刍议计算机网络安全.docVIP

刍议计算机网络安全 　　摘 要：作者根据多年工作经验对计算机网络安全问题进行了阐述，并提出相关对策，仅供同行参考。 　　关键词：计算机网络；网络安全；网络攻击；对策 　　1 计算机网络安全问题 　　网络安全的威胁主要有三个方面： 　　人员的失误 如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。 　　人为的恶意攻击，这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。 　　2 常见的网络攻击 　　2.1 病毒的攻击 　　计算机病毒是指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒具有一些共性，如传播性、隐蔽性、破坏性和潜伏性等，同时具有自己的一些个性。 　　2.2 系统漏洞攻击 　　漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 　　网络的基石是TCP/IP协议簇，该协议簇在实现上力求效率，没有考虑安全因素，因为那样无疑增大代码量，从而降低TCP/IP的运行效率，所以说TCP/IP本身在设计上就是不安全的。计算机网络缺乏安全策略，配置复杂（访问控制的配置一般十分复杂，很容易被错误配置，从而给黑客以可乘之机），因为这些先天的不足，所以容易被窃听和欺骗。 　　2.3 欺骗类攻击 　　欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中，如果使用伪装的身份与被攻击的主机进行通信，向其发送报文，往往会导致主机出现错误操作，甚至对攻击主机做出信任判断。这时，攻击者可冒充被信任的主机进入系统，而有机会预留后门供以后使用。根据假冒方式的不同，这种攻击可分为：IP欺骗，DNS欺骗，电子邮件欺骗，源路由欺骗等。 　　3 网络安全问题应对策略 　　3.1 访问控制策略 　　3.1.1 入网访问控制 　　入网访问控制为网络访问提供了第一层访问控制网。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。 　　3.1.2 网络的权限控制 　　网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。 　　3.1.3 目录级安全控制 　　网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。 　　3.1.4 属性安全控制 　　当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。 　　3.1.5 网络服务器安全控制 　　网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。 　　3.1.6 网络监测和锁定控制 　　网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形、文字或声音等形式报警，以引起网络管理员的注意。 　　3.2 信息加密策略 　　信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端-端加密的目的是对源端用户到目的端用户的数据提供保护；节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形色色的加密算法来具体实施。 　　3.3 病毒攻击的应对策略 　　在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品，需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。以下是几个具体的反病毒措施：