計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)

 1 網(wǎng)絡(luò)安全定義
        所謂網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。常見(jiàn)的影響網(wǎng)絡(luò)安全的問(wèn)題主要有病毒、黑客攻擊、系統(tǒng)漏洞、資料篡改等，這就需要我們建立一套完整的網(wǎng)絡(luò)安全體系來(lái)保障網(wǎng)絡(luò)安全可靠地運(yùn)行。
        2 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)
        計(jì)算機(jī)網(wǎng)絡(luò)攻擊具有下述特點(diǎn)：①損失巨大；②威脅社會(huì)和國(guó)家安全；③方法多樣，手段隱蔽；④以軟件攻擊為主。
        3 影響網(wǎng)絡(luò)安全的主要因素
        ①信息泄密。②信息被篡改。③傳輸非法信息流。④網(wǎng)絡(luò)資源的錯(cuò)誤使用。⑤非法使用網(wǎng)絡(luò)資源。⑥環(huán)境影響。⑦軟件漏洞。⑧人為安全因素。
        4 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因
        4.1 TCP/IP的脆弱性。因特網(wǎng)的基礎(chǔ)是TCP/IP協(xié)議。但該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。
        4.2 網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶(hù)的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶(hù)的數(shù)據(jù)包。
        4.3 易被竊聽(tīng)。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒(méi)有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽(tīng)。
        4.4 缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_(kāi)防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開(kāi)了防火墻的保護(hù)。
        5 常見(jiàn)的網(wǎng)絡(luò)攻擊
        5.1 特洛伊木馬。特洛伊木馬程序可以直接侵入用戶(hù)的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶(hù)打開(kāi)帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶(hù)打開(kāi)了這些郵件的附件或者執(zhí)行了這些程序之后，它會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)您連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知攻擊者，來(lái)報(bào)告您的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。
        5.2 WWW的欺騙技術(shù)。在網(wǎng)上用戶(hù)可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點(diǎn)的訪(fǎng)問(wèn)，然而一般的用戶(hù)恐怕不會(huì)想到有這些問(wèn)題存在：正在訪(fǎng)問(wèn)的網(wǎng)頁(yè)已經(jīng)被黑客篡改過(guò)。例如黑客將用戶(hù)要瀏覽的網(wǎng)頁(yè)的URL改寫(xiě)為指向黑客自己的服務(wù)器，當(dāng)用戶(hù)瀏覽目標(biāo)網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的。 
        5.3 郵件炸彈。電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量垃圾郵件，從而使目的郵箱被撐爆而無(wú)法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時(shí)，還有可能造成郵件系統(tǒng)對(duì)于正常的工作反映緩慢，甚至癱瘓。相對(duì)于其它的攻擊手段來(lái)說(shuō)，這種攻擊方法具有簡(jiǎn)單、見(jiàn)效快等優(yōu)點(diǎn)。  
        5.4 過(guò)載攻擊。過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無(wú)法滿(mǎn)足其他用戶(hù)的請(qǐng)求。過(guò)載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過(guò)大量地進(jìn)行人為地增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶(hù)一直處于等待狀態(tài)。
        5.5 網(wǎng)絡(luò)監(jiān)聽(tīng)。網(wǎng)絡(luò)監(jiān)聽(tīng)是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰(shuí)。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶(hù)輸入的密碼需要從用戶(hù)端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒(méi)有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽(tīng)工具（如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等）就可輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽(tīng)獲得的用戶(hù)帳號(hào)和口令具有一定的局限性，但監(jiān)聽(tīng)者往往能夠獲得其所在網(wǎng)段的所有用戶(hù)帳號(hào)及口令。
        5.6 安全漏洞攻擊。許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪(fǎng)問(wèn)根目錄，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。
        6 防范對(duì)策
        在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行上述分析與識(shí)別的基礎(chǔ)上，我們應(yīng)當(dāng)認(rèn)真制定有針對(duì)性的策略。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。
        6.1 提高安全意識(shí)。不要隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不要隨便運(yùn)行不太了解的人給你的程序；盡量避免從Internet下載不知名的軟件、游戲程序；密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉；及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序；不隨便運(yùn)行黑客程序。
        6.2 使用防毒、防黑等防火墻軟件將防毒、防黑當(dāng)成日常工作。防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪(fǎng)問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。
        6.3 設(shè)置代理服務(wù)器，隱藏自己的IP地址提高警惕防范攻擊。保護(hù)自己的IP地址是很重要的。事實(shí)上，即便你的機(jī)器上被安裝了木馬程序，若沒(méi)有你的IP地址，攻擊者也是沒(méi)有辦法的，而保護(hù)IP地址的最好方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類(lèi)似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶(hù)能訪(fǎng)問(wèn)哪些服務(wù)類(lèi)型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類(lèi)型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。
        6.4 經(jīng)常進(jìn)行資料備份和分析時(shí)間日志與記錄。經(jīng)常進(jìn)行資料備份以防止因受到攻擊而導(dǎo)致的重要數(shù)據(jù)被篡改和刪添，要經(jīng)常的來(lái)查看防火墻日志、入侵檢測(cè)的日志以及查看防病毒軟件的更新組件是否最新等。
        7 結(jié)束語(yǔ)
        安全管理一直是網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)之一，而用戶(hù)對(duì)網(wǎng)絡(luò)安全的要求往往又相當(dāng)高，因此安全管理就顯得非常重要。網(wǎng)絡(luò)管理者必須充分意識(shí)到潛在的安全性威脅，并采取一定的防范措施，盡可能減少這些威脅帶來(lái)的惡果，將危險(xiǎn)降到最低程度。