计算机的网络安全防范

　　摘要：随着计算机网络技术的迅猛发展，信息化的程度越来越高，网络安全已经成为计算机领域所关注的焦点。本文旨在分析计算机网络面临的威胁和存在的安全隐患，并提出安全防范措施，维护计算机网络安全。
　　关键词：:计算机；网络安全；防范
　　一、计算机网络面临的威胁
　　1.软件编写存在bug:无论是服务器程序、客户端软件还是操作系统，只要是用代码编写的程序，都会存在不同程度的bug。bug主要分为以下几类:(1)缓冲区溢出:指入侵者在程序的有关输入项目中了输入了超过规定长度的字符串，超过的部分通常就是入侵者想要执行的攻击代码，而程序编写者又没有进行输入长度的检查，最终导致多出的攻击代码占据了输入缓冲区后的内存而执行。(2)意料外的联合使用问题:一个程序经常由功能不同的多层代码组成，甚至会涉及到最底层的操作系统级别。入侵者通常会利用这个特点为不同的层输入不同的内容，以达到窃取信息的目的。(3)不对输入内容进行预期检查:有些编程人员怕麻烦，对输入内容不进行预期的匹配检查，使入侵者输送炸弹的工作轻松简单。(4)Raceconditions:多任务多线程的程序越来越多，在提高运行效率的同时，也要注意Raceconditions的问题。例如:程序A和程序B都按照“读/改/写”的顺序操作一个文件，当A进行完读和改的工作时，B启动立即执行完“读/改/写”的全部工作，这时A继续执行写工作，结果是A的操作没有了表现，入侵者就可能利用这个处理顺序上的漏洞改写某些重要文件从而达到闯入系统的目的，所以，编程人员要注意文件操作的顺序以及锁定等问题。
　　2.TCP/IP初始设计存在缺陷:即使软件编写不出现bug,程序执行时也按照正确的步骤进行，但初始设计存在缺陷仍会导致入侵者的攻击。TCP/IP协议现在已经广泛应用，但是它却是在入侵者猖狂的今天之前设计出来的，因此存在许多不足，造成安全漏洞在所难免。例如ICMPUnreachable数据包断开,IP地址欺骗以及SY'N湮没。然而，最大的问题在于IP协议是非常容易“轻信”的，就是说入侵者可以随意地伪造及修改IP数据包而不被发现。
　　3.系统配置不当:(1)默认配置的不足:许多系统安装后都有默认的安全配置信息，通常被称为easytouse。但遗憾的是，easytouse还意味着easytobreakin。所以，一定对默认配置进行扬弃的工作。(2)管理员懒散:懒散的表现之一就是系统安装后保持管理员口令的空置，而且随后不进行添加和修改。(3)临时端口:有时候为了测试之用，答理员会在机器上打开一个临时端口,但测试完后却忘记了关闭，这样就会给入侵者有空可钻。(4)信任关系:网络间的系统经常建立信任关系以方便资源共享，只要攻破信任群中的一个机器，就有可能进一步攻击其他的机器。所以，要对信任关系严格审核、确保真正的安全联盟。
　　4.安全意识不强:用户口令选择不慎，或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
　　5.病毒:目前数据安全的头号大敌是计算机病毒。新型病毒正向着更具破坏性、更加隐秘、感染率更高、传播速度更快、适应平台更广泛的方向发展。病毒给人类造成的经济损失逐年上升，因此，提高对病毒的防范刻不容缓。
　　6.黑客:从某种意义上讲，黑客对信息安全的危害甚至比一般的电脑病毒更为严重。形势的日益严峻使得反病毒行业，防毒、防黑客产品的研究和开发已成为一种趋势。
　　二、计算机网络中存在的隐患
　　1.广播风暴的风险:由于NETBEUI等非路由协议的数据包以广播方式在整个网上传播，造成了网络资源的浪费，并可能产生“广播风暴”，造成整个网络系统的瘫痪。
　　2.资源共享所产生的安全隐患:一些用户喜欢利用网络邻居实现资源的共享，这样是很方便，但同时也带来不安全的隐患。首先，易造成网上计算机病毒的传播。第二，会造成非法用户的非法访问，窃取用户保密资料或破坏用户的资源。
　　3.共享式网络设备的安全隐患:系统的内部网都是采用的以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也可以被处在同一以太网上的任何一个节点的网卡所截取，只要接入以太网上的任一节点的用户现在很容易从Internet上得到的许多免费的黑客工具，如SATAN,ISS,NETCAT等帮助下进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而可能窃取关键信息，这就是以太网所固有的安全隐患。以交换式网络设备代替共享式网络设备对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户是通过分支集线器而不一定都是通过中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据交换时，还是有可能被同一台集线器上的其他用户侦听到。因此，在内部网中最好要以交换式集线器代替共享式集线器，使数据包仅在两个节点之间传送，从而有效地防止可能的非法侦听。
　　4.应用系统的安全隐患:非法用户可通过SATAN等扫描工具对网络上主机进行扫描，找出漏洞，进行攻击。
　　5.文件服务器、邮件服务器及WEB服务器的安全隐患:如果这些服务器没有采取相应的安全保护措施，则可能遭受“黑客”的攻击和病毒的侵害。如:涂改Web页面、发送垃圾邮件、使用“特洛伊木马”程序攻击用户。
　　6.路由协议存在的安全隐患:在许多计算机网络中，路由器之间采用的协议有OSPF和RIP两种;因为版本较低，其中有的路由器协议的版本为RIP.它不支持加密功能.因而当某一非法用户启用V1.0协议，将路由指向某一不存在的地址时，可能造成网络故障。
　　三、计算机网络安全防范技术
　　1.物理隔离网络的安全技术:建立一个内网节点保护体系，并将整个网络的所有情况通过节点的实时反馈，集中到一个系统安全信息管理中心，然后通过该管理中心对全网进行统一管理。节点设备安全并不只是单点安全技术，不仅仅关注节点，同时还要考虑全网安全体系架构。所有节点都要服从安全体系架构的统一的框架，接受统一的管理。
　　2.访问控制技术:访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。访问控制措施有以下几个方面:(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。(2)网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。(3)目录安全控制。网络允许控制用户对目录、文件、设备的访问。对目录和文件的访问权限一般有八种:系统管理员权限（Supervisor）,读权限(Read),写权限(Write),创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(AccessControl)。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问，从而加强了网络和服务器的安全性。(4)属性安全控制。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除、执行修改、显示等。(5)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台.以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。(6)网络监测和访问控制。网络管理员应对网络实施监控服务器记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。如果不法之徒试图进入网络，网络服务器应会自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该帐户将被自动锁定。(7)网络端口和节点的安全控制。网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用于防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器。在对用户的身份进行验证之后，才允许用户进入用户端。然后用户端和服务端再进行相互验证。(8)防火墙控制。它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。