保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的措施

龔春鳳

（湖南商務(wù)職業(yè)技術(shù)學(xué)院，湖南 長(zhǎng)沙 410205）

1.引言。在網(wǎng)絡(luò)技術(shù)日新月異的今天，基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來，網(wǎng)上黑客的攻擊活動(dòng)增長(zhǎng)很快。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

2.網(wǎng)絡(luò)入侵的途徑。計(jì)算機(jī)病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統(tǒng)修改型和外殼附加型四種方式，而對(duì)網(wǎng)絡(luò)入侵來講主要分為主動(dòng)入侵和被動(dòng)入侵。

主動(dòng)入侵主要是指用戶主動(dòng)去執(zhí)行病毒以及木馬程序，例如瀏覽網(wǎng)站中植入了惡意病毒及其木馬程序的網(wǎng)頁(yè)，這些木馬程序（病毒）大多是利用操作系統(tǒng)的漏洞，當(dāng)用戶訪問網(wǎng)頁(yè)時(shí)，將會(huì)主動(dòng)下載該類木馬程序并執(zhí)行；還有就是目前比較流行的優(yōu)盤病毒，通過優(yōu)盤來進(jìn)行傳播和執(zhí)行，這種類型的攻擊非常隱蔽，不易察覺，當(dāng)用戶連接互聯(lián)網(wǎng)時(shí)，木馬（病毒）的服務(wù)端可以對(duì)感染木馬（病毒）的客戶端進(jìn)行控制。被動(dòng)入侵主要是指由入侵者主動(dòng)發(fā)動(dòng)的攻擊，例如掃描系統(tǒng)口令，利用系統(tǒng)存在的遠(yuǎn)程溢出漏洞進(jìn)行溢出攻擊，SQL注入攻擊等。如果用戶具有一定安全意識(shí)，被成功入侵的幾率較低。

3.入侵后的保護(hù)措施。不管是個(gè)人普通電腦還是公司用電腦，保護(hù)好入侵現(xiàn)場(chǎng)是十分必要的，入侵現(xiàn)場(chǎng)作為經(jīng)濟(jì)損失評(píng)估和追蹤入侵者的重要證據(jù)。發(fā)生網(wǎng)絡(luò)入侵后，如果有安全事件應(yīng)急方案，應(yīng)當(dāng)按照應(yīng)急方案或者措施執(zhí)行。

3.1 報(bào)告上司、網(wǎng)警、公安部門或國(guó)家安全局。在計(jì)算機(jī)被入侵后，一般采用三種方式處理：一種就是徹底格式化硬盤，重新安裝操作系統(tǒng)和軟件；另外一種方法是安裝一些木馬查找軟件，查殺木馬和病毒后繼續(xù)使用，最后一種就是利用原來系統(tǒng)中的Ghost備份進(jìn)行恢復(fù)。正確的方法應(yīng)該是評(píng)估計(jì)算機(jī)中資料的價(jià)值，根據(jù)其計(jì)算機(jī)的重要情況，一旦發(fā)現(xiàn)計(jì)算機(jī)被入侵后，應(yīng)立刻將網(wǎng)絡(luò)斷開，并報(bào)告公司安全部門或網(wǎng)警或國(guó)家安全局等處理網(wǎng)絡(luò)安全事件的部門，然后再做相應(yīng)的處理。

3.2 保留證據(jù)。在發(fā)生網(wǎng)絡(luò)入侵后，一個(gè)很重要的步驟就是保留證據(jù)，面對(duì)入侵，最可能留下證據(jù)的就是硬盤，下面給出一些可供參考的保留證據(jù)步驟：

①使用軟驅(qū)啟動(dòng)并克隆整個(gè)硬盤。在選擇克隆硬盤時(shí)通過軟盤啟動(dòng)并克隆是為了保證系統(tǒng)的時(shí)間不被更改。操作系統(tǒng)的一些文件會(huì)在啟動(dòng)計(jì)算機(jī)時(shí)進(jìn)行時(shí)間的更新，為了保證時(shí)間的準(zhǔn)確性，應(yīng)該從軟驅(qū)啟動(dòng)并通過軟盤來克隆硬盤中的系統(tǒng)盤以及其它物理盤。②將被入侵硬盤存封，保留最直接證據(jù)。③還原操作系統(tǒng)使被攻擊服務(wù)器或者個(gè)人電腦恢復(fù)正常。④修改在本機(jī)上使用的相關(guān)軟件以及操作系統(tǒng)賬號(hào)的登錄密碼。⑤如果是服務(wù)器，則需要通知網(wǎng)絡(luò)用戶更改相應(yīng)的密碼。

4.具體的安全檢查方法

4.1 檢查計(jì)算機(jī)用戶。在被入侵的計(jì)算機(jī)中，極有可能添加了新用戶或者對(duì)用戶進(jìn)行了克隆。

4.2 查看網(wǎng)絡(luò)連接情況。使用"netstat-an->netlog-1.txt"命令將目前端口開放情況以及網(wǎng)絡(luò)連接情況生成netlog-1文本文件，便于查看網(wǎng)絡(luò)開放的端口和連接的IP地址等，可以用來追蹤入侵者。

4.3 查看遠(yuǎn)程終端服務(wù)。Windows2000/XP/2003默認(rèn)的遠(yuǎn)程終端服務(wù)都是手動(dòng)的。

4.4Web服務(wù)器的安全檢查

①SQLServer2000等數(shù)據(jù)庫(kù)安全檢查。目前對(duì)Web服務(wù)器進(jìn)行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQLServer2000等數(shù)據(jù)庫(kù)中的臨時(shí)表，通過HDSI等軟件進(jìn)行SQL注入攻擊，在數(shù)據(jù)庫(kù)中會(huì)留下臨時(shí)表。因此可以通過數(shù)據(jù)庫(kù)的企業(yè)管理器或者查詢處理器進(jìn)行表的瀏覽，直接查看最新創(chuàng)建表的情況。

②Web日志文件檢查。如果Web服務(wù)設(shè)置日志記錄，則系統(tǒng)會(huì)在缺省的"%SystemRoot%system32Logfiles"目錄下對(duì)用戶訪問等信息進(jìn)行記錄。日志文件能夠記錄入侵者所進(jìn)行的操作以及入侵者的IP地址等。

4.5 使用事件查看器查看安全日志等。事件查看器中有安全性、系統(tǒng)和應(yīng)用程序三類日志文件，可以通過在運(yùn)行"eventvwr.msc"調(diào)用事件查看器。安全性日志中包含了特權(quán)使用、用戶、時(shí)間和計(jì)算機(jī)等信息，這些信息可以作為判斷入侵者入侵時(shí)間以及采用什么方式進(jìn)行登陸等信息。不過默認(rèn)情況下，日志文件記錄的選項(xiàng)較少，需要通過組策略進(jìn)行設(shè)置。

4.6 查看硬盤以及系統(tǒng)所在目錄新近產(chǎn)生的文件。如果及時(shí)發(fā)現(xiàn)入侵，則可以通過以下一些方法來查看入侵者所上傳或安裝的木馬程序文件。

①查看系統(tǒng)目錄文件，可以使用DOS命令"dir/od/a"或者資源管理器查看最新文件。DOS命令"dir/od/a"查看系統(tǒng)最新文件（包含隱藏文件）以日期進(jìn)行排序。

②查看系統(tǒng)盤下用戶所在文件的臨時(shí)目錄temp，如 "D:Documents and SettingssimeonLocal SettingsTemp"，該目錄下會(huì)保留操作的一些臨時(shí)文件。

③查看歷史文件夾，歷史文件夾中會(huì)保留一些入侵者訪問網(wǎng)絡(luò)的一些信息，可以通過訪問用戶所在的目錄如"D:DocumentsandSettingssimeonLocal SettingsHistory"進(jìn)行查看。

④查看回收站，回收站可能會(huì)存在入侵者刪除的一些文件記錄。通過查看文件創(chuàng)建日期和跟蹤文件所在位置來進(jìn)行入侵時(shí)間等判斷。

⑤查看recent文件夾，recent文件夾中會(huì)保留一些最近操作時(shí)的一些快捷方式。通過這些快捷方式可以了解入侵者進(jìn)行的一些操作。

4.7 使用port/mport/fport等工具檢查端口開放情況。port/mport/fport等都是用來檢查端口開放情況以及端口由哪些程序打開。

4.8 檢查Rootkit。Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權(quán)限的工具，利用Rootkit技術(shù)而編寫的木馬程序，功能強(qiáng)大，且具有較高的隱蔽性，危害非常大，目前可以通過Rootkit Revealer、Blacklight以及 Klister等 Rootkit檢測(cè)工具檢測(cè)系統(tǒng)是否存在Rootkit類型的木馬。

結(jié)束語(yǔ)。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，本文給出了一些計(jì)算機(jī)被入侵后的一些常規(guī)的安全檢查方法，通過這些安全檢查方法可以檢測(cè)入侵者留在被入侵計(jì)算機(jī)上的"痕跡"，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

[1]《網(wǎng)絡(luò)入侵檢測(cè)原理與技術(shù)》.胡昌振.北京理工大學(xué)出版

[2]《網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)》.唐正軍等.電子工業(yè)出版社

[3]《計(jì)算機(jī)網(wǎng)絡(luò)安全》.劉遠(yuǎn)生.清華大學(xué)出版社