网络安全隐患分析及防范措施

信息技术　Ｃｈｉｎａ　Ｎｅｗ　Ｔｅｃｈｎｏｋｌｏ　ｅｇｉｅｓ　ａｎｄ　Ｐｒｏｄｕｃｔｓ　囡团图圈囫　圈　●嘎　■　■－■■－　■　网络安全隐患分析及防范措施　蒋忠亮　（重庆大学软件学院，重庆４０００３０）　摘要：计算机网络技术的发展使得计算机应有日益广泛与深入，同时也使得计算机系统的安全问题日益复杂和突出，直接影响着　信息社会的各个领域。本文针对目前计算机网络的安全隐患进行了分析，并对网络安全对策和安全技术进行了探讨。　关键词：网络安全；威胁；安全对策；安全技术　信流攻击是一种特殊的被动型攻击。攻击　以防不法分子外联的企图。对连接应定期检查，　１计算网络面临的威胁　方通过分析网络中某一路径的信息流量和流　计算机网络所面临的威胁大体可分为两　以检查是否有窃听、篡改或破坏行为。　向，就可以判断某事件的发生。例如，在军用网　２．４数据加密　种：一是对网络中设备的威胁；二是对网络中信　络中发现某一站点的报文流量突然激增，依此　数据加密是网络中采用的最基本的安全技　息的威胁。影响计算机网络的因素很多，有些因　术，网络中的数据加密，除了选择加密算法和密　便可以判断某地发生了某种军事行动。为了对　素可能是有意的，也可能是无意的；可能是人为　的，也可能是非人为的，归结起来，针对网络安　钥之外，主要问题是加密方式、实现加密的网络　全的威胁主要有三：①人为的恶意攻击：这是计　协议层、密钥的分配及管理。网络中的数据加密　算机网络所面ＪＪ蠡的最大威胁，敌手的攻击和计　方式有链路加密、节点加密和端对端加密等方　算机犯罪就属于这一类。此类攻击又可以分为　式，数据加密可以在ＳＯＩ协议参考层的多个层　以下两种：一种是主动攻击，它以各种方式有选　次上实现。数据加密算法常用的有ＤＥＳ、ＡＥＳ、　择地破坏信息的有效性和完整性；另一类是被　ＩＤＥＡ、ＲＳＡ和ＰＧＰ等多种。　动攻击，它是在不影响网络正常工作的情况下，　２．５鉴别机制　进行截获、窃取、破译以获得重要机密信息。这　鉴别是为每—个通信方查明另一个实体身　两种攻击均可对计算机网络造成极大的危害，　份和特权的过程。它是在对等实体间交换认证　并导致机密数据的泄漏。②人为的无意失误：如　信息，以便检验和确认对等实体的合法性，这是　操作员安全配置不当造成的安全漏洞，用户安　访问控制实现的先决条件。鉴别机制可采用报　全意识不强，用户口令选择不慎，用户将自己的　文鉴别，也可以采用数字签名或终端识别等多　帐号随意转借他人或与别＾、共享等者哙对网络　种方式。　安全带来威胁。③网络软件的漏洞和“后门”：网　报文鉴别是在通信双方建立联系后，每个　络软件不可能是百分之百的无缺陷和无漏洞　通信者对收到的信息进行验证，以保证所收到　的，然而，这些漏洞和缺陷恰恰是黑客进行攻击　信息的真实性的过程，也就是验证报文的完整　的首选目标，曾经出现过的黑客攻入网络内部　性。一旦得到这种鉴别信息，并且其准确性和完　的事件，这些事件的大部分就是因为安全措施　整性有保证，那么本地用户或系统就可以做出　不完善所招致的苦果。另外，软件的“后门”都是　适当的判断—什么样的数据可以发送到对方。　软件公司的设计编程人员为了自便而设置的，　２．６访问控制　—般不为外人所知，但一旦“后门”洞开，其造成　访问控制是从计算机系统的处理能力方面　的后果将不堪没想。　对信息提供保护，它按照事先确定的规则决定　２网络安全对策和安全技术　主体对客体的访问是否合法。当一主体试图非　从本质上来讲，网络安全包括组成网络系　法使用—个未经授权的资源时，访问控制机制　统的硬件、软件及其在网络上传输信息的安全　将拒绝这一访问，并将这一事件报告审计跟踪　性，使其不会因偶然的或恶意的攻击遭到破坏，　系统。审计跟踪系统将给出报警，并记入日志档　网络安全既有技术方面的问题，也有管理方面　案。对于文件和数据库设置安全属性，对其共享　的问题，两方面相互补充、缺一不可。为确保网　的程序予以划分，通过访问矩阵来限制用户的　络系统硬件、软件及信息在传输过程中的安全，　使用方式，如只读、只写、读偈、可修改、可执行　可采取以下措施：　等。数据库的访问控制还可以分为库、结构文　２１保密教育和法律保护　件、记录和数据项四级进行。　结合机房、硬件、软件和网络等各个方面的　２．７数字签名　安全问题，对工作人员进行安全教育，提高工作　数字签名是—个密文收发双签字和确证的　人员的保密观念和责任心。加强工作人员的业　过程。所用的签署信息是签名者所专有的。秘密　务、技术的培训，提高其操作技能。教育工作人　的和唯一的，而对接受方检验该签署的信息和　员严格操作规程和各项保密规定，不断提高法　程序则是公开的。签名只能是有签名者的专用　律观念，防止人为事故的发生。国家应颁布相应　信息来产生，验ｉ磅立程则是用公开程序和信息　的法律，以保护网络安全。　来确认，签名是由签名者专用信息产生的，所以　２．２防止人侵措施　出现纠纷时，仲裁机构可以利用公开程序来证　应加强对文件处理的限制，控制重要文件　明签名者的唯一性。数字签名可以为实体认证、　的处理。利用报警系统检测违反安全规程的行　无连接完整性、源点鉴别、制止否认等服务提供　为，即对安全码的不正确使用或使用无效的安　支持，它也是数据完整性、公证和认证机制的基　全码进行监控。对在规定次数内不正确的安全　础。　码使用者，网络系统可采取行动锁住该终端并　终端识别技术是利用回收信息核对用户位　报警，以防止非法者突破安全码系统进行人侵。　置、识别用户身份的一种形式。回信核对装置还　２．３保护传输线路安全　对用户的联机位置进行检查、核对。如果某用户　传输线路应有保护措施或埋于地下，并要　使用窃用得到的联机口令在非法地点联机，系　求远离各种辐射源，以减少由于电磁于扰引起　统会立即切断联系，并将非法者的联机事件、地　的数据错误。电缆铺设应当使用金属导管，以减　点等详细记录并打印出来，以便及时查处和制　少各种辐射引起的电磁泄漏和发送线路的于　止分发犯罪行为。　扰。集中器和调制解调器应防在受监视的地方，　２．８信流控制　付这种攻击，可在某些站点间传送信息时，持续　地传送伪随机数据，使攻击方不知道哪些是有　用信息，哪些是无用信息，从而挫败通信流分析　攻击。信息流的安全控制包括：掩盖通信的频　率、掩盖报文的长度、掩盖报文的形式、掩盖报　文的地址。具体方法是填充报文和改变传输路　径。　填充报文包括增加伪报文或将所有报文都　扩充到同样长度，并随机地选择通信对象，使网　络中的数据流量比浸平衡。为了掩盖报文地址，　—般采用物理层链路由Ｉ：１密的方法，而伪报文的　发送则在网络高层协议中实现。为了掩盖报文　的形式，常采用反馈的加密方法。　２．９选择机制　在—个网络中，从源节点到目的节点可能　有多条路径可以到达，一些路径可能是安全的，　而另一些路径可能是不安全的。路由选择机制　可以使信息的发送者选择特殊的路径，以保证　数据的安全。路由选择机制实际上就是流向控　制。在—个大型网络系统中，选择—条安全路径　是—个重要问题。这种选择可以有用户提出申　请，在自己的程序和数据前打上路由标志；也可　以由网络安全控制机构在检测出不安全路由　后，通过动态调整路由表，限制某些不安全通　路。　２．１０端口保护　远程终端和通信线路是安全的薄弱环节，　尤其是在利用电话拨号的计算机网络中。因此，　端口保护成为网络安全的一个重要问题，一种　简单的保护方法是在不使用时拔下插头或关闭　电源。不过，这种方式对于拨号系统或联机系统　是不可行的。因此通常采用的方法是利用各种　端口保护设备。　２．１１数据完整性　网络通信协议中一般考虑了传输中的差错　控制措施，但不能对付人为的破坏。网络中传输　数据完整性的控制包括：数据来自正确的发送　方，而非假冒；数据送到了正确的接收方，而无　丢失或误送；数据接收时的内容与发送时一致：　数据接收时的时序与发送时一致；数据没有重　复接收。保护数据完整性的措施是增加对手所　不能控制的冗余信息。　除此之外，还有安全检测、审查和跟踪等措　施。　参考文献　【１】张友纯．计算机网络安全．华中科技大学出版　社２００６．　『２］周亚建－网络安全加固技术－电子工业出版社．　２００７　中国新技术新产品　一３１—