導語：網(wǎng)絡安全技術概述論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

Internet是一種開放和標準的面向所有用戶的技術，其資源通過網(wǎng)絡共享，因此，資源共享和信息安全就成了一對矛盾。

網(wǎng)絡安全技術概述

常永亮

(飛行試驗研究院測試所陜西西安710089)

【摘要】Internet是一種開放和標準的面向所有用戶的技術，其資源通過網(wǎng)絡共享，因此，資源共享和信息安全就成了一對矛盾。

【關鍵詞】網(wǎng)絡攻擊、安全預防、風險分析、網(wǎng)絡安全

1.引言

隨著網(wǎng)絡的迅速發(fā)展，網(wǎng)絡的安全性顯得非常重要，這是因為懷有惡意的攻擊者竊取、修改網(wǎng)絡上傳輸?shù)男畔ⅲㄟ^網(wǎng)絡非法進入遠程主機，獲取儲存在主機上的機密信息，或占用網(wǎng)絡資源，阻止其他用戶使用等。然而，網(wǎng)絡作為開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，因此，網(wǎng)絡安全技術作為一個獨特的領域越來越受到全球網(wǎng)絡建設者的關注。

一般來說，計算機系統(tǒng)本身的脆弱性和通信設施的脆弱性再加上網(wǎng)際協(xié)議的漏洞共同構成了網(wǎng)絡的潛在威脅。隨著無線互聯(lián)網(wǎng)越來越普及的應用，互聯(lián)網(wǎng)的安全性又很難在無線網(wǎng)上實施，因此，特別在構建內(nèi)部網(wǎng)時，若忽略了無線設備的安全性則是一種重大失誤。

2.網(wǎng)絡攻擊及其防護技術

計算機網(wǎng)絡安全是指計算機、網(wǎng)絡系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然或惡意的原因遭到破壞、泄露，能確保網(wǎng)絡連續(xù)可靠的運行。網(wǎng)絡安全其實就是網(wǎng)絡上的信息存儲和傳輸安全。

網(wǎng)絡的安全主要來自黑客和病毒攻擊，各類攻擊給網(wǎng)絡造成的損失已越來越大了，有的損失對一些企業(yè)已是致命的，僥幸心里已經(jīng)被提高防御取代，下面就攻擊和防御作簡要介紹。

2.1常見的攻擊有以下幾類：

2.1.1入侵系統(tǒng)攻擊

此類攻擊如果成功，將使你的系統(tǒng)上的資源被對方一覽無遺，對方可以直接控制你的機器。

2.1.2緩沖區(qū)溢出攻擊

程序員在編程時會用到一些不進行有效位檢查的函數(shù)，可能導致黑客利用自編寫程序來進一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當發(fā)生緩沖區(qū)溢出時，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權限的內(nèi)存中，那么一旦這些指令得到了運行，黑客就以root權限控制了系統(tǒng)，這樣系統(tǒng)的控制權就會被奪取，此類攻擊在LINUX系統(tǒng)常發(fā)生。在Windows系統(tǒng)下用戶權限本身設定不嚴謹，因此應比在LINUX系統(tǒng)下更易實現(xiàn)。

2.1.3欺騙類攻擊

網(wǎng)絡協(xié)議本身的一些缺陷可以被利用，使黑客可以對網(wǎng)絡進行攻擊，主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；源路由欺騙；地址欺騙等。

2.1.4拒絕服務攻擊

通過網(wǎng)絡，也可使正在使用的計算機出現(xiàn)無響應、死機的現(xiàn)象，這就是拒絕服務攻擊，簡稱DoS（DenialofService）。

分布式拒絕服務攻擊采用了一種比較特別的體系結(jié)構，從許多分布的主機同時攻擊一個目標，從而導致目標癱瘓，簡稱DDoS（DistributedDenialofService）。

2.1.5對防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設計和實現(xiàn)上都不可避免地存在著缺陷，對防火墻的攻擊方法也是多種多樣的，如探測攻擊技術、認證的攻擊技術等。

2.1.6利用病毒攻擊

病毒是黑客實施網(wǎng)絡攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預見性和破壞性等特性，而且在網(wǎng)絡中其危害更加可怕，目前可通過網(wǎng)絡進行傳播的病毒已有數(shù)萬種，可通過注入技術進行破壞和攻擊。

2.1.7木馬程序攻擊

特洛伊木馬是一種直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。

2.1.8網(wǎng)絡偵聽

網(wǎng)絡偵聽為主機工作模式，主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡監(jiān)聽工具，就可以輕易地截取所在網(wǎng)段的所有用戶口令和帳號等有用的信息資料。

等等?，F(xiàn)在的網(wǎng)絡攻擊手段可以說日新月異，隨著計算機網(wǎng)絡的發(fā)展，其開放性、共享性、互連程度擴大，網(wǎng)絡的重要性和對社會的影響也越來越大。計算機和網(wǎng)絡安全技術正變得越來越先進，操作系統(tǒng)對本身漏洞的更新補救越來越及時?，F(xiàn)在企業(yè)更加注意企業(yè)內(nèi)部網(wǎng)的安全，個人越來越注意自己計算機的安全?？梢哉f：只要有計算機和網(wǎng)絡的地方肯定是把網(wǎng)絡安全放到第一位。

網(wǎng)絡有其脆弱性，并會受到一些威脅。因而建立一個系統(tǒng)時進行風險分析就顯得尤為重要了。風險分析的目的是通過合理的步驟，以防止所有對網(wǎng)絡安全構成威脅的事件發(fā)生。因此，嚴密的網(wǎng)絡安全風險分析是可靠和有效的安全防護措施制定的必要前提。網(wǎng)絡風險分析在系統(tǒng)可行性分析階段就應進行了。因為在這階段實現(xiàn)安全控制要遠比在網(wǎng)絡系統(tǒng)運行后采取同樣的控制要節(jié)約的多。即使認為當前的網(wǎng)絡系統(tǒng)分析建立的十分完善，在建立安全防護時，風險分析還是會發(fā)現(xiàn)一些潛在的安全問題，從整體性、協(xié)同性方面構建一個信息安全的網(wǎng)絡環(huán)境?？梢哉f網(wǎng)絡的安全問題是組織管理和決策。

2.2防御措施主要有以下幾種

2.2.1防火墻

防火墻是建立在被保護網(wǎng)絡與不可信網(wǎng)絡之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡和資源。它在內(nèi)部和外部兩個網(wǎng)絡之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡的服務和訪問進行控制和審計。

2.2.2虛擬專用網(wǎng)

虛擬專用網(wǎng)（VPN）的實現(xiàn)技術和方式有很多，但是所有的VPN產(chǎn)品都應該保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡上建立一個隧道，利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。

2.2.3虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術可從鏈路層實施網(wǎng)絡安全。VLAN是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。該技術能有效地控制網(wǎng)絡流量、防止廣播風暴，還可利用MAC層的數(shù)據(jù)包過濾技術，對安全性要求高的VLAN端口實施MAC幀過濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無法得到整個網(wǎng)絡的信息，但VLAN技術的局限在新的VLAN機制較好的解決了，這一新的VLAN就是專用虛擬局域網(wǎng)（PVLAN）技術。

2.2.4漏洞檢測

漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡系統(tǒng)進行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動式策略和主動式策略。被動式策略基于主機檢測，對系統(tǒng)中不合適的設置、口令以及其他同安全規(guī)則相背的對象進行檢查；主動式策略基于網(wǎng)絡檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸，并能有效地結(jié)合其他網(wǎng)絡安全產(chǎn)品的性能，保證計算機系統(tǒng)或網(wǎng)絡系統(tǒng)的安全性和可靠性。

2.2.5入侵檢測

入侵檢測系統(tǒng)將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有黑客入侵或可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生，系統(tǒng)將做出實時報警響應。

2.2.6密碼保護

加密措施是保護信息的最后防線，被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應用，但隨著計算機性能的飛速發(fā)展，破解部分公開算法的加密方法已變得越來越可能。因此，現(xiàn)在對加密算法的保密越來越重要，幾個加密方法的協(xié)同應用會使信息保密性大大加強。

2.2.7安全策略

安全策略可以認為是一系列政策的集合，用來規(guī)范對組織資源的管理、保護以及分配，已達到最終安全的目的。安全策略的制定需要基于一些安全模型。

2.2.8網(wǎng)絡管理員

網(wǎng)絡管理員在防御網(wǎng)絡攻擊方面也是非常重要的，雖然在構建系統(tǒng)時一些防御措施已經(jīng)通過各種測試，但上面無論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡管理員和整個網(wǎng)絡安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

以上大概講了幾個網(wǎng)絡安全的策略，網(wǎng)絡安全基本要素是保密性、完整性和可用性服務，但網(wǎng)絡的安全威脅與網(wǎng)絡的安全防護措施是交互出現(xiàn)的。不適當?shù)木W(wǎng)絡安全防護，不僅可能不能減少網(wǎng)絡的安全風險，浪費大量的資金，而且可能招致更大的安全威脅。一個好的安全網(wǎng)絡應該是由主機系統(tǒng)、應用和服務、路由、網(wǎng)絡、網(wǎng)絡管理及管理制度等諸多因數(shù)決定的，但所有的防御措施對信息安全管理者提出了挑戰(zhàn)，他們必須分析采用哪種產(chǎn)品能夠適應長期的網(wǎng)絡安全策略的要求，而且必須清楚何種策略能夠保證網(wǎng)絡具有足夠的健壯性、互操作性并且能夠容易地對其升級。

隨著信息系統(tǒng)工程開發(fā)量越來越大，致使系統(tǒng)漏洞也成正比的增加，受到攻擊的次數(shù)也在增多。相對滯后的補救次數(shù)和成本也在增加，黑客與反黑客的斗爭已經(jīng)成為一場沒有結(jié)果的斗爭。

3.結(jié)論

網(wǎng)絡安全的管理與分析現(xiàn)已被提到前所未有的高度，現(xiàn)在IPv6已開始應用，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高，但并不是不存在安全問題了。在WindowsVista的開發(fā)過程中，安全被提到了一個前所未有的重視高度，但微軟相關負責人還是表示，＂即使再安全的操作系統(tǒng)，安全問題也會一直存在＂。

總之，網(wǎng)絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。因此只有完備的系統(tǒng)開發(fā)過程、嚴密的網(wǎng)絡安全風險分析、嚴謹?shù)南到y(tǒng)測試、綜合的防御技術實施、嚴格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡管理人才等各方面的綜合應用才能完好、實時地保證信息的完整性和正確性，為網(wǎng)絡提供強大的安全服務——這也是網(wǎng)絡安全領域的迫切需要。

參考文獻

[1]《網(wǎng)絡綜合布線系統(tǒng)與施工技術》黎連業(yè)著

[2]《計算機網(wǎng)絡安全教程》石志國薛為民江俐著

[3]《網(wǎng)絡安全教程》內(nèi)部資料