論網絡安全問題

周　慶

摘要：主要介紹了網絡安全的含義，網絡攻擊和入侵的主要途徑，網絡安全缺陷及產生的原因，最后簡單介紹了網絡安全的防范措施。

關鍵詞：網絡安全；破譯口令；IP欺騙；DNS欺騙；黑客攻擊

中圖分類號：TP393.08

文獻標識碼：A

文章編號：1672-3198(2009)13-0245-02

1網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，如：利用目標主機的Finger功能：當用Finger命令查詢時，主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上；利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的帳號；查看主機是否有習慣性的帳號；有經驗的用戶都知道，很多系統會使用一些習慣性的帳號，造成帳號的泄露。

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中。入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執行遠程操作。

域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽。并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名—IP地址映射表時，DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而，當一個客戶機請求查詢時，用戶只能得到這個偽造的地址，該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器，所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器。也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。

2計算機網絡中的安全缺陷及產生的原因

(1)網絡安全天生脆弱。

計算機網絡安全系統的脆弱性是伴隨計算機網絡一同產生的，換句話說，安全系統脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中，網絡特性決定了不可能無條件、無限制的提高其安全性能。要使網絡更方便快捷，又要保證網絡安全，這是一個非常棘手的“兩難選擇”，而網絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網絡都不是絕對安全的。

(2)黑客攻擊后果嚴重。

近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網絡中斷，軍事指揮系統失靈，電力供水系統癱瘓，銀行金融系統混亂……危及國家的政治、軍事、經濟的安全與穩定，在世界各國造成了難以估量的損失。

(3)網絡殺手集團化。

目前，網絡殺手除了一般的黑客外，還有一批具有高精尖技術的“專業殺手”，更令人擔憂的是出現了具有集團性質的“網絡恐怖分子”甚至政府出面組織的“網絡戰”、“黑客戰”，其規模化、專業性和破壞程度都使其他黑客望塵莫及。可以說，由政府組織的“網絡戰”、“黑客戰”是當前網絡安全的最大隱患。目前，美國正開展用無線電方式、衛星輻射式注入方式、網絡方式把病毒植入敵方計算機主機或各類傳感器、網橋中的研究以伺機破壞敵方的武器系統、指揮控制系統、通信系統等高敏感的網絡系統。另外，為達到預定目的，對出售給潛在敵手的計算機芯片進行暗中修改，在CPU中設置“芯片陷阱”，可使美國通過因特網發布指令讓敵方電腦停止工作，以起到“定時炸彈”的作用。

(4)破壞手段多元化。

目前，“網絡恐怖分子”除了制造、傳播病毒軟件、設置“郵箱炸彈”，更多的是采取借助工具軟件對網絡發動襲擊，令其癱瘓或者盜用一些大型研究機構的服務器，使用“拒絕服務”程序，如TFN和與之相近的程序等，指揮它們向目標網站傳輸遠遠超出其帶寬容量的垃圾數據，從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網絡發起攻擊。而且，黑客們還可以把這些軟件神不知鬼不覺地通過互聯網安裝到別人的電腦上，然后，在電腦主人根本不知道的情況下“借刀殺人”。

3安全防范措施

(1)提高思想認識。

近年來，中國的網絡發展非常迅速，同時，中國的網絡安全也越來越引起人們的關注，國家權威部門曾對國內網站的安全系統進行測試，發現不少單位的計算機系統都存在安全漏洞，有些單位還非常嚴重，隨時可能被黑客入侵。當前，世界各國對信息戰十分重視，假如我們的網絡安全無法保證，這勢必影響到國家政治、經濟的安全。因此，從思想上提高對計算機網絡安全重要性的認識，是我們當前的首要任務。

(2)加強管理制度。

任何網站都不是絕對安全的，值得一提的是，當前一些單位在急忙趕搭“網絡快車”時，只管好用，不管安全，這種短視必然帶來嚴重的惡果，與“網絡恐怖分子”的較量是一場“看不見硝煙的戰爭”，是高科技的較量，是“硬碰硬”的較量。根據這一情況，當前工作的重點，一是要狠抓日常管理制度的落實，要把安全管理制度落實到第一個環節中；二是要加強計算機從業人員的行業歸口管理，對這些人員要強化安全教育和法制教育，建立人員管理檔案并進行定期的檢查和培訓；三是要建立一支反黑客的“快速反應部隊”，同時加快加緊培養高水平的網絡系統管理員，并盡快掌握那些關鍵技術和管理知識。

(3)強化防范措施。

一般來說，影響計算機網絡安全的因素很多，但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施：切實保護電子郵件的安全：做好郵件帳戶的選擇。現在互聯網上提供的E-MAIL帳戶

主要都是免費帳戶，這些免費的服務不提供任何有效的安全保障而且有的免費郵件服務器常常會導致郵件受損。所以，單位用戶應該選擇收費郵件帳戶。做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。在WEB方式中，不要使用IB的自動完成功能，不要使用保存密碼功能以圖省事，入網帳號與口令應該是需要保護的重中之重，密碼要取得有技巧、有難度，密碼最好能有8位數，且數字字母相間，中間還代“*”號之類的允許怪符號。

防止郵件炸彈。下面介紹幾種對付電子郵件炸彈(E-MAIL BOMB)的方法：

①過濾電子郵件。凡可疑的E-MAIL盡量不要開啟：如果懷疑信箱有炸彈，可以用郵件程序的遠程郵箱管理功能來過濾信件，如國產的郵件程序Foxmail。在進行郵箱的遠程管理時，仔細檢查郵件頭信息，如果發現有來歷可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務器上刪除。

②使用殺毒軟件。一是郵件有附件的話，不管是誰發過來的，也不管其內容是什么(即使是文檔，也往往能成為病毒的潛伏場所，像著名的Melissa)，都不要立即執行，而是先存盤，然后用殺毒軟件檢查一番，以確保安全。二是注意目前網上有一些別有用心的人以網站的名義，讓你接受他們通過郵件附件推給你的軟件，并以種種借口要求你立即執行。對此，凡是發過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。

③使用轉信功能。用戶一般都有幾個E-mail地址。最好申請一個容量較大的郵箱作為收信信箱，如777信箱(www.mail.777.net.cn)速度也很快。對于其它各種信箱，最好支持轉信功能的，并設置轉信到大信箱。所有其它郵件地址的信件都會自動轉寄到大信箱內，可以很好地起到保護信箱的作用。

④申請郵件數字簽證。現在國內的首都在線(http://263.net.cn)提供了郵件數字簽證的服務。數字簽證不但能夠保護郵件的信息安全，而且通過它可以確認信件的發送者。最后要注意對本地的已收發郵件進行相應的刪除處理。切實保障下載軟件的安全。對于網絡軟件，需要指出的是，我們對下載軟件和接受的E-MAIL決不可大意。在下載軟件時應該注意：下載軟件應盡量選擇客流大的專業站點。大型的專業站點，資金雄厚，技術成熟，水平較高，信譽較佳，大都有專人維護，安全性能好，提供的軟件問題較少。

⑤此外，從網上下載來的軟件要進行殺毒處理。對下載的任何軟件，不要立即使用，WORD文檔也不宜直接打開，而應先用殺毒軟件檢測一番，進行殺毒處理。殺毒軟件應當始終保持最新版本，最好每月升級一次，防止染上“木馬”。一旦染上木馬后，它就會給你的Windows留下后門，秘密監視網絡信息，一旦發現遠方控制指令，就會會秘密地予以回應，可以讓遠方的控制者掌握對機器的完全控制權。此后在你完全不知的情況下，遠方的侵入者可以隨時在因特網上無限制地訪問你的計算機，因此它的危害是不育而喻的。最簡便有效的預防措施是，避免啟動服務器端(S端)消除木馬的具體操作是，首先拜訪注冊表，獲取木馬的裝入信息，找出S端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉，重新啟動計算機，再將程序也刪掉。

4結論

隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發送者是否曾發送過該條消息的問題。