網(wǎng)絡(luò)安全分析與技術(shù)解決方案探究

□張小莉

( 山西輕工職業(yè)技術(shù)學(xué)院，山西 太原 030013)

由于計算機(jī)網(wǎng)絡(luò)具有形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他攻擊。因此,網(wǎng)絡(luò)信息的安全和保密是一個至關(guān)重要的問題。

一、網(wǎng)絡(luò)常見的安全隱患

網(wǎng)絡(luò)中存在著各種各樣的安全隱患。簡要概述為以下幾點(diǎn)。

1.網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的安全隱患。這種安全隱患不太引人注意，但卻是非常重要的物理威脅。大體分為四類：(1)環(huán)境隱患。主要是防止機(jī)房溫度的過熱或過冷、濕度的過濕或過干以及防水、防火、防鼠等等。解決方法為通過溫度控制、濕度控制、加強(qiáng)空氣流通、遠(yuǎn)程環(huán)境報警，以及記錄和監(jiān)視等措施營造合適的環(huán)境；(2)硬件隱患。防盜竊和防止人為有意或無意的破壞服務(wù)器、路由器、交換機(jī)、布線系統(tǒng)、工作站等。解決方法為鎖好配線間，只允許授權(quán)的人員進(jìn)入，使用電子訪問控制，安裝攝像頭等措施；(3)電氣隱患。主要是指防止電壓過高、電源電壓不足、不合格的電源和突然斷電。解決方法為安裝UPS系統(tǒng)和發(fā)電機(jī)組，實(shí)施遠(yuǎn)程監(jiān)視；(4)維護(hù)隱患?？刂旗o電的產(chǎn)生，并在產(chǎn)生后有相應(yīng)的處理措施；杜絕布線混亂和設(shè)備及線纜標(biāo)注不明。解決方法為確保電纜布線整齊有序、標(biāo)記重要電纜和組件、遵循靜電放電規(guī)則。

2.漏洞。漏洞是指每個網(wǎng)絡(luò)和設(shè)備固有的薄弱環(huán)節(jié)。這些設(shè)備包括服務(wù)器、普通PC機(jī)、交換機(jī)、路由器，甚至網(wǎng)絡(luò)安全設(shè)備也存在漏洞，如防火墻、入侵檢測設(shè)備等都存在漏洞。因?yàn)槊總€網(wǎng)絡(luò)或設(shè)備都是硬件和軟件的結(jié)合體。就軟件而言，本身在開發(fā)時就不完善。這樣就給攻擊者可乘之機(jī)。漏洞主要可分為三類：(1)技術(shù)缺陷。如TCP/IP協(xié)議、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等。超文本傳輸協(xié)議(HTTP)、文件傳輸協(xié)議(FTP)，這些協(xié)議本身就是不安全的。UNIX、Linux、Windows系列系統(tǒng)等都存在著安全漏洞。因此，我們經(jīng)常需要給系統(tǒng)打補(bǔ)??；(2)配置缺陷。如賬戶不安全、系統(tǒng)賬戶密碼過于簡單、各種網(wǎng)絡(luò)產(chǎn)品默認(rèn)設(shè)置不安全、網(wǎng)絡(luò)配置不正確、Internet服務(wù)的配置不正確等；(3)策略缺陷。如服務(wù)器發(fā)生故障，沒有備用服務(wù)器提供服務(wù)；網(wǎng)絡(luò)核心設(shè)備發(fā)生故障，沒有備用的設(shè)備等。

3.網(wǎng)絡(luò)面臨的威脅。(1)無組織的威脅。一般是一些缺乏經(jīng)驗(yàn)的個人，他們使用從網(wǎng)絡(luò)上下載的或自制的一些簡單的工具對網(wǎng)絡(luò)進(jìn)行攻擊或破壞。(2)有組織的威脅。大多是具備技術(shù)能力很強(qiáng)的個人或團(tuán)體。這些人了解系統(tǒng)和網(wǎng)絡(luò)的漏洞，通過各種方法攻破企業(yè)系統(tǒng)，進(jìn)行欺騙、破壞或篡改數(shù)據(jù)、或者盜取機(jī)密數(shù)據(jù)，從中謀取暴利。

二、常見網(wǎng)絡(luò)攻擊的類型

網(wǎng)絡(luò)可能遭受各種各樣的攻擊，了解攻擊的方式可以有效地防范網(wǎng)絡(luò)被破壞，數(shù)據(jù)被竊取。

1.偵查攻擊。此類攻擊也稱為信息收集。偵察類似于冒充鄰居的小偷伺機(jī)尋找容易下手的住宅，例如無人居住的住宅、容易打開的門或窗戶等。偵查攻擊可以通過Internet進(jìn)行信息查詢、Ping掃描可用的IP地址、掃描處于活動的端口、數(shù)據(jù)包嗅探等方式查找漏洞。類似于我們拿著電話本，隨意撥打里面的電話號碼，看哪些號碼會有人接聽。接聽的電話就相當(dāng)于端口處于活動狀態(tài)。

2.訪問攻擊。此類攻擊是利用Web服務(wù)、FTP服務(wù)和身份驗(yàn)證服務(wù)已存在的漏洞，獲取對Web賬戶、機(jī)密數(shù)據(jù)庫和其它敏感信息的訪問。訪問攻擊是指入侵者獲取本來不具備訪問權(quán)限的訪問權(quán)。入侵者進(jìn)入或訪問系統(tǒng)后會運(yùn)行某種黑客程序、腳本或工具，以利用目標(biāo)系統(tǒng)或應(yīng)用程序的漏洞展開攻擊。這類似于不法分子侵入某住宅，在其隱蔽的地方安裝了攝像頭和監(jiān)聽器。

3.拒絕服務(wù)。DoS 攻擊的方式多種多樣,其目的都是通過消耗系統(tǒng)資源使授權(quán)用戶無法正常使用服務(wù)。DoS攻擊是知名度最高的攻擊，并且也是最難防范的一種攻擊。發(fā)起這種攻擊非常容易。由于其實(shí)施簡單、破壞力強(qiáng)大，安全管理員需要特別注意。SYN 泛洪攻擊是DoS攻擊的一種，它利用了TCP 三次握手機(jī)制。它向目標(biāo)服務(wù)器發(fā)送大量 SYN 請求。服務(wù)器使用常規(guī)的SYN-ACK做出響應(yīng)，但惡意主機(jī)始終不發(fā)送最后的ACK 響應(yīng)來完成握手過程。這會大量占用服務(wù)器資源，直到資源最終耗盡而無法響應(yīng)有效的主機(jī)請求。DoS 攻擊可以使系統(tǒng)崩潰或者將系統(tǒng)性能降低至無法使用。但是，DoS也可以只是簡單地刪除或破壞信息。例如電子郵件炸彈，這種攻擊向個人或域批量發(fā)送電子郵件，從而獨(dú)占電子郵件服務(wù)的程序，直至耗盡CPU資源，使郵件服務(wù)器系統(tǒng)癱瘓。

4.惡意代碼?？蛻舳俗钊菀自馐苋湎x、病毒和特洛伊木馬攻擊。蠕蟲會執(zhí)行代碼，并將自身的副本安裝到受感染計算機(jī)的內(nèi)存中，然后感染其它主機(jī)。病毒是附加在其它程序上的惡意軟件，其目的是在工作站上執(zhí)行特定惡意功能。特洛伊木馬與蠕蟲或病毒的不同之處僅在于整個應(yīng)用程序經(jīng)過偽裝，看似無害，但實(shí)際上是攻擊工具。感染惡意代碼的機(jī)子表現(xiàn)為經(jīng)常性死機(jī)、運(yùn)行速度慢、黑屏、開機(jī)時間變長等的現(xiàn)象。

三、常用防范技術(shù)

探討了各種與網(wǎng)絡(luò)相關(guān)的攻擊后，針對其特點(diǎn)采取有力的措施加以防范。

1.主機(jī)和服務(wù)器的安全。(1)設(shè)備加固。當(dāng)計算機(jī)上安裝了新操作系統(tǒng)時，在安全設(shè)置方面還停留在默認(rèn)值。這樣做是不安全的。比較穩(wěn)妥的辦法是更換默認(rèn)用戶名和密碼；授權(quán)某些用戶對系統(tǒng)資源進(jìn)行訪問；盡可能將一些不必要的服務(wù)和應(yīng)用程序關(guān)閉或卸載。網(wǎng)絡(luò)主機(jī)(例如工作站 PC 和服務(wù)器)的保護(hù)非常重要。當(dāng)主機(jī)添加到網(wǎng)絡(luò)時，需要對其進(jìn)行保護(hù)，并在有新的安全補(bǔ)丁時盡可能使用安全補(bǔ)丁更新這些主機(jī)。(2)防病毒軟件。防病毒軟件安裝在主機(jī)上可抵御已知病毒。他可以檢測到大多數(shù)病毒和許多特洛伊木馬應(yīng)用程序，并能防止它們在網(wǎng)絡(luò)中傳播。例如瑞星、卡巴斯基、諾頓、360等殺毒軟件。防病毒軟件通過掃描文件，將文件的內(nèi)容與病毒數(shù)據(jù)庫的已知病毒進(jìn)行比較。如果發(fā)現(xiàn)匹配，就認(rèn)為是病毒，將其刪除。(3)操作系統(tǒng)補(bǔ)丁。蠕蟲、病毒及木馬侵入系統(tǒng)的入口就是系統(tǒng)漏洞。因此，為系統(tǒng)打補(bǔ)丁是防范蠕蟲及其變體的最有效方法。一種管理重要安全補(bǔ)丁的方法是創(chuàng)建一臺中央補(bǔ)丁服務(wù)器，每隔指定的時間后，所有主機(jī)都必須自動從補(bǔ)丁服務(wù)器下載并安裝尚未應(yīng)用的補(bǔ)丁，用戶無需干預(yù)。

2.網(wǎng)絡(luò)信息的安全。信息的安全是要保證數(shù)據(jù)具有可用性、完整性、保密性。為了確保信息的安全，故采用如下幾種技術(shù)：(1)加密技術(shù)。網(wǎng)絡(luò)中的數(shù)據(jù)大多是以明文的形式傳輸?shù)?，這樣被截獲的數(shù)據(jù)很容易被破解。因此，通過對數(shù)據(jù)進(jìn)行加密，以密文的形式傳輸，即使被截獲也無法識別，有效地保證數(shù)據(jù)的可用性和完整性。數(shù)據(jù)加密可以通過DES、3DES、MD5等加密算法，還可以通過網(wǎng)路設(shè)備的IOS軟件提供的安全功能進(jìn)行加密。如IPSce隧道加密、SSL VPN等。采用加密技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)將成為網(wǎng)絡(luò)安全的主要實(shí)現(xiàn)方式。(2)防火墻技術(shù)。防火墻技術(shù)已經(jīng)成為近年來新興的保護(hù)計算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù)，在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障。阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。企業(yè)信息系統(tǒng)對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。例如一個企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過，其他服務(wù)將被拒絕。還可以通過防火墻的設(shè)置讓某個部門在上班時間不能使用QQ、MSN等聊天工具。(3)入侵檢測技術(shù)。它不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，無需串接在任何鏈路中，網(wǎng)絡(luò)流量無需流經(jīng)該設(shè)備，即可檢測到網(wǎng)絡(luò)中的異常傳輸。它時刻關(guān)注著網(wǎng)絡(luò)中的數(shù)據(jù)傳輸。IDS可以檢測到的攻擊類型包括：系統(tǒng)掃描、拒絕服務(wù)、系統(tǒng)滲透。一般IDS安裝的位置在服務(wù)器區(qū)域的交換機(jī)上、Internet接入路由器之后的第一臺交換機(jī)上或重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上，這些都是采用“旁路”的方式偵聽。

總之，信息與網(wǎng)絡(luò)安全必將成為網(wǎng)絡(luò)運(yùn)營商各項(xiàng)業(yè)務(wù)的關(guān)鍵點(diǎn)，而且發(fā)揮越來越重要的作用。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強(qiáng)有力的安全策略，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。

參考文獻(xiàn)：

[1]張仕斌．網(wǎng)絡(luò)安全技術(shù)[M]．北京：清華大學(xué)出版社，2004．

[2]王群．計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M]．北京：清華大學(xué)出版社，2008．

[3]海吉．網(wǎng)絡(luò)安全技術(shù)與解決方案[M]．北京：人民郵電出版社，2010．

[4]鄧吉，張奎亭．網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)[M]．北京：電子工業(yè)出版社，2008．