何遠綱，趙鵬飛，夏志平

(1.重慶電力高等專科學校，重慶400053;2.四川大學職業(yè)技能學院，四川成都610200;3.四川省長赤中學，四川巴中636630)

0 引言

隨著計算機技術與網絡技術的高速發(fā)展，計算機網絡已經滲透到各行各業(yè)，成了現代人工作與生活中不可分離的幫手，有效地提升了工作效率與生活水平。但是由于計算機網絡自身是一個開放系統(tǒng)，每時每刻都面臨著病毒及黑客的攻擊，因此計算機網絡的安全問題一直是一個相當嚴峻的問題。

1 網絡安全概述

網絡安全不是一門單一知識，而是一門綜合性學科，其中包括信息安全技術、計算機科學、通信技術、信息論及數論等多種學科的綜合。主要是保護網絡系統(tǒng)中的軟硬件及其他使用到的系統(tǒng)數據，保障這些數據不受到惡意攻擊，確保這些系統(tǒng)數據能夠正常運行，網絡服務不被中斷。

隨著網絡使用越來越普及，人們對網絡安全的認識有了新發(fā)展。例如站在個人以及企業(yè)各個角度來分析，使用者肯定不希望自己個人隱私或者商業(yè)信息被泄露出去，都希望網絡安全具備真實性、完整性以及機密性，擔心出現竊聽、抵賴以及冒充等各種不安全手段泄露隱私。因此，網絡安全的內容在日益擴大。

2 影響網絡安全的主要因素

2.1 常見的問題

2.1.1 軟件漏洞

任何操作系統(tǒng)或者網絡軟件都可能存在這樣那樣的缺陷及漏洞，就是這些缺陷與漏洞為病毒及黑客打開了一扇大門，讓計算機在網絡中處于危險之地，成為眾矢之的。從實際情況的分析發(fā)現，如果安全問題源自于網絡系統(tǒng)自身，問題大都是該系統(tǒng)中存在漏洞造成。這些漏洞源自于軟硬件以及各種協(xié)議，或者系統(tǒng)自身安全措施上存在缺陷。一旦計算機網絡的安全控制出現可趁之機，攻擊者就會通過網絡系統(tǒng)漏洞獲取管理員權限，進而對網絡系統(tǒng)設置進行修改，為用戶造成許多不良影響，并且通常在日志記錄中不會有相應日志，而且也查不出什么證據。事實上，編寫軟件的人員為了便于維護，都會在軟件中設置“后門”。但是使用者畢竟不是專業(yè)人員，很多人不會想到網絡系統(tǒng)后門的存在，因此，一旦黑客通過后門惡意進入網絡系統(tǒng)，極易穿過防火墻限制，用戶也不易發(fā)現，因而，后門成為了網絡系統(tǒng)安全隱患之一。

2.1.2 TCP/IP具備脆弱性

TCP/IP協(xié)議是國際互聯(lián)網絡的基礎，但是協(xié)議并沒有考慮到網絡安全性的問題。而且該協(xié)議的大多數內容都是公開的，假如有人想當熟悉TCP/IP協(xié)議，就能夠采用一定技術，利用其安全缺陷，通過網絡進行攻擊。比如黑客要攻擊某人的電腦，就會通過相應軟件跟蹤查詢其聯(lián)網的TCP/IP地址，進而實現入侵目的。

2.1.3 網絡結構具備不安全性

如今使用的因特網屬于網間網技術，這種技術是許多個局域網共同形成一個較大的網絡。當一臺主機與其他局域網主機實施通信之時，彼此之間的數據必須經過許多個機器進行重重轉發(fā)。如果黑客掌控了傳輸數據流的某臺主機，就能夠劫持傳輸的各個數據包。

2.1.4 極易被竊聽

在網絡中大多數的數據流并沒有經過加密，可以說這種數據幾乎就裸露在人們面前，采用網上的免費工具就能夠竊聽網上口令、電子郵件及傳輸文件。

2.1.5 木馬

這種木馬是由黑客將某種特定動作程序粘附到某合法用戶使用的程序中，將該程序代碼改變。該合法用戶一旦再次使用該程序，必然將黑客所粘附的指令程序同時激活，被激活的代碼就會按照黑客意愿去完成任務。這種木馬需要較高編程水平，編寫的代碼具備較高水準，要進行改碼都需要一定的權限，這是一種比較高級的攻擊手段，一般的網絡管理人員極難發(fā)現。

2.1.6 病毒

事實上病毒也是一種程序，能夠通過計算機間進行傳播，每經過一個地方都要感染，并經過復制粘附于到文件之中。病毒具備較強感染性、潛伏性及觸發(fā)性，而且其破壞性也大。

2.1.7 安全意識不高

網絡設置中有很多安全保護屏障，但是很多使用者安全意識較低，根本不關注這些網絡設置，導致這些保護措施和沒有一樣。比如認為防火墻(如圖1)的服務器在認證中麻煩，直接采用PPP連接，導致防火墻起不到應有功效。

圖1 防火墻的組成

2.1.8 移動存儲介質

如今使用移動存儲介質十分廣泛，比如移動硬盤、U盤等，主要是因為這種介質存儲量大、方便小巧、通用性強及易攜帶等多個特征，使用比較廣泛，這會給網絡系統(tǒng)信息安全埋下極大隱患。比如有一些人不知道移動硬盤、U盤等移動介質中所刪除文件還能夠還原，就把曾經存儲秘密信息數據的移動介質借給別人，極有可能將數據泄露出去。

2.1.9 黑客攻擊

黑客即是沒有經過許可就采用技術登陸進別人網絡服務器或連接的網絡主機，并通過網絡實施一些私自操作。隨著網絡技術的發(fā)展，黑客破壞技術也是逐漸增強，不但能夠熟練操作各類軟件與網絡技術，尤其善于發(fā)現各種系統(tǒng)漏洞，依據這些漏洞對網路安全造成威脅。

2.2 ARP欺騙問題

2.2.1 ARP欺騙故障的現象

如今，計算機網絡中出現的安全事故越來越多，成為了人們關注的重要問題之一，比如有時候打開網頁發(fā)現IE地址被修改了，網頁的頁面顯示出病毒超鏈接、網頁出錯信息等。這些都導致上網速度降低。有時候使用Ping或者是DNS檢驗其連通性，占有時間不但長，而且會逐漸變慢，有時候還會出現丟包現象。一旦出現了這種現象就要先進行殺毒與安裝防火墻，如果不能夠解決問題，就要檢查源程序是不是被掛木馬。如果一切正常，有可能是遇到了ARP欺騙問題。

2.2.2 存在的問題

ARP欺騙大都是在局域網各個硬件上出現的，比如交換機、計算機及路由器等。為了探析ARP欺騙問題，本文就從如下幾個角度來分析。

①計算機;對于網絡來說，計算機與計算機之間除了連接的硬件之外，都是依靠IP地址實現彼此之間的通信。首先就要把數據封裝為IP的數據包，這里面包含了目標IP地址與源IP地址。路由器將數據包通過網絡轉發(fā)到各個不同網絡里去。到結點間還應該將數據包封裝成數據幀，其中包含了源與目標的MAC地址，并將IP數據包完全封裝進去。而ARP且是將IP地址改為MAC地址，源主機主動發(fā)出ARP請求，目標主機接受到請求后做出ARP應答，進而做完一個地址解析過程。事實上，計算機里都有ARP緩存表，主要顯示著MAC與IP地址之間的對應關系。而且這些表都要通過ARP地址解析所產生出來的協(xié)議體現對應關系，在這個過程中就有可能產生了ARP病毒。

②交換機;當每個數據幀傳送出去之后，交換機就能夠接受到其中的MAC地址，而且還能夠將這種地址轉發(fā)出去。在傳送過程中，交換機就能夠對地址映射表進行維護，同時對交換機和MAC地址之間端口記錄下來。通過所接受的數據幀交換機就能夠了解到源MAC地址所在機器處于哪個端口之上，進而對地址映射表進行更新。之后交換機依據該目標MAC地址在映射表中去查找相應端口，查找出來之后，將這個端口復制下來，如果沒有查到這個端口，就將該數據幀廣播出到所有端口之上。但是在運行中，交換機僅僅使用了地址映射表，而且MAC地址和交換機上的端口也是一對一關系，由此可見交換機上大都不會出現ARP病毒。

③網關;將信息數據包在不同的網段之間進行通信，還需要網關實施轉發(fā)。對于計算機來說，主機里配置出來的網關就是網段與路由器之接口。網關也就是網絡代理服務器，就功能而言，各個局域網基本上都是相同的。主要是依靠ARP緩存表來維護網關，因此要把MAC與IP地址所對應的關系解析出來，就必須要經過ARP協(xié)議，運行中極有可能發(fā)生ARP病毒。

3 計算機網絡安全應對措施

3.1 常見技術措施

3.1.1 身份認證

控制訪問的基礎就是身份認證，也是防御主動攻擊的重要措施。對于身份認證一定要準確無誤辨別對方，還要提供雙向認證，就是相互證明自己身份。在網絡環(huán)境下驗證身份十分復雜，許多驗證方式都已經不再適用了，現在安全性比較高的為USBKEY認證方法，即將軟硬件結合起來，極大處理好了易用性與安全性間的矛盾。而且USBKEY屬于USB接口硬件設備，用戶需要的數字證書或者密鑰不需要放進內存，也不用傳播在網絡上，這樣就極大地增加了使用信息的安全性。

3.1.2 控制訪問

訪問網絡之時，不同的訪問用戶具有不同的信息權限，必須要對這些權限實施控制，進而有效提防出現越權使用現象。普遍采用實時監(jiān)控，如圖2所示。

3.1.3 數據保密

這種措施主要是針對泄露信息的防御措施，也是一種常用確保通信安全手段。但是隨著計算機網絡技術快速發(fā)展，導致傳統(tǒng)加密算法不斷被破譯，只有更高強度加密算法才能夠適應需要，比如如今的公開密鑰算法、DES算法等。

3.1.4 數據完整性

圖2 實時監(jiān)控

要防范非法篡改文件、信息等最有效措施就是確保數據的完整性。只有這樣才不留下縫隙，才不被病毒及黑客等入侵。

3.1.5 加密機制

對于網絡上傳播的數據最好采用加密，這種方式是如今比較特殊的電子交易模式?，F在最為普及的加密方式分為對稱加密與非對稱加密這兩種技術模式。

3.1.6 PKI技術

這種技術采用了公鑰的理論與技術結合起來共同構建的安全服務基礎。PKI技術中最為核心的部分是信息安全，這也是電子商務中之基礎以及關鍵的技術。采用這種技術對電子商務、電子事務以及電子政務等等活動起到安全保護作用，進一步促進了電子交易的安全。PKI技術正是電子政務、電子商務等使用的密碼技術，它有效解決了電子商務使用中的真實性、機密性及完整性等各種安全問題。

3.1.7 入侵檢測技術

為了進一步提升網絡安全技術，對防火墻可做有效補充(見圖3)，那就是增加了入侵檢測技術(IDS)(見圖4)。采用這種技術能在短時間發(fā)現是否存在安全問題，網路是否被攻擊，有效地提升了管理人員對網絡管理能力，進而增強了信息安全的完整性。

圖3 防火墻結合IDS

3.1.8 備份系統(tǒng)

這種方式就是對計算機中使用的數據與系統(tǒng)信息進行備份，能夠對發(fā)生硬件故障或者人為失誤起保護作用。

圖4 入侵檢測的拓撲圖

3.2 防范ARP欺騙

3.2.1 搞好網關防范

在防范ARP欺騙中最為有效的防范之一是網關防范，即，使用綁定IP-MAC地址。將每個計算機IP地址綁定在路由器中，就能夠有效阻止路由器再接受其他的IP數據，也就阻止了更新ARP緩存表，起到了對ARP欺騙的防范作用。

3.2.2 搞好計算機防范

對局域網外部做好了防范工作，還必須要嚴格防范計算機自身。最主要做法就是確保計算機中ARP緩存的數據時時刻刻在正確狀態(tài)。如今很多管理者都是采用收費或免費ARP防火墻，比如使用60ARP防火墻、金山ARP防火墻等，都可以對ARP病毒有效防范。對于一些難度大的病毒，還能夠采用dos指令“ARPd”，清除掉ARP緩存，再采用一些指令對網關靜態(tài)IP進行綁定，進而防止ARP病毒對計算機網絡安全造成影響。

4 結束語

計算機網絡的安全運行，是確保其開放性與共享性的基礎條件。要從計算機網絡安全的技術手段著手，有針對性地對網絡存在的潛在威脅進行防范，要提高相關人員的計算機安全意識，盡量減少網絡安全技術中存在的問題，保障網絡正常運行。

［1］ 王華.淺談計算機網絡安全技術應用［J］.科技經濟市場，2010，(9):181-183.

［2］ 全豐菽.計算機網絡安全的防范策略分析［J］.信息與電腦，2010，(8):39-42.

［3］ 陳兵，黃繼濤，劉超，等.高校計算機病毒的防御與查殺［J］.西南軍醫(yī)，2009，(1):83-85.

［4］ 曹淑芬.網絡機房計算機病毒的故障排除及預防［J］.中國新技術新產品，2009，(12):19.

［5］ 曾志軍.網絡機房對ARP病毒的防范［J］.計算機時代，2008，(6):39-42.

［6］ 杜紅霞.網絡機房對 ARP病毒的防范［J］.新課程，2009，(5):5-6.