計算機網絡安全防護策略研究

摘要：本文通過幾起典型的網絡安金事件。提出網絡安全問題，系統剖析7現今存在的主要的網絡安全威脅。并針對網絡中的安全威脅。提出了相應防護策略。

關鍵詞：網絡安全：防護：策略

中圖分類號：TP399

文獻標識碼：A

文章編號：1002－2422(2010)05－0047－03

1 網絡安全威脅事件

近年來，威脅網絡安全的事件不斷發生。2005年7月英國一名可能被引渡到美國的黑客MeKinnon表示，安全性差是能夠入侵美國國防部網站的主要原因。面臨“與計算機有關的欺詐”的指控，控方稱，其活動涉及了美國陸軍、海軍、空軍以及美國航空航天局。2006年6月，為萬事達、維薩和美國運通卡等主要信用卡服務的一個數據處理中心網絡被黑客入侵，該網絡被黑客入侵后，大約有4000萬賬戶的號碼和有效期等信息被黑客截獲，黑客將盜取的用戶賬號資料，用于金融欺詐，事發僅一個星期，最大的信用卡公司萬事達公司就接到至少7萬名用戶的舉報，稱其賬戶被人盜用消費，給公司帶來了巨大的經濟損失。

2 計算機網絡存在的安全問題

2.1惡意代碼

早期惡意代碼的主要形式是計算機病毒，目前主要的惡意代碼包括：

(1)計算機病毒(computer virus)；

(2)特洛伊木馬(trojan horse)：

(3)計算機蠕蟲(worms)；

(4)邏輯炸彈(logie bombs)；

(5)腳本惡意代碼(malicious scripts)：

(6)惡意AetiveX控件：

(7)其它惡意代碼。

如今惡意代碼問題無論在政治上、經濟上，還是軍事上，都成為網絡安全面臨的重要問題。惡意代碼利用電子郵件、系統漏洞等多種手段在主機間瘋狂傳播，給各國和社會造成巨大的經濟損失，截止2004年，病毒、蠕蟲和特洛伊木馬等惡意代碼共給全球造成了1690億美元的經濟損失，2007年互聯網上傳播的有記載的新型惡意程序數目達2227415個，同2006年結果(535131個)相比翻升了4倍，惡意軟件總量達到354GB，2008年惡意代碼的數量呈爆炸式增長，其總數已經超過了近五年的惡意代碼數量的總和，較2007年全年總數增長了300％。

2.2系統及應用軟件的安全漏洞

各種操作系統的漏洞和網絡應用程序的漏洞層出不窮，為黑客們攻擊打開了方便之門，沒有任何一個系統可以排除漏洞的存在，黑客們可以方便地從CERT(CarnegieMellon大學計算機緊急事件響應隊)那里找到許多程序錯誤的列表。另一個獲取程序漏洞的地方來源于諸如BugNet或NTBug traq一類的新聞組。

(1)比較典型的軟件安全漏洞如緩沖區溢出。緩沖區溢出是利用存在漏洞的軟件在不檢查緩沖區間變化的情況下，就接收任意長度的數據輸入。由于緩沖區只能容納一定數量的比特位，造成多余的數據越過緩沖區邊界，覆蓋相鄰內存塊的數據，造成內存訪問異常、執行異常，有的會引起系統不穩定甚至崩潰，出現BSOD(藍屏)現象。如果精心構造數據包，惡意利用者就可以控制程序的執行流程，執行注入的代碼，導致系統控制權被竊。溢出可能會造成攻擊者直接獲取系統最高權限，從普通用戶提升為管理員用戶，進而實施植入木馬、下載、破壞等活動。

(2)另一種典型的利用程序漏洞或網絡協議漏洞進行的攻擊稱為拒絕服務攻擊。拒絕服務(DOS)攻擊是指利用網絡協議漏洞或其他系統及應用軟件的漏洞耗盡被攻擊目標的資源，使得被攻擊的計算機或網絡無法正常提供服務，直至系統停止響應甚至崩潰的攻擊方式。對于一個典型的TCP連接，用戶向服務器發送一條信息請求認證，服務器進行確認，并將訪問許可返回給用戶，于是用戶就可以訪問該服務器，惡意用戶向服務器發送多個連接請求，使其滿負載，并且所有請求的返回地址都偽造的。這類攻擊的典型例子是Synflood攻擊，發動Synflood攻擊的破壞者發送大量的不合法請求要求連接，目的是使系統不勝負荷。其結果是系統拒絕所有合法的請求，直至等待回答的請求超時。

2.3合法管理工具被黑客利用

大部分系統都配備了用以改進系統管理及服務質量的工具軟件，但同時這些工具也會被破壞者利用去收集非法信息及加強攻擊力度。

比如一個最常被利用的工具網絡嗅探器。嗅探器的正當用途主要是分析網絡的流量，發現網絡中潛在的問題，解釋網絡上傳輸的數據包的含義，為網絡診斷提供參考，發現網絡入侵跡象，為入侵檢測提供參考。可是攻擊者可利用嗅探器這些功能竊取網絡中傳輸的信息。現有的基于IPv4的網絡對所有的數據使用明文傳送，攻擊者可以很容易地從網絡數據中還原出傳輸的信息；另外從嗅探到的網絡數據包中，攻擊者還可以找到其它有利攻擊的信息，比如DNS服務器的地址、終端的IP地址、終端的網卡硬件地址、TCP連接的序列號等。對于高級的攻擊者來說，了解這些底層協議的信息，會為其展開進一步的攻擊提供方便。

再如NBTSTAT命令是用來給系統管理員提供遠程節點的信息的。但是攻擊者也用這一命令收集對系統有威脅性的信息，例如區域控制軟件的身份信息、NetBIOS的名字，IIS名甚至是用戶名，這些信息足以被黑客用來破譯口令。

2.4不正確的系統維護措施

系統及應用軟件的漏洞及隨處可得的破壞工具大大方便了黑客的攻擊，但無效的安全管理也是造成安全隱患的一個重要因素。解決漏洞攻擊的方法只能是不停地修復漏洞，發現一個修復一個，因為很多軟件商發現漏洞后及時發布了樸丁程序，可是一般人員卻缺乏相關意識，沒有及時將補丁下載安裝，給攻擊者以可乘之機。即使已經對系統進行了維護，對軟件進行了更新或升級，但由于路由器及防火墻的過濾規則過于復雜，使得管理效果不甚理想。

3 計算機網絡信息安全的防護策略

3.1安裝殺毒軟件和主機防火墻

殺毒軟件是主要針對病毒，可以查殺病毒，且隨著殺毒軟件技術的不斷發展，現在的主流殺毒軟件還可以預防木馬及其它的一些惡意程序。主機防火墻可以有效地阻擋網絡攻擊流量，提高攻擊者的難度，在一定程度上可以保證網絡的安全性。

3.2隱藏IP地址

黑客經常利用一些網絡探測技術來尋求主機的信息，主要目的就是能夠得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念，如果攻擊者知道了IP地址，等于為攻擊準備好了目標，可以向這個IP發動各種進攻，如DoS攻擊，Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理服務器。使用代理服務器后，其它用戶只能探測到代理服務器的IP地址而不是用戶的IP地址，這就實現了隱藏用戶IP地址的目的，保障了用戶上網安全。

3.3關閉不必要的端口

黑客在入侵時常常首先會掃描計算機端口，如果安裝了端口監視程序，如Netwatch，該監視程序則會有警告提示。病毒和黑客通常是通過TCPl35、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后門端口，以及遠程服務訪問端口3389侵入計算機的。因此，應關閉這些端口以保護計算機，可以在系統中直接進行設置，具體方法是：右鍵單擊“網上鄰居”選“屬性”打開→右鍵單擊“本地連接”選“屬性”打開→選擇“Internet協議(TCPAP)”選“屬性”打開→選擇“高級”打開→選擇“篩選”→選中“TCPAP篩選”點擊“屬性”進入選擇界面，選擇需要可以開放的端口，其它端口就會自動關閉。也可利用工具軟件(比如使用“Norton Internet Security”)直接關閉用不到的端口，開放其它所有端口。

3.4更改管理員帳戶

Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，經常采取字典攻擊技術獲取口令，所以要重新配置Administrator帳號。首先是為Admin-istrator帳戶設置一個強大復雜的密碼，然后重命名Adminis-trator帳戶，再創建一個普通權限的Administrator帳戶欺騙攻擊者。這樣一來，攻擊者很難搞清哪個帳戶真正擁有管理員權限，也就在一定程序上減少了危險性。

3.5杜絕Guest帳戶的入侵

Guest帳戶即所謂的來賓帳戶，可以訪問計算機，但受到限制。不幸的是，Guest也為黑客入侵打開了方便之門，禁用或徹底刪除Guest帳戶是最好的辦法，但在某些必須使用到Guest帳戶的情況下，就需要通過其它途徑來做好防御工作了。首先要給Guest設一個強壯的密碼，然后詳細設置Guest帳戶對物理路徑的訪問權限。

3.6刪掉不必要的協議

對于服務器和主機來說，一般只安裝TCPAP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NetBIOS協議是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，可以將綁定在TCPAP協議的NetBIOS給關閉，避免針對NetBIOS的攻擊。

3.7 IE瀏覽器的安全設置

大多數人習慣使用IE瀏覽網頁，IE瀏覽器是最易受攻擊的應用軟件之一，其中ActiveX控件和Java Applets有較強的功能，常常被人利用，網頁中的惡意代碼往往就是利用這些控件編寫的小程序，只要打開網頁就會被運行。所以要避免惡意網頁的攻擊只有禁止這些惡意代碼的運行，IE對此提供了多種選擇，具體設置步驟是：“工具”→“Internet選項”→“安全”→“自定義級別”，在設置選擇框中合理設置“AetiveX控件和插件”，以及“腳本”。此外，在IE的安全性設定中還能設定本地Intranet、受信任的站點、受限制的站點。

4 結束語

只有用戶自身重視信息安全，并時時處處注意網絡信息安全，那么黑客或病毒是無法入侵到個人或單位內部網絡的，因此，提高用戶自身的網絡信息安全意識和構建基本安全策略，是非常必要的。