李冬嚴(yán)

中國二十二冶集團(tuán)有限公司，河北 唐山 064000

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心信息的泄露與惡意的修改。網(wǎng)絡(luò)安全威脅的個人、企業(yè)、國家的信息安全，應(yīng)引起足夠的重視。

1 影響計算機(jī)網(wǎng)絡(luò)安全的主要因素

1）網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問題

由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。

2）網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)

一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代；二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

3）缺乏安全策略

許多站點(diǎn)在防火墻配置上無意識地擴(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用。

4）訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機(jī)。

5）管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然。

2 計算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)和途徑

計算機(jī)網(wǎng)絡(luò)攻擊具有下述特點(diǎn)：

1）損失巨大

由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機(jī)，所以一旦他們?nèi)〉贸晒?，就會使網(wǎng)絡(luò)中成千上萬臺計算機(jī)處于癱瘓狀態(tài)，從而給計算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。

2）威脅社會和國家安全

一些計算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計算機(jī)作為攻擊目標(biāo)，從而對社會和國家安全造成威脅。

3）手段多樣，手法隱蔽

計算機(jī)攻擊的手段可以說五花八門。網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進(jìn)入別人的計算機(jī)系統(tǒng)；還可以通過一些特殊的方法繞過人們精心設(shè)計好的防火墻等等。

4）以軟件攻擊為主

幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個計算機(jī)系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計算機(jī)犯罪的隱蔽性，另一方面又要求人們對計算機(jī)的各種軟件（包括計算機(jī)通信過程中的信息流）進(jìn)行嚴(yán)格的保護(hù)。

網(wǎng)絡(luò)攻擊和入侵的主要途徑：網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

1）破譯口令

口令是計算機(jī)系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。

2）IP欺騙

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機(jī)假冒另一臺計算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對某些特定的運(yùn)行TCP/IP的計算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接，并對被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。IP欺騙是建立在對目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。

3）DNS欺騙

域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常，網(wǎng)絡(luò)用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽，并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名—IP地址映射表時,DNS欺騙就會發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。

3 計算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因

網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有：

第一，TCP/IP的脆弱性；

第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性；

第三，易被竊聽；

第四，缺乏安全意識。

4 確保計算機(jī)網(wǎng)絡(luò)安全的防范措施

網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)設(shè)計合理與否是網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵，為解除網(wǎng)絡(luò)系統(tǒng)固有的安全隱患，可采取以下措施：

1）網(wǎng)絡(luò)分段技術(shù)的應(yīng)用將從源頭上杜絕網(wǎng)絡(luò)的安全隱患問題。所以采取物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對局域網(wǎng)的安全控制；

2）以交換式集線器代替共享式集線器的方式將不失為解除隱患的又一方法。

強(qiáng)化計算機(jī)管理是網(wǎng)絡(luò)系統(tǒng)安全的保證，加強(qiáng)設(shè)施管理，確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)體安全；強(qiáng)化訪問控制，力促計算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行正常。

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要措施，它的任務(wù)是保證網(wǎng)絡(luò)資源不被非法用戶使用和非常訪問，是網(wǎng)絡(luò)安全最重要的核心策略之一。

第一，建立入網(wǎng)訪問功能模塊。入網(wǎng)訪問控制為網(wǎng)絡(luò)提供了第一層訪問控制。用戶的入網(wǎng)訪問控制可分為3個過程：用戶名的識別與驗(yàn)證；用戶口令的識別與驗(yàn)證；用戶帳號的檢查。在3個過程中，如果其中一個不能成立，系統(tǒng)就視為非法用戶，則不能訪問該網(wǎng)絡(luò)。

第二，建立網(wǎng)絡(luò)的權(quán)限控制模塊。

第三，建立屬性安全服務(wù)模塊。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)屬性可以控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件的查看、執(zhí)行、隱含、共享及系統(tǒng)屬性等，還可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。

第四，建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置模塊。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺；設(shè)置服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔；安裝非法防問設(shè)備等。安裝非法防問裝置最有效的設(shè)施是安裝防火墻。它是一個用以阻止網(wǎng)絡(luò)中非法用戶訪問某個網(wǎng)絡(luò)的屏障，也是控制進(jìn)、出兩個方向通信的門檻。

第五，建立檔案信息加密制度。

第六，建立網(wǎng)絡(luò)智能型日志系統(tǒng)。日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能和自動分類檢索能力。在該系統(tǒng)中，日志將記錄自某用戶登錄時起，到其退出系統(tǒng)時止，這所執(zhí)行的所有操作，包括登錄失敗操作，對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶保執(zhí)行操作的機(jī)器IP地址、操作類型、操作對象及操作執(zhí)行時間等，以備日后審計核查之用。

第七，建立完善的備份及恢復(fù)機(jī)制。為了防止存儲設(shè)備的異常損壞，可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列，以RAID5的方式進(jìn)行系統(tǒng)的實(shí)時熱備份。同時，建立強(qiáng)大的數(shù)據(jù)庫觸發(fā)器和恢復(fù)重要數(shù)據(jù)的操作以及更新任務(wù)，確保在任何情況下使重要數(shù)據(jù)均能最大限度地得到恢復(fù)。

第八，建立安全管理機(jī)構(gòu)。安全管理機(jī)構(gòu)的健全與否，直接關(guān)系到一個計算機(jī)系統(tǒng)的安全。其管理機(jī)構(gòu)由安全、審計、系統(tǒng)分析、軟硬件、通信、保安等有關(guān)人員組成。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。