張瓏耀

摘要：隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，計算機應(yīng)用滲透到人們?nèi)粘Ｉ畹姆椒矫婷?，人們隨時隨地可以通過任意終端接入到互聯(lián)網(wǎng)中，因此一旦應(yīng)用系統(tǒng)或者網(wǎng)絡(luò)遭到入侵，往往會給個人造成比較嚴重的損失，甚至危害國家的利益。該文主要從影響網(wǎng)絡(luò)安全的隱私及防護策略方面對網(wǎng)絡(luò)安全問題進行了探討和分析。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)安全是隨著網(wǎng)絡(luò)和信息技術(shù)的產(chǎn)生和發(fā)展，人類社會進入信息社會后出現(xiàn)的關(guān)于安全的一個新議題，網(wǎng)絡(luò)安全的內(nèi)涵是指在一個網(wǎng)絡(luò)環(huán)境中，確保設(shè)備、數(shù)據(jù)的完整性、可使用性及保密性，不因偶然的因素、惡意的攻擊而遭到破壞、更改、泄露。網(wǎng)絡(luò)安全產(chǎn)生的影響，不僅侵害個人的權(quán)益，甚至危害國家安全、社會穩(wěn)定，因此，網(wǎng)絡(luò)安全問題受到越來越多的重視。

1.網(wǎng)絡(luò)攻擊形式

傳統(tǒng)的網(wǎng)絡(luò)攻擊形式主要有截獲、偽造、中斷三種。截獲主要是以破壞數(shù)據(jù)的保密性為目標，入侵者通過一些非法的手段獲取對系統(tǒng)資源的訪問權(quán)限；偽造指的是入侵者將帶病毒的、偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中，它不僅獲得對資源的訪問權(quán)限，而且能夠?qū)?shù)據(jù)進行修改；中斷以直接攻擊網(wǎng)絡(luò)可用性為目標。

隨著網(wǎng)絡(luò)在各領(lǐng)域的廣泛應(yīng)用和信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全攻擊的形式也不斷的翻新變化，主要表現(xiàn)為：攻擊范圍從互聯(lián)網(wǎng)向物聯(lián)網(wǎng)拓展，攻擊目標從個體機構(gòu)向公共基礎(chǔ)設(shè)施轉(zhuǎn)移，攻擊造成數(shù)據(jù)泄露的規(guī)模和范圍越來越大；網(wǎng)絡(luò)威脅從非傳統(tǒng)威脅逐步轉(zhuǎn)變?yōu)槌Ｒ?guī)威脅，網(wǎng)絡(luò)安全防御從技術(shù)層面逐步上升到國家層面。

2.影響網(wǎng)絡(luò)安全的主要因素

2.1黑客攻擊

黑客攻擊是一種比較常見的網(wǎng)絡(luò)安全威脅，入侵者通過各種網(wǎng)絡(luò)監(jiān)聽工具、木馬程序，利用攔截、竊取等多種方式，向目標主機實施攻擊，以達到獲取數(shù)據(jù)、獲取權(quán)限、非法訪問、阻塞網(wǎng)絡(luò)等目的。非破壞性黑客攻擊一般采用拒絕服務(wù)攻擊或信息炸彈的方式，擾亂系統(tǒng)的運行；破壞性攻擊以破壞入侵系統(tǒng)的數(shù)據(jù)，竊取重要數(shù)據(jù)為目的，危害極大。

隨著網(wǎng)絡(luò)開放性的進一步擴大，黑客攻擊的手段及方法越來越先進，近年來，國家部委、企業(yè)、院校在內(nèi)的一大批組織機構(gòu)都曾遭到境外網(wǎng)絡(luò)入侵。2011年12月21日，國內(nèi)知名程序員網(wǎng)站CSDN遭到黑客攻擊，大量用戶數(shù)據(jù)庫被公布在互聯(lián)網(wǎng)上，600多萬個明文的注冊郵箱被迫裸奔。面對復雜多變的網(wǎng)絡(luò)環(huán)境，我們唯有不斷提高個人的安全意識，再加上必要的防護手段。

2.2軟件漏洞

由于編程語言的局限性，軟件漏洞是一種不可避免的現(xiàn)象，比較常見的軟件漏洞有操作系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用軟件、網(wǎng)絡(luò)協(xié)議等；軟件漏洞容易成為黑客以及計算機病毒的攻擊點，造成數(shù)據(jù)泄露，系統(tǒng)癱瘓，給設(shè)備及用戶帶來嚴重的后果。

2.3計算機病毒

計算機病毒是一種極具破壞性、隱藏性和潛伏性的小程序，通常借助計算機上面其他程序的運行進行擴散，并感染其他的程序文件，特別是在網(wǎng)絡(luò)傳輸?shù)倪^程中，攜帶計算機病毒的文件會造成終端用戶的文件受損，導致計算機系統(tǒng)的崩潰，信息泄露。

2.4人為因素

除了上述所說的技術(shù)層面上的因素外，人為因素也是造成網(wǎng)絡(luò)安全事件的一個重要的因素。例如人員安全意識薄弱，可能泄露關(guān)鍵信息；不嚴格按照操作指引執(zhí)行，可能引起誤操作，導致關(guān)鍵信息丟失；管理措施不完善，可能出現(xiàn)操作漏洞（應(yīng)用系統(tǒng)存在弱口令等）。

3.網(wǎng)絡(luò)安全的防護對策

3.1防火墻

防火墻作為將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的一道屏障，是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻在網(wǎng)絡(luò)通訊時實現(xiàn)訪問控制，對于經(jīng)過配置允許的應(yīng)用、協(xié)議，方能訪問內(nèi)網(wǎng)資源，將不安全的服務(wù)、請求拒之門外，從而極大提高內(nèi)部網(wǎng)絡(luò)的安全性。

隨著防火墻功能及應(yīng)用的進一步強化，用戶可以實現(xiàn)以防火墻為中心的安全方案配置，將身份認證、審計等安全軟件配置在防火墻上，強化網(wǎng)絡(luò)安全策略；同時，通過部署防火墻系統(tǒng)，可以提供網(wǎng)絡(luò)訪問日志及使用情況的統(tǒng)計數(shù)據(jù)，在發(fā)現(xiàn)可疑的網(wǎng)絡(luò)訪問動作時，進行適當?shù)膱缶?/p>

防火墻技術(shù)作為一種基本的應(yīng)用，在過濾網(wǎng)絡(luò)安全攻擊方面起到了非常積極的作用，但是由于技術(shù)本身的局限性，防火墻的使用，不僅給網(wǎng)絡(luò)帶來一些不便，例如限制一些有用的網(wǎng)絡(luò)服務(wù)，在并發(fā)請求多、流量大的情況下容易造成網(wǎng)絡(luò)擁堵，成為網(wǎng)絡(luò)的瓶頸。同時，防火墻也存在著一些功能上的不足，例如防火墻只能起阻隔、警示作用，但是不能對病毒、攻擊源做任何處理；對內(nèi)部發(fā)起的攻擊行為無能為力；不能抵抗最新的漏洞攻擊等等。因此，必須有其他的防護手段互相彌補，協(xié)同工作。

3.2堡壘機

堡壘機是近幾年新興的一種網(wǎng)絡(luò)安全技術(shù)，核心理念是阻斷用戶對服務(wù)器、網(wǎng)絡(luò)資源的直接訪問，以協(xié)議代理的方式接管終端用戶的訪問需求，實現(xiàn)核心系統(tǒng)的運維及安全審計兩大主要功能。通過一些技術(shù)手段監(jiān)控、收集網(wǎng)絡(luò)狀態(tài)，阻斷惡意攻擊及非法訪問，審計監(jiān)控對非法操作，實現(xiàn)遠程運維操作管理實現(xiàn)按用戶授權(quán)、事中監(jiān)控、事后直觀審計。

3.3虛擬專用網(wǎng)絡(luò)（VPN）

VPN是指通過在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊的技術(shù)，VPN是當前解決網(wǎng)絡(luò)安全的一個有效方法之一，主要通過隧道技術(shù)、認證技術(shù)、加密解密以及密匙管理來保障數(shù)據(jù)傳輸?shù)陌踩?/p>

此外，我們還可以通過數(shù)字加密技術(shù)提高信息的保密性，通過安裝殺毒軟件、漏洞補丁提高操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性；制定良好的備份和恢復機制，在攻擊造成損失時，能夠恢復數(shù)據(jù)，降低損失。通過多層防御，層層狙擊，在攻擊者突破第一道防線后，延緩或阻斷其到達攻擊目標。

3.4重視立法，提供安全防范意識

近幾年，國家以立法的形式完善建立網(wǎng)絡(luò)安全體制機制，法律法規(guī)及政策制度日趨完善；大力推進信息系統(tǒng)安全等級保護工作，啟動信息安全監(jiān)測預警，逐步開展信息系統(tǒng)的測評整改工作，從根本上強化網(wǎng)絡(luò)安全體系。

在完善的監(jiān)督管理體制下，要求網(wǎng)絡(luò)管理人員提高安全的意識，主動作為，重視各項制度的落實實施；同時強化自身的網(wǎng)絡(luò)安全素養(yǎng)，提升應(yīng)急響應(yīng)和處理能力。（上接第41頁）ARP請求進行應(yīng)答。在采用虛MAC地址方式時，由于網(wǎng)段中主機上的ARP緩存中保存的是虛擬IP地址與虛擬MA C地址之間的映射，因此即使備份組中進行了重新選舉使Master路由器易主，也不需要更新其映射關(guān)系。但是，當備份組中存在IP地址擁有者時，如果采用虛MAC地址方式，會造成一個IP地址對應(yīng)兩個MAC地址的問題，此時就需要采用實MAc地址方式。在實MAC地址方式中，網(wǎng)段中主機發(fā)送的報文將按照實際的MAC地址轉(zhuǎn)發(fā)給IP地址擁有者。默認情況下VRRP的運行方式為虛MAC地址方式。

當前存在1個虛擬路由器，即備份組。

接口Ethernet 0/0隸屬于備份組1；在該備份組中路由器RTA是Master路由器；其運行優(yōu)先級為150；Master路由器發(fā)送VRRP通告報文的時間間隔為1秒；在當前備份組中沒有啟用～XiiE；備份組的虛擬IP地址是192.168.1.1。

如果在路由器RTB上執(zhí)行display vrrp命令，可以看到路由器RTB在備份組中是Backup路由器，如果此時人為的斷開路由器RTA的接口Ethernet 0/0上的連接，會發(fā)現(xiàn)路由器RTB將成為Master路由器，從而保障了網(wǎng)關(guān)設(shè)備的可靠性。

5.結(jié)論

通過將兩臺或多臺網(wǎng)關(guān)設(shè)備在邏輯上虛擬成一臺設(shè)備，VRRP技術(shù)能夠在即使一臺網(wǎng)關(guān)設(shè)備出現(xiàn)故障時，依然可以在不改變終端主機網(wǎng)關(guān)配置的情況下保障網(wǎng)絡(luò)的連通性，從而極大地提高了邊緣網(wǎng)絡(luò)的可靠性。