【摘要】本文就目前網(wǎng)絡(luò)信息安全的脆弱性、網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)、常見攻擊方法及對策、安全網(wǎng)絡(luò)的建設(shè)等知識要點進(jìn)行了概述。并結(jié)合自身在企業(yè)內(nèi)部網(wǎng)建立過程中發(fā)現(xiàn)的實際問題，提出了相應(yīng)的解決對策。

【關(guān)鍵詞】網(wǎng)絡(luò)信息安全；防火墻；數(shù)據(jù)加密；內(nèi)部網(wǎng)

新余鋼鐵股份有限公司檢測中心（以下簡稱：新鋼檢測中心）是獲中國合格評定國家認(rèn)可委員會（CNAS）認(rèn)可的實驗室，檢測工作具有相對的獨立性，可為社會提供冶金產(chǎn)品原燃料，中間產(chǎn)品，鐵、鋼、材產(chǎn)品的理化檢測及環(huán)境監(jiān)測等檢測（監(jiān)測）服務(wù)。其公正性措施中聲明：“客戶可對新鋼檢測中心的檢測服務(wù)提出任何保密的要求”，而新鋼檢測中心各種檢測工作信息均需通過計算機內(nèi)部網(wǎng)進(jìn)行溝通。作者等身為新鋼檢測中心計算機內(nèi)部網(wǎng)的管理員，如何確保本檢測中心計算機內(nèi)部網(wǎng)信息安全也就成為應(yīng)該思考的重要問題。

1、網(wǎng)絡(luò)信息安全的概念與知識要點

1.1網(wǎng)絡(luò)信息安全涉及到的技術(shù)領(lǐng)域及其概念

網(wǎng)絡(luò)信息安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

1.2網(wǎng)絡(luò)信息安全的知識要點

網(wǎng)絡(luò)信息安全的知識要點大致包括：網(wǎng)絡(luò)信息安全的脆弱性、網(wǎng)絡(luò)安全的主要技術(shù)、常見網(wǎng)絡(luò)攻擊方法及對策、網(wǎng)絡(luò)安全建設(shè)等方面。

2、當(dāng)前需要解決的問題

為什么說當(dāng)前網(wǎng)絡(luò)安全問題嚴(yán)重？這些安全問題是怎么產(chǎn)生的呢？綜合技術(shù)和管理等多方面因素，筆者就互聯(lián)網(wǎng)的開放性、局域網(wǎng)自身的脆弱性、攻擊的普遍性和管理的困難性四個方面結(jié)合新鋼檢測中心內(nèi)部網(wǎng)絡(luò)的實際情況進(jìn)行如下討論。

2.1互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，TCP/IP是通用的協(xié)議

計算機系統(tǒng)可以通過各種媒體接入進(jìn)來，如果不加限制，世界各地均可以訪問。

2.2互聯(lián)網(wǎng)的自身的安全缺陷是導(dǎo)致互聯(lián)網(wǎng)脆弱性的根本原因

網(wǎng)絡(luò)的脆弱性體現(xiàn)在設(shè)計、實現(xiàn)、維護(hù)的各個環(huán)節(jié)。設(shè)計階段，由于最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體，因此設(shè)計時沒有充分考慮安全威脅，互聯(lián)網(wǎng)和所連接的計算機系統(tǒng)在實現(xiàn)階段也留下了大量的安全漏洞?；ヂ?lián)網(wǎng)和軟件系統(tǒng)維護(hù)階段的安全漏洞也是安全攻擊的重要目標(biāo)。盡管系統(tǒng)提供了某些安全機制，但是由于管理員或者用戶的技術(shù)水平限制等因素，這些安全機制并沒有發(fā)揮有效作用。

2.3互聯(lián)網(wǎng)威脅的普遍性是安全問題的另一個方面

隨著互聯(lián)網(wǎng)的發(fā)展，攻擊網(wǎng)絡(luò)的手段也越來越簡單、越來越普遍。目前攻擊工具的功能卻越來越強，而對攻擊者的知識水平要求卻越來越低，因此攻擊者也更為普遍。

2.4管理方面的困難性也是互聯(lián)網(wǎng)安全問題的重要原因

由于企業(yè)內(nèi)部的對網(wǎng)絡(luò)傳輸?shù)男枨笤絹碓礁?，受業(yè)務(wù)發(fā)展迅速、人員流動頻繁、技術(shù)更新快等因素的影響，安全管理也非常復(fù)雜，經(jīng)常出現(xiàn)人力投入不足、安全措施不到位等現(xiàn)象。

3、網(wǎng)絡(luò)安全的主要技術(shù)

3.1防火墻技術(shù)

3.1.1防火墻技術(shù)的概念。“防火墻”就是一個把互聯(lián)網(wǎng)與內(nèi)部網(wǎng)（通常指局域網(wǎng)或城域網(wǎng)）隔開的屏障。

3.1.2防火墻的技術(shù)實現(xiàn)。①防火墻的技術(shù)實現(xiàn)通常是基于所謂“包過濾”技術(shù)，而進(jìn)行包過濾的標(biāo)準(zhǔn)通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過濾的標(biāo)準(zhǔn)一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制清單中設(shè)定；②防火墻還可以利用代理服務(wù)器軟件實現(xiàn)。早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性。

3.1.3防火墻的特性。防火墻具有以下特性：①所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都要經(jīng)過防火墻；②只有安全策略允許的數(shù)據(jù)包才能通過防火墻；③防火墻本身應(yīng)具有預(yù)防侵入的功能，防火墻主要用來保護(hù)安全網(wǎng)絡(luò)免受來自不安全的侵入。

3.1.4防火墻的使用。個體網(wǎng)絡(luò)安全有特別要求，需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、公司網(wǎng)，才建議使用防火墻。

3.2數(shù)據(jù)加密技術(shù)

3.2.1數(shù)據(jù)加密技術(shù)的含義。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”變得非常困難。

3.2.2常用的數(shù)據(jù)加密技術(shù)。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進(jìn)行加密和解密，非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”，這兩個密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應(yīng)人的私鑰才能解密，反之亦然。

3.2.3數(shù)據(jù)加密技術(shù)的發(fā)展現(xiàn)狀。在網(wǎng)絡(luò)傳輸中，加密技術(shù)是一種效率高而又靈活的安全手段，已不斷地在企業(yè)網(wǎng)絡(luò)管理中得到推廣。

3.3訪問控制

3.3.1身份驗證。身份驗證是一致性驗證的一種，驗證是建立一致性證明的一種手段。身份驗證主要包括驗證依據(jù)、驗證系統(tǒng)和安全要求。

3.3.2存取控制。存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。主要包括人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、類型控制和風(fēng)險分析。存取控制也是最早采用的安全技術(shù)之一。

4、常見網(wǎng)絡(luò)攻擊方法及對策

4.1網(wǎng)絡(luò)攻擊的常見方法

①口令入侵：是指使用某些合法用戶的帳號和口令登錄到目的主機，然后實施攻擊活動。

②放置特洛伊木馬程序：特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。

③WWW的欺騙技術(shù)：用戶網(wǎng)上閱讀新聞、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等，一般恐怕不會想到正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的。

④電子郵件攻擊：攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。

⑤網(wǎng)絡(luò)監(jiān)聽：網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式，在這種模式下，主機可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進(jìn)行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。

⑥安全漏洞攻擊：許多系統(tǒng)都有這樣或那樣的安全漏洞（Bugs）。如緩沖區(qū)溢出攻擊，由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。

4.2網(wǎng)絡(luò)攻擊應(yīng)對策略

我們應(yīng)當(dāng)在上述分析與識別的基礎(chǔ)上，結(jié)合企業(yè)內(nèi)部網(wǎng)的實際情況，認(rèn)真制定出有針對性的策略。

4.2.1提高網(wǎng)絡(luò)的安全意識。不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序；盡量避免從Internet下載不知名的軟件、游戲程序；密碼設(shè)置盡可能使用字母數(shù)字混排；及時下載安裝系統(tǒng)補丁程序；不隨便運行黑客程序，不少這類程序運行時會發(fā)出你的個人信息。

4.2.2使用防毒、防黑等防火墻軟件。防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個方向通信的門檻。

4.2.3設(shè)置代理服務(wù)器，隱藏自己的IP地址。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。

4.2.4將防毒、防黑當(dāng)成日常例性工作。定時更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。由于黑客經(jīng)常會針對特定的日期發(fā)動攻擊，計算機用戶在此期間應(yīng)特別提高警戒。

4.2.5備份資料。對于重要的個人資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。

5、如何逐步消除網(wǎng)絡(luò)安全隱患

5.1規(guī)范網(wǎng)絡(luò)空間秩序

建立規(guī)范的網(wǎng)絡(luò)秩序，要在道德和文化層面確定每個使用網(wǎng)絡(luò)者的義務(wù)，每個人必須對其網(wǎng)絡(luò)行為承擔(dān)法律和道德責(zé)任是規(guī)范網(wǎng)絡(luò)秩序的一個重要準(zhǔn)則。

5.2查找引發(fā)網(wǎng)絡(luò)安全事件的原因

我們從實際工作中分析得知：因“利用未打補丁或未受保護(hù)的軟件漏洞”，占49.6%；對員工不充分的安全操作流程培訓(xùn)占38.2%；缺乏全面的網(wǎng)絡(luò)安全意識教育，占27.2%。

6、實例

6.1 +ARP病毒的攻擊和防范

①ARP攻擊的識別：ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的進(jìn)行。基于ARP協(xié)議的這一工作特性，黑客向?qū)Ψ接嬎銠C不斷發(fā)送有欺詐性質(zhì)的ARP數(shù)據(jù)包，數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的MAC地址，使對方在回應(yīng)報文時，由于簡單的地址重復(fù)錯誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。一般情況下，受到ARP攻擊的計算機會出現(xiàn)兩種現(xiàn)象：一是不斷彈出“本機的XXX段硬件地址與網(wǎng)絡(luò)中的XXX段地址沖突”的對話框；二是計算機不能正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)中斷的癥狀。因為這種攻擊是利用ARP請求報文進(jìn)行“欺騙”的，所以防火墻會誤以為是正常的請求數(shù)據(jù)包，不予攔截。

②消除措施：在局域網(wǎng)中受影響的計算機上執(zhí)行ARP —A，在回潰信息中會發(fā)現(xiàn)重復(fù)MAC地址.該MAC地址對應(yīng)的即為中毒的計算機.而重復(fù)的地址就是被ARP欺騙后的網(wǎng)關(guān)地址.此時可根據(jù)MAC地址前的IP地址查找該計算機并采取有效手段關(guān)閉程序.如果在運行該程序前，該機IP地址已經(jīng)被更改，則需通過對應(yīng)的MAC列表查找該物理網(wǎng)卡所存在的計算機。

③預(yù)防措施：在采用xp/2000操作系統(tǒng)的計算機上，可逐臺執(zhí)行“ARP—S網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC”來綁定網(wǎng)關(guān)的IP地址。一是在網(wǎng)關(guān)上生成MAC列表，并設(shè)置網(wǎng)關(guān)上內(nèi)網(wǎng)網(wǎng)卡防止ARP欺騙；二是使用具有IP—MAC綁定功能的智能交換機，綁定網(wǎng)關(guān)IP—MAC；三是安裝防ARP病毒攻擊的防火墻，如360安全衛(wèi)士.金山殺毒軟件。

結(jié)束語

我們在信息網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的過程中，應(yīng)該設(shè)法從被動防守的做法逐漸向網(wǎng)絡(luò)主動檢測與防御的技術(shù)方向發(fā)展。我們在現(xiàn)代信息化的潮流中，只有更好的讓信息化建設(shè)安全可靠的為企業(yè)管理服務(wù)，才能真正的體現(xiàn)出我們企業(yè)計算機內(nèi)部網(wǎng)管理人員的工作價值。