国内最权威的传奇发布网站--华夏网游
计算机网络安全问题及防范措施
| 发布时间:2011-09-13 20:21 编辑:常林风 | |
| 上一篇:以保护商主体追求自己利益最大化的目的 | |
| 下一篇:交通银行同城票据实时清算接口子系统设计 | |
| 这个 2007年第7期福建电脑77计算机网络安全问题及防范措施刘青凤.李敏(安阳工学院河南安阳455000)【摘要】:本文介绍的网络安全的主要威胁及防范措施,简单介绍目前主要使的网络安全技术,使用户对目前的网络安全状况有一个全面的了解。【关键字】:网络安全网络漏洞网络欺骗随着信息化进程的深入和互联网的迅速发展.人们的工作、学习和生活方式正在发生巨大变化.效率大为提高.信息资源得到最大程度的共享。互联网发展到今天,大多已成为Intemet的一部分。 Intemet的有偿使用趋势,使互联网的安全性显得尤其重要.如果不很好地解决这个问题。必将阻碍信息化发展的进程。1.网络安全问题的产生一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为”信息的完整性、可用性、保密性和可靠性”:控制安全则指身份认证、不可否认性、授权和访问控制。Intemet本来就不安全.因为最初的Intemet建设者们认为安全不是问题。Intelllet在其早期是一个开放的、为研究人员服务的网际网。是完全非赢利性的信息共享载体,所以几乎所有的Intemet协议都没有考虑安全机制。这点从Intemet上最通用的应用如m、TelIlet和电子邮件中的用户口令的明文传输以及IP报文在子网段上的广播传递就可以充分地体现出来。只是近些年来Intemet的性质和使用人员的情况发生了很大的变化,使得In—temet的安全问题显得越来越突出。随着Intemet的全球普及和商业化.用户越来越多,并且非常私人化,一些私人信息如信用卡号等和其自身利益相关的信息也通过Intemet传输,而且越来越多的信息放在网上是为了赢利,而不是完全免费的信息共享,所以其安全性也成为人们日趋关注的问题。Intemet不安全的再一个因素是:因为人们很容易从Inter-net上获得相关的核心技术资料.特别是有关Intemet自身的技术资料,比如RFC、FAQ文件、各类应用程序源代码,如TCMP、Sendmail、兀'P等,还有各类安全工具的源代码也是公开免费的,像颇有争议的SATAN、Crack等。这些资料拿出来共享的愿望是好的。但也难免产生事与愿违的效果。Intemet不安全的另一个致命因素是使用者普遍缺乏安全意识.特别是那些对计算机和Intemet技术不了解的用户。很多用户会去读安全手册.或关注安全组织提出的忠告。 对大多数用户来说.能管好自己的密码就万事大吉了。 但又有多少用户愿意取一个不好记的密码呢?方便性和安全性总是相互冲突。 很难兼得的。所以.Intemet不安全归根到底还是人的因素造成的.现实生活中出现了越来厚的防盗门,如今。Intemet上也出现了比防盗门更复杂的防火墙(Firewall)来防范那些不怀好意,或那些只是为了逞强好胜的黑客们.还出现了各种各样的私人密钥和公共密钥来保护在网上传送的信息。2.主要网络安全威胁目前互联网的不安全问题主要有以下几个方面:1、网络漏洞在过去,软件上的臭虫(Bu曲顶多会造成软件或系统稳定性或兼容性上的问题.但如今却成为黑客攻击的主力目标。 如今许多软件及平台都存在许多漏洞.而后一版本的软件大多仍会继续沿用之前版本的组件.所以漏洞有可能也会流传到不同版本之中。 如此一来,便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。 另外,软件的”后门”是软件公司的设计编程人员为了自便而设置的.一般不为外人所知,但一旦”后门”洞开.其造成的后果将不堪设想。2、计算机病毒计算机病毒.是指编制或者在计算机程序中插入的破坏计算机功能或者数据.影响计算机使用,并能自我复制的一组计算机指令或者程序代码。这段程序代码一旦进入计算机并得以执行.就对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质.确定目标后再将自身代码插入其中,达到自我繁殖的目的。 只要一台计算机染毒,如果不及时处理,病毒就会在这台计算机上迅速扩散.其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源。若再与其他计算机进行数据交换或通过网络接触.病毒会继续进行传染。3、特洛伊木马特洛伊木马是一种基于远程控制的黑客工具.具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现。会采用多种手段隐藏木马,这样,服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望”马”兴叹。木马的主要伪装方式有:修改图标;捆绑文件;出错显示;定制端口:自我销毁和木马更名。 木马设计者对木马伪装,以达到降低用户警觉,欺骗用户的目的。 特洛伊木马作为一个程序,它驻留在目标计算机里。在目标计算机系统启动的时候,自动启动然后在某一端口进行侦听。 如果在该端口收到数据.就对这些数据进行识别。 然后按识别后的命令在目标计算机上执行一些操作。比如窃取口令,拷贝或删除文件.或重新启动计算机等。4、IP欺骗即使是很好地实现了TCP,IP协议.由于它本身有着一些不安全的地方.从而可以对’rCMP网络进行攻击。IP协议只是发送数据包。 并且保证它的完整性。如果不能收到完整的IP数据包.IP协议会向源地址发送一个ICMP错误信息希望重新处理。然而这个包也可能丢失。每个IP数据包被松散地发送出去,而不关心前一个和后一个数据包的情况。由此看出.可以对IP堆栈进行修改.在源地址和目的地址中放入任意满足要求的IP地址,也就是说,提供虚假的IP地址。黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力。同时采样目标主机发出的TCP序列号.猜测出它的数据序列号。 然后,伪装成被信任的主机.同时建立起与目标主机基于地址的应用连接。 如果成功,黑客可以使用一种简单的命令旋转一个系统后门,以进行非授权操作。5、WEB欺骗Web欺骗允许攻击者创造整个WWW世界的影像拷贝。 影像Web的入口进入到攻击者的Web服务器.经过攻击者计算机的过滤作用允许攻击者监控受攻击者的任何活动包括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器.以及以任何Web服务器的名义发送78福建电脑2007年第7期数据给受攻击者。简而言之.攻击者观察和控制着受攻击者在Web上做的每一件事。。3.安全问题的防范措施1、发现漏洞如果一个程序有错误交流,并且只在某些特殊情况下出现,它并不是什么大问题。 通常,用户能够避开这些特殊的情况,使得程序中的错误故障不会发生危害。但是有时有些程序处于安全界限的边缘位置。它能允许任何人.包括未被授权的人做任何事情。具有这种特性的小”臭虫”被叫做”漏洞”,或者叫做”弱点”。造成漏洞的原因很多,如心理学上的问题、大接口漏洞、错误的缺少设定漏洞等。 2、LOG日志文件很多人希望防止在网络上受到攻击。然而由于Intemet先天的不安全性,完全避免攻击是不可能的。然而.攻击者不管怎么隐藏,总会留下~些蛛丝马迹,这样,在遭到攻击的时候,如果能够记录下攻击者的信息。还能够为抓住他提供线索,而这些线索,主要是各种LoG日志文件。 3、跟踪入侵者网络有发信站与收信站.用以标示信息发送者与信息接收者.除非对方使用~些特殊的封包封装方式.或是使用防火墙对外连接.否则只要有人和用户的主机进行通信.用户就应该会知道对方的IP地址。如果对方用防火墙来和用户通信,用户最少也能够知道防火墙的位置。4.目前主要使用的网络安全技术1、密码技术密码技术分对称密钥和非对称密钥密码两种。 对称密钥密码技术要求加密、解密双方都拥有相同的密钥。而非对称密钥密码f又称公钥密码)技术是双方拥有不同的密钥。2、防火墙技术”防火墙”指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。3、访问控制技术身份识别的目的是防止入侵者非法侵入系统大家看。目前对系统内部用户非授权的访问控制主要有两种类型:任意访问控制和强制访问控制。4、数字签名技术数字签名技术是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术。5、入侵检测技术入侵检测技术的基本原理是首先收集系统的薄弱点.建立检测库。 以此检测库检测发现其它系统中是否有已知的类似薄弱点,不断更新原有的检测库。6、风险分析技术风险分析是安全管理的重要部分。主要包括两个方面内容:静态分析和动态分析。风险分析旨在通过分析系统固有的薄弱环节相关。 发现系统设计前潜在的安全隐患并提出改进的分析报告。7、审计跟踪技术审计跟踪是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序.对系统的使用情况建立日志记录,以便实时地监控、报警或事后分析、统计、报告,是一种通过事后追查来保证系统安全的技术手段。5.结束语网络安全不仅是技术问题.也是安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案、相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展.网络安全防护技术也必然随着网络应用技术的发展而不断发展。参考文献:1.王小芹计算机网络安全的防范技术及策略Ⅱ】,内蒙古科技与经济,2005.05:78—802。袁津生昊砚农计算机网络安全基础IM】北京:人民邮电出版社.2002.3。邦洪刚刘克胜入馒检测技术及其脆弱性分析D】,信息安全技术,2004.05:504.陈斌计算机网络安全与防御Ⅱ】。中国西部技术,2004.04:21—22·+一+-+一+一+一—+.-—-卜-+-+-+-+-·-+--+-+-+一+---+--+一—+一-—-+一一+-+一+-+-—+一-——卜-+-+-+-—+一-+-—+一一—·卜-+-—+一---卜一—+一-—+.-+-+·+-—+.-+-+-+-+-+·(上接第79页)n甲。pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。 如CheckP0int的Fire.wall一1,在监视兀P服务器发送给客户端的包的过程中。它在每个包中寻找”227”这个字符串。如果发现这种包.将从中提取目标地址和端口,并对目标地址加以验证,通过后。将允许建立到该地址的TCP连接。攻击者通过这个特性.可以设法连接受防火墙保护的服务器和服务。3.3、CGI漏洞CGI(CommonGatewayInterface)即通用网关接口,是外部程序和HnP服务器进行信息交互的一种标准。由于它是实时执行的.所以返回的信息也是动态的.它也是当前网络上应用最广的Web。由于防火墙必须开放Web服务。利用CGI问题突破防火墙的防护.部分或全部控制服务器成为攻击防火墙的重要手段。CGI的安全问题主要有两个方面:一是Web服务器的安全问题,包括Web服务器软件设计中的Bug及服务器配置错误,这些错误会引起CGI源代码泄露、物理路径信息泄露、系统敏感信息泄露或可以远程执行任意指令等安全问题。二是CGI语言的安全问题,这一类问题较多,如CGI程序和数据文件的权限设置不当可能导致CGI源代码和敏感信息泄露:CGI程序的边界条件错误可能被攻击者利用来发起缓冲区溢出攻击:访问验证错误导致未授权访问。修改甚至删除没有访问权限的内容:来源验证错误被攻击者利用进行拒绝访问攻击:函数倩使用错误,输入验证错误。如没有过滤””,”可能造成泄露系统文件.没有过滤”$"可能造成泄露网页中敏感信息等。目前在各种系统中CGI程序的安全漏洞数不胜数.如在,c西-bin目录下的count.e西程序(W啪陀ount2.3版)有一个溢出错误,允许入侵者无须登录便能远程执行任何指令;在/scripts,t00ls,目录下的upload]【.asp程序,只要入侵者有一个可用帐号。 哪怕是聃est帐号,就可以上传任何文件到web目录,除了替换主页外。更可以进一步控制整个系统。许多黑客软件可以实现CGl漏洞或绕过防火墙设置CGI后门。如软件Voideve2000可以扫描119个CGI漏洞.软件T、州|wsacnV1.2可以扫描400多个WWW/CGI漏洞,而软件Cgibackdoor更是可以绕过防火墙在主机上放置CGI木马。 采取以下策略有助于加强CGI的安全:正确配置服务器:正确安装CGI程序,删除不必要的安装文件和临时文件:编写CGI程序时使用安全的函数;使用安全有效的用户身份验证方法;过滤特殊字符:培养良好的编程习惯等等。4、结束语防火墙不可能做到万无一失.它不是解决网络安全所有问题的万能药方。而只是网络安全策略中的一个组成部分.构筑防火墙的目的是加强安全性而不是保证安全。没有任何一种防火墙可以提供绝对的安全保护。参考文献:1。楚狂。 网络安全与防火墙技术,人民邮电出版社.20002.扬义先等编著,网络信息安全与保密,北京邮电大学出版社.19993.MerikeKaco著.潇湘译.网络安全性设计.人民邮电出版社.20004.Je晦DwigIlt,MichelEⅢin(蔓国),cGI开发使用手册,机械工业出版社.1998计算机网络安全问题及防范措施作者:刘青凤,李敏作者单位:安阳工学院,河南,安阳,455000刊名:福建电脑英文刊名:FUJIANCOMPUTER年,卷(期):2007(7)被引用次数:1次参考文献(4条)1.陈斌计算机网络安全与防御2004(04)2.郭洪刚;刘克胜入侵检测技术及其脆弱性分析[期刊论文]-信息安全技术2004(05)3.袁津生;吴砚农计算机网络安全基础20024.王小芹计算机网络安全的防范技术及策略[期刊论文]-内蒙古科技与经济2005(05)引证文献(1条)1.孙慧璞.李裕浅析计算机网络安全策略问题[期刊论文]-计算机光盘软件与应用2010(8)。哦。如有何意见与建议请与我们联系! |
|
相关开区信息 |
|