網絡信息安全及其防護策略的探究

摘要：網絡信息安全在國民生活中受到越來越多人的關注，原因在于：許多重要的信息存儲在網絡上，一旦這些信息泄露出去將造成無法估量的損失。之所以網絡信息會泄露出去，一方面有許多入侵者千方百計想“看”到一些關心的數據或者信息；另一方面網絡自身存在安全隱患才使得入侵者得逞。針對這些問題，該文歸納并提出了一些網絡信息安全防護的方法和策略。

關鍵詞：計算機網絡；信息安全；黑客；網絡入侵

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)32-1077-02

Network Information Security and Protection Strategies

WANG Qian

(Dingxi City in Gansu Province Dongfanghong Secondary Network Management Centre， Dingxi 743000， China)

Abstract: Computer network information security in the national life is an increasing concern， because: many important information is stored on the network， once the information leaked would cause incalculable damage. The reason why network information will be leaked， on the one hand there are many invaders do everything possible to \"see\" some concern to the data or information; On the other hand their own network security risks before making the invaders succeed. In light of these problems， summed up the text and made a number of network information security protection methods and strategies.

Key words: computer network; information security; hackers; network intrusion

1 引言

近年來，伴隨著互聯網技術在全球迅猛發展，信息化在給人們帶來種種物質和文化享受的同時，也正受到日益嚴重的來自網絡的安全威脅，諸如網絡的數據竊賊、黑客的侵襲、病毒的攻擊，甚至系統內部的泄密。盡管我們正在廣泛地使用各種復雜的軟件，如防火墻、代理服務器、侵襲探測器、通道控制機等，但是，無論在發達國家，還是在發展中國家，黑客活動越來越猖狂，他們無孔不入，對社會造成了嚴重的危害。本文通過對幾起典型的網絡安全事件的分析，以及對威脅網絡安全的幾種典型方法研究的結果，提出實現防護網絡安全的具體策略。

2 計算機網絡信息安全面臨的威脅

中國公安部公共信息網絡安全監察局所做的2007年度全國信息網絡安全狀況暨計算機病毒疫情調查顯示（2006年5月至2007年5月），中國信息網絡安全事件發生比例連續3年呈上升趨勢，65.7%的被調查單位發生過信息網絡安全事件，比2006年上升15個百分點。本文列舉以下事例以供分析和研究之用。

2005年6月17日報道萬事達信用卡公司稱，大約4000萬名信用卡用戶的賬戶被一名黑客利用電腦病毒侵入，遭到入侵的數據包括信用卡用戶的姓名、銀行和賬號，這都能夠被用來盜用資金。如果該黑客真的用這些信息來盜用資金的話，不但將給這些信用卡用戶帶來巨大的經濟損失，而且侵犯了這些信用卡用戶的個人隱私。

2007年初的“Nimaya（熊貓燒香）”病毒，該病毒具有感染、傳播、網絡更新、發起分布式拒絕服務攻擊（DoS）等功能。1月29日位于江蘇的一臺服務器于刪除了有關網頁；而位于浙江的服務器用戶于1月20日重裝了系統，故有關網頁也被刪除。截至到2月底，CNCERT/CC監測發現11萬個IP地址的主機被“熊貓燒香”病毒感染。

2007年3月28日，建行網銀賬戶16萬被盜案告破，資料泄露黑客是元兇，罪犯在網上找他人的求職信息，獲取他人的身份信息和聯系方法，偽造了一張身份證，用該身份證在建行開戶，并且在淘寶網上利用發送信息之際，將病毒植入他人電腦，進而獲取了他人的銀行賬號、密碼和認證證書，同時修改密碼，盜取銀行賬戶資金。

根據以上事件分析，入侵的黑客通常扮演以下腳色：

1） 充當政治工具。非法入侵到國防、政府等一些機密信息系統，盜取國家的軍事和政治情報，危害國家安全。

2） 非法入侵金融、商業系統，盜取商業信息；在電子商務、金融證券系統中進行詐騙、盜竊等違法犯罪活動；破壞正常的經濟秩序。我國證券系統接二連三發生的盜用他人密碼進行詐騙的案件，已經引起了網民的不安。

3） 非法侵入他人的系統，獲取個人隱私，以便利用其進行敲詐、勒索或損害他人的名譽，炸毀電子郵箱，使系統癱瘓等。

基于以上事件的分析，一方面可以看到網絡安全不僅影響到一個國家的政治、軍事、經濟及文化的發展，而且會影響到國際局勢的變化和發展；另一方面網絡自身存在安全隱患才會影響到網絡的安全。目前，威脅網絡安全的技術主要有病毒、入侵和攻擊；而對網絡信息失竊造成威脅的主要是黑客的入侵，只有入侵到主機內部才有可能竊取到有價值的信息。

3 計算機網絡存在的安全問題

導致計算機網絡信息安全受到威脅的根本原因在于網絡存在安全問題，歸納為以下幾點：

1） 固有的安全漏洞

現在，新的操作系統或應用軟件剛一上市，漏洞就已被找出，另一個消息的來源就是諸如BugNet或NTBug traq一類的新聞組。

① 緩沖區溢出。這是攻擊中最容易被利用的系統漏洞。很多系統在不檢查程序與緩沖區間的變化的情況下，就接收任何長度的數據輸入，把溢出部分放在堆棧內，系統還照常執行命令。這樣破壞者便有機可乘。他只要發送超出緩沖區所能處理的長度的指令，系統便進入不穩定狀態。假如破壞者特別配置一串他準備用作攻擊的字符，他甚至可以訪問系統根目錄。

② 拒絕服務。拒絕服務 (DenialofService，DoS) 攻擊的原理是攪亂TCP/IP連接的次序。典型的DoS攻擊會耗盡或是損壞一個或多個系統的資源（CPU周期、內存和磁盤空間），直至系統無法處理合法的程序。這類攻擊的例子是Synflood攻擊。發動Synflood攻擊的破壞者發送大量的不合法請求要求連接，目的是使系統不勝負荷。其結果是系統拒絕所有合法的請求，直至等待回答的請求超時。

2） 合法工具的濫用

大部分系統都配備了用以改進系統管理及服務質量的工具軟件，但遺憾的是，這些工具同時也會被破壞者利用去收集非法信息及加強攻擊力度，例如區域控制軟件的身份信息、NetBIOS的名字、IIS名甚至是用戶名。這些信息足以被黑客用來破譯口令。

另一個最常被利用的工具是網包嗅探器（PacketSniffer）。系統管理員用此工具來監控及分發網包，以便找出網絡的潛在問題。黑客如要攻擊網絡，則先把網卡變成功能混雜的設備，截取經過網絡的包（包括所有未加密的口令和其他敏感信息），然后短時間運行網包嗅探器就可以有足夠的信息去攻擊網絡。

3） 不正確的系統維護措施

系統固有的漏洞及一大堆隨處可見的破壞工具大大方便了黑客的攻擊，但無效的安全管理也是造成安全隱患的一個重要因素。當發現新的漏洞時，管理人員應仔細分析危險程度，并馬上采取補救措施。

有時候，雖然我們已經對系統進行了維護，對軟件進行了更新或升級，但由于路由器及防火墻的過濾規則過于復雜，系統又可能會出現新的漏洞。所以，及時、有效地改變管理可以大大降低系統所承受的風險。

4） 低效的系統設計和檢測能力

在不重視信息保護的情況下設計出來的安全系統會非常 “不安全 ” ，而且不能抵御復雜的攻擊。建立安全的架構一定要從底層著手。這個架構應能提供實效性的安全服務，并且需要妥善的管理。

服務器的代碼設計及執行也要進行有效管理，黑客可以利用這一漏洞發動拒絕服務攻擊，非法訪問敏感信息或是篡改Web服務器的內容。低效的設計最后會產生漏洞百出的入侵檢測系統。這樣的系統非常危險，它不能提供足夠的信息，就連已提供的信息都可能是不真實、不準確的。

4 計算機網絡信息安全的防護策略

盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全：

1） 隱藏IP地址

黑客經常利用一些網絡探測技術來查看我們的主機信息，主要目的就是得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念，如果攻擊者知道了你的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器。 使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。

2） 關閉不必要的端口

黑客在入侵時常常會掃描你的計算機端口，如果安裝了端口監視程序（比如Netwatch），該監視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如，用“Norton Internet Security”關閉用來提供網頁服務的80和443端口，其他一些不常用的端口也可關閉。

3） 更換管理員帳戶

Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。首先是為Administrator帳戶設置一個強大復雜的密碼，然后我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性。

4） 杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，它可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門！禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防御工作了。首先要給Guest設一個強壯的密碼，然后詳細設置Guest帳戶對物理路徑的訪問權限。

5） 封死黑客的“后門”

俗話說“無風不起浪”，既然黑客能進入，那我們的系統一定存在為他們打開的“后門”，我們只要將此堵死，讓黑客無處下手，豈不美哉！

① 刪掉不必要的協議：對于服務器和主機來說，一般只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NetBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，可以將綁定在TCP/IP協議的NetBIOS給關閉，避免針對NetBIOS的攻擊。

② 關閉“文件和打印共享”：文件和打印共享應該是一個非常有用的功能，但在我們不需要它的時候，它也是引發黑客入侵的安全漏洞。所以在沒有必要\"文件和打印共享\"的情況下，我們可以將其關閉。即便確實需要共享，也應該為共享資源設置訪問密碼。

③ 禁止建立空連接：在默認的情況下，任何用戶都可以通過空連接連上服務器，枚舉帳號并猜測密碼。因此我們必須禁止建立空連接。

④ 關閉不必要的服務： 服務開得多可以給管理帶來方便，但也會給黑客留下可乘之機，因此對于一些確實用不到的服務，最好關掉。比如在不需要遠程管理計算機時，我都會將有關遠程網絡登錄的服務關掉。去掉不必要的服務停止之后，不僅能保證系統的安全，同時還可以提高系統運行速度。

6） 做好IE的安全設置

ActiveX控件和Java Applets有較強的功能，但也存在被人利用的隱患，網頁中的惡意代碼往往就是利用這些控件編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行。IE對此提供了多種選擇，具體設置步驟是：“工具”→“Internet選項”→“安全”→“自定義級別”。另外，在IE的安全性設定中我們只能設定Internet、本地Intranet、受信任的站點、受限制的站點。

7） 安裝必要的安全軟件

我們還應在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網時打開它們，這樣即使有黑客進攻我們的安全也是有保證的。

8） 防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

① 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預防的作用。

② 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

③ 將注冊表里KEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下的所有以“Run”為前綴的可疑程序全部刪除即可。

9） 不要回陌生人的郵件

有些黑客可能會冒充某些正規網站的名義，然后編個冠冕堂皇的理由寄一封信給你要求你輸入上網的用戶名稱與密碼，如果按下“確定”，你的帳號和密碼就進了黑客的郵箱。所以不要隨便回陌生人的郵件，即使他說得再動聽再誘人也不上當。

10） 防范間諜軟件

如果想徹底把Spyware拒之門外，請按照這幾個步驟來做：① 斷開網絡連接并備份注冊表和重要用戶數據；② 下載反間諜工具；③ 掃描并清除；④ 安裝防火墻；⑤ 安裝反病毒軟件。

最后，建議大家到微軟的站點下載自己的操作系統對應的補丁程序，微軟不斷推出的補丁盡管讓人厭煩，但卻是我們網絡安全的基礎。

盡管現在用于網絡安全的產品有很多，比如有防火墻、殺毒軟件、入侵檢測系統，但是仍然有很多黑客的非法入侵。根本原因是網絡自身的安全隱患無法根除，這就使得黑客進行入侵有機可乘。雖然如此，安全防護仍然必須是慎之又慎，盡最大可能降低黑客入侵的可能，從而保護我們的網絡信息安全。

參考文獻：

[1] 許治坤，王偉，郭添森，等.網絡滲透技術[M].北京:電子工業出版社，2005.

[2] 郝杰，李德勝，范延濱.Internet原理與實用工具[M].北京:高等教育出版社，2006.

[3] 羅曉沛，楊冬青，邵佩英，等.信息管理技術[M].北京:高等教育出版社，2005.

[4] 吳世忠，馬芳.網絡信息安全的真相[M].北京:機械工業出版社，2001.