計(jì)算機(jī)網(wǎng)絡(luò)安全概述

摘要:Internet網(wǎng)絡(luò)資源共享，是一種開(kāi)放和標(biāo)準(zhǔn)的面向所有用戶(hù)的技術(shù)。資源共享和信息安全是一對(duì)矛盾體，該文就網(wǎng)絡(luò)安全進(jìn)行了簡(jiǎn)要闡述，并介紹了防御網(wǎng)絡(luò)攻擊的措施。

關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;防護(hù)技術(shù)

中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)14-3621-02

The Summary of Security of Internet

LIU Jian-shuang

(Pingdingshan Industrial College of Technology， Pingdingshan 467000， China)

Abstract: The sharing resources of network on the Internet is a technology which is open and standard for all users.The sharing resources and security of information is a contradiction， and this article describes briefly on the network security， and introduces the the defense to network attack.

Key words: network security; network attack; defense technology

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

隨著使用者的變化，計(jì)算機(jī)網(wǎng)絡(luò)安全的含義會(huì)隨之變化。從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來(lái)講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

2 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)

① 損失巨大。由于攻擊和入侵的對(duì)象是網(wǎng)絡(luò)上的計(jì)算機(jī)，所以一旦成功，就會(huì)使網(wǎng)絡(luò)中成千上萬(wàn)臺(tái)計(jì)算機(jī)處于癱瘓狀態(tài)，從而給計(jì)算機(jī)用戶(hù)造成巨大的經(jīng)濟(jì)損失。② 威脅社會(huì)和國(guó)家安全。一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門(mén)和軍事部門(mén)的計(jì)算機(jī)作為攻擊目標(biāo)，從而對(duì)社會(huì)和國(guó)家安全造成威脅。③ 手段多樣，手法隱蔽。計(jì)算機(jī)攻擊的手段五花八門(mén)。網(wǎng)絡(luò)攻擊者既可以通過(guò)監(jiān)視網(wǎng)上數(shù)據(jù)來(lái)獲取別人的保密信息;也可以通過(guò)截取別人的帳號(hào)和口令堂而皇之地進(jìn)入別人的計(jì)算機(jī)系統(tǒng);還可以通過(guò)一些特殊的方法繞過(guò)人們精心設(shè)計(jì)好的防火墻等等。這些過(guò)程都可以在很短的時(shí)間內(nèi)通過(guò)任何一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)完成。因而犯罪不留痕跡，隱蔽性很強(qiáng)。④ 以軟件攻擊為主。幾乎所有的網(wǎng)絡(luò)入侵都是通過(guò)對(duì)軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的，導(dǎo)致了計(jì)算機(jī)犯罪的隱蔽性。

3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因

第一、TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議。該協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多，并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對(duì)TCP/IP很熟悉，就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。

第二、網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶(hù)的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶(hù)的數(shù)據(jù)包。

第三、易被竊聽(tīng)。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒(méi)有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽(tīng)。

第四、缺乏安全意識(shí)。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_(kāi)防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開(kāi)了防火墻的保護(hù)。

4 網(wǎng)絡(luò)攻擊及其防護(hù)技術(shù)

網(wǎng)絡(luò)的安全主要來(lái)自黑客和病毒攻擊，各類(lèi)攻擊給網(wǎng)絡(luò)造成的損失已越來(lái)越大了，有的損失對(duì)一些企業(yè)、單位已是致命的，下面就攻擊和防御作簡(jiǎn)要介紹。

4.1 常見(jiàn)的攻擊有以下幾類(lèi)

4.1.1 入侵系統(tǒng)攻擊

侵入用戶(hù)系統(tǒng)，系統(tǒng)上的資源被對(duì)方一覽無(wú)遺，對(duì)方可以直接控制你的機(jī)器。

4.1.2 對(duì)防火墻的攻擊

防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷，對(duì)防火墻的攻擊方法也是多種多樣的，如探測(cè)攻擊技術(shù)、認(rèn)證的攻擊技術(shù)等。

4.1.3 欺騙類(lèi)攻擊

網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)網(wǎng)絡(luò)進(jìn)行攻擊，主要方式有:IP欺騙、ARP欺騙、Web欺騙、電子郵件欺騙等。

4.1.4 后門(mén)程序

由于程序員設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，一般采用模塊化的程序設(shè)計(jì)思想，將整個(gè)項(xiàng)目分割為多個(gè)功能模塊，分別進(jìn)行設(shè)計(jì)、調(diào)試，這時(shí)的后門(mén)就是一個(gè)模塊的秘密入口。在程序開(kāi)發(fā)階段，后門(mén)便于測(cè)試、更改和增強(qiáng)模塊功能。正常情況下，完成設(shè)計(jì)之后需要去掉后門(mén)，不過(guò)有時(shí)由于疏忽或者其他原因沒(méi)有去掉，一些別有用心的人會(huì)利用這些后門(mén)，進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。

4.1.5信息炸彈

信息炸彈是指使用一些特殊工具軟件，短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超出系統(tǒng)負(fù)荷的信息，造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。

4.1.6 拒絕服務(wù)攻擊

使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。作為攻擊者，首先需要通過(guò)常規(guī)的黑客手段侵入并控制某個(gè)網(wǎng)站，然后在服務(wù)器上安裝并啟動(dòng)一個(gè)可由攻擊者發(fā)出的特殊指令來(lái)控制進(jìn)程，攻擊者把攻擊對(duì)象的IP地址作為指令下達(dá)給進(jìn)程的時(shí)候，這些進(jìn)程就開(kāi)始對(duì)目標(biāo)主機(jī)發(fā)起攻擊。

4.1.7 緩沖區(qū)溢出攻擊

程序員在編程時(shí)會(huì)用到一些不進(jìn)行有效位檢查的函數(shù)，可能導(dǎo)致黑客利用自編寫(xiě)程序來(lái)進(jìn)一步打開(kāi)安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令。

4.1.8 利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、潛伏性、不可預(yù)見(jiàn)性和破壞性等特性，目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種，可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

4.1.9 木馬程序攻擊

特洛伊木馬是一種直接由一個(gè)黑客，或是通過(guò)一個(gè)不令人起疑的用戶(hù)秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。

4.1.10 網(wǎng)絡(luò)偵聽(tīng)

網(wǎng)絡(luò)監(jiān)聽(tīng)是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，并且可以截獲網(wǎng)上傳輸?shù)男畔?，也就是說(shuō)，當(dāng)黑客登錄網(wǎng)絡(luò)主機(jī)并取得超級(jí)用戶(hù)權(quán)限后，若要登錄其他主機(jī)，使用網(wǎng)絡(luò)監(jiān)聽(tīng)可以有效地截獲網(wǎng)上的數(shù)據(jù)，這是黑客使用最多的方法。

現(xiàn)在的網(wǎng)絡(luò)攻擊手段日新月異，隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，其開(kāi)放性、共享性、互連程度擴(kuò)大，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。計(jì)算機(jī)和網(wǎng)絡(luò)安全技術(shù)正變得越來(lái)越先進(jìn)，操作系統(tǒng)對(duì)本身漏洞的更新補(bǔ)救越來(lái)越及時(shí)。

4.2 防御措施主要有以下幾種

4.2.1 防火墻

網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。

4.2.2 虛擬專(zhuān)用網(wǎng)

虛擬專(zhuān)用網(wǎng)(VPN)的實(shí)現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應(yīng)該保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)隧道，利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。

4.2.3 虛擬局域網(wǎng)

選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實(shí)施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶(hù)加入到一個(gè)邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴，還可利用MAC層的數(shù)據(jù)包過(guò)濾技術(shù)，對(duì)安全性要求高的VLAN端口實(shí)施MAC幀過(guò)濾。而且，即使黑客攻破某一虛擬子網(wǎng)，也無(wú)法得到整個(gè)網(wǎng)絡(luò)的信息，但VLAN技術(shù)的局限在新的VLAN機(jī)制較好的解決了，這一新的VLAN就是專(zhuān)用虛擬局域網(wǎng)(PVLAN)技術(shù)。

4.2.4 漏洞檢測(cè)

漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。

4.2.5 入侵檢測(cè)

入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來(lái)，檢查是否有黑客入侵或可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵或可疑活動(dòng)的發(fā)生，系統(tǒng)將做出實(shí)時(shí)報(bào)警響應(yīng)。

4.2.6 密碼保護(hù)

加密措施是保護(hù)信息的最后防線，被公認(rèn)為是保護(hù)信息傳輸唯一實(shí)用的方法。但隨著計(jì)算機(jī)性能的飛速發(fā)展，破解部分公開(kāi)算法的加密方法已變得越來(lái)越可能。因此，現(xiàn)在對(duì)加密算法的保密越來(lái)越重要，幾個(gè)加密方法的協(xié)同應(yīng)用會(huì)使信息保密性大大加強(qiáng)。

4.2.7 安全策略

安全策略可以認(rèn)為是一系列政策的集合，用來(lái)規(guī)范對(duì)組織資源的管理、保護(hù)以及分配，已達(dá)到最終安全的目的。安全策略的制定需要基于一些安全模型。

4.2.8 網(wǎng)絡(luò)管理員

網(wǎng)絡(luò)管理員在防御網(wǎng)絡(luò)攻擊方面也是非常重要的，雖然在構(gòu)建系統(tǒng)時(shí)一些防御措施已經(jīng)通過(guò)各種測(cè)試，但上面無(wú)論哪一條防御措施都有其局限性，只有高素質(zhì)的網(wǎng)絡(luò)管理員和整個(gè)網(wǎng)絡(luò)安全系統(tǒng)協(xié)同防御，才能起到最好的效果。

5 結(jié)論

網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。因此只有完備的系統(tǒng)開(kāi)發(fā)過(guò)程、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測(cè)試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密政策、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才等各方面的綜合應(yīng)用才能完好、實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)——這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。

參考文獻(xiàn):

[1] 張仕斌， 等. 網(wǎng)絡(luò)安全技術(shù)[M]. 清華大學(xué)出版社，2006.

[2] 梁亞聲. 計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M]. 機(jī)械工業(yè)出版社，2008.

[3] 蔣建春， 等. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全理論與實(shí)踐教程[M]. 西安電子科技大學(xué)出版社，2005.