盧　鵬

[摘要]網(wǎng)絡(luò)的迅速發(fā)展改變著人們的生活方式和工作效率。給社會(huì)、企業(yè)用至個(gè)人帶來了前所未有的便利，所有這一切都得益于互聯(lián)網(wǎng)的開放性和匿名性特征，然而正是這些特征也決定了網(wǎng)絡(luò)不可避免地存在著信息安全隱患。介紹網(wǎng)絡(luò)存在的主要安全威脅，提出網(wǎng)絡(luò)安全的防護(hù)體系以及對(duì)網(wǎng)絡(luò)安全的防護(hù)對(duì)鐿進(jìn)行探析。

[關(guān)鍵詞]計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全防護(hù)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671—7597(2009)0620062—02

一、引言

伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，網(wǎng)絡(luò)給人們提供了極大的方便，然而，網(wǎng)絡(luò)安全威脅問題也一直在困擾著我們，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊密、黑客的侵襲、病毒猖獗，內(nèi)部、外部的泄密。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、入侵檢測(cè)器、通道控制機(jī)制，但是，黑客活動(dòng)越來越猖狂，他們無孔不入，對(duì)社會(huì)造成了嚴(yán)重的危害。如何才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性，本文進(jìn)行了具體的安全威脅分析及提出了實(shí)現(xiàn)防護(hù)網(wǎng)絡(luò)安全的具體策略。

二、網(wǎng)絡(luò)存在的安全威脅分析

網(wǎng)絡(luò)存在著各式各樣的安全威脅，常見的有計(jì)算機(jī)病毒，拒絕服務(wù)攻擊，內(nèi)部、外部泄密，邏輯炸彈，信息丟失、篡改、銷毀，特洛伊木馬，黑客攻擊，系統(tǒng)的漏洞的威脅等。

(一)計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是可存儲(chǔ)，可執(zhí)行，可隱藏在可執(zhí)行程序和數(shù)據(jù)文件中而不被人發(fā)現(xiàn)，觸發(fā)后可獲取系統(tǒng)控制的一段可執(zhí)行程序，它具有傳染性、潛伏性、可觸發(fā)性和破壞性等特點(diǎn)。計(jì)算機(jī)病毒主要是通過復(fù)制文件、傳送文件、運(yùn)行程序等操作傳播，在日常的使用中，軟盤、硬盤、光盤和網(wǎng)絡(luò)是傳播病毒的主要途經(jīng)。網(wǎng)絡(luò)的普及為病毒的快速傳播創(chuàng)造了便利的條件，近年來出現(xiàn)的多種惡性病毒都是基于網(wǎng)絡(luò)進(jìn)行傳播的。這些計(jì)算機(jī)網(wǎng)絡(luò)病毒破壞性很大，如“CIH病毒”，“熊貓燒香病毒”可謂是人人談之而色變，它給網(wǎng)絡(luò)帶來了很嚴(yán)重的損失。

(二)拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是利用TCP／IP協(xié)議“三次握手”特點(diǎn)的缺陷，拒絕合法的用戶對(duì)目標(biāo)系統(tǒng)(如服務(wù)器)和信息的合法訪問一攻擊。以這種方式攻擊的后果往往表現(xiàn)為使目標(biāo)系統(tǒng)死機(jī)、使端口處于停頓狀態(tài)、在計(jì)算機(jī)屏幕上發(fā)出雜亂信息、改變文件名稱、刪除關(guān)鍵和程序文件或扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。

(三)內(nèi)部、外部泄密

內(nèi)部人員對(duì)數(shù)據(jù)的存儲(chǔ)位置、信息重要性非常了解，這使得內(nèi)部攻擊更容易奏效。一般來說在內(nèi)網(wǎng)中根據(jù)IP地址很容易找到服務(wù)器網(wǎng)段，這樣就根容易運(yùn)用AKP欺騙等手段攻擊?，F(xiàn)在互聯(lián)網(wǎng)上第三方黑客攻擊軟件越來越多，方法也越來越復(fù)雜，像IP碎片攻擊、OOB攻擊、WinNuke攻擊等，但是大部分的攻擊手段還是以獲知IP地址為前提，進(jìn)行網(wǎng)絡(luò)攻擊的。

由于黑客的目的一般都是竊取機(jī)密數(shù)據(jù)或破壞系統(tǒng)運(yùn)行，外部黑客也可能入侵Web或其他文件服務(wù)器刪除或篡改數(shù)據(jù)，致使系統(tǒng)癱瘓甚至完全崩潰。

(四)邏輯炸彈

邏輯炸彈是在滿足特定的邏輯條件時(shí)按某種不同的方式運(yùn)行，對(duì)目標(biāo)系統(tǒng)實(shí)施破壞的計(jì)算機(jī)程序。在正常條件下檢測(cè)不到這種炸彈，但如果特殊的邏輯條件出現(xiàn)，則程序會(huì)按照完全不同的方式運(yùn)行。誘發(fā)邏輯炸彈發(fā)作的邏輯條件稱為邏輯誘因。邏輯炸彈一般隱藏在具有正常功能的軟件中。與計(jì)算機(jī)病毒不同，邏輯炸彈體現(xiàn)為對(duì)目標(biāo)系統(tǒng)的破壞作用，而非傳達(dá)室播其具有破壞作用的程序。

(五)信息丟失、篡改和銷毀

由于誤操作或者黑客的非法操作，造成有價(jià)值的信息丟失、篡改或者銷毀。

(六)特洛伊木馬

特洛伊木馬攻擊的表現(xiàn)形式對(duì)被攻擊都來說并不直觀，甚至受害者根本不知道自己已經(jīng)被入侵，因而它是～種極為危險(xiǎn)的網(wǎng)絡(luò)攻擊手段。與病毒不同，特洛伊木馬的預(yù)防和檢測(cè)一般都可以由用戶完成，因?yàn)樘芈逡聊抉R既不傳播也不復(fù)制，它們只能依靠用戶安裝文件將其潛伏在系統(tǒng)中。

(七)黑客攻擊

這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。些類攻擊又可以分為兩種，一種是網(wǎng)絡(luò)攻擊，即以各種方式有選擇地破壞對(duì)方信息的有效性和完整性；另一類是網(wǎng)絡(luò)偵察，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截取、竊取、破譯以獲得對(duì)方重要的機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害

(八)系統(tǒng)的漏洞的威脅

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。目前，常見的網(wǎng)絡(luò)操作系統(tǒng)軟件主要有Windows 2003 Server，UNIX，Linux等，windows NT~Windows 2003Server由于系統(tǒng)自身有漏洞，雖然推出了一些針對(duì)性的補(bǔ)丁程序，但也不可避免地容易遭到病毒或人為因素的破壞。相比之下UNIX~Linux這兩個(gè)系統(tǒng)由于問世后其原代碼一直處于公開狀態(tài)，以便大家不斷完善它，又因?yàn)樗ぷ髟诘讓?，所以安全性較高。

隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)攻擊技術(shù)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn)日益加強(qiáng)，黑客工具的自動(dòng)化程度及速度在不斷提高，攻擊工具的攻擊能力與復(fù)雜程度也在不斷提高?？傊W(wǎng)絡(luò)安全威脅從來沒有消失過，而且大有愈演愈烈之勢(shì)。

三、網(wǎng)絡(luò)安全的防護(hù)體系

隨著攻擊手段的不斷演變，傳統(tǒng)的依靠防火墻、加密和身份認(rèn)證等手段已滿足不了要求，監(jiān)測(cè)和響應(yīng)環(huán)節(jié)在現(xiàn)代網(wǎng)絡(luò)安全體系中的地位越來越重要，正在逐步成為構(gòu)建網(wǎng)絡(luò)安全體系中的重要部分。不僅是單純的網(wǎng)絡(luò)運(yùn)行過程是的防護(hù)，還包括對(duì)網(wǎng)絡(luò)的安全評(píng)估，以及使用安全防護(hù)技術(shù)后面的服務(wù)體系。

四、網(wǎng)絡(luò)安全的防護(hù)對(duì)策

盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全：

(一)操作系統(tǒng)補(bǔ)丁升級(jí)

操作系統(tǒng)除服務(wù)器操作系統(tǒng)外，也包括各種網(wǎng)絡(luò)設(shè)各的操作系統(tǒng)，均需要及時(shí)升級(jí)及打上最新的補(bǔ)丁，嚴(yán)防黑客利用各種漏洞進(jìn)行攻擊。如Windows網(wǎng)絡(luò)操作系統(tǒng)最主要的漏洞有Unicode漏洞、，ida／，idq緩沖區(qū)溢出漏洞、Microsoft IIs CGI文件名錯(cuò)誤解碼漏洞、MSADCS RDS漏洞、FrontPage服務(wù)器擴(kuò)展和，printer漏洞。

(二)安裝網(wǎng)絡(luò)版防病毒軟件

防病毒服務(wù)器作為防病毒軟件的控制中心，及時(shí)通過INTERNET更新病毒庫，并強(qiáng)制局域網(wǎng)中己開機(jī)的終端及時(shí)更新病毒庫軟件。同時(shí)配置郵件防病毒服務(wù)器，對(duì)來自INTERNET的電子郵件以及所屬附件進(jìn)行檢測(cè)。

(三)合理配置訪問控制權(quán)限

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，根據(jù)控制手段和具體目的的不同，可以將訪問控制技術(shù)劃分為幾個(gè)不同的級(jí)別，包括入網(wǎng)訪問控

制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)安全控制以及屬性控制等多種手段。

(四)安裝入侵檢測(cè)系統(tǒng)

網(wǎng)絡(luò)安全體系的監(jiān)控和響應(yīng)環(huán)節(jié)是通過入侵檢測(cè)系統(tǒng)(IDS)來實(shí)現(xiàn)的。IDS從網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)收集信息，并加以分析，檢測(cè)網(wǎng)絡(luò)中是否有違反安全策略的行為和識(shí)別遭襲擊的跡象。

(五)配置硬件防火墻

通過配置硬件防火墻，允許局域網(wǎng)用戶訪問INTERNET資源，但是嚴(yán)格限制INTEPNET用戶對(duì)局域網(wǎng)資源的訪問。通過防火墻，將整個(gè)局域網(wǎng)劃分INTERNET。DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個(gè)邏輯上分開的區(qū)域，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理。

(六)防火墻、入侵檢測(cè)等安全日志備份

防火墻等日志備份以每周為一次，通過對(duì)各日志的分析掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)，定期以每半年一提出總體安全分析報(bào)告，針對(duì)全網(wǎng)絡(luò)進(jìn)行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)支持。

(七)數(shù)據(jù)保密與安裝動(dòng)態(tài)口令認(rèn)證系統(tǒng)

信息安全的核似是數(shù)據(jù)保密，一般就是我們所說的密碼技術(shù)，隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷滲透到各個(gè)領(lǐng)域，密碼學(xué)的應(yīng)用也隨之?dāng)U大。數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來新技術(shù)和應(yīng)用。

(八)信息備份及恢復(fù)系統(tǒng)

為了防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓，應(yīng)根據(jù)網(wǎng)絡(luò)情況確定完全和增量備份的時(shí)間點(diǎn)，定期給網(wǎng)絡(luò)信息進(jìn)行備份。便于一旦出現(xiàn)網(wǎng)絡(luò)故障時(shí)能及時(shí)恢復(fù)系統(tǒng)及數(shù)據(jù)。

(九)管理制度的修訂及進(jìn)行安全技術(shù)培訓(xùn)

嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及進(jìn)登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運(yùn)行。制訂并修改機(jī)房管理制度，內(nèi)容主要涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等。對(duì)企業(yè)內(nèi)部人員定期進(jìn)行安全技術(shù)培訓(xùn)，防止誤操作而造成的安全故障。

五、結(jié)束語

網(wǎng)絡(luò)安全是一個(gè)不斷變化、快速更新的領(lǐng)域，也意味著人們對(duì)于網(wǎng)絡(luò)安全領(lǐng)域的投資是長(zhǎng)期的行為，盡管現(xiàn)在用于網(wǎng)絡(luò)安全的產(chǎn)品有很多，比如有防火墻、殺毒軟件、入侵檢測(cè)系統(tǒng)，但是仍然有很多黑客的非法入侵。根本原因是網(wǎng)絡(luò)自身的安全隱患無法根除。雖然如此，安全防護(hù)仍然必須是慎之又慎，盡最大可能降低黑客入侵的可能，從而保護(hù)我們的網(wǎng)絡(luò)信息安全。