威胁计算机网络安全的一些问题.doc

威胁计算机网络安全的一些问题 网络安全威胁的几种类型： 网络信息安全要注意的问题： 网络信息安全的需求： 网络信息安全的机制： 网络信息安全要注意的问题： 网络信息安全要实现的功能： 网络安全是信息系统安全的重要组成部分，信息安全或信息系统安全就是为一个组织机构实现业务、建立起保障各种应用信息在获取、处理存储和传输过程中保持其机密性、完整性、可用性、可控性和可审计性的特性而建立起的一个体系和工程实现。 网络（物理、虚拟或逻辑）的作用则是为信息系统提供控制信息和实现信息的通信环境和平台。因此网络安全可理解为是为信息系统提供一个可信的通信环境和安全存储、传输平台。 局域网内的通信连接和信息传输可认为是在相对可信的运行环境中运行的，换句话说，如果局域网不以任何形式与外部网络进行物理连接，那么可以认为该局域网内的运行环境是一个可信任环境，当然“可信”是有条件的，这个条件是局域网内的各运行实体和用户均受到行政和技术措施的严格约束并有良好的用户上机和安全操作的职业培训。 对于不受外部公共网络威胁的局域网内部而言，在进行网络规划时，至少应采用以下安全措施： 1，合理划分子网，如果划分子网有困难，至少也应进行虚拟局域网（VLAN）的配置管理， 2不可将不同安全等级需求的用户和/或资源服务器放在同一网段或同一VLAN中。 3局域网内各子网段之间和重要资源设备与用户之间最好加装物理隔离设备（例如防火墙或双口的代理服务器）或采用逻辑隔离措施（例如应用代理服务器）对于安全等级需求特别高的机密、要害和敏感部门的局域网除在网络结构上采取上述措施外，还应做到 (1) 子网之间或用户之间的访问采用“双因子”鉴别措施。 (2) 网间传输可能导致的电子辐射控制及防护要有国家规定的保密措施。 (3) 必要时，在应用层、网络层或链路层上重加密防护措施。 网际互联技术通过路由机制和基于TCP/IP协议族的递交、控制协议成功地解决了任意两个网络之间主机之间以及网络与主机之间的互联互通问题。这样形成的互联互通网络由于TCP协议和IP协议的安全性缺陷极易受到来自公共网络的各种威胁以及由无连接传输带来的安全问题这些问题主要表现为： 1 利用IP数据包中的报头信息在传输过程中的暴露性，收集目标网络信息 2 利用IP数据包中的源地址缺之真实性的鉴别和保密机制的缺陷，攻击者可以从公共网络上伪造或假冒被攻击网络IP地址。 3 利用IP层缺之路由协议的安全认证机制的缺陷发布伪造的路由消息误导IP包的传输路径造成路由混乱 4 利用TCP“三次连接”过程，插入假的客户IP地址，造成TCP连接处于“半开”状态，实现TCPSYN淹没的攻击，使网络拒绝正常连接服务。 5 利用TCP连接初始化过程共享序列号的可猜测缺陷，实现对目标的IP欺骗攻击。 UDP是一个无连接传输协议，极易受IP源路由和拒绝服务攻击。 7 明文分组通过公共网络是侦听，侦测设备可获取并可理解的，但这一点对利用公共网络传输秘密、机密和敏感信息的用户是不可接受的。 当局域网外部公共网以生物理连接后，在公共网络看来，一个运行TCP/IP协议的局域网是完整暴露的，因此局域网与外部公共网络的连接通道上，需要配罢放火墙设备。这种防火墙设备应具备IP分组过滤、网络地址转换和MAC-IP地址绑定等基本功能。其中IP分组过滤可以对违背安全策略的IP分组予以阻断；网络地址转换可以对外部网络隐藏局域网内部拓扑。这种情况下，防火墙担负着堡垒机的功能，另一方面在内联网的运行中，网络地址转换还可以使用少量全局的IP地址（通过公共网络）连接大量的私有IP地址（局域网子和/主机）节省宝贵的IP地址资源，MAC—IP地址绑定通过将主机的MAC地址（惟一性标识代码）与IP地址相互映射，但不有利于网关将数据分组转发到指定的目的地，而且可有效防3IP地址欺骗，因为IP 地址的可以伪造和假冒，但MAC地址 是惟一的。拨号网络服务是应用十分广泛的网络服务，拨号网络连接的身份认证的安全性十分脆弱，传输线缆的电磁泄漏严重，不适合公务信息传送或敏感信息递交，即使用于个人通信和电子商务也需进一步采取安全防范措施，例如附加身份鉴别措施和采用SSL技术等电子商务实施加密和鉴别服务。 尤其值得提醒的是，在局域网内部绝不允许未授权安装和使用拨号服务进行网络连接，因为这种连接方式完全脱离了法人单位的安全策略控制，而且也绕过了防火墙的控制，这是一种隐藏安全危机的且易于实现漏洞。网络连接过程中的安全问题主要是连接实体的鉴别以及网络服务和访问控制。网络通信的安全问题主要是物理隔离和逻辑隔离，网络传输中的风险主要是数据完整性和机密性问题，当数据在传输过程中遭到创建插入修改或删除时，完整性便受到破坏，当数据在传输过程中遭到截取、窃听时、机密性受到破坏。在各种专用物理网络中，传输过程中当然完