來巨大的損失。

1.1幾種計算機網(wǎng)絡(luò)安全

1.1.1TCP/IP協(xié)議的安全問題

Internet正在以巨大的影響力改變著我們的生活方式。其正式名稱為國際互聯(lián)網(wǎng)。它是由成千上萬臺不同種類、不同大小的計算機和網(wǎng)絡(luò)組成的，在全世界范圍內(nèi)工作的巨大的計算機網(wǎng)絡(luò)。必須指出，Internet不僅僅是由網(wǎng)絡(luò)軟件、硬件構(gòu)成的巨大的計算機網(wǎng)絡(luò)，更重要的是其上運行的信息資源。Internet是一個信息的寶庫，世界各地上億的人可以用Internet通信，搜索、共享信息資源；可以送出或接受電子郵件通信；可以與萬里之外的人建立通信聯(lián)系并互相索取信息；可以網(wǎng)上發(fā)布公告；可以參加各種專題小組討論；可以免費享用大量的信息資源和軟件資源。

Internet是基于TCP/IP技術(shù)，使用的是TCP/IP參考模型，該模型分為四個層次，自下而上分別是網(wǎng)絡(luò)接口層、互聯(lián)層、傳輸層和應(yīng)用層，不過，TCP/IP參考模型并沒有定義網(wǎng)絡(luò)接口層的具體內(nèi)容。網(wǎng)絡(luò)接口層主要負責將互聯(lián)層的IP數(shù)據(jù)報通過物理網(wǎng)絡(luò)發(fā)送，或者從物理網(wǎng)絡(luò)接受數(shù)據(jù)幀，抽取出IP數(shù)據(jù)報上交給互聯(lián)層。TCP/IP標準并沒有定義具體的網(wǎng)絡(luò)接口層協(xié)議，其目的在于提供靈活性，以適應(yīng)于不同的物理網(wǎng)絡(luò)。TCP/IP的網(wǎng)絡(luò)接口層嚴格說并不是一個獨立的層次，只是一個接口，對應(yīng)OSI的1-2層，即物理層和數(shù)據(jù)鏈路層?；ヂ?lián)層所提供的是一種無連接、不可靠但盡力而為的數(shù)據(jù)報傳輸服務(wù)，將數(shù)據(jù)報叢源主機傳送到目的主機。從一臺主機傳送到另一臺主機的分組可能會通過不同的路由，且分組可能出現(xiàn)丟失、亂序等。為了達到分組的高傳輸速度，放棄了一些并非必需的可靠性操作，在互聯(lián)層主要的協(xié)議是國際協(xié)議IP。與IP協(xié)議配套的網(wǎng)際協(xié)議還有地址解析協(xié)議、逆向地址解析協(xié)議、因特網(wǎng)控制報文協(xié)議等。而傳輸層為應(yīng)用進程提供端到端的傳輸服務(wù)，為應(yīng)用進程提供一條端到端的邏輯信息，端到端的邏輯信道在源結(jié)點和目的結(jié)點的兩個傳輸層實體之間，不涉及網(wǎng)絡(luò)中的路由器等中間結(jié)點。應(yīng)用層提供面向用戶的網(wǎng)絡(luò)服務(wù)，在TCP/IP參考模型中有許多面向應(yīng)用的著名協(xié)議，如文件傳輸協(xié)議（FTP）、遠程通信協(xié)議（Telnet）、簡單郵件傳送協(xié)議（SMTP）、域名系統(tǒng)（DNS）、超文本傳輸協(xié)議（HTTP）和簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）等。

1.1.2網(wǎng)絡(luò)結(jié)構(gòu)的安全問題

計算機網(wǎng)絡(luò)是個非常復(fù)雜的巨系統(tǒng)，我們可以設(shè)想一個最簡單的網(wǎng)絡(luò)應(yīng)用：利用連接的網(wǎng)絡(luò)上的兩臺計算機進行文件傳送。顯然，在這兩臺計算機之間必須有一條傳送數(shù)據(jù)的通路，但這遠遠不夠。我們還需要完成以下工作：①發(fā)起通信的計算機必須將數(shù)據(jù)通信的通路進行激活，這樣保證傳送計算機數(shù)據(jù)時能正確發(fā)送和接收。②要告訴網(wǎng)絡(luò)如何識別要接受數(shù)據(jù)的計算機。③發(fā)起通信的計算機必須查明對方計算機是否已準備好接收數(shù)據(jù)。④發(fā)起通信的計算機必須弄清楚，在對方計算機中文件管理程序是否已做好文件接收和文件存儲的準備工作。⑤若計算機的文件格式不兼容，則至少其中的一個計算機應(yīng)完成格式轉(zhuǎn)換成功。⑥對出現(xiàn)的各種差錯和意外事故，如數(shù)據(jù)傳送錯誤、重復(fù)或丟失，網(wǎng)絡(luò)中某個結(jié)點交換機出現(xiàn)故障等，應(yīng)當有可靠的措施保證對方計算機最終能夠收到正確的文件。除此之外，還可以做若干其他工作。

1.1.3路由器等網(wǎng)絡(luò)設(shè)備的安全問題

路由器主要功能是數(shù)據(jù)道功能和控制功能，路由器作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)通信的主要設(shè)備，嚴格來說，所有網(wǎng)絡(luò)攻擊都要經(jīng)過路由器，但有些典型的攻擊方式就是利用路由器的本身設(shè)計缺陷而展開，而有就直接在路由器上進行。1.2計算機網(wǎng)絡(luò)安全的相關(guān)技術(shù)

1.2.1防火墻技術(shù)

網(wǎng)絡(luò)防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間的傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。在邏輯上，防火墻是一個分離器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。現(xiàn)在防火墻可分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、代理型和檢測型。包過濾型是網(wǎng)絡(luò)中的分包傳輸技術(shù)。防火墻通過讀取數(shù)據(jù)包中的地址信息，如數(shù)據(jù)的源地址、目的地址、TCP/UDP源端口和目的端口，來判斷這些數(shù)據(jù)包是否來自可信的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。由于包過濾技術(shù)完全是基于網(wǎng)絡(luò)層的安全技術(shù)，它無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）是一種用于用于把IP地址轉(zhuǎn)換成臨時的注冊的IP地址標準。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出源地址和源端口映射為偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，當不符合規(guī)則時，則屏蔽外部的連接請求。代理型防火墻被稱為代理服務(wù)器，它是位于客戶機與服務(wù)器之間，當客戶機需要使用服務(wù)器上數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再有代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。監(jiān)測型防火墻，客觀地講并不是解決網(wǎng)絡(luò)安全問題的萬能藥房，而只是構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的一個組要部分。雖然防火墻是目前保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也存在明顯不足，比如無法防范通過防火墻以外的其他途徑的攻擊，也不能安全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。因此防火墻還需要和其他的安全技術(shù)一起構(gòu)筑網(wǎng)絡(luò)的安全屏障。

1.2.2網(wǎng)絡(luò)入侵與安全檢測

入侵檢測，它是對主機或網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性的計算機安全技術(shù)。如果把防火墻比作大門警衛(wèi)，入侵檢測就是網(wǎng)絡(luò)中不間斷的攝像機，是網(wǎng)絡(luò)安全的第二道閘門。

1.2.3防病毒技術(shù)

隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，其擴散速度越來越快，對計算機網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大威脅。因此，在病毒防范上普遍使用防病毒軟件，從功能上可分為網(wǎng)絡(luò)防毒軟件和單機防毒軟件兩大類。單機防毒軟件一般安裝在單臺PC上，注重“單機防病毒”。計算機病毒的防治，單純靠技術(shù)手段是不可能杜絕，只有把技術(shù)手段和治理機制緊密結(jié)合起來，提高用戶的防范意識，才有可能從根本上保護網(wǎng)絡(luò)系統(tǒng)的安全運行。計算機病毒在形式上越來越難以辨別，造成的危害日益嚴重，這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進，功能更全面。隨著計算機網(wǎng)絡(luò)、數(shù)字技術(shù)和互聯(lián)網(wǎng)技術(shù)的發(fā)展，計算機病毒的危害與日俱增。因此，加強計算機病毒的防范，確保計算機信息安全是當今計算機應(yīng)用過程中一項重要、緊迫研究課題。我們一方面把握對現(xiàn)在病毒防范措施，做好病毒防治工作；另一方面要加強對未來病毒的研究，探討新時期新病毒的新策略，做到防患于未然。

1.3安全對策

1.3.1網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段通常是控制網(wǎng)絡(luò)廣播風暴的一種基本手段，但其實也是保證網(wǎng)絡(luò)安全的一項重要措施。

1.3.2以交換式集線器

代替共享式集線器對局域網(wǎng)的中心交換機進行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險仍然存在，這是因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣當用戶與交換機進行通信時，兩臺計算機之間的數(shù)據(jù)包還是會被同一個集線器上的其他用戶所偵聽，所以應(yīng)當以交換式集線器代替共享式集線器，使數(shù)據(jù)包僅在兩個節(jié)點之間傳送，防止非法偵聽。

結(jié)束語：

由于網(wǎng)站的瀏覽量非常大，致使“熊貓燒香”病毒的感染范圍非常廣，中毒企業(yè)和政府機構(gòu)已經(jīng)超過千家，其中不乏金融與稅務(wù)以及能源等關(guān)系到國計民生的重要單位?？傊?，計算機網(wǎng)絡(luò)系統(tǒng)的安全管理與維護工作不是一朝一夕的事情，而是一項長期的工作，要想做好這項工作，我們必須不斷地總結(jié)經(jīng)驗，學習新的知識，引入先進的網(wǎng)絡(luò)安全設(shè)備和技術(shù)，確保網(wǎng)絡(luò)的高效安全運行。