淺議計算機網路安全的論文

  隨著計算機網路越來越深入到人們生活中的各個方面,計算機網路的安全性也就變得越來越重要。下面是小編給大家推薦的,希望大家喜歡!

  篇一

  《淺議計算機網路安全》

  摘要:隨著計算機網路越來越深入到人們生活中的各個方面,計算機網路的安全性也就變得越來越重要。計算機網路的技術發展相當迅速,攻擊手段層出不窮。而計算機網路攻擊一旦成功,就會使網路上成千上萬的計算機處於癱瘓狀態,從而給計算機使用者造成巨大的損失。因此,認真研究當今計算機網路存在的安全問題,提高計算機網路安全防範、意識是非常緊迫和必要的。

  關鍵詞:安全問題;相關技術;對策

  1 幾種計算機網路安全問題

  1.1 TCP/IP協議的安全問題:目前網路環境中廣泛採用的TCP/IP協議。網際網路技術遮蔽了底層網路硬體細節,使得異種網路之間可以互相通訊,正因為其開放性,TCP/IP協議本身就意味著一種安全風險。由於大量重要的應用程式都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網路帶來嚴重的後果。

  1.2 網路結構的安全問題:網際網路是一種網間網技術。它是由無數個區域網連成的巨大網路組成。當人們用一臺主機和另一區域網的主機進行通訊時,通常情況下它們之間互相傳送的資料流要經過很多機器的重重轉發,任何兩個節點之間的通訊資料包,不僅為這兩個節點的網絡卡所接收,也同時為處在同一乙太網上的任何一個節點的網絡卡所擷取。因此,黑客只要接入乙太網上的任一節點進行偵測,就可以捕獲發生在這個乙太網上的所有資料包,對其進行解包分析,從而竊取關鍵資訊。加之網際網路上大多數資料流都沒有進行加密,因此黑客利用工具很容易對網上的電子郵件、口令和傳輸的檔案進行破解,這就是網際網路所固有的安全隱患。

  1.3 路由器等網路裝置的安全問題:路由器的主要功能是資料通道功能和控制功能。路由器作為內部網路與外部網路之間通訊的關鍵裝置,嚴格說來,所有的網路攻擊都要經過路由器,但有些典型的攻擊方式就是利用路由器本身的設計缺陷展開的,而有些方式乾脆就是在路由器上進行的。

  2 計算機網路安全的相關技術

  計算機網路安全的實現有賴於各種網路安全技術。從技術上來說,網路安全由安全的作業系統、安全的應用系統、防病毒、防火牆、入侵檢測、網路監控、資訊審計、通訊加密、災難恢復、安全掃描等多個安全元件組成,一個單獨的元件無法確保資訊網路的安全性。目前成熟的網路安全技術主要有:防火牆技術、資料加密技術、入侵檢測技術、防病毒技術等。

  2.1 防火牆技術:所謂“防火牆”則是綜合採用適當技術在被保護網路周邊建立的用於分隔被保護網路與外部網路的系統。“防火牆”一方面阻止外界對內部網路資源的非法訪問,另一方面也可以防止系統內部對外部系統的不安全訪問。實現防火牆的主要技術有:資料包過濾、應用級閘道器、代理服務和地址轉換。

  2.2 資料加密技術:從密碼體制方面而言,加密技術可分為對稱金鑰密碼體制和非對稱金鑰密碼體制,對稱金鑰密碼技術要求加密、解密雙方擁有相同的金鑰,由於加密和解密使用同樣的金鑰,所以加密方和解密方需要進行會話金鑰的金鑰交換。會話金鑰的金鑰交換通常採用數字信封方式,即將會話金鑰用解密方的公鑰加密傳給解密方,解密方再用自己的私鑰將會話金鑰還原。對稱金鑰密碼技術的應用在於資料加密非對稱金鑰密碼技術是加密、解密雙方擁有不同的金鑰,在不知道特定資訊的情況下,加密金鑰和解密金鑰在計算機上是不能相互算出的。加密、解密雙方各只有一對私鑰和公鑰。非對稱金鑰密碼技術的應用比較廣泛,可以進行資料加密、身份鑑別、訪問控制、數字簽名、資料完整性驗證、版權保護等。

  2.3 入侵檢測技術:入侵檢測系統可以分為兩類,分別基於網路和基於主機。基於網路的入侵檢測系統主要採用被動方法收集網路上的資料。目前,在實際環境中應用較多的是基於主機的入侵檢測系統,它把監測器以軟體模組的形式直接安插在了受管伺服器的內部,它除了繼續保持基於網路的入侵檢測系統的功能和優點外,可以不受網路協議、速率和加密的影響,直接針對主機和內部的資訊系統,同時還具有基於網路的入侵檢測系統所不具備的檢查特洛伊木馬、監視特定使用者、監視與誤操作相關的行為變化等功能。

  2.4 防病毒技術:隨著計算機技術的不斷髮展,計算機病毒變得越來越複雜和高階,其擴散速度也越來越快,對計算機網路系統構成極大的威脅。在病毒防範中普遍使用的防病毒軟體,從功能上可以分為網路防病毒軟體和單機防病毒軟體兩大類。單機防病毒軟體一般安裝在單臺PC上,它們主要注重於所謂的“單機防病毒”,即對本地和本工作站連線的遠端資源採用分析掃描的方式檢測、清除病毒。網路防病毒軟體則主要注重網路防病毒,一旦病毒入侵網路或者從網路向其它資源感染,網路防病毒軟體會立刻檢測到並加以刪除。

  3 建議採取的幾種安全對策

  3.1 網路分段:網路分段通常被認為是控制網路廣播風暴的一種基本手段,但其實也是保證網路安全的一項重要措施。其目的就是將非法使用者與敏感的網路資源相互隔離,從而防止可能的非法偵聽。

  3.2 以交換式集線器代替共享式集線器:對區域網的中心交換機進行網路分段後,乙太網偵聽的危險仍然存在。這是因為網路終端使用者的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行資料通訊時,兩臺機器之間的資料包還是會被同一臺集線器上的其他使用者所偵聽,所以應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。

  3.3 VLAN的劃分:為了克服乙太網的廣播問題,除了上述方法外,還可以運用VLAN技術,將乙太網通訊變為點到點通訊,防止大部分基於網路偵聽的入侵。在集中式網路環境下,通常將中心的所有主機系統集中到一個VLAN裡,在這個VLAN裡不允許有任何使用者節點,從而較好地保護敏感的主機資源。在分散式網路環境下,可以按機構或部門的設定來劃分VLAN。各部門內部的所有伺服器和使用者節點都在各自的VLAN內,互不侵擾。VLAN內部的連線採用交換實現,而VLAN與VLAN之間的連線則採用路由實現。當然,計算機網路安全不是僅有很好的網路安全設計方案就萬事大吉,還必須要有很好的網路安全的組織結構和管理制度來保證。要通過組建完整的安全保密管理組織機構,制定嚴格的安全制度,指定安全管理人員,隨時對整個計算機系統進行嚴格的監控和管理。

  參考文獻

  [1] 王達.網管員必讀———網路安全[M].電子工業出版社,2007.

  [2] 張敏波.網路安全實戰詳解[M].電子工業出版社,2008.