保護計算機網絡安全的措施

龔春鳳

（湖南商務職業技術學院，湖南 長沙 410205）

1.引言。在網絡技術日新月異的今天，基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動增長很快。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

2.網絡入侵的途徑。計算機病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統修改型和外殼附加型四種方式，而對網絡入侵來講主要分為主動入侵和被動入侵。

主動入侵主要是指用戶主動去執行病毒以及木馬程序，例如瀏覽網站中植入了惡意病毒及其木馬程序的網頁，這些木馬程序（病毒）大多是利用操作系統的漏洞，當用戶訪問網頁時，將會主動下載該類木馬程序并執行；還有就是目前比較流行的優盤病毒，通過優盤來進行傳播和執行，這種類型的攻擊非常隱蔽，不易察覺，當用戶連接互聯網時，木馬（病毒）的服務端可以對感染木馬（病毒）的客戶端進行控制。被動入侵主要是指由入侵者主動發動的攻擊，例如掃描系統口令，利用系統存在的遠程溢出漏洞進行溢出攻擊，SQL注入攻擊等。如果用戶具有一定安全意識，被成功入侵的幾率較低。

3.入侵后的保護措施。不管是個人普通電腦還是公司用電腦，保護好入侵現場是十分必要的，入侵現場作為經濟損失評估和追蹤入侵者的重要證據。發生網絡入侵后，如果有安全事件應急方案，應當按照應急方案或者措施執行。

3.1 報告上司、網警、公安部門或國家安全局。在計算機被入侵后，一般采用三種方式處理：一種就是徹底格式化硬盤，重新安裝操作系統和軟件；另外一種方法是安裝一些木馬查找軟件，查殺木馬和病毒后繼續使用，最后一種就是利用原來系統中的Ghost備份進行恢復。正確的方法應該是評估計算機中資料的價值，根據其計算機的重要情況，一旦發現計算機被入侵后，應立刻將網絡斷開，并報告公司安全部門或網警或國家安全局等處理網絡安全事件的部門，然后再做相應的處理。

3.2 保留證據。在發生網絡入侵后，一個很重要的步驟就是保留證據，面對入侵，最可能留下證據的就是硬盤，下面給出一些可供參考的保留證據步驟：

①使用軟驅啟動并克隆整個硬盤。在選擇克隆硬盤時通過軟盤啟動并克隆是為了保證系統的時間不被更改。操作系統的一些文件會在啟動計算機時進行時間的更新，為了保證時間的準確性，應該從軟驅啟動并通過軟盤來克隆硬盤中的系統盤以及其它物理盤。②將被入侵硬盤存封，保留最直接證據。③還原操作系統使被攻擊服務器或者個人電腦恢復正常。④修改在本機上使用的相關軟件以及操作系統賬號的登錄密碼。⑤如果是服務器，則需要通知網絡用戶更改相應的密碼。

4.具體的安全檢查方法

4.1 檢查計算機用戶。在被入侵的計算機中，極有可能添加了新用戶或者對用戶進行了克隆。

4.2 查看網絡連接情況。使用"netstat-an->netlog-1.txt"命令將目前端口開放情況以及網絡連接情況生成netlog-1文本文件，便于查看網絡開放的端口和連接的IP地址等，可以用來追蹤入侵者。

4.3 查看遠程終端服務。Windows2000/XP/2003默認的遠程終端服務都是手動的。

4.4Web服務器的安全檢查

①SQLServer2000等數據庫安全檢查。目前對Web服務器進行SQL注入是一種主流攻擊方式，SQL注入攻擊最有可能留下痕跡的就是SQLServer2000等數據庫中的臨時表，通過HDSI等軟件進行SQL注入攻擊，在數據庫中會留下臨時表。因此可以通過數據庫的企業管理器或者查詢處理器進行表的瀏覽，直接查看最新創建表的情況。

②Web日志文件檢查。如果Web服務設置日志記錄，則系統會在缺省的"%SystemRoot%system32Logfiles"目錄下對用戶訪問等信息進行記錄。日志文件能夠記錄入侵者所進行的操作以及入侵者的IP地址等。

4.5 使用事件查看器查看安全日志等。事件查看器中有安全性、系統和應用程序三類日志文件，可以通過在運行"eventvwr.msc"調用事件查看器。安全性日志中包含了特權使用、用戶、時間和計算機等信息，這些信息可以作為判斷入侵者入侵時間以及采用什么方式進行登陸等信息。不過默認情況下，日志文件記錄的選項較少，需要通過組策略進行設置。

4.6 查看硬盤以及系統所在目錄新近產生的文件。如果及時發現入侵，則可以通過以下一些方法來查看入侵者所上傳或安裝的木馬程序文件。

①查看系統目錄文件，可以使用DOS命令"dir/od/a"或者資源管理器查看最新文件。DOS命令"dir/od/a"查看系統最新文件（包含隱藏文件）以日期進行排序。

②查看系統盤下用戶所在文件的臨時目錄temp，如 "D:Documents and SettingssimeonLocal SettingsTemp"，該目錄下會保留操作的一些臨時文件。

③查看歷史文件夾，歷史文件夾中會保留一些入侵者訪問網絡的一些信息，可以通過訪問用戶所在的目錄如"D:DocumentsandSettingssimeonLocal SettingsHistory"進行查看。

④查看回收站，回收站可能會存在入侵者刪除的一些文件記錄。通過查看文件創建日期和跟蹤文件所在位置來進行入侵時間等判斷。

⑤查看recent文件夾，recent文件夾中會保留一些最近操作時的一些快捷方式。通過這些快捷方式可以了解入侵者進行的一些操作。

4.7 使用port/mport/fport等工具檢查端口開放情況。port/mport/fport等都是用來檢查端口開放情況以及端口由哪些程序打開。

4.8 檢查Rootkit。Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具，利用Rootkit技術而編寫的木馬程序，功能強大，且具有較高的隱蔽性，危害非常大，目前可以通過Rootkit Revealer、Blacklight以及 Klister等 Rootkit檢測工具檢測系統是否存在Rootkit類型的木馬。

結束語。入侵檢測作為一種積極主動的安全防護技術，本文給出了一些計算機被入侵后的一些常規的安全檢查方法，通過這些安全檢查方法可以檢測入侵者留在被入侵計算機上的"痕跡"，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發，形成人侵檢測、網絡管理、網絡監控三位一體化，從而更加有效地保護網絡的安全。

[1]《網絡入侵檢測原理與技術》.胡昌振.北京理工大學出版

[2]《網絡入侵檢測系統的設計與實現》.唐正軍等.電子工業出版社

[3]《計算機網絡安全》.劉遠生.清華大學出版社