計算機網絡安全技術的問題及解決辦法

2013-04-19 11:00 作者：itwx 瀏覽量：

 隨著計算機網絡的廣泛應用，網絡安全問題顯得日益重要。網絡的開放性與共享性系統的復雜性、邊界不確定性以及路徑不確定性等等，都導致了網絡安全性問題的發生，使得網絡很容易受到外界的攻擊和破壞，同樣也使得數據信息的保密性受到嚴重影響。本文介紹對計算機網絡安全存在的威脅的預防和杜絕起到一定的作用的一些技術及措施。

• 計算機網絡安全的定義

國際標準化組織（ISO） 對計算機系統安全的定義是: 為數據處理系統建立和采用的技術和管理的安全保護, 保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網絡安全理解為: 通過采用各種技術和管理措施, 使網絡系統正常運行, 從而確保網絡數據的可用性、完整性和保密性。所以,建立網絡安全保護措施的目的是確保經過網絡傳輸和交換的數據不會發生增加、修改、丟失和泄露等。網絡安全是隨著網絡的建設和應用的豐富而構建起來的一種需求。

二、影響計算機網絡安全的因素

1、軟件漏洞

每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地一旦連接入網，將成為眾矢之的。

2、TCP/IP 的脆弱性

因特網的基石是TCP/IP 協議。該協議對于網絡的安全性考慮得并不多。并且，由于TCP/IP 協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

3、網絡結構的不安全性

因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

4、易被竊聽

由于因特網上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。

5、特洛伊木馬

最典型的做法就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中, 改變合法用戶的程序代碼。一旦用戶觸發該程序, 那么依附在內的黑客指令程序同時被激活, 這些代碼往往能完成黑客指定的任務。這種入侵法需要有很好的編程經驗, 且要更改代碼、要一定的權限, 因此屬于一種高級攻擊手段, 一般較難被網絡管理員發現。

6、病毒

計算機病毒是一種程序, 它通過在計算機之間的傳播,感染所經過的每一個地方,這樣的復制是通過附著在某一類文件中來進行的。病毒的特點:很強的感染性;一定的潛伏性;特定的觸發性;很大的破壞性。   

7、缺乏安全意識

雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

三、加強計算機網絡安全防范管理的對策

 1、防火墻技術。

防火墻是在兩個網絡之間執行訪問控制策略的一個或一組系統, 包括硬件和軟件, 目的是保護網絡不被他人侵擾。它是一種被動的防衛控制安全技術, 其工作方式是在公共網絡和專用網絡之間設立一道隔離墻, 以檢查進出專用網絡的信息是否被準許, 或用戶的服務請求是否被授權, 從而阻止對信息資源的非法訪問和非授權用戶的進入。防火墻大致分為過濾路由器防火墻、雙層網關防火墻、過濾式主機網關防火墻、過濾式子網防火墻和吊帶式結構防火墻等。

2、數據加密技術。

數據加密技術是為了提高信息系統與數據的安全性和保密性, 防止機密數據被外部破譯而采用的主要技術手段之一。它的基本思想是偽裝明文以隱藏真實內容。目前常用的加密技術分為對稱加密技術和非對稱加密技術。信息加密過程是由加密算法來實現的, 兩種加密技術所對應的算法分別是常規密碼算法和公鑰密碼算法。

3、虛擬局域網(VLAN) 技術。

VLAN(Virtual Local Area Network) 又稱虛擬局域網, 是采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網, 即一個邏輯廣播域, 它可以覆蓋多個網絡設備, 允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。VLAN技術把傳統的基于廣播的局域網技術發展為面向連接的技術,從而賦予了網管系統限制虛擬網外的網絡節點與網內的通信, 防止了基于網絡的監聽入侵。例如可以把企業內聯網的數據服務器、電子郵件服務器等單獨劃分為一個VLAN, 把企業的外聯網劃分為另一個VLAN, 并且控制兩個VLAN之間的單向信息流向。這就保證了企業內部重要數據不被非法訪問和利用。

4、虛擬專用網(VPN) 。

VPN(VirtualPrivate Network) 技術是指在公共網絡中建立專用網絡。VPN不是一個獨立的物理網絡, 它只是邏輯上的專用網, 屬于公網的一部分, 是在一定的通信協議基礎上, 通過Internet在遠程客戶機與企業內網之間, 建立一條秘密的、多協議的虛擬專線, 所以稱之為虛擬專用網。例如利用Internet, 基于IP協議, 可以建立IPVPN。VPN 保證了遠程客戶機與企業內聯網之間通過專用網來進行機密通信。

5、入侵檢測技術(IDS)。

入侵檢測技術又稱為IDS( Intrusion Detection System) ,是近幾年出現的新型網絡安全技術, 目的是提供實時的入侵檢測以及采取相應的防護手段。它是基于若干預警信號來檢測針對主機和網絡入侵事件的技術。一旦檢測到網絡被入侵之后, 立即采取有效措施來阻斷攻擊, 并追蹤定位攻擊源。入侵檢測技術包括基于主機的入侵檢測技術和基于網絡的入侵檢測技術兩種。

6、安全審計技術。

安全審計技術記錄了用戶使用網絡系統時所進行的所有活動過程。可以跟蹤記錄中的有關信息, 對用戶進行安全控制。它分誘捕與反擊兩個階段:誘捕是通過故意安排漏洞, 接受入侵者的入侵, 并誘使其不斷深入, 以獲得更多的入侵證據和入侵特征; 反擊是當系統掌握了充分證據和準備后, 對入侵行為采取的有效措施, 包括跟蹤入侵者的來源和查詢其真實身份, 切斷入侵者與系統的連接等。

7、安全掃描技術。

安全掃描技術是一種重要的網絡安全技術。安全掃描技術與防火墻、入侵檢測系統互相配合, 能夠有效提高網絡的安全性。通過對網絡的掃描, 網絡管理員可以了解網絡的安全配置和運行的應用服務, 及時發現安全漏洞, 客觀評估網絡風險等級。網絡管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置, 在黑客攻擊前進行防范。如果說防火墻和網絡監控系統是被動的防御手段, 那么安全掃描就是一種主動的防范措施, 可以有效避免黑客攻擊行為, 做到防患于未然。包括基于服務器的安全掃描技術和基于網絡的安全掃描技術。例如可以實時掃描網絡中的服務器、路由器、交換機、防火墻等設備的安全漏洞。

8、防病毒技術。

網絡防病毒技術是網絡應用系統設計中必須解決的問題之一。病毒在網上的傳播極其迅速, 且危害極大。并且在多任務、多用戶、多線程的網絡系統工作環境下, 病毒的傳播具有相當的隨機性, 從而大大增加了網絡防殺病毒的難度。目前最為有效的防治辦法是購買商業化的病毒防御解決方案及其服務, 采用技術上和管理上的措施。要求做到對整個網絡集中進行病毒防范、統一管理, 防病毒產品的升級要做到無需人工干預, 在預定時間自動從網站下載最新的升級文件, 并自動分發到局域網中所有安裝防病毒軟件的機器。

上。

計算機網絡安全是一個綜合性課題，是一個復雜的系統工程，不僅是技術問題，更是管理問題，同時還涉及立法、使用等方方面面。另外，網絡安全技術也不是某一方面的，一種技術只能解決一方面問題，它留給我們研究的空間非常大，任務非常艱巨。

   --- 版權最終歸艾銻無限所有http://www.richjn.cn/ 如需轉載，請標明出處。