计算机网络x安全与防范

计算机网络x安全与防范

任佳兴

任佳兴（湖南省永州市工商职业中专，湖南永州425000）

摘要：随着信息化进程的深入和互联网的快速发展，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。只有网络中的每一个环节都加强安全防范、协同工作，互联网才能健康发展，为用户提供更好的服务。

关键词：网络安全技术防火墙共享防范

国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。

一、网络安全产生的原因

1.TCP/IP的脆弱性

因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

2.网络结构的不安全性

因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

3.易被窃听

由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。

4.缺乏安全意识

虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

二、网络安全防范体系

作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

1.物理环境的安全性（物理层安全）

该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）、软硬件设备安全性（替换设备、拆卸设备、增加设备）、设备的备份、防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。

2.操作系统的安全性（系统层安全）

该层次的安全问题来自网络内使用的操作系统的安全，如WindowsNT/2000等。主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等。二是对操作系统的安全配置问题。三是病毒对操作系统的威胁。

3.应用的安全性（应用层安全）

该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对系统的威胁。

4.管理的安全性（管理层安全）

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

三、网络安全的主要技术

1.防火墙技术

所谓防火墙技术是一种用来加强网站之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。为网络建一道安全的屏障。在逻辑上，防火墙是一个隔离器，一个控制器，也是一个智能分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。它对两个或多个网络之间传输的数据，如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。它可能由一个硬件和软件组成，也可以是一组硬件和软件构成的保护屏障。它是阻止国际互联网络“黑客”攻击的一种有效手段。

2.防病毒技术

在所有计算机安全威胁中，计算机病毒是最为严重的，它不仅发生的频率高、损失大，而且潜伏性强、覆盖面广，目前全球已发现5万余种病毒，并且还在以每天10余种的速度增长。那么，如何部署安全高效的防病毒系统呢？

（1）制定系统的防病毒策略

为了正确选择、配置和维护病毒防护解决方案，系统必须明确地规定保护的级别和所需采取的对策。

（2）部署多层防御战略

伴随着网络的发展，病毒可从多种渠道进入系统，因此在尽可能多的点采取病毒防护措施是至关重要的。其中包括网关防病毒、服务器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。

（3）定期更新防病毒定义文件

一般情况下，更新是自动进行的，但更重要的是应定期检查日志文件以确保正确地执行更新。

基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式，但是根据系统安全保护策略的细节不同，它不能对所有类型的信息（如加密信息）都提供防护。因此还应定期更新桌面计算机中的防病毒软件。

（4）定期备份文件

一旦病毒破坏了数据，可以利用存储档案恢复相关文件。建议制订一个标准程序来定期检查从备份中恢复的数据。

（5）预订可发布新病毒威胁警告的电子邮件警报服务

有许多不同的机构提供这种服务，但是最关键的应该是防病毒服务供应商。其原因在于每个防病毒软件供应商的能力不同，对新病毒的估定也不同，而且采取的措施也有差异。例如，一位供应商已经在过去的更新版本中提供了类属病毒检测，从而对某种新病毒提供了防护，因此对于他们的客户而言，这一特殊病毒将被估定成低风险的。但是其他未能提供当前保护的供应商却会将同类病毒估定为“高”风险的。

四、黑客防范

针对一些常用的攻击方法、手段，用户有必要采取一些安全的防范措施，下面介绍一些可行的防范实例。

1.取消文件夹隐藏共享

在默认状态下，Windows2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

如何消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControl

SetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKS”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

2.拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行。运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

3.封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

（1）删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

（2）关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”打开编辑器“HKEY_CURRENT_USERS

oftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

（3）把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

（4）禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

4.隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DOS(拒绝服务)攻击、FlOOP溢出攻击等。

隐藏IP地址的主要方法是使用代理服务器。使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。

5.关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如NetWatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

6.更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

7.杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可，或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等。

8.安装必要的安全软件

应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

9.防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

（1）在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

（2）在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

（3）将注册表里HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。

10.不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给要求输入上网的用户名称与密码，如果按下“确定”，帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

11.做好IE的安全设置

ActiveX控件和Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”→“Internet选项”→“安全”→“自定义级别”，建议将ActiveX控件与相关选项禁用。另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和Applets时有更多的选择，并对本地电脑安全产生更大的影响。

网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题。

紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网站安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。如果人们想要继续享受信息时代的种种好处，就必须保护计算机控制系统，使它们免受攻击。安全是一种保障，就好比一个国家的安全体系一样，只有网络中的每一个环节都加强安全防范、协同工作，互联网才能健康发展，为用户提供更好的服务。

参考文献

[1]徐其兴计算机网络技术及应用（第二版）[M].北京：高等教育出版社，2006年。

[2]冯登国计算机通信网络安全[M].北京：清华大学出版社，2001。

[3]刘海涵王存祥计算机网络技术[M].西安：西安电子科技大学出版社，2003年。