網(wǎng)絡(luò)安全之常見的漏洞范文

時間:2023-09-14 17:49:47

導(dǎo)語:如何才能寫好一篇網(wǎng)絡(luò)安全之常見的漏洞,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

【關(guān)鍵詞】網(wǎng)絡(luò)安全 安全隱患 防御措施

在如今信息高速發(fā)展的時代,網(wǎng)絡(luò)的廣泛性和開放性使人們更加依賴于網(wǎng)絡(luò),與此同時,網(wǎng)絡(luò)也就復(fù)雜化了,網(wǎng)絡(luò)安全問題逐漸突顯出來,而且安全問題一旦發(fā)生,常常令用戶措手不及,造成極大的損失。因此,分析目前網(wǎng)絡(luò)經(jīng)常存在的安全隱患,并且提出相應(yīng)的防御措施使很有必要的。

一、網(wǎng)絡(luò)安全的特點(diǎn)

網(wǎng)絡(luò)安全是指通過采用各種技術(shù)和管理措施確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,從而保證網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。目前網(wǎng)絡(luò)安全有以下五個方面的特征。

保密性:就是指不能將信息泄露給不授權(quán)的用戶或者實(shí)體。

完整性:就是指不經(jīng)過授權(quán)不能改變數(shù)據(jù)。

可用性:就是指被授權(quán)的實(shí)體可以訪問,并且按照需求使用。

可控性:就是指對信息的傳播及內(nèi)容具有控制能力。

可審查性:就是指當(dāng)出現(xiàn)安全問題時可以提供依據(jù)和手段。

目前網(wǎng)絡(luò)安全的現(xiàn)狀主要有以下幾方面的特點(diǎn):

攻擊發(fā)源相對集中,主要集中在美國,而亞洲各國受害較為嚴(yán)重。

能很快發(fā)現(xiàn)系統(tǒng)漏洞,黑客攻擊的時間縮短。

攻擊手段更加靈活,與病毒的結(jié)合更加密切,混合攻擊的手段更加常見

黑客攻擊范圍擴(kuò)大,無線網(wǎng)絡(luò)等新的應(yīng)用成為其攻擊的目標(biāo)。

網(wǎng)絡(luò)安全更加受到重視,當(dāng)前的安全技術(shù)面臨更大的挑戰(zhàn)。

二、影響網(wǎng)絡(luò)安全的因素

為了提高網(wǎng)絡(luò)安全的可靠性和穩(wěn)定性,維護(hù)系統(tǒng)有效的運(yùn)行,必須首先了解影響網(wǎng)絡(luò)安全的因素,然后對應(yīng)的解決這些安全隱患。目前威脅網(wǎng)絡(luò)安全的因素有以下幾方面:

(一)自然威脅

網(wǎng)絡(luò)設(shè)備的自然老化、各種自然災(zāi)害及電磁輻射和干擾等因素可能直接或間接地影響信息的存儲和交換,進(jìn)而影響網(wǎng)絡(luò)的安全。

(二)網(wǎng)絡(luò)系統(tǒng)本身

1.固有的開放性特點(diǎn)

網(wǎng)絡(luò)技術(shù)最大的優(yōu)點(diǎn)就是廣泛的開放性,正是這種開放性使之能夠極大范圍地覆蓋世界各地的用戶,構(gòu)成全球性的互聯(lián)網(wǎng)絡(luò)。也正是這種開放性的特點(diǎn)從另一方面又構(gòu)成了其不安全的因素。我們知道,當(dāng)處于不同局域網(wǎng)的兩臺主機(jī)進(jìn)行通信時,傳送的數(shù)據(jù)需要經(jīng)過許許多多的機(jī)器轉(zhuǎn)發(fā),攻擊者可以利用數(shù)據(jù)流傳輸路徑上的某一臺主機(jī)截獲用戶的數(shù)據(jù)包,竊取信息。

2.協(xié)議的不安全性

計算機(jī)網(wǎng)絡(luò)所遵從的協(xié)議是TCP/IP協(xié)議,運(yùn)行該協(xié)議的網(wǎng)絡(luò)通常照顧更多的是便利性,而沒有重視安全性,因此系統(tǒng)普遍存在欺騙和攻擊、數(shù)據(jù)截取和篡改等安全問題。由于IP數(shù)據(jù)包不加密,沒有重轉(zhuǎn)機(jī)制和加密功能,在傳輸?shù)倪^程中容易被攻擊者截獲分析。最常見的安全問題有:SYN-Flood攻擊、ICMP攻擊、IP地址盜用、源路由攻擊等。

3.用戶操作失誤

雖然在網(wǎng)絡(luò)系統(tǒng)中設(shè)置了很多安全的保護(hù)屏障,但是還是存在有些操作員盲目追求易用性和兼容性造成安全配置不當(dāng);有些用戶安全意識較弱,口令設(shè)置的簡單易破解,或者泄露自己的賬號等會威脅自己的信息安全;還有擴(kuò)展名欺騙導(dǎo)致用戶誤操作等現(xiàn)象使保護(hù)措施形同虛設(shè)。還有一些管理制度不健全,網(wǎng)絡(luò)管理維護(hù)不徹底等因素造成安全隱患。

4.計算機(jī)的漏洞

計算機(jī)漏洞是指計算機(jī)系統(tǒng)在硬件、軟件或者協(xié)議的具體實(shí)現(xiàn)或安全策略上的缺陷。計算機(jī)系統(tǒng)的漏洞可以分為系統(tǒng)軟件漏洞和應(yīng)用系統(tǒng)軟件漏洞。攻擊者發(fā)現(xiàn)漏洞可以利用此漏洞獲得額外的權(quán)限,進(jìn)而訪問或者破壞系統(tǒng)。

通常Windows操作系統(tǒng)存在的安全漏洞有:緩沖溢出漏洞造成攻擊者執(zhí)行任意指令,幫助和支持中心漏洞造成刪除用戶系統(tǒng)的文件、升級程序漏洞、壓縮文件夾漏洞、服務(wù)拒絕漏洞、遠(yuǎn)程桌面漏洞、快速桌面切換漏洞等。

5.人為攻擊

人為攻擊是計算機(jī)網(wǎng)絡(luò)的最大威脅。這種惡意的攻擊分為主動攻擊和被動攻擊兩種。主動攻擊能夠破壞信息的有效性和完整性,而被動攻擊則是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取或者破譯來獲得一些機(jī)密信息。

(1)后門和計算機(jī)病毒

后門是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)。在軟件的開發(fā)階段,程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便后期修改程序設(shè)計中的缺陷。但是,如果這些后門被其他人知道,或是在軟件之前沒有刪除后門程序,就成為安全隱患,容易被黑客當(dāng)成漏洞進(jìn)行攻擊。后門通常能夠使管理員無法阻止種植者再次進(jìn)入系統(tǒng),而且還能保護(hù)種植者不易被發(fā)現(xiàn)。

計算機(jī)病毒是一種人為的特制程序,影響計算機(jī)使用并且能夠自我復(fù)制,通常情況下影響運(yùn)行速度,惡劣時還能引起機(jī)器癱瘓,病毒具有很強(qiáng)的感染性、一定的潛伏性、特定的觸發(fā)性和很大的破壞性等共性。

按照屬性可以將病毒分成以下四類:

網(wǎng)絡(luò)病毒:通過計算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。

文件病毒:計算機(jī)中的COM,EXE,DOC等文件。

引導(dǎo)型病毒:感染啟動扇區(qū)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)。

混合型:通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng)。

常見的病毒有:

系統(tǒng)病毒:通常能夠感染windows系統(tǒng)的* .exe和* .dll文件,并且通過 這些文件進(jìn)行傳播。

蠕蟲病毒:通常是以計算機(jī)為載體,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存,計算網(wǎng)絡(luò)地址,將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在,一般除了內(nèi)存不占用其他資源。通常攻擊操作系統(tǒng)和應(yīng)用程序的漏洞,向外發(fā)送有病毒的郵件,還可能阻塞網(wǎng)絡(luò)。

腳本病毒:使用腳本語言編寫,通過網(wǎng)頁傳播。

木馬病毒:木馬具有隱蔽性和非授權(quán)性等特點(diǎn),其中一般包括服務(wù)器程序和控制器程序兩部分,黑客利用木馬控制程序進(jìn)入電腦,命令程序控制用戶的電腦。木馬與后門的相同之處在于都是隱藏在用戶系統(tǒng)中向外發(fā)送信息,而且本身具有一定權(quán)限;不同之處在于木馬是一個完整的軟件,而后門則體積較小且功能單一。

(2)網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)安全上是一個較為敏感的話題,目前技術(shù)已經(jīng)發(fā)展的比較成熟。它可以協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),還可以排除網(wǎng)絡(luò)故障。但是從另一方面看,它也對網(wǎng)絡(luò)安全造成隱患,許多網(wǎng)絡(luò)入侵都會伴隨網(wǎng)絡(luò)監(jiān)聽行為,當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級用戶的權(quán)限以后,使用網(wǎng)絡(luò)監(jiān)聽可以有效地截獲網(wǎng)上的數(shù)據(jù),造成口令失竊,敏感數(shù)據(jù)被截獲等安全事件。但是,網(wǎng)絡(luò)監(jiān)聽只能用于連接同一網(wǎng)段的主機(jī),通常是被用來獲取用戶的口令。

(3)網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚又被稱作釣魚法或釣魚式攻擊,攻擊者往往通過欺騙性的垃圾郵件和站點(diǎn)進(jìn)行詐騙,通常偽裝成網(wǎng)絡(luò)銀行、在線零售商等可信的品牌,意圖引誘收件人泄露用戶的私人資料,比如信用卡號、銀行賬戶、身份證號等內(nèi)容。通常這個攻擊過程不會讓受害者警覺,是“社會工程攻擊”的一種形式。已經(jīng)給廣大網(wǎng)民造成了巨大的經(jīng)濟(jì)損失。

三、防御措施

綜合上面所述的幾種常見的網(wǎng)絡(luò)安全隱患,可以看出,出現(xiàn)的安全問題雖然很普遍,造成的危害也很大,但是從出現(xiàn)的原因方面分析,這些安全問題在一定程度上還是可以避免的,下面提出相應(yīng)的防御性措施。

(一)物理安全措施

針對經(jīng)常出現(xiàn)的自然威脅,要注意保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件和通信電路,避免出現(xiàn)受自然災(zāi)害的威脅。系統(tǒng)配備要進(jìn)行嚴(yán)格的管理,配備防水、防火、防雷、防電、防磁等設(shè)備。建立定期檢修和維護(hù)制度,對突發(fā)性安全事故要有應(yīng)急預(yù)案,確保所有設(shè)備處于最佳的運(yùn)行狀態(tài)。

(二)網(wǎng)絡(luò)安全管理措施

要充分利用網(wǎng)絡(luò)自身的優(yōu)勢和缺陷,加強(qiáng)網(wǎng)絡(luò)安全管理。可以制定規(guī)章制度,以保障網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行。

深入研究系統(tǒng)的缺陷,完善網(wǎng)絡(luò)系統(tǒng)的設(shè)計。建立入網(wǎng)訪問控制功能模塊,嚴(yán)格限制訪問權(quán)限。同時,各類操作系統(tǒng)要經(jīng)過不斷的檢測,即時更新,以保障其完整性和安全性。

對于系統(tǒng)軟件,操作系統(tǒng)要防止用戶越權(quán)存取信息,防止用戶作業(yè)在指定范圍意外的存儲區(qū)域讀寫,同時還要加強(qiáng)記錄系統(tǒng)運(yùn)行狀況的功能。

(三)培養(yǎng)用戶的安全意識

計算機(jī)用戶要充分認(rèn)識到網(wǎng)絡(luò)安全的重要性,注意培養(yǎng)安全意識,養(yǎng)成良好的上網(wǎng)習(xí)慣,主要有以下幾方面的內(nèi)容:

(1)設(shè)置和管理好密碼,注意盡量設(shè)置強(qiáng)密碼,不要設(shè)置簡單的數(shù)字;要注意保護(hù)好密碼,并定期更換密碼。

(2)要注意不瀏覽不健康的網(wǎng)頁,不下載不健康的內(nèi)容,不隨便點(diǎn)擊網(wǎng)頁上的連接。

(3)警惕網(wǎng)絡(luò)陷阱。注意保護(hù)好自己私人信息,如身份證號、銀行卡號等重要信息,不輕易填寫個人資料。經(jīng)常清理瀏覽器緩存,防止信息泄露。

(4)下載軟件最好到大型正規(guī)的站點(diǎn)下載,對下載的文件要先進(jìn)行殺毒軟件掃描,確定沒有病毒之后再打開。在安裝軟件時要注意選擇安裝選項(xiàng),警惕惡意插件捆綁式安裝。

(5)注意文檔的安全,不要將文檔存在系統(tǒng)盤,對重要的文檔注意加密保存,防止有人無意打開或者蓄意盜取。同時,要做好數(shù)據(jù)備份工作,防止數(shù)據(jù)丟失,進(jìn)行迅速的恢復(fù)。對重要的數(shù)據(jù)要選用合適的設(shè)備定期備份。

(四)漏洞補(bǔ)丁更新

一些系統(tǒng)的官方網(wǎng)站在發(fā)現(xiàn)系統(tǒng)漏洞之后會及時地補(bǔ)丁程序,要注意及時安裝補(bǔ)丁程序,而且要密切關(guān)注國內(nèi)外著名的安全站點(diǎn),及時獲得最新的網(wǎng)絡(luò)漏洞信息。

(五)防止惡性攻擊的技術(shù)

1. 病毒防護(hù)技術(shù)

病毒防護(hù)是網(wǎng)絡(luò)安全技術(shù)中的重要的一環(huán),應(yīng)該以防為主,防止外界的病毒感染本機(jī),抑制本機(jī)病毒不向外擴(kuò)散。事后的彌補(bǔ)性措施不能徹底的解決安全問題的。用戶要安裝正版的殺毒軟件,并對殺毒軟件實(shí)時監(jiān)控,定期升級,確保獲得最新的病毒庫信息。還要定期地對電腦進(jìn)行掃描,及時發(fā)現(xiàn)并消除隱藏的病毒。

2. 防火墻技術(shù)

防火墻技術(shù)是一種軟件和硬件的結(jié)合,可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,過濾一些攻擊,還可以關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,此外,它還可以禁止來自特殊站點(diǎn)的訪問,防止來自不明入侵者的所有通信。

3. 數(shù)據(jù)加密技術(shù)

加密可以把明文變?yōu)槊芪?,?yàn)證介入信息的傳送、存取、處理人的身份和相關(guān)的數(shù)據(jù),使未授權(quán)的人無法破譯,保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩院捅C苄浴?/p>

4.入侵檢測系統(tǒng)

可以看做是防火墻之后的一道安全防護(hù),通過從網(wǎng)絡(luò)的關(guān)鍵點(diǎn)收集信息并分析,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和跡象,提供對內(nèi)、外攻擊和誤操作的保護(hù),提高信息安全結(jié)構(gòu)的完整性。

總結(jié)

網(wǎng)絡(luò)安全是一個復(fù)雜的系統(tǒng)工程,必須綜合考慮各種安全因素,制定相應(yīng)的方案和制度,提高自身的安全意識,確保網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。

【參考文獻(xiàn)】

[1]李云峰,李婷.計算機(jī)網(wǎng)路技術(shù)教程[M].北京:電子工業(yè)出版社,2010:252.

篇2

關(guān)鍵詞:網(wǎng)絡(luò)安全 計算機(jī)網(wǎng)絡(luò) 安全防范

基于此,網(wǎng)絡(luò)安全問題就成了人們備受關(guān)注的重要課題。從其本質(zhì)上來看,計算機(jī)網(wǎng)絡(luò)安全也即是確保網(wǎng)上的各信息資源的安全,網(wǎng)絡(luò)安全從某種意義上來說就是指網(wǎng)絡(luò)信息安全,也即是指網(wǎng)絡(luò)系統(tǒng)中流動及保存的各種數(shù)據(jù)資源信息不被惡意的泄漏和破壞。網(wǎng)絡(luò)上各種數(shù)據(jù)資源信息時網(wǎng)絡(luò)中最寶貴的資源,然而很多不法分子就是通過各種網(wǎng)絡(luò)途徑竊取相應(yīng)的網(wǎng)絡(luò)信息資源、泄漏信息、進(jìn)行一些有害信息的傳播等違法行為。而計算機(jī)網(wǎng)絡(luò)安全也即是指通過一定的控制手段和管理方法,對網(wǎng)絡(luò)上的信息及網(wǎng)絡(luò)自身進(jìn)行保護(hù)措施,以此來實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全級網(wǎng)絡(luò)各服務(wù)的正常運(yùn)行;安全可靠的計算機(jī)網(wǎng)絡(luò)必須具備可靠性、保密性、完整性和可用性4個基本特點(diǎn)。

1、計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的安全威脅

由于大型網(wǎng)絡(luò)系統(tǒng)中由多種網(wǎng)絡(luò)協(xié)議支持,如TCP/IP、IPX/SPX等,而這些網(wǎng)絡(luò)協(xié)議并非網(wǎng)絡(luò)系統(tǒng)中專門為安全通訊而設(shè)計。因此,網(wǎng)絡(luò)運(yùn)行中可能存在以下兩種網(wǎng)絡(luò)安全威脅:(1)網(wǎng)絡(luò)中的設(shè)備安全威脅;(2)網(wǎng)絡(luò)中信息的安全威脅。計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全威脅因素有很多,這些因素有可能是無意的,但也有很多因素是人為的、有意的;也有可能是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用所造成。對其歸納分析可知,對網(wǎng)絡(luò)安全運(yùn)行的主要安全威脅有以下幾方面:

1.1 人為無意失誤造成的安全問題

如操作人員在進(jìn)行網(wǎng)絡(luò)安全配置中,出現(xiàn)的不當(dāng)操作從而造成的網(wǎng)絡(luò)安全漏洞,引發(fā)的各種安全威脅,如用戶口令選擇不慎,用戶的安全意識淡薄,用戶隨意將自己賬號信息轉(zhuǎn)接他人等,都會給網(wǎng)絡(luò)運(yùn)行帶來一定的安全威脅。

1.2 人為惡意攻擊造成的安全問題

這是計算機(jī)網(wǎng)絡(luò)運(yùn)行中面臨的最主要的安全威脅,計算機(jī)犯罪和敵手攻擊均屬于人為的惡意攻擊。該類攻擊同時可以分為主動攻擊和被動攻擊兩類,主動攻擊也即是有選擇性的破壞信息的完整性和有效性;被動攻擊也即是在不影響網(wǎng)絡(luò)正常運(yùn)作的情況下,安裝一些監(jiān)控裝置或竊聽裝置到計算機(jī)用戶上,來實(shí)現(xiàn)對網(wǎng)絡(luò)中的計算機(jī)的非法監(jiān)聽或掃描,以此來破譯、竊取或截獲用戶的重要信息資源。這兩種攻擊均會對計算機(jī)網(wǎng)絡(luò)產(chǎn)生極大危害,甚至導(dǎo)致機(jī)密數(shù)據(jù)的丟失和泄漏。

1.3 網(wǎng)絡(luò)軟件自身的漏洞

網(wǎng)絡(luò)軟件自身的缺陷和漏洞也是網(wǎng)絡(luò)安全運(yùn)行的最大隱患之一,這些漏洞和缺陷同時也是黑客攻擊的首選目標(biāo),從以往發(fā)生的黑客攻擊網(wǎng)絡(luò)內(nèi)部的事件我們不難看出,多數(shù)事件均是因?yàn)槠渥陨戆踩胧┎划?dāng)引發(fā)。如微軟的Windows,2005年7月公布的嚴(yán)重威脅用戶安全的兩款漏洞,了“高?!奔墑e的安全警告。其中的一處安全漏洞存在于Windows上的色彩管理模塊(Color Management Module)上,另一處漏洞則存在于微軟Java虛擬機(jī)上的JView Profiler部分。這些攻擊弱點(diǎn)都可以使黑客輕易操縱用戶電腦。黑客通過利用Windows上JView Profiler漏洞,把惡意代碼下載并安裝到用戶的機(jī)器上,使黑客對被黑機(jī)器實(shí)施遠(yuǎn)程控制,使受危害的機(jī)器成為botnet(僵尸網(wǎng)絡(luò))中的一個部分。再如,2011年不斷爆出的數(shù)據(jù)泄露事件。4月份開始索尼遭遇的黑客事件,直接導(dǎo)致其在線PlayStation網(wǎng)絡(luò)中7700萬客戶的信息,包括信用卡賬號被竊,損失1.7億美元等,均讓我們看到網(wǎng)絡(luò)軟件自身的缺陷和漏洞不容小覷。

2、計算機(jī)網(wǎng)絡(luò)安全的防范策略分析

通過以上分析,筆者以為,網(wǎng)絡(luò)安全的防范其主要目的應(yīng)以隔離不安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)為主,同時對他們的訪問進(jìn)行嚴(yán)格控制?;诖耍赏ㄟ^提供防火漆系統(tǒng),作為訪問控制設(shè)備,來實(shí)現(xiàn)與不安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的隔離。

防火強(qiáng)本身的特點(diǎn),決定了它配置位置應(yīng)處于兩個不同網(wǎng)絡(luò)之間的連接處,使之成為兩個網(wǎng)絡(luò)間唯一的訪問通道,這樣一來,所有進(jìn)出它的數(shù)據(jù)都需要經(jīng)過防火墻進(jìn)行檢驗(yàn)和過濾,以此來真正的發(fā)揮防火墻的功能。

以下以某學(xué)校的校園網(wǎng)為例,簡單闡述防火墻系統(tǒng)在計算機(jī)網(wǎng)絡(luò)安全中的建設(shè)方案。結(jié)合校園網(wǎng)的特點(diǎn),首先在路由器和中心交換機(jī)間放置阿姆瑞特防火墻(阿姆瑞特F300防火墻擁有5個接口),同時將學(xué)校對外服務(wù)器放置于防火強(qiáng)的其它接口上,以此在保障各服務(wù)器安全的同時保,還保障了網(wǎng)絡(luò)的帶寬。通過在防火墻上設(shè)置不允許Internet 用戶訪問該校內(nèi)部網(wǎng),使得該校園網(wǎng)絡(luò)更加安全合理。其具體配置可參照圖1所示:

除了做好防火墻系統(tǒng)的配置以外,計算機(jī)自身還應(yīng)定時的進(jìn)行安全掃描。一般情況下,計算機(jī)網(wǎng)路用戶會以出現(xiàn)問題解決問題的態(tài)度來對待計算機(jī)網(wǎng)絡(luò)出現(xiàn)的安全問題,這是一個極為不好的習(xí)慣,計算機(jī)網(wǎng)絡(luò)用戶應(yīng)養(yǎng)成定期的系統(tǒng)掃描和全盤掃描的習(xí)慣,定期檢測計算機(jī)網(wǎng)絡(luò)各部分的運(yùn)行狀況,以便及早發(fā)現(xiàn)問題,及早給予處理。

同時,還應(yīng)設(shè)置網(wǎng)絡(luò)病毒防范技術(shù)。病毒作為計算機(jī)網(wǎng)絡(luò)中最常見的安全威脅,對計算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)就必須適當(dāng)增加網(wǎng)路殺毒軟件,通過安裝各種殺毒軟件實(shí)現(xiàn)對計算機(jī)網(wǎng)絡(luò)的實(shí)時保護(hù),以此來將網(wǎng)絡(luò)威脅降低到最小程度。部分用戶會因?yàn)橛X得麻煩而不選擇安裝殺毒軟件,這樣一來很容易給病毒營造一種暢通無阻的環(huán)境,病毒會隨著瀏覽網(wǎng)頁或下載資料資源等入侵到本地計算機(jī)網(wǎng)絡(luò)系統(tǒng),進(jìn)而給正常的網(wǎng)絡(luò)訪問帶來影響。因此,筆者以為無論是單位計算機(jī)網(wǎng)絡(luò)還是小型的家用計算機(jī)網(wǎng)絡(luò)中的計算機(jī)均應(yīng)安裝一定的殺毒軟件,以此來啟動本地計算機(jī)的防護(hù)功能。

參考文獻(xiàn)

[1]李明革,楊亞洲,姜占華.園區(qū)網(wǎng)絡(luò)故障分析及解決措施[J].吉林大學(xué)學(xué)報:信息科學(xué)版,2008(4):102-103.

[2]孫全尚,孫書雙.淺析計算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].科技創(chuàng)新導(dǎo)報,2008 (28):56-58.

篇3

關(guān)鍵詞:網(wǎng)絡(luò)安全;病毒防范;防火墻

        0  引言

        如何保證合法網(wǎng)絡(luò)用戶對資源的合法訪問以及如何防止網(wǎng)絡(luò)黑客的攻擊,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。

        1  網(wǎng)絡(luò)安全威脅

        1.1 網(wǎng)絡(luò)中物理的安全威脅  例如空氣溫度、濕度、塵土等環(huán)境故障、以及設(shè)備故障、電源故障、電磁干擾、線路截獲等。

        1.2 網(wǎng)絡(luò)中信息的安全威脅  ①蠕蟲和病毒。計算機(jī)蠕蟲和病毒是最常見的一類安全威脅。蠕蟲和病毒會嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài),而要清除被感染計算機(jī)中的病毒所要耗費(fèi)的時一間也更長。②黑客攻擊?!昂诳汀币辉~由英語Hacker英譯而來,原意是指專門研究、發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)漏洞的計算機(jī)愛好者?,F(xiàn)如今主要用來描述那些掌握高超的網(wǎng)絡(luò)計算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽、密文破解和拒絕服務(wù)(DtS)攻擊等。

        2  網(wǎng)絡(luò)安全技術(shù)

        為了消除上述安全威脅,企業(yè)、部門或個人需要建立一系列的防御體系。目前主要有以下幾種安全技術(shù):

        2.1 密碼技術(shù)  在信息傳輸過程中,發(fā)送方先用加密密鑰,通過加密設(shè)備或算法,將信息加密后發(fā)送出去,接收方在收到密文后,用解密密鑰將密文解密,恢復(fù)為明文。如果傳輸中有人竊取,也只能得到無法理解的密文,從而對信息起到保密作用。

        2.2 身份認(rèn)證技術(shù)  通過建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán),防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)環(huán)境中,信息傳至接收方后,接收方首先要確認(rèn)信息發(fā)送方的合法身份,然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗(yàn)證和數(shù)字證明。

        2.3 病毒防范技術(shù)  計算機(jī)病毒實(shí)際上是一種惡意程序,防病毒技術(shù)就是識別出這種程序并消除其影響的一種技術(shù)。從防病毒產(chǎn)品對計算機(jī)病毒的作用來講,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測技術(shù)和病毒清除技術(shù)。   

        ①病毒預(yù)防技術(shù)。計算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計算機(jī)病毒。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測技術(shù)。它有兩種:一種是根據(jù)計算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù);另一種是不針對具體病毒程序的自身校驗(yàn)技術(shù),即對某個文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn),若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性己遭到破壞,感染上了病毒,從而檢測到病毒的存在。③病毒清除技術(shù)。計算機(jī)病毒的清除技術(shù)是計算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果,是計算機(jī)病毒傳染程序的一個逆過程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的,帶有滯后性。而且由于計算機(jī)軟件所要求的精確性,殺毒軟件有其局限性,對有些變種病毒的清除無能為力。

        2.4 入侵檢測技術(shù)  入侵檢測技術(shù)是一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),也是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

    入侵檢測系統(tǒng)所采用的技術(shù)可分為特征檢測與異常檢測兩種。

        ①特征檢測的假設(shè)是入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式。它可以將己有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點(diǎn)在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又不會將正常的活動包含進(jìn)來。②異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。根據(jù)這一理念建立主體正常活動的“活動簡檔”,將當(dāng)前主體的活動狀況與“活動簡檔”相比較,當(dāng)違反其統(tǒng)計規(guī)律時,認(rèn)為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

        2.5 漏洞掃描技術(shù)  漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。漏洞檢測技術(shù)就是通過對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患,換言之,漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷,預(yù)先評估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評估報告,它指出了哪些攻擊是可能的,因此成為網(wǎng)絡(luò)安全解決方案中的一個重要組成部分。

        漏洞掃描技術(shù)主要分為被動式和主動式兩種:

篇4

〔關(guān)鍵詞〕圖書館;計算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;UTM;新技術(shù)

〔中圖分類號〕G250.78 〔文獻(xiàn)標(biāo)識碼〕B 〔文章編號〕1008-0821(2012)10-0127-03

圖書館網(wǎng)絡(luò)安全應(yīng)給予高度重視,計算機(jī)病毒、黑客攻擊、系統(tǒng)漏洞、硬件環(huán)境等諸多因素都對圖書館網(wǎng)絡(luò)安全構(gòu)成威脅。傳統(tǒng)網(wǎng)絡(luò)安全防范措施如防火墻、VPN網(wǎng)關(guān)、入侵檢測以及防病毒等,為功能單一的安全管理模式,即習(xí)慣稱之為STM(單一威脅管理),已遠(yuǎn)不能滿足新的混合型攻擊的防范要求。UTM新技術(shù)即“一體化的威脅管理”新模式集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,為構(gòu)筑圖書館網(wǎng)絡(luò)安全堅固防線帶來了新曙光。

1 圖書館網(wǎng)絡(luò)安全威脅

1.1 計算機(jī)病毒攻擊

計算機(jī)病毒是一個程序,或一段可執(zhí)行碼,它有獨(dú)特的復(fù)制能力,能附著在各類文件上隨同文件通過網(wǎng)絡(luò)或文件復(fù)制而迅速傳播開來。它隱蔽在其他可執(zhí)行的程序中,既有破壞性,又有傳染性和潛伏性。它對計算機(jī)進(jìn)行破壞,使其性能降低、無法正常使用甚至使整個計算機(jī)操作系統(tǒng)或硬件損壞。圖書館網(wǎng)已普遍接入到互聯(lián)網(wǎng),這為病毒的侵入提供了便利途徑。一旦服務(wù)器和工作站被病毒感染,就會迅速擴(kuò)散至整個圖書館網(wǎng)絡(luò),可能造成系統(tǒng)損壞、數(shù)據(jù)丟失、應(yīng)用程序無法使用、甚至導(dǎo)致網(wǎng)絡(luò)癱瘓,造或無法挽回的損失。隨著互聯(lián)網(wǎng)的迅猛發(fā)展,計算機(jī)病毒從種類到數(shù)量在急劇增加,而且傳播速度加快,受感染的范圍也越來越廣,破壞性也在加大,而病毒的清除卻非常困難[1]。

1.2 黑客攻擊

從黑客攻擊手段看可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。常見黑客攻擊手段有:

(1)系統(tǒng)漏洞攻擊:一些別有用心的人,利用窮舉搜索法,發(fā)現(xiàn)并利用程序設(shè)計員由于疏忽或者其他原因(如將其留在程序中,便于日后訪問、測試或維護(hù))而留下的后門即系統(tǒng)漏洞進(jìn)行攻擊。

(2)信息炸彈:即使用一些特殊工具軟件,短時間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息,造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。

(3)信息攻擊:攻擊者通過發(fā)送偽造的路由信息,構(gòu)造源主機(jī)和目標(biāo)主機(jī)的虛假路徑,從而使流向目標(biāo)主機(jī)的數(shù)據(jù)包均經(jīng)過攻擊者的主機(jī)。這樣就給攻擊者提供了敏感的信息和有用的密碼。

(4)拒絕服務(wù)攻擊:分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段。它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源,最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。

(5)網(wǎng)絡(luò)監(jiān)聽:當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級用戶權(quán)限后,若要登錄其他主機(jī),使用網(wǎng)絡(luò)監(jiān)聽可以有效地截獲網(wǎng)上的數(shù)據(jù),這是黑客使用最多的方法,但是,網(wǎng)絡(luò)監(jiān)聽只能應(yīng)用于物理上連接于同一網(wǎng)段的主機(jī),通常被用做獲取用戶口令[2]。

對于圖書館網(wǎng)絡(luò)來說,黑客攻擊的危害主要有以下幾個方面:

(1)惡意破壞:黑客出于某種不可告人的目的,對圖書館網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸致使服務(wù)中斷,或入侵Web和其它文件服務(wù)器,刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰。還可能向圖書館網(wǎng)絡(luò)傳送附帶病毒的文件,達(dá)到破壞的目的。

(2)竊取數(shù)據(jù):黑客有可能竊取圖書館建立的特色數(shù)字館藏和花巨資購買的數(shù)據(jù)庫資源以逃避有償服務(wù)。

(3)非法使用網(wǎng)絡(luò)資源:黑客通過對圖書館網(wǎng)絡(luò)系統(tǒng)的控制,能夠無限制地使用其中的計算機(jī)和網(wǎng)絡(luò)連接服務(wù)等資源而不必支付任何費(fèi)用。最典型的就是免費(fèi)使用數(shù)據(jù)通信網(wǎng)絡(luò),其結(jié)果是使圖書館無故承擔(dān)高昂的費(fèi)用并造成不必要的網(wǎng)絡(luò)堵塞[3]。

(4)破壞數(shù)據(jù)完整性:外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)用戶以非法手段取得對數(shù)據(jù)的使用權(quán),通過非法竊取、篡改、偽造某些重要信息,以取得有益于攻擊者的響應(yīng);同時,利用惡意添加、修改數(shù)據(jù)破壞內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接。

1.3 系統(tǒng)漏洞

1.3.1 Windows系統(tǒng)

(1)輸入法漏洞:通過該漏洞用戶可瀏覽計算機(jī)上的所有文件,且可執(zhí)行net.exe命令添加Administrator級別的管理員用戶,從而完全控制計算機(jī)。

(2)Unicode漏洞:“Unicode漏洞”是微軟IIS的一個重大漏洞。IIS 4.0和IIS 5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個安全漏洞,導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令。當(dāng)用戶用IIS打開文件時,如果該文件名包含Unicode字符,系統(tǒng)會對其進(jìn)行解碼。如果用戶提供一些特殊的編碼,將導(dǎo)致IIS錯誤地打開或者執(zhí)行某些Web根目錄以外的文件。攻擊者可以利用這個漏洞來繞過IIS的路徑檢查,去執(zhí)行或者打開任意的文件。

(3)ISAPI緩沖區(qū)溢出漏洞:ISAPI,即Internet Services Application Programming Interface,作為安裝IIS過程的一部分,系統(tǒng)還會安裝幾個ISAPI擴(kuò)展.dlls,其中idq.dll是Index Server的一個組件,對管理員腳本和Internet數(shù)據(jù)查詢提供支持。但是,idq.dll在一段處理URL輸入的代碼中存在一個未經(jīng)檢查的緩沖區(qū),攻擊者利用此漏洞能導(dǎo)致受影響服務(wù)器產(chǎn)生緩沖區(qū)溢出,從而執(zhí)行自己提供的代碼。更為嚴(yán)重的是,idq.dll是以System身份運(yùn)行的,攻擊者可以利用此漏洞取得系統(tǒng)管理員權(quán)限。當(dāng)外部攻擊實(shí)施向ISAPI擴(kuò)展發(fā)送特定參數(shù)的“Buffer Over Run”攻擊時,即可從外部執(zhí)行服務(wù)器的所有程序[4]。

此外還有:Microsoft IIS CGI文件名錯誤解碼漏洞、MSADCS RDS弱點(diǎn)漏洞、FrontPage服務(wù)器擴(kuò)展漏洞、Printer漏洞、系統(tǒng)管理權(quán)限漏洞、路徑優(yōu)先漏洞、NetDDE消息權(quán)限提升漏洞、RDP拒絕服務(wù)漏洞、域控制器拒絕服務(wù)漏洞等,這些都對系統(tǒng)構(gòu)成安全威脅。

1.3.2 數(shù)據(jù)庫系統(tǒng)

(1)SQL數(shù)據(jù)庫漏洞:SQL服務(wù)器是一個非常強(qiáng)大的數(shù)據(jù)庫。在安裝MS SQL Server后,會產(chǎn)生默認(rèn)的SA用戶,且初始密碼在管理員未設(shè)置的情況下為空,但SA為SQL Server中非常重要的安全模塊成員,因此入侵者即可通過SQL Server客戶端進(jìn)行數(shù)據(jù)庫遠(yuǎn)程連接,然后通過SQL的遠(yuǎn)程數(shù)據(jù)庫管理命令進(jìn)行命令操作,從而在MS SQL Server服務(wù)器上新建管理員級別的Administrators組用戶[4]。

SQL Server 2000所含組件“SQLXML”中也存在安全漏洞。在建立能夠通過Internet Information Server/Services(IIS)向SQL Server直接發(fā)送請求(Query)的系統(tǒng)時,如果接收了某種被做過手腳的請求,就存在著IIS服務(wù)器上被執(zhí)行任意代碼(程序)的危險。與此同時,還在SQLXML中發(fā)現(xiàn)了可能危及客戶端的安全漏洞[5]。遠(yuǎn)程攻擊者可能利用SQL漏洞導(dǎo)致拒絕服務(wù)、繞過數(shù)據(jù)庫策略、泄漏敏感信息或執(zhí)行任意代碼。

(2)Oracle數(shù)據(jù)庫漏洞:Oracle Application Server最近被發(fā)現(xiàn)存在多個安全漏洞,包括資料溢寫、不安全的預(yù)設(shè)定、無法執(zhí)行存取控制以及無法驗(yàn)證輸入。這些漏洞造成的影響包括可被執(zhí)行任意指令或程序代碼、拒絕服務(wù),及未經(jīng)授權(quán)的資料存取[6]。

(3)sybase數(shù)據(jù)庫漏洞:Sybase ASE能實(shí)現(xiàn)多種性能優(yōu)化機(jī)制。其中的一個機(jī)制允許用戶在執(zhí)行SQL查詢時指定抽象查詢計劃。所有可以執(zhí)行SQL查詢的用戶都可以指定查詢計劃。攻擊者可以創(chuàng)建能夠?qū)е聴R绯龅奶刂撇樵冇媱?。如果服?wù)器處理了畸形的抽象查詢計劃就可以觸發(fā)該漏洞。如果成功利用的話,就可能導(dǎo)致內(nèi)存破壞并執(zhí)行任意代碼。攻擊還可能導(dǎo)致拒絕服務(wù)[7]。

1.4 硬件環(huán)境

(1)計算機(jī)內(nèi)網(wǎng)設(shè)備使用留下隱患:移動硬盤、U盤、筆記本電腦等在內(nèi)網(wǎng)與外網(wǎng)上交替使用,導(dǎo)致病毒傳入、數(shù)據(jù)泄漏和丟失。

(2)私加網(wǎng)卡,同時連接內(nèi)網(wǎng)與外網(wǎng),這樣外部的攻擊行為與病毒就可輕易繞過內(nèi)外網(wǎng)之間防火墻,順利入侵內(nèi)網(wǎng),利用該通道內(nèi)部人員也可容易地將內(nèi)部信息傳到外網(wǎng)。

(3)網(wǎng)絡(luò)物理環(huán)境不合理,網(wǎng)絡(luò)傳輸介質(zhì)易被竊聽,防電磁干擾能力差。網(wǎng)絡(luò)服務(wù)器,交換機(jī)、集線器、網(wǎng)絡(luò)聯(lián)線與布線結(jié)構(gòu)都是引起不安全的因素。不可預(yù)料的自然災(zāi)害、電氣故障、靜電、磁場影響、電源質(zhì)量、機(jī)房布局不當(dāng)、機(jī)房輔助設(shè)備故障等,都是危害網(wǎng)絡(luò)系統(tǒng)安全的隱患[1]。

2 傳統(tǒng)安全防范措施

2.1 防火墻技術(shù)

防火墻是在內(nèi)部專用網(wǎng)與外部網(wǎng)( 如因特網(wǎng)) 之間構(gòu)筑的一道屏障,可提供接入控制,干預(yù)兩網(wǎng)之間的息傳遞,是安全防范體系中必要的一層。它最主要的作用就是防止對計算機(jī)的非法訪問。

2.2 入侵檢測

入侵檢測被認(rèn)為是防火墻之后的第二道閘門,可以實(shí)時的監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)訪問和系統(tǒng)事件,提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。

2.3 用戶認(rèn)證

高校圖書館對校園內(nèi)用戶實(shí)行統(tǒng)一認(rèn)證和管理,從而保證該用戶有適當(dāng)?shù)臋?quán)限訪問圖書館資源,防止外來人員的惡意襲擊。

2.4 數(shù)據(jù)備份

圖書館數(shù)據(jù)具有數(shù)據(jù)量大、更新迅速等特點(diǎn),具有較大的風(fēng)險性。因此數(shù)據(jù)庫中的數(shù)據(jù)應(yīng)及時、準(zhǔn)確、完整地建立備份,一般采用即時數(shù)據(jù)雙機(jī)或雙盤在線備份和當(dāng)日數(shù)據(jù)離線備份的方式備份好數(shù)據(jù)[8]。

3 傳統(tǒng)安全防范措施的缺陷

3.1 路由器防火墻

路由器防火墻一般只做第3、4層的防御,即對IP地址、端口的過濾,對于內(nèi)網(wǎng)用戶訪問外網(wǎng)80端口一般是放行的,這樣在用戶隨意瀏覽到被掛馬的網(wǎng)站時,像熊貓燒香這類病毒就堂而皇之的進(jìn)到內(nèi)網(wǎng)PC中了。在接著的局域網(wǎng)內(nèi)的傳播及移動存儲設(shè)備的傳播中,由于不通過路由器、硬件防火墻,因此路由器、硬件防火墻也不可能進(jìn)行有效的防御。某些高級防火墻帶有一定的應(yīng)用層過濾的機(jī)制,例如:核過濾、流過濾等,但作用的力度、范圍及靈活性不大,無法阻攔病毒通過被掛馬網(wǎng)站的傳播。

3.2 防病毒軟件及防病毒網(wǎng)關(guān)

防病毒軟件及網(wǎng)關(guān)只能根據(jù)已知的病毒特征碼進(jìn)行過濾,在新病毒出現(xiàn)和防病毒軟件、網(wǎng)關(guān)得到該病毒的特征碼之間有時間差,各防病毒軟件及專殺工具往往跟不上新病毒及其變種的更新速度。

3.3 入侵檢測(IDS) & 入侵阻攔(IPS)

大部分的入侵檢測系統(tǒng)是依靠特征碼進(jìn)行的,與防病毒一樣,由于在特征碼的更新上落后于新病毒的和變種,也只能起到亡羊補(bǔ)牢的作用。如果沒有入侵阻攔(IPS)或防火墻聯(lián)動的幫忙,即使IDS檢測到了病毒,也不能阻止其泛濫。

3.4 VPN & SSL

VPN只是在第2、3、4層上建立了一個加密隧道,并沒有檢測應(yīng)用層的內(nèi)容,因此,象熊貓燒香病毒仍可以順著建立好的VPN隧道進(jìn)入對方網(wǎng)絡(luò)。

3.5 VLAN

在實(shí)際應(yīng)用中,大部分單位均以部門為單位進(jìn)行VLAN劃分,因此,本部門中1臺機(jī)器中了毒,整個部門就存在被感染的風(fēng)險,除非每臺機(jī)器都裝了個人防火墻[9]。

4 運(yùn)用UTM新技術(shù)構(gòu)筑圖書館網(wǎng)絡(luò)安全堅固防線

目前,網(wǎng)絡(luò)安全防范的狀況是,大都還在使用功能單一的安全設(shè)備,即STM(單一威脅管理)。比如,防火墻、VPN網(wǎng)關(guān)、防毒墻、入侵偵測設(shè)備等。這些設(shè)備隨著企業(yè)要求的提高而不斷地串接起來,不僅需要大量的資金投入,而且會使網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜,增加網(wǎng)絡(luò)開銷,造成維護(hù)量大,排障困難,占用大量的人力。而網(wǎng)絡(luò)安全威脅也與日劇增,不同的攻擊手段同豐富的正常應(yīng)用混合起來,使得防范變得愈加困難,增加了安全管理上的壓力,因此,STM類設(shè)備已經(jīng)越來越無法適應(yīng)現(xiàn)代企業(yè)對于網(wǎng)絡(luò)的需求[10]。

于是UTM新技術(shù)就應(yīng)運(yùn)而生了。UTM(Unified Threat Management)即“一體化的威脅管理”。它集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,以其基于應(yīng)用協(xié)議層防御、超低誤報率檢測、高可靠高性能平臺、統(tǒng)一組件化管理、實(shí)現(xiàn)多種防御功能的優(yōu)勢已得到越來越多用戶青睞。由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備,因此UTM設(shè)備本身的性能和可靠性要求非常高。UTM的重要特點(diǎn)是:第一,網(wǎng)絡(luò)全協(xié)議層防御。除了傳統(tǒng)的訪問控制之外,還對防垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的效果,實(shí)現(xiàn)七層協(xié)議保護(hù)。第二,有高檢測技術(shù)來降低誤報。第三,有高可靠、高性能的硬件平臺支撐。第四,有一體化的統(tǒng)一管理。這樣,使設(shè)備本身平臺標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一平臺上進(jìn)行組件管理,同時,也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島,從而在應(yīng)對各種各樣攻擊威脅的時候,更好地保障用戶的網(wǎng)絡(luò)安全[11]。業(yè)內(nèi)人士認(rèn)為,UTM幾乎囊括了從外部防范到內(nèi)部防泄露、從單一獨(dú)立的安全產(chǎn)品到集中綜合的多項(xiàng)安全功能、從底層自架設(shè)的操作系統(tǒng)到網(wǎng)絡(luò)層和應(yīng)用層聯(lián)合抵御與防范等所有功能,無論是概念,還是其內(nèi)核精髓,對以往單薄的安全機(jī)制都是一次深刻變革。其產(chǎn)品精神勢必導(dǎo)致對傳統(tǒng)安全觀念的一次全新沖洗[12]。

總之,圖書館應(yīng)充分運(yùn)用包括UTM在內(nèi)的網(wǎng)絡(luò)安全新技術(shù)以構(gòu)筑其網(wǎng)絡(luò)安全的堅固防線。

參考文獻(xiàn)

[1]李東林.圖書館網(wǎng)絡(luò)安全探析[J].集團(tuán)經(jīng)濟(jì)研究,2006,(12月中旬刊):275-277.

[2]微塵8502.什么叫黑客攻擊?[EB].,2007-08-27.

[3]李衛(wèi)東.圖書館網(wǎng)絡(luò)安全問題與防范技[J].現(xiàn)代圖書情報技術(shù),2002,(6):91.

[4]全面Windows系統(tǒng)漏洞攻防實(shí)戰(zhàn)[EB].,2007-03-01.

[10]ZyWALL UTM領(lǐng)跑信息安全(1)[EB].http:∥/art/200601/16107.htm,2006-01-01.

篇5

關(guān)鍵詞:服務(wù)器安全;腳本漏洞;旁注;緩沖區(qū)溢出;ARP欺騙攻擊

伴隨互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為一個新興的職業(yè),網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)反黑客之間的斗爭日趨白熱化。隨著互聯(lián)網(wǎng)進(jìn)入社會的方方面面,不少黑客為了經(jīng)濟(jì)利益鋌而走險,非法牟利。另一方面黑客工具軟件在互聯(lián)網(wǎng)的傳播,降低了攻擊服務(wù)器的技術(shù)門檻,絕大部分攻擊者處于好奇心,抱著嘗試的態(tài)度,下載黑客攻擊對服務(wù)器進(jìn)行攻擊,反而這類黑客愛好者的破壞性是最大的。專業(yè)的網(wǎng)絡(luò)安全是一門綜合性的學(xué)科,包含網(wǎng)絡(luò)技術(shù)、通信技術(shù)、計算機(jī)程序設(shè)計、計算機(jī)安全技術(shù)等。隨著網(wǎng)上的在線交易、網(wǎng)銀、購物、網(wǎng)游、電子商務(wù)的發(fā)展,網(wǎng)絡(luò)安全事故的數(shù)量以及其造成的損失也在成倍地增長[1],網(wǎng)絡(luò)安全越來越關(guān)系著廣大用戶的切身利益。

1服務(wù)器常見攻擊方式

通過作者分析大部分的網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)上可免費(fèi)下載的黑客工具軟件進(jìn)行攻擊,被這類攻擊破壞的服務(wù)器系統(tǒng)安全問題具有普遍性,通過歸納總結(jié),網(wǎng)站服務(wù)器常見的攻擊方法有:腳本漏洞注入、域名旁注、緩沖區(qū)溢出攻擊、ARP欺騙攻擊、DDOS拒絕服務(wù)攻擊等常見方法。服務(wù)器安全之黑客攻擊手段如圖1所示。

2網(wǎng)站服務(wù)器安全防范

2.1腳本漏洞注入

SQL注入漏洞的根源在于:程序編寫的時候,沒有對用戶輸入的數(shù)據(jù)的內(nèi)容進(jìn)行判斷,沒有過濾掉會引起安全隱患的數(shù)據(jù),從而使攻擊者通過地址的提交,返回一些重要的數(shù)據(jù)。常見的SQL注入代碼在互聯(lián)網(wǎng)上可以隨時查到,通過舉例來說明:例如:想知道某個網(wǎng)站的管理賬號和密碼,可以進(jìn)行如下嘗試。先猜測其管理賬戶為:admin,然后進(jìn)入網(wǎng)站后臺登錄界面,進(jìn)行SQL注入攻擊,提交如下地址:.域名名稱.com/admin/userlogin.asp?userID=1and(selectpwdfrom管理員用戶表where字段名=‘ad-min’)>某個具體的整數(shù)數(shù)字這時將返回一個出錯頁面,返回的出錯信息如下:錯誤類型:[Microsoft][ODBCSQLServerDriver][SQLServer]將varchar值‘admin123456’轉(zhuǎn)換為Int型時發(fā)生語法錯誤。根據(jù)這個提示,就得到了賬號的管理密碼,管理密碼就是上面提示的“admin123456”,然后用賬號和得到的密碼,輕松從該網(wǎng)站后臺正常登錄該網(wǎng)站。在腳本漏洞類攻擊手段中,除了SQL注入漏洞,還有不少腳本漏洞類型可以攻擊,但是其共同的防范方法如下。防范方法:(1)程序設(shè)計中嚴(yán)格過濾用戶提交的數(shù)據(jù),包括用戶提交數(shù)據(jù)的長度、內(nèi)容等。(2)對于別人給的鏈接要格外謹(jǐn)慎。(3)設(shè)置服務(wù)器端的出錯頁面提示,防止通過出錯頁面提示泄露重要信息。

2.2域名旁注攻擊

人們對網(wǎng)絡(luò)安全的重視,最近興起了域名旁注攻擊這種攻擊手段。首先要清楚域名和IP之間的關(guān)系,所有的域名都要最終解析到某個IP上,域名旁注就是通過域名解析的IP,然后通過域名查詢網(wǎng)站提供的功能,可以看到解析在同一IP上的還有那些域名,并且將這些網(wǎng)站統(tǒng)計記錄下來。此類攻擊適用于:要攻擊的目標(biāo)網(wǎng)站的安全性非常高,沒有漏洞,該網(wǎng)站所在的虛擬主機(jī)還有其他站點(diǎn)。通過查詢得知該虛擬主機(jī)的所有站點(diǎn)域名,然后逐一尋找其他站點(diǎn)的漏洞,拿下該服務(wù)器的管理權(quán)限,或者通過漏洞站點(diǎn)上傳攻擊文件(一般是木馬程序)對目標(biāo)網(wǎng)站進(jìn)行操作。這個過程可以簡單地描述為:找到一臺服務(wù)器上有漏洞的站點(diǎn),通過攻擊該站點(diǎn),達(dá)到對目標(biāo)站點(diǎn)的攻擊目的。防范方法:先讓A記錄指向一個錯誤的IP,再在下面添加一個正確的IP,真實(shí)的IP被巧妙地隱藏了。具體域名解析操作要注意,現(xiàn)在域名解析的A記錄中添加一個錯誤的解析,然后再設(shè)置正確的域名解析IP,因?yàn)闊o論是用Ping命令還是whois查詢都只能得到一個域名解析記錄,并且是按照順序查出的。起初設(shè)置的錯誤的域名解析IP,最好使用一個不存在的Web服務(wù)器,否則該Web服務(wù)器會打開它的默認(rèn)主站程序。

2.3緩沖區(qū)溢出攻擊

絕大部分的對網(wǎng)絡(luò)服務(wù)器的攻擊都是此類攻擊。計算機(jī)程序可以將數(shù)據(jù)存放到內(nèi)存中的緩沖區(qū)中,當(dāng)然緩沖區(qū)的存放空間并不是無限大,是有具體容量限制的,如果程序存放的數(shù)據(jù)容量超過了緩沖區(qū)的上限,就會發(fā)生緩沖區(qū)溢出。這里要注意,如果僅僅是緩沖區(qū)數(shù)據(jù)溢出,并不會發(fā)生安全問題,只有數(shù)據(jù)溢出到Root權(quán)限可以運(yùn)行的區(qū)域才會引起安全問題。如果在Root權(quán)限的內(nèi)存中存在一個程序可以運(yùn)行的指令,就可以控制這個計算機(jī)。通過以上命令,成功在目標(biāo)服務(wù)增加了一個用戶“admin-istatro”,密碼“ok123”,這個賬號和系統(tǒng)默認(rèn)管理員賬號“administrator”極其類似,通過此賬戶,可以控制該服務(wù)器。防范方法:(1)關(guān)閉服務(wù)器端的139端口。(2)禁用服務(wù)器端的icp/ipnetbios服務(wù)。除了本文介紹的緩沖區(qū)溢出攻擊,很多溢出攻擊都是利用的這個服務(wù)。(3)設(shè)置防火墻,可以設(shè)置系統(tǒng)自帶的防火墻或者安裝防火墻軟件。(4)更新操作系統(tǒng),安裝重要的操作系統(tǒng)補(bǔ)丁,并開啟操作系統(tǒng)的自動更新功能,更新完畢后要重啟服務(wù)器。

2.4Arp欺騙攻擊

Arp是一種將IP轉(zhuǎn)化成以IP對應(yīng)的網(wǎng)卡物理地址的一種協(xié)議,這個協(xié)議不同于普通意義上的網(wǎng)絡(luò)通信協(xié)議,首先,它是一個臨時的存放在內(nèi)存中的表,這個表的內(nèi)容就是IP和MAC地址的對應(yīng),其次這個表的內(nèi)容是會發(fā)生變化的。當(dāng)計算機(jī)在進(jìn)行數(shù)據(jù)傳送時,數(shù)據(jù)包包含有:源IP地址,源MAC地址和目標(biāo)主機(jī)的IP地址,如果在源主機(jī)內(nèi)存中存放的表能找到目標(biāo)主機(jī)IP地址和MAC地址,則直接把數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī),如果不存在,則把信息廣播出去。如果有目標(biāo)主機(jī)收到該廣播信息,則目標(biāo)主機(jī)就會應(yīng)答源主機(jī),同時把本機(jī)的MAC地址返回給對方,從而實(shí)現(xiàn)目標(biāo)主機(jī)和源主機(jī)的數(shù)據(jù)傳輸。如果攻擊者收到了源主機(jī)的廣播信息,偽裝成目標(biāo)主機(jī)的IP,把自己的MAC地址返回給源主機(jī),則源主機(jī)就會更新內(nèi)存中的這張表,把IP和欺騙MAC地址對應(yīng)起來,這樣本來該發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù),都發(fā)送給了攻擊者。并且攻擊主機(jī)不停地發(fā)送給源主機(jī)廣播應(yīng)答,從而使源主機(jī)內(nèi)存中存放的臨時表始終保持錯誤的對應(yīng)狀態(tài)。防范方法:主要是加強(qiáng)密碼強(qiáng)度和設(shè)置好權(quán)限。設(shè)置好系統(tǒng)用的管理密碼和管理好FTP賬戶的權(quán)限,尤其是FTP賬戶的權(quán)限,要把FTP賬戶的目錄權(quán)限設(shè)置到最小,僅僅操作當(dāng)前的文件夾,這樣,就算有一個FTP賬號被破解,也僅僅限于該賬戶當(dāng)前的目錄內(nèi)。

2.5DDOS拒絕服務(wù)攻擊

此種攻擊原理很簡單,就是利用服務(wù)器要對客戶端請求發(fā)出應(yīng)答,在短時間內(nèi)對服務(wù)器發(fā)起海量請求,從而導(dǎo)致服務(wù)器應(yīng)答癱瘓,正常的訪問也無法應(yīng)答。此類攻擊的關(guān)鍵是如何在短時間內(nèi)發(fā)起海量的攻擊,攻擊者要控制多臺網(wǎng)絡(luò)服務(wù)器,并且在這些被控制的服務(wù)器上安裝DDOS攻擊程序,在其中的一臺服務(wù)器上安裝DDOS攻擊主控程序,DDOS攻擊主控程序主要用來與程序通信。只要在某個特定的時間通過主控程序發(fā)出指令給程序,程序收到指令就會向目標(biāo)主機(jī)發(fā)動攻擊,發(fā)送海量的垃圾請求,目標(biāo)主機(jī)在短時間內(nèi)無法應(yīng)答這么多的請求,從而導(dǎo)致目標(biāo)主機(jī)癱瘓。防范措施:(1)定期掃描系統(tǒng)內(nèi)的安全漏洞。(2)設(shè)置服務(wù)器端的負(fù)載均衡。(3)在骨干節(jié)點(diǎn)配置專業(yè)的抗拒絕服務(wù)設(shè)備。(4)用足夠的服務(wù)器承受黑客攻擊。(5)充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。(6)過濾不必要的服務(wù)和端口。(7)檢查訪問者的來源。(8)過濾所有RFC1918IP地址。

3結(jié)語

針對服務(wù)器的網(wǎng)絡(luò)攻擊方法層出不窮[2],介紹了主流的服務(wù)器攻擊方法,還有很多種服務(wù)器攻擊方法如:病毒攻擊、注冊表纂改等。其實(shí)任何的防范措施都是落伍的,在服務(wù)器安全方面,都是先有攻擊再有防范。針對服務(wù)器的攻擊往往帶來巨大的社會影響和經(jīng)濟(jì)損失。增強(qiáng)服務(wù)器安全防范的同時,要注意重要數(shù)據(jù)的備份,這樣就算有損失也能降到最低程度。

參考文獻(xiàn)

篇6

1計算機(jī)網(wǎng)絡(luò)應(yīng)用的常見問題

(1)系統(tǒng)漏洞。由于操作系統(tǒng)在設(shè)計上存在缺陷和錯誤,這就成為不法者通過惡意代碼就會容易進(jìn)入計算機(jī)系統(tǒng)對主機(jī)進(jìn)行控制電腦。有的電腦在使用時,沒有安裝網(wǎng)絡(luò)安全掃描工具,下載系統(tǒng)無法修復(fù)系統(tǒng)漏洞。同時不法分子通過欺騙路,使服務(wù)器無法正常辨別這些請求來攻擊服務(wù)器,從而造成緩沖區(qū)資源阻塞,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)無法訪問。

(2)黑客攻擊。計算機(jī)網(wǎng)絡(luò)的最大威脅一是網(wǎng)絡(luò)攻擊,另一類是網(wǎng)絡(luò)偵察,計算機(jī)網(wǎng)絡(luò)系統(tǒng)在不影響網(wǎng)絡(luò)正常工作的情況,通過竊取、破譯等方式非法植入對方計算機(jī)系統(tǒng),造成用戶的主機(jī)就被黑客完全利用,黑客用來竊取密碼、口令、帳號、阻塞電子郵件騷擾,破壞程序等行為,對用戶主機(jī)造成嚴(yán)重威脅。

(3)計算機(jī)病毒。計算機(jī)病毒是在計算機(jī)程序中,通過插入破壞數(shù)據(jù)來影響計算機(jī)自我復(fù)制的一組程序代碼,它具有寄生性、破壞性和可觸發(fā)性等特點(diǎn)。計算機(jī)病毒是傳播計算機(jī)病毒的主要途經(jīng),計算機(jī)病毒的產(chǎn)生也是計算機(jī)技術(shù)發(fā)展到一定階段的必然產(chǎn)物。

(4)網(wǎng)絡(luò)設(shè)備故障問題。拒絕服務(wù)攻擊是不法分子常用的攻擊手段之。其實(shí)對網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊,對目標(biāo)造成麻煩使網(wǎng)絡(luò)中的設(shè)備包括計算機(jī)、網(wǎng)絡(luò)通信設(shè)備、存儲設(shè)備、抗電磁干擾系統(tǒng)造成嚴(yán)重的損害,計算機(jī)系統(tǒng)的每個環(huán)節(jié)出現(xiàn)網(wǎng)絡(luò)故障,都會導(dǎo)致檢測設(shè)備的操作失常。

2計算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用策略

(1)設(shè)置防火墻。防火墻是通過預(yù)定義的安全策略,對網(wǎng)通信強(qiáng)制實(shí)施訪問控制,常用的防火墻技術(shù)是對數(shù)據(jù)包實(shí)施有選擇的通過,采用系統(tǒng)過濾邏輯,篩選數(shù)據(jù)據(jù)流中數(shù)據(jù)包的目標(biāo)地址,并允許該類數(shù)據(jù)包通過,檢測技術(shù)采用連接的狀態(tài)檢測機(jī)制,將整體的數(shù)據(jù)包通過規(guī)則表與狀態(tài)表的共同配合,對各個連接狀態(tài)因素加以識別,過濾防火墻的靜態(tài)過濾具有更好的靈活性和安全性,應(yīng)用網(wǎng)關(guān)技術(shù)來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于用于檢測計算機(jī)系統(tǒng)和網(wǎng)絡(luò)中是否有違反安全策略的行為。入侵檢測技術(shù)通過日志管理識別違反安全策略的活動從而達(dá)到限制這些行為活動,以保護(hù)系統(tǒng)的安全行為模式,并時時進(jìn)行入侵病毒特征的過濾。

(2)建立入侵防御系統(tǒng)。在網(wǎng)絡(luò)要建立網(wǎng)絡(luò)全方位的防病毒技術(shù),設(shè)計服務(wù)器操作系統(tǒng)平臺的防病毒軟件,使用全方位的防病毒產(chǎn)品來建立完備的防病毒體系。網(wǎng)絡(luò)檢測技術(shù)建立以檢測為主要標(biāo)志的安全系統(tǒng),隨時監(jiān)視受保護(hù)系統(tǒng)的活動,來識別信息系統(tǒng)的非法攻擊,使用檢測任何企圖損害系統(tǒng)的完整性的網(wǎng)絡(luò)安全技術(shù),它通過監(jiān)視來識別針對計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),包括檢測內(nèi)部合法用戶的超越使用權(quán)限的非法活動,對付已知和未知網(wǎng)絡(luò)攻擊,擴(kuò)展并提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。防御功能能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊,它的阻斷攻擊能力是通過采取措施將攻擊源阻斷。漏洞掃描是一項(xiàng)重要的主動防范安全技術(shù),它主要將相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配,利用模擬黑客的攻擊手法,引誘黑客前來攻擊,通過監(jiān)控系統(tǒng)記錄的攻擊行為進(jìn)行分析,來發(fā)現(xiàn)系統(tǒng)存在的漏洞。

(3)建立完整的網(wǎng)絡(luò)安全體系。要有檢測和防范措施才能保證數(shù)據(jù)不丟失和全面及時恢復(fù)系統(tǒng)的技術(shù),目前德容災(zāi)技術(shù)主要通過數(shù)據(jù)備份來實(shí)現(xiàn),它是數(shù)據(jù)保護(hù)的最后防范,但是由于數(shù)據(jù)實(shí)時性較差。在線容災(zāi)只有實(shí)時復(fù)制本地備份存儲介質(zhì)的重要數(shù)據(jù),構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng),才能夠?qū)崿F(xiàn)數(shù)據(jù)的實(shí)時恢復(fù)。網(wǎng)絡(luò)安全是系統(tǒng)的防御問題,隨著網(wǎng)絡(luò)發(fā)展飛速,網(wǎng)絡(luò)安全新技術(shù)將會不斷產(chǎn)生和應(yīng)用。

篇7

關(guān)鍵詞:互聯(lián)網(wǎng);網(wǎng)絡(luò)安全;攻擊與防御

中圖分類號:TP393.18文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 04-0000-01

Network Attack and Defense Technology

Lian Xing

(Chongqing Technology and Business University,Pais College,Chongqing401520,China)

Abstract:With the continuous development of Internet technology,

network technology applicants on a worldwide rapid popularity,more and more people work on the Internet,learning,trade and other aspects of the work.Internet has become a virtual living space.Similarly,the developme-

nt of network technology,network security has become a major research topic in recent years,Trojan horses and other large viruses with the invasion,many of the computer to standstill,more people are a variety of password work attack and defense techniques in this paper discussed,propose some suggestions for future work.

Keywords:Internet;Network security;Attack and defense

一、網(wǎng)絡(luò)攻防技術(shù)

當(dāng)今時代,隨著科技日益的發(fā)展,互聯(lián)網(wǎng)的應(yīng)用越來越廣泛。隨著網(wǎng)絡(luò)應(yīng)用技術(shù)與服務(wù)的日益成熟,現(xiàn)今的網(wǎng)絡(luò)的入侵和攻擊行為,與以往單純的網(wǎng)站破壞或使系統(tǒng)服務(wù)中斷已有很大的不同。入侵者可以通過網(wǎng)絡(luò)的系統(tǒng)設(shè)計缺陷或者網(wǎng)絡(luò)協(xié)議的疏漏等問題,發(fā)展出許多復(fù)雜而又多樣化的入侵攻擊手段,通過入侵到系統(tǒng)主機(jī)以盜竊絕密資料,并篡改文件與破壞系統(tǒng),由于攻擊的成功概率與破壞力很大并且隨著時間的流動不斷提升,這使得網(wǎng)絡(luò)安全防范非常的困難。為了能夠保障計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的運(yùn)行,防止各種惡意竊取情報的情況發(fā)生,防止對計算機(jī)信息系統(tǒng)進(jìn)行破壞性攻擊。在盡可能不影響網(wǎng)絡(luò)系統(tǒng)正常通訊的情況下,隨時對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽,并通過把部分?jǐn)?shù)據(jù)包存入數(shù)據(jù)庫并進(jìn)行有針對性的分析,及時的發(fā)現(xiàn)惡意攻擊和安全隱患,從而能夠達(dá)到保障網(wǎng)絡(luò)安全的目的。網(wǎng)絡(luò)攻防技術(shù)就是讓人們弄清楚如何攻擊如何防御的。

二、黑客的攻擊方式分析

黑客的俗稱的定義就是立志于將計算機(jī)技術(shù)及計算機(jī)技術(shù)廣泛運(yùn)用,并且來解決問題和創(chuàng)造解決問題的人?,F(xiàn)在通常用來專指入侵者,下面就對黑客入侵的方式進(jìn)行相對應(yīng)的分析。

(一)阻塞類攻擊。最常見的是DOS(Denial of Senrice),就是通過大量的封包或者說利用TCP和IP協(xié)議的疏漏.來消耗網(wǎng)絡(luò)的帶寬或耗竭系統(tǒng)資源的阻止服務(wù)攻擊。如CPU、Memory等資源,用以阻撓系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)作。

(二)漏洞類攻擊。針對掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實(shí)施的相應(yīng)攻擊,伴隨新發(fā)現(xiàn)的漏洞,攻擊手段不斷翻新,防不勝防。緩沖區(qū)溢出是一種常用的漏洞類攻擊技術(shù),

(三)欺騙類攻擊。欺騙類攻擊包括IP欺騙和假消息攻擊,前一種通過冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息,后一種攻擊主要是通過配制或設(shè)置一些假信息來實(shí)施欺騙攻擊。

(四)控制類攻擊??刂菩凸羰且活愒噲D獲得對目標(biāo)機(jī)器控制權(quán)的攻擊??诹罱孬@與破解仍然是最有效的口令攻擊手段,進(jìn)一步的發(fā)展應(yīng)該是研制功能更強(qiáng)的口令破解程序;木馬技術(shù)目前著重研究更新的隱藏技術(shù)和秘密信道技術(shù)。一旦目標(biāo)主機(jī)被控制,用戶的個人信息與數(shù)據(jù)就面臨極大的威脅。

(五)破壞類攻擊。破壞類攻擊指對目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊,包括計算機(jī)病毒、邏輯炸彈等攻擊手段。

三、網(wǎng)絡(luò)安全防范措施及建議

我們知道,由于網(wǎng)絡(luò)隨時有可能會遭到不正確的訪問或者是惡意攻擊危險發(fā)生.為能夠便于網(wǎng)絡(luò)的監(jiān)控與封包分析.網(wǎng)絡(luò)管理人員必須要在一定程度上熟悉網(wǎng)絡(luò)運(yùn)作的各項(xiàng)標(biāo)準(zhǔn)、特定服務(wù)的方式、合法訪問的各種行為及功能的網(wǎng)絡(luò)流量及行為和各種封包標(biāo)頭及封包內(nèi)容的特征,而只有真正意義上做到這樣,才能有效的保證在構(gòu)建和管理網(wǎng)絡(luò)的時候,切實(shí)確保資料的安全性以及能夠防范惡意或者是無意的入侵破壞行為。那么要做到這些就應(yīng)該從兩方面做起:第一方面是決策層:由于信息安全的管理必須需要決策層的支持與認(rèn)可,所以決策層的支持是必不可少的。第二方面是管理層:因?yàn)樾畔踩墓芾砜梢苑譃閺募夹g(shù)層面與管理層面.只有這樣才能達(dá)成組織信息安全目標(biāo)與政策。

(一)技術(shù)角度。利用各種成熟的網(wǎng)絡(luò)安全技術(shù),相互配合。用于建立起一整套包含保護(hù)、檢測、響應(yīng)和恢復(fù)四個層面的防御體系。在保護(hù)層面,利用網(wǎng)絡(luò)安全掃描技術(shù)及時的發(fā)現(xiàn)和彌補(bǔ),網(wǎng)絡(luò)或系統(tǒng)的安全漏洞。使用防火墻對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾與訪問控制,對于高安全需求的網(wǎng)絡(luò)有必要通過網(wǎng)閘進(jìn)行物理隔離。利用負(fù)載均衡技術(shù)有效的防止DOS攻擊。在檢測層面,利用入侵檢測技術(shù)對網(wǎng)絡(luò)業(yè)務(wù)流進(jìn)行分析,及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。在響應(yīng)層面:及時對入侵行為作出報警反應(yīng),如通知管理員、利用入侵檢測系統(tǒng)與防火墻系統(tǒng)的聯(lián)動來隔離入侵行為。在恢復(fù)層面:利用備份容錯技術(shù)進(jìn)行有效的災(zāi)避,保證業(yè)務(wù)能最快的恢復(fù),損失減到最低。

(二)管理角度。信息安全在管理層面,為了確保網(wǎng)絡(luò)存取的安全性,管理者需要經(jīng)常對網(wǎng)絡(luò)技術(shù)人員進(jìn)行相應(yīng)的培訓(xùn)和管理,及時的收集情況,分析問題,并及時的解決問題。聯(lián)合所有的技術(shù)人員,對于現(xiàn)存的問題進(jìn)行相應(yīng)的研究,已達(dá)到盡可能短的時間內(nèi),做到人員利用的最大化。

(三)網(wǎng)絡(luò)傳輸和訪問控制。根據(jù)用戶的身份對用戶實(shí)行訪問控制,通過用戶名與密碼的方式來實(shí)現(xiàn)身份認(rèn)證并授予相應(yīng)的權(quán)限。利用VPN技術(shù)構(gòu)建安全加密信道,能實(shí)現(xiàn)點(diǎn)到點(diǎn)的安全傳輸,保證信息在傳輸過程中的機(jī)密性。

四、結(jié)語

隨著科學(xué)技術(shù)的發(fā)展以及網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)技術(shù)安全也將會在今后的短時間內(nèi)成為一個非常熱門的話題,為了保障個人的資料隱私,更多的人也將會進(jìn)一步的接觸和了解網(wǎng)絡(luò)技術(shù)安全方面的問題。而作為網(wǎng)絡(luò)安全偵測方面的技術(shù)人員,需要進(jìn)一步的研究和普及此方面的知識,保證互聯(lián)網(wǎng)的干凈和綠色,為人們上網(wǎng)提供一個放心和諧的環(huán)境。

參考文獻(xiàn):

[1]蘇幸之.網(wǎng)絡(luò)安全分折與防范策略[J].網(wǎng)絡(luò)與通信,2004,14

篇8

計算機(jī)技術(shù)和信息技術(shù)的發(fā)展給人們的生活與工作帶來了極大的便捷,但同時也引發(fā)不少的安全性風(fēng)險,例如:網(wǎng)絡(luò)銀行賬戶丟失、身份信息盜用以及網(wǎng)絡(luò)攻擊等。面對這樣的風(fēng)險,本文對目前常見的幾種防控策略進(jìn)行闡述,表明了網(wǎng)絡(luò)安全防控的重要性,希望社會各界可以引起重視,提高對網(wǎng)絡(luò)風(fēng)險的防范和控制。

關(guān)鍵詞:

計算機(jī);網(wǎng)絡(luò)安全;威脅;防控

0引言

互聯(lián)網(wǎng)+時代的到來,給我國經(jīng)濟(jì)形成了一股巨大的推力,不僅有效融合了線上和線下,更讓人們的生活提供了更多的服務(wù)和功能。與此同時,互聯(lián)網(wǎng)信息技術(shù)在緊密聯(lián)系人們生活的同時也埋下了信息丟失的風(fēng)險,諸如:黑客、病毒、以及系統(tǒng)內(nèi)部泄密者等。目前,各國都在不斷的豐富系統(tǒng)防控軟件和技術(shù),最主要的包括了防火墻、服務(wù)器以及通道控制機(jī)制等。然而,盡管如此,無論是發(fā)達(dá)國家,或是發(fā)展中國家,都或多或少的受到了來自于黑客活動的威脅,而且這類行為還有愈演愈烈的趨勢,極大的危害了社會穩(wěn)定性。因此,網(wǎng)絡(luò)完全的防護(hù)就顯得至關(guān)重要。不僅僅針對各種網(wǎng)絡(luò)安全威脅進(jìn)行治理,更是提升網(wǎng)絡(luò)安全的防護(hù)水平,保障用戶在網(wǎng)絡(luò)上的數(shù)據(jù)和個人信息安全。

1網(wǎng)絡(luò)安全性危害

1.1不良網(wǎng)絡(luò)信息傳播

計算機(jī)網(wǎng)絡(luò)可以在其覆蓋的范圍內(nèi)進(jìn)行信息和數(shù)據(jù)的急速傳播,而且具有很大程度的隱藏性特點(diǎn),這使得計算機(jī)網(wǎng)絡(luò)的監(jiān)管十分困難。而各式各樣不良信息和言論的網(wǎng)絡(luò)傳播也會正常社會價值觀的養(yǎng)成,甚至誤導(dǎo)青少年。因?yàn)榍嗌倌暾幱谌松^尚未形成的時期,當(dāng)受到網(wǎng)絡(luò)言論沖擊和誤導(dǎo)時,往往難以有效的進(jìn)行辨別,最終會形成與社會發(fā)展相悖的道德觀念,進(jìn)而發(fā)生危害社會公眾安全的狀況。除此之外,網(wǎng)絡(luò)信息傳播還有不少的虛假廣告和信息來誤導(dǎo)人們的消費(fèi)理念,或是欺騙用戶的資金,造成嚴(yán)重的社會危害。

1.2計算機(jī)病毒傳播的危害

病毒是人為創(chuàng)造的一種危害性計算機(jī)程序,通常會依附在計算機(jī)之中,并且通過不斷的自我復(fù)制和傳播在計算機(jī)網(wǎng)絡(luò)中蔓延。這種傳播相當(dāng)迅速,而波及范圍大,如果不加干預(yù)就會在很短的時間內(nèi)造成大范圍的破壞。一般情況下,計算機(jī)病毒的傳播主要是通過程序或是文件下載、接受未知電子郵件以及已經(jīng)感染病毒的U盤等方式,最終造成系統(tǒng)崩潰的結(jié)果,同時也會造成信息丟失或被盜用。

1.3防御信息庫被入侵的危害

計算機(jī)網(wǎng)絡(luò)的發(fā)展豐富了人們對信息的接受渠道,加快了信息的傳接速率。然而,部分不法人士為了滿足自身的利益,往往利用技術(shù)對數(shù)據(jù)庫信息庫進(jìn)行攻擊,對其中的數(shù)據(jù)信息進(jìn)行刪改。而這些行為往往在受害人沒有注意的情況下進(jìn)行,從而造成了使用者的利益受到極大的損害。

2網(wǎng)絡(luò)安全防控的具體策略

2.1計算機(jī)網(wǎng)絡(luò)安全訪問控制策略

計算機(jī)網(wǎng)絡(luò)安全的訪問控制策略是一個很大的范圍,需要從包括入網(wǎng)訪問、網(wǎng)絡(luò)使用、目錄級安、屬性、網(wǎng)絡(luò)服務(wù)器以及網(wǎng)絡(luò)端口和節(jié)點(diǎn)等在內(nèi)的多個環(huán)節(jié)進(jìn)行控制,這也是整個計算機(jī)網(wǎng)絡(luò)安全的第一層安全保障。因此,為了保障對各個環(huán)節(jié)進(jìn)行科學(xué)合理的控制,用戶具有登錄、進(jìn)入服務(wù)器并獲取網(wǎng)絡(luò)信息資源的權(quán)利,同時還應(yīng)對該類準(zhǔn)許用戶的網(wǎng)絡(luò)訪問時間與具體訪問站點(diǎn)進(jìn)行精準(zhǔn)的控制。除此之外,計算機(jī)的網(wǎng)絡(luò)還需要對服務(wù)器與用戶端的訪問申請進(jìn)行審核,需要對申請用戶的身份和全新進(jìn)行驗(yàn)證,這也是用戶在訪問中必須擁有身份驗(yàn)證卡和密碼發(fā)生器等標(biāo)志的原因,用戶則需要在身份和權(quán)限被驗(yàn)證之后才能進(jìn)入到用戶端。

2.2計算機(jī)網(wǎng)絡(luò)信息加密策略

信息加密策略是目前一種比較常見的網(wǎng)絡(luò)安全防護(hù)手段,可以有效的保護(hù)系統(tǒng)網(wǎng)內(nèi)各信息數(shù)據(jù)、密令以及文件的安全,并且還能起到規(guī)范上傳操作的作用。目前,比較常用的網(wǎng)絡(luò)加密方式主要是鏈路加密、節(jié)點(diǎn)及端點(diǎn)加密等。網(wǎng)絡(luò)加密方式主要是對連接網(wǎng)絡(luò)各節(jié)點(diǎn)之間的信息鏈路進(jìn)行保護(hù),而端點(diǎn)加密則可以有效的保護(hù)各個源端用戶的信息數(shù)據(jù)安全,而節(jié)點(diǎn)加密用于對源節(jié)點(diǎn)直至目的節(jié)點(diǎn)間傳輸鏈路提供的合理保護(hù)。因此,實(shí)際的應(yīng)用過程中,需要各個網(wǎng)絡(luò)安全管理人員根據(jù)系統(tǒng)的實(shí)際需求選擇科學(xué)合理的加密方式,提高整個的安全防護(hù)級別,保障信息的安全。

2.3針對病毒攻擊的防控策略

計算機(jī)網(wǎng)絡(luò)所造成的環(huán)境具有高度的自由性、開放性、綜合性以及共享性,這也使得該環(huán)境極易受到來自于病毒的影響,加速了病毒傳播與影響的速度,因此,目前僅僅利用單機(jī)類型的防毒軟件已經(jīng)難以發(fā)揮預(yù)期的效果了。這樣就需要防毒軟件具有應(yīng)對網(wǎng)絡(luò)病毒高速傳播和影響的特性,并且在不同的操作系統(tǒng)中也能發(fā)揮應(yīng)有作用。對于一項(xiàng)長期運(yùn)行的網(wǎng)絡(luò)防毒軟件而言,在進(jìn)行殺毒和掃描的過程中,還需要對系統(tǒng)的網(wǎng)關(guān)進(jìn)行控制,才能提高計算的網(wǎng)絡(luò)安全防控水準(zhǔn),保障自身對綜合配置的定期升級和更新處理。除此之外,用戶在日常管理和應(yīng)用中還需要養(yǎng)成自身良好的習(xí)慣,不僅需要提高對防病毒軟件的功能熟悉,還需要減少病毒感染的渠道、及時進(jìn)行系統(tǒng)軟件和防毒軟件的升級、減少非法復(fù)制的行為等。在進(jìn)行軟件下載的過程中一定要引起重視,不僅需要及時開啟反病毒的監(jiān)控軟件,還需要在下載完成后對該文件進(jìn)行及時掃描。

2.4系統(tǒng)漏洞攻擊的應(yīng)對策略

系統(tǒng)漏洞是系統(tǒng)在構(gòu)建過程中是固有的一種屬性,因此,通??梢岳眯枰ㄟ^專線監(jiān)測、系統(tǒng)實(shí)時升級和補(bǔ)丁修復(fù)等方式來減少系統(tǒng)漏洞。通常來看,計算機(jī)網(wǎng)絡(luò)系統(tǒng)會包含許多不同的服務(wù),而其中對用戶開放的功能越多,就會有越多幾率產(chǎn)生系統(tǒng)漏洞,可以被不法分子所利用的漏洞也就越多。因此,系統(tǒng)在實(shí)際運(yùn)行的過程中需要進(jìn)行嚴(yán)格的管理,對于需求不強(qiáng)的功能要科學(xué)合理的進(jìn)行關(guān)閉,不僅可以提高系統(tǒng)資源的利用效率,而且可以有效減少系統(tǒng)中存在的不良安全隱患。除此之外,還可以借助于系統(tǒng)防火墻的作用,對于多數(shù)端口的外部訪問進(jìn)行有效的隔斷,減少來自于多余端口服務(wù)漏洞的不良影響。

2.5針對黑客攻擊的應(yīng)對策略

在面對網(wǎng)絡(luò)黑客的攻擊時,為了更好的進(jìn)行防護(hù)和風(fēng)險控制,需要綜合利用防火墻技術(shù)、入侵檢測技術(shù)以及加密型網(wǎng)絡(luò)安全控制技術(shù)等,結(jié)合系統(tǒng)的實(shí)際運(yùn)行狀況,構(gòu)建完整的防護(hù)體系。首先,在網(wǎng)絡(luò)通信環(huán)節(jié)需要通過對防火墻控制技術(shù)的應(yīng)用來辨識用戶的身份和權(quán)限,在辨識合格之后才可以使之進(jìn)入系統(tǒng)訪問;而其中未能通過身份和權(quán)限審核的用戶將會被限制在系統(tǒng)之外.這樣一來,就可以減少來自于網(wǎng)絡(luò)黑客的入侵和攻擊行為。同時,入侵檢測技術(shù)的應(yīng)用也可以對提高對未獲授權(quán)入侵行為的反應(yīng)速率。因此,安全防控系統(tǒng)的構(gòu)建人員需要強(qiáng)化對于審核記錄和識別技術(shù)的開發(fā),對系統(tǒng)中的不良活動進(jìn)行有效鑒別,并且盡快限制其中的不法侵入行為,真切的發(fā)揮對計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的保護(hù)功能。除此之外,還有必要融入計算機(jī)思想混合的檢測技術(shù),對具有入侵性和攻擊性的行為進(jìn)行有效的甄別。該項(xiàng)技術(shù)的實(shí)現(xiàn)主要是通過網(wǎng)絡(luò)管理對網(wǎng)絡(luò)與主機(jī)進(jìn)行同時的行為檢測,這使得應(yīng)對黑客攻擊的防御體系變得更加完備而高效。除了將身份和權(quán)限不符合的用戶隔離在外,還需要對防火墻技術(shù)為主的被動防御型網(wǎng)絡(luò)進(jìn)行強(qiáng)化,這一想法主要是通過強(qiáng)化數(shù)據(jù)加密為主的開放型計算機(jī)網(wǎng)絡(luò)安全保障體系來實(shí)現(xiàn)。而且,該類系統(tǒng)主體在應(yīng)用了現(xiàn)代化的數(shù)據(jù)加密技術(shù)之后,也可以對系統(tǒng)內(nèi)部的各用戶數(shù)據(jù)進(jìn)行保障,強(qiáng)化了對用戶權(quán)限的審核與匹配,減少了對特殊安全性防護(hù)的要求,基本上可以滿足網(wǎng)絡(luò)系統(tǒng)安全對網(wǎng)絡(luò)服務(wù)可用性及信息完整性的充分需求。

3結(jié)束語

防范網(wǎng)絡(luò)安全問題不僅僅需要從技術(shù)層面采取措施,還需要強(qiáng)化用戶和網(wǎng)管的安全責(zé)任意識。除此之外,綜合防控體系的構(gòu)建和完善還需要社會各界人士的支持,才能減少網(wǎng)絡(luò)安全問題的出現(xiàn)頻率。

作者:戴勇 單位:湖南工程職業(yè)技術(shù)學(xué)院

引用:

[1]郭仲侃.計算機(jī)網(wǎng)絡(luò)安全防控技術(shù)實(shí)施策略探索[J].產(chǎn)業(yè)與科技論壇,2016.

[2]趙曼姿.網(wǎng)絡(luò)安全犯罪防控問題研究[J].赤峰學(xué)院學(xué)報(漢文哲學(xué)社會科學(xué)版),2016.

[3]于志剛.網(wǎng)絡(luò)安全對公共安全、國家安全的嵌入態(tài)勢和應(yīng)對策略[J].法學(xué)論壇,2014.

篇9

【關(guān)鍵詞】信息安全; 威脅;防御策略;防火墻

1 計算機(jī)信息網(wǎng)絡(luò)安全概述

所謂計算機(jī)信息網(wǎng)絡(luò)安全,是指根據(jù)計算機(jī)通信網(wǎng)絡(luò)特性,通過相應(yīng)的安全技術(shù)和措施,對計算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù),防止遭到破壞或竊取,其實(shí)質(zhì)就是要保護(hù)計算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計,通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次,每天捕獲最多的次數(shù)高達(dá)4369次。因此,隨著網(wǎng)絡(luò)一體化和互聯(lián)互通,我們必須加強(qiáng)計算機(jī)通信網(wǎng)絡(luò)安全防范意思,提高防范手段。

2 計算機(jī)信息安全常見的威脅

以上這些因素都可能是計算機(jī)信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的,也是無法預(yù)測的;但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此,我們必須重視各種因素對計算機(jī)信息安全的影響,確保計算機(jī)信息資源萬無一失。

3 計算機(jī)信息的安全的防御策略

根據(jù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況,我們采取可兩種措施:一是,采用漏洞掃描技術(shù),對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估,保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運(yùn)行;二是,采用各種計算機(jī)網(wǎng)絡(luò)安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)的實(shí)時監(jiān)測。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞:在端口掃描后得到目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配,查看是否有滿足匹配條件的漏洞存在;通過模擬黑客的攻擊手法,對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊的安全漏洞掃描,如測試弱口令等,若模擬攻擊成功,則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障,一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境更安全,信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來在兩個或多個網(wǎng)絡(luò)間加強(qiáng)訪問控制的一個或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來看,防火墻是分離器、限制器和分析器;從物理上來看,各個防火墻的物理實(shí)現(xiàn)方式可以多種多樣,但是歸根結(jié)底他們都是一組硬件設(shè)備(路由器、主機(jī))和軟件的組合體;從本質(zhì)上來看,防火墻是一種保護(hù)裝置,它用來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽(yù);從技術(shù)上來看,防火墻是一種訪問控制技術(shù),它在某個機(jī)構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對網(wǎng)絡(luò)信息資源的非法訪問。

3.3 計算機(jī)網(wǎng)絡(luò)的加密技術(shù)(ipse)

采用網(wǎng)絡(luò)加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?、完整性。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可以解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可以對其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護(hù)。IP安全是整個TCP/IP 安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括:訪問控制、無連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性、有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證

身份認(rèn)證的作用是阻止非法實(shí)體的不良訪問。有多種方法可以認(rèn)證一個實(shí)體的合法性,密碼技術(shù)是最常用的,但由于在實(shí)際系統(tǒng)中有許多用戶采用很容易被猜測的單詞或短語作為密碼,使得該方法經(jīng)常失效。其他認(rèn)證方法包括對人體生理特征的識別、智能卡等。隨著模式識別技術(shù)的發(fā)展,身份識別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合,使得對于用戶身份的認(rèn)證和識別更趨完善。

3.5 入侵檢測技術(shù)

入侵檢測技術(shù)是對入侵行為的檢測,他通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計算機(jī)系統(tǒng)中若干關(guān)鍵的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)(Virtual private Network,VPN) 是一門網(wǎng)絡(luò)技術(shù),提供一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式;是通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立起一個臨時的、安全的連接,是一條穿過不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面,我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制手段,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1)過濾掉不安全服務(wù)和非法用戶。

2)控制對特殊站點(diǎn)的訪問。

3)提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

4.3 防火墻的優(yōu)點(diǎn)

1)防火墻能強(qiáng)化安全策略

因?yàn)镮nternet上每天都有上百萬人在那里收集信息、交換信息,不可避免地會出現(xiàn)個別品德不良的人,或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察",它執(zhí)行站點(diǎn)的安全策略,僅僅容許"認(rèn)可的"和符合規(guī)則的請求通過。

2)防火墻能有效地記錄Internet上的活動

因?yàn)樗羞M(jìn)出信息都必須通過防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

3)防火墻限制暴露用戶點(diǎn)

防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

4)防火墻是一個安全策略的檢查站

所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕于門外。

4.4 防火墻的不足

1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號,一些用戶可以形成與Internet的直接的連接,從而繞過防火墻,造成一個潛在的后門攻擊渠道。

2)防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺主機(jī)上裝反病毒軟件。

3)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。當(dāng)有些表面看來無害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時,就會發(fā)生數(shù)據(jù)驅(qū)動攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù),工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?,?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點(diǎn)有三:一是,非法訪問一旦突破防火墻,即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是,數(shù)據(jù)包的源地址、目的地址以及IP 的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒;三是,無法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時,NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址,并用一個偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個數(shù)據(jù)包返回到NAT系統(tǒng),這一過程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時,防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包,他們也不能確定發(fā)送端的真實(shí)IP地址,從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計算機(jī)。NAT技術(shù)也存在一些缺點(diǎn),例如,木馬程序可以通過NAT進(jìn)行外部連接,穿透防火墻。

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品, 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù), 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用,這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的,也稱為動態(tài)包過濾防火墻??偟膩碚f,具有:高安全性,高效性,可伸縮性和易擴(kuò)展性。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器也集成了包過濾技術(shù),這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢??偟膩碚f,網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價的,防火墻只是整個網(wǎng)絡(luò)安全防護(hù)體系的一部分,而且防火墻并非萬無一失。除了使用了防火墻后技術(shù),我們還使用了其他技術(shù)來加強(qiáng)安全保護(hù),數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù),使得除了合法受者外,任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運(yùn)用一個密鑰進(jìn)行加密和解密,非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1)雙宿堡壘主機(jī)防火墻

一個雙宿主機(jī)是一種防火墻,擁有兩個聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如,一個網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上,另一個網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的,兩個網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來完成。一般情況下,人們采用服務(wù)的方法,因?yàn)檫@種方法為用戶提供了更為方便的訪問手段。

2)屏蔽主機(jī)防火墻

這種防火墻強(qiáng)迫所有的外部主機(jī)與一個堡壘主機(jī)相聯(lián)接,而不讓它們直接與內(nèi)部主機(jī)相連。為了實(shí)現(xiàn)這個目的,專門設(shè)置了一個過濾路由器,通過它,把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機(jī)上。下圖顯示了屏蔽主機(jī)防火墻的結(jié)構(gòu)。

3)屏蔽主機(jī)防火墻

在這種體系結(jié)構(gòu)中,堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò),屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng),它是防火墻的第一道防線。屏蔽路由器需要進(jìn)行適當(dāng)?shù)呐渲?,使所有的外部?lián)接被路由到堡壘主機(jī)上。并不是所有服務(wù)的入站聯(lián)接都會被路由到堡壘主機(jī)上,屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接(外部到內(nèi)部的主動聯(lián)接)。

對于出站聯(lián)接(內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動聯(lián)接),可以采用不同的策略。對于一些服務(wù),如Telnet,可以允許它直接通過屏蔽路由器聯(lián)接到外部網(wǎng)而不通過堡壘主機(jī);其他服務(wù),如WWW和SMTP等,必須經(jīng)過堡壘主機(jī)才能聯(lián)接到Internet,并在堡壘主機(jī)上運(yùn)行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展,影響通信網(wǎng)絡(luò)安全的各種因素也會不斷強(qiáng)化,因此計算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患,以及一般采取的幾種安全防范策略,主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用。總的來說,網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻(xiàn)】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社,2009.

篇10

【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)威脅

AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.

Keywordscomputer;network security;precautionary measure

一、網(wǎng)絡(luò)安全的定義及內(nèi)涵

1、定義。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是計算機(jī)網(wǎng)絡(luò)上的信息安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全措施是指為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和。

2、內(nèi)涵。網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定,應(yīng)具有以下三個方面的特征:①保密性:是指信息不泄露給非授權(quán)的個人、實(shí)體和過程,或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個層次都存在著不同的保密性,因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層,要保護(hù)系統(tǒng)實(shí)體的信息不外露,在運(yùn)行層面,保證能夠?yàn)槭跈?quán)使用者正常的使用,并對非授權(quán)的人禁止使用,并有防范黑客,病毒等的惡性攻擊能力。②完整性:是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權(quán)的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權(quán)使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運(yùn)行層面,要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù),保證系統(tǒng)的可用性,使得者無法否認(rèn)所的信息內(nèi)容,接受者無法否認(rèn)所接收的信息內(nèi)容。

二、網(wǎng)絡(luò)自身特性及網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

網(wǎng)絡(luò)信息自身具有很多不利于網(wǎng)絡(luò)安全的特性,例如網(wǎng)絡(luò)的互聯(lián)性,共享性,開放性,網(wǎng)絡(luò)操作系統(tǒng)的漏洞及自身設(shè)計缺陷等,網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計網(wǎng)絡(luò)的初衷大相徑庭,安全問題已經(jīng)擺在了非常重要的位置上,安全問題如果不能解決,會嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用?,F(xiàn)在越來越多的惡性攻擊事件的發(fā)生說明當(dāng)前網(wǎng)絡(luò)安全形勢嚴(yán)峻,不法分子的手段越來越先進(jìn),因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅,保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前我國的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問題,還不夠健全不夠完善不夠安全。計算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性,使得計算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機(jī)病毒的種類,而且許多攻擊都是致命的。

三、網(wǎng)絡(luò)安全解決方案及實(shí)例分析

要解決網(wǎng)絡(luò)安全,首先要明確我們的網(wǎng)絡(luò)需要實(shí)現(xiàn)的目標(biāo),一般需要達(dá)到以下目標(biāo):①身份真實(shí)性:對通信實(shí)體身份的真實(shí)性進(jìn)行識別。②信息保密性:保證密級信息不會泄露給非授權(quán)的人或?qū)嶓w。③信息完整性:保證數(shù)據(jù)的一致性,防止非授權(quán)用戶或?qū)嶓w對數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性:防止合法用戶對信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性:建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應(yīng)該操作簡單、維護(hù)方便。⑧可審查性:對出現(xiàn)問題的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。

為了最大程度的保證網(wǎng)絡(luò)安全,目前的方法有:安全的操作系統(tǒng)及應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成,一個單獨(dú)的組件往往是無法確保信息網(wǎng)絡(luò)的安全的。圖1是某一網(wǎng)絡(luò)實(shí)例的安防拓?fù)浜唸D,日常常見的安防技術(shù)在里面都得到了運(yùn)用:

1、防火墻技術(shù)。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻,一般設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,市場上的防火墻種類繁多,它們大都可通過IE瀏覽器控制,可視化好,易于操作,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,無法防范數(shù)據(jù)驅(qū)動型的攻擊。

2、防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗,對計算機(jī)系統(tǒng)安全威脅也最大,做好防護(hù)至關(guān)重要。應(yīng)采取全方位的企業(yè)防病毒產(chǎn)品,實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。一般公司內(nèi)部大都采用網(wǎng)絡(luò)版殺毒軟件,病毒庫聯(lián)網(wǎng)升級,管理員可通過系統(tǒng)中心制定統(tǒng)一的防病毒策略并應(yīng)用至下級系統(tǒng)中心及本級系統(tǒng)中心的各臺終端,可實(shí)施實(shí)時監(jiān)控,主動防御,定時殺毒等功能。但實(shí)踐證明,僅依靠一款殺毒軟件,一種策略,并不能完整的清除所有病毒,有時需要制訂不同的安全策略或與另外一款殺毒軟件同時使用方可,此時需要具體情況具體分析。

3、入侵檢測技術(shù)。入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)控,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點(diǎn)審計;識別反映已進(jìn)攻的活動規(guī)模并報警;異常行為模式的統(tǒng)計分析;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。

4、安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)三者相互配合,對網(wǎng)絡(luò)安全的提高非常有效。通過對系統(tǒng)以及網(wǎng)絡(luò)的掃描,能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個整體的評價,并得出網(wǎng)絡(luò)安全風(fēng)險級別,還能夠及時的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞,并自動修補(bǔ)。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,做到防患于未然。

5、網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。操作系統(tǒng)種類繁多,而Windows因其諸多優(yōu)點(diǎn)被普遍采用,但Windows存在諸多漏洞,易于被攻擊,因此需要定期進(jìn)行更新。北信源補(bǔ)丁分發(fā)系統(tǒng)通過定時探測各終端的補(bǔ)丁數(shù),自動給各終端打上補(bǔ)丁,較大程度的避免了因系統(tǒng)漏洞導(dǎo)致的信息安全問題。安全系數(shù)要求高的網(wǎng)絡(luò),有必要對其進(jìn)行物理隔絕,采用專用軟件控制各終端的外設(shè),對各終端操作人員進(jìn)行身份驗(yàn)證等等。

6、安全加密技術(shù)。分為對稱加密技術(shù)和不對稱加密技術(shù)。前者是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰;不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用,解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密,其中硬件加密又有信道機(jī)密和主機(jī)終端加密等。

7、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項(xiàng)動態(tài)工程,意味著它的安全程度會隨著時間的變化而發(fā)生變化。應(yīng)該隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時組建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系,專人負(fù)責(zé),防范安全事件的突然發(fā)生。

總之,網(wǎng)絡(luò)的第一道防線防火墻并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò),必須結(jié)合其它措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施,按照級別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計、入侵檢測和應(yīng)急處理機(jī)制構(gòu)成的整體安全檢查和反應(yīng)措施。

四、小結(jié)

網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施,單一的技術(shù)是不能解決網(wǎng)絡(luò)的安全防護(hù)問題的。隨著信息技術(shù)的不斷發(fā)展,各行各業(yè)信息化建設(shè)的腳步也越來越快,計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入應(yīng)用到人們生產(chǎn)生活的各個領(lǐng)域,各種活動對計算機(jī)網(wǎng)絡(luò)的依賴程度也越來越高。增強(qiáng)人這一主體的安全意識,普及計算機(jī)網(wǎng)絡(luò)安全教育,提高計算機(jī)網(wǎng)絡(luò)安全技術(shù)水平,改善其安全現(xiàn)狀,才是最有效的防范措施。

參考文獻(xiàn)

[1]胡道元,閔京華.網(wǎng)絡(luò)安全(2版).北京:清華大學(xué)出版社. 2008(10)

[2]黃怡強(qiáng)等.淺談軟件開發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報論叢,2002(01)

[3]胡道元.計算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001

[4]朱理森,張守連.計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社,2001