網絡安全分析與技術解決方案探究

□張小莉

( 山西輕工職業技術學院，山西 太原 030013)

由于計算機網絡具有形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、惡意軟件和其他攻擊。因此,網絡信息的安全和保密是一個至關重要的問題。

一、網絡常見的安全隱患

網絡中存在著各種各樣的安全隱患。簡要概述為以下幾點。

1.網絡基礎設施面臨的安全隱患。這種安全隱患不太引人注意，但卻是非常重要的物理威脅。大體分為四類：(1)環境隱患。主要是防止機房溫度的過熱或過冷、濕度的過濕或過干以及防水、防火、防鼠等等。解決方法為通過溫度控制、濕度控制、加強空氣流通、遠程環境報警，以及記錄和監視等措施營造合適的環境；(2)硬件隱患。防盜竊和防止人為有意或無意的破壞服務器、路由器、交換機、布線系統、工作站等。解決方法為鎖好配線間，只允許授權的人員進入，使用電子訪問控制，安裝攝像頭等措施；(3)電氣隱患。主要是指防止電壓過高、電源電壓不足、不合格的電源和突然斷電。解決方法為安裝UPS系統和發電機組，實施遠程監視；(4)維護隱患。控制靜電的產生，并在產生后有相應的處理措施；杜絕布線混亂和設備及線纜標注不明。解決方法為確保電纜布線整齊有序、標記重要電纜和組件、遵循靜電放電規則。

2.漏洞。漏洞是指每個網絡和設備固有的薄弱環節。這些設備包括服務器、普通PC機、交換機、路由器，甚至網絡安全設備也存在漏洞，如防火墻、入侵檢測設備等都存在漏洞。因為每個網絡或設備都是硬件和軟件的結合體。就軟件而言，本身在開發時就不完善。這樣就給攻擊者可乘之機。漏洞主要可分為三類：(1)技術缺陷。如TCP/IP協議、操作系統、網絡設備等。超文本傳輸協議(HTTP)、文件傳輸協議(FTP)，這些協議本身就是不安全的。UNIX、Linux、Windows系列系統等都存在著安全漏洞。因此，我們經常需要給系統打補丁；(2)配置缺陷。如賬戶不安全、系統賬戶密碼過于簡單、各種網絡產品默認設置不安全、網絡配置不正確、Internet服務的配置不正確等；(3)策略缺陷。如服務器發生故障，沒有備用服務器提供服務；網絡核心設備發生故障，沒有備用的設備等。

3.網絡面臨的威脅。(1)無組織的威脅。一般是一些缺乏經驗的個人，他們使用從網絡上下載的或自制的一些簡單的工具對網絡進行攻擊或破壞。(2)有組織的威脅。大多是具備技術能力很強的個人或團體。這些人了解系統和網絡的漏洞，通過各種方法攻破企業系統，進行欺騙、破壞或篡改數據、或者盜取機密數據，從中謀取暴利。

二、常見網絡攻擊的類型

網絡可能遭受各種各樣的攻擊，了解攻擊的方式可以有效地防范網絡被破壞，數據被竊取。

1.偵查攻擊。此類攻擊也稱為信息收集。偵察類似于冒充鄰居的小偷伺機尋找容易下手的住宅，例如無人居住的住宅、容易打開的門或窗戶等。偵查攻擊可以通過Internet進行信息查詢、Ping掃描可用的IP地址、掃描處于活動的端口、數據包嗅探等方式查找漏洞。類似于我們拿著電話本，隨意撥打里面的電話號碼，看哪些號碼會有人接聽。接聽的電話就相當于端口處于活動狀態。

2.訪問攻擊。此類攻擊是利用Web服務、FTP服務和身份驗證服務已存在的漏洞，獲取對Web賬戶、機密數據庫和其它敏感信息的訪問。訪問攻擊是指入侵者獲取本來不具備訪問權限的訪問權。入侵者進入或訪問系統后會運行某種黑客程序、腳本或工具，以利用目標系統或應用程序的漏洞展開攻擊。這類似于不法分子侵入某住宅，在其隱蔽的地方安裝了攝像頭和監聽器。

3.拒絕服務。DoS 攻擊的方式多種多樣,其目的都是通過消耗系統資源使授權用戶無法正常使用服務。DoS攻擊是知名度最高的攻擊，并且也是最難防范的一種攻擊。發起這種攻擊非常容易。由于其實施簡單、破壞力強大，安全管理員需要特別注意。SYN 泛洪攻擊是DoS攻擊的一種，它利用了TCP 三次握手機制。它向目標服務器發送大量 SYN 請求。服務器使用常規的SYN-ACK做出響應，但惡意主機始終不發送最后的ACK 響應來完成握手過程。這會大量占用服務器資源，直到資源最終耗盡而無法響應有效的主機請求。DoS 攻擊可以使系統崩潰或者將系統性能降低至無法使用。但是，DoS也可以只是簡單地刪除或破壞信息。例如電子郵件炸彈，這種攻擊向個人或域批量發送電子郵件，從而獨占電子郵件服務的程序，直至耗盡CPU資源，使郵件服務器系統癱瘓。

4.惡意代碼。客戶端最容易遭受蠕蟲、病毒和特洛伊木馬攻擊。蠕蟲會執行代碼，并將自身的副本安裝到受感染計算機的內存中，然后感染其它主機。病毒是附加在其它程序上的惡意軟件，其目的是在工作站上執行特定惡意功能。特洛伊木馬與蠕蟲或病毒的不同之處僅在于整個應用程序經過偽裝，看似無害，但實際上是攻擊工具。感染惡意代碼的機子表現為經常性死機、運行速度慢、黑屏、開機時間變長等的現象。

三、常用防范技術

探討了各種與網絡相關的攻擊后，針對其特點采取有力的措施加以防范。

1.主機和服務器的安全。(1)設備加固。當計算機上安裝了新操作系統時，在安全設置方面還停留在默認值。這樣做是不安全的。比較穩妥的辦法是更換默認用戶名和密碼；授權某些用戶對系統資源進行訪問；盡可能將一些不必要的服務和應用程序關閉或卸載。網絡主機(例如工作站 PC 和服務器)的保護非常重要。當主機添加到網絡時，需要對其進行保護，并在有新的安全補丁時盡可能使用安全補丁更新這些主機。(2)防病毒軟件。防病毒軟件安裝在主機上可抵御已知病毒。他可以檢測到大多數病毒和許多特洛伊木馬應用程序，并能防止它們在網絡中傳播。例如瑞星、卡巴斯基、諾頓、360等殺毒軟件。防病毒軟件通過掃描文件，將文件的內容與病毒數據庫的已知病毒進行比較。如果發現匹配，就認為是病毒，將其刪除。(3)操作系統補丁。蠕蟲、病毒及木馬侵入系統的入口就是系統漏洞。因此，為系統打補丁是防范蠕蟲及其變體的最有效方法。一種管理重要安全補丁的方法是創建一臺中央補丁服務器，每隔指定的時間后，所有主機都必須自動從補丁服務器下載并安裝尚未應用的補丁，用戶無需干預。

2.網絡信息的安全。信息的安全是要保證數據具有可用性、完整性、保密性。為了確保信息的安全，故采用如下幾種技術：(1)加密技術。網絡中的數據大多是以明文的形式傳輸的，這樣被截獲的數據很容易被破解。因此，通過對數據進行加密，以密文的形式傳輸，即使被截獲也無法識別，有效地保證數據的可用性和完整性。數據加密可以通過DES、3DES、MD5等加密算法，還可以通過網路設備的IOS軟件提供的安全功能進行加密。如IPSce隧道加密、SSL VPN等。采用加密技術的網絡安全系統將成為網絡安全的主要實現方式。(2)防火墻技術。防火墻技術已經成為近年來新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障。阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。企業信息系統對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。例如一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在FireWall上設置使得只有這兩類應用的數據包可以通過，其他服務將被拒絕。還可以通過防火墻的設置讓某個部門在上班時間不能使用QQ、MSN等聊天工具。(3)入侵檢測技術。它不同于防火墻，IDS入侵檢測系統是一個監聽設備，無需串接在任何鏈路中，網絡流量無需流經該設備，即可檢測到網絡中的異常傳輸。它時刻關注著網絡中的數據傳輸。IDS可以檢測到的攻擊類型包括：系統掃描、拒絕服務、系統滲透。一般IDS安裝的位置在服務器區域的交換機上、Internet接入路由器之后的第一臺交換機上或重點保護網段的局域網交換機上，這些都是采用“旁路”的方式偵聽。

總之，信息與網絡安全必將成為網絡運營商各項業務的關鍵點，而且發揮越來越重要的作用。因此，認清網絡的脆弱性和潛在威脅，采取強有力的安全策略，對于保障網絡的安全性將變得十分重要。

參考文獻：

[1]張仕斌．網絡安全技術[M]．北京：清華大學出版社，2004．

[2]王群．計算機網絡安全技術[M]．北京：清華大學出版社，2008．

[3]海吉．網絡安全技術與解決方案[M]．北京：人民郵電出版社，2010．

[4]鄧吉，張奎亭．網絡安全攻防實戰[M]．北京：電子工業出版社，2008．