網(wǎng)絡安全問題及防護措施

丁中山

摘要：隨著計算機技術的發(fā)展，在計算機上處理業(yè)務已由基于單機的數(shù)學運算、文件處理，基于簡單連結的內部網(wǎng)絡的內部業(yè)務處理、辦公自動化等發(fā)展到基于企業(yè)復雜的內部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內的信息共享和業(yè)務處理。在信息處理能力提高的同時，系統(tǒng)的連結能力也在不斷的提高。但在連結信息能力、流通能力提高的同時，基于網(wǎng)絡連接的安全問題也日益突出。

關鍵詞：網(wǎng)絡；安全；問題；防護；措施

一、網(wǎng)絡的開放性帶來的安全問題

Internet的開放性以及其他方面因素導致了網(wǎng)絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：？

（1）每一種安全機制都有一定的應用范圍和應用環(huán)境。防火墻是一種有效的安全工具，它可以隱蔽內部網(wǎng)絡結構，限制外部網(wǎng)絡到內部網(wǎng)絡的訪問。但是對于內部網(wǎng)絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網(wǎng)絡到內部網(wǎng)絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發(fā)覺和防范的。

（2）安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當?shù)脑O置就會產生不安全因素。而且安全工具也存在著自身的漏洞，不及時的更新很容易被別人利用漏洞成為攻擊的工具。

（3）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數(shù)情況下，這類入侵行為可以堂而皇之經過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡上方便地調出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。

（4）只要有程序，就可能存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。系統(tǒng)的BUG經常被黑客利用，而且這種攻擊通常不會產生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。

（5）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。

二、現(xiàn)階段為了保證網(wǎng)絡工作順通常用的方法如下：

（1）網(wǎng)絡病毒的防范。在網(wǎng)絡環(huán)境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網(wǎng)絡病毒，必須有適合于局域網(wǎng)的全方位防病毒產品。內部局域網(wǎng)需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網(wǎng)絡免受病毒的侵襲。

（2）配置防火墻。利用防火墻，在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內部網(wǎng)絡，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內部，所以，防火墻是網(wǎng)絡安全的重要一環(huán)。

。（3）采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)絡中采用入侵檢測技術，最好采用混合入侵檢測，在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系。

（4）Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡，截獲Internet網(wǎng)上傳輸?shù)膬热荩⑵溥€原成完整的www、Email、FTP、Telnet應用的內容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋热?，及時向上級安全網(wǎng)管中心報告，采取措施。

（5）漏洞掃描系統(tǒng)。解決網(wǎng)絡層安全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡？安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。

（6）IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。

（7）利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。

總之，網(wǎng)絡安全是一個系統(tǒng)的工程，不能僅僅依靠防火墻等單個的系統(tǒng)，而需要仔細考慮系統(tǒng)的安全需求，并將各種安全技術，如密碼技術等結合在一起，才能生成一個高效、通用、安全的網(wǎng)絡系統(tǒng)。