l 计算机网络的脆弱性及其安全防范问题浅析 钱孝娣1马 童z (1郑州市第三人民医院;2河南牧业经济学院,河南郑州摘 要:本文在分析计算机网络脆弱性及其安全问题的 450000) 是一项涉及诸多方面因素的系统工程,需要进行被动性防御, 基础上.针对存在的问题从防范策略与使用技术两个方面探 讨了计算机网络安全问题,以期对促进计算机网络安全管理 工作水平的提高有所帮助。 关键词:计算机网络脆弱性安全防范 网络信息时代的到来,使社会信息传递发生日新月异的 变化;计算机网络应用水平,已经成为一个国家、地区政治、经 济、文化、军事等实力水平的重要标志之一。计算机网络在广 泛应用使综合国力大幅提高的同时,给带来更多威 胁,特别是无处不在的“黑客”网络攻击、遍布各地的计算机病 毒木马入侵、别有用心的计算机网络经济犯罪等,都直接威胁 国家、企业及个人的财产安全,体现了计算机网络的脆弱性, 有必要就其脆弱性及安全防范问题作深入探讨。 一、计算机网络的脆弱性及安全问题 就计算机网络的脆弱性来说。通过最大广域网因特网就 可以表现出来:第一,因特网几乎处于一种无、无组织、无 管理状态.任一用户、任一组织都可以通过基本的Web浏览, 访问其他企业、单位及个人的信息,特别是在我国个人信息保 律法规还不健全的情况下.随意浏览很易导致对他人侵 害的发生.也为进一步的个人信息保密造成困难。第二,网络 通信线路等硬件基础设施缺乏必要的保护,很容易被人恶意 搭线窃听、非法访问企业内部网络及个人计算机中的重要数 据信息。第三。因特网通信基本全部基于 rCP/IP协议连接,由 于TCP/IP协议的明码传输设计缺陷,导致无法对信息传输过 程的安全进行有效控制,为他人截取、更换信息提供机会;特 别是TCP,IP协议的IP地址网络节点唯一标志特性,特定IP地址 登录不需要身份认证。这就使攻击者可能通过修改或者冒充 某个IP地址进行信息重传、窃听等恶意攻击。总之,因特网、互 联网本身的脆弱性给网络安全造成巨大的潜在威胁,需要进 一步探讨其脆弱性问题。 计算机网络安全的实质.就在于保障计算机网络系统中人、 硬件基础设施、软件程序、数据信息等要素的安全,主要是避免 发生各种偶然的或者人为的破坏、攻击,旨在保证计算机网系统 的安全、正常、可靠工作。当前,对计算机网络来说,其存在的较 普遍的威胁如:病毒侵入、数据完整性遭破坏、信息泄密、信息篡 改、非法信息流传输、非法获取使用网络资源,以及利用计算机 网络从事违法犯罪活动等,严重者可能导致计算机网络系统瘫 痪。其中威胁最大的莫过于“黑客”攻击,其常用的方式是利用操 作系统、网络协议的安全漏洞攻击特定计算机或者服务器。如: 针对TCP/IP协议进行的Smurt攻击、SYN洪水攻击,以及基于源路 由的篡改攻击等,都会导致计算机网络 巨绝服务”的发生。 二、计算机网络安全防范策略与技术 就计算机网络安全防范策略来说,计算机网络安全管理 更需要主动性防御:需要使用必要的安全技术,也需要进一步 规范相关网络安全管理模式、管理规章制约束网络用户的行 为.目的只有一个。即保证计算机网络的安全性。其安全策略 的制定应该遵循以下基本原则:最小特权原则、最薄弱连接原 则、失效保护原则、阻塞点原则、纵深防御及多样化原则及普 遍参与的原则:计算机网络安全防范策略只有建立在上述原 则基础之上。才有可能真正改进乃至解决计算机网络安全问 题.是一种根本的从设计思想上考虑解决计算机网络安全问 题的分级管理结构体系,是必要的,也是有效的。 就计算机网络安全防范技术来说,最有效的莫过于防火 墙技术的应用。目前,市场提供的防火墙产品众多,如为解决 防火墙“单失效点”、“流量瓶颈”等问题,开发的桌面化个人防 火墙,对上述问题起到一定的保护作用;但个人防火墙的保护 功能只限于个人计算机,对于整个网络安全的防护作用有限。 基于个人防火墙的分布式防火墙.在个人防火墙基础做了重 大改进.其虽然有效增强了现有个人防火墙的部分功能,但是 在内部网络全局策略上还是难以实现,最重要的是不能完全 保证内部网不被外部主机探测到。 结合了个人防火墙和分布式防火墙优点的分级防火墙体 系结构,是当前计算机网络安全应用的主流。对于分级防火墙 来说.其分为内部网和外部网两部分,内之问通过路由器 连接.外部主机经过路由器后不是直接进入内网,而是需要经 过主级防火墙.在主级防火墙处执行身份认证、访问控制等安 全处理,然后由内部路由器转接至内网络;即使是在内网也可 以依据资源地理位置的不同或者网络安全需要再次进行部门 子网的划分.同时由次级防火墙提供二次防护。 总之,从分级防火墙系统结构可以看出,主级防火墙的使 用更有利于内部网络全局策略的执行,其有效隐藏了内部网 络拓扑结构及相关设备信息,而次级防火墙的使用则可以进 一步细化安全策略,旨在满足不同用户的安全需求;由于二级 或者低级防火墙是一个功能相对的模块,其在子网之间 的应用一定程度上防止了内部子网主机之间攻击的发生,进 而有效缓解防火墙单失效点问题,将网络攻击在更小的 范围内,计算机网络安全防范作用重大。分级体系结构的防火 墙设计思想可以有效整合包过滤、代理网关和状态检测等多 种防火墙技术.实现多种安全技术的综合应』}}j,保证计算机网 络安全防护的灵活、可靠。 参考文献: [1]梁树杰.浅析计算机网络安全问题及其防范措施[J] 信息安全-9技术,2014(03). [2]陈虹,王飞,肖振久,孙丽娜.一种融合多源数据的网 络安全态势评估模型[J].计算机工程与应用,2014(03). 125
