王然 河南省駐馬店技師學(xué)院

近年來,隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展,網(wǎng)絡(luò)應(yīng)用日益普及并且日趨復(fù)雜,在帶來了前所未有的海量信息的同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)的安全問題成為了互聯(lián)網(wǎng)和網(wǎng)絡(luò)應(yīng)用發(fā)展中的重要問題。由于計(jì)算機(jī)網(wǎng)絡(luò)本身構(gòu)建的松散結(jié)構(gòu)問題、網(wǎng)絡(luò)本身的高度開放與共享問題、操作系統(tǒng)與應(yīng)用軟件本身的漏洞問題、安全配置不當(dāng)?shù)膯栴}、個(gè)人安全意識不高等問題,導(dǎo)致病毒、黑客、惡意軟件和其它不軌攻擊行為相互融合,防御難度極具增加。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題

1.1 計(jì)算機(jī)病毒威脅

計(jì)算機(jī)病毒是指人為編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用,并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,就像生物病毒一樣,計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性和復(fù)制能力。它是網(wǎng)絡(luò)安全的頭號大敵,可以破壞硬盤、主板、顯示器、光驅(qū)等。計(jì)算機(jī)病毒在網(wǎng)絡(luò)上傳播后,會(huì)造成網(wǎng)絡(luò)癱瘓,嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行。

計(jì)算機(jī)病毒的特點(diǎn)：（1）感染速度快：通過各種可能的渠道,如U盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其它的計(jì)算機(jī)。（2）徹底清除困難：單機(jī)上的計(jì)算機(jī)病毒可徹底清除,而網(wǎng)絡(luò)中只要有一臺計(jì)算機(jī)未能徹底清除,可能整個(gè)網(wǎng)絡(luò)病毒肆虐。針對整個(gè)網(wǎng)絡(luò)同時(shí)進(jìn)行查殺,由予客觀原因限制達(dá)不到預(yù)期效果。（3）傳播形式復(fù)雜：服務(wù)器之間、終端用戶之間、服務(wù)器和終端用戶之間、內(nèi)網(wǎng)間接入互聯(lián)網(wǎng)上的節(jié)點(diǎn)用戶。（4）破壞性大：網(wǎng)絡(luò)病毒(如ARP廣播)將直接影響網(wǎng)絡(luò)的正常運(yùn)行,輕則降低速度,影響工作效率,重則造成網(wǎng)絡(luò)核心設(shè)備癱瘓,導(dǎo)致整個(gè)校園網(wǎng)崩潰。（5）邏輯設(shè)計(jì)缺陷或bug：應(yīng)用軟件或操作系統(tǒng)軟件因設(shè)計(jì)或編寫不足產(chǎn)生系統(tǒng)漏洞,不法者或者黑客通過此不足,植人木馬、病毒等方式來攻擊或控制整個(gè)電腦或竊取重要資料和信息。

1.2 黑客攻擊問題

黑客攻擊問題黑客是對網(wǎng)絡(luò)安全威脅的最主要因素之一。隨著計(jì)算機(jī)技術(shù)的進(jìn)步,出現(xiàn)了一些利用計(jì)算機(jī)技術(shù)來實(shí)施網(wǎng)絡(luò)的犯罪的人,我們將其稱之為“黑客”。他們利用所掌握的計(jì)算機(jī)技術(shù),非法入侵其他的計(jì)算設(shè)備,破壞計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)。他們通過非法手段,利用現(xiàn)有的或自己編寫的工具來尋找網(wǎng)絡(luò)系統(tǒng)的漏洞,然后發(fā)動(dòng)攻擊,對網(wǎng)絡(luò)的正常使用造成影響。這種防范是非常困難的,因?yàn)楹诳蜕朴诎l(fā)現(xiàn)問題,利用網(wǎng)絡(luò)本身存在的缺陷來發(fā)動(dòng)攻擊,從而引起信息安全問題。這有三種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號和口令,對局域網(wǎng)安全威脅巨大；二是在知道用戶的賬號后(如電子郵件@前面的部分)利用一些專門軟件強(qiáng)行破解用戶口令,這種方法不受網(wǎng)段限制,但黑客要有足夠的耐心和時(shí)間；三是在獲得一個(gè)服務(wù)器上的用戶口令文件(此文件成為Shadow文件)后,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。

1.3 安全漏洞問題

（1）操作系統(tǒng)安全漏洞。操作系統(tǒng)是一個(gè)平臺,要支持各種各樣應(yīng)用,各種操作系統(tǒng)都存在著先天缺陷和由于不斷增加新功能而帶來漏洞。操作系統(tǒng)安全漏洞主要有四種：一是輸入輸出非法訪問；二是訪問控制混亂；三是操作系統(tǒng)陷門；四是不完全中介。(2)網(wǎng)絡(luò)協(xié)議安全漏洞。TCP/IP是冷戰(zhàn)時(shí)期產(chǎn)物,目標(biāo)是要保證通達(dá)、保證傳輸正確性,通過來回確認(rèn)來證數(shù)據(jù)完整性。而TCP/IP沒有內(nèi)在控制機(jī)制來支持源地址鑒別,來證實(shí)IP從哪兒來,這就是TCP/IP漏洞根本所在。黑客通過偵聽方式來截獲數(shù)據(jù),對數(shù)據(jù)進(jìn)行檢查,推測TCP系列號,修改傳輸路由,從而破壞數(shù)據(jù)。(3)數(shù)據(jù)庫安全漏洞。盲目信任用戶輸入是保障Web應(yīng)用安全第一敵人。用戶輸入主要來源是HTML表單中提交參數(shù),如果不能嚴(yán)格地驗(yàn)證這些參數(shù)合法性,計(jì)算機(jī)病毒、人為操作失誤對數(shù)據(jù)庫產(chǎn)生破壞以及未經(jīng)授權(quán)而非法進(jìn)入數(shù)據(jù)庫就有可能危及服務(wù)器安全。(4)網(wǎng)絡(luò)軟件安全漏洞。網(wǎng)絡(luò)軟件安全漏洞主要表現(xiàn)在：①匿名FTP。②電子郵件：電子郵件存在安全漏洞使得電腦黑客很容易將經(jīng)過編碼電腦病毒加入該系統(tǒng)中,以便對上網(wǎng)用戶進(jìn)行隨心所欲控制。③域名服務(wù)：域名是連接自己和用戶生命線,只有建立整個(gè)“生命網(wǎng)”注冊并擁有全部相關(guān)甚至相似域名,才可以保護(hù)自己。但不幸是,這個(gè)“生命網(wǎng)”上漏洞多得讓人防不勝防。④Web編程人員編寫CGI、ASP、PHP等程序存在問題,會(huì)暴露系統(tǒng)結(jié)構(gòu)或服務(wù)目錄可讀寫,從而擴(kuò)大了黑客入侵空間。

1.4 針對計(jì)算機(jī)網(wǎng)絡(luò)的法律法規(guī)不完善

我國針對計(jì)算機(jī)網(wǎng)絡(luò)的法律法規(guī)還不完善,在管理上還有很多不足之處,而且網(wǎng)絡(luò)上的一些保密協(xié)議沒有較強(qiáng)的可操作性,執(zhí)行力度不夠。另外,很多公司在管理、人員和技術(shù)上都沒有完善的安全管理制度,缺乏保護(hù)措施,甚至一些管理員在利益的驅(qū)使下利用職務(wù)之便在網(wǎng)絡(luò)上從事違法行為。因此,不管是無意的誤操作,還是有意的攻擊行為,都會(huì)對網(wǎng)絡(luò)的安全造成極大的威脅,進(jìn)而導(dǎo)致不可估量的損失。所以,必須制定強(qiáng)有力的計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)措施,只有這樣才能保證網(wǎng)絡(luò)信息的完整性、保密性、可用性。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

計(jì)算機(jī)網(wǎng)絡(luò)安全的防范措施有：防病毒、防火墻、入侵檢測等,多個(gè)組件共同發(fā)揮作用才能保證網(wǎng)絡(luò)信息的可靠性、安全性。從技術(shù)上來說,主要涉及：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)等。

2.1 防火墻技術(shù)

作為網(wǎng)絡(luò)安全的屏障,防火墻技術(shù)是保證安全最有效、最經(jīng)濟(jì)、最基本的措施。防火墻位于局域網(wǎng)與外界通道之間,通常由軟件和硬件組合而成,可對用戶的訪問進(jìn)行權(quán)限限制,它不僅限制外界用戶對內(nèi)網(wǎng)的訪問,還負(fù)責(zé)管理內(nèi)部用戶對外網(wǎng)的訪問。目前,防止非法用戶入侵最主要的措施就是防火墻技術(shù)。它可以通過過濾不安全因素來降低風(fēng)險(xiǎn),提高內(nèi)部網(wǎng)絡(luò)的安全性。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

2.2 數(shù)據(jù)加密技術(shù)

運(yùn)用數(shù)據(jù)加密技術(shù)是保障網(wǎng)絡(luò)安全的非常關(guān)鍵的技術(shù)手段。對數(shù)據(jù)加密可提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性。目前,計(jì)算機(jī)的數(shù)據(jù)加密技術(shù)主要有兩種形式：一是對信息加密,利用相應(yīng)的算法對數(shù)據(jù)、文件等進(jìn)行加密鎖定,從而防止信息泄漏；另一種是對互聯(lián)網(wǎng)的信息傳輸協(xié)議進(jìn)行加密,大多采用復(fù)雜的算法來對此類信息加密從而保障信息安全,保證計(jì)算機(jī)網(wǎng)絡(luò)的安全與暢通。因此,為了保證計(jì)算機(jī)的網(wǎng)絡(luò)安全,必須要大力發(fā)展、應(yīng)用加密技術(shù),加密技術(shù)也是保護(hù)網(wǎng)絡(luò)安全技術(shù)的重點(diǎn)方法之一。

2.3 入侵檢測技術(shù)。

入侵檢測系統(tǒng)(Intrusion Detection System簡稱IDS)是防火墻之后的第二道安全閘門,它能在攻擊行為產(chǎn)生危害前檢測到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊,在入侵攻擊過程中減少損失；在被攻擊后,收集相關(guān)信息,并針對攻擊做出策略備份,避免同類型的攻擊行為再次發(fā)生,增強(qiáng)系統(tǒng)的防范能力。入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。

2.4 防病毒技術(shù)

病毒防范為了加強(qiáng)抵御病毒的能力,可以在各個(gè)主要環(huán)節(jié)都引入病毒防御體系。比如說,在網(wǎng)關(guān)上運(yùn)用基于服務(wù)器反病毒軟件的同時(shí)也在PC機(jī)上運(yùn)用單機(jī)版反病毒軟件。由于病毒在網(wǎng)絡(luò)中存儲、感染、傳播的途徑五花八門,因此,相關(guān)人員在建造網(wǎng)絡(luò)病毒系統(tǒng)時(shí),應(yīng)該使用全方位企業(yè)防毒產(chǎn)品,對病毒從“防范”和“殺死”兩方面著手,這樣才能有效的強(qiáng)化計(jì)算機(jī)抵御病毒的能力。

計(jì)算機(jī)防病毒軟件從功能上可以分為兩類：網(wǎng)絡(luò)防病毒軟件、單機(jī)防病毒軟件。個(gè)人計(jì)算機(jī)上通常安裝單機(jī)防病毒軟件,可通過其對本地連接和遠(yuǎn)程資源進(jìn)行檢測、清除病毒等。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測到并加以刪除。

2.5 漏洞掃描技術(shù)

利用掃描技術(shù)分析網(wǎng)絡(luò)漏洞網(wǎng)絡(luò)系統(tǒng)漏洞掃描原理主要依據(jù)網(wǎng)絡(luò)環(huán)境錯(cuò)誤注入手段進(jìn)行,用模擬攻擊行為方式,通過探測系統(tǒng)中合法數(shù)據(jù)及不合法信息回應(yīng)達(dá)到發(fā)現(xiàn)漏洞目。因此我們可以利用信息獲取及模擬攻擊方式分析網(wǎng)絡(luò)漏洞,從而達(dá)到檢測入侵攻擊目。首先可通過在主機(jī)端口建立連接方式對服務(wù)展開請求申請,同時(shí)觀察主機(jī)應(yīng)答方式,并實(shí)時(shí)收集主機(jī)信息系統(tǒng)變化,從而依據(jù)不同信息反映結(jié)果達(dá)到檢測漏洞目。模擬攻擊檢測方式則是通過模擬攻擊者攻擊行為,對檢測系統(tǒng)可能隱含現(xiàn)實(shí)漏洞進(jìn)行逐項(xiàng)、逐條檢查,從而使網(wǎng)絡(luò)漏洞暴漏無疑,主要方法包括緩沖區(qū)溢出、DOS攻擊等。漏洞掃描系統(tǒng)是用來自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全漏洞程序。漏洞掃描器能夠自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn),網(wǎng)絡(luò)管理員可以從中及時(shí)發(fā)現(xiàn)所維護(hù)Web服務(wù)器各種TCP端口分配、提供服務(wù),Web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在Internet上安全漏洞,并更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中錯(cuò)誤配置,及時(shí)修補(bǔ)漏洞,構(gòu)筑堅(jiān)固安全長城。

3 總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)給大家?guī)矸奖愕耐瑫r(shí)也給大家?guī)砹税踩[患。要想利用好計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來為人們更好的服務(wù),就必須解決好網(wǎng)絡(luò)安全問題。我們必須綜合考慮各種安全因素,制定合理的技術(shù)方案和管理措施,才能保證計(jì)算機(jī)網(wǎng)絡(luò)的安全、可靠, 要使網(wǎng)絡(luò)更好、更健康的發(fā)展,要從多個(gè)方面加大網(wǎng)絡(luò)安全的防范力度,提高安全意識,運(yùn)用安全策略,建設(shè)一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境。只有這樣,才能抑制網(wǎng)絡(luò)安全隱患,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)才能在安全、穩(wěn)定的環(huán)境中發(fā)展。