錢馳波

摘要：計算機技術(shù)與互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與日益成熟，給人們帶來強大的信息共享功能之外，也同樣帶來了信息安全問題。針對計算機信息網(wǎng)絡各種攻擊與入侵的出現(xiàn)，提醒我們開放式的信息時代，必然要面臨計算機網(wǎng)絡安全技術(shù)的不斷升級才能夠確保信息的安全與可靠。

關(guān)鍵詞：計算機；網(wǎng)絡；安全技術(shù)；信息安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)09-2011-02

Discussion of Computer Network Security Technology

QIAN Chi-bo

（Changzhou College of Information Technology, Changzhou 213164, China）

Abstract: The rapid development of computer technology and Internet technology become more sophisticated, to bring the powerful information-sharing capabilities, but also the same information security problems. For the Computer Information Network and a variety of attacks and invasion, reminding us that open information age, is bound to face the continuous upgrade of the computer network security technology to ensure the safety and reliability of the information.

Key words: computer; network; security technology; information security

1概述

隨著社會信息化程度的不斷增加，計算機技術(shù)與網(wǎng)絡技術(shù)的日益發(fā)展與成熟，計算機信息網(wǎng)絡已經(jīng)全面覆蓋了人們的日常生活、工作和學習。在人們徜徉在信息時代開放的信息交互平臺上，獲取自己有用信息的同時，計算機網(wǎng)絡安全隱患也同樣潛伏在我們的網(wǎng)絡系統(tǒng)中，隨著信息交互程度的增加，而不斷擴大影響范圍，對我們構(gòu)建的整個計算機網(wǎng)絡產(chǎn)生著一定的威脅，計算機網(wǎng)絡的安全問題也日益突出。從計算機網(wǎng)絡安全的內(nèi)涵入手，全面提高計算機網(wǎng)絡信息安全的風險意識，提高防范網(wǎng)絡安全問題的能力，是信息時代每個人所應當具備的基本信息素養(yǎng)。因此，該文從闡述計算機信息網(wǎng)絡攻擊和入侵的特點，逐漸引申到安全防范手段，希望能夠?qū)μ岣咦x者的信息安全意識起到一定的作用。

2計算機網(wǎng)絡安全的含義

計算機網(wǎng)絡安全具有一個較為寬泛的定義范圍，其中的具體含義也隨著使用者的認識和要求的不同而具有不同的針對性。對大多普通的計算機網(wǎng)絡使用者而言，在接入計算機網(wǎng)絡的過程中，如何能夠保護個人隱私不被盜取和偽造，就是網(wǎng)絡安全的定義。而作為網(wǎng)絡供應商而言，除了要保護好網(wǎng)絡用戶終端的個人信息與機密信息不被竊取、竊聽、篡改以外，還要考慮到在應對自然災害時，如何能夠保護計算機網(wǎng)絡中的重要信息不受到損壞、丟失，甚至還要考慮到一些政治因素所帶來的軍事打擊等等。對于網(wǎng)絡供應商，計算機網(wǎng)絡信息安全不僅僅局限于數(shù)據(jù)范疇，同時也包括硬件損壞，或者是網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，并保持通信的連續(xù)性。網(wǎng)路安全包括建立網(wǎng)絡所依托的硬件設備、軟件、傳輸協(xié)議等，既有技術(shù)層面的問題，同時也有管理方面的因素，因此，計算機網(wǎng)絡安全是一項綜合的安全問題，近年來，網(wǎng)絡安全技術(shù)不斷提升的同時，人為的網(wǎng)絡攻擊與入侵行為也相應的同步提升，成為了與安全技術(shù)伴隨而生的問題。

3計算機網(wǎng)絡攻擊的特點

3.1損失巨大，代價慘重

網(wǎng)絡是一個非常形象的名詞，計算機網(wǎng)絡將成千上萬臺的計算機終端連接在一起，形成一個網(wǎng)狀的結(jié)構(gòu)，每一個終端計算機都是一個節(jié)點同時也連接著其他的終端。所以，一旦網(wǎng)絡攻擊或入侵形成，受到影響的絕不會是僅僅的一臺計算機，而是呈連鎖反應形態(tài)，使網(wǎng)絡中的成千上萬臺計算機受到波及，甚至處于癱瘓狀態(tài)，并隨著計算機網(wǎng)絡節(jié)點式擴散不斷蔓延和擴大，最終給廣大的計算機用戶造成巨大的經(jīng)濟損失，甚至毀壞整個終端客戶機的數(shù)據(jù)系統(tǒng)。美國世界上計算機網(wǎng)絡最為發(fā)達的國家，同時也是遭受計算機安全攻擊最多的國家，每年因計算機犯罪所造成的經(jīng)濟損失高達幾百億美元。近年來，計算機犯罪的經(jīng)濟損失已經(jīng)超過一般性犯罪幾十倍甚至幾百倍，成為威脅經(jīng)濟發(fā)展、信息安全的第一號殺手。

3.2對社會與國家安全的威脅

很多計算機攻擊與入侵都帶有一定的政治目的，并將攻擊目標設定為政府或國家機密部門的網(wǎng)絡，從而威脅整個社會信息網(wǎng)絡的完全與國家機密安全。大部分政府部門都開設有自己的門戶網(wǎng)站，其中所公布和提供的信息包括政府政務、政策查詢、業(yè)務的在線受理等等，是面向廣大市民、公民提供政府服務的窗口，這類網(wǎng)站一旦遭到攻擊或入侵，通常攻擊者或入侵者都帶有一定的仇視社會的心理，便會對政府工作造成嚴重的影響，對社會構(gòu)成一定的威脅。更為嚴重的是國家一些機密部門的對外網(wǎng)站，也經(jīng)常是不法分子攻擊的對象之一，受某種政治勢力的蠱惑而妄圖竊取或竊聽國家機密，將會很大程度上威脅到國家的安全。因此，政治性的計算機網(wǎng)絡安全犯罪，所造成的后果不僅僅是經(jīng)濟損失，更重要的是威脅社會與國家安全。

3.3犯罪手段多樣化

計算機網(wǎng)絡安全技術(shù)與計算機犯罪手段是一直以來伴隨而生的，隨著計算機網(wǎng)絡安全技術(shù)的提升，計算機犯罪手段也越來越隱蔽，越來越呈現(xiàn)出多樣化的形式。網(wǎng)絡攻擊者既可以通過監(jiān)視網(wǎng)絡中的數(shù)據(jù)傳輸來獲取他人信息，也可以通過直接截取他人的賬戶信息來進行登錄，對他人信息進行更為直接的使用和篡改，盡管防火墻技術(shù)已經(jīng)可以攔截掉很多外來攻擊，但仍然有攻擊者可以繞過防火墻侵入計算機內(nèi)部對系統(tǒng)進行破壞。這些犯罪過程可以很輕易的在任何一臺接入網(wǎng)絡的計算機終端上實現(xiàn)，甚至可以在極短的時間內(nèi)完成，更有甚者可以進行犯罪而毫不留痕跡。最近幾年來的計算機犯罪都是以及其隱蔽的手段來完成的，難以察覺和進行追查。

3.4軟件攻擊占據(jù)主導

在眾多的網(wǎng)絡攻擊中，大部分以軟件攻擊為主，幾乎所有的網(wǎng)絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統(tǒng)的。軟件攻擊與計算機網(wǎng)絡所受到的物理摧毀不同，它既具備較強的隱蔽性，又存在于整個網(wǎng)絡中。因此，人們要提高對各種應用軟件的保護，避免入侵者利用軟件漏洞對使用這一軟件的計算機進行批量化的攻擊。

4常見的幾種網(wǎng)絡攻擊方式與防范技術(shù)

4.1木馬攻擊

木馬攻擊的命名來源于古希臘的神話，就是偽裝攻擊的意思，其中以特洛伊木馬程序最有代表性。特洛伊木馬程序是黑客所鐘愛的攻擊手段，并經(jīng)歷過數(shù)以千計的變種，它通過在計算機終端機中隱藏一個偽裝程序，使用戶在啟動運行該程序時同時啟動攻擊程序，從而達到在網(wǎng)絡上控制客戶終端電腦的目的。特洛伊木馬表面看來只是一般的執(zhí)行程序，實際上已經(jīng)被進行篡改，在正常程序中添加了一段額外的操作代碼，用戶啟動該程序時自動將這段額外的操作代碼啟動，從而執(zhí)行了用戶并不希望的操作。特洛伊木馬傳染性較強，對計算機網(wǎng)絡危害極大，通過特洛伊木馬，網(wǎng)絡攻擊者可以讀寫未被授權(quán)使用的文件，甚至可以直接獲得對方攻擊目標計算機的控制權(quán)。

對特洛伊木馬進行防范時，主要要對每一個生成文件進行數(shù)字簽名，再次運行文件之前一定要對該文件的數(shù)字簽名進行驗證，從而判斷出該文件有沒有被篡改過，一旦有篡改跡象就說明很可能已經(jīng)被木馬程序改寫，對被改寫過的文件進行拒絕執(zhí)行。很多特洛伊木馬程序時通過網(wǎng)絡下載而來的，因此，在進行網(wǎng)絡信息數(shù)據(jù)下載時，要對下載文件進行安全監(jiān)察，一旦發(fā)現(xiàn)可疑文件要堅決拒絕執(zhí)行，同時運用網(wǎng)絡掃描軟件，對主機上的TCP服務進行監(jiān)聽。

4.2郵件攻擊

電子郵件攻擊是通過發(fā)送電子郵件的方式，將病毒藏匿其中，進行匿名攻擊。另一種是以郵件炸彈的方式，從一臺終端機上向同一個電子郵箱地址不停地發(fā)送郵件，以大量的郵件來耗盡接入網(wǎng)絡終端機的網(wǎng)絡帶寬，同時瞬間填滿該郵箱地址所對應的郵件空間，阻止和妨礙用戶正常的電子郵件接收。采用這種攻擊方式的，通常是帶有報復性的網(wǎng)絡攻擊。

防止這類攻擊的主要方法是通過路由器的配置來對電子郵件地址進行選擇性接收，自動對同一地址重復發(fā)來的信息進行刪除。目前的電子郵件系統(tǒng)大多設置了郵件過濾功能，能夠較好的處理可疑地址發(fā)來的郵件，并進行隔離處理，從而免受外界郵件的騷擾。針對那些可能藏匿有病毒的郵件，要慎重的進行打開，一旦發(fā)現(xiàn)可以地址的可疑郵件或郵件中帶有的附件，切記不可盲目打開，最好直接刪除，并將可以的郵件發(fā)送地址進行上報，提高網(wǎng)絡可疑地址的防范能力。

4.3過載攻擊

過載攻擊也同樣是最為常見的網(wǎng)絡攻擊種類之一，攻擊者可以通過一系列指令來使服務器無節(jié)制的重復發(fā)出大量的無用請求，從而占用大量的服務器空間資源，是服務器處于忙碌狀態(tài)而無法進行其他的指令處理。過載攻擊主要的表現(xiàn)形式就是人為性的突然增加CPU工作量，使CPU的工作的使用率達到滿負荷，耗費CPU的工作時間，其他的用戶指令只能停留在等待狀態(tài)中，而不被執(zhí)行。

防止過載攻擊的主要方法，是通過限制單個用戶的擁有最大進程數(shù)來實現(xiàn)，或者進行關(guān)閉某些耗時的進程。但這兩種方法都存在一定的不可避免的缺陷，無論是通過限制單個用戶的最大進程數(shù)還是關(guān)閉耗時程序，都可能會導致一些正常的用戶請求得不到相應，因此，這兩種方法只是治標的簡易方法，卻無法治本。想要根治過載攻擊只能通過管理員使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊。另外，也可以讓系統(tǒng)進行自檢，從而判斷系統(tǒng)是否過載或者進行系統(tǒng)重啟。

4.4淹沒攻擊

TCP建立連接時要進行3次信息交互，首先是由客戶機向主機提交SYN請求，主機接收到SYN請求信號后會反饋給客戶一個SYN/ACK消息，客戶收到該消息后向主機再次發(fā)送RST信號，并斷開連接。這3次的信息交互，給很多網(wǎng)絡攻擊者以可乘之機。網(wǎng)絡攻擊者可以利用主機對客戶機響應這一環(huán)節(jié)，通過進行偽裝一個不存在的IP地址來向主機發(fā)送SYN請求，當主機向該不存在IP發(fā)送SYN/ACK信息后，由于該地址不存在，也就無法再次向主機發(fā)送RST信息，從而導致主機一直處于等待狀態(tài)，而無法響應其他用戶機的請求，直至等待超時。如果網(wǎng)絡攻擊不斷向主機發(fā)送SYN請求而又一直不再次發(fā)送RST信息的話，主機將會一直處于等待的狀態(tài)。

應對淹沒攻擊最好的辦法就是進行實時監(jiān)控，監(jiān)控系統(tǒng)SYN—RECEIVED狀態(tài)，當連接數(shù)超過一個限定值范圍時，自動關(guān)閉這些連接。

5結(jié)束語

計算機網(wǎng)絡安全問題貌似老生常談，實際上網(wǎng)絡安全問題是一個時刻發(fā)展的問題，并不會隨著網(wǎng)絡安全技術(shù)的提高而消除，只會使網(wǎng)絡攻擊與安全互相此消彼長，伴生存在。因此，計算機網(wǎng)絡安全技術(shù)是一項沒有終點的探索，只要網(wǎng)絡存在，攻擊就一定會存在。隨著近年來隱蔽性攻擊的不斷增多，我們更多時候都是在被動的提升安全技術(shù)，因此，總是在危機出現(xiàn)后才會找尋解決辦法，從而使網(wǎng)絡安全技術(shù)的發(fā)展相對滯后于網(wǎng)絡攻擊的演變。對計算機網(wǎng)絡安全技術(shù)的不斷探討，希望可以借此來提高人們的信息安全意識，全面進行攻擊的防范，構(gòu)建較為安全的信息網(wǎng)絡平臺。

參考文獻：

[1]胡道遠.計算機局域網(wǎng)[M].北京:清華大學出版社,2010,10-11.

[2]朱理森,張守連.計算機網(wǎng)絡應用技術(shù)[M].北京:專利文獻出版社,2010,101-102.

[3]王治.計算機網(wǎng)絡安全探討[J].科技創(chuàng)新導報,2008,(21):18.

[4]肖雪.計算機網(wǎng)絡安全的研究[J].科技創(chuàng)新導報,2008,(21):17.