淺談網(wǎng)絡安全與防范措施

摘 要:目前網(wǎng)絡安全成為涉及個人、單位、社會、國家信息安全的重大問題。如何保障網(wǎng)絡安全已成為需要解決的問題。本文就網(wǎng)絡安全技術及相關對策提出了相應的解決方案。

關鍵詞:網(wǎng)絡 安全 防范 黑客 病毒 措施

中圖分類號:TP393文獻標識碼:A文章編號:1674-098X(2011)04(a)-0016-01

網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上的信息安全，指網(wǎng)絡系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護，免受破壞、更改和泄露，系統(tǒng)可靠正常地運行，網(wǎng)絡服務小中斷、從用戶的角度來看，他們希望涉及到個人和商業(yè)的信息在網(wǎng)絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人利用竊聽、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯、從網(wǎng)絡運營商和管理者的角度來說，他們希望對本地網(wǎng)絡信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)病毒、非法存取、拒絕服務和網(wǎng)絡資源的非法占用和黑客的攻擊。

1 網(wǎng)絡技術的安全性

計算機安全主要是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏。從本質(zhì)上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)，威脅網(wǎng)絡安全的事件不斷發(fā)生，特別是計算機和網(wǎng)絡技術發(fā)展迅速的國家和部門發(fā)生的網(wǎng)絡安全事件越來越頻繁和嚴重。

2 關于計算機網(wǎng)絡信息安全

導致計算機網(wǎng)絡信息安全受到威脅的根本原因在于網(wǎng)絡存在安全問題主要體現(xiàn)在:

2.1 操作系統(tǒng)本身的安全漏洞

新的操作系統(tǒng)或應用軟件剛上市漏洞就被找出。沒有任何一個系統(tǒng)可以排除漏洞的存在要修補所有的漏洞很難。系統(tǒng)固有的漏洞及破壞工具方便了黑客的攻擊，無效的安全管理也是造成安全隱患的一個重要因素。當發(fā)現(xiàn)新的漏洞時，管理人員應仔細分析危險程度，并馬上采取補救措施。雖然已經(jīng)對系統(tǒng)進行了維護，對軟件進行了更新或升級，由于路由器及防火墻的過濾規(guī)則過于復雜，系統(tǒng)又可能出現(xiàn)新的漏洞。所以，及時、有效地改變管理可以大大降低系統(tǒng)所承受的風險。

2.2 工具的非法使用

大部分系統(tǒng)都配備了用以改進系統(tǒng)管理及服務質(zhì)量的工具軟件，這些工具也會被破壞者利用去收集非法信息及加強攻擊力度。如:NBTSTAT命令用來給系統(tǒng)管理員提供遠程節(jié)點的信息;但是破壞者也用這一命令收集對系統(tǒng)有威脅性的信息，這些信息足以被黑客用來破譯口令。再如最常被利用的工具是網(wǎng)包嗅探器。系統(tǒng)管理員用此工具來監(jiān)控及分發(fā)網(wǎng)包，以便找出網(wǎng)絡的潛在問題。若黑客攻擊網(wǎng)絡時，則先把網(wǎng)卡變成功能混雜的設備，截取經(jīng)過網(wǎng)絡的所有未加密的口令和其他敏感信息，然后短時間運行網(wǎng)包嗅探器就有足夠的信息去攻擊網(wǎng)絡。

2.3 拒絕式服務

拒絕服務攻擊的原理是攪亂TCP/IP連接的次序。典型的DOS攻擊會耗盡或是損壞一個或多個系統(tǒng)的資源，直至系統(tǒng)無法處理合法的程序。這類攻擊的例子是Synflood攻擊。發(fā)動Synflood攻擊的破壞者發(fā)送大量的不合法請求要求連接，目的是使系統(tǒng)不勝負荷。其結果是系統(tǒng)拒絕所有合法的請求，直至等待回答的請求超時。DDoS(分布式拒絕服務)，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式。

2.4 緩沖區(qū)溢出

這是攻擊中最容易被利用的系統(tǒng)漏洞。很多系統(tǒng)在不檢查程序與緩沖區(qū)， 間的變化的情況下，就接收任何長度的數(shù)據(jù)輸人，把溢出部分放在堆棧內(nèi)，系統(tǒng)照常執(zhí)行命令。破壞者便有機可乘。他只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進人不穩(wěn)定狀態(tài)。假如破壞者特別配置一串準備用作攻擊的字符，就可以訪問系統(tǒng)根目錄。

2.5 系統(tǒng)設計安全性能太弱

在不重視信息保護的情況下，設計的安全系統(tǒng)非常“不安全”，不能抵御復雜的攻擊。建立安全的架構要從底層著手。這個架構應能提供實效性的安全服務，并且需要妥善的管理。服務器的代碼設計及執(zhí)行應進行有效管理。最近，有很多漏洞報告指出:在輸人檢查不完全時，是非常脆弱的。黑客可以利用漏洞發(fā)動拒絕服務攻擊，非法訪問敏感信息或是篡改Web服務器的內(nèi)容。低效的設計最后產(chǎn)生漏洞百出的人侵檢測系統(tǒng)。這樣的系統(tǒng)非常危險，它不能提供足夠的信息，就連已提供的信息都可能是不真實、不準確的。

3 網(wǎng)絡安全的主要應對措施

網(wǎng)絡安全中一個單獨的組件無法確保信息網(wǎng)絡的安全性，網(wǎng)絡安全解決是由多個安全組件組成，一個單獨的組件無法確保信息網(wǎng)絡的安全性，因此，網(wǎng)絡安全采用的主要應對措施如下。

3.1 病毒查殺防護技術措施

用戶應養(yǎng)成及時下載最新系統(tǒng)安全漏洞補丁的安全習慣，從根源上杜絕黑客利用系統(tǒng)漏洞攻擊用戶計算機的病毒。同時，升級殺毒軟件、開啟病毒實時監(jiān)控應成為每日防范病毒的必修課。請定期做好重要資料的備份，以免造成重大損失。選擇具備“網(wǎng)頁防馬墻”功能的殺毒軟件，每天升級殺毒軟件病毒庫，定時對計算機進行病毒查殺，上網(wǎng)時開啟殺毒軟件全部監(jiān)控。請勿隨便打開來源不明的Excel或Word文檔，并且要及時升級病毒庫，開啟實時監(jiān)控，以免受到病毒的侵害。上網(wǎng)瀏覽時一定要開啟殺毒軟件的實時監(jiān)控功能，以免遭到病毒侵害。上網(wǎng)瀏覽時，不要隨便點擊不安全陌生網(wǎng)站，以免遭到病毒侵害。及時更新計算機的防病毒軟件，為操作系統(tǒng)及時安裝補丁程序。在上網(wǎng)過程中要注意加強自我保護，避免訪問非法網(wǎng)站，這些網(wǎng)站往往潛入了惡意代碼，一旦用戶打開其頁面時，即會被植入木馬與病毒。

3.2 防火墻技術

防火墻是一種隔離控制技術，通過預定義的安全策略，對通信強制實施訪問控制常用的防火墻技術有包過濾技術、狀態(tài)檢測技術、應用網(wǎng)關技術、包過濾技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾邏輯，檢查數(shù)據(jù)流中的侮個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址以及所使用的端口確定是否允許該類數(shù)據(jù)包通過;狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有數(shù)據(jù)包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有良好的靈活性和安全性;應用網(wǎng)關技術在應用層實現(xiàn)，其目的在于隱蔽被保護網(wǎng)絡的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。

3.3 監(jiān)測系統(tǒng)日志

通過運行系統(tǒng)日志程序，系統(tǒng)記錄所有用戶使用系統(tǒng)的情形，包括最近登錄時間、使用的賬號、進行的活動等。日志程序定期生成報表，通過對報表的分析，就可知道是否有異常現(xiàn)象。封死黑客的“后門”:既然黑客能進人，系統(tǒng)一定存在為他們打開的“后門”，只要將此堵死，讓黑客無處下手。

4 結語

網(wǎng)絡環(huán)境下信息系統(tǒng)的安全涉及到多方面的因素，信息系統(tǒng)安全的實現(xiàn)方法也有多種文中介紹的信息系統(tǒng)安全設計和實現(xiàn)方法在某單位的計算機網(wǎng)絡信息系統(tǒng)中得到很好的使用，達到了保障信息系統(tǒng)安全性的目的。