□張小莉

( 山西輕工職業(yè)技術學院，山西 太原 030013)

由于計算機網(wǎng)絡具有形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、惡意軟件和其他攻擊。因此,網(wǎng)絡信息的安全和保密是一個至關重要的問題。

一、網(wǎng)絡常見的安全隱患

網(wǎng)絡中存在著各種各樣的安全隱患。簡要概述為以下幾點。

1.網(wǎng)絡基礎設施面臨的安全隱患。這種安全隱患不太引人注意，但卻是非常重要的物理威脅。大體分為四類：(1)環(huán)境隱患。主要是防止機房溫度的過熱或過冷、濕度的過濕或過干以及防水、防火、防鼠等等。解決方法為通過溫度控制、濕度控制、加強空氣流通、遠程環(huán)境報警，以及記錄和監(jiān)視等措施營造合適的環(huán)境；(2)硬件隱患。防盜竊和防止人為有意或無意的破壞服務器、路由器、交換機、布線系統(tǒng)、工作站等。解決方法為鎖好配線間，只允許授權的人員進入，使用電子訪問控制，安裝攝像頭等措施；(3)電氣隱患。主要是指防止電壓過高、電源電壓不足、不合格的電源和突然斷電。解決方法為安裝UPS系統(tǒng)和發(fā)電機組，實施遠程監(jiān)視；(4)維護隱患?？刂旗o電的產(chǎn)生，并在產(chǎn)生后有相應的處理措施；杜絕布線混亂和設備及線纜標注不明。解決方法為確保電纜布線整齊有序、標記重要電纜和組件、遵循靜電放電規(guī)則。

2.漏洞。漏洞是指每個網(wǎng)絡和設備固有的薄弱環(huán)節(jié)。這些設備包括服務器、普通PC機、交換機、路由器，甚至網(wǎng)絡安全設備也存在漏洞，如防火墻、入侵檢測設備等都存在漏洞。因為每個網(wǎng)絡或設備都是硬件和軟件的結(jié)合體。就軟件而言，本身在開發(fā)時就不完善。這樣就給攻擊者可乘之機。漏洞主要可分為三類：(1)技術缺陷。如TCP/IP協(xié)議、操作系統(tǒng)、網(wǎng)絡設備等。超文本傳輸協(xié)議(HTTP)、文件傳輸協(xié)議(FTP)，這些協(xié)議本身就是不安全的。UNIX、Linux、Windows系列系統(tǒng)等都存在著安全漏洞。因此，我們經(jīng)常需要給系統(tǒng)打補??；(2)配置缺陷。如賬戶不安全、系統(tǒng)賬戶密碼過于簡單、各種網(wǎng)絡產(chǎn)品默認設置不安全、網(wǎng)絡配置不正確、Internet服務的配置不正確等；(3)策略缺陷。如服務器發(fā)生故障，沒有備用服務器提供服務；網(wǎng)絡核心設備發(fā)生故障，沒有備用的設備等。

3.網(wǎng)絡面臨的威脅。(1)無組織的威脅。一般是一些缺乏經(jīng)驗的個人，他們使用從網(wǎng)絡上下載的或自制的一些簡單的工具對網(wǎng)絡進行攻擊或破壞。(2)有組織的威脅。大多是具備技術能力很強的個人或團體。這些人了解系統(tǒng)和網(wǎng)絡的漏洞，通過各種方法攻破企業(yè)系統(tǒng)，進行欺騙、破壞或篡改數(shù)據(jù)、或者盜取機密數(shù)據(jù)，從中謀取暴利。

二、常見網(wǎng)絡攻擊的類型

網(wǎng)絡可能遭受各種各樣的攻擊，了解攻擊的方式可以有效地防范網(wǎng)絡被破壞，數(shù)據(jù)被竊取。

1.偵查攻擊。此類攻擊也稱為信息收集。偵察類似于冒充鄰居的小偷伺機尋找容易下手的住宅，例如無人居住的住宅、容易打開的門或窗戶等。偵查攻擊可以通過Internet進行信息查詢、Ping掃描可用的IP地址、掃描處于活動的端口、數(shù)據(jù)包嗅探等方式查找漏洞。類似于我們拿著電話本，隨意撥打里面的電話號碼，看哪些號碼會有人接聽。接聽的電話就相當于端口處于活動狀態(tài)。

2.訪問攻擊。此類攻擊是利用Web服務、FTP服務和身份驗證服務已存在的漏洞，獲取對Web賬戶、機密數(shù)據(jù)庫和其它敏感信息的訪問。訪問攻擊是指入侵者獲取本來不具備訪問權限的訪問權。入侵者進入或訪問系統(tǒng)后會運行某種黑客程序、腳本或工具，以利用目標系統(tǒng)或應用程序的漏洞展開攻擊。這類似于不法分子侵入某住宅，在其隱蔽的地方安裝了攝像頭和監(jiān)聽器。

3.拒絕服務。DoS 攻擊的方式多種多樣,其目的都是通過消耗系統(tǒng)資源使授權用戶無法正常使用服務。DoS攻擊是知名度最高的攻擊，并且也是最難防范的一種攻擊。發(fā)起這種攻擊非常容易。由于其實施簡單、破壞力強大，安全管理員需要特別注意。SYN 泛洪攻擊是DoS攻擊的一種，它利用了TCP 三次握手機制。它向目標服務器發(fā)送大量 SYN 請求。服務器使用常規(guī)的SYN-ACK做出響應，但惡意主機始終不發(fā)送最后的ACK 響應來完成握手過程。這會大量占用服務器資源，直到資源最終耗盡而無法響應有效的主機請求。DoS 攻擊可以使系統(tǒng)崩潰或者將系統(tǒng)性能降低至無法使用。但是，DoS也可以只是簡單地刪除或破壞信息。例如電子郵件炸彈，這種攻擊向個人或域批量發(fā)送電子郵件，從而獨占電子郵件服務的程序，直至耗盡CPU資源，使郵件服務器系統(tǒng)癱瘓。

4.惡意代碼?？蛻舳俗钊菀自馐苋湎x、病毒和特洛伊木馬攻擊。蠕蟲會執(zhí)行代碼，并將自身的副本安裝到受感染計算機的內(nèi)存中，然后感染其它主機。病毒是附加在其它程序上的惡意軟件，其目的是在工作站上執(zhí)行特定惡意功能。特洛伊木馬與蠕蟲或病毒的不同之處僅在于整個應用程序經(jīng)過偽裝，看似無害，但實際上是攻擊工具。感染惡意代碼的機子表現(xiàn)為經(jīng)常性死機、運行速度慢、黑屏、開機時間變長等的現(xiàn)象。

三、常用防范技術

探討了各種與網(wǎng)絡相關的攻擊后，針對其特點采取有力的措施加以防范。

1.主機和服務器的安全。(1)設備加固。當計算機上安裝了新操作系統(tǒng)時，在安全設置方面還停留在默認值。這樣做是不安全的。比較穩(wěn)妥的辦法是更換默認用戶名和密碼；授權某些用戶對系統(tǒng)資源進行訪問；盡可能將一些不必要的服務和應用程序關閉或卸載。網(wǎng)絡主機(例如工作站 PC 和服務器)的保護非常重要。當主機添加到網(wǎng)絡時，需要對其進行保護，并在有新的安全補丁時盡可能使用安全補丁更新這些主機。(2)防病毒軟件。防病毒軟件安裝在主機上可抵御已知病毒。他可以檢測到大多數(shù)病毒和許多特洛伊木馬應用程序，并能防止它們在網(wǎng)絡中傳播。例如瑞星、卡巴斯基、諾頓、360等殺毒軟件。防病毒軟件通過掃描文件，將文件的內(nèi)容與病毒數(shù)據(jù)庫的已知病毒進行比較。如果發(fā)現(xiàn)匹配，就認為是病毒，將其刪除。(3)操作系統(tǒng)補丁。蠕蟲、病毒及木馬侵入系統(tǒng)的入口就是系統(tǒng)漏洞。因此，為系統(tǒng)打補丁是防范蠕蟲及其變體的最有效方法。一種管理重要安全補丁的方法是創(chuàng)建一臺中央補丁服務器，每隔指定的時間后，所有主機都必須自動從補丁服務器下載并安裝尚未應用的補丁，用戶無需干預。

2.網(wǎng)絡信息的安全。信息的安全是要保證數(shù)據(jù)具有可用性、完整性、保密性。為了確保信息的安全，故采用如下幾種技術：(1)加密技術。網(wǎng)絡中的數(shù)據(jù)大多是以明文的形式傳輸?shù)?，這樣被截獲的數(shù)據(jù)很容易被破解。因此，通過對數(shù)據(jù)進行加密，以密文的形式傳輸，即使被截獲也無法識別，有效地保證數(shù)據(jù)的可用性和完整性。數(shù)據(jù)加密可以通過DES、3DES、MD5等加密算法，還可以通過網(wǎng)路設備的IOS軟件提供的安全功能進行加密。如IPSce隧道加密、SSL VPN等。采用加密技術的網(wǎng)絡安全系統(tǒng)將成為網(wǎng)絡安全的主要實現(xiàn)方式。(2)防火墻技術。防火墻技術已經(jīng)成為近年來新興的保護計算機網(wǎng)絡安全技術性措施。它是一種隔離控制技術，在某個機構的網(wǎng)絡和不安全的網(wǎng)絡(如Internet)之間設置屏障。阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡上被非法輸出。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。例如一個企業(yè)只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數(shù)據(jù)包可以通過，其他服務將被拒絕。還可以通過防火墻的設置讓某個部門在上班時間不能使用QQ、MSN等聊天工具。(3)入侵檢測技術。它不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備，無需串接在任何鏈路中，網(wǎng)絡流量無需流經(jīng)該設備，即可檢測到網(wǎng)絡中的異常傳輸。它時刻關注著網(wǎng)絡中的數(shù)據(jù)傳輸。IDS可以檢測到的攻擊類型包括：系統(tǒng)掃描、拒絕服務、系統(tǒng)滲透。一般IDS安裝的位置在服務器區(qū)域的交換機上、Internet接入路由器之后的第一臺交換機上或重點保護網(wǎng)段的局域網(wǎng)交換機上，這些都是采用“旁路”的方式偵聽。

總之，信息與網(wǎng)絡安全必將成為網(wǎng)絡運營商各項業(yè)務的關鍵點，而且發(fā)揮越來越重要的作用。因此，認清網(wǎng)絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網(wǎng)絡的安全性將變得十分重要。

參考文獻：

[1]張仕斌．網(wǎng)絡安全技術[M]．北京：清華大學出版社，2004．

[2]王群．計算機網(wǎng)絡安全技術[M]．北京：清華大學出版社，2008．

[3]海吉．網(wǎng)絡安全技術與解決方案[M]．北京：人民郵電出版社，2010．

[4]鄧吉，張奎亭．網(wǎng)絡安全攻防實戰(zhàn)[M]．北京：電子工業(yè)出版社，2008．