計(jì)算機(jī)網(wǎng)絡(luò)安全及其應(yīng)對(duì)策略的研究

摘要：網(wǎng)絡(luò)信息時(shí)代到來，各種網(wǎng)絡(luò)安全問題也日益突出，已經(jīng)給我們工作和生活帶來了眾多安全隱患。本文通過分析網(wǎng)絡(luò)安全的現(xiàn)狀、發(fā)展趨勢(shì)，以及病毒入侵方式等，針對(duì)性提出防范網(wǎng)絡(luò)安全應(yīng)對(duì)策略。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)；安全；技術(shù)；策略

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 22-0000-03

中國互聯(lián)網(wǎng)信息中心的數(shù)據(jù)顯示，中國擁有全球最多的互聯(lián)網(wǎng)用戶，目前這一用戶數(shù)量已經(jīng)超過5億。市場咨詢機(jī)構(gòu)McKinsey Co最近的一項(xiàng)調(diào)查預(yù)測稱，中國每月的新增網(wǎng)民數(shù)量約為600萬左右。該調(diào)查機(jī)構(gòu)還進(jìn)一步預(yù)測：到2015年時(shí)，中國的網(wǎng)民數(shù)量將增加到7.5億。

隨著互聯(lián)網(wǎng)大爆炸時(shí)代的到來，然而計(jì)算機(jī)網(wǎng)絡(luò)安全問題又是一個(gè)不可規(guī)避的問題，本文主要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全策略進(jìn)行了闡述與研究，是保護(hù)計(jì)算機(jī)軟件及其系統(tǒng)中的數(shù)據(jù)，使之不因偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不中斷。因此，應(yīng)該高度重視計(jì)算機(jī)網(wǎng)絡(luò)安全。旨在為降低網(wǎng)絡(luò)安全事件發(fā)生率提供一定的借鑒與參考。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢(shì)

1.1 網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)信息時(shí)代到來，各種網(wǎng)絡(luò)安全問題也日益突出，圖1給出了不同時(shí)間的已知威脅類型和數(shù)量。其的安全和保密已經(jīng)成為一個(gè)至關(guān)重要且亟需解決的問題。我國感染木馬等病毒的主機(jī)數(shù)量非常之大，造成病毒產(chǎn)生和擴(kuò)散的一個(gè)大途徑。另外系統(tǒng)和軟件的安全漏洞仍然是各種安全威脅的主要根源。

由于計(jì)算機(jī)網(wǎng)絡(luò)本身就存在著非常多的不確定性：網(wǎng)絡(luò)開放性、網(wǎng)絡(luò)互聯(lián)性、終端方分布的不均一性以及連接形式的多元性等方面的特征。計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅大體可分四類：一是電腦受病毒的困擾；二是頻頻遭受網(wǎng)絡(luò)攻擊；三是垃圾郵件困擾；四是防護(hù)系統(tǒng)脆弱。

1.2 網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

網(wǎng)絡(luò)黑客越來越多的攻擊轉(zhuǎn)向了web攻擊，以前談攻擊的時(shí)候是病毒、網(wǎng)絡(luò)蠕蟲。黑客是很聰明的，他們永遠(yuǎn)選擇投入少，收入大的進(jìn)行攻擊。他們會(huì)變得更加狡猾，網(wǎng)絡(luò)威脅也會(huì)隨著云計(jì)算、移動(dòng)計(jì)算的深入應(yīng)用而變得更加難以防范。與此同時(shí)，由國與國之間的網(wǎng)絡(luò)戰(zhàn)爭也將在2013年愈演愈烈。

網(wǎng)絡(luò)安全的威脅變化多樣化，現(xiàn)在許多公司和個(gè)人從云計(jì)算中獲得了很多好處，而云計(jì)算對(duì)網(wǎng)絡(luò)罪犯而言同樣也很有吸引力。喬治亞理工大學(xué)（Georgia Tech）信息安全中心的研究人員近日發(fā)布了2013年網(wǎng)絡(luò)威脅預(yù)測，在未來一年中最嚴(yán)重的計(jì)算機(jī)安全問題。首先上榜的是：使用云計(jì)算用于惡意目的。對(duì)他們來說，云計(jì)算為實(shí)施攻擊行為提供了很多便利，來完成攻擊者各種各樣不可告人的目的。

2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅及幾種常見的網(wǎng)絡(luò)入侵

2.1 計(jì)算機(jī)網(wǎng)絡(luò)面臨的主要威脅有以下幾個(gè)方向：

我們先了解知道計(jì)算機(jī)病毒的流程如圖2所示。由圖可知，通過第一次非授權(quán)加載，計(jì)算機(jī)病毒的引導(dǎo)模塊被執(zhí)行，病毒由靜態(tài)轉(zhuǎn)為動(dòng)態(tài)。并通過某種手段不斷檢查是否滿足條件，一旦滿足，則執(zhí)行感染和破壞功能。

（1）與Internet更加緊密結(jié)合，利用一切可以利用的方式進(jìn)行傳播

病毒可以通過所有的傳播介質(zhì)來傳播，其中介質(zhì)包括，軟盤、U盤、光盤等等，很多很多；再有就是互聯(lián)網(wǎng)，通過互聯(lián)網(wǎng)傳播病毒是很快的，包括郵件、網(wǎng)頁、聊天工具……

（2）所有病毒都有混合型特征，破壞性大大增強(qiáng)

除了自我復(fù)制外，有些病毒還具有將病毒傳染出去的能力破壞現(xiàn)象。病毒具有破壞性的定義是指該病毒會(huì)對(duì)您的系統(tǒng)所執(zhí)行的破壞現(xiàn)象，例如破壞或刪除文件、將硬盤格式化以及進(jìn)行拒絕服務(wù)等攻擊。

（3）擴(kuò)散極快，更加注重欺騙性

每個(gè)電腦病毒都具有特洛伊木馬的特點(diǎn)，用欺騙手段寄生在其他文件上，一旦該文件被加載，病毒就會(huì)被激活。

（4）利用系統(tǒng)漏洞將成為病毒有力的傳播方式

攻擊者采用的掃描手段是很多的，可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC等命令和工具進(jìn)行遠(yuǎn)程計(jì)算機(jī)的掃描。包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。

（5）無線網(wǎng)絡(luò)技術(shù)的發(fā)展，使遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性加大

無線網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)安全及個(gè)人隱私將面臨更大的風(fēng)險(xiǎn)，因?yàn)槟憧赡茉诓恢挥X中就會(huì)和其他人同處于一個(gè)局域網(wǎng)中，局域網(wǎng)中常見的安全隱患也會(huì)伴隨而來：ARP攻擊、網(wǎng)絡(luò)資源共享、遠(yuǎn)程訪問及控制等帶來很大的風(fēng)險(xiǎn)。

（6）各種境外情報(bào)、諜報(bào)人員將越來越多地通過信息網(wǎng)絡(luò)渠道收集情況和竊取資料

由于國家機(jī)關(guān)人員或企業(yè)高管的計(jì)算機(jī)網(wǎng)絡(luò)水平不高，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)使用還存在不足之處，給不法分子利用網(wǎng)絡(luò)病毒竊取相關(guān)信息。

（7）各種病毒、蠕蟲和后門技術(shù)越來越智能化，并出現(xiàn)整合趨勢(shì)，形成混合性威脅

近幾年，國內(nèi)外連續(xù)發(fā)現(xiàn)多種更高級(jí)的能變換自身代碼的變形智能化病毒，其中比較著名的有：Doctor、HXH、Casper、NATAS/4744等，給網(wǎng)絡(luò)安全又敲響警鐘。

（8）各種攻擊技術(shù)的隱秘性增強(qiáng)，常規(guī)防范手段難以識(shí)別

在2010年央視曝光“手機(jī)僵尸”病毒 特征隱秘性強(qiáng)且傳播迅速。目前，網(wǎng)絡(luò)上還出現(xiàn)了病毒的變種，這種病毒能夠?qū)ｉT在手機(jī)鎖定的狀態(tài)下自動(dòng)發(fā)送信息，很難被用戶察覺。

（9）分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅高強(qiáng)度密碼的安全性

拒絕服務(wù)攻擊是一種遍布全球的系統(tǒng)漏洞，而無數(shù)的網(wǎng)絡(luò)用戶將成為這種攻擊的受害者。分布式拒絕服務(wù)攻擊源自多臺(tái)機(jī)器（例如，由幾十、幾百甚至成千上萬臺(tái)分布在不同地理位置的\"僵尸\"電腦組成的僵尸網(wǎng)絡(luò)）。

（10）一些政府部門的超級(jí)計(jì)算機(jī)資源將成為攻擊者利用的跳板

黑客是利用漏洞進(jìn)來的，例如進(jìn)入了局域網(wǎng)之后，可以通過傳輸，抓包等工具，抓到管理權(quán)限。那到了管理權(quán)限之后就可以想做什么就做點(diǎn)什么了。

（11）網(wǎng)絡(luò)管理安全問題日益突出

由于防范意識(shí)淡薄，對(duì)付外來安全威脅缺乏有效手段，網(wǎng)絡(luò)線路存在陷患，網(wǎng)絡(luò)服務(wù)商管理機(jī)制不完善，導(dǎo)致服務(wù)及技術(shù)支持力度不夠。

2.1 幾種常見的網(wǎng)絡(luò)入侵

（1） 網(wǎng)絡(luò)“嗅探器”監(jiān)聽

大多數(shù)通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是\"文本\"普通形式。網(wǎng)絡(luò)攻擊者只要簡單地使用嗅探程序，接入到集線器或者交換器的可用端口就可以獲取這些信息。這使得攻擊者很容易可以獲得敏感數(shù)據(jù)，例如信用卡號(hào)碼、社保號(hào)碼、個(gè)人電子郵件內(nèi)容和企業(yè)機(jī)密信息等。

（2）IP模擬“欺詐”

源IP地址和目的IP地址是為TCP/IP網(wǎng)絡(luò)的計(jì)算機(jī)之間建立會(huì)話的前提條件。IP\"欺詐\"行為是指假冒網(wǎng)絡(luò)中合法主機(jī)計(jì)算機(jī)的身份，來獲取對(duì)內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)的訪問權(quán)限。

（3）TCP/IP序列號(hào)攻擊

傳輸控制協(xié)議（TCP）主要負(fù)責(zé)TCP/IP網(wǎng)絡(luò)的通信的可靠性，這包括確認(rèn)信息發(fā)送到目的主機(jī)。在獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限后，他會(huì)連接到服務(wù)器，并分析他與他正在連接的合法主機(jī)之間的序列模式。

（4）密碼盜用

攻擊者只要成功盜用網(wǎng)絡(luò)密碼就能訪問不能訪問的資源，他們可以通過嗅探和破解等方法來獲取密碼。

（5）拒絕服務(wù)攻擊

有許多不同類型的拒絕服務(wù)攻擊，這些技術(shù)的共同點(diǎn)就是擾亂正常計(jì)算機(jī)或者目標(biāo)機(jī)器運(yùn)行的操作系統(tǒng)的能力。這些攻擊可以將大量無用的數(shù)據(jù)包塞滿網(wǎng)絡(luò)，損壞或者耗盡內(nèi)存資源，或者利用網(wǎng)絡(luò)應(yīng)用程序的漏洞。

（6）TCP SYN攻擊

當(dāng)TCP/IP網(wǎng)絡(luò)的計(jì)算機(jī)建立會(huì)話時(shí)，他們會(huì)通過\"三次握手\"過程，攻擊者可以通過從偽造源IP地址發(fā)起多個(gè)會(huì)話請(qǐng)求來利用這個(gè)過程。如果攻擊者能夠保持隊(duì)列填滿狀態(tài)，那么合法連接請(qǐng)求將會(huì)被拒絕。

3 網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)安全過程的核心。安全策略包括兩個(gè)部分：一是總體策，即總的思想體現(xiàn)；另一個(gè)是具體策略，即說明哪些是允許或禁止的。

3.1 網(wǎng)絡(luò)安全過程運(yùn)行步驟

一個(gè)有效的網(wǎng)絡(luò)安全策略必須包括物理安全，以防止未授權(quán)的用戶獲得對(duì)設(shè)備本地訪問。安全過程是安全策略的實(shí)現(xiàn)。安全是一個(gè)基于安全策略的發(fā)展的過程是非常重要的。如圖3所示，它分成4個(gè)連續(xù)運(yùn)行的步驟。

第1步是實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)計(jì)。這包括安裝例如防火墻、入侵檢測傳感器和AAA（認(rèn)證、授權(quán)和統(tǒng)計(jì)）服務(wù)器等安全設(shè)備固化網(wǎng)絡(luò)系統(tǒng)。這一步的目的是防止對(duì)網(wǎng)絡(luò)的未授權(quán)訪問和保護(hù)網(wǎng)絡(luò)資源。

第2步是監(jiān)控網(wǎng)絡(luò)。通過在網(wǎng)絡(luò)的關(guān)鍵位置安裝Cisco安全I(xiàn)DS，就可以監(jiān)控內(nèi)部和外部的流量。

第3步包括測試安全設(shè)計(jì)的有效性。驗(yàn)證安全設(shè)備是否適當(dāng)?shù)嘏渲煤驼_地運(yùn)行了。

第4步包括來自于入侵檢測傳感器的數(shù)據(jù)和測試數(shù)據(jù)以改進(jìn)設(shè)計(jì)。這種改進(jìn)可能是更改公司的某種規(guī)程，或者是用文檔記錄新的潛在的威脅和漏洞。

3.2 網(wǎng)絡(luò)安全解決問題的策略

（1）從內(nèi)部網(wǎng)絡(luò)管理人員、使用人員的技術(shù)和安全意識(shí)上加強(qiáng)

大量事實(shí)與經(jīng)驗(yàn)告訴我們，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，單位內(nèi)部網(wǎng)絡(luò)管理人員的素質(zhì)和專業(yè)技能的高低直接關(guān)系到計(jì)算機(jī)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)技術(shù)日新月異，變化多樣，這需要我們不斷學(xué)習(xí)新的知識(shí)來武裝自己。同時(shí)人員的安全意識(shí)及責(zé)任也是不可缺少的，不斷提高管理和使用人員業(yè)務(wù)水平，才能保障網(wǎng)絡(luò)信息安全和暢通。

（2）網(wǎng)絡(luò)病毒的防范

1）硬件防范（專業(yè)性強(qiáng)、功能強(qiáng)大）

硬件防范技術(shù)主要形式有在服務(wù)器上裝載防病毒模塊、在計(jì)算機(jī)上安插防病毒卡、在網(wǎng)絡(luò)接口卡上安裝聯(lián)病毒芯片等。

硬件防火墻是一種以物理形式存大的專用設(shè)備，通常架設(shè)兩個(gè)網(wǎng)絡(luò)的駁接處，直接從網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報(bào)文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng)過防火墻處理的相對(duì)安全的數(shù)據(jù)。但也應(yīng)考慮它不能解所有進(jìn)入防火墻所數(shù)據(jù)安全。

目前基于服務(wù)器的防治病毒的方法大都采用防病毒可裝載模塊，以提供實(shí)時(shí)掃描病毒的能力。有時(shí)也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù)，目的在于保護(hù)服務(wù)器不受病毒的攻擊，從而切斷病毒進(jìn)一步傳播的途徑。

2）軟件防范（隨時(shí)更新、布置靈活）

從安裝殺毒、防木馬及ARP防火墻等防病毒軟件加以自動(dòng)檢測和清除病毒；另外在硬盤上劃分一個(gè)分區(qū)，把一些重要的未感染的可執(zhí)行文件存入這個(gè)分區(qū)并重新命令。在這個(gè)分區(qū)中，數(shù)據(jù)的讀取需要通行字。同時(shí)產(chǎn)生個(gè)批處理文件，用于比較文件的檢驗(yàn)；還有用一實(shí)用程序拷貝目錄，并把這個(gè)文件加密保存，隨時(shí)檢查加入盤目錄文件。這些軟件防范以便及早發(fā)現(xiàn)隱患并采取相應(yīng)處理措施。

（3）安全加密技術(shù)

作為保證信息安全重要手段之一的加密技術(shù)越來越扮演重要的角色。通過加密技術(shù)可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩裕ＷC傳輸數(shù)據(jù)的完整性。數(shù)據(jù)加密系統(tǒng)包括加密算法、明文、密文以及密鑰，密鑰控制加密和解密過程，所以加密系統(tǒng)的密鑰管理是一個(gè)非常重要的問題。

（4）網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施

在防火墻之后是基于網(wǎng)絡(luò)主機(jī)的操作系統(tǒng)安全和物理安全措施。操作系統(tǒng)作為各種安全技術(shù)底層，信息交換都是通過操作系統(tǒng)提供的服務(wù)來實(shí)現(xiàn)的。而主機(jī)系統(tǒng)的安全性是由操作系統(tǒng)的安全性決定的。獲得對(duì)操作系統(tǒng)的控制權(quán)是攻擊的一個(gè)重要目的，而通過身份認(rèn)證缺陷、系統(tǒng)漏洞等途徑是攻擊者常用的攻擊手段。

數(shù)據(jù)安全，備分第一。網(wǎng)絡(luò)的安全系統(tǒng)是十分脆弱的，系統(tǒng)備份是網(wǎng)絡(luò)系統(tǒng)的最后防線。物理安全措施的目的是保護(hù)計(jì)算機(jī)硬件設(shè)備，建立完備制度和使用權(quán)限等。

5 列舉幾個(gè)實(shí)際網(wǎng)絡(luò)安全問題解決方法

5.1 系統(tǒng)的安全，防止黑客掃描你的電腦

（1）關(guān)閉端口

關(guān)閉閑置和有潛在危險(xiǎn)的端口。這個(gè)方法比較被動(dòng)，它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投?，所有的端口都可能成為攻擊的目?biāo)。可以說，計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)，而一些系統(tǒng)必要的通訊端口，如訪問網(wǎng)頁需要的HTTP（80端 口）；QQ（4000端口）等不能被關(guān)閉。

（2）屏蔽端口

檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的，或者說完成起來相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。

5.2 防止黑客入侵無線網(wǎng)絡(luò)

（1）在網(wǎng)絡(luò)配置中，要確保無線接入點(diǎn)放置在防火墻范圍之外。

（2）利用基于MAC地址的ACLs（訪問控制表）確保只有經(jīng)過注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。

（3）所有無線局域網(wǎng)都有一個(gè)缺省的SSID（服務(wù)標(biāo)識(shí)符）或網(wǎng)絡(luò)名。如果企業(yè)具有網(wǎng)絡(luò)管理能力，應(yīng)該定期更改SSID。

（4）WEP是802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí)，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。基于會(huì)話和用戶的WEP密？管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù)，為網(wǎng)絡(luò)增加另外一層防范。

（5）不能將加密保障都寄希望于WEP協(xié)議。WEP只是多層網(wǎng)絡(luò)安全措施中的一層。

（6）虛擬網(wǎng)（VPN）則是保護(hù)網(wǎng)絡(luò)后門安全的關(guān)鍵。VPN具有比WEP協(xié)議更高層的網(wǎng)絡(luò)安全性（第三層），能夠支持用戶和網(wǎng)絡(luò)間端到端的安全隧道連接。

6 總結(jié)

本文從網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢(shì)，病毒工作流程及網(wǎng)絡(luò)安全過程進(jìn)行了分析研究，提出了適合不同的網(wǎng)絡(luò)安全防范策。文中尚未解決的網(wǎng)絡(luò)安全問題和未研究的網(wǎng)絡(luò)安全問題還有很多。

參考文獻(xiàn)：

[1]高天山.網(wǎng)絡(luò)安全隱患及解決策略的分析[J].科技資訊，2011，32.

[2]閆宏生.計(jì)算機(jī)網(wǎng)絡(luò)安全與保護(hù)[J].電子工業(yè)出版社，2007，8.

[3]李海泉.計(jì)算機(jī)網(wǎng)絡(luò)安全與加密技術(shù)[J].科學(xué)出版社，2011，7.

[4]孫會(huì)儒.計(jì)算機(jī)網(wǎng)絡(luò)安全問題及應(yīng)對(duì)策略[J].電腦知識(shí)與技術(shù)，2011，22.

[5]陳曦.計(jì)算機(jī)網(wǎng)絡(luò)安全問題新形勢(shì)[J].煤炭技術(shù)，2012，2.