浅析计算机网络安全威胁及防范措施 计算机网络安全原创论文

《浅析计算机网络安全威胁及防范措施 计算机网络安全原创论文》由会员分享，可在线阅读，更多相关《浅析计算机网络安全威胁及防范措施 计算机网络安全原创论文（9页珍藏版）》请在金锄头文库上搜索。

1、计算机网络安全原创论文浅析计算机网络安全威胁及防范措施摘要随着计算机网络技术的快速发展，网络安全日 益成为人们关注的焦点。本文分析了影响网络安全的主要因 素及攻击的主要方式，从管理和技术两方而就加强计算机网 络安全提出了针对性的建议。关键词计算机网络安全管理技术计算机网络是一个开放和自由的空间，它在大大增强信 息服务灵活性的同时，也带来了众多安全隐患，黑客和反黑 客、破坏和反破坏的斗争愈演愈烈，不仅影响了网络稳定运 行和用户的正常使用，造成重大经济损失，而且还可能威胁 到国家安全。如何更有效地保护重要的信息数据、提高计算 机网络系统的安全性已经成为影响一个国家的政治、经济、 军事和人民生活的重

2、大关键问题。本文通过深入分析网络安 全面临的挑战及攻击的主要方式，从管理和技术两方面就加 强计算机网络安全提出针对性建议。1. 影响网络安全的主要因素计算机网络所而临的威胁是多方面的，既包括对网络中 信息的威胁，也包括对网络中设备的威胁，但归结起来，主 要有三点：一是人为的无意失误。如操作员安全配置不当造 成系统存在安全漏洞，用户安全意识不强，口令选择不慎， 将自己的帐号随意转借他人或与别人共享等都会给网络安 全带来威胁。二是人为的恶意攻击。这也是目前计算机网络 所面临的最大威胁，比如敌手的攻击和计算机犯罪都属于这 种情况，此类攻击乂可以分为两种：一种是主动攻击，它以 各种方式有选择地破坏信息

3、的有效性和完整性；另一类是被 动攻击，它是在不影响网络正常工作的情况下，进行截获、 窃取、破译以获得重要机密信息。这两种攻击均可对计算机 网络造成极大的危害，并导致机密数据的泄漏。三是网络软 件的漏洞和“后门”。任何一款软件都或多或少存在漏洞， 这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部 分网络入侵事件都是因为安全措施不完善，没有及时补上系 统漏洞造成的。此外，软件公司的编程人员为便丁维护而设 置的软件“后门”也是不容忽视的巨大威胁，一旦“后门” 洞开，别人就能随意进入系统，后果不堪设想。2. 计算机网络受攻击的主要形式计算机网络被攻击，主要有六种形式。内部窃密和破 坏。内部人员有意

4、或无意的泄密、更改记录信息或者破坏网 络系统。截收信息。攻击者可能通过搭线或在电磁辐射的 范围内安装截收装置等方式，截获机密信息或通过对信息流 和流向、通信频度和长度等参数的分析，推出有用的信息。 非法访问。指未经授权使用网络资源或以未授权的方式使 用网络资源，主要包括非法用户进入网络或系统进行违法操 作和合法用户以未授权的方式进行操作。利用TCP/IP协 议上的某些不安全因素。目前广泛使用TCP/IP协议存在大 量安全漏洞，如通过伪造数据包进行，指定源路由（源点可 以指左信息包传送到目的节点的中间路由）等方式，进行APR 欺骗和IP欺骗攻击。病毒破坏。利用病毒占用带宽，堵 塞网络，瘫痪服务器

5、，造成系统崩溃或让服务器充斥大量垃 圾信息，导致数据性能降低。其它网络攻击方式。包括破 坏网络系统的可用性，使合法用户不能正常访问网络资源， 拒绝服务甚至摧毁系统，破坏系统信息的完整性，还可能冒 充主机欺骗合法用户，非法占用系统资源等。3. 加强计算机网络安全的对策措施3.1加强网络安全教育和管理：对工作人员结合机房、 硬件、软件、数据和网络等各个方面安全问题，进行安全教 育，提高工作人员的安全观念和责任心；加强业务、技术的 培训，提高操作技能；教育工作人员严格遵守操作规程和各 项保密规左，防止人为事故的发生。同时，要保护传输线路 安全。对于传输线路，应有露天保护措施或埋于地下，并要 求远离各

6、种辐射源，以减少各种辐射引起的数据错误；线 缆铺设应当尽可能使用光纤，以减少各种辐射引起的电磁泄 漏和对发送线路的干扰。要定期检查连接情况，以检测是否 有搭线窃听、非法外连或破坏行为。3.2运用网络加密技术：网络信息加密的目的是保护网 内的数据、文件、口令和控制信息，保护网上传输的数据。 加密数据传输主要有三种：链接加密。在网络节点间加密, 在节点间传输加密的信息，传送到节点后解密，不同节点间 用不同的密码。节点加密。与链接加密类似，不同的只是 当数据在节点间传送时，不用明码格式传送，而是用特殊的 加密硬件进行解密和重加密，这种专用硬件通常放置在安全 保险箱中。首尾加密。对进入网络的数据加密，

7、然后待数 据从网络传送出后再进行解密。网络的加密技术很多，在实 际应用中，人们通常根据各种加密算法结合在一起使用，这 样可以更加有效地加强网络的完全性。网络加密技术也是网 络安全最有效的技术之一。既可以对付恶意软件攻击，乂可 以防止非授权用户的访问。3.3加强计算机网络访问控制：访问控制是网络安全防 范和保护的主要策略，它的主要任务是保证网络资源不被非 法使用和非正常访问，也是维护网络系统安全、保护网络资 源的重要手段。访问控制技术主要包括入网访问控制、网络 的权限控制、目录级安全控制、属性安全控制、网络服务器 安全控制、网络监测和锁定控制、网络端口和节点的安全控 制。根据网络安全的等级、网络

8、空间的环境不同，可灵活地 设置访问控制的种类和数量。3.4使用防火墙技术：采用防火墙技术是解决网络安全 问题的主要手段。防火墙技术是建立在现代通信网络技术和 信息技术基础上的应用性安全技术，越来越多地应用于专用 网络与公用网络的互联环境之中。防火墙是在网络之间执行 访问控制策略的系统，通过监测、限制、更改跨越防火墙的 数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行 状况。具备检查、阻止信息流通过和允许信息流通过两种管 理机制，并且本身具有较强的抗攻击能力。在逻辑上，防火 墙是一个分离器、限制器和分析器，可以有效地监控内部网 和Internet之间的任何活动，保证内部网络的安全。防火 墙的

9、应用可最大限度地保障网络的正常运行，它可以起着提 高内部网络的安全性、强化网络安全策略、防止内部信息泄 漏、网络防毒、信息加密、存储通信、授权、认证等重要作 用。总之，网络安全是个综合性的课题，涉及技术、管理、 使用等诸多方面，既包括信息系统本身的安全问题，也有物 理的和逻辑的技术措施。因此，只有综合采取多种防范措施, 制定严格的保密政策和明晰的安全策略，才能完好、实时地 保证信息的机密性、完整性和可用性，为网络提供强大的安 全保证。参考文献1 吴饪锋，刘泉，李方敏网络安全中的密码技术研究及其应用J 真空电子技术，2004.2杨义先网络安全理论与技术M 北京：人民邮电出版社，2003.3李学诗

10、计算机系统安全技术M 武汉：华中理 工大学出版社，2003.1 WBM技术介绍随着应用Intranet的企业的增多，同时Internet技术逐渐向Intranet的 迁移，一些主要的网络厂商正试图以一种新的形式去应用M I S。因此就促使 了 Web (Web - Base dManagement)网管技术的产生2。它作为一种全 新的网络管理模式一基于Web的网络管理模式，从出现伊始就表现出强大的生命 力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被 誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。WBM融合了 Web功能与网管技术，从而为网管人员提供了比传统工

11、具更强有 力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器，在网络任何节 点上方便迅速地配置、控制以及存取网络和它的各个部分。因此，他们不再只拘 泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问 题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面，浏 览器操作和W e b页面对W W W用户来讲是非常熟悉的，所以WBM的结果必然是 既降低了 MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所 以说，WBM是网络管理方案的一次革命。2基于WBM技术的网管系统设计2. 1系统的设计目标在本系统设计阶段，就定下以开发基于园区网、Web

12、模式的具有自主版权的 中文网络管理系统软件为目标，采用先进的WBM技术和高效的算法，力求在性能 上可以达到国外同类产品的水平。本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行 有效资源管理，使用户可以从任何地方通过WEB浏览器对网络和设备，以及相关 系统和服务实施应变式管理和控制，从而保证网络上的资源处于最佳运行状态， 并保持网络的可用性和可靠性。2. 2系统的体系结构在系统设计的时候，以国外同类的先进产品作为参照物，同时考虑到技术发 展的趋势，在当前的技术条件下进行设计。我们采用三层结构的设计，融合了先 进的WBM技术，使系统能够提供给管理员灵活简便的管理途径。三层结构的

13、特点2: 1）完成管理任务的软件作为中间层以后台进程方式实 现，实施网络设备的轮询和故障信息的收集；2）管理中间件驻留在网络设备和浏 览器之间，用户仅需通过管理中间层的主页存取被管设备；3）管理中间件中继转 发管理信息并进行S N M P和H T T P之间的协议转换三层结构无需对设备作 任何改变。3网络拓扑发现算法的设计为了实施对网络的管理，网管系统必须有一个直观的、友好的用户界面来帮 助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现 在用户面前，即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发 现算法。基于SNMP的拓扑算法在一定程度上是非常有效的，拓扑的

14、速度也非常 快。但它存在一个缺陷3。那就是，在一个特定的域中，所有的子网的信息都 依赖于设备具有SNMP的特性，如果系统不支持SNMP,则这种方法就无能为力了。 还有对网络管理的不重视，或者考虑到安全方面的原因，人们往往把网络设备的 SNMP功能关闭，这样就难于取得设备的M I B值，就出现了拓扑的不完整性， 严重影响了网络管理系统的功能。针对这一的问题，下面讨论本系统对上述算法 的改进一基于ICMP协议的拓扑发现。3. 1 PING和路由建立PING的主要操作是发送报文，并简单地等待回答。PING之所以如此命名， 是因为它是一个简单的回显协议，使用ICMP响应请求与响应应答报文。PING主

15、要由系统程序员用于诊断和调试实现PING的过程主要是：首先向目的机器发送 一个响应请求的ICMP报文，然后等待目的机器的应答，直到超时。如收到应答 报文，则报告目的机器运行正常，程序退出。路由建立的功能就是利用I P头中的TTL域。开始时信源设置IP头的TTL 值为0,发送报文给信宿，第一个网关收到此报文后，发现TTL值为0,它丢弃 此报文，并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它 进行解析，这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿，第一个网关把它的TTL值减为0后转发给第二个网关，第二个网 关发现报文TTL值为0,丢弃此报文并向信源发送

16、超时ICMP报文。这样就得到 了路由中和第二个网关地址。如此循环下去，直到报文正确到达信宿，这样就得 到了通往信宿的路由。3.2网络拓扑的发现算法具体实现的步骤：于给定的IP区间，利用PING依次检测每个IP地址，将检测到的IP地址记 录到IP地址表中。对第一步中查到的每个IP地址进行traceroute操作，记录到这些IP地址 的路由。并把每条路由中的网关地址也加到IP表中。对IP地址表中的每个IP地址，通过发送掩码请求报文与接收掩码应答报文, 找到这些IP地址的子网掩码。根据子网掩码，确定对应每个IP地址的子网地址，并确定各个子网的网络 类型。把查到的各个子网加入地址表中。试图得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相 同域名，则说明同一个网络设备具有多个IP地址，即具有多个网络接口。