劉彥戎

（陜西國際商貿(mào)學(xué)院 712046）

0 引言

隨著全球信息高速公路的建設(shè)，特別是Internet和Internet的發(fā)展，網(wǎng)絡(luò)在各種信息系統(tǒng)中的作用變得越來越重要。網(wǎng)絡(luò)對整個社會的科技、文化和經(jīng)濟(jì)帶來了巨大的推動與沖擊，同時也帶來了許多挑戰(zhàn)。隨著網(wǎng)絡(luò)應(yīng)用的進(jìn)一步加強(qiáng)，信息共享與信息安全的矛盾日益突出，人們也越來越關(guān)心網(wǎng)絡(luò)安全問題。如何有效地維護(hù)好網(wǎng)絡(luò)系統(tǒng)的安全成為計算機(jī)研究與應(yīng)用中的一個重要課題。

1 計算機(jī)網(wǎng)絡(luò)安全定義

計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏，確保系統(tǒng)能連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。

2 網(wǎng)絡(luò)面臨的威脅

2.1 黑客的攻擊

對于大家來說，黑客已經(jīng)不再是一個高深莫測的人物，黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展。目前，世界上有20多萬個黑客網(wǎng)站，這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞。因此，系統(tǒng)、站點遭受攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使黑客攻擊的隱蔽性好、“殺傷力”強(qiáng)。

2.2 管理的欠缺

網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。事實上，很多企業(yè)、機(jī)構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團(tuán)體ITAA的調(diào)查顯示，美國90%的IT企業(yè)對黑客攻擊準(zhǔn)備不足。

2.3 網(wǎng)絡(luò)的缺陷

Internet的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCPIP簇缺乏響應(yīng)的安全機(jī)制，而且Internet最初的設(shè)計考慮是該網(wǎng)不會因局域故障而影響信息的傳輸，基本沒有考慮安全問題，因此在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)。

2.4 軟件的漏洞或“后門”

隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免，比如常用的操作系統(tǒng)，無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、桌面軟件等都被發(fā)現(xiàn)過存在安全隱患。

2.5 企業(yè)網(wǎng)絡(luò)內(nèi)部

網(wǎng)絡(luò)內(nèi)部用戶的誤操作、資源濫用和惡意行為令再完善的防火墻也無法抵御。防火墻無法防止來自網(wǎng)絡(luò)內(nèi)部的攻擊，也無法多網(wǎng)絡(luò)內(nèi)部的濫用做出反應(yīng)。

3 常見的計算機(jī)網(wǎng)絡(luò)攻擊方法

3.1 郵件炸彈

電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。

3.2 特洛伊木馬

特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它會在計算機(jī)系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當(dāng)您連接到因特網(wǎng)上時，這個程序就會通知攻擊者，來報告您的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改你的計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個硬盤中的內(nèi)容等，從而達(dá)到控制你的計算機(jī)的目的。

3.3 WWW的欺騙技術(shù)

在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的WEB站點的訪問，然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時候，實際上是向黑客服務(wù)器發(fā)出請求，那么黑客就可以達(dá)到欺騙的目的。

3.4 安全漏洞攻擊

許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。

4 計算機(jī)網(wǎng)絡(luò)安全的防范措施

4.1 網(wǎng)絡(luò)加密技術(shù)

信息安全主要包括系統(tǒng)安全及數(shù)據(jù)安全兩方面的內(nèi)容。系統(tǒng)安全一般采用防火墻、病毒查殺等被動措施，而數(shù)據(jù)安全則主要是指采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、數(shù)據(jù)不可否認(rèn)與抵賴、雙向身份認(rèn)證等。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)不但可以防止授權(quán)用戶的搭線竊聽和入網(wǎng)，保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，而且也是對付惡意軟件的有效方法之一。目前對網(wǎng)絡(luò)加密主要有3種方式：鏈路加密、節(jié)點加密和端點加密。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護(hù)；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)。

網(wǎng)絡(luò)信息的加密過程是由形形色色的加密算法具體實施的，以很小的代價就能提供很牢靠的安全保護(hù)。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種算法有將近300種。依照國際上的慣例，對加密算法有常見的以下兩種分類標(biāo)準(zhǔn)。①私鑰加密算法與DES。②公鑰加密算法與RSA。

4.2 防火墻技術(shù)

在網(wǎng)絡(luò)中，防火墻是指兩個網(wǎng)絡(luò)之間實現(xiàn)控制策略的系統(tǒng)，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不易受帶來自Internet的侵害。如果內(nèi)部網(wǎng)絡(luò)的用戶要上Internet，必須首先連接到防火墻上，從那兒使用Internet。因此，防火墻是一種安全策略的體現(xiàn)。

目前的防火墻技術(shù)一般都可以起到以下一些安全作用：集中的網(wǎng)絡(luò)安全、安全報警、從新部署網(wǎng)絡(luò)地址轉(zhuǎn)換、監(jiān)視Internet的使用和向外發(fā)布信息。但是，防火墻也有其自身的局限性，無法防范來自防火墻以外的其他途徑所進(jìn)行的攻擊；另外，由于防火墻依賴于口令，所以防火墻不能防范黑客對口令的攻擊；再次，防火墻也不能防止來自內(nèi)部用戶帶來的威脅，也不能解決進(jìn)入防火墻的數(shù)據(jù)帶來的所有安全問題，如果用戶在本地運行了一個包含惡意代碼的程序，那么就很可能導(dǎo)致敏感信息的泄漏和破壞。因此，要使防火墻發(fā)揮作用，防火墻的策略必須現(xiàn)實，能夠反映出整個網(wǎng)絡(luò)安全的水平。

典型的防火墻系統(tǒng)通常由一個或多個構(gòu)件組成，相應(yīng)地，實現(xiàn)防火墻的技術(shù)包括4大類：包過濾型防火墻、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和代理服務(wù)器防火墻。這些技術(shù)各有所長，具體使用哪一種或是否混合使用，要根據(jù)具體情況而定。

4.3 防病毒技術(shù)。

①網(wǎng)絡(luò)防病毒軟件的使用；目前，用于網(wǎng)絡(luò)的防病毒軟件很多，這些防病毒軟件可以同時用來檢查服務(wù)器和工作站的病毒。其中，大多數(shù)網(wǎng)絡(luò)防病毒軟件是運行在文件服務(wù)器上的。由于局域網(wǎng)中的文件服務(wù)器往往不止一個，因此為了方便對服務(wù)器上病毒的檢查，通?？梢詫⒍鄠€文件服務(wù)器組織在一個域中，網(wǎng)絡(luò)管理員只需在域中主服務(wù)器上設(shè)置掃描方式與掃描選項，就可以檢查域中多個文件服務(wù)器或工作站是否帶有病毒。網(wǎng)絡(luò)防病毒軟件的基本功能是：對文件服務(wù)器和工作站進(jìn)行查毒掃描，發(fā)現(xiàn)病毒后立即報警并隔離帶毒文件，由網(wǎng)絡(luò)管理員負(fù)責(zé)清除病毒。②網(wǎng)絡(luò)工作站防病毒的方法。網(wǎng)絡(luò)工作站防病毒可以從以下幾個方面入手：一是采用無盤工作站，無盤工作站很容易地控制用戶端的病毒入侵問題，但用戶在軟件上會受到一些限制。二是使用帶防病毒芯片的網(wǎng)卡，防病毒芯片的網(wǎng)卡一般是在網(wǎng)卡的遠(yuǎn)程引導(dǎo)芯片位置插入一塊帶防病毒軟件的EPROM。三是使用單機(jī)防病毒卡，單機(jī)防病毒卡的核心實際上是一個軟件，事先固化在ROM中。單機(jī)防病毒卡通過動態(tài)駐留內(nèi)存來監(jiān)視計算機(jī)的運行情況，根據(jù)總結(jié)出來的病毒行為規(guī)則和經(jīng)驗來判斷是否有病毒活動，并可以通過截獲中斷控制權(quán)來使用內(nèi)存中的病毒癱瘓，使其失去傳染其他文件和破壞信息資料的能力。

4.4 入侵檢測技術(shù)

防范網(wǎng)絡(luò)入侵最常用的方法就是防火墻，防火墻具有簡單的特點，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是，防火墻只是一種被動防御性的網(wǎng)路安全工具，僅僅使用防火墻是不夠的。于是產(chǎn)生了入侵檢測技術(shù)。入侵被檢測出來的過程包括監(jiān)測在計算機(jī)系統(tǒng)或者網(wǎng)路中發(fā)生的事件，再分析處理這些事件。入侵檢測系統(tǒng)（IDS）就是使這種監(jiān)控和分析過程自動化的獨立系統(tǒng)，既可以是一種安全軟件，也可以是硬件。IDS能夠檢測未授權(quán)對象針對系統(tǒng)的入侵企圖或行為，同時監(jiān)控授權(quán)對象對系統(tǒng)資源的非法操作。IDS對入侵的檢測通常包括以下幾個部分。對系統(tǒng)的不同環(huán)節(jié)收集信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為做出響應(yīng)；記錄并報告檢測過程結(jié)果。入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)能很好地彌補防火墻的不足，從某種意義上說是防火墻的補充。

5 總結(jié)

總之，計算機(jī)網(wǎng)絡(luò)技術(shù)已深入到社會各個領(lǐng)域，人類社會各種活動對計算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大，增強(qiáng)社會安全意識教育，普及計算機(jī)網(wǎng)絡(luò)安全教育，提高計算機(jī)網(wǎng)絡(luò)安全技術(shù)水平，改善其安全現(xiàn)狀，成為當(dāng)務(wù)之急。

[1]謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社。

[2]張仕斌.網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社。

[3]周舸.計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù).人民郵電出版社。