全 宇

（湛江師范學院 信息與教育技術管理中心，廣東 湛江 524048）

隨著信息化社會的不斷發(fā)展，計算機網絡在提高數(shù)據(jù)傳輸效率，實現(xiàn)數(shù)據(jù)集中、數(shù)據(jù)共享等方面發(fā)揮著重要作用。要確保各項工作安全而高效運行，前提條件是保證網絡信息安全和網絡硬件、軟件系統(tǒng)的正常運轉，因此，計算機網絡常見安全問題及對策的研究就顯得尤為重要。

1 計算機網絡常見安全問題

計算機網絡安全，實質是網絡系統(tǒng)的硬、軟件系統(tǒng)的數(shù)據(jù)受到保護，不受偶然或惡意攻擊而遭到破壞更改、泄露，系統(tǒng)連續(xù)、可靠、正常的運行，網絡服務不中斷。由于計算機網絡技術具有復雜性和多樣性，使得計算機網絡安全問題成為一個亟需研究的問題。計算機網絡常見安全問題有：

1.1 協(xié)議設計問題

協(xié)議設計往往強調其功能性而忽視其安全性，無形中為黑客的攻擊打開了方便之門；協(xié)議設計對各種可能出現(xiàn)的流程問題考慮不夠周全，一旦發(fā)生安全問題，網絡系統(tǒng)就處理不當；協(xié)議設計錯誤，導致網絡系統(tǒng)服務容易失效，容易出現(xiàn)安全漏洞，容易招受黑客攻擊；協(xié)議設計的程序撰寫習慣不良，導致出現(xiàn)很多安全漏洞，包括輸入資料差錯能力不足，未檢測可能發(fā)生的錯誤，應用系統(tǒng)的假設錯誤、引用不當模塊、未檢測資料不足等。

1.2 防范意識問題

網絡建設單位、管理人員和技術人員缺乏安全防范意識，看不到互聯(lián)網具有大跨度、分布廣、無邊界的特點，不主動采取安全防范措施，而是處于被動挨打的局面，一旦受到黑客的攻擊，就束手無策。

1.3 管理體系問題

組織和部門的計算機網絡往往沒有建立完善的管理體系，從而導致安全體系和安全控制措施未能充分有效地發(fā)揮效能。網絡業(yè)務活動中存在安全漏洞，造成不必要的信息泄露，給黑客以收集敏感信息的機會。

1.4 技術操作問題

計算機網絡操作人員未受過良好訓練或不按規(guī)范操作，缺乏必要的專業(yè)安全知識，不會安全地配制和管理網絡，不能及時發(fā)現(xiàn)已經存在的和隨時可能出現(xiàn)的安全問題，對突發(fā)的安全事件不能作出積極、有序和有效的反應，導致出現(xiàn)各種安全漏洞和安全隱患。

2 黑客對計算機網絡的攻擊手法

因互聯(lián)網本身沒有時空和地域限制，所以黑客可以輕而易舉入侵攻擊各級網絡。目前，黑客對計算機網絡攻擊的手法有：

2.1 欺騙性攻擊

由于計算機網絡設計的初衷是資源共享，決定其具有開放性的特點，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性低。如“網絡釣魚攻擊”就是一種欺騙性攻擊的手法，釣魚工具是通過大量發(fā)送聲稱來自一些名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息，如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細信息等的一種攻擊手法。最常用的手法是冒充一些真正的網站來欺騙用戶的敏感數(shù)據(jù)?！熬W絡釣魚攻擊”以往多是指向大型或著名網站，但由于大型或著名網站反應迅速，而且所提供的安全功能不斷增強，所以，黑客越來越多地把目光對準較小的網站。

2.2 偽裝性攻擊

黑客常常利用計算機軟件來偽裝IP包，把自身扮演成被信任主機的地址，與目標主機進行會話，一旦冒充成功，就可以在目標主機尚未知曉的情況下單刀直入，實行攻擊；黑客也可以偽造IP地址、路由條目、DNS解析地址，使受攻擊服務器無法辨別這些請求或無法正常響應這些請求，從而造成緩沖區(qū)阻塞或死機；黑客還可以通過局域網中的某臺機器IP地址設置為網絡地址，導致網絡中數(shù)據(jù)包無法正常轉發(fā)而使某一網段癱瘓。

2.3 漏洞性攻擊

前面談到，計算機網絡所使用的協(xié)議設計問題、安全防范意識問題、管理體系問題和技術操作問題，都可能產生漏洞，如軟件中邊界條件、函數(shù)指針等方面設計不當或缺乏限制，造成地址空間錯誤；軟件系統(tǒng)對某種特定類型的報文或請求沒有處理，導致運行出現(xiàn)異常等。黑客正是乘這些漏洞之隙，利用操作系統(tǒng)某些服務開端口發(fā)動緩沖區(qū)溢出攻擊。

2.4 隱蔽性攻擊

隱蔽性攻擊是借助木馬病毒進行實施。木馬是一種基于遠程控制的黑客工具，其攻擊的特點具有隱蔽性，往往用戶覺察不出。一旦黑客將木馬程序成功地植入到目標主機中，計算機就成了黑客控制的傀儡主機，而黑客就成了超級用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、帳號、密碼等。黑客還可以遠程控制主機對別的主機發(fā)動攻擊，如DDOS攻擊就是眾多傀儡主機接到攻擊命令后，同時向被攻擊目標發(fā)送大量的服務請求數(shù)據(jù)包。

2.5 技術性攻擊

技術性攻擊是指黑客利用嗅探器和掃描攻擊。嗅探器是利用計算機的網絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種技術。網絡嗅探器通過被動地監(jiān)聽網絡通信、分析數(shù)據(jù)，從而非法獲得用戶名、口令等重要信息。它對網絡安全的威脅來自其本身的被動性和非干擾性，達到網絡信息泄密而不易被發(fā)現(xiàn)。而掃描是針對系統(tǒng)漏洞，對網絡的遍歷搜尋行為。由于漏洞的存在，所以掃描手段往往可以隱蔽地探測他人主機的有用信息，作為實施下一步攻擊的前奏。

3 計算機網絡的安全對策

針對計算機網絡常見安全問題和黑客對計算機網絡攻擊的手法，我們必須采取相應的安全對策。

3.1 加強網絡安全教育

計算機網絡安全是一個過程，涉及到管理、技術和應用三個層面。各個層面的具體操作者是人，而人正是網絡安全中最薄弱的環(huán)節(jié)，因而必須加強網絡安全技術培訓，強化安全防范意識，提高三個層面人員的整體素質。首先，加強網絡知識培訓，讓有關人員掌握一定的網絡知識，掌握IP地址的配置、數(shù)據(jù)的共享等網絡基本知識，樹立良好的計算機使用習慣。其次，加強安全技術培訓，讓有關人員掌握一定的安全技術，保證數(shù)據(jù)信息安全可靠。再次，加強安全意識培訓，讓三個層面的人員懂得數(shù)據(jù)信息安全的重要性，明確保證數(shù)據(jù)信息安全是所有工作人員的共同責任。

3.2 運用網絡防護技術

網絡防護技術的出發(fā)點，首先是劃分出明確的網絡邊界，然后通過在網絡邊界處對流經的信息利用各種控制方法進行檢查，阻止不符合規(guī)定的信息通過，以達到阻止黑客對網絡的入侵。主要的網絡防護技術有：

一是防火墻。防火墻是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，以保護內部網絡操作環(huán)境的特殊網絡互聯(lián)設備。常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網關技術。包過濾技術是在網絡層中對數(shù)據(jù)包實施有選擇的通過；狀態(tài)檢測技術是一種連接性的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流，構成連接狀態(tài)表，通過規(guī)則表和狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，它相對于包過濾技術來說，更具靈活性和安全性；應用網關技術使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網絡和其他網絡，目的在于隱蔽地保護網絡的具體細節(jié)，保護主機及其數(shù)據(jù)，雖然防火墻是目前保護網絡安全的有效手段，但無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節(jié)者和不經心的用戶帶來的威脅，不能完全防止傳遞已感染病毒的軟件或文件，也無法防范數(shù)據(jù)驅動型的攻擊。

二是防毒墻。防毒墻是指位于網絡入口處，用于對網絡傳輸中的病毒進行過濾的網絡安全設備。防火墻能夠對網絡數(shù)據(jù)流連接的合法性進行分析，而對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻無能為力，因為它無法識別合法數(shù)據(jù)包中是否存在病毒的情況。防毒墻正是克服了防火墻的缺陷，它使用簽名技術在網關處進行查毒工作，阻止網絡蠕蟲（Word）和僵尸網絡（BOT）的擴展。

三是虛擬專用網絡（Virtual Private Network，簡稱VPN）。VPN是將物理分布在不同地點的網絡通過公用骨干網連接而成的邏輯上的虛擬子網。它可以幫助異地用戶與內部網建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為保證信息的安全，VPN技術采用了鑒別、訪問控制、保密性等措施，以防止信息的泄露、篡改和復制。

3.3 采用網絡檢測技術

網絡檢測技術是通過監(jiān)視受保護系統(tǒng)的狀況和活動來識別針對計算機系統(tǒng)和網絡系統(tǒng)的攻擊，包括檢測非法入侵者惡意攻擊或試探，以及內部合法用戶的超越使用權限的非法活動。主要網絡檢測技術有：

一是入侵檢測。入侵檢測是通過對計算機網絡或計算機系統(tǒng)的若干關鍵點收集信息，并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊跡象，以及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：第一，檢測并分析用戶和系統(tǒng)的活動；第二，檢查系統(tǒng)的配置和操作系統(tǒng)的日志；第三，發(fā)現(xiàn)漏洞和統(tǒng)計分析異常行為等。

二是入侵防御。入侵防御系統(tǒng)是一種主動的積極的入侵防范系統(tǒng)。它是建立在入侵檢測系統(tǒng)發(fā)現(xiàn)的基礎上的新生網絡安全技術。如果說入侵檢測系統(tǒng)只能被動地檢測網絡遭到何種攻擊，且阻斷攻擊能力有限，那么，入侵防御系統(tǒng)在網絡的進出口處檢測到攻擊企圖后，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認為入侵防御系統(tǒng)就是防火墻加上入侵檢測系統(tǒng)，但并不是說入侵防御系統(tǒng)可以取代防火墻和入侵檢測系統(tǒng)。

三是漏洞掃描。漏洞掃描技術是一項重要的主動防范安全技術。它主要通過以下兩種方法來檢查目標主機是否存在漏洞。第一，在端口掃描后得知目標主機開啟的端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；第二，通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。

3.4 使用反病毒技術

計算機病毒能引起計算機故障，破壞文件和數(shù)據(jù)，搶占系統(tǒng)網絡資源，傳染其它程序，造成網絡堵塞或系統(tǒng)癱瘓。尤其在網絡環(huán)境下，計算機病毒的威脅性和破壞力更不可估量。因此，對計算機病毒的防范是網絡安全建設的一個重要環(huán)節(jié)。在反病毒技術方面主要是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。防毒的關鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。首先，要增強防毒意識，對工作人員定期培訓，明確計算機病毒的危害，文件共享時盡量控制權限和增加密碼，對來歷不明的文件運行前進行查殺。其次，小心使用移動存儲設備，使用之前進行病毒的掃描和查殺，把病毒拒絕于系統(tǒng)之外。再次，挑選網絡版殺毒軟件，如熟練使用瑞星殺毒軟件，及時升級殺毒軟件病毒庫，是防毒殺毒的關鍵。

網絡安全問題不僅僅是技術問題，同時也是一個安全管理問題，我們必須綜合考慮安全因素，制定安全技術方案和相關配套管理辦法。世上無絕對安全的網絡系統(tǒng)，隨著計算機網絡技術的進一步發(fā)展，網絡安全技術也必然隨著網絡應用的發(fā)展而不斷發(fā)展。

[1]曾志峰,楊義先.網絡安全的發(fā)展與研究[J].計算機工程與應用, 2000, (10).

[2]文偉平,等.網絡蠕蟲研究與進展[J].軟件學報, 2004, (8).

[3]謝冬青.計算機網絡安全技術教程[M].北京:機械工業(yè)出版社,2007.

[4]王秀和,楊明.計算機網絡安全技術淺析[J].中國教育技術設備, 2007, (5).

[5]全宇.特洛伊木馬的表現(xiàn)及防范[J].湛江師范學院學報, 2010, (3).

[6]邊云生.計算機網絡安全防護技術探究[J].電腦知識與技術, 2011, (31).

[7]楊迪.計算機網絡安全問題的成因及硬件防范技術分析[J].電腦知識與技術, 2012, (2).

[8]滕皎.關于計算機網絡的安全防護的思考[J].咸寧學院學報, 2012, (8).

[9]梁玉霞.淺析計算機網絡安全問題[J].廣東科技,2012,(9).

[10]韋武超,黃鐳.計算機網絡安全技術的探討與研究[J].企業(yè)科技與發(fā)展, 2012, (13).

[11]吳儼儼.計算機網絡安全防范措施研究[J].電腦編程技巧與維護, 2013, (2).