計算機網(wǎng)絡(luò)安全技術(shù)的問題及解決辦法

2013-04-19 11:00 作者：itwx 瀏覽量：

 隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問題顯得日益重要。網(wǎng)絡(luò)的開放性與共享性系統(tǒng)的復(fù)雜性、邊界不確定性以及路徑不確定性等等，都導(dǎo)致了網(wǎng)絡(luò)安全性問題的發(fā)生，使得網(wǎng)絡(luò)很容易受到外界的攻擊和破壞，同樣也使得數(shù)據(jù)信息的保密性受到嚴重影響。本文介紹對計算機網(wǎng)絡(luò)安全存在的威脅的預(yù)防和杜絕起到一定的作用的一些技術(shù)及措施。

• 計算機網(wǎng)絡(luò)安全的定義

國際標準化組織（ISO） 對計算機系統(tǒng)安全的定義是: 為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護, 保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網(wǎng)絡(luò)安全理解為: 通過采用各種技術(shù)和管理措施, 使網(wǎng)絡(luò)系統(tǒng)正常運行, 從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。所以,建立網(wǎng)絡(luò)安全保護措施的目的是確保經(jīng)過網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會發(fā)生增加、修改、丟失和泄露等。網(wǎng)絡(luò)安全是隨著網(wǎng)絡(luò)的建設(shè)和應(yīng)用的豐富而構(gòu)建起來的一種需求。

二、影響計算機網(wǎng)絡(luò)安全的因素

1、軟件漏洞

每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地一旦連接入網(wǎng)，將成為眾矢之的。

2、TCP/IP 的脆弱性

因特網(wǎng)的基石是TCP/IP 協(xié)議。該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP 協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。

3、網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

4、易被竊聽

由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。

5、特洛伊木馬

最典型的做法就是把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中, 改變合法用戶的程序代碼。一旦用戶觸發(fā)該程序, 那么依附在內(nèi)的黑客指令程序同時被激活, 這些代碼往往能完成黑客指定的任務(wù)。這種入侵法需要有很好的編程經(jīng)驗, 且要更改代碼、要一定的權(quán)限, 因此屬于一種高級攻擊手段, 一般較難被網(wǎng)絡(luò)管理員發(fā)現(xiàn)。

6、病毒

計算機病毒是一種程序, 它通過在計算機之間的傳播,感染所經(jīng)過的每一個地方,這樣的復(fù)制是通過附著在某一類文件中來進行的。病毒的特點:很強的感染性;一定的潛伏性;特定的觸發(fā)性;很大的破壞性。   

7、缺乏安全意識

雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

三、加強計算機網(wǎng)絡(luò)安全防范管理的對策

 1、防火墻技術(shù)。

防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng), 包括硬件和軟件, 目的是保護網(wǎng)絡(luò)不被他人侵擾。它是一種被動的防衛(wèi)控制安全技術(shù), 其工作方式是在公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)之間設(shè)立一道隔離墻, 以檢查進出專用網(wǎng)絡(luò)的信息是否被準許, 或用戶的服務(wù)請求是否被授權(quán), 從而阻止對信息資源的非法訪問和非授權(quán)用戶的進入。防火墻大致分為過濾路由器防火墻、雙層網(wǎng)關(guān)防火墻、過濾式主機網(wǎng)關(guān)防火墻、過濾式子網(wǎng)防火墻和吊帶式結(jié)構(gòu)防火墻等。

2、數(shù)據(jù)加密技術(shù)。

數(shù)據(jù)加密技術(shù)是為了提高信息系統(tǒng)與數(shù)據(jù)的安全性和保密性, 防止機密數(shù)據(jù)被外部破譯而采用的主要技術(shù)手段之一。它的基本思想是偽裝明文以隱藏真實內(nèi)容。目前常用的加密技術(shù)分為對稱加密技術(shù)和非對稱加密技術(shù)。信息加密過程是由加密算法來實現(xiàn)的, 兩種加密技術(shù)所對應(yīng)的算法分別是常規(guī)密碼算法和公鑰密碼算法。

3、虛擬局域網(wǎng)(VLAN) 技術(shù)。

VLAN(Virtual Local Area Network) 又稱虛擬局域網(wǎng), 是采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng), 即一個邏輯廣播域, 它可以覆蓋多個網(wǎng)絡(luò)設(shè)備, 允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。VLAN技術(shù)把傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù),從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點與網(wǎng)內(nèi)的通信, 防止了基于網(wǎng)絡(luò)的監(jiān)聽入侵。例如可以把企業(yè)內(nèi)聯(lián)網(wǎng)的數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器等單獨劃分為一個VLAN, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個VLAN, 并且控制兩個VLAN之間的單向信息流向。這就保證了企業(yè)內(nèi)部重要數(shù)據(jù)不被非法訪問和利用。

4、虛擬專用網(wǎng)(VPN) 。

VPN(VirtualPrivate Network) 技術(shù)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)。VPN不是一個獨立的物理網(wǎng)絡(luò), 它只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎(chǔ)上, 通過Internet在遠程客戶機與企業(yè)內(nèi)網(wǎng)之間, 建立一條秘密的、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)。例如利用Internet, 基于IP協(xié)議, 可以建立IPVPN。VPN 保證了遠程客戶機與企業(yè)內(nèi)聯(lián)網(wǎng)之間通過專用網(wǎng)來進行機密通信。

5、入侵檢測技術(shù)(IDS)。

入侵檢測技術(shù)又稱為IDS( Intrusion Detection System) ,是近幾年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù), 目的是提供實時的入侵檢測以及采取相應(yīng)的防護手段。它是基于若干預(yù)警信號來檢測針對主機和網(wǎng)絡(luò)入侵事件的技術(shù)。一旦檢測到網(wǎng)絡(luò)被入侵之后, 立即采取有效措施來阻斷攻擊, 并追蹤定位攻擊源。入侵檢測技術(shù)包括基于主機的入侵檢測技術(shù)和基于網(wǎng)絡(luò)的入侵檢測技術(shù)兩種。

6、安全審計技術(shù)。

安全審計技術(shù)記錄了用戶使用網(wǎng)絡(luò)系統(tǒng)時所進行的所有活動過程。可以跟蹤記錄中的有關(guān)信息, 對用戶進行安全控制。它分誘捕與反擊兩個階段:誘捕是通過故意安排漏洞, 接受入侵者的入侵, 并誘使其不斷深入, 以獲得更多的入侵證據(jù)和入侵特征; 反擊是當系統(tǒng)掌握了充分證據(jù)和準備后, 對入侵行為采取的有效措施, 包括跟蹤入侵者的來源和查詢其真實身份, 切斷入侵者與系統(tǒng)的連接等。

7、安全掃描技術(shù)。

安全掃描技術(shù)是一種重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合, 能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描, 網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù), 及時發(fā)現(xiàn)安全漏洞, 客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置, 在黑客攻擊前進行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段, 那么安全掃描就是一種主動的防范措施, 可以有效避免黑客攻擊行為, 做到防患于未然。包括基于服務(wù)器的安全掃描技術(shù)和基于網(wǎng)絡(luò)的安全掃描技術(shù)。例如可以實時掃描網(wǎng)絡(luò)中的服務(wù)器、路由器、交換機、防火墻等設(shè)備的安全漏洞。

8、防病毒技術(shù)。

網(wǎng)絡(luò)防病毒技術(shù)是網(wǎng)絡(luò)應(yīng)用系統(tǒng)設(shè)計中必須解決的問題之一。病毒在網(wǎng)上的傳播極其迅速, 且危害極大。并且在多任務(wù)、多用戶、多線程的網(wǎng)絡(luò)系統(tǒng)工作環(huán)境下, 病毒的傳播具有相當?shù)碾S機性, 從而大大增加了網(wǎng)絡(luò)防殺病毒的難度。目前最為有效的防治辦法是購買商業(yè)化的病毒防御解決方案及其服務(wù), 采用技術(shù)上和管理上的措施。要求做到對整個網(wǎng)絡(luò)集中進行病毒防范、統(tǒng)一管理, 防病毒產(chǎn)品的升級要做到無需人工干預(yù), 在預(yù)定時間自動從網(wǎng)站下載最新的升級文件, 并自動分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機器。

上。

計算機網(wǎng)絡(luò)安全是一個綜合性課題，是一個復(fù)雜的系統(tǒng)工程，不僅是技術(shù)問題，更是管理問題，同時還涉及立法、使用等方方面面。另外，網(wǎng)絡(luò)安全技術(shù)也不是某一方面的，一種技術(shù)只能解決一方面問題，它留給我們研究的空間非常大，任務(wù)非常艱巨。

   --- 版權(quán)最終歸艾銻無限所有http://www.jdsheng.cn/ 如需轉(zhuǎn)載，請標明出處。