網(wǎng)絡(luò)安全之常見(jiàn)的漏洞范文

時(shí)間:2023-09-14 17:49:47

導(dǎo)語(yǔ):如何才能寫好一篇網(wǎng)絡(luò)安全之常見(jiàn)的漏洞,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公文云整理的十篇范文,供你借鑒。

篇1

【關(guān)鍵詞】網(wǎng)絡(luò)安全 安全隱患 防御措施

在如今信息高速發(fā)展的時(shí)代,網(wǎng)絡(luò)的廣泛性和開(kāi)放性使人們更加依賴于網(wǎng)絡(luò),與此同時(shí),網(wǎng)絡(luò)也就復(fù)雜化了,網(wǎng)絡(luò)安全問(wèn)題逐漸突顯出來(lái),而且安全問(wèn)題一旦發(fā)生,常常令用戶措手不及,造成極大的損失。因此,分析目前網(wǎng)絡(luò)經(jīng)常存在的安全隱患,并且提出相應(yīng)的防御措施使很有必要的。

一、網(wǎng)絡(luò)安全的特點(diǎn)

網(wǎng)絡(luò)安全是指通過(guò)采用各種技術(shù)和管理措施確保網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,從而保證網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。目前網(wǎng)絡(luò)安全有以下五個(gè)方面的特征。

保密性:就是指不能將信息泄露給不授權(quán)的用戶或者實(shí)體。

完整性:就是指不經(jīng)過(guò)授權(quán)不能改變數(shù)據(jù)。

可用性:就是指被授權(quán)的實(shí)體可以訪問(wèn),并且按照需求使用。

可控性:就是指對(duì)信息的傳播及內(nèi)容具有控制能力。

可審查性:就是指當(dāng)出現(xiàn)安全問(wèn)題時(shí)可以提供依據(jù)和手段。

目前網(wǎng)絡(luò)安全的現(xiàn)狀主要有以下幾方面的特點(diǎn):

攻擊發(fā)源相對(duì)集中,主要集中在美國(guó),而亞洲各國(guó)受害較為嚴(yán)重。

能很快發(fā)現(xiàn)系統(tǒng)漏洞,黑客攻擊的時(shí)間縮短。

攻擊手段更加靈活,與病毒的結(jié)合更加密切,混合攻擊的手段更加常見(jiàn)。

黑客攻擊范圍擴(kuò)大,無(wú)線網(wǎng)絡(luò)等新的應(yīng)用成為其攻擊的目標(biāo)。

網(wǎng)絡(luò)安全更加受到重視,當(dāng)前的安全技術(shù)面臨更大的挑戰(zhàn)。

二、影響網(wǎng)絡(luò)安全的因素

為了提高網(wǎng)絡(luò)安全的可靠性和穩(wěn)定性,維護(hù)系統(tǒng)有效的運(yùn)行,必須首先了解影響網(wǎng)絡(luò)安全的因素,然后對(duì)應(yīng)的解決這些安全隱患。目前威脅網(wǎng)絡(luò)安全的因素有以下幾方面:

(一)自然威脅

網(wǎng)絡(luò)設(shè)備的自然老化、各種自然災(zāi)害及電磁輻射和干擾等因素可能直接或間接地影響信息的存儲(chǔ)和交換,進(jìn)而影響網(wǎng)絡(luò)的安全。

(二)網(wǎng)絡(luò)系統(tǒng)本身

1.固有的開(kāi)放性特點(diǎn)

網(wǎng)絡(luò)技術(shù)最大的優(yōu)點(diǎn)就是廣泛的開(kāi)放性,正是這種開(kāi)放性使之能夠極大范圍地覆蓋世界各地的用戶,構(gòu)成全球性的互聯(lián)網(wǎng)絡(luò)。也正是這種開(kāi)放性的特點(diǎn)從另一方面又構(gòu)成了其不安全的因素。我們知道,當(dāng)處于不同局域網(wǎng)的兩臺(tái)主機(jī)進(jìn)行通信時(shí),傳送的數(shù)據(jù)需要經(jīng)過(guò)許許多多的機(jī)器轉(zhuǎn)發(fā),攻擊者可以利用數(shù)據(jù)流傳輸路徑上的某一臺(tái)主機(jī)截獲用戶的數(shù)據(jù)包,竊取信息。

2.協(xié)議的不安全性

計(jì)算機(jī)網(wǎng)絡(luò)所遵從的協(xié)議是TCP/IP協(xié)議,運(yùn)行該協(xié)議的網(wǎng)絡(luò)通常照顧更多的是便利性,而沒(méi)有重視安全性,因此系統(tǒng)普遍存在欺騙和攻擊、數(shù)據(jù)截取和篡改等安全問(wèn)題。由于IP數(shù)據(jù)包不加密,沒(méi)有重轉(zhuǎn)機(jī)制和加密功能,在傳輸?shù)倪^(guò)程中容易被攻擊者截獲分析。最常見(jiàn)的安全問(wèn)題有:SYN-Flood攻擊、ICMP攻擊、IP地址盜用、源路由攻擊等。

3.用戶操作失誤

雖然在網(wǎng)絡(luò)系統(tǒng)中設(shè)置了很多安全的保護(hù)屏障,但是還是存在有些操作員盲目追求易用性和兼容性造成安全配置不當(dāng);有些用戶安全意識(shí)較弱,口令設(shè)置的簡(jiǎn)單易破解,或者泄露自己的賬號(hào)等會(huì)威脅自己的信息安全;還有擴(kuò)展名欺騙導(dǎo)致用戶誤操作等現(xiàn)象使保護(hù)措施形同虛設(shè)。還有一些管理制度不健全,網(wǎng)絡(luò)管理維護(hù)不徹底等因素造成安全隱患。

4.計(jì)算機(jī)的漏洞

計(jì)算機(jī)漏洞是指計(jì)算機(jī)系統(tǒng)在硬件、軟件或者協(xié)議的具體實(shí)現(xiàn)或安全策略上的缺陷。計(jì)算機(jī)系統(tǒng)的漏洞可以分為系統(tǒng)軟件漏洞和應(yīng)用系統(tǒng)軟件漏洞。攻擊者發(fā)現(xiàn)漏洞可以利用此漏洞獲得額外的權(quán)限,進(jìn)而訪問(wèn)或者破壞系統(tǒng)。

通常Windows操作系統(tǒng)存在的安全漏洞有:緩沖溢出漏洞造成攻擊者執(zhí)行任意指令,幫助和支持中心漏洞造成刪除用戶系統(tǒng)的文件、升級(jí)程序漏洞、壓縮文件夾漏洞、服務(wù)拒絕漏洞、遠(yuǎn)程桌面漏洞、快速桌面切換漏洞等。

5.人為攻擊

人為攻擊是計(jì)算機(jī)網(wǎng)絡(luò)的最大威脅。這種惡意的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊兩種。主動(dòng)攻擊能夠破壞信息的有效性和完整性,而被動(dòng)攻擊則是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取或者破譯來(lái)獲得一些機(jī)密信息。

(1)后門和計(jì)算機(jī)病毒

后門是指那些繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)。在軟件的開(kāi)發(fā)階段,程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門程序以便后期修改程序設(shè)計(jì)中的缺陷。但是,如果這些后門被其他人知道,或是在軟件之前沒(méi)有刪除后門程序,就成為安全隱患,容易被黑客當(dāng)成漏洞進(jìn)行攻擊。后門通常能夠使管理員無(wú)法阻止種植者再次進(jìn)入系統(tǒng),而且還能保護(hù)種植者不易被發(fā)現(xiàn)。

計(jì)算機(jī)病毒是一種人為的特制程序,影響計(jì)算機(jī)使用并且能夠自我復(fù)制,通常情況下影響運(yùn)行速度,惡劣時(shí)還能引起機(jī)器癱瘓,病毒具有很強(qiáng)的感染性、一定的潛伏性、特定的觸發(fā)性和很大的破壞性等共性。

按照屬性可以將病毒分成以下四類:

網(wǎng)絡(luò)病毒:通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件。

文件病毒:計(jì)算機(jī)中的COM,EXE,DOC等文件。

引導(dǎo)型病毒:感染啟動(dòng)扇區(qū)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)。

混合型:通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng)。

常見(jiàn)的病毒有:

系統(tǒng)病毒:通常能夠感染windows系統(tǒng)的* .exe和* .dll文件,并且通過(guò) 這些文件進(jìn)行傳播。

蠕蟲(chóng)病毒:通常是以計(jì)算機(jī)為載體,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其他資源。通常攻擊操作系統(tǒng)和應(yīng)用程序的漏洞,向外發(fā)送有病毒的郵件,還可能阻塞網(wǎng)絡(luò)。

腳本病毒:使用腳本語(yǔ)言編寫,通過(guò)網(wǎng)頁(yè)傳播。

木馬病毒:木馬具有隱蔽性和非授權(quán)性等特點(diǎn),其中一般包括服務(wù)器程序和控制器程序兩部分,黑客利用木馬控制程序進(jìn)入電腦,命令程序控制用戶的電腦。木馬與后門的相同之處在于都是隱藏在用戶系統(tǒng)中向外發(fā)送信息,而且本身具有一定權(quán)限;不同之處在于木馬是一個(gè)完整的軟件,而后門則體積較小且功能單一。

(2)網(wǎng)絡(luò)監(jiān)聽(tīng)

網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)安全上是一個(gè)較為敏感的話題,目前技術(shù)已經(jīng)發(fā)展的比較成熟。它可以協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),還可以排除網(wǎng)絡(luò)故障。但是從另一方面看,它也對(duì)網(wǎng)絡(luò)安全造成隱患,許多網(wǎng)絡(luò)入侵都會(huì)伴隨網(wǎng)絡(luò)監(jiān)聽(tīng)行為,當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級(jí)用戶的權(quán)限以后,使用網(wǎng)絡(luò)監(jiān)聽(tīng)可以有效地截獲網(wǎng)上的數(shù)據(jù),造成口令失竊,敏感數(shù)據(jù)被截獲等安全事件。但是,網(wǎng)絡(luò)監(jiān)聽(tīng)只能用于連接同一網(wǎng)段的主機(jī),通常是被用來(lái)獲取用戶的口令。

(3)網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚又被稱作釣魚法或釣魚式攻擊,攻擊者往往通過(guò)欺騙性的垃圾郵件和站點(diǎn)進(jìn)行詐騙,通常偽裝成網(wǎng)絡(luò)銀行、在線零售商等可信的品牌,意圖引誘收件人泄露用戶的私人資料,比如信用卡號(hào)、銀行賬戶、身份證號(hào)等內(nèi)容。通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué),是“社會(huì)工程攻擊”的一種形式。已經(jīng)給廣大網(wǎng)民造成了巨大的經(jīng)濟(jì)損失。

三、防御措施

綜合上面所述的幾種常見(jiàn)的網(wǎng)絡(luò)安全隱患,可以看出,出現(xiàn)的安全問(wèn)題雖然很普遍,造成的危害也很大,但是從出現(xiàn)的原因方面分析,這些安全問(wèn)題在一定程度上還是可以避免的,下面提出相應(yīng)的防御性措施。

(一)物理安全措施

針對(duì)經(jīng)常出現(xiàn)的自然威脅,要注意保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器等硬件和通信電路,避免出現(xiàn)受自然災(zāi)害的威脅。系統(tǒng)配備要進(jìn)行嚴(yán)格的管理,配備防水、防火、防雷、防電、防磁等設(shè)備。建立定期檢修和維護(hù)制度,對(duì)突發(fā)性安全事故要有應(yīng)急預(yù)案,確保所有設(shè)備處于最佳的運(yùn)行狀態(tài)。

(二)網(wǎng)絡(luò)安全管理措施

要充分利用網(wǎng)絡(luò)自身的優(yōu)勢(shì)和缺陷,加強(qiáng)網(wǎng)絡(luò)安全管理??梢灾贫ㄒ?guī)章制度,以保障網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行。

深入研究系統(tǒng)的缺陷,完善網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)。建立入網(wǎng)訪問(wèn)控制功能模塊,嚴(yán)格限制訪問(wèn)權(quán)限。同時(shí),各類操作系統(tǒng)要經(jīng)過(guò)不斷的檢測(cè),即時(shí)更新,以保障其完整性和安全性。

對(duì)于系統(tǒng)軟件,操作系統(tǒng)要防止用戶越權(quán)存取信息,防止用戶作業(yè)在指定范圍意外的存儲(chǔ)區(qū)域讀寫,同時(shí)還要加強(qiáng)記錄系統(tǒng)運(yùn)行狀況的功能。

(三)培養(yǎng)用戶的安全意識(shí)

計(jì)算機(jī)用戶要充分認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性,注意培養(yǎng)安全意識(shí),養(yǎng)成良好的上網(wǎng)習(xí)慣,主要有以下幾方面的內(nèi)容:

(1)設(shè)置和管理好密碼,注意盡量設(shè)置強(qiáng)密碼,不要設(shè)置簡(jiǎn)單的數(shù)字;要注意保護(hù)好密碼,并定期更換密碼。

(2)要注意不瀏覽不健康的網(wǎng)頁(yè),不下載不健康的內(nèi)容,不隨便點(diǎn)擊網(wǎng)頁(yè)上的連接。

(3)警惕網(wǎng)絡(luò)陷阱。注意保護(hù)好自己私人信息,如身份證號(hào)、銀行卡號(hào)等重要信息,不輕易填寫個(gè)人資料。經(jīng)常清理瀏覽器緩存,防止信息泄露。

(4)下載軟件最好到大型正規(guī)的站點(diǎn)下載,對(duì)下載的文件要先進(jìn)行殺毒軟件掃描,確定沒(méi)有病毒之后再打開(kāi)。在安裝軟件時(shí)要注意選擇安裝選項(xiàng),警惕惡意插件捆綁式安裝。

(5)注意文檔的安全,不要將文檔存在系統(tǒng)盤,對(duì)重要的文檔注意加密保存,防止有人無(wú)意打開(kāi)或者蓄意盜取。同時(shí),要做好數(shù)據(jù)備份工作,防止數(shù)據(jù)丟失,進(jìn)行迅速的恢復(fù)。對(duì)重要的數(shù)據(jù)要選用合適的設(shè)備定期備份。

(四)漏洞補(bǔ)丁更新

一些系統(tǒng)的官方網(wǎng)站在發(fā)現(xiàn)系統(tǒng)漏洞之后會(huì)及時(shí)地補(bǔ)丁程序,要注意及時(shí)安裝補(bǔ)丁程序,而且要密切關(guān)注國(guó)內(nèi)外著名的安全站點(diǎn),及時(shí)獲得最新的網(wǎng)絡(luò)漏洞信息。

(五)防止惡性攻擊的技術(shù)

1. 病毒防護(hù)技術(shù)

病毒防護(hù)是網(wǎng)絡(luò)安全技術(shù)中的重要的一環(huán),應(yīng)該以防為主,防止外界的病毒感染本機(jī),抑制本機(jī)病毒不向外擴(kuò)散。事后的彌補(bǔ)性措施不能徹底的解決安全問(wèn)題的。用戶要安裝正版的殺毒軟件,并對(duì)殺毒軟件實(shí)時(shí)監(jiān)控,定期升級(jí),確保獲得最新的病毒庫(kù)信息。還要定期地對(duì)電腦進(jìn)行掃描,及時(shí)發(fā)現(xiàn)并消除隱藏的病毒。

2. 防火墻技術(shù)

防火墻技術(shù)是一種軟件和硬件的結(jié)合,可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,過(guò)濾一些攻擊,還可以關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,此外,它還可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn),防止來(lái)自不明入侵者的所有通信。

3. 數(shù)據(jù)加密技術(shù)

加密可以把明文變?yōu)槊芪?,?yàn)證介入信息的傳送、存取、處理人的身份和相關(guān)的數(shù)據(jù),使未授權(quán)的人無(wú)法破譯,保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩院捅C苄浴?/p>

4.入侵檢測(cè)系統(tǒng)

可以看做是防火墻之后的一道安全防護(hù),通過(guò)從網(wǎng)絡(luò)的關(guān)鍵點(diǎn)收集信息并分析,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和跡象,提供對(duì)內(nèi)、外攻擊和誤操作的保護(hù),提高信息安全結(jié)構(gòu)的完整性。

總結(jié)

網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的系統(tǒng)工程,必須綜合考慮各種安全因素,制定相應(yīng)的方案和制度,提高自身的安全意識(shí),確保網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。

【參考文獻(xiàn)】

[1]李云峰,李婷.計(jì)算機(jī)網(wǎng)路技術(shù)教程[M].北京:電子工業(yè)出版社,2010:252.

篇2

關(guān)鍵詞:網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò) 安全防范

基于此,網(wǎng)絡(luò)安全問(wèn)題就成了人們備受關(guān)注的重要課題。從其本質(zhì)上來(lái)看,計(jì)算機(jī)網(wǎng)絡(luò)安全也即是確保網(wǎng)上的各信息資源的安全,網(wǎng)絡(luò)安全從某種意義上來(lái)說(shuō)就是指網(wǎng)絡(luò)信息安全,也即是指網(wǎng)絡(luò)系統(tǒng)中流動(dòng)及保存的各種數(shù)據(jù)資源信息不被惡意的泄漏和破壞。網(wǎng)絡(luò)上各種數(shù)據(jù)資源信息時(shí)網(wǎng)絡(luò)中最寶貴的資源,然而很多不法分子就是通過(guò)各種網(wǎng)絡(luò)途徑竊取相應(yīng)的網(wǎng)絡(luò)信息資源、泄漏信息、進(jìn)行一些有害信息的傳播等違法行為。而計(jì)算機(jī)網(wǎng)絡(luò)安全也即是指通過(guò)一定的控制手段和管理方法,對(duì)網(wǎng)絡(luò)上的信息及網(wǎng)絡(luò)自身進(jìn)行保護(hù)措施,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全級(jí)網(wǎng)絡(luò)各服務(wù)的正常運(yùn)行;安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)必須具備可靠性、保密性、完整性和可用性4個(gè)基本特點(diǎn)。

1、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的安全威脅

由于大型網(wǎng)絡(luò)系統(tǒng)中由多種網(wǎng)絡(luò)協(xié)議支持,如TCP/IP、IPX/SPX等,而這些網(wǎng)絡(luò)協(xié)議并非網(wǎng)絡(luò)系統(tǒng)中專門為安全通訊而設(shè)計(jì)。因此,網(wǎng)絡(luò)運(yùn)行中可能存在以下兩種網(wǎng)絡(luò)安全威脅:(1)網(wǎng)絡(luò)中的設(shè)備安全威脅;(2)網(wǎng)絡(luò)中信息的安全威脅。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全威脅因素有很多,這些因素有可能是無(wú)意的,但也有很多因素是人為的、有意的;也有可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用所造成。對(duì)其歸納分析可知,對(duì)網(wǎng)絡(luò)安全運(yùn)行的主要安全威脅有以下幾方面:

1.1 人為無(wú)意失誤造成的安全問(wèn)題

如操作人員在進(jìn)行網(wǎng)絡(luò)安全配置中,出現(xiàn)的不當(dāng)操作從而造成的網(wǎng)絡(luò)安全漏洞,引發(fā)的各種安全威脅,如用戶口令選擇不慎,用戶的安全意識(shí)淡薄,用戶隨意將自己賬號(hào)信息轉(zhuǎn)接他人等,都會(huì)給網(wǎng)絡(luò)運(yùn)行帶來(lái)一定的安全威脅。

1.2 人為惡意攻擊造成的安全問(wèn)題

這是計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中面臨的最主要的安全威脅,計(jì)算機(jī)犯罪和敵手攻擊均屬于人為的惡意攻擊。該類攻擊同時(shí)可以分為主動(dòng)攻擊和被動(dòng)攻擊兩類,主動(dòng)攻擊也即是有選擇性的破壞信息的完整性和有效性;被動(dòng)攻擊也即是在不影響網(wǎng)絡(luò)正常運(yùn)作的情況下,安裝一些監(jiān)控裝置或竊聽(tīng)裝置到計(jì)算機(jī)用戶上,來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)的非法監(jiān)聽(tīng)或掃描,以此來(lái)破譯、竊取或截獲用戶的重要信息資源。這兩種攻擊均會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生極大危害,甚至導(dǎo)致機(jī)密數(shù)據(jù)的丟失和泄漏。

1.3 網(wǎng)絡(luò)軟件自身的漏洞

網(wǎng)絡(luò)軟件自身的缺陷和漏洞也是網(wǎng)絡(luò)安全運(yùn)行的最大隱患之一,這些漏洞和缺陷同時(shí)也是黑客攻擊的首選目標(biāo),從以往發(fā)生的黑客攻擊網(wǎng)絡(luò)內(nèi)部的事件我們不難看出,多數(shù)事件均是因?yàn)槠渥陨戆踩胧┎划?dāng)引發(fā)。如微軟的Windows,2005年7月公布的嚴(yán)重威脅用戶安全的兩款漏洞,了“高?!奔?jí)別的安全警告。其中的一處安全漏洞存在于Windows上的色彩管理模塊(Color Management Module)上,另一處漏洞則存在于微軟Java虛擬機(jī)上的JView Profiler部分。這些攻擊弱點(diǎn)都可以使黑客輕易操縱用戶電腦。黑客通過(guò)利用Windows上JView Profiler漏洞,把惡意代碼下載并安裝到用戶的機(jī)器上,使黑客對(duì)被黑機(jī)器實(shí)施遠(yuǎn)程控制,使受危害的機(jī)器成為botnet(僵尸網(wǎng)絡(luò))中的一個(gè)部分。再如,2011年不斷爆出的數(shù)據(jù)泄露事件。4月份開(kāi)始索尼遭遇的黑客事件,直接導(dǎo)致其在線PlayStation網(wǎng)絡(luò)中7700萬(wàn)客戶的信息,包括信用卡賬號(hào)被竊,損失1.7億美元等,均讓我們看到網(wǎng)絡(luò)軟件自身的缺陷和漏洞不容小覷。

2、計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略分析

通過(guò)以上分析,筆者以為,網(wǎng)絡(luò)安全的防范其主要目的應(yīng)以隔離不安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)為主,同時(shí)對(duì)他們的訪問(wèn)進(jìn)行嚴(yán)格控制?;诖?,可通過(guò)提供防火漆系統(tǒng),作為訪問(wèn)控制設(shè)備,來(lái)實(shí)現(xiàn)與不安全網(wǎng)絡(luò)與不信任網(wǎng)絡(luò)的隔離。

防火強(qiáng)本身的特點(diǎn),決定了它配置位置應(yīng)處于兩個(gè)不同網(wǎng)絡(luò)之間的連接處,使之成為兩個(gè)網(wǎng)絡(luò)間唯一的訪問(wèn)通道,這樣一來(lái),所有進(jìn)出它的數(shù)據(jù)都需要經(jīng)過(guò)防火墻進(jìn)行檢驗(yàn)和過(guò)濾,以此來(lái)真正的發(fā)揮防火墻的功能。

以下以某學(xué)校的校園網(wǎng)為例,簡(jiǎn)單闡述防火墻系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的建設(shè)方案。結(jié)合校園網(wǎng)的特點(diǎn),首先在路由器和中心交換機(jī)間放置阿姆瑞特防火墻(阿姆瑞特F300防火墻擁有5個(gè)接口),同時(shí)將學(xué)校對(duì)外服務(wù)器放置于防火強(qiáng)的其它接口上,以此在保障各服務(wù)器安全的同時(shí)保,還保障了網(wǎng)絡(luò)的帶寬。通過(guò)在防火墻上設(shè)置不允許Internet 用戶訪問(wèn)該校內(nèi)部網(wǎng),使得該校園網(wǎng)絡(luò)更加安全合理。其具體配置可參照?qǐng)D1所示:

除了做好防火墻系統(tǒng)的配置以外,計(jì)算機(jī)自身還應(yīng)定時(shí)的進(jìn)行安全掃描。一般情況下,計(jì)算機(jī)網(wǎng)路用戶會(huì)以出現(xiàn)問(wèn)題解決問(wèn)題的態(tài)度來(lái)對(duì)待計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)的安全問(wèn)題,這是一個(gè)極為不好的習(xí)慣,計(jì)算機(jī)網(wǎng)絡(luò)用戶應(yīng)養(yǎng)成定期的系統(tǒng)掃描和全盤掃描的習(xí)慣,定期檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)各部分的運(yùn)行狀況,以便及早發(fā)現(xiàn)問(wèn)題,及早給予處理。

同時(shí),還應(yīng)設(shè)置網(wǎng)絡(luò)病毒防范技術(shù)。病毒作為計(jì)算機(jī)網(wǎng)絡(luò)中最常見(jiàn)的安全威脅,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)就必須適當(dāng)增加網(wǎng)路殺毒軟件,通過(guò)安裝各種殺毒軟件實(shí)現(xiàn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)時(shí)保護(hù),以此來(lái)將網(wǎng)絡(luò)威脅降低到最小程度。部分用戶會(huì)因?yàn)橛X(jué)得麻煩而不選擇安裝殺毒軟件,這樣一來(lái)很容易給病毒營(yíng)造一種暢通無(wú)阻的環(huán)境,病毒會(huì)隨著瀏覽網(wǎng)頁(yè)或下載資料資源等入侵到本地計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),進(jìn)而給正常的網(wǎng)絡(luò)訪問(wèn)帶來(lái)影響。因此,筆者以為無(wú)論是單位計(jì)算機(jī)網(wǎng)絡(luò)還是小型的家用計(jì)算機(jī)網(wǎng)絡(luò)中的計(jì)算機(jī)均應(yīng)安裝一定的殺毒軟件,以此來(lái)啟動(dòng)本地計(jì)算機(jī)的防護(hù)功能。

參考文獻(xiàn)

[1]李明革,楊亞洲,姜占華.園區(qū)網(wǎng)絡(luò)故障分析及解決措施[J].吉林大學(xué)學(xué)報(bào):信息科學(xué)版,2008(4):102-103.

[2]孫全尚,孫書雙.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)[J].科技創(chuàng)新導(dǎo)報(bào),2008 (28):56-58.

篇3

關(guān)鍵詞:網(wǎng)絡(luò)安全;病毒防范;防火墻

        0  引言

        如何保證合法網(wǎng)絡(luò)用戶對(duì)資源的合法訪問(wèn)以及如何防止網(wǎng)絡(luò)黑客的攻擊,已經(jīng)成為網(wǎng)絡(luò)安全的主要內(nèi)容。

        1  網(wǎng)絡(luò)安全威脅

        1.1 網(wǎng)絡(luò)中物理的安全威脅  例如空氣溫度、濕度、塵土等環(huán)境故障、以及設(shè)備故障、電源故障、電磁干擾、線路截獲等。

        1.2 網(wǎng)絡(luò)中信息的安全威脅  ①蠕蟲(chóng)和病毒。計(jì)算機(jī)蠕蟲(chóng)和病毒是最常見(jiàn)的一類安全威脅。蠕蟲(chóng)和病毒會(huì)嚴(yán)重破壞業(yè)務(wù)的連續(xù)性和有效性。隨著病毒變得更智能、更具破壞性,其傳播速度也更快,甚至能在片刻間使信息處理處于癱瘓狀態(tài),而要清除被感染計(jì)算機(jī)中的病毒所要耗費(fèi)的時(shí)一間也更長(zhǎng)。②黑客攻擊?!昂诳汀币辉~由英語(yǔ)Hacker英譯而來(lái),原意是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛(ài)好者。現(xiàn)如今主要用來(lái)描述那些掌握高超的網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)竊取他人或企業(yè)部門重要數(shù)據(jù)從中獲益的人。黑客攻擊主要包括系統(tǒng)入侵、網(wǎng)絡(luò)監(jiān)聽(tīng)、密文破解和拒絕服務(wù)(DtS)攻擊等。

        2  網(wǎng)絡(luò)安全技術(shù)

        為了消除上述安全威脅,企業(yè)、部門或個(gè)人需要建立一系列的防御體系。目前主要有以下幾種安全技術(shù):

        2.1 密碼技術(shù)  在信息傳輸過(guò)程中,發(fā)送方先用加密密鑰,通過(guò)加密設(shè)備或算法,將信息加密后發(fā)送出去,接收方在收到密文后,用解密密鑰將密文解密,恢復(fù)為明文。如果傳輸中有人竊取,也只能得到無(wú)法理解的密文,從而對(duì)信息起到保密作用。

        2.2 身份認(rèn)證技術(shù)  通過(guò)建立身份認(rèn)證系統(tǒng)可實(shí)現(xiàn)網(wǎng)絡(luò)用戶的集中統(tǒng)一授權(quán),防止未經(jīng)授權(quán)的非法用戶使用網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)環(huán)境中,信息傳至接收方后,接收方首先要確認(rèn)信息發(fā)送方的合法身份,然后才能與之建立一條通信鏈路。身份認(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗(yàn)證和數(shù)字證明。

        2.3 病毒防范技術(shù)  計(jì)算機(jī)病毒實(shí)際上是一種惡意程序,防病毒技術(shù)就是識(shí)別出這種程序并消除其影響的一種技術(shù)。從防病毒產(chǎn)品對(duì)計(jì)算機(jī)病毒的作用來(lái)講,防病毒技術(shù)可以直觀地分為病毒預(yù)防技術(shù)、病毒檢測(cè)技術(shù)和病毒清除技術(shù)。   

        ①病毒預(yù)防技術(shù)。計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。病毒預(yù)防技術(shù)包括磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)和系統(tǒng)監(jiān)控技術(shù)等。②病毒檢測(cè)技術(shù)。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長(zhǎng)度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù);另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù),即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn),若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性己遭到破壞,感染上了病毒,從而檢測(cè)到病毒的存在。③病毒清除技術(shù)。計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一個(gè)逆過(guò)程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過(guò)對(duì)其進(jìn)行分析研究而研制出來(lái)的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動(dòng)的,帶有滯后性。而且由于計(jì)算機(jī)軟件所要求的精確性,殺毒軟件有其局限性,對(duì)有些變種病毒的清除無(wú)能為力。

        2.4 入侵檢測(cè)技術(shù)  入侵檢測(cè)技術(shù)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),也是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

    入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為特征檢測(cè)與異常檢測(cè)兩種。

        ①特征檢測(cè)的假設(shè)是入侵者活動(dòng)可以用一種模式來(lái)表示,系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。它可以將己有的入侵方法檢查出來(lái),但對(duì)新的入侵方法無(wú)能為力。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來(lái)。②異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。根據(jù)這一理念建立主體正?;顒?dòng)的“活動(dòng)簡(jiǎn)檔”,將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡(jiǎn)檔”相比較,當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí),認(rèn)為該活動(dòng)可能是“入侵”行為。異常檢測(cè)的難題在于如何建立“活動(dòng)簡(jiǎn)檔”以及如何設(shè)計(jì)統(tǒng)計(jì)算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

        2.5 漏洞掃描技術(shù)  漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。漏洞檢測(cè)技術(shù)就是通過(guò)對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查,查找系統(tǒng)安全漏洞的一種技術(shù)。它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患,換言之,漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查,發(fā)現(xiàn)其中可被黑客所利用的漏洞。隨著黑客人侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷,預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的評(píng)估報(bào)告,它指出了哪些攻擊是可能的,因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分。

        漏洞掃描技術(shù)主要分為被動(dòng)式和主動(dòng)式兩種:

篇4

〔關(guān)鍵詞〕圖書館;計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;UTM;新技術(shù)

〔中圖分類號(hào)〕G250.78 〔文獻(xiàn)標(biāo)識(shí)碼〕B 〔文章編號(hào)〕1008-0821(2012)10-0127-03

圖書館網(wǎng)絡(luò)安全應(yīng)給予高度重視,計(jì)算機(jī)病毒、黑客攻擊、系統(tǒng)漏洞、硬件環(huán)境等諸多因素都對(duì)圖書館網(wǎng)絡(luò)安全構(gòu)成威脅。傳統(tǒng)網(wǎng)絡(luò)安全防范措施如防火墻、VPN網(wǎng)關(guān)、入侵檢測(cè)以及防病毒等,為功能單一的安全管理模式,即習(xí)慣稱之為STM(單一威脅管理),已遠(yuǎn)不能滿足新的混合型攻擊的防范要求。UTM新技術(shù)即“一體化的威脅管理”新模式集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,為構(gòu)筑圖書館網(wǎng)絡(luò)安全堅(jiān)固防線帶來(lái)了新曙光。

1 圖書館網(wǎng)絡(luò)安全威脅

1.1 計(jì)算機(jī)病毒攻擊

計(jì)算機(jī)病毒是一個(gè)程序,或一段可執(zhí)行碼,它有獨(dú)特的復(fù)制能力,能附著在各類文件上隨同文件通過(guò)網(wǎng)絡(luò)或文件復(fù)制而迅速傳播開(kāi)來(lái)。它隱蔽在其他可執(zhí)行的程序中,既有破壞性,又有傳染性和潛伏性。它對(duì)計(jì)算機(jī)進(jìn)行破壞,使其性能降低、無(wú)法正常使用甚至使整個(gè)計(jì)算機(jī)操作系統(tǒng)或硬件損壞。圖書館網(wǎng)已普遍接入到互聯(lián)網(wǎng),這為病毒的侵入提供了便利途徑。一旦服務(wù)器和工作站被病毒感染,就會(huì)迅速擴(kuò)散至整個(gè)圖書館網(wǎng)絡(luò),可能造成系統(tǒng)損壞、數(shù)據(jù)丟失、應(yīng)用程序無(wú)法使用、甚至導(dǎo)致網(wǎng)絡(luò)癱瘓,造或無(wú)法挽回的損失。隨著互聯(lián)網(wǎng)的迅猛發(fā)展,計(jì)算機(jī)病毒從種類到數(shù)量在急劇增加,而且傳播速度加快,受感染的范圍也越來(lái)越廣,破壞性也在加大,而病毒的清除卻非常困難[1]。

1.2 黑客攻擊

從黑客攻擊手段看可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。常見(jiàn)黑客攻擊手段有:

(1)系統(tǒng)漏洞攻擊:一些別有用心的人,利用窮舉搜索法,發(fā)現(xiàn)并利用程序設(shè)計(jì)員由于疏忽或者其他原因(如將其留在程序中,便于日后訪問(wèn)、測(cè)試或維護(hù))而留下的后門即系統(tǒng)漏洞進(jìn)行攻擊。

(2)信息炸彈:即使用一些特殊工具軟件,短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息,造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。

(3)信息攻擊:攻擊者通過(guò)發(fā)送偽造的路由信息,構(gòu)造源主機(jī)和目標(biāo)主機(jī)的虛假路徑,從而使流向目標(biāo)主機(jī)的數(shù)據(jù)包均經(jīng)過(guò)攻擊者的主機(jī)。這樣就給攻擊者提供了敏感的信息和有用的密碼。

(4)拒絕服務(wù)攻擊:分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段。它是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源,最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。

(5)網(wǎng)絡(luò)監(jiān)聽(tīng):當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級(jí)用戶權(quán)限后,若要登錄其他主機(jī),使用網(wǎng)絡(luò)監(jiān)聽(tīng)可以有效地截獲網(wǎng)上的數(shù)據(jù),這是黑客使用最多的方法,但是,網(wǎng)絡(luò)監(jiān)聽(tīng)只能應(yīng)用于物理上連接于同一網(wǎng)段的主機(jī),通常被用做獲取用戶口令[2]。

對(duì)于圖書館網(wǎng)絡(luò)來(lái)說(shuō),黑客攻擊的危害主要有以下幾個(gè)方面:

(1)惡意破壞:黑客出于某種不可告人的目的,對(duì)圖書館網(wǎng)絡(luò)設(shè)備進(jìn)行信息轟炸致使服務(wù)中斷,或入侵Web和其它文件服務(wù)器,刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰。還可能向圖書館網(wǎng)絡(luò)傳送附帶病毒的文件,達(dá)到破壞的目的。

(2)竊取數(shù)據(jù):黑客有可能竊取圖書館建立的特色數(shù)字館藏和花巨資購(gòu)買的數(shù)據(jù)庫(kù)資源以逃避有償服務(wù)。

(3)非法使用網(wǎng)絡(luò)資源:黑客通過(guò)對(duì)圖書館網(wǎng)絡(luò)系統(tǒng)的控制,能夠無(wú)限制地使用其中的計(jì)算機(jī)和網(wǎng)絡(luò)連接服務(wù)等資源而不必支付任何費(fèi)用。最典型的就是免費(fèi)使用數(shù)據(jù)通信網(wǎng)絡(luò),其結(jié)果是使圖書館無(wú)故承擔(dān)高昂的費(fèi)用并造成不必要的網(wǎng)絡(luò)堵塞[3]。

(4)破壞數(shù)據(jù)完整性:外部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)用戶以非法手段取得對(duì)數(shù)據(jù)的使用權(quán),通過(guò)非法竊取、篡改、偽造某些重要信息,以取得有益于攻擊者的響應(yīng);同時(shí),利用惡意添加、修改數(shù)據(jù)破壞內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接。

1.3 系統(tǒng)漏洞

1.3.1 Windows系統(tǒng)

(1)輸入法漏洞:通過(guò)該漏洞用戶可瀏覽計(jì)算機(jī)上的所有文件,且可執(zhí)行net.exe命令添加Administrator級(jí)別的管理員用戶,從而完全控制計(jì)算機(jī)。

(2)Unicode漏洞:“Unicode漏洞”是微軟IIS的一個(gè)重大漏洞。IIS 4.0和IIS 5.0在Unicode字符解碼的實(shí)現(xiàn)中存在一個(gè)安全漏洞,導(dǎo)致用戶可以遠(yuǎn)程通過(guò)IIS執(zhí)行任意命令。當(dāng)用戶用IIS打開(kāi)文件時(shí),如果該文件名包含Unicode字符,系統(tǒng)會(huì)對(duì)其進(jìn)行解碼。如果用戶提供一些特殊的編碼,將導(dǎo)致IIS錯(cuò)誤地打開(kāi)或者執(zhí)行某些Web根目錄以外的文件。攻擊者可以利用這個(gè)漏洞來(lái)繞過(guò)IIS的路徑檢查,去執(zhí)行或者打開(kāi)任意的文件。

(3)ISAPI緩沖區(qū)溢出漏洞:ISAPI,即Internet Services Application Programming Interface,作為安裝IIS過(guò)程的一部分,系統(tǒng)還會(huì)安裝幾個(gè)ISAPI擴(kuò)展.dlls,其中idq.dll是Index Server的一個(gè)組件,對(duì)管理員腳本和Internet數(shù)據(jù)查詢提供支持。但是,idq.dll在一段處理URL輸入的代碼中存在一個(gè)未經(jīng)檢查的緩沖區(qū),攻擊者利用此漏洞能導(dǎo)致受影響服務(wù)器產(chǎn)生緩沖區(qū)溢出,從而執(zhí)行自己提供的代碼。更為嚴(yán)重的是,idq.dll是以System身份運(yùn)行的,攻擊者可以利用此漏洞取得系統(tǒng)管理員權(quán)限。當(dāng)外部攻擊實(shí)施向ISAPI擴(kuò)展發(fā)送特定參數(shù)的“Buffer Over Run”攻擊時(shí),即可從外部執(zhí)行服務(wù)器的所有程序[4]。

此外還有:Microsoft IIS CGI文件名錯(cuò)誤解碼漏洞、MSADCS RDS弱點(diǎn)漏洞、FrontPage服務(wù)器擴(kuò)展漏洞、Printer漏洞、系統(tǒng)管理權(quán)限漏洞、路徑優(yōu)先漏洞、NetDDE消息權(quán)限提升漏洞、RDP拒絕服務(wù)漏洞、域控制器拒絕服務(wù)漏洞等,這些都對(duì)系統(tǒng)構(gòu)成安全威脅。

1.3.2 數(shù)據(jù)庫(kù)系統(tǒng)

(1)SQL數(shù)據(jù)庫(kù)漏洞:SQL服務(wù)器是一個(gè)非常強(qiáng)大的數(shù)據(jù)庫(kù)。在安裝MS SQL Server后,會(huì)產(chǎn)生默認(rèn)的SA用戶,且初始密碼在管理員未設(shè)置的情況下為空,但SA為SQL Server中非常重要的安全模塊成員,因此入侵者即可通過(guò)SQL Server客戶端進(jìn)行數(shù)據(jù)庫(kù)遠(yuǎn)程連接,然后通過(guò)SQL的遠(yuǎn)程數(shù)據(jù)庫(kù)管理命令進(jìn)行命令操作,從而在MS SQL Server服務(wù)器上新建管理員級(jí)別的Administrators組用戶[4]。

SQL Server 2000所含組件“SQLXML”中也存在安全漏洞。在建立能夠通過(guò)Internet Information Server/Services(IIS)向SQL Server直接發(fā)送請(qǐng)求(Query)的系統(tǒng)時(shí),如果接收了某種被做過(guò)手腳的請(qǐng)求,就存在著IIS服務(wù)器上被執(zhí)行任意代碼(程序)的危險(xiǎn)。與此同時(shí),還在SQLXML中發(fā)現(xiàn)了可能危及客戶端的安全漏洞[5]。遠(yuǎn)程攻擊者可能利用SQL漏洞導(dǎo)致拒絕服務(wù)、繞過(guò)數(shù)據(jù)庫(kù)策略、泄漏敏感信息或執(zhí)行任意代碼。

(2)Oracle數(shù)據(jù)庫(kù)漏洞:Oracle Application Server最近被發(fā)現(xiàn)存在多個(gè)安全漏洞,包括資料溢寫、不安全的預(yù)設(shè)定、無(wú)法執(zhí)行存取控制以及無(wú)法驗(yàn)證輸入。這些漏洞造成的影響包括可被執(zhí)行任意指令或程序代碼、拒絕服務(wù),及未經(jīng)授權(quán)的資料存取[6]。

(3)sybase數(shù)據(jù)庫(kù)漏洞:Sybase ASE能實(shí)現(xiàn)多種性能優(yōu)化機(jī)制。其中的一個(gè)機(jī)制允許用戶在執(zhí)行SQL查詢時(shí)指定抽象查詢計(jì)劃。所有可以執(zhí)行SQL查詢的用戶都可以指定查詢計(jì)劃。攻擊者可以創(chuàng)建能夠?qū)е聴R绯龅奶刂撇樵冇?jì)劃。如果服務(wù)器處理了畸形的抽象查詢計(jì)劃就可以觸發(fā)該漏洞。如果成功利用的話,就可能導(dǎo)致內(nèi)存破壞并執(zhí)行任意代碼。攻擊還可能導(dǎo)致拒絕服務(wù)[7]。

1.4 硬件環(huán)境

(1)計(jì)算機(jī)內(nèi)網(wǎng)設(shè)備使用留下隱患:移動(dòng)硬盤、U盤、筆記本電腦等在內(nèi)網(wǎng)與外網(wǎng)上交替使用,導(dǎo)致病毒傳入、數(shù)據(jù)泄漏和丟失。

(2)私加網(wǎng)卡,同時(shí)連接內(nèi)網(wǎng)與外網(wǎng),這樣外部的攻擊行為與病毒就可輕易繞過(guò)內(nèi)外網(wǎng)之間防火墻,順利入侵內(nèi)網(wǎng),利用該通道內(nèi)部人員也可容易地將內(nèi)部信息傳到外網(wǎng)。

(3)網(wǎng)絡(luò)物理環(huán)境不合理,網(wǎng)絡(luò)傳輸介質(zhì)易被竊聽(tīng),防電磁干擾能力差。網(wǎng)絡(luò)服務(wù)器,交換機(jī)、集線器、網(wǎng)絡(luò)聯(lián)線與布線結(jié)構(gòu)都是引起不安全的因素。不可預(yù)料的自然災(zāi)害、電氣故障、靜電、磁場(chǎng)影響、電源質(zhì)量、機(jī)房布局不當(dāng)、機(jī)房輔助設(shè)備故障等,都是危害網(wǎng)絡(luò)系統(tǒng)安全的隱患[1]。

2 傳統(tǒng)安全防范措施

2.1 防火墻技術(shù)

防火墻是在內(nèi)部專用網(wǎng)與外部網(wǎng)( 如因特網(wǎng)) 之間構(gòu)筑的一道屏障,可提供接入控制,干預(yù)兩網(wǎng)之間的息傳遞,是安全防范體系中必要的一層。它最主要的作用就是防止對(duì)計(jì)算機(jī)的非法訪問(wèn)。

2.2 入侵檢測(cè)

入侵檢測(cè)被認(rèn)為是防火墻之后的第二道閘門,可以實(shí)時(shí)的監(jiān)控網(wǎng)絡(luò)中的數(shù)據(jù)訪問(wèn)和系統(tǒng)事件,提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

2.3 用戶認(rèn)證

高校圖書館對(duì)校園內(nèi)用戶實(shí)行統(tǒng)一認(rèn)證和管理,從而保證該用戶有適當(dāng)?shù)臋?quán)限訪問(wèn)圖書館資源,防止外來(lái)人員的惡意襲擊。

2.4 數(shù)據(jù)備份

圖書館數(shù)據(jù)具有數(shù)據(jù)量大、更新迅速等特點(diǎn),具有較大的風(fēng)險(xiǎn)性。因此數(shù)據(jù)庫(kù)中的數(shù)據(jù)應(yīng)及時(shí)、準(zhǔn)確、完整地建立備份,一般采用即時(shí)數(shù)據(jù)雙機(jī)或雙盤在線備份和當(dāng)日數(shù)據(jù)離線備份的方式備份好數(shù)據(jù)[8]。

3 傳統(tǒng)安全防范措施的缺陷

3.1 路由器防火墻

路由器防火墻一般只做第3、4層的防御,即對(duì)IP地址、端口的過(guò)濾,對(duì)于內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)80端口一般是放行的,這樣在用戶隨意瀏覽到被掛馬的網(wǎng)站時(shí),像熊貓燒香這類病毒就堂而皇之的進(jìn)到內(nèi)網(wǎng)PC中了。在接著的局域網(wǎng)內(nèi)的傳播及移動(dòng)存儲(chǔ)設(shè)備的傳播中,由于不通過(guò)路由器、硬件防火墻,因此路由器、硬件防火墻也不可能進(jìn)行有效的防御。某些高級(jí)防火墻帶有一定的應(yīng)用層過(guò)濾的機(jī)制,例如:核過(guò)濾、流過(guò)濾等,但作用的力度、范圍及靈活性不大,無(wú)法阻攔病毒通過(guò)被掛馬網(wǎng)站的傳播。

3.2 防病毒軟件及防病毒網(wǎng)關(guān)

防病毒軟件及網(wǎng)關(guān)只能根據(jù)已知的病毒特征碼進(jìn)行過(guò)濾,在新病毒出現(xiàn)和防病毒軟件、網(wǎng)關(guān)得到該病毒的特征碼之間有時(shí)間差,各防病毒軟件及專殺工具往往跟不上新病毒及其變種的更新速度。

3.3 入侵檢測(cè)(IDS) & 入侵阻攔(IPS)

大部分的入侵檢測(cè)系統(tǒng)是依靠特征碼進(jìn)行的,與防病毒一樣,由于在特征碼的更新上落后于新病毒的和變種,也只能起到亡羊補(bǔ)牢的作用。如果沒(méi)有入侵阻攔(IPS)或防火墻聯(lián)動(dòng)的幫忙,即使IDS檢測(cè)到了病毒,也不能阻止其泛濫。

3.4 VPN & SSL

VPN只是在第2、3、4層上建立了一個(gè)加密隧道,并沒(méi)有檢測(cè)應(yīng)用層的內(nèi)容,因此,象熊貓燒香病毒仍可以順著建立好的VPN隧道進(jìn)入對(duì)方網(wǎng)絡(luò)。

3.5 VLAN

在實(shí)際應(yīng)用中,大部分單位均以部門為單位進(jìn)行VLAN劃分,因此,本部門中1臺(tái)機(jī)器中了毒,整個(gè)部門就存在被感染的風(fēng)險(xiǎn),除非每臺(tái)機(jī)器都裝了個(gè)人防火墻[9]。

4 運(yùn)用UTM新技術(shù)構(gòu)筑圖書館網(wǎng)絡(luò)安全堅(jiān)固防線

目前,網(wǎng)絡(luò)安全防范的狀況是,大都還在使用功能單一的安全設(shè)備,即STM(單一威脅管理)。比如,防火墻、VPN網(wǎng)關(guān)、防毒墻、入侵偵測(cè)設(shè)備等。這些設(shè)備隨著企業(yè)要求的提高而不斷地串接起來(lái),不僅需要大量的資金投入,而且會(huì)使網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜,增加網(wǎng)絡(luò)開(kāi)銷,造成維護(hù)量大,排障困難,占用大量的人力。而網(wǎng)絡(luò)安全威脅也與日劇增,不同的攻擊手段同豐富的正常應(yīng)用混合起來(lái),使得防范變得愈加困難,增加了安全管理上的壓力,因此,STM類設(shè)備已經(jīng)越來(lái)越無(wú)法適應(yīng)現(xiàn)代企業(yè)對(duì)于網(wǎng)絡(luò)的需求[10]。

于是UTM新技術(shù)就應(yīng)運(yùn)而生了。UTM(Unified Threat Management)即“一體化的威脅管理”。它集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、防拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體,以其基于應(yīng)用協(xié)議層防御、超低誤報(bào)率檢測(cè)、高可靠高性能平臺(tái)、統(tǒng)一組件化管理、實(shí)現(xiàn)多種防御功能的優(yōu)勢(shì)已得到越來(lái)越多用戶青睞。由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備,因此UTM設(shè)備本身的性能和可靠性要求非常高。UTM的重要特點(diǎn)是:第一,網(wǎng)絡(luò)全協(xié)議層防御。除了傳統(tǒng)的訪問(wèn)控制之外,還對(duì)防垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的效果,實(shí)現(xiàn)七層協(xié)議保護(hù)。第二,有高檢測(cè)技術(shù)來(lái)降低誤報(bào)。第三,有高可靠、高性能的硬件平臺(tái)支撐。第四,有一體化的統(tǒng)一管理。這樣,使設(shè)備本身平臺(tái)標(biāo)準(zhǔn)化并具有可擴(kuò)展性,用戶可在統(tǒng)一平臺(tái)上進(jìn)行組件管理,同時(shí),也能消除信息產(chǎn)品之間由于無(wú)法溝通而帶來(lái)的信息孤島,從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候,更好地保障用戶的網(wǎng)絡(luò)安全[11]。業(yè)內(nèi)人士認(rèn)為,UTM幾乎囊括了從外部防范到內(nèi)部防泄露、從單一獨(dú)立的安全產(chǎn)品到集中綜合的多項(xiàng)安全功能、從底層自架設(shè)的操作系統(tǒng)到網(wǎng)絡(luò)層和應(yīng)用層聯(lián)合抵御與防范等所有功能,無(wú)論是概念,還是其內(nèi)核精髓,對(duì)以往單薄的安全機(jī)制都是一次深刻變革。其產(chǎn)品精神勢(shì)必導(dǎo)致對(duì)傳統(tǒng)安全觀念的一次全新沖洗[12]。

總之,圖書館應(yīng)充分運(yùn)用包括UTM在內(nèi)的網(wǎng)絡(luò)安全新技術(shù)以構(gòu)筑其網(wǎng)絡(luò)安全的堅(jiān)固防線。

參考文獻(xiàn)

[1]李東林.圖書館網(wǎng)絡(luò)安全探析[J].集團(tuán)經(jīng)濟(jì)研究,2006,(12月中旬刊):275-277.

[2]微塵8502.什么叫黑客攻擊?[EB].,2007-08-27.

[3]李衛(wèi)東.圖書館網(wǎng)絡(luò)安全問(wèn)題與防范技[J].現(xiàn)代圖書情報(bào)技術(shù),2002,(6):91.

[4]全面Windows系統(tǒng)漏洞攻防實(shí)戰(zhàn)[EB].,2007-03-01.

[10]ZyWALL UTM領(lǐng)跑信息安全(1)[EB].http:∥/art/200601/16107.htm,2006-01-01.

篇5

關(guān)鍵詞:服務(wù)器安全;腳本漏洞;旁注;緩沖區(qū)溢出;ARP欺騙攻擊

伴隨互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)新興的職業(yè),網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)反黑客之間的斗爭(zhēng)日趨白熱化。隨著互聯(lián)網(wǎng)進(jìn)入社會(huì)的方方面面,不少黑客為了經(jīng)濟(jì)利益鋌而走險(xiǎn),非法牟利。另一方面黑客工具軟件在互聯(lián)網(wǎng)的傳播,降低了攻擊服務(wù)器的技術(shù)門檻,絕大部分攻擊者處于好奇心,抱著嘗試的態(tài)度,下載黑客攻擊對(duì)服務(wù)器進(jìn)行攻擊,反而這類黑客愛(ài)好者的破壞性是最大的。專業(yè)的網(wǎng)絡(luò)安全是一門綜合性的學(xué)科,包含網(wǎng)絡(luò)技術(shù)、通信技術(shù)、計(jì)算機(jī)程序設(shè)計(jì)、計(jì)算機(jī)安全技術(shù)等。隨著網(wǎng)上的在線交易、網(wǎng)銀、購(gòu)物、網(wǎng)游、電子商務(wù)的發(fā)展,網(wǎng)絡(luò)安全事故的數(shù)量以及其造成的損失也在成倍地增長(zhǎng)[1],網(wǎng)絡(luò)安全越來(lái)越關(guān)系著廣大用戶的切身利益。

1服務(wù)器常見(jiàn)攻擊方式

通過(guò)作者分析大部分的網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)上可免費(fèi)下載的黑客工具軟件進(jìn)行攻擊,被這類攻擊破壞的服務(wù)器系統(tǒng)安全問(wèn)題具有普遍性,通過(guò)歸納總結(jié),網(wǎng)站服務(wù)器常見(jiàn)的攻擊方法有:腳本漏洞注入、域名旁注、緩沖區(qū)溢出攻擊、ARP欺騙攻擊、DDOS拒絕服務(wù)攻擊等常見(jiàn)方法。服務(wù)器安全之黑客攻擊手段如圖1所示。

2網(wǎng)站服務(wù)器安全防范

2.1腳本漏洞注入

SQL注入漏洞的根源在于:程序編寫的時(shí)候,沒(méi)有對(duì)用戶輸入的數(shù)據(jù)的內(nèi)容進(jìn)行判斷,沒(méi)有過(guò)濾掉會(huì)引起安全隱患的數(shù)據(jù),從而使攻擊者通過(guò)地址的提交,返回一些重要的數(shù)據(jù)。常見(jiàn)的SQL注入代碼在互聯(lián)網(wǎng)上可以隨時(shí)查到,通過(guò)舉例來(lái)說(shuō)明:例如:想知道某個(gè)網(wǎng)站的管理賬號(hào)和密碼,可以進(jìn)行如下嘗試。先猜測(cè)其管理賬戶為:admin,然后進(jìn)入網(wǎng)站后臺(tái)登錄界面,進(jìn)行SQL注入攻擊,提交如下地址:.域名名稱.com/admin/userlogin.asp?userID=1and(selectpwdfrom管理員用戶表where字段名=‘ad-min’)>某個(gè)具體的整數(shù)數(shù)字這時(shí)將返回一個(gè)出錯(cuò)頁(yè)面,返回的出錯(cuò)信息如下:錯(cuò)誤類型:[Microsoft][ODBCSQLServerDriver][SQLServer]將varchar值‘admin123456’轉(zhuǎn)換為Int型時(shí)發(fā)生語(yǔ)法錯(cuò)誤。根據(jù)這個(gè)提示,就得到了賬號(hào)的管理密碼,管理密碼就是上面提示的“admin123456”,然后用賬號(hào)和得到的密碼,輕松從該網(wǎng)站后臺(tái)正常登錄該網(wǎng)站。在腳本漏洞類攻擊手段中,除了SQL注入漏洞,還有不少腳本漏洞類型可以攻擊,但是其共同的防范方法如下。防范方法:(1)程序設(shè)計(jì)中嚴(yán)格過(guò)濾用戶提交的數(shù)據(jù),包括用戶提交數(shù)據(jù)的長(zhǎng)度、內(nèi)容等。(2)對(duì)于別人給的鏈接要格外謹(jǐn)慎。(3)設(shè)置服務(wù)器端的出錯(cuò)頁(yè)面提示,防止通過(guò)出錯(cuò)頁(yè)面提示泄露重要信息。

2.2域名旁注攻擊

人們對(duì)網(wǎng)絡(luò)安全的重視,最近興起了域名旁注攻擊這種攻擊手段。首先要清楚域名和IP之間的關(guān)系,所有的域名都要最終解析到某個(gè)IP上,域名旁注就是通過(guò)域名解析的IP,然后通過(guò)域名查詢網(wǎng)站提供的功能,可以看到解析在同一IP上的還有那些域名,并且將這些網(wǎng)站統(tǒng)計(jì)記錄下來(lái)。此類攻擊適用于:要攻擊的目標(biāo)網(wǎng)站的安全性非常高,沒(méi)有漏洞,該網(wǎng)站所在的虛擬主機(jī)還有其他站點(diǎn)。通過(guò)查詢得知該虛擬主機(jī)的所有站點(diǎn)域名,然后逐一尋找其他站點(diǎn)的漏洞,拿下該服務(wù)器的管理權(quán)限,或者通過(guò)漏洞站點(diǎn)上傳攻擊文件(一般是木馬程序)對(duì)目標(biāo)網(wǎng)站進(jìn)行操作。這個(gè)過(guò)程可以簡(jiǎn)單地描述為:找到一臺(tái)服務(wù)器上有漏洞的站點(diǎn),通過(guò)攻擊該站點(diǎn),達(dá)到對(duì)目標(biāo)站點(diǎn)的攻擊目的。防范方法:先讓A記錄指向一個(gè)錯(cuò)誤的IP,再在下面添加一個(gè)正確的IP,真實(shí)的IP被巧妙地隱藏了。具體域名解析操作要注意,現(xiàn)在域名解析的A記錄中添加一個(gè)錯(cuò)誤的解析,然后再設(shè)置正確的域名解析IP,因?yàn)闊o(wú)論是用Ping命令還是whois查詢都只能得到一個(gè)域名解析記錄,并且是按照順序查出的。起初設(shè)置的錯(cuò)誤的域名解析IP,最好使用一個(gè)不存在的Web服務(wù)器,否則該Web服務(wù)器會(huì)打開(kāi)它的默認(rèn)主站程序。

2.3緩沖區(qū)溢出攻擊

絕大部分的對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊都是此類攻擊。計(jì)算機(jī)程序可以將數(shù)據(jù)存放到內(nèi)存中的緩沖區(qū)中,當(dāng)然緩沖區(qū)的存放空間并不是無(wú)限大,是有具體容量限制的,如果程序存放的數(shù)據(jù)容量超過(guò)了緩沖區(qū)的上限,就會(huì)發(fā)生緩沖區(qū)溢出。這里要注意,如果僅僅是緩沖區(qū)數(shù)據(jù)溢出,并不會(huì)發(fā)生安全問(wèn)題,只有數(shù)據(jù)溢出到Root權(quán)限可以運(yùn)行的區(qū)域才會(huì)引起安全問(wèn)題。如果在Root權(quán)限的內(nèi)存中存在一個(gè)程序可以運(yùn)行的指令,就可以控制這個(gè)計(jì)算機(jī)。通過(guò)以上命令,成功在目標(biāo)服務(wù)增加了一個(gè)用戶“admin-istatro”,密碼“ok123”,這個(gè)賬號(hào)和系統(tǒng)默認(rèn)管理員賬號(hào)“administrator”極其類似,通過(guò)此賬戶,可以控制該服務(wù)器。防范方法:(1)關(guān)閉服務(wù)器端的139端口。(2)禁用服務(wù)器端的icp/ipnetbios服務(wù)。除了本文介紹的緩沖區(qū)溢出攻擊,很多溢出攻擊都是利用的這個(gè)服務(wù)。(3)設(shè)置防火墻,可以設(shè)置系統(tǒng)自帶的防火墻或者安裝防火墻軟件。(4)更新操作系統(tǒng),安裝重要的操作系統(tǒng)補(bǔ)丁,并開(kāi)啟操作系統(tǒng)的自動(dòng)更新功能,更新完畢后要重啟服務(wù)器。

2.4Arp欺騙攻擊

Arp是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)的網(wǎng)卡物理地址的一種協(xié)議,這個(gè)協(xié)議不同于普通意義上的網(wǎng)絡(luò)通信協(xié)議,首先,它是一個(gè)臨時(shí)的存放在內(nèi)存中的表,這個(gè)表的內(nèi)容就是IP和MAC地址的對(duì)應(yīng),其次這個(gè)表的內(nèi)容是會(huì)發(fā)生變化的。當(dāng)計(jì)算機(jī)在進(jìn)行數(shù)據(jù)傳送時(shí),數(shù)據(jù)包包含有:源IP地址,源MAC地址和目標(biāo)主機(jī)的IP地址,如果在源主機(jī)內(nèi)存中存放的表能找到目標(biāo)主機(jī)IP地址和MAC地址,則直接把數(shù)據(jù)包發(fā)送到目標(biāo)主機(jī),如果不存在,則把信息廣播出去。如果有目標(biāo)主機(jī)收到該廣播信息,則目標(biāo)主機(jī)就會(huì)應(yīng)答源主機(jī),同時(shí)把本機(jī)的MAC地址返回給對(duì)方,從而實(shí)現(xiàn)目標(biāo)主機(jī)和源主機(jī)的數(shù)據(jù)傳輸。如果攻擊者收到了源主機(jī)的廣播信息,偽裝成目標(biāo)主機(jī)的IP,把自己的MAC地址返回給源主機(jī),則源主機(jī)就會(huì)更新內(nèi)存中的這張表,把IP和欺騙MAC地址對(duì)應(yīng)起來(lái),這樣本來(lái)該發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù),都發(fā)送給了攻擊者。并且攻擊主機(jī)不停地發(fā)送給源主機(jī)廣播應(yīng)答,從而使源主機(jī)內(nèi)存中存放的臨時(shí)表始終保持錯(cuò)誤的對(duì)應(yīng)狀態(tài)。防范方法:主要是加強(qiáng)密碼強(qiáng)度和設(shè)置好權(quán)限。設(shè)置好系統(tǒng)用的管理密碼和管理好FTP賬戶的權(quán)限,尤其是FTP賬戶的權(quán)限,要把FTP賬戶的目錄權(quán)限設(shè)置到最小,僅僅操作當(dāng)前的文件夾,這樣,就算有一個(gè)FTP賬號(hào)被破解,也僅僅限于該賬戶當(dāng)前的目錄內(nèi)。

2.5DDOS拒絕服務(wù)攻擊

此種攻擊原理很簡(jiǎn)單,就是利用服務(wù)器要對(duì)客戶端請(qǐng)求發(fā)出應(yīng)答,在短時(shí)間內(nèi)對(duì)服務(wù)器發(fā)起海量請(qǐng)求,從而導(dǎo)致服務(wù)器應(yīng)答癱瘓,正常的訪問(wèn)也無(wú)法應(yīng)答。此類攻擊的關(guān)鍵是如何在短時(shí)間內(nèi)發(fā)起海量的攻擊,攻擊者要控制多臺(tái)網(wǎng)絡(luò)服務(wù)器,并且在這些被控制的服務(wù)器上安裝DDOS攻擊程序,在其中的一臺(tái)服務(wù)器上安裝DDOS攻擊主控程序,DDOS攻擊主控程序主要用來(lái)與程序通信。只要在某個(gè)特定的時(shí)間通過(guò)主控程序發(fā)出指令給程序,程序收到指令就會(huì)向目標(biāo)主機(jī)發(fā)動(dòng)攻擊,發(fā)送海量的垃圾請(qǐng)求,目標(biāo)主機(jī)在短時(shí)間內(nèi)無(wú)法應(yīng)答這么多的請(qǐng)求,從而導(dǎo)致目標(biāo)主機(jī)癱瘓。防范措施:(1)定期掃描系統(tǒng)內(nèi)的安全漏洞。(2)設(shè)置服務(wù)器端的負(fù)載均衡。(3)在骨干節(jié)點(diǎn)配置專業(yè)的抗拒絕服務(wù)設(shè)備。(4)用足夠的服務(wù)器承受黑客攻擊。(5)充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。(6)過(guò)濾不必要的服務(wù)和端口。(7)檢查訪問(wèn)者的來(lái)源。(8)過(guò)濾所有RFC1918IP地址。

3結(jié)語(yǔ)

針對(duì)服務(wù)器的網(wǎng)絡(luò)攻擊方法層出不窮[2],介紹了主流的服務(wù)器攻擊方法,還有很多種服務(wù)器攻擊方法如:病毒攻擊、注冊(cè)表纂改等。其實(shí)任何的防范措施都是落伍的,在服務(wù)器安全方面,都是先有攻擊再有防范。針對(duì)服務(wù)器的攻擊往往帶來(lái)巨大的社會(huì)影響和經(jīng)濟(jì)損失。增強(qiáng)服務(wù)器安全防范的同時(shí),要注意重要數(shù)據(jù)的備份,這樣就算有損失也能降到最低程度。

參考文獻(xiàn)

篇6

1計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的常見(jiàn)問(wèn)題

(1)系統(tǒng)漏洞。由于操作系統(tǒng)在設(shè)計(jì)上存在缺陷和錯(cuò)誤,這就成為不法者通過(guò)惡意代碼就會(huì)容易進(jìn)入計(jì)算機(jī)系統(tǒng)對(duì)主機(jī)進(jìn)行控制電腦。有的電腦在使用時(shí),沒(méi)有安裝網(wǎng)絡(luò)安全掃描工具,下載系統(tǒng)無(wú)法修復(fù)系統(tǒng)漏洞。同時(shí)不法分子通過(guò)欺騙路,使服務(wù)器無(wú)法正常辨別這些請(qǐng)求來(lái)攻擊服務(wù)器,從而造成緩沖區(qū)資源阻塞,導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)無(wú)法訪問(wèn)。

(2)黑客攻擊。計(jì)算機(jī)網(wǎng)絡(luò)的最大威脅一是網(wǎng)絡(luò)攻擊,另一類是網(wǎng)絡(luò)偵察,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在不影響網(wǎng)絡(luò)正常工作的情況,通過(guò)竊取、破譯等方式非法植入對(duì)方計(jì)算機(jī)系統(tǒng),造成用戶的主機(jī)就被黑客完全利用,黑客用來(lái)竊取密碼、口令、帳號(hào)、阻塞電子郵件騷擾,破壞程序等行為,對(duì)用戶主機(jī)造成嚴(yán)重威脅。

(3)計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是在計(jì)算機(jī)程序中,通過(guò)插入破壞數(shù)據(jù)來(lái)影響計(jì)算機(jī)自我復(fù)制的一組程序代碼,它具有寄生性、破壞性和可觸發(fā)性等特點(diǎn)。計(jì)算機(jī)病毒是傳播計(jì)算機(jī)病毒的主要途經(jīng),計(jì)算機(jī)病毒的產(chǎn)生也是計(jì)算機(jī)技術(shù)發(fā)展到一定階段的必然產(chǎn)物。

(4)網(wǎng)絡(luò)設(shè)備故障問(wèn)題。拒絕服務(wù)攻擊是不法分子常用的攻擊手段之。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊,對(duì)目標(biāo)造成麻煩使網(wǎng)絡(luò)中的設(shè)備包括計(jì)算機(jī)、網(wǎng)絡(luò)通信設(shè)備、存儲(chǔ)設(shè)備、抗電磁干擾系統(tǒng)造成嚴(yán)重的損害,計(jì)算機(jī)系統(tǒng)的每個(gè)環(huán)節(jié)出現(xiàn)網(wǎng)絡(luò)故障,都會(huì)導(dǎo)致檢測(cè)設(shè)備的操作失常。

2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用策略

(1)設(shè)置防火墻。防火墻是通過(guò)預(yù)定義的安全策略,對(duì)網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制,常用的防火墻技術(shù)是對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò),采用系統(tǒng)過(guò)濾邏輯,篩選數(shù)據(jù)據(jù)流中數(shù)據(jù)包的目標(biāo)地址,并允許該類數(shù)據(jù)包通過(guò),檢測(cè)技術(shù)采用連接的狀態(tài)檢測(cè)機(jī)制,將整體的數(shù)據(jù)包通過(guò)規(guī)則表與狀態(tài)表的共同配合,對(duì)各個(gè)連接狀態(tài)因素加以識(shí)別,過(guò)濾防火墻的靜態(tài)過(guò)濾具有更好的靈活性和安全性,應(yīng)用網(wǎng)關(guān)技術(shù)來(lái)連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò),其目的在于用于檢測(cè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中是否有違反安全策略的行為。入侵檢測(cè)技術(shù)通過(guò)日志管理識(shí)別違反安全策略的活動(dòng)從而達(dá)到限制這些行為活動(dòng),以保護(hù)系統(tǒng)的安全行為模式,并時(shí)時(shí)進(jìn)行入侵病毒特征的過(guò)濾。

(2)建立入侵防御系統(tǒng)。在網(wǎng)絡(luò)要建立網(wǎng)絡(luò)全方位的防病毒技術(shù),設(shè)計(jì)服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件,使用全方位的防病毒產(chǎn)品來(lái)建立完備的防病毒體系。網(wǎng)絡(luò)檢測(cè)技術(shù)建立以檢測(cè)為主要標(biāo)志的安全系統(tǒng),隨時(shí)監(jiān)視受保護(hù)系統(tǒng)的活動(dòng),來(lái)識(shí)別信息系統(tǒng)的非法攻擊,使用檢測(cè)任何企圖損害系統(tǒng)的完整性的網(wǎng)絡(luò)安全技術(shù),它通過(guò)監(jiān)視來(lái)識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng),包括檢測(cè)內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng),對(duì)付已知和未知網(wǎng)絡(luò)攻擊,擴(kuò)展并提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。防御功能能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊,它的阻斷攻擊能力是通過(guò)采取措施將攻擊源阻斷。漏洞掃描是一項(xiàng)重要的主動(dòng)防范安全技術(shù),它主要將相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配,利用模擬黑客的攻擊手法,引誘黑客前來(lái)攻擊,通過(guò)監(jiān)控系統(tǒng)記錄的攻擊行為進(jìn)行分析,來(lái)發(fā)現(xiàn)系統(tǒng)存在的漏洞。

(3)建立完整的網(wǎng)絡(luò)安全體系。要有檢測(cè)和防范措施才能保證數(shù)據(jù)不丟失和全面及時(shí)恢復(fù)系統(tǒng)的技術(shù),目前德容災(zāi)技術(shù)主要通過(guò)數(shù)據(jù)備份來(lái)實(shí)現(xiàn),它是數(shù)據(jù)保護(hù)的最后防范,但是由于數(shù)據(jù)實(shí)時(shí)性較差。在線容災(zāi)只有實(shí)時(shí)復(fù)制本地備份存儲(chǔ)介質(zhì)的重要數(shù)據(jù),構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng),才能夠?qū)崿F(xiàn)數(shù)據(jù)的實(shí)時(shí)恢復(fù)。網(wǎng)絡(luò)安全是系統(tǒng)的防御問(wèn)題,隨著網(wǎng)絡(luò)發(fā)展飛速,網(wǎng)絡(luò)安全新技術(shù)將會(huì)不斷產(chǎn)生和應(yīng)用。

篇7

關(guān)鍵詞:互聯(lián)網(wǎng);網(wǎng)絡(luò)安全;攻擊與防御

中圖分類號(hào):TP393.18文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 04-0000-01

Network Attack and Defense Technology

Lian Xing

(Chongqing Technology and Business University,Pais College,Chongqing401520,China)

Abstract:With the continuous development of Internet technology,

network technology applicants on a worldwide rapid popularity,more and more people work on the Internet,learning,trade and other aspects of the work.Internet has become a virtual living space.Similarly,the developme-

nt of network technology,network security has become a major research topic in recent years,Trojan horses and other large viruses with the invasion,many of the computer to standstill,more people are a variety of password work attack and defense techniques in this paper discussed,propose some suggestions for future work.

Keywords:Internet;Network security;Attack and defense

一、網(wǎng)絡(luò)攻防技術(shù)

當(dāng)今時(shí)代,隨著科技日益的發(fā)展,互聯(lián)網(wǎng)的應(yīng)用越來(lái)越廣泛。隨著網(wǎng)絡(luò)應(yīng)用技術(shù)與服務(wù)的日益成熟,現(xiàn)今的網(wǎng)絡(luò)的入侵和攻擊行為,與以往單純的網(wǎng)站破壞或使系統(tǒng)服務(wù)中斷已有很大的不同。入侵者可以通過(guò)網(wǎng)絡(luò)的系統(tǒng)設(shè)計(jì)缺陷或者網(wǎng)絡(luò)協(xié)議的疏漏等問(wèn)題,發(fā)展出許多復(fù)雜而又多樣化的入侵攻擊手段,通過(guò)入侵到系統(tǒng)主機(jī)以盜竊絕密資料,并篡改文件與破壞系統(tǒng),由于攻擊的成功概率與破壞力很大并且隨著時(shí)間的流動(dòng)不斷提升,這使得網(wǎng)絡(luò)安全防范非常的困難。為了能夠保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的運(yùn)行,防止各種惡意竊取情報(bào)的情況發(fā)生,防止對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行破壞性攻擊。在盡可能不影響網(wǎng)絡(luò)系統(tǒng)正常通訊的情況下,隨時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)聽(tīng),并通過(guò)把部分?jǐn)?shù)據(jù)包存入數(shù)據(jù)庫(kù)并進(jìn)行有針對(duì)性的分析,及時(shí)的發(fā)現(xiàn)惡意攻擊和安全隱患,從而能夠達(dá)到保障網(wǎng)絡(luò)安全的目的。網(wǎng)絡(luò)攻防技術(shù)就是讓人們弄清楚如何攻擊如何防御的。

二、黑客的攻擊方式分析

黑客的俗稱的定義就是立志于將計(jì)算機(jī)技術(shù)及計(jì)算機(jī)技術(shù)廣泛運(yùn)用,并且來(lái)解決問(wèn)題和創(chuàng)造解決問(wèn)題的人。現(xiàn)在通常用來(lái)專指入侵者,下面就對(duì)黑客入侵的方式進(jìn)行相對(duì)應(yīng)的分析。

(一)阻塞類攻擊。最常見(jiàn)的是DOS(Denial of Senrice),就是通過(guò)大量的封包或者說(shuō)利用TCP和IP協(xié)議的疏漏.來(lái)消耗網(wǎng)絡(luò)的帶寬或耗竭系統(tǒng)資源的阻止服務(wù)攻擊。如CPU、Memory等資源,用以阻撓系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)作。

(二)漏洞類攻擊。針對(duì)掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實(shí)施的相應(yīng)攻擊,伴隨新發(fā)現(xiàn)的漏洞,攻擊手段不斷翻新,防不勝防。緩沖區(qū)溢出是一種常用的漏洞類攻擊技術(shù),

(三)欺騙類攻擊。欺騙類攻擊包括IP欺騙和假消息攻擊,前一種通過(guò)冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息,后一種攻擊主要是通過(guò)配制或設(shè)置一些假信息來(lái)實(shí)施欺騙攻擊。

(四)控制類攻擊。控制型攻擊是一類試圖獲得對(duì)目標(biāo)機(jī)器控制權(quán)的攻擊??诹罱孬@與破解仍然是最有效的口令攻擊手段,進(jìn)一步的發(fā)展應(yīng)該是研制功能更強(qiáng)的口令破解程序;木馬技術(shù)目前著重研究更新的隱藏技術(shù)和秘密信道技術(shù)。一旦目標(biāo)主機(jī)被控制,用戶的個(gè)人信息與數(shù)據(jù)就面臨極大的威脅。

(五)破壞類攻擊。破壞類攻擊指對(duì)目標(biāo)機(jī)器的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊,包括計(jì)算機(jī)病毒、邏輯炸彈等攻擊手段。

三、網(wǎng)絡(luò)安全防范措施及建議

我們知道,由于網(wǎng)絡(luò)隨時(shí)有可能會(huì)遭到不正確的訪問(wèn)或者是惡意攻擊危險(xiǎn)發(fā)生.為能夠便于網(wǎng)絡(luò)的監(jiān)控與封包分析.網(wǎng)絡(luò)管理人員必須要在一定程度上熟悉網(wǎng)絡(luò)運(yùn)作的各項(xiàng)標(biāo)準(zhǔn)、特定服務(wù)的方式、合法訪問(wèn)的各種行為及功能的網(wǎng)絡(luò)流量及行為和各種封包標(biāo)頭及封包內(nèi)容的特征,而只有真正意義上做到這樣,才能有效的保證在構(gòu)建和管理網(wǎng)絡(luò)的時(shí)候,切實(shí)確保資料的安全性以及能夠防范惡意或者是無(wú)意的入侵破壞行為。那么要做到這些就應(yīng)該從兩方面做起:第一方面是決策層:由于信息安全的管理必須需要決策層的支持與認(rèn)可,所以決策層的支持是必不可少的。第二方面是管理層:因?yàn)樾畔踩墓芾砜梢苑譃閺募夹g(shù)層面與管理層面.只有這樣才能達(dá)成組織信息安全目標(biāo)與政策。

(一)技術(shù)角度。利用各種成熟的網(wǎng)絡(luò)安全技術(shù),相互配合。用于建立起一整套包含保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)四個(gè)層面的防御體系。在保護(hù)層面,利用網(wǎng)絡(luò)安全掃描技術(shù)及時(shí)的發(fā)現(xiàn)和彌補(bǔ),網(wǎng)絡(luò)或系統(tǒng)的安全漏洞。使用防火墻對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過(guò)濾與訪問(wèn)控制,對(duì)于高安全需求的網(wǎng)絡(luò)有必要通過(guò)網(wǎng)閘進(jìn)行物理隔離。利用負(fù)載均衡技術(shù)有效的防止DOS攻擊。在檢測(cè)層面,利用入侵檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)業(yè)務(wù)流進(jìn)行分析,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為。在響應(yīng)層面:及時(shí)對(duì)入侵行為作出報(bào)警反應(yīng),如通知管理員、利用入侵檢測(cè)系統(tǒng)與防火墻系統(tǒng)的聯(lián)動(dòng)來(lái)隔離入侵行為。在恢復(fù)層面:利用備份容錯(cuò)技術(shù)進(jìn)行有效的災(zāi)避,保證業(yè)務(wù)能最快的恢復(fù),損失減到最低。

(二)管理角度。信息安全在管理層面,為了確保網(wǎng)絡(luò)存取的安全性,管理者需要經(jīng)常對(duì)網(wǎng)絡(luò)技術(shù)人員進(jìn)行相應(yīng)的培訓(xùn)和管理,及時(shí)的收集情況,分析問(wèn)題,并及時(shí)的解決問(wèn)題。聯(lián)合所有的技術(shù)人員,對(duì)于現(xiàn)存的問(wèn)題進(jìn)行相應(yīng)的研究,已達(dá)到盡可能短的時(shí)間內(nèi),做到人員利用的最大化。

(三)網(wǎng)絡(luò)傳輸和訪問(wèn)控制。根據(jù)用戶的身份對(duì)用戶實(shí)行訪問(wèn)控制,通過(guò)用戶名與密碼的方式來(lái)實(shí)現(xiàn)身份認(rèn)證并授予相應(yīng)的權(quán)限。利用VPN技術(shù)構(gòu)建安全加密信道,能實(shí)現(xiàn)點(diǎn)到點(diǎn)的安全傳輸,保證信息在傳輸過(guò)程中的機(jī)密性。

四、結(jié)語(yǔ)

隨著科學(xué)技術(shù)的發(fā)展以及網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)技術(shù)安全也將會(huì)在今后的短時(shí)間內(nèi)成為一個(gè)非常熱門的話題,為了保障個(gè)人的資料隱私,更多的人也將會(huì)進(jìn)一步的接觸和了解網(wǎng)絡(luò)技術(shù)安全方面的問(wèn)題。而作為網(wǎng)絡(luò)安全偵測(cè)方面的技術(shù)人員,需要進(jìn)一步的研究和普及此方面的知識(shí),保證互聯(lián)網(wǎng)的干凈和綠色,為人們上網(wǎng)提供一個(gè)放心和諧的環(huán)境。

參考文獻(xiàn):

[1]蘇幸之.網(wǎng)絡(luò)安全分折與防范策略[J].網(wǎng)絡(luò)與通信,2004,14

篇8

計(jì)算機(jī)技術(shù)和信息技術(shù)的發(fā)展給人們的生活與工作帶來(lái)了極大的便捷,但同時(shí)也引發(fā)不少的安全性風(fēng)險(xiǎn),例如:網(wǎng)絡(luò)銀行賬戶丟失、身份信息盜用以及網(wǎng)絡(luò)攻擊等。面對(duì)這樣的風(fēng)險(xiǎn),本文對(duì)目前常見(jiàn)的幾種防控策略進(jìn)行闡述,表明了網(wǎng)絡(luò)安全防控的重要性,希望社會(huì)各界可以引起重視,提高對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的防范和控制。

關(guān)鍵詞:

計(jì)算機(jī);網(wǎng)絡(luò)安全;威脅;防控

0引言

互聯(lián)網(wǎng)+時(shí)代的到來(lái),給我國(guó)經(jīng)濟(jì)形成了一股巨大的推力,不僅有效融合了線上和線下,更讓人們的生活提供了更多的服務(wù)和功能。與此同時(shí),互聯(lián)網(wǎng)信息技術(shù)在緊密聯(lián)系人們生活的同時(shí)也埋下了信息丟失的風(fēng)險(xiǎn),諸如:黑客、病毒、以及系統(tǒng)內(nèi)部泄密者等。目前,各國(guó)都在不斷的豐富系統(tǒng)防控軟件和技術(shù),最主要的包括了防火墻、服務(wù)器以及通道控制機(jī)制等。然而,盡管如此,無(wú)論是發(fā)達(dá)國(guó)家,或是發(fā)展中國(guó)家,都或多或少的受到了來(lái)自于黑客活動(dòng)的威脅,而且這類行為還有愈演愈烈的趨勢(shì),極大的危害了社會(huì)穩(wěn)定性。因此,網(wǎng)絡(luò)完全的防護(hù)就顯得至關(guān)重要。不僅僅針對(duì)各種網(wǎng)絡(luò)安全威脅進(jìn)行治理,更是提升網(wǎng)絡(luò)安全的防護(hù)水平,保障用戶在網(wǎng)絡(luò)上的數(shù)據(jù)和個(gè)人信息安全。

1網(wǎng)絡(luò)安全性危害

1.1不良網(wǎng)絡(luò)信息傳播

計(jì)算機(jī)網(wǎng)絡(luò)可以在其覆蓋的范圍內(nèi)進(jìn)行信息和數(shù)據(jù)的急速傳播,而且具有很大程度的隱藏性特點(diǎn),這使得計(jì)算機(jī)網(wǎng)絡(luò)的監(jiān)管十分困難。而各式各樣不良信息和言論的網(wǎng)絡(luò)傳播也會(huì)正常社會(huì)價(jià)值觀的養(yǎng)成,甚至誤導(dǎo)青少年。因?yàn)榍嗌倌暾幱谌松^尚未形成的時(shí)期,當(dāng)受到網(wǎng)絡(luò)言論沖擊和誤導(dǎo)時(shí),往往難以有效的進(jìn)行辨別,最終會(huì)形成與社會(huì)發(fā)展相悖的道德觀念,進(jìn)而發(fā)生危害社會(huì)公眾安全的狀況。除此之外,網(wǎng)絡(luò)信息傳播還有不少的虛假?gòu)V告和信息來(lái)誤導(dǎo)人們的消費(fèi)理念,或是欺騙用戶的資金,造成嚴(yán)重的社會(huì)危害。

1.2計(jì)算機(jī)病毒傳播的危害

病毒是人為創(chuàng)造的一種危害性計(jì)算機(jī)程序,通常會(huì)依附在計(jì)算機(jī)之中,并且通過(guò)不斷的自我復(fù)制和傳播在計(jì)算機(jī)網(wǎng)絡(luò)中蔓延。這種傳播相當(dāng)迅速,而波及范圍大,如果不加干預(yù)就會(huì)在很短的時(shí)間內(nèi)造成大范圍的破壞。一般情況下,計(jì)算機(jī)病毒的傳播主要是通過(guò)程序或是文件下載、接受未知電子郵件以及已經(jīng)感染病毒的U盤等方式,最終造成系統(tǒng)崩潰的結(jié)果,同時(shí)也會(huì)造成信息丟失或被盜用。

1.3防御信息庫(kù)被入侵的危害

計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展豐富了人們對(duì)信息的接受渠道,加快了信息的傳接速率。然而,部分不法人士為了滿足自身的利益,往往利用技術(shù)對(duì)數(shù)據(jù)庫(kù)信息庫(kù)進(jìn)行攻擊,對(duì)其中的數(shù)據(jù)信息進(jìn)行刪改。而這些行為往往在受害人沒(méi)有注意的情況下進(jìn)行,從而造成了使用者的利益受到極大的損害。

2網(wǎng)絡(luò)安全防控的具體策略

2.1計(jì)算機(jī)網(wǎng)絡(luò)安全訪問(wèn)控制策略

計(jì)算機(jī)網(wǎng)絡(luò)安全的訪問(wèn)控制策略是一個(gè)很大的范圍,需要從包括入網(wǎng)訪問(wèn)、網(wǎng)絡(luò)使用、目錄級(jí)安、屬性、網(wǎng)絡(luò)服務(wù)器以及網(wǎng)絡(luò)端口和節(jié)點(diǎn)等在內(nèi)的多個(gè)環(huán)節(jié)進(jìn)行控制,這也是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全的第一層安全保障。因此,為了保障對(duì)各個(gè)環(huán)節(jié)進(jìn)行科學(xué)合理的控制,用戶具有登錄、進(jìn)入服務(wù)器并獲取網(wǎng)絡(luò)信息資源的權(quán)利,同時(shí)還應(yīng)對(duì)該類準(zhǔn)許用戶的網(wǎng)絡(luò)訪問(wèn)時(shí)間與具體訪問(wèn)站點(diǎn)進(jìn)行精準(zhǔn)的控制。除此之外,計(jì)算機(jī)的網(wǎng)絡(luò)還需要對(duì)服務(wù)器與用戶端的訪問(wèn)申請(qǐng)進(jìn)行審核,需要對(duì)申請(qǐng)用戶的身份和全新進(jìn)行驗(yàn)證,這也是用戶在訪問(wèn)中必須擁有身份驗(yàn)證卡和密碼發(fā)生器等標(biāo)志的原因,用戶則需要在身份和權(quán)限被驗(yàn)證之后才能進(jìn)入到用戶端。

2.2計(jì)算機(jī)網(wǎng)絡(luò)信息加密策略

信息加密策略是目前一種比較常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)手段,可以有效的保護(hù)系統(tǒng)網(wǎng)內(nèi)各信息數(shù)據(jù)、密令以及文件的安全,并且還能起到規(guī)范上傳操作的作用。目前,比較常用的網(wǎng)絡(luò)加密方式主要是鏈路加密、節(jié)點(diǎn)及端點(diǎn)加密等。網(wǎng)絡(luò)加密方式主要是對(duì)連接網(wǎng)絡(luò)各節(jié)點(diǎn)之間的信息鏈路進(jìn)行保護(hù),而端點(diǎn)加密則可以有效的保護(hù)各個(gè)源端用戶的信息數(shù)據(jù)安全,而節(jié)點(diǎn)加密用于對(duì)源節(jié)點(diǎn)直至目的節(jié)點(diǎn)間傳輸鏈路提供的合理保護(hù)。因此,實(shí)際的應(yīng)用過(guò)程中,需要各個(gè)網(wǎng)絡(luò)安全管理人員根據(jù)系統(tǒng)的實(shí)際需求選擇科學(xué)合理的加密方式,提高整個(gè)的安全防護(hù)級(jí)別,保障信息的安全。

2.3針對(duì)病毒攻擊的防控策略

計(jì)算機(jī)網(wǎng)絡(luò)所造成的環(huán)境具有高度的自由性、開(kāi)放性、綜合性以及共享性,這也使得該環(huán)境極易受到來(lái)自于病毒的影響,加速了病毒傳播與影響的速度,因此,目前僅僅利用單機(jī)類型的防毒軟件已經(jīng)難以發(fā)揮預(yù)期的效果了。這樣就需要防毒軟件具有應(yīng)對(duì)網(wǎng)絡(luò)病毒高速傳播和影響的特性,并且在不同的操作系統(tǒng)中也能發(fā)揮應(yīng)有作用。對(duì)于一項(xiàng)長(zhǎng)期運(yùn)行的網(wǎng)絡(luò)防毒軟件而言,在進(jìn)行殺毒和掃描的過(guò)程中,還需要對(duì)系統(tǒng)的網(wǎng)關(guān)進(jìn)行控制,才能提高計(jì)算的網(wǎng)絡(luò)安全防控水準(zhǔn),保障自身對(duì)綜合配置的定期升級(jí)和更新處理。除此之外,用戶在日常管理和應(yīng)用中還需要養(yǎng)成自身良好的習(xí)慣,不僅需要提高對(duì)防病毒軟件的功能熟悉,還需要減少病毒感染的渠道、及時(shí)進(jìn)行系統(tǒng)軟件和防毒軟件的升級(jí)、減少非法復(fù)制的行為等。在進(jìn)行軟件下載的過(guò)程中一定要引起重視,不僅需要及時(shí)開(kāi)啟反病毒的監(jiān)控軟件,還需要在下載完成后對(duì)該文件進(jìn)行及時(shí)掃描。

2.4系統(tǒng)漏洞攻擊的應(yīng)對(duì)策略

系統(tǒng)漏洞是系統(tǒng)在構(gòu)建過(guò)程中是固有的一種屬性,因此,通??梢岳眯枰ㄟ^(guò)專線監(jiān)測(cè)、系統(tǒng)實(shí)時(shí)升級(jí)和補(bǔ)丁修復(fù)等方式來(lái)減少系統(tǒng)漏洞。通常來(lái)看,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)會(huì)包含許多不同的服務(wù),而其中對(duì)用戶開(kāi)放的功能越多,就會(huì)有越多幾率產(chǎn)生系統(tǒng)漏洞,可以被不法分子所利用的漏洞也就越多。因此,系統(tǒng)在實(shí)際運(yùn)行的過(guò)程中需要進(jìn)行嚴(yán)格的管理,對(duì)于需求不強(qiáng)的功能要科學(xué)合理的進(jìn)行關(guān)閉,不僅可以提高系統(tǒng)資源的利用效率,而且可以有效減少系統(tǒng)中存在的不良安全隱患。除此之外,還可以借助于系統(tǒng)防火墻的作用,對(duì)于多數(shù)端口的外部訪問(wèn)進(jìn)行有效的隔斷,減少來(lái)自于多余端口服務(wù)漏洞的不良影響。

2.5針對(duì)黑客攻擊的應(yīng)對(duì)策略

在面對(duì)網(wǎng)絡(luò)黑客的攻擊時(shí),為了更好的進(jìn)行防護(hù)和風(fēng)險(xiǎn)控制,需要綜合利用防火墻技術(shù)、入侵檢測(cè)技術(shù)以及加密型網(wǎng)絡(luò)安全控制技術(shù)等,結(jié)合系統(tǒng)的實(shí)際運(yùn)行狀況,構(gòu)建完整的防護(hù)體系。首先,在網(wǎng)絡(luò)通信環(huán)節(jié)需要通過(guò)對(duì)防火墻控制技術(shù)的應(yīng)用來(lái)辨識(shí)用戶的身份和權(quán)限,在辨識(shí)合格之后才可以使之進(jìn)入系統(tǒng)訪問(wèn);而其中未能通過(guò)身份和權(quán)限審核的用戶將會(huì)被限制在系統(tǒng)之外.這樣一來(lái),就可以減少來(lái)自于網(wǎng)絡(luò)黑客的入侵和攻擊行為。同時(shí),入侵檢測(cè)技術(shù)的應(yīng)用也可以對(duì)提高對(duì)未獲授權(quán)入侵行為的反應(yīng)速率。因此,安全防控系統(tǒng)的構(gòu)建人員需要強(qiáng)化對(duì)于審核記錄和識(shí)別技術(shù)的開(kāi)發(fā),對(duì)系統(tǒng)中的不良活動(dòng)進(jìn)行有效鑒別,并且盡快限制其中的不法侵入行為,真切的發(fā)揮對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的保護(hù)功能。除此之外,還有必要融入計(jì)算機(jī)思想混合的檢測(cè)技術(shù),對(duì)具有入侵性和攻擊性的行為進(jìn)行有效的甄別。該項(xiàng)技術(shù)的實(shí)現(xiàn)主要是通過(guò)網(wǎng)絡(luò)管理對(duì)網(wǎng)絡(luò)與主機(jī)進(jìn)行同時(shí)的行為檢測(cè),這使得應(yīng)對(duì)黑客攻擊的防御體系變得更加完備而高效。除了將身份和權(quán)限不符合的用戶隔離在外,還需要對(duì)防火墻技術(shù)為主的被動(dòng)防御型網(wǎng)絡(luò)進(jìn)行強(qiáng)化,這一想法主要是通過(guò)強(qiáng)化數(shù)據(jù)加密為主的開(kāi)放型計(jì)算機(jī)網(wǎng)絡(luò)安全保障體系來(lái)實(shí)現(xiàn)。而且,該類系統(tǒng)主體在應(yīng)用了現(xiàn)代化的數(shù)據(jù)加密技術(shù)之后,也可以對(duì)系統(tǒng)內(nèi)部的各用戶數(shù)據(jù)進(jìn)行保障,強(qiáng)化了對(duì)用戶權(quán)限的審核與匹配,減少了對(duì)特殊安全性防護(hù)的要求,基本上可以滿足網(wǎng)絡(luò)系統(tǒng)安全對(duì)網(wǎng)絡(luò)服務(wù)可用性及信息完整性的充分需求。

3結(jié)束語(yǔ)

防范網(wǎng)絡(luò)安全問(wèn)題不僅僅需要從技術(shù)層面采取措施,還需要強(qiáng)化用戶和網(wǎng)管的安全責(zé)任意識(shí)。除此之外,綜合防控體系的構(gòu)建和完善還需要社會(huì)各界人士的支持,才能減少網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)頻率。

作者:戴勇 單位:湖南工程職業(yè)技術(shù)學(xué)院

引用:

[1]郭仲侃.計(jì)算機(jī)網(wǎng)絡(luò)安全防控技術(shù)實(shí)施策略探索[J].產(chǎn)業(yè)與科技論壇,2016.

[2]趙曼姿.網(wǎng)絡(luò)安全犯罪防控問(wèn)題研究[J].赤峰學(xué)院學(xué)報(bào)(漢文哲學(xué)社會(huì)科學(xué)版),2016.

[3]于志剛.網(wǎng)絡(luò)安全對(duì)公共安全、國(guó)家安全的嵌入態(tài)勢(shì)和應(yīng)對(duì)策略[J].法學(xué)論壇,2014.

篇9

【關(guān)鍵詞】信息安全; 威脅;防御策略;防火墻

1 計(jì)算機(jī)信息網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)信息網(wǎng)絡(luò)安全,是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性,通過(guò)相應(yīng)的安全技術(shù)和措施,對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù),防止遭到破壞或竊取,其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計(jì)算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計(jì),通過(guò)分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次,每天捕獲最多的次數(shù)高達(dá)4369次。因此,隨著網(wǎng)絡(luò)一體化和互聯(lián)互通,我們必須加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范意思,提高防范手段。

2 計(jì)算機(jī)信息安全常見(jiàn)的威脅

以上這些因素都可能是計(jì)算機(jī)信息資源遭到毀滅性的破壞。像一些自然因素我們是不可避免的,也是無(wú)法預(yù)測(cè)的;但是像一些人為攻擊的、破壞的我們是可以防御的、避免的。因此,我們必須重視各種因素對(duì)計(jì)算機(jī)信息安全的影響,確保計(jì)算機(jī)信息資源萬(wàn)無(wú)一失。

3 計(jì)算機(jī)信息的安全的防御策略

根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和目前一般應(yīng)用情況,我們采取可兩種措施:一是,采用漏洞掃描技術(shù),對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,保證網(wǎng)絡(luò)系統(tǒng)盡量在最優(yōu)的狀態(tài)下運(yùn)行;二是,采用各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),構(gòu)筑防御系統(tǒng),主要有:防火墻技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)。

3.1 漏洞掃描技術(shù)

漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞:在端口掃描后得到目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù),將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配,查看是否有滿足匹配條件的漏洞存在;通過(guò)模擬黑客的攻擊手法,對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊的安全漏洞掃描,如測(cè)試弱口令等,若模擬攻擊成功,則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。

3.2 防火墻技術(shù)

防火墻是網(wǎng)絡(luò)安全的屏障,一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境更安全,信息的安全就得到了保障。使用防火墻軟件可以在一定程度上控制局域網(wǎng)和Internet之間傳遞的數(shù)據(jù)。

防火墻一般是指用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制的一個(gè)或一組網(wǎng)絡(luò)設(shè)備。從邏輯上來(lái)看,防火墻是分離器、限制器和分析器;從物理上來(lái)看,各個(gè)防火墻的物理實(shí)現(xiàn)方式可以多種多樣,但是歸根結(jié)底他們都是一組硬件設(shè)備(路由器、主機(jī))和軟件的組合體;從本質(zhì)上來(lái)看,防火墻是一種保護(hù)裝置,它用來(lái)保護(hù)網(wǎng)絡(luò)數(shù)據(jù)、資源和合法用戶的聲譽(yù);從技術(shù)上來(lái)看,防火墻是一種訪問(wèn)控制技術(shù),它在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)網(wǎng)絡(luò)信息資源的非法訪問(wèn)。

3.3 計(jì)算機(jī)網(wǎng)絡(luò)的加密技術(shù)(ipse)

采用網(wǎng)絡(luò)加密技術(shù),對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?、完整性。它可以解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問(wèn)題,也可以解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全問(wèn)題。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可以對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋安全保護(hù)。IP安全是整個(gè)TCP/IP 安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。ipse 提供的安全功能或服務(wù)主要包括:訪問(wèn)控制、無(wú)連接完整性、數(shù)據(jù)起源認(rèn)證、抗重放攻擊、機(jī)密性、有限的數(shù)據(jù)流機(jī)密性。

3.4 身份認(rèn)證

身份認(rèn)證的作用是阻止非法實(shí)體的不良訪問(wèn)。有多種方法可以認(rèn)證一個(gè)實(shí)體的合法性,密碼技術(shù)是最常用的,但由于在實(shí)際系統(tǒng)中有許多用戶采用很容易被猜測(cè)的單詞或短語(yǔ)作為密碼,使得該方法經(jīng)常失效。其他認(rèn)證方法包括對(duì)人體生理特征的識(shí)別、智能卡等。隨著模式識(shí)別技術(shù)的發(fā)展,身份識(shí)別技術(shù)與數(shù)字簽名等技術(shù)結(jié)合,使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。

3.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)是對(duì)入侵行為的檢測(cè),他通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其他網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵的信息,檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。

3.6 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)(Virtual private Network,VPN) 是一門網(wǎng)絡(luò)技術(shù),提供一種通過(guò)公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式;是通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立起一個(gè)臨時(shí)的、安全的連接,是一條穿過(guò)不安全的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

下面,我們主要談一下防火墻在網(wǎng)絡(luò)信息安全中的應(yīng)用。

4 防火墻防御策略

4.1 防火墻的基本概念

所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾網(wǎng)絡(luò)(如Internet)分開(kāi)的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制手段,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò),防止他們更改、復(fù)制和毀壞你的重要信息。

4.2 防火墻的功能

1)過(guò)濾掉不安全服務(wù)和非法用戶。

2)控制對(duì)特殊站點(diǎn)的訪問(wèn)。

3)提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

4.3 防火墻的優(yōu)點(diǎn)

1)防火墻能強(qiáng)化安全策略

因?yàn)镮nternet上每天都有上百萬(wàn)人在那里收集信息、交換信息,不可避免地會(huì)出現(xiàn)個(gè)別品德不良的人,或違反規(guī)則的人,防火墻是為了防止不良現(xiàn)象發(fā)生的"交通警察",它執(zhí)行站點(diǎn)的安全策略,僅僅容許"認(rèn)可的"和符合規(guī)則的請(qǐng)求通過(guò)。

2)防火墻能有效地記錄Internet上的活動(dòng)

因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻,所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問(wèn)的唯一點(diǎn),防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

3)防火墻限制暴露用戶點(diǎn)

防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段。這樣,能夠防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播。

4)防火墻是一個(gè)安全策略的檢查站

所有進(jìn)出的信息都必須通過(guò)防火墻,防火墻便成為安全問(wèn)題的檢查點(diǎn),使可疑的訪問(wèn)被拒絕于門外。

4.4 防火墻的不足

1)防火墻不能防范不經(jīng)由防火墻的攻擊。例如,如果允許從受保護(hù)網(wǎng)內(nèi)部不受限制的向外撥號(hào),一些用戶可以形成與Internet的直接的連接,從而繞過(guò)防火墻,造成一個(gè)潛在的后門攻擊渠道。

2)防火墻不能防止感染了病毒的軟件或文件的傳輸。這只能在每臺(tái)主機(jī)上裝反病毒軟件。

3)防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)被郵寄或復(fù)制到Internet主機(jī)上并被執(zhí)行而發(fā)起攻擊時(shí),就會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)攻擊。

4.5 防火墻的類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT、型和狀態(tài)監(jiān)測(cè)型。

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù),工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。但包過(guò)濾防火墻的缺點(diǎn)有三:一是,非法訪問(wèn)一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是,數(shù)據(jù)包的源地址、目的地址以及IP 的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽(tīng)或假冒;三是,無(wú)法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT。 “你不能攻擊你看不見(jiàn)的東西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時(shí),NAT將從發(fā)送端的數(shù)據(jù)包中移去專用的IP地址,并用一個(gè)偽IP地址代替。NAT軟件保留專用IP地址和偽IP地址的一張地址映射表。當(dāng)一個(gè)數(shù)據(jù)包返回到NAT系統(tǒng),這一過(guò)程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問(wèn)是安全的,可以接受訪問(wèn)請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問(wèn)是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。如果黑客在網(wǎng)上捕獲到這個(gè)數(shù)據(jù)包,他們也不能確定發(fā)送端的真實(shí)IP地址,從而無(wú)法攻擊內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)。NAT技術(shù)也存在一些缺點(diǎn),例如,木馬程序可以通過(guò)NAT進(jìn)行外部連接,穿透防火墻。

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品, 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù), 然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用,這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對(duì)較慢。

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的,也稱為動(dòng)態(tài)包過(guò)濾防火墻??偟膩?lái)說(shuō),具有:高安全性,高效性,可伸縮性和易擴(kuò)展性。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)服務(wù)器也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)??偟膩?lái)說(shuō),網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈活性為代價(jià)的,防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分,而且防火墻并非萬(wàn)無(wú)一失。除了使用了防火墻后技術(shù),我們還使用了其他技術(shù)來(lái)加強(qiáng)安全保護(hù),數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來(lái)重新組織數(shù)據(jù),使得除了合法受者外,任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密,非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.6 防火墻的配置

1)雙宿堡壘主機(jī)防火墻

一個(gè)雙宿主機(jī)是一種防火墻,擁有兩個(gè)聯(lián)接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口。例如,一個(gè)網(wǎng)絡(luò)接口聯(lián)到外部的不可信任的網(wǎng)絡(luò)上,另一個(gè)網(wǎng)絡(luò)接口聯(lián)接到內(nèi)部的可信任的網(wǎng)絡(luò)上。這種防火墻的最大特點(diǎn)是IP層的通信是被阻止的,兩個(gè)網(wǎng)絡(luò)之間的通信可通過(guò)應(yīng)用層數(shù)據(jù)共享或應(yīng)用層服務(wù)來(lái)完成。一般情況下,人們采用服務(wù)的方法,因?yàn)檫@種方法為用戶提供了更為方便的訪問(wèn)手段。

2)屏蔽主機(jī)防火墻

這種防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相聯(lián)接,而不讓它們直接與內(nèi)部主機(jī)相連。為了實(shí)現(xiàn)這個(gè)目的,專門設(shè)置了一個(gè)過(guò)濾路由器,通過(guò)它,把所有外部到內(nèi)部的聯(lián)接都路由到了堡壘主機(jī)上。下圖顯示了屏蔽主機(jī)防火墻的結(jié)構(gòu)。

3)屏蔽主機(jī)防火墻

在這種體系結(jié)構(gòu)中,堡壘主機(jī)位于內(nèi)部網(wǎng)絡(luò),屏蔽路由器聯(lián)接Internet和內(nèi)部網(wǎng),它是防火墻的第一道防線。屏蔽路由器需要進(jìn)行適當(dāng)?shù)呐渲茫顾械耐獠柯?lián)接被路由到堡壘主機(jī)上。并不是所有服務(wù)的入站聯(lián)接都會(huì)被路由到堡壘主機(jī)上,屏蔽路由器可以根據(jù)安全策略允許或禁止某種服務(wù)的入站聯(lián)接(外部到內(nèi)部的主動(dòng)聯(lián)接)。

對(duì)于出站聯(lián)接(內(nèi)部網(wǎng)絡(luò)到外部不可信網(wǎng)絡(luò)的主動(dòng)聯(lián)接),可以采用不同的策略。對(duì)于一些服務(wù),如Telnet,可以允許它直接通過(guò)屏蔽路由器聯(lián)接到外部網(wǎng)而不通過(guò)堡壘主機(jī);其他服務(wù),如WWW和SMTP等,必須經(jīng)過(guò)堡壘主機(jī)才能聯(lián)接到Internet,并在堡壘主機(jī)上運(yùn)行該服務(wù)的服務(wù)器。怎樣安排這些服務(wù)取決于安全策略。

5 結(jié)束語(yǔ)

隨著信息技術(shù)的發(fā)展,影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化,因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越受到人們的重視,以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患,以及一般采取的幾種安全防范策略,主要討論了防火墻在網(wǎng)絡(luò)信息安全中所起到的作用。總的來(lái)說(shuō),網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題,同時(shí)也是一個(gè)安全管理問(wèn)題。我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

【參考文獻(xiàn)】

[1]田園.網(wǎng)絡(luò)安全教程[M].人民郵電出版社,2009.

篇10

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)威脅

AbstractWith the rapid development of computer information technology,computer network has penetrated into every corner of social life, and all trades and professions would be cannot exchange information without it. Since we enjoyed the high speed it brought us, we encountered the network security at the same time.Therefore,clear understanding of network security, network vulnerabilities and its potential threats,taking strong security strategy and precautionary measures are of great importance.

Keywordscomputer;network security;precautionary measure

一、網(wǎng)絡(luò)安全的定義及內(nèi)涵

1、定義。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是計(jì)算機(jī)網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō),凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全措施是指為保護(hù)網(wǎng)絡(luò)免受侵害而采取的措施的總和。

2、內(nèi)涵。網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定,應(yīng)具有以下三個(gè)方面的特征:①保密性:是指信息不泄露給非授權(quán)的個(gè)人、實(shí)體和過(guò)程,或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的每一個(gè)層次都存在著不同的保密性,因此也需要有相應(yīng)的網(wǎng)絡(luò)安全防范措施。在物理層,要保護(hù)系統(tǒng)實(shí)體的信息不外露,在運(yùn)行層面,保證能夠?yàn)槭跈?quán)使用者正常的使用,并對(duì)非授權(quán)的人禁止使用,并有防范黑客,病毒等的惡性攻擊能力。②完整性:是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不入、不延遲、不亂序和不丟失的特性。③可用性:是指授權(quán)的用戶能夠正常的按照順序使用的特征,也就是能夠保證授權(quán)使用者在需要的時(shí)候可以訪問(wèn)并查詢資料。在物理層,要提高系統(tǒng)在惡劣環(huán)境下的工作能力。在運(yùn)行層面,要保證系統(tǒng)時(shí)刻能為授權(quán)人提供服務(wù),保證系統(tǒng)的可用性,使得者無(wú)法否認(rèn)所的信息內(nèi)容,接受者無(wú)法否認(rèn)所接收的信息內(nèi)容。

二、網(wǎng)絡(luò)自身特性及網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

網(wǎng)絡(luò)信息自身具有很多不利于網(wǎng)絡(luò)安全的特性,例如網(wǎng)絡(luò)的互聯(lián)性,共享性,開(kāi)放性,網(wǎng)絡(luò)操作系統(tǒng)的漏洞及自身設(shè)計(jì)缺陷等,網(wǎng)絡(luò)目前的發(fā)展已經(jīng)與當(dāng)初設(shè)計(jì)網(wǎng)絡(luò)的初衷大相徑庭,安全問(wèn)題已經(jīng)擺在了非常重要的位置上,安全問(wèn)題如果不能解決,會(huì)嚴(yán)重地影響到網(wǎng)絡(luò)的應(yīng)用?,F(xiàn)在越來(lái)越多的惡性攻擊事件的發(fā)生說(shuō)明當(dāng)前網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻,不法分子的手段越來(lái)越先進(jìn),因此網(wǎng)絡(luò)安全的防范措施要能夠應(yīng)付不同的威脅,保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。目前我國(guó)的網(wǎng)絡(luò)系統(tǒng)和協(xié)議還存在很多問(wèn)題,還不夠健全不夠完善不夠安全。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性,使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過(guò)了計(jì)算機(jī)病毒的種類,而且許多攻擊都是致命的。

三、網(wǎng)絡(luò)安全解決方案及實(shí)例分析

要解決網(wǎng)絡(luò)安全,首先要明確我們的網(wǎng)絡(luò)需要實(shí)現(xiàn)的目標(biāo),一般需要達(dá)到以下目標(biāo):①身份真實(shí)性:對(duì)通信實(shí)體身份的真實(shí)性進(jìn)行識(shí)別。②信息保密性:保證密級(jí)信息不會(huì)泄露給非授權(quán)的人或?qū)嶓w。③信息完整性:保證數(shù)據(jù)的一致性,防止非授權(quán)用戶或?qū)嶓w對(duì)數(shù)據(jù)進(jìn)行任何破壞。④服務(wù)可用性:防止合法用戶對(duì)信息和資源的使用被不當(dāng)?shù)木芙^。⑤不可否認(rèn)性:建立有效的責(zé)任機(jī)制,防止實(shí)體否認(rèn)其行為。⑥系統(tǒng)可控性:能夠控制使用資源的人或?qū)嶓w的使用方式。⑦系統(tǒng)易用性:在滿足安全要求的條件下,系統(tǒng)應(yīng)該操作簡(jiǎn)單、維護(hù)方便。⑧可審查性:對(duì)出現(xiàn)問(wèn)題的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。

為了最大程度的保證網(wǎng)絡(luò)安全,目前的方法有:安全的操作系統(tǒng)及應(yīng)用系統(tǒng)、防火墻、防病毒、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成,一個(gè)單獨(dú)的組件往往是無(wú)法確保信息網(wǎng)絡(luò)的安全的。圖1是某一網(wǎng)絡(luò)實(shí)例的安防拓?fù)浜?jiǎn)圖,日常常見(jiàn)的安防技術(shù)在里面都得到了運(yùn)用:

1、防火墻技術(shù)。包括硬件防火墻和軟件防火墻。圖中的是硬件防火墻,一般設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,市場(chǎng)上的防火墻種類繁多,它們大都可通過(guò)IE瀏覽器控制,可視化好,易于操作,但也有明顯不足:無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊,不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅,也不能完全防止傳送已感染病毒的軟件或文件,無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

2、防病毒技術(shù)。病毒因網(wǎng)絡(luò)而猖獗,對(duì)計(jì)算機(jī)系統(tǒng)安全威脅也最大,做好防護(hù)至關(guān)重要。應(yīng)采取全方位的企業(yè)防病毒產(chǎn)品,實(shí)施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。一般公司內(nèi)部大都采用網(wǎng)絡(luò)版殺毒軟件,病毒庫(kù)聯(lián)網(wǎng)升級(jí),管理員可通過(guò)系統(tǒng)中心制定統(tǒng)一的防病毒策略并應(yīng)用至下級(jí)系統(tǒng)中心及本級(jí)系統(tǒng)中心的各臺(tái)終端,可實(shí)施實(shí)時(shí)監(jiān)控,主動(dòng)防御,定時(shí)殺毒等功能。但實(shí)踐證明,僅依靠一款殺毒軟件,一種策略,并不能完整的清除所有病毒,有時(shí)需要制訂不同的安全策略或與另外一款殺毒軟件同時(shí)使用方可,此時(shí)需要具體情況具體分析。

3、入侵檢測(cè)技術(shù)。入侵檢測(cè)幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管理員的安全管理能力,提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控,從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。具體的任務(wù)是監(jiān)視、分析用戶及系統(tǒng)活動(dòng);系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì);識(shí)別反映已進(jìn)攻的活動(dòng)規(guī)模并報(bào)警;異常行為模式的統(tǒng)計(jì)分析;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。

4、安全掃描技術(shù)。這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)三者相互配合,對(duì)網(wǎng)絡(luò)安全的提高非常有效。通過(guò)對(duì)系統(tǒng)以及網(wǎng)絡(luò)的掃描,能夠?qū)ψ陨硐到y(tǒng)和網(wǎng)絡(luò)環(huán)境有一個(gè)整體的評(píng)價(jià),并得出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別,還能夠及時(shí)的發(fā)現(xiàn)系統(tǒng)內(nèi)的安全漏洞,并自動(dòng)修補(bǔ)。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段,那么安全掃描就是一種主動(dòng)的防范措施,做到防患于未然。

5、網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。操作系統(tǒng)種類繁多,而Windows因其諸多優(yōu)點(diǎn)被普遍采用,但Windows存在諸多漏洞,易于被攻擊,因此需要定期進(jìn)行更新。北信源補(bǔ)丁分發(fā)系統(tǒng)通過(guò)定時(shí)探測(cè)各終端的補(bǔ)丁數(shù),自動(dòng)給各終端打上補(bǔ)丁,較大程度的避免了因系統(tǒng)漏洞導(dǎo)致的信息安全問(wèn)題。安全系數(shù)要求高的網(wǎng)絡(luò),有必要對(duì)其進(jìn)行物理隔絕,采用專用軟件控制各終端的外設(shè),對(duì)各終端操作人員進(jìn)行身份驗(yàn)證等等。

6、安全加密技術(shù)。分為對(duì)稱加密技術(shù)和不對(duì)稱加密技術(shù)。前者是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰;不對(duì)稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰(shuí)都可以用,解密密鑰只有解密人自己知道。加密方式有硬件加密及軟件加密,其中硬件加密又有信道機(jī)密和主機(jī)終端加密等。

7、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。網(wǎng)絡(luò)安全作為一項(xiàng)動(dòng)態(tài)工程,意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生變化。應(yīng)該隨著時(shí)間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時(shí)組建網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系,專人負(fù)責(zé),防范安全事件的突然發(fā)生。

總之,網(wǎng)絡(luò)的第一道防線防火墻并不能完全保護(hù)內(nèi)部網(wǎng)絡(luò),必須結(jié)合其它措施才能提高系統(tǒng)的安全水平。在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施,按照級(jí)別從低到高,分別是主機(jī)系統(tǒng)的物理安全、操作系統(tǒng)的內(nèi)核安全、系統(tǒng)服務(wù)安全、應(yīng)用服務(wù)安全和文件系統(tǒng)安全;同時(shí)主機(jī)安全檢查和漏洞修補(bǔ)以及系統(tǒng)備份安全作為輔助安全措施。這些構(gòu)成整個(gè)網(wǎng)絡(luò)系統(tǒng)的第二道安全防線,主要防范部分突破防火墻以及從內(nèi)部發(fā)起的攻擊。在防火墻和主機(jī)安全措施之后,是全局性的由系統(tǒng)安全審計(jì)、入侵檢測(cè)和應(yīng)急處理機(jī)制構(gòu)成的整體安全檢查和反應(yīng)措施。

四、小結(jié)

網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的安全問(wèn)題,也有物理的和邏輯的技術(shù)措施,單一的技術(shù)是不能解決網(wǎng)絡(luò)的安全防護(hù)問(wèn)題的。隨著信息技術(shù)的不斷發(fā)展,各行各業(yè)信息化建設(shè)的腳步也越來(lái)越快,計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入應(yīng)用到人們生產(chǎn)生活的各個(gè)領(lǐng)域,各種活動(dòng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度也越來(lái)越高。增強(qiáng)人這一主體的安全意識(shí),普及計(jì)算機(jī)網(wǎng)絡(luò)安全教育,提高計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)水平,改善其安全現(xiàn)狀,才是最有效的防范措施。

參考文獻(xiàn)

[1]胡道元,閔京華.網(wǎng)絡(luò)安全(2版).北京:清華大學(xué)出版社. 2008(10)

[2]黃怡強(qiáng)等.淺談軟件開(kāi)發(fā)需求分析階段的主要任務(wù).中山大學(xué)學(xué)報(bào)論叢,2002(01)

[3]胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001

[4]朱理森,張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社,2001