计算机网络安全技术的问题及解决办法

2013-04-19 11:00 作者：itwx 浏览量：

 随着计算机网络的广泛应用，网络安全问题显得日益重要。网络的开放性与共享性系统的复杂性、边界不确定性以及路径不确定性等等，都导致了网络安全性问题的发生，使得网络很容易受到外界的攻击和破坏，同样也使得数据信息的保密性受到严重影响。本文介绍对计算机网络安全存在的威胁的预防和杜绝起到一定的作用的一些技术及措施。

• 计算机网络安全的定义

国际标准化组织（ISO） 对计算机系统安全的定义是: 为数据处理系统建立和采用的技术和管理的安全保护, 保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络安全理解为: 通过采用各种技术和管理措施, 使网络系统正常运行, 从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。网络安全是随着网络的建设和应用的丰富而构建起来的一种需求。

二、影响计算机网络安全的因素

1、软件漏洞

每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地一旦连接入网，将成为众矢之的。

2、TCP/IP 的脆弱性

因特网的基石是TCP/IP 协议。该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP 协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

3、网络结构的不安全性

因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

4、易被窃听

由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

5、特洛伊木马

最典型的做法就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中, 改变合法用户的程序代码。一旦用户触发该程序, 那么依附在内的黑客指令程序同时被激活, 这些代码往往能完成黑客指定的任务。这种入侵法需要有很好的编程经验, 且要更改代码、要一定的权限, 因此属于一种高级攻击手段, 一般较难被网络管理员发现。

6、病毒

计算机病毒是一种程序, 它通过在计算机之间的传播,感染所经过的每一个地方,这样的复制是通过附着在某一类文件中来进行的。病毒的特点:很强的感染性;一定的潜伏性;特定的触发性;很大的破坏性。   

7、缺乏安全意识

虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

三、加强计算机网络安全防范管理的对策

 1、防火墙技术。

防火墙是在两个网络之间执行访问控制策略的一个或一组系统, 包括硬件和软件, 目的是保护网络不被他人侵扰。它是一种被动的防卫控制安全技术, 其工作方式是在公共网络和专用网络之间设立一道隔离墙, 以检查进出专用网络的信息是否被准许, 或用户的服务请求是否被授权, 从而阻止对信息资源的非法访问和非授权用户的进入。防火墙大致分为过滤路由器防火墙、双层网关防火墙、过滤式主机网关防火墙、过滤式子网防火墙和吊带式结构防火墙等。

2、数据加密技术。

数据加密技术是为了提高信息系统与数据的安全性和保密性, 防止机密数据被外部破译而采用的主要技术手段之一。它的基本思想是伪装明文以隐藏真实内容。目前常用的加密技术分为对称加密技术和非对称加密技术。信息加密过程是由加密算法来实现的, 两种加密技术所对应的算法分别是常规密码算法和公钥密码算法。

3、虚拟局域网(VLAN) 技术。

VLAN(Virtual Local Area Network) 又称虚拟局域网, 是采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网, 即一个逻辑广播域, 它可以覆盖多个网络设备, 允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN技术把传统的基于广播的局域网技术发展为面向连接的技术,从而赋予了网管系统限制虚拟网外的网络节点与网内的通信, 防止了基于网络的监听入侵。例如可以把企业内联网的数据服务器、电子邮件服务器等单独划分为一个VLAN, 把企业的外联网划分为另一个VLAN, 并且控制两个VLAN之间的单向信息流向。这就保证了企业内部重要数据不被非法访问和利用。

4、虚拟专用网(VPN) 。

VPN(VirtualPrivate Network) 技术是指在公共网络中建立专用网络。VPN不是一个独立的物理网络, 它只是逻辑上的专用网, 属于公网的一部分, 是在一定的通信协议基础上, 通过Internet在远程客户机与企业内网之间, 建立一条秘密的、多协议的虚拟专线, 所以称之为虚拟专用网。例如利用Internet, 基于IP协议, 可以建立IPVPN。VPN 保证了远程客户机与企业内联网之间通过专用网来进行机密通信。

5、入侵检测技术(IDS)。

入侵检测技术又称为IDS( Intrusion Detection System) ,是近几年出现的新型网络安全技术, 目的是提供实时的入侵检测以及采取相应的防护手段。它是基于若干预警信号来检测针对主机和网络入侵事件的技术。一旦检测到网络被入侵之后, 立即采取有效措施来阻断攻击, 并追踪定位攻击源。入侵检测技术包括基于主机的入侵检测技术和基于网络的入侵检测技术两种。

6、安全审计技术。

安全审计技术记录了用户使用网络系统时所进行的所有活动过程。可以跟踪记录中的有关信息, 对用户进行安全控制。它分诱捕与反击两个阶段:诱捕是通过故意安排漏洞, 接受入侵者的入侵, 并诱使其不断深入, 以获得更多的入侵证据和入侵特征; 反击是当系统掌握了充分证据和准备后, 对入侵行为采取的有效措施, 包括跟踪入侵者的来源和查询其真实身份, 切断入侵者与系统的连接等。

7、安全扫描技术。

安全扫描技术是一种重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合, 能够有效提高网络的安全性。通过对网络的扫描, 网络管理员可以了解网络的安全配置和运行的应用服务, 及时发现安全漏洞, 客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置, 在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段, 那么安全扫描就是一种主动的防范措施, 可以有效避免黑客攻击行为, 做到防患于未然。包括基于服务器的安全扫描技术和基于网络的安全扫描技术。例如可以实时扫描网络中的服务器、路由器、交换机、防火墙等设备的安全漏洞。

8、防病毒技术。

网络防病毒技术是网络应用系统设计中必须解决的问题之一。病毒在网上的传播极其迅速, 且危害极大。并且在多任务、多用户、多线程的网络系统工作环境下, 病毒的传播具有相当的随机性, 从而大大增加了网络防杀病毒的难度。目前最为有效的防治办法是购买商业化的病毒防御解决方案及其服务, 采用技术上和管理上的措施。要求做到对整个网络集中进行病毒防范、统一管理, 防病毒产品的升级要做到无需人工干预, 在预定时间自动从网站下载最新的升级文件, 并自动分发到局域网中所有安装防病毒软件的机器。

上。

计算机网络安全是一个综合性课题，是一个复杂的系统工程，不仅是技术问题，更是管理问题，同时还涉及立法、使用等方方面面。另外，网络安全技术也不是某一方面的，一种技术只能解决一方面问题，它留给我们研究的空间非常大，任务非常艰巨。

   --- 版权最终归艾锑无限所有http://www.itbmw.com/ 如需转载，请标明出处。