計算機網絡安全與防范措施的認識

吳 剛

[摘要]隨著計算機網絡的飛速發展,網絡安全問題日益突出,對計算機網絡安全問題進行深入研究,對網絡攻擊的主要手段及其防范措施進行系統分析和探討。

[關鍵詞]網絡安全系統入侵防范措施

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110083-01

一、引言

在Internet/Intranet的使用中,Internet/Intranet安全面臨著重大挑戰。事實上,資源共享和信息安全歷來是一對矛盾。近年來隨著計算機網絡的飛速發展,計算機網絡的資源共享進一步加強,隨之而來的信息安全問題日益突出。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元。而全球每20秒鐘就發生一起Internet計算機入侵事件。

二、網絡安全的概念

計算機網絡的安全性可定義為:保障網絡信息的保密性、完整性和網絡服務的可用性及可審查性。即要求網絡保證其信息系統資源的完整性、準確性及有限的傳播范圍。并要求網絡能向所有的用戶有選擇地隨時提供各自應得到的網絡服務。

三、網絡攻擊的一般過程及常用手段

(一)網絡攻擊的一般過程

1.收集被攻擊方的有關信息,分析被攻擊方可能存在的漏洞。黑客首先要確定攻擊的目標。在獲取目標機及其所在的網絡類型后,還需進一步獲取有關信息,如目標機的IP地址、操作系統類型和版本、系統管理人員的郵件地址等,根據這些信息進行分析,可得到有關被攻擊方系統中可能存在的漏洞。

通過對上述信息的分析,就可以得到對方計算機網絡可能存在的漏洞。

2.建立模擬環境,進行模擬攻擊,測試對方可能的反應。根據第一步所獲得的信息,建立模擬環境,然后對模擬目標機進行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要刪除哪些文件來毀滅其入侵證據。

3.利用適當的工具進行掃描。收集或編寫適當的工具,并在對操作系統分析的基礎上,對工具進行評估,判斷有哪些漏洞和區域沒有覆蓋到。然后在盡可能短的時間內對目標進行掃描。完成掃描后,可對所獲數據進行分析,發現安全漏洞,如FTP漏洞、NFS輸出到未授權程序中、不受限制的X服務器訪問、不受限制的調制解調器、Sendmail的漏洞、NIS口令文件訪問等。

4.實施攻擊。根據已知的漏洞,實施攻擊。黑客們或修改網頁,或破壞系統程序或放病毒使系統陷入癱瘓,或竊取政治、軍事、商業秘密;或進行電子郵件騷擾或轉移資金賬戶,竊取金錢等等。

(二)常見的網絡攻擊手段

1.炸彈攻擊。炸彈攻擊的基本原理是利用工具軟件,集中在一段時間內,向目標機發送大量垃圾信息,或是發送超出系統接收范圍的信息,使對方出現負載過重、網絡堵塞等狀況,從而造成目標的系統崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。

2.利用木馬和后門程序。木馬攻擊通常是黑客事先設計讓受害者運行特洛伊木馬工具里的一個程序(運行時不易被察覺),然后黑客就可以利用工具里的另一個本地程序來遙控受害者的機器。后門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟件的開發階段,程序員常常會在軟件內創建后門程序以便可以修改程序設計中的缺陷。但是,如果這些后門被其他人知道,或是在發布軟件之前沒有刪除后門程序,那么它就成了安全風險,容易被黑客當成漏洞進行攻擊。

3.拒絕服務攻擊。拒絕服務攻擊是指一個用戶占據了大量的共享資源,使系統沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務的攻擊降低了資源的可用性,這些資源可以是處理器、磁盤空間、CPU使用的時間、打印機、網卡,甚至是系統的時間,攻擊的結果是減少或失去服務。

有兩種類型的拒絕服務攻擊:

第一種攻擊是試圖去破壞或者毀壞資源,使得無人可以使用這個資源。有許多種方式可以破壞或毀壞信息,如:刪除文件、格式化磁盤或切斷電源,這些行為都可以實現拒絕服務攻擊。幾乎所有的攻擊都可以通過限制訪問關鍵賬戶和文件并且保護它們不受那些未授權用戶訪問的方式來防止。

第二種類型是過載一些系統服務或者消耗一些資源,這些行為也許是攻擊者故意的行為,也許是一個用戶無意中的錯誤所致。通過這些方式,阻止其他用戶使用這些服務。例如:填滿一個磁盤分區、讓用戶和系統程序無法再生成新的文件。

4.電子欺騙。電子欺騙指通過偽造源于一個可信任地址的數據包以使一臺主機認證另一臺主機的復雜技術。這里“信任”指那些獲準相互連接的機器之間的一種關系,認證是這些機器用于彼此識別的過程。電子欺騙包括IP Spoofing,Arp Spoofing,DNS Spoofing等技術。

四、網絡安全防護的措施和手段

(一)提高思想認識,強化內部的安全管理

“三分技術、七分管理”這句話是對網絡安全客觀生動的描述。任何網絡僅僅通過技術手段是無法確保安全的,必須在提高技術防范的同時,加強單位內部的安全管理,在國家相應法規的基礎上,制訂適合本單位的安全規章制度,并且嚴格落實到位。

(二)應對黑客攻擊的主要防范策略

1.設置訪問權限。很多計算機系統采用不同權限設置來限制不同用戶的訪問權限.不同用戶采用不同口令來控制對系統資源的訪問。這是防止黑客入侵最容易和最有效的方法之一。

2.采用防火墻技術。防火墻由軟件和硬件設備組合而成。在被保護的單位內部網與Intemet之間,豎起一道安全屏障.防火墻通過監測、限制、修改跨越防火墻的數據流。盡可能地對外屏蔽網絡內部的結構、信息和運行情況,以此來實現內部網絡的安全保護。防火墻由過濾器和安全策略組成.是一種非常有效的網絡安全技術。

3.部署入侵檢測系統。部署入侵檢測系統可以檢測到某些穿透防火墻的攻擊行為,通過和防火墻之間實現互動.在防火墻上動態生成相應的規則,從而阻斷攻擊;防火墻動態生成的規則可以自動清除,保證了防火墻的性能不會因為規則一直增加而下降。

(三)操作系統安全策略

1.及時更新系統補丁。必須密切跟蹤最新的漏洞和攻擊技術,及時對網絡中設備進行系統更新和升級。例如:如果及時對IIS打補丁,就不會發生紅色代碼蠕蟲問題;如果及時對SQL server打補丁,就不會發生SQL蠕蟲問題;如果及時加強口令的控制、關閉不必要的服務,就不會產生被他人遠程控制問題;如果在出口進行源路由控制,就不會出現內網發動的DDOS攻擊等。

2.修補系統漏洞。通過漏洞掃描系統對網絡設備進行掃描,可以從設備之外的網絡角度(某個程度上可以看成是黑客的角度),來審視網絡上還有哪些漏洞沒有修補、正在提供什么樣的服務,以此找到需要關閉的服務,甚至也可以發現部分密碼設置過于簡單的賬號。