李光文

（湖南化工職業(yè)技術(shù)學(xué)院，湖南 株洲 412004）

網(wǎng)絡(luò)面臨的安全威脅與保護(hù)對(duì)策

李光文

（湖南化工職業(yè)技術(shù)學(xué)院，湖南 株洲 412004）

隨著計(jì)算機(jī)通信和網(wǎng)絡(luò)技術(shù)的發(fā)展，給人們生活帶來(lái)極大的便利，但基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出。文章主要介紹了網(wǎng)絡(luò)所面臨的安全威脅，并提出了行之有效的解決方案。

網(wǎng)絡(luò)；病毒；安全；防火墻

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化對(duì)社會(huì)產(chǎn)生巨大深遠(yuǎn)的影響。但同時(shí)由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性、不均性、開(kāi)放性、互連性等特征，致使計(jì)算機(jī)網(wǎng)絡(luò)容易受到病毒、黑客、惡意軟件和其他不軌的攻擊，所以使得網(wǎng)絡(luò)安全和保密是一個(gè)至關(guān)重要的問(wèn)題。

一、網(wǎng)絡(luò)面臨的安全威脅

迄今為止，網(wǎng)絡(luò)上存在有無(wú)數(shù)的安全威脅和攻擊，對(duì)于他們也存在著不同的分類(lèi)方法。大體可分為兩種：一是對(duì)網(wǎng)絡(luò)本身的威脅，二是對(duì)網(wǎng)絡(luò)中信息的威脅。造成這種安全威脅的因素很多，按照攻擊的性質(zhì)、手段、結(jié)果等暫且將其分為人為的無(wú)意失誤、機(jī)密攻擊、非法訪問(wèn)、計(jì)算機(jī)病毒、網(wǎng)絡(luò)軟件系統(tǒng)的漏洞和不良信息資源幾類(lèi)。

1.人為的無(wú)意失誤是造成網(wǎng)絡(luò)不安全的重要原因，網(wǎng)絡(luò)管理員稍有考慮不周，安全配置不當(dāng)，就會(huì)造成安全漏洞。另外，用戶(hù)安全意識(shí)不強(qiáng)，不按照安全規(guī)定操作，如口令選擇不慎，將自己的賬戶(hù)隨意轉(zhuǎn)借他人或與別人共享，都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

2.機(jī)密攻擊又可以分為兩類(lèi)：一類(lèi)是主動(dòng)攻擊，它以各種方式有選擇地破壞系統(tǒng)和數(shù)據(jù)的有效性和完整性。某些人出于怨恨或心懷不滿(mǎn)等不同目的，向特定的主機(jī)發(fā)起攻擊。而有的是出于好奇，試圖發(fā)現(xiàn)某些應(yīng)用系統(tǒng)的安全漏洞、竊取數(shù)據(jù)、破解口令、占領(lǐng)和控制他人的計(jì)算機(jī)系統(tǒng)。主動(dòng)攻擊在當(dāng)今最為突出的就是拒絕服務(wù)攻擊了，拒絕服務(wù)攻擊通過(guò)使計(jì)算機(jī)功能或性能崩潰來(lái)組織提供服務(wù)，典型的拒絕服務(wù)攻擊有如下兩種形式：資源耗盡和資源過(guò)載。當(dāng)一個(gè)對(duì)資源的合理請(qǐng)求大大超過(guò)資源的支付能力時(shí)，就會(huì)造成拒絕服務(wù)攻擊。主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司、搜索引擎和政府部門(mén)的站點(diǎn)。他利用一批受控制的機(jī)器向一臺(tái)目標(biāo)機(jī)器采用字典破解和暴力破解來(lái)發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有很大的破壞性。

另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)行的情況下，非法訪問(wèn)網(wǎng)絡(luò)，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。如電子郵件炸彈：這是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷地向同一地址發(fā)送電子郵件，攻擊者能耗盡接受者的郵箱。

操作系統(tǒng)和各種應(yīng)用軟件中存在著許多的安全漏洞，這些漏洞恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，黑客就可以利用這些漏洞進(jìn)行滲透，一般可以通過(guò)在不安全的傳輸通道上截取正在傳輸?shù)男畔⒒蚶脜f(xié)議或網(wǎng)絡(luò)的弱點(diǎn)來(lái)實(shí)現(xiàn)的。黑客中有的出于商業(yè)利益或個(gè)人目的，有的出于好奇或炫耀自己的技術(shù)才能，這些人對(duì)技術(shù)的追求或許比網(wǎng)絡(luò)管理者更狂熱更摯著。如通過(guò)往程序的緩沖區(qū)寫(xiě)超過(guò)其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令，以達(dá)到攻擊的目的。緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在，根據(jù)統(tǒng)計(jì)：通過(guò)緩沖區(qū)溢出進(jìn)行的攻擊占所有系統(tǒng)攻擊總數(shù)的80%以上。利用緩沖區(qū)溢出攻擊可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)死機(jī)、重新啟動(dòng)等后果，更嚴(yán)重的是，可以利用他執(zhí)行非授權(quán)的指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)而進(jìn)行各種非法操作。

竊取信息的情況主要有：（1）網(wǎng)絡(luò)踩點(diǎn)：攻擊者事先匯集目標(biāo)的信息，通常采用whois、Finger等工具和DNS、LDAP等協(xié)議獲取目標(biāo)的一些信息，如域名、IP地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、相關(guān)的用戶(hù)信息等，這往往是黑客入侵之前所做的第一步工作；（2）掃描攻擊：掃描攻擊包括地址掃描和端口掃描等，通常采用ping命令和各種端口掃描工具，可以獲得目標(biāo)計(jì)算機(jī)的一些有用信息，例如機(jī)器上打開(kāi)了哪些端口，這樣就知道開(kāi)設(shè)了哪些服務(wù)，從而為進(jìn)一步的入侵打下基礎(chǔ)；（3）協(xié)議指紋：黑客對(duì)目標(biāo)主機(jī)發(fā)出探測(cè)包，由于不同操作系統(tǒng)廠商的IP協(xié)議棧實(shí)現(xiàn)之間存在許多細(xì)微的差別，因此各個(gè)操作系統(tǒng)都有其獨(dú)特的響應(yīng)方法，黑客經(jīng)常能確定出目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)；（4）信息流監(jiān)視：這是一個(gè)在共享型局域網(wǎng)環(huán)境中最常采用的方法。由于在共享介質(zhì)的網(wǎng)絡(luò)上數(shù)據(jù)包會(huì)經(jīng)過(guò)每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，網(wǎng)卡在一般情況下只會(huì)接受發(fā)往本機(jī)地址或本機(jī)所在廣播地址的數(shù)據(jù)包，但如果將網(wǎng)卡設(shè)置為混雜模式，網(wǎng)卡就會(huì)接受所有經(jīng)過(guò)的數(shù)據(jù)包，就可以對(duì)網(wǎng)絡(luò)的信息流進(jìn)行監(jiān)視，從而獲得他們感興趣的內(nèi)容；（5）會(huì)話(huà)劫持：利用TCP協(xié)議本身的不足，在合法的通信連接建立后攻擊者可以通過(guò)阻塞或摧毀通信的一方來(lái)接管已經(jīng)過(guò)認(rèn)證建立起來(lái)的連接，從而假冒被接管方與對(duì)方通信。

3.計(jì)算機(jī)病毒是對(duì)軟件、計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的最大威脅之一。病毒是可執(zhí)行代碼，可以捕捉密碼和其他個(gè)人信息，經(jīng)常利用受感染系統(tǒng)的文件傳輸功能，通常偽裝成合法附件，通過(guò)電子郵件或文件拷貝自動(dòng)進(jìn)行傳播，產(chǎn)生極大破壞。如特洛伊木馬病毒：把一個(gè)能幫助黑客完成某個(gè)特定動(dòng)作的程序依附在某一合法用戶(hù)的正常程序中，這時(shí)合法用戶(hù)的程序代碼已經(jīng)被改變，而一旦用戶(hù)觸發(fā)該程序，那么依附在內(nèi)的黑客指令代碼同時(shí)被激活，這些代碼往往能完成黑客早已指定的任務(wù)。

4.不良信息除了一些暴力、色情、反動(dòng)等不良信息外，還有采用說(shuō)服或欺騙的手段，讓網(wǎng)絡(luò)內(nèi)部的人來(lái)提供必要的信息，從而獲得對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)權(quán)限。主要有：（1）拒絕服務(wù)攻擊：此類(lèi)攻擊向服務(wù)器發(fā)出大量偽請(qǐng)求，造成服務(wù)器超載，進(jìn)而導(dǎo)致服務(wù)器喪失功能。在很多情況下攻擊者利用蠕蟲(chóng)感染不同主機(jī)，并利用眾多主機(jī)發(fā)起攻擊即分布式拒絕服務(wù)攻擊。（2）間諜軟件：間諜軟件惡意病毒代碼有時(shí)出現(xiàn)在各種免費(fèi)軟件或共享軟件中，也會(huì)出現(xiàn)在文件共享客戶(hù)端中。它們可以監(jiān)控系統(tǒng)性能，竊取賬戶(hù)口令等秘密信息，并將用戶(hù)數(shù)據(jù)發(fā)送給間諜軟件開(kāi)發(fā)者。（3）垃圾郵件和網(wǎng)絡(luò)釣魚(yú)：盡管垃圾郵件未被正式定義為安全威脅，但同樣也會(huì)嚴(yán)重地破壞生產(chǎn)力。垃圾郵件中不少攜帶惡意軟件和“網(wǎng)絡(luò)釣魚(yú)”軟件，所以存在潛在風(fēng)險(xiǎn)?！熬W(wǎng)絡(luò)釣魚(yú)”是一種通過(guò)虛假郵件信息獲取個(gè)人信息的手段，包括密碼、銀行賬戶(hù)、信用證號(hào)碼等。（4）僵尸網(wǎng)絡(luò)：僵尸網(wǎng)絡(luò)已成為日益嚴(yán)重的安全威脅。僵尸程序通過(guò)聊天室、文件共享網(wǎng)絡(luò)感染存在漏洞的計(jì)算機(jī)，它們難以被發(fā)現(xiàn)，而能夠遠(yuǎn)程控制被害人的計(jì)算機(jī)，然后組成僵尸軍團(tuán)對(duì)其他計(jì)算機(jī)與網(wǎng)站發(fā)動(dòng)攻擊，發(fā)送垃圾郵件或者竊取數(shù)據(jù)。（5）惡意網(wǎng)站和流氓軟件：一些惡意網(wǎng)站通常將病毒、蠕蟲(chóng)和特洛伊木馬內(nèi)置在下載文件中，造成訪問(wèn)者計(jì)算機(jī)系統(tǒng)被感染?！傲髅ボ浖本哂袗阂庑袨榈囊环N插件形式的軟件，未經(jīng)授權(quán)悄悄潛伏在用戶(hù)電腦上，一般來(lái)說(shuō)極難徹底清除卸載干凈。流氓軟件包括：惡意廣告軟件、惡意共享軟件。（6）IP欺騙：攻擊者可以通過(guò)偽裝成被信任的IP地址等方式來(lái)獲取目標(biāo)的信任。這主要是針對(duì)防火墻的IP包過(guò)濾以及LINUX/UNIX下建立的IP地址信任關(guān)系的主機(jī)實(shí)施欺騙。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。一方面要保證網(wǎng)絡(luò)運(yùn)行無(wú)障礙，還要保證網(wǎng)絡(luò)的內(nèi)容即網(wǎng)絡(luò)中產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、傳輸中的信息的完整性、保密性和可用性。

網(wǎng)絡(luò)安全如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其他的安全服務(wù)和安全機(jī)制策略。

1.網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。在最大程度上避免黑客或病毒進(jìn)入到計(jì)算機(jī)或內(nèi)部網(wǎng)絡(luò)中來(lái)，以保護(hù)重要信息不被隨意更改和移動(dòng)。但是就目前的實(shí)際情況來(lái)看，軟件類(lèi)防火墻在阻擋技術(shù)水平相對(duì)較高的攻擊者時(shí)根本無(wú)法發(fā)揮其應(yīng)有的作用，因此對(duì)于那些對(duì)數(shù)據(jù)的安全性要求較高的企業(yè)和部門(mén)來(lái)說(shuō)，一定要設(shè)置相應(yīng)的硬件防火墻。

根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類(lèi)型：包括過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

2.數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部竊取、偵聽(tīng)或破壞所采用的主要技術(shù)手段之一。其特心技術(shù)就是對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它通過(guò)變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。按其作用不同，文件加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

3.殺毒軟件技術(shù)是最為普遍的安全技術(shù)方案，因此這種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單。但在計(jì)算機(jī)網(wǎng)絡(luò)中，病毒的更新和傳播速度非?？?，傳統(tǒng)的單機(jī)殺毒軟件的更新速度已經(jīng)不能滿(mǎn)足現(xiàn)階段的殺毒要求，因此必須要配置可以服務(wù)于整個(gè)局域網(wǎng)的反病毒產(chǎn)品。建立起一套全方位、多層次的防病毒系統(tǒng)，并及時(shí)進(jìn)行系統(tǒng)的升級(jí)，以確保網(wǎng)絡(luò)免于病毒的侵襲。

4.入侵檢測(cè)技術(shù)能夠檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊，能夠檢測(cè)到超過(guò)授權(quán)的非法訪問(wèn)，對(duì)分析“可能的攻擊行為”非常有用，除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事，他們運(yùn)行了什么程序，打開(kāi)了哪些文件，執(zhí)行了哪些系統(tǒng)調(diào)用。目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接；誘騙黑客，間接保護(hù)網(wǎng)絡(luò)；監(jiān)視黑客對(duì)網(wǎng)絡(luò)的入侵攻擊活動(dòng)，捕獲通信流量，研究攻擊者的攻擊機(jī)制、手法和策略；觀察僵尸網(wǎng)絡(luò)的活動(dòng)，獲取服務(wù)器的域名、IP地址和通信端口號(hào)，以及僵尸程序的昵稱(chēng)和通信頻道的名稱(chēng)等。在典型的密網(wǎng)網(wǎng)關(guān)的幫助下，收集僵尸程序的樣本，提取敏感信息和僵尸程序的特征指紋等。

入侵檢測(cè)系統(tǒng)主要分為網(wǎng)絡(luò)端和主機(jī)端兩類(lèi)，如果同時(shí)加以利用，就可以建立起一套全方位的主動(dòng)防御體系，從而達(dá)到限制非法活動(dòng)、保護(hù)系統(tǒng)安全的目的。

5.漏洞掃描技術(shù)是發(fā)現(xiàn)安全隱患的重要措施，并對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

想要確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全，關(guān)鍵是要清楚地掌握網(wǎng)絡(luò)中哪些地方存在安全隱患，哪些地方是防范的薄弱環(huán)節(jié)。大型網(wǎng)絡(luò)的復(fù)雜度較高，僅靠管理人員的查缺補(bǔ)漏是無(wú)法實(shí)現(xiàn)對(duì)全部漏洞的修補(bǔ)和防范的，因此在工作中應(yīng)注意使用專(zhuān)業(yè)的漏洞評(píng)估和修改工具，通過(guò)優(yōu)化系統(tǒng)配置和打補(bǔ)丁等方式最大限度地消除系統(tǒng)的安全隱患。如果情況允許，管理人員還可以嘗試?yán)煤诳凸ぞ邔?duì)系統(tǒng)進(jìn)行攻擊的方法來(lái)尋找系統(tǒng)的安全漏洞，以便及時(shí)對(duì)其進(jìn)行處理。包括端口掃描、數(shù)據(jù)庫(kù)掃描、補(bǔ)丁掃描、弱口令掃描、OS漏洞掃描、指紋掃描、SNMP community掃描等。

三、結(jié) 論

21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，網(wǎng)絡(luò)安全的內(nèi)涵也就發(fā)生了根本的變化，已成為世界各國(guó)當(dāng)今共同關(guān)注的焦點(diǎn)，它的重要性是不言而喻的。計(jì)算機(jī)網(wǎng)絡(luò)的安全防范工作是一項(xiàng)長(zhǎng)期的、不斷更新和變化的工作，新的安全問(wèn)題的出現(xiàn)需要新的技術(shù)和手段來(lái)解決，要不斷追蹤新技術(shù)的應(yīng)用情況，及時(shí)升級(jí)、完善自身的防御措施，確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

［1］謝秀蘭，張艷慧，劉慧文.計(jì)算機(jī)網(wǎng)絡(luò)安全及防范措施［J］.內(nèi)蒙古科技與經(jīng)濟(jì)，2006，（16）.

［2］張兆信.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)［M］.北京：機(jī)械工業(yè)出版社，2010，（5）.

［3］田庚林，田華，張少芳.計(jì)算機(jī)網(wǎng)絡(luò)安全與管理［M］.北京：清華大學(xué)出版社，2010，（3）.

［4］劉春翔.針對(duì)網(wǎng)絡(luò)威脅淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全策略［J］.硅谷，2009，（10）.

［5］吳應(yīng)良.管理信息系統(tǒng)的安全問(wèn)題與對(duì)策研究［J］.計(jì)算機(jī)應(yīng)用研究，1999，（11）.

2011-02-12

李光文（1965-），男，湖南化工職業(yè)技術(shù)學(xué)院信息工程系副教授，研究方向：網(wǎng)絡(luò)安全與數(shù)據(jù)庫(kù)設(shè)計(jì)、仿真等。