计算机网络信息安全防范对策.pdfVIP

计算机网络信息安全及防范对策

论文摘要：在信息时代，信息可以帮助团体或个人，使他们受

益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络

安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全

性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技

术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法

估量的损失。针对这些问题，该文归纳并提出了一些网络信息安全

防护的方法和策略。

关键词：计算机网络、信息安全、防护

一、计算机网络安全现状

计算机网络安全是指网络系统的硬、软件及系统中的数据受到

保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、

可靠、正常地运行，网络服务不中断。在internet网络上，因互

联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，

就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行

攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(back-doors)、

rootkits、dos(denialofservices)和sniffer(网路监听)是大家熟

悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威

力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以

前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协

议和操作系统层次。从web程序的控制程序到内核级rootlets。黑

客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起

挑战。

二、计算机网络存在的安全问题

导致计算机网络信息安全受到威胁的根本原因在于网络存在安

全问题，归纳为以下几点：

（一）固有的安全漏洞

1、缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系

统在不检查程序与缓冲区间的变化的情况下，就接收任何长度的数

据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏

者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令，系

统便进入不稳定状态。假如破坏者特别配置一串他准备用作攻击的

字符，他甚至可以访问系统根目录。

2、拒绝服务。拒绝服务(denialofservice，dos)攻击的原

理是搅乱tcp/ip连接的次序。典型的dos攻击会耗尽或是损坏

一个或多个系统的资源（cpu周期、内存和磁盘空间），直至系统

无法处理合法的程序。这类攻击的例子是synflood攻击。发动

synflood攻击的破坏者发送大量的不合法请求要求连接，目的是

使系统不胜负荷。其结果是系统拒绝所有合法的请求，直至等待回

答的请求超时。

（二）合法工具的滥用

大部分系统都配备了用以改进系统管理及服务质量的工具软

件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息

及加强攻击力度：

例如：nbtstat命令是用来给系统管理员提供远程节点的信息

的。但是破坏者也用这一命令收集对系统有威胁性的信息，例如区

域控制软件的身份信息、netbios的名字、iis名甚至是用户名。

这些信息足以被黑客用来破译口令。

另一个最常被利用的工具是网包嗅探器（packetsniffer）。系

统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。

黑客如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网

络的包（包括所有未加密的口令和其他敏感信息），然后短时间运

行网包嗅探器就可以有足够的信息去攻击网络。

（三）不正确的系统维护措施

系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客

的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当

发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救

措施。

有时候，虽然我们已经对系统进行了维护，对软件进行了更新

或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能

会出现新的漏洞。所以，及时、有效地改变管理可以大大降低系统

所承受的风险。

（四）低效的系统设计和检测能力

在不重视信息保护的情况下设计出来的安全系统会非常“不

安全“，而且不能抵御复杂的攻击。建立安全的架构一定要从底

层着手。这个架构应能提供实效性的安全服务，并且需要妥善的管

理。

服务器的代码设计及执行也要进行有效管理。最近,有很多公

开的漏洞报告指出：在输入检查不完全时，cgibin是非常脆