淺談計算機網絡的風險及防御

支元

【摘要】計算機網絡信息安全在國民生活中受到越來越多的關注，原因在于：許多重要的信息存儲在網絡上，一旦這些信息泄露出去將造成無法估量的損失。之所以網絡信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關心的數據或者信息；另一方面網絡自身存在安全隱患才使得入侵者得逞。針對這些問題，該文歸納并提出了一些網絡信息安全防護的方法和策略。

【關鍵詞】計算機網絡；信息安全；黑客；網絡入侵；防護

1.引言

隨著全球科技的快速發展，尤其以互聯網技術的發展，在全球范圍內的發展取得了驚人的成就，使人們的生活更加便利。但是在互聯網信息化的進程中，雖然給人們的物質和文化生活帶來了耳目一新的享受，但是隨之而來的網絡安全也給人們帶來了很大的網絡威脅，例如網絡的數據泄漏、黑客的供給、系統內部員工的泄密以及病毒感染等一系列風險。雖然目前我們采用了很多諸如防火墻、代理服務器等防侵襲設備或系統來保護我們的互聯網安全，但是近年來的黑客活動也愈加猖獗，開始滲透到網絡的方方面面了。另一方面，黑客相關的網站和技術都在不斷提升，對黑客技術進行學習、獲得相關的攻擊工具已經變得十分容易了。這直接使得當前的互聯網的安全性受到了更大的挑戰。面對當前網絡上紛繁復雜的網絡威脅，如何對網絡信息的安全性進行保障，尤其是網絡上的一些重要數據信息的安全性，在本文中，筆者主要分析了網絡安全相關的典型案例，對網絡的威脅進行防護的幾種方法進行研究，最終提出了切實可行的措施，從而起到了對網絡安全的防護作用。

2.計算機網絡存在的安全問題

之所以計算機網絡信息安全受到很大的威脅，這主要是由于網絡不安全的隱患，現對其隱患歸納為以下幾點：

2.1 固有的安全漏洞

目前，市面上有多種不同的操作系統或應用軟件，這些系統或者應用軟件只要一上市，就會被相關專業人員找到其中的漏洞。目前，任何一個系統都存在漏洞的可能性，目前還沒有一個很有效的方法來對所有的漏洞進行修復。從CarnegieMellon大學計算機緊急事件響應隊（簡稱CERT）那里我們可以找到十分完整的程序錯誤列表。另一個消息來自于例如BugNet或NTBugtraq一類 新聞組。

（1）緩沖區溢出。

作為系統漏洞，該區域是攻擊中最容易被利用。目前，有很多系統不會對程序和緩沖區間的變化進行檢查，在此種情況下依然會接收數據輸入，同時不會對這些數據輸入進行長度的限制，當數據長度超過了該區域實際能接收的長度，這時堆棧就會將溢出的部分接收儲存，但系統會繼續執行命令。這對于網絡的破壞者就有機可乘了，他們通過向緩沖區發送超長的指令就可以使系統出現問題，如果網絡的破壞者將一長串攻擊字符配置到緩沖區，這時他們可能對系統的根目錄進行訪問，對網絡的安全性構成了很大的隱患。

（2）拒絕服務。

拒絕服務的英文全稱為Denial of Service，簡稱為DoS，其攻擊的原理是對TCP/IP連接的次序進行攪亂。典型的DoS攻擊會對單個或者多個系統的資源例如CPU周期、內存和磁盤空間進行耗盡或損壞，最終會導致系統無法完成對合法的程序的處理。在這類攻擊中， Synflood攻擊具有典型性，這類攻擊主要是由破壞者將很多不合法的請求進行要求連接，從而使系統超負荷工作，這樣就會導致系統對所有合法的請求進行拒絕，最終就會使等待回答的請求超時。

2.2 合法工具的濫用

目前，很多系統都有一些工具和軟件，它們能夠幫助對系統管理和服務質量進行改進，但是美中不足的是，這些工具經常會被破壞者所利用，對不合法信息的收集以及對攻擊力度進行增強。對于系統管理員，這些工具軟件的作用十分重要，可以對網包進行監控和分發，最終可以對網絡的問題進行定位。如果破壞者要對網絡進行攻擊，首先要將網卡進行變換，使得能夠對設備進行混雜，從而對經過網絡的包進行截取，這其中包括所有未加密的口令以及其他敏感信息，然后，破壞者就可以在很短時間內對網包嗅探器進行運行，最終就可以獲取大量的信息對網絡進行攻擊。

2.3 不正確的系統維護措施

在系統開發過程中就存在一些漏洞和破壞工具，這在很大程度上對黑客的攻擊起到了協助的作用，另外，安全管理有時的無效性對網絡的安全也構成了隱患。當新的漏洞被發現時，系統管理員就要對其危險等級進行分析，從而找到補救措施。在有些時候，雖然系統的維護工作已經很到位，同時軟件也進行了全麻的升級和更新，但是我們依然不能完全避免網絡漏洞，這主要是由于路由器及防火墻的過濾規則十分的復雜，最終使得系統中出現了新的漏洞。因此對系統管理進行及時有效的改善可以在很大程度上降低其風險。

3.計算機網絡信息安全的防護策略

盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全。

3.1 隱藏IP地址

黑客經常利用一些網絡探測技術來查看我們的主機信息，主要目的就是得到網絡中主機的IP地址。如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發動各種進攻，如DoS（拒絕服務）攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。

3.2 關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監視程序（比如Netwa-tch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如用“Norton InternetSecurity”關閉用來提供網頁服務的80和443端口，其他一些不常用的端口也可關閉。

3.3 更換管理員帳戶

Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Adm-inistrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性。

3.4 杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門。禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其他途徑來做好防御工作了。首先要給Guest設一個強壯的密碼，然后詳細設置Guest帳戶對物理路徑的訪問權限。

參考文獻

[1]吳世忠，馬芳.網絡信息安全的真相[M].機械工業出版社，2001-9-1.

[2]Kevin Mandia，Chris Prosise，IncidentResponse：Investigating Computer Crime.Mcgraw-Hill Press，2002-10-1.

[3]Anonymous等.Maximun SecurityThird Edition.SAMS Press，2003-1-1.