網(wǎng)絡(luò)基本安全

成年勝

1網(wǎng)絡(luò)威脅

計(jì)算機(jī)網(wǎng)絡(luò)，不論是有線還是無(wú)線網(wǎng)絡(luò)，都已迅速成為人們?nèi)粘；顒?dòng)中不可或缺的一部分。個(gè)人與組織都依賴于計(jì)算機(jī)和網(wǎng)絡(luò)來(lái)處理電子郵件、財(cái)務(wù)、組織和文件管理之類的工作。不速之客的入侵可能導(dǎo)致代價(jià)高昂的網(wǎng)絡(luò)中斷和工作成果的丟失。針對(duì)網(wǎng)絡(luò)的攻擊有時(shí)具有相當(dāng)?shù)钠茐男裕赡茉斐芍匾畔⒒蛸Y產(chǎn)的損壞或失竊，導(dǎo)致時(shí)間上和金錢上的損失。入侵者可通過(guò)軟件漏洞、硬件攻擊甚至一些科技含量很低的方法(例如猜測(cè)某人的用戶名和密碼)來(lái)獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)。通過(guò)修改或利用軟件漏洞來(lái)獲取訪問(wèn)權(quán)的入侵者通常被稱為黑客。

一旦黑客取得網(wǎng)絡(luò)的訪問(wèn)權(quán)，就可能給網(wǎng)絡(luò)帶來(lái)以下四種威脅：信息盜竊、身份盜竊、數(shù)據(jù)丟失，操縱、服務(wù)中斷。

網(wǎng)絡(luò)入侵者造成的安全威脅可能來(lái)自網(wǎng)絡(luò)內(nèi)部和外部?jī)蓚€(gè)源頭。外部威脅是由組織外部活動(dòng)的個(gè)人引起的，他們沒(méi)有訪問(wèn)組織計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的權(quán)限。外部攻擊者主要通過(guò)Interact、無(wú)線鏈接或撥號(hào)訪問(wèn)服務(wù)器進(jìn)入網(wǎng)絡(luò)。內(nèi)部威脅是由具備授權(quán)用戶帳戶的個(gè)人，或能夠?qū)嶋H接觸網(wǎng)絡(luò)設(shè)備的人員導(dǎo)致的。內(nèi)部攻擊者了解內(nèi)部的政策和人員，他們往往清楚的知道什么信息有價(jià)值而且易受攻擊，以及怎么獲得該信息。

然而，并不是所有內(nèi)部攻擊都是故意的。在某些情況下，一個(gè)受信任的員工在公司外部工作時(shí)可能會(huì)感染上病毒或安全威脅，然后在不知情的情況下將它帶到內(nèi)部網(wǎng)絡(luò)中，從而造成內(nèi)部威脅。許多公司都在防御外部攻擊上花費(fèi)了大量資源，但大多數(shù)威脅其實(shí)來(lái)自內(nèi)部。據(jù)FBI調(diào)查顯示，在報(bào)告的安全入侵事件中，約有70％都是因內(nèi)部訪問(wèn)和計(jì)算機(jī)系統(tǒng)帳戶使用不當(dāng)造成的。對(duì)于內(nèi)外兩個(gè)源頭的入侵者而言，要想獲得訪問(wèn)權(quán)，最簡(jiǎn)單的一種方法就是利用人類行為的弱點(diǎn)。利用人類弱點(diǎn)的常見(jiàn)方法之一便是“社會(huì)工程”(soeial Engineer-ing)。社會(huì)工程中最常用的三種技術(shù)有：假托、網(wǎng)絡(luò)釣魚和語(yǔ)音網(wǎng)絡(luò)釣魚。社會(huì)工程是一種常見(jiàn)的安全威脅，主要利用人類的弱點(diǎn)來(lái)獲得所需的結(jié)果。

2攻擊方式

除了社會(huì)工程外，還存在一些其它類型的攻擊，這些攻擊借助計(jì)算機(jī)軟件的漏洞來(lái)執(zhí)行。此類攻擊技術(shù)包括：病毒、蠕蟲和特洛伊木馬。所有這些都是侵入主機(jī)的惡意軟件。它們會(huì)損壞系統(tǒng)、破壞數(shù)據(jù)以及拒絕對(duì)網(wǎng)絡(luò)、系統(tǒng)或服務(wù)的訪問(wèn)。它們還可將數(shù)據(jù)和個(gè)人詳細(xì)信息從沒(méi)有設(shè)防的PC用戶轉(zhuǎn)發(fā)到犯罪者手中。在許多情況下，它們會(huì)自身復(fù)制，然后傳播至連接到該網(wǎng)絡(luò)的其它主機(jī)。有時(shí)，這些技術(shù)會(huì)結(jié)合社會(huì)工程使用，以欺騙沒(méi)有設(shè)防的用戶執(zhí)行攻擊。

有時(shí)，攻擊者的目的是停止網(wǎng)絡(luò)的正常運(yùn)作。此類攻擊的目的通常是中斷某組織的運(yùn)作。DoS攻擊是針對(duì)單個(gè)計(jì)算機(jī)或一組計(jì)算機(jī)執(zhí)行的一種侵略性攻擊，目的是拒絕為特定用戶提供服務(wù)。DoS攻擊可針對(duì)最終用戶系統(tǒng)、服務(wù)器、路由器和網(wǎng)絡(luò)鏈接發(fā)起。一般而言，DoS攻擊的意圖是：用流量淹沒(méi)系統(tǒng)或網(wǎng)絡(luò)，以阻止正常網(wǎng)絡(luò)流量通行；中斷客戶端與服務(wù)器之間的連接，以阻止對(duì)服務(wù)的訪問(wèn)。DoS攻擊包括多種類型。安全管理員需要對(duì)可能發(fā)生的DoS攻擊類型保持警惕，確保網(wǎng)絡(luò)受到嚴(yán)密保護(hù)。

不是所有攻擊都會(huì)造成損害或阻止合法用戶訪問(wèn)資源。許多威脅的目的是收集用戶的相關(guān)信息以用于廣告、營(yíng)銷和研究目的。這些威脅包括間諜軟件、跟蹤C(jī)ookie、廣告軟件和彈出廣告。盡管它們可能不會(huì)損壞計(jì)算機(jī)，但仍會(huì)侵犯隱私，而且非常招人反感。

人們對(duì)電子通信方式的依賴程度日益上升，這一現(xiàn)象造成了大量煩人的電子郵件四處傳播。垃圾郵件是非常嚴(yán)重的網(wǎng)絡(luò)威脅，可導(dǎo)致ISP、電子郵件服務(wù)器和最終用戶系統(tǒng)不堪重負(fù)。發(fā)送垃圾郵件的個(gè)人或組織稱為垃圾郵件發(fā)送者。垃圾郵件發(fā)送者通常利用未受安全保護(hù)的電子郵件服務(wù)器來(lái)轉(zhuǎn)發(fā)電子郵件。垃圾郵件發(fā)送者可能使用黑客技術(shù)(例如病毒、蠕蟲和特洛伊木馬)來(lái)控制家用計(jì)算機(jī)。受控的這些計(jì)算機(jī)就會(huì)被用來(lái)在主人毫不知情的情況下發(fā)送垃圾郵件。垃圾郵件可通過(guò)電子郵件發(fā)送，如今它們還可通過(guò)即時(shí)消息軟件發(fā)送。

3安全策略

安全風(fēng)險(xiǎn)無(wú)法徹底消除或預(yù)防。但是，有效的風(fēng)險(xiǎn)管理和評(píng)估可顯著減少現(xiàn)有的安全風(fēng)險(xiǎn)。要將風(fēng)險(xiǎn)降至最低，人們必須認(rèn)識(shí)到一點(diǎn)：沒(méi)有任何一件產(chǎn)品可為組織提供絕對(duì)的安全保護(hù)。要獲得真正的網(wǎng)絡(luò)安全，需要結(jié)合應(yīng)用多種產(chǎn)品和服務(wù)、制定徹底的安全策略并嚴(yán)格實(shí)施該策略。可保護(hù)網(wǎng)絡(luò)安全的一些安全工具和應(yīng)用程序有：軟件補(bǔ)丁和更新、病毒防護(hù)、間諜軟件防護(hù)、垃圾郵件攔截器、彈出廣告攔截器、防火墻。

(1)更新和補(bǔ)丁。黑客用來(lái)獲取主機(jī)和(或)網(wǎng)絡(luò)訪問(wèn)權(quán)的最常見(jiàn)方法之一便是利用軟件漏洞，因而及時(shí)對(duì)軟件應(yīng)用程序應(yīng)用最新安全補(bǔ)丁和更新以阻止威脅極為重要。補(bǔ)丁是修復(fù)特定問(wèn)題的一小段代碼。更新則可能包含要添加到軟件包中的附加功能以及針對(duì)特定問(wèn)題的補(bǔ)丁。

(2)防病毒軟件。即使操作系統(tǒng)和應(yīng)用程序應(yīng)用了所有最新的補(bǔ)丁和更新，仍然容易遭到攻擊。任何連接到網(wǎng)絡(luò)的設(shè)備都可能會(huì)感染上病毒、蠕蟲和特洛伊木馬。這些攻擊可損壞操作系統(tǒng)代碼、影響計(jì)算機(jī)性能、更改應(yīng)用程序和毀壞數(shù)據(jù)。防病毒軟件可用作預(yù)防工具和反應(yīng)工具。它可預(yù)防感染，并能檢測(cè)和刪除病毒、蠕蟲和特洛伊木馬。連接到網(wǎng)絡(luò)的所有計(jì)算機(jī)都應(yīng)安裝防病毒軟件。市面上存在許多防病毒程序。

(3)垃圾郵件攔截器。反垃圾郵件軟件可識(shí)別垃圾郵件并執(zhí)行相應(yīng)操作(例如將其放置到垃圾郵件文件夾或刪除)，從而為主機(jī)提供保護(hù)。此類軟件可在機(jī)器本地加載，也可在電子郵件服務(wù)器上加載。此外，許多ISP也提供垃圾郵件過(guò)濾器。反垃圾郵件軟件無(wú)法識(shí)別所有的垃圾郵件，因此打開(kāi)電子郵件時(shí)仍須非常謹(jǐn)慎。有時(shí)候，有用的電子郵件也會(huì)被錯(cuò)誤地當(dāng)作垃圾郵件處理了。

(4)反間諜軟件和廣告軟件。間諜軟件和廣告軟件也會(huì)導(dǎo)致類似病毒的癥狀。除了收集未經(jīng)授權(quán)的信息外，它們還會(huì)占用重要的計(jì)算機(jī)資源并影響性能。反間諜軟件可檢測(cè)和刪除間諜軟件應(yīng)用程序，并防止這些程序?qū)?lái)再度安裝。許多反間諜軟件應(yīng)用程序還包括cookie及廣告軟件的檢測(cè)和刪除功能。某些防病毒軟件包具有反間諜軟件功能。

(5)彈出廣告攔截器。可安裝彈出廣告攔截器軟件來(lái)阻止彈出廣告和背投廣告。許多Web瀏覽器默認(rèn)包含彈出廣告攔截器的功能。請(qǐng)注意，某些程序和網(wǎng)頁(yè)會(huì)生成必要和有用的彈出窗口。因此，大多數(shù)彈出廣告攔截器都具有忽略功能(即允許某些彈出窗口)。

(6)防火墻。通過(guò)在內(nèi)部網(wǎng)絡(luò)(內(nèi)部網(wǎng))和Internet之間設(shè)置防火墻作為邊界設(shè)備，所有往來(lái)Interact的流量都會(huì)被監(jiān)視和控制。①單防火墻配置：?jiǎn)蝹€(gè)防火墻包含三個(gè)區(qū)域，分別用于外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和非軍事區(qū)。來(lái)自外部網(wǎng)絡(luò)的所有流量都被發(fā)送到防火墻。然后防火墻會(huì)監(jiān)控流量，決定哪些流量應(yīng)傳送到非軍事區(qū)，哪些應(yīng)傳送到內(nèi)部，以及哪些應(yīng)予以拒絕。②雙防火墻配置：在雙防火墻配置中，防火墻分為內(nèi)部防火墻和外部防火墻，其間則是非軍事區(qū)。外部防火墻限制較少，允許Internet用戶訪問(wèn)非軍事區(qū)中的服務(wù)，而且允許任何內(nèi)部用戶請(qǐng)求的流量通過(guò)。內(nèi)部防火墻限制較多，用于保護(hù)內(nèi)部網(wǎng)絡(luò)免遭未授權(quán)的訪問(wèn)。單一防火墻配置適用于規(guī)模較小、流量較小的網(wǎng)絡(luò)。但是單一防火墻配置存在一個(gè)故障點(diǎn)，可能發(fā)生過(guò)載。雙防火墻配置更適合處理流量較大的大型復(fù)雜網(wǎng)絡(luò)。

總之，為緩解面對(duì)的風(fēng)險(xiǎn)，推薦采取以下措施：定義安全策略、為服務(wù)器和網(wǎng)絡(luò)設(shè)備提供物理防護(hù)、設(shè)置登錄和文件訪問(wèn)權(quán)限、更新操作系統(tǒng)和應(yīng)用程序、更改許可的默認(rèn)設(shè)置、運(yùn)行防病毒軟件和反間諜軟件、更新防病毒軟件文件、激活瀏覽器工具一彈出廣告攔截器、反網(wǎng)絡(luò)釣魚軟件、插件監(jiān)控器、使用防火墻。保護(hù)網(wǎng)絡(luò)的第一步是了解流量通過(guò)網(wǎng)絡(luò)的方式，以及存在的各種威脅和漏洞。實(shí)施安全措施后，必須堅(jiān)持不懈地進(jìn)行監(jiān)控才能使網(wǎng)絡(luò)真正受到保護(hù)。需要對(duì)安全規(guī)程和工具進(jìn)行檢查，從而得以應(yīng)對(duì)不斷發(fā)展和演化的威脅。