维普资讯 http://www.cqvip.com 垫Q Q:塑 Science and Technology Consulting Herald T技术 基于计算机网络安全问题及其防范措施探讨 吴湘华 (湖南城市学院计算机科学系4 1 3000) 摘 要:随着计算机网络技术的高速发展,Internet上共享信息与网上业务的不断增加,伴随而来的计算机网络安全成为不容 忽视的问题,针对计算机网络系统存在的安全性和可靠性等一系列问题,本文从计算机网络安全的重要性、计算机网络安全 存在的问题以及防范措施等方面提出一些见解,并且进行了比较详细的阐述,以使广大用户在使用计算机网络时增强安全防 范意识。 关键词:计算机网络 网络安全 计算机系统 防范措施 中图分类号:TN915.07 文献识别码:A 文章编号:1673—0534(2007)07(a)一0020—02 随着计算机网络技术、通讯技术的发展 科。网络安全是一个系统的概念,它包含实体 2.2网络系统内在的安全脆弱性 和因特网的日益普及,网络概念已不再局限干 安全、软件安全、数据安全(或称信息安全) 目前流行的许多操作系统包括Unix服务 某一领域,而是广泛深入渗透到社会生活的方 和运行安全等几个方面,从其本质上讲网络安 器.NT服务器及Windows桌面PC等均存在 方面面,计算机网络已成为全球信息基础设施 全就是网络上的信息安全。广义上而言,凡是 网络安全漏洞,如NT中曾有一个严重的安全 的主要组成部分,形成了一个规模宏大的网络 涉及网络上信息的安全性、完整性.可用性、 漏洞,攻击者可以以OOB方式通过TCP/IP 社会。众所周知,作为全球使用范围最大的信 真实性和可控性的相关理论和技术都属干网络 Portl 39向NT传送0Byte的数据包可导致 息网,Internet自身协议的开放性极大地方便 信息安全所要研究的领域;狭义的“网络信息 NT瘫痪。 了各种计算机联网,拓宽了共享资源。但是, 安全”是指网络上相关信息内容的安全性,即 2.3网络通信本身存在安全威胁。 由干在早期网络协议设计上对安全问题的忽 保护信息的秘密性、真实性和完整性,避免攻 互联网的物理连接方式是一大弱点,任 视,以及在管理和使用上的无政府状态,逐渐 击者利用系统的安全漏洞进行窃听、冒充、诈 何人只要能实际接触到电缆且拥有适当的工 使Internet自身安全受到严重威胁,与它有关 骗及盗用等有损合法用户利益的行为,保护合 具,便能将他的计算机接上,并且成为上面的 的安全事故屡有发生。对网络安全的威胁主要 法用户的利益和隐私。 超级用户。然后,可以用promiscuous(允诺) 表现在:非授权访问,冒充合法用户,破坏数 模式来窃听总线上的所有数据包,从而可以窃 据完整性,干扰系统正常运行,利用网络传播 2计算机网络面临的安全威胁 取甚至修改信息。 病毒等方面。这已要求我们与Internet互联网 2.1计算机病毒泛滥 2.4系统配置不当造成的其它安全漏洞 所带来的安全性问题予以足够重视。 计算机病毒指编制或在计算机程序中插入 如在网络中路由器配置错误,存在匿名 的破坏计算机功能和数据,影响计算机使用并 FTP、Telnet的开放、口令文件缺乏安全的保 其特征 且能够自我复制的一组计算机指令或者程序代 护,保留了不必要的保密终端、命令的不合理 计算机网络安全是一门涉及到计算机科 码。如常见的蠕虫病毒,就是以计算机为载体, 使用等等,都会带来或多或少的安全漏洞。 学、网络技术、通信技术、信息安全技术、应 利用操作系统和应用程序的漏洞主动进行攻 2.5管理上造成的安全威胁 用数学、数论及信息论等多种学科的综合性学 击,是一种通过网络传播的恶性病毒。 由干没有正确认识网络入侵所造成的后 包括cR c校验段本身在内。它一经计算得 的数据后,要对其进行处理,处理包括上 出,便可以附在数据段末尾,然后由一传 述的C R C校验及解释出所要的数据。 输设备发给另一传输设备。 C R C校验的过程上面已经叙述过(参 在消息格式中,cRc校验码没有一个 见3.2.3),下面只讨论如解释出所要的数 也就是说M220型电能表回送的数据为: 固定的值,它必须经过一定的算法计算得 据。 +21.1 35k(W)。 出,而且要符合Modbus协议才可按在报文 M220按Modbus协议标准,将数据发送 后面发送,否则电能表将无法识别接收到 给工控机,报文格式如下: 4结语 数据的有效性。 设备在接收到报文之后,其须先检查所 地 功能 字节 数般 数据采集系统的设计要考虑到许多方面, 如在硬件连接上,要考虑实际布线和工控 收到的帧的CRC校验码是否正确。检查的方 址 码 数 法是:将接收帧中的所有字节(包括c R c 8位 8位 8位 8位xN l 16位 机的串行13数目;在软件上,要考虑如何 设计采数布骤,才能让数据采集的时间达 校验码)放人数组,接着,取出其中的地址 如,当读取总的有功功率时,M220的 到最短。为了实现这几个目的,对本系统 段到数据段的所有字节,然后依据cRC算法 回送数据为 进行了特点的设计,并使系统的硬件及软 重新计算其应有的cRc校验。如里此时计算 件充分配合,从而实现最佳效果。 所得CRC校验值与所接收的cRc校验值一 致,则说明接收到的帧CRC校验正确无误, 才能进一步的处理,若不一致,则说明帧在 其中数据段的长度是依据字节数段来解释 参考文献 传送的过程,可能受到干扰,至干是哪个字 的,如本例字节数段为O8,则在字节数段后 [1】ALST0M M220型电能表操作手册. 节受到干扰,则无法确定,所以只能要求发 的8个字节为所要的数据。 [2】陈功富,韩贤东.计算机网设计与实现, 人民邮电出版社,l 994. 送方再次发送。 对干数据段,M220是按ASCII码来发 [3 J李惊蛰,师向东.Modbus协议在不可靠 CRC校验值计算有两种:(1)直接计算 送的,也就是说上述数据段的8个字,我们 (2)查表得出。 要把它解释成: 信道中的应用,电气传动自动化,200 3, 25(5) 3.2.5数据处理 [4】陈柏金.通过串行口访问Modbus现场控 当工控机接收从M 2 2 0型电能表发回 制网络,微计算机信息,2003,l9(1). 表1 M220命令(消息)格式 [5】吴鸿超,陈冲.多Corn 13数据采集系统分 帧首 I地址l功能码l数据段l CRC校验l 帧尾 析,福建电脑,2003(9). tl—t2-t3一t4 I 8位}8位l 8位×N l 16位 I tl—t2一t3一t4 2O科技咨询导报Science and Technology Consulting Herald 维普资讯 http://www.cqvip.com T技术 果,舍不得投入必要的人力、物力、财力 低风险。 关人上报警; (3)对网络存取和访问进行监控审计,如 来加强网络的安全性,因而没有采取正确的 (3)对异常行为模式的统计分析; 果所有的访问都经过防火墙,那么,防火 (4)能够实时地对检测到的人侵行为进 安全策略和安全机制。 墙就能记录下这些访问井作出日志记录, 行反应; 同时也能提供网络使用情况的统计数据。 (5)评佑重要系统和数据文件的完整性; 3加强网络系统安全的技术与措施 为了保护网络资源,除了运用一定的法律 和管理的手段外,还必须针对网络安全所存在 的各方面问题,采用相应的技术对策,实现对网 络及数据的保护,以保证网络的正常运行,保障 合法网络用户在网络上的权益不受侵犯。目 前,解决网络安全威胁采取的防范措施主要有 以下几种方式:防火墙技术、加密技术、入侵 检测技术、病毒防范技术、访问与控制、重视 当发生可疑动作时,防火墙能进行适当的 (6)可以发现新的攻击模式。由丁统计学 报警,并提供网络是否受到监侧和攻击的 知识的使用,甚至能检测出新的人侵或从未发 详细信息。 生过的人浸。 (4)利用防火墙对内部网络的划分,可实 3.4防病毒技术 现内部网重点网段的隔离,从而降低了局部重 病毒防范中普遍使用的防病毒软件,从 点或敏感网络安全问题对全局网络造成的影 功能上可以分为网络防病毒软件和单机防病毒 响。 3.2数据加密技术 软件两大类。单机防病毒软件一般安装在单机 上,对本地和本工作站连接的远程资源采用分 备份和恢复等。 3.1防火墙技术 防火墙技术是指网络之间通过预定义的安 全策略,对内外网通信强制实施访问控制的安 全应用错施。它对两个或多个网络之间传输的 数据包按照一定的安全策略来实施检查,以决 定网络之间的通信是否被允许,并监视网络运 行状态。 防火墙是一种中间隔离系统,它可插在内 部网与互连网之间,提供访问控制和审计功 能。防火墙是一种硬件设备,它是有路由器、 主计算机和配置有适当软件的网络的多种组 合。逻辑上防火墙可充当分离器、限制器和分 析器。它通过检测、限制、更改跨越防火墙的 数据流,尽可能地来实现对网络的安全保护。 3.1.1防火墙的原理 (1)包过滤技术 包过滤技术是依据网络中的分包来进行传 输的一种技术。由于网络上的数据都是被分割 成为若干个一定大小的数据包进行传输的,防 火墙通过读取数据包中的地址信息来判断这些 “包”是否来自可信任的安全站点,一旦发现 是来自危险站点的数据包,防火墙便会将这此 数据拒之门外。 (2)代理型防火墙 代理型防火墙也称为代理服务器,它位于 客户机与服务器之间,完全阻档了二者间的数 据交流。当客户机需要使用服务器上的数据 时,首先将数据请求发给代理服务器,代理服 务器再根据这一请求向服务器索取数据,然后 再由代理服务器将数据传输给客户机。由于外 部系统与内部服务器之间没有直接的数据通 道,外部的恶意侵害也就很难伤害到内部网络 系统。 (3)网关防火墙 分为电路网关和应用网关,前者处于内外 网络之间,工作在OSI协议的第三层(会话层), 根据网络安全的要求&开通或封闭基丁TCL/ LP的连接;应用网关的物理位置和包过滤一 样,逻辑位置处于OSI七层协议的应用层上, 技术上主要采用应用协议代理服务来实施安全 策略,在应用层上提供访问控制。 3.1.2防火墙的功能 防火墙的卞要功能主要有: (1)通过以防火墙为中心的安全方案配置, 能将所有安全软件(如口令、加密、身份认证) 配置在防火墙上。 (2)防火墙能极人地提高一个内部网络 的安全性,并通过过滤不安全的服务而降 数据加密技术就是对信息进行重新编码, 析扫描的方式检测、清除病毒。网络防病毒软 从而隐藏信息内容,使非法用户无法获取信 件则士要注重网络防病毒,一旦病毒人侵网络 息、的真实内容的一种技术手段。数据加密技 或者从网络向其它资源传染,网络防病毒软件 术是为提高信息系统及数据的安全性和保密 会立刻检测到并加以删除。 性,防止秘密数据被外部破析所采用的丰要手 3.5访问与控制 段之一。 授权控制不同用户对信息资源的访问权 3.2.1数据加密技术的原理 限,即哪些用户可访问哪些资源以及可访问的 数据加密技术按作用不同可分为数据存 用户各自具有的权限。对网络的访问与控制进 储、数据传输,数据完整性的鉴别以及密匙管 行技术处理是维护系统运行安全、保护系统资 理技术4种。数据存储加密技术是以防止在存 源的一项重要技术,也是对付黑客的关键手 储环节上的数据失密为目的,可分为密文存储 段。主要技术手段有加密、键盘入口控制、卡 和存取控制两种;数据传输加密技术的目的是 片入口控制、生物特征入口、逻辑安全控制。 对传输中的数据流加密,常用的有线路加密和 3.6重视备份和恢复 端tt加密两种方法;数据完整性鉴别技术的目 备份系统应该是全方位的、多层次的。 的是对介入信息的传送,存取,处理人的身份 首先,要使用硬件设备来防止硬件故障;如果 和相关数据内容进行验证,达到保密的要求, 由于软件故障或人为误操作造成了数据的逻辑 系统通过对比验证对象输入的特征值是否符合 损坏,则使用软件方式和手工方式相结合的方 预先设定的参数,实现对数据的安全保护。数 法恢复系统。这种结合方式构成了对系统的多 据加密在许多场合集中表现为密匙的应用,密 级防护,不仅能够有效地防止物理损坏,还能 匙管理技术事实 是为厂数据使用方便。密匙 够彻底防止逻辑损坏。良好的备份和恢复机 的管理技术包括密匙的产生、分配保存、更换 制,可以在攻击造成损失时,帮助系统尽快地 与销毁等各环节上的保密措施。 恢复数据和系统服务。 3.2.2数据加密的功能 数据加密的功能主要有: 4结语 (1)通过对网络数据的加密来保障网络的 随着计算机技术的迅猛发展,计算机已经 安全可靠性,能够有效地防止机密信息的泄 成一种工具,而网络已经成为我们日常工作、 漏。 学习、生活中一个重要组成部分。故而计算机 (2)广泛地被应用干信息鉴别、数字签名 网络安全技术在当今社会将成为信息网络发展 等技术中,用来防止电子欺骗,这对信息处理 的关健技术,人类步入信息社会后,信息以成为 系统的安全起到极其重要的作用。 社会发展的重要战略,而网络安全技术是其不 3.3人侵检测技术 可不可或缺的保津,如此才能形成社会发展的 入侵检测技术是为保证计算机系统的安全 推动力。我国在信息网络安全技术的研究和产 而设计与配置的一种能够及时发现并报告系统 品开发仍处于起始阶段,需要我们去大量的研 中未授权或异常现象的技术,是一种用于检侧 究、开发和探索,以保障信息网络的安全,推 计算机网络中违反安全策略行为的技术。 动国民经济的高速发展。 3.3.1入侵检测的原理 人侵检测主要用于检测任何损害或企图损 参考文献: 害系统的保密性、完整性和可用性等行为。其 【1】王之灵.基于管理技术的安全网络管理系统 核心问题在于如何对安全审计数据进行分析, 【J】.计算机网络技术,2003(12). 通过从计算机网络或系统中若千关键点收集信 【2】罗随启.浅谈防火墙的设计和实现.【J】计算 息,并对其进行分析,从中发现网络或系统中 机安全及应用,2005(1). 是否有违反安全策略行为和遭到人侵的迹象。 【3】张福炎孙志挥编著.大学计算机信息技术 3.3 2人浸检测技术的功能 教程(第三版)【M】.南京大学出版社.2005. 入侵检测技术的主要功能人浸检测技术的 【4】王健.浅议计算机网络安全策略【JJ.科技情 功能主要体现在以下方面: 报开发与经济,2006,16(15). (1)监视分析用户及系统活动,查找非法 用户和合法用户的越权操作。检测系统配置的 正确性和安全漏洞,并提示管理员修补漏洞; (2)识别反映已知进攻的活动模式并向相 科技咨询导报Science and Technology Consulting Herald 2