网络风险与安全策略探讨

摘 要：信息时代，网络在人们工作与生活中发挥着越来越重要的作用。然而，网络本身固有的一些不健全的特性，又使其很容易被网络不法分子和黑客攻击。本文探讨了网络存在的风险以及常见的对应安全防范策略。

【关键词】计算机网络 网络安全

1 计算机网络风险网络安全

计算机网络是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来，以功能完善的网络软件（即网络通信协议、网络操作系统及信息交换方式等）实现网络中资源共享和信息传递的系统。因为计算机网络本身的一些开放性的、不健全的特性，使其时常面临多方面的风险。通常来说主要有三个方面：一是计算机病毒。种类繁多的计算机病毒利用网络软件和硬件本身存在的缺陷和不足，依靠自身的“复制”能力，严重破坏数据，影响计算机使用，甚至导致计算机系统瘫痪。由此造成的损失十分巨大。二是黑客和网络不法分子的攻击。这种人为的恶意攻击是计算机网络所面临的最大威胁，黑客一旦非法入侵资源共享广泛的经济、政治、军事和科学等领域，盗用、暴露和篡改网络中存储和传输的数据，其造成的损失是无法估量的。三是计算机操作者非恶意的误操作。如个别用户网络安全意识不足，网络管理员安全配置存在的漏洞等。

1.1 嗅探攻击

嗅探攻击是利用计算机的网络接口截获目的地为其它计算机的传输数据的工具。比如影音嗅探工具，现在很多网上的视频只提供在线播放而看不到下载地址，这时候用这个工具，他能嗅探到这个视频的真实地址。嗅探器分为软件和硬件两种。

1.2 拒绝服务攻击

拒绝服务攻击是攻击者想办法让目标服务器停止提供服务，是黑客常用的攻击手段之一，一般通过向某个站点服务器发送大量的、无用的信息，从而堵寒该站点的运行，最终导致网络服务项目终止服务（例如电子邮件系统或联机功能）。

1.3 源IP地址欺骗攻击

源IP地址欺骗攻击是指入侵者生成具有伪造的源地址IP包，用于欺骗目标系统。IP欺骗可以用于突破基于IP地址的访问控制机制。通过IP地址的伪装使得某台主机能够伪装另外的一台主机，而这台主机通常具有某种特权或被另外的主机所信任，以蒙混过关。进而开始一系列的攻击。

1.4 口令攻击

网络系统大多使用口令来限制未经授权的访问，一旦攻击者能猜测或者确定用户的口令，他就能获得网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，这是非常危险的。口令的取得通常有三种方法：一是通过网络非法监听得到用户口令；其次是在知道用户的账号后利用一些专门软件强行破解用户口令；再次是利用系统管理员的失误，在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过加密后专门存放在一个叫shadow的文件中。黑客在获得一个服务器的用户口令Shadow文件后，用暴力破解程序破解用户口令。

1.5 缓冲区溢出攻击

缓冲区溢出是目前最常见的一种安全问题，这种攻击是属于系统攻击的手段，操作系统以及应用程序大都存在缓冲区溢出漏洞。缓冲区溢出是由编程错误引起的，缓冲区是一段连续内存空间，具有固定的长度。程序的缓冲区被攻击者写入超出其规定长度的内容时，就会造成缓冲区溢出，达到攻击的目的。

1.6 破坏信息的完整性

信息完整性是指信息在输入和传输的过程中，不被非法修改和破坏，保证数据的一致性。 保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。攻击者通过对信息进行篡改，更改信息的内容等；有时是删除某个消息或消息的某些部分；还有可能在消息中插入一些垃圾信息，使接收方接收到错误的信息。

2 计算机网络的防护

网络攻击的手段是发展变化、多种多样的，攻击和防护是矛和盾的关系。所以建立网络安全防护体系，就同时要走技术和管理相结合的道路。

2.1 物理安全策略

网络防御的物理安全重点在于对整个网络的保护，它是保护服务器、计算机、网络连接设备等系统免受外部攻击的关键。使用计算机网络时首先要经过身份验证，防止越权操作。另外，网络系统的工作环境要得以加强和完善，网络系统的管理制度要健全，尽量避免发生人为破坏系统。物理安全策略还包括网络的安全管理，制定相关的网络管理制度等。

2.2 网络安全防护技术

2.2.1 防火墙技术

防火墙是指在不同网络之间的一系列部件的组合，按物理结构分为硬件防火墙和软件防火墙，它是不同网络之间信息的唯一通道，防火墙是位于内部网或Web站点与Internet之间的一个路由器或一台计算机又称为堡垒主机，其目的如同一个安全门。实现了被保护对象和外部系统之间的逻辑隔离。在互联网上不防碍人们对风险区域的访问的同时，通过它来隔离安全区域与风险区域的连接。

2.2.2 网络信息加密技术

信息加密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。通过数据加密技术，可以在提高数据传输的安全性和完整性。目前较为流行的几种加密体制和加密算法有：RSA算法和CCEP算法等。加密系统的安全不是基于算法而是基于密钥的，因此加密系统的密钥管理是一个非常重要的问题。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。

2.2.3身份验证技术

身份验证技术是用户向系统出示自己身份的过程。用户的帐号和口令是防止非法访问的首要防线。传统的静态口令认证技术是现今大多数网络系统所使用的最简单的访问控制方法，通过口令的匹配来确认用户的合法性，只有输入正确的口令，才可以进入网络，否则访问将被拒绝。为保证口令的安全性，用户帐号和口令通常是经过加密处理的。

2.2.4 病毒防治技术

计算机网络的病毒类型是多种多样的，既有微机上常见的某些计算机病毒，也有专门攻击计算机网络的网络型病毒。网络一旦染上病毒，影响要远比单机染毒更大，破坏性也更大。目前，计算机病毒防治技术，主要有三种，分别为特征码扫描法、虚拟执行技术和文件实时监控技术。

2.2.5 入侵检测技术

入侵检测技术是一种用于检测计算机网络中违反安全策略行为的技术，是一种能够及时发现并报告系统中未授权或异常现象的技术。进行入侵检测的硬件与软件的组合便是入侵检测系统（简称IDS）。入侵检测是防火墙的合理补充，提高了信息安全基础结构的完整性。

2.2.6 数字签名技术

文件加密只能解决传送信息的保密问题，为防止他人对传输的文件进行破坏，以及确定发信人的身份还需要采取数字签名技术。数字签名技术可以起到核准、认证和生效作用。身份识别技术使识别者能让对方识别到自己的真正身份，以确保识别合法者。

网上安全只是相对的，因为入侵者不只用一种方法入侵，这就意味着只有堵塞一切漏洞才能防患于未然，但这显然是不可能的。计算机和网络安全策略、过程与机制被人们认识与接受，是一个渐进的过程。计算机网络安全维护策略多种多样，在网络安全技术飞速发展的今天，只有将不同侧重点的安全防范策略与最新的技术手段有效地结合起来，科学合理地管理计算机网络，凡是预见到可能出现的问题，都应该及时地设防，健全完善安全管理制度，不断为我们的电脑请来安全的保护神，才能确保网络的安全、可靠地运行。

参考文献

[1] 戴英侠等.计算机网络安全[M].清华大学出版社，2005.

[2] 张千里.网络安全基础与应用[M].北京：人民邮电出版社，2007.

[3] 张世永.网络安全原理与应用[M].北京科学出版社，2003.

作者单位

黑龙江农垦职业学院 150025