淺談計算機網絡安全威脅及其防范

摘要 隨著網絡信息化的發展，信息安全不僅僅關系著個人利益，也關系著國家利益。如何規避網絡風險、創建安全的網絡環境已經成為社會強烈關注的問題。本文將對計算機網絡安全進行初步的論述。

關鍵字 網絡安全 信息安全 網絡風險

一、網絡安全的威脅

(一)攻擊方式

網絡安全事件的發生通常是攻擊者為了達到某種目的進行實施。他們可能來自網絡上任何地方，雖然一些攻擊必須從特定的系統或網絡進行實施，但是攻擊者發起網絡攻擊的后果可能會非常嚴重。攻擊者能夠使用多種攻擊方式威脅網絡安全，目前主要威脅網絡安全的攻擊方式如下：

1 掃描。簡單地說，掃描就是使用智能化的工具進行大范圍的嗅探，觀察和分析協議數據。常見的掃描類型包括協議掃描和端口掃描。掃描常常是攻擊者的初期攻擊行為，這就意味著攻擊者正在識別攻擊目標。

2 嗅探。嗅探本來是通過捕獲網絡中傳輸的數據，提供網絡管理員分析和檢查網絡狀態的一種管理手段。攻擊者很可能通過嗅探器捕獲成百上千的數據，這些數據可能包括明文方式的用戶名、口令或特定信息。攻擊者可以有針對性地發動攻擊。嗅探器并不是很難獲得，網絡上有大量免費開源的嗅探器工具。

3 拒絕服務。攻擊者可以向網絡上發送大量無用的數據或故意消耗某些稀缺或有限的資源，例如網絡帶寬攻擊或連接性攻擊。從而干擾和破壞數據信息的傳輸，即便是加密數據，也無法保障數據信息的安全傳輸。其最終目標并不是為了非法獲取數據信息，而是讓合法用戶無法使用網絡服務。

4 偽裝。計算機網絡中存在著信任關系。在某些信任關系下才能建立合法網絡連接，如果攻擊者將其身份進行偽造，再利用偽造的合法身份實施攻擊，攻擊者就有可能獲得建立合法連接的授權。

5 惡意代碼。惡意代碼是計算機程序。當執行程序時，將導致計算機無法正常工作。計算機用戶通常不會意識到自己被接種了惡意代碼，直到發現計算機程序受到了破壞，他們才會對計算機進行全面檢查。惡意代碼主要包含特洛伊木馬、病毒和蠕蟲。這些惡意代碼能導致重要數據的丟失、系統停止工作以及其他類型的故障現象。

(二)發展趨勢

現在的攻擊者會將自己的實戰經驗和工具程序放到社區與其他攻擊者進行分享交流。已不再是簡單的利用眾所周知的漏洞實施攻擊，他們能夠通過檢測源代碼來發現某些程序中存在的缺陷，并制定攻擊方案。不少專家級的攻擊者已經有能力對網絡基礎設施(如路由器和防火墻)實施攻擊，并且能夠遮掩自己的行為。攻擊者還能夠使用解密工具或編寫程序對捕獲的加密信息進行分析，再利用特洛伊木馬隱藏自己的活動。即使受害人發現嗅探日志，也難以確定哪些信息已經被篡改。

另一方面，隨著網絡技術的成熟，攻擊所使用的工具變得越來越智能化。能夠快速地收集成千上萬網絡主機的信息。這些工具可以掃描整個網絡的任意位置，對網絡漏洞進行識別。攻擊者可以通過工具收集大量有用的信息，并與其他攻擊者進行分享或立即實施攻擊。這就意味著攻擊者不需要具備較多的計算機知識就能夠實施簡單的網絡攻擊。

二、網絡安全防范

(一)管理方面

1 管理流程。安全管理流程基于計算機安全標準進行制定，為用戶和系統管理員安全管理提供實踐依據。安全標準是由各國以及國際標準化組織關于計算機安全和信息安全而制定的綱領性文件。它提供了安全框架，作為安全項目的指導方針和規范。由于網絡技術的發展，安全標準也需要不斷地進行修訂，從而避免只是針對特定技術。

2 管理實踐。管理實踐在網絡安全中發揮著重要的作用，國際上公認作為“最佳實踐”的安全解決方案很多。下面是常見的建議措施：確保賬戶都設置密碼，密碼避免過于簡單；安全級別要求高的系統建議使用一次性密碼；使用工具確保系統的完整性；使用安全標準進行程序設計；定期升級，保證系統處在最新版本；定期查看系統安全信息，識別潛在安全問題；定期檢測、記錄評估系統和網絡的安全狀況。

(二)技術方面

安全技術研究通常涉及兩大核心領域：操作技術和密碼編碼學。操作技術是為了維護數據資源的可用性。密碼編碼學是為了保障數據資源的保密性，完整性和真實性。

1 操作技術。沒有一種單一的技術能夠防御所有的攻擊。為了保證數據資源的安全，我們必須對可疑活動進行及時的探測和評估，并給出適當的響應方案處理安全事件。

(1)防火墻。攻擊者常常使用欺詐手段試圖建立與認證系統的連接，并實施拒絕服務攻擊或進入目標系統。為了避免網絡欺詐攻擊，通常部署防火墻對所有進出網絡的數據流實施過濾。防火墻是第一道防范網絡攻擊的防線。它的目的是審查網絡的數據流和服務請求，過濾不符合安全解決方案的應用。簡單的防火墻可以由過濾路由器構成，丟棄從未經授權的地址或服務端口發來的數據，實現包過濾功能。復雜的防火墻使用代理機制運作，通過代理機制核實認證請求的形式和內容，并將經授權的請求傳遞到合法用戶，如應用網關防火墻。

(2)監控工具。監控網絡活動是必需的。監控工具可以安裝在網絡中用于收集信息和檢測可疑行為。當出現可疑行為時，自動報警系統將會通知管理員進行處理。例如攻擊者使用拒絕服務或有非法用戶進入了未經授權的區域。監控工具可以針對網絡中的多種應用服務進行監控。甚至能夠斷開和阻止可疑的網絡活動，限制或禁用受影響的服務繼續工作，將其隔離。同時，監控工具還能識別并摧毀主機系統可能無意識傳送到網絡的惡意程序。由于惡意程序的潛在傷害范圍很廣，而且技術更新快，因此，監控工具必須保持最新的知識庫。

(3)安全分析工具。隨著網絡攻擊方法的日益成熟，定期評估網絡安全狀況是必要的。現在不少漏洞分析工具可以從網站或社區上獲得，系統管理員可以使用這些工具對網絡安全漏洞進行識別。當然，攻擊者也能使用這些工具發現網絡漏洞，并實施攻擊。因此，安全分析工具既能幫助增強安全，也能被利用于威脅安全。

2 密碼編碼學。密碼編碼學是密碼學中一門分支學科，主要研究加密領域。其作用是保護數據的機密性、完整性、不可否認性。

(1)機密性：提供授權用戶訪問和閱讀信息，非授權用戶對信息都不理解的服務。每天有數以百萬計的數據通過網絡傳輸，攻擊者能夠輕易地捕獲和揭示信息內容，并偽裝合法用戶實施非法活動。為了防止攻擊者利用這些捕獲到信息，我們可以使用數據加密來解決這個問題。

(2)完整性：提供確保數據在存儲和傳輸過程中不被未授權修改(篡改、刪除、插入和重寫等)的服務。例如，使用MD5校驗和來檢查數據塊的完整性。校驗和是從文件的內容提取出來的，可以用來確定內容是否完整。攻擊者可以修改數據塊后再偽造校驗和信息。除非校驗和是被保護的，這樣的修改也許不會被發現。在某種程度上，加密校驗和有助于檢測出被修改的信息。

(3)不可否認性：提供阻止用戶否認先前的行為的服務。通過對稱加密或非對稱加密，以及數字簽名等技術提供服務。例如，通過電子郵件發送信息。首先，加密信息和附上數字簽名來保護其機密性。當接收時，接收者使用密匙驗證信息的真實性，驗證發送者的數字簽名和使用相應的密匙解密信息。為了避免信息在傳輸過程中被修改或偽造，使用數字簽名保護信息安全。數字簽名是由加密校驗的信息和發送者的私有密匙組成。數字簽名不但保證了信息的真實性和完整性，還涉及到另一個概念就是不可否認性。當使用數字簽名簽署電子文件，簽署人將不能宣稱沒有簽署過’理論上數字簽名是唯一的。

參考文獻

[1]謝希仁，計算機網絡(第5版)[M]，北京：電子工業出版社，2008

[2]姚顧波等編著，黑客終結一網絡安全完全解決方案[M]，北京：電子工業出版社，2003