计算机网络安全防护

计算机网络安全防护院系：计算机科学与技术专业：计算机科学与技术姓名：摘要：随着网络规模的不断扩大以及应用的不断深入,网络中的安全问题也逐步暴露出来。本文介绍了计算机网络安全方面的有关知识,对网络安全方面存在的漏洞进行了分析,并针对这些漏洞提出了计算机网络安全的基本技术关键字：计算机；网络安全；病毒；漏洞1.计算机网络安全问题分析自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CHI病毒，使人们对病毒的认识更加深了一步。而目前，互联网上病毒、蠕虫程序、木马程序、拒绝服务攻击、网络欺诈等新的攻击手段越来越多,导致数据泄密、硬件损坏等事件屡屡发生,甚至导致世界性的互联网瘫痪,造成军事、经济等各方面无法估计的损失。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。目前使用的操作系统或多或少地存在安全漏洞,本身系统的漏洞、浏览器的漏洞、IIS的漏洞、服务安全漏洞、Unix自身的病毒等等,这些都对网络安全构成威胁。2.计算机网络安全的定义网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的机密性，完整性，即可使用新设的保护。根据网络安全的特点，网络安全问题包括两方面的内容一是网络本身的系统安全。二是网络的信息安全而网络安全的最终目的是信息安全，要像信息安全必须保证网络系统软件应用软件数据库系统就有一定的安全保护功能。并保证网络部件如终端、调制解调器、数据链路的功能仅仅能被那些被授权的人访问。3.计算机网络安全面临的威胁3.1来自网络硬件系统的安全威胁。网络硬件系统的安全隐患主要表现在物理安全方面的问题。计算机或网络设备。包括主机显示器、电源、交换机、路由器等，除了难以抗拒的自然灾害外，温度、湿度、静电、电磁场也可能造成信息的泄露或失效，甚至危害使者的健康和生命安全。3.2来自软件系统的安全威胁。软件系统的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞，如“冲击波”病毒就是针对操作系统中的漏洞实施攻击软件系统的安全隐患主要表现在操作系统、数据库和应用软件上。3.3网络和通信协议的安全性的缺乏。Internet上普遍使用的标准主要基于TCP/IP架构。TCP/IP在设计上存在着一定不足，对于安全问题，不能提供通信所需的安全性和保密性。虽然TCP/TP经历了多次改版级，但由F协议本身的原因，未能彻底解决自身的安全问题，存在以下隐患：（1）缺乏用户身份鉴别机制TCP/IP使用IP地址作为网络节点的唯一标识，而IP地址很容易被伪造或更改。TCP/TP没有树立对IP包1源地真实性的鉴别和保密机制，因此，Internet上任何一台主机都可以另一台主机进行地址欺骗，使得网上传输数据的真实性无法得到保证。（2）缺乏路由协议鉴别机制TCP/IP在IP层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别和保护。因此，可以通过Internet利用路由信息修改网络传输路径，误导网络分组传输。（3）缺乏保密性TCP/IP数据流采用的明文传输方式无法保障信息的保密性和完整性。(4)TCP/UDP的缺陷TCP/UDP是基于IP上的传输协议，TCP分段和UDP数据包是封装在IP包中传输的，除可能面临IP层所遇到的安全威胁外，还存在TCPUDP实现中的安全隐患。例如，攻者可以利用TCP建立所需要的“三次握手”，使TCP连接处于“半打开状态”，实现拒绝服务攻击。UDP是个无连接协议:板易受到IP源路由和拒绝服务攻击。(5)TCP/IP服务的脆弱性各种应用层服务协议(如FTP、DNS.HTTP、SMTP等)本身存在安全隐患，涉及身份鉴别、访问控制、完整性和机密性多个方面。4.网络系统安全综合解决措施4.1杀毒软件技术杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等）的重要组成部分。杀毒软件通常集成监控识别、病毒扫描和清除、自动升级病毒库、主动防御等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统（包含杀毒软件、防火墙、特洛伊木马和其他恶意软件的查杀系统和入侵预防系统等）的重要组成部分。杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的反病毒软件还带有数据恢复、防范黑客入侵，网络流量控制等功能。杀毒技术在不断的进步，但是众多杀毒软件只能杀死病毒，杀死木马，并且在病毒查杀过程中存在着文件误杀，数据破坏的问题。如何实现系统杀毒与数据保护并存是现有杀毒技术需要改进的方面之一。4.2防火墙技术(1)网络层防火墙

网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端口号、目的IP地址或端口号、服务类型（如HTTP或是FTP）。也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。

(2)应用层防火墙

应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法很麻烦（软件有千万种啊），所以大部分的防火墙都不会考虑以这种方法设计。XML防火墙是一种新型态的应用层防火墙。根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

（3）数据库防火墙

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。4.3数据加密技术在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如TripleDES、GDES、NewDES和DES的前身Lucifer；欧洲的IDEA；日本的FEALN、LOKI?91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。一般的数据加密可以在通信的三个层次来实现：链路加密、节点加密和端到端加密。4.4网络扫描与监听网络扫描是黑客实施攻击前获得目标及其漏洞信息的重要手段，而网络监听则是黑客向内部网进行渗透的常用手法。扫描是进行信息收集的一种必要工具，它可以完成大量的重复性工作，为使用者收集与系统相关的必要信息。对于黑客来讲，扫描是攻击系统时的有力助手，而对于管理员，扫描同样具备检查漏洞，提高安全性的重要作用。发现目标的扫描主要有Ping扫描和ICMP查询两种，而TCP扫射和UDP扫射也可用于发现目标是否存活。还有探测开放服务的端口扫描和漏洞扫描。漏洞扫描是使用漏洞扫描程序对目标系统进行信息查询，通过漏洞扫描，可以发现系统中存在的不安全的地方。针对各种服务的漏洞是一个庞大的数字，在2001年一年中，仅微软就针对自己的产品一共发布了上百个安全漏洞，而其中接近半都是IS漏洞。这些庞大的漏洞全部由手工检测是非常困难的。网络监听可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等方面的极大安全隐患。能够捕获口令(如FTP，Telnet明文传输)它的危害是能够捕获专用的或机密的信息(信用卡的使用)，可以危害网络邻居的安全，获得进一步攻击所需要的信息网络监听的预防和检测为了达到良好的嗅探效果，入侵者一般将嗅探器放置在被攻击机器或网络附近，这样才能捕获到很多口令，还有一个常见的方法就是放在网关上。如果嗅探器运行在路由器上，或有路由功能的主机上，这样就能捕获到更多的口令