计算机网络安全及防范技术

论文导读：网络安全是信息安全领域一个非常重要的方面，随着计算机网络的广泛应用，网络安全的重要性也日渐突出，网络安全也已经成为国家、国防及国民经济的重要组成部分。
关键词：网络安全，网络安全缺陷，网络安全防范
 

网络安全是信息安全领域一个非常重要的方面，随着计算机网络的广泛应用，网络安全的重要性也日渐突出，网络安全也已经成为国家、国防及国民经济的重要组成部分。

一　计算机网络安全的含义

计算机网络安全是指利用计算机网络的管理控制功能和程序,保证网络环境中的数据的保密性,完整性和可用性。主要包括:硬盘设备安全,操作系统安全,数据信息安全和网络运行安全.任何一个方面出现漏洞,都会使整个网络系统的安全性受到破坏。

二　计算机网络中的安全缺陷及产生的原因

网络安全缺陷产生的原因主要有：

第一：网络系统本身的问题，目前流行的许多操作系统均存在网络安全漏洞，如Windows 和UNIX,MS NT。　黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。具体包括以下几个方面：稳定性和可扩充性方面，由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。

第二：网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

第三：TCP/IP的脆弱性。 因特网的基石是TCP/IP协议。但是该协议对于网络的安全性考虑得并不多。而且TCP/IP协议是公布于众的，对TCP/IP很熟悉的人，就可以利用它的安全缺陷来实施网络攻击。

第四：黑客的攻击手段在不断地更新，几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。

三　常见的网络攻击及其防范对策

1、IP地址伪装

攻击者通过改变自己的 IP地址来伪装成内部网用户或可信的外部网用户，以合法用户身份登录那些只以IP地址作为验证的主机；或者发送特定的报文以干扰正常的网络数据传输；或者伪造可接收的路由报文（如发送ICMP报文）来更改路由信息，来非法窃取信息。

防范方法：当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被网关或路由器拒绝，不允许该包离开局域网,因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点，IP源地址欺骗将基本上无法奏效。

2　特洛伊木马

特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器／客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。此类攻击的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。

防范方法：在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。

3 端口扫描

利用一些端口扫描工具来探测系统正在侦听的端口，来发现该系统的漏洞；或者是事先知道某个系统存在漏洞，而后通过查询特定的端口，来确定是否存在漏洞，最后利用这些漏洞来对系统进行攻击导致系统瘫痪。

防范方法：关闭闲置和有潜在危险的端口，将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）；QQ（4000端口）等不能被关闭。 在Windows NT核心系统（Windows 2000/XP/ 2003）中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS服务、IISAdmin服务等等），它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。也可以使用网络防火墙检查各端口，有端口扫描的症状时，立即屏蔽该端口。

4　过载攻击

过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。

防范方法：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。但是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。

参考文献：
1、《计算机网络安全技术》 王群 北京：清华大学出版社
2、 《网络管理与防火墙》 刘占全 北京：人民邮电出版社