淺析網絡用戶安全問題

摘要：計算機網絡的普及，使網絡用戶的安全問題上升到前所未有的高度，如何使網絡用戶更安全地使用網絡，是我們應該關注的話題。該文對網絡用戶安全問題的各種常見情況作了詳細的剖析，對網絡服務提供者和網絡使用者都有很好的參考價值。

關鍵詞：網絡安全；網絡驗證；用戶安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1820-02

Analyze the Safety Problems of Internet Users

QIU Ying-ying

(Guangxi Economic Trade Polytechnic， Nanning 530021， China)

Abstract: With the popularity of Internet， the safety problems of Internet users come into an unprecedented level. The problems which we should concern is how to use the Internet safety. This article analyzes many common situations in detail. It has good reference value for ISP and users.

Key words: network safety; network authenticate; user safety

1 引言

隨著計算機網絡的日益普及，計算機安全問題越來越受到我們的重視。在使用計算機網絡的過程中，我們接觸得較多的是用戶驗證。為此，有必要對用戶驗證進行深入的研究，最大限度地保障用戶的計算機網絡安全。

2 網絡用戶安全問題的幾種常見情況

2.1 傳統密碼安全

在網絡上，我們經常要用到密碼。如果我們的密碼被竊取了，無論是在聊天室、論壇，還是在網上銀行，其后果都是相當嚴重的。保證密碼安全的一些要點是：

1) 密碼長度不能太短，并且應該同時包含字母、數字、標點符號甚至特殊字符，諸如%、、#和$。

2) 為了防止字典攻擊，永遠不要對自己的密碼過于自信，密碼中不要使用常見的英文單詞、漢語拼音、英文簡稱和個人信息（如生日、紀念日、電話號碼等）。

3) 將密碼做妥善保管，但最好不要寫下來，否則容易被人知道。

4) 最好不要把密碼存在電腦里，否則你身邊的人可能趁你不在時獲取密碼，黑客也可能在你上網時通過秘密手段在不知不覺中取得你的密碼。

5) 不要讓別人知道你的密碼。也許你就在無意當中泄露了密碼而渾然不知。一些攻擊者常常冒充你的服務提供商，編一些諸如“由于系統更新，需要你的密碼”之類的謊話（美名其曰：社會工程學）。千萬不要上當！要知道ISP是不會向你詢問密碼的。

6) 不要在不同系統上使用同一密碼。因為攻擊者一般在獲取了密碼后，就會用它去每個需要密碼的地方作嘗試！想想看，別人用一個密碼盜用你的帳號上網，然后去偷看或冒名發送電子郵件，用你的賬戶去進行證券交易……這是多么可怕的事啊！

7) 定期更改密碼。這樣，即便黑客破譯了你的密碼，你也有機會在密碼被人濫用之前將其改變，而黑客在理論上就是永遠在所有的可能密碼中試驗，而不是越試越少（如果你不改密碼，對黑客來說，自然說是密碼越試越少了），使自己遭受黑客攻擊的損失降低到最低程度。

8) 如果你使用上網撥號程序，那么除非十分必要，請盡量不要保存密碼。因為系統會將密碼保存到文件中，別人（尤其是有機會接近你的機器的人）一旦獲取該文件，就可以用黑客工具得到你的帳戶密碼，盜用你的帳號上網！

2.2 網絡釣魚及動態密碼

近年來，國內多次發生假冒網站使客戶資金被盜案件，凸顯網絡銀行的安全性問題。典型的網絡釣魚是將受害人引誘到一個通過精心設計與目標機構（主要是銀行）的網站頁面非常相似的釣魚網站上，獲取受害人在此網站上輸入的個人敏感信息，整個攻擊過程中受害者都不會警覺。它是“社會工程學攻擊”的一種新形式。現實生活中，在ATM機上粘貼“溫馨提示”與“網絡釣魚”的原理是一樣的，用戶總是以為自己在和正規的系統在進行人機對話，殊不知進入了騙子的圈套。

為了提高安全性，一些銀行通過動態密碼驗證網銀用戶的身份。它們發給客戶一張印有一組數字或字母的卡片（比如工行的電子銀行口令卡），使用時按照一定的規則輸入系統隨機要求的其中一組或幾組，下次使用時再輸入其它組的內容。因為每次要求輸入的組別是隨機的、不相同的，這就使系統風險大大降低了。此外，讓客戶購買專門發送密碼的電子器件（如U盾），或將一次性密碼通過手機短信的方式發給客戶，這些方式在應用中比較常見。

動態密碼使用方便，但它只適用于金額小的交易，對于金額大、使用頻繁的用戶，其安全性還不是十分理想。目前動態密碼的隱患主要有兩類，一是以病毒為主的系統安全風險，目前還未形成規模；二是身份風險，目前大多數案件都來源于此。身份風險又分為銀行方面的身份風險和用戶方面的身份風險，如網絡釣魚是銀行的身份被假冒，而用戶個人身份被假冒則表現在不法分子用非法獲取的賬戶密碼進行盜竊。

據有關專家介紹，遭遇病毒和黑客的攻擊時，一旦用戶輸入動態密碼并通過網絡傳送，位于用戶與網銀服務器通信通道間的黑客便可通過鍵盤監聽、 內存讀取等方式將其截獲，使用戶無法完成登錄，并造成網絡連接斷開或連接超時等假象；另一方面黑客利用截獲的動態密碼假冒用戶的身份登錄到網銀，使用戶經濟蒙受巨大的損失。

此外，通過動態密碼登錄的用戶由于沒有電子簽名，因此也就沒有具有法律效力的認證材料，一旦出現糾紛，用戶的合法權利將無法受到保護，而銀行也承擔著一定的經濟風險。

2.3 黑客后門程序

我們都知道，黑客在攻破你的系統防御后，完全可以增加、刪除或修改你計算機中的文件。他們通常通過黑客軟件來完成他們的罪惡行徑。這些軟件以木馬程序為主。它們都是遠程控制軟件，工作原理都是一樣的：首先把服務器端程序發給對方，使它運行起來（或者誘騙你去運行它），接著攻擊者就在自己的機器上運行客戶端程序，竊取服務器端程序取到的信息，所以這類軟件也叫特洛伊木馬程序。防治的方法也有不少：

1) 你收到的任何不清楚其用途的程序都可能是后門程序。攻擊者常把后門程序換一個名字用電子郵件發給你（如系統中常見的svchost.exe），并騙你說諸如“這是個好東西，你一定要試試”之類的話。

2) 上網覺得不對勁時，你可以通過按Ctrl+Alt+Del來查看系統是否運行了什么不明的程序，如果不是系統文件，你一定要馬上中止它。然而有些程序并不顯示在進程列表里，這就要通過專門的殺毒軟件或查殺木馬的程序來找出并清除它們。

3) 如果試了很多辦法都不行，你可以試試最簡單的殺掉后門程序的辦法（通常是無奈的最后一招）：重裝系統。前提是你的系統盤（通常是C盤）不要放什么重要的數據，或者你在重裝系統前要記得備份你在系統盤里的數據。這里需要注意的是，有的病毒（或木馬）可以破壞你的克隆文件，使你的系統即使反克隆也無法消除病毒。為了防止這種意外情況的發生，你可以未雨綢繆，將克隆文件改一個后綴名（例如默認的后綴名是GHO，你可以改成SF），還可以將克隆文件單獨放在一個專門的分區中并隱藏這個分區，這兩招可以避免幾乎所有的此類惡意病毒的破壞。最保險的方法是，你將系統克隆好后，記下它的文件大小，還原前對比一下，通常受過攻擊的克隆文件的大小是不可能與原始狀態完全相同的。只有文件大小不變，才能比較放心地去反克隆系統。

2.4 電子郵件相關

利用E-MAIL可以發送一些小巧的程序。正因為如此方便，一些別有用心的人就會利用它給你發一個帶有病毒或后門程序附件的電子郵件給你。所以你要注意每一個附件，先看看發信人是否可靠，再決定是否要打開它。收到附件先不要急著去執行，要用殺毒軟件殺過一遍，確定安全后才可以使用。

目前最新的攻擊伎倆是，不法分子通過申請類似的電子郵件地址、直接冒名發送并假意“抄送”的方法，冒名發送電子郵件。這通常發生在報刊雜志批量發送約稿信息給作者的情況下。作者收到發件人是某某、且和往常一樣抄送給若干人的郵件時，警惕性無疑會降低了。

2.5 其它

1) 定期參加網絡知識和網絡安全的培訓，了解網絡安全知識，養成注意安全的工作習慣。

2) 盡量不要在本地硬盤上共享文件，因為這樣做將影響自己的機器安全。

3) 當你較長時間離開機器時務必退出網絡。

4) 確認你的機器關閉了“文件和打印機共享”服務。因為Internet上的黑客，有機會通過這個服務獲取和共享文件，從而可能造成對局域網數據及網絡安全的威脅。

5) 不要下載安裝未經安全認證的軟件和插件。

6) 為了防止不法分子惡意刪除你的數據，最好要做一個備份，而不是僅僅拷到同一臺計算機的不同硬盤里。

3 網絡服務提供商應該注意的網絡安全問題

3.1 用戶登錄身份的驗證

SQL注入、Cookie欺騙等，這些都是老生常談了，但總有些網站沒有做好，從而也間接地影響到用戶的安全。

3.2 網站的安全

防止網站被黑（有時網站被攻擊了卻在表面上看不出來，因為黑客并沒有更改頁面，而是在原有的頁面上增加代碼，運行他們不可告人的程序，這種情況俗稱“掛馬”），單引號或暴庫漏洞（都可能將數據庫暴露在攻擊者面前，從而泄露用戶隱私），可以通過設置，讓搜索引擎搜索不到自己不想被搜的東西，如后臺管理頁面。但也不要簡單地通過robots.txt來避免被搜索的頁面，當年美國白宮的官方網站就是這樣被人看到所有目錄下所有文件的。

4 結束語

網絡用戶的安全是網絡發展過程中一個永恒的話題，它決定著人們在網絡上消費時對網絡的認知性和信任度，從而決定著網絡經濟是否能夠健康發展。我們要注意自身信息的網絡安全，才能最大限度地減少自身的損失，更好地參與到網絡世界的活動中，跟上時代的發展潮流。另外，我們還要不遺余力地了解并促進網絡用戶的安全性的提高，共同為網絡的安全發展做出貢獻。

參考文獻：

[1] 廖繼旺，孫洪淋.基于PMI機信息系統授權策略的研究與實現[J].大眾科技，2006(3).

[2] 曹會文.計算機網絡安全的實現[J].中國科技信息，2006(5).

[3] 蘭麗娜.CA安全技術在網絡教育中的應用初探[J].計算機與信息技術，2007(3).

[4] 朱鳴.網絡安全現狀和發展趨勢[J].計算機應用與軟件，2004(5).