淺談計算機網(wǎng)絡的風險及防御

支元

【摘要】計算機網(wǎng)絡信息安全在國民生活中受到越來越多的關注，原因在于：許多重要的信息存儲在網(wǎng)絡上，一旦這些信息泄露出去將造成無法估量的損失。之所以網(wǎng)絡信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關心的數(shù)據(jù)或者信息；另一方面網(wǎng)絡自身存在安全隱患才使得入侵者得逞。針對這些問題，該文歸納并提出了一些網(wǎng)絡信息安全防護的方法和策略。

【關鍵詞】計算機網(wǎng)絡；信息安全；黑客；網(wǎng)絡入侵；防護

1.引言

隨著全球科技的快速發(fā)展，尤其以互聯(lián)網(wǎng)技術的發(fā)展，在全球范圍內的發(fā)展取得了驚人的成就，使人們的生活更加便利。但是在互聯(lián)網(wǎng)信息化的進程中，雖然給人們的物質和文化生活帶來了耳目一新的享受，但是隨之而來的網(wǎng)絡安全也給人們帶來了很大的網(wǎng)絡威脅，例如網(wǎng)絡的數(shù)據(jù)泄漏、黑客的供給、系統(tǒng)內部員工的泄密以及病毒感染等一系列風險。雖然目前我們采用了很多諸如防火墻、代理服務器等防侵襲設備或系統(tǒng)來保護我們的互聯(lián)網(wǎng)安全，但是近年來的黑客活動也愈加猖獗，開始滲透到網(wǎng)絡的方方面面了。另一方面，黑客相關的網(wǎng)站和技術都在不斷提升，對黑客技術進行學習、獲得相關的攻擊工具已經變得十分容易了。這直接使得當前的互聯(lián)網(wǎng)的安全性受到了更大的挑戰(zhàn)。面對當前網(wǎng)絡上紛繁復雜的網(wǎng)絡威脅，如何對網(wǎng)絡信息的安全性進行保障，尤其是網(wǎng)絡上的一些重要數(shù)據(jù)信息的安全性，在本文中，筆者主要分析了網(wǎng)絡安全相關的典型案例，對網(wǎng)絡的威脅進行防護的幾種方法進行研究，最終提出了切實可行的措施，從而起到了對網(wǎng)絡安全的防護作用。

2.計算機網(wǎng)絡存在的安全問題

之所以計算機網(wǎng)絡信息安全受到很大的威脅，這主要是由于網(wǎng)絡不安全的隱患，現(xiàn)對其隱患歸納為以下幾點：

2.1 固有的安全漏洞

目前，市面上有多種不同的操作系統(tǒng)或應用軟件，這些系統(tǒng)或者應用軟件只要一上市，就會被相關專業(yè)人員找到其中的漏洞。目前，任何一個系統(tǒng)都存在漏洞的可能性，目前還沒有一個很有效的方法來對所有的漏洞進行修復。從CarnegieMellon大學計算機緊急事件響應隊（簡稱CERT）那里我們可以找到十分完整的程序錯誤列表。另一個消息來自于例如BugNet或NTBugtraq一類 新聞組。

（1）緩沖區(qū)溢出。

作為系統(tǒng)漏洞，該區(qū)域是攻擊中最容易被利用。目前，有很多系統(tǒng)不會對程序和緩沖區(qū)間的變化進行檢查，在此種情況下依然會接收數(shù)據(jù)輸入，同時不會對這些數(shù)據(jù)輸入進行長度的限制，當數(shù)據(jù)長度超過了該區(qū)域實際能接收的長度，這時堆棧就會將溢出的部分接收儲存，但系統(tǒng)會繼續(xù)執(zhí)行命令。這對于網(wǎng)絡的破壞者就有機可乘了，他們通過向緩沖區(qū)發(fā)送超長的指令就可以使系統(tǒng)出現(xiàn)問題，如果網(wǎng)絡的破壞者將一長串攻擊字符配置到緩沖區(qū)，這時他們可能對系統(tǒng)的根目錄進行訪問，對網(wǎng)絡的安全性構成了很大的隱患。

（2）拒絕服務。

拒絕服務的英文全稱為Denial of Service，簡稱為DoS，其攻擊的原理是對TCP/IP連接的次序進行攪亂。典型的DoS攻擊會對單個或者多個系統(tǒng)的資源例如CPU周期、內存和磁盤空間進行耗盡或損壞，最終會導致系統(tǒng)無法完成對合法的程序的處理。在這類攻擊中， Synflood攻擊具有典型性，這類攻擊主要是由破壞者將很多不合法的請求進行要求連接，從而使系統(tǒng)超負荷工作，這樣就會導致系統(tǒng)對所有合法的請求進行拒絕，最終就會使等待回答的請求超時。

2.2 合法工具的濫用

目前，很多系統(tǒng)都有一些工具和軟件，它們能夠幫助對系統(tǒng)管理和服務質量進行改進，但是美中不足的是，這些工具經常會被破壞者所利用，對不合法信息的收集以及對攻擊力度進行增強。對于系統(tǒng)管理員，這些工具軟件的作用十分重要，可以對網(wǎng)包進行監(jiān)控和分發(fā)，最終可以對網(wǎng)絡的問題進行定位。如果破壞者要對網(wǎng)絡進行攻擊，首先要將網(wǎng)卡進行變換，使得能夠對設備進行混雜，從而對經過網(wǎng)絡的包進行截取，這其中包括所有未加密的口令以及其他敏感信息，然后，破壞者就可以在很短時間內對網(wǎng)包嗅探器進行運行，最終就可以獲取大量的信息對網(wǎng)絡進行攻擊。

2.3 不正確的系統(tǒng)維護措施

在系統(tǒng)開發(fā)過程中就存在一些漏洞和破壞工具，這在很大程度上對黑客的攻擊起到了協(xié)助的作用，另外，安全管理有時的無效性對網(wǎng)絡的安全也構成了隱患。當新的漏洞被發(fā)現(xiàn)時，系統(tǒng)管理員就要對其危險等級進行分析，從而找到補救措施。在有些時候，雖然系統(tǒng)的維護工作已經很到位，同時軟件也進行了全麻的升級和更新，但是我們依然不能完全避免網(wǎng)絡漏洞，這主要是由于路由器及防火墻的過濾規(guī)則十分的復雜，最終使得系統(tǒng)中出現(xiàn)了新的漏洞。因此對系統(tǒng)管理進行及時有效的改善可以在很大程度上降低其風險。

3.計算機網(wǎng)絡信息安全的防護策略

盡管計算機網(wǎng)絡信息安全受到威脅，但是采取恰當?shù)姆雷o措施也能有效的保護網(wǎng)絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網(wǎng)絡信息的安全。

3.1 隱藏IP地址

黑客經常利用一些網(wǎng)絡探測技術來查看我們的主機信息，主要目的就是得到網(wǎng)絡中主機的IP地址。如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS（拒絕服務）攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網(wǎng)安全。

3.2 關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序（比如Netwa-tch），該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如用“Norton InternetSecurity”關閉用來提供網(wǎng)頁服務的80和443端口，其他一些不常用的端口也可關閉。

3.3 更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Adm-inistrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性。

3.4 杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門。禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其他途徑來做好防御工作了。首先要給Guest設一個強壯的密碼，然后詳細設置Guest帳戶對物理路徑的訪問權限。

參考文獻

[1]吳世忠，馬芳.網(wǎng)絡信息安全的真相[M].機械工業(yè)出版社，2001-9-1.

[2]Kevin Mandia，Chris Prosise，IncidentResponse：Investigating Computer Crime.Mcgraw-Hill Press，2002-10-1.

[3]Anonymous等.Maximun SecurityThird Edition.SAMS Press，2003-1-1.