全 宇

（湛江師范學(xué)院 信息與教育技術(shù)管理中心，廣東 湛江 524048）

隨著信息化社會的不斷發(fā)展，計算機網(wǎng)絡(luò)在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著重要作用。要確保各項工作安全而高效運行，前提條件是保證網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)硬件、軟件系統(tǒng)的正常運轉(zhuǎn)，因此，計算機網(wǎng)絡(luò)常見安全問題及對策的研究就顯得尤為重要。

1 計算機網(wǎng)絡(luò)常見安全問題

計算機網(wǎng)絡(luò)安全，實質(zhì)是網(wǎng)絡(luò)系統(tǒng)的硬、軟件系統(tǒng)的數(shù)據(jù)受到保護，不受偶然或惡意攻擊而遭到破壞更改、泄露，系統(tǒng)連續(xù)、可靠、正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。由于計算機網(wǎng)絡(luò)技術(shù)具有復(fù)雜性和多樣性，使得計算機網(wǎng)絡(luò)安全問題成為一個亟需研究的問題。計算機網(wǎng)絡(luò)常見安全問題有：

1.1 協(xié)議設(shè)計問題

協(xié)議設(shè)計往往強調(diào)其功能性而忽視其安全性，無形中為黑客的攻擊打開了方便之門；協(xié)議設(shè)計對各種可能出現(xiàn)的流程問題考慮不夠周全，一旦發(fā)生安全問題，網(wǎng)絡(luò)系統(tǒng)就處理不當(dāng)；協(xié)議設(shè)計錯誤，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)服務(wù)容易失效，容易出現(xiàn)安全漏洞，容易招受黑客攻擊；協(xié)議設(shè)計的程序撰寫習(xí)慣不良，導(dǎo)致出現(xiàn)很多安全漏洞，包括輸入資料差錯能力不足，未檢測可能發(fā)生的錯誤，應(yīng)用系統(tǒng)的假設(shè)錯誤、引用不當(dāng)模塊、未檢測資料不足等。

1.2 防范意識問題

網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識，看不到互聯(lián)網(wǎng)具有大跨度、分布廣、無邊界的特點，不主動采取安全防范措施，而是處于被動挨打的局面，一旦受到黑客的攻擊，就束手無策。

1.3 管理體系問題

組織和部門的計算機網(wǎng)絡(luò)往往沒有建立完善的管理體系，從而導(dǎo)致安全體系和安全控制措施未能充分有效地發(fā)揮效能。網(wǎng)絡(luò)業(yè)務(wù)活動中存在安全漏洞，造成不必要的信息泄露，給黑客以收集敏感信息的機會。

1.4 技術(shù)操作問題

計算機網(wǎng)絡(luò)操作人員未受過良好訓(xùn)練或不按規(guī)范操作，缺乏必要的專業(yè)安全知識，不會安全地配制和管理網(wǎng)絡(luò)，不能及時發(fā)現(xiàn)已經(jīng)存在的和隨時可能出現(xiàn)的安全問題，對突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)，導(dǎo)致出現(xiàn)各種安全漏洞和安全隱患。

2 黑客對計算機網(wǎng)絡(luò)的攻擊手法

因互聯(lián)網(wǎng)本身沒有時空和地域限制，所以黑客可以輕而易舉入侵攻擊各級網(wǎng)絡(luò)。目前，黑客對計算機網(wǎng)絡(luò)攻擊的手法有：

2.1 欺騙性攻擊

由于計算機網(wǎng)絡(luò)設(shè)計的初衷是資源共享，決定其具有開放性的特點，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性低。如“網(wǎng)絡(luò)釣魚攻擊”就是一種欺騙性攻擊的手法，釣魚工具是通過大量發(fā)送聲稱來自一些名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細(xì)信息等的一種攻擊手法。最常用的手法是冒充一些真正的網(wǎng)站來欺騙用戶的敏感數(shù)據(jù)?！熬W(wǎng)絡(luò)釣魚攻擊”以往多是指向大型或著名網(wǎng)站，但由于大型或著名網(wǎng)站反應(yīng)迅速，而且所提供的安全功能不斷增強，所以，黑客越來越多地把目光對準(zhǔn)較小的網(wǎng)站。

2.2 偽裝性攻擊

黑客常常利用計算機軟件來偽裝IP包，把自身扮演成被信任主機的地址，與目標(biāo)主機進行會話，一旦冒充成功，就可以在目標(biāo)主機尚未知曉的情況下單刀直入，實行攻擊；黑客也可以偽造IP地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無法辨別這些請求或無法正常響應(yīng)這些請求，從而造成緩沖區(qū)阻塞或死機；黑客還可以通過局域網(wǎng)中的某臺機器IP地址設(shè)置為網(wǎng)絡(luò)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.3 漏洞性攻擊

前面談到，計算機網(wǎng)絡(luò)所使用的協(xié)議設(shè)計問題、安全防范意識問題、管理體系問題和技術(shù)操作問題，都可能產(chǎn)生漏洞，如軟件中邊界條件、函數(shù)指針等方面設(shè)計不當(dāng)或缺乏限制，造成地址空間錯誤；軟件系統(tǒng)對某種特定類型的報文或請求沒有處理，導(dǎo)致運行出現(xiàn)異常等。黑客正是乘這些漏洞之隙，利用操作系統(tǒng)某些服務(wù)開端口發(fā)動緩沖區(qū)溢出攻擊。

2.4 隱蔽性攻擊

隱蔽性攻擊是借助木馬病毒進行實施。木馬是一種基于遠(yuǎn)程控制的黑客工具，其攻擊的特點具有隱蔽性，往往用戶覺察不出。一旦黑客將木馬程序成功地植入到目標(biāo)主機中，計算機就成了黑客控制的傀儡主機，而黑客就成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、帳號、密碼等。黑客還可以遠(yuǎn)程控制主機對別的主機發(fā)動攻擊，如DDOS攻擊就是眾多傀儡主機接到攻擊命令后，同時向被攻擊目標(biāo)發(fā)送大量的服務(wù)請求數(shù)據(jù)包。

2.5 技術(shù)性攻擊

技術(shù)性攻擊是指黑客利用嗅探器和掃描攻擊。嗅探器是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)，從而非法獲得用戶名、口令等重要信息。它對網(wǎng)絡(luò)安全的威脅來自其本身的被動性和非干擾性，達到網(wǎng)絡(luò)信息泄密而不易被發(fā)現(xiàn)。而掃描是針對系統(tǒng)漏洞，對網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞的存在，所以掃描手段往往可以隱蔽地探測他人主機的有用信息，作為實施下一步攻擊的前奏。

3 計算機網(wǎng)絡(luò)的安全對策

針對計算機網(wǎng)絡(luò)常見安全問題和黑客對計算機網(wǎng)絡(luò)攻擊的手法，我們必須采取相應(yīng)的安全對策。

3.1 加強網(wǎng)絡(luò)安全教育

計算機網(wǎng)絡(luò)安全是一個過程，涉及到管理、技術(shù)和應(yīng)用三個層面。各個層面的具體操作者是人，而人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，因而必須加強網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，強化安全防范意識，提高三個層面人員的整體素質(zhì)。首先，加強網(wǎng)絡(luò)知識培訓(xùn)，讓有關(guān)人員掌握一定的網(wǎng)絡(luò)知識，掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習(xí)慣。其次，加強安全技術(shù)培訓(xùn)，讓有關(guān)人員掌握一定的安全技術(shù)，保證數(shù)據(jù)信息安全可靠。再次，加強安全意識培訓(xùn)，讓三個層面的人員懂得數(shù)據(jù)信息安全的重要性，明確保證數(shù)據(jù)信息安全是所有工作人員的共同責(zé)任。

3.2 運用網(wǎng)絡(luò)防護技術(shù)

網(wǎng)絡(luò)防護技術(shù)的出發(fā)點，首先是劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查，阻止不符合規(guī)定的信息通過，以達到阻止黑客對網(wǎng)絡(luò)的入侵。主要的網(wǎng)絡(luò)防護技術(shù)有：

一是防火墻。防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，以保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過；狀態(tài)檢測技術(shù)是一種連接性的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流，構(gòu)成連接狀態(tài)表，通過規(guī)則表和狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，它相對于包過濾技術(shù)來說，更具靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，目的在于隱蔽地保護網(wǎng)絡(luò)的具體細(xì)節(jié)，保護主機及其數(shù)據(jù)，雖然防火墻是目前保護網(wǎng)絡(luò)安全的有效手段，但無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶帶來的威脅，不能完全防止傳遞已感染病毒的軟件或文件，也無法防范數(shù)據(jù)驅(qū)動型的攻擊。

二是防毒墻。防毒墻是指位于網(wǎng)絡(luò)入口處，用于對網(wǎng)絡(luò)傳輸中的病毒進行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進行分析，而對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻無能為力，因為它無法識別合法數(shù)據(jù)包中是否存在病毒的情況。防毒墻正是克服了防火墻的缺陷，它使用簽名技術(shù)在網(wǎng)關(guān)處進行查毒工作，阻止網(wǎng)絡(luò)蠕蟲（Word）和僵尸網(wǎng)絡(luò)（BOT）的擴展。

三是虛擬專用網(wǎng)絡(luò)（Virtual Private Network，簡稱VPN）。VPN是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為保證信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性等措施，以防止信息的泄露、篡改和復(fù)制。

3.3 采用網(wǎng)絡(luò)檢測技術(shù)

網(wǎng)絡(luò)檢測技術(shù)是通過監(jiān)視受保護系統(tǒng)的狀況和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的攻擊，包括檢測非法入侵者惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要網(wǎng)絡(luò)檢測技術(shù)有：

一是入侵檢測。入侵檢測是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)的若干關(guān)鍵點收集信息，并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊跡象，以及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：第一，檢測并分析用戶和系統(tǒng)的活動；第二，檢查系統(tǒng)的配置和操作系統(tǒng)的日志；第三，發(fā)現(xiàn)漏洞和統(tǒng)計分析異常行為等。

二是入侵防御。入侵防御系統(tǒng)是一種主動的積極的入侵防范系統(tǒng)。它是建立在入侵檢測系統(tǒng)發(fā)現(xiàn)的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)。如果說入侵檢測系統(tǒng)只能被動地檢測網(wǎng)絡(luò)遭到何種攻擊，且阻斷攻擊能力有限，那么，入侵防御系統(tǒng)在網(wǎng)絡(luò)的進出口處檢測到攻擊企圖后，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為入侵防御系統(tǒng)就是防火墻加上入侵檢測系統(tǒng)，但并不是說入侵防御系統(tǒng)可以取代防火墻和入侵檢測系統(tǒng)。

三是漏洞掃描。漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)。它主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞。第一，在端口掃描后得知目標(biāo)主機開啟的端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；第二，通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。

3.4 使用反病毒技術(shù)

計算機病毒能引起計算機故障，破壞文件和數(shù)據(jù)，搶占系統(tǒng)網(wǎng)絡(luò)資源，傳染其它程序，造成網(wǎng)絡(luò)堵塞或系統(tǒng)癱瘓。尤其在網(wǎng)絡(luò)環(huán)境下，計算機病毒的威脅性和破壞力更不可估量。因此，對計算機病毒的防范是網(wǎng)絡(luò)安全建設(shè)的一個重要環(huán)節(jié)。在反病毒技術(shù)方面主要是使用防病毒軟件對服務(wù)器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。首先，要增強防毒意識，對工作人員定期培訓(xùn)，明確計算機病毒的危害，文件共享時盡量控制權(quán)限和增加密碼，對來歷不明的文件運行前進行查殺。其次，小心使用移動存儲設(shè)備，使用之前進行病毒的掃描和查殺，把病毒拒絕于系統(tǒng)之外。再次，挑選網(wǎng)絡(luò)版殺毒軟件，如熟練使用瑞星殺毒軟件，及時升級殺毒軟件病毒庫，是防毒殺毒的關(guān)鍵。

網(wǎng)絡(luò)安全問題不僅僅是技術(shù)問題，同時也是一個安全管理問題，我們必須綜合考慮安全因素，制定安全技術(shù)方案和相關(guān)配套管理辦法。世上無絕對安全的網(wǎng)絡(luò)系統(tǒng)，隨著計算機網(wǎng)絡(luò)技術(shù)的進一步發(fā)展，網(wǎng)絡(luò)安全技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

[1]曾志峰,楊義先.網(wǎng)絡(luò)安全的發(fā)展與研究[J].計算機工程與應(yīng)用, 2000, (10).

[2]文偉平,等.網(wǎng)絡(luò)蠕蟲研究與進展[J].軟件學(xué)報, 2004, (8).

[3]謝冬青.計算機網(wǎng)絡(luò)安全技術(shù)教程[M].北京:機械工業(yè)出版社,2007.

[4]王秀和,楊明.計算機網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)設(shè)備, 2007, (5).

[5]全宇.特洛伊木馬的表現(xiàn)及防范[J].湛江師范學(xué)院學(xué)報, 2010, (3).

[6]邊云生.計算機網(wǎng)絡(luò)安全防護技術(shù)探究[J].電腦知識與技術(shù), 2011, (31).

[7]楊迪.計算機網(wǎng)絡(luò)安全問題的成因及硬件防范技術(shù)分析[J].電腦知識與技術(shù), 2012, (2).

[8]滕皎.關(guān)于計算機網(wǎng)絡(luò)的安全防護的思考[J].咸寧學(xué)院學(xué)報, 2012, (8).

[9]梁玉霞.淺析計算機網(wǎng)絡(luò)安全問題[J].廣東科技,2012,(9).

[10]韋武超,黃鐳.計算機網(wǎng)絡(luò)安全技術(shù)的探討與研究[J].企業(yè)科技與發(fā)展, 2012, (13).

[11]吳儼儼.計算機網(wǎng)絡(luò)安全防范措施研究[J].電腦編程技巧與維護, 2013, (2).