淺談網絡安全及對策

[摘要]Internet的迅速成長正在把世界連接成一個整體,“世界”這個概念也正在縮小。但是在信息技術高度發達的今天,計算機網絡安全已成為各國關注的焦點。計算機病毒不斷地產生和傳播,計算機遭非法入侵,機密文件的丟失,由此造成的網絡系統的癱瘓等給各個國家和眾多公司帶來巨大的經濟損失,甚至威脅到國家和地區的安全。

[關鍵詞]安全因素 威脅 網絡安全 對策

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0920084-01

一、威脅網絡安全的因素

計算機網絡安全受到的威脅包括:“黑客”的攻擊、計算機病毒和拒絕服務攻擊。黑客在網絡上經常采用的攻擊手段,是利用UNIX操作系統提供的TelnetDaemon、FTPdaemon等缺省賬戶進行攻擊。Daemon軟件實質上是一些系統進程。另外,利用UNIX操作系統提供的命令“Finger”與“Ruser”收集的信息不斷的提高自己的攻擊能力。利用Sendmail采用Debug、Wizard、Pipe等進行攻擊;利用FTP采用無口令訪問進行攻擊;通過WindowsNT的135端口進行攻擊。

網絡安全存在的威脅主要表現在以下幾個方面:1.發送假冒電子郵件。指冒充正規網站騙取賬戶密碼是欺詐郵件常用的手法。2.非授權訪問。這主要是指對網絡設備以及信息資源進行非正常使用或超越權限使用。3.破壞數據庫的完整性。4.干擾系統的正常運行,改變系統正常運行的方向,以及延時系統的響應時間。5.病毒破壞。比如硬盤被垃圾數據覆蓋。6.通信線路被竊聽等。

二、造成這些威脅的原因

(一)OS的脆弱性。目前,無論是哪一種OS,其體系結構本身是一不安全的因素。導致OS不安全的原因包括:1.OS的程序可以動態連接,包括I/O驅動程序和系統服務都可以用打補丁的方法升級和動態連接。而這種方法“黑客”人員也可以使用,因此,這種動態連接是滋生病毒的溫床。2. 在于OS可以創建進程,進程可以不斷的再創建進程,再加上OS支持在網絡上傳輸的文件,能加載程序。二者結合起來就構成可以在遠程服務器上安裝“間諜”軟件的條件,這導致系統進程與作業監視程序根本監測不到“間諜”的存在。

(二)計算機系統的脆弱性。計算機系統的脆弱性主要來自OS系統的不安全性,在網絡環境下,還來源于通信協議的不安全性,因為OS始終存在漏洞及協議和應用本身存在問題,比如協議設計時對突發事件考慮不周。

(三)協議安全的脆弱性。在網絡當中使用的最常見的協議TCP/IP以及FTP、Email、NFS等都包含許多影響網絡安全的因素,存在大量漏洞。黑客常用Sock、TCP預測或使用遠程訪問進行直接掃描等方法對防火墻進行攻擊。

(四)數據庫管理系統安全的脆弱性。DBMS的安全必須與OS系統安全配合,因為DBMS是在OS系統框架下運行,比如調用數據庫里的某個文件DBMS必須請求OS調度使用數據庫的進程。

(五)人為因素。不管是什么樣的網絡系統都離不開人的管理,但大多又缺乏高素質的網絡管理人員,更缺少安全監控。還有用戶注冊、口令等處于缺省狀態。

三、針對網絡安全威脅的對策

要想提供對整個網絡系統實施全程防御,使其不遭受病毒和攻擊,幾乎不可能。因為某些OS系統程序需要打補丁、鏈接進行升級這就是OS系統的脆弱性所在。另一個,要跟因特網連接就必定會遭到一些非法惡意的文件的攻擊。能不能想出更好的防范措施是保證網絡安全、有序運行的可靠的保證

(一)從硬件層面來看。以往人們采用防火墻來保護自己的網絡系統,可以說這也是一個好的防御對策。防火墻是位于Web站點和Internet之間的一路由器或一主機﹙堡壘主機﹚甚至是由軟件和硬件的結合。所有穿過防火墻的通信流必須得到安全策略的授權和確認。但是防火墻存在最大的缺陷是自身不能保證其準許放行的數據是否安全,不能防止內部攻擊和數據驅動的攻擊,如病毒。防火墻掃描分析多半是針對IP地址和端口號或者協議內容的,而非數據細節。

從網關的作用來說,網關位于應用層面,要使使網絡免遭攻擊、侵害,網關就應該更智能化,這就要求這種網關具備可以自動識別帶有危害信息的站點。涉及到尋找站點,就離不開一些獨特的算法。高度集成的Internet應用安全網關能讓網絡變得安全、透明、可控。這種高度集成的網關能將URL過濾、網絡應用控制阻止、或管理控制惡意和不重要的應用程序集合起來。并通過統一的設備監控、策略配置、統一的報表和升級服務。

(二)從軟件層考慮。加大數據庫規則(常駐路由器)的篩選力度也是一個有效的途徑,問題是該如何去加大篩選力度呢?那就牽涉到一個篩選準則問題,其實,這個準則可以自己所需而定,相對獨立于網絡協議之外。路由器篩選的重要理由是防止IP欺詐。但是,傳統的信息包篩選工具存在著天生的缺點:實施和維護相當復雜,甚至有時不足以產生有效的篩選決定。

鑒于對信息包篩選的缺點,可以在可靠網和不可靠網之間設置網關主機起中繼器的作用,這種網關主機也稱堡壘主機,對進入和發出內部網的信息進行記錄和分析。使用堡壘主機可以隱藏內部網絡的拓撲結構。一般堡壘主機本身可以設置于兩個具有基本信息包篩選能力的路由器之間,以增強其安全性。像這種情況,可以將路由器和網關合理的配置在網際邊緣和防火墻一同構成網絡系統三道硬件防御工事。

同時,也可以利用一些網絡安全的技術如:包括訪問控制技術、識別和鑒別技術、口令守則、密碼技術、完整性控制技術、審計和恢復技術、防火墻系統、計算機病毒防護、操作系統安全、數據庫系統安全等,公鑰、廣域網容錯、相繼推出了防火墻、入侵檢測(IDS)、防病毒軟件、CA系統、加密算法等。除此,需加大安全技術的開發力度和對網絡安全的評估。

對于一個網絡系統的安全除了看它所采用的防范措施外,還需要看內部管理措施。這就要求系統后臺管理人員定時地對服務器等系統的恢復和網絡中數據備份,落實網絡系統中的每一個安全隱患和操作細節。

四、結束語

針對威脅計算機網絡安全的因素,考察網絡入侵的原理、類型,在此基礎上適當論述了硬件及軟件防御對策。最后,指出了要維護網絡安全、高效、有序的運行,就必須要求網絡管理員加強內外防范和管理措施。以計算機網絡為核心、以實現資源共享和協同工作為目標的各種信息系統,已成為當今社會運行和技術基礎。尤其是電子商務環境下的信息系統的建設和發展日趨復雜,系統安全任務更加艱巨,如何保障系統安全已成為不可回避的時代課題,更是電子商務發展和應用面臨的嚴峻挑戰。

參考文獻:

[1]謝希仁編著,《計算機網絡》,第5版,電子工業出版社.

[2]袁津生、吳硯農編著,《計算機網絡安全基礎》(修訂本),人民郵電出版社.

[3]許偉、廖明武等編著,《網絡安全基礎教程》,清華大學出版社.

作者簡介:

劉劍武,男,本科,北京交通大學網絡學院,計算機科學與技術專業。