芻議計(jì)算機(jī)網(wǎng)絡(luò)安全

1、<p><b>　　芻議計(jì)算機(jī)網(wǎng)絡(luò)安全</b></p><p>　　摘 要：作者根據(jù)多年工作經(jīng)驗(yàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了闡述，并提出相關(guān)對(duì)策，僅供同行參考。 </p><p>　　關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；對(duì)策 </p><p>　　1 計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題 </p><p>　　網(wǎng)絡(luò)安全的威脅主

2、要有三個(gè)方面： </p><p>　　人員的失誤 如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。 </p><p>　　人為的惡意攻擊，這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類

3、是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。 </p><p>　　2 常見的網(wǎng)絡(luò)攻擊 </p><p>　　2.1 病毒的攻擊 </p><p>　　計(jì)算機(jī)病毒是指編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能和數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或

4、者程序代碼。病毒具有一些共性，如傳播性、隱蔽性、破壞性和潛伏性等，同時(shí)具有自己的一些個(gè)性。 </p><p>　　2.2 系統(tǒng)漏洞攻擊 </p><p>　　漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。 </p><p>　　網(wǎng)絡(luò)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，沒(méi)有考慮安全因

5、素，因?yàn)槟菢訜o(wú)疑增大代碼量，從而降低TCP/IP的運(yùn)行效率，所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。計(jì)算機(jī)網(wǎng)絡(luò)缺乏安全策略，配置復(fù)雜（訪問(wèn)控制的配置一般十分復(fù)雜，很容易被錯(cuò)誤配置，從而給黑客以可乘之機(jī)），因?yàn)檫@些先天的不足，所以容易被竊聽和欺騙。 </p><p>　　2.3 欺騙類攻擊 </p><p>　　欺騙類攻擊主要是利用TCP/IP協(xié)議自身的缺陷發(fā)動(dòng)攻擊。在網(wǎng)絡(luò)中，如果使用偽

6、裝的身份與被攻擊的主機(jī)進(jìn)行通信，向其發(fā)送報(bào)文，往往會(huì)導(dǎo)致主機(jī)出現(xiàn)錯(cuò)誤操作，甚至對(duì)攻擊主機(jī)做出信任判斷。這時(shí)，攻擊者可冒充被信任的主機(jī)進(jìn)入系統(tǒng)，而有機(jī)會(huì)預(yù)留后門供以后使用。根據(jù)假冒方式的不同，這種攻擊可分為：IP欺騙，DNS欺騙，電子郵件欺騙，源路由欺騙等。 </p><p>　　3 網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)策略 </p><p>　　3.1 訪問(wèn)控制策略 </p><p>

7、　　3.1.1 入網(wǎng)訪問(wèn)控制 </p><p>　　入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制網(wǎng)。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。 </p><p>　　3.1.2 網(wǎng)絡(luò)的權(quán)限控制 </p><p>　　網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶

8、和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源，可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。 </p><p>　　3.1.3 目錄級(jí)安全控制 </p><p>　　網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。 </p><p>　　3.1.4 屬性安全控制 &

9、lt;/p><p>　　當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。 </p><p>　　3.1.5 網(wǎng)絡(luò)服務(wù)器安全控制 </p><p>　　網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、

10、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。 </p><p>　　3.1.6 網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制 </p><p>　　網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形、文字或聲音等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。 </p><p>　　3.2 信息加密策略 </p><p>　　信息加密的目的是保護(hù)網(wǎng)內(nèi)

11、的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施。 </p><p>　　3.3 病毒攻擊的應(yīng)對(duì)策略 </p

12、><p>　　在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品，需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。所以最好使用全方位的防病毒產(chǎn)品，針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，通過(guò)全方位、多層次的防病毒系統(tǒng)的配置，通過(guò)定期或不定期的自動(dòng)升級(jí)，使

13、網(wǎng)絡(luò)免受病毒的侵襲。以下是幾個(gè)具體的反病毒措施： </p><p>　?。?）杜絕傳染渠道。 </p><p>　?。?）防止電磁輻射和電磁泄露。不僅可以達(dá)到防止計(jì)算機(jī)信息泄露的目的，而且也可防止“電磁輻射式“病毒的攻擊。 </p><p><b>　?。?）定期備份。 </b></p><p>　?。?）設(shè)置傳染對(duì)象的

14、屬性。 </p><p>　?。?）不要非法復(fù)制別人的軟件。 </p><p>　?。?）開啟反病毒軟件“實(shí)時(shí)監(jiān)控”功能。 </p><p>　?。?）從網(wǎng)絡(luò)下載的各種免費(fèi)和共享軟件要先進(jìn)行病毒的查殺后再使用。 </p><p>　?。?）中毒后應(yīng)先備份后修復(fù)。 </p><p>　　3.4 系統(tǒng)漏洞攻擊的應(yīng)對(duì)策略 &

15、lt;/p><p>　　由于漏洞是系統(tǒng)本身所固有的，因此通過(guò)“打補(bǔ)丁”可以修正存在漏洞的服務(wù)器軟件，更需要經(jīng)常留意系統(tǒng)升級(jí)的網(wǎng)站。系統(tǒng)的服務(wù)有很多，但是針對(duì)于某個(gè)特定的系統(tǒng)來(lái)說(shuō)，并不是所有的服務(wù)都是需要的，而系統(tǒng)開放的服務(wù)越多，存在漏洞的幾率也就越大。應(yīng)該根據(jù)實(shí)際情況關(guān)閉不需要的服務(wù)，這樣不但可以減少隱患，還可以減少系統(tǒng)的資源占用從而提高運(yùn)行速度。同時(shí)，利用防火墻，可以阻隔大多數(shù)端口的外部訪問(wèn)，在這些端口上的服務(wù)即便

16、是存在漏洞，也不會(huì)受到攻擊。 </p><p>　　3.5 黑客攻擊的應(yīng)對(duì)策略 </p><p>　　3.5.1 防火墻 </p><p>　　利用防火墻，在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問(wèn)控制尺度，允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)。 </p><p>　　3.

17、5.2 入侵檢測(cè) </p><p>　　入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。采用入侵檢測(cè)技術(shù)，最好采用混合入侵檢測(cè)，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，則會(huì)構(gòu)架成一套完整立體

18、的主動(dòng)防御體系。 </p><p>　　3.6 網(wǎng)絡(luò)安全管理策略 </p><p>　　在多數(shù)情況下，信息加密是保證信息機(jī)密性的惟一方法。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。 </p><p>　　3.6.1 常規(guī)密碼算法 </p><p>　　收信方和發(fā)信方使用相同的密鑰，其優(yōu)點(diǎn)是有很強(qiáng)的保

19、密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密鑰必須通過(guò)安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。 </p><p><b>　　4 結(jié) 語(yǔ) </b></p><p>　　總之，網(wǎng)絡(luò)安全是一個(gè)很大的系統(tǒng)工程。由于網(wǎng)絡(luò)的共享性和通信的安全缺陷，網(wǎng)上傳輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立更加有效的網(wǎng)絡(luò)安全防范體系就更為迫切。 <

20、;/p><p><b>　　參 考 文 獻(xiàn) </b></p><p>　　[1]林濤.網(wǎng)絡(luò)安全與管理[M].北京：電子工業(yè)出版社，2005. </p><p>　　[2]王文壽，王珂.網(wǎng)管員必備寶典[M].北京：清華大學(xué)出版社，2007. </p><p>　　[3]楊華杰，張堯?qū)W，王曉輝，等.一種基于透明計(jì)算的遠(yuǎn)程啟動(dòng)協(xié)議