计算机网络安全问题及解决对策分析.pdfVIP

计算机网络安全问题及解决对策分析

一、网络安全问题及产生的原因

1、物理安全风险

计算机本身和外部设备乃至网络和信息线路面临各种风险，如各种自然灾

害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全

因素所致的物质财产损失、数据资料损失等。

2、系统风险——组件的脆弱性

（一）、硬件组件

信息系统硬件组件的安全隐患多来源于设计，如生产工艺或制造商的原因，

计算机硬件系统本身有故障、接触不良引起系统的不稳定、电压波动的干扰等。

由于这种问题是固有的，一般除在管理上强化人工弥补措施外，采用软件方法见

效不大。因此在自制硬件和选购硬件时应尽可能避免或消除这类安全隐患。

（二）、软件组件

软件的“后门”是软件公司的程序设计人员为了方便而在开发时预留设置的，

它一方面为软件调试、进一步开发或远程维护提供了方便，但同时也为非法入侵

提供了通道。这些“后门”一般不被外人所知，但一旦“后门”洞开，其造成的

后果将不堪设想。

此外，软件组件的安全隐患来源于设计和软件工程中的问题。软件设计中的

疏忽可能留下安全漏洞；软件设计中不必要的功能冗余以及软件过长、过大，不

可避免地存在安全脆弱性；软件设计不安信息系统安全等级要求进行模块化设

计，导致软件的安全等级不能达到所生成的安全级别；软件工程时下中造成的软

件系统内部逻辑混乱，导致垃圾软件，这种软件从安全角度看是绝对不可用的。

（三）、网络和通信协议

在当今的网络通信协议中，局域网和钻用网络的通信协议具有相对封闭性，

因为它不能直接与异构网络连接和通信。这样的“封闭”网络本身基于两个原因，

使其比开放式的互联网的安全特性好：一是网络体系的相对封闭性，降低了从外

部网络或站点直接攻入系统的可能性，但信息的电磁泄露性和基于协议分析的搭

线截获问题仍然存在；二是专用网络自身具有较完善、成熟的身份鉴别，访问控

制和权限分割等安全机制。

安全问题最多的还是基于TCP/IP协议族的互联网及其通信协议。TCP/IP协

议族原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络

中和网际间的大量安全问题。TCP/IP最初设计的应用环境是美国国防系统的内

部网络，这一网络环境是互相信任的，当其推广到社会的应用环境后，安全问题

发生了。概括来说，互联网网络体系存在着如下几种知名的安全隐患。

（1）缺乏对用户身份的识别

TCP/IP的机制性安全隐患之一是缺乏对通信双方真实身份的鉴别机制。由于

TCP/IP使用IP地址作为网络节点的唯一标识，而IP地址的使用和管理又存在

很多问题，因而可导致下列两种主要安全隐患。

①IP地址是由InterNIC分发的，其数据包的源地址很容易被发现，且IP

地址隐含了所使用的子网掩码，攻击者据此可以画出目标网络的轮廓。因此，使

用标准IP地址的网络拓扑对互联网来说是暴露的。

②IP地址很容易被伪造和被更改，且TCP/IP协议没有对IP包中源地址真实

性的鉴别机制和必威体育官网网址机制。Incident，互联网上任一主机都可以产生一个带有任

意源IP地址的IP包，从而假冒另一个主机进行地址欺骗。

（2）缺乏对路由协议的鉴别认证

TCP/IP在IP层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别与

保护，因此可以通过互联网，利用有信息修改网络传输路径，误导网络分组传输。

（3）TCP/UDP的缺陷

TCP/IP规定了TCP/UDP是基于IP协议上的传输协议，TCP分段和UDP数据

包是封装在IP包中在网上传输的，除可能面临IP层所遇到的安全威胁外，还存

在TCP/UDP实现中的安全隐患。

①建立一个完整的TCP连接，需要经历“三次握手”过程，在客户机/服务

器模式的“三次握手”过程中，假如客户的IP地址是假的，是不可达的，那么

TCP不能完成该次连接所需的“三次握手”，时TCP连接处于“半开”状态，攻

击者利用这一弱点可实施如TCP/SYNFlooding攻击的“拒绝服务”攻击。

②TCP提供可靠连接是通过初始序列号和鉴别机制来实现的。一个合法的TCP

连接都有一个客户/服务器双方共享的唯一序列号作为标识和鉴别。初始序列号

一般由随机数发生器产生，但问题出在喝