郭　勇

摘要：随着网络技术的发展，我们的生活已经与网络密不可分。我们在享受网络给我们带来的便利与快乐的同时也感受到了不安全的网络会给我们带来的极大的不愉快和难以弥补的经济损失。所以我们要对网络安全有所了解。要知道网络隐患存在于哪里。有哪些行之有效的防御手段。

关键词：网络 安全 防御

1 计算机网络安全的概念

国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

2 计算机网络攻击的特点

计算机网络攻击具有以下特点：

2.1 损失巨大 由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。

2.2 威胁社会和国家安全 一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

2.3 手段多样，手法隐蔽 计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹，隐蔽性很强。

3 计算机网络中的安全缺陷

3.1 TCP/IP TCP/IP是一种开放式的标准，在Internet上被广泛使用，但是存在很多安全漏洞。例如HTTP、FTP和ICMP，其本质上就是不安全的；ICMP对于消息不作验证就可以发出，当收到后，可以继续重定向发送到下一个设备上；而对于SNMP而言，它是网络管理中用得最多的消息，但是版本1和版本2中的身分验证和访问控制等功能相当的薄弱，而且不具有保密性；对于TCP/IP协议而言，容易受到SYN flood攻击，也是该协议不完善的地方。所以需要一系列安全处理方式对这些漏洞进行弥补。通常对于远程节点的访问采用基于安全的IP协议IP Sec来实现。而对于其他关键数据在发送的时候已经做好了相应的处理。

3.2 系统安全漏洞 对于操作系统而言，也存在很多安全漏洞，许多Web服务器及其他关键数据受到攻击都来自于这些漏洞，通常Windows XP/2003/Vista以及Linux、UNIX、MacOSX都存在安全漏洞，特别应值得注意的是，这些安全漏洞通常是在发布后几个小时，就有主机因这些漏洞而被攻破。

4 网络攻击和入侵的手段

网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

4.1 口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

4.2 IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。

4.3 域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。

5 防御措施

5.1 加强内部网络管理人员以及使用人员的安全意识 很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。

5.2 网络防火墙技术 是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

5.3 安全加密技术 加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

5.4 网络主机的操作系统安全和物理安全措施 防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全；同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。

总之，我们要提高网络安全意识，认清网络的不安全性。采取必要的安全策略来保障信息的安全，进而降低风险，减少不必要的损失。

参考文献：

[1]胡道元.计算机局域网［Ｍ］.北京：清华大学出版社.2001.

[2]朱理森，张守连.计算机网络应用技术［Ｍ］.北京：专利文献出版社.2001.

[3]刘占全.网络管理与防火墙［M］.北京：人民邮电出版社.1999.

[4]胡文启，叙军，张伍荣.网管实战宝典.北京：清华大学出版社.2008.