李冬严

中国二十二冶集团有限公司，河北 唐山 064000

随着互联网的飞速发展，网络安全成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心信息的泄露与恶意的修改。网络安全威胁的个人、企业、国家的信息安全，应引起足够的重视。

1 影响计算机网络安全的主要因素

1）网络系统在稳定性和可扩充性方面存在问题

由于设计的系统不规范、不合理以及缺乏安全性考虑，因而使其受到影响。

2）网络硬件的配置不协调

一是文件服务器。它是网络的中枢，其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视，设计和选型考虑欠周密，从而使网络功能发挥受阻，影响网络的可靠性、扩充性和升级换代；二是网卡用工作站选配不当导致网络不稳定。

3）缺乏安全策略

许多站点在防火墙配置上无意识地扩大了访问权限，忽视了这些权限可能会被其他人员滥用。

4）访问控制配置的复杂性，容易导致配置错误，从而给他人以可乘之机。

5）管理制度不健全，网络管理、维护任其自然。

2 计算机网络攻击的特点和途径

计算机网络攻击具有下述特点：

1）损失巨大

由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。

2）威胁社会和国家安全

一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

3）手段多样，手法隐蔽

计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。

4）以软件攻击为主

几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件（包括计算机通信过程中的信息流）进行严格的保护。

网络攻击和入侵的主要途径：网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

1）破译口令

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

2）IP欺骗

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。

3）DNS欺骗

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。

3 计算机网络中的安全缺陷及产生的原因

网络安全缺陷产生的原因主要有：

第一，TCP/IP的脆弱性；

第二，网络结构的不安全性；

第三，易被窃听；

第四，缺乏安全意识。

4 确保计算机网络安全的防范措施

网络系统结构设计合理与否是网络安全运行的关键，为解除网络系统固有的安全隐患，可采取以下措施：

1）网络分段技术的应用将从源头上杜绝网络的安全隐患问题。所以采取物理分段与逻辑分段两种方法，来实现对局域网的安全控制；

2）以交换式集线器代替共享式集线器的方式将不失为解除隐患的又一方法。

强化计算机管理是网络系统安全的保证，加强设施管理，确保计算机网络系统实体安全；强化访问控制，力促计算机网络系统运行正常。

访问控制是网络安全防范和保护的主要措施，它的任务是保证网络资源不被非法用户使用和非常访问，是网络安全最重要的核心策略之一。

第一，建立入网访问功能模块。入网访问控制为网络提供了第一层访问控制。用户的入网访问控制可分为3个过程：用户名的识别与验证；用户口令的识别与验证；用户帐号的检查。在3个过程中，如果其中一个不能成立，系统就视为非法用户，则不能访问该网络。

第二，建立网络的权限控制模块。

第三，建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络属性可以控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件的查看、执行、隐含、共享及系统属性等，还可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。

第四，建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台；设置服务器登录时间限制、非法访问者检测和关闭的时间间隔；安装非法防问设备等。安装非法防问装置最有效的设施是安装防火墙。它是一个用以阻止网络中非法用户访问某个网络的屏障，也是控制进、出两个方向通信的门槛。

第五，建立档案信息加密制度。

第六，建立网络智能型日志系统。日志系统具有综合性数据记录功能和自动分类检索能力。在该系统中，日志将记录自某用户登录时起，到其退出系统时止，这所执行的所有操作，包括登录失败操作，对数据库的操作及系统功能的使用。日志所记录的内容有执行某操作的用户保执行操作的机器IP地址、操作类型、操作对象及操作执行时间等，以备日后审计核查之用。

第七，建立完善的备份及恢复机制。为了防止存储设备的异常损坏，可采用由热插拔SCSI硬盘所组成的磁盘容错阵列，以RAID5的方式进行系统的实时热备份。同时，建立强大的数据库触发器和恢复重要数据的操作以及更新任务，确保在任何情况下使重要数据均能最大限度地得到恢复。

第八，建立安全管理机构。安全管理机构的健全与否，直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。