計算機網絡安全及其防護策略探析

盧　鵬

[摘要]網絡的迅速發展改變著人們的生活方式和工作效率。給社會、企業用至個人帶來了前所未有的便利，所有這一切都得益于互聯網的開放性和匿名性特征，然而正是這些特征也決定了網絡不可避免地存在著信息安全隱患。介紹網絡存在的主要安全威脅，提出網絡安全的防護體系以及對網絡安全的防護對鐿進行探析。

[關鍵詞]計算機網絡網絡安全安全防護

中圖分類號：TP3文獻標識碼：A文章編號：1671—7597(2009)0620062—02

一、引言

伴隨著互聯網技術在全球迅猛發展，網絡給人們提供了極大的方便，然而，網絡安全威脅問題也一直在困擾著我們，諸如網絡的數據竊密、黑客的侵襲、病毒猖獗，內部、外部的泄密。盡管我們正在廣泛地使用各種復雜的軟件技術，如防火墻、代理服務器、入侵檢測器、通道控制機制，但是，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。如何才能確保網絡信息的安全性，尤其是網絡上重要的數據的安全性，本文進行了具體的安全威脅分析及提出了實現防護網絡安全的具體策略。

二、網絡存在的安全威脅分析

網絡存在著各式各樣的安全威脅，常見的有計算機病毒，拒絕服務攻擊，內部、外部泄密，邏輯炸彈，信息丟失、篡改、銷毀，特洛伊木馬，黑客攻擊，系統的漏洞的威脅等。

(一)計算機病毒

計算機病毒是可存儲，可執行，可隱藏在可執行程序和數據文件中而不被人發現，觸發后可獲取系統控制的一段可執行程序，它具有傳染性、潛伏性、可觸發性和破壞性等特點。計算機病毒主要是通過復制文件、傳送文件、運行程序等操作傳播，在日常的使用中，軟盤、硬盤、光盤和網絡是傳播病毒的主要途經。網絡的普及為病毒的快速傳播創造了便利的條件，近年來出現的多種惡性病毒都是基于網絡進行傳播的。這些計算機網絡病毒破壞性很大，如“CIH病毒”，“熊貓燒香病毒”可謂是人人談之而色變，它給網絡帶來了很嚴重的損失。

(二)拒絕服務攻擊

拒絕服務攻擊是利用TCP／IP協議“三次握手”特點的缺陷，拒絕合法的用戶對目標系統(如服務器)和信息的合法訪問一攻擊。以這種方式攻擊的后果往往表現為使目標系統死機、使端口處于停頓狀態、在計算機屏幕上發出雜亂信息、改變文件名稱、刪除關鍵和程序文件或扭曲系統的資源狀態，使系統的處理速度降低。

(三)內部、外部泄密

內部人員對數據的存儲位置、信息重要性非常了解，這使得內部攻擊更容易奏效。一般來說在內網中根據IP地址很容易找到服務器網段，這樣就根容易運用AKP欺騙等手段攻擊。現在互聯網上第三方黑客攻擊軟件越來越多，方法也越來越復雜，像IP碎片攻擊、OOB攻擊、WinNuke攻擊等，但是大部分的攻擊手段還是以獲知IP地址為前提，進行網絡攻擊的。

由于黑客的目的一般都是竊取機密數據或破壞系統運行，外部黑客也可能入侵Web或其他文件服務器刪除或篡改數據，致使系統癱瘓甚至完全崩潰。

(四)邏輯炸彈

邏輯炸彈是在滿足特定的邏輯條件時按某種不同的方式運行，對目標系統實施破壞的計算機程序。在正常條件下檢測不到這種炸彈，但如果特殊的邏輯條件出現，則程序會按照完全不同的方式運行。誘發邏輯炸彈發作的邏輯條件稱為邏輯誘因。邏輯炸彈一般隱藏在具有正常功能的軟件中。與計算機病毒不同，邏輯炸彈體現為對目標系統的破壞作用，而非傳達室播其具有破壞作用的程序。

(五)信息丟失、篡改和銷毀

由于誤操作或者黑客的非法操作，造成有價值的信息丟失、篡改或者銷毀。

(六)特洛伊木馬

特洛伊木馬攻擊的表現形式對被攻擊都來說并不直觀，甚至受害者根本不知道自己已經被入侵，因而它是～種極為危險的網絡攻擊手段。與病毒不同，特洛伊木馬的預防和檢測一般都可以由用戶完成，因為特洛伊木馬既不傳播也不復制，它們只能依靠用戶安裝文件將其潛伏在系統中。

(七)黑客攻擊

這是計算機網絡所面臨的最大威脅。些類攻擊又可以分為兩種，一種是網絡攻擊，即以各種方式有選擇地破壞對方信息的有效性和完整性；另一類是網絡偵察，它是在不影響網絡正常工作的情況下，進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害

(八)系統的漏洞的威脅

網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。目前，常見的網絡操作系統軟件主要有Windows 2003 Server，UNIX，Linux等，windows NT~Windows 2003Server由于系統自身有漏洞，雖然推出了一些針對性的補丁程序，但也不可避免地容易遭到病毒或人為因素的破壞。相比之下UNIX~Linux這兩個系統由于問世后其原代碼一直處于公開狀態，以便大家不斷完善它，又因為它工作在底層，所以安全性較高。

隨著網絡的發展，計算機攻擊技術對網絡安全的挑戰日益加強，黑客工具的自動化程度及速度在不斷提高，攻擊工具的攻擊能力與復雜程度也在不斷提高。總之，網絡安全威脅從來沒有消失過，而且大有愈演愈烈之勢。

三、網絡安全的防護體系

隨著攻擊手段的不斷演變，傳統的依靠防火墻、加密和身份認證等手段已滿足不了要求，監測和響應環節在現代網絡安全體系中的地位越來越重要，正在逐步成為構建網絡安全體系中的重要部分。不僅是單純的網絡運行過程是的防護，還包括對網絡的安全評估，以及使用安全防護技術后面的服務體系。

四、網絡安全的防護對策

盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全：

(一)操作系統補丁升級

操作系統除服務器操作系統外，也包括各種網絡設各的操作系統，均需要及時升級及打上最新的補丁，嚴防黑客利用各種漏洞進行攻擊。如Windows網絡操作系統最主要的漏洞有Unicode漏洞、，ida／，idq緩沖區溢出漏洞、Microsoft IIs CGI文件名錯誤解碼漏洞、MSADCS RDS漏洞、FrontPage服務器擴展和，printer漏洞。

(二)安裝網絡版防病毒軟件

防病毒服務器作為防病毒軟件的控制中心，及時通過INTERNET更新病毒庫，并強制局域網中己開機的終端及時更新病毒庫軟件。同時配置郵件防病毒服務器，對來自INTERNET的電子郵件以及所屬附件進行檢測。

(三)合理配置訪問控制權限

訪問控制是網絡安全防范和保護的主要策略，根據控制手段和具體目的的不同，可以將訪問控制技術劃分為幾個不同的級別，包括入網訪問控

制、網絡權限控制、目錄級安全控制以及屬性控制等多種手段。

(四)安裝入侵檢測系統

網絡安全體系的監控和響應環節是通過入侵檢測系統(IDS)來實現的。IDS從網絡系統中的關鍵點收集信息，并加以分析，檢測網絡中是否有違反安全策略的行為和識別遭襲擊的跡象。

(五)配置硬件防火墻

通過配置硬件防火墻，允許局域網用戶訪問INTERNET資源，但是嚴格限制INTEPNET用戶對局域網資源的訪問。通過防火墻，將整個局域網劃分INTERNET。DMZ區，內網訪問區這三個邏輯上分開的區域，有利于對整個網絡進行管理。

(六)防火墻、入侵檢測等安全日志備份

防火墻等日志備份以每周為一次，通過對各日志的分析掌握整個網絡的運行狀態，定期以每半年一提出總體安全分析報告，針對全網絡進行安全性討論，為全面提高網絡的安全性提供技術支持。

(七)數據保密與安裝動態口令認證系統

信息安全的核似是數據保密，一般就是我們所說的密碼技術，隨著計算機網絡不斷滲透到各個領域，密碼學的應用也隨之擴大。數字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。

(八)信息備份及恢復系統

為了防止核心服務器崩潰導致網絡應用癱瘓，應根據網絡情況確定完全和增量備份的時間點，定期給網絡信息進行備份。便于一旦出現網絡故障時能及時恢復系統及數據。

(九)管理制度的修訂及進行安全技術培訓

嚴格控制中心機房的人員進出、設備進出并及進登記設備的配置更新情況，有助于網絡核心設備的監控，確保網絡的正常運行。制訂并修改機房管理制度，內容主要涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等。對企業內部人員定期進行安全技術培訓，防止誤操作而造成的安全故障。

五、結束語

網絡安全是一個不斷變化、快速更新的領域，也意味著人們對于網絡安全領域的投資是長期的行為，盡管現在用于網絡安全的產品有很多，比如有防火墻、殺毒軟件、入侵檢測系統，但是仍然有很多黑客的非法入侵。根本原因是網絡自身的安全隱患無法根除。雖然如此，安全防護仍然必須是慎之又慎，盡最大可能降低黑客入侵的可能，從而保護我們的網絡信息安全。