互聯(lián)網(wǎng)時(shí)代網(wǎng)絡(luò)安全所存在的主要問題與解決方案

賈海峰，陳桂芬

（長春財(cái)經(jīng)學(xué)院，吉林 長春 130122）

1 引言

為什么會(huì)產(chǎn)生如此嚴(yán)重的互聯(lián)網(wǎng)安全問題，網(wǎng)絡(luò)安全問題真的有傳言中的那么嚴(yán)重？造成網(wǎng)絡(luò)不安全的一系列原因是什么？本文從互聯(lián)網(wǎng)自身的特性出發(fā)從技術(shù)層面和管理者層面進(jìn)行分析并歸納出網(wǎng)絡(luò)安全問題所存在的幾種特性：開放的網(wǎng)絡(luò)化管理、網(wǎng)絡(luò)自身維護(hù)的脆弱性、網(wǎng)絡(luò)攻擊的常態(tài)性、網(wǎng)絡(luò)安全管理的復(fù)雜性和困難性.

2 互聯(lián)網(wǎng)安全問題[1]存在的幾個(gè)常態(tài)性問題

2.1 開放的網(wǎng)絡(luò)攻擊源

互聯(lián)網(wǎng)承載在一個(gè)開放的網(wǎng)絡(luò)平臺(tái)之上，網(wǎng)絡(luò)數(shù)據(jù)交換大多采用傳統(tǒng)的TCP/IP協(xié)議.隨著科技的發(fā)展，人們手中的各類終端作為硬件平臺(tái)，各類應(yīng)用軟件和終端App可以以各種媒介為載體接入計(jì)算機(jī)網(wǎng)絡(luò)，完成各類數(shù)據(jù)通信的需要，正是由于這種開放性的準(zhǔn)入門檻，對(duì)于網(wǎng)絡(luò)入口的訪問者如果不加以各類權(quán)限性的約束和限制，任其隨意對(duì)其訪問，其遭受網(wǎng)絡(luò)攻擊的可能性會(huì)大大提高.基于互聯(lián)網(wǎng)傳播的速度之快，范圍之廣，它所產(chǎn)生的威脅不因地理位置和平臺(tái)的約束而改變，對(duì)世界范圍內(nèi)的網(wǎng)絡(luò)安全都有涉及.

2.2 無選擇性的攻擊

互聯(lián)網(wǎng)的安全問題有時(shí)候讓人摸不著頭腦，這在于其攻擊的無目的性，無選擇性，是一種具有普遍性的攻擊.目前網(wǎng)絡(luò)攻擊者的攻擊手段和攻擊頻次隨著互聯(lián)網(wǎng)的發(fā)展進(jìn)行中越來越錯(cuò)綜復(fù)雜，頻次越來越不確定沒有固定的規(guī)律.當(dāng)下網(wǎng)絡(luò)黑客所研究的入侵工具在功能上和破壞力上越來越強(qiáng)，攻擊者不需要有太高深的技術(shù)就能完成一次簡單的網(wǎng)絡(luò)入侵，為此進(jìn)行網(wǎng)絡(luò)攻擊的各類人員也越來越多.

2.3 自我防護(hù)的低級(jí)性

互聯(lián)網(wǎng)的各類系統(tǒng)、網(wǎng)絡(luò)、軟件等在設(shè)計(jì)之初就存在很多安全性的漏洞.網(wǎng)絡(luò)在規(guī)劃、設(shè)計(jì)、部署和維護(hù)的各個(gè)環(huán)節(jié)上均沒有考慮到自身的安全防護(hù)問題，或者設(shè)計(jì)的本身就存在安全隱患.互聯(lián)網(wǎng)在設(shè)計(jì)的初始階段考慮的過于片面，只是針對(duì)一部分信任度高的少數(shù)群體，而并沒有充分考慮其存在的潛在威脅.對(duì)于網(wǎng)絡(luò)通信協(xié)議以及系統(tǒng)應(yīng)用沒有一個(gè)必要的網(wǎng)絡(luò)安全性服務(wù)，即便一個(gè)完善的計(jì)算機(jī)系統(tǒng)在接入互聯(lián)網(wǎng)時(shí)也會(huì)產(chǎn)生大量的網(wǎng)絡(luò)和系統(tǒng)安全漏洞.軟件的規(guī)模決定了軟件中的漏洞數(shù)量，越是復(fù)雜的網(wǎng)絡(luò)和軟件系統(tǒng)，其所產(chǎn)生的安全性漏洞問題也會(huì)越來越多.雖然計(jì)算機(jī)系統(tǒng)通過系統(tǒng)設(shè)置和軟件防護(hù)提供了相關(guān)的安全性機(jī)制，但是對(duì)于管理者的維護(hù)時(shí)效和技術(shù)手段上的障礙、維護(hù)難度大時(shí)間要求高等一系列因素，對(duì)于網(wǎng)絡(luò)安全防護(hù)的這些安全性機(jī)制所產(chǎn)生作用微乎其微，甚至并沒有實(shí)質(zhì)性的效果.

2.4 機(jī)械式管理的困難性

機(jī)械式的管理并不能跟隨網(wǎng)絡(luò)安全入侵的腳步，是網(wǎng)絡(luò)安全管理的一個(gè)弱勢(shì)所在.好比細(xì)化到一個(gè)高校內(nèi)部的網(wǎng)絡(luò)安全管理，受校內(nèi)網(wǎng)絡(luò)更新迅速、人員崗位更新頻繁、網(wǎng)絡(luò)安全技術(shù)更新層出不窮，安全管理問題也同樣變得頗為棘手，沒有足夠的技術(shù)人員、沒有出臺(tái)一個(gè)完善的網(wǎng)絡(luò)安全制度已是一種常態(tài)；網(wǎng)絡(luò)的傳播性在世界范圍內(nèi)沒有具體的限制，安全性問題不分彼此，不限制國界，但是細(xì)化到具體的安全管理和交涉問題就受國情、地域、文化種族和語音等各個(gè)方面的限制，跨國性的網(wǎng)絡(luò)安全問題處理起來時(shí)非常難以交涉和處理的.

3 互聯(lián)網(wǎng)遭受的常見攻擊方式[2]

3.1 惡意代碼，ARP攻擊

ARP攻擊主要是指ARP欺騙，ARP攻擊也包括ARP掃描（或稱請(qǐng)求風(fēng)暴），即在網(wǎng)絡(luò)中產(chǎn)生大量ARP請(qǐng)求廣播包，嚴(yán)重占用網(wǎng)絡(luò)帶寬資源，使網(wǎng)絡(luò)阻塞.ARP掃描一般為ARP攻擊的前奏.ARP攻擊主要是存在于局域網(wǎng)中，ARP攻擊一般通過木馬感染計(jì)算機(jī)用戶在進(jìn)行網(wǎng)絡(luò)通信時(shí)出現(xiàn)ARP欺騙時(shí)所產(chǎn)生的現(xiàn)象：網(wǎng)絡(luò)閃斷，檢查網(wǎng)絡(luò)連接狀態(tài)卻一切正常.連接在內(nèi)部網(wǎng)絡(luò)的一部分計(jì)算機(jī)無法實(shí)現(xiàn)上網(wǎng)功能，有的時(shí)候還會(huì)出現(xiàn)所有計(jì)算機(jī)全部斷網(wǎng)[3].瀏覽網(wǎng)頁顯示網(wǎng)絡(luò)異常或者根本無法打開網(wǎng)頁.局域網(wǎng)時(shí)常出現(xiàn)閃斷，網(wǎng)速較平時(shí)異常速度較慢.這種攻擊方式流程如圖1所示：

圖1 ARP欺騙的流程與方式

3.2 新式計(jì)算機(jī)病毒的攻擊手段

目前主流的新興式的攻擊類手段層出不窮，具體攻擊模式和策略方式如下圖2所示：

圖2 新式計(jì)算機(jī)病毒攻擊的策略步驟

3.3 網(wǎng)絡(luò)釣魚Phishing

模仿真實(shí)網(wǎng)站，誤導(dǎo)使用者輸入賬號(hào)密碼或個(gè)人資料，達(dá)到騙取個(gè)人信息的目的[4].申請(qǐng)與受害網(wǎng)站非常相似的網(wǎng)域名稱，例如某游戲的官方網(wǎng)站為gamania.com，而詐騙者申請(qǐng)了gamannia.com的網(wǎng)址，多了一個(gè)“n”.

3.4 網(wǎng)絡(luò)缺陷和后臺(tái)系統(tǒng)漏洞

關(guān)于漏洞：系統(tǒng)設(shè)計(jì)之初的軟硬件和網(wǎng)絡(luò)安全協(xié)議[5]在具體的實(shí)現(xiàn)和運(yùn)行過程中存在著一定的隱患和設(shè)計(jì)缺陷，這猶如堅(jiān)固的城墻在某處出現(xiàn)了一個(gè)非常容易入侵的缺口，使得攻擊者可以輕而易舉地在未取得相應(yīng)的權(quán)限和授權(quán)的條件下隨時(shí)隨地的任意訪問、篡改和破壞計(jì)算機(jī)系統(tǒng).漏洞是網(wǎng)絡(luò)攻防中非常關(guān)鍵的資源，漏洞產(chǎn)生是不可避免的.

圖3 漏洞的分類

4 網(wǎng)絡(luò)后門的生成機(jī)制與防護(hù)

4.1 關(guān)于網(wǎng)絡(luò)后門[6](也叫后門程序）backdoor

它是一把雙刃劍，在程序員進(jìn)行系統(tǒng)開發(fā)的初期為了便于對(duì)軟件或者程序在設(shè)計(jì)和開發(fā)過程中存在的缺陷進(jìn)行管理和修正，都將為程序留有一個(gè)后臺(tái)訪問的門戶，這個(gè)門戶通常是隱藏在系統(tǒng)內(nèi)部的，不被訪問人員所熟知，但是其安全隱患卻時(shí)刻存在，這個(gè)后門一時(shí)的存在都將會(huì)對(duì)程序和軟件存在巨大的威脅[7].

4.2 網(wǎng)絡(luò)后門進(jìn)行攻擊的主要原理

網(wǎng)絡(luò)攻擊者通常利用后門的權(quán)限性，通過某些特殊的方式遠(yuǎn)程的入侵到計(jì)算機(jī)的后臺(tái)管理端，對(duì)其進(jìn)行惡意的篡改和破壞.通過后門進(jìn)行系統(tǒng)登錄時(shí)一種常見的方法，后門一旦被打開入侵者便能合法得進(jìn)去系統(tǒng)程序，繼而繞過各類安全性的設(shè)置，系統(tǒng)內(nèi)部的各類安全性防護(hù)也不能對(duì)其進(jìn)行有效的制約.

4.3 后門的分類和攻擊方式

后門分類：網(wǎng)頁后門，這是運(yùn)轉(zhuǎn)在服務(wù)器上的我們最常見的一類后門，對(duì)于網(wǎng)站管理者此類后門給網(wǎng)站的維護(hù)和運(yùn)轉(zhuǎn)帶來了巨大的困擾.通常我們所說的網(wǎng)站被掛馬其實(shí)都是網(wǎng)站后門被入侵的原因，更為嚴(yán)重的是對(duì)于網(wǎng)站設(shè)計(jì)漏洞居多的網(wǎng)頁就猶如肉雞一樣被掛載在服務(wù)器上進(jìn)行瘋狂的攻擊，通過服務(wù)器檢測(cè)后臺(tái)網(wǎng)站程序發(fā)現(xiàn)網(wǎng)絡(luò)程序源文件被大幅度的修改[8].

賬號(hào)后門，這類后門在筆者進(jìn)行網(wǎng)站維護(hù)管理的時(shí)候也有發(fā)現(xiàn)，黑客通過個(gè)后門入侵更改系統(tǒng)后臺(tái)管理員的登錄賬號(hào)或者復(fù)制管理員的登錄密碼和賬號(hào)對(duì)其進(jìn)行控制，管理者在登錄系統(tǒng)進(jìn)行管理的時(shí)候突然發(fā)現(xiàn)登錄不上去的現(xiàn)象，只能有相關(guān)的技術(shù)人員通過訪問服務(wù)器的管理員數(shù)據(jù)庫進(jìn)行賬號(hào)和密碼的重置.

擴(kuò)展后門，這類后門往往成為黑客愛好者進(jìn)行技術(shù)試驗(yàn)和炫耀的首選入侵手段，是一個(gè)功能齊全的集成化工具，通過工具直接控制服務(wù)器和肉雞的一種入侵模式.

4.4 后門的來源和危害

4.4.1 后門的來源

宿主主機(jī)上的源創(chuàng)建：攻擊者以一種欺騙的方式為計(jì)算機(jī)主機(jī)的使用人員發(fā)送文件和電子郵件（這類文件和郵件內(nèi)部往往藏有隱蔽的木馬程序）操作人員一旦誤將其打開便會(huì)不知不覺地在自身主機(jī)內(nèi)部制動(dòng)創(chuàng)建一個(gè)后門程序[9].

主動(dòng)攻擊類創(chuàng)建：網(wǎng)絡(luò)攻擊者進(jìn)行有目的性地對(duì)宿主主機(jī)進(jìn)行攻擊，一旦入侵成功便在其內(nèi)部安裝后門程序，便于對(duì)主機(jī)進(jìn)行長期的攻擊和控制.

軟件開發(fā)前期的創(chuàng)建：開發(fā)者為了確保軟件具有一定的可塑性和靈活性，在開發(fā)前期都會(huì)為其自身軟件程序留有一個(gè)程序后門，以便能夠快速的修正軟件缺陷和進(jìn)行軟件測(cè)試，然而在軟件進(jìn)行發(fā)布的周期內(nèi)開發(fā)者往往忘記將這類后門程序進(jìn)行刪除或者修改，這就使得軟件自身留有了一個(gè)天然的漏洞和安全隱患，可以說是人為的網(wǎng)絡(luò)后門.

4.4.2 后門所存在的危害

管理能力失控：通過后門程序的入侵，管理人員喪失了其自身的管理能力，即便管理人員對(duì)自身的用戶名和密碼進(jìn)行修改也是治標(biāo)不治本，后門程序在某個(gè)時(shí)刻還會(huì)繼續(xù)入侵和篡改.

審計(jì)監(jiān)測(cè)困難：后門程序能夠躲過后臺(tái)日志對(duì)其進(jìn)行的審計(jì)，使得防護(hù)程序和系統(tǒng)用戶對(duì)其行蹤無法準(zhǔn)確地監(jiān)測(cè)，對(duì)系統(tǒng)程序造成巨大的破壞.

后門一旦被打開，對(duì)系統(tǒng)進(jìn)行訪問和控制都將是隱蔽的，這種無形的風(fēng)險(xiǎn)形成安全漏洞被攻擊的頻次將會(huì)大大地提高.

4.5 網(wǎng)絡(luò)后門的防護(hù)方式

網(wǎng)絡(luò)后門雖說無孔不入，難以捕捉，但是其也并非是難以防護(hù)，管理人員只要加強(qiáng)日常的管理及時(shí)修正后臺(tái)程序文件，便能有效的控制網(wǎng)絡(luò)后門的產(chǎn)生.具體可采用以下幾類措施：

（1）設(shè)置系統(tǒng)防火墻安全策略、安裝正版的病毒檢測(cè)防護(hù)軟件并對(duì)其及時(shí)升級(jí).

（2）通過各類安全軟件比如360安全衛(wèi)士、騰訊安全管家等等對(duì)系統(tǒng)進(jìn)行安全漏洞掃描和處理，及時(shí)對(duì)系統(tǒng)安全漏洞打補(bǔ)丁.

（3）規(guī)范上網(wǎng)行為，對(duì)可疑的網(wǎng)站和軟件不做訪問和下載.

（4）對(duì)各類傳輸軟件比如QQ和Email傳輸進(jìn)來的文件進(jìn)行安全監(jiān)測(cè)后在接收.

（5）定期更新殺毒軟件并保證其在系統(tǒng)內(nèi)部實(shí)時(shí)運(yùn)行.（6）不安裝非正規(guī)渠道取得的任何軟件和程序.

5 針對(duì)網(wǎng)絡(luò)安全問題的幾種安全防護(hù)措施

5.1 安全模型[10]

P2DR安全模型：美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出的P2DR安全模型是指：策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）和響應(yīng)（Response）.如圖 4 所示.

圖4 P2DR安全模型

5.2 網(wǎng)絡(luò)安全攻防技術(shù)

網(wǎng)絡(luò)攻擊技術(shù)：網(wǎng)絡(luò)監(jiān)聽：監(jiān)聽目標(biāo)計(jì)算機(jī)的通信；網(wǎng)絡(luò)掃描：發(fā)現(xiàn)漏洞；網(wǎng)絡(luò)入侵：獲取信息；網(wǎng)絡(luò)后門：長期控制；網(wǎng)絡(luò)隱身：隱藏自身.

網(wǎng)絡(luò)安全防護(hù)技術(shù)：配置安全的操作系統(tǒng)，文件的加密技術(shù)：數(shù)據(jù)加密；防火墻技術(shù)：訪問控制；入侵檢測(cè)：入侵告警.

5.3 利用安全工具：防火墻[11]

防火墻的四種類型：包過濾型：提取IP、端口等信息進(jìn)行匹配.簡單實(shí)用，成本低；網(wǎng)絡(luò)地址轉(zhuǎn)換型：保證內(nèi)網(wǎng)安全.配置與用戶無關(guān)；代理型：應(yīng)用層級(jí)別；安全性較高；對(duì)性能有影響.監(jiān)測(cè)型：主動(dòng)、實(shí)時(shí)監(jiān)測(cè)；成本高、不易管理.

網(wǎng)絡(luò)通信過濾規(guī)則的一個(gè)實(shí)例：包過濾轉(zhuǎn)發(fā)的方式是TCP網(wǎng)絡(luò)端口或IP地址協(xié)議.

示例如下圖：設(shè)定與本機(jī)防火墻進(jìn)行通信的IP地址為192.168.1.1，SMTP所在服務(wù)器的IP地址為192.168.1.2，地址192.168.1.3為WEB服務(wù)器的IP，地址為192.168.1.4為DNS服務(wù)器的IP，內(nèi)部網(wǎng)絡(luò)的IP地址用192.168.1.0代替[12].

圖5 包過濾規(guī)則詳細(xì)對(duì)比分析

代理技術(shù)：代表企業(yè)內(nèi)部網(wǎng)絡(luò)和外界打交道的服務(wù)器；不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接；提供公共和專用的DNS、郵件服務(wù)器等多種功能；代理服務(wù)器重寫數(shù)據(jù)包時(shí)會(huì)修改一些數(shù)據(jù).

圖6 代理技術(shù)工作結(jié)構(gòu)圖

5.4 入侵檢測(cè)技術(shù)IDS[13]

入侵檢測(cè)的功能：監(jiān)控、分析用戶和系統(tǒng)的活動(dòng).檢查系統(tǒng)配置和漏洞.評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性.識(shí)別攻擊的活動(dòng)模式，并向網(wǎng)管人員報(bào)警.對(duì)異常活動(dòng)的統(tǒng)計(jì)分析.操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng).評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性.

6 結(jié)束語

沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化.網(wǎng)絡(luò)安全已經(jīng)上升到了國家安全的層面，因此針對(duì)網(wǎng)絡(luò)安全相關(guān)問題的解決措施至關(guān)重要.沒有網(wǎng)絡(luò)安全，信息化發(fā)展越快，造成的危害可能就越大.今后應(yīng)從網(wǎng)絡(luò)安全所在的漏洞出發(fā)尋求科學(xué)有效的網(wǎng)絡(luò)安全管理方案，將硬件防護(hù)和軟件防護(hù)相結(jié)合，深入智能化的網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)研究和應(yīng)用，不斷地提升管理水平.

〔1〕 馮元，等.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ).北京：科學(xué)出版社，2003.

〔2〕 董玉格，等.網(wǎng)絡(luò)攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù).北京：人民郵電出版社,2002.

〔3〕 楚狂等.網(wǎng)絡(luò)安全與防火墻技術(shù).北京：人民郵電出版社，2000.

〔4〕 張然，等.入侵檢測(cè)技術(shù)研究綜述.小型微型計(jì)算機(jī)系統(tǒng)，2003，24（7）.

〔5〕 劉洪斐，王灝，王換招.一個(gè)分布式入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì).微機(jī)發(fā)展，2003，13（1）.

〔6〕 鄭先偉.網(wǎng)絡(luò)安全設(shè)備小心后門[J].中國教育網(wǎng)絡(luò),2014(Z1):50.

〔7〕 崔建華.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及防護(hù)[J].新課程(上),2011(06):80.

〔8〕 郝惠君.剖析黑客的木馬后門 網(wǎng)絡(luò)安全工程師必備技能[J].電腦愛好者,2008(07):64-65.

〔9〕 管麗娜.修改注冊(cè)表對(duì)付病毒、木馬、后門及黑客程序的幾個(gè)方法[J].河北自學(xué)考試,2007(06):30.

〔10〕 許開杰,趙彥敏,朱實(shí)強(qiáng).計(jì)算機(jī)網(wǎng)絡(luò)安全隱患管理及維護(hù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018(02):1+17.

〔11〕 農(nóng)洋華.新背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全和防火墻技術(shù)應(yīng)用分析[J].信息與電腦(理論版),2018(03):178-179.

〔12〕 陳麗.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與防御技術(shù)探討[J].信息與電腦(理論版),2018(02):154-156.

〔13〕 徐治國.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用[J].電子技術(shù)與軟件工程,2018(02):219.