胡 俊

摘要:文章對計(jì)算機(jī)網(wǎng)絡(luò)所受到的安全威脅作了詳細(xì)的介紹,并對黑客攻擊、計(jì)算機(jī)病毒、特洛伊木馬、后門等攻擊手段作了分析。列出了計(jì)算機(jī)網(wǎng)絡(luò)所存在的風(fēng)險(xiǎn)及隱患,并對隱患在技術(shù)和管理上提出了相應(yīng)的防范措施,也對計(jì)算機(jī)網(wǎng)絡(luò)安全提出了一些建議。

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);安全隱患;安全風(fēng)險(xiǎn)管理

中圖分類號:G250文獻(xiàn)標(biāo)識碼:A

文章編號:1674-1145(2009)36-0248-02

一、“黑客”或“攻擊者”的破壞手段

網(wǎng)絡(luò)應(yīng)用給人們帶來了無盡的好處,但隨著網(wǎng)絡(luò)應(yīng)用的擴(kuò)大,網(wǎng)絡(luò)面臨的安全威脅和風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī),從而引起大范圍的癱瘓和損失;另外加上缺乏安全控制機(jī)制和對網(wǎng)絡(luò)安全政策及防護(hù)意識的認(rèn)識不足,這些風(fēng)險(xiǎn)正日益加重。常見的威脅主要來自入侵者,不管入侵者出于何種意圖,我們都可以把這些人統(tǒng)稱之為“黑客”或“攻擊者”。他們的破壞手段主要有以下幾種:

1.涂改WEB頁面。涂改頁面分為幾種形式:含蓄,隱蔽的,或者是明顯,直接的?，F(xiàn)在大部分公司都建有自己的站點(diǎn)。企業(yè)通過站點(diǎn)來宣傳自己的形象及產(chǎn)品,同時(shí)也可以和客戶進(jìn)行網(wǎng)上交易?？墒?那些隱蔽的攻擊會悄悄把你的商品價(jià)格改的比你的競爭對手高,或把產(chǎn)品的價(jià)格涂改的一團(tuán)糟。很顯然,上面這些舉動會給公司正常的業(yè)務(wù)帶來嚴(yán)重的影響。

2.發(fā)送垃圾郵件。垃圾郵件的發(fā)送,給系統(tǒng)管理員帶來了無法言表的麻煩。如果你的郵件服務(wù)器配置有自動轉(zhuǎn)發(fā)功能,那將不僅僅給郵件服務(wù)器增加負(fù)擔(dān),它還會傳遞這些沒用的信件給其他用戶,而且你的域名也可能將被列入黑名單。

3.修改IP地址。修改IP地址就是把真正的源地址用一個(gè)其他的地址來代替,因?yàn)楫?dāng)攻擊者使用一個(gè)不同的或無效的IP地址,他是看不到回應(yīng)的。但是,許多攻擊,例如DOS攻擊,它不需要看到回應(yīng),它僅是阻塞攻擊對象的數(shù)據(jù)傳輸。

4.截取口令。黑客通過sniffer等探測程序監(jiān)聽獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)重要信息。

5.尋找安全漏洞。黑客利用一些網(wǎng)絡(luò)安全測試工具,如:Satan掃描目標(biāo)主機(jī)的安全漏洞,并利用這些漏洞發(fā)動攻擊。

6.計(jì)算機(jī)病毒。計(jì)算機(jī)病毒被發(fā)現(xiàn)十多年來,其種類呈幾何級增長,已成為計(jì)算機(jī)及網(wǎng)絡(luò)發(fā)展的一個(gè)很大的危害。且網(wǎng)絡(luò)是病毒傳播最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此,病毒的危害不可輕視。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染,則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散,傳播到網(wǎng)絡(luò)上的所有主機(jī),由此可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

7.“特洛伊木馬”(Trojan Horse)程序攻擊。“特洛伊木馬”是一種程序表面上做一件事情,其實(shí)做另外事情的程序;或者是一種未經(jīng)授權(quán)的程序,它包含在一段正常的程序當(dāng)中,提供了一些用戶不知道(也可能是不希望)的功能,如:把用戶的用戶名和密碼發(fā)送出去。這將嚴(yán)重危害用戶的安全。

8.“后門”(Back Door)。它是一段非法的操作系統(tǒng)程序,其目的是為闖入者提供后門。當(dāng)后門打開后,黑客就可以很方便地進(jìn)入系統(tǒng),為所欲為,給用戶造成很大的損失。

9.DOS(拒絕服務(wù))攻擊。DOS是一種很簡單,但也是很有效的進(jìn)攻方式,這種進(jìn)攻方式?jīng)]有方法能夠阻止。它的目的就是拒絕你的服務(wù)訪問,破壞組織的正常運(yùn)作。最終它會使你的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效。

以上介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全隱患及常見攻擊手段,下面結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn),針對不同的安全風(fēng)險(xiǎn),提出了相應(yīng)的安全措施,從技術(shù)和管理兩方面加以闡述。

二、技術(shù)上的安全措施

1.由于共享式網(wǎng)絡(luò)設(shè)備存在安全隱患,在網(wǎng)絡(luò)設(shè)備的選擇時(shí),盡量采用交換式網(wǎng)絡(luò)設(shè)備。由于交換式設(shè)備的工作原理與共享式設(shè)備不同,在交換式設(shè)備中,兩個(gè)端口的信息交換是直接進(jìn)行的,而其他端口的機(jī)器是無法監(jiān)聽到的,所以可避免信息的泄露。

2.加強(qiáng)加密傳輸。加密傳輸是網(wǎng)絡(luò)安全的重要手段之一,許多信息都是在鏈路上被截獲而泄露的,如許多應(yīng)用系統(tǒng)的口令、密碼及賬號,都采用明碼傳送,如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密,這樣即使被截獲,也不會造成信息泄露。

3.配置網(wǎng)絡(luò)掃描工具。利用端口網(wǎng)絡(luò)掃描工具可以對網(wǎng)絡(luò)中所有部件(WEB站點(diǎn),防火墻,路由器,TCP/IP及相關(guān)協(xié)議服務(wù))進(jìn)行攻擊性掃描、分析和評估,發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,評估安全風(fēng)險(xiǎn),提出補(bǔ)救措。

4.關(guān)閉服務(wù)端口。應(yīng)用服務(wù)器盡量不要開放一些不常使用的協(xié)議及協(xié)議端口號。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng),可以關(guān)閉服務(wù)器上如HTTP、FTP等服務(wù)。

5.加強(qiáng)登錄身份認(rèn)證。確保用戶使用的合法性;并嚴(yán)格限制登錄者的操作權(quán)限,將其完成的操作限制在最小的范圍內(nèi)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據(jù)。

6.計(jì)算機(jī)病毒的防范。由于在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。我們網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為windows系統(tǒng),比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。

病毒的防范采用的原則為:以防為主,防殺結(jié)合。針對病毒在網(wǎng)絡(luò)上危害性更大并且傳播更為迅速的特點(diǎn),必須采用適當(dāng)?shù)拇胧┓乐尾《?(1)建立病毒防火墻,及時(shí)查殺服務(wù)器、客戶端病毒,實(shí)現(xiàn)全網(wǎng)全系統(tǒng)的病毒安全防護(hù);(2)加強(qiáng)入侵檢測;(3)采用路由器訪問控制策略或防火墻。

三、管理上的安全措施

安全措施的制定必須能隨著計(jì)算機(jī)應(yīng)用、網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級。要制定適合企業(yè)或相關(guān)部門制定自己的安全風(fēng)險(xiǎn)管理和安全審核:

1.安全風(fēng)險(xiǎn)管理是對安全需求分析結(jié)果中存在的安全威脅和相關(guān)業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評估,以組織和部門可以接受的投資,實(shí)現(xiàn)最大限度的安全。

2.安全審核的首要任務(wù)是審核安全策略是否被有效地和正確地執(zhí)行。其次,由于網(wǎng)絡(luò)安全是一個(gè)動態(tài)的過程,計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化,因此企業(yè)和部門對安全的需求也會發(fā)生變化。為了在發(fā)生變化時(shí),安全策略和控制措施能夠及時(shí)反映這種變化,必須進(jìn)行定期安全審核。

安全防范不僅要在技術(shù)上采取安全措施,更重要是在管理上加強(qiáng)安全措施。希望這篇文章能對計(jì)算機(jī)用戶在計(jì)算機(jī)網(wǎng)絡(luò)的安全防范方面有所幫助,并通過我們的共同努力使計(jì)算機(jī)網(wǎng)絡(luò)更加安全和牢固。

參考文獻(xiàn)

[1](美)福羅贊著,馬振晗,賈軍保譯.密碼學(xué)與網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2009.

[2]石志國,薛為民,尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京:北方交通大學(xué)出版社,2007.

[3]閆宏生,王雪莉,楊軍.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社,2007.

[4]宋西軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京大學(xué)出版社,2009.