何遠綱，趙鵬飛，夏志平

(1.重慶電力高等?？茖W(xué)校，重慶400053;2.四川大學(xué)職業(yè)技能學(xué)院，四川成都610200;3.四川省長赤中學(xué)，四川巴中636630)

0 引言

隨著計算機技術(shù)與網(wǎng)絡(luò)技術(shù)的高速發(fā)展，計算機網(wǎng)絡(luò)已經(jīng)滲透到各行各業(yè)，成了現(xiàn)代人工作與生活中不可分離的幫手，有效地提升了工作效率與生活水平。但是由于計算機網(wǎng)絡(luò)自身是一個開放系統(tǒng)，每時每刻都面臨著病毒及黑客的攻擊，因此計算機網(wǎng)絡(luò)的安全問題一直是一個相當(dāng)嚴峻的問題。

1 網(wǎng)絡(luò)安全概述

網(wǎng)絡(luò)安全不是一門單一知識，而是一門綜合性學(xué)科，其中包括信息安全技術(shù)、計算機科學(xué)、通信技術(shù)、信息論及數(shù)論等多種學(xué)科的綜合。主要是保護網(wǎng)絡(luò)系統(tǒng)中的軟硬件及其他使用到的系統(tǒng)數(shù)據(jù)，保障這些數(shù)據(jù)不受到惡意攻擊，確保這些系統(tǒng)數(shù)據(jù)能夠正常運行，網(wǎng)絡(luò)服務(wù)不被中斷。

隨著網(wǎng)絡(luò)使用越來越普及，人們對網(wǎng)絡(luò)安全的認識有了新發(fā)展。例如站在個人以及企業(yè)各個角度來分析，使用者肯定不希望自己個人隱私或者商業(yè)信息被泄露出去，都希望網(wǎng)絡(luò)安全具備真實性、完整性以及機密性，擔(dān)心出現(xiàn)竊聽、抵賴以及冒充等各種不安全手段泄露隱私。因此，網(wǎng)絡(luò)安全的內(nèi)容在日益擴大。

2 影響網(wǎng)絡(luò)安全的主要因素

2.1 常見的問題

2.1.1 軟件漏洞

任何操作系統(tǒng)或者網(wǎng)絡(luò)軟件都可能存在這樣那樣的缺陷及漏洞，就是這些缺陷與漏洞為病毒及黑客打開了一扇大門，讓計算機在網(wǎng)絡(luò)中處于危險之地，成為眾矢之的。從實際情況的分析發(fā)現(xiàn)，如果安全問題源自于網(wǎng)絡(luò)系統(tǒng)自身，問題大都是該系統(tǒng)中存在漏洞造成。這些漏洞源自于軟硬件以及各種協(xié)議，或者系統(tǒng)自身安全措施上存在缺陷。一旦計算機網(wǎng)絡(luò)的安全控制出現(xiàn)可趁之機，攻擊者就會通過網(wǎng)絡(luò)系統(tǒng)漏洞獲取管理員權(quán)限，進而對網(wǎng)絡(luò)系統(tǒng)設(shè)置進行修改，為用戶造成許多不良影響，并且通常在日志記錄中不會有相應(yīng)日志，而且也查不出什么證據(jù)。事實上，編寫軟件的人員為了便于維護，都會在軟件中設(shè)置“后門”。但是使用者畢竟不是專業(yè)人員，很多人不會想到網(wǎng)絡(luò)系統(tǒng)后門的存在，因此，一旦黑客通過后門惡意進入網(wǎng)絡(luò)系統(tǒng)，極易穿過防火墻限制，用戶也不易發(fā)現(xiàn)，因而，后門成為了網(wǎng)絡(luò)系統(tǒng)安全隱患之一。

2.1.2 TCP/IP具備脆弱性

TCP/IP協(xié)議是國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，但是協(xié)議并沒有考慮到網(wǎng)絡(luò)安全性的問題。而且該協(xié)議的大多數(shù)內(nèi)容都是公開的，假如有人想當(dāng)熟悉TCP/IP協(xié)議，就能夠采用一定技術(shù)，利用其安全缺陷，通過網(wǎng)絡(luò)進行攻擊。比如黑客要攻擊某人的電腦，就會通過相應(yīng)軟件跟蹤查詢其聯(lián)網(wǎng)的TCP/IP地址，進而實現(xiàn)入侵目的。

2.1.3 網(wǎng)絡(luò)結(jié)構(gòu)具備不安全性

如今使用的因特網(wǎng)屬于網(wǎng)間網(wǎng)技術(shù)，這種技術(shù)是許多個局域網(wǎng)共同形成一個較大的網(wǎng)絡(luò)。當(dāng)一臺主機與其他局域網(wǎng)主機實施通信之時，彼此之間的數(shù)據(jù)必須經(jīng)過許多個機器進行重重轉(zhuǎn)發(fā)。如果黑客掌控了傳輸數(shù)據(jù)流的某臺主機，就能夠劫持傳輸?shù)母鱾€數(shù)據(jù)包。

2.1.4 極易被竊聽

在網(wǎng)絡(luò)中大多數(shù)的數(shù)據(jù)流并沒有經(jīng)過加密，可以說這種數(shù)據(jù)幾乎就裸露在人們面前，采用網(wǎng)上的免費工具就能夠竊聽網(wǎng)上口令、電子郵件及傳輸文件。

2.1.5 木馬

這種木馬是由黑客將某種特定動作程序粘附到某合法用戶使用的程序中，將該程序代碼改變。該合法用戶一旦再次使用該程序，必然將黑客所粘附的指令程序同時激活，被激活的代碼就會按照黑客意愿去完成任務(wù)。這種木馬需要較高編程水平，編寫的代碼具備較高水準(zhǔn)，要進行改碼都需要一定的權(quán)限，這是一種比較高級的攻擊手段，一般的網(wǎng)絡(luò)管理人員極難發(fā)現(xiàn)。

2.1.6 病毒

事實上病毒也是一種程序，能夠通過計算機間進行傳播，每經(jīng)過一個地方都要感染，并經(jīng)過復(fù)制粘附于到文件之中。病毒具備較強感染性、潛伏性及觸發(fā)性，而且其破壞性也大。

2.1.7 安全意識不高

網(wǎng)絡(luò)設(shè)置中有很多安全保護屏障，但是很多使用者安全意識較低，根本不關(guān)注這些網(wǎng)絡(luò)設(shè)置，導(dǎo)致這些保護措施和沒有一樣。比如認為防火墻(如圖1)的服務(wù)器在認證中麻煩，直接采用PPP連接，導(dǎo)致防火墻起不到應(yīng)有功效。

圖1 防火墻的組成

2.1.8 移動存儲介質(zhì)

如今使用移動存儲介質(zhì)十分廣泛，比如移動硬盤、U盤等，主要是因為這種介質(zhì)存儲量大、方便小巧、通用性強及易攜帶等多個特征，使用比較廣泛，這會給網(wǎng)絡(luò)系統(tǒng)信息安全埋下極大隱患。比如有一些人不知道移動硬盤、U盤等移動介質(zhì)中所刪除文件還能夠還原，就把曾經(jīng)存儲秘密信息數(shù)據(jù)的移動介質(zhì)借給別人，極有可能將數(shù)據(jù)泄露出去。

2.1.9 黑客攻擊

黑客即是沒有經(jīng)過許可就采用技術(shù)登陸進別人網(wǎng)絡(luò)服務(wù)器或連接的網(wǎng)絡(luò)主機，并通過網(wǎng)絡(luò)實施一些私自操作。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客破壞技術(shù)也是逐漸增強，不但能夠熟練操作各類軟件與網(wǎng)絡(luò)技術(shù)，尤其善于發(fā)現(xiàn)各種系統(tǒng)漏洞，依據(jù)這些漏洞對網(wǎng)路安全造成威脅。

2.2 ARP欺騙問題

2.2.1 ARP欺騙故障的現(xiàn)象

如今，計算機網(wǎng)絡(luò)中出現(xiàn)的安全事故越來越多，成為了人們關(guān)注的重要問題之一，比如有時候打開網(wǎng)頁發(fā)現(xiàn)IE地址被修改了，網(wǎng)頁的頁面顯示出病毒超鏈接、網(wǎng)頁出錯信息等。這些都導(dǎo)致上網(wǎng)速度降低。有時候使用Ping或者是DNS檢驗其連通性，占有時間不但長，而且會逐漸變慢，有時候還會出現(xiàn)丟包現(xiàn)象。一旦出現(xiàn)了這種現(xiàn)象就要先進行殺毒與安裝防火墻，如果不能夠解決問題，就要檢查源程序是不是被掛木馬。如果一切正常，有可能是遇到了ARP欺騙問題。

2.2.2 存在的問題

ARP欺騙大都是在局域網(wǎng)各個硬件上出現(xiàn)的，比如交換機、計算機及路由器等。為了探析ARP欺騙問題，本文就從如下幾個角度來分析。

①計算機;對于網(wǎng)絡(luò)來說，計算機與計算機之間除了連接的硬件之外，都是依靠IP地址實現(xiàn)彼此之間的通信。首先就要把數(shù)據(jù)封裝為IP的數(shù)據(jù)包，這里面包含了目標(biāo)IP地址與源IP地址。路由器將數(shù)據(jù)包通過網(wǎng)絡(luò)轉(zhuǎn)發(fā)到各個不同網(wǎng)絡(luò)里去。到結(jié)點間還應(yīng)該將數(shù)據(jù)包封裝成數(shù)據(jù)幀，其中包含了源與目標(biāo)的MAC地址，并將IP數(shù)據(jù)包完全封裝進去。而ARP且是將IP地址改為MAC地址，源主機主動發(fā)出ARP請求，目標(biāo)主機接受到請求后做出ARP應(yīng)答，進而做完一個地址解析過程。事實上，計算機里都有ARP緩存表，主要顯示著MAC與IP地址之間的對應(yīng)關(guān)系。而且這些表都要通過ARP地址解析所產(chǎn)生出來的協(xié)議體現(xiàn)對應(yīng)關(guān)系，在這個過程中就有可能產(chǎn)生了ARP病毒。

②交換機;當(dāng)每個數(shù)據(jù)幀傳送出去之后，交換機就能夠接受到其中的MAC地址，而且還能夠?qū)⑦@種地址轉(zhuǎn)發(fā)出去。在傳送過程中，交換機就能夠?qū)Φ刂酚成浔磉M行維護，同時對交換機和MAC地址之間端口記錄下來。通過所接受的數(shù)據(jù)幀交換機就能夠了解到源MAC地址所在機器處于哪個端口之上，進而對地址映射表進行更新。之后交換機依據(jù)該目標(biāo)MAC地址在映射表中去查找相應(yīng)端口，查找出來之后，將這個端口復(fù)制下來，如果沒有查到這個端口，就將該數(shù)據(jù)幀廣播出到所有端口之上。但是在運行中，交換機僅僅使用了地址映射表，而且MAC地址和交換機上的端口也是一對一關(guān)系，由此可見交換機上大都不會出現(xiàn)ARP病毒。

③網(wǎng)關(guān);將信息數(shù)據(jù)包在不同的網(wǎng)段之間進行通信，還需要網(wǎng)關(guān)實施轉(zhuǎn)發(fā)。對于計算機來說，主機里配置出來的網(wǎng)關(guān)就是網(wǎng)段與路由器之接口。網(wǎng)關(guān)也就是網(wǎng)絡(luò)代理服務(wù)器，就功能而言，各個局域網(wǎng)基本上都是相同的。主要是依靠ARP緩存表來維護網(wǎng)關(guān)，因此要把MAC與IP地址所對應(yīng)的關(guān)系解析出來，就必須要經(jīng)過ARP協(xié)議，運行中極有可能發(fā)生ARP病毒。

3 計算機網(wǎng)絡(luò)安全應(yīng)對措施

3.1 常見技術(shù)措施

3.1.1 身份認證

控制訪問的基礎(chǔ)就是身份認證，也是防御主動攻擊的重要措施。對于身份認證一定要準(zhǔn)確無誤辨別對方，還要提供雙向認證，就是相互證明自己身份。在網(wǎng)絡(luò)環(huán)境下驗證身份十分復(fù)雜，許多驗證方式都已經(jīng)不再適用了，現(xiàn)在安全性比較高的為USBKEY認證方法，即將軟硬件結(jié)合起來，極大處理好了易用性與安全性間的矛盾。而且USBKEY屬于USB接口硬件設(shè)備，用戶需要的數(shù)字證書或者密鑰不需要放進內(nèi)存，也不用傳播在網(wǎng)絡(luò)上，這樣就極大地增加了使用信息的安全性。

3.1.2 控制訪問

訪問網(wǎng)絡(luò)之時，不同的訪問用戶具有不同的信息權(quán)限，必須要對這些權(quán)限實施控制，進而有效提防出現(xiàn)越權(quán)使用現(xiàn)象。普遍采用實時監(jiān)控，如圖2所示。

3.1.3 數(shù)據(jù)保密

這種措施主要是針對泄露信息的防御措施，也是一種常用確保通信安全手段。但是隨著計算機網(wǎng)絡(luò)技術(shù)快速發(fā)展，導(dǎo)致傳統(tǒng)加密算法不斷被破譯，只有更高強度加密算法才能夠適應(yīng)需要，比如如今的公開密鑰算法、DES算法等。

3.1.4 數(shù)據(jù)完整性

圖2 實時監(jiān)控

要防范非法篡改文件、信息等最有效措施就是確保數(shù)據(jù)的完整性。只有這樣才不留下縫隙，才不被病毒及黑客等入侵。

3.1.5 加密機制

對于網(wǎng)絡(luò)上傳播的數(shù)據(jù)最好采用加密，這種方式是如今比較特殊的電子交易模式。現(xiàn)在最為普及的加密方式分為對稱加密與非對稱加密這兩種技術(shù)模式。

3.1.6 PKI技術(shù)

這種技術(shù)采用了公鑰的理論與技術(shù)結(jié)合起來共同構(gòu)建的安全服務(wù)基礎(chǔ)。PKI技術(shù)中最為核心的部分是信息安全，這也是電子商務(wù)中之基礎(chǔ)以及關(guān)鍵的技術(shù)。采用這種技術(shù)對電子商務(wù)、電子事務(wù)以及電子政務(wù)等等活動起到安全保護作用，進一步促進了電子交易的安全。PKI技術(shù)正是電子政務(wù)、電子商務(wù)等使用的密碼技術(shù)，它有效解決了電子商務(wù)使用中的真實性、機密性及完整性等各種安全問題。

3.1.7 入侵檢測技術(shù)

為了進一步提升網(wǎng)絡(luò)安全技術(shù)，對防火墻可做有效補充(見圖3)，那就是增加了入侵檢測技術(shù)(IDS)(見圖4)。采用這種技術(shù)能在短時間發(fā)現(xiàn)是否存在安全問題，網(wǎng)路是否被攻擊，有效地提升了管理人員對網(wǎng)絡(luò)管理能力，進而增強了信息安全的完整性。

圖3 防火墻結(jié)合IDS

3.1.8 備份系統(tǒng)

這種方式就是對計算機中使用的數(shù)據(jù)與系統(tǒng)信息進行備份，能夠?qū)Πl(fā)生硬件故障或者人為失誤起保護作用。

圖4 入侵檢測的拓撲圖

3.2 防范ARP欺騙

3.2.1 搞好網(wǎng)關(guān)防范

在防范ARP欺騙中最為有效的防范之一是網(wǎng)關(guān)防范，即，使用綁定IP-MAC地址。將每個計算機IP地址綁定在路由器中，就能夠有效阻止路由器再接受其他的IP數(shù)據(jù)，也就阻止了更新ARP緩存表，起到了對ARP欺騙的防范作用。

3.2.2 搞好計算機防范

對局域網(wǎng)外部做好了防范工作，還必須要嚴格防范計算機自身。最主要做法就是確保計算機中ARP緩存的數(shù)據(jù)時時刻刻在正確狀態(tài)。如今很多管理者都是采用收費或免費ARP防火墻，比如使用60ARP防火墻、金山ARP防火墻等，都可以對ARP病毒有效防范。對于一些難度大的病毒，還能夠采用dos指令“ARPd”，清除掉ARP緩存，再采用一些指令對網(wǎng)關(guān)靜態(tài)IP進行綁定，進而防止ARP病毒對計算機網(wǎng)絡(luò)安全造成影響。

4 結(jié)束語

計算機網(wǎng)絡(luò)的安全運行，是確保其開放性與共享性的基礎(chǔ)條件。要從計算機網(wǎng)絡(luò)安全的技術(shù)手段著手，有針對性地對網(wǎng)絡(luò)存在的潛在威脅進行防范，要提高相關(guān)人員的計算機安全意識，盡量減少網(wǎng)絡(luò)安全技術(shù)中存在的問題，保障網(wǎng)絡(luò)正常運行。

［1］ 王華.淺談計算機網(wǎng)絡(luò)安全技術(shù)應(yīng)用［J］.科技經(jīng)濟市場，2010，(9):181-183.

［2］ 全豐菽.計算機網(wǎng)絡(luò)安全的防范策略分析［J］.信息與電腦，2010，(8):39-42.

［3］ 陳兵，黃繼濤，劉超，等.高校計算機病毒的防御與查殺［J］.西南軍醫(yī)，2009，(1):83-85.

［4］ 曹淑芬.網(wǎng)絡(luò)機房計算機病毒的故障排除及預(yù)防［J］.中國新技術(shù)新產(chǎn)品，2009，(12):19.

［5］ 曾志軍.網(wǎng)絡(luò)機房對ARP病毒的防范［J］.計算機時代，2008，(6):39-42.

［6］ 杜紅霞.網(wǎng)絡(luò)機房對 ARP病毒的防范［J］.新課程，2009，(5):5-6.