開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇網絡攻擊的防范措施，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

【關鍵詞】 網絡安全;網絡攻擊;安全策略

一、常見網絡攻擊的原理和手段

1.口令入侵。口令入侵是指使用某些合法用戶的賬號和口令登錄到目的主機,然后再實施攻擊活動。獲得用戶賬號的方法很多,如利用目標主機的Finger功能、X.500服務、從電子郵件地址中收集、查看習慣性賬號。獲取用戶的賬號后,利用一些專門軟件強行破解用戶口令。

2.放置特洛伊木馬程序。特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開或下載,一旦用戶打開或者執行了這些程序,就會像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當你連接到因特網上時,這個程序就會通知攻擊者,來報告你的IP地址以及預先設定的端口。攻擊者在收到這些信息后,再利用預先潛伏的程序,就可以任意地修改你的計算機的參數設定、復制文件、窺視你整個硬盤中的內容等,達到控制你的計算機的目的。

3.電子郵件攻擊。電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,使目的郵箱被撐爆而無法使用。攻擊者還可以佯裝系統管理員,給用戶發送郵件要求用戶修改口令或在貌似正常的附件中加載病毒或其他木馬程序。

4.網絡監聽。網絡監聽是主機的一種工作模式,在這種模式下,主機可以接收到本網段在同一條物理通道上傳輸的所有信息,不管這些信息的發送方和接收方是誰。系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端,攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號在內的信息資料。

5.安全漏洞攻擊。許多系統都有這樣那樣的安全漏洞(B ugs)。由于很多系統在不檢查程序與緩沖之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里,系統還照常執行命令。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別配置一串準備用作攻擊的字符,他甚至可以訪問根目錄,從而擁有對整個網絡的絕對控制權。

二、網絡攻擊應對策略

1.利用安全防范技術。(1)加密技術。加密技術主要分為公開算法和私有算法兩種,私有算法是運用起來是比較簡單和運算速度比較快,缺點是一旦被解密者追蹤到算法,算法就徹底廢了。公開算法的算法是公開,有的是不可逆,有用公鑰,私鑰的,優點是非常難破解,可廣泛用于各種應用;缺點是運算速度較慢,使用時很不方便。(2)身份認證技術。身份認證技術在電子商務應用中是極為重要的核心安全技術之一,主要在數字簽名是用公鑰私鑰的方式保證文件是由使用者發出的和保證數據的安全。在網絡應用中有第三方認證技術Kerberos,可以使用戶使用的密碼在網絡傳送中,每次均不一樣,可以有效的保證數據安全和方便用戶在網絡登入其它機器的過程中不需要重復輸入密碼。(3)防火墻。防火墻技術是比較重要的一個橋梁,以用來過濾內部網絡和外部網絡環境,在網絡安全方面,它的核心技術就是包過濾,高級防火墻還具有地址轉換,虛擬私網等功能。

2.制訂安全策略。(1)提高安全意識。一是不隨意打開來歷不明的電子郵件及文件,不隨意運行不明程序;二是盡量避免從Internet下載不明軟件,一旦下載軟件及時用最新的病毒和木馬查殺軟件進行掃描;三是密碼設置盡可能使用字母數字混排,不容易窮舉,重要密碼最好經常更換;四是及時下載安裝系統補丁程序。(2)使用防毒、防黑等防火墻。防火墻是用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。(3)設置服務器,隱藏自己的IP地址。事實上,即便你的機器上被安裝了木馬程序,若沒有你的IP地址,攻擊者也是沒有辦法,保護IP地址的最好方法就是設置服務器。服務器能起到外部網絡申請訪問內部網絡的中間轉接作用。當外部網絡向內部網絡申請某種網絡服務時,服務器接受申請,然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務。(4)將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟件保持在常駐狀態,以徹底防毒。(5)對于重要的資料做好嚴密的保護,并養成資料備份的習慣。

參考文獻

[1]耿杰,方風波.計算機網絡安全與實訓[M].北京:科學出版社出版,2006:155～158

第2篇

關鍵詞：網絡熵 計算機網絡 攻擊 安全性 效果 定量評估 方法 分析

中圖分類號：G623.58 文獻標識碼：A 文章編號：1672-3791（2013）02（b）-0018-01

隨著計算機技術以及網絡信息技術在實際應用中的不斷發展進步，計算機網絡安全的要求也隨之提高。比如，在信息安全領域，對于信息安全的內涵理解就在不斷的延伸擴展，由原來的對于信息安全的保密性理解，逐漸擴展成為不僅包含信息保密性，更包括信息的完整性以及可用性、可靠性、不可否認性等，同時在進行信息安全保護的過程中，也逐漸發展并包含了對于信息攻擊以及防范、檢測、控制、管理、評估等多方面的安全防護理論以及技術等。在現代的信息管理系統中，對于信息安全的管理主要核心就是對于信息安全密碼的應用與管理，實現對于信息安全密碼的應用管理，首先需要通過進行可信信息系統的建立與評估，在此基礎上，實現對于信息密碼安全管理。計算機網絡攻擊效果的評估是信息系統安全綜合評估的重要組成部分，進行計算機網絡攻擊效果的評估，不僅有利于提高計算機信息系統在復雜網絡環境下的突發網絡攻擊應對能力，而且對于計算機網絡攻擊反擊也具有一定的應對參考作用。

1 計算機網絡安全性能指標的選取分析

在進行計算機網絡攻擊效果的定量評估過程中，要實現對于計算機網絡攻擊效果的評估分析，首先需要通過選取計算機網絡安全性能指標因素，對于計算機網絡攻擊前后的安全變化情況進行分析的基礎上，才能實現對于計算機網絡攻擊效果的評估。

通常情況下，進行計算機網絡攻擊的目的，就是為了破壞計算機網絡的安全特性，是計算機網絡失效或者是達到降低的效果。因此，通過對于計算機網絡攻擊前后安全性能指標的選取分析，來實現對于計算機網絡攻擊前后安全性能的變化描述，并且計算機網絡攻擊前后的安全性能指標差值，就是進行計算網絡攻擊效果評價的重要標準。本文主要通過系統分析法，通過對于計算機網絡安全機制的研究分析，通過計算機網絡安全機制以及準則、指標三級特性，實現對于計算機網絡攻擊效果的評估。通常情況下，計算機網絡安全機制主要包含計算機網絡的放繞過性、防篡改性以及可驗證性、正確性、可用性等各種性能機制，而計算機網絡安全的準則則主要包含防更改性、多樣性以及隔離性、多重性、強制性等各要素，而通常情況下，根據計算機網絡安全指標的測量結果，對于計算機網絡的安全特性又可以分為布爾型、實數型以及分級數值等各種類型，并且在進行網絡安全性能指標的選取過程中，進行安全性能指標的選取，還需要根據整體性或者是時效性等選擇原則要求進行選取實施，比較麻煩并且繁雜，在實際選擇評估應用中，需要注意結合指標選取實際情況進行簡化選取實施。

2 基于網絡熵的網絡攻擊效果計算分析

2.1 網絡熵的含義概述

通常情況下，在進行計算機網絡攻擊效果的評估過程中，進行網絡安全性能指標的簡化選取之后，由于進行網絡攻擊效果的評估只是對于網絡攻擊前后的安全性能變化的評估分析，因此，評估分析過程中可以使用網絡熵對于網絡安全性能情況進行描述評價，通常情況下網絡熵的值越小，那么就表示計算機網絡系統的安全性能越好，而一旦計算機網絡在服務運行過程中受到攻擊，那么網絡服務的性能就會下降，同時計算機網絡系統的穩定性就會受到破壞，網絡熵值也會增加。一般用下列公式（1）所示的網絡熵差值對于計算機網絡攻擊效果進行表示描述。

2.2 單個網絡安全指標網絡熵差計算方法

在計算機網絡安全性能指標因素中，根據計算機網絡安全機制以及準則等的不同，會有各方面不同的對于網絡安全性能產生影響的重要指標因素，比較復雜并且繁多，因此，在實際計算機網路安全性能指標的選取中，應注意進行簡化選擇。以計算機網絡系統的可用性為例，在確定網絡安全可用性的影響指標后，對于網絡熵差值的計算方法如下。

根據計算機可用性的影響指標因素情況，主要有網絡數據吞吐量、網絡信道利用率以及網絡延遲情況、延遲抖動頻率等，其中用S1表示計算機網絡攻擊前的吞吐量情況，用S2計算機網絡攻擊后的吞吐量情況，根據相關要求原則，那么網絡數據流量在該項指標的攻擊效果可表示為下列公式（2）所示。

2.3 計算機網絡系統的網絡熵差值計算

根據上述對于計算機網絡安全性能單個指標的網絡熵差值計算表示分析，在進行整個計算機網絡系統的網絡熵差值的計算中，就是在進行安全性能指標權重值確定的情況下，通過對于計算機網絡安全性能指標的權重因素的網絡熵差值計算，來實現對于計算機網絡系統網絡熵差值的計算描述。如下公式（4）所示，就是系統網絡熵為H情況下，用H’表示網絡攻擊后系統的網絡熵值，那么對于網絡攻擊效果的計算就可以表示為如下公式所示。

3 結語

總之，基于網絡熵的計算機網絡攻擊效果定量評估方法，是通過網絡熵描述理論，在對于計算機網絡安全性能指標權重因素的定量計算分析基礎上實現的，對于計算機網絡攻擊效果的評估具有一定的適用性。

參考文獻

[1] 張義榮，鮮明，王國玉.一種基于網絡熵的計算機網絡攻擊效果定量評估方法[J].通信學報，2004（11）.

[2] 王桐桐.計算機網絡安全面臨的問題及防范措施[J].都市家教，2012（9）.

[3] 黃祖文.計算機網絡運行中常見安全威脅與防范措施[J].中國新通信，2012（22）.

第3篇

隨著計算機的普及以及網絡的飛速發展,人們生活的各個方面越來越多地依賴于計算機,它

為人類帶來了新的工作學習和生活方式,人們與計算機網絡的聯系也越來越密切。計算機網絡系統給用戶提供了很多可用的共享資源,但是也增加了網絡系統的脆弱性和受攻擊的可能性以及網絡安全等問題,網絡的安全性逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題,其中也會涉及到是否構成犯罪行為的問題。大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。對于這一問題我們應該十分重視。

一、計算機網絡中的安全缺陷及產生的原因

網絡出現安全問題的原因主要有:

第一,TCP/IP的脆弱性。

因特網的基石是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。

第二,網絡結構的不安全性

因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。

第三,缺乏安全意識

雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。

二、網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。

口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如:

利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。

IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中,入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時,網絡入侵者最容易獲得目標網絡的信任關系,從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址,它們之間互相信任。由于這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。

三、確保計算機網絡安全的防范措施

1.防火墻技術

網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態。

目前的防火墻產品主要有堡壘主機、包過濾路由器、應用層網關(服務器)以及電路層網關、屏蔽主機防火墻、雙宿主機等類型。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊。

2.強化訪問控制,力促計算機網絡系統運行正常。

訪問控制是網絡安全防范和保護的主要措施,它的任務是保證網絡資源不被非法用戶使用和非常訪問,是網絡安全最重要的核心策略之一。

第一,建立入網訪問功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。

第二建立網絡的權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。

3.數據加密技術

第4篇

關鍵詞：計算機網絡；網絡安全；威脅；防范措施

互聯網一直不平靜，近來鬧得沸沸揚揚的“斯諾登事件”和“棱鏡門”揭示了黑客行為不單是個人所為，還有政府組織背景。筆者無意探討其中的是非曲折，僅結合計算機網絡中的一些的安全威脅及防范措施進行分析和探討。據《CNCERT互聯網安全威脅報告》，2013年4月份我國境內感染網絡病毒的終端數近371萬個；被篡改網站數量為9020個，其中被篡改政府網站數量為810個；CNVD收集到系統安全漏洞732個，其中高危漏洞226個，可被利用實施遠程攻擊的漏洞有624個。這里指出了計算機網絡常見的幾大安全威脅：病毒、網絡攻擊、安全漏洞。下面進行討論。

一、網絡安全與主要威脅

1.關于網絡安全。網絡安全是指計算機網絡系統的軟硬件以及系統數據處于保護狀態，不因自然因素或人為惡意破壞而導致系統破壞、數據被惡意地篡改和泄漏，從而保證計算機系統可以安全、可靠、穩定的運行。從該定義可以看出，“棱鏡門”導致全球范圍內難以計數的計算機系統受到了安全威脅，因為在人們不知不覺中個人信息可能已經泄漏出去了。

2.計算機網絡主要威脅。（1）病毒威脅。按照《中華人民共和國計算機信息系統安全保護條例》給出的定義，病毒（Virus）是編寫或插入計算機程序中，具有破壞計算機功能或數據，影響計算機使用并且可以自我復制的一組計算機指令或程序代碼。計算機病毒可以像生物病毒那樣，通過電腦硬盤、光盤、U盤、網絡等途徑自我復制而大量傳播，也能像生物病毒對待宿主那樣造成巨大破壞，例如幾年前“熊貓燒香”病毒的破壞力人們記憶尤存。（2）木馬威脅。木馬（Trojan）源于希臘傳說特洛伊木馬計的故事。木馬也是一種計算機程序，與病毒不同的是它一般不會自我復制，也不會感染其他文件，而常常偽裝成游戲或對話框吸引用戶下載，一旦進入用戶計算機系統就如同施了特洛伊木馬計那樣，在用戶電腦中破壞、盜取數據或者通過遠程操控用戶電腦。可見，木馬的危害不亞于病毒。（3） 黑客攻擊。黑客（Hacker）是指那些利用網絡攻擊技術攻擊計算機網絡中的計算機系統的人。黑客攻擊目標可能是個人電腦，也可能是企業、政府部門的服務器系統，攻擊所要達到的目的可以是獲取商業機密，進行網絡詐騙、網絡釣魚，也可能懷有某種政治目的而進行破壞，如篡改網站，攻擊政府、企事業單位的網站而使其癱瘓。（4）安全漏洞。安全漏洞是指計算機系統中存在的可能被黑客利用的缺陷，它包括系統漏洞、應用軟件漏洞、網絡設備漏洞、安全產品漏洞（如防火墻、入侵檢測系統等存在的漏洞）等。漏洞是客觀存在的，而且很難完全避免，這是由計算機系統的復雜性所決定的。但有那么一些漏洞是人為設置的，如軟件后門。（5）操作與管理漏洞。有些計算機用戶操作不當及安全意識較差。例如無意中的操作失誤，口令設置過于簡單，隨意將自己的帳號轉借給他人或者與人共享等。部分集團用戶缺乏嚴密的管理措施，使內部網絡容易受到攻擊，如一些單位的局域網、校園網為了便于資源共享，訪問控制或安全通信方面有所欠缺，采用移動設備無線傳輸數據時不經過必要的安全檢查，增加了數據泄密的幾率。

3.網絡威脅的后果。計算機網絡中的威脅已帶來許多不良影響，比較典型的后果有：一是數據丟失，對于失去重要的商業資料，其經濟損失難以估量；二是系統癱瘓，對于一些經營性網站將無法提供服務；三是機密失竊，對于推行辦公自動化的部門、單位而言，核心機密失竊不僅意味著巨大經濟損失，而且對其以后發展可能是致命的；四是威脅社會安定，一些政府網站信息資料被篡改及傳播謠言，將對社會穩定構成極大威脅。

二、計算機網絡安全防范措施

1.構建網絡安全防護體系。目前，網絡安全的形勢已不單局限于國內、某一部門、單位或個人，“棱鏡門”事件說明網絡安全更需要國際合作。從國內來說網絡安全的法律體系尚不完善，針對網絡犯罪存在一些明顯的不足，例如量刑程度較粗，相比傳統犯罪刑罰偏輕，所以健全法律法規體系建設是確保網絡安全的基礎。網絡安全防護體系應由網絡安全評估體系、網絡安全服務體系和安全防護結構體系組成。評估體系是對網絡漏洞、管理進行評估；服務體系包括應急服務體系、數據恢復服務和安全技術培訓服務；防護結構體系包括病毒防護體系、網絡訪問控制技術、網絡監控技術和數據保密技術。

2. 網絡安全技術防范措施。（1） 重視安全漏洞的修補。安全漏洞意味著系統存在可預知的不足，既然如此就應當設法彌補漏洞。如系統漏洞、應用軟件漏洞可借漏洞掃描軟件定期掃描找出漏洞，再打足補丁。對于操作系統和應用軟件應該開啟實時更新功能，及時打上補丁或更新軟件。（2）防范病毒。一般可通過安裝防病毒軟件防范病毒攻擊。防病毒軟件有單機版和網絡版兩種類型。單機版可用于個人電腦和局域網內使用，網絡版可用于互聯網環境。但需要注意的是，在當今網絡環境中使用防病毒軟件也只能提供有限度的防護，對于黑客入侵并不總有效，仍需要其他安全防護措施。（3）利用好防火墻技術。防火墻技術實質上是隔離內網與外網的屏障，避免非授權訪問。使用防火墻的關鍵是合理配置，不少人卻忽略了這一點。正確配置方案包括身份驗證、口令驗證級別以及過濾原則等。（4）訪問控制技術。訪問控制就是根據用戶身份設置不同的訪問權限。通過訪問控制技術可阻止病毒或惡意代碼入侵，減少非授權用戶訪問行為。（5）數據加密技術。數據加密可有效防止機密失竊，即使數據傳輸時被截獲，信息也不會完全泄漏。數據加密方法一般可分為對稱加密算法和非對稱加密算法兩種，前者加密與解密的密鑰相同，系統安全性與密鑰安全性關系較大；后者加密與解密密鑰不同，且需要一一對應，安全性更高。（6）其他常用安全技術。如入侵防御技術（IPS）、入侵檢測技術（IDS）、虛擬專用網技術（VPN）、網絡隔離技術等。日常應加強數據備份管理，確保數據丟失、破壞后可以迅速恢復。

三、結語

計算機網絡已經改變了人們的生活方式，也提升了生活質量，但無法忽略的是網絡威脅也始終相伴。通過有效的管理機制、技術防范措施，可以減少網絡威脅所帶來的問題，然而沒有絕對安全的技術，唯有不斷提高安全意識和更新安全技術，才能最大限度地保障網絡安全。

參考文獻：

第5篇

關鍵詞：DNS；網絡攻擊；防范技術

1 引言

DNS（Domain Name System）域名系統，提供了Internet的底層基礎服務，它實現了將網絡域名映射為網絡IP地址，因此其安全性對整個Internet的安全性起著十分重要的作用。DNS作為當今全球最大、最復雜的分布式層次數據庫系統，由于其開放、龐大、復雜的特性以及設計之初對于安全性的考慮不足，再加上人為的攻擊和破壞，DNS已面臨非常嚴重的安全威脅。

2 DNS的工作原理

DNS是為了實現域名和IP地址之間的轉換，它的工作原理就是在域名與IP地址兩者之間進行相互的映射，起到相當于翻譯的作用。DNS可分為Server和Client兩部分，當Client向Server發出域名的解析請求時，本地的Server先查詢自己的數據庫是否存在需要的內容，如果有則發送應答數據包并給出相應的結果，否則它將向上一層Server進行查詢。如此不斷查詢，直至找到相應的結果或將查詢失敗的信息反饋給Client。DNS具體的工作流程如下：

（1）Client首先向本地的Server發出查詢請求，如要查詢解析域名為的IP地址；

（2）本地Server如沒有對應的記錄，轉而向根Server尋求幫助；

（3）根Server返回com域的Server地址；

（4）本地Server向com域的Server發出域名解析請求；

（5）com域的Server返回域的Server地址；

（6）本地Server繼續向域的Server發出域名解析請求；

（7）域的Server向本地Server返回域名為的IP地址查詢結果；

（8）本地Server向Client成功返回域名的解析結果，并且更新本地Server的緩存記錄。

從上述DNS的工作流程中我們可以看到DNS的服務機制具有以下的漏洞和不足：

（1）DNS容易成為暴露用戶行為的工具；

（2）Internet的DNS體系無法承受加密帶來的開銷和技術升級的成本；

（3）迭代查詢，對根域與頂級域服務器的依賴非常嚴重；

（4）DNS主要使用無連接的UDP協議明文傳送，很容易被偽造投毒；

（5）明文傳輸的DNS不具備任何保密性；

（6）DNS服務器具有軟件漏洞。

3 常見的DNS攻擊

由于DNS已成為了網絡攻擊的熱門目標，因此也成為了互聯網網絡安全的一個十分重大的隱患。網絡攻擊者們通過攻擊DNS達到了利用最少的成本，獲得最大的效益，利用最少的資源，發起最有破壞力的攻擊的目標，而且其攻擊也可以輕而易舉地繞過嚴密的安全監控和防護。如在2010年1月，網絡攻擊者們修改了百度的域名指向，以致百度網站出現無法訪問的情況；2011年3月，網絡攻擊者們利用Bind 9軟件出現的漏洞，使得部分DNS服務無法正常解析.com的域名。比較常見的DNS攻擊有緩存投毒、DNS欺騙和DDoS攻擊等，具體分析如下：

3.1 緩存投毒

緩存投毒是通過控制DNS的緩存服務器，把用戶從原本需要訪問的網站帶到其它的網站，從而實現黑客的目的。緩存投毒實現的方式主要有兩種：

3.1.1 攻擊或控制用戶ISP端的DNS緩存服務器的漏洞，將該ISP內的用戶訪問域名的響應結果改變；

3.1.2 利用權威域名服務器上的漏洞，在用戶權威域名服務器同時被當作緩存服務器使用時，就可以實施緩存投毒，將錯誤的域名紀錄存入服務器的緩存當中，使所有使用該服務器的用戶得到的都是錯誤的DNS解析結果。從網絡拓撲的角度來看，緩存投毒針對的DNS服務器是最接近用戶的服務器，因此對這些服務器的攻擊將會直接影響到連接這些服務器的所有用戶。

3.2 DNS欺騙

DNS 欺騙是局域網常見的一種DNS攻擊方式，是冒充域名服務器進行的一種欺騙行為。網絡攻擊者在DNS服務器響應之前先將虛假的響應結果交給用戶，從而通過欺騙的手段使用戶去訪問惡意的網站。假設當用戶提交給DNS服務器的域名解析請求報文數據包被截獲，然后按網絡攻擊者的意圖將一個虛假的IP地址作為應答信息返回給用戶，用戶就會把這個虛假的IP地址作為他所要的IP地址而進行訪問，這樣他就會被不知不覺地被欺騙到了網絡攻擊者想要其訪問的那個網站，從而實現了DNS欺騙。

3.3 DDoS攻擊

DDoS攻擊主要有兩種實現方式：

3.3.1 針對DNS的服務器軟件，利用其軟件程序中存在的各種漏洞，導致DNS服務器崩潰或拒絕提供服務；

3.3.2 利用DNS服務器作為中間的“攻擊放大服務器”，去攻擊其它互聯網上的主機或服務器，導致被攻擊的主機或服務器拒絕服務。

4 常見DNS攻擊的防范方法

4.1 緩存投毒的防范方法

4.1.1 必須及時更新DNS的數據，重建DNS的緩存，根據DNS服務器的性能和網絡的實際運行情況，將服務器緩存記錄的TTL值適當減少，以防止緩存中毒；

4.1.2 將UDP端口隨機化，在UDP端口的范圍內隨機選擇使用端口，而不是固定使用53端口，這樣可以使端口號和ID號的組合空間擴大到6萬多倍 ，從而有效降低緩存投毒的命中率；

4.1.3 設置靜態的DNS映射表，對動態DNS的更新進行限制，達到保護少數重要網站不受攻擊的目的。

4.2 DNS欺騙的防范方法

4.2.1 防范由于ARP欺騙而引起的DNS欺騙，由于這種DNS欺騙是以ARP欺騙為基礎的，所以可以通過將網關路由器的MAC地址和IP地址進行綁定以達到避免此類欺騙的目的；

4.2.2 在DNS欺騙中，客戶端會收到一個合法的應答包和一個欺騙的應答包。欺騙應答包為了能盡量快地返回給客戶端，它的報文結構比合法應答包簡單，甚至只有一個應答域，而沒有授權域和附加域。這樣我們就可以通過監聽DNS的應答包，按照一定的算法，鑒別出合法和欺騙兩種應答包，進而避免DNS的欺騙攻擊；

4.2.3 對DNS服務器做適當的安全配置和安全管理，限制DNS服務器作出應答的IP地址的范圍，安裝最新版的軟件，關閉服務器的遞歸功能等；

4.2.4 個別安全級別要求較高的服務可以直接用IP地址進行訪問，從而繞開DNS服務，這樣全部針對DNS的攻擊就都可以避免了。

4.3 DDoS攻擊的防范方法

對于DDoS攻擊可以采取以下幾個防范措施：取消DNS服務器中允許查詢網址的遞回功能；部署入侵檢測系統IDS；對重要的DNS服務器做冗余備份；安裝相應的防火墻，對高DNS流量的請求進行限制和過濾。

4.4 除了上述防范攻擊的方法之外，也應對DNS做好必要的保護措施，保證DNS的安全性，具體如下：

4.4.1 使用最新版本的DNS服務器軟件，并且還要隨著新漏洞的出現，不斷升級或安裝相應的補丁程序；

4.4.2 通過交叉檢驗功能，服務器反向查詢已得到的IP地址所對應的主機名，再用該主機名查詢DNS系統對應于該主機名的IP地址，判斷兩者是否一致，從而判定用戶的合法性；

4.4.3 安裝防火墻，將DNS服務器分為內部、外部服務器，并且進行隔離。內部服務器只提供內部網絡域名的解析，外部服務器提供外部用戶的查詢，并處理內網服務器提交的解析請求；

4.4.4 通過設置訪問控制列表ACL限制用戶對DNS服務器的訪問；

4.4.5 對區域傳送進行限制，防止網絡攻擊者通過正常的查詢命令獲得詳盡的的網絡內部信息。

5 結束語

本文基于當前DNS的現狀，闡述了DNS的工作原理，并對常見的DNS緩存投毒、DNS欺騙、DDoS攻擊等進行了詳細的分析和給出了防范這些攻擊的方法，對于提高DNS的可靠性、安全性和抗攻擊能力具有積極的作用。在日益發展的互聯網中，DNS將占據著越來越重要的地位，如何更進一步提高DNS的主動、智能安全防御能力將是我們下一步工作和研究的重點。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方法[J].計算機工程，2010（2）.

第6篇

【關鍵詞】計算機網絡工程安全；因素；對策

中圖分類號：TP39

文獻標識碼：A

文章編號：1006-0278（2015）02-117-01

一、引言

計算機網絡工程安全的含義十分廣泛，它的使用者不同，含義也不同，例如一般的使用者和供應商對網絡安全的看法就大相徑庭，一般的上網者只是單純的關注電腦的病毒問題，會不會造成計算機的崩潰，損失一些資料等問題。網絡的供應商不僅關注網絡的信息是否安全還會關注網絡的連接性能是否良好，計算機的硬件是否安全等問題。在平日的生活中，計算機受到來自其它角落的威脅難以避免。但是如果從相反的角度來看待這個問題，這種威脅就意味著要出現高技術的防范措施來抵御這種威脅。所以這就促進了計算機網絡的發展，計算機網絡工程安全問題影響了人們的生活秩序，隨著時間的推移，這種威脅還會變的更加強大。

二、計算機的網絡攻擊特點

一般情況下，計算機的網絡攻擊有以下幾個特點：網絡攻擊會造成大量的損失，因為網絡黑客一旦入侵，就會使大量的計算機無法正常運行，給廣大用戶造成無法估量的損失；計算機網絡工程安全會給國家和社會造成重大威脅，存在某些黑客專門攻擊國家的機密文件，這就給國家和社會帶來了無法估量的損失；攻擊手段富有變化，而且不易被查出。攻擊計算機網絡的手段具有多樣性，黑客能夠利用各種隱蔽性的手段來套取一些保密信息，甚至能夠使用戶的防火墻崩潰，對用戶造成重大的損失；計算機網絡攻擊主要是以軟件攻擊為主，一般來說，它就是靠軟件來侵入其它的計算機。

三、計算機網絡工程的安全問題

（一）計算機網絡工程是脆弱的

由于網絡具有開放性，所以這就對計算機網絡帶來了很大的麻煩。可以說，對于當下的網絡環境，網絡傳輸和共享逐漸普及，也正是因為每個人都能夠享受到這種便利的條件，計算機網絡才會而臨著很大的挑戰。計算機網絡的脆弱性主要是由網絡的自由性、國際性和開放性來表現出來的。所以，計算機網絡工程經常會受到黑客的攻擊，而且上述的特征給黑客攻擊計算機網絡帶來了便利。

（二）計算機操作系統所產生的安全問題

計算機操作系統是網絡傳輸和資源共享的最常用的軟件，在這個過程中經常會出現各種問題。只有得到操作系統的有力支持我們才能正常獲取各種信息。如果操作系統一旦遭到破壞，那么網絡安全也不復存在。計算機操作系統的最主要的部分是軟件部分和硬件部分，這兩大部分為計算機的管理提供了很多功能。計算機的正常運行需要依靠一定的自然條件，也就是說，計算機的網絡安全與自然環境息息相關。此外，計算機網絡還會受到一些突發的自然災害和措手不及的外部力量的威脅，這些因素都使計算機網絡安全難免遭受影響。

四、維護計算機網絡工程安全的措施

（一）加強技術防范

加強對計算機安全管理系統的管理，對相關的管理人員進行技術培訓，大力改善網絡系統的安全，加強相關人員的素質，嚴格把控系統中的每一道關卡。時刻備份好系統內的重要信息，建立責任制，將具體的責任落實到每個人身上。設置一定的網絡訪問權限，這樣可以禁止非法人員入侵網絡，對用戶的使用權限管理相當于為網絡安全的大門上了一道“鎖”。

（二）加強管理

管理是計算機網絡安全問題的關鍵性環節，計算機的網絡安全不能僅僅依靠技術防范來保證，還應加強安全管理，或者是將這項內容納入到立法程序中來，只是在管理中會有很多認為因素的存在，所以在實際操作過程中會有很大難度，提升管理人員的安全意識可以維護計算機網絡工程的安全。

（三）進行安全層面的保障

維護計算機網絡工程的安全需要有一個安全的物理條件，所以，機房的選址就顯得尤為重要。防止人為的攻擊和來自環境的破壞。在操作的過程中首先應該控制一下虛擬地址的訪問，限制某些用戶的權限，利用身份識別功能，這樣可以減少非法入侵網絡的現象。

（四）保證網路安全的綜合措施

加強對網絡管理者和使用者的安全教育，使他們認識到安全的重要性。由于網絡的開放性，所以用戶信息需要認證就顯得尤為重要，這方而的密碼技術需要提升。在使用密碼加密的基礎之上還可以加強防火墻的防范技術，使防火墻技術與侵入檢測系統相連接，使它們能夠更加合理的運行，共同為計算機的網絡完全提供可靠的保障。

五、結語

在這個信息技術飛速發展的時代，信息化進程的腳步逐漸加快，人類已經離不開網絡。但是計算機的網絡系統運行還存在著很多問題，給人們的生活帶來了不便之處。所以，解決計算機網絡安全問題就擺在了人們的而前，隨著經濟技術的不斷進步，我們應該堅信，計算機的網絡技術會有重大突破，安全防范技術也會不斷加強，相關的管理人員和技術人員會為大家提供一個更加安全的計算機網絡環境，使人們的學習生活有一個良好穩定的網絡環境，使國家愈加安全繁榮。

參考文獻：

[1]黃丹關于計算機網絡安全問題分析及對策研究[J].信息與電腦（理論版）.2013，12（15）：245-246.

第7篇

關鍵詞：互聯網經濟；計算機網絡；安全隱患；防范對策

互聯網經濟時代背景下，社會各行各業都在積極應用信息技術，都在接入計算機網絡。傳統行業融入互聯網經濟的不斷加快，為行業發展提供前所未有的發展機遇和嬗變契機。以互聯網為平臺的各種創新經濟形式不斷出現，以信息技術和互聯網為依托的創新經濟體雨后春筍般涌現，互聯網+的創新型企業不斷發展壯大，這都推動著我國經濟發展方式轉變和產業結構升級。計算機網絡在社會經濟中的地位和作用日益突出，而各種以計算機網絡為攻擊對象的黑客不斷出現，網絡病毒在制造傳播過程中不斷變種，給計算機網絡安全帶來了極大的威脅。

一、互聯網經濟時代網絡安全存在的安全隱患類型分析

（一）計算機木馬病毒侵入

當前，木馬程序和網絡病毒入侵個人電腦、公司工作電腦、網站服務器等現象非常普遍，每天都有大量的木馬程序和病毒釋放威力，導致個人電腦系統癱瘓，企業運行系統無法工作，網站不能瀏覽。甚至造成個人信息和企業信息泄露，核心機密、企業關鍵技術被盜，個人賬號、企業賬號盜刷。很多的木馬程序對網絡攻擊的方式非常隱秘，且帶有一定的誘惑性，而且感染以后不同于其他破壞性病毒程序，不會造成系統的癱瘓，卻能夠控制電腦的運行，能夠將硬盤中的各種重要數據信息自動上傳，從而盜取重要的信息，給個人和公司帶來重大損害。病毒是對電腦影響最為直接，而且變種不斷增多，對電腦和系統的攻擊性非常強，不僅會破壞電腦文件，甚至造成電腦癱瘓，數據完全破壞。信息化時代，網絡經濟背景下，很多的資產都是無形的，一次攻擊給企業帶來的損失非常巨大。計算機木馬和網絡病毒對計算機的破壞性非常大，造成的經濟損失無法估量的。

（二）黑客網絡攻擊

信息化時代，網絡聯系世界的最為重要的平臺，虛擬環境下每一個人都在不同的位置，一時很難看到他的行為方式，不能感覺其動作目的。有著高超的電腦專業知識能力，熟悉網絡結構及各種應用原理的網民非常之多，總會有一部分人缺乏基本的社會道德，置于他人利益、集體利益甚至國家利益于不顧，為了各種各樣的目的和經濟利益驅使，去攻擊整體網絡系統的個人電腦、公司服務器等。他們利用各種技術漏洞，借助自己高超的編程技術，伺機探尋那些網絡防火墻、殺毒軟件落后或者根本沒有防火墻及殺毒軟件的對象，進入對方的電腦，盜取其重要的信息。或者進行各種沒有直接經濟目的的破壞性刪除修改，或者為了某種商業目的、倒賣信息庫等，破解對方的賬號和密碼，進入以后獲取重要信息，給個人帶來重大影響，也給企業帶來無法彌補的損失。

（三）應用系統存在重大缺陷

計算機最為重要的是系統及各種應用軟件，操作系統的穩定性非常關鍵，不僅決定著電腦的平穩運行，還制約著各種軟件的安裝運行和穩定運行，更制約著相對應的個人和企業的安全。互聯網經濟時代，信息化、自動化、智能化是最為突出的特點，各種應用操作實現了自動化，各種信息處理也實現了信息化，管理也在推動智能化。對于個人而言，很多的生活信息都在電腦上，各種生活中的經濟行為需要通過網絡來實現，不僅是重要的交際對象在網絡，各種網上消費在電腦互聯網，而且很多的工作需要在電腦上完成，工作中的重要文件和設計都是在電腦上進行。競爭不斷加劇的時代，工作延續到家里的現象非常普遍。個人電腦系統存在缺陷，尤其是選用了盜版系統或者軟件，影響工作的效率和質量，也會給各種網絡攻擊和病毒入侵以可乘之機。造成信息泄露，或者系統癱瘓，各種數據盡毀，影響非常之大。企業電腦系統更為重要，各種軟件采購出現了質量問題，使用了盜版系統，或者購買了非正規大企業的應用軟件，都會造成系統癱瘓，也會給網絡黑客攻擊和病毒入侵帶來重要隱患。

（四）計算機網絡自身的缺陷

網絡將世界連為一體，打破了時空限制，給人們的交流、生活、工作、消費帶來了極大的方便，也直接催生了一個非常龐大的經濟形式——互聯網經濟，也讓傳統的經營模式得到很好地改進，推動世界經濟向前發展，推動人類社會不斷進步。但是，任何事物都有其兩面性，在帶來各種積極作用的同時，也帶來了諸多的威脅。網絡是一個開放的空間，是一個沒有限制的虛擬共享空間，各種信息通過網絡能夠快速傳播，每一個人既是信息資源的享用者，也是各種信息資源的傳播者。構成計算機互聯網的關鍵部件有交換器、網絡服務器、集成線路等，這些都植入一個非常開放的環境中，其自身的缺陷很容易被人識別，進而找到漏洞，轉而進行各種形式的攻擊，影響網絡安全，更影響千千萬萬的個人和企業，給互聯網經濟蒙上一層厚厚的陰影。

二、互聯網經濟時代計算機安全的防范對策分析

互聯網是人類社會最為偉大的發明創新，改變了世界的聯系，方便了人類的交往，推動著傳統行業和經濟模式的發展變革，更是催生一個又一個影響世界的企業，成就了最具發展潛力的互聯網經濟。當今世界，尤其是中國，互聯網企業發展非常迅猛，誕生了阿里巴巴這樣市值超過2700億美元的電商企業，有市值超過2500億美元的騰訊這樣的即時通訊互聯網企業巨頭；美國由谷歌、微軟、思科等這些影響世界的互聯網企業巨頭。也更有基于互聯網而生的眾多的創新型企業，還有更多傳統行業之虎添上了互聯網之翼的企業，例如，華為、國美、京東這樣的企業，形成了生機勃勃的互聯網經濟。盡管存在各種各樣的安全隱患，也因此出現了很多的網絡惡性事件。做好防范，趨利避害，從技術和制度法律等方面做好防范，采取有針對性的對策，一定能夠將各種隱患消除在萌芽狀態，最大限度地降低各種風險，還互聯網一個安全的空間環境，給互聯網經濟更好地保駕護航。

（一）強化網絡安全防范意識

山東大學生徐玉玉事件就是其信息泄露所致，被黑客盜取信息并倒賣給電信詐騙分子，最后造成徐玉玉不幸離世的悲劇。就是因為犯罪嫌疑人杜某某4月利用安全漏洞侵入“山東省2016高考網上報名信息系統”網站，下載了60多萬條高考考生信息，高考結束后網上非法出售，總計獲取贓款5萬多元。互聯網經濟時代，網絡安全非常重要，各種危害給個人和企業帶來的破壞性非常大，不僅造成重大信息數據泄露，還會帶來重大的財產損失，影響社會的穩定。個人、企業和網絡服務商都應強化安全意識，重視安全防范措施。

（二）安全可靠的防火墻及殺毒軟件

互聯網經濟時代，網絡安全最為重要的保障措施就是安裝防火墻，及時更新殺毒軟件。防火墻是最為重要的控制手段，能夠有效控制網絡之間的信息數據訪問，將各種危害擋在堅固的墻外。殺毒軟件是現階段最為常用也是最為有效的技術應用手段，做好基本保護的同時，及時做好各種應用掃描和攔截，對一些網絡病毒進行及時查殺，能夠很好地保護個人電腦系統安全。企業應該采購更高級別的企業級殺毒軟件，對企業電腦、系統網絡進行更高級別的保護，防止木馬植入，狙擊黑客攻擊。

（三）構建高水平網絡監管隊伍

互聯網經濟時代，網絡安全不僅是個人和企業行為，更應該是國家行為。關系國家的經濟安全，涉及各方面的經濟犯罪和刑事犯罪，國家應從經濟發展、社會穩定和國家安全層面考慮，做好網絡安全的監管和防范工作。精選高素質的精干業務人員，組建一支專業化的網絡安全管理隊伍，能夠適時關注網絡安全，及時做好預警和防范，打擊各種網絡侵權和犯罪行為，營造一個安全穩定的網絡環境。依靠先進的計算機應用和網絡技術，做好入侵檢測和網絡架空，通過網絡通信技術、統計技術、推理技術等，提前預判計算機系統和網絡受到入侵。總之，互聯網經濟實體在充分利用計算機網絡不斷降低成本、拓展業務、開拓市場的同時，還需要做好各種防范措施，保護自身的網站不受攻擊，能夠穩定運行，保護企業的核心機密不被泄露。電子商務平臺在做好基礎服務的同時，為商家提供更多的安全保障，保護信息不被泄露，保障資金安全，推動我國互聯網經濟不斷發展狀況。

參考文獻：

[1]陳澤楷.關于計算機網絡安全隱患與防范策略的探究[J].無線互聯科技,2014(01).

[2]王盼盼.計算機網絡安全隱患分析及其防范措施的探討[J].計算機光盤軟件與應用,2013(01).

[3]張彥.企業網絡運行的安全問題及防范措施[J].中小企業管理與科技(中旬刊),2014(11).

第8篇

[關鍵詞] 協議風險分析 協議風險計算

一、引言

當前計算機網絡廣泛使用的是TCP/IP協議族，此協議設計的前提是網絡是可信的，網絡服務添加的前提是網絡是可達的。在這種情況下開發出來的網絡協議本身就沒有考慮其安全性，而且協議也是軟件，它也不可避免的會有通常軟件所固有的漏洞缺陷。因此協議存在脆弱性是必然的。信息的重要性是眾所周知的，而信息的傳輸是依靠協議來實現的，所以對協議的攻擊與防范成為信息戰中作戰雙方關注的重點。協議風險評估也就成為網絡信息安全風險評估的關鍵。

二、協議風險分析

協議的不安全及對協議的不正確處理是目前安全漏洞經常出現的問題，此外，在網絡攻擊中攻擊者往往把攻擊的重點放在對網絡協議的攻擊上，因此，網絡風險分析的的主要任務是協議風險的分析。進行協議風險分析時我們首先要理順協議風險要素之間的關系。

網絡安全的任務就是要保障網絡的基本功能，實現各種安全需求。網絡安全需求主要體現在協議安全需求，協議安全服務對協議提出了安全需求。為滿足協議安全需求，就必須對協議的攻擊采取有效防范措施。協議脆弱性暴露了協議的風險，協議風險的存在導致了協議的安全需求。對網絡協議攻擊又引發了協議威脅、增加了協議風險，從而導至了新的安全需求。對協議攻擊采取有效防范措施能降低協議風險，滿足協議安全需求，實現協議安全服務。任何防范措施都是針對某種或某些風險來操作的，它不可能是全方位的，而且在達到防范目的的同時還會引發新的安全風險。因此風險是絕對的，通常所說的沒有風險的安全是相對的，這種相對是指風險被控制在其風險可以被接收的范圍之內的情形。在進行協議風險分析后，網絡安全中與協議安全相關地各項因素之間的關系如圖1。

三、網絡協議風險綜合計算模型――多種方法加權計算

風險計算的結果將直接影響到風險管理策略的制定。因此，在進行網絡協議風險分析后，根據網絡協議本身特性及風險評估理論，選取恰當的風險計算方法是非常重要的。本文在風險計算方法的選取時，采用多種風險計算方法加權綜合的策略。它是多種風險分析方法的組合，每種方法分別設定權值。權值的確定是根據該方法對評估結果影響的重要程度由專家給出，或通過經驗獲得。基于上述思想，在對網絡協議進行風險評估時根據網絡協議的特點我們主要采用技術評估方法來實現。基于網絡協議的風險評估示計算如圖2。

四、協議風險評估流程

按照風險評估原理和方法，在對風險進行詳細分析后，選取適當的方法進行風險計算，最后得出風險評估結果。對協議風險評估可以按照圖3所示模型進行。

五、總結

為了規避風險，網絡安全管理人員必須制定合適的安全策略，風險評估的目的就是為安全策略的制定提供依據。本文所提出的協議風險評估，為網絡管理人員更好地制定安全策略提供了強有力的支持。

參考文獻:

[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]． Cambridge University Press, 2001

[2]Peltier T R. Information Security Risk Analysis[M]． Auerbach Publishtions, 2001

[3]郭仲偉:風險分析與決策[M].機械工業出版社，1992

第9篇

關鍵詞：計算機 網絡 安全技術 網絡防攻擊

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）04-0000-00

在計算機網絡的快速發展下，網絡安全防護技術也逐漸得以發展。網絡是一個比較開放化的平臺，它在給用戶提供了海量的資源和信息的同時，也伴隨著一定的安全威脅。要想改變這種威脅的狀態，就一定要重視起網絡安全技術和網絡攻擊防范策略的研究，以便于能真正的提出有益措施。下面將對計算機網絡安全技術與網絡攻擊防范策略進行詳細的討論。

1計算機網絡安全現狀及其重要性

計算機網絡安全問題近年來越來越受到人們的關注。計算機網絡安全事實上是一種信息安全的引申意義，也就是對計算機當中的一些內容和資源等進行保護，保證其不受到外部的影響。當中主要進行保護的內容可以劃分為兩個不同的部分，一是對于計算機系統上的安全保護，避免資料泄露，二是進行網絡信息安全保護，主要通過加密或者其他的方式來進行權限設置，避免計算機受到病毒的侵擾。計算機的使用范圍十分大，當中涉及到的內容也比較廣泛，一旦安全方面受到了侵擾，那么所造成的損失也將是巨大的。

當前社會中人們正處于一個開放性的網絡社會當中，人們能夠利用計算機網絡來進行各種工作，但在黑客等方面仍然難以避免，這種威脅的到來不僅會對計算機網絡數據造成影響，更加會影響到使用者的直接利益。因此，當前階段積極的采取措施進行計算機網絡安全保護是十分有必要的。

2 計算機網絡安全問題

2.1病毒和惡意程序

計算機病毒是一種通過語言代碼形式進入到計算機網當中的病毒，其攻擊性比較強，傳播速度也比較快，對于計算機網絡系統和數據的安全性能夠造成十分嚴重的影響。當前我們所使用的計算機殺毒軟件并不能將這種病毒完全的進行清除，但我們可以采取措施在病毒侵襲之前進行預防。計算機網絡安全隱患可以分為兩種，一是人為方面的影響因素[1]。在使用計算機的過程中人所起到的是主導性作用，很多的不法分子會利用先進技術來進行網絡竊聽或者資料盜取，這種人為的惡意行為將嚴重的影響到計算機網絡的安全運行，最終導致計算機病毒出現并開始傳播。二是技術防護方面的影響因素。計算機的病毒傳播模式十分的廣泛，同時速度較快，要想提升計算機安全防護能力，專業人員一定要在個人素質和能力上不斷加強，并了解到病毒的特點和問題的根本所在。只有在此基礎上才能找到最終的解決措施。但由于技術上的缺失常常會導致計算機病毒傳播難以控制。

2.2系統安全問題

計算機的操作系統中經常會出現安全隱患問題。計算機的操作系統主要是用來進行文件的傳輸，因此在安裝的過程中，都會在程序中存在著一些可執行文件。這當中就會包含一定的不安全因素，如果操作系統中出現安全問題，就會導致使用中出現安裝等方面的問題。

2.3垃圾文件

在當前的社會環境中，辦公自動化已經成為了工作中最常見的現象。電子郵件的使用是進行文件傳輸的重要手段，但在進行使用的過程中也難以避免垃圾文件的出現和病毒文件的出現。黑客利用郵件方式來進行計算機網絡攻擊在當前已經成為了一種重要的方式，這不僅會給網絡的營銷環境造成影響，更重要的是會給網購的用戶造成信譽損失，最終影響電子商務的健康發展[2]。

3計算機網絡安全技術與網絡攻擊防范策略

3.1應用防火墻技術

防火墻技術的應用在當前是一種重要的安全防護措施。它可以用來進行網絡的監控，并以系統保護屏障的形式來進行計算機的保護，以此來實現網絡資源安全保障。在網絡通信當中，利用防火墻技術能夠直接的控制訪問者，并利用密鑰等形式來組織不法分子的進入，從而提升安全性。

3.2病毒防范

要想徹底的清除網絡病毒，需要采取適當的病毒防范措施，并利用有效的防病毒軟件來進行保護。同時還需要重視起計算機網絡系統的安全保護工作。在用戶進行訪問的時候首先對其進行病毒掃描和查殺，在確認沒有病毒的情況下才能進行資料保存。在此基礎上還需要對所保存的信息進行嚴格的安全管理，嚴格控制盜版等問題出現，保證網絡運行環境的健康和安全。

3.3身份認證

近年來用戶相關信息被黑客盜取的現象越來越明顯，這對用戶的信息安全將造成嚴重的影響。面對這樣的問題，很多用戶已經開始重視起身份認證[3]。在身份認證技術上，最為重要的內容是通過對用戶的合法身份進行授權控制，來提升安全保護性。只有當用戶的身份受到了保障，才能更進一步的維護網絡系統的安全。

3.4信息加密技術

信息加密技術指的是利用數據二次加密方式來對數據進行保護，讓黑客無法獲得真實的信息數據。對數據的加密處理能夠防止數據在存儲過程中被人用非法的手段進行修改，并準確無誤的到達目的地。當前數據加密技術已經得到了社會各界的認可，是一種十分值得推廣的安全防護措施。

4結語

網絡安全當中涉及到的內容十分廣泛，當前階段要想保證計算機網絡安全，就需要從多方面入手，建立防火墻、對信息加密等措施需要全面實施。總之，計算機網絡安全防護是一項系統化工程，不能單純的依靠防火墻措施，而是應根據實際需要來全面考慮，最終將合適的技術進行應用，促使網絡安全得到更進一步的保障。

參考文獻

[1]豐丹.計算機網絡安全問題及對策分析[J].才智，2016，（02）：55-56.

[2]吳尚.我國計算機網絡安全的發展與趨勢分析[J].電子技術與軟件工程，2015，（24）：40-49.

[3]初征.計算機網絡安全與防范對策[J].數字技術與應用，2015，（12）：60-62.

第10篇

關鍵詞：企業；網絡安全；防護

中圖分類號：TP393.08

隨著計算機和網絡技術的高速發展，網絡已經成為人們生活和工作當中必不可少的一部分。大中型企業信息化建設隨著網絡系統的快速發展也在日新月異，網絡和信息化已經融入到企業的生產和管理當中，對企業的正常運轉越來越重要。隨著大中型企業網絡和信息化業務系統的日益增多，遭受網絡安全威脅與攻擊的可能性也大大增加，一旦遭受攻擊導致網絡和信息化系統服務異常，影響到生產的話，將會給企業造成極大的經濟損失和社會負面影響。

1 企業網絡安全防護的重要性和建設目標

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。 網絡安全從其本質上來講就是網絡上的信息安全。網絡安全的主要特性為：保密性、完整性、可用性、可控性和可審查行。

企業的網絡與信息化系統應用的越多，企業對網絡的依賴度就更高，目前大中型企業提高信息化發展水平已經是一種趨勢，信息化的發展必然面臨各種網絡安全威脅，若不采取相應措施保護企業網絡和信息化系統安全，則企業的網絡和信息化系統將隨時遭受攻擊而癱瘓或崩潰，影響企業的生產秩序。

大中型企業網絡所面臨的嚴峻安全形勢，使得各企業必須意識到構建完備安全體系的重要性。隨著網絡攻擊的多樣化，企業不能只針對單一方面進行網絡安全防護，應該從整理著眼，建立完整的網絡安全防護體系。完整的安全體系建設不僅要能有效抵御外網攻擊，而且要能防范可能來自內部的攻擊、入侵和泄密等威脅。

2 企業網絡安全的隱患與危害

2.1 計算機病毒

計算機病毒出現的初期，其危害主要為刪除文件數據、格式化硬盤等，但隨著計算機應用和互聯網技術的發展，計算機病毒通過網絡進行瘋狂傳播，大量消耗網絡資源，使企業甚至互聯網網絡癱瘓。

計算機病毒造成的最大破壞，不是技術方面的，而是社會方面的。計算機感染病毒后導致計算機的使用率減低，甚至導致企業、銀行等關鍵信息泄露，造成社會聲譽損失和商業風險。

2.2 黑客威脅和攻擊

計算機信息網絡上的黑客攻擊事件越演越劇烈，目前以非法牟利為目的的黑客產業鏈已經成為新的暴力產業，黑客通過網絡非法入侵計算機信息系統，肆意竊取信息系統里面存儲的用戶信息和關鍵數據等，給信息系統所有者和用戶帶來無法估計的損失。

2.3 內部威脅和攻擊

企業在管理內部人員上網時，由于對內部威脅認識不足，所以沒有采取全面的安全防范措施，導致內部網絡安全事故逐年上升。機器都是人進行操作的，由于懶惰、粗心大意或者對設備的使用和業務不太熟練等原因，都有可能造成數據的損壞和丟失，或者企業機密信息泄露。另外還有一些企業員工，為了一己私利對企業的計算機網絡系統進行攻擊和破壞。不管是有意的還是偶然的，內部威脅都是一個最大的安全威脅，而且是一個很難解決的威脅。

2.4 系統漏洞

許多網絡系統和應用信息系統都存在著這樣那樣的漏洞，這些漏洞可能是網絡建設考慮不全和系統本身所有的。另外，在企業信息化應用系統建設時，由于技術方面的不足或者為了遠程維護的方面導致應用系統在開發過程中存在漏洞或后門，一旦這種漏洞或后門被惡意利用，將會造成非常大的威脅。

3 企業網絡安全的技術防護措施

完整的網絡安全防護體系，必須具體綜合的防護技術，對攻擊、病毒、訪問控制等全面防御，目前企業網絡安全防護技術主要有以下幾種：

3.1 防火墻隔離

防火墻提供如下功能：訪問控制、數據包過濾、流量分析和監控、攔截阻斷非法數據連接、限制IP連接數等。此外通過防火墻將內網、外網和DMZ（非軍事區）區劃分不同的等級域，限制各域之間的相互訪問，達到保護內網和公共服務站點安全的目的；

3.2 VPN安全訪問系統

VPN（虛擬專用網絡）是在公用網絡上建立專用網絡的技術。VPN屬于一種安全的遠程訪問技術，通過在公網上建立一個私有的隧道，利用加密技術對數據進行加密，保證數據的私有性和安全性。

3.3 入侵檢測系統與入侵防御系統

入侵檢測系統（Intrusion Detection System）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報網絡安全設備。入侵檢測系統通過對來自外部網和內部的各種行為的實時檢測，及時發現未授權或異常現象以及各種可能的攻擊企圖，并記錄有關事件，以便網管員及時采取防范措施，為事后分析提供依據。入侵檢測系統采用旁路部署模式，將網絡的關鍵路徑上的數據流進行鏡像和收集分析。

入侵防御系統（Intrusion Prevention System）是一種在線部署到網絡關鍵路徑上的產品，通過對流經該關鍵路徑上的網絡數據流進行2-7層的深度分析，能精確、實時的識別、阻斷、限制各類網絡攻擊和泛洪攻擊，進行主動的、實時的防護，其設計目標旨在準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷。

第11篇

【關鍵詞】計算機網絡 網絡安全 對策措施

一、網絡安全概述

（一）網絡安全的含義

網絡安全指通過采用各種技術和管理措施保護網絡數據，使網絡系統能夠正常地運行，網絡服務不中斷。網絡安全是一個系統的的概念，包含網絡設備安全、網絡信息安全、網絡軟件安全等幾個方面[1]。攻擊網絡安全的目的主要有兩種：一是網絡來攻擊商業競爭對手企業，造成網絡企業無法正常運營；二是通過通過入侵網絡達到竊取敏感信息。網絡安全就是為了防范商業競爭攻擊和信息盜竊所采取的措施。

（二）衡量網絡安全的指標

衡量網絡安全的主要指標是包括保密性、完整性、可用性。[2]

1.保密性：不能將信息泄露或供非授權用戶利用的特性。從技術角度來講，任何傳輸線路都有被竊聽的可能，因此保密性貫穿網絡安全的始終。

2.完整性：信息未經授權不能被修改、破壞和丟失的特性。對信息完整性破壞有兩種因素，一是系統或軟件的差錯等客觀因素，二是非法侵入或計算機病毒等人為因素。

3.可用性：用戶可以對信息訪問、存取并使用的特性。影響網絡可用性的因素有兩種，一是非法占用資源、切斷網絡通訊等人為因素；二是自然災害、系統故障等非人為因素。

二、網絡安全現狀及隱患

（一）網絡安全現狀

隨著互聯網和網絡應用的飛速發展，信息網絡已經成為社會發展的重要保證，隨之而來的網絡安全問題成為了互聯網發展中面臨的重要課題。與此同時，網絡攻擊行為千變萬化，新的攻擊技術層出不窮，使網絡安全防御更加困難。惡意攻擊行為相繼出現并日趨泛濫，形式主要有網上木馬、惡意網站、間諜程序、網絡仿冒等；以前黑客攻擊行為主要是單純的追求“榮耀感”，現在已形成獲取多方面實際利益為攻擊目標；手機、掌上電腦等無線終端的網絡攻擊行為已經相繼出現并發展。[3]除此之外，網絡實體由于自身抵抗外界影響能力較弱，還要經受自然因素造成的網絡安全威脅，諸如水災、火災、地震、電磁輻射等自然力都會對網絡安全造成威脅。總之，網絡安全問題迫在眉睫，必須采取措施嚴加防范，保證網絡信息系統的安全。

（二）網絡安全的隱患

計算機網絡中存在的安全隱患無處不在，不僅有對網絡信息的威脅，網絡設備和網絡軟件也存在嚴重的安全隱患。歸結起來，主要包括以下幾點：

1.電子信息在計算機上存儲、傳輸和處理的過程，缺乏信息保護措施，只能依靠應用層支持的服務協議來維系的。2.e-mail的保密性難以保證，存在著被拆看和偽造的可能性，傳輸重要機密信息往往存在很大的風險。3.internet有開放性和無控制機構的特點，該特性容易被黑客利用，從而侵入網絡中的計算機系統破壞重要數據或竊取機密數據。[4]4.計算機病毒通過internet的傳播會導致數據和文件丟失，甚至網絡系統癱瘓，給上網用戶帶來極大的危害。5.tcp/ip通信協議是internet是進行數據傳輸的依據，這些協議缺乏安全措施，容易在傳輸過程被竊取信息。6.internet上主要使用unix操作系統來支持通信業務，unix操作系統安全脆弱性問題明顯存在，會直接影響安全服務。

三、計算機網絡安全的對策措施

計算機網絡安全主要有三個方面：系統安全、網絡安全和應用服務安全。[5]這三個方面不是獨立存在的，要同時保護三個方面的安全，才能保證網絡的正常運行和使用。

（一） 保護系統安全

保護系統安全，是指與網絡系統硬件平臺、各種應用軟件、操作系統等相互關聯，從網絡支付系統或整體電子商務系統的角度進行安全防護的措施。保護系統安全的主要措施如下：1.檢測并跟蹤入侵攻擊，建立詳細的安全審計日志。2.在安裝軟件時，檢查和確認未知的安全漏洞。3.管理與技術有效結合，將系統的風險性降到最低。如在連通時須通過諸多認證，嚴格審計所有接入數據，嚴格安全管理系統用戶。

（二）保護網絡安全

網絡安全的概念是保護商務各方網

絡端系統之間通信過程的安全。[6]保護網絡安全通常包括以下措施：

1.全面制定網絡安全的管理措施。2.規劃網絡平臺的安全策略。3.對網絡設備進行物理保護。4.使用防火墻。5.建立可靠的鑒別和識別機制。6.對網絡平臺系統的脆弱性進行檢驗。7.網絡上的一切活動都要進行記錄。

（三）保護應用安全

保護應用安全主要是針對特定應用所建立的安全防護措施，應用安全保護范圍主要包括訪問控制、數據完整性、安全認證、web安全性、edi和網絡支付等。[7]

保護應用安全獨立于網絡的任何其他安全防護措施，它的獨立性表現在，雖然有些防護措施可能是網絡安全業務的一種重疊或替代，但大部分的應用還有特定的安全要求，因此應用系統采取各種安全措施時，不能完全依靠網絡層而更傾向于在應用層。

四、結語

總之，計算機網絡中存儲和傳遞著大量的重要信息，若被非法篡改或竊用，就會對社會活動造成嚴重的影響，因此計算機網絡安全必須引起廣泛的重視。網絡安全是一個涉及管理、技術、使用等多方面的綜合性課題，沒有任何一種技術是萬能的，因此保護網絡安全需要同時使用多種技術措施。因此，提高計算機網絡安全技術水平、普及計算機網絡安全教育、增強社會安全意識教育、改善網絡安全現狀，成為我們的當務之急。

參考文獻：

[1]李良斌，王勁林，陳君. 網絡服務系統可生存性分析與驗證[j]. 沈陽工業大學學報.

[2]崔孝科，白雪. 當前網絡環境下教師網絡安全意識的研究[j]. 計算機光盤軟件與應用.

[3]葉鋒. 淺議計算機網絡安全及其防范措施[j]. 計算機光盤軟件與應用.

[4]任婕.防火墻與網絡安全技術[j].考試周刊.2010（29）

[5]王子源.計算機的安全問題及應對策略[j].才智.2010（19）

第12篇

【 關鍵詞 】 OSI；數據鏈路層；網絡攻擊；防范技術

Research of Preventive Technology on Data Link Layer

Zhi Li-feng

（Agriculrural Bank Of China Jilin Branch Business Department Jilin 130000）

【 Abstract 】 With the society constantly information-making and networking, network security is becoming increasingly severe. This paper makes an analysis on the common and main attacks on data link layer of the OSI network reference model, and proposes preventive measures accordingly.

【 Keywords 】 OSI; data link layer; network attacks; preventive technology

0 引言

由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、惡意軟件和其他不軌的攻擊，從而給企業甚至政府機構造成巨大損失。所以，網上信息的安全和保密是一個至關重要的問題。本文針對二層網絡上的重要的安全隱患進行了探討和預防。

OSI網絡模型采用的分層的網絡模型，如圖1，它允許在不同的層次上進行不同的網絡活動，而且在每一層所應用的協議及其規范都是不同的，這就使得OSI的網絡模型每一層幾乎都是一個相對獨立的整體，數據在網絡中的完整傳輸過程需要這七層同時協調工作才能夠完成，整個數據傳輸過程也就是一個封裝和解封裝的過程。

網絡模型中處于底部的分層對高層的影響:在OSI網絡參考模型中，要實現一個完整的數據通信，是靠每一層相互之間的協作來完成的，并不是通過某一層獨立完成的，但是各層的工作都是相互獨立的，并不受其它層的影響，處于低層的網絡只是向高層的提供服務，某一層出現其他問題其余的分層都不知道。也就是說當網絡中的某一層被攻擊了，其余的分層并不知道。在網絡模型中最容易受到攻擊的是處于低層的網絡，也就是第二層數據鏈路層。網絡安全尤其是低層的網絡安全問題對公司所造成的損失是巨大的。 此外，并不是只有少部分的人可以對網絡造成威脅。現在有很多的應用攻擊軟件，其操作難度很低，只要能夠對計算機進行基本操作即可使用，這個問題也說明了網絡安全問題所面臨的形勢非常嚴峻。

本文主要介紹了幾種在數據鏈路層上使用的攻擊及其防御技術，通過這些防范措施，可以使數據鏈路層的安全性得到很大的提升，下面逐一介紹存在于數據鏈路層上的攻擊及其防范措施。

1 主要的攻擊方法

1.1 VLAN的跳躍攻擊

VLAN的跳躍攻擊利用了 IEEE802.1Q的封裝漏洞，同時在以太網幀中加入了兩個TAG字段，第一個TAG字段是虛假的，第二個TAG字段才是真正的目的VLAN，其具體的工作過程如圖2。

如圖2所示，VLAN的跳躍攻擊共分為5個步驟：1) 攻擊者通過協商并獲取Trunk信息；2) 攻擊者向攻擊目標發送雙Tag幀；3) 交換機A處理第一個虛假的Tag，并將其發往下一跳交換機B；4) 接著交換機B處理真正的Tag；5) 最終攻擊者將攻擊包Data發送到希望的目標主機。

1.2 MAC地址攻擊

交換機主動學習客戶端的MAC地址，并建立和維護端口和MAC地址的對應表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機的CAM表大小不同。MAC/CAM攻擊是指利用工具產生欺騙MAC，快速填滿CAM表，交換機CAM表被填滿后，流量以泛洪方式發送到所有接口，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。同時，trunk接口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。

MAC地址攻擊的方式是以MAC地址的泛洪來攻擊網絡中的交換機，使交換機的MAC地址表來不及存儲有效的MAC地址，這樣交換機就會把沒有存儲進去的MAC地址以廣播的形式通告出去，這時攻擊者就可以輕松的獲得這個網絡中的所有MAC地址。其攻擊主要基于幾點：1) 二層交換機是基于MAC地址來轉發數據幀的；2) 轉發過程中依靠對CAM表的查詢來確定正確的轉發接口；3) 一旦在查詢過程中無法找到相關的MAC對應條目，此數據幀將作為廣播幀來處理；4) CAM表的容量有限，只能存儲不多的條目，當CAM表記錄的 MAC地址到達上限后，新的條目將不會被添加到CAM表中。

基于以上原理，網絡會產生一個有趣而且危險的現象，假如某臺PC不斷發送去往某未知目的地的數據幀，而且每個包的源MAC地址都不同，當這樣的數據包發送的速度足夠快之后，快到在刷新時間內將交換機的CAM表迅速填滿，那么CAM表會被這些偽造的MAC地址占據，而真實的MAC地址條目卻無法寫入CAM表，那么任何一個經過交換機的正常的單播數據幀都會以廣播的形式來處理，這時整個網絡的MAC地址就有很大的安全威脅。