网络安全技术浅论
康文强
（中国民航大学 理学院 090243112）
摘要：因特网从诞生到现在的短短几十年的时间中，其爆炸式的技术发展速
度远远超过人类历史上任何一次技术革命。然而，从长远发展趋势来看，现在的
因特网还处于发展的初级阶段，因特网技术存在着巨大的发展空间和潜力，同时
网络安全也逐渐提上日程。
关键词：网络安全 攻击 抵制 防火墙 密钥
兵法云：“国家大事，死生之地，存亡之道，不可不察也”，随着计算机网络
技术的飞速发展，网络系统及其应用的逐渐复杂和庞大，网络攻击和破坏行为也
日益普遍和多样化，并不断产生大量新颖的攻击形式。信息安全问题已成为影响
社会稳定和国家安全的战略性问题。
信息网络的迅速发展普及应用，在给人们带来巨大便利的同时也带来了许多
安全隐患，处于政治、经济、文化等利益的需要，网络攻击事件层出不穷，屡见
不新。在今天的计算机技术产业中，网络安全已成为急需解决的最重要的问题之
一。由美国律师联合会所做的一项与安全有关的调查发现，有40%的被调查者承
认在他们的机构内曾发生果计算机犯罪事件。在过去的几年里，黑客对全球网络
的恶意攻击势头逐年攀升，同时由于技术和设计上的不完备导致计算机系统存在
缺陷或安全漏洞。信息安全问题已成为影响社会稳定和国家安全的战略性问题。
有信息安全技术的发展过程知道，信息安全的内涵是不断发展的，国际标准
化组织将计算系统安全定义为：为数据处理系统建立和采取的技术和管理的安全
保护，保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和
泄露。信息安全具有可用性、可靠性、完整性、机密性和不可抵赖性等属性。经
过学习，我们都深刻的认识到只有懂得事物形成与发展的原理和本质，才能制定
相应的策略，从而促进或抑制他们的产生与形成。因此，懂得网络攻击的原理与
技术变得日益重要。
随着网络技术的不断发展，网络攻击的方式、手段不但复杂也在不断变化。
归纳目前的网络攻击现象，网络攻击所具有的基本特征是：由攻击者发起并使用
一定的攻击工具，对目标网络系统进行攻击访问操作，并呈现一定的攻击效果，
即实现了攻击者预定义的攻击意图，它包括：攻击者，攻击工具，攻击访问，攻
击效果四个要素。通常攻击效果的呈现形式为：破坏数据，即为删除或修改系统
中存储的数据或者网络中传送数据；信息泄密，窃取或公布敏感信息；窃取服务，
未授权使用计算机或网络服务；拒绝服务，干扰系统和网络的正常服务，降低系
统和网络性能，甚至使网络系统崩溃。网络攻击原理及技术主要为①网络侦查技
术②DOS/DDOS攻击③缓冲区溢出攻击④欺骗攻击⑤端口管理技术。
常见的网络侦查技术主要有网络口令破解、扫描、监听等技术。网络口令攻
击通过猜测或其他手段非法获取某些合法用户账号和口令，然后使用这些账号和
口令登录到目的的主机，进而实现攻击活动。1988年小莫里斯的“蠕虫事件”，
以破解用户的口令为突破口，使得网络攻击成功，一般口令攻击包括获取口令文
件和用各种不同的加密算法对字典或其他字符表中的文字加密，并将结果与口令
文件进行对比，获取用户口令两个方面的工作。网络安全扫描则是基于网络的远
程发现和检测目标网络或是主机安全性脆弱点的一种技术，它在网路安全领域具
有非常重要的地位。在网络安全人员看来，只有收集到了足够、有效的信息，才
有可能防止潜在的攻击行为。攻击者尽可能地收集信息，查看系统是否存在漏洞
以实施攻击。一次完整的网络安全扫描分为三个阶段：①发现目标主机或网络；
②发现目标后进一步搜集目标信息，包括操作系统类型、提供的服务以及服务器
软件版本等。如果目标是一个网络，还可进一步发现该网络的拓扑结构、路由设
备以及各主机的信息；③根据搜集到的信息判断或者进一步测试系统是否存在安
全漏洞。

而网络监听几乎与互联网具有一样的历史，在网络安全领域，网络监听有极其
重要的作用。它原本是提供给网络安全管理人员进行管理的一类管理工作，可以

网络安全扫描
主机端口扫描
网络主机扫描

TCP全连接扫描 TCP半连接扫描 TCP隐蔽性扫描 UDP端口扫描 Ping
扫
描

操作系统辨识 漏
洞
扫
描
用来监视网络的状态、数据流动情况以及网络上传输的信息等，并利用这些信息
来排除网络故障，网络监听也称为网络分析仪或嗅探器，在网络安全技术的发展
过程中起着举足轻重的作用。
在网络攻击技术的发展历程中，自网络蠕虫被揭示出来之后至今，缓冲区溢
出攻击一直是一种最主要、最有效的攻击手段之一。缓冲区溢出带来的危害也很
大。因此，研究缓冲区溢出攻击技术对如何防止缓冲区溢出攻击逐渐变得重要。
缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中普
遍存在。大多数网络蠕虫的攻击模块亦都是利用缓冲区溢出攻击的方式来实现
的。
针对多种多样的网络攻击手段，网络安全技术领域前沿的各位研究人员也相
应做出了抵制其传播及危害计算机的方式。目前解决网络安全问题的主要途径是
网络访问控制、入侵检测和数据加密等。网络访问控制、入侵检测用于网路安全
保护，抵御各种外来攻击；数据加密用于隐藏传输信息，鉴别用户身份等。放火
墙、入侵检测及恶意代码防范与响应成为网络安全防控的三大主流技术。而防火
墙是目前最为流行、广泛使用的一种网络安全技术。它是一种综合性较强的网络
防护工具，涉及到计算机网络技术、密码技术、软件技术、安全协议、安全标准、
安全操作系统等多个方面。防火墙是在两个网络之间基于信息流强制执行网络边
界安全访问控制策略的一个或一组软硬件系统。在设置了防防火墙通过服务控
制、方向控制、用户控制和行为控制来控制访问和执行站点的安全策略。它对网
络的保护主要体现在两个方面：一是防止非法的外部用户侵入网络访问资源和窃
取数据；二是允许合法的外部用户以指定的权限访问规定的网络资源。不同类型
的防火墙的不同数据处理方式决定了他们在网络安全问题中相应的作用地位和
效果。
网络技术主要依赖于两种技术：一是传统意义上的存取控制和授权，如存取访
问控制列表、口令验证技术等；二是利用密码技术对数据进行加密、身份认证、
信息隐藏等。前者从理论和技术上是完全可以破解的，而后者是有条件的。所以
网络安全的核心仍建立在密码学理论与技术基础之上。密码技术包括密码算法设
计、密码分析、安全协议、身份认证、消息确认、数字签名、密钥管理等，密码
技术是保障网络与信息安全的基础与核心手段。
因此，我们在努力了解网络安全技术知识的同时也不断实践，对于局域网的
安全，在物理上，技术上，管理上和用户的安全意识几个方面入手。前两点需要
广泛的支持，一般不是某个局域网能够单独解决的。至于管理上，最容易而且最
有效的应该是加强用户的安全意识，由整个局域网的全部用户共同负责网络安
全。通过对网络安全技术知识的初步了解，我认为我们应该做到一下几点，以尽
量做到保护计算机网络的目的：
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理
和系统运行状况保密等各个方面。对各类保密都需要慎重考虑，根据轻重程度划
分好不同的保密级别，并制定出相应的保密措施。
(2)建立系统维护制度。该制度是计算机网络系统能否保持长期安全、稳定运行
的基本保证，应由专职网络管理技术人员承担，为安全起见，其他任何人不得介
人，主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性，除了安
装防病毒软件之外，还要及时升级防病毒软件版本、及时通报病毒人侵信息等工
作。此外，还可将网络系统中易感染病毒的文件属性、权限加以限制，断绝病毒
人侵的渠道，从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的计算机系统，应针对信息
安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实
现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的
自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份，
通过以土保护措施可为系统数据安全提供双保险。
网络安全技术是网络正常及安全运作的基础，只有了解了网络攻击技术的原
理与本质，我们才能在网络安全建设的道路上越走越远，为网路安全技术的发展
做出贡献。
参考文献：
[1]刘化君.计算机网络与通信[M].北京：机械工业出版社，2007
[2]杜晔.网路攻击技术教程[M].武汉：武汉大学出版社，2008
[3]甘刚.网络攻击与防御[M].北京：清华大学出版社，2008
[4]http://www.xfocus.net/;安全焦点网站