计算机网络安全性的研究.docVIP

关于计算机网络安全性的考虑 摘要：现在计算机网络安全变得越来越重要。本文中，我们给出了网络攻击的一些形式，接着从技术、管理、法律政策等方面较为全面地给出了保障计算机网络安全的措施。 关键词：网络安全；网络攻击；技术；管理；法律政策 中图分类号：TP393.08 文件标识码：A ABSTRACT The current safety of computer network is more and more important. In this thesis, we introduce some main kinds of network attacks, and give measures protecting the safety of computer network from technique、management、law policy and so on. KEYWORDS network safety, network attack, technique, management, law policy 引言 计算机网络是指把若干地理位置不同，且具有独立功能的计算机，通过通讯设备和线路相互连接起来，以实现信息传输和资源共享的一种计算机系统。计算机网络提供了资源共享性和系统的兼容性，通过分散工作点来提高工作效率，并且还具有可扩充性。然而，这些特点也增加了网络安全的复杂性和脆弱性，资源共享和分布增加了网络受威胁和攻击的可能性。随着信息技术的高速发展和全球一体化的加剧，计算机互联网络成为信息传输，发布和检索的重要途径。在这种情况下，网络环境下的信息安全问题成为首要问题，如果忽视这一问题，在信息系统网络化、国际化和公众化的今天，必然会带来一系列的问题，甚至会危及到国家的安全。 目前计算机网络所面临的安全威胁 目前，计算机网络安全问题主要表现在信息泄漏、信息篡改、拒绝服务、非授权接入和假冒非法使用网络资源等方面。这些对网络的威胁主要来源于网络硬件和软件两方面的不安全因素。一方面是电磁泄漏、搭线窃听、非法入侵、线路干扰、意外原因、病毒感染、信息截获等。另一方面，是操作系统本身的原因，（例如，Win95和Win98都存在着将用户信息发送到微软网站的“后门”）以及各种应用服务存在安全问题（例如，TCP/IP在设计时主要考虑了数据传输的可靠性和完整性，对安全因素几乎没有考虑）。 常见的网络攻击方式 我们把任何最终会导致网络数据被公开，信息丢失等攻击称为网络攻击。 1．拒绝服务攻击 拒绝服务攻击主要是导致系统或网络停止对合法用户的服务，例如攻击者在网络上发送大量的广播报，会导致网络对其他使用者无效（如对合法用户拒绝网络资源服务）。对于这种攻击典型的例子是ICMP重定向攻击，如果一台机器佯装成路由器截获所有到达某些目标网络或全部目标的IP数据报，改变目的主机路由，恶意攻击者可以直接发送非法的ICMP重定向报文，达到破坏的目的。 拒绝服务攻击与资源耗尽有关，攻击者首先识别出一些网络处理点，这些处理点要求对某些资源进行定位，然后创造消耗该资源的发生条件。通常情况下消耗三类资源：CPU资源、存储器资源、耗尽带宽。 2．互联网安全攻击 互联网安全协议（Ipsec）是十分流行的，大多数VPN网络通过Ipsec建立，但是Ipsec不是一种加密算法，也不是一种授权算法，Ipsec是其它算法在其中保护数据的规范。所以和其它安全产品一样，Ipsec可能被攻击并屈服。攻击包括： 密钥管理攻击：在Ipsec协议说明指出这些密钥应该如何交换，但它通常是指在通信开始时而不是结束时。在公钥交换中有“超时”机制，而且供应商之间并不存在真正的互用性。 客户鉴别：Ipsec没有任何用户鉴别机制，没有访问权，没有确认等等。Ipsec没提到客户支持。它主要是围绕LAN到LAN的VPN而设计的。 证书授权：Ipsec的密钥管理协议1KE分成两个部分。第一部分是Oakley密钥协议，该协议建立SA通信的第一阶段，这个过程包括保护以后的所有密钥交换协议。Oakley使用Diffle－Hellrun（D—H）公钥算法去生成通信双方之间的公共加密密钥。ISAKMP标准要求使用数字签名鉴别SA。需要关心的是ISAKMP标准没有说明特定的签名算法，也没指出采用哪类证书授权，但它指出了证书类型表识和证书交换。 3．RADIUS攻击 由于RADIUS技术中发现了内存溢出问题导致的脆弱性，这种脆弱性允许攻击者远程获得访问RADIUS服务器的超级用户权限。这种问题将自身作为对主机名IP地址的反向解析操作的结果，而RADIUS程序不检查主机名的长度就把主机名拷贝到堆栈中。攻击者可能设置一个很长的主机名，RADIUS程序就会把名字放入堆栈，结果导致内存溢出，然后恶意的代码就开始运行了。 4．