浅谈计算机网络安全问题和防范措施.doc

浅谈计算机网络安全问题2、计算机网络的安全问题 计算机网络的安全威胁主要来源于利用主机、网络设备和网络架构的安全漏洞进行恶意攻击，计算机网络的恶意攻击方式主要有以下几种：(1)窃听报文：攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。（2）IP地址欺骗：攻击者通过改变自己的I地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文来更改路由信息，以窃取信息。（3）源路由攻击：报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。（4）地址端口扫描：通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道主机的系统软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对主机进行攻击，使得主机整个Down掉或无法正常运行。(5)拒绝服务攻击：攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。由于制造拒绝式服务攻击的方式越来越简单，已经成为网络上主要的公害之一。（6）应用层攻击：有多种形式，包括利用操作系统软件或者应用软件的漏洞，植入“特洛依木马”监控和完全控制受害主机等。（7）蠕虫病毒的传播：随着email、Internet的普及，蠕虫病毒的传播已经逐步成为Internet上最大的公害之一。因为蠕虫病毒的传播速度非常，通过网络可以迅速地传播到世界的各个角落。蠕虫病毒传播的时候会消耗大量的网络带宽，造成整个网络的繁忙以及各种网络设备的不堪负重。 计算机网络安全问题的核心是, 通过计算机、网络、密码技术和安全技术, 保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。总之, 网络安全就是借助于一定的安全策略,使得在开放的网络环境中保护私有信息的保密性、完整性及可用性, 其主要目标是确保经开放网络传输的私有信息到达目的计算机后没有任何改变或丢失, 以及只有授权者可以获取响应信息。因此必须确保所有组网部件能根据需求提供必要的功能。 3、计算机网络安全的防范 总结以上各种安全问题, 计算机网络的安全主要在分为两类: 物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。保密性是指高级别信息仅在授权情况下流向低级别的客体；完整性指信息不会被非授权方修改, 信息保持一致性等； 可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。针对这些情况, 我们可以提出以下几点安全防范措施： 3、1 保证传输介质的物理安全 禁止任何人在传输介质上接上自己的窃密线进行“窃听”。解决的方法是对于传输线路及其中的设备进行必要的保护, 如要远离辐射源, 以减少由于电磁干扰引起的数据错误; 检查网络布线系统,以防外连的企图, 并且经常用软件工具扫描机器端口的状态等。 3、2 合理设置访问控制 实现访问控制的方法很多, 一般是使用在主机或路由器中的一张“访问控制表”, 通过它来允许或拒绝远程主机所请求的服务。这种方法并不绕过任何正常的安全检查, 而是增加了一次使服务请求源有效的检查。实现访问控制的另一种方法是通过硬件完成, 在接收到访问要求后, 先询问并验证口令,然后访问列于目录中的授权用户标志号。不管哪种方式, 我们都可以通过特定网段及服务建立的访问控制体系, 限制尝试登录的次数或时间, 超出后系统就自动地退出, 从而将绝大多数攻击阻止在到达攻击目标之前。 3、3 使用子网去分散控制 达到网络安全的一种方法, 是将一个大型网络系统中的各段的责任和控制权分散给一些小组。子网是分散网络控制的一种强有力的手段。在创建子网时, 应指定一个子网管理员负责其网络的安全,并有权为该网络的各设备分配IP地址。通过分配IP地址, 子网管理员在一定程度上就可控制谁能连接子网, 还有助于确保子网管理员知道赋予了地址的每个系统及该系统的负责人。当子网管理员将一部分IP地址赋予一个系统时, 他还将某些安全责任分配给该系统的管理员。同样, 当该系统的管理员批准一个用户帐号时, 同时也将某些安全责任分配给了该用户。这种责任的层次结构从高到低包括网络管理员、子网管理员、系统管理员和用户, 在该层次结构的每层都有人负责和具体执行。这种方法将迫使大量的人员来考虑安全问题, 而不是通过少数几个专业人员来提高安全性。 3、4 完善鉴别机制 鉴别是为每一个通信方查明另一个实体身份和特权的过程。它是在对等实体间交换认证信息, 以便检验和确认对等实体的合法性, 也是访问控制实现的先决条件。鉴别机制中采用报文鉴别, 也可以