宋剛 張烈平

桂林理工大學信息科學與工程學院 廣西 541004

0 引言

隨著世界信息化進程的日益加深，計算機網(wǎng)絡在我國信息化發(fā)展中發(fā)揮著舉足輕重的作用，并在社會發(fā)展、國民經(jīng)濟等各個領域廣泛應用。從科學計算、數(shù)據(jù)處理，到辦公自動化、經(jīng)濟管理，再到情報檢索、自動控制、模式識別等各行各業(yè)的信息在日益革新的網(wǎng)絡技術的推動下，不斷朝著數(shù)字化、網(wǎng)絡化的方向發(fā)展。信息時代，對于一個國家、企業(yè)而言，網(wǎng)絡信息系統(tǒng)無疑是其取得飛速發(fā)展必備的基礎設施和重要途徑，也是企業(yè)營銷、物流、金融、機械設計與現(xiàn)代制造、能源等眾多行業(yè)的核心與支柱。人民的日常生活、娛樂、消費更是與互聯(lián)網(wǎng)息息相關。網(wǎng)絡技術在給我們現(xiàn)代化建設帶來了方便、快捷之余，由于人們對網(wǎng)絡信息資源的開放與共享的需求日益增加，以及網(wǎng)絡本身具有的開放性、自由性和國際性等特點，同時也給計算機網(wǎng)絡安全提出了巨大挑戰(zhàn)。因此，我們要充分了解當今計算機網(wǎng)絡存在的安全現(xiàn)狀和隱患，并針對具體問題提出有效的解決方案和解決途徑，從而保障網(wǎng)絡信息通道的安全暢通，以維護互聯(lián)網(wǎng)各方面的穩(wěn)定發(fā)展。

1 網(wǎng)絡信息概念及安全現(xiàn)狀

計算機網(wǎng)絡安全是指利用現(xiàn)有的信息網(wǎng)絡技術和國家相關管理制度，保證信息化數(shù)據(jù)在網(wǎng)絡傳輸中不被破壞和竊取，以致私密信息泄露及非授權的被他人中斷、截獲、篡改、偽造、威脅、利用和信息數(shù)據(jù)被非法的系統(tǒng)辨認、控制等。計算機網(wǎng)絡安全包含物理安全和邏輯安全兩個方面，物理安全是指系統(tǒng)設施及相關設備受到空間上的保護，避免人為破壞、盜取等。邏輯安全包括信息數(shù)據(jù)的機密性、完整性、可用性、真實性和可控性。

依據(jù)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布的《第29次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截止2011年底，中國網(wǎng)民規(guī)模達5.13億，互聯(lián)網(wǎng)普及率為38.3%，較去年年底增加5580萬；手機網(wǎng)民規(guī)模達3.55億，較去年年底增加5285萬；網(wǎng)民網(wǎng)絡購物用戶達到1.94億人，交易額達到5.88萬億元，占據(jù)社會消費品零售總額的比重達到4.3%。從上述數(shù)據(jù)可以看出，人們無時無刻的都在應用計算機網(wǎng)絡，然而，Internet恰似一把鋒利的雙刃劍，網(wǎng)絡空間的安全問題日漸突出，計算機網(wǎng)絡信息系統(tǒng)缺陷和漏洞層出不窮，屢禁不止。

2 網(wǎng)絡信息安全隱患及防范措施

2.1 網(wǎng)絡協(xié)議

網(wǎng)絡協(xié)議是計算機之間為了實現(xiàn)互聯(lián)，相互遵守的規(guī)則。作為當前互聯(lián)網(wǎng)最基本的底層協(xié)議---TCP/IP協(xié)議，由于在設計時，人們過多的強調(diào)其開發(fā)性和便利性，并沒有考慮其未來的安全需要，所以，協(xié)議中潛伏著許多安全漏洞，同時也為日后的互聯(lián)網(wǎng)應用埋下了安全隱患。

在DDoS攻擊中通過消耗目標主機的資源，例如導致監(jiān)聽隊列溢出，使其不能正常的提供服務。

如圖1所示，攻擊者通過操控網(wǎng)絡上多臺主機，使得這些主機與目標Web服務器建立連接。首先，被控制的主機向目標服務器發(fā)送TCP/IP SYN(初始化/同步)包，這些信息包的來源IP地址都是虛假的、錯誤的。其次，對于每一個SYN(初始化/同步)包，Web服務器都需要對發(fā)送端做出響應，即向發(fā)送端回發(fā)一個SYN/ACK(同步/確認)包，然后對這個虛假的IP地址建立一個TCP連接。對于任何一個SYN請求，Web服務器都會為其創(chuàng)建并維持一個數(shù)據(jù)結構，當對方收到響應時，服務器端才能結束。但是對于大量的請求連接，Web服務器會由于無法處理而拒絕用戶的請求連接。而用戶并不知道服務器端發(fā)生了什么情況，所以就會一直等待這個連接響應。通過以上方式，攻擊者達到了破壞連接的作用，或在此過程中趁機插入破壞性的數(shù)據(jù)，則會造成更加嚴重的后果。

圖1 分布式SYN flood攻擊

IP協(xié)議在互聯(lián)網(wǎng)絡之間提供無連接的數(shù)據(jù)包傳輸。IP協(xié)議在發(fā)送IP數(shù)據(jù)包時，不對IP頭中的源地址項做任何檢查，導致許多攻擊者利用IP欺騙偽造IP地址進行非法攻擊，使自己不被發(fā)現(xiàn)。

目前，能夠防止SYN FLOOD攻擊的有效方法并不多。為了防止SYN FLOOD攻擊，我們可以為系統(tǒng)打上補丁，一種稱為SYN Cookie的技術可以防范來自SYN FLOOD的攻擊。SYN Cookie是作用于TCP服務器端的三次握手協(xié)議，對協(xié)議機制進行一部分修改，使得合法連接可以正常進行。對于IP欺騙攻擊，我們可以采用出口過濾技術對來自該IP數(shù)據(jù)包的IP源地址進行檢驗。若IP源地址不符合規(guī)范，則該IP包就被網(wǎng)關或路由器拒絕。還可以利用防火墻技術來檢驗來自外部的IP數(shù)據(jù)包，若數(shù)據(jù)包的IP不屬于防火墻內(nèi)的任何一個子網(wǎng)，該IP數(shù)據(jù)包就不能通過防火墻。

2.2 網(wǎng)絡攻擊

2.2.1 電子郵件攻擊

電子郵件攻擊是一種常用的網(wǎng)絡攻擊手段，也是目前商業(yè)應用最多的一種商業(yè)攻擊。其實質(zhì)是攻擊者利用虛假的IP地址和偽裝自己的電子郵件地址反復向同一信箱發(fā)送數(shù)以萬計的甚至更多內(nèi)容相同的惡意信息，即垃圾郵件，從而占用大量的系統(tǒng)的可用空間和資源，使服務器無法正常工作，甚至癱瘓。以上闡述通常稱為電子郵件炸彈。對于電子郵件攻擊還有另外一種方式就是電子郵件欺騙。攻擊者通過偽裝自己的郵件地址假冒系統(tǒng)管理員給用戶發(fā)送電子郵件，在該電子郵件中附帶一些病毒和木馬程序，只要用戶點擊郵件中的超鏈接就會進入攻擊者的圈套；有時，郵件中還要求用戶修改口令等。

為防止電子郵件攻擊，我們應加強自己的防范意識，不要把自己的電子郵件地址隨意的告訴陌生人或者公開自己的隱私信息，更不要隨意的打開來歷不明的電子郵件及附件。事實上，最有效的辦法就是使用加密簽名技術，通過驗證可以保護信息從正確的地址發(fā)過來，而且在傳送過程中內(nèi)容不被修改。

2.2.2 口令入侵

口令入侵是指利用一些合法用戶的賬戶和口令登錄到目的主機，然后實施攻擊活動。許多系統(tǒng)的安全性一般都是靠口令來維護的，通過口令驗證用戶身份。口令入侵就是把對目標口令的破解作為對目標系統(tǒng)攻擊的開始。這種網(wǎng)絡攻擊的前提是取得目標主機上合法用戶的賬號，再進行合法用戶口令的破譯。攻擊者可以通過多種途徑獲得普通用戶的賬號：①利用Finger協(xié)議，當用命令finger [選項] [使用者] [用戶@主機]查詢時，主機系統(tǒng)會在終端或計算機上顯示已經(jīng)保存的用戶資料，例如上次登錄時間、電子郵件地址、用戶名、登錄時間等。②運用X.500(名錄服務系統(tǒng))協(xié)議，攻擊者常常會利用沒有停止X.500服務的主機，通過目錄查詢服務獲得用戶信息。

在Windows系統(tǒng)中，可以通過設置密碼最長期限、最短密碼長度、最短密碼期限、密碼惟一性、賬號鎖定等安全的密碼側(cè)率來進行設置，也可以啟動“用戶必須先登錄才能修改密碼”的選項，提高抗口令猜測攻擊的能力。

2.2.3 網(wǎng)絡監(jiān)(竊)聽

網(wǎng)絡監(jiān)聽是實現(xiàn)對網(wǎng)絡中紛繁復雜的狀態(tài)、不同環(huán)境下的信息傳輸以及數(shù)據(jù)的采集、輸入、處理、加工和輸出的一種管理工具，它可以將網(wǎng)絡狀態(tài)轉(zhuǎn)換到監(jiān)聽工作模式，截獲我們需要的信息數(shù)據(jù)。網(wǎng)絡監(jiān)聽作為主機的一種工作模式，主機在這種環(huán)境模式下，對于本網(wǎng)段傳輸在同一條物理信道上的信息數(shù)據(jù)，可以輕松獲取。例如，攻擊者在系統(tǒng)服務器和用戶之間進行口令校驗通訊時，利用監(jiān)聽手段就可以截取密碼數(shù)據(jù)，對用戶賬戶進行攻擊，進而給用戶帶來了不必要的利益損失。假設兩臺主機進行通信時，信息數(shù)據(jù)沒經(jīng)過加密技術處理，此時，只要使用某些網(wǎng)絡監(jiān)聽工具(如Sniffit for Linux、Sloaries、NetXRay for Windows95/98/NT)就可輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。網(wǎng)關、路由器、防火墻等設備是監(jiān)聽最佳的地方，但是對于一個攻擊者來說，要攻破網(wǎng)關、路由器、防火墻的防護不是一件很容易的事，為了更好的監(jiān)聽網(wǎng)絡狀態(tài)，防止黑客們的惡意攻擊，可以利用一些安裝了專業(yè)監(jiān)聽軟件的設施對網(wǎng)絡進行時時監(jiān)控。

2.2.4 特洛伊木馬

特洛伊木馬是指在正常代碼程序中的一段或幾段具有特別功能的程序，它的隱藏性非常好，不易被覺察，是一種極為危險的網(wǎng)絡攻擊手段。一套完好無缺的特洛伊木馬程序由服務器端(服務器部分)和客戶端(控制器部分)兩部分組成。黑客利用用戶的疏忽大意或系統(tǒng)的漏洞，將木馬程序(服務器部分)植入到用戶的電腦內(nèi)，并開放一個自定義端口。通過客戶端連接到該端口，通過這個非法的端口實現(xiàn)與目標機器的通訊，進而可以監(jiān)控用戶的操作或者直接對用戶的機器進行一些非法的操作活動。

木馬可以非法奪取用戶的權限，即在沒有通過用戶允許的情況下獲得了對用戶電腦的操控權。木馬程序容量很小，運行時不會浪費很多資源，在沒有使用殺毒軟件的情況下是很難察覺的；運行時很難阻止它的行動，運行后，立刻自動登錄在系統(tǒng)引導區(qū)，之后每次在Windows加載時自動運行；或立刻自動變更文件名，甚至隱形；或馬上自動復制到其他文件夾中，運行連用戶本身都無法運行的動作。

木馬的種類繁多，但在網(wǎng)絡中被廣泛傳播的只有少數(shù)幾種，如冰河、NETBUS、Subseven等。對付木馬病毒最重要的注意預防，定期用殺毒軟件檢查電腦里的文件(殺毒時，要注意軟件的病毒庫是最新的，以此確保不會漏殺)；對于來源不清楚的軟件不要輕易安裝和使用；還有，在安裝新的軟件之前，先備份注冊表，軟件安裝完畢，立即用殺毒軟件查殺，如果報告有病毒，則進行殺毒并重啟計算機，并恢復之前備份的注冊表。

2.3 網(wǎng)絡病毒

計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

所有的病毒都能感染有可執(zhí)行代碼的程序或文件、通過網(wǎng)絡傳播、消耗內(nèi)存，減緩系統(tǒng)運行速度、造成引導失敗或破壞扇區(qū)、感染防毒程序、影響程序的運行方式、引發(fā)硬盤被重新格式化。按照病毒存在的媒介或載體大致可以分為以下幾類。一是，引導扇區(qū)病毒。此類病毒存放于引導區(qū)和軟、硬盤主引導區(qū)上。二是，文件感染病毒。通常，該類病毒通過感染計算機系統(tǒng)中的以.exe結尾的可執(zhí)行文件或者以.com結尾的命令文件；在用戶對染毒文件進行修改或運行時，潛伏在文件中的病毒就會達到傳播的目的。三是，混合型病毒?；旌闲筒《鞠鄬τ谏鲜鰞煞N病毒來說破壞性更強。例如，Winux病毒，既可以感染W(wǎng)indows，也能感染Linux。

計算機病毒代碼的結構一般含有三大功能模塊，即引導模塊，傳染模塊和破壞模塊(又叫表現(xiàn)模塊)。引導模塊將病毒由外存引入內(nèi)存，在傳染和破壞模塊中，各自包含一段觸發(fā)條件檢查代碼，檢查是否符合傳染觸發(fā)條件和破壞觸發(fā)條件，由此使后兩個模塊處于活動狀態(tài)。經(jīng)過傳染模塊將病毒傳染到其他數(shù)據(jù)對象上去，再通過破壞模塊實施病毒的破壞作用。

病毒的防范：①安裝防病毒軟件，并保證病毒庫版本為最新；②啟用宏病毒警告，出現(xiàn)提示時，若不能肯定宏的內(nèi)容是否安全，應使用“禁用宏”選項；③設置CMOS中程序的啟動順序，將啟動順序改為，首先從硬盤啟動而不是從軟盤啟動。因為引導扇區(qū)病毒能夠感染系統(tǒng)的惟一途徑是計算機從一個感染有病毒的軟盤中啟動而不是從硬盤上的主引導記錄(MBR)中啟動。④及時修補系統(tǒng)和應用軟件的安全漏洞，及時下載和安裝補丁修復漏洞，切斷病毒入侵的渠道。

2.4 用戶安全意識

為了維護計算機網(wǎng)絡安全，人們不僅在技術上采取措施，還應該加強用戶對網(wǎng)絡信息安全的意識，通過多方面的努力做好網(wǎng)絡信息安全預防。為了加強我國對計算機網(wǎng)絡信息安全的防護，國家信息化領導小組在2005年制定的《國家信息化發(fā)展戰(zhàn)略(2006～2020年)》中明確要求，注重建設信息安全保障體系，實現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展。

2012年5 月26 日至27日，“2012網(wǎng)絡犯罪與社會安全(中國)論壇”在上海召開。會議的主題為：網(wǎng)絡安全的發(fā)展現(xiàn)狀及解析。據(jù)悉，來自全球14個國家和地區(qū)的企業(yè)和行業(yè)代表就網(wǎng)絡違法犯罪及網(wǎng)絡支付安全、電商網(wǎng)購安全、網(wǎng)絡數(shù)據(jù)及隱私保護的最新對策、凈化互聯(lián)網(wǎng)環(huán)境的最新舉措、黑色產(chǎn)業(yè)鏈 及WEB應用安全防護、美國網(wǎng)絡外交戰(zhàn)略與行動等多個單元進行研討。

2012年5 月31 日下午，由工業(yè)和信息化部、國家發(fā)改委、科技部、國家外國專家局和北京市人民政府共同主辦，工業(yè)和信息部電子科學技術情報研究所承辦的，面向“十二五”時期的信息安全產(chǎn)業(yè)“2012中國信息安全產(chǎn)業(yè)創(chuàng)新發(fā)展論壇”在北京舉行。 會議上就促進信息安全產(chǎn)業(yè)發(fā)展和提升信息安全保障能力及信息安全宏觀策略等相關問題進行探討，并對下一代安全體系進行了展望。

我國每年都在不同程度上制定了信息安全的相關標準。早在2000年，國家制定了開放系統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡層安全協(xié)議等標準，并且我國保密局出臺的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》已經(jīng)開始實施，我國公安部頒布并實施了《計算機病毒防治管理辦法》等；2010年國家還頒布了《信息安全技術 基于互聯(lián)網(wǎng)電子政務信息安全實施指南》、《信息安全技術 信息安全風險管理指南》、《信息安全技術 信息安全應急響應計劃規(guī)范》等一系列標準。

3 結論

網(wǎng)絡信息化的時代改變了我們每個人的生活方式，成為社會生產(chǎn)不可分割的一部分，網(wǎng)絡環(huán)境紛繁復雜，層出不窮的網(wǎng)絡安全問題直接危害著國家安全和社會穩(wěn)定。因此，我們應運用多種技術手段，及時采取有效措施，早日實現(xiàn)網(wǎng)絡的規(guī)范化管理，使得用戶的權益切實得到保障。

[1] 楊新蕾.計算機網(wǎng)絡信息安全及其防護策略的研究[J].電腦知識與技術.2009.

[2] 楊旭.計算機網(wǎng)絡信息安全技術研究[D].南京理工大學.2008.

[3] 馮登國,趙險峰.信息安全技術概論[M].北京：電子工業(yè)出版社.2009.

[4] Kwo-Jean Farn,Shu-Kuo Lin, Andrew Ren-Wei Fung.study on in-formation security management system evaluation—assets,threat and vulnerability[J].Computer Standards & Interfaces.2004.

[5] B.C. Soh,S.Young.Network system and world wide web secu-rity[J].Computer Communication.1998.