网络安全问题的分析及解决学号：5409052 姓名：刘壮当今社会进入以网络计算为中心的信息时代，网络互联化的速度也越来越快。

计算机网络的发展，给人们的工作和生活带来了极大的方便，但是，由于网络系统的开放性、信息资源的共享性、通信信道的公用性、连接形式的多样性等，使网络存在很多严重的脆弱点。

随着信息技术的飞速发展，网络安全逐渐成为一个潜在的巨大问题。

网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。

在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。

此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。

安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。

那么到底什么是网络安全呢？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

以下详细概述了网络安全主要问题，并对常见网络攻击从技术层面提出了解决方案，希望通过网络安全建设逐步消除网络安全的隐患。

一、网络安全问题有很多，概括起来主要有：（1）网络拓扑的安全问题：总线形拓扑结构（故障诊断困难：总线故障很难定位；故障隔离困难：如果故障发生在总线上，则要断开总线；中继配置、电缆长度更改、终端端子的配置复杂；终端必须具有一定的智能，即具有介质访问控制功能）；星形拓扑结构（电缆较长，施工困难；扩展困难；网络对中央节点的依赖大）；环形拓扑结构（节点的故障会引起全网故障；故障诊断困难；网络重新配置困难；访问协议复杂）；树形拓扑结构（与星形网络相类似，对跟节点依赖大，根节点的负载也大）（2）网络协议安全：TCP/IP先天不足，当初设计的目标是美国军队及科研机构使用，目标网络是封闭网络。

将INTERNET分为两个部分，一部分是付费的，提供足够的安全保障；另一部分是免费的，没有安全保障（3）网络软件缺陷：操作系统漏洞（如WINDOWS的PACK）；数据库安全（PACK等）；系统软件（中间件Middleware）缺陷、JBOSS等；应用软件缺陷（设计及开发过程的问题）（4）网络设备安全：网桥的安全隐患（广播风暴，内、外网络无法隔离，丢数据）；路由器的安全隐患（路由表被恶意修改，影响全网；无法识别IP盗用）（5）人为因素用户安全意识不强，用户口令密码选择不慎，或将自己的账号随意转接他人或与别人共享等都会给网络安全带来威胁。

（6）电磁辐射电磁辐射物能够破坏网络中传输的数据，甚至可以将这些数据接收下来，并且能够重新恢复，造成泄密。

（7）病毒病毒是编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。

它具有传染性、寄生性、隐蔽性、触发性、破坏性等几大特点。

（8）黑客黑客利用系统中的安全漏洞非法进入他人计算机系统，黑客使用一些方法收集或探测到一些有用信息后，就可能会对目标系统进行攻击。

如果黑客获得了特许访问权，那么他就可以读取邮件，搜索和盗窃私人文件，毁坏重要数据，破坏整个系统的信息，造成不堪设想的后果。

黑客的攻击程序危害性非常大。

二、常用的攻击手段：(1)内部窃密和破坏内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。

(2)截收攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用的信息。

它不破坏传输信息的内容，所以不易察觉。

(3)非法访问非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源，它包括：非法用户如黑客进入网络或系统，进行违法操作；合法用户以未授权的方式进行操作。

(4)TCP/IP协议上的某些不安全因素目前广泛使用的TCP/IP协议存在安全漏洞。

如IP层协议就有许多安全缺陷。

IP地址可以软件设置，这就造成了地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。

再如应用层协议Telnet,FTP,SMTP等协议缺乏认证和保密措施，这就为否认、拒绝等欺骗行为开了方便之门。

常见的网络欺骗包括MAC欺骗、ARP欺骗、ICMP欺骗、RIP路由欺骗、IP 源路由欺骗等。

(5)有害程序计算机病毒：计算机病毒虽是一个小小程序，但它和通的计算机程序不同。

感染病毒可能导致系统无法正常工作或数据破坏等损失。

网络病毒的传播主要通过一些应用服务器来传播的病毒，拥挤了有限的网络带宽，可能导致网络瘫痪。

病毒还可能破坏群组服务器，让这些服务器充斥大量垃圾，导致数据性能降低。

对整个网络而言，任何正常的文件信息通道都有遭受计算机病毒攻击的危险，且病毒在网络中大面积传播所造成的破坏是巨大的特洛伊木马：一个C/S系统，包括主控端和被控端两个程序。

其中主控端安装在攻击者自己的计算机上，用于远程控制被攻击系统。

被控端则需要通过各种隐秘手段植入到被攻击系统中。

典型的特洛伊木马有灰鸽子、冰河等。

蠕虫：蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其他程序中的方式来复制自己，所以在病毒中它也算是一个“另类”。

蠕虫病毒的破坏性很强，部分蠕虫病毒不仅可以在因特网上兴风作浪，局域网也成了它们“施展身手”的舞台――蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内，当客户机访问服务机，并对有毒的软件实施下载后，病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。

它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。

蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。

两种类型的蠕虫：主机蠕虫与网络蠕虫。

主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。

比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种，2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。

这一病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

逻辑炸弹：计算机中的“逻辑炸弹”是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。

“逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。

与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。

逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活。

在这样一个逻辑炸弹是非常类似的一个真实世界的地雷。

最常见的激活一个逻辑炸弹是一个日期。

该逻辑炸弹检查系统日期，并没有什么，直到预先编程的日期和时间是达成共识。

在这一点上，逻辑炸弹被激活并执行它的代码。

逻辑炸弹也可以被编程为等待某一个讯息，从程序员。

该逻辑炸弹例如，可以检查一个网站，每周一次为某一个讯息。

当逻辑炸弹看到的讯息时，或逻辑炸弹站看到的讯息，它激活并执行它的代码。

陷门（后门）：是一个程序模块的秘密的未记入文档的入口，是在程序开发时插入的一小段程序。

往往是为了方便测试、修改、升级等。

常见种类：遥控旁路、远程维护、非法监听等。

(6)其他网络攻击方式攻击者可能破坏网络系统的可用性，使合法用户不能正常访问网络资源；拒绝服务；甚至摧毁系统。

破坏系统信息的完整性；还可能冒充主机欺骗合法用户，欺骗系统占用资源。

三、网络安全体系结构网络的安全涉及到系统软、硬件平台的两个方面。

针对实际运行的TCP/IP 协议，网络安全贯穿于信息系统的四个层次，涉及到物理层、数据链路层、网络层、操作系统、应用平台及应用系统的安全等几个方面。

物理层安全，主要从网络设备和物理链路上对存储和传输的网络信息进行维护。

防止物理通路的破坏、物理通路的窃听、对物理通路的攻击（干扰等）。

数据链路层安全，需要保证网络中各系统之间交换的数据不被截获，或对某个连接上所有用户数据提供保密，或通过广域网传送的数据不被窃听。

网络层的安全，需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

操作系统的安全，要求分析信息系统安全级别，选用相应的操作系统并进行合理配置以保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

应用平台的安全，应用平台指建立在网络系统之上的应用软件服务，如数据服务器、电子邮件服务器、Web服务器等的安全。

由于应用平台的系统非常复杂，通常采用多种技术来增强其安全性。

应用系统的安全，应用系统完成网络系统的最终目的是为用户服务。

应用系统的安全与系统设计和实现关系密切。

应用系统使用平台提供的安全服务来保证基本安全，如通讯内容安全、通讯双方的认证、审计等手段。

四、解决这些问题的主要方法和途径从根本上讲，绝对安全的网络是不存在的，所以我们讨论的实际上是指一定程度上的网络安全。

为了保证网络的正常运行，我们必须首先要保证其安全性。

1、网络身份认证--存取控制和加密技术：存取控制：存取控制是对用户的身份进行鉴别和识别，对用户利用资源的权限和范围进行核查，是数据保护的前沿屏障。

它可以分为身份认证、存取权限控制、数据库保护等几个层次。

(1)身份认证：身份认证的目的是确定系统或网络的访问者是否是合法用户。

主要采用三种认证方式：使用口令、使用代表用户身份的物品、使用反映用户生理特征的标志。

使用口令是一种最普遍的认证方式，但这种方法的严重弊病就是口令很容易被窃取和破译，并且只能实现用户到系统的单项认证，用户无法对系统进行认证。

人体特征具有不可复制的特征，可以依赖人体的身体特征来进行身份的验证，如：指纹识别、声音识别、手迹识别、视网膜扫描、笔迹动态辨识等。

(2)存取权限控制：存取权限控制的目的是防止合法用户越权访问系统和网络资源。