計算機網(wǎng)絡(luò)安全及其防護策略探析

盧　鵬

[摘要]網(wǎng)絡(luò)的迅速發(fā)展改變著人們的生活方式和工作效率。給社會、企業(yè)用至個人帶來了前所未有的便利，所有這一切都得益于互聯(lián)網(wǎng)的開放性和匿名性特征，然而正是這些特征也決定了網(wǎng)絡(luò)不可避免地存在著信息安全隱患。介紹網(wǎng)絡(luò)存在的主要安全威脅，提出網(wǎng)絡(luò)安全的防護體系以及對網(wǎng)絡(luò)安全的防護對鐿進行探析。

[關(guān)鍵詞]計算機網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全防護

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)0620062—02

一、引言

伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，網(wǎng)絡(luò)給人們提供了極大的方便，然而，網(wǎng)絡(luò)安全威脅問題也一直在困擾著我們，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊密、黑客的侵襲、病毒猖獗，內(nèi)部、外部的泄密。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、入侵檢測器、通道控制機制，但是，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。如何才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性，本文進行了具體的安全威脅分析及提出了實現(xiàn)防護網(wǎng)絡(luò)安全的具體策略。

二、網(wǎng)絡(luò)存在的安全威脅分析

網(wǎng)絡(luò)存在著各式各樣的安全威脅，常見的有計算機病毒，拒絕服務(wù)攻擊，內(nèi)部、外部泄密，邏輯炸彈，信息丟失、篡改、銷毀，特洛伊木馬，黑客攻擊，系統(tǒng)的漏洞的威脅等。

(一)計算機病毒

計算機病毒是可存儲，可執(zhí)行，可隱藏在可執(zhí)行程序和數(shù)據(jù)文件中而不被人發(fā)現(xiàn)，觸發(fā)后可獲取系統(tǒng)控制的一段可執(zhí)行程序，它具有傳染性、潛伏性、可觸發(fā)性和破壞性等特點。計算機病毒主要是通過復(fù)制文件、傳送文件、運行程序等操作傳播，在日常的使用中，軟盤、硬盤、光盤和網(wǎng)絡(luò)是傳播病毒的主要途經(jīng)。網(wǎng)絡(luò)的普及為病毒的快速傳播創(chuàng)造了便利的條件，近年來出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡(luò)進行傳播的。這些計算機網(wǎng)絡(luò)病毒破壞性很大，如“CIH病毒”，“熊貓燒香病毒”可謂是人人談之而色變，它給網(wǎng)絡(luò)帶來了很嚴重的損失。

(二)拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是利用TCP／IP協(xié)議“三次握手”特點的缺陷，拒絕合法的用戶對目標系統(tǒng)(如服務(wù)器)和信息的合法訪問一攻擊。以這種方式攻擊的后果往往表現(xiàn)為使目標系統(tǒng)死機、使端口處于停頓狀態(tài)、在計算機屏幕上發(fā)出雜亂信息、改變文件名稱、刪除關(guān)鍵和程序文件或扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。

(三)內(nèi)部、外部泄密

內(nèi)部人員對數(shù)據(jù)的存儲位置、信息重要性非常了解，這使得內(nèi)部攻擊更容易奏效。一般來說在內(nèi)網(wǎng)中根據(jù)IP地址很容易找到服務(wù)器網(wǎng)段，這樣就根容易運用AKP欺騙等手段攻擊?，F(xiàn)在互聯(lián)網(wǎng)上第三方黑客攻擊軟件越來越多，方法也越來越復(fù)雜，像IP碎片攻擊、OOB攻擊、WinNuke攻擊等，但是大部分的攻擊手段還是以獲知IP地址為前提，進行網(wǎng)絡(luò)攻擊的。

由于黑客的目的一般都是竊取機密數(shù)據(jù)或破壞系統(tǒng)運行，外部黑客也可能入侵Web或其他文件服務(wù)器刪除或篡改數(shù)據(jù)，致使系統(tǒng)癱瘓甚至完全崩潰。

(四)邏輯炸彈

邏輯炸彈是在滿足特定的邏輯條件時按某種不同的方式運行，對目標系統(tǒng)實施破壞的計算機程序。在正常條件下檢測不到這種炸彈，但如果特殊的邏輯條件出現(xiàn)，則程序會按照完全不同的方式運行。誘發(fā)邏輯炸彈發(fā)作的邏輯條件稱為邏輯誘因。邏輯炸彈一般隱藏在具有正常功能的軟件中。與計算機病毒不同，邏輯炸彈體現(xiàn)為對目標系統(tǒng)的破壞作用，而非傳達室播其具有破壞作用的程序。

(五)信息丟失、篡改和銷毀

由于誤操作或者黑客的非法操作，造成有價值的信息丟失、篡改或者銷毀。

(六)特洛伊木馬

特洛伊木馬攻擊的表現(xiàn)形式對被攻擊都來說并不直觀，甚至受害者根本不知道自己已經(jīng)被入侵，因而它是～種極為危險的網(wǎng)絡(luò)攻擊手段。與病毒不同，特洛伊木馬的預(yù)防和檢測一般都可以由用戶完成，因為特洛伊木馬既不傳播也不復(fù)制，它們只能依靠用戶安裝文件將其潛伏在系統(tǒng)中。

(七)黑客攻擊

這是計算機網(wǎng)絡(luò)所面臨的最大威脅。些類攻擊又可以分為兩種，一種是網(wǎng)絡(luò)攻擊，即以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害

(八)系統(tǒng)的漏洞的威脅

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。目前，常見的網(wǎng)絡(luò)操作系統(tǒng)軟件主要有Windows 2003 Server，UNIX，Linux等，windows NT~Windows 2003Server由于系統(tǒng)自身有漏洞，雖然推出了一些針對性的補丁程序，但也不可避免地容易遭到病毒或人為因素的破壞。相比之下UNIX~Linux這兩個系統(tǒng)由于問世后其原代碼一直處于公開狀態(tài)，以便大家不斷完善它，又因為它工作在底層，所以安全性較高。

隨著網(wǎng)絡(luò)的發(fā)展，計算機攻擊技術(shù)對網(wǎng)絡(luò)安全的挑戰(zhàn)日益加強，黑客工具的自動化程度及速度在不斷提高，攻擊工具的攻擊能力與復(fù)雜程度也在不斷提高?？傊?，網(wǎng)絡(luò)安全威脅從來沒有消失過，而且大有愈演愈烈之勢。

三、網(wǎng)絡(luò)安全的防護體系

隨著攻擊手段的不斷演變，傳統(tǒng)的依靠防火墻、加密和身份認證等手段已滿足不了要求，監(jiān)測和響應(yīng)環(huán)節(jié)在現(xiàn)代網(wǎng)絡(luò)安全體系中的地位越來越重要，正在逐步成為構(gòu)建網(wǎng)絡(luò)安全體系中的重要部分。不僅是單純的網(wǎng)絡(luò)運行過程是的防護，還包括對網(wǎng)絡(luò)的安全評估，以及使用安全防護技術(shù)后面的服務(wù)體系。

四、網(wǎng)絡(luò)安全的防護對策

盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡(luò)信息的安全：

(一)操作系統(tǒng)補丁升級

操作系統(tǒng)除服務(wù)器操作系統(tǒng)外，也包括各種網(wǎng)絡(luò)設(shè)各的操作系統(tǒng)，均需要及時升級及打上最新的補丁，嚴防黑客利用各種漏洞進行攻擊。如Windows網(wǎng)絡(luò)操作系統(tǒng)最主要的漏洞有Unicode漏洞、，ida／，idq緩沖區(qū)溢出漏洞、Microsoft IIs CGI文件名錯誤解碼漏洞、MSADCS RDS漏洞、FrontPage服務(wù)器擴展和，printer漏洞。

(二)安裝網(wǎng)絡(luò)版防病毒軟件

防病毒服務(wù)器作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網(wǎng)中己開機的終端及時更新病毒庫軟件。同時配置郵件防病毒服務(wù)器，對來自INTERNET的電子郵件以及所屬附件進行檢測。

(三)合理配置訪問控制權(quán)限

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，根據(jù)控制手段和具體目的的不同，可以將訪問控制技術(shù)劃分為幾個不同的級別，包括入網(wǎng)訪問控

制、網(wǎng)絡(luò)權(quán)限控制、目錄級安全控制以及屬性控制等多種手段。

(四)安裝入侵檢測系統(tǒng)

網(wǎng)絡(luò)安全體系的監(jiān)控和響應(yīng)環(huán)節(jié)是通過入侵檢測系統(tǒng)(IDS)來實現(xiàn)的。IDS從網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點收集信息，并加以分析，檢測網(wǎng)絡(luò)中是否有違反安全策略的行為和識別遭襲擊的跡象。

(五)配置硬件防火墻

通過配置硬件防火墻，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴格限制INTEPNET用戶對局域網(wǎng)資源的訪問。通過防火墻，將整個局域網(wǎng)劃分INTERNET。DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域，有利于對整個網(wǎng)絡(luò)進行管理。

(六)防火墻、入侵檢測等安全日志備份

防火墻等日志備份以每周為一次，通過對各日志的分析掌握整個網(wǎng)絡(luò)的運行狀態(tài)，定期以每半年一提出總體安全分析報告，針對全網(wǎng)絡(luò)進行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)支持。

(七)數(shù)據(jù)保密與安裝動態(tài)口令認證系統(tǒng)

信息安全的核似是數(shù)據(jù)保密，一般就是我們所說的密碼技術(shù)，隨著計算機網(wǎng)絡(luò)不斷滲透到各個領(lǐng)域，密碼學(xué)的應(yīng)用也隨之擴大。數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來新技術(shù)和應(yīng)用。

(八)信息備份及恢復(fù)系統(tǒng)

為了防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓，應(yīng)根據(jù)網(wǎng)絡(luò)情況確定完全和增量備份的時間點，定期給網(wǎng)絡(luò)信息進行備份。便于一旦出現(xiàn)網(wǎng)絡(luò)故障時能及時恢復(fù)系統(tǒng)及數(shù)據(jù)。

(九)管理制度的修訂及進行安全技術(shù)培訓(xùn)

嚴格控制中心機房的人員進出、設(shè)備進出并及進登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運行。制訂并修改機房管理制度，內(nèi)容主要涉及人員進出機房的登記制度、設(shè)備進出機房的登記制度、設(shè)備配置修改的登記制度等。對企業(yè)內(nèi)部人員定期進行安全技術(shù)培訓(xùn)，防止誤操作而造成的安全故障。

五、結(jié)束語

網(wǎng)絡(luò)安全是一個不斷變化、快速更新的領(lǐng)域，也意味著人們對于網(wǎng)絡(luò)安全領(lǐng)域的投資是長期的行為，盡管現(xiàn)在用于網(wǎng)絡(luò)安全的產(chǎn)品有很多，比如有防火墻、殺毒軟件、入侵檢測系統(tǒng)，但是仍然有很多黑客的非法入侵。根本原因是網(wǎng)絡(luò)自身的安全隱患無法根除。雖然如此，安全防護仍然必須是慎之又慎，盡最大可能降低黑客入侵的可能，從而保護我們的網(wǎng)絡(luò)信息安全。