塔 娜

（呼伦贝尔学院计算机科学与技术学院，内蒙古 呼伦贝尔 021008）

随着计算机网络技术的飞跃发展，计算机网络安全成为一个综合性的课题，涉及技术、管理、使用等许多方面，如何建立比较安全的网络体系，值得我们研究。下面笔者对网络攻击和入侵的主要途径、计算机网络中的安全缺陷及产生的原因、安全防范措施等方面谈一下自己的看法。

1 计算机网络安全定义

计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏，确保系统能连续、可靠、正常地运行，网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等，这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。

2 网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

2.1 破译口令

口令是计算机系统抵御入侵者的一种重要手段。所谓口令入侵是指使用某些合法用户的口令登录到目的主机，然后再实施攻击活动。这种攻击的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破解。

2.2 IP欺骗

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起攻击，使被信任的主机陷入瘫痪。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址认证而执行远程操作，这就给攻击者创造了机会。

2.3 DNS欺骗

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口“监听”，并返回用户所需的相关信息。DNS协议不对转换或信息的更新进行身份认证，这使得该协议容易被网络攻击者利用。当攻击者危害 DNS服务器并明确地更改主机名——IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器上。

3 计算机网络中的安全缺陷及产生的原因

3.1 TCP/IP的脆弱性

因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

3.2 网络结构的不安全性

因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

3.3 易被窃听

由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

3.4 缺乏安全意识

虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

4 安全防范措施

网络信息安全涉及方方面面的问题，是一个复杂的系统。一个完整的网络信息安全体系至少应包括3类措施：一是法律政策、规章制度及安全教育等外部软环境。二是技术方面，如信息加密存储传输、身份认证、防火墙技术、网络防毒等。三是管理措施，包括技术与社会措施。主要措施有：提供实时改变安全策略的能力、实时监控企业安全状态、对现有的安全系统实施漏洞检查等，以防患于未然。这三者缺一不可，其中，法律政策是安全的基石，技术是安全的保障，管理和审计是安全的防线。

4.1 完善计算机安全立法

我国先后出台的有关网络安全管理的规定和条例。但目前，在这方面的立法还远不能适应形势发展的需要，应该在对控制计算机犯罪的国内外立法评价的基础上，完善我国计算机犯罪立法，以便为确保我国计算机信息网络健康有序的发展提供强有力的保障。

4.2 网络安全的关键技术

（1）数据加密。数据加密又称密码学，它是一门历史悠久的技术，指通过加密算法和加密密钥将明文转变为密文，而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密，实现信息隐蔽，从而起到保护信息的安全的作用。有两种主要的加密类型：私匙加密和公匙加密。

（2）认证。对合法用户进行认证可以防止非法用户获得对公司信息系统的访问，使用认证机制还可以防止合法用户访问他们无权查看的信息。

（3）防火墙技术。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。目前，防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽等。但是，防火墙技术在网络安全防护方面也存在一些不足：防火墙不能防止内部攻击；防火墙不能取代杀毒软件；防火墙不易防止反弹端口木马攻击等。

（4）检测系统。入侵检测技术是网络安全研究的一个热点，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展：分布式入侵检测、智能化入侵检测和全面的安全防御方案。

（5）防病毒技术。随着计算机技术的发展，计算机病毒变得越来越复杂和高级，计算机病毒防范不仅仅是一个产品、一个策略或一个制度，它是一个汇集了硬件、软件、网络以及它们之间相互关系和接口的综合系统。

（6）文件系统安全。在网络操作系统中，权限是一个关键性的概念，因为访问控制实现在两个方面：本地和远程。建立文件权限的时候，必须在Windows 2000中首先实行新技术文件系统（New Technology File System，NTFS）。一旦实现了NTFS，你可以使用Windows资源管理器在文件和文件夹上设置用户级别的权限。你需要了解可以分配什么样的权限，还有日常活动期间哪些规则是处理权限的。Windows 2000操作系统允许建立复杂的文件和文件夹权限，你可以完成必要的访问控制。

4.3 制定合理的网络管理措施

（1）加强网络用户及有关人员的安全意识、职业道德和事业心、责任心的培养教育以及相关技术培训。

（2）建立完善的安全管理体制和制度，以起到对管理人员和操作人员鼓励与监督的作用。

（3）管理措施要标准化、规范化和科学化。

5 结束语

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。它涉及技术、管理、使用等许多方面，建立网络安全体系，需要国家政策和法规的支持研究开发，重视对计算机网络安全的硬件产品开发及软件研制，建立一个好的计算机网络安全系统。虽然病毒的种类很多，但我们只要掌握了其流通传播方式，便不难控制和查杀。只要不断健全网络安全的相关法规，提高网络安全防范的技术水平，就能有力地保障网络的安全。

1 冯博琴.计算机网络［M］.北京：高等教育出版社，2004

2 胡道元.计算机网络［M］.北京：清华大学出版社，2005

3 李艇.计算机网络管理与安全技术［M］.北京：高等教育出版社，2005