罗　龙

[摘要]随着计算机技术的发展，网络大家已不再陌生，它改变了人们的日常生活、工作的方式，给大家带来很大的方便。但同时基于网络的安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。

[关键词]网络安全 认证加密 访问权限 入侵检测系统

中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2009）0720057－01

当今社会，网络已经成为信息交流便利和开放的代名词，然而伴随计算机与通信技术的迅猛发展，网络攻击与防御技术也在循环递升，原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁，网络安全已变成越来越棘手的问题。在此，笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。

一、影响网络安全的主要因素

随着计算机网络的普及，网络安全问题成了人们关心的焦点，影响计算机网络安全的主要因素有：

1．TCP/IP的脆弱性。作为所有网络安全协议基石的TCP/IP协议，其本身对于网络安全性考虑欠缺，这就使攻击者可以利用它的安全缺陷来实施网络攻击。

2．软件系统的不完善性造成了网络安全漏洞，给攻击者打开方便之门。

3．网络结构的不安全性。由于因特网采用了网间网技术，因此当两台主机进行通信时，攻击者利用一台处于用户数据流传输路径上的主机，就可以劫持用户的数据包。

4．缺乏安全意识和策略。由于人们普遍缺乏安全意识，网络中许多安全屏障形同虚设。如为了避开防火墙的额外认证，直接进行PPP连接，给他人留下可乘之机等。

5．管理制度不健全，网络管理、维护任其自然。

二、网络攻击的特点

1．损失巨大。网络计算机一旦被攻击和入侵，就会处于瘫痪状态，给计算机用户造成巨大的经济损失。如据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元。

2．威胁社会和国家安全。一些攻击者出于各种目的，经常把政府、军事等部门作为攻击目标，对社会和国家安全造成极大的威胁。

3．手段多样，手法隐蔽。网络攻击的手段五花八门，既可以通过监视网上数据获取别人的保密信息；也可以通过截取帐号和口令，进入别人的计算机系统；还可以通过特殊方法绕过防火墙等等。这些都可以在很短时间内通过一台联网的计算机不留痕迹地完成。

4．以软件攻击为主。大部分网络攻击都是通过对软件的截取和攻击，破坏整个计算机系统。因此，要求人们对计算机各种软件进行严格的保护。

三、网络攻击的主要途径

网络攻击是指攻击者通过非法手段获得非法权限，并通过这些非法权限对被攻击的主机进行非授权操作。网络攻击的主要途径有破译口令、IP欺骗和DNS欺骗。

1．口令是计算机系统抵御入侵者的一种重要手段，口令入侵是指破译合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。

2．IP欺骗是指利用TCP/IP协议的脆弱性和对目标网络的信任，伪造IP地址，假冒被信任主机与被入侵主机进行连接，并对被信任主机发起淹没攻击，使其处于瘫痪状态。

3．域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，采用客户机/服务器机制，提供主机名字和IP地址之间的转换信息。通常，在网络用户与DNS服务器进行通信时，UDP协议不对转换或更新的信息进行身份认证，当攻击者危害DNS服务器并明确更改主机名IP地址映射表时，DNS欺骗就会发生，也就是说用户只能得到一个完全处于攻击者控制下的IP地址。

四、网络安全的主要技术

网络安全技术随着网络实践的发展而发展，涉及的技术面非常广，其中认证、加密、防火墙及入侵检测等都是网络安全的重要防线。

1．认证。对合法用户进行认证，限制合法用户的访问权，防止非法用户获得信息访问权。如：（1）身份认证，当系统的用户要访问系统资源时，确认是否是合法用户。（2）报文认证，通信双方对通信的内容进行验证。（3）访问授权，确认用户对某资源的访问权限。（4）数字签名，一种使用加密认证电子信息的方法。

2．数据加密。通过一种方式使信息变得混乱，让未被授权的人看不懂它。主要包括：（1）私钥加密，加密信息和解密信息使用同一个密钥。（2）公钥加密，加密信息和解密信息使用两个不同的密钥。

3．配置防火墙。防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。大多数防火墙都采用几种功能相结合的形式来保护网络不受攻击，其中最流行的有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高。

4．采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。

5．其他网络安全技术。（1）智能卡技术。智能卡就是密钥的一种媒体，由授权用户持有并被赋予口令或密码，该密码与内部网络服务器上注册的密码一致，一般与身份验证联用。（2）安全脆弱性扫描技术。针对网络分析当前系统设置和防御手段，指出系统中潜在或存在的安全漏洞，以改进系统对网络入侵的防御能力。（3）网络数据存储、备份及容灾规划。这是一种当系统遇到灾难后可以迅速恢复数据，在最短时间内重新正常运行的安全技术方案。（4）还有我们较为熟悉的网络防杀病毒技术等等。

参考文献：

[1]朱理森、张守连，计算机网络应用技术[M].北京：专利文献出版社，2001.

[2]刘占全，网络管理与防火墙[M].北京：人民邮电出版社，1999.

[3]张千里、陈光英，网络安全新技术[M].北京：人民邮电出版社，2003.

[4]陈爱民，计算机的安全与保密[M].北京：电子工业出版社，2002.