~ Brief Ana1ysi S of Securi ty Technolo9ies of Computer Network and i ts Protection 李文英 ‘LiWenying (江西科技馆,江西南昌330025) (Jiangxi Science and Technology Museum,Jiangxi Nanchang 330025) 摘要:伴随信息技术的发展,互联网的共享性、开放性以及互联程度不断扩大,计算机网络已经逐步涉及到社会生活的 各个领域,网络安全问题日渐突出。本文试图从计算机安全技术层面,分析探究计算机信息安全的防范之策。 关键词:计算机网络;网络安全;安全防护 中图分类号:TP393 文献标识码:A 文章编号:1671-4792.(2010)9.0070—03 Abstract:With the development ofinformation technologies and ceaseless improvement ofnetwork openness,sharing ability nad network interconnection,the computer network has gradually stepped into various fields of the social life and hte problems arising out ofits security are increasingly serious.This paper tries tO analyze and probe nito the precautions to the information securiyt ofeomput- el"technically. Keywords:Computer Network;Netwo ̄Security;Securiyt Protection 0引言 (1)UPNP服务漏洞。此漏洞允许攻击者执行任意指令。 伴随信息技术的高速发展,Intemet的广泛普及,互联网 Windows操作系统默认启动UPN服务存在严重漏洞,使攻 的共享性、开放性以及互联程度不断扩大,计算机网络已经 击者可非法获取任何XP的系统级访问,进行攻击,还可通 逐步涉及到社会生活的各个领域。但是另一方面病毒、黑客 过控制多台X P机器发起分布式的攻击。 程序、邮件炸弹、远程侦听等网络安全问题日渐突出,成为困 (2)帮助和支持中心漏洞。此漏洞可以删除用户系统的 扰计算机网络工作的一个严峻问题。本文通过从计算机安全 文件,帮助和支持中心提供集成工具,用户通过该工具获取 技术层面的分析,对计算机信息安全面临的威胁和解决的技 针对各种主题的帮助和支持。此漏洞使攻击者可跳过特殊的 术措施进行探讨。 网页来使上传文件或文件夹的操作失败,随后该网页可在网 1计算机网络安全面临的主要威胁 站上公布,以攻击访问该网站的用户或被作为邮件传播来攻 1.I系统漏洞 击。 漏洞也叫脆弱性,是计算机系统在硬件、软件、协议的具 (3)RDP信息泄露并拒绝服务漏洞。Windows操作系统 体实现或系统安全策略上存在的缺陷和不足。从计算机系统 通过RDP(Remote Data Protoco1)为客户端提供远程终端会 软件编写完成开始运行的那刻起,计算机系统漏洞也就伴随 话,RDP将终端会话的相关硬件信息传送至远程客户端。 着产生了。除了计算机系统本身,许多应用软件也存在着一 (4)VM漏洞。此漏洞可能造成信息泄露,并执行攻击者 些逻辑设计上的缺陷或编写错误。 的代码。攻击者可通过向JDBC类传送无效的参数使宿主应 漏洞一旦被发现,就可使用这个漏洞获得计算机系统的 用程序崩溃。 额外权限,使攻击者能够在未授权的情况下访问系统,通过 (5)帐号快速切换漏洞。Windows操作系统快速帐号切 植入木马、病毒等方式来攻击或控制整个电脑,从而窃取重 换功能存在漏洞,可被造成帐号锁定,使所有非管理员帐号均 要资料和信息,甚至破坏操作系统,危害计算机系统安全。常 无法登录。 见的Windows操作系统漏洞主要有: 1.2计算机病毒 目前计算机网络安全的头号公敌是计算机病毒,它是编 制者在计算机程序中插入的破坏计算机功能或数据,影响计 算机软件,硬件的正常运行并且能够自我复制的一组计算机 指令或程序代码。病毒不会通过偶然形成,现在流行的多数 1.5欺骗性软件或数据 网络的重要特征是资源共享,正是由于共享资源的“数 据开放性”,导致数据信息容易被篡改和删除,数据安全性较 低。例如“网络钓鱼”攻击,“网络钓鱼”是指利用欺骗性的电 计 算 机 网 病毒是人为编写的,甚至可以找到作者和产地信息。 计算机病毒具有可执行性寄生性、传染性、隐蔽性、触 发性、破坏性、攻击性、针对性、变异性、非法性和不可预见性 、子邮件和伪造的Web站点进行诈骗活动。诈骗者通常会将 自己伪装成知名银行、在线零售商和信用卡公司等知名品 牌,这些钓鱼式攻击比较隐蔽,受骗者往往会无意中泄漏自 络 安 全 技 术 等特点。病毒传播的主要途径有:网络下载或浏览、电子邮 己的财务数据,如信用卡号、账户用户名、口令和社保编号等 其 及 件、局域网、光盘、磁盘、u盘,主要是通过拷贝文件、传送文 件、运行程序等方式进行。它的蔓延会给计算机网络带来巨 大的损失和严重的威胁。计算机感染上病毒后,轻则导致系 统工作效率下降,重则会造成系统毁坏或死机,硬件系统完 金瘫痪。 1.3黑客攻击 计算机网络安全的另一个重要威胁是黑客攻击。黑客使 用现有的软件或自己开发的小工具,利用计算机系统或网络 的漏洞(包括软件漏洞、硬件漏洞、网络协议漏洞、管理方面 的漏洞和一些人为的错误)实施攻击。关于通过网络攻击信 息系统造成经济损失的报道已有许多,就连防御最严密的美 国国防部五角大楼内,每年都有成千上万的非法入侵者侵入 其内部网络系统。我国的ISP、证券公司及银行也多次被国 内外黑客攻击。在互联网上黑客站点随处可见,黑客工具可 以任意下载,对网络的安全造成了极大的威胁。 目前黑客网络攻击的类型主要有以下几种: ①利用监听嗅探技术获取对方网络上传输的有用信息; ②利用拒绝服务攻击使目的网络暂时或永久性瘫痪; ③利用网络协议上存在的漏洞进行网络攻击; ④利用系统漏洞,例如缓冲区溢出或格式化字符串等, 以获得目的主机的控制权: ⑤利用网络数据库存在的安全漏洞,获取或破坏对方重 要数据; ⑥利用计算机病毒传播快、破坏范围广的特性,开发合 适的病毒破坏对方网络。 1.4安全意识低 许多用户的安全使用意识不强,使用脆弱的用户口令, 不进行安全检查就使用移动存储设备进行数据传递,随意回 复来源不明的垃圾邮件,轻易输入私密信息,在公用电脑上 使用Cookie,在防火墙内部架设服务器却不对账户认证严格 限制,将自己的账号随意转借他人或与他人共享等,都会造 成网络安全的隐患。 内容。在所有接触诈骗信息的用户中,有高达5%的人都会 护 防 对这些骗局做出响应。 研 目前许多大型网站和组织已经规范了对此类攻击的应 究 对措施,提供给网民的安全功能也在不断增强。网络钓鱼已 把越来越多的把目光对准了应变能力更低的较小网站。 2计算机网络安全的防范措施 2.1防火墙技术 网络防火墙技术指的是一种用来加强网络之间的访问 控制,防止外部网络用户用非法手段通过外部网络进入到内 部网络,访问内部网络资源,保护内部网络操作环境的网络 互连设备。它越来越多地应用于专用网络与公用网络的互联 环境之中,不同网络之阐信息都会经过它的过滤,防火墙会 根据自身的安全政策控制(允许、拒绝、监测)出入网络的信 息流,而且它本身也具有较强的抗攻击能力,不会被病毒控 制。防火墙可以阻止网络中的黑客来访问你的机器,防止他 们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供 了很好的服务,为我们更安全地使用网络提供了很好的保 障。 2.2漏洞扫描技术 漏洞扫描是自动检测远端或本地主机安全的技术,它查 询TCP/IP各种服务的端口,并记录目标主机的响应,收集关 于某些特定项目的有用信息。这项技术的具体实现就是安全 扫描程序,扫描程序可以在很短的时间内查出现存的安全脆 弱点。扫描程序开发者利用可得到的攻击方法,并把它们集 成到整个扫描中,扫描后以统计的格式输出,便于参考和分 析。 2-3病毒防护技术 计算机病毒越来越复杂,对网络系统的安全危害也越来 越严重。当病毒入侵电脑,可以采用主动防御技术,对病毒进 行准确判断,并对其进行拦截。在病毒防范中普遍使用的防 病毒软件,主要分为单机防病毒软件与网络防病毒软件。单 机防病毒软件对本地与本地工作站连接的远程资源采用分 71 ~ 析扫描的方式检测、清除病毒。网络防病毒软件注重网络防 即网络传输数据不会在设备上或传输过程中被非法窃取而 病毒,如果病毒入侵网络或从网络向其他资源传播,网络防 病毒软件会及时检测并删除。 2.4访问控制技术 访问控制技术用来确定用户访问权限、防止非法用户进 采用的一个十分重要的安全措施。通常来说,人们把未经过 加密的数据称为“明码 ,经过加密的数据称为。密码”,从明 码到密码的加密处理过程是一个以密钥为参数的函数变换 过程,称为正变换;反之,把密码变为明码的过程称为反变 入网络系统的技术,是网络安全防范和保护的主要核心策 换。一般情况下。从明码到密码的执行算法并不保密,但在变 略,主要包括网络访问控制、网络权限控制、目录级控制以及 属性控制等多种手段。入网访问控制为网络访问提供了第一 层访问控制,它控制哪里用户能够登陆并获取网络资源,控 制准许用户入网时间和在哪台工作站入网。网络权限控制是 针对网络非法操作所提出的一种安全保护措施,用以控制用 户和用户组可以访问哪些目录、子目录、文件和其它资源;目 录级安全控制可以指定用户在目录一级的权限,使其对所有 文件和子目录有效,还可进一步指定对目录下的子目录和文 件的权限;属性控制可以控制用户向某个文件写数据、拷贝 文件、删除目录或文件、查看目录和文件、执行文件、隐含文 件、共享等操作。 2.5用户识别技术 为了使网络具有是否允许用户存取数据的判别能力,避 免出现非法传送、复制或篡改数据等不安全现象,网络需要 采用的识别技术。常用的识别方法有口令、唯一标识符、标记 识别等。口令是最常用的识别用户的方法,通常是由计算机 系统随机产生,不易猜测,保密性强,必要时,还可以随时更 改,实行固定或不固定使用有效期制度,进一步提高网络使 用的安全性;唯一标识符一般用于高度安全的网络系统,采 用对存取控制和网络管理实行精确而唯一的标识用户的方 法,每个用户的唯一标识符是由网络系统在用户建立时生成 的一个数字,且该数字在系统周期内不会被别的用户再度使 用;标记识别是一种包括随机精确码卡片(如磁卡等)的识 别方式,标记是口令的物理实现,用它代替系统打人口令。每 个用户必须拥有一张卡片,但为了提高安全性,可以用于多 个口令的使用。 2.6数据加密技术 数据加密技术是为了提高信息系统及数据的安全性和 保密性所采用的主要技术手段之一,是为了确保数据安全, 换过程中必须加入密钥参数,算法才能获得正确结果。因此, 数据加密的安全性主要取决于密钥参数的保密程度。 密码类型基本有三种:移位密码、代替密码和乘积密码。 移位密码是一种通过改变明码中每个字符或代码的相对位 置获得的密码:代替密码是一种用其它字符或代码代替明码 字符后获得的密码;乘积密码则是一种通过混合代替方法使 明码变成难以破解的密码。实际上,在实际加密过程中,一般 不单独使用一种密码,而是将上述三种密码经过多次变换迭 代生成。 3结束语 计算机网络安全不是一个孤立静止的概念,而是多层 面、多因素、综合的、动态的过程。这项非常复杂的动态工程, 需要通过对内部网络的每一个环节进行有效部署,集中收集 内部网络中的威胁,分析面对的风险,灵活适当的调整安全 管理策略。同时兼顾使用环境,提高管理人员和工作人员的 素质,将人和各种安全技术结合在一起,才能构建起高效、通 用、安全的网络系统,营造一个安全的网络环境。 参考文献 【1】楚狂.网络安全与防火墙技术口订1.北京:人民邮电出版 社,2009. 【2】蒋萍.我国计算机网络及信息安全存在的问题与对策 【J】.矿山机械,2007,10(56):159-162. 【3】刘王君.计算机网络信息安全及其防护策略的研究【J】. 有色金属加工,2009,(03). 作者简介: 李文英(1971—),女,汉族,江西省南昌市人,大学本科, 从事科普教育培训工作。
